1 / 47

Chapter 15

Chapter 15. Information Technology For Management 5 th Edition Turban, Leidner, McLean, Wetherbe Lecture Slides by A. Lekacos, Stony Brook University John Wiley & Sons, Inc. Managing Information Resources and Security. Learning Objectives.

lourdes
Télécharger la présentation

Chapter 15

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Chapter 15 Information Technology For Management 5th Edition Turban, Leidner, McLean, Wetherbe Lecture Slides by A. Lekacos, Stony Brook University John Wiley & Sons, Inc. Managing InformationResources and Security Chapter 15

  2. Learning Objectives • ตระหนักถึงความยุ่งยากในการบริหารจัดการ information resources. • ทำความเข้าใจถึงบทบาทของ IS department และความสัมพันธ์กับ end users. • ถกแถลงเกี่ยวกับบทบาทของ chief information officer (CIO) • ตระหนักถึงความอ่อนแอของระบบสารสนเทศ, วิธการโจมตี, และความเป็นไปได้ของความเสียหายอันเนื่องมาจากความบกพร่องต่าง ๆ (malfunction) • อธิบายถึงวิธีการหลัก ๆ ของการปกป้อง information systems. • อธิบายถึงเรื่องความปลอดภัยด้าน Web และ electronic commerce. • อธิบายถึงการดำเนินธุรกิจอย่างต่อเนื่องและ disaster recovery planning. • ทำความเข้าใจเกี่ยวกับ economics of security และ risk management. • อธิบายถึงบทบาทของ IT ในเชิงสนับสนุนการต่อต้านการก่อการร้าย Chapter 15

  3. Cybercrime in the new millennium • Jan 1,2000 โลกตื่นตระหนกกับปัญหาเรื่อง Y2K แต่ผลกับเป็นว่ามีความเสียหายน้อยมาก แต่ Feb 6, 2000 e-commerce site ใหญ่ ๆ เช่น เกิดปัญหาการทำงานล้มเหลวกันติด ๆ กันเป็นโดมิโน เริ่มจาก Yahoo แล้วต่อด้วย Amazon, E*trade อื่น ๆ ในที่สุดก็ทราบว่าเป็นการโจมตีแบบ Denial of Service • การโจมตีเรียกว่า “Denial of Service (DoS)”คือ การที่เครื่องของเราถูกโจมตีโดยวิธีการต่าง ๆ ทำให้เครื่องไม่สามารถทำงานได้ตามปกติ ซึ่งอาจจะเป็นการทำงานช้าลง หรือไม่สามารถให้บริการแก่ผู้ที่ต้องการใช้งานจริง ๆ ได้ โดยที่การโจมตีนั้น มีเป้าหมายได้หลายที่ ไม่ว่าจะเป็น Web Server, Mail Server หรือ Domain Name Server ซึ่งก็ให้ผลต่างกัน • สาเหตุ: • เกิดจากการที่มีคำร้องขอจำนวนมาก มายังเครื่องของเรา ทำให้เครื่องไม่สามารถรองรับการทำงานได้ทั้งหมด การส่งคำร้องขอจำนวนมากนั้น ส่วนใหญ่แล้วจะมาจากเครื่องหลายเครื่อง ที่ถูกเจาะเข้าไป แล้ววางโปรแกรมที่จะทำการส่งข้อมูลไปยังเครื่องใดเครื่องหนึ่งไว้ ทำให้เมื่อถึงกำหนดเวลาหนึ่งก็จะส่งคำร้องข้อเข้ามาพร้อม ๆ กัน ทำให้ป้องกันได้ยาก Chapter 15

  4. อันตราย: • การที่มีคำร้องขอจำนวนมาเข้ามาพร้อม ๆ กันนั้น มีอันตรายคือ เครื่องนั้นจะไม่สามารถให้บริการกับผู้ที่ต้องการใช้งานจริง ๆ ถ้า Web Server ถูกโจมตี ก็จะทำให้ไม่สามารถเปิด Web page ได้ ถ้า Mail Server ถูกโจมตี ก็จะไม่สามารถรับ mail อื่นได้ กรณีของ Domain Name Server นั้นจะทำให้การแปลง url เป็น ip ไม่สามารถทำได้ นอกจากนี้ การที่มีคำร้องขอเข้ามามาก ๆ จำให้เกิดการใช้ bandwidth ในปริมาณสูง จะทำให้ข้อมูลที่ดีไม่สามารถเข้ามาได้อีกด้วย Chapter 15

  5. The IS Department ทรัพยากรของ IT มีความหลากหลาย ประกอบด้วย personnel assets, technology assets, และ IT relationship assets ดังนั้นการบริหารจัดการ information resources จึงแยกระหว่างinformation services department (ISD)และ end userทั้งหลาย ดังนั้นการแบ่งความรับผิดชอบจึงขึ้นกับหลายตัวแปร • The reporting relationshipของ ISD จึงมีความสำคัญมาก มันสะท้อนถึงจุดมุ่งเน้นขององค์กร ถ้า ISD รายงานต่อ accounting หรือ finance areas แล้วก็มักจะมุ่งเน้นไปที่ accounting หรือ finance applications ในเชิง expense ของ marketing, production, และ logistics areas. • ชื่อของ ISD ก็มีความสำคัญเช่นกัน เช่น • Data Processing (DP) Department. • Management Information Systems (MIS) Department • Information Systems Department (ISD) • คุณสมบัติอีกประการหนึ่งคือ สถานะ(status)ของ ISD Chapter 15

  6. The End-User Relationship • ทั้งนี้เนื่องจาก ISD เป็นservice organizationที่บริหาร IT infrastructure อันจำเป็นต้องดูแล IT application ทั้งหลายของ end user ดังนั้นจึงเป็นเรื่องที่สำคัญมากในการมีความสัมพันธ์ที่ดีกับ end users การเกิดการพัฒนาend-user computingและoutsourcingทำให้เห็นว่าเกิดการบริการที่ไม่ดี(มองในเชิงความรู้สึก end users) อย่างไรก็ตามการจะสร้างความสัมพันธ์ข้างต้นไม่ใช่เรื่องง่าย เพราะ ISD อยู่บนพื้นฐานเชิงเทคนิคซึ่งมักไม่ค่อยเข้าใจธุรกิจและการดำเนินงาน ในทางกลับกัน user เองก็อาจไม่เข้าใจ information technologies เช่นกัน • อ่านเพิ่มเติมใน IT at Work 15.1 “Minnesota’s Department of transportation violate procedures” page 636 Chapter 15

  7. The End-User Relationship - continued ISD and Four approaches • Let them sink or swim. ไม่ต้องทำอะไร เพียงแต่ให้ end user ตระหนักและระมัดระวัง • Use the stick กำหนดนโยบายและระเบียบปฏิบัติเพื่อควบคุม end-user computing เพื่อลดความเสี่ยงในการทำงานร่วมกันลงให้เหลือน้อยที่สุด และพยามบังคับให้เขาทำตาม • Use the carrot สร้างแรงจูงใจเพื่อ end-user ทำในสิ่งที่ถูกต้องเพื่อลดความเสี่ยงขององค์กร • Offer support พัฒนาการให้บริการต่าง ๆ เพื่อช่วยให้ end users ดำเนินงานด้านการคำนวณต่าง ๆ ได้อย่างเต็มที่ Chapter 15

  8. การปรับปรุงการทำงานร่วมกัน ทั้งสองฝ่ายควรมีข้อตกลงร่วมกัน 3 เรื่อง คือ: • the steering committee มีหน้าที่ 1) กำหนดทิศทางที่จะไป 2) จัดสรรทรัพยากร 3) จัดโครงสร้างขององค์กร 4) จัดหาพนักงานสำคัญ ๆ 5) จัดการเรื่องสื่อสาร 6) ประเมินประสิทธิภาพ • service-level agreements • the information center. Chapter 15

  9. 15.2 The CIO (Chief Information Officer) in Managing the IS Dept. การบริหารจัดการ ISD จะคล้ายกับการบริหารจัดการหน่วยต่าง ๆ ในองค์กรสิ่งที่ต่างออกไปก็คือ เป็นการดำเนินงานในเชิงให้บริการซึ่งอยู่ในสภาพแวดล้อมที่มีการเปลี่ยนแปลงเร็วจึงทำให้การวางแผนและทำโครงการต่าง ๆ ของแผนกค่อนข้างยุ่งยก • บทบาทของ CIO เริ่มเปลี่ยนแปลงไปสู่การเป็นสมาชิกของ top management team เพื่อ • Realization of the need for IT-related disaster planning and the importance of IT to the firm’s activities. • Aligning IT with the business strategy • Implementing state-of-the-art solutions • Providing information access • Being a business visionarywho drives business strategy • Coordinating resources Chapter 15

  10. The Transition Environment Chapter 15

  11. 15.3 IS Vulnerability and Computer Crimes • ก่อนอื่นควรอ่านนิยามของ IT Security Term ในตารางที่ 12.2 เสียก่อน (แสดงใน หน้าถัดไป) • ลองอ่านเหตุการณ์ที่เกิดขึ้นเกี่ยวกับ Information Systems Breakdowns จำนวน 11 incidents หน้า 642 • Identity theft หมายถึง อาชญากรรมที่ซึ่งบางคนใช้ข้อมูลส่วนบุคคลของผู้อื่นมา สร้างให้เกิด false identity แล้วใช้มันไปในทางหลอกลวงบางประการ • ทรัพยากรด้านสารสนเทศ (Information resources) (หมายรวมทั้ง physical resources, data, software, procedures, and other information resources) กระจายอยู่ทั่วทั้งองค์กรสารสนเทศถูกส่งเข้าสู่หรือออกจากเครื่องมือที่พนักงานในองค์กรใช้ ดังนั้นจะเห็นว่าจุดอ่อนจะมีอยู่หลาย ๆ จุดในเวลาหนึ่ง ๆ Chapter 15

  12. Security Terms Chapter 15

  13. Chapter 15

  14. ความอ่อนแอของระบบ (System Vulnerability) • Universal vulnerabilityหมายถึง สถานการณ์หนึ่ง ๆ (state) ใน computing system ซึ่งมีการยอมให้ผู้โจมตีเข้าไป execute คำสั่งต่าง ๆ ในเชิงผู้ใช้ผู้อื่น (another user) ; การยอมให้ผู้โจมตีเข้าถึงข้อมูลที่เป็นข้อมูลที่มีการจำกัดสิทธิ์ในการเข้าถึงข้อมูลเหล่านั้น ; ยอมให้ผู้โจมตีก่อให้เกิดการสับสนในเชิงใส่สิ่งอื่นเข้ามา (pose as another entity) ; หรือ ยอมให้ผู้โจมตีก่อให้เกิดการให้บริการที่ช้าลง denial of service (DoS) • Exposureคือ สถานการณ์หนึ่ง ๆ ใน computing system (หรือ set of systems) ซึ่งไม่ใช้เป็นแบบ universal vulnerability เช่นยอมให้ผู้โจมตีก่อให้เกิดการดำเนินการรวบรวมสารสนเทศที่ต้องการ; ยอมให้ผู้โจมตีบัดบังการดำเนินการต่าง ๆทั้งนี้รวมถึง การเบียดบังใด ๆ ที่ลดความสามารถลงจากเดิม(แต่ทำกลับคืนได้ง่าย) หรือ คือ a primary point of entry ซึ้งผู้โจมตีตั้งใจใช้จุดนี้เพื่อใช้ประโยชน์ในการเข้าถึงระบบหรือข้อมูล และ ถุกพิจารณาว่าเป็นปัญหาหนึ่งในแง่ของ security policy. Chapter 15

  15. Security Threats Chapter 15

  16. ความอ่อนแอของระบบ (System Vulnerability) • ความอ่อนแอของระบบสารสนเทศจะมีมากขึ้นเมื่อเราเคลื่อนเข้าสู่โลกของเครือข่าย โดยเฉพาะอย่างยิ่ง wireless computing ในทางทฤษฎีแล้ว มีจุดอ่อนมากมายในระบบ ที่ถูกคุกคามได้ง่าย (ดังรูปหน้าถัดไป)ภัยคุกคามเหล่านี้ สามารถแยกได้เป็น: • ไม่ได้ตั้งใจ (Unintentional) • Human errors • Environmental hazards เช่น แผ่นดินไหว น้ำท่วม เป็นต้น • Computer system failures เช่น กระบวนผลิตไม่ดี ใช้วัตถุดิบไม่ดี • ตั้งใจ (Intentional) • Theft of data • Inappropriate use of data • Theft of mainframe computer time • Theft of equipment and/or programs Chapter 15

  17. Deliberate manipulation in handling • Entering data • Processing data • Transferring data • Programming data • Labor strikes • Riots (ก่อการจลาจล) • Sabotage (ก่อวินาศกรรม) • Malicious damage to computer resources • Destruction from viruses and similar attacks • Miscellaneous computer abuses (ใช้ในทางที่ผิด) • Internet fraud (การหลอกลวงผ่านอินเตอร์เน็ต) • Terrorists’ attack Chapter 15

  18. อาชญากรรมทางคอมพิวเตอร์ (Computer Crimes) • Type of computer crimes and criminals • อาชญากรรม ทำได้จากคนภายนอกทำการบุกรุกเข้ามาในระบบคอมพิวเตอร์ หรือ คนภายที่มีสิทธิ์ใช้ระบบคอมพิวเตอร์แต่ใช้สิทธิ์ไปในทางผิด • แฮกเกอร์ (Hacker) หมายถึง บุคคลภายนอกที่บุกรุกเข้าไปในระบบคอมพิวเตอร์ โดยทั่วไปมัก มิได้เป็นไปในเชิงอาชญากร (no criminal intent) • แครกเกอร์ (Cracker) หมายถึง แฮกเกอร์ที่ประสงค์ร้าย • Social engineering หมายถึง การดำเนินการรอบๆระบบรักษาความปลอดภัย โดยใช้กลอุบายให้ ผู้ใช้คอมพิวเตอร์เปิดเผย sensitive information หรือ เพื่อให้ได้มาซึ่งอภิสิทธิ์เหนือผู้อื่น โดยที่ตนเองไม่มีสิทธิ์ข้างต้น Chapter 15

  19. Type of computer crimes and criminals • Cybercrimes หมายถึงการกระทำที่ผิดกฎหมายบน Internet • Identify theft หมายถึง อาชญากร (the identity thief) ที่แสดงตัวเป็นผู้อื่น • Cyberwar หมายถึงสงครามในเชิงระบบสารสนเทศของประเทศหนึ่งถูกทำให้เป็นอัมพาตจาก massive attack โดยการใช้ destructive software. Chapter 15

  20. Methods of Attack on Computing Facility • (ตารางในหน้าถัดไปแสดงถึงวิธีการโจมตีระบบคอมพิวเตอร์) โดยทั่วไปมีสองแนวทางคือ การเข้าไปยุ่งเกี่ยวกับข้อมูล (Data Tampering) และ การโจมตีผ่านทางโปรแกรม (Programming attack) • ไวรัส (Virus) หมายถึงซอฟท์แวร์ที่ผูกติดตัวมันเข้ากับโปรแกรมคอมพิวเตอร์ต่างๆ โดยที่ผู้ใช้ งานโปรแกรมเหล่านั้นไม่ได้ระมัดระวังว่ามันจะเกิดความเสียหายขึ้น • Denial of Service (DoS)หมายถึง Cyber-attack แบบหนึ่งที่ผู้โจมตีส่ง data packets ไปยัง คอมพิวเตอร์เป้าหมายอย่างมากมาย โดยมีจุดประสงค์คือทำให้เกิด overload ขึ้น จนกระทั่งระบบทำงานช้าลง หรือ หยุดทำงาน • การโจมตีผ่านทางโมเดม (Attacks via Modems) Chapter 15

  21. Virus Chapter 15

  22. Security Terms Chapter 15

  23. Chapter 15

  24. Chapter 15

  25. 15.4 Protecting Information Resources • การป้องกัน Information Resources ขององค์กร ควรมีลักษณะ 6 ประการต่อไปนี้ • Aligned โปรแกรมการป้องกันควรปรับให้สอดรับกับ organizational goals. • Enterprisewideต้องรวมถึง ทุก ๆ คนในองค์กร • Continuousโปรแกรมต้องถูกดำเนินการตลอดเวลา • Proactiveใช้การวัดในเชิงนวัตกรรม การป้องกันและการปกป้อง • Validatedโปรแกรมต้องถูกทดสอบเพื่อมั่นใจว่ามันทำงานอย่างถูกต้อง • Formalต้องรวมถึง authority, responsibility & accountability. Chapter 15

  26. Corporate Security Plan -Protecting Chapter 15

  27. Control and Awareness Chapter 15

  28. Defense Strategy: How Do We Protect ? การรู้เกี่ยวกับ potential threats ของ IS ถือเป็นสิ่งจำเป็น แต่การทำความเข้าใจถึงวิธีการป้องกันก็สำคัญเช่นกันเราต้องใส่ controls (defense mechanisms) และ developing awarenessเข้าไปในองค์กร • The major objectives of a defense strategy are: • ป้องกันและยับยั้ง (ในเชิงไม่ให้กระทำ) • ตรวจจับ • จำกัดความเสียหาย • กู้กลับคืน • ทำให้ถูกต้อง (ต้นเหตุที่ก่อให้เกิดความเสียหาย) • Awareness and compliance Chapter 15

  29. Defense Strategy-Controls General Application Chapter 15

  30. General Controls • Physical control • ออกแบบ data center ให้ถูกต้อง เช่น ไม่ไหม้ไฟ กันน้ำ • ชีลด์เพื่อป้องกันสนามแม่เหล็กไฟฟ้า • มีระบบป้องกัน ตรวจจับ และ ดับไฟ • มีระบบไฟสำรอง และ ระบบ UPS • มีการออกแบบ ดูแลรักษา และ ใช้งาน ระบบปรับอากาศอย่างถูกต้อง • มีระบบตรวจจับผู้บุกรุก เช่น จับการเคลื่อนไหว จับความร้อน Chapter 15

  31. Access Control • การควบคุมการเข้าถึง คือ มีการอนุญาต (Authorize) และ การพิสูจน์ว่าเป็นผู้มีสิทธิ์จริง (เป็นคน ๆนั้นจริง ๆ )(Authentication) สิ่งที่ต้องตรวจสอบคือUnique user-identifier (UID) • Biometric Control Photo face Fringerprints Hand geometry Iris scan Retina scan Voice scan Signature Keystroke dynamic Chapter 15

  32. Defense Strategy– Biometric Chapter 15

  33. Data Security controls • หลักการพื้นฐาน 2 เรื่องที่สะท้อนถึง data security คือ • Minimal privilegeจัดเตรียมข้อมูลให้เฉพาะที่ต้องใช้งานเท่านั้น • Minimal exposureเมื่อผู้ใช้ต้องเข้าถึงสารสนเทศที่อ่อนไหว ต้องเปิดเผยเฉพาะผู้ที่มีหน้าที่และเกี่ยวข้องเท่านั้นไม่ว่าจะเป็น การประมวล จัดเก็บ หรือ จัดส่ง ก็ตาม • Communications and Network controls • Administrative controls • Other General Controls • Programming controls • Documentation controls • System Development controls Chapter 15

  34. Application Controls • Input controls ได้แก่ • Completeness • Format • Range • Consistency • Processing controls กระบวนการต้องมั่นใจได้ว่า ข้อมูลสมบูรณ์ ถูกต้อง แม่นยำ ในขณะที่กระบวนการกำลังประมวลอยู่ • Output controlsผลลัพธ์ต้องถูกต้อง ใช้งานได้ สมบูรณ์ ไม่เปลี่ยนแปลง Chapter 15

  35. 15.5 Securing the Web, Internets and Wireless Networks • Border Security • วัตถุประสงค์หลักของborder securityคือ access control ดังนั้นจึงทำauthenticationหรือ proof of identity ก่อนเป็นอันดับแรก และจากนั้นเป็นการauthorizationซึ่งเป็นการบ่งบอกถึงการดำเนินงานอะไรบ้างที่ user หนึ่ง ๆ ได้รับการอนุมัติให้กระทำ Chapter 15 Security Layers

  36. Tool ที่เกี่ยวข้องกับ Border Security • Firewalls • Virus controls • Intrusion Detecting • Protecting Against Denial of Service Attacks • วิธีการอื่น ๆ • การเข้ารหัสข้อมูล (Encryption) • การใช้ Tester เพื่อทำ Trouble Shooting เช่น Protocol analyzer • Payload Security เข้ารหัสข้อมูลในขณะที่ส่งเข้าระบบโครงข่าย • Honeypots ใช้กับดัก hacker เพื่อดูว่าเขากำลังทำอะไร (โครงข่ายที่มี Honeypots เรียก Honetnets) Chapter 15

  37. 15.6 Business Continuity and Disaster Recovery Planning • องค์ประกอบที่สำคัญในระบบรักษาความปลอดภัยใด ๆ คือbusiness continuity plan, มักเรียกกันเป็น • Disaster recoveryหมายถึง การวางแผนเพื่อเชื่อมต่อเหตุการณ์ต่างๆเข้าด้วยกัน อันเป็นไปเพื่อกู้กลับคืน (เมื่อเกิดเหตุการณ์ที่ไม่พึงประสงค์) • Disaster recovery plan. เป็นแผนที่ระบุถึงแนวทางของกระบวนการที่ธุรกิจจะดำเนินการต่อไปได้อย่างไรหลังจากเกิดหายนะใหญ่ ๆ (major disaster) • Disaster avoidanceหมายถึง การใช้แนวทางรักษาความปลอดภัยมุ่งไปในเชิงการป้อง กัน • Backup location หมายถึง สถานที่ที่เก็บรักษา ข้อมูลสำคัญ และ/หรือ โปรแกรมที่สำคัญ ที่ทำสำเนาเอาไว้ ซึ่งต้องนำมาใช้เมื่อเกิดเหตุการณ์ที่ไม่พึงประสงค์ขึ้น • Hot site หมายถึงสถานที่ที่ vendors จัดเตรียมให้ access ในลักษณะ fully configured backup data center. Chapter 15

  38. จุดมุ่งหมายหลักของ business continuity plan คือทำให้ธุรกิจดำเนินต่อไปได้หลังจากเกิดหายนะขึ้นมา • Recovery planning ถือเป็นส่วนหนึ่งของการประเมินการป้องกัน (asset protection) • การวางแผนควรมุ่งเน้นไปที่การกู้กลับคืนจากการสูญเสียความสามารถโดยรวมทั้งหมด ( total loss of all capabilities) • การพิสูจน์ถึงความสามารถของของแผนควรใช้ “What if analysis” • Application ทั้งหลายที่วิกฤติต้องถูกระบุและกระบวนการกู้กลับคืนต้องถูกกำหนดเอาไว้แล้ว • แผนควรเขียนใช้งานได้ในทางปฏิบัติเมื่อเกิดหายนะขึ้น • อ่านเพิ่มเติมใน A Close Look “15.4 How to conduct business continuity planning” Chapter 15

  39. Business Continuitycontinued • The plan should be kept in a safe place; copies should be given to all key managers; or it should be available on the Intranet and the plan should be audited periodically. One of the most logical ways to deal with loss of data is to back it up. A business continuity plan should include backup arrangements were all copies of important files are kept offsite. Chapter 15

  40. 15.7 Implementing Security: Auditing and Risk Management • การดำเนินการควบคุมในองค์กรหนึ่ง ๆ เป็นเรื่องที่ยุ่งยากและมีความซับซ้อนในการดำเนินการ มีคำถามมากมายที่ต้องตอบผู้เข้าไปสังเกตการณ์ การตอบคำถามต่าง ๆ ข้างต้นคืองานของการตรวจประเมิน หรือ auditingtask • ผู้ตรวจประเมินมี 2 ประเภท คือ: • ผู้ตรวจประเมินภายใน (internal auditor)คือผู้ตรวจประเมินภายในองค์กรแต่อยู่นอก ISD. • ผู้ตรวจประเมินภายนอก(external auditor)คือผู้ตรวจที่อยู่นอกองค์กร • การตรวจประเมินมี 2 ประเภทเช่นกัน คือ • Operational auditเพื่อดูว่า ISD ทำงานถูกต้องหรือไม่ • Compliance auditเพื่อดูว่าการควบคุมที่ดำเนินการอยู่ถูกต้องและพอเพียงหรือไม่ Chapter 15

  41. Risk Management • มักถือกันว่าไม้เป็นการเตรียมป้องกันทุก ๆ อย่างที่อาจเกิดขึ้นได้ ดังนั้น IT security program จะต้องให้กระบวนการในการประเมินภัยคุกคาม(assessing threats)และตัดสินใจว่า เรื่องใดควรจัดเตรียม เรื่องใดควรหยุดเอาไว้ (ignore) • Risk-Management Analysis: • Expected loss = P1 x P2 x L • เมื่อ P1 = probability of attack (estimate, based on judgment) • P2 = probability of attack being successful (estimate, based on judgment) • L = Loss occurring if attack is successful • สมมติให้ P1 = .02, P2 = .10, L = 1,000,000 usd • Expected loss = 0.02 x 0.10 x 1,000,000 usd = 2,000 Chapter 15

  42. Chapter 15

  43. IT Security in 21 Century • Increasing the reliability of systems • Self-healing computers • Intelligent systems for early intrusion detection • Intelligent systems in auditing and fraud detection • Artificial intelligence in biometrics • Expert systems for diagnosis, prognosis, and disaster planning • Smart cards Chapter 15

  44. MANAGERIAL ISSUES • To whom should the IS department report? • เรื่องนี้สัมพันธ์กับ degree of IS decentralization และ บทบาทของ CIO การมี IS department ขึ้นกับ functional area ใด ๆ อาจนำมาซึ่งการโน้มเอียงในการให้ความสำคัญกับ functional area นั้น ๆ เป็นพิเศษสิ่งที่ต้องการคือ IS ควรรายงานตรงต่อ CEO • Who needs a CIO? • นี่คือคำถามที่สำคัญซึ่งสัมพันธ์กับบทบาทของ CIO ในฐานะ senior executive ขององค์กรการให้ตำแหน่งโดยไม่มีอำนาจหน้าที่อาจเป็นการทำลาย ISD และการทำงานต่าง ๆ ที่เกี่ยวข้องดังนั้น องค์กรใด ๆ ที่มีการทำงานขึ้นอยู่กับ IT เป็นอย่างมากแล้ว ควรมีตำแหน่ง CIO Chapter 15

  45. End users are friends, not enemies, of the IS department. • ความสัมพันธ์ระหว่าง end users กับ ISD เป็นเรื่องที่ละเอียดอ่อน ในอดีตนั้น ISD จะทำตามที่ end-user ร้องขอเท่านั้น ซึ่งทำให้การร้องขอข้างต้นเป็นอิสระจากกันและกัน ส่งผลให้สิ้นเปลืองค่าใช้จ่ายและไม่มีประสิทธิภาพ ดังนั้นปัจจุบันนี้ บริษัทที่ประสบผลสำเร็จมักจะพัฒนาบรรยากาศการทำงานในเชิงเพื่อร่วมงานมากกว่า • Ethical issues. • เรื่องการรายงานที่เกิดจาก ISD นั้น บางครั้งจะเรื่องของจรรยาบรรณเข้ามาเกี่ยวข้อง เช่น ถ้าISD ขึ้นกับฝ่ายการเงิน ก็จะทำให้ฝ่ายการเงินสามารถเข้าถึงสารสนเทศของแผนกอื่น ๆ ได้ในขณะที่แผนกอื่น ๆ ไม่สามารถเข้าดูของแผนกการเงินได้ Chapter 15

  46. MANAGERIAL ISSUES Continued • Responsibilities for security should be assigned in all areas. • ยิ่งองค์กรใช้ Internet, extranets, และ intranets มากเท่าใดก็จะมีเรื่องความปลอดภัยเข้ามาเกี่ยวข้องมากขึ้นเท่านั้น จึงเป็นเรื่องสำคัญที่พนักงานทั้งหลายต้องรับผิดชอบว่าสารสนเทศอะไรที่ต้องถูกควบคุมด้านความปลอดภัย ดังนั้น ถือเป็นหน้าที่ของ functional managers ที่จะต้องเข้าใจและดำเนินการตาม IT security management and asset management อย่างถูกต้อง • Security awareness programs are important for any organization, especially if it is heavily dependent on IT. • โปรแกรมข้างต้นควรทำทั่วทั้งองค์กรและได้รับการสนับสนุนจากระดับ senior executives หลาย ๆ คนคิดว่า การปฏิบัติตาม administrative controls คือการเพิ่มภาระของงาน จึงไม่ปฏิบัติตาม Chapter 15

  47. MANAGERIAL ISSUES Continued • Auditing information systems should be institutionalized into the organizational culture. • องค์กรต้องทำการประเมิน IS เพราะถือว่าเป็นการประหยัดเงิน (เมื่อเกิดเหตุการณ์ใด ๆ ขึ้นมาอาจทำให้เกิดความสูญเสียให้กับองค์กรอย่างมากมาย) ในทางกลับกัน over-auditing ไม่ค่อยมีผลกับต้นทุนเท่าใด • Multinational corporations. • องค์กรที่มี ISD เป็นแบบ multinational corporation จะมีความซับซ้อนมากขึ้นในการบริหารจัดการรวมทั้งหมด บางองค์กรจึงจัดโครงสร้างแบบ complete decentralization โดยมี ISD ในแต่ละประเทศ หรือมีหลาย ISD ก็ได้ บางองค์กรมี centralized staff อยู่ส่วนหนึ่งจำนวนน้อย ๆ แต่บางองค์กรกลับจัดองค์กรแบบ highly centralized structure ไม่มีกฎเกณฑ์ที่แน่นอน Chapter 15

More Related