ISAC Cambodia (InfoSec)
GeneralKnowledgeSecurity NewsSecurity Tips

វិធីសាស្ត្រក្លាយខ្លួនជាសវនករសន្តិសុខព័ត៌មាន (IT Security Auditor)

ការធ្វើជាសវនករផ្នែកសន្តិសុខព័ត៌មានមានន័យថាជាការធ្វើការពាក់ព័ន្ធទៅនឹងសវនកម្មប្រព័ន្ធសន្តិសុខព័ត៌មានរបស់ហេដ្ឋារចនាសម្ព័ន្ធ IT នៅក្នុងក្រុមហ៊ុនមួយ។ ការងារនេះអាចមានការលំបាក ព្រោះវាមានពឹងផ្អែកទៅលើសុវត្ថិភាពព័ត៌មាន និងអនុលោមភាព។ ជាទូទៅវាតម្រូវឱ្យបេក្ខជនមានបទពិសោធនៅក្នុងផ្នែករដ្ឋបាលព័ត៌មានវិទ្យា និងសន្តិសុខព័ត៌មានជាចំណុចចាប់ផ្តើម។ (តែនេះមិនមែនតែងតែជាករណីសម្រាប់សវនករអនុលោមភាពឡើយ។ )

សវនកម្មសន្តិសុខព័ត៌មានត្រូវបានប្រើប្រាស់ដើម្បីបង្កើតរបាយការណ៍ស៊ីជម្រៅ ដែលបង្ហាញព័ត៌មានលម្អិតអំពីស្ថានភាពបច្ចុប្បន្ននៃសន្តិសុខព័ត៌មានរបស់ក្រុមហ៊ុនមួយ និងចំនុចដែលអ្វីៗអាចត្រូវបានកែលម្អ និងអ្វីៗកំពុងដំណើរការជាទូទៅ។ នេះមានប្រយោជន៍ ដោយសារអ្នករៀបចំផែនការ និងអ្នកធ្វើសេចក្តីសម្រេចចិត្តត្រូវដឹងថាតើប្រព័ន្ធព័ត៌មានវិទ្យាកំពុងដំណើរការយ៉ាងដូចម្តេច ហើយថាតើការយន្តការប្រុងប្រយ័ត្នផ្នែកសន្តិសុខបច្ចុប្បន្ន​​ អាចនឹងត្រូវបានធ្វើឱ្យប្រសើរឡើងដើម្បីធានាបាននូវសមត្ថភាពនៅក្នុងក្រុមហ៊ុន។

បទពិសោធន៍ការងារ (Work Experiences)

មានមធ្យោបាយជាច្រើនដើម្បីក្លាយខ្លួនជាសវនករសន្តិសុខព័ត៌មាន។ មនុស្សមួយចំនួនចាប់ផ្តើមនៅក្នុងមុខតំណែងអាយធីកម្រិតដំបូង ដូចជាអ្នកបច្ចេកទេសប្រព័ន្ធ, អ្នកគ្រប់គ្រងប្រព័ន្ធ, … ល …។ បន្ទាប់មកពួកគេធ្វើការឈានទៅរកផ្នែកសុវត្ថិភាពព័ត៌មាន ហើយបន្ទាប់មក (បើសិនជាអាចធ្វើទៅបាន) ចាប់ផ្តើមផ្លាស់ប្តូរទៅរកការងារផ្នែកគ្រប់គ្រងហានិភ័យ និងសវនកម្ម (risk management and auditing) ប្រសិនបើពួកគេមានជំនាញ និងសមត្ថភាពដែលត្រូវការ។ ឧទាហរណ៏នៃមុខតំណែងកម្រិតដំបូងដែលអាចនាំអ្នកឈានទៅកាន់ផ្នែកសន្តិសុខព័ត៌មានបាន មានដូចជាអ្នកគ្រប់គ្រងប្រព័ន្ធ (system administrator), អ្នកគ្រប់គ្រងបណ្តាញ (network administrator) ឬអ្នកគ្រប់គ្រងសុវត្ថិភាព (security administrator)។

មុខតំណែងកម្រិតដំបូងទាំងនេះតម្រូវឱ្យបេក្ខជនដោះស្រាយបញ្ហាបច្ចេកទេស និងរដ្ឋបាល។ អ្នកគ្រប់គ្រងប្រព័ន្ធភាគច្រើននឹងដំណើរការជ្រើសរើសបុគ្គលិកថ្មី, ផ្តល់និងដកហូតសិទ្ធិអាក់សេសទៅកាន់ប្រព័ន្ធ និងអនុវត្តការគ្រប់គ្រងសិទ្ធិសម្រាប់ការចូលប្រើប្រាស់ធនធានដោយផ្អែកទៅលើផ្នែកពាក់ព័ន្ធ។ ទាំងនេះគឺជាមូលដ្ឋានគ្រឹះដ៏ល្អដើម្បីស្ថាបនាខ្លួនអ្នក ហើយអាចជួយអ្នកឱ្យបង្ហាញទិសដៅត្រឹមត្រូវប្រសិនបើអ្នកកំពុងស្វែងរកអាជីពនៅក្នុងសវនកម្មសន្តិសុខព័ត៌មាន។

ក្នុងករណីកម្រ បេក្ខជនអាចស្វែងរកដោយខ្លួនឯងដើម្បីទទួលបានការធ្វើកម្មសិក្សាក្នុងការងាសវនកម្ម ប៉ុន្តែវាការជាប្រសើរក្នុងការចូលរួមក្នុងផ្នែកសវនកម្មបើសិនជាអ្នកមានជំនាញបច្ចេកទេសខ្លះៗ អំពីបច្ចេកវិទ្យាព័ត៌មាន និងសន្តិសុខព័ត៌មាន។

ជំនាញដែលត្រូវការ (Required Skills)

ដូចជាមួយនឹងតួនាទីសន្តិសុខព័ត៌មាន ភាគច្រើនជំនាញដែលត្រូវការសម្រាប់បុគ្គលដែលទទួលបានជោគជ័យ គឺមិនគ្រាន់តែជាចំណេះដឹងខាងទ្រឹស្ដីប៉ុណ្ណោះទេ។ បេក្ខជនត្រូវមានជំនាញបច្ចេកទេស (technical) និងជំនាញទន់ (Soft skill) ដើម្បីឱ្យពួកគេអាចអនុវត្តភារកិច្ចដោយជោគជ័យនៅកំរិតនេះ។ ខាងក្រោមនេះគឺជាឧទាហរណ៍មួយចំនួននៃជំនាញដែលបេក្ខជនគួរមាន ប្រសិនបើពួកគេកំពុងពិចារណាអាជីពសវនកម្មសន្តិសុខព័ត៌មាន។

ជំនាញបច្ចេកទេស (Technical)

ចំណេះដឹងផ្នែកប្រព័ន្ធព័ត៌មានវិទ្យា ដូចជាបណ្តាញ (network) និងប្រព័ន្ធប្រតិបត្តិការ (operting system) មានប្រយោជន៍សម្រាប់ធ្វើសវនកម្មសន្តិសុខព័ត៌មាន។ បទពិសោធន៍ជាមួយអ្នកប្រើប្រាស់ និងប្រព័ន្ធគ្រប់គ្រង (system admin) ក៏ចាំបាច់ផងដែរ ប្រសិនបើការងារសវនកម្មដែលតម្រូវឱ្យមាននោះ។ មានន័យថាសវនករនឹងត្រូវចូលប្រើម៉ាស៊ីនមេដើម្បីត្រួតពិនិត្យការអនុលោម និងព័ត៌មានទាក់ទងនឹងសវនកម្មផ្សេងៗ។

ជំនាញទន់ (Soft Skill)

ជំនាញទំនាក់ទំនងដ៏រឹងមាំ (communications skills) ទាំងការសរសេរ និងការនិយាយស្តី គឺចាំបាច់ណាស់ ប្រសិនជាបេក្ខជនចង់ទទួលបានជោគជ័យក្នុងការងារនេះ។ ទំនុកចិត្តនិងការធានា គឺមានសារៈសំខាន់រួមបញ្ចូលជាមួយវិធីសាស្រ្តសកម្មដើម្បីធ្វើការ ដែលនឹងធានាថាសវនករអាចស្នើសុំព័ត៌មានពាក់ព័ន្ធនៅពេលដែលត្រូវការ។ សវនករខ្លះនឹងត្រូវការការទំនាក់ទំនងជាមួយសមាជិកប្រតិបត្តិនៃក្រុមហ៊ុន ដូច្នេះជំនាញនិយាយ និងសរសេរបានត្រឹមត្រូវគឺជាអត្ថប្រយោជន៍ដ៏ធំមួយ។

ការអប់រំ (Education)

ការទទួលបានវិញ្ញាបនប័ត្រដើម្បីក្លាយជាសវនករសន្តិសុខព័ត៌មានតម្រូវឱ្យបេក្ខជនមានបរិញ្ញាបត្រផ្នែកវិទ្យាសាស្ត្រកុំព្យូទ័រ ឬសញ្ញាប័ត្រដែលមានលក្ខណៈស្តង់ដារ ឬក៏វិញ្ញាបនប័ត្រសុវត្ថិភាពព័ត៌មានឯកទេសច្រើនទៀត ដូចជាវិញ្ញាបនប័ត្រ​ Certified Information Systems Auditor (CISA) ជាដើម។

អ្វីដែលធ្វើឱ្យការងារនេះមានការពិបាកជាងនេះ គឺថានិយោជកភាគច្រើនតម្រូវឱ្យមានបេក្ខជនដើម្បីទទួលបានវិញ្ញាបនប័ត្រទទួលស្គាល់ (certified) ជាមុនសិន មុនពេលចូលរួមក្នុងក្រុមហ៊ុនដែលខុសពីផ្លូវអាជីព IT មួយចំនួនដែលអនុញ្ញាតឱ្យបេក្ខជនធ្វើការ នៅពេលពួកគេទទួលបានវិញ្ញាបនប័ត្រធម្មតា​ (មិនចាំបាច់ certified ឡើយ)។ ប្រសិនបើបេក្ខជនស្វែងរកការងារនៅផ្នែកសវនកម្ម និងអនុលោមភាព នោះចំណេះដឹងផ្នែកបច្ចេកទេស គឺមិនមានតំរូវការទេ ព្រោះការងារសវនកម្មធ្វើការត្រួតពិនិត្យទៅលើអណុលោមភាពតែប៉ុណ្ណោះ។

បន្តទៅទៀត បេក្ខជនភាគច្រើនបានឈានចាប់យកឯកទេសខាងផ្នែកសន្តិសុខព័ត៌មានមានដូចជាអ្នកវិភាគ (analyst), អ្នកពិគ្រោះយោបល់ (consultant) ឬវិស្វករ (engineer) ហើយនឹងសិក្សាយកនូវវិញ្ញាបនប័ត្រដែលមានការទទួលស្គាល់ជាសាកល ដូចជា CISM, CISSP ឬវិញ្ញាបនប័ត្រស្រដៀងគ្នានេះ។

ទិដ្ឋភាពទូទៅមុខងារការងារ (Job Functions)

សវនករសន្តិសុខព័ត៌មានមិនដោះស្រាយបញ្ហាណាមួយ ដែលពួកគេរកឃើញក្នុងអំឡុងពេលនៃការធ្វើសវនកម្មទេ។ ផ្ទុយទៅវិញពួកគេផ្តល់នូវគំនិតដែលមានលក្ខណៈសម្បត្តិគ្រប់គ្រាន់អំពីស្ថានភាពប្រព័ន្ធបច្ចុប្បន្ននៅក្នុងក្រុមហ៊ុន ហើយចងក្រងការស្រាវជ្រាវទាំងអស់របស់ពួកគេនៅក្នុងរបាយការណ៍ដ៏ទូលំទូលាយមួយ។ ព័ត៌មាននៅក្នុងរបាយការណ៍ត្រូវបានអនុវត្តដោយក្រុម cybersecurity ដែលទទួលខុសត្រូវក្នុងការថែរក្សាប្រព័ន្ធនៅក្នុងក្រុមហ៊ុន។

មានទិដ្ឋភាពជាច្រើននៃបច្ចេកវិទ្យាព័ត៌មានដែលសវនករសន្តិសុខព័ត៌មានចាំបាច់ត្រូវដឹង ប៉ុន្តែមានការទទួលខុសត្រូវការងារជាច្រើនផ្សេងទៀត ដែលត្រូវការធ្វើក្នុងពេលតែមួយ។ ទាំងនេះ​រួម​បញ្ចូល​ទាំង:

  • ឆន្ទៈ​ក្នុង​ការ​ធ្វើ​ដំណើរ
  • ការចូលរួមសវនកម្មសន្តិសុខពីដំបូងរហូតដល់បញ្ចប់រួមទាំងការប្រតិបត្តិ និងការបំពេញបញ្ចប់ការងារភារកិច្ចសវនកម្ម
  • គ្រប់ទិដ្ឋភាពទាំងអស់នៃប្រតិបត្តិការអាជីវកម្មចាំបាច់ត្រូវធ្វើសវនកម្ម រាប់ចាប់ពីប្រព័ន្ធព័ត៌មានវិទ្យា និងហិរញ្ញវត្ថុ រហូតដល់មុខងារគ្រប់គ្រង និងនីតិវិធីសន្តិសុខព័ត៌មាន
  • ការវាយតម្លៃហានិភ័យ (risk assessment) និងនីតិវិធី (procedures) ត្រូវតែត្រួតពិនិត្យ (assess) និងវាយតម្លៃ (evaluate)។ ទាំងនេះត្រូវតែផ្លាស់ប្តូរ និងធ្វើសារឡើងវិញ នៅពេលដែលកំហុសត្រូវបានរកឃើញ រួចនីតិវិធីថ្មីត្រូវតែបង្កើតនៅពេលដែលមិនមាននីតិវិធីណាមួយក្នុងពេលបច្ចុប្បន្ន
  • ទាក់ទងជាមួយនិយោជិត, ភាគីពាក់ព័ន្ធ, នាយកប្រតិបត្តិ និងម្ចាស់ដើម្បីបង្កើតយន្តការទំនាក់ទំនងបច្ចុប្បន្ន និងការគោរពចំពោះគោលនយោបាយសុវត្ថិភាព
  • នៅពេលគម្លាតនៅក្នុងសន្តិសុខត្រូវបានរកឃើញ សូមសាកល្បង (simulation) និងធ្វើតេស្តដើម្បីកំណត់ថាវិសាលភាពនៃហានិភ័យវាអាចប៉ះពាល់ទៅដល់ប្រតិបត្តិការកម្រិតណា
  • កត់ត្រាដំណើរការ និងវិធីសាស្រ្តដែលបានប្រើនៅក្នុងសវនកម្ម ដូច្នេះលទ្ធផលអាចត្រូវបានបង្កើតឡើងដោយឯករាជ្យ និងបានផ្ទៀងផ្ទាត់ប្រសិនបើចាំបាច់
  • ត្រូវប្រាកដថាសកម្មភាពសវនកម្មត្រូវគោរពតាមវិសាលភាពសវនកម្ម។ លទ្ធផលត្រូវតែស្របតាមគោលដៅសវនកម្ម
  • សេចក្តីសន្និដ្ឋានសវនកម្មត្រូវតែសមស្របតាមលក្ខណៈវិនិច្ឆ័យសវនកម្មដើម (original audit criteria)
  • រាយការណ៍និងបង្ហាញដល់អ្នកពាក់ព័ន្ធទាំងអស់នូវរបាយការណ៍
  • ការសហការគ្នាគ្រប់គាគីពាក់ព័ន្ធដើម្បីធានានូវការអនុលោម និងស្របទៅតាមអនុសាសន៍ស្តីពីសន្តិសុខព័ត៌មាន

សរុបសេចក្តី

ដើម្បីក្លាយជាអ្នកសវនករសន្តិសុខព័ត៌មានតម្រូវឱ្យមានជំនាញអង្គភាពជាច្រើន (organization skills) និងកម្រិតនៃការយកចិត្តទុកដាក់ខ្ពស់។ វិធីដែលសវនកម្មត្រូវបានអនុវត្តតម្រូវឱ្យមានផែនការ និងឯកសារយ៉ាងល្អិតល្អន់ ក៏ដូចជាការស៊ើបអង្កេតហ្មត់ចត់ និងទូលំទូលាយផងដែរក។

សវនកម្មសន្តិសុខព័ត៌មានមិនមែនជាការងារដែលអាចមានផ្លូវកាត់ ឈានទៅដល់តែម្តងនោះទេ ដោយសារតែសន្តិសុខ និងសុចរិតភាពនៃក្រុមហ៊ុនទាំងមូលពឹងផ្អែកលើប្រភេទសវនកម្មទាំងនេះដើម្បីធានាសុវត្ថិភាព និងអនុលោម។ ប្រសិនបើអ្នកជាប្រភេទមនុស្សដែលមានការរៀបចំទុកដាក់ត្រឹមត្រូវ និងអត់ធ្មត់ហើយផ្តោតទៅលើភាពលំអិត នោះវាអាចជាផ្លូវអាជីពសម្រាប់អ្នក៕

ប្រភព៖

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button