[รีวิว] ซีรี่ย์ Start-up "IT Risk and Control"

IT Risk and Control


สำหรับ EP 13 นี้นั้นนอกจาก เรื่อง Vesting ที่ได้เล่าไปแล้วยังมีเกร็ดความรู้อีกเรื่องที่น่าสนใจคือ "IT Risk and Control"

เมื่อใกล้ที่จะต้องนำระบบ AI ที่ขับรถโดยอัตโนมัติปราศจากคนขับ เข้าทดสอบขอรับใบอนุญาต ซอดัลมี นางเอกของเราก็พบกับอุปสรรคสำคัญคือการที่ระบบถูกเข้าควบคุมโดยการเข้ารหัสจาก Ransomware ทำให้ระบบไม่สามารถทำงานได้และยังถูกเรียกค่าไถ่เป็นเงิน 600 ล้านวอนซึ่งต้องจ่ายภายใน 12 ชั่วโมง มิฉะนั้นข้อมูลในระบบจะถูกทำลาย วันนี้มีเกร็ดความรู้ใน Ep 13 นี้มาฝากกันนะครับ

แรนซัมแวร์ (Ransomware) เป็นมัลแวร์ (Malware) ชนิดหนึ่งที่รูปแบบในการโจมตีบนช่องโหว่ของระบบคอมพิวเตอร์เพื่อจัดการล็อกไฟล์ด้วยการเข้ารหัสไฟล์เพื่อเรียกค่าไถ่เพื่อแลกกับรหัสที่ล็อกไว้

แล้วเราจะป้องกันได้อย่างไร ในกระบวนการของการตรวจสอบระบบสารสนเทศของ IT Audit นั้นมีขั้นตอนงานที่ใช้ในการประเมินความเสี่ยงของระบบงานเรียกว่า

1.การประเมินการควบคุมทั่วไปของระบบสารสนเทศ (IT General Control) และ

2. การควบคุมระบบงานสารสนเทศ (IT Application Control) เพื่อช่วยในการประเมินความเสี่ยงของระบบงาน

ในกรณีนี้จะพบว่านัมโดซานและทีมทำการไล่ตรวจสอบข้อมูลการเข้าใช้งานระบบ และสอบถามถึงการควบคุมและสำรองข้อมูลระบบซึ่งพบว่าไม่มีการสำรองข้อมูลระบบงานไว้ เมื่อเกิดกรณี Ransomware เข้าโจมตีระบบจากการที่ทีมงานทำงานจากที่บ้านและเปิดช่องโหว่ของระบบงานไว้ หากไม่สามารถแก้ไขได้ ก็จะเกิดความเสียหายได้

โชคดี ว่านัมโดซานและทีมเป็นบุคลากรที่มีความสามารถและประสบการณ์เพียงพอที่จะแก้ไขได้อย่างทันต่อเวลา

ดังนั้นเพื่อป้องกันความเสี่ยงของธุรกิจจึงควรกลับมาทบทวนการประเมินความเสี่ยงและสอบทานการควบคุมระบบสารสนเทศ (IT Risk and Control) เพื่อให้ลดความเสี่ยงที่อาจเกิดขึ้นกับระบบงานดังเช่นกรณีนี้ ยิ่งในยุคดิจิทัล ที่หลายๆธุรกิจอย่างน้อยต้องมีการนำระบบ IT เข้ามาเป็นส่วนใดส่วนหนึ่งหรือแม้กระทั่งเป็นหัวใจหลักของธุรกิจ

การเตรียมพร้อมระบบงานควบคุมที่ดีจะช่วยลดความเสี่ยงเหล่านี้ได้ เช่น

- การมีแผนงานการออกแบบพัฒนาระบบ ITที่ดี

- การควบคุมหากต้องมีการแก้ไขระบบงานว่าถูกอนุมัติอย่างเหมาะสม

-การเข้าถึงระบบงาน การจำกัดสิทธิและระดับของผู้ใช้งานในการแก้ไข พัฒนาระบบ

- การรักษาความปลอดภัยทางกายภาพของ Hardware

- การสำรองข้อมูลระบบงาน อย่างมีระบบ และสามารถเรียกใช้งานได้อย่างทันเวลา

- แผนการกู้คืนข้อมูลหากเกิดเหตุการณ์ที่ไม่คาดฝัน ให้สามารถกลับมาทำงานได้อย่างทันที

การมีแผนงานเพื่อประเมินและลดความเสี่ยงที่ดี รวมถึงมีการควบคุมในจุดต่างๆที่มีความเสี่ยงก็จะช่วยให้ธุรกิจสามารถดำเนินการได้อย่างมั่นใจนะครับ

มาติดตามให้กำลังใจทีมงานของซอดัลมีและ นัมโดซานในโค้งสุดท้ายนี้ และถ้ามีเกร็ดความรู้ดีๆจะนำกลับมาฝากอีกนะครับ