Information Security กับ Cybersecurity ต่างกันอย่างไร? มีประโยชน์อะไรกับองค์กรบ้าง?
Information Security คืออะไร?
Information Security หรือการรักษาความปลอดภัยของข้อมูลและสินทรัพย์ หมายถึง การกระทำเพื่อการปกป้องสินทรัพย์ให้มีความสมบูรณ์ และไม่ให้ถูกเข้าถึงโดยผู้ไม่ได้รับอนุญาต มีการใช้เครื่องมือและความรู้หลายด้าน อาทิ การบริหารจัดการ การรักษาความปลอดภัยทางกายภาพ ตลอดจนในความรู้ทางเทคนิค อาทิ การเข้ารหัส การให้สิทธิ์การเข้าถึง ไฟร์วอลล์ ซอฟต์แวร์ป้องกันไวรัส และการสำรองข้อมูล
สินทรัพย์ หมายถึง ทรัพยากรมีมูลค่าที่บุคคลหรือกิจการเป็นเจ้าของหรือมีสิทธิในการครอบครอง โดยอาจจับต้องได้ เช่น บ้าน ที่ดิน อาคาร เครื่องจักร รถยนต์ อุปกรณ์ต่างๆ หรือจับต้องไม่ได้ เช่น สิทธิบัตร ลิขสิทธิ์ ข้อมูล โปรแกรมคอมพิวเตอร์ เครื่องหมายการค้า เป็นต้น
Information security ≠ Cybersecurity
หลายคนอาจมีความเข้าใจว่า Cybersecurity และ Information Security มีความหมายเดียวกัน แต่แท้จริงแล้ว Information Security มีการทำงานที่ครอบคลุมกว่า โดยป้องกันสินทรัพย์ในด้านกายภาพด้วย
Information Security หมายถึง การรักษาความปลอดภัยของสินทรัพย์ โดยไม่คำนึงถึงรูปแบบหรือสถานะ อาทิ ข้อมูลในเอกสารหรือไฟล์ อีเมลล์พนักงาน บัตรพนักงาน เป็นต้น
Cybersecurity หมายถึง การป้องกันภัยในระบบดิจิทัล จากภัยหรือการโจมตีทางไซเบอร์ (Cyber Attack) อาทิ การแฮกระบบ การขโมยรหัสผ่าน การโจมตีด้วยมัลแวร์
นอกจากนี้ ภัยที่เกิดจากสาเหตุอื่น ๆ อาทิ ความขัดแย้งทางผลประโยชน์ การเอื้อผลประโยชน์ภายใน การบุกรุกทางกายภาพ ภัยธรรมชาติ และความล้มเหลวทางเทคนิค ยังอยู่ภายใต้การดูแลของ Information Security ด้วย
ประโยชน์จากการทำ Information Security
การทำ Information Security โดยมีประโยชน์เบื้องต้น ดังนี้
การปกป้องข้อมูลที่ละเอียดอ่อน – การใช้มาตรการที่รัดกุมช่วยให้องค์กรสามารถปกป้องข้อมูลและสินทรัพย์ได้ สินทรัพย์ อาทิ ข้อมูลส่วนบุคคล บันทึกทางการเงิน ทรัพย์สินทางปัญญา รวมถึงความลับทางการค้า
หลีกเลี่ยงความเสียหายทางการเงิน – สินทรัพย์ที่โจรกรรมไปอาจถูกนำไปใช้เพื่อการก่ออาชญากรรม ส่งผลให้เกิดค่าใช้จ่ายจากการดำเนินคดีในชั้นศาล
การสร้างความน่าเชื่อถือ – มาตรการที่รัดกุมส่งผลให้องค์กรมีความน่าเชื่อถือมากขึ้น ก่อให้เกิดภาพลักษณ์ที่ดี และเป็นผลดีต่อการดำเนินธุรกิจ
การปฏิบัติตามกฎหมาย – ประเทศไทยมีการออกกฎหมายเพื่อการปกป้องข้อมูลภายใต้ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือกฎหมาย PDPA (Personal Data Protection Act) ซึ่งองค์กรต้องปฏิบัติตามอย่างเคร่งครัด
พื้นฐาน Information Security ที่ควรรู้
ในอุตสาหกรรม Information Security มีความรู้พื้นฐานที่ควรเข้าใจ นั่นคือ ทฤษฎีการบริหารความเสี่ยง (Risk Management) โดยมีส่วนประกอบ ได้แก่ ความเสี่ยง ภัยคุกคาม และ ช่องโหว่ (Risk, Threat and Vulnerability) ศัพท์ทั้งสามคำนี้ แม้มีความหมายที่ใกล้เคียงกันและใช้สลับกันได้ในหลายโอกาส แต่ในอุตสาหกรรม Information Security มีความหมายแตกต่างกันอย่างชัดเจน ดังนี้
ความเสี่ยง (Risk) – โอกาสที่จะเกิดความเสียหายต่อองค์กร จากการที่ผู้ไม่ประสงค์ดีเข้าถึงข้อมูลหรือสินทรัพย์ โดยความเสียหายอาจเป็นด้านการเงิน ชื่อเสียง หรือการดำเนินงาน
ภัยคุกคาม (Threat) – การกระทำโดยมีเจตนาเพื่อก่อให้เกิดความเสียหาย มักเชื่อมโยงสู่ตัวบุคคล (Threat Actor) อาทิ แฮคเกอร์ เครือข่ายอาชญากร ด้วยจุดประสงค์เพื่อการเข้าถึงสินทรัพย์โดยไม่ได้รับอนุญาต เช่น การแฮค การลักทรัพย์ การบุกรุก
ช่องโหว่ (Vulnerability) – โอกาสที่องค์กรจะตกเป็นเป้าหมายในการโจมตี โดยยิ่งองค์กรมีช่องโหว่มาก จะมีโอกาสตกเป็นเป้าหมายมากขึ้น ยกตัวอย่างเช่น องค์กรที่ละเลยในมาตรการความปลอดภัยด้านสินทรัพย์และข้อมูล มักตกเป็นเป้าหมายโจมตีได้ง่ายกว่าองค์กรที่ดูแลอย่างสม่ำเสมอ
ทฤษฎีการจัดการความเสี่ยง (Risk Management) สามารถอธิบายได้ด้วยสมการนี้
Risk = Threat * Vulnerability
ความเสี่ยง = ภัยคุกคาม * ช่องโหว่
ความเสี่ยงเป็นผลลัพธ์จากภัยคุกคามรวมกับช่องโหว่ เมื่อภัยคุกคามมีความรุนแรง และระบบมีช่องโหว่อยู่มาก หมายถึงองค์กรนั้นอยู่ในความเสี่ยงสูง แต่ในทางกลับกัน หากภัยคุกคามไม่รุนแรง และระบบมีช่องโหว่อยู่น้อย หมายถึงองค์กรนั้นอยู่ในความเสี่ยงต่ำ สมการนี้เป็นการสรุปพื้นฐานของการบริหารความเสี่ยงอย่างง่าย
ทั้งนี้ ความเสี่ยงไม่ได้ขึ้นอยู่กับเพียงสองปัจจัยนี้เท่านั้น แต่ยังมีปัจจัยอื่น ๆ ที่อาจไม่อยู่ในสมการนี้ อาทิ ค่าใช้จ่ายเพื่อการลดความเสี่ยง ต้นทุนค่าเสียโอกาส ความสามารถในการรับความเสี่ยง เป็นต้น
Information Security สำคัญอย่างไร?
การวางมาตรการ Information Security มีความสำคัญต่อองค์กรอย่างมาก เพราะความเสี่ยงเป็นสิ่งที่ไม่สามารถจับต้องได้ หลายองค์กรมักรู้ตัวเมื่อปัญหาเกิดขึ้นแล้ว การวางมาตรการป้องกันสินทรัพย์ช่วยให้องค์กรสามารถประเมินความเสี่ยง ตลอดจนเกิดการวางแนวทางที่สนับสนุนการทำธุรกิจด้วย
ในการทำ Information Security องค์กรต้องหาจุดกึ่งกลางระหว่างความยืดหยุ่นและความปลอดภัย
หากองค์กรยืดหยุ่นมากเกินไป - แม้ธุรกิจจะไหลลื่น แต่จะต้องอยู่ในความเสี่ยงมากขึ้น
หากองค์กรนั้นเข้มงวดเกินไป - แม้จะปลอดภัย แต่อาจขัดต่อธุรกิจ ทำให้ประสิทธิภาพการทำงานลดลง
การวางมาตรการต้องมีความเหมาะสม เพื่อให้มั่นใจว่าสินทรัพย์และข้อมูลขององค์กรจะมีความสมบูรณ์ และได้รับการปกป้องอยู่เสมอ องค์กรต้องประเมินถึงภัยคุกคามและช่องโหว่ของตน การพัฒนามาตรการ Information Security เบื้องต้น สามารถทำได้ด้วยวิธีการต่าง ๆ ดังนี้
การประเมินความเสี่ยง – จำแนกสินทรัพย์ที่สำคัญ ตรวจสอบช่องโหว่ในองค์กร และจัดลำดับความเสี่ยง
การวางนโยบายเพื่อความปลอดภัย – ตั้งแนวทางปฏิบัติที่ชัดเจน บังคับใช้มาตรการป้องกันอย่างเคร่งครัด
การเฝ้าระวังอย่างต่อเนื่อง – หมั่นตรวจสอบการทำงานและปรับปรุงแผนความปลอดภัยอยู่เสมอ
สื่อสารกับผู้มีส่วนได้ส่วนเสีย – ให้ความรู้กับบุคลากรในองค์กร ส่งเสริมการทำงานที่ตระหนักถึงความปลอดภัย
การวางนโยบาย Information Security ในองค์กร
เพื่อการดำเนินธุรกิจอย่างราบรื่น การสร้างมาตรการ Information Security ต้องมีความสมดุล จากผู้เชี่ยวชาญเฉพาะทางให้ทำงานร่วมกัน เพื่อลดความเสี่ยงในองค์กร และส่งเสริมการดำเนินงาน พร้อมทั้งแต่งตั้งผู้บริหารและเจ้าหน้าที่ระดับสูง เพื่อการกำหนดทิศทางและบังคับใช้มาตรการต่าง ๆ ในหน่วยงาน Information Security จะมีตำแหน่งชัดเจน อาทิ
ผู้จัดการความปลอดภัยของข้อมูล (Certified Information Security Manager) – มีหน้าที่ในการบริหารและดูแลระบบความปลอดภัยในสินทรัพย์ของทั้งองค์กร พร้อมทั้งพัฒนาแนวทางเพื่อการป้องกันและลดความเสี่ยง
ผู้ตรวจสอบความปลอดภัยข้อมูล (Certified Information System Auditor) – มีหน้าที่ตรวจสอบนโยบาย Information Security ให้เป็นไปตามมาตรฐานอุตสาหกรรม พร้อมปรับปรุงนโยบายให้เทียบเท่าสากล
เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) – มีหน้าที่ในการดูแลระบบข้อมูลขององค์กรให้เป็นไปตามกฎหมาย PDPA ของทางรัฐบาล โดยบังคับใช้เมื่อองค์กรมีข้อมูลของผู้ใช้งานมากกว่า 100,000 ราย
การสร้างนโยบาย Information Security ที่ดีที่สุด ต้องอาศัยความร่วมมือจากทั้งองค์กร ให้เกิดความตระหนักรู้ถึงความเสี่ยงและความปลอดภัยของสินทรัพย์ในองค์กร
หลักสูตรฝึกอบรมจาก ISACA เพื่อการสร้างระบบรักษาความปลอดภัยในสินทรัพย์เพื่อองค์กรระดับโลก ช่วยให้องค์กรสามารถออกแบบระบบ Information Security ที่อำนวยต่อการทำธุรกิจ หลักสูตร CISA และ CISM ออกแบบเพื่อการพัฒนาบุคลากรระดับสูง ให้มีความพร้อมกับการบริหารจัดการความปลอดภัย ตลอดจนออกแบบแนวทางปฏิบัติที่เข้ากับความต้องการขององค์กร
Case Study : เหตุการณ์ข้อมูลรั่วไหล 55ล้านรายชื่อ ครั้งใหญ่ที่สุดในไทย
ในช่วงการระบาดของโรคโควิด รัฐบาลไทยได้จัดทำแอปพลิเคชัน "หมอพร้อม" เพื่อติดตามการสัมผัสรับเชื้อ โดยผู้ใช้งานจะสามารถบันทึกสถานที่และเวลาที่เข้าในพื้นที่นั้น ๆ ในการลงทะเบียน ผู้ใช้งานต้องกรอกเลขประจำตัวประชาชนและเบอร์โทรศัพท์ พร้อมทั้งข้อมูลส่วนตัวที่พบได้ในบัตรประชาชน
หลังจากประกาศใช้งานแอปพลิเคชันหมอพร้อม พบว่าทำงานได้ตามวัตถุประสงค์ แต่ยังเกิดความกังวลด้านความเป็นส่วนตัว จากการที่แอปพลิเคชันแสดงข้อมูลที่ละเอียดอ่อนอย่างเปิดเผย
ไม่กี่เดือนต่อมา ในฟอรัมใต้ดิน ผู้ใช้งาน “9Near” อ้างว่าได้ข้อมูลของคนไทยกว่า 55 ล้านรายชื่อ โดยระบุว่าได้มาจากแอปพลิเคชันหมอพร้อม และทำการพิสูจน์ว่าตนมีข้อมูลอยู่จริง ด้วยการติดต่อนักข่าวชื่อดังหลายราย ด้วยการส่งข้อมูลส่วนตัวของพวกเขา ส่งผลให้เกิดความสนใจของสื่อและมีการรายงานข่าวเป็นวงกว้าง
รัฐบาลไทยไม่ได้นิ่งนอนใจ โดยเริ่มจากการปิดการเข้าถึงฟอรัมดังกล่าว และเร่งทำการค้นหาตัวผู้กระทำผิด ไม่นานต่อมา 9Near ได้ทำการมอบตัว โดยพบว่าเป็นข้าราชการทหาร และมีภรรยาทำงานเป็นพยาบาล
การเข้าถึงข้อมูล แม้ว่าจะไม่มีการเปิดเผยอย่างเป็นทางการ จึงเกิดหลายทฤษฎีว่าเข้าถึงข้อมูลได้อย่างไร โดยเชื่อว่าอาจมาจากภรรยาที่เป็นพยาบาล เข้าถึงข้อมูลในระบบสาธารณสุขได้ หรืออาจมาจากทหารนายนี้ ผู้มีความเชี่ยวชาญในระบบคอมพิวเตอร์ ได้ทำการแฮคระบบแอปพลิเคชัน เพื่อเข้าถึงข้อมูลด้วยตนเอง
ในการแถลงข่าว 9Near แจ้งเจตนาว่าเพียงต้องการเปิดเผยช่องว่างในระบบข้อมูลของรัฐบาลเท่านั้น ไม่ได้ต้องการทำกำไรจากข้อมูลดังกล่าว ถึงอย่างไรก็ตาม ศาลได้ตัดสินให้นายทหารต้องโทษจำคุก เหตุการณ์นี้แสดงถึงความสำคัญในการจัดตั้งนโยบาย Information Security และเป็นบทเรียนครั้งใหญ่ ให้กับทั้งภาครัฐและภาคเอกชนในการดูแลข้อมูลของตน
หลังจากสถานการณ์คลี่คลาย รัฐบาลประกาศร่างกฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ฉบับใหม่ โดยเพิ่มรายละเอียดให้มีความเป็นปัจจุบันมากขึ้น มุ่งเน้นให้องค์กรมีบทบาทในการคุ้มครองข้อมูล เพิ่มบทลงโทษตามกฎหมาย และบังคับองค์กรขนาดใหญ่ ให้มีบุคลากรด้าน Information Security โดยเฉพาะ เพื่อการลดความเสี่ยงในองค์กรและให้องค์กรมีความรับผิดชอบมากขึ้น
เพื่อการปกป้องสินทรัพย์และข้อมูลอย่างรอบด้าน หลายองค์กรมีการเลือกใช้หลักสูตรจาก ISACA เพื่อการฝึกอบรมและให้ความรู้กับบุคลากร ด้วยใบรับรองทักษะ CISA และ CISM เพื่อการปกป้ององค์กร ตลอดจนเสริมสร้างอนาคตด้วย
องค์กร ISACA มีบทบาทอะไร?
ISACA (Information Systems Audit and Control Association) เป็นองค์กรไม่แสวงหากำไร จัดตั้งเพื่อการสร้างมาตรฐานสากลในการบริหารเทคโนโลยีสารสนเทศ การกำกับดูแล และการจัดการความเสี่ยง ISACA วางรากฐานให้ผู้เชี่ยวชาญด้านไอทีในหลายองค์กรระดับโลก เพื่อการประเมิน จัดการ และรักษาความปลอดภัยในสินทรัพย์ขององค์กร
องค์กรทั่วโลกต่างให้ความไว้วางใจ ในใบรับรองทักษะจาก ISACA ด้วยมาตรฐานการอบรมและเนื้อหาที่อัดแน่น ทำให้มั่นใจได้ว่าองค์กรของคุณจะได้รับประโยชน์สูงสุด
Network Training Center (NTC) พร้อมช่วยคุณยกระดับ Information Security ในองค์กร ด้วยหลักสูตรที่ถ่ายทอดโดยอาจารย์มากประสบการณ์ เพื่อให้เกิดการเรียนรู้อย่างมีประสิทธิภาพ บุคลากรจะได้รับความรู้ที่ใช้งานได้จริง ตลอดจนนำพาองค์กรไปสู่ความสำเร็จ!
ในประเทศไทย ผู้ที่สนใจสามารถลงทะเบียนเรียนผ่าน Network Training Center (NTC) ผู้เรียนจะได้รับการฝึกอบรมระดับโลก ด้วยทักษะที่ได้รับการยอมรับทั้งในประเทศและต่างประเทศ!
อย่าปล่อยให้ธุรกิจของคุณตกเป็นเป้าหมาย สมัครเรียนเลยวันนี้!
Certified Information System Auditor (CISA)
Certified Information Security Manager (CISM)
Certified in the Governance of Enterprise IT (CGEIT)
Certified in Risk and Information Systems Control (CRISC)
Certified Data Privacy Solutions Engineer (CDPSE)
NTC มีการสอนทั้งในภาษาไทยและภาษาอังกฤษ
อบรมได้ทั้ง Public และ Group In-House
สอบถามรายละเอียดเพิ่มเติม:
083-779-7732