มาตรการที่ 1 : มาตรการรักษาความปลอดภัยทางกายภาพ
มาตรการป้องกันโดยการจัดเตรียมสถานที่และอุปกรณ์เพื่อตั้งรับการแทรกแซงทางกายภาพ
(การขโมยหรือการสูญหายของข้อมูล)
[ ตัวอย่างมาตรการป้องกัน ]
- การจัดการควบคุมการเข้าออกสถานที่, การตรวจพิสูจน์บุคคล (biometrics), การติดตั้งกล้องวงจรปิด
- วางเซิร์ฟเวอร์หรืออุปกรณ์เน็ตเวิร์คไว้ที่ห้องเซิร์ฟเวอร์ที่มีการล็อกกุญแจเอาไว้
- ฮาร์ดดิสก์ของคอมพิวเตอร์หรือ USB memory ที่จะนำออกไปจากบริษัทจะต้องได้รับการเข้ารหัสไว้
มาตรการที่ 2 : มาตรการรักษาความปลอดภัยระบบเน็ตเวิร์ค
มาตรการสำหรับไฟร์วอล (Firewall Management) ซึ่งมีหน้าที่สกัดกั้นการเชื่อมต่อระหว่างระบบภายในองค์กรและระบบภายนอกองค์กร ยับยั้งการเข้าถึงระบบภายในองค์กร และจัดการดูแลการเข้าถึงของผู้ใช้งาน (User)
[ ตัวอย่างมาตรการป้องกัน ]
- ติดตั้งไฟร์วอล (Firewall) ตรงจุดที่มีการเชื่อมต่อกับระบบเน็ตเวิร์คภายนอก
- ตั้งโครงสร้างทีมที่จะทำให้สามารถเปลี่ยนการตั้งค่า หรืออัพเดตโปรแกรมเวอร์ชันแก้ไขได้อย่างรวดเร็วทันท่วงทีเพื่อให้สามารถรับมือกับการคุกคามรูปแบบใหม่ได้
- เปิดใช้ฟังก์ชันที่มีในไฟร์วอล (Firewall)
✓ Web filtering (ไม่อนุญาตให้เข้าถึงเว็บไซต์ที่น่าสงสัย)
✓ DS (ระบบตรวจจับการบุกรุก)
✓ IPS (ระบบยับยั้งการบุกรุก)
มาตรการที่ 3 : มาตรการป้องกันอุปกรณ์ปลายทาง
มาตรการป้องกันอุปกรณ์ปลายทางทางด้านไอที (Endpoint) เพื่อระงับการรั่วไหลของข้อมูลที่เกิดจากการบุกรุก
ของมัลแวร์ ,การเข้าถึงแบบไม่ถูกต้อง หรือการโจมตีทางไซเบอร์
◆ ตัวอย่างของอุปกรณ์ปลายทาง
- คอมพิวเตอร์ตั้งโต๊ะ
- คอมพิวเตอร์โน้ตบุ๊ค
- อุปกรณ์เคลื่อนที่ เช่น สมาร์ตโฟน แท็ปเล็ต
- อุปกรณ์สวมใส่ เช่น สมาร์ตวอร์ช หรืออุปกรณ์ทางการแพทย์ที่ใช้เก็บข้อมูลแบบเรียลไทม์
- อุปกรณ์ต่อพ่วงของระบบเน็ตเวิร์ค เช่น เครื่องปริ้นท์, เครื่องสแกน, เครื่องถ่ายเอกสาร
- เวิร์กสเตชันและเซิร์ฟเวอร์
- เราเตอร์และสวิตซ์
- อุปกรณ์ที่เชื่อมโยงข้อมูลถึงกันได้ด้วยอินเทอร์เน็ต (IoT device) เช่น สมาร์ตเซนเซอร์และสมาร์ตแมชชีนอื่นๆ
[ ตัวอย่างมาตรการป้องกัน ]
- ติดตั้งทูลสำหรับป้องกันบนคอมพิวเตอร์
✓ ซอฟต์แวร์ป้องกันมัลแวร์แบบแพทเทิร์นแมชชิ่ง (pattern matching)
✓ ซอฟต์แวร์ป้องกันมัลแวร์แบบวิธีทางพฤติกรรม (behavior method)
✓ EDR (ตรวจสอบ log การใช้งานที่น่าสงสัย)
✓ DLP (การมอนิเตอริงข้อมูล, การป้องกันการรั่วไหลของข้อมูล)
✓ ควบคุมอุปกรณ์ USB ฯลฯ
มาตรการที่ 4 : มาตรการรักษาความปลอดภัยบนแอปพลิเคชัน
มาตรการด้านความปลอดภัยในระดับแอปพลิเคชันซึ่งมีไว้สำหรับป้องกันการถูกโจรกรรมข้อมูลภายในแอปพลิเคชัน, การถูกแอบฝังโค้ด หรือการโดนบุกเข้ายึดแอปพลิเคชัน
[ ตัวอย่างมาตรการป้องกัน ]
- เก็บรวบรวมข้อมูลช่องโหว่ที่มีความทันสมัยเกี่ยวกับแอปพลิเคชันที่ใช้งาน
- ดำเนินการจัดการช่องโหว่อย่างว่องไว, การทำการอัพเดตด้านความปลอดภัยให้ทันสมัย
✓ ตรวจสอบขั้นตอนการอัพเดตก่อนทำการอัพเดต
✓ เตรียมขั้นตอนการทดสอบแอปพลิเคชันหลังอัพเดต
มาตรการที่ 5 : มาตรการรักษาความปลอดภัยของข้อมูล
มาตรการเพื่อรักษาความปลอดภัยของ PC หรือเซิร์ฟเวอร์ต่างๆ ที่ทำการเก็บรักษาข้อมูลขององค์กรเอาไว้ภายใน และเพื่อป้องกันการเข้าถึงแบบไม่ถูกต้อง, ความเสียหายของข้อมูล, การโจรกรรม ฯลฯ
[ ตัวอย่างมาตรการป้องกัน ]
- การรักษาข้อมูลด้วยการสำรองข้อมูล
✓การสำรองข้อมูลรายวัน, รายสัปดาห์, รายเดือน
✓ การเข้ารหัสข้อมูลที่ถูกสำรองไว้
✓ การเก็บรักษาข้อมูลที่ถูกสำรองไว้รูปแบบออฟไลน์
✓ การซักซ้อมการกู้คืนข้อมูลและระบบ
มาตรการที่ 6 : นโยบายความปลอดภัยภายในองค์กร (Security Policy)
แม้จะมีการจัดทำมาตรการด้านความปลอดภัยต่างๆ อย่างที่ได้กล่าวไว้ข้างต้นแล้วก็ตาม หากองค์กรไม่มีแนวทางในการจัดการที่เหมาะสม ก็จะไม่สามารถจัดการดูแลความปลอดภัยได้อย่างมีประสิทธิภาพ การเขียนแนวทางด้านความปลอดภัยของข้อมูลที่องค์กรกำหนดออกมาเป็นรายลักษณ์อักษรอย่างชัดเจนจึงเป็นสิ่งที่มีความสำคัญ
[ ตัวอย่างมาตรการป้องกัน ]
- สร้างข้อบังคับด้านความปลอดภัยประเภทต่างๆ สำหรับพนักงาน
✓ PC ที่ใช้เชื่อมต่อกับระบบเน็ตเวิร์คภายในบริษัท
✓ การใช้งานอุปกรณ์เก็บข้อมูลภายนอก
✓ การจัดการใช้งานข้อมูล
✓ ซอฟต์แวร์ที่ใช้งานได้
✓ บัญชี, รหัสผ่าน
✓ ใช้งานอีเมล
บริษัทเราให้บริการลูกค้าในด้านการตรวจสอบช่องโหว่ของระบบโครงสร้างพื้นฐาน, ดำเนินการประเมินช่องโหว่และนำเสนอมาตรการความปลอดภัยที่มีความเหมาะสมให้กับลูกค้า
เราจะปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์ซึ่งอาจนำไปสู่ความเสี่ยงต่อความต่อเนื่องทางธุรกิจของท่าน
สามารถติดต่อสอบถามเราได้ตลอดเวลานะคะ
