KM03/2568 DO & DON'T การควบคุมด้าน INFORMATION TECHNOLOGY (IT)

อ่าน 81 ครั้ง  เพิ่มองค์ความรู้

การควบคุมด้าน IT (IT Controls) เป็นกระบวนการและนโยบายที่องค์กรใช้เพื่อให้มั่นใจว่าเทคโนโลยีสารสนเทศถูกใช้อย่างปลอดภัย มีประสิทธิภาพ และสอดคล้องกับกฎหมายและข้อกำหนดต่าง ๆ โดยสามารถแบ่งออกเป็น การควบคุมที่ดี และ การควบคุมที่ไม่ดี ดังนี้ :

✅ การควบคุมด้าน IT ที่ดี (DO)

  • มีนโยบายสำหรับการใช้งานอุปกรณ์และระบบสารสนเทศ (IT Policy) 
  • ห้ามติดตั้งซอฟต์แวร์ที่ไม่ได้รับอนุญาตหรือไม่ผ่านการตรวจสอบจากฝ่ายไอที
  • ผู้ใช้งานต้องเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ และใช้รหัสผ่านที่มีความปลอดภัย รัดกุม ยากต่อการคาดเดา
  • มีการแบ่งสิทธิ์การเข้าถึงอย่างเหมาะสม (Access Control) 
  • กำหนดสิทธิ์เฉพาะตามบทบาทหน้าที่ ( RBAC) หรือความจำเป็นในการใช้งาน (Need to Know / Least Privilege)
  • ทบทวนสิทธิ์เป็นประจำ (เช่น ทุก 6 เดือน) และถอนสิทธิ์ทันทีเมื่อพนักงานลาออกหรือเปลี่ยนตำแหน่ง
  • มีระบบสำรองข้อมูลและการกู้คืน (Backup & Recovery) 
  • มีแผนการกู้คืนภัยพิบัติ ( DRP) และ แผนความต่อเนื่องทางธุรกิจ (BCP) ที่ชัดเจนและเป็นลายลักษณ์อักษร
  • สำรองไว้ทั้งในสถานที่ (On-site) และนอกสถานที่ (Off-site/Cloud)
  • ต้องมีการทดสอบการกู้คืนอย่างน้อยปีละ 2 ครั้ง และมีการบันทึกผล
  • การตรวจสอบความปลอดภัย (Security Monitoring) 
  • มีระบบแจ้งเตือนอัตโนมัติหากพบพฤติกรรมต้องสงสัย (ผ่าน Email / Dashboard / SMS)
  • ระบบป้องกันไวรัสและมัลแวร์
  • มีการฝึกอบรมพนักงานด้านความปลอดภัย IT 
  • จัดอบรม Cybersecurity Awareness เป็นประจำ
  • จัดอบรม การทำงานจากที่บ้าน (WFH Security)
  • จัดอบรม Social Engineering และการหลอกลวงทางโทรศัพท์/โซเชียล
  • จัดอบรม ความรับผิดทางกฎหมายกรณีทำให้ข้อมูลรั่วไหล/PDPA

❌ การควบคุมด้าน IT ที่ไม่ดี (Don’t)

  • ไม่มีนโยบายสำหรับการใช้งานอุปกรณ์และระบบสารสนเทศ (IT Policy) 
  • มีการติดตั้งซอฟต์แวร์โดยไม่ได้รับอนุญาตหรือไม่ผ่านการตรวจสอบจากฝ่ายไอที
  • ผู้ใช้งานกำหนดรหัสผ่านที่ง่ายต่อการคาดเดา
  • จดรหัสผ่านไว้ในที่ที่ผู้อื่นสามารถมองเห็นได้
  • ไม่ออกจากระบบ (Log off) หรือไม่ล็อคหน้าจอ (Lock screen) ทุกครั้งที่ละจากหน้าจอคอมพิวเตอร์
  • ไม่มีการแบ่งสิทธิ์การเข้าถึงอย่างเหมาะสม (Access Control) 
  • ใช้บัญชีร่วมกันหลายคน (Shared Accounts)
  • มอบสิทธิ์การเข้าถึงข้อมูลสำคัญ มากกว่าอำนาจหน้าที่
  • ไม่มีการทบทวนสิทธิ์อย่างสม่ำเสมอ
  • ไม่มีการถอนสิทธิ์ทันทีเมื่อพนักงานลาออกหรือเปลี่ยนตำแหน่ง
  • ไม่มีระบบสำรองข้อมูลและการกู้คืน (Backup & Recovery) 
  • ไม่มีแผนการกู้คืนภัยพิบัติ ( DRP) และ แผนความต่อเนื่องทางธุรกิจ (BCP) ที่ชัดเจนและเป็นลายลักษณ์อักษร
  • ไม่มีข้อมูลสำรองไว้ทั้งในสถานที่ (On-site) และนอกสถานที่ (Off-site/Cloud)
  • ไม่มีการทดสอบการกู้คืน
  • ไม่มีการบันทึกผลการทดสอบและเวลาที่ใช้ในการกู้คืน
  • การตรวจสอบความปลอดภัย (Security Monitoring) 
  • ไม่มีระบบแจ้งเตือนอัตโนมัติหากพบพฤติกรรมต้องสงสัย (ผ่าน Email / Dashboard / SMS)
  • ไม่มีระบบป้องไวรัสและมัลแวร์
  • ไม่มีการทบทวนและปรับปรุงกฎการตรวจจับ, เกณฑ์การแจ้งเตือน, และกระบวนการตรวจสอบความปลอดภัยอย่างสม่ำเสมอ เพื่อให้ทันต่อภัยคุกคามที่เปลี่ยนแปลงไป
  • มีการฝึกอบรมพนักงานด้านความปลอดภัย IT 
  • ไม่มีการจัดอบรมให้ความรู้ด้านความปลอดภัยทางด้าน IT/กฎหมายกรณีทำให้ข้อมูลรั่วไหล/PDPA
  • ไม่บังคับฝึกอบรมด้านความปลอดภัย IT
  • จัดฝึกอบรมอาจแต่เนื้อหาไม่ถูกปรับให้เหมาะสมกับบทบาทและความรับผิดชอบเฉพาะของพนักงานแต่ละกลุ่ม

🔎 สรุป :

  • การควบคุมที่ดี ช่วยลดความเสี่ยงทางเทคโนโลยี ปกป้องข้อมูล และเพิ่มประสิทธิภาพการทำงาน
  • การควบคุมที่ไม่ดี เปิดช่องให้เกิดการรั่วไหลของข้อมูล ระบบหยุดชะงัก และการสูญเสียทางธุรกิจ