เมื่อเดือนที่แล้วได้มีโอกาสไปฟังการสัมมนาเรื่องการสร้าง
Information security awareness ในองค์กรและการทดสอบ information
security awareness โดยจำลอง Email ประเภท Social
engineering ว่าพนักงานจะมี ความตระหนักและไม่ตกเป็นเหยื่อหรือไม่
เพื่อวัดเรื่อง Information Security awareness ทุก ๆ
คนในการสัมมนานั้นต่างเข้าใจถึงการสร้าง Information Security Awareness ให้กับคนในองค์กร และคิดว่ามีความสำคัญ
อันดับต้น ๆ ในการควบคุมเรื่อง Information Security อย่างไรก็ตามด้วยความที่ชอบคิดไปเรื่อย
ๆ ก็พบว่าบางที ครั้งที่เราหวังพึ่ง Awareness ของคนและเอาเป็นเหตุให้ลดความรัดกุมในการออกแบบการควบคุมเชิงกระบวนการ(Process
Control) หรือเชิง Automated Control บทความนี้มุ่งจะชี้ให้เห็นถึงแนวคิดเกี่ยวกับ
Information security Awareness ว่ามีบทบาทอย่างไรบ้างกับการควบคุมความเสี่ยงขององค์กร
ตามเอกสารของ
National Institute of Standard and Technology (NIST) ของอเมริกา
เรื่อง Information Security training requirement (Role and
Responsibility) NIST 800-16 ซึ่งได้แบ่งแยกการให้ความรู้เกี่ยวกับ Information
Security ออกเป็น 3 ระบบดับคือ Awareness,
Training และ Education ได้พูดถึงความหมายของ
Awareness ว่า “Awareness is not training. The purpose of
awareness presentations is simply to focus attention on security. Awareness
presentations are intended to allow individuals to recognize IT security
concerns and respond accordingly” สรุปความได้ว่าการสร้าง Awareness
คือการสร้างให้บุคคลมีความรับรู้และสนใจในเรื่อง information
security และทราบถึงสิ่งที่เป็นข้อกังวลและการมีการตอบสนองข้อกังวลด้าน
Information security อย่างเหมาะสม พูดง่าย ๆ
คือทราบว่าเหตุการณ์อะไรสิ่งแวดล้อมแบบไหนที่จะอาจนำมาซึ่งความผิดปกติหรือปัญหาด้าน
Information security ก็ทราบถึงวิธีการตอบสนองที่ถูกต้อง
เช่นทราบว่าลักษณะของ Email แบบนี้คือ Virus Computer
และเข้าใจวิธีการในการหลีกเลี่ยงไม่ทำให้ติด Virus Computer นั้น
ในแง่การควบคุมเราแบ่งการควบคุมตามลักษณะของมันได้สามแบบคือ
Protective control คือการควบคุมเชิงป้องกัน, Detective
Control คือการควบคุมเชิงตรวจจับ, Corrective Control คือการควบคุมเชิงแก้ไข จากวิธีการในการสร้าง Awareness ด้าน Information Security นั้นเราจะเห็นว่า User
Awareness สามารถเป็นได้ทั้ง Preventive Control และ Detective Control หากเราตั้งคำถามต่อไปว่าแล้วเป็นได้ดีไหม ดีแค่ไหน มาดูกันต่อไปว่า Awareness
นั้นเป็นการควบคุมที่เราฝากความหวังไว้ที่คนทั้งสิ้นว่าจะตัดสินใจทำอย่างไรกับสถานการณ์ต่าง
ๆ ซึ่งเราก็มักจะพบว่าการ Balance resource อันประกอบด้วย People,
Process, Technology นั้น Process กับ Technology
ส่วนหนึ่งก็เพื่อนำมาแก้ไขการไม่ reliable ของคน
ซึ่งอาจพูดได้ว่าลักษณะที่เป็นข้อไม่ดีของคนคือ Unreliable มากกว่า
Process และ Technology
จากประเด็นเรื่อง
Unreliable นี้ก็คงจะสามารถกำหนดเป็นแนวทางในการออกแบบการควบคุมต่าง
ๆ ได้ว่าการสร้าง Awareness เป็นเรื่องจำเป็นและเป็นเรื่องที่ขาดไม่ได้แต่นอกจากนั้นการกำหนดการควบคุมเชิง
Process และการใช้ technology มาช่วยจะต้องถูกออกแบบให้มีความเข้มข้นรัดกุมระดับหนึ่งด้วยก่อนจะไปฝากไว้ที่คน
และให้เป็นด่านสุดท้าย แล้วทีนี้คนจะดีกว่าเครื่องจักร (Technology) ในด้านไหนได้บ้างเพื่อนำเอาความสามารถนั้นมาใช้ได้
Intelligence
คือสิ่งที่คนมีมากกว่าเครื่องจักรเสมอ ๆ หากเรามี Awareness เราสามารถพิจารณาเหตุการณ์ต่าง ๆ ประมวลผลเหตุการณ์ต่าง ๆ
และตอบสนองได้อย่างรวดเร็วมากกว่าเครื่องจักร รวมถึงสามารถเรียนรู้สถานการณ์และสภาพแวดล้อมใหม่
ๆ ได้ตลอดเวลาดังนั้นการที่จะสามารถจับข้อนี้ดีมาสร้าง Awareness ให้คนในองค์กรสามารถมองเห็นถึงความผิดปกติต่าง ๆ และแจ้งเตือนมายังหน่วยงานที่เป็นผู้เชี่ยวชาญด้าน
Information Security เราก็จะได้ Detector ที่มี Intelligence มาก ๆ มากกว่า Technology
ใด ๆ และนำไปถึงการสามารถลดผลกระทบของ Zero day Attack ได้มากเนื่องจากสามารถตรวจจับได้ก่อน
สรุปว่าการสร้าง Awareness เรื่อง Information
Security เป็นเรื่องที่ดีและจำเป็นสำหรับพนักงานในองค์กร
แต่ควรกำหนดการควบคุมต่าง ๆ ที่เกิดจาก Technology/Tools และ
Process ให้เพียงพอและครอบคลุมอย่างเต็มที่ก่อนแล้วจึงให้การสร้าง
Awareness กับพนักงานในองค์กรเป็นการเสริมความเข้มแข็งของ Control
นั้น ๆ ในการลดความเสี่ยง อีกด้านหนึ่งคือการโปรโมท ข้อดีของการมี
พนักงานที่มี Awareness ด้าน Information security ในการที่จะทำหน้าที่เป็นผู้แจ้ง security event และ Security
Incident ที่ดีเพื่อองค์กรสามารถดำเนินการป้องกันแก้ไข ได้ทันท่วงที
และจำกัดขอบเขตของความเสียหายอีกด้วย