Auditor: ព័ត៌មានសំខាន់ៗដែលត្រូវការពារ

ក្នុងនាមជាអ្នកធ្វើសវនកម្ម ឬវិភាគនូវហានិភ័យនានានៅក្នុងប្រព័ន្ធព័ត៌មាន តើទិន្នន័យ (data) ណាខ្លះដែលត្រូវធ្វើការត្រួតពិនិត្យការពារឲ្យបានម៉ត់ចត់ ហើយត្រូវចាត់ទុកថាគឺជាថាគឺជាទិន្នន័យសំខាន់នោះ?

បើតាមការពន្យល់បង្ហាញនៅក្នុងវីដេអូដែលបានបង្ហោះនៅក្នុងវេបសាយ YouTube បានឲ្យដឹងថា ធាតុចំបងសំខាន់ៗដែលពាក់ព័ន្ធទៅនឹងទិន្នន័យសំងាត់ (confidential data) គឺមានដូចជា:

១.ការគ្រប់គ្រងទៅលើឧបករណ៍រក្សាទុកទិន្នន័យចល័ត (removable storage management): ដោយរួមមានឧបករណ៍ Plug-and-Play, USB, external hard disk, ឬក៏ optical drive …etc

២.ការគ្រប់គ្រងឯកសារ (document management): រួមមានដូចជាការគ្រប់គ្រងទៅលើ file server, proxy server management, cloud storage, ឬក៏ប្រព័ន្ធរក្សាទុកទិន្នន័យផ្សេងៗទៀត

៣.ការគ្រប់គ្រងឧបករណ៍ (device management): សំដៅទៅលើការគ្រប់គ្រងរាល់ឧបករណ៍ (hardware) ឲ្យបានត្រឹមត្រូវ ដែលភាគច្រើនគឺពាក់ព័ន្ធទៅនឹងហេដ្ឋារចនាសម្ព័ន្ធ (infrastructure)

៤.ការគ្រប់គ្រងការបោះពុម្ពឯកសារ (print management): សំដៅទៅលើការគ្រប់គ្រងឧបករណ៍បោះពុម្ព ជៀសវាងការបោះពុម្ពឯកសារសំខាន់ៗចេញក្រៅ, ដឹងឲ្យបានច្បាស់នូវកុំព្យូទ័រមួយណាដែលពាក់ព័ន្ធនឹងការបោះពុម្ព

៥.ការគ្រប់គ្រងប្រព័ន្ធឆ្លើយឆ្លងសារខ្លីៗ (instant messenger management): គ្រប់គ្រងឲ្យបានល្អ ពីព្រោះវាអាចជាច្រកក្នុងការជ្រាបចេញនូវព័ត៌មាន (leakage) ទៅកាន់ភាគីទីបី

៦.ការគ្រប់គ្រងទៅលើកម្មវិធីចែករំលែក (Peer-to-Peer program management): មិនត្រូវអនុញ្ញាតឲ្យមានការប្រើប្រាស់កម្មវិធី P2P ឡើយ មានដូចជាកម្មវិធី BitTorrent ដែលវាជាការគ្រោះថ្នាក់មួយចំពោះអង្គភាព ដោយទិន្នន័យអាចធ្វើការចែករំលែកដោយផ្ទាល់ពីប្រភពដើម ​(source) ទៅកាន់គោលដៅដោយផ្ទាល់ ​(destination)

៧.ការគ្រប់គ្រងអីុម៉ែល (e-mail management): ត្រូវធ្វើការគ្រប់គ្រងម៉ាសីុនមេអីុម៉ែល ដោយជៀសវាងនូវបុគ្គលអាចផ្ញើរនូវឯកសារសំខាន់ៗនានា ចេញពីក្នុងអង្គភាពដោយយើងមិនបានដឹង

ប្រភេទនៃព័ត៌មានដែលអង្គភាពគួរការពារ

នៅក្នុងប្រព័ន្ធព័ត៌មានមួយ មានប្រភេទនៃទិន្នន័យជាច្រើន ហើយស្ថិតនៅក្នុងលំហូររៀងៗខ្លួន។ ព័ត៌មានខ្លះសំខាន់ (sensitive) និងព័ត៌មានខ្លះទៀតមិនសំខាន់ ។ ក្នុងកាលៈទេសៈខ្លះ ព័ត៌មានអាចមិនមានលក្ខណៈសំខាន់នោះទេ ប៉ុន្តែអាចឲ្យមានការលួចបន្លំ (fraud) បើសិនជាបុគ្គលផ្សេងណាម្នាក់អាចធ្វើការចូលទៅកាន់ (access) ឬកែប្រែនូវព័ត៌មាននោះ។ ដូច្នេះជាជំហានដំបូងក្នុងការការពារលំហូរព័ត៌មាន គឺទាមទារឲ្យយើងធ្វើការកំណត់នូវអត្តសញ្ញាណនៃព័ត៌មាន ដែលត្រូវធ្វើការការពារជាមុនសិន។

ខាងក្រោមនេះគឺជាប្រភេទខ្លះៗនែព័ត៌មាន ដែលទាមទារឲ្យមានការការពារ៖

១.ពាក្យសម្ងាត់ (Password)
ពាក្យសម្ងាត់ដែលត្រូវបានគេលួច អាចឲ្យមានការវាយប្រហារមកលើប្រព័ន្ធរបស់អ្នក ឬគ្រប់គ្រងប្រព័ន្ធទាំងមូល។ អ្នកវាយប្រហារអាចប្រើប្រាស់នូវកម្មវិធីបំបែកពាក្យសម្ងាត់ ក្នុងគោលបំណងដើម្បីដឹងពាក្យសំងាត់ នឹងឈានទៅគ្រប់គ្រងប្រព័ន្ធ។

២.ប្រាក់ខែបុគ្គលិក (Salaries)
ព័ត៌មានអំពីប្រាក់ខែបុគ្គលិក អាចធ្វើឲ្យប៉ៈពាល់ដល់សីលធម៌ និងទឹកចិត្តរបស់បុគ្គលិកដែលកំពុងបម្រើការនៅក្នុងក្រុមហ៊ុន ហើយអាចឈានទៅដល់មានជម្លោះផ្ទៃក្នុងរវាងបុគ្គលិក និងបុគ្គលិក ឬអ្នកគ្រប់គ្រង ។

៣.បញ្ជីទំនាក់ទំនងអតិថិជន (Customer Contact List)
ព័ត៌មានអតិថិជន គឺត្រូវធ្វើការរក្សាទុកឲ្យបានត្រឹមត្រូវ ជៀសវាងការជ្រាបចេញទៅកាន់អ្នកទីបី ដែលអាចធ្វើឲ្យអង្គភាព ឬក្រុមហ៊ុនរបស់អ្នកចាញ់ប្រៀបក្នុងការប្រកួតប្រជែង ។

៤.ផែនការយុទ្ធសាស្ត្រអាជីវកម្ម (Business Strategic Plan)
ផែនការយុទ្ធសាស្ត្រដែលផ្ទុកទៅដោយព័ត៌មានសំខាន់ៗរួមមាន ផែនការអាជីវកម្ម ផែនការហិរញ្ញវត្ថុ ផែនការទីផ្សារ ផែនការសកម្មភាពការងារ និងផែនការប្រកួតប្រជែងជាដើម ។ ក្រុមហ៊ុនអ្នក អាចជួបប្រទៈនឹងការប្រកួតប្រជែងយ៉ាងខ្លាំង បើសិនជាភាគីទីបី ឬដៃគូរប្រកួតប្រជែងមាននូវឯកសារនេះ។

៥.ព័ត៌មានឯកជនភាព (Privacy Information)
សំដៅទៅលើព័ត៌មានឯកជនរបស់អតិថិជន ឬបុគ្គលិកម្នាក់ៗដែលត្រូវតែការពារមិនឲ្យមានការជ្រាបចេញ។ វាអាចមានផលប៉ៈពាល់ដល់អង្គភាពរបស់អ្នក ដោយអាចឲ្យអ្នកធ្វើការចំណាយថវិការដោយផ្ទាល់ក្នុងករណីដែលមានការទាមទារឲ្យបង់ប្រាក់ថ្លៃសេវាឃ្លាំមើលផលប៉ៈពាល់។

៦.ការស្រាវជ្រាវនិងអភិវឌ្ឍន៍ (Research and Development)
សំដៅទៅលើសកម្មភាពនៃការស្រាវជ្រាវនិងអភិវឌ្ឍន៍ដែលអង្គភាពរបស់អ្នកបាននឹងកំពុងដំណើរការ ។ ការជ្រាបចេញនូវព័ត៌មានទាំងនេះ គឺអាចធ្វើឲ្យអង្គភាពអ្នក បាត់បង់នូវថ្លៃថវិការចាយវាយទាំងអស់ដែលបានធ្វើការវិនិយោគក្នុងន័យទាញយកនូវគុណសម្បត្តិប្រកួតប្រជែង។ ការកែប្រែដោយមិនមានការអនុញ្ញាតទៅលើព័ត៌មានទាំងនេះ អាចមានផលប៉ៈពាល់ទៅដល់ភាពជោគជ័យរបស់គម្រោង ឬអាយុជីវិតរបស់អង្គភាពផ្ទាល់តែម្តង។

៧.ព័ត៌មានស្តីពីដៃគូរប្រកួតប្រជែង (Intelligence on Competitors)
ព័ត៌មានដែលយើងទទួលបានពីដៃគូរប្រកួតប្រជែងអាចជៈឥទិ្ធពលដល់សកម្មភាពនានារបស់អង្គភាពអ្នក។ ការកែប្រែនូវព័ត៌មានទាំងនេះ អាចធ្វើឲ្យអង្គភាពរបស់អ្នក ធ្វើសកម្មភាពមិនសមស្រប។

៨.ព័ត៌មានកម្មសិទ្ធិ (Proprietary Information)
ព័ត៌មានដែលទាំងឡាយណាដែលជាកម្មសិទ្ធិរបស់ក្រុមហ៊ុន ហើយដែលត្រូវប្រើប្រាស់ក្នុងកិច្ចការអាជីវកម្ម និង ការងារប្រកួតប្រជែង គឺត្រូវតែការពារឲ្យបានប្រសើរ។ ការជ្រាបចេញ ឬកែប្រែនូវព័ត៌មានទាំងអស់នេះ អាចឲ្យអង្គភាពរងផលប៉ៈពាល់ទៅលើលទ្ធភាពក្នុងការផ្តល់សេវាកម្មឲ្យអតិថិជន ឬការឈរជើងប្រកួតប្រជែងក្នុងអាជីវកម្ម។

៩.ព័ត៌មានសំងាត់អាជីវកម្ម ​(Trade Secrete) 
នៅក្នុងចំនុចនេះគឺសំដៅទៅលើ ដំណើរការកិច្ចការអាជីវកម្ម, នីតិវិធី, កិច្ចសន្យា និងបច្ចេកទេសនានា ដែលអង្គភាពបានប្រើប្រាស់ក្នុងការទទួលបាននូវការប្រកួតប្រជែងដ៏ប្រសើរ។ វាអាចប៉ៈពាល់ទៅដល់ប្រសិទ្ធិភាពនៃដំណើរការអាជីវកម្មទាំងមូល ប្រសិនបើព័ត៌មានទាំងនេះត្រូវបានធ្លាក់ទៅដល់ដៃជនទីបី។

១០.ដៃគូរសហការណ៍ (alliances)
អង្គភាពរបស់អ្នកអាចចែករំលែកប្រតិបត្តិការ ឬសកម្មភាពអាជីវកម្មផ្សេងៗជាមួយនឹងអង្គភាពដែលជាដៃគូផ្សេងទៀត ដែលការជ្រាបចេញនូវព័ត៌មាននេះ អាចបណ្តាលឲ្យយើងបាត់បង់កេរ្តិ៍ឈ្មោះ ឬកិត្តិយស។

១១.ព័ត៌មានអំពីថវិការ និងគណនី (Budget and Accounting Information)
នៅក្នុងករណីជាច្រើន ភាពត្រឹមត្រូវនៃព័ត៌មានហិរញ្ញវត្ថុត្រូវតែការពារ មិនឲ្យមានការកែប្រែដោយមិនមានសិទ្ធិអនុញ្ញាតនោះឡើយ។ នៅក្នុងនោះក៏មាននិយាយទៅដល់ financial transtraction, project costing, …etc។ ភាពខ្សោយនៅក្នុងដំណើរការ ប្រព័ន្ធគ្រប់គ្រងគណនីអាចបណ្តាលឲ្យមានការក្លែងបន្លំ។

១២.System Configurations
ការផ្លាស់ប្តូរទៅលើ ​system configurations ដោយមិនមានការអនុញ្ញាតនឹងនាំឲ្យប៉ៈពាល់ទៅដល់សន្តិសុខរបស់ប្រព័ន្ធ។ វាពាក់ទៅនឹង network devices ដោយរួមមាន rounter, switch, firewall, … ដែលត្រូវការធ្វើឯកសារឲ្យបានត្រឹមត្រូវ និងរក្សាទុកឲ្យមានសុវត្ថិភាព។

១៣.Transaction Processing
ប្រព័ន្ធដែលប្រើប្រាស់ដាតាបេស (ដូចជា eCommerce) ត្រូវការជាចាំបាច់នូវ ភាពដំណើរការជាប្រចាំ ​(availability) និងភាពត្រឹមត្រូវ (intergrity) នៃដំណើការ transaction។ ភាពសំងាត់ (confidentality) គឺជាការចាំបាច់ផងដែរនៅពេលដែលពាក់ព័ន្ធទៅនឹង financial transaction ។

១៤.Cryptographic Keys
ត្រូវមានការការពារឲ្យបានត្រឹមត្រូវទៅលើ Public Key និង Private key ដែលជាតម្រូវការក្នុងការប្រើប្រាស់សេវាកម្មសន្តិសុខមួយចំនួន។ ការបាត់បង់នូវ keys ទាំងនេះអាចឲ្យយើងមានការក្លែងបន្លំ ឬជ្រាបចេញព័ត៌មាន។

ខាងក្រោមនេះគឺជាវិដេអូទាំងស្រុង

ប្រភព៖ YouTube (E-Managerial) / ប្រែសម្រួល៖ SecuDemy.com