security
ข้อสอบ
1) คำว่า Internet of Things มีบทบาทอย่างไรในการจัดการและบริหารความเสี่ยงระบบเทคโนโลยีสารสนเทศและการสื่อสารขององค์กรในปัจจุบัน (การบรรยายสามารถยกตัวอย่างกรณีศึกษาประกอบได้)
เนื่องจากระบบสารสนเทศและการสื่อสารขององค์กรในปัจจุบันมีส่วนทำให้ชีวิตความเป็นอยู่ของคน
ในปัจจุบัน มีความสะดวกสบายมากขึ้น
ทำให้คนในสังคมมีการติดต่อสื่อสารถึงกันได้ง่ายและรวดเร็ว มีการทำกิจกรรมหลายสิ่งหลายอย่างร่วมกันง่ายขึ้น
การใช้เทคโนโลยีสารสนเทศ และการสื่อสาร ก่อให้เกิดประโยชน์ในด้านต่างๆ
แนวโน้มการนำเทคโนโลยี Internet of Things จึงถูกนำมาใช้ภายในองค์กรมากขึ้นเพื่อช่วยในการจัดการ
และบริหารความเสี่ยง ซึ่ง Internet of Things ได้แบ่งหัวข้อ โดยแบ่งตามการใช้ประโยชน์ ซึ่ง Tracking
behavior เป็นหัวข้อนึง ของ Internet
of Things ซึ่งสามารถใชเปนประโยชนในการ ติดตามพฤติกรรม
รวมทั้งติดต่อสื่อสารกับสินค้า เช่น บริษัทขายปลีก
ตัวเซ็นเซอร์จะช่วยรวบรวมข้อมูลของสมาชิก และเสนอส่วนลดสินค้า
เมื่อมีการกลับมาซื้อสินค้าชนิดนั้นซ้ำ โดยกระบวนการของ Internet of Things ของ Tracking behavior สามารถช่วยในการจัดการ และบริหารความเสี่ยงโดยการวิเคราะห์ความเสี่ยง
โดยการวิเคราะห์จากการติดตามการสั่งซื้อสินค้าของลูกค้าในแต่ละช่วงเวลา
เพื่อประเมินความเสี่ยงที่สินค้า จะไม่พอจำหน่าย หากเป็นช่วงเวลาที่มีลูกค้าจำนวนมาก
เข้ามาซื้อสั่งสินค้านั้นๆ โดยจะสามารถควบคุมความเสี่ยงโดยการจัดหาสินค้ามาให้เพียงพอจำหน่ายในช่วงเวลานั้นๆได้
2) อธิบายด้วยมุมมองเชิงวิเคราะห์ถึงรูปแบบโครงข่ายที่เป็นลักษณะแบบ Hybrid Cloud Network ว่าส่งผลต่อการบริหารจัดการระบบเทคโนโลยีและการสื่อสารขององค์กรในอนาคตอย่างไร สามารถยกตัวอย่างรูปแบบกรณีศึกษาประกอบการอธิบายได้
ส่งผลโดยองค์กรสามารถแบ่งประเภทการใช้งานของแต่ละส่วนภายในองค์กร
เช่น ส่วนการจัดการระบบภายในองค์กรซึ่งอาจจะมีข้อมูลที่เป็นความลับ ก็ควรจะใช้ Private Cloud เพื่อปกป้องข้อมูลที่เป็นความลับไว้ดูแลจัดการเอง และ ส่วนที่มีการติดต่อใช้งานหรือ
เชื่อมโยงกับระบบภายนอก ก็ควรที่จะใช้ Public
Cloud เพราะจะประหยัดค่าใช้จ่ายในการจัดซื้อ
และง่ายต่อการขยายทรัพยากร และไม่จำเป็นต้องมีผู้ดูแลตลอดเวลาอีกด้วย ซึ่งทั้ง Private และ
Public Cloud นั้นจะมีการเชื่อมต่อซึ่งกันและกัน ทำให้เกิดเป็น Hybrid Cloud เพื่อทำให้ข้อมูลของทั้งองค์กรนั้นมีการปรับปรุงให้ทันสมัย
และเชื่อมโยงกันได้อย่างมีประสิทธิภาพ เพื่อให้เกิดประโยชน์สูงสุดขององค์กรนั่นเอง
3) อธิบายและเขียนภาพองค์ประกอบของ
Risk Management Model เพื่อใช้บริหารความเสี่ยงและความปลอดภัยระบบข้อมูลเทคโนโลยีสารสนเทศและระบุประเภทของกลยุทธ์ที่ใช้ในการควบคุมจัดการความเสี่ยง Risk Control ว่ามีกี่วิธีและเลือกหนึ่งวิธีมาอธิบายวิเคราะห์เปรียบเทียบจุดแข็งและจุดอ่อนในมุมมองของท่าน
Risk
Management Model แบ่งเป็น 2 ส่วน คือ
1. Risk Identification คือ การระบุความเสี่ยง มีความเสี่ยงใดน่าจะเกิดขึ้นบ้าง ซึ่งแบ่งออกเป็น 4 ขั้นตอน
a.
Risk Assessment คือ การประเมินความเสี่ยง
ว่ามีความเสี่ยงใดอาจเกิดขึ้นบ้าง และให้ระดับความสำคัญของแต่ละความเสี่ยง
b.
Inventory Assets คือการรวบรวมทรัพยสินทางด้านข้อมูลที่มีความเกี่ยวข้องกับความเสี่ยงที่เราประเมิน
c.
Classifying Assets คือการจัดกลุ่มทรัพยสินทางข้อมูลที่เกี่ยวข้องกับความเสี่ยงที่เราประเมิน
d.
Identifying Threats & Vulnerabilities คือการระบุถึงความเสี่ยงที่อาจจะเกิดขึ้นกับทรัพสินข้อมูลที่เราประเมิน
2. Risk Control
a.
Select Strategy คือการเลือกกลยุทธ์ในการควบคุมความเสี่ยง
b.
Justifiying Controls คือการนำกลยุทธ์มาปรับใช้ให้เข้ากับการควบคุมความเสี่ยง
Risk
Control ว่ามี 4 วิธี
1.
Avoidance คือการหลีกเลี่ยงความเสี่ยง
2.
Transference คือการโอนต่อความเสี่ยง
3.
Mitigation คือการลดความเสี่ยง
4.
Acceptance คือการยอมรับความเสี่ยง
เลือกส่งต่อ (Transference) เนื่องจากเป็นการหาวิธีลดความเสี่ยงด้วยการโอนความเสี่ยงไปยังผู้อื่น
เช่น การกำจัดเอกสาร บริษัทก็จ้างบริษัทเอกสารมาเป็นคนจัดการเพื่อ
เมื่อมีเอกสารสูญหายหรือถูกขโมย บริษัทรรับกำจัดเอการต้องชดใช้ค่าเสียหาย
ทำให้สามารถลดเความเสี่ยงในการดูแลเอกสารองค์ด้วยตนเอง
ข้อด้อย การจ้างบริษัทภายนอกอาจจะมีราคาที่สูงเนื่องจากต้องหาบริษัทที่มีความน่าเชื่อถือมากที่สุด เพื่อให้เข้ามาจัดการงานขององค์กรเพราะ ถ้าเลือกบริษัทที่ไม่น่าเชื่อถืออาจจะเกิดความเสี่ยงเพิ่มมากขึ้นกว่าเดิม เช่น บ.รับจ้างเกิดปิดตัวไปแล้วหายไปแล้ว
ข้อด้อย การจ้างบริษัทภายนอกอาจจะมีราคาที่สูงเนื่องจากต้องหาบริษัทที่มีความน่าเชื่อถือมากที่สุด เพื่อให้เข้ามาจัดการงานขององค์กรเพราะ ถ้าเลือกบริษัทที่ไม่น่าเชื่อถืออาจจะเกิดความเสี่ยงเพิ่มมากขึ้นกว่าเดิม เช่น บ.รับจ้างเกิดปิดตัวไปแล้วหายไปแล้ว
4) วาดภาพพร้อมอธิบายการเข้ารหัสข้อมูล
(Encryption) แบบบูรณาการโดยใช้เทคนิคคีย์สมดุล (Symmetric Key) บวกกับเทคนิค
-คีย์ไม่สมดุล (Asymmetric Key) รูปภาพที่แสดงต้องระบุให้เห็นถึงขั้นตอนการทำงานและความสัมพันธ์ระหว่าง Public-key, Private-key และ Session-key และบรรยายเชิงวิเคราะห์ถึงความสำคัญและบทบาทหน้าที่ขององค์กรที่เรียกว่า Certificate Authority (CA) ในการป้องกันการจู่โจมที่เรียกว่า Man-in-the Middle
Certificate Authority (CA) มีบทบาทหน้าที่ในการออก
Digital Certificate หรือ
ผู้ประกอบกิจการ ออกใบรับรองอิเล็กทรอนิกส์ และเป็นที่เชื่อถือ
ซึ่งเปรียบเสมือนบัตรประจำตัวที่ใช้ในการระบุตัวบุคคล ซึ่งใบรับรองอิเล็กทรอนิกส์ดังกล่าวนั้น
จะถูกนำมาใช้ในการยืนยันตัวบุคคลในการทำธุรกรรมทางอิเล็กทรอนิกส์เพื่อสร้างให้เกิดความมั่นใจ
และเพิ่มความปลอดภัยของข้อมูล
ใบรับรองดิจิตอลมีไว้เพื่อให้การรับรองตัวตนของบุคคลหรือองค์กรและยืนยันว่า
Public Key ที่อยู่ในใบรับรองเป็นของบุคคลหรือองค์กรนั้นจริง
•
การแอบแก้ไขข้อมูล (Tampering หรือ Man-in-the-middle attack) : ข้อมูลที่ถูกส่งไปนั้นจะถูกแก้ไขเปลี่ยนแปลงโดยบุคคลที่สาม
เช่น การแก้ไขใบสั่งซื้อ หรือบัญชีที่ต้องการให้โอนเงินเข้า เป็นต้น
CA ป้องกันการจู่โจมจาก
Man-in-the Middle ได้เมื่อ ข้อมูลที่ส่งไปให้ผู้รับถูกแก้ไขจากบุคคลที่สาม
แต่บุคคลที่สามไม่ได้มีใบรับรองดิจิตอลที่ออกให้จาก CA
ทำให้ผู้รับรู้ทันทีว่าไม่ใช่ข้อมูลที่ได้จากผู้ส่งตัวจริง
ความคิดเห็น