ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity TipsTraining SeriesVideo

Auditor: ព័ត៌មានសំខាន់ៗដែលត្រូវការពារ

ក្នុងនាមជាអ្នកធ្វើសវនកម្ម ឬវិភាគនូវហានិភ័យនានានៅក្នុងប្រព័ន្ធព័ត៌មាន តើទិន្នន័យ (data) ណាខ្លះដែលត្រូវធ្វើការត្រួតពិនិត្យការពារឲ្យបានម៉ត់ចត់ ហើយត្រូវចាត់ទុកថាគឺជាថាគឺជាទិន្នន័យសំខាន់នោះ?

បើតាមការពន្យល់បង្ហាញនៅក្នុងវីដេអូដែលបានបង្ហោះនៅក្នុងវេបសាយ YouTube បានឲ្យដឹងថា ធាតុចំបងសំខាន់ៗដែលពាក់ព័ន្ធទៅនឹងទិន្នន័យសំងាត់ (confidential data) គឺមានដូចជា:

១.ការគ្រប់គ្រងទៅលើឧបករណ៍រក្សាទុកទិន្នន័យចល័ត (removable storage management): ដោយរួមមានឧបករណ៍ Plug-and-Play, USB, external hard disk, ឬក៏ optical drive …etc

២.ការគ្រប់គ្រងឯកសារ (document management): រួមមានដូចជាការគ្រប់គ្រងទៅលើ file server, proxy server management, cloud storage, ឬក៏ប្រព័ន្ធរក្សាទុកទិន្នន័យផ្សេងៗទៀត

៣.ការគ្រប់គ្រងឧបករណ៍ (device management): សំដៅទៅលើការគ្រប់គ្រងរាល់ឧបករណ៍ (hardware) ឲ្យបានត្រឹមត្រូវ ដែលភាគច្រើនគឺពាក់ព័ន្ធទៅនឹងហេដ្ឋារចនាសម្ព័ន្ធ (infrastructure)

៤.ការគ្រប់គ្រងការបោះពុម្ពឯកសារ (print management): សំដៅទៅលើការគ្រប់គ្រងឧបករណ៍បោះពុម្ព ជៀសវាងការបោះពុម្ពឯកសារសំខាន់ៗចេញក្រៅ, ដឹងឲ្យបានច្បាស់នូវកុំព្យូទ័រមួយណាដែលពាក់ព័ន្ធនឹងការបោះពុម្ព

៥.ការគ្រប់គ្រងប្រព័ន្ធឆ្លើយឆ្លងសារខ្លីៗ (instant messenger management): គ្រប់គ្រងឲ្យបានល្អ ពីព្រោះវាអាចជាច្រកក្នុងការជ្រាបចេញនូវព័ត៌មាន (leakage) ទៅកាន់ភាគីទីបី

៦.ការគ្រប់គ្រងទៅលើកម្មវិធីចែករំលែក (Peer-to-Peer program management): មិនត្រូវអនុញ្ញាតឲ្យមានការប្រើប្រាស់កម្មវិធី P2P ឡើយ មានដូចជាកម្មវិធី BitTorrent ដែលវាជាការគ្រោះថ្នាក់មួយចំពោះអង្គភាព ដោយទិន្នន័យអាចធ្វើការចែករំលែកដោយផ្ទាល់ពីប្រភពដើម ​(source) ទៅកាន់គោលដៅដោយផ្ទាល់ ​(destination)

៧.ការគ្រប់គ្រងអីុម៉ែល (e-mail management): ត្រូវធ្វើការគ្រប់គ្រងម៉ាសីុនមេអីុម៉ែល ដោយជៀសវាងនូវបុគ្គលអាចផ្ញើរនូវឯកសារសំខាន់ៗនានា ចេញពីក្នុងអង្គភាពដោយយើងមិនបានដឹង

Screenshot 2016-03-26 22.26.47

ប្រភេទនៃព័ត៌មានដែលអង្គភាពគួរការពារ

នៅក្នុងប្រព័ន្ធព័ត៌មានមួយ មានប្រភេទនៃទិន្នន័យជាច្រើន ហើយស្ថិតនៅក្នុងលំហូររៀងៗខ្លួន។ ព័ត៌មានខ្លះសំខាន់ (sensitive) និងព័ត៌មានខ្លះទៀតមិនសំខាន់ ។ ក្នុងកាលៈទេសៈខ្លះ ព័ត៌មានអាចមិនមានលក្ខណៈសំខាន់នោះទេ ប៉ុន្តែអាចឲ្យមានការលួចបន្លំ (fraud) បើសិនជាបុគ្គលផ្សេងណាម្នាក់អាចធ្វើការចូលទៅកាន់ (access) ឬកែប្រែនូវព័ត៌មាននោះ។ ដូច្នេះជាជំហានដំបូងក្នុងការការពារលំហូរព័ត៌មាន គឺទាមទារឲ្យយើងធ្វើការកំណត់នូវអត្តសញ្ញាណនៃព័ត៌មាន ដែលត្រូវធ្វើការការពារជាមុនសិន។

ខាងក្រោមនេះគឺជាប្រភេទខ្លះៗនែព័ត៌មាន ដែលទាមទារឲ្យមានការការពារ៖

១.ពាក្យសម្ងាត់ (Password)
ពាក្យសម្ងាត់ដែលត្រូវបានគេលួច អាចឲ្យមានការវាយប្រហារមកលើប្រព័ន្ធរបស់អ្នក ឬគ្រប់គ្រងប្រព័ន្ធទាំងមូល។ អ្នកវាយប្រហារអាចប្រើប្រាស់នូវកម្មវិធីបំបែកពាក្យសម្ងាត់ ក្នុងគោលបំណងដើម្បីដឹងពាក្យសំងាត់ នឹងឈានទៅគ្រប់គ្រងប្រព័ន្ធ។

២.ប្រាក់ខែបុគ្គលិក (Salaries)
ព័ត៌មានអំពីប្រាក់ខែបុគ្គលិក អាចធ្វើឲ្យប៉ៈពាល់ដល់សីលធម៌ និងទឹកចិត្តរបស់បុគ្គលិកដែលកំពុងបម្រើការនៅក្នុងក្រុមហ៊ុន ហើយអាចឈានទៅដល់មានជម្លោះផ្ទៃក្នុងរវាងបុគ្គលិក និងបុគ្គលិក ឬអ្នកគ្រប់គ្រង ។

៣.បញ្ជីទំនាក់ទំនងអតិថិជន (Customer Contact List)
ព័ត៌មានអតិថិជន គឺត្រូវធ្វើការរក្សាទុកឲ្យបានត្រឹមត្រូវ ជៀសវាងការជ្រាបចេញទៅកាន់អ្នកទីបី ដែលអាចធ្វើឲ្យអង្គភាព ឬក្រុមហ៊ុនរបស់អ្នកចាញ់ប្រៀបក្នុងការប្រកួតប្រជែង ។

៤.ផែនការយុទ្ធសាស្ត្រអាជីវកម្ម (Business Strategic Plan)
ផែនការយុទ្ធសាស្ត្រដែលផ្ទុកទៅដោយព័ត៌មានសំខាន់ៗរួមមាន ផែនការអាជីវកម្ម ផែនការហិរញ្ញវត្ថុ ផែនការទីផ្សារ ផែនការសកម្មភាពការងារ និងផែនការប្រកួតប្រជែងជាដើម ។ ក្រុមហ៊ុនអ្នក អាចជួបប្រទៈនឹងការប្រកួតប្រជែងយ៉ាងខ្លាំង បើសិនជាភាគីទីបី ឬដៃគូរប្រកួតប្រជែងមាននូវឯកសារនេះ។

៥.ព័ត៌មានឯកជនភាព (Privacy Information)
សំដៅទៅលើព័ត៌មានឯកជនរបស់អតិថិជន ឬបុគ្គលិកម្នាក់ៗដែលត្រូវតែការពារមិនឲ្យមានការជ្រាបចេញ។ វាអាចមានផលប៉ៈពាល់ដល់អង្គភាពរបស់អ្នក ដោយអាចឲ្យអ្នកធ្វើការចំណាយថវិការដោយផ្ទាល់ក្នុងករណីដែលមានការទាមទារឲ្យបង់ប្រាក់ថ្លៃសេវាឃ្លាំមើលផលប៉ៈពាល់។

៦.ការស្រាវជ្រាវនិងអភិវឌ្ឍន៍ (Research and Development)
សំដៅទៅលើសកម្មភាពនៃការស្រាវជ្រាវនិងអភិវឌ្ឍន៍ដែលអង្គភាពរបស់អ្នកបាននឹងកំពុងដំណើរការ ។ ការជ្រាបចេញនូវព័ត៌មានទាំងនេះ គឺអាចធ្វើឲ្យអង្គភាពអ្នក បាត់បង់នូវថ្លៃថវិការចាយវាយទាំងអស់ដែលបានធ្វើការវិនិយោគក្នុងន័យទាញយកនូវគុណសម្បត្តិប្រកួតប្រជែង។ ការកែប្រែដោយមិនមានការអនុញ្ញាតទៅលើព័ត៌មានទាំងនេះ អាចមានផលប៉ៈពាល់ទៅដល់ភាពជោគជ័យរបស់គម្រោង ឬអាយុជីវិតរបស់អង្គភាពផ្ទាល់តែម្តង។

៧.ព័ត៌មានស្តីពីដៃគូរប្រកួតប្រជែង (Intelligence on Competitors)
ព័ត៌មានដែលយើងទទួលបានពីដៃគូរប្រកួតប្រជែងអាចជៈឥទិ្ធពលដល់សកម្មភាពនានារបស់អង្គភាពអ្នក។ ការកែប្រែនូវព័ត៌មានទាំងនេះ អាចធ្វើឲ្យអង្គភាពរបស់អ្នក ធ្វើសកម្មភាពមិនសមស្រប។

៨.ព័ត៌មានកម្មសិទ្ធិ (Proprietary Information)
ព័ត៌មានដែលទាំងឡាយណាដែលជាកម្មសិទ្ធិរបស់ក្រុមហ៊ុន ហើយដែលត្រូវប្រើប្រាស់ក្នុងកិច្ចការអាជីវកម្ម និង ការងារប្រកួតប្រជែង គឺត្រូវតែការពារឲ្យបានប្រសើរ។ ការជ្រាបចេញ ឬកែប្រែនូវព័ត៌មានទាំងអស់នេះ អាចឲ្យអង្គភាពរងផលប៉ៈពាល់ទៅលើលទ្ធភាពក្នុងការផ្តល់សេវាកម្មឲ្យអតិថិជន ឬការឈរជើងប្រកួតប្រជែងក្នុងអាជីវកម្ម។

៩.ព័ត៌មានសំងាត់អាជីវកម្ម ​(Trade Secrete) 
នៅក្នុងចំនុចនេះគឺសំដៅទៅលើ ដំណើរការកិច្ចការអាជីវកម្ម, នីតិវិធី, កិច្ចសន្យា និងបច្ចេកទេសនានា ដែលអង្គភាពបានប្រើប្រាស់ក្នុងការទទួលបាននូវការប្រកួតប្រជែងដ៏ប្រសើរ។ វាអាចប៉ៈពាល់ទៅដល់ប្រសិទ្ធិភាពនៃដំណើរការអាជីវកម្មទាំងមូល ប្រសិនបើព័ត៌មានទាំងនេះត្រូវបានធ្លាក់ទៅដល់ដៃជនទីបី។

១០.ដៃគូរសហការណ៍ (alliances)
អង្គភាពរបស់អ្នកអាចចែករំលែកប្រតិបត្តិការ ឬសកម្មភាពអាជីវកម្មផ្សេងៗជាមួយនឹងអង្គភាពដែលជាដៃគូផ្សេងទៀត ដែលការជ្រាបចេញនូវព័ត៌មាននេះ អាចបណ្តាលឲ្យយើងបាត់បង់កេរ្តិ៍ឈ្មោះ ឬកិត្តិយស។

១១.ព័ត៌មានអំពីថវិការ និងគណនី (Budget and Accounting Information)
នៅក្នុងករណីជាច្រើន ភាពត្រឹមត្រូវនៃព័ត៌មានហិរញ្ញវត្ថុត្រូវតែការពារ មិនឲ្យមានការកែប្រែដោយមិនមានសិទ្ធិអនុញ្ញាតនោះឡើយ។ នៅក្នុងនោះក៏មាននិយាយទៅដល់ financial transtraction, project costing, …etc។ ភាពខ្សោយនៅក្នុងដំណើរការ ប្រព័ន្ធគ្រប់គ្រងគណនីអាចបណ្តាលឲ្យមានការក្លែងបន្លំ។

១២.System Configurations
ការផ្លាស់ប្តូរទៅលើ ​system configurations ដោយមិនមានការអនុញ្ញាតនឹងនាំឲ្យប៉ៈពាល់ទៅដល់សន្តិសុខរបស់ប្រព័ន្ធ។ វាពាក់ទៅនឹង network devices ដោយរួមមាន rounter, switch, firewall, … ដែលត្រូវការធ្វើឯកសារឲ្យបានត្រឹមត្រូវ និងរក្សាទុកឲ្យមានសុវត្ថិភាព។

១៣.Transaction Processing
ប្រព័ន្ធដែលប្រើប្រាស់ដាតាបេស (ដូចជា eCommerce) ត្រូវការជាចាំបាច់នូវ ភាពដំណើរការជាប្រចាំ ​(availability) និងភាពត្រឹមត្រូវ (intergrity) នៃដំណើការ transaction។ ភាពសំងាត់ (confidentality) គឺជាការចាំបាច់ផងដែរនៅពេលដែលពាក់ព័ន្ធទៅនឹង financial transaction ។

១៤.Cryptographic Keys
ត្រូវមានការការពារឲ្យបានត្រឹមត្រូវទៅលើ Public Key និង Private key ដែលជាតម្រូវការក្នុងការប្រើប្រាស់សេវាកម្មសន្តិសុខមួយចំនួន។ ការបាត់បង់នូវ keys ទាំងនេះអាចឲ្យយើងមានការក្លែងបន្លំ ឬជ្រាបចេញព័ត៌មាន។

ខាងក្រោមនេះគឺជាវិដេអូទាំងស្រុង

ប្រភព៖ YouTube (E-Managerial) / ប្រែសម្រួល៖ SecuDemy.com

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button