Week13: การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software) ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
ซึ่งเกิดขึ้นจากผู้ที่ไม่หวังดีต่อข้อมูลขององค์กร เช่น แฮกเกอร์ แครกเกอร์ หรือแม้กระทั่งผู้บริหารภายในองค์กรเอง เนื่องจากข้อมูลที่เป็นความลับภายในบริษัทนั้นมีความสำคัญอย่างมาก จึงทำให้อาจเกิดการขโมยข้อมูลออกไปขายได้ซึ่งคามเสี่ยงจากการถูกคุมคามมีดังนี้
1.การโจมตีระบบเครือข่าย (Network attack)
-การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
-การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing
-การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service
-การโจมตีด้วยมัลแวร์ (Malware)
-โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส (Trojan horse) และลอจิกบอมบ์ (Logic bombs)
-และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ (Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) การเปลี่ยนการปรับแต่งระบบ (Configuration Changers) การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
2.การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึงการใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ ซึ่งส่วนมากจะเป็นการใช้คอมพิวเตอร์หรือข้อมูลในเครื่องคอมพิวเตอร์เพื่อทำกิจกรรมบางอย่างที่ผิดกฎระเบียบของกิจการหรือการกระทำที่ผิดกฎหมาย
3.การขโมย (Theft)
4.ความล้มเหลวของระบบสารสนเทศ (System failure)
เนื่องจากข้อมูลต่างๆในองค์กรนั้นมีความสำคัญเป็นอย่างมากจึงทำให้ต้องมีการป้องกันความเสี่ยงต่างๆเหล่านี้ เช่นการใช้ Firewall ในการป้องกันไวรัส หรือการใช้ซอฟแวร์อื่นในการป้องกัน นอกจากนี้ยังรวมถึงการระบุถึงตัวตนในการเข้าถึงข้อมูลต่างๆเช่น การสแกนม่านตา การใช้รหัสผ่านเพื่อจำกัดการเข้าถึงข้อมูล และการป้องกันเครื่องเซิฟเวอร์ขององค์กรจากการป้องกันทางกายภาพอีกด้วย แม้ว่าจะมีการป้องกันดังกล่าวแล้วบริษัทก็ควรจะทำการสำรองข้อมูลต่างๆเก็บไว้เผื่อในกรณีที่ป้องกันไม่สำเร็จด้วย
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
- ต้องไม่ใช้ทรัพย์สินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
ไม่มีความคิดเห็น:
แสดงความคิดเห็น