ขั้นตอนการตรวจสอบ IT Audit ภาค 4

สวัสดีครับ

ช่วงนี้ว่างการจากการอบรมต่างๆ ก็เลยขอใช้เวลาให้คุ้มค่าด้วยการนำเสนอบทความด้าน IT Audit ให้กับทุกๆ คนได้อ่านกันเพลิน และประดับความรู้นะครับ

การควบคุมเกี่ยวกับการดำเนินการทั่วไปและการควบคุมไฟล์

การควบคุมการดำเนินงานทั่วไปและการควบคุมไฟล์เอกสาร ความหมาย เพื่อให้แน่ใจว่าการปกป้องเครื่องคอมพิวเตอร์และไฟล์ต่างๆในคอมพิวเตอร์ มีการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต และป้องกันการสูญหาย หรือ ถูกขโมย รวมถึงการควบคุมและการเปลี่ยนแปลง การประมวลผลของข้อมูล สุดท้ายแล้วเพื่อสนับสนุนให้เกิดความสมบูรณ์และความน่าเชื่อถือของการดำเนิงานเหล่านี้ว่ามีการป้องกันและประมวลผลไม่ได้จากบุคคลที่ไม่ได้รับอนุญาตจากข้อมูลในโปรแกรม หรือ ระบบที่ควบคุมไฟล์มีวิธีการที่เพียงพอป้องกันไฟล์และ Software กับการสูญเสียในทางที่ผิด การขโมย หรือสร้างความเสียหายแบบเปิดเผย การเข้าถึงโดยไม่ได้รับอนุญาต หรือ ไม่ตั้งใจ หรือ การเจตนาทุจริต

การควบคุมเครื่องคอมพิวเตอร์ หมายถึง การถือครองการประเมินและแก้ไขข้อมูลตามความจำเป็นที่การใช้งานถูกควบคุม ควรมีตารางเวลาที่แน่นอนของการทำงานที่เป็นผู้มีอำนาจที่จะสามารถเรียกใช้งานได้ และข้อจำกัด ควรจะอยู่ที่จำนวนและคุณลักษณะของพนักงานที่ได้รับอนุญาตให้เข้าถึงมัน นอกจากนี้ไฟล์คอมพิวเตอร์จะมีระเบียนขององค์กร ซึ่งจำเป็นต้องมีทั้งการปกป้องและควบคุม

การเปลี่ยนแปลงการบริหารระบบควบคุม

การเปลี่ยนแปลงระบบการควบคุมจะต้องมีการตรวจสอบให้แน่ใจว่าการเพิ่มเติมหรือเปลี่ยนแปลงไปยังระบบคอมพิวเตอร์นั้น ได้รับการอนุญาตอย่างถูกต้องและผ่านการทดสอบได้รับการยอมรับและมีเอกสาร การควบคุมการเปลี่ยนแปลงที่ดี สามารถส่งผลให้เกิดการเปลี่ยนแปลงโดยไม่ตั้งใจ หรือเป็นอันตรายกับซอฟต์แวร์และข้อมูลออกแบบมาไม่ดี

การเปลี่ยนแปลงที่สามารถปรับเปลี่ยนข้อมูลทางการเงิน และสามารถลบเส้นทางการตรวจสอบได้ ผู้ตรวจสอบจำเป็นที่จะต้องมีการตรวจสอบว่าระบบคอมพิวเตอร์ใหม่ หรือ การแก้ไขเพิ่มเติมจะต้องถูกทดสอบอย่างละเอียดโดยผู้ใช้ปลายทางของมันก่อนที่จะเผยแพร่ให้บุคคลทั่วไปใช้ โดยเฉพาะโปรแกรมที่เกี่ยวกับระบบการเงินที่ยังไม่นิ่ง และมีการเปลี่ยนแปลงบ่อย ซึ่งการแก้ไขเพิ่มเติมหรือการปรับปรุง เหล่านี้เป็นการเปลี่ยนแปลงตามปกติ หรือ มีความจำเป็นในการปรับปรุงประสิทธิภาพในการทำงาน หรือ ลบบางอย่างออกไป หรือ ความผิดพลาดในการเขียนโปรแกรม (bugs)

กรรมการตรวจสอบ IT ควรเน้นที่จะตรวจสิ่งที่ปรับปรุงด้านคอมพิวเตอร์ของพวกเขา ควรมีระบบการจัดการเปลี่ยนแปลงที่เหมาะสม และมีการจัดการในการกำหนดค่า การควบคุม ขั้นตอนการจัดการกำหนดค่าที่เกี่ยวข้องกับการควบคุมของสินทรัพย์ด้าน IT (เช่น ฮาร์ดแวร์ ซอฟต์แวร์ เอกสารที่เกี่ยวข้อง และการสื่อสาร) และการปรับปรุงที่มาของระเบียนข้อมูล ขณะที่การจัดการเปลี่ยนแปลงที่เกี่ยวข้องกับการอนุมัติการประเมินผลกระทบ ด้านสินทรัพย์ การปรับปรุงควรมีการทดสอบ และการดำเนินงานของการเปลี่ยนแปลง เพื่อลดความเสี่ยงและความเหมาะสม การเปลี่ยนระบบควบคุมด้านการจัดการ ซึ่งการควบคุมเหล่านี้ควรจะมีการตรวจสอบจนแน่ใจแล้วว่าระบบทั้งหมดและโปรแกรม มีการแก้ไขโดยชอบธรรมที่น่าพอใจ ด้วยอำนาจที่ถูกต้อง มีการบันทึกไว้และผ่านการทดสอบและตรวจสอบเส้นทางที่เพียงพอของการเปลี่ยนแปลงทุกขั้นตอนของการเปลี่ยนแปลงด้านเอกสารประกอบต่างๆ

ผู้ตรวจสอบระบบควบคุมเหล่านี้ ควรจะตรวจสอบว่ามีการแก้ไขเพิ่มเติมโปรแกรม หรือ ไฟล์ ที่ได้รับอนุญาต เข้าตรวจสอบความสามารถการแนะนำโปรแกรมใหม่ การจำกัดสิทธิ์ ผู้มีอำนาจในการเปลี่ยนแปลงพนักงานควบคุมที่มีความเป็นอิสระ จากการต้องเขียนโปรแกรมคอมพิวเตอร์ พนักงานที่ใส่ข้อมูลด้านธุรกรรม พนักงานที่ดูแลด้านระบบรักษาความปลอดภัยระบบ

เครือข่ายการควบคุมการสื่อสารการรักษาความปลอดภัย (Netwok Communication Security Controls)

เครือข่ายการควบคุมการสื่อสารการรักษาความปลอดภัยมีความสำคัญสำหรับระบบ LAN / WANs หรือ ระบบเว็บไซต์ที่เปิดใช้งาน ในบางแง่บางมุมที่สำคัญที่จะต้องได้รับการคุ้มครองโดยการควบคุมนี้ จะเป็นดังต่อไปนี้

(i) ข้อมูลทั้งหมดที่สำคัญในระบบเครือข่ายควรจะมีการป้องกันโดยการใช้
วิธีที่เหมาะสมทางเทคนิค

(ii) อุปกรณ์เครือข่ายที่สำคัญ เช่น เราเตอร์สวิตช์ และ โมเด็มควรจะ
ป้องกันจากความเสียหายทางกายภาพ

(iii) กำหนดค่าเครือข่ายและสินค้าคงเหลือควรบันทึกและเก็บรักษาไว้

(iv) อนุมัติล่วงหน้าจากผู้ดูแลระบบเครือข่ายควรจะได้สำหรับการทำการ
เปลี่ยนแปลงใดๆ กับการกำหนดค่าเครือข่าย

(v) การเปลี่ยนแปลงที่เกิดขึ้นในการกำหนดค่าเครือข่ายควรได้รับการ
บันทึกไว้ ภัยคุกคามและการประเมินความเสี่ยงของเครือข่ายหลังจาก
การเปลี่ยนแปลงในการกำหนดค่าเครือข่ายควรจะเป็นสิ่งสุดท้าย

(vi) การดำเนินงานเครือข่าย ควรจะตรวจสอบความผิดปกติสำหรับการ
รักษาความปลอดภัยใดๆ อย่างเป็นทางการโดยเฉพาะกระบวนงานที่
ควรจะเป็นในสถานที่สำหรับการระบุและแก้ไขปัญหาด้านการรักษา
ความปลอดภัย

(vii) การเข้าถึงทางกายภาพเพื่อการสื่อสารและเว็บไซต์ของเครือข่ายควร
ได้รับการควบคุมและจำกัดสิทธิ์

(viii) การสื่อสารและระบบเครือข่ายควรได้รับการควบคุมและจำกัดสิทธิ
บุคคลผู้มีอำนาจ

(ix) เครื่องมือวินิฉัยเครือข่าย เช่น การวิเคราะห์โปรโตคอล ที่ควรจะใช้บน
ความต้องการพื้นฐาน

(x) ไฟร์วอลล์ : อุปกรณ์อัจฉริยะที่ทุกคนรู้จักกันดีว่า “ไฟร์วอลล์” ควรจะใช้
แยกเครือข่ายข้อมูลขององค์กรจากเครือข่ายภายนอกใดๆ
อุปกรณ์ ไฟร์วอลล์ ควรยังมีการจำกัดสิทธิ การเชื่อมต่อเครือข่าย
กับการไม่ได้รับอนุญาต เครือข่ายที่ทำงานที่แตกต่างกันในระดับการ
รักษาความปลอดภัย ควรจะมีการแยกกันโดย ไฟล์วอลล์ ที่เหมาะสม
เครือข่ายภายในองค์กรควรจะมีการแยกทางกายภาพและเหตุผลจาก
อินเตอร์เน็ต และการเชื่อมต่อใดๆ ภายนอกอื่นๆ โดยไฟร์วอลล์ทั้ง
หมดจะต้องอยู่ภายใต้การทดสอบอย่างละเอียดสำหรับช่องโหว่ก่อนที่
จะถูกนำไปใช้อย่างน้อย 6 เดือน

หลังจากนั้นเว็บเซิรฟเวอร์ทั้งหมดที่สามารถถูกเข้าถึงโดยผู้ใช้อินเตอร์
เนตควรจะแยกออกจากข้อมูลอื่นๆ และเซิรฟเวอร์โฮสต์

(xi) การเชื่อมต่อ : องค์กรควรกำหนดวิธีการที่จะช่วยให้การเชื่อมต่อของ
เครือข่ายคอมพิวเตอร์ หรือ ระบบคอมพิวเตอร์ของพวกเขาไปยังระบบ
คอมพิวเตอร์ใดๆ ภายนอกหรือภายในเครือข่าย ด้วยการใช้สิทธิในการ
เชื่อมต่อกับเครือข่ายอื่นๆ และระบบคอมพิวเตอร์ควรจะได้รับการ
อนุมัติโดยผู้ดูแลระบบเครือข่ายและการบันทึกไว้ การเชื่อมต่อทั้งหมด
ไม่ได้ใช้และกลุ่มเครือข่ายที่ควรจะตัดการเชื่อมต่อจากเครือข่ายที่ใช้
งาน ระบบคอมพิวเตอร์ / คอมพิวเตอร์ส่วนบุคคล หรือสถานที่ที่อยู่
นอกการเข้าถึงระบบอุปถัมภ์ขององค์กร ต้องเป็นไปตามระบบรักษา
ความปลอดภัยทั่วไป และแนวทางการควบคุมการเข้าถึง ความเหมาะ
สมของฮาร์ดแวร์ใหม่ / ซอฟต์แวร์ โดยเฉพาะอย่างยิ่งการทำงานร่วม
กับโปรโตรคอล มีการประเมินก่อนการเชื่อมต่อแบบเดียวกันกับเครือ
ข่ายขององค์กรเท่าที่เป็นไปได้ทางอินเตอร์เน็ต การเข้าถึงจำเป็นที่จะ
ต้องมีการได้รับอนุญาตให้มีการเชื่อมต่อฐานข้อมูลของเซิร์ฟเวอร์ /
ไฟล์ หรือ เซิร์ฟเวอร์โฮสต์ข้อมูลที่สำคัญ ระดับของการคุ้มครอง
ทรัพยากรการสื่อสารและเครือข่ายควรจะสอดคล้องกับความวิกฤติและ
ความไวของข้อมูลที่มีการส่งระหว่างกัน

(xii) ผู้ดูแลระบบเครือข่าย องค์กรแต่ละคนควรมีการกำหนดอย่างถูกต้อง
ด้วยทักษะและความรู้ความสามารถที่จะต้องมีการผ่านการฝึกอบรม “ผู้
ดูแลระบบเครือข่าย” ใครเป็นผู้รับผิดชอบสำหรับการดำเนินงานการ
รักษาความปลอดภัยการตรวจสอบ และการทำงานของเครือข่าย การ
จัดสรรการติดตามกิจกรรมที่ผิดปกติใดๆ หรือ รูปแบบของการเข้าถึง
ในเครือข่ายคอมพิวเตอร์ควรถูกสอบสวนทันทีโดยเครือข่าย

ผู้บริหารระบบ จะต้องมีกลไกในการแจ้งเตือนภายในเครือข่ายทันที ซึ่ง
ผู้ดูแลการละเมิดการรักษาความปลอดภัยที่เป็นไปได้ เช่น การเข้าถึง
การติดไวรัสคอมพิวเตอร์ และ การแฮ๊คระบบการจัดการเครือข่าย
ความปลอดภัย ควรจะมีการดำเนินการในด้านการตรวจสอบการทำ
งานของเครือข่ายคอมพิวเตอร์ การจำกัดปริมาณเข้าถึงข้อมูลจาก
เครือข่ายจราจรทางอากาศ เฉพาะซอฟต์แวร์ที่ได้รับอนุญาต และถูก
กฎหมายควรจะใช้บนระบบเครือข่าย

สุดท้ายนี้ เราหวังว่าทุกๆ คน น่าจะได้รับประโยชน์บ้าง จากบทความเกี่ยวกับ IT Audit ที่ได้นำเสนอมาหลายตอน และคาดว่าคงจะต้องเขียนไปอีกสักระยะกว่าจะหมดในเอกสารรุ่นแรก ที่เราอยากจะนำเสนอให้พิจารณากัน ว่างก็เสนอความเห็นเข้ามาได้นะครับ ว่าชอบ หรือ ไม่ชอบ อย่างไร

ขอให้ทุกๆ ท่านโชคดี ครับ

เอกกมล เอี่ยมศรี

ผู้เรียบเรียง

ekamol.eiamsri@windowslive.com

www.interfinn.com