บทที่ 12 เรื่องที่ 1 เป้าหมายหลักในด้านความปลอดภัยของระบบสารสนเทศ

12.1  เป้าหมายหลักในด้านความปลอดภัยของระบบสารสนเทศ

                ในราวเดือนมีนาคม ปี ค.ศ. 2006 ฐานข้อมูลของ Florida International University ได้ถูกบุกรุกจากผู้ไม่ประสงค์ดี โดยภายในฐานข้อมูลของมหาวิทยาลัยได้บรรจุเรคอร์ดข้อมูลของนักศึกษาจำนวนนับพันและรวมถึงข้อมูลของผู้สมัครงาน และในเดือนพฤษภาคม ปี ค.ศ. 2007 แฮกเกอร์ได้เจาะระบบเข้ามายัง University of Missouri โดยได้ล้วงข้อมูลเกี่ยวกับชื่อ และหมายเลขประกันสังคมของนักศึกษาที่มีกว่า 22,396 คน และ 2 สัปดาห์ถัดมา ข้อมูลนักศึกษากว่า 4,000 ราย รวมถึงข้อมูลผู้สมัครงานจากมหาวิทยาลัยได้ถูกคัดลอกไปจัดเก็บไว้ในฐานข้อมูลของ Northwestern University แทน และในอีกไม่กี่ชั่วโมงถัดมา ชื่อนักศึกษาและหมายเลขประกันสังคมจำนวนกว่า 64,000 ของพนักงานใน Ohio State ก็ได้ถูกลักลอบจารกรรมไปโดยแฮกเกอร์ และถูกนำไปใช้ในทางที่ผิด นี่เป็นตัวอย่างเพียงไม่กี่กรณีเท่านั้น ที่เกี่ยวข้องกับเหตุการณ์ที่อาจเกิดขึ้นได้จากระบบสารสนเทศและข้อมูลที่จัดเก็บ

                ดังนั้น  ในการพัฒนาระบบสารสนเทศเพื่อนำมาใช้งานในองค์กรนั้น  จึงต้องมีค่าใช้จ่ายด้านงานบำรุงรักษาในอัตราส่วนที่ไม่น้อยเลย โดยเฉพาะมาตรการการบำรุงรักษาความปลอดภัยของระบบ ซึ่งแนวโน้มในทุกๆ บริษัทจำเป็นต้องลงทุนด้านความปลอดภัยที่มากขึ้น และจะมีต้นทุนสูงมากขึ้นสำหรับองค์กรขนาดใหญ่ ที่ต้องวางมาตรการด้านความปลอดภัยที่ครบครัน รัดกุม เพื่อสร้างความอุ่นใจและป้องกันผู้ไม่ประสงค์ดีบุกรุกเข้าถึงฐานข้อมูลในองค์กรซึ่งจัดเป็นทรัพยากรอันทรงคุณค่าโดยเฉพาะองค์กรที่มีการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายภายนอกอย่างอินเทอร์เน็ต เพื่อใช้ติดต่อธุรกิจกับลูกค้าและใช้ระบบสารสนเทศร่วมกันระหว่างคู่ค้าทางธุรกิจที่กระจายอยู่ทั่วโลกผ่านเครือข่ายอินเทอร์เน็ต สิ่งเหล่านี้จึงไม่แตกต่างไปจากการเปิดประตูบ้าน  เพื่อต้อนรับผู้ไม่ประสงค์ดีลักลอบเข้ามาเพื่อจารกรรมข้อมูลเลย  ดังนั้นองค์กรจึงจำเป็นต้องวางมาตรการด้านความปลอดภัย รวมถึงการติดตั้งอุปกรณ์ตรวจจับเพื่อป้องกันผู้บุกรุกจากภายนอก  โดยเป้าหมายหลักในด้านความปลอดภัยของระบบสารสนเทศ  ประกอบด้วย

                1.  ลดความเสี่ยง  และการหยุดชะงักจากการปฏิบัติกับระบบที่อาจเกิดขึ้นได้เสมอ

                2.  รักษาสารสนเทศที่เป็นความลับ

                3.  มั่นใจต่อความสามารถในการป้องกันข้อผิดพลาดและความเชื่อมั่นในทรัพยากรข้อมูล

                4.  มั่นใจต่อการไม่ถูกรบกวน  หรือถูกขัดจังหวะในขณะปฏิบัติงานกับระบบ

                5.  มั่นใจต่อนโยบายเพื่อคุ้มครอง  และความปลอดภัยตามกฎหมายและความเป็นส่วนตัว

                ในการวางแผนเพื่อกำหนดมาตรการเพื่อการสนับสนุนเป้าหมายเหล่านี้  ประการแรก  องค์กรจะต้องรับรู้ถึงความเป็นไปได้ในด้านความเสี่ยงต่างๆ ที่อาจเกิดขึ้นต่อทรัพยากรสารสนเทศ ประกอบด้วย  ฮาร์ดแวร์  โปรแกรมประยุกต์  ข้อมูล  และเครือข่าย  จากนั้นก็จะดำเนินมาตรการเพื่อป้องกันการเสี่ยงภัยจากความเสี่ยงเหล่านั้น