Blockdit Logo (Mobile)
nForceSecure
5 ต.ค. 2022 เวลา 11:30 • วิทยาศาสตร์ & เทคโนโลยี
CIA Triad หลักการพื้นฐานด้าน Security ที่ควรต้องรู้
3
ในการทำงานทุกอย่างนั้นย่อมต้องมีการกำหนดนโนบาย ทิศทางหรือแนวทางให้มีความชัดเจน เพื่อใช้เป็นคู่มือในการยึดถือปฏิบัติ มีเส้นทางที่จะเดินไปได้อย่างถูกต้อง ไม่หลงประเด็น ตอบโจทย์กับธุรกิจที่เราดำเนินอยู่
3
ในโลกของ Security ก็เช่นกัน ก่อนที่เราจะวางระบบโครงสร้างพื้นฐานด้านความปลอดภัย เราก็ต้องเข้าใจในเรื่องนี้เสียก่อน แล้วค่อยมาตกผลึกกันว่าตัวองค์กรของเรานั้นต้องการความปลอดภัยในด้านใดบ้าง โดยเฉพาะการรักษาความลับของข้อมูลให้มีความปลอดภัย ที่ถือว่าเป็นของสำคัญที่ต้องป้องกันไม่ให้รั่วไหล อีกทั้งเรื่องของความถูกต้องของข้อมูล และความพร้อมในการใช้งานข้อมูล
วัตถุประสงค์หลักของการรักษาความปลอดภัยในทาง Security หลักการปฏิบัติจะมีด้วยกัน 3 ด้าน ซึ่งเรียกกันว่า “CIA Triad” หรือ “สามเหลี่ยม CIA” ที่เราต้องทำความเข้าใจ ประกอบด้วย Confidentiality, Integrity และ Availability
  • Confidentiality - การเก็บรักษาความลับของข้อมูล
สำหรับการเก็บรักษาความลับของข้อมูลนั้น ทุกๆ อย่างขึ้นอยู่กับระดับหรือสิทธิในการเข้าถึงของแต่ละอุปกรณ์ แต่ละกลุ่ม แต่ละแผนก หรืออะไรก็แล้วแต่ที่มีสิทธิในการเข้าถึงข้อมูล ต้องเข้าถึงข้อมูลหรือความลับได้ถูกต้องตามสิทธิในการเข้าถึงเหล่านั้น
เราจะเห็นได้ว่าในโลกภาพยนตร์หลายๆ เรื่อง จะมีพนักงานหรือสายลับพยายามเข้าถึงข้อมูลในระบบขององค์กร
แต่สุดท้ายก็จะไปตันที่สิทธิของคนๆ นั้น ซึ่งไม่ได้รับอนุญาตไม่สามารถเข้าไปดูข้อมูลหรือความลับอันนั้นได้ นั่นคือวัตถุประสงค์ของ Confidentiality ป้องกันการเปิดเผยข้อมูลที่ส่งผลเสียต่อองค์กร และเจ้าของข้อมูล
  • Integrity – ความมั่นคงและถูกต้องของข้อมูล
Integrity เป็นอีกสิ่งที่สำคัญในด้านความปลอดภัย เราต้องการรักษาความมั่นคงของข้อมูล หรือระบบอะไรก็ตามให้มั่นคงตามที่มันควรจะเป็น ป้องกันการเปลี่ยนแปลงข้อมูลที่ไม่เหมาะสม ยกตัวอย่างเช่น ระบบไม่ควรถูกแก้ไขค่าบางอย่างได้ เช่น การโอนเงิน ไม่ควรมีใครสามารถเข้าไปแก้ไขค่าต่างๆ ได้ระหว่างการทำธุรกรรมจากทั้งสองฝั่ง
ไม่ว่าจะเป็นฝั่งผู้ใช้หรือฝั่งของธนาคารเอง สมมุติว่าเราโอนเงินไป 3,000 บาท ค่าเงินที่ส่งไปก็ควรเป็นเช่นนั้น ไม่ควรผิดพลาดหรือถูกแก้ไขจากฝั่งใดฝั่งหนึ่งได้ ซึ่ง Integrity จะช่วยสร้างความน่าเชื่อถือของระบบให้กับองค์กร
  • Availability - ความพร้อมในการให้บริการ
Availability ถือเป็นเรื่องที่สำคัญ เผลอๆ จะกลายเป็นเรื่องที่สำคัญที่สุดสำหรับธุรกิจหรือองค์กรต่างๆ ยกให้เป็นความสำคัญแรกเลยก็คือ ความพร้อมในการให้บริการระบบ หรือข้อมูลต้องเข้าถึงได้ พร้อมใช้งานได้ตลอดเวลาตามที่ตกลงกันไว้ Availability ถือเรื่องนี้เป็นเรื่องสำคัญไม่ว่าจะเป็นระบบบัญชี ระบบของฝ่ายบุคคล ระบบการโอนเงิน ระบบควบคุมอาคารสถานที่ ระบบควบคุมสัญญาณไฟ และอื่นๆ อีกมากมาย
2
เมื่อไหร่ก็ตามที่เราอยากใช้บริการระบบนั้นๆ เราก็ควรจะใช้ได้ตอนที่เราต้องการ ณ ตอนนั้นเลย การรักษาความพร้อมในการให้บริการของระบบถือเป็นเรื่องสำคัญในการสร้างความน่าเชื่อถือ เช่น เว็ปไซต์ และแอพพลิเคชั่นที่เอาไว้ใช้หารายได้เข้าบริษัทหรือองค์กร ยิ่งต้องถือว่าความพร้อมในการให้บริการเป็น Priority แรกที่ต้องวางระบบให้ดี
เมื่อเราเข้าใจวัตถุประสงค์หลักๆ ในด้านความปลอดภัยแล้ว ขั้นตอนต่อไปก็จะต้องมานั่งคิดต่อว่า องค์กรของเราจะเน้นเรื่องอะไรมาก่อนเป็นอันดับแรก แน่นอนว่าเราอยากให้ทั้ง 3 เรื่องนี้มีครบหมดในระบบของเรา แต่ในโลกความเป็นจริงมันอาจไม่ได้เป็นแบบนั้น
เราอาจต้องยอมให้บางเรื่องมีสัดส่วนความสำคัญมากกว่าบางเรื่อง เช่น ให้เรื่องของความพร้อมในการใช้งานเป็น 80 เปอร์เซ็นต์ แล้วให้เรื่องความลับกับความมั่นคงของระบบเหลือแค่ 20 เปอร์เซ็นต์ เป็นต้น เราอาจจะต้อง Balance Security ให้เหมาะสมกับธุรกิจและองค์กร ว่าสามเหลื่อม CIA ทั้ง 3 อย่างนั้นควรจะอยู่ในระดับไหนถึงจะเหมาะสม
บริษัท เอ็นฟอร์ซ ซีเคียว จำกัด (มหาชน) (SECURE) ผู้เชี่ยวชาญในด้านผลิตภัณฑ์รักษาความปลอดภัยทางเทคโนโลยีไซเบอร์ (Cyber Security) ในฐานะตัวแทนจำหน่ายและผู้ให้บริการอย่างครบวงจร โดยนำเสนอผลิตภัณฑ์ที่มีคุณภาพและมีชื่อเสียงระดับโลก เพื่อตอบสนองความต้องการของลูกค้าในด้านการรักษาความปลอดภัยทางเทคโนโลยีไซเบอร์
สามารถติดตามโซลูชั่นอื่นๆ ได้ทาง
https://www.nforcesecure.com/
https://www.facebook.com/nForceSecure/
โฆษณา