การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ

1. ช่องโหว่ (Vulnerability)

1.1. เมื่อเหล่ามิจฉาชีพที่เปรียบได้กับแฮกเกอร์หรือ ไวรัสต่าง ๆ เป็นช่องโหว่นั้นพวกเขา เหล่านั้นก็อยากที่จะเข้ามาในบ้านของเรา ด้วยเหตุนี้เอง เราจึงต้องท าการอุดรูรั่ว หรือ ช่องโหว่ อาจจะด้วยวิธีการโบกปูนปิด รอยรั่ว หรือเปลี่ยนกระจกใหม่ เป็นต้น แต่ในทางคอมพิวเตอร์นั้น การอุดรอยรั่ว หมายถึง การติดตั้ง โปรแกรมเพื่อท าให้เครื่องคอมพิวเตอร์มีความแข็งแกร่งมากขึ้น โปรแกรมดังกล่าว ก็คือ “โปรแกรมซ่อมแซมช่องโหว่ หรือ Patch”

2. ภัยคุกคาม (Threat)

2.1. ภัยคุกคาม สิ่งที่อาจก่อนให้เกิดความเสียหายต่อคุณสมบัติของข้อมูล ด้านใดด้านหนึ่ง หรือ มากกว่าหนึ่งด้าน หรือ สิ่งที่อาจเป็นแหล่งก าเนิด ความเสียหาย โดยสามารถแบ่งประเภทของ ภัยคุกคาม ได้ดังนี้ 1. ภัยคุกคามที่เกิดขึ้นโดยธรรมชาติ (Natural Threats) 2. ภัยคุกคามที่เกิดขึ้นโดยมนุษย์ (Human Threats) 3. ภัยคุกคามที่เกิดขึ้นจากสภาพแวดล้อม (Environment Threats)

3. การประเมินความเสี่ยง (Risk Assessment)

3.1. ขั้นตอนการประเมินความเสี่ยง สรุปได้ดังนี้ 1) ขั้นตอนการกำหนดขอบเขต 2) การส ารวจข้อมูล หรือ เก็บรวบรวมข้อมูล 3) การวิเคราะห์นโยบายและระเบียบปฏิบัติ 4) การวิเคราะห์ช่องโหว่และภัยคุกคาม 5) การวิเคราะห์ความเสี่ยง

4. การกำหนดนโยบาย (Policy)

4.1. 1)นโยบายด้านข้อมูล 2)นโยบายด้านการรักษาความปลอดภัย 3)นโยบายการใช้งาน 4)นโยบายด้านการสำรองข้อมูล 5)ระเบียบปฏิบัติเกี่ยวกับการบริหารจัดการบัญชีผู้ใช้ 6)ระเบียบปฏิบัติเมื่อเกิดเหตุการณ์ 7)แผนการฟื้นฟูหลังภัยร้ายแรง

5. การบริหารจัดการความเสี่ยง

5.1. ค่าความเสียหายเมื่อเกิดเหตุการณ์ขึ้น ไม่สามารถประมาณค่าได้เลย หากเรามีการติดตั้งระบบป้องกันภัยก่อนเกิดความเสียหาย จะช่วยลดค่าใช้จ่ายลงได้ เนื่องจากไม่มีค่าความเสียหายเมื่อเกิด เหตุการณ์นั่นเอง

6. กระบวนการรักษาความปลอดภัยข้อมูลหรือสารสนเทศ

6.1. 1.การประเมินความเสี่ยง (Risk Assessment) 2.การก าหนดนโยบาย (Policy) 3.การติดตั้งระบบป้องกัน (Implementation) 4.การฝึกอบรม (Training) 5.การตรวจสอบ (Audit)

7. นิยามที่เกี่ยวข้องกับความเสี่ยง

7.1. ความเสี่ยง (Risk) หมายถึง เหตุการณ์หรือการกระท าใด ๆ ที่มี โอกาสเกิดขึ้นได้ในอนาคตภายใต้สภาวการณ์ที่ไม่แน่นอน ซึ่งอาจส่งผลในด้านลบที่เราไม่ ต้องการ หรือ ความเสี่ยง ก็คือ ความเป็นไปที่อาจสูญเสียบางสิ่งที่ปกป้องอยู่ โดย เหตุการณ์หรือการกระท านั้นจะเป็นพื้นฐานที่ท าให้เราต้องการรักษาความปลอดภัย

8. กระบวนการในการบริหารความเสี่ยงของระบบ

8.1. ขั้นตอนที่ 1 การระบุความเสี่ยง (Identify) ขั้นตอนที่ 2 การวิเคราะห์ความเสี่ยง (Analyze) ขั้นตอนที่ 3 การวางแผน (Plan) ขั้นตอนที่ 4 การติดตาม (Track) ขั้นตอนที่ 5 การควบคุม (Control)