Tuesday, May 21, 2024
Risk Management -- การจัดการความเสี่ยง
การจัดการความเสี่ยงภาพรวมไม่ได้มีอะไรเยอะ มันก็มีประมาณนี้แหละ แต่รายละเอียดจะแตกต่างกันไปตามบริบทของหน่วยงาน และด้านที่กำลังประเมิน
Friday, May 17, 2024
Password Guideline --- แนวทางการตั้งค่ารหัสผ่าน
|
Parameter
name |
Guidelines |
Explain |
|
|
Aging |
Minimum
password duration |
1 Day |
The shortest time you must wait before changing your password again. เวลาสั้นที่สุดที่จะต้องรอก่อนเปลี่ยนรหัสผ่านอีกครั้ง ทั้งนี้เพื่อป้องกันผู้ใช้ไม่ให้เปลี่ยนรหัสผ่านหลายครั้งในระยะเวลาอันสั้นเพื่อกลับมาใช้รหัสผ่านที่ชื่นชอบ |
|
Maximum
password duration |
90 Day |
The longest time you can use the same password before you need to change it. เวลาที่ยาวที่สุดที่คุณสามารถใช้รหัสผ่านเดิมได้ก่อนที่ต้องเปลี่ยนใหม่ ทั้งนี้การเปลี่ยนรหัสผ่านเป็นประจำช่วยจำกัดความเสียหายที่อาจเกิดจากการละเมิดรหัสผ่าน |
|
|
Password
history |
5 |
The number of previous passwords the system remembers to prevent you from reusing them. จำนวนรหัสผ่านก่อนหน้าที่ระบบจะจำเพื่อป้องกันไม่ให้คุณใช้ซ้ำ ทั้งนี้เพื่อป้องกันไม่ให้ผู้ใช้กลับมาใช้รหัสผ่านเดิมเร็วเกินไป
ทำให้เกิดการสร้างรหัสผ่านใหม่และไม่ซ้ำกัน ซึ่งจะทำให้ยากต่อการคาดเดาของผู้ประสงค์ร้าย |
|
|
Minimum length |
12 |
The fewest characters your password must have. จำนวนตัวอักษรที่น้อยที่สุดที่รหัสผ่านของคุณต้องมี ทั้งนี้แม้การใช้จำนวนอักษรที่มากจะทำให้เกิดความปลอดภัยแต่ก็แลกมาด้วยความยากในการจดจำรหัสผ่านนั้น ๆ ความยาว 12 ตัวอักษรเป็นสมดุลที่ดีระหว่างความปลอดภัยและความสะดวกของผู้ใช้ ทำให้รหัสผ่านมีความยาวเพียงพอในการต่อต้านการโจมตีแบบ brute-force |
|
|
Complexity |
Complexity |
Yes (4 Levels) |
Requirements for your password to include a mix of uppercase letters, lowercase letters, numbers, and special characters. ข้อกำหนดให้รหัสผ่านของคุณมีการผสมผสานระหว่างอักษรตัวพิมพ์ใหญ่, อักษรตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ การกำหนดความซับซ้อนทำให้รหัสผ่านยากต่อการคาดเดาหรือแคร็กโดยใช้วิธีการอัตโนมัติ |
|
Uppercase
(A-Z) |
Yes |
||
|
Lowercase
(a-z) |
Yes |
||
|
Numbers (0-9) |
Yes |
||
|
Special
characters (#, %, etc.) |
Yes |
||
|
Lockout |
Logon attempt
before lockout |
5 |
The number of times you can try to log in before your account is temporarily locked. จำนวนครั้งที่คุณสามารถพยายามล็อกอินได้ก่อนที่บัญชีของคุณจะถูกล็อกชั่วคราว โดยการลดจำนวนครั้งที่อนุญาตให้ล็อกอินก่อนถูกล็อก
ช่วยลดโอกาสที่ผู้โจมตีจะคาดเดารหัสผ่านโดยใช้วิธีการลองผิดลองถูก |
|
Lockout
duration |
30 min |
The time your account will be locked if you exceed the allowed number of login attempts. เวลาที่บัญชีของคุณจะถูกล็อกหากคุณล็อกอินผิดเกินจำนวนครั้งที่อนุญาต น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ
brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป |
|
|
Reset logon attempts |
30 min |
The time after which the count of unsuccessful login attempts is reset. ระยะเวลาที่จำนวนครั้งที่ล็อกอินไม่สำเร็จจะถูกรีเซ็ต น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ
brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป |
|
|
Others |
Password
change at the first logon |
Yes |
Requires you to change your password the first time you log in. กำหนดให้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก เป็นการทำให้มั่นใจว่ารหัสผ่านเริ่มต้น
(ซึ่งมักตั้งโดยผู้ดูแลระบบ) จะถูกเปลี่ยนทันทีโดยผู้ใช้ให้เป็นสิ่งที่ผู้ใช้รู้เพียงคนเดียว |
|
Multi Factor
Authentication |
Required |
An additional security step requiring a second form of verification besides your password. ขั้นตอนการยืนยันตัวตนเพิ่มเติมนอกจากรหัสผ่าน โดย
MFA จะช่วยเพิ่มระดับความปลอดภัยเพิ่มเติม ทำให้ผู้โจมตียากขึ้นมากกว่าการเข้าถึงโดยใช้รหัสผ่านเพียงอย่างเดียว |
Wednesday, May 15, 2024
Internal Control in Hospitals (Challenging & Impact)
Co-writing With AI
In the dynamic and complex healthcare landscape, hospitals face numerous
challenges in ensuring efficient operations, safeguarding assets, and
maintaining compliance with regulatory requirements. Internal control systems
play a pivotal role in addressing these challenges, fostering accountability,
and promoting effective risk management practices within healthcare
organizations. This article delves into the significance of internal control
in hospitals, its components, and its impact on various aspects of hospital
operations.
Internal control is a multifaceted process designed to provide reasonable assurance regarding the achievement of an organization's objectives in operational effectiveness and efficiency, reliable financial reporting, and compliance with applicable laws and regulations [1]. In the context of hospitals, internal control systems are essential for maintaining high-quality patient care, ensuring financial integrity, and mitigating risks associated with healthcare delivery.
the CIA Triad
The CIA triad, a foundational concept in IT security, stands for Confidentiality, Integrity, and Availability. It is sometimes referred to as the AIC triad in other contexts.
Monday, May 13, 2024
Risk appetite vs Risk tolerance
ระดับความเสี่ยงที่ยอมรับได้ (risk appetite) เป็นความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นค่าเป้าหมาย (ค่าเดียว) หรือช่วงโดยระดับความเสี่ยงที่ยอมรับได้ ต้องสอดคล้องกับเป้าหมายขององค์กร(ประจำปีที่ระบุในแผนปฏิบัติงานประจำปี)
ระดับเบี่ยงเบนที่ยอมรับได้ (risk tolerance) เป็นช่วงเบี่ยงของระดับความเสี่ยงที่องค์กรยอมรับได้ โดยระดับเบี่ยงเบนที่ยอมรับได้ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ได้ระบุไว้ (ในแผนปฏิบัติงานประจำปี) ถ้าไม่มีการระบุ ควรเป็นค่าที่ได้ผ่านการอนุมัติแล้ว (เช่น ผ่านการอนุมัติจากคณะกรรมการบริหารองค์กร)
Sunday, May 12, 2024
Intrusion Detection System (IDS) --- ระบบตรวจจับการบุกรุก
ระบบตรวจจับการบุกรุก (IDS) หรือ Intrusion Detection System เป็นเครื่องมือที่ใช้สำหรับการรักษาความปลอดภัยของระบบคอมพิวเตอร์ โดยตรวจจับและแจ้งเตือนเมื่อมีการบุกรุกหรือสิ่งที่ผิดปกติเกิดขึ้นในระบบ ซึ่ง IDS มีบทบาทสำคัญในการเฝ้าระวังและป้องกันการโจมตีเครือข่าย แม้ว่า IDS จะไม่สามารถป้องกันการโจมตีได้ แต่มีประโยชน์ในการตรวจจับความพยายามของผู้ใช้ที่ได้รับอนุญาตในการเข้าถึงไฟล์หรือใช้โปรแกรมที่ไม่ได้รับอนุญาต.
ระบบ IDS สามารถแบ่งเป็นสองประเภทหลัก:
- ระบบตรวจจับการบุกรุกรูปแบบระบบเฝ้าระวัง (Network-based IDS, NIDS): ตรวจจับการบุกรุกในระบบเครือข่าย โดยตรวจสอบการกระทำที่เกิดขึ้นในระบบเครือข่าย และแจ้งเตือนผู้ดูแลระบบเมื่อมีการโจมตีหรือพยายามที่จะบุกรุกเครือข่าย.
- ระบบตรวจจับการบุกรุกรูปแบบระบบโฮสต์ (Host-based IDS, HIDS): ตรวจจับการบุกรุกในระบบโฮสต์ โดยตรวจสอบการกระทำที่เกิดขึ้นในเซิร์ฟเวอร์หรือคอมพิวเตอร์เดี่ยว และแจ้งเตือนผู้ดูแลระบบเมื่อมีการโจมตีหรือพยายามที่จะบุกรุกระบบโฮสต์.
ข้อควรระวัง:
- IDS ไม่สามารถป้องกันไม่ให้ข้อมูลถูกโจมตีได้ แต่เป็นระบบที่คอยแจ้งเตือนภัยเมื่อมีการบุกรุกหรือพยายามที่จะบุกรุกเครือข่าย.
- การตรวจจับของ IDS อาจไม่สามารถตรวจจับความพยายามของผู้ใช้ที่ได้รับอนุญาตในการเข้าถึงไฟล์หรือใช้โปรแกรมที่ไม่ได้รับอนุญาตได้.
Friday, May 10, 2024
ภัยคุกคาม (Threat)
ภัยคุกคาม (Threat) คือสิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลในด้านต่างๆ ภัยคุกคามอาจมีลักษณะเป็นการโจมตี (Attack) หรือการบุกรุกเครือข่าย ซึ่งสามารถทำลายข้อมูล หรือทำให้ระบบไม่สามารถใช้งานได้ นอกจากนี้ การเปิดเผยข้อมูล (Disclosure) การหลอกลวงหรือการให้ข้อมูลที่เป็นเท็จ (Deception) และการควบคุมระบบโดยไม่ได้รับอนุญาต (Usurpation) ก็ถือเป็นส่วนหนึ่งของภัยคุกคาม
Friday, April 19, 2024
Wednesday, April 10, 2024
Who is responsible for developing procedures??? --- หน้าที่ในการเขียนคู่มือการปฏิบัติงานคือใคร !!!
หน้าที่ในการเขียนคู่มือหรือขั้นตอนการปฏิบัติงาน ... คือใคร หรือหน่วยงานใหน??? มักจะเป็นคำถามที่ถูกถามเมื่อเริ่มต้นในการนำระบบมาตรฐานมาใช้ในองค์กร
บางหน่วยงานคาดหวังให้ทีมคุณภาพเป็นผู้เขียน คุณภาพก็อาจจะบอกว่ามันใช่หน้าที่ของฉัน??? ก่อนอื่นต้องเข้าใจก่อนว่าคู่มือหรือขั้นตอนการปฏิบัติงาน เป็นเอกสารที่ถูกจัดทำเพื่อเป็นแนวทางในการทำงาน เป็นขั้นตอนการปฏิบัติงาน หรือวิธีการที่กำหนดไว้เพื่อใช้ในการปฏิบัติงาน ดังนั้นโดยทั่วไปแล้วคู่มือหรือขั้นตอนการปฏิบัติงานจะถูกจัดทำ หรือเขียนโดยเจ้าของกระบวนการ (Process owner) เช่น คู่มือการผลิต ก็ควรเป็นของทีมผลิต คู่มือการจัดการความเสี่ยง ก็ควรเป็นของทีมความเสี่ยง คู่มือการตรวจสอบภายในก็ควรเป็นของทีมตรวจสอบภายใน เนื่องจากเจ้าของกระบวนการจะทราบรายละเอียดขั้นตอนการทำงานดีที่สุด
Monday, April 1, 2024
นิทานสั้น: "รหัสผ่านที่ปลอดภัย"
ในหมู่บ้านเล็ก ๆ แห่งหนึ่ง มีเด็กชายชื่อ "น้อย" ที่ชอบเล่นเกมออนไลน์เป็นชีวิตจิตใจ น้อยมีเพื่อนสนิทชื่อ "จ้อย" ที่มักจะเล่นเกมด้วยกันเสมอ วันหนึ่ง น้อยได้พบกับเหตุการณ์ที่ทำให้เขาเรียนรู้ถึงความสำคัญของการใช้รหัสผ่านที่ปลอดภัย