វិធីសាស្ត្រក្លាយខ្លួនជាសវនករសន្តិសុខព័ត៌មាន (IT Security Auditor)

ការធ្វើជាសវនករផ្នែកសន្តិសុខព័ត៌មានមានន័យថាជាការធ្វើការពាក់ព័ន្ធទៅនឹងសវនកម្មប្រព័ន្ធសន្តិសុខព័ត៌មានរបស់ហេដ្ឋារចនាសម្ព័ន្ធ IT នៅក្នុងក្រុមហ៊ុនមួយ។ ការងារនេះអាចមានការលំបាក ព្រោះវាមានពឹងផ្អែកទៅលើសុវត្ថិភាពព័ត៌មាន និងអនុលោមភាព។ ជាទូទៅវាតម្រូវឱ្យបេក្ខជនមានបទពិសោធនៅក្នុងផ្នែករដ្ឋបាលព័ត៌មានវិទ្យា និងសន្តិសុខព័ត៌មានជាចំណុចចាប់ផ្តើម។ (តែនេះមិនមែនតែងតែជាករណីសម្រាប់សវនករអនុលោមភាពឡើយ។ )

សវនកម្មសន្តិសុខព័ត៌មានត្រូវបានប្រើប្រាស់ដើម្បីបង្កើតរបាយការណ៍ស៊ីជម្រៅ ដែលបង្ហាញព័ត៌មានលម្អិតអំពីស្ថានភាពបច្ចុប្បន្ននៃសន្តិសុខព័ត៌មានរបស់ក្រុមហ៊ុនមួយ និងចំនុចដែលអ្វីៗអាចត្រូវបានកែលម្អ និងអ្វីៗកំពុងដំណើរការជាទូទៅ។ នេះមានប្រយោជន៍ ដោយសារអ្នករៀបចំផែនការ និងអ្នកធ្វើសេចក្តីសម្រេចចិត្តត្រូវដឹងថាតើប្រព័ន្ធព័ត៌មានវិទ្យាកំពុងដំណើរការយ៉ាងដូចម្តេច ហើយថាតើការយន្តការប្រុងប្រយ័ត្នផ្នែកសន្តិសុខបច្ចុប្បន្ន​​ អាចនឹងត្រូវបានធ្វើឱ្យប្រសើរឡើងដើម្បីធានាបាននូវសមត្ថភាពនៅក្នុងក្រុមហ៊ុន។

បទពិសោធន៍ការងារ (Work Experiences)

មានមធ្យោបាយជាច្រើនដើម្បីក្លាយខ្លួនជាសវនករសន្តិសុខព័ត៌មាន។ មនុស្សមួយចំនួនចាប់ផ្តើមនៅក្នុងមុខតំណែងអាយធីកម្រិតដំបូង ដូចជាអ្នកបច្ចេកទេសប្រព័ន្ធ, អ្នកគ្រប់គ្រងប្រព័ន្ធ, … ល …។ បន្ទាប់មកពួកគេធ្វើការឈានទៅរកផ្នែកសុវត្ថិភាពព័ត៌មាន ហើយបន្ទាប់មក (បើសិនជាអាចធ្វើទៅបាន) ចាប់ផ្តើមផ្លាស់ប្តូរទៅរកការងារផ្នែកគ្រប់គ្រងហានិភ័យ និងសវនកម្ម (risk management and auditing) ប្រសិនបើពួកគេមានជំនាញ និងសមត្ថភាពដែលត្រូវការ។ ឧទាហរណ៏នៃមុខតំណែងកម្រិតដំបូងដែលអាចនាំអ្នកឈានទៅកាន់ផ្នែកសន្តិសុខព័ត៌មានបាន មានដូចជាអ្នកគ្រប់គ្រងប្រព័ន្ធ (system administrator), អ្នកគ្រប់គ្រងបណ្តាញ (network administrator) ឬអ្នកគ្រប់គ្រងសុវត្ថិភាព (security administrator)។

មុខតំណែងកម្រិតដំបូងទាំងនេះតម្រូវឱ្យបេក្ខជនដោះស្រាយបញ្ហាបច្ចេកទេស និងរដ្ឋបាល។ អ្នកគ្រប់គ្រងប្រព័ន្ធភាគច្រើននឹងដំណើរការជ្រើសរើសបុគ្គលិកថ្មី, ផ្តល់និងដកហូតសិទ្ធិអាក់សេសទៅកាន់ប្រព័ន្ធ និងអនុវត្តការគ្រប់គ្រងសិទ្ធិសម្រាប់ការចូលប្រើប្រាស់ធនធានដោយផ្អែកទៅលើផ្នែកពាក់ព័ន្ធ។ ទាំងនេះគឺជាមូលដ្ឋានគ្រឹះដ៏ល្អដើម្បីស្ថាបនាខ្លួនអ្នក ហើយអាចជួយអ្នកឱ្យបង្ហាញទិសដៅត្រឹមត្រូវប្រសិនបើអ្នកកំពុងស្វែងរកអាជីពនៅក្នុងសវនកម្មសន្តិសុខព័ត៌មាន។

ក្នុងករណីកម្រ បេក្ខជនអាចស្វែងរកដោយខ្លួនឯងដើម្បីទទួលបានការធ្វើកម្មសិក្សាក្នុងការងាសវនកម្ម ប៉ុន្តែវាការជាប្រសើរក្នុងការចូលរួមក្នុងផ្នែកសវនកម្មបើសិនជាអ្នកមានជំនាញបច្ចេកទេសខ្លះៗ អំពីបច្ចេកវិទ្យាព័ត៌មាន និងសន្តិសុខព័ត៌មាន។

ជំនាញដែលត្រូវការ (Required Skills)

ដូចជាមួយនឹងតួនាទីសន្តិសុខព័ត៌មាន ភាគច្រើនជំនាញដែលត្រូវការសម្រាប់បុគ្គលដែលទទួលបានជោគជ័យ គឺមិនគ្រាន់តែជាចំណេះដឹងខាងទ្រឹស្ដីប៉ុណ្ណោះទេ។ បេក្ខជនត្រូវមានជំនាញបច្ចេកទេស (technical) និងជំនាញទន់ (Soft skill) ដើម្បីឱ្យពួកគេអាចអនុវត្តភារកិច្ចដោយជោគជ័យនៅកំរិតនេះ។ ខាងក្រោមនេះគឺជាឧទាហរណ៍មួយចំនួននៃជំនាញដែលបេក្ខជនគួរមាន ប្រសិនបើពួកគេកំពុងពិចារណាអាជីពសវនកម្មសន្តិសុខព័ត៌មាន។

ជំនាញបច្ចេកទេស (Technical)

ចំណេះដឹងផ្នែកប្រព័ន្ធព័ត៌មានវិទ្យា ដូចជាបណ្តាញ (network) និងប្រព័ន្ធប្រតិបត្តិការ (operting system) មានប្រយោជន៍សម្រាប់ធ្វើសវនកម្មសន្តិសុខព័ត៌មាន។ បទពិសោធន៍ជាមួយអ្នកប្រើប្រាស់ និងប្រព័ន្ធគ្រប់គ្រង (system admin) ក៏ចាំបាច់ផងដែរ ប្រសិនបើការងារសវនកម្មដែលតម្រូវឱ្យមាននោះ។ មានន័យថាសវនករនឹងត្រូវចូលប្រើម៉ាស៊ីនមេដើម្បីត្រួតពិនិត្យការអនុលោម និងព័ត៌មានទាក់ទងនឹងសវនកម្មផ្សេងៗ។

ជំនាញទន់ (Soft Skill)

ជំនាញទំនាក់ទំនងដ៏រឹងមាំ (communications skills) ទាំងការសរសេរ និងការនិយាយស្តី គឺចាំបាច់ណាស់ ប្រសិនជាបេក្ខជនចង់ទទួលបានជោគជ័យក្នុងការងារនេះ។ ទំនុកចិត្តនិងការធានា គឺមានសារៈសំខាន់រួមបញ្ចូលជាមួយវិធីសាស្រ្តសកម្មដើម្បីធ្វើការ ដែលនឹងធានាថាសវនករអាចស្នើសុំព័ត៌មានពាក់ព័ន្ធនៅពេលដែលត្រូវការ។ សវនករខ្លះនឹងត្រូវការការទំនាក់ទំនងជាមួយសមាជិកប្រតិបត្តិនៃក្រុមហ៊ុន ដូច្នេះជំនាញនិយាយ និងសរសេរបានត្រឹមត្រូវគឺជាអត្ថប្រយោជន៍ដ៏ធំមួយ។

ការអប់រំ (Education)

ការទទួលបានវិញ្ញាបនប័ត្រដើម្បីក្លាយជាសវនករសន្តិសុខព័ត៌មានតម្រូវឱ្យបេក្ខជនមានបរិញ្ញាបត្រផ្នែកវិទ្យាសាស្ត្រកុំព្យូទ័រ ឬសញ្ញាប័ត្រដែលមានលក្ខណៈស្តង់ដារ ឬក៏វិញ្ញាបនប័ត្រសុវត្ថិភាពព័ត៌មានឯកទេសច្រើនទៀត ដូចជាវិញ្ញាបនប័ត្រ​ Certified Information Systems Auditor (CISA) ជាដើម។

អ្វីដែលធ្វើឱ្យការងារនេះមានការពិបាកជាងនេះ គឺថានិយោជកភាគច្រើនតម្រូវឱ្យមានបេក្ខជនដើម្បីទទួលបានវិញ្ញាបនប័ត្រទទួលស្គាល់ (certified) ជាមុនសិន មុនពេលចូលរួមក្នុងក្រុមហ៊ុនដែលខុសពីផ្លូវអាជីព IT មួយចំនួនដែលអនុញ្ញាតឱ្យបេក្ខជនធ្វើការ នៅពេលពួកគេទទួលបានវិញ្ញាបនប័ត្រធម្មតា​ (មិនចាំបាច់ certified ឡើយ)។ ប្រសិនបើបេក្ខជនស្វែងរកការងារនៅផ្នែកសវនកម្ម និងអនុលោមភាព នោះចំណេះដឹងផ្នែកបច្ចេកទេស គឺមិនមានតំរូវការទេ ព្រោះការងារសវនកម្មធ្វើការត្រួតពិនិត្យទៅលើអណុលោមភាពតែប៉ុណ្ណោះ។

បន្តទៅទៀត បេក្ខជនភាគច្រើនបានឈានចាប់យកឯកទេសខាងផ្នែកសន្តិសុខព័ត៌មានមានដូចជាអ្នកវិភាគ (analyst), អ្នកពិគ្រោះយោបល់ (consultant) ឬវិស្វករ (engineer) ហើយនឹងសិក្សាយកនូវវិញ្ញាបនប័ត្រដែលមានការទទួលស្គាល់ជាសាកល ដូចជា CISM, CISSP ឬវិញ្ញាបនប័ត្រស្រដៀងគ្នានេះ។

ទិដ្ឋភាពទូទៅមុខងារការងារ (Job Functions)

សវនករសន្តិសុខព័ត៌មានមិនដោះស្រាយបញ្ហាណាមួយ ដែលពួកគេរកឃើញក្នុងអំឡុងពេលនៃការធ្វើសវនកម្មទេ។ ផ្ទុយទៅវិញពួកគេផ្តល់នូវគំនិតដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់អំពីស្ថានភាពប្រព័ន្ធបច្ចុប្បន្ននៅក្នុងក្រុមហ៊ុន ហើយចងក្រងការស្រាវជ្រាវទាំងអស់របស់ពួកគេនៅក្នុងរបាយការណ៍ដ៏ទូលំទូលាយមួយ។ ព័ត៌មាននៅក្នុងរបាយការណ៍ត្រូវបានអនុវត្តដោយក្រុម cybersecurity ដែលទទួលខុសត្រូវក្នុងការថែរក្សាប្រព័ន្ធនៅក្នុងក្រុមហ៊ុន។

មានទិដ្ឋភាពជាច្រើននៃបច្ចេកវិទ្យាព័ត៌មានដែលសវនករសន្តិសុខព័ត៌មានចាំបាច់ត្រូវដឹង ប៉ុន្តែមានការទទួលខុសត្រូវការងារជាច្រើនផ្សេងទៀត ដែលត្រូវការធ្វើក្នុងពេលតែមួយ។ ទាំងនេះ​រួម​បញ្ចូល​ទាំង:

• ឆន្ទៈ​ក្នុង​ការ​ធ្វើ​ដំណើរ
• ការចូលរួមសវនកម្មសន្តិសុខពីដំបូងរហូតដល់បញ្ចប់រួមទាំងការប្រតិបត្តិ និងការបំពេញបញ្ចប់ការងារភារកិច្ចសវនកម្ម
• គ្រប់ទិដ្ឋភាពទាំងអស់នៃប្រតិបត្តិការអាជីវកម្មចាំបាច់ត្រូវធ្វើសវនកម្ម រាប់ចាប់ពីប្រព័ន្ធព័ត៌មានវិទ្យា និងហិរញ្ញវត្ថុ រហូតដល់មុខងារគ្រប់គ្រង និងនីតិវិធីសន្តិសុខព័ត៌មាន
• ការវាយតម្លៃហានិភ័យ (risk assessment) និងនីតិវិធី (procedures) ត្រូវតែត្រួតពិនិត្យ (assess) និងវាយតម្លៃ (evaluate)។ ទាំងនេះត្រូវតែផ្លាស់ប្តូរ និងធ្វើសារឡើងវិញ នៅពេលដែលកំហុសត្រូវបានរកឃើញ រួចនីតិវិធីថ្មីត្រូវតែបង្កើតនៅពេលដែលមិនមាននីតិវិធីណាមួយក្នុងពេលបច្ចុប្បន្ន
• ទាក់ទងជាមួយនិយោជិត, ភាគីពាក់ព័ន្ធ, នាយកប្រតិបត្តិ និងម្ចាស់ដើម្បីបង្កើតយន្តការទំនាក់ទំនងបច្ចុប្បន្ន និងការគោរពចំពោះគោលនយោបាយសុវត្ថិភាព
• នៅពេលគម្លាតនៅក្នុងសន្តិសុខត្រូវបានរកឃើញ សូមសាកល្បង (simulation) និងធ្វើតេស្តដើម្បីកំណត់ថាវិសាលភាពនៃហានិភ័យវាអាចប៉ះពាល់ទៅដល់ប្រតិបត្តិការកម្រិតណា
• កត់ត្រាដំណើរការ និងវិធីសាស្រ្តដែលបានប្រើនៅក្នុងសវនកម្ម ដូច្នេះលទ្ធផលអាចត្រូវបានបង្កើតឡើងដោយឯករាជ្យ និងបានផ្ទៀងផ្ទាត់ប្រសិនបើចាំបាច់
• ត្រូវប្រាកដថាសកម្មភាពសវនកម្មត្រូវគោរពតាមវិសាលភាពសវនកម្ម។ លទ្ធផលត្រូវតែស្របតាមគោលដៅសវនកម្ម
• សេចក្តីសន្និដ្ឋានសវនកម្មត្រូវតែសមស្របតាមលក្ខណៈវិនិច្ឆ័យសវនកម្មដើម (original audit criteria)
• រាយការណ៍និងបង្ហាញដល់អ្នកពាក់ព័ន្ធទាំងអស់នូវរបាយការណ៍
• ការសហការគ្នាគ្រប់គាគីពាក់ព័ន្ធដើម្បីធានានូវការអនុលោម និងស្របទៅតាមអនុសាសន៍ស្តីពីសន្តិសុខព័ត៌មាន

សរុបសេចក្តី

ដើម្បីក្លាយជាអ្នកសវនករសន្តិសុខព័ត៌មានតម្រូវឱ្យមានជំនាញអង្គភាពជាច្រើន (organization skills) និងកម្រិតនៃការយកចិត្តទុកដាក់ខ្ពស់។ វិធីដែលសវនកម្មត្រូវបានអនុវត្តតម្រូវឱ្យមានផែនការ និងឯកសារយ៉ាងល្អិតល្អន់ ក៏ដូចជាការស៊ើបអង្កេតហ្មត់ចត់ និងទូលំទូលាយផងដែរក។

សវនកម្មសន្តិសុខព័ត៌មានមិនមែនជាការងារដែលអាចមានផ្លូវកាត់ ឈានទៅដល់តែម្តងនោះទេ ដោយសារតែសន្តិសុខ និងសុចរិតភាពនៃក្រុមហ៊ុនទាំងមូលពឹងផ្អែកលើប្រភេទសវនកម្មទាំងនេះដើម្បីធានាសុវត្ថិភាព និងអនុលោម។ ប្រសិនបើអ្នកជាប្រភេទមនុស្សដែលមានការរៀបចំទុកដាក់ត្រឹមត្រូវ និងអត់ធ្មត់ហើយផ្តោតទៅលើភាពលំអិត នោះវាអាចជាផ្លូវអាជីពសម្រាប់អ្នក៕

ប្រភព៖