หัวข้อเรื่อง (Topics) 7.1 ภัยคุกคามความมั่นคงในการทำธุรกิจดิจิทัล 7.2 ความมั่นคงปลอดภัยทางเทคโนโลยีดิจิทัล 7.3 การทำธุรกรรมดิจิทัลอย่างปลอดภัย 7.4 แนวคิดเกี่ยวกับความมั่นคงปลอดภัยสำหรับธุรกิจดิจิทัล 7.5 แนวทางการบริหารจัดการความมั่นคงปลอดภัยในธุรกิจดิจิทัล สมรรถนะย่อย (Element of Competency) เพื่อให้ผู้เรียนมีความรู้ความเข้าใจเกี่ยวกับ ภัยคุกคามความมั่นคงในการทำธุรกิจดิจิทัล ความมั่นคงปลอดภัย ทางเทคโนโลยีดิจิทัล การทำธุรกรรมดิจิทัลอย่างปลอดภัย แนวคิดเกี่ยวกับความมั่นคงปลอดภัยสำหรับธุรกิจ ดิจิทัล และแนวทางการบริหารจัดการความมั่นคงปลอดภัยในธุรกิจดิจิทัล วัตถุจุดประสงค์เชิงพฤติกรรม (Behavioral Objectives) 1. อธิบายภัยคุกคามความมั่นคงในการทำธุรกิจดิจิทัลได้ 2. จำแนกชนิดของภัยคุกคามความมั่นคงในการทำธุรกิจดิจิทัลได้ 3. อธิบายความมั่นคงปลอดภัยทางเทคโนโลยีดิจิทัลได้ 4. อธิบายการทำธุรกรรมดิจิทัลอย่างปลอดภัยได้ 5. อธิบายแนวคิดเกี่ยวกับความมั่นคงปลอดภัยสำหรับธุรกิจดิจิทัล 6. อธิบายแนวทางการบริหารจัดการความมั่นคงปลอดภัยในธุรกิจดิจิทัล 7. มีเจตคติที่ดี ปฏิบัติงานด้วยความรับผิดชอบ ซื่อสัตย์ ละเอียดรอบคอบ 128
พื้นฐานธุรกิจดิจิทัล เนื้อหาสาระ (Content) ปัจจุบันผู้ใช้งานสามารถเข้าถึงและใช้บริการด้านข้อมูลผ่านระบบเทคโนโลยีสารสนเทศได้อย่างสะดวก รวดเร็ว ไม่จำกัดเวลาและสถานที่ ในขณะเดียวกัน ข้อมูลขนาดใหญ่ของผู้ใช้งานที่อยู่ในระบบมีความเสี่ยง ต่อการถูกโจมตี ขโมย หรือถูกทำลายได้ เช่น การขโมยข้อมูลธุรกรรมการเงิน การสร้างไวรัสโจมตีระบบ ปฏิบัติการ เป็นต้น หากไม่มีระบบการรักษาความมั่นคงปลอดภัยที่ดีเพียงพอ ซึ่งภัยคุกคามทางไซเบอร์เหล่านี้ สามารถสร้างความเสียหายแก่ตัวผู้ใช้งานได้ แนวคิดเรื่องการรักษาความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) จึงต้องถูกพัฒนาไปพร้อมกับความก้าวหน้าของระบบเทคโนโลยี 7.1 ภัยคุกคามความมั่นคงในการทำธุรกิจดิจิทัล ภัยคุกคาม หมายถึง ชุดของเหตุการณ์ที่เกิดขึ้นแล้วจะส่งผลต่อความมั่นคงปลอดภัยของทรัพยากร สารสนเทศ ชุดของเหตุการณ์เหล่านั้นมีวัตถุประสงค์หลักเพื่อการสร้าง การสกัดกั้น การขัดจังหวะ การ ดัดแปลงแก้ไข และการปลอมแปลง เพื่อทำลายความลับ ความครบถ้วน สมบูรณ์ และความพร้อมใช้ทรัพยากร สารสนเทศที่เป็นเป้าหมาย การประยุกต์ใช้งานเทคโนโลยีร่วมกับการบริหารจัดการความมั่นคงปลอดภัยอย่าง เหมาะสม โดยเฉพาะอย่างยิ่งการกำหนดนโยบาย การประยุกตใช้งานเทคโนโลยีที่เกี่ยวข้องและควบคุมการ ปฏิบัติให้เป็นไปตามที่กำหนดในนโยบายจะสร้างความมั่นใจได้ว่าการผลิต ประมวลผล จัดเก็บ และแสดงผล ทรัพยากรสารสนเทศนั้น ๆ มีความมั่นคงปลอดภัย รูปที่ 7.1 ภัยคุกคามในธุรกิจดิจิทัล (ที่มา : bluebik.com) 128
พื้นฐานธุรกิจดิจิทัล 7.1.1 ภัยคุกคามที่เกิดจากความผิดพลาดของมนุษย์ ความผิดพลาดของมนุษย์เป็นความผิดพลาดที่เกิดจากพนักงานหรือบุคคลที่ได้รับอนุญาตให้ เข้าถึงสารสนเทศขององค์กรได้ อาจเกิดจากความไม่ได้ตั้งใจเนื่องจากไม่มีประสบการณ์หรือขาดการฝึกอบรม หรือคาดเดา เป็นต้น การป้องกันภัยคุกคามโดยการให้ความรู้ด้านความมั่นคงปลอดภัยของสารสนเทศ การ ฝึกอบรมอย่างสม่ำเสมอ มีมาตรการควบคุม โดยปกติแล้วมนุษย์จะถูกประเมินเป็นภัยคุกคามหลักต่อทรัพยากรสารสนเทศ เนื่องจากเป็น ทรัพยากรที่มีจุดอ่อนมากที่สุดในการรักษาความมั่นคงปลอดภัย แม้ว่าทรัพยากรอื่น ๆ จะถูกปกป้องและ กำหนดมาตรการอย่างรัดกุมที่สุดแล้ว หากผู้คนที่เกี่ยวข้องกับทรัพยากรนั้นละเลยหรือขาดความตระหนักรู้ ก็ จะส่งผลให้ทรัพยากรนั้นถูกโจมตีสำเร็จ เช่น การให้บริการรับฝากไฟล์ผ่านอินเทอร์เน็ตซึ่งเลือกใช้เทคโนโลยี การรักษาความมั่นคงปลอดภัยที่เข้มแข็งมาก แต่ผู้ใช้งานบันทึกข้อมูลสำหรับใช้พิสูจน์ตัวจริงและกำหนดสิทธิ์ โดยเขียนลงบนกระดาษแปะไว้ที่หน้าจอมอนิเตอร์ย่อมเป็นการเพิ่มความเสี่ยงที่จะมีผู้ไม่ประสงค์ดีใช้ข้อมูล ดังกล่าวเข้าถึงข้อมูลที่ถูกจัดเก็บในระบบนั้น โดยอาจเปลี่ยนแปลง แก้ไข หรือลบข้อมูลนั้นโดยไม่ได้รับอนุญาต เป็นต้น 7.1.2 ภัยคุกคามที่เกิดขึ้นจากการละเมิดสิทธิทางปัญญาขององค์กร การละเมิดสิทธิในทรัพย์สินทางปัญญาไม่เพียงเป็นการละเมิดกฎด้านจริยธรรมองค์กรและการ กำกับดูแล แต่ยังเป็นการสร้างผลเสียต่อการดำเนินงานอย่างต่อเนื่องของกลุ่มบริษัท หน่วยงาน ผลเสียที่อาจ เกิดขึ้นตามมาประกอบด้วย ข้อผูกมัดที่จะต้องจ่ายเงินค่าสินไหมหรือข้อบังคับให้ต้องยกเลิกการผลิตผลิตภัณฑ์ บางชนิด เพื่อที่จะป้องกันการละเมิสิทธิในทรัพย์สินทางปัญญา จึงมีมาตรการด้านการศึกษามากมายให้กับ วิศวกรและเจ้าหน้าที่ที่เกี่ยวข้องกับทรัพย์สินทางปัญญา เพื่อเพิ่มความตระหนักและส่งเสริมความเคารพต่อ สิทธิ์ในทรัพย์สินทางปัญญาของผู้อื่น ในขณะเดียวกันก็มีการกำหนดกฎต่าง ๆ เพื่อให้มั่นใจว่าการสำรวจสิทธิ ในสิทธิบัตรของผู้อื่นมีการดำเนินการในทุกขั้นตอน ตั้งแต่การพัฒนาไปจนถึงการผลิต และมีการบังคับใช้อย่าง เคร่งครัดทั่วทั้งกลุ่มบริษัทหรือหน่วยงาน 7.1.3 ภัยคุกคามที่เกิดขึ้นจากการเข้าถึงทรัพยากรโดยไม่มีสิทธิ ภัยคุกคามที่เกิดจากการที่ผู้ไม่ได้รับอนุญาตสามารถเข้าถึง ข้อมูลสำคัญ (Unauthorized Access) หรือเปลี่ยนแปลงแก้ไขข้อมูล (Unauthorized Modification) ได้ บริษัทต้องมีกระบวนการในการรักษาความ ปลอดภัยของข้อมูลที่เพียงพอแก่การป้องกันไม่ให้บุคคลที่ไม่มีอำนาจเกี่ยวข้องเข้าถึง หรือสามารถเปลี่ยนแปลง แก้ไขข้อมูล หรือนำข้อมูลไปใช้ประโยชน์ในทางที่ผิดกฎหมาย โดยเฉพาะอย่างยิ่งข้อมูลของผู้เอาประกันภัย โดยแนวทางการรักษาความปลอดภัยของข้อมูลอย่างน้อยต้องครอบคลุมในเรื่องดังต่อไปนี้ 1. ข้อมูลอะไรบ้างที่เป็นข้อมูลที่สำคัญหรือเป็นข้อมูลความลับของบริษัท และทำการจัดประเภท ข้อมูลตามระดับชั้นความลับและความสำคัญ 129
พื้นฐานธุรกิจดิจิทัล 2. กำหนดสิทธิ์ในการเข้าถึงข้อมูลที่สำคัญหรือข้อมูลความลับ เพื่อป้องกันการเข้าถึงและแก้ไข เปลี่ยนแปลงข้อมูลโดยผู้ที่ไม่มีสิทธิ์หรือไม่ได้รับอนุญาต 3. การรับส่งข้อมูลสำคัญผ่านเครือข่ายสาธารณะ บริษัทต้องทำการรหัสข้อมูล (Cryptographic Control) 4. การจัดเก็บข้อมูลสำคัญหรือข้อมูลที่มีชั้นความลับ 7.1.4 ภัยคุกคามที่เป็นผลจากการโจมตีของซอฟต์แวร์ประสงค์ร้าย (Malicious Code) โปรแกรมอันตรายที่มุ่งประสงค์ร้ายต่อระบบคอมพิวเตอร์ในรูปแบบใดรูปแบบหนึ่ง ในบางครั้ง อาจจะเรียกอีกชื่อหนึ่งว่า มัลแวร์ ซึ่งประกอบด้วยภัยคุกคามหลากหลายด้วยกัน ได้แก่ 1. ไวรัส (Virus) ติดต่อจากไฟล์หนึ่งไปสู่อีกไฟล์หนึ่งได้ มิจฉาชีพสามารถฝังไวรัสเข้ามาในไฟล์ ๆ หนึ่ง แล้วเมื่อไฟล์ที่มีไวรัสถูกเอาไปลงที่เครื่อง มันก็จะไปทำลายซอฟท์แวร์อื่น ๆ ที่อยู่ในเครื่อง 2. หนอนคอมพิวเตอร์ (Computer Worm) มีลักษณะคล้ายไวรัส และทำหน้าที่แทรกซึมผ่าน ช่องโหวในระบบปฏิบัติการเพื่อขมยข้อมูลและลบไฟล์สำคัญออกไป หนอนคอมพิวเตอร์ต่างจากไวรัส ตรงที่ ไวรัสจะแพร่กระจายผ่านจากการที่มีคนเปิดไฟล์นั้น ๆ แต่หนอนคอมพิวเตอร์สามารถแพร่กระจายได้ 3. ม้าโทรจัน (Trojan) ไม่ได้ทำลายซอฟท์แวร์ในเครื่องโดยตรง แต่จะดักจับข้อมูล และเปิด ช่องโหว่ด้านความปลอดภัยในระบบของผู้ใช้ มิจฉาชีพสามารถล่วงรู้ข้อมูลส่วนตัว หรือควบคุมเครื่อง คอมพิวเตอร์ของผู้ใช้ได้จากระยะไกล 4. มัลแวร์เรียกค่าไถ่ (Ransomware) เป็นมัลแวร์ที่เอาไว้ปิดกั้นการเข้าถึงไฟล์ต่าง ๆ ในเครื่อง ของผู้ใช้เพื่อบีบให้ผู้ใช้ต้องโอนเงินไปให้กับมิจฉาชีพ เพื่อแลกกับการเข้าถึงไฟล์นั้นอีกครั้ง 5. สปายแวร์ (Spyware) มีไว้สอดส่องพฤติกรรมการใช้งานของผู้ใช้โดยที่ไม่ให้เจ้าตัวรู้เพื่อ เข้าไปแอบดูข้อมูลสำคัญ เช่น พาสเวิร์ด เลขบัตรเครดิต และข้อมูลทางการเงินได้ 6. แอดแวร์ (Adware) จะเป็น pop-up window ที่เด้งขึ้นมาระหว่างเราเข้าเว็บไซต์หรือใช้ งานโปรแกรมบางโปรแกรม ส่วนมากแอดแวร์จะเด้งขึ้นมาเพื่อโฆษณาสินค้าหรือบริการต่าง ๆ แต่หลาย ๆ ครั้ง โฆษณาดังกล่าวจะแฝงสปายแวร์มาด้วย 7. รูตคิต (Rootkit) เป็นมัลแวร์ที่แฝงเข้ามาเพื่อให้มิจฉาชีพสามารถควบคุมการทำงานของ เครื่องนั้น ๆ ได้จากระยะไกล จุดเด่นของรูตคิตคือความสามารถในการหลบการตรวจจับของอุปกรณ์รักษา ความปลอดภัย 8. บอต (Bot) คือ โปรแกรมที่ทำงานโดยอัตโนมัติ แต่บอตก็สามารถถูกใช้เป็นมัลแวร์ได้ เช่นกัน มิจฉาชีพจะแฮกระบบรักษาความปลอดภัยของคอมพิวเตอร์เครื่องใดเครื่องหนึ่ง 130
พื้นฐานธุรกิจดิจิทัล รูปที่ 7.2 ภัยคุกคามที่เป็นผลจากการโจมตีของซอฟต์แวร์ประสงค์ร้าย (ที่มา : warning-your-computer-may-be-infected-removal) 7.1.5 ภัยคุกคามที่เกิดขึ้นจากความผิดพลาดของอุปกรณ์ฮาร์ดแวร์ ความล้มเหลวทางเทคนิคของฮาร์ดแวร์ หรือความผิดพลาดที่การผลิตอุปกรณ์เกิดข้อบกพร่อง เป็นเหตุให้การทำงานของอุปกรณ์ภายนอกของระบบไม่เป็นไปอย่างที่คิด ส่งผลให้การบริการไม่น่าไว้วางใจ หรือใช้ประโยชน์ไม่ได้ บางครั้งความผิดปกติของจอคอมพิวเตอร์อุปกรณ์ต่อพ่วงอื่น ๆ หากเสียหายจะไม่ สามารถนำกลับมาใช้ได้ รูปที่ 7.3 ภัยคุกคามที่เกิดขึ้นจากความผิดพลาดของอุปกรณ์ฮาร์ดแวร์ (ที่มา : https://sites.google.com/site/fernnatthannicha2542) 131
พื้นฐานธุรกิจดิจิทัล 7.1.6 ภัยคุกคามที่เกิดจากภัยธรรมชาติ ภัยธรรมชาติเป็นภัยคุกคามที่อันตรายมาก เพราะเป็นสิ่งที่เกินกว่ามนุษย์จะควบคุมได้เป็นภัยที่ รวมเหตุการณ์ เช่น ไฟไหม้ น้ำท่วม แผ่นดินไหว และฟ้าผ่า รวมถึงภูเขาไฟระเบิด ทั้งหมดนี้ไม่เพียงแต่สร้าง ความยุ่งยากต่อการใช้ชีวิตของแต่ละคนเท่านั้น แต่ยังสร้างปัญหา ความเสียหายให้กับระบบคอมพิวเตอร์ ทั้ง หน่วยเก็บข้อมูล สัญญาณการสื่อสารต่าง ๆ รูปที่ 7.7 ภัยคุกคามที่เกิดจากภัยธรรมชาติ (ที่มา : https://Finskru.com) 7.2 ความมั่นคงปลอดภัยทางเทคโนโลยีดิจิทัล หากสำนักงานหรือหน่วยงานไม่มีระบบการรักษาความมั่นคงปลอดภัยที่ดีเพียงพอ ภัยคุกคาม ทางไซเบอร์สามารถสร้างความเสียหายแก่หลาย ๆ ด้านให้กับหน่วยงาน ทั้งต่อความมั่นคงปลอดภัยของระบบ สารสนเทศ และเครือข่ายคอมพิวเตอร์ต่อความมั่นคงของหน่วยงานมากมาย ระบบความปลอดภัยไซเบอร์ (Cyber Security) ถูกนำมาใช้อย่างมากในหน่วยงาน อุตสาหกรรม การเงินและการธนาคาร เนื่องจากปัจจุบันในหลายประเทศมีการเปิดเสรีทางการเงินการธนาคาร เพื่อดึงดูด นักลงทุนต่างชาติให้เข้ามาลงทุนในอุตสาหกรรมการเงิน รวมถึงการซื้อขายแลกเปลี่ยนและการทำธุรกรรม ทางการเงิน สามารถทำได้ผ่านระบบอินเทอร์เน็ตที่ใช้งานบนสมาร์ตโฟน สถาบันการเงินจึงเห็นความจำเป็นใน การพัฒนาระบบการซื้อขาย (Transaction) ควบคู่ไปกับระบบรักษาความมั่นคงปลอดภัย เพื่อให้ผู้ใช้งานเกิด ความมั่นใจ ส่งผลให้การทำธุรกิจดิจิทัลเติบโตในภาพรวม 132
พื้นฐานธุรกิจดิจิทัล 7.3 การทำธุรกรรมดิจิทัลอย่างปลอดภัย ความปลอดภัยในโลกดิจิทัล คือ การปกป้องความเป็นส่วนตัวบนโลกออนไลน์ให้พ้นจากการถูกมิจฉาชีพ ขโมยข้อมูลส่วนตัวไปใช้ประโยชน์ หรือทำให้เกิดความเสียหายแก่เจ้าของข้อมูล และยังหมายความรวมไปถึง การใช้เครื่องมือทางเทคโนโลยีเพื่อรักษาความปลอดภัยนี้ด้วย เช่น โปรแกรมกำจัดไวรัส การใช้ข้อมูลทาง เอกลักษณ์บุคคลเพื่อระบุตัวตน เช่น ลายนิ้วมือ เค้าโครงหน้า เป็นต้น การเกิดรอยเท้าดิจิทัลกับข้อมูลบุคคล การทำกิจกรรมใด ๆ ในรูปแบบดิจิทัล เช่น การส่งอีเมล การส่งภาพขึ้นโซเชียลมีเดีย การใช้โทรศัพท์ ตลอดจนการแสดงความคิดเห็นต่าง ๆ บนเว็บไซต์ จะมีร่องรอยข้อมูลและถูกจัดเก็บไว้ให้เหลือเป็นร่องรอยอยู่ บนอินเทอร์เน็ต ซึ่งเรียกว่า "รอยเท้าดิจิทัล" หรือ Digital Footprint ดังนั้นการทำกิจกรรม หรือธุรกรรมต่าง ๆ ในแบบดิจิทัลพึงต้องทำด้วยความระมัดระวัง และเหมาะสม เพราะข้อมูลต่าง ๆ เหล่านั้นอาจจะกลับมามีผล กับตัวเองในภายหลังได้ เช่น ประวัติการทำงานบกพร่อง หรือทำให้เสียชื่อเสียงได้ รอยเท้าดิจิทัล มี 2 ประเภท คือ 1. รองเท้าดิจิทัลที่จัดเก็บโดยผู้อื่น หรือ Passive Digital Footprint เป็นข้อมูลบุคคล ตนเองเป็นผู้กระทำ แต่มีหน่วยงาน/บริษัทนเป็นผู้จัดเก็บข้อมูลเบื้องหลังโดยที่บุคคลนั้นไม่รู้ตัว เช่น ข้อมูลการท่องเว็บ หมายเลขไอ พีที่ใช้งาน พฤติกรรมการซื้อของออนไลน์ เป็นต้น ข้อมูลที่ถูกจัดเก็บนี้ มักจะนำไปใช้ประโยชน์เพื่อการโฆษณา สินค้า จัดทำข้อมูลลูกค้า เป็นต้น การป้องกันข้อมูลบุคคลไม่ให้เกิดรอยเท้าดิจิทัลลักษณะนี้ทำได้โดยใช้พร็อกซี่ (Proxies) และการส่งข้อมูลที่เป็นเครือข่ายส่วนตัว (VPN) อย่างไรก็ตามรอยเท้าดิจิทัล ประเภทนี้ไม่น่าเป็นห่วง มากนัก เพราะมักจะไม่ส่งผลโดยตรง นอกจากจะมีโฆษณาสินค้าประเภทเดียวหรือใกล้เคียงกับที่เคยค้นหามา ปรากฎให้เห็น 2. รอยเท้าดิจิทัลมีชีวิต หรือ Active Digital Footprint เป็นข้อมูลบุคคลที่สามารถสืบหาร่องรอยได้ เป็นข้อมูลที่แชร์อยู่บนเว็บหรือโซเชียลมีเดียต่าง ๆ ทั้งที่ตนเองทำขึ้นหรือ เป็นการแสดงความคิดเห็นของบุคคล อื่นที่มีต่อบุคคลนั้น ๆ รอยเท้าดิจิทัลประเภทนี้มักจะมีผลโดยตรงกับบุคคลนั้น ๆ เพราะผู้ที่ต้องการทราบข้อมูล เกี่ยวกับบุคคลนั้น ๆ สามารถสืบค้นได้ไม่ยากนัก จึงเป็นรอยเท้าดิจิทัลที่มีความสำคัญต่อบุคคลเนื่องจาก สามารถส่งผลกระทบต่อชีวิต หน้าที่การงานของบุคคลนั้น ๆ ได้ 7.4 แนวคิดเกี่ยวกับความมั่นคงปลอดภัยสำหรับธุรกิจดิจิทัล 7.4.1 ความก้าวหน้าของเทคโนโลยีสารสนเทศและการสื่อสารเป็นตัวขับเคลื่อนให้ องค์กรทางธุรกิจประยุกต์ใช้โครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ 1. ประยุกต์ใช้เทคโนโลยีสารสนเทศ (IT) ในการพัฒนาแบบจำลองทางธุรกิจ (Business Model) เป็น แบบจำลองธุรกิจว่า ธุรกิจจะให้บริการหรือขายอะไร ขายให้ใคร ขายอย่างไร ขายที่ไหน ผลิตด้วยอะไร ใครมา 133
พื้นฐานธุรกิจดิจิทัล ช่วยผลิตและมีรายได้และค่าใช้จ่ายอย่างไร รวมถึงมีกำไรจากการให้บริการและสินค้าตัวไหนบ้างดังนั้นโมเดล ธุรกิจควรคิดก่อนการเริ่มธุรกิจแต่ใครที่ได้ทำธุรกิจไปแล้วก็ยังสามารถนำโมเดลธุรกิจ มาปรับปรุงโดย ปรับเปลี่ยนให้ดีขึ้น คิดให้เป็นภาพรวมมากขึ้น เครื่องมือที่จะคิดและสร้างโมเดลธุรกิจที่ดีและนิยมใช้กันอย่าง มากชื่อ Business Model Canvas (BMC) ซึ่งจะทำให้เข้าใจธุรกิจได้ตีมากขึ้น โดย Business Model Canvas (BMC) นี้เป็นแม่แบบ (Template) ที่ช่วยในการออกแบบโมเดลธุรกิจ รูปที่ 7.5 แบบจำลองทางธุรกิจ (ที่มา : www.bsc.dip.go.th) 2. ประยุกต์ใช้เทคโนโลยีสารสนเทศ (IT) ในกระบวนการทางธุรกิจ (Business Process) คือ กำหนดขั้นตอนในการประกอบธุรกิจ โดยเริ่มตั้งแต่การนำเงินมาลงทุนในกิจการเพื่อใช้จ่ายเป็นค่าเครื่องจักร วัสดุอุปกรณ์ วัตถุดิบ ค่าแรง ตลอดจนค่าใช้จ่ายในการบริหารงานด้านต่าง ๆ แล้วทำการจำหน่ายสินค้าหรือ บริการออกไปเพื่อให้ได้มาซึ่งรายรับแก่ธุรกิจ หลังจากนั้นจึงนำไปหักค่าใช้จ่ายเพื่อดูผลได้สุทธิว่ากำไรหรือ ขาดทุน แล้วจึงนำเงินนั้นมาใช้เพื่อดำเนินธุรกิจต่อไป รูปที่ 7.6 กระบวนการทางธุรกิจ (ที่มา : https://sites.google.com/site/krabwnkarthangthurkic) 134
พื้นฐานธุรกิจดิจิทัล 7.4.2 ความมั่นคงปลอดภัยของธุรกิจดิจิทัล ความมั่นคงปลอดภัยของธุรกิจดิจิทัลมีความหมายครอบคลุมประเด็นที่เกี่ยวข้องกับโครงสร้าง พื้นฐานเทคโนโลยีสารสนเทศที่ใช้ดำเนินธุรกิจ คือผู้บริหารต้องคำนึงถึงความสอดคล้องระหว่างการดำเนิน ธุรกิจ เทคโนโลยี และการตัดสินใจที่ต้องกระทำอย่างสอดคล้องกัน ปัจจุบันผู้บริหารต้องประยุกต์เทคโนโลยี สารสนเทศและการตัดสินใจทางธุรกิจขององค์กรอย่างมีประสิทธิภาพ เพื่อให้เกิดวิสัยทัศน์และสร้างโอกาสใน การประยุกต์ให้เกิดประโยชน์สูงสุดแก่องค์กร ผู้บริหารต้องสามารถจัดการกับเทคโนโลยีอย่างมีประสิทธิภาพ ซึ่งสามารถแบ่งเป็นขั้นตอนดังต่อไปนี้ 1. กำหนดกลยุทธ์องค์กรที่ให้ความสำคัญกับเทคโนโลยีสารสนเทศ 2. กำหนดแผนงานสารสนเทศระดับองค์กรและการดำเนินงาน กำหนดโครงสร้างหน่วยงาน 3. พัฒนาโครงสร้างพื้นฐานด้านสารสนเทศขององค์กร (Information System Infrastructure) เช่น อุปกรณ์ ชุดคำสั่ง ระบบสื่อสารและจัดการข้อมูล ระบบสำนักงานอัตโนมัติ เป็นต้น ซึ่งมีบทบาทสำคัญใน การกำหนดศักยภาพ และความยืดหยุ่นในการปรับตัวของงานสารสนเทศในองค์กร 4. กำหนดรายละเอียดการดำเนินงานภายในองค์กร พร้อมทั้งพัฒนาทรัพยากรบุคลให้มี ความพร้อมติอการประยุกต์เทคโนโลยีสารสนเทศ ให้เกิดประสิทธิภาพและประสิทธิผลสูงสุดแก่องค์กร 7.4.3 การรักษาความมั่นคงปลอดภัยของโครงสร้างพื้นฐาน การรักษาความมั่นคงปลอดภัยของโครงสร้างพื้นฐาน 1. ฮาร์ดแวร์โดยเลือกใช้เทคโนโลยีทางด้านฮาร์ดแวร์ที่สามารถควบคุมการเข้าถึง และ ป้องกันการทำงานผิดพลาดด้วยอุปกรณ์ภายในตัวเอง 2. ซอฟต์แวร์ โดยมีระดับวิธีการ 3 วิธี คือ (1) การควบคุมจากระบบภายในของซอฟต์แวร์ (Internal Program Control) คือ การ ที่โปรแกรมนั้นได้มีการควบคุมสิทธิการเข้าถึง และสิทธิในการใช้ข้อมูลภายในระบบ ซึ่งถูกจัดเก็บไว้ในระบบ ฐานข้อมูลภายในระบบเอง (2) การควบคุมความปลอดภัยโดยระบบปฏิบัติการ (Operating System Control) คือ การควบคุมสิทธิการเข้าถึงและการใช้ข้อมูลในส่วนต่าง ๆ ภายในระบบคอมพิวเตอร์ของผู้ใช้คนหนึ่งและ จำแนกแตกต่างจากผู้ใช้คนอื่น ๆ (3) การควบคุมและการออกแบบโปรแกรม (Development Control) คือ การควบคุม ตั้งแต่การออกแบบ การทดสอบก่อนการใช้งานจริง 3. โครงสร้างพื้นฐานระบบเครือข่าย การรักษาความปลอดภัยในระบบเครือข่ายมีวิธีการ กระทำได้หลายวิธี คือ (1) ระมัดระวังในการใช้งาน การติดไวรัสมักเกิดจากผู้ใช้ไปใช้อุปกรณ์บันทึกข้อมูล ร่วมกับผู้อื่นแล้วติดไวรัส หรืออาจติดไวรัสจากการดาวน์โหลดไฟล์มาจากอินเทอร์เน็ต (2) สำเนาข้อมูลอยู่เสมอ เป็นการป้องกันการสูญหายและถูกทำลายของข้อมูล 135
พื้นฐานธุรกิจดิจิทัล (3) ติดตั้งโปรแกรมตรวจสอบและกำจัดไวรัส วิธีการนี้สามารตรวจสอบ และป้องกัน ไวรัสคอมพิวเตอร์ได้ระดับหนึ่งแต่ไม่ใช่เป็นการป้องกันได้ทั้งหมด เพราะว่าไวรัสคอมพิวเตอร์ได้มีการพัฒนาอยู่ ตลอดเวลา (4) การติดตั้งไฟร์วอลล์ (Firewall) ไฟร์วอลล์จะทำหน้าที่ป้องกันบุคคลอื่นบุกรุกเข้ามา เจาะเครือข่ายในองค์กรเพื่อขโมยหรือทำลายข้อมูล ทำหน้าที่ป้องกันข้อมูลของเครือข่าย โดยการควบคุมและ ตรวจสอบการรับส่งข้อมูลระหว่างเครือข่ายภายในกับเครือข่ายอินเทอร์เน็ต (5) การใช้รหัสผ่าน ( Username & Password) การใช้รหัสผ่านเป็นระบบรักษาความ ปลอดภัยขั้นแรกที่ใช้กันมากที่สุด เมื่อมีการติดตั้งระบบเครือข่ายจะต้องมีการกำหนดบัญชีผู้ใช้และรหัสผ่าน หากเป็นผู้อื่นที่ไม่ทราบรหัสผ่านก็ไม่สามารถข้าไปใช้เครือข่ายได้หากเป็นระบบที่ต้องการความปลอดภัยสูงก็ ควรมีการเปลี่ยนรหัสผ่านบ่อย ๆ เป็นระยะ ๆ อย่างต่อเนื่อง 4. ระบบบริหารจัดการ เป็นกำหนดทิศทางในการใช้ทรัพยากรทั้งหลายอย่างมีประสิทธิภาพ และประสิทธิผลเพื่อให้บรรลุถึงเป้าหมายขององค์กร การใช้ทรัพยากรอย่างมีประสิทธิภาพ (Efficient) หมายถึง การใช้ทรัพยากรได้อย่างเฉลี่ยวฉลาดและคุ้มค่า (Cost-Effective) การใช้ทรัพยากรอย่างมี ประสิทธิผล (Effective) หมายถึง การตัดสินใจได้อย่างถูกต้อง (Right Decision) และมีการปฏิบัติการสำเร็จ ตามแผนที่กำหนดไว้ ดังนั้นผลสำเร็จของการบริหารจัดการจึงจำเป็นต้องมีทั้งประสิทธิภาพและประสิทธิผล ควบคู่กัน 5. แบบจำลองและกระบวนการทางธุรกิจ แบบจำลองทางธุรกิจเป็นกลไกในการขับเคลื่อน กระบวนการในการจัดการอย่างมีกลยุทธ์เพื่อนำพาองค์กรให้ประสบความสำเร็จและมีผลประกอบการที่ดีได้ ในส่วนของกระบวนการทางธุรกิจทำให้มีมาตรฐานของกระบวนการ/วิธีการ บอกว่ามีความต้องการทางธุรกิจ อย่างไร (Business Requirement) และเมื่อต้องการพัฒนากระบวนการทำงานทางธุรกิจ จะสามารถนำระบบ IT พัฒนาซอฟต์แวร์หรือระบบให้สอดคล้องกับกระบวนการทำงานนั้นช่วยลดค่าใช้จ่ายในการดำเนินงาน เพิ่ม คุณภาพ และลดการผิดพลาดของกระบวนการ 6. ผู้ใช้งาน (ผู้ดูแลระบบ/ผู้ใช้งาน/เจ้าของธุรกิจ) เป็นบทบาทหนึ่งของการจัดการบุคลากร ในองค์กร ซึ่งการฝึกอบรมและพัฒนาจะเกี่ยวข้องกับคนที่ทำงานในองค์กร เพื่อเพิ่มศักยภาพให้ทำงานได้ ทำงานเป็น ทำงานอย่างมีประสิทธิภาพมากขึ้น และทำงานได้สอดคล้องกับการเปลี่ยนแปลงของปัจจัยต่าง ๆ ในการบริหารองค์กร 7.4.4 หลักการความมั่นคงปลอดภัย 1. การรักษาความลับ (Confidentiality) การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษา ความมั่นคงปลอดภัยของสารสนเทศ หลักการสำคัญของการรักษาความลับคือ ผู้ที่มีสิทธิหรือได้รับอนุญาต เท่านั้นที่สามารถเข้าถึงข้อมูลได้ ภาคธุรกิจให้ความสำคัญกับการรักษาความลับ ทางธุรกิจประชาชนทั่วไปก็ ต้องการปกป้องข้อมูลส่วนตัวตามสิทธิขั้นพื้นฐานเช่นเดียวกัน ระบบรักษาความมั่นคงปลอดภัยของสารสนเทศ 136
พื้นฐานธุรกิจดิจิทัล ที่มีประสิทธิภาพ ต้องมีมาตรการตรวจสอบสิทธิก่อนเข้าถึง เพื่อยืนยันให้แน่ใจก่อนว่าผู้ที่ร้องขอนั้นมีสิทธิหรือ ได้รับอนุญาตให้เข้าถึงสารสนเทศ หรือระบบงานนั้นได้ กลไกพื้นฐานที่คุ้นเคยกันเป็นอย่างดี คือ การใช้ รหัสผ่าน (Password) ในการพิสูจน์ตัวนและสิทธิที่ได้รับอนุญาต นอกจากมาตรการตรวจสอบสิทธิแล้วการ กำหนดชั้นความลับเป็นระดับต่าง ๆ ตามความสำคัญช่วยให้การบริการจัดการมีประสิทธิภาพมากขึ้น ในบาง หน่วยงานกำหนดชั้นความลับของสารสนเทศออกเป็น 4 ระดับ ประกอบด้วยระดับชั้นความลับสุดยอด (Top Secret) ระดับชั้นความลับ (Secret) ระดับชั้นข้อมูลสำหรับใช้ภายในองค์กร(Internal Use) และระดับชั้น สาธารณะ (Public) ชั้นความลับนี้จะต้องมีเกณฑ์พิจารณาที่ชัดเจนว่าใดอยู่ในชั้นความลับที่กำหนด พร้อมทั้ง กำหนดแนวทางการระบุชั้นความลับ การจัดเก็บ และการสื่อสารข้อมูลสารสนเทศในแต่ละชั้นความลับอย่าง ชัดเจนมาตรการทางเทคนิคที่ใช้ในการปกป้องความลับ เช่น การเข้ารหัส (Encryption) อาจถูกนำมาใช้เสริม ความแข็งแกร่งให้กับมาตรการปกป้องสารสนเทศที่ต้องการมาตรการดูแลอย่างเข้มงวด 2. การรักษาความครบถ้วนสมบูรณ์ (Integrity) การสร้างความน่าเชื่อถือ "ความซื่อสัตย์ ต่อตนเองและผู้อื่น" หรือ "พูดอะไรก็ทำในสิ่งที่ได้เคยพูดไว้" จะทำให้เกิดความน่าเชื่อถือและได้รับการยอมรับ และความเชื่อถือจากคนอื่น ซึ่งทำให้คนอื่นพร้อมที่จะปฏิบัติตามในฐานะที่เป็นผู้นำ การที่จะเป็นผู้นำที่ดี จะต้องย้ำเตือนและมีสติเสมอว่า เคยพูดอะไรไป เคยสัญญาอะไรไว้ และสิ่งที่กำลังจะทำต่อไปนั้นจะมี ผลกระทบต่อคนอื่นในแง่อื่นบ้างหรือไม่เพื่อไม่ให้เกิดปัญหา มิฉะนั้นแล้วลูกน้องจะไม่ให้ความเชื่อถือในฐาน ความเป็นผู้นำอีกต่อไป 3. การรักษาความพร้อมใช้ (Availability) ความสามารถในการใช้ข้อมูลหรือทรัพยากร เมื่อต้องการสารสนเทศจะถูกเข้าถึงหรือเรียกใช้งานได้อย่างราบรื่น โดยผู้ใช้หรือระบบอื่นที่ได้รับอนุญาตเท่านั้น หากเป็นผู้ใช้หรือระบบที่ไม่ได้รับอนุญาต การเข้าถึงหรือเรียกใช้งานจะถูกขัดขวางและล้มเหลว ในที่สุด ความ พร้อมใช้งานจัดเป็นส่วนหนึ่งของความมั่นคง ความนำเชื่อถือ (Reliability) ของระบบ ระบบอาจถูกโจมตีโดยผู้ ไม่ประสงค์ดีที่พยายามทำให้ระบบไม่สามารถใช้งานได้ แนวทางการป้องกัน เช่น การทำโหลดบาลาน ซ์ซิง (Load Balancing) เพื่อกระจายงานให้กับเครื่องแม่ข่ายหลายเครื่อง หรือการทำระบบสำรอง (Backup System) เพื่อให้สามารถกู้คืนข้อมูลได้หากข้อมูลเสียหาย หากข้อมูลหรือสารสนเทศขาดคุณสมบัติด้านใดด้านหนึ่งหรือหลายด้านจากทั้ง 3 คุณสมบัติได้แก่ ความลับ ความคงสภาพ และความพร้อมใช้ จะถือว่าข้อมูลหรือสารสนเทศนั้นไม่มีความ ปลอดภัย 4. การพิสูจน์ตัวจริง (Authentication) เป็นวิธีการที่ใช้ในการตรวจสอบผู้ที่มาใช้งาน ระบบเครือข่ายอินเทอร์เน็ต โดยระบบจะทำการตรวจสอบจาก Username และ Password ว่าถูกต้องหรือไม่ จุดประสงค์หลักของการพิสูจน์ตัวจริง คือ พิสูจน์ตัวบุคคลว่าคน ๆ นั้นที่เข้าใช้งานระบบเครือข่ายอินเทอร์เน็ต คือใคร พร้อมทั้งทำการตรวจสอบสิทธิ์ว่าผู้ใช้งานระบบเครือข่ายอินเทอร์เน็ตของท่านนั้นมีสิทธิ์ใช้ได้นานเท่าไร และสามารถอัปโหลด (Upload) หรือ ดาวน์โหลด (Download) ได้ด้วยความเร็วเท่าไหร่ ซึ่งระบบนั้น จะทำ 137
พื้นฐานธุรกิจดิจิทัล การตัดผู้ใช้ออกไปจากการให้บริการทันทีที่เวลาหมด อีกทั้งยังสามารถกำหนดเวลาและความเร็วได้ตามความ เหมาะสมด้วย ต่อจากนั้นจะทำการบันทึกข้อมูลการใช้งานระบบเครือข่ายอินเทอร์เน็ต ซึ่งจุดประสงค์หลักของ ขบวนการนี้เพื่อทำรายงานการใช้ระบบเครือข่ายอินเทอร์เน็ต จะทำการยืนยันบันทึกข้อมูลในการใช้งานระบบ เครือข่ายอินเทอร์เน็ตไว้อย่างละเอียดโดยสามารถทำรายงานสรุปและสถิติต่าง ๆ ได้ตามความต้องการ การพิสูจน์ตัวตน (Authentication) ในทางปฏิบัติจะแบ่งออกเป็น 2 ขั้นตอน คือ (1) การระบุตัวตน (เdentification) คือ ขั้นตอนที่ผู้ใช้แสดงหลักฐานว่าตนเองคือใคร เช่น ชื่อผู้ใช้ (Username) (2) การพิสูจน์ตัวตน (Authentication) คือ ขั้นตอนที่ตรวจสอบหลักฐานเพื่อแสดงว่า เป็นบุคคลที่กล่าวอ้างจริง 5. การกำหนดสิทธิ์ (Authorization) คือ การตรวจสอบสิทธิ เช่น ตรวจสอบสิทธิว่าสามารถ เข้าถึงระบบงานใดได้บ้าง เข้าถึงข้อมูลใดได้บ้าง และอาจหมายความรวมถึงตรวจสอบสิทธิ์การเข้าถึงพื้นที่ทาง กายภาพด้วย ตัวอย่างการใช้งาน เช่น ถ้า Login เข้าเว็บบอร์ดด้วย Account ระดับ Admin สามารถเข้าไป แก้ไขข้อมูลในเว็บไซต์ได้ ขั้นตอนการกำหนดสิทธิให้บัญชีที่ Login เข้ามาด้วยระดับ Admin สามารถแก้ไข ข้อมูลได้ หรือในงานคอนเสิร์ตผู้ที่มีป้ายคล้องคอผู้สื่อข่าวเท่านั้นจึงจะมีสิทธิเข้าไปที่บริเวณหลังเวทีได้ขั้นตอน การอนุญาตให้ผู้ที่คล้องบัตรผู้สื่อข่าวเข้าถึงพื้นที่หลังเวทีได้ 7.5 แนวทางการบริหารจัดการความมั่นคงปลอดภัยในธุรกิจดิจิทัล 7.5.1 การวิเคราะห์ความเสี่ยงและภัยคุกคาม การวิเคราะห์ความเสี่ยงเป็นกระบวนการแรกในวิธีการบริหารจัดการความเสี่ยง องค์กรทั้งหลาย มักใช้การประเมินความเสี่ยงในการตรวจสอบขอบเขตของความเสี่ยง และภัยคุกคามที่สัมพันธ์กับระบบ สารสนเทศรวมไปถึงช่วงชีวิตของการพัฒนาระบบ (System Development Life Cycle : SDLC) ผลที่ได้จาก กระบวนการนี้ช่วยให้สามารถหาวิธีการควบคุมที่เหมาะสมสำหรับการลด หรือกำจัดความเสี่ยงที่เกิดขึ้น ความเสี่ยงเป็นฟังก์ชันของโอกาสที่จะเกิดเหตุการณ์ใด ๆ ซึ่งก่อให้เกิดภัยคุกคามในระบบที่มีความอ่อนแอใน การปกป้อง กับความรุนแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคามนั้น ในการตรวจสอบโอกาส ในการเกิด เหตุการณ์หรือภัยคุกคามหนึ่ง ๆ ในอนาคตที่มีต่อระบบข้อมูลขององค์กรนั้น จะต้องวิเคราะห์จากความอ่อนแอ และวิธีการควบคุมของระบบ ในขณะที่ผลกระทบที่เกิดขึ้นจะพิจารณาที่ความรุนแรง 7.5.2 การกำหนดและบังคับนโยบายด้านการรักษาความมั่นคงปลอดภัย การกำหนดและบังคับนโยบายด้านการรักษาความมั่นคงปลอดภัย เพื่อให้มีการกำหนดกรอบ การบริหารและจัดการความมั่นคงปลอดภัยสำหรับสารสนเทศของสำนักงาน หรือหน่วยงาน ตั้งแต่การเริ่มต้น และการควบคุมการปฏิบัติงานเพื่อให้มีความมั่นคงปลอดภัย ต้องมีการกำหนดระเบียบ ข้อบังคับ กฎเกณฑ์ ต่าง ๆ เกี่ยวกับการดำเนินงานและการเข้าถึงข้อมูล เพื่อให้งานโครงการมีความมั่นคงปลอดภัย เช่น การกำหนด สิทธิในการเข้าถึงข้อมูลของผู้ใช้งาน 138
พื้นฐานธุรกิจดิจิทัล 7.5.3 การบริหารจัดการความมั่นคงปลอดภัย การบริหารจัดการความมั่นคงปลอดภัย คือ ระบบหรือกระบวนการที่ใช้ในการบริหารจัดการ สารสนเทศที่มีความสำคัญขององค์กรให้มีความมั่นคงปลอดภัยตามหลัก C I A ประกอบด้วย ความลับ (Confidentiality) ความสมบูรณ์ (Integrity) ความพร้อมใช้ (Availability) ดำเนินการตามวงจร P (Plan หรือ การวางแผน) D (Do หรือ การประยุกต์ใช้หรือการดำเนินการ) C (Check หรือ การตรวจสอบ) A (Action หรือ การบำรุงรักษาหรือการปรับปรุง) โดยเริ่มจากทำการออกแบบระบบบริหารจัดการ ซึ่งหมายถึงกระบวนการ ที่เปรียบเสมือนเป็นเครื่องมือในการรักษาความมั่นคงปลอดภัย แต่ไม่ได้หมายรวมเพียงแค่การนำระบบ เทคโนโลยีสารสนเทศมาสนับสนุนเท่านั้น ยังหมายรวมถึงการพัฒนาขั้นตอนปฏิบัติหรือการนำขั้นตอนปฏิบัติที่ มีอยู่เดิมมาปรับปรุงเพื่อให้เกิดกระบวนการป้องกันและรักษาความมั่นคงปลอดภัยของสารสนเทศที่ใช้ในการ ดำเนินธุรกิจขององค์กรอย่างเหมาะสม 7.5.4 การวางแผนดำรงความต่อเนื่องของการให้บริการ การวางแผนดำรงความต่อเนื่องของการให้บริการเป็นการกำหนดแนวทางในการตอบสนองต่อ การหยุดชะงักของการดำเนินงานขององค์กร ได้แก่ กลยุทธ์กู้คืนการดำเนินงาน (Recovery Strategy) และ การกำหนดกลยุทธ์ด้านการจัดการทรัพยากรที่เหมาะสม ซึ่งประกอบด้วยเรื่อง บุคลากร สถานที่ปฏิบัติงาน อุปกรณ์และเครื่องมือ เทคโนโลยีข้อมูลและผู้ผลิต สินค้าหรือผู้ให้บริการ 7.5.5 การกำหนดและใช้งานแผนเผชิญสถานการณ์วิกฤต สภาวะวิกฤตหรือเหตุการณ์ฉุกเฉินต่าง ๆ หากเกิดขึ้นอาจส่งผลกระทบให้หน่วยงานไม่สามารถ ดำเนินงานหรือให้บริการได้ตามปกติ ดังนั้นจึงเป็นความจำเป็นที่หน่วยงานต้องจัดทำแผนความต่อเนื่อง (Business Continuity Plan-BCP) เพื่อเตรียมพร้อมรับภัย ซึ่งการเตรียความพร้อมจะให้ความสำคัญใน กระบวนการเตรียมความพร้อมของทรัพยากรและความรู้ความเข้าใจในบทบาทความรับผิดชอบของเจ้าหน้าที่ ที่เกี่ยวข้อง ซึ่งวัตถุประสงค์ (Objectives) ของการจัดทำแผนความต่อเนื่องมีดังนี้ 1. เพื่อใช้เป็นแนวทางในการบริหารความต่อเนื่องของการปฏิบัติงานในสภาวะวิกฤต 2. เพื่อให้หน่วยงานมีการเตรียมความพร้อมล่วงหน้าในการรับมือกับสภาวะวิกฤตหรือ เหตุการณ์ฉุกเฉินต่าง ๆ ที่อาจเกิดขึ้น 3. เพื่อลดผลกระทบจากการหยุดชะงักในการดำเนินงาน เช่น ผลกระทบด้านเศรษฐกิจ การะเงิน การให้บริการสังคม ชุมชนและสิ่งแวดล้อม ตลอดจนชีวิตและทรัพย์สินของประชาชน 4. เพื่อบรรเทาความเสียหายให้อยู่ในระดับที่ยอมรับได้ 139
พื้นฐานธุรกิจดิจิทัล 7.5.6 การควบคุมและประเมินมาตรการรักษาความมั่นคงปลอดภัย การควบคุมและประเมินมาตรการรักษาความมั่นคงปลอดภัยเป็นการกำหนดมาตรการควบคุม การปฏิบัติหน้าที่ด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ สำหรับส่วนงานต่าง ๆ ภายใน องค์กร ให้เป็นไปตามนโยบายด้านการรักษาความมั่นคงปลอดภัยของระบบสารสนเทศ และให้พนักงานและผู้ ให้บริการภายนอกที่ปฏิบัติงานภายในองค์กรมีความตระหนักรู้และปฏิบัติงาน โดยคำนึงถึงการรักษาความ มั่นคงปลอดภัยของระบบสารสนเทศ สรุปสาระสำคัญ ในยุคของดิจิทัล หน่วยงานหรือองค์กรต่าง ๆ ต้องใช้เทคโนโลยีดิจิทัลมาดำเนินกิจกรรมต่าง ๆ ภายใน องค์กรอย่างมากมายโดยเฉพาะธุรกิจออนไลน์ รวมทั้งอุตสาหกรรมขนาดใหญ่ในการส่งเสริมความมั่นคงของ องค์กร ไม่ว่าจะเป็นการบริหารองค์กร การส่งเสริมการตลาด หรือการคิดต่อประสานกับลูกค้า ซึ่งในโลกดิจิทัล นี้อาจจะถูกภัยคุกคามต่าง ๆ เกิดขึ้นได้ตลอดเวลา ซึ่งย่อมส่งผลต่อความมั่นคงขององค์กรอย่างมากมาย ดังนั้นระบบความปลอดภัยในการใช้เทคโนโลยีดิจิทัลจึงมีความจำเป็นอย่างมากที่องค์กรต้องตระหนักรู้วิธี ป้องกันและหลีกเลี่ยงเพราะในโลกดิจิทัลนั้นแฝงไปด้วยภัยอันตรายต่าง ๆ ที่อาจทำให้องค์กรได้รับความ เสียหาย เช่น การถูกแฮกบัญชี การถูกโจรกรรมข้อมูลสำคัญ ๆ การถูกขโมยรหัสผ่าน การถูกละเมิดทรัพย์สิน ทางปัญญา การติดไวรัส ทำให้ธุรกิจล้มหรือต้องปิดตัวไป แต่ระบบความปลอดภัยในยุคดิจิทัลจะทำให้องค์กร สร้างระบบความปลอดภัยที่เข้มแข็ง ป้องกันข้อมูลจากการโจรกรรม ซึ่งเป็นส่วนสำคัญที่จะทำให้องค์กรนั้น ปลอดภัยจากภัยต่าง ๆ ในยุคดิจิทัล 140
ความมั่นคงปลอดภัยในการทำธุรกรรมดิจิทัล ตอนที่ 1 จงทำเครื่องหมาย ( X ) หน้าข้อที่ผิด และทำเครื่องหมาย ( √ ) หน้าข้อที่ถูก (10 คะแนน) 1. ภัยคุกคาม หมายถึง ชุดของเหตุการณ์ที่เกิดขึ้นแล้วจะส่งผลต่อความมั่นคงปลอดภัยของ ทรัพยากรสารสนเทศ 2. ภัยคุกคามที่เกิดจากความผิดพลาดของมนุษย์เป็นการละเมิดกฎด้านจริยธรรมองค์กรและ ทรัพย์สินทางปัญญา 3. การกำหนดสิทธิ์ในการเข้าถึงข้อมูลที่สำคัญหรือข้อมูลความลับ เป็นภัยคุกคามที่เกิดขึ้นจาก การละเมิดสิทธิทางปัญญาขององค์กร 4. ภัยคุกคามที่เป็นผลจากการโจมตีของซอฟต์แวร์ประสงค์ร้าย คือ มัลแวร์ หรือไวรัสคอมพิวเตอร์ 5. รูตคิต (Rootkit) เป็นมัลแวร์ที่สามารถหลบการตรวจจับของอุปกรณ์รักษาความปลอดภัยได้ดี 6. การติดตั้งไฟร์วอลล์ ทำหน้าที่กำจัดไวรัสคอมพิวเตอร์ทุกชนิด 7. การรักษาความลับให้กับข้อมูลเป็นองค์ประกอบสำคัญของการรักษาความมั่นคงปลอดภัยของ สารสนเทศ 8. การพิสูจน์ตัวจริง เป็นการรักษาความพร้อมใช้ของผู้ใช้ที่ระบบกำหนด 9. ความมั่นคงปลอดภัยตามหลัก C 1 A ประกอบด้วย ความลับ ความสมบูรณ์ ความปลอดภัย 10. ไวรัสแอดแวร์ (Adware) จะทำให้มีป๊อปอัพโฆษณาสินค้าหรือบริการต่าง ๆ ขึ้นมาแสดง เมื่อมีการใช้งาน ตอนที่2 จงตอบคำถามต่อไปนี้ให้ถูกต้อง 1. ภัยคุกคาม คืออะไร .............................................................................................................................................................................. .............................................................................................................................................................................. 2. อะไรบ้างที่เป็นภัยคุกคามทางความมั่นคงในการทำธุรกิจดิจิทัล .............................................................................................................................................................................. .............................................................................................................................................................................. 3. ภัยคุกคามที่เป็นผลจากการโจมตีของซอฟต์แวร์ประสงค์ร้าย หมายความว่าอย่างไร .............................................................................................................................................................................. .............................................................................................................................................................................. 4. ภัยคุกคามที่เกิดจากความผิดพลาดของมนุษย์ หมายความว่าอย่างไร .............................................................................................................................................................................. .............................................................................................................................................................................. แบบฝึกหัดหน่วยที่ 7
พื้นฐานธุรกิจดิจิทัล 5. มัลแวร์เป็นภัยคุกคามแบบใด และได้แก่อะไรบ้าง .............................................................................................................................................................................. .............................................................................................................................................................................. 6. ภัยคุกคามที่เกิดขึ้นจากความผิดพลาดของอุปกรณ์ฮาร์ดแวร์ ส่งผลเสียอย่างไรบ้าง .............................................................................................................................................................................. .............................................................................................................................................................................. 7. การรักษาความมั่นคงปลอดภัยของโครงสร้างพื้นฐาน หมายถึงอะไร .............................................................................................................................................................................. .............................................................................................................................................................................. 8. การบริหารความมั่นคงปลอดภัยตามหลัก C I A ประกอบด้วยอะไรบ้าง .............................................................................................................................................................................. .............................................................................................................................................................................. 9. รอยเท้าดิจิทัล หมายถึงอะไร และแบ่งได้กี่ประเภท อะไรบ้าง .............................................................................................................................................................................. .............................................................................................................................................................................. 10. ภัยคุกคามที่เกิดขึ้นจากการละเมิดสิทธิทางปัญญาขององค์กร มีผลเสียอย่างไรบ้าง .............................................................................................................................................................................. .............................................................................................................................................................................. 142
ความมั่นคงปลอดภัยในการทำธุรกรรมดิจิทัล คำสั่ง เลือกคำตอบที่ถูกต้องที่สุดเพียงคำตอบเดียวแล้วทำเครื่องหมาย (X) ลงในกระดาษ 1. ข้อใดไม่ใช่ภัยคุกคามในการทำธุรกิจดิจิทัล ก. ภัยคุกคามที่เกิดขึ้นจากการละเมิดสิทธิทางปัญญาขององค์กร ข. ภัยคุกคามที่เป็นผลจากการโจมตีของซอฟต์แวร์ประสงค์ร้าย ค. ภัยคุกคามที่เกิดจากความผิดพลาดของมนุษย์ ง. ภัยคุกคามจากการรู้เท่าไม่ถึงการณ์ จ. ภัยคุกคามที่เกิดจากภัยธรรมชาติ 2. ข้อใดไม่อยู่ในกลุ่มภัยคุกคามที่เป็นผลจากการโจมตีของซอฟต์แวร์ประสงค์ร้าย ก. ม้าโทรจัน ข. สปายแวร์ ค. แบคทีเรีย ง. แอดแวร์ จ. รูตคิต 3. ความมั่นคงตามหลัก C I A ตัว C เป็นตัวย่อมาจากคำว่าอะไร ก. Conference ข. Correction ค. Concept ง. Comfortability จ. Confidentiality 4. ระบบความปลอดภัยทางไชเบอร์มีชื่อที่เป็นภาษาอังกฤษว่าอย่างไร ก. Cyber Secretary ข. Cyber Steadfastness ค. Cyber Stoutness ง. Cyber Security จ. Cyber Surely 5. การพิสูจน์ตัวตนคืออะไร ก. ขั้นตอนที่ใช้ในการเก็บหลักฐานของผู้ใช้ว่าเป็นใคร ข. ขั้นตอนตรวจสอบหลักฐานเพื่อแสดงว่าเป็นบุคคลที่อ้างจริง ค. ขั้นตอนที่ใช้วัดระดับของตัวบุคคล ง. ขั้นตอนที่ใช้กำหนดสิทธิ จ. ขั้นตอนที่ใช้พิสูจน์ตัวตน แบบทดสอบหลังเรียนหน่วยที่ 7
พื้นฐานธุรกิจดิจิทัล 6. ข้อใดไม่ถูกต้องเกี่ยวกับการเกิดรอยเท้าดิจิทัล ก. การส่งอีเมล ข. การใช้โทรศัพท์มือถือ ค. การส่งภาพขึ้นโซเชียลมีเดีย ง. การใช้เครื่องรับสัญญาณโทรทัศน์ จ. การแสดงความคิดเห็นต่าง ๆ บนเว็บไซต์ 7. "สิทธิในการเข้าถึงข้อมูลในองค์กร" ข้อความนี้ตรงกับกรอบความคิดเรื่องจริยธรรมในข้อใด ก. ความถูกต้อง ข. การเข้าใช้ข้อมูล ค. ความเป็นส่วนตัว ง. ความเป็นเจ้าของ จ. การเข้าถึงข้อมูล 8. วัตถุประสงค์ของการจัดทำแผนความต่อเนื่องมีอะไรบ้าง ก. เพื่อใช้เป็นแนวทางในการบริหารความต่อเนื่องของการปฏิบัติงานในสภาวะวิกฤต ข. เพื่อให้หน่วยงานมีการเตรียความพร้อมล่วงหน้าในการรับมือกับสภาวะวิกฤต ค. เพื่อลดผลกระทบจากการหยุดชะงักในการดำเนินงาน ง. เพื่อบรรเทาความเสียหายให้อยู่ในระดับที่ยอมรับได้ จ. ถูกทุกข้อ 9. ข้อใดคือแนวทางการรักษาความปลอดภัยของข้อมูล ก. การรับส่งข้อมูลสำคัญผ่านเครือข่ายสาธารณะ บริษัทไม่ต้องทำการเข้ารหัสข้อมูล ข. ทำการจัดรูปแบบข้อมูลตามระดับชันความลับและความสำคัญ ค. กำหนดสิทธิ์ในการเข้าถึงข้อมูลที่สำคัญหรือข้อมูลความลับ ง. เพื่อป้องกันการเปลี่ยนแปลงข้อมูลโดยผู้ที่มีสิทธิ จ. การจัดเก็บข้อมูลทั่วไป 10. ข้อใดกล่าวถูกต้องเกี่ยวกับขั้นตอนการจัดการกับเทคโนโลยีอย่างมีประสิทธิภาพ ก. กำหนดโครงสร้างระบบคอมพิวเตอร์ ข. กำหนดกลยุทธ์องค์กรที่ให้ความสำคัญกับการสื่อสาร ค. พัฒนาโครงสร้างพิเศษด้านสารสนเทศขององค์กร ง. กำหนดรายละเอียดการดำเนินงานภายในองค์กร จ. พัฒนาทรัพยากรคอมพิวเตอร์ให้มีความพร้อม 144