Data life cycle & Security requirement
Thursday, July 13, 2023
Wednesday, July 12, 2023
Firewall Policy - การตั้งค่าความปลอดภัยสำหรับไฟร์วอล
ซื้อไฟร์วอลมาโครตแพง แต่ Allow all ก็ไม่ได้ช่วยให้เกิดความปลอดภัยมากนัก ซึ่งส่วนใหญ่แล้วมักจะไม่ค่อยเห็นความสำคัญ 
หลักการที่สำคัญในการตั้งค่าให้กับไฟร์วอล คือ เปิดเฉพาะที่จำเป็น เช่น ผู้ใช้ภายในส่วนใหญ่ก็จะใช้งานแค่ HTTP, HTTPS, SSH, DNS, SMTP, POP3 เราก็เปิดแค่นั้น, ในส่วนของการสื่อสารระหว่าง Server ก็มาดูทีละส่วนทีละเครื่องว่าจะเปิดให้เข้าถึงอะไรได้บ้าง และที่สำคัญคือควรจะต้องมีการทบทวน Firewall Policy อย่างน้อยปีละ 1 ครั้ง เพื่อนำพอร์ท หรืออะไรที่ไม่ได้ใช้งานแล้วออก (ปกติถ้าไม่ได้ใช้แล้วก็ควรนำออกเลย แต่มันก็มีผิดพลาด หรือลืมกันได้ เพราะฉะนั้นปีนึงก็มาทบทวนอีกซักรอบว่ายังจำเป็นอยู่หรือปล่าว)
ตัวอย่างการตั้งค่า Access control list: ACL
Tuesday, July 4, 2023
BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ
การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ เป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร โดยมีรูปแบบที่นิยมใช้ในการฝึกซ้อม 3 รูปแบบ คือ
- การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise)
- การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise)
- การฝึกซ้อมเสมือนจริง (Full scale Exercise)
การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการทำความเข้าใจเกี่ยวกับแผน บทบาทหน้าที่ และความร่วมมือต่าง ๆ โดยใช้การอภิปรายแบบกลุ่มบนสถานะการณ์จำลองที่กำหนดขึ้น โดยผู้บริหาร และผู้ที่มีส่วนเกี่ยวข้อง ข้อดีของการฝึกซ้อมแผนบนโต๊ะคือประหยัด เหมาะสำหรับใช้ในการเตรียมการฝึกซ้อมที่มีความซับซ้อนมากขึ้น
การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการประเมินความสามารถของบุคลากร การสั่งการ และทรัพยากรที่จำเป็น โดยการจำลองสถานะการเฉพาะจุด หรือเฉพาะบทบาทหน้าที่นั้น ๆ ข้อดีของการฝึกซ้อมการฝึกซ้อมเฉพาะหน้าที่ คือความสมจริงของเหตุการณ์ภายไต้งบประมาณที่จำกัด มักถูกใช้ในการเตรียมความพร้อมรับมือเหตุการณ์ต่าง ๆ เช่น การทดสอบการสื่อสารผ่าน Call tree, การทดสอบ hot site เป็นต้น
การฝึกซ้อมเสมือนจริง (Full scale Exercise) เป็นการฝึกซ้อมที่ซับซ้อนและใช้ทรัพยากรมากที่สุดเนื่องจากต้องมีการเคลื่อนย้ายทรัพยากร และบุคลากรที่เกี่ยวข้องเพื่อให้เกิดความสมจริงในการตอบสนองต่อเหตุการณ์ โดยมุ่งเน้นการปฏิบัติตามแผนงานที่ได้กำหนดไว้ ซึ่งรวมทั้งกระบวนการสั่งการ การสื่อสาร การเคลื่อนย้าย การตั้งค่า การรายงาน ฯลฯ โดยใช้สถานการณ์สมมติ
การที่องค์กรจะเลือกรูปแบบการซ้อมแบบไหนก็ขึ้นอยู่กับบริบท และความพร้อมขององค์กรในการดำเนินการ แต่อย่างน้อยควรจะมีการซ้อมปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเมื่อเกิดเหตุขึ้นแผนนี้จะสามารถรับมือได้