บทความทั้งหมด > News update > [รีวิว] ซีรี่ย์ Start-up "IT Risk and Control"
[รีวิว] ซีรี่ย์ Start-up "IT Risk and Control"
IT Risk and Control
สำหรับ EP 13 นี้นั้นนอกจาก เรื่อง Vesting ที่ได้เล่าไปแล้วยังมีเกร็ดความรู้อีกเรื่องที่น่าสนใจคือ "IT Risk and Control"
เมื่อใกล้ที่จะต้องนำระบบ AI ที่ขับรถโดยอัตโนมัติปราศจากคนขับ เข้าทดสอบขอรับใบอนุญาต ซอดัลมี นางเอกของเราก็พบกับอุปสรรคสำคัญคือการที่ระบบถูกเข้าควบคุมโดยการเข้ารหัสจาก Ransomware ทำให้ระบบไม่สามารถทำงานได้และยังถูกเรียกค่าไถ่เป็นเงิน 600 ล้านวอนซึ่งต้องจ่ายภายใน 12 ชั่วโมง มิฉะนั้นข้อมูลในระบบจะถูกทำลาย วันนี้มีเกร็ดความรู้ใน Ep 13 นี้มาฝากกันนะครับ
แรนซัมแวร์ (Ransomware) เป็นมัลแวร์ (Malware) ชนิดหนึ่งที่รูปแบบในการโจมตีบนช่องโหว่ของระบบคอมพิวเตอร์เพื่อจัดการล็อกไฟล์ด้วยการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่เพื่อแลกกับรหัสที่ล็อกไว้
แล้วเราจะป้องกันได้อย่างไร ในกระบวนการของการตรวจสอบระบบสารสนเทศของ IT Audit นั้นมีขั้นตอนงานที่ใช้ในการประเมินความเสี่ยงของระบบงานเรียกว่า
1.การประเมินการควบคุมทั่วไปของระบบสารสนเทศ (IT General Control) และ
2. การควบคุมระบบงานสารสนเทศ (IT Application Control) เพื่อช่วยในการประเมินความเสี่ยงของระบบงาน
ในกรณีนี้จะพบว่านัมโดซานและทีมทำการไล่ตรวจสอบข้อมูลการเข้าใช้งานระบบ และสอบถามถึงการควบคุมและสำรองข้อมูลระบบซึ่งพบว่าไม่มีการสำรองข้อมูลระบบงานไว้ เมื่อเกิดกรณี Ransomware เข้าโจมตีระบบจากการที่ทีมงานทำงานจากที่บ้านและเปิดช่องโหว่ของระบบงานไว้ หากไม่สามารถแก้ไขได้ ก็จะเกิดความเสียหายได้
โชคดี ว่านัมโดซานและทีมเป็นบุคลากรที่มีความสามารถและประสบการณ์เพียงพอที่จะแก้ไขได้อย่างทันต่อเวลา
ดังนั้นเพื่อป้องกันความเสี่ยงของธุรกิจจึงควรกลับมาทบทวนการประเมินความเสี่ยงและสอบทานการควบคุมระบบสารสนเทศ (IT Risk and Control) เพื่อให้ลดความเสี่ยงที่อาจเกิดขึ้นกับระบบงานดังเช่นกรณีนี้ ยิ่งในยุคดิจิทัล ที่หลายๆธุรกิจอย่างน้อยต้องมีการนำระบบ IT เข้ามาเป็นส่วนใดส่วนหนึ่งหรือแม้กระทั่งเป็นหัวใจหลักของธุรกิจ
การเตรียมพร้อมระบบงานควบคุมที่ดีจะช่วยลดความเสี่ยงเหล่านี้ได้ เช่น
- การมีแผนงานการออกแบบพัฒนาระบบ ITที่ดี
- การควบคุมหากต้องมีการแก้ไขระบบงานว่าถูกอนุมัติอย่างเหมาะสม
-การเข้าถึงระบบงาน การจำกัดสิทธิและระดับของผู้ใช้งานในการแก้ไข พัฒนาระบบ
- การรักษาความปลอดภัยทางกายภาพของ Hardware
- การสำรองข้อมูลระบบงาน อย่างมีระบบ และสามารถเรียกใช้งานได้อย่างทันเวลา
- แผนการกู้คืนข้อมูลหากเกิดเหตุการณ์ที่ไม่คาดฝัน ให้สามารถกลับมาทำงานได้อย่างทันที
การมีแผนงานเพื่อประเมินและลดความเสี่ยงที่ดี รวมถึงมีการควบคุมในจุดต่างๆที่มีความเสี่ยงก็จะช่วยให้ธุรกิจสามารถดำเนินการได้อย่างมั่นใจนะครับ
มาติดตามให้กำลังใจทีมงานของซอดัลมีและ นัมโดซานในโค้งสุดท้ายนี้ และถ้ามีเกร็ดความรู้ดีๆจะนำกลับมาฝากอีกนะครับ