วันจันทร์ที่ 22 กุมภาพันธ์ พ.ศ. 2553

ประวัติย่อ พ.อ.เศรษฐพงค์ มะลิสุวรรณ อาจารย์ผู้สอน

การศึกษา

• ปริญญาเอกวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม Ph.D. in Electrical Engineering (Telecommunications) จาก State University System of Florida; Florida Atlantic University, USA • ปริญญาโทวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (ระบบสื่อสารเคลื่อนที่) MS in EE (Telecommunications) จาก The George Washington University, USA • ปริญญาโทวิศวกรรมไฟฟ้า (เครือข่ายสื่อสารคอมพิวเตอร์) MS in EE จาก Georgia Institute of Technology, USA • ปริญญาตรีวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (เกียรตินิยมเหรียญทอง) จาก โรงเรียนนายร้อยพระจุลจอมเกล้า (นักเรียนเตรียมทหารรุ่น 26, จปร. รุ่น 37) BS.EE. (Telecommunication Engineering) • มัธยมปลาย จากโรงเรียนเตรียมอุดมศึกษา

เกียรติประวัติด้านการศึกษา

• จบการศึกษาปริญญาตรีวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม อันดับที่ ๑ ด้วยเกียรตินิยมเหรียญทอง • ได้รับเกียรตินิยมปริญญาเอก Outstanding Academic Achievement จาก Tau Beta Pi Engineering Honor Society และ Phi Kappa Phi Honor Society • ได้รับทุนวิจัยระดับปริญญาเอกจาก EMI R&D LAB (Collaboration between Florida Atlantic University and Motorola, Inc.) หลักสูตรประกาศนียบัตร • หลักสูตรการรบร่วมรบผสม (Joint and Combined Warfighting Course), National Defense University, Norfolk ประเทศสหรัฐอเมริกา โดยทุนต่อต้านก่อการร้ายสากล (Counter Terrorism Fellowship Program) กระทรวงกลาโหม สหรัฐอเมริกา • หลักสูตรการบริหารทรัพยากรเพื่อความมั่นคง (Defense Resourse Management) โดยทุน International Military Education and Training (IMET) program, Naval Postgraduate School ประเทศสหรัฐอเมริกา • หลักสูตร Streamlining Government Through Outsourcing Course โดยทุน International Military Education and Training (IMET) program, Naval Postgraduate School ประเทศสหรัฐอเมริกา

ตำแหน่งและหน้าที่ปัจจุบัน

• ประจำกรมข่าวทหาร กองบัญชาการกองทัพไทย • กรรมการกำหนดและจัดสรรคลื่นความถี่ใหม่ ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.) • ผู้ช่วยเลขานุการในคณะประสานงานการบริหารคลื่นความถี่เพื่อความมั่นคงของรัฐ ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.) • กองบรรณาธิการ NGN Forum สำนักงานคณะกรรมการกิจการโทรคมนาคมแห่งชาติ • บรรณาธิการวารสาร International Journal of Telecommunications, Broadcasting, and Innovation Management • ประธานโครงการศึกษาความเป็นไปได้ในการกำกับดูแลเรื่องการบริหารคลื่นความถี่ด้วยเทคโนโลยี Dynamic Spectrum Allocation เพื่ออุตสาหกรรมโทรคมนาคมไทย ภายใต้การสนับสนุนของ คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.) • อาจารย์พิเศษภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์ โรงเรียนนายร้อยพระจุลจอมเกล้า • รองศาสตราจารย์ Business School, TUI University International, USA. (Accredited Internet Distance Learning University) • รองศาสตราจารย์ American University of London (Internet Distance Learning University) • กรรมการกำกับมาตรฐานในหลักสูตรวิศวกรรมไฟฟ้าโทรคมนาคม, วิศวกรรมซอฟท์แวร์, เกมส์และมัลติมีเดีย, เทคโนโลยีสารสนเทศ, การจัดการสารสนเทศ ในหลายมหาวิทยาลัย ทั้งของรัฐบาลและเอกชน • อาจารย์พิเศษในมหาวิทยาลัยหลายแห่ง เช่น จุฬาลงกรณ์มหาวิทยาลัย, มหาวิทยาลัยมหิดล, มหาวิทยาลัยธรรมศาสตร์, มหาวิทยาลัยรามคำแหง, มหาวิทยาลัยนเรศวร, มหาวิทยาลัยขอนแก่น, มหาวิทยาลัยอัสสัมชัญ, มหาวิทยาลัยกรุงเทพ และมหาวิทยาลัยรังสิต ตำแหน่งและหน้าที่สำคัญในอดีต • ผู้บังคับหมวด กองพันทหารสื่อสารที่ ๑ รักษาพระองค์ • อาจารย์ภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์โรงเรียนนายร้อยพระจุลจอมเกล้า • ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง • ช่วยราชการสำนักงานเสนาธิการประจำเสนาธิการทหารบก • ปฏิบัติหน้าที่ใน บริษัท กสท โทรคมนาคม จำกัด (มหาชน) ๑. ตำแหน่งผู้เชี่ยวชาญและเลขานุการ ประธานกรรมการฯ ๒. ตำแหน่งกรรมการกำกับดูแล การดำเนินงานและโครงการ • อนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคงศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิว เตอร์แห่งชาติ (NECTEC) • อนุกรรมาธิการ ทรัพยากรน้ำ ในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อมสนช. • ที่ปรึกษาโครงการดาวเทียมเพื่อความมั่นคงศูนย์พัฒนากิจการอวกาศเพื่อความมั่นคง กระทรวงกลาโหม • หัวหน้าโครงวิจัย การศึกษาความเป็นไปได้การจัดสร้างพื้นที่ทดสอบความเข้ากันได้ทางแม่เหล็กไฟฟ้าและสอบเทียบสายอากาศ ศูนย์ทดสอบผลิตภัณฑ์ไฟฟ้าและอิเล็กทรอนิกส์ (PTEC) สนับสนุนโครงการโดย สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (NSTDA) • อนุกรรมการ การประชาสัมพันธ์ สื่อทางอินเทอร์เน็ต ศาลยุติธรรม • ที่ปรึกษาคณะอนุกรรมาธิการพิจารณาศึกษาหามาตรการในการป้องกันการแพร่ระบาดของเกมส์คอมพิวเตอร์ (ออนไลน์) ในสภาผู้แทนราษฎร • กรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสาร และโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน ภายใต้คณะกรรมการกิจการโทรคมนาคมแห่งชาติ (กทช.) • คณะทำงานกำหนดคุณลักษณะเฉพาะเครื่องคอมพิวเตอร์และระบบเครือข่าย และกำหนดขอบเขตการจ้างที่ปรึกษาในการออกแบบและพัฒนาระบบงาน สำนักงานตรวจเงินแผ่นดิน • ที่ปรึกษาในคณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสาร (CIO Board) สำนักงานตรวจเงินแผ่นดิน • อนุกรรมการปรับปรุงระบบข้อมูลสารสนเทศ สำนักงานตรวจเงินแผ่นดิน • นักวิจัย Visiting Researcher, Asian Center for Research on Remote Sensing (ACRoRS); Asian Institute of Technology (AIT) • นักวิจัย Visiting Researcher, FAU EMI R&D LAB, Boca Raton, Florida, USA • ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัย พัฒนาและวิศวกรรม ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) • ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัยและพัฒนา กระทรวงกลาโหม • ผู้ประเมินนักวิจัยดีเด่นประจำปี ของสภาวิจัยแห่งชาติ • Adjunct Professor, School of Information Technology, Southern Cross University, Australia • Adjunct Professor, Southern Cross University, Australia (Cooperation with Narasuan University, Thailand) • Adjunct Professor, University of Canberra, Australia (Cooperation with Narasuan University, Thailand)

ผลงานตีพิมพ์ทางวิชาการ

• วารสารวิจัยระดับนานาชาติ ๒๒ ฉบับ • วารสารการประชุมทางวิชาการระดับชาติและนานาชาติ ๖๓ ฉบับ

ไอทีภิบาล (IT Governance)

ไอทีภิบาล (IT Governance)

ปัจจุบันเทคโนโลยีสารสนเทศได้เข้ามาเป็นส่วนหนึ่งในระบบการทำงานของในแต่ละองค์กร ในยุคของการค้าเสรีและเศรษฐกิจยุคใหม่ อีกทั้งการแข่งขันที่นับวันจะทวีความยิ่งรุนแรงขึ้น การนำเทคโนโลยีสารสนเทศเข้ามาพัฒนา บริหารงานระบบงานต่างๆ จึงพิ่มมากขึ้น ทั้งช่วยการเพิ่มผลิตผล การควบคุมการทำงาน การลดความเสี่ยงต่างๆ ที่จะเกิดขึ้น เพื่อให้ธุรกิจดำเนินก้าวหน้าไป แต่เนื่องจากเทคโนโลยีสารสนเทศที่นับวันจะยิ่งสลับซับซ้อนมากขึ้น แนวทางในการควบคุม การตรวจสอบ และการป้องกันระบบทั้งจากภายในและภายนอกจึงต้องมีการตรวจสอบกันและป้องกันกันอย่างเข้มงวด เพื่อป้องกันปัญหาต่างๆ ที่จะเกิดขึ้นในอนาคต ดังนั้นผู้บริหารองค์กรจึงต้องหามาตรการต่างๆ มาป้องกัน เพื่อมากำหนดนโยบาย การตรวจสอบ การควบคุมการใช้เทคโนโลยีสารสนเทศ ให้อยู่ในกรอบที่สามารถติดตามตรวจสอบและควบคุมได้ในอนาคต
ไอทีภิบาล (ไอที + ธรรมภิบาล) = ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ คือหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการด้านเทคโนโลยีสารสนเทศควบคู่ไปกับการวางนโยบาย กลยุทธ์ แนวทาง การวัดผล การลดความเสี่ยงและการจัดการ เพื่อเพิ่มผลผลิตและคุณค่าของผลิตภัณฑ์และมวลรวมขององค์กร เป็นกรอบทางความคิดและแนวทางในการปฏิบัติงาน ซึ่งมีวิธีการหลายๆ วิธีการหลายมาตรฐานด้วยกัน
ไอทีภิบาลเป็นหน้าที่ของผู้บริหาร โดยมีหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้าน เทคโนโลยีสารสนเทศควบคู่กันไปกับความสามารถด้านอื่น ๆ ของคณะกรรมการและผู้บริหารระดับสูงที่ใช้เป็น กรอบและองค์ประกอบของกระบวนการบริหารงานในการปฏิบัติตามนโยบาย กลยุทธ์เพื่อสร้างศักยภาพ คุณค่า เพิ่ม และการเติบโตอย่างยั่งยืนอย่างรู้คุณค่าให้กับองค์กรควบคู่กันไปกับหลักการกํากับดูแลกิจการที่ดีที่แยกกันไม่ได้ ในกระบวนการบริหารความเสี่ยงตามองค์ประกอบของการจัดการตั้งแต่การวางแผน การจัดองค์กร การจัดพนักงาน การดําเนินการและการควบคุม

ความสําคัญ IT Governance
1. ความจําเป็นที่ต่องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ เพื่อการบรรลุกลยุทธ์และเป้าหมายขององค์การ ความก้าวหน้าในการพัฒนาเทคโนโลยีสารสนเทศมาก ทําให้ข้อมูลสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจํากัดด้านเวลา ระยะทางและความรวดเร็ว องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจําเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือ ข่าย ทั้งในด้านของ hardware และ software ซึ่งระบบการควบคุมจําเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็วและเป็นไปแบบก้าวกระโดด จึงจําเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนํา ข้อมูลไปใช่กระทําการที่ผิดกฎหมาย ดังนั้นการบริหารความเสี่ยงที่เกี่ยวข้องเทคโนโลยีสารสนเทศจึงกลายมาเป็น ส่วนสําคัญในการกํากับดูแลกิจการที่ดีขององค์กร (Corporate Governance)
ผู้บริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน ณ ระดับใดในเรื่องการรักษาความปลอดภัยและการควบคุม และจะรักษาจุดสมดุลอย่างไรระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุมและผลตอบแทน
2. ความจําเป็นของการควบคุมและกํากับทางด้านเทคโนโลยีสารสนเทศ ตามกฎหมายที่ยอมรับในระดับสากลกับบริษัทในตลาดหลักทรัพย์ องค์การ ต่างๆ ที่อยู่ในตลาดหลักทรัพย์ในสหรัฐฯ จําเป็นต้องให้ความสําคัญกับการควบคุมและการประมวลข้อมูลโดยมีการระบุในกฎหมาย Sarbanes-Oxley Act, 2002 ใน section 404 ที่ กล่าวถึง “Management’s Report on Internal Controls over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports” ว้ารายงานของการควบคุมภายในจะต้องครอบคลุมเนื้อหาดังนี้
2.1 การระบุความรับผิดชอบของผู้บริหารที่มีต้อการจัดการให้มีการควบคุมภายในในการจัดทํา
รายงานทางการเงินของบริษัท
2.2 การตรวจสอบของผู้บริหารถึงความถูกต้องและความมีประสิทธิผลในการควบคุมภายในของการ
จัดทํารายงานทางการเงินของบริษัท ณ วันสิ้นสุดรอบการเงิน
2.3 การระบุถึงกรอบการจัดการในการประเมินความถูกต้องและความมีประสิทธิผลในการควบคุม
ภายในของการจัดทํารายงานทางการเงินขององค์การ
2.4 การตรวจรับรองโดยบริษัทตรวจสอบบัญชีและรายงานถึงการตรวจสอบของผู้บริหารถึงความถูก
ต้องและความมีประสิทธิผลในการควบคุมภายในของการจัดทํารายงานทางการเงินขององค์การซึ่ง
การใช้ข้อมูลโดยพึ่งพาเทคโนโลยีสารสนเทศเป็นสิ่งที่จําเป็น การมีการควบคุมที่ดีในการจัดการข้อมูล
รวมทั้งการควบคุมคุณภาพและการรักษาความปลอดภัยในการเข้าถึงข้อมูล จึงมีความสําคัญอย่างยิ่ง
โดยปกติการเซ็นชื่อรับรองงบการเงินซึ่งมิใช่การสอบบัญชีนั้น จะกระทําโดย CEO และ CFO แต่ใน ปัจจุบันเริ่มมีหลายบริษัทให้ CIO เซ็นชื่อร่วมด้วย โดยให้ความสําคัญกับ technology support เพื่อให้ได้มาซึ่งรายงานทางการเงินที่เชื่อถือได้

องค์ประกอบหลักของ IT Governance
1.Strategic alignment : การใช้ทรัพยากรด้านไอทีการวางแผนดำเนินงานโดยใช้ไอทีให้สอดคล้องกับธุรกิจและใช้ไอทีเป็น เครื่องมือในการนำพาธุรกิจให้ถึงจุดหมาย
2.Value delivery : ขบวนการตรวจสอบและควบคุมการลงทุนด้านไอทีให้เป็นไปตามวัตถุประสงค์และตรงกับจุดมุ่งหมาย เพราะเนื่องจากในปัจจุบันการลงทุนไปกับไอทีระบบใดระบบหนึ่งต้องใช้เงินลงทุนค่อนข้างสูงกับระบบการบริหารองค์กร เช่น ERP, CRM หรือ Application ทางธุรกิจสำหรับหน่วยงานราชการหรือเอกชนที่มีจำนวนผู้ใช้หลายร้อยหลาย พันคนซึ่งส่วนใหญ่ก็มักจะได้ผลตอบการลงทุนที่ค่อนข้างช้า
3.Resource management : การบริหารจัดการทรัพยากรไอทีผู้ใช้ขบวนการข้อมูลโครงสร้างของระบบและอื่นๆ ที่เกี่ยวข้องเพื่อ ให้ได้ประสิทธิภาพและประสิทธิผลสูงสุด
4. Risk management : การบริหารและจัดการความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นจากกระบวนการทำงานใดๆของไอทีในองค์กร
5.Performance measurement : การใช้ไอทีเพื่อติดตามและตรวจสอบรวมถึงการวัดประสิทธิผลของกระบวนการการทำงานต่างๆ ในองค์กร เช่น ความคืบหน้าของโครงการ การใช้ทรัพยากร การวัดความสำเร็จของเป้าหมายต่างๆที่วางไว้

หลักการและความเป็นจริงในการกำหนดกรอบ IT Governance
ความจำเป็นที่ต้องมีการควบคุมการจัดการและการใช้เทคโนโลยีสารสนเทศ
1. การพัฒนาเทคโนโลยีสารสนเทศ (IT) มีความก้าวหน้าขึ้นเป็นอันมาก ทำให้สารสนเทศสามารถส่งผ่านถึงผู้รับได้อย่างรวดเร็วโดยปราศจากข้อจำกัดด้านเวลา ระยะทาง และสถานที่ซึ่งมีผลถึงศักยภาพการแข่งขันอย่างสำคัญ
1.1. การพึ่งพาการใช้งานจากสารสนเทศและระบบต่างๆ ที่เพิ่มมากขึ้น
1.2. การเพิ่มขึ้นของการใช้สารสนเทศที่ใช้ในการพัฒนา Business Process และการให้บริการลูกค้า
1.3. การเปลี่ยนแปลงของต้นทุน และขนาดของการลงทุนของข้อมูล และ Information Systems ใน
ปัจจุบัน และในอนาคต
1.4. ศักยภาพที่เพิ่มขึ้นของเทคโนโลยีที่ขับเคลื่อนการเปลี่ยนแปลงให้เกิดขึ้นในองค์กร รวมทั้ง
ปรับเปลี่ยนหลักการการจัดการ และการปฏิบัติงาน (Business Practices) ซึ่งก่อให้เกิดโอกาสทางธุรกิจ
ใหม่ ๆ และช่วยให้ต้นทุนลดลงด้วย
2. การแข่งขันที่รุนแรงขึ้นก่อให้เกิดการเปลี่ยนแปลงขององค์กรในด้านต่าง ๆ ไม่ว่าจะเป็นการปรับเปลี่ยนระบบ และกระบวนการทำงานให้กระชับขึ้น โดยนำเทคโนโลยีสารสนเทศมาช่วยในการปรับปรุงเพื่อเพิ่มความสามารถในการแข่งขันมากขึ้น มีการปรับขนาดขององค์กรให้กระชับและมีความเหมาะสม มีการใช้บริการจากภายนอกมากขึ้น มีการกระจายอำนาจและปรับโครงสร้างองค์กรให้เป็นแนวราบมากขึ้น สิ่งเหล่านี้มีผลกระทบต่อการปฏิบัติงานทั้งขององค์กรเอกชนและองค์กรของรัฐบาล โดยเฉพาะการเน้นไปที่การได้เปรียบในด้านการแข่งขัน (Competitive Advantage) และการเกิดประสิทธิภาพด้านต้นทุน (Cost Efficiency) ซึ่งเป็นผลให้แต่ละองค์กรจำเป็นต้องพึ่งพาเทคโนโลยีมากขึ้นและกลายเป็นยุทธศาสตร์ที่สำคัญขององค์กร
การดำเนินธุรกิจที่ต่อเนื่องเป็นความสำคัญยิ่งยวดที่ทุกองค์กรจะต้องตระหนัก โดยจัดให้มีการบริหารความเสี่ยงในมุมมองต่าง ๆ ที่เหมาะสม ตั้งแต่ Logical Control และ Environmental Control เพราะความไม่แน่นอนในการพึ่งพา Offsite Backup มีความเสี่ยงสูงและเป็นความเสี่ยงที่ไม่อาจยอมรับได้ในหลาย ๆ กรณี เมื่อมีการศึกษา Business Impact Analysis
3. องค์กรต่าง ๆ มองเห็นความสำคัญของสารสนเทศและเทคโนโลยีที่พัฒนา อันถือได้ว่าเป็นสินทรัพย์ที่มีค่ายิ่งโดยเฉพาะในโลกของการแข่งขันที่รุนแรง ผู้บริหารจะให้ความสำคัญ และความคาดหวังกับเทคโนโลยีสารสนเทศมากยิ่งขึ้นโดยเฉพาะการตอบสนองที่รวดเร็ว มีคุณภาพ สามารถใช้งานได้หลากหลาย และสะดวกต่อการใช้งาน โดยใช้เวลาน้อยลง เพิ่มระดับการบริการให้ดียิ่งขึ้น โดยมีต้นทุนที่ต่ำลง
4. องค์กรที่มีการปฏิบัติงานในระบบอัตโนมัติจำเป็นต้องมีกลไกในการควบคุมที่ดียิ่งขึ้น โดยเฉพาะการควบคุมทั้งระบบคอมพิวเตอร์ และระบบเครือข่าย (Network) ทั้งในด้านของ Hardware และ Software ซึ่งระบบการควบคุมจำเป็นต้องพัฒนาไปพร้อมกับการพัฒนาของเทคโนโลยีที่เกิดขึ้นอย่างรวดเร็ว และเป็นไปแบบก้าวกระโดด
5. หลายองค์กรได้เล็งเห็นถึงประโยชน์ที่จะได้รับจากเทคโนโลยี สำหรับองค์กรที่ประสบความสำเร็จก็มีความเข้าใจ และสามารถบริหารความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีมาใช้ได้เป็นอย่างดี โดยเฉพาะการเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศ ได้เกิดมากขึ้นเป็นลำดับ และรวดเร็ว จึงจำเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนำข้อมูลไปใช้กระทำการที่ผิดกฎหมาย ดังนั้น การบริหารความเสี่ยงที่เกี่ยวข้องกับ เทคโนโลยีสารสนเทศ จึงกลายมาเป็นส่วนสำคัญในการกำกับดูแลกิจการที่ดีขององค์กรขององค์กร (Corporate Governance)
6. ที่ผ่านมาความต้องการในการมีกรอบมาตรฐาน (Framework) สำหรับการจัดการเรื่องความปลอดภัย และการควบคุมทางด้านเทคโนโลยีสารสนเทศมีค่อนข้างมาก โดยเฉพาะองค์กรที่ประสบความสำเร็จต่าง ๆ ได้มีความเข้าใจ และประเมินค่าของความเสี่ยงเทียบกับข้อจำกัดในการใช้เทคโนโลยีสารสนเทศในทุกระดับขององค์กร เพื่อให้มั่นใจว่าองค์กรจะสามารถมีการกำกับดูแลที่มีประสิทธิผล และมีการควบคุมที่เพียงพอ
7. ระดับบริหารจะต้องสามารถตัดสินใจได้ว่าควรจะลงทุน ณ ระดับใด ในเรื่องการรักษาความปลอดภัย และการควบคุม (Security and Control) และจะรักษาจุดสมดุลอย่างไร ระหว่างความเสี่ยงที่รับได้กับการลงทุนในด้านการควบคุม ถึงแม้การรักษาความปลอดภัย และการควบคุม (Security and Control) ทางด้านเทคโนโลยีสารสนเทศจะช่วยในการบริหารความเสี่ยง แต่ความเสี่ยงก็ยังคงมีอยู่ไม่ได้ถูกกำจัดออกไปทั้งหมด เพราะไม่มีผู้ใดสามารถกำหนดระดับความเสี่ยงได้ชัดเจนแน่นอน
ดังนั้น ผู้บริหารจึงต้องกำหนดระดับความเสี่ยงที่รับได้ โดยเปรียบเทียบกับต้นทุนที่ต้องลงทุน ซึ่งถือได้ว่าเป็นการตัดสินใจที่ค่อนข้างยาก จึงจำเป็นต้องมีกรอบมาตรฐาน (Framework) เพื่อให้ทราบถึงการกำหนดนโยบายการรักษาความปลอดภัย และการควบคุมด้านเทคโนโลยีสารสนเทศ โดยคำนึงถึงสภาวะของเทคโนโลยีสารสนเทศในปัจจุบัน และที่จะเป็นในอนาคต
8. ระดับผู้ใช้ (Users) ก็ต้องมีความมั่นใจว่ามีการรักษาความปลอดภัย และการควบคุม (Security and Control) อย่างเพียงพอในการใช้งานด้านเทคโนโลยีสารสนเทศ ไม่ว่าจะเป็นการใช้บริการจากภายในองค์กร หรือจากผู้ให้บริการจากภายนอก (Third Party) ก็ตามซึ่งที่ผ่านมาการควบคุมทางด้านเทคโนโลยีสารสนเทศจะค่อนข้างสับสนเนื่องจากมีมาตรฐานหลากหลายวิธีจากองค์กรต่าง ๆ
9. ระดับผู้ตรวจสอบ (Auditors) ก็จำเป็นจะต้องมีมาตรฐานสากลในการตรวจสอบ เนื่องจากจะต้องมีจุดยืนในการให้แนวคิด และเหตุผลเกี่ยวกับการตรวจสอบภายในกับระดับบริหาร ซึ่งถ้าปราศจากกรอบมาตรฐานแล้วจะหาจุดพิจารณาถึงระดับการรักษาความปลอดภัย และการควบคุม (Security and Control) ด้านเทคโนโลยีสารสนเทศที่เหมาะสมได้ค่อนข้างยาก

ความสัมพันธ์ของ IT Governance กับ Corporate Governance
ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) เป็นส่วนสำคัญที่รวมอยู่ในความสำเร็จของธรรมาภิบาลขององค์กร (Corporate Governance) โดยจะเป็นจุดวัดของการปรับปรุงในด้านประสิทธิผล และประสิทธิภาพของกระบวนการปฏิบัติงานขององค์กร ธรรมาภิบาลขององค์กรจะเป็นกรอบในการกำหนดแนวทางสำหรับธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ (IT Governance) ส่วนกิจกรรม / กระบวนการต่าง ๆ ขององค์กรจะต้องใช้ข้อมูลจาก กิจกรรม / กระบวนการของเทคโนโลยีสารสนเทศอย่างมีนัยสำคัญยิ่ง โดยเฉพาะธุรกิจหลัก ๆ ขององค์กร
Corporate Governance เป็นผู้ขับเคลื่อน และกำหนดรูปแบบของ IT Governance ขณะเดียวกันเทคโนโลยีสารสนเทศก็ได้สนับสนุนข้อมูลที่จำเป็นต่าง ๆ เพื่อใช้ในการวางแผนด้านกลยุทธ์ (Strategic Planning) และในบางครั้งยังเป็นส่วนที่มีอิทธิพลในการสร้างโอกาสใหม่ ๆ ให้กับองค์กร จึงถือได้ว่าเทคโนโลยีสารสนเทศ และการวางแผนด้านกลยุทธ์มีความสัมพันธ์แบบพึ่งพากัน โดยกิจกรรมในองค์กร (Corporate Activities) จำเป็นต้องใช้ข้อมูลจาก IT Activities เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจ โดย IT Activities จะต้องสอดคล้องกับกิจกรรมในองค์กร และช่วยให้องค์กรสามารถใช้ประโยชน์จากข้อมูลอย่างเต็มที่ในการสร้างประโยชน์สูงสุด และได้ผลตอบแทนจากการลงทุนจากโอกาสทางธุรกิจต่าง ๆ รวมทั้งสามารถเพิ่มความได้เปรียบในการแข่งขันมากขึ้น
โดยปกติแล้วองค์กรจะมีการกำกับ บริหาร และควบคุมโดยใช้หลักการจัดการ และการปฏิบัติที่เหมาะสมหรือที่ดีที่สุด เพื่อให้มั่นใจว่าองค์กรจะสามารถบรรลุเป้าหมายหรือวัตถุประสงค์ที่ต้องการ โดยต้องมีการควบคุมที่ดีด้วย และในขณะเดียวกันเทคโนโลยีสารสนเทศก็จำเป็นต้องมีการกำกับ บริหาร และควบคุมที่ดี โดยยึดหลักการของ Best Practices เช่นเดียวกัน เพื่อให้ข้อมูล และเทคโนโลยีที่ใช้ในองค์กร สามารถช่วยให้องค์กรบรรลุวัตถุประสงค์ทางธุรกิจได้ รวมทั้งการใช้ทรัพยากรต่าง ๆ อย่างมีเหตุมีผล และมีการบริหารความเสี่ยงที่เหมาะสม

ขอบเขต IT Governance

ขั้นตอนการนำ IT Governance มาปฎิบัติ
ขั้นตอนที่ 1
• จัดตั้งคณะกรรมการทางด้านกลยุทธ์ IT Strategy Committee และ IT Steering Committee
• กําหนดหน้าที่และความรับผิดชอบของคณะกรรมการและผู้บริหาร โดยความรับผิดชอบหลักคือการมุ่งไปที่การเพิ่มคุณค่าในการใช้ IT การบริหารความเสี่ยงที่เกี่ยวข้องกับ IT และผลการปฏิบัติงานอันเนื่องมาจากการใช้ IT
• คณะกรรมการจะเป็นผู้กําหนด นโยบายทางด้านธุรกิจ (Business Policy), นโยบายของข้อมูล (Information Policy), นโยบายด้านเทคโนโลยีสารสนเทศ (IT Policy), การจัดการไอทีภิบาล (IT Governance organization), การดำเนินการไอทีภิบาล (IT Governance Process) และการวัดผลการปฎิบัติงาน (Measurements)
ขั้นตอนที่ 2
• สร้างความเชื่อมโยงของ IT เข้ากับ เป้าหมาย กลยุทธ์ ความต้องการทางธุรกิจขององค์กร รวมทั้งการจัดลําดับความสําคัญ
• นำนโยบายและกลยุทธ์ทางด้าน IT ไปสู่การปฏิบัติ โดยมีการกําหนดพฤติกรรมในองค์กรให้มีการปฏิบัติสอด คล้องกับกลยุทธ์ เป้าหมายของการลงทุน และการมีระดับความเสี่ยงที่ยอมรับได้ โดยคณะกรรมการบริหาร โดย IT Strategy Committee ให้แนวทางในการกําหนดนโยบาย และกําหนดทิศทางกลยุทธ์ทางด้าน IT เพื่อให้มีความสอดคล้องกับกลยุทธ์ของธุรกิจ ในขณะที่ผู้บริหาร (IT Steering Committee) จะต้องพิจารณา/ทบทวน IT portfolio เพื่อให้เกิดความต่อเนื่องกับกลยุทธ์ รวมทั้งประเมินแต่ละโครงการว่ามีความสอดคล้องและเหมาะสมกับกลยุทธ์หรือไม่ และจัดลําดับความสําคัญของโครงการต่างๆ
ขั้นตอนที่ 3
• การจัดการทางด้าน IT Portfolio และ IT Investment
IT Portfolio คือ กล่มของการลงทุนทางด้าน IT (IT Investment) และทรัพยากรที่ใช้ รวมทั้งข้อมูลที่เกี่ยวข้องกับการลงทุนในแต่ละส่วน โดยประกอบด้วยแต่ละรายการที่แบ่งอยู่ในกลุ่มการบริหารงาน ต่อไปนี้
- Application ประกอบด้วยกลุ่มของ user applications ที่มีการใช้งานและบํารุงรักษาที่เป็นความรับผิดชอบของ IT ต้นทุนที่เกี่ยวข้องและบันทึกใน portfolio จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับ application นั้นๆ
- Infrastructure ประกอบด้วย hardware และ software ที่ให้บริการกับ user ซึ่งจะรวมถึง processors, peripherals, communications, operating software และ สถานที่/ อุปกรณ์อํานวยความสะดวกต่างๆ ต้นทุนที่เกี่ยว ข้องและบันทึกใน portfolio จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับ infrastructure ทั้งหมด
- Service ประกอบด้วยการให้การบริการ และสนับสนุนการใช้งานของ user เช้น help desk และบริการซ่อม PC โดยจะไม่รวมการบริการที่ให้แก่ภายในหน่วยงานด้าน IT แต่จะเป็นบริการที่มีการเรียกใช้ตามตารางการบริการที่มีให้แก่ user หรือตามที่ user ร้องขอ ต้นทุนที่เกี่ยวข้องและบันทึกใน portfolio จะรวมถึงผู้บริหารและพนักงานที่เกี่ยวข้องกับการให้บริการแก่ user ทั้งหมด
- Management ประกอบด้วยกิจกรรมที่เกี่ยวข้องกับการบริหาร และการให้บริการที่สนับสนุนการทําในของหน่วยงานทางด้าน IT ที่เกี่ยวข้องกับ application, infrastructure และ service กับ user

ตัวอย่างรูปแบบเบื้องต้นของ IT Portfolio

การจัดการทางด้าน IT Portfolio ถือได้ว่าเป็นเครื่องมือที่สําคัญที่จะช่วยผู้บริหารในการทําความเข้าใจถึงการลงทุนทางด้าน IT ในมุมมองของต้นทุน และทรัพยากรต่างๆที่เกี่ยวข้อง เพื่อช่วยในการวางแผน และเป็นเครื่องมือที่ช่วยในการตัดสินใจ
ขั้นตอนที่ 4
• กําหนด IT processes และส่วนที่เป็นเป้าหมายหลักในการปรับให้สอดคล้องกับกรอบของ IT Governance
- กรอบ IT Governance ภายใต้การกํากับของกระทรวงการคลัง
- กรอบ IT Governance ตามมาตรฐาน COBIT
ขั้นตอนที่ 5
• กําหนดบุคลากรและการแต่งตั้งคณะกรรมการที่เหมาะสม
ความสําเร็จของ IT Governance จะขึ้นอยู่กับความเกี่ยวข้องโดยตรงของผู้บริหาร โดยผู้ดําเนินการหลักนั้นควรจะเป็นบุคคลที่ทําให้ IT Governance ประสบความสําเร็จได้ และไม่ควรจะมีการเปลี่ยนแปลงตัวบุคคล บ่อย เพราะจะขาดความต่อเนื่อง ซึ่ง โดยคณะกรรมการใน IT Strategy Committee ควรจะมีอย่างน้อย 2 ท่าน เพื่อความต่อเนื่องเมื่อมีผู้ใดขาดไป และสามารถมีผู้เชี่ยวชาญอยู่ในคณะได้เพื่อให้ความเข้าใจทางด้านข้อมูลในเชิงลึก ส่วนที่เป็น IT Steering Committee จะประกอบด้วยผู้บริหารระดับสูงที่เกี่ยวข้อง รวมทั้ง CIO และที่ปรึกษาที่ เป็น ผู้เชี่ยวชาญ ที่จะต้องตัดสินใจใน IT investment ขนาดใหญ่ โดยประสานงานร่วมกับ Program Management Office (PMO) ที่รับผิดชอบดูแลทางด้าน project management และ project portfolio managementในขณะที่ IT investment ที่มีขนาดเล็กอาจแต่งตั้งคณะอนุกรรมการ (subcommittee) เพื่อพิจารณาแทนได้
การกําหนดคณะทํางานเฉพาะเรื่อง เช่น IT Portfolio Management Committee หรือ IT Infrastructure Planning Committee ก็สามารถรวมทีมจากผู้ที่มีคุณสมบัติที่เหมาะสมเพื่อให้กําหนดขั้นตอนมาตรฐาน และกรอบการทํางาน โดยจะต้องมีผู้ที่มีความรู้ความเขฃ้าใจในด้านนั้นเป็นหลัก
ควรมีการกําหนดบทบาทหน้าที่ความรับผิดชอบของคณะทํางานในแต่ละ committee ที่ชัดเจน รวมทั้งขอบเขตของอํานาจ และแนวทางในการตัดสินใจ
ขั้นตอนที่ 6
• รูปแบบการกํากับทางด้าน IT Government ควรมีการจัดทําเป็นกฎบัตร IT Government ที่เป็นลายลักษณ์อักษร และควรครอบคลุมถึง
- วัตถุประสงค์ของการกํากับทางด้าน IT Governance คู่กับ Corporate Governance
- ขอบเขต IT Governance ในองค์กร
- ผู้ที่เกี่ยวข้องและมีส่วนร่วม
- กระบวนการ IT Governance
- กิจกรรมด้าน IT Governance
- นโยบายและวัตถุประสงค์ที่เป็น IT Policy และส่งเสริม IT Governance
- บทบาทและหน้าที่ความรับผิดชอบของผู้ที่เกี่ยวข้องกับ IT Governance
- กําหนดตัวชี้วัดความสําเร็จ ที่จะบ่งชี้ถึงความมีประสิทธิผลในการปฏิบัติ
- กําหนดความเสี่ยงที่เกี่ยวข้องและสมมติฐานที่ใช้ในการประเมินความเสี่ยง
การมีกฎบัตรที่ระบุข้อมูลต่างๆที่จําเป็นในการทําให้ IT Governance ประสบผลสําเร็จนั้น จะทําให้องค์กรเห็นถึงความสําคัญ และจําเป็นต้องมีการสื่อสารอย่างทั่วถึงและต่อเนื่อง เพื่อให้มีการปฏิบัติอย่างจริงจังและต่อเนื่อง ซึ่งจะสอดคล้องและเป็นส่วนหนึ่งของ การกํากับและบริหารกิจการที่ดีขององค์กร (enterprise governance)
ขั้นตอนที่ 7
• การวัดผลและประเมินผลเพื่อการปรับปรุงอย่างต่อเนื่อง
องค์กรควรจัดให้มี IT Steering Committee มีหน้าที่ในการติดตาม และประเมินผลของการดําเนินงานทางด้าน IT และ IT Governance โดยมีการพิจารณาติดตาม project ที่อยู่ใน IT Project Portfolio/ IT Development Portfolio และ IT Asset Portfolio โดยพิจารณา service level agreements, balanced scorecard และรายงานการประเมินผลที่แสดงถึงสถานภาพและความก้าวหน้า เทียบกับที่วางแผนไว้ การวัดและประเมินผลจะครอบคลุมทั้งในด้าน tangible asset และ intangible asset โดยจําเป็นต่องพิจารณาจาก architecture และ IT Asset Inventory (ที่อยู่ในรูปของ IT Infrastructure Plan) ซึ่งจะมีผลรวมถึงการพิจารณาถึงผลตอบแทนที่ให้กับพนักงาน ซึ่งอยู่ในส่วนของการประเมินผลด้าน IT ตามหลักของ balanced scorecard
ในการวัดผลนั้นวัตถุประสงค์ก็เพื่อมุ่งไปสู่การปรับปรุงให้ดีขึ้น ดังนั้นเมื่อมีการวัดผลเกิดขึ้น จะสามารถช่วยกําหนดเป็น baseline เพื่อหาเป้าหมายในการปรับปรุง การที่จะตั้งเป้าหมายเพื่อการปรับปรุงนั้น จําเป็นต้องมีการ benchmarking กับผู้ประกอบการในกลุ่มอุตสาหกรรมที่เกี่ยวข้องด้วยกันเพื่อเทียบเคียงว่ามีจุดใดที่องค์กรมีความก้าวหน้าหรือล้าหลังกว่าองค์กรในกลุ่มอุตสาหกรรมเดียวกัน และมีความสําคัญในการที่จะต้องปรับปรุง รวมทั้งเทียบกับมาตรฐานสากลของ COBIT สําหรับการจัดการทางด้าน IT ที่ดี โดยใช้ maturity model ของ COBIT ในการวัดและประเมินผลจะทําได้อย่างมีประสิทธิภาพและไม่ต้องสูญเสียเวลา และทรัพยากรนั้น จําเป็นต้องใช้เทคโนโลยีเข้ามาช่วยเช่นกัน

เอกสารอ้างอิง

- http://gotoknow.org/blog/xxl/159155
- http://www.itgthailand.com
- http://www.isaca-bangkok.org/article/May09/IT%20GOV%20n%20Value%20Creation.pdf
- http://www.acisonline.net/

ภัยคุกคามและแนวโน้มภัยคุกคามทางเทคโนโลยีสารสนเทศ

ภัยคุกคามและแนวโน้มภัยคุกคามทางเทคโนโลยีสารสนเทศ

แนวโน้มภัยคุกคามด้านเทคโนโลยีสารสนเทศนั้นมีเพิ่มมากขึ้นในแต่ละวัน ไม่ว่าจะเป็นการโจมตีระบบเครือข่าย โจมตีระบบฐานข้อมูล การเจาะระบบเพื่อโจรกรรมข้อมูล การสร้างไวรัสและการแพร่กระจายไวรัสเพื่อทำลายระบบ โดยจะมีเทคนิคใหม่ มีการเพิ่มความซับซ้อนมากขึ้น เนื่องจากในปัจจุบันมีช่องทางการเข้าถึงข้อมูลที่หลายหลายมากขึ้น มีการใช้อินเตอร์เน็ตอย่างแพร่หลาย ทำให้ตกเป็นเป้าการโจมตีง่ายขึ้น
ภัยคุกคามทางเทคโนโลยีสารสนเทศจะเปลี่ยนแปลงไปตามเทรนด์ของเทคโนโลยี ยกตัวอย่าง ในปี 2550 จะเป็นช่วงที่มีการระบาดของแอดแวร์(Adware) และ คีย์ล็อคเกอร์(Keylogger) เป็นจำนวนมาก ซึ่งทำให้สามารถเจาะระบบและโจรกรรมข้อมูลกันง่ายขึ้น เมื่อเข้ามาสู่ช่วงปี 2551 เป็นช่วงที่มีคนใช้อินเตอร์เน็ตการมากขึ้น ทำให้รูปแบบของภัยคุกคามเปลี่ยนมาเป็นภัยคุกคามบนเว็ป ขณะที่แอดแวร์และคีย์ล็อคเกอร์มีจำนวนลดน้อยลง เหตุผลดังกล่าวทำให้สามารถวิเคราะห์ได้ว่าแนวโน้มภัยคุกคามที่จะเกิดขึ้นในอนาคตจะเป็นไปในทิศทางและรูปแบบใด

ภัยคุกคามในระบบสารสนเทศ

มัลแวร์ (Malware)
มัลแวร์ (Malware) ย่อมาจาก "Malicious Software" ซึ่งหมายถึง โปรแกรมคอมพิวเตอร์ทุกชนิดที่มีจุดประสงค์ร้ายต่อคอมพิวเตอร์และเครือข่าย ที่บุกรุกเข้าไปติดอยู่ในระบบคอมพิวเตอร์โดยไม่ได้รับความยินยอมจากผู้ใช้ และสร้างความเสียหายให้กับระบบคอมพิวเตอร์นั้นๆ และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์เครื่องอื่นๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่าย หรือระบบสื่อสารข้อมูล ไวรัสก็อาจแพร่ระบาดได้เช่นกัน หรือเป็นคำที่ใช้เรียกโปรแกรมที่มีจุดประสงค์ร้ายต่อ ระบบคอมพิวเตอร์ทุกชนิดแบบรวมๆ นั่นเอง โปรแกรมพวกนี้ก็เช่น Virus, Worm, Trojan, Adware, Spyware, Keylogger, hack tool, dialer, phishing, toolbar, BHO, Joke, etc.
โดยสามารถจำแนก Malware ได้ตามนี้
ไวรัส (Virus)
ไวรัส คือโปรแกรมชนิดหนึ่งที่มีความสามารถในการสำเนาตัวเองเข้าไปติดอยู่ในระบบคอมพิวเตอร์ได้และถ้ามีโอกาสก็สามารถแทรกเข้าไประบาดในระบบคอมพิวเตอร์อื่นๆ ซึ่งอาจเกิดจากการนำเอาดิสก์ที่ติดไวรัสจากเครื่องหนึ่งไปใช้อีกเครื่องหนึ่ง หรืออาจผ่านระบบเครือข่ายหรือระบบสื่อสารข้อมูลไวรัสก็อาจแพร่ระบาดได้เช่นกัน
การที่คอมพิวเตอร์ใดติดไวรัส หมายถึงว่าไวรัสได้เข้าไปผังตัวอยู่ในหน่วยความจำ คอมพิวเตอร์ เรียบร้อยแล้ว เนื่องจากไวรัสก็เป็นแค่โปรแกรม ๆ หนึ่งการที่ไวรัสจะเข้าไปอยู่ ในหน่วยความจำได้นั้นจะต้องมีการถูกเรียกให้ทำงานได้นั้นยังขึ้นอยู่กับประเภทของไวรัส แต่ละตัวปกติผู้ใช้มักจะไม่รู้ตัวว่าได้ทำการปลุกคอมพิวเตอร์ไวรัสขึ้นมาทำงานแล้ว
จุดประสงค์ของการทำงานของไวรัสแต่ละตัวขึ้นอยู่กับตัวผู้เขียนโปรแกรมไวรัสนั้น เช่น อาจสร้างไวรัสให้ไปทำลายโปรแกรมหรือข้อมูลอื่นๆ ที่อยู่ในเครื่องคอมพิวเตอร์หรือแสดงข้อความวิ่งไปมาบน หน้าจอ เป็นต้น
เวิร์ม (Worm)
เวิร์มเป็นโปรแกรมคอมพิวเตอร์ เช่นเดียวกับโปรแกรมไวรัส แต่แพร่กระจายผ่านเครือข่ายไปยังคอมพิวเตอร์และอุปกรณ์เครื่องอื่น ๆ ที่ต่ออยู่บนเครือข่ายด้วยกัน ลักษณะการแพร่กระจายคล้ายตัวหนอนที่เจาะไชไปยังเครื่องคอมพิวเตอร์ต่าง ๆ แพร่พันธุ์ด้วยการคัดลอกตัวเองออกเป็นหลาย ๆ โปรแกรม และส่งต่อผ่านเครือข่ายออกไป เมื่อมีผู้ส่งอีเมล์และแนบโปรแกรมติดมาด้วย ในส่วนของ Attach file ผู้ใช้สามารถคลิกดูได้ทันที การคลิกเท่ากับเป็นการเรียกโปรแกรมที่ส่งมาให้ทำงาน ถ้าสิ่งที่คลิกเป็นเวิร์ม เวิร์มก็จะแอกตีฟ และเริ่มทำงานทันที โดยจะคัดลอกตัวเองและส่งจดหมายเป็นอีเมล์ไปให้ผู้อื่นอีก
ลักษณะของเวิร์มจึงไม่ใช่โปรแกรมที่เขียนเป็น.exe อย่างเดียว เพราะถ้า .exe อย่างเดียว ผู้ใช้จะเฉลียวใจ และเนื่องจากในโปรแกรมประยุกต์ของไมโครซอฟต์เกือบทุกโปรแกรมสามารถเขียนเป็นสคริปต์ไฟล์ หรือเป็นแมโครโฟล์ เพื่อให้รันสคริปต์หรือแมโครไฟล์ได้ เช่นในเวิร์ดก็จะมีการเขียนแมคโคร ในเอ็กซ์เซลก็เขียนได้เช่นกัน
โทรจัน (Trojan)
โทรจัน (Trojan) เป็นโปรแกรมที่ถูกเขียนขึ้นมาให้ทำตัวเหมือนว่าเป็น โปรแกรมธรรมดาทั่วๆ ไป เพื่อหลอกล่อผู้ใช้ให้ทำการเรียกขึ้นมาทำงาน แต่เมื่อ ถูกเรียกขึ้นมาแล้ว ก็จะเริ่มทำลายตามที่โปรแกรมมาทันที โทรจันบางตัวถูกเขียนขึ้นมาใหม่ทั้งชุด โดยคนเขียนจะทำการตั้งชื่อโปรแกรมพร้อมชื่อรุ่นและคำอธิบายการใช้งานที่ดูสมจริง เพื่อหลอกให้คนที่จะเรียกใช้ตายใจ
จุดประสงค์ของคนเขียนโทรจันอาจจะเช่นเดียวกับคนเขียนไวรัส คือ เข้าไปทำ อันตรายต่อข้อมูลที่มีอยู่ในเครื่อง หรืออาจมีจุดประสงค์เพื่อที่จะล้วงเอาความลับของระบบ คอมพิวเตอร์
โทรจันนี้อาจจะถือว่าไม่ใช่ไวรัส เพราะเป็นโปรแกรมที่ถูกเขียนขึ้นมาโดด ๆ และจะไม่มีการเข้าไปติดในโปรแกรมอื่นเพื่อสำเนาตัวเอง แต่จะใช้ความรู้เท่าไม่ถึงการณ์ของ ผู้ใช้เป็นตัวแพร่ระบาดซอฟต์แวร์ที่มีโทรจันอยู่ในนั้นและนับว่าเป็นหนึ่งในประเภทของโปรแกรม ที่มีความอันตรายสูง เพราะยากที่จะตรวจสอบและสร้างขึ้นมาได้ง่าย ซึ่งอาจใช้แค่แบตซ์ไฟล์ก็สามารถเป็นโปรแกรมประเภทโทรจันได้
สปายแวร์ (Spyware)
สปายแวร์ ก็คือ โปรแกรมเล็ก ๆ ที่ถูกเขียนขึ้นมาสอดส่อง การใช้งานเครื่องคอมพิวเตอร์ของคุณ อาจจะเพื่อโฆษณาสินค้าต่าง ๆ สปายแวร์บางตัวก็สร้างความรำคาญเพราะจะเปิดหน้าต่างโฆษณาบ่อย ๆ แต่บางตัวร้ายกว่านั้น ทันทีที่ Spyware เข้ามาอยู่ในเครื่อง มันจะสำแดงลักษณะพิเศษของโปรแกรมออกมา คือ นำเสนอหน้าเว็บโฆษณาเชิญชวนให้คลิกทุกครั้งที่มีการเชื่อมต่ออินเทอร์เน็ต โดยมาในรูปต่างๆ กัน ดังนี้
1. มี Pop up ขึ้นมาบ่อยครั้งที่เข้าเว็บ
2. ทูลบาร์มีแถบปุ่มเครื่องมือเพิ่มขึ้น
3. หน้า Desktop มีไอคอนประหลาดๆ เพิ่มขึ้น
4. เมื่อเปิด Internet Explorer หน้าเว็บแรกที่พบแสดงเว็บที่ไม่เคยเห็นมาก่อน
สคริป (Script)
Script เป็นการใช้คำสั่ง VBS (Visual Basic Script), JS (Java Script) , HTML Script, PHP Script หรือ .BAT ในการรันตัวเองขึ้นมา มีความรุนแรงต่ำ สามารถติดเชื้อไปยังเครื่องอื่นได้โดยใช้พาหะ โดยทั่วไปจะไม่มีผลอะไรเมื่อยังไม่ได้รัน
Hacktool
Hacktool เป็นโปรแกรมของพวก Hacker, Cracker ใช้จู่โจมจากช่องโหว่ระบบปฏิบัติการหรือ Web Browser ของเหยื่อ เมื่อไม่มี Patch หรืออะไรมาปิดกัน จะทำให้จู่โจมได้ง่ายขึ้น ความสามารถคือรบกวนระบบปฏิบัติการและโปรแกรมบางชนิด
Backdoor
Backdoor สามารถเปิด Port ของคอมพิวเตอร์ให้สามารถมองเห็นและจู่โจมโดย Hacker, ส่งอีเมล์ขยะ และยังสามารถเปิด Port ให้สามารถแพร่กระจายสู่คอมพิวเตอร์เครื่องอื่นได้
Rootkit
Rootkit เป็นรูปแบบการโจมตีแบบพิเศษที่สามารถซ่อนตัวในโปรแกรมหลัก (Root) หรือซ่อนตัวใน Process ในระบบที่ติดไวรัส ทั้งนี้เพื่อป้องกันการตรวจจับจากโปรแกรม และการ Terminate จากผู้ใช้ ซึ่งผู้ดูแลระบบไม่สามารถเห็นได้จึงทำให้ไม่สามารถตรวจจับได้
Downloader
Downloader เป็นโปรแกรมอัตโนมัติที่ใช้ดาวน์โหลดไฟล์จากอินเทอร์เน็ต ส่วนมากจะเป็นการโหลด Malware มาไว้ที่เครื่อง และรันการทำงานได้
Keylogger
Keylogger เป็นโปรแกรมชนิดหนึ่งที่แฝงตัวเข้ากับระบบคอมพิวเตอร์ เพื่อเก็บข้อมูลการกดแป้นคีย์บอร์ด และดักเอารหัสผ่านต่างๆ เพื่อนำไปให้ผู้ไม่ประสงค์ดีนำเอาไปใช้งาน
Password Stealer
Password Stealer เป็นโปรแกรมขโมย Password โดยจะอาศัยการตรวจจับ Process และจึงเข้าไปเก็บข้อมูลการ Login เพื่อนำข้อมูลไปใช้ผลประโยชน์ในทางมิชอบ มักจะใช้ในการขโมย ข้อมูล Login ตามหน้าเว็บไซท์ โปรแกรมต่างๆ
Phishing
Phishing เป็นเทคนิคการทำ social engineer โดยใช้อีเมลล์เพื่อหลอกให้เหยื่อเปิดเผยข้อมูลการทำธุรกรรมทางการเงินบนอินเตอร์เน็ต เช่นบัตรเครดิตหรือพวก online bank account
Rogue Security Program
Rogue Security Program โปรแกรมหลอกลวง มักจะเป็นโปรแกรม Antivirus หรือ Anti Spyware หลอกให้ผู้ใช้เอาไปติดตั้ง โดยโปรแกรมจะรายงานผลการตรวจจับที่ "ไม่มีอยู่จริง" และจะให้ผู้ใช้โอนเงินไปให้ เพื่อกำจัด Malware ที่โปรแกรมตรวจจับได้ แต่ที่จริงแล้ว เป็นการหลอกลวงทั้งหมด

สถิติภัยคุกคามทางคอมพิวเตอร์ที่เกิดขึ้น
ภัยคุกคามทางคอมพิวเตอร์ที่พบมากที่สุดในปี 2551
รายงานสรุปโดย ศูนย์วิจัยเทรนด์แล็ปส์ บริษัท เทรนด์ ไมโคร อิงค์ จำกัด
1. บ็อตเน็ต (BotNet)
บ็อตเน็ตเปรียบเสมือนสิ่งชั่วร้ายที่มีอยู่ในทุกที่ โดยตัวอันตรายสำคัญอย่าง Storm, Kraken, Mega-D/Odzok, MayDay และ ASProx ได้ปรากฏขึ้นเป็นระลอกๆ ตลอดปี 2551 และยังคงมีอยู่อย่างต่อเนื่อง เมื่อนักวิจัยบ็อตเน็ตดำเนินการตรวจสอบ แม้จะมีการปิดเว็บไซต์ McColo ผู้สนับสนุนอาชญากรรมไซเบอร์รายใหญ่ไปแล้วเมื่อเดือนพฤศจิกายน แต่ก็เป็นแค่การหยุดกลุ่มผู้เชี่ยวชาญด้านบ็อตชั่วคราวก่อนที่พวกเขาจะค้นหาเครื่องมืออื่นๆ มาใช้ในการแพร่ระบาดอีกครั้ง
2. โปรแกรมป้องกันไวรัส (ของปลอม)
ซอฟต์แวร์ป้องกันไวรัสลวง แบ่งการทำงานเป็น 2 ขั้น ขั้นแรกจะหลอกผู้ใช้ว่าระบบของพวกเขาติดมัลแวร์แล้วด้วยการสร้างอาการติดเชื้อหลอกๆ ขึ้นมา ขั้นต่อมาจะชักชวนให้ผู้ใช้ซื้อโปรแกรมป้องกันไวรัสปลอมเพื่อล้างการติดเชื้อลวงนั้น ภัยคุกคามนี้ใช้ช่องทางติดเชื้อและมาในหลายรูปแบบ ตั้งแต่สแปมไปจนถึงการวางอันดับเว็บของตนให้ติดในเว็บไซต์ค้นหายอดนิยม (SEO) เพื่อให้เหยื่อหลงเชื่อ ซึ่งยังรวมถึงการฝังตัวอยู่ในเว็บไซต์ที่เป็นอันตรายหลายแห่งด้วย
3. ตัวเปลี่ยน DNS
บริษัท เทรนด์ ไมโคร ตรวจพบมัลแวร์สองตัวที่เปลี่ยน DNS ได้แก่ TROJ_AGENT.NDT และBKDR_AGENT.CAHZ ถือเป็นอันตรายต่อโฮสต์ต่างๆ ในเครือข่ายย่อยภายในองค์กร โดยจะติดตั้ง Dynamic Host Configuration Protocol (DHCP) Server ปลอมบนเครือข่าย มัลแวร์เหล่านี้จะตรวจสอบการรับส่งข้อมูลและดักจับ แพคเก็ตที่ร้องขอจากคอมพิวเตอร์เครื่องอื่นๆ ในเครือข่าย จากนั้นก็จะตอบกลับการร้องขอที่ดักจับได้นั้นด้วยแพคเก็ตที่มี DNS server ที่เป็นอันตราย ทำให้ผู้ได้รับแพคเก็ตดังกล่าวถูกเปลี่ยนทิศทางไปยังเว็บไซต์อันตรายโดยไม่ได้รับอนุญาต
4. หนอน .DLL
หนอน .DLL ที่ชื่อ WORM_DOWNAD.A ได้ใช้ช่องโหว่ MS08-067 และแสดงชุดคำสั่งที่ทำให้นักวิเคราะห์ด้านความปลอดภัยเชื่อว่าจะเป็นส่วนประกอบสำคัญในการพัฒนาบ็อตเน็ตใหม่ขึ้นมา โดยมีโฮสต์ที่ไม่ซ้ำกันกว่า 500,000 แห่งที่แพร่ระบาดหนอนตัวนี้ไปยังในประเทศต่างๆ แล้ว
นอกจากนี้ ข้อบกพร่องซีโร่เดย์ใน Internet Explorer ยังนำไปสู่ภัยคุกคามข้อมูลออนไลน์ขนาดใหญ่อย่างน้อย 2 อย่างด้วย ได้แก่ การขโมยข้อมูลและการโจมตีแบบ SQL Injection (ใช้คำสั่ง SQL เพื่อช่วยในการแฮกระบบ) ซึ่งเกิดกับเว็บไซต์ 6,000 แห่งแล้ว โดยอาชญากรไซเบอร์สามารถใช้ประโยชน์ข้อบกพร่องเหล่านี้โดยที่ผู้ใช้ไม่รู้ตัวแม้แต่น้อย
5. รูตคิตส์ (Rootkit)
ภัยคุกคามรูตคิตส์ MBR (Master Boot Record) เริ่มแพร่ระบาดในช่วงต้นปี 2551 โดยบริษัท เทรนด์ ไมโคร ตรวจพบรูตคิตส์ที่ชื่อว่า TROJ_SINOWAL.AD ซึ่งจะค้นหาพาร์ติชันที่สามารถบูตได้ของระบบที่ติดเชื้อ จากนั้นก็จะสร้าง MBR ที่เป็นอันตรายใหม่ขึ้นมาเพื่อโหลดส่วนประกอบของรูตคิตส์ที่ชื่อว่า RTKT_AGENT.CAV ลงมาไว้ในระบบ แล้วทำการบันทึกไว้ในเซกเตอร์ภายในพาร์ติชันที่สามารถบูตได้
6. มัลแวร์เรียกค่าไถ่ (Ransomware)
มัลแวร์เรียกค่าไถ่ GPcode รุ่นใหม่ที่บริษัท เทรนด์ ไมโครตรวจพบชื่อว่า TROJ_RANDSOM.A พบในเดือนพฤศจิกายน มัลแวร์ตัวนี้จะค้นหาและเข้ารหัสไฟล์ที่พบในไดร์ฟที่อ่านและเขียนได้ของระบบ จากนั้นก็จะแสดงให้ผู้ใช้เห็นว่าไม่สามารถเข้าถึงไฟล์ดังกล่าวได้ถ้าไม่มีคีย์เข้ารหัสลับ เหยื่อจะได้รับแจ้งว่าต้องซื้อเครื่องมือถอดรหัสลับ ซึ่งจะมีการทิ้งไฟล์ข้อความไว้ในแต่ละโฟลเดอร์ที่มีไฟล์ที่ถูกเข้ารหัสลับไว้
7.มัลแวร์แบบรันอัตโนมัติ (AUTORUN)
ไดร์ฟแบบถอดได้และไดรฟ์ที่ใช้งานจริงถือเป็นแหล่งติดเชื้อสูงสุดอันดับ 4 ของโลก โดย 15% ของการติดเชื้อทั้งหมดในเอเชียและออสเตรเลียมาจากมัลแวร์ที่เกิดจากไดร์ฟแบบถอดได้ ประเทศในเอเชียส่วนใหญ่จะมีมัลแวร์แบบ รันอัตโนมัติเป็นตัวติดเชื้อสูงสุด และเป็นมัลแวร์ที่ติดเชื้อมากที่สุดในพีซีของประเทศในภูมิภาคยุโรป ตะวันออกกลาง และแอฟริกา (EMEA)

ภัยคุกคามทางคอมพิวเตอร์ที่พบมากที่สุดในปี 2552
รายงานสรุปโดย บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด
1. หนอนคอมพิวเตอร์ “คอนฟิกเกอร์”
“คอนฟิกเกอร์” คือหนอนคอมพิวเตอร์ที่ตั้งเป้าโจมตีระบบปฏิบัติการวินโดวส์ และผู้สร้างสามารถสั่งการได้จากระยะไกล ปัจจุบันหนอนชนิดนี้ควบคุมเครื่องคอมพิวเตอร์กว่าเจ็ดล้านเครื่อง ทั้งภาครัฐ, เอกชน และเครื่องคอมพิวเตอร์ส่วนตัว ในกว่า 200 ประเทศทั่วโลก
คอนฟิกเกอร์จะโจมตีช่องโหว่ในส่วนของวินโดวส์เซิร์ฟเวอร์เซอร์วิส (Windows Server service) (ซึ่งไมโครซอฟต์ได้ออกซอฟต์แวร์แก้ไข (MS08-067) ในเดือนตุลาคม 2552) โดยอาศัยเทคนิคออโต้รันเพื่อการแพร่กระจายผ่านทาง Thumb Drive แบบยูเอสบี เมื่อเข้าถึงคอมพิวเตอร์เครื่องหนึ่งแล้ว มันจะพยายามเข้าถึงเน็ตเวิร์กแชร์ (Network Shares) และพยายามแคร็กรหัสผ่านของแอคเคานต์ในเครื่อง หากแคร็กรหัสผ่านของผู้ดูแลระบบได้ ก็จะใช้เซอร์วิสที่ชื่อ Windows Task Scheduler Service เพื่อแพร่กระจายตัวเองไปยังคอมพิวเตอร์เครื่องอื่นต่อไป
เนื่องจากคอนฟิกเกอร์จำเป็นต้องใช้ช่องโหว่เฉพาะ (MS08-067) เพื่อการแพร่กระจาย จึงจำเป็นต้องรู้ว่าคอมพิวเตอร์ที่มันโจมตีใช้ภาษาอะไร โดยคอนฟิกเกอร์เวอร์ชั่นก่อนๆ จะมีความสามารถจำกัด ต้องรับข้อมูลทางอินเทอร์เน็ตก่อนจึงจะแปลง IP Address ให้เป็น Physical Address ได้ ทั้งนี้เมื่อโจมตีคอมพิวเตอร์ในอเมริกา หนอนชนิดนี้จะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาอังกฤษ แต่ถ้า IP Address ที่ถูกโจมตีอยู่ในจีน มันจะพยายามโจมตีวินโดวส์เวอร์ชั่นภาษาจีนแทน การโจมตีวินโดวส์เวอร์ชั่นภาษาอื่นๆ ก็เป็นลักษณะเดียวกัน
ด้วยความที่หนอนคอมพิวเตอร์ชนิดนี้สร้างด้วยเทคนิคชั้นสูง ทำให้ตรวจจับได้ยากและแพร่กระจายอย่างรวดเร็วสู่เครื่องคอมพิวเตอร์ทั่วโลก ซึ่งส่วนใหญ่ยังใช้ระบบปฏิบัติการวินโดวส์เป็นหลัก จึงเป็นหนอนที่เชื่อกันว่าแพร่เชื้อขยายวงกว้างที่สุดนับแต่ปี พ.ศ. 2546
2.เครือข่ายสังคม ภัยร้ายใกล้ตัว
บริการเครือข่ายสังคม หรือ Social Network ที่เปิดโอกาสให้ผู้ใช้งานอินเทอร์เน็ตสร้างบัญชีผู้ใช้ส่วนตัวเพื่อสื่อสารกับบุคคลอื่นในเครือข่าย และสามารถเขียนข้อความ, แช็ต, แบ่งปันรูปภาพ / เพลง / วิดีโอ และสร้างบล็อกส่วนตัวนั้น มีผู้ใช้งานอย่างแพร่หลายมากเป็นจำนวนหลายร้อยล้านแอคเคานต์ จึงตกเป็นเป้าหมายหลักของอาชญากรออนไลน์ที่อาศัยความเชื่อถือระดับสูงในกลุ่มเพื่อน นำไปสู่ภัยคุกคามรูปแบบต่างๆ เช่น
กรณีเฟซบุ๊ค
• แอคเคานต์ผู้ใช้งานถูกบุกรุก ซึ่งอาจเกิดการขโมยรหัสผ่านจากฟิชชิงหรือมัลแวร์ แล้วใช้บัญชีนั้นเพื่อขอความช่วยเหลือทางการเงินจากกลุ่มเพื่อนในเครือข่ายของเหยื่อ จนมีผู้หลงเชื่อส่งเงินไปให้
• ผู้ใช้งานถูกขโมยรหัสผ่านและเปลี่ยนหน้าเว็บโดยมิชอบ
• ผู้พัฒนาแอพพลิเคชั่นที่มีเจตนามุ่งร้าย ใช้เอพีไอ (API) หรือแอพพลิเคชั่นโปรแกรมของเฟซบุ๊ค เพื่อหลอกล่อผู้ใช้ให้ติดตั้งแอพพลิเคชั่นของผู้พัฒนา
• การเผยแพร่ลิงค์เว็บไซต์มุ่งร้าย เพราะผู้ใช้งานมีแนวโน้มที่จะเชื่อถือและคลิกลิงค์ที่มาจากเพื่อนหรือญาติ มากกว่าไฟล์หรือลิงค์ในอีเมลจากคนไม่รู้จัก
กรณีทวิตเตอร์
• แอคเคานต์ของทวิตเตอร์ถูกใช้เป็นเครื่องมือของบอทเน็ต โดยใช้หน้าทวิตเตอร์ของผู้ใช้รายหนึ่งที่แสดงข้อความที่เข้ารหัสไว้ เพื่อสั่งการให้คอมพิวเตอร์ที่ติดมัลแวร์เข้าไปยังเว็บไซต์อื่นๆ เพื่อรับคำสั่งจากผู้ควบคุมบอทเน็ต เช่น ดาวน์โหลดและเปิดใช้มัลแวร์เพื่อขโมยข้อมูลในระบบของผู้ใช้
• แอคเคานต์ของทวิตเตอร์ถูกใช้ในการส่งผู้ใช้งานไปยังผลิตภัณฑ์ที่ลวงว่าเป็นซอฟต์แวร์แอนตี้ไวรัส (Rogue Antivirus Products) โดยข้อความทวีตที่ส่งจากแอคเคานต์เหล่านี้ถูกสร้างขึ้นโดยอัตโนมัติ ไม่ว่าจะเลือกจากคำค้นของทวิตเตอร์เอง หรือการ re-tweet ที่ส่งโดยคนจริงๆ ซึ่งลิงค์เหล่านี้จะนำผู้ใช้ไปยังเว็บไซต์ปลอม ที่ใช้วิธีต่างๆ หลอกล่อให้ผู้ใช้งานกลัว และหลงเชื่อ ซื้อผลิตภัณฑ์ที่ไม่จำเป็นต้องใช้
• หนอนทวิตเตอร์ (Twitter Worm) อาศัยช่องโหว่ชนิด cross-site scripting ที่มักพบในเว็บแอพพลิเคชั่น แล้วส่งข้อความสแปม เช่น "I love www.StalkDaily.com!" ซึ่งสร้างความรำคาญให้ผู้ใช้งานทวิตเตอร์จำนวนมากที่คลิกไปที่ลิงค์นั้น ด้วยหลงเชื่อว่าเป็นข้อความทวีตจากเพื่อนของตน และมีการทวีตข้อความแบบเดียวกันต่อไปอีกหลายทอด การโจมตีเหล่านี้อาศัยจาวาสคริปต์ จึงควรปิดการทำงานของจาวาสคริปต์ หรือจำกัดการทำงานของจาวาสคริปต์ให้ทำงานกับเว็บไซต์ที่น่าเชื่อถือเท่านั้น เพื่อป้องกันภัยจากหนอนอินเทอร์เน็ตในลักษณะนี้
3.การโจมตีการเพิ่มประสิทธิภาพเครื่องมือค้นหา (Search Engine Optimization; SEO)
การโจมตีรูปแบบนี้ ผู้โจมตีจะส่งหัวข้อยอดนิยมเข้าไปในเว็บค้นหา หรือ Search Engine เช่น ชื่อดาราดังที่ตกเป็นข่าว, ไข้หวัดใหญ่ 2009 เป็นต้น เมื่อมีผู้คลิกเปิดดูเว็บไซต์ ไซต์นั้นกลับกลายเป็นเว็บไซต์มุ่งร้าย ส่งผลให้คอมพิวเตอร์ที่ใช้งานถูกควบคุม หรือนำผู้ใช้ไปยังผลิตภัณฑ์ที่ลวงว่าเป็นซอฟต์แวร์แอนตี้ไวรัส (rogue antivirus products) ด้วยเหตุนี้จึงควรคำนึงถึงชื่อเสียงและความน่าเชื่อถือของเว็บไซต์ที่แสดงผลโดยเว็บค้นหา ก่อนเข้าเยี่ยมชม
ผลิตภัณฑ์ประเภท “Rogue Security Product” เป็นมัลแวร์ที่ล่อลวงให้ผู้ใช้งาน จ่ายเงินซื้อผลิตภัณฑ์ปลอม ตัวอย่างเช่น “File Fix Professional” ที่ผู้เขียนซอฟต์แวร์นี้ไม่ได้ผลักดันซอฟท์แวร์เอง แต่ทำโดยผู้เป็นเจ้าของบอทเน็ต โดย "File Fix Pro" จะ “เข้ารหัส” ไฟล์บางไฟล์ในโฟลเดอร์ "My Documents" แล้วแสดงข้อความบ่งบอกความผิดพลาดที่ดูสมจริง บอกว่าระบบวินโดวส์แนะนำให้ดาวน์โหลดเครื่องมือพิเศษเพื่อแก้ไขไฟล์ โดยให้ผู้ใช้คลิกดาวน์โหลด "File Fix Pro" เพื่อ “ซ่อม” ไฟล์ดังกล่าว แต่แท้จริงแล้วเป็นเพียงการ “ถอดรหัส” ให้สามารถใช้งานได้ตามปกติ หากผู้ใช้ยอมจ่ายเงินจำนวนหนึ่งสำหรับผลิตภัณฑ์นี้
วิธีนี้เป็นกลยุทธ์ที่แยบยลในการหลอกผู้ใช้ ซึ่งไม่รู้ว่าไฟล์ของตน “ถูกจับเป็นตัวประกัน” และการซื้อซอฟต์แวร์นี้เป็นเพียงการจ่ายค่าประกันตัวในการกู้คืนไฟล์เท่านั้น ซึ่งผู้ขายซอฟต์แวร์ดังกล่าวไม่ได้ทำสิ่งผิดกฎหมายแต่อย่างใด
4.แม็ค โอเอส เอ็กซ์ (MAC OS X)
เดือนมกราคม 2552 ได้มีการเผยแพร่ก็อปปี้ของซอฟต์แวร์ไอเวิร์ค 2009 (iWork 2009) ในเว็บไซต์แชร์ไฟล์ยอดนิยมแห่งหนึ่ง ซึ่งผู้ดาวน์โหลดเวอร์ชั่นฟรีนี้ ได้รับของแถมที่น่าประหลาดใจในซอฟท์แวร์ติดตั้ง คือแบ็คดอร์ ชื่อไอเวิร์คเซิร์ฟดอทเอ (iWorkServ.A) โดยกลุ่มผู้เผยแพร่มัลแวร์รายเดียวกันนี้ยังได้เผยแพร่โปรแกรมโฟโต้ชอป เวอร์ชั่นสำหรับ MAC ที่แถมแบ็คดอว์ด้วยเช่นกัน
ซอฟต์แวร์มุ่งร้ายทุกชนิด จะอาศัยการหลอกล่อให้ผู้ใช้ป้อนรหัสผ่าน ซอฟต์แวร์นี้ก็เช่นกัน การติดตั้งซอฟต์แวร์ในแม็ค โอเอส เอ็กซ์ จะบังคับให้ผู้ใช้ใส่รหัสผ่านของผู้ดูแลระบบ เมื่อผู้ใช้ใส่รหัสผ่านเพื่อติดตั้งซอฟต์แวร์ผิดกฏหมายนี้เข้าไปแล้ว นอกจากจะได้ซอฟท์แวร์ที่ทำงานได้จริงแล้ว ยังทำให้ระบบของเขาถูกบุกรุกไปด้วย
5.การโจมตีแอพพลิเคชั่นเป้าหมาย
แอพพลิเคชั่นที่ถูกโจมตีมากที่สุด ในปี 2551 นั้น คือไมโครซอฟต์เวิร์ด (.doc) แต่ช่วงปี 2552 ตำแหน่งไฟล์ยอดนิยมที่ถูกโจมตีสูงสุดตกเป็นของ ไฟล์พีดีเอฟ (.pdf) ของค่าย Adobe อันเนื่องจากช่องโหว่ในโปรแกรม Adobe Acrobat และ Adobe Reader
6.หนอนอินเทอร์เน็ตไอโฟน (iPhone Worm)
ปี 2552 สมาร์ทโฟนเข้ามามีบทบาทและได้รับความนิยมเพิ่มมากขึ้น มีการใช้งานอินเทอร์เน็ตผ่านสมาร์ทโฟนอย่างกว้างขวาง รวมไปถึงเว็บเครือข่ายสังคม โดยไอโฟนมีส่วนแบ่งตลาดในระดับต้นๆ จึงดึงดูดความสนใจจากผู้เขียนมัลแวร์จำนวนมาก
ไอโฟนส่วนหนึ่งผ่านการทำเจลเบรก (Jailbreak) ซึ่งเป็นขั้นตอนที่ทำให้ไอโฟนและไอพอด ทัช สามารถใช้คำสั่งที่ไม่เป็นทางการในอุปกรณ์ โดยไม่ต้องผ่านระบบป้องกันของบริษัทแอปเปิล ทำให้ผู้ใช้ไอโฟนสามารถติดตั้งแอพพลิคชั่นต่าง ๆ ที่ละเมิดลิขสิทธิ์ได้ และเครื่องที่ทำเจลเบรก ได้กลายเป็นเป้าหมายของมัลแวร์ที่ผู้สร้างต้องการทำเงิน เช่น โจมตีช่องโหว่ในไอโฟนที่ผ่านการทำเจลเบรก, หนอนคอมพิวเตอร์ “ไอคี” (Ikee) ที่เจาะระบบของผู้ใช้ที่ไม่เปลี่ยนรหัสผ่านของซีเคียวเชลล์ (SSH) ที่กำหนดมาพร้อมกับการติดตั้ง โดยเปลี่ยนภาพวอลล์เปเปอร์ของไอโฟนให้เป็นรูปอื่น
7.การโจมตีเครือข่ายแบบ DDoS มีแนวโน้มเพิ่มสูงขึ้น
การโจมตีเครือข่ายเพื่อให้เครื่องคอมพิวเตอร์ปลายทางหยุดทำงาน ซึ่งมีผู้โจมตีพร้อมกันจำนวนมาก หรือที่เรียกว่า Distributed Denial of Service (DDoS) นั้น เกิดขึ้นมากมายทั่วโลกในปี 2552 ด้วยหลายเหตุปัจจัย และมีแนวโน้มทวีความรุนแรงขึ้น สรุปได้ดังนี้
• เหตุการณ์ความขัดแย้งในการเลือกตั้งประธานาธิบดีของอิหร่านเมื่อกลางปี 2552 นำไปสู่การประท้วงครั้งใหญ่ และเกิดกระแสการใช้สื่อเครือข่ายสังคม ทั้งทวิตเตอร์, เฟซบุ๊ค, ยูทูบ และไซต์อื่นๆ เพื่อกระจายข้อมูลข่าวสารและหลีกเลี่ยงการตรวจจับของรัฐบาล อีกมุมหนึ่งของเทคโนโลยีคือการโจมตีเครือข่ายแบบ DDoS ซึ่งถูกนำมาใช้โจมตีเครื่องแม่ข่ายของรัฐบาลอิหร่าน รวมทั้งโจมตีแอคเคานต์ ของผู้ใช้งานทวิตเตอร์และเฟซบุ๊คนับล้านคน ซึ่งผู้อยู่เบื้องหลังการโจมตีนี้จะต้องมีแบนด์วิธมหาศาลเพื่อการโจมตีครั้งนี้โดยเฉพาะ
• การโจมตี DDoS ในวันที่ 31 สิงหาคม 2552 ซึ่งเป็นวันชาติของมาเลเซีย โดยเป้าหมายคือเว็บไซต์ในมาเลเซียที่ถูกบุกรุกและเปลี่ยนเนื้อหาไปกว่าร้อยเว็บไซต์ รวมถึงเว็บไซต์ที่เกี่ยวข้องกับสถาบันแห่งชาติ สื่อมวลชน และภาคธุรกิจของมาเลเซีย

แนวโน้มภัยคุกคามทางคอมพิวเตอร์ ในปี 2553
จัดทำโดย บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด
1.แอนตี้ไวรัสไม่เพียงพอสำหรับการป้องกันการกำเนิดขึ้นของมัลแวร์แบบโพลีมอร์ฟิค (polymorphic code) ซึ่งเป็นโค้ดที่สามารถเปลี่ยนรูปแบบได้ทุกครั้งที่มันทำงาน แต่ยังคงรักษาอัลกอรึทึมเดิมไว้ โดยเชลล์โค้ดและหนอนคอมพิวเตอร์ หรือมัลแวร์ชนิดใหม่ๆ จะใช้เทคนิคในการซ่อนตัวตนของมัน ดังนั้นแอนตี้ไวรัสที่ใช้วิธีการเดิมๆ ที่อาศัยการวิเคราะห์มัลแวร์เพียงอย่างเดียวจึงไม่เพียงพอต่อการป้องกันภัยคุกคามอีกต่อไป จึงต้องอาศัยวิธีการใหม่ๆ ในการตรวจจับมัลแวร์มาใช้ด้วย
2. โซเชียล เอนจิเนียริ่งเป็นวิธีหลักในการโจมตี (Social Engineering Attack) การโจมตีในลักษณะนี้ ผู้โจมตีจะมุ่งเป้าไปที่ผู้ใช้ปลายทางและพยายามขโมยข้อมูลความลับจากผู้ใช้ หรือหลอกล่อให้ผู้ใช้ดาวน์โหลดมัลแวร์ เช่น ผู้โจมตีส่งอีเมล์ให้บุคคลอื่นโดยหลอกว่าเป็นผู้ดูแลระบบ และถามรหัสผ่านหรือชักจูงให้เหยื่อเปิดไวรัสที่แนบมาพร้อมกับอีเมล์ เป็นต้น ซึ่งเป็นวิธีการที่ได้รับความนิยมมากขึ้น เนื่องจากไม่เกี่ยวข้องกับช่องโหว่ในระบบปฏิบัติการและเว็บบราวเซอร์ของเครื่องคอมพิวเตอร์เหยื่อ แต่มุ่งเป้าไปที่ผู้ใช้งานโดยตรง ด้วยเหตุนี้โซเชียล เอ็นจิเนียริ่ง จึงเป็นวิธีการเบื้องต้นที่แพร่หลายในปัจจุบัน และคาดว่าจะมีเทคนิคการโจมตีที่สลับซับซ้อนยิ่งขึ้นในปี 2553
3. ผู้ขายซอฟท์แวร์ประเภท “Rogue Security Software” จะเพิ่มความพยายามมากขึ้น คาดว่าการแพร่กระจาย Rogue Security Software หรือมัลแวร์ที่พยายามลวงให้ผู้ใช้จ่ายเงินซื้อผลิตภัณฑ์ปลอม จะเพิ่มจำนวนขึ้น โดยการโจมตีคอมพิวเตอร์ของผู้ใช้งาน เพื่อทำให้เครื่องนั้นใช้การไม่ได้ หรือการ “เข้ารหัส” ไฟล์แล้วเรียกเงินค่าไถ่จากเจ้าของเครื่องนั้น ซึ่งผู้ขายซอฟต์แวร์จะเปลี่ยนชื่อซอฟท์แวร์แอนตี้ไวรัสแจกฟรีที่สามารถดาวน์โหลดได้ทั่วไป มาใช้เป็น “สินค้า” เพื่อเสนอขายให้กับผู้ใช้ที่ไม่รู้ข้อเท็จจริง และเข้าใจว่าต้องจ่ายเงินซื้อซอฟต์แวร์ดังกล่าว
4. การโจมตีผลการค้นหาเสิร์ชเอนจิ้น (SEO Poisoning attack) การโจมตีในลักษณะนี้เกิดขึ้นเมื่อแฮกเกอร์โจมตีผลการค้นหาจากเสิร์ชเอนจิ้น เพื่อส่งลิงค์ของตนให้อยู่สูงกว่าผลการค้นหาทั่วไป เมื่อผู้ใช้ค้นหาคำค้นที่เกี่ยวข้อง ลิงค์ที่มีมัลแวร์จะปรากฏใกล้กับตำแหน่งสูงสุดของผลการค้นหา ทำให้เกิดจำนวนคลิกไปยังเว็บมุ่งร้ายที่มากยิ่งกว่าเดิมหลายเท่า เมื่อมีการรณรงค์ตรวจจับและลบลิงค์ดังกล่าวออกจากผลการค้นหา ผู้โจมตีก็จะเปลี่ยนเส้นทางของบอทเน็ตไปยังคำค้นใหม่ที่เหมาะกับเวลาและสถานการณ์ และอาจก่อให้เกิดปัญหาที่ผู้ใช้บริการไม่ให้ความเชื่อถือในผลการค้นหา ตราบใดที่ผู้ให้บริการยังไม่เปลี่ยนวิธีการบันทึกและแสดงผลลิงค์
5. โปรแกรมเสริมสำหรับเครือข่ายสังคมจะถูกใช้เพื่อการหลอกลวง ด้วยความนิยมของเว็บไซต์เครือข่ายสังคมที่มีการเติบโตอย่างสูง ประกอบกับเว็บไซต์ดังกล่าวยอมให้นักพัฒนาโปรแกรมสามารถเข้าถึงเอพีไอ (API) และพัฒนาแอพพลิเคชั่นเสริมสำหรับผู้ใช้เครือข่ายสังคมได้ ด้วยเหตุนี้จึงมีผู้โจมตีที่พยายามบุกรุกช่องโหว่ในแอพพลิเคชั่นเสริมดังกล่าว จึงคาดว่าจะมีความพยายามในการหลอกลวงผู้ใช้เพิ่มขึ้น เช่นเดียวกับเจ้าของเว็บไซต์ที่พยายามสร้างมาตรการในการแก้ไขภัยคุกคามเหล่านี้เพื่อสร้างความปลอดภัยให้กับผู้ใช้งาน
6. บริการ Short URL จะกลายเป็นเครื่องมือสำหรับฟิชชิ่ง (Short URL Phishing) บริการ Short URL หรือการย่อลิงค์ URL ให้สั้นลง ที่นิยมทำกันเวลาโพสต์ลิงค์ที่อยากเผยแพร่บนเว็บบอร์ดหรือเว็บไซต์ประเภทเครือข่ายสังคมนั้น เนื่องจากผู้ใช้มักไม่ทราบว่าลิงค์ URL ที่ย่อให้สั้นแล้วนั้นจะพาไปที่ไหน ผู้โจมตีฟิชชิ่ง (phishing) จึงสามารถซ่อนลิงค์เพื่อล่อลวงผู้ใช้งานที่ไม่ระแวดระวัง และไม่คิดก่อนคลิกได้ โดย Short URL นี้จะเป็นภัยคุกคามที่ผสมผสานกับหลายเรื่อง ไม่ว่าจะเป็นการค้นหาบน Search Engine, การทำลิงค์บน SEO หรือแม้แต่การสนทนาออนไลน์ผ่านระบบคอมพิวเตอร์หรืออุปกรณ์มือถือ ก็สามารถซ่อนลิงค์ URL มุ่งร้ายไปกับผู้ให้บริการ short URL ได้เช่นกัน ด้วยเหตุนี้จึงมีแนวโน้มที่จะนำ Short URL มาใช้ในการแพร่กระจายแอพพลิเคชั่นหลอกลวง เพิ่มมากขึ้น ทั้งยังมีความพยายามหลีกเลี่ยงระบบกลั่นกรองสแปม โดยคาดว่าผู้ส่งสแปมจะใช้บริการย่อลิงค์ให้สั้นเพื่อใช้กระทำการที่มุ่งร้าย ดังนั้น จึงควรใช้บริการ short URL ที่สามารถตรวจสอบภัยคุกคามได้ เช่น SRAN short URL (http://sran.org) ที่มีบริการตรวจหาฟิชชิ่ง (phishing) และภัยคุกคามจาก URL ต้นฉบับได้ เป็นต้น
7.มัลแวร์ในระบบปฏิบัติการแม็คและอุปกรณ์พกพาจะเพิ่มมากขึ้น รูปแบบและจำนวนการโจมตีที่ออกแบบมาเพื่อระบบปฏิบัติการหรือแพลตฟอร์มหนึ่งๆ เช่น วินโดวส์, แม็ค, สมาร์ทโฟน นั้น มีความสัมพันธ์โดยตรงกับส่วนแบ่งทางการตลาดของแพลตฟอร์มนั้น ๆ เนื่องจากผู้สร้างมัลแวร์ต้องการรายได้สูงสุด ช่วงหลายปีที่ผ่านจึงเห็นภาพการโจมตีระบบปฏิบัติการวินโดวส์เป็นหลัก แต่ในปี 2552 จะเห็นได้ชัดว่าระบบปฏิบัติการแม็คและสมาร์ทโฟน ตกเป็นเป้าหมายการโจมตีมากขึ้น เช่น บอทเน็ต “Sexy Space” ที่โจมตีระบบปฏิบัติการซิมเบียน และโทรจัน “OSX.lservice” ที่โจมตีระบบแม็ค เนื่องจากแม็คและสมาร์ทโฟน มีความนิยมเพิ่มสูงขึ้นอย่างต่อเนื่อง และคาดว่าจะมีส่วนแบ่งตลาดเพิ่มมากขึ้นในปี 2553 จึงคาดว่าจะมีผู้โจมตีที่อุทิศเวลาเพื่อสร้างมัลแวร์ที่โจมตีอุปกรณ์เหล่านี้มากขึ้นเช่นกัน
8. ผู้ส่งสแปมปรับตัว ทำให้จำนวนสแปมผันผวน นับตั้งแต่ปี 2550 สแปมมีจำนวนเพิ่มขึ้นเฉลี่ยร้อยละ 15 ถึงแม้ว่าจำนวนสแปมเมล์จะไม่เพิ่มขึ้นในระยะยาว แต่ก็เป็นที่แน่ชัดว่าผู้ส่งสแปมยังไม่ยอมเลิกราง่าย ๆ ตราบใดที่ยังมีเหตุจูงใจทางการเงินอยู่ ในขณะเดียวกันผู้ส่งสแปมยังต้องปรับตัวให้เข้ากับความซับซ้อนของซอฟต์แวร์รักษาความปลอดภัย, การแทรกแซงของผู้ให้บริการอินเทอร์เน็ต ตลอดจนรัฐบาลในหลายประเทศที่หันมาให้ความสำคัญกับภัยคุกคามเครือข่ายสารสนเทศมากขึ้น ทั้งนี้คาดว่าผู้ส่งสแปมจะปรับตัวและหาวิธีส่งสแปมผ่าน IM หรือ Instant Messaging มากขึ้น เนื่องจากเหล่าสแปมเมอร์ (Spammer) ค้นพบวิธีใหม่ในการเอาชนะเทคโนโลยี CAPTCHA (การกรอกรหัสก่อนส่งข้อความ) การโจมตีโปรแกรมประเภท IM นี้จึงน่าจะมีแนวโน้มเพิ่มมากขึ้น ด้วยการส่งข้อความสแปมที่ผู้รับไม่ต้องการและมีลิงค์มุ่งร้าย โดยเฉพาะการโจมตีที่มุ่งเป้าไปที่การขโมยแอคเคานต์ IM เพื่อนำไปกระทำการไม่เหมาะสม
9. เกิดมัลแวร์ที่ออกแบบมาเพื่องานเฉพาะด้าน ในปี 2552 ได้มีการค้นพบมัลแวร์ที่ออกแบบมาเพื่อทำงานเฉพาะด้าน ซึ่งมีเป้าหมายโจมตีระบบเอทีเอ็ม ชี้ให้เห็นว่ามีการล่วงรู้กระบวนการทำงานภายในตลอดจนช่องโหว่ที่สามารถโจมตีได้ คาดว่าแนวโน้มนี้จะยังดำเนินต่อไป รวมถึงความเป็นไปได้ของมัลแวร์ที่สามารถโจมตีระบบเฉพาะทางอื่นๆ อีก เช่น ระบบการโหวตผ่านเครือข่ายโทรศัพท์ที่เชื่อมต่อกับรายเรียลลิตี้โชว์หรือการแข่งขันรูปแบบต่าง เป็นต้น
10. วินโดวส์ 7 จะตกเป็นเป้าโจมตี วินโดวส์ 7 เป็นระบบปฏิบัติการใหม่ที่เพิ่งเปิดตัวไปไม่นาน จึงคาดว่าจะมีผู้ใช้งานเพิ่มมากขึ้นทั้งบนเครื่องคอมพิวเตอร์และสมาร์ทโฟน เป็นช่องทางใหม่ให้ผู้โจมตีระบบคิดค้นไวรัสสายพันธุ์ใหม่ รวมทั้งมัลแวร์รูปแบบอื่น เพื่อเจาะและทำลายระบบปฏิบัติการนี้ในระยะเวลาอันใกล้อย่างแน่นอน ไม่ว่าไมโครซอฟต์จะทดสอบระบบก่อนวางตลาดอย่างละเอียดเพียงใด แต่หากโค้ดมีความซับซ้อนมาก ก็ยิ่งมีโอกาสสูงที่จะมีช่องโหว่ที่ยังค้นไม่พบเช่นกัน

บทสรุป
การพัฒนาของเทคโนโลยีสารสนเทศที่รวดเร็วและจำนวนผู้ใช้เทคโนโลยีสารสนเทศที่มีเพิ่มขึ้นทุกวัน ทำให้เกิดช่องทางในการโจมตีระบบของเหล่าอาชญากรไซเบอร์หรือผู้ก่อการร้ายบนโลกไซเบอร์เพิ่มมากขึ้นตาม ดูได้จากสติติการโจมตีระบบที่เกิดขึ้นในแต่ละปี จะมีปริมาณครั้งในการโจมตีระบบเพิ่มสูงขึ้น โดยผู้ที่โจมตีระบบจะมีการพัฒนาใช้เทคนิคใหม่ๆ ทำให้ซับซ้อนมากขึ้น เพื่อยากต่อการตรวจจับ และมีการโจมตีรูปแบบใหม่ๆ เพิ่มขึ้นตามการพัฒนาของเทคโนโลยี
สำหรับแนวโน้มภัยคุกคามทางเทคโนโลนีสารสนเทศนั้น สามารถคาดเดาได้จากการวิเคราะห์สถิติการเกิดภัยคุกคามในปีก่อน บวกกับเทรนด์ของเทคโนโลยีสารสนเทศในปัจจุบัน ซึ่งจะสามารถคาดเดาได้ว่าเหล่าอาชญากรไซเบอร์หรือผู้ก่อการร้ายบนโลกไซเบอร์จะออกมาโจมตีระบบจะออกมาในทิศทางใด เพื่อหาทางรับมือป้องกันได้ทันท่วงที ถึงแม้จะไม่สามารถป้องกันได้ 100% แต่ก็ช่วยลดปริมาณและระดับความรุนแรงจากภัยคุกคามลงได้ไม่มากก็น้อย

เอกสารอ้างอิง
· http://web.ku.ac.th/schoolnet/snet1/software/virus/index.html
·http://support.activemedia.co.th/index.php_m=knowledgebase&_a=viewarticle&kbarticleid=27 · http://www.atec.co.th/knowledge15.html
· http://www.ku.ac.th/magazine_online/worm.html
· http://www.comtodaymag.com/?p=483

วันอาทิตย์ที่ 21 กุมภาพันธ์ พ.ศ. 2553

การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ( IT Risk Management )

การบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ
( IT Risk Management )

ความเสี่ยง คือ โอกาสที่จะเกิดความผิดพลาด ความเสียหาย การรั่วไหล ความสูญเปล่า หรือเหตุการณ์ที่ไม่พึงประสงค์ที่ทำให้งานไม่ประสบความสำเร็จตามวัตถุประสงค์และเป้าหมายที่กำหนด หรือ ความไม่แน่นอนที่เกิดขึ้นและมีผลต่อการบรรลุเป้าหมายหรือวัตถุประสงค์ที่ตั้งใจไว้ ความเสี่ยงนี้จะถูกวัดด้วยผลกระทบที่ได้รับและความน่าจะเป็นของเหตุการณ์
การนำกระบวนการบริหารความเสี่ยงมาใช้ จะเป็นหลักประกันในระดับหนึ่งว่าการดำเนินงานต่าง ๆ จะบรรลุเป้าหมายที่วางไว้ เนื่องจากการบริหารความเสี่ยงเป็นการทำนายอนาคตอย่างมีเหตุมีผล มีหลักการและหาทางลดหรือป้องกันความเสียหายในการทำงานแต่ละขั้นตอนไว้ล่วงหน้า หรือในกรณีที่พบกับเหตุการณ์ที่ไม่คาดคิด ก็จะเกิดความเสียหายน้อยกว่าการไม่นำกระบวนการบริหารความเสี่ยงมาใช้ เพราะได้มีการเตรียมการไว้ล่วงหน้า ดังนั้นการนำกระบวนการบริหารความเสี่ยงมาช่วยเสริมร่วมกับการทำงาน จะช่วยให้ภาระงานที่ปฏิบัติการอยู่เป็นไปตามเป้าหมายที่กำหนดไว้ และป้องกันโอกาสที่จะเกิดความเสี่ยงและปัญหาที่จะเป็นอุปสรรคต่อการดำเนินงาน
ในปัจจุบัน เทคโนโลยีสารสนเทศได้เข้ามามีบทบาทสำคัญ ไม่ว่าจะเป็นการติดต่อสื่อสารระหว่างองค์กร หรือการติดต่อกับแหล่งข้อมูลข่าวสารต่างๆ ล้วนแต่เกี่ยวข้องกับเทคโนโลยีสารสนเทศทั้งสิ้น การดำเนินการเกี่ยวกับสารสนเทศนั้นมีความเสี่ยงต่อการถูกกระทำจากการบุกรุก หรือการแสวงหาประโยชน์จากภาวะเสี่ยง ที่มีอยู่ในรูปแบบต่างๆ อันอาจทำให้เกิดความเสียหายต่อสารสนเทศ และทรัพยากรเทคโนโลยีสารสนเทศได้ “สารสนเทศ” จัดเป็นสินทรัพย์อันมีค่าชนิดหนึ่งที่องค์กรใช้ในการดำเนินภารกิจและจำเป็นต้องได้รับการป้องกันอารักขาเช่นเดียวกับทรัพย์สินอื่นๆ เครือข่ายสารสนเทศในปัจจุบันมีการเชื่อมโยงกันมากขึ้น ทำให้ระบบสารสนเทศมีความเสี่ยงต่อสิ่งคุกคามต่างๆและมีจุดอ่อนมากขึ้นตามไป สารสนเทศนั้นอาจอยู่ในรูปของ กระดาษ สิ่งพิมพ์ แผ่นฟิล์ม บทสนทนา หรือสื่ออิเล็กทรอนิกส์ และมีการส่งผ่านทางไปรษณีย์หรือทางอิเล็กทรอนิกส์ ไม่ว่าจะเป็นรูปแบบใดและใช้ร่วมกันหรือส่งผ่านโดยวิธีการใดๆก็ตาม สารสนเทศเหล่านี้ควรได้รับการอารักขาอย่างเหมาะสม ดังนั้นการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศจึงมีความจำเป็นต่อการปกป้องเทคโนโลยีสารสนเทศและข้อมูลสำคัญ เพื่อการบรรลุเป้าหมายขององค์กร

องค์กรในปัจจุบันควรให้ความสำคัญกับความเสี่ยงด้านไอที ได้แก่
ความปลอดภัย (Security) - การเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต รวมถึงการรั่วไหลของข้อมูล ความเป็นส่วนตัวของข้อมูล การหลอกลวง และความปลอดภัยของเครื่องคอมพิวเตอร์ปลายทาง ตลอดจนภัยคุกคามจากภายนอก เช่น ไวรัส หรือการโจมตีผู้ใช้ / ข้อมูลโดยเฉพาะ
ความพร้อมในการทำงาน (Availability) - ข้อมูลที่อาจไม่สามารถเข้าถึงได้เนื่องจากไม่สามารถใช้งานระบบได้ชั่วคราว
ประสิทธิภาพ (Performance) - ข้อมูลที่อาจไม่สามารถเข้าถึงได้เนื่องจากข้อจำกัดในการปรับขนาดหรือปัญหาคอขวด
การปฏิบัติตามข้อกำหนด (Compliance) - การละเมิดการปฏิบัติตามข้อกำหนด หรือไม่สามารถทำได้ตรงตามความต้องการของนโยบายภายใน


กระบวนการบริหารความเสี่ยงด้านเทคโนโลยีสารสนเทศ
กระบวนการนี้ประกอบด้วย 5 ขั้นตอนดังนี้
1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและการประเมินค่าความเสี่ยง
1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้
- การชี้ระบุความเสี่ยง (Risk identification)
- ลักษณะรายละเอียดของความเสี่ยง (Risk description)
- การประมาณความเสี่ยง (Risk estimation)
1.2 ประเมินค่าความเสี่ยง (Risk evaluation)
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
3. กระบวนการบำบัดความเสี่ยง (Risk treatment)
4. การรายงานความเสี่ยงตกค้าง (Residual Risk reporting)
5. การเฝ้าสังเกต (Monitoring)

1. การประเมินความเสี่ยง (Risk Assessment)
1.1 การวิเคราะห์ความเสี่ยง (Risk Analysis) ประกอบด้วย 3 กระบวนการคือ
กระบวนการที่ 1 การชี้ระบุความเสี่ยง (risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่
องค์กรเผชิญอยู่กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมายสังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา
ตัวอย่างที่มาของสิ่งคุกคามด้านสารสนเทศ
ก. ด้านกายภาพและสิ่งแวดล้อม (Physical and Environmental threats)
- การปนเปื้อน (Contamination) จากสารเคมี สิ่งสกปรก หรือรังสีเป็นต้น
- เหตุการณ์แผ่นดินไหว (Earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (Electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (Extremes of temperature and humidity) เช่นร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (Power supply failure or fluctuations)
- ไฟไหม้ (Fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (Flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (Storm)
- สัตว์ เช่นสัตว์กัดแทะ (Vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (Malicious destruction of data and facilities)
ข. ด้านระบบ (Systems threats)
- แฮ็กเกอร์ (Hackers)
- การโจมตีเพื่อห้ามการบริการ (Denial of Service (DoS) attacks)
- การแอบฟัง (Eavesdropping)
- การประท้วงหยุดงานของพนักงาน (Industrial action)
- คำสั่งเจตนาร้าย (Malicious code)
- การอำพรางหรือสวมรอย (Masquerade)
- การปฏิเสธไม่ยอมรับ (Repudiation)
- การก่อวินาศกรรม (Sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต (Unauthorized Data Access, Dial-in Access, or Software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (Failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (Misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (Software/Programming errors)
- ความล้มเหลวทางเทคนิค (Technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (Transmission errors)
ค. ด้านการบริหารจัดการ (Administrative threats)
- การสังคมวิศวกรรม (Social engineering)
- การลักทรัพย์และการฉ้อฉล (Theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (Use of pirated software)
- การแทรกซอนเว็บไซต์ (Web site intrusion)
การชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ ร่วมกันดังนี้ เช่น
1. การระดมสมอง (Brain storming)
2. การออกแบบสอบถาม (Questionnaire)
3. การวิเคราะห์กระบวนการทำงานหรือกิจกรรมในภารกิจ (Business process analysis)
4. การวิเคราะห์สภาพการณ์เหตุการณ์ละเมิดความมั่นคง (Scenario analysis)
5. การประชุมเชิงปฏิบัติการด้านการประเมินความเสี่ยง (Risk assessment workshop)
6. การสืบสวนเหตุการณ์ละเมิดความมั่นคงสารสนเทศ (Incident investigation)
7. การตรวจสอบและการตรวจสภาพระบบ (Auditing and inspection)
8. การวิเคราะห์ HAZOP (Hazard and operability studies)
9. การวิเคราะห์สถานการณ์ (SWOT analysis)
กระบวนการที่ 2 การบรรยายลักษณะความเสี่ยง (Risk description) เมื่อชี้ระบุความเสี่ยงได้แล้ว พึงบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่
- ชื่อความเสี่ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ยง (Nature)
- ผู้ที่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ยง
- การบำบัดและการควบคุม
- แนวทางการปรับปรุง
- การพัฒนากลยุทธ์และนโยบาย
กระบวนการที่ 3 การประมาณความเสี่ยง (Risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่
ของโอกาสการเกิดเหตุ (Incident) หรือเหตุการณ์ (Event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใดโอกาส หรือ ความน่าจะเป็น (Probability) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์
อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น
- บ่อย (Frequent) พบได้บ่อยครั้งเป็นประจำ
- ประปราย (Probable)
- ตามโอกาส (Occasional)
- น้อยครั้งมาก (Remote)
- แทบไม่เกิดเลย (Improbable)
ความรุนแรงของสิ่งที่เกิดขึ้นตามมา (Severity of consequence) อาจแบ่งเป็น 4 ระดับคือ
- สูงมาก (Severe)
- สูง (High)
- ปานกลาง (Moderate)
- ต่ำ (Low)
โดยทั่วไปนิยมใช้การทำตาราง 2 มิติ แล้วนำเสนอว่าปัญหาความเสี่ยงนั้นอยู่ในย่านใดของตาราง

ตัวอย่าง ตารางการประมาณความเสี่ยงแบบ 2 มิติ


1.2 การประเมินค่าความเสี่ยง (Risk evaluation) เมื่อได้ความเสี่ยง โดยมีรายละเอียด, การประมาณเชิงกึ่งปริมาณเป็นแมทริกซ์แล้ว จึงนำมาประเมินค่าความเสี่ยงโดยการเปรียบเทียบกับหลักเกณฑ์ความเสี่ยงที่ยอมรับได้ เช่น หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใดเพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น
- ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (Costs and benefits)
- ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (Legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (Socioeconomic factors)
- ปัจจัยด้านสิ่งแวดล้อม (Environmental factors)
- ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (Concerns of stakeholders)
- อื่นๆ
2. การรายงานความเสี่ยง (Risk reporting)
เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ ดังต่อไปนี้
ฝ่ายบริหาร ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่
- เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ
- ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ
- ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล
- ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง
หัวหน้างาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร
- มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่
ผู้ปฏิบัติงาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- เข้าในบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยวงแต่ละรายการ
- เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง
- เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง
3. การบำบัดความเสี่ยง (Risk treatment)
เมื่อผู้บริหารได้รับรายงานการประเมินความเสี่ยงแล้วจำเป็นต้องทำการตัดสินใจ โดยพิจารณาจากหลักเกณฑ์การยอมรับความเสี่ยงที่องค์กรมีอยู่ว่าจะยอมรับโดยไม่ทำอะไร หรือจะดำเนินการบำบัดความเสี่ยงซึ่งได้แก่กระบวนการดังต่อไปนี้
1. การยอมรับความเสี่ยง (Acceptance) เป็นการยอมรับในความเสี่ยงโดยไม่ทำอะไร และยอมรับในผลที่อาจตามมา เช่น การพิสูจน์ตัวจริงเพียงใช้ ID/Password มีความเสี่ยงเพราะอาจมีการขโมยไปใช้ได้ การให้มีใช้ชีวมาตร (Biometrics) เช่น การตรวจลายนิ้วมือหรือม่านตา อาจมีค่าใช้จ่ายสูงไม่คุ้มค่า โรงพยาบาลอาจยอมรับความเสี่ยงของระบบปัจจุบันและทำงานต่อไปโดยไม่ทำอะไร
2. การเลี่ยงความเสี่ยง (Avoidance) การหลีกเลี่ยงความเสี่ยง เช่น เมื่อพบว่าปัจจุบันโรงพยาบาลมีการสำรองข้อมูลเพียง 1 ชุดและจัดเป็นความเสี่ยงต่อการสูญเสีย การเลี่ยงความเสี่ยงนี้อาจได้แก่การทำสำรองข้อมูล 2 ชุดและแยกเก็บใสถานที่ต่างกัน การบริหารจัดการการเชื่อมโยงสู่เครือข่ายผ่านโมเด็ม ถ้าเป็นการยากต่อการควบคุมหรือบริหารจัดการ องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริการ และแนะนำให้พนักงานใช้บริการผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่างหนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง Antivirus เป็นต้น
3. การวางแผนความเสี่ยง (Risk planning) คือการจัดการความเสี่ยงด้วยการพัฒนาแผนบรรเทาความเสี่ยงที่จัดลำดับความสำคัญ การใช้และการดูแลวิธีการควบคุม
4. การวิจัยและการรับรู้ความเสี่ยง (Research and Acknowledgement) คือการลดความสูญเสียที่เกิดจากความเสี่ยงโดยการตรวจสอบเพื่อรับทราบความอ่อนแอของระบบและค้นคว้าวิจัยให้ได้วิธีการควบคุมเพื่อเสริมความมั่นคงให้แก่ระบบ
5. การลดความเสี่ยง (Reduction) การทำระบบควบคุมเพื่อให้เกิดผลกระทบจากการการถูกคุกคามระบบหรือจากความไม่มั่นคงของระบบให้น้อยที่สุดเพื่อลดความเสี่ยง เช่น การใช้ชีวมาตร (Biometrics) เพื่อใช้ในการพิสูจน์ตัวจริงนอกเหนือไปจากการใช้ ID/Password ที่มีอยู่เดิม
6. การโอนย้ายความเสี่ยง (Transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ทำงาน องค์กรอาจเลือกซื้อประกัน หรือสัญญาการบำรุงรักษาหลังขาย (Maintenance Service) เป็นต้น
4. การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
เมื่อมีการบำบัดความเสี่ยงแล้ว จำเป็นต้องมีการรายงานและทบทวนอยู่เสมอเพื่อดูว่ามีการประเมินและการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายในหรือภายนอกทำการตรวจสอบโดยกระบวนการ IT Auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจำเป็นต้องมีการบริหารความเสี่ยงและการตรวจสอบเป็นประจำ
5. การเฝ้าสังเกต (Monitoring)
กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่างๆที่จำเป็นและเหมาะสมสำหรับการบริหารความเสี่ยงต่างๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตามและบังเกิดผลจริง ดังนั้นกระบวนการเฝ้าสังเกตพึงพิจารณาว่า
- ได้มีการปฏิบัติตามมาตรการต่างๆและบังเกิดผล
- กระบวนงานที่กำหนดขึ้นมาสามารถปฏิบัติได้จริง
- มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง

มาตรฐานความปลอดภัยที่ช่วยลดความเสี่ยงด้านเทคโนโลยีสารสนเทศ
ระบบสารสนเทศขององค์กรมีความจำเป็นอย่างยิ่งที่จะต้องเตรียมพร้อมและศึกษาถึงมาตรฐานทางด้านการรักษาความปลอดภัยระบบสารสนเทศแล้วนำมากำหนดเป็นกรอบแนวทางปฏิบัติ เพื่อลดความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ โดยมาตรฐานทางด้านความปลอดภัยของระบบสารสนเทศที่นิยมใช้กันทั่วโลก ได้แก่
1. มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1
มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการในเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ ISO/IEC 17799:2000 (First Edition) จากปี 2000 ภาพรวมของการรักษาความปลอดภัยขององค์กรตามมาตรฐาน ISO17799 สามารถแบ่งออกเป็น 4 กลุ่ม มีทั้งสิ้น 10 ข้อ ดังนี้กลุ่มที่หนึ่ง การเตรียมการ(1) นโยบายความปลอดภัย(2) การจัดการความปลอดภัยในองค์กร(3) การแยกประเภทของทรัพย์สิน(4) มาตรการความปลอดภัยด้านบุคคลกลุ่มที่สอง การดำเนินการขององค์กร(5) ความปลอดภัยทางกายภาพและสิ่งแวดล้อม(6) การบริหารจัดการดำเนินงานและการสื่อสาร(7) การควบคุมการเข้าถึงกลุ่มที่สาม วินัยในการใช้(8) การพัฒนาและดูแลระบบกลุ่มที่สี่ การแก้ไขและรับมือกับเหตุการณ์ที่เกิดขึ้น(9) การบริหารความต่อเนื่องในการดำเนินงาน(10) ข้อกำหนดบทลงโทษในองค์กร
2. ISO/IEC 27001:2005 (Information Security Management System: ISMS)
เนื้อหาของมาตรฐาน ISO 27001:2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน ระบบบริหารความมั่นคงของข้อมูล (Information security management systems: ISMS) ขึ้นในองค์กร ซึ่งแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญ สำหรับองค์กรที่ต้องการนำระบบ ISMS ไปใช้ในการปกป้องข้อมูล กระบวนการธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญขององค์กร เนื้อหาของมาตรฐาน ISO 27001:2005 แบ่งออกเป็น 8 ส่วน ดังนี้
1. ขอบเขต (Scope)
2. มาตรฐานอ้างอิง (Normative reference)
3. คำจำกัดความและนิยาม (Terms and definitions)
4. ระบบบริหารความมั่นคงของข้อมูล (Information security management system)
5. หน้าที่ ความรับผิดชอบของฝ่ายบริหาร (Management responsibility)
6. การตรวจประเมินการบริหารความมั่นคงของข้อมูลภายใน (Internal ISMS audit)
7. การทบทวนการบริหารความมั่นคงของข้อมูล (Management review of the ISMS)
8. การปรับปรุงการบริหารความมั่นคงของข้อมูล (ISMS improvement)
3. มาตรฐาน ISO/IEC 27002:2005 (Code of Practice for Information Security Management)
ISO/IEC 27002:2005 (Code of Practice for Information Security Management) กล่าวถึงวิธีปฏิบัติที่จะนำไปสู่ระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์์กรได้จัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO 27001:2005 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรได้ประเมินไว้
ซึ่งจะมีทั้งหมด 133 หัวข้อ และแบ่งออกเป็น 11 หมวดหลัก ดังนี้
1. นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
2. โครงสร้างความมั่นคงปลอดภัยภายในองค์กร (Organization of information security)
3. การจัดหมวดหมู่และการควบคุมทรัพย์สินขององค์กร (Asset management)
4. มาตรฐานของบุคลากรเพื่อสร้างความมั่นคงปลอดภัยให้กับองค์กร (Human resources security)
5. ความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and environmental securiry)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
7. การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร (Access control)
8. การพัฒนาและดูแลระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9. การบริหารจัดการเหตุการณ์ละเมิดความมั่นคงปลอดภัย (Information security incident management)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
11. การปฏิบัติตามข้อกำหนดทางด้านกฎหมายและบทลงโทษของการละเมิดนโยบาย (Compliance)
มาตรฐาน ISO 27001:2005 และมาตรฐาน ISO/IEC 27002:2005 เป็นมาตรฐานสากลที่ใช้กันอย่างแพร่หลายแล้ว ดังนั้น ความพร้อมใช้ของมาตรฐานนี้ และความสำคัญของการเป็นมาตรฐานที่ว่าด้วยเรื่องของความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ มาตรฐานนี้จึงควรศึกษาและให้ความสำคัญเป็นอย่างมาก
4. มาตรฐาน CobiT (Control Objective for Information and Related Technology)
กรอบวิธีปฎิบัติ CobiT (Control Objectives for Information and related Technology) เป็นรูปแบบวิธีปฎิบัติที่ถูกพัฒนาขึ้นโดยกลุ่มความร่วมมือที่ชื่อว่า Information Systems Audit and Control Association (ISACA) ใช้สำหรับองค์กรที่ต้องการมุ่งสู่การพัฒนาให้ระบบสารสนเทศมีความเป็น "ไอทีภิบาล" หรือ "IT Governance" กล่าวคือ สามารถบริหารจัดการระบบสารสนเทศขององค์กรให้สามารถใช้งานได้อย่างมีประสิทธิภาพ มีความคุ้มค่ากับการลงทุน กรอบวิธีปฎิบัตินี้ได้รับความนิยมใช้กันโดยแพร่หลายในกลุ่มธุรกิจด้านการเงินและการธนาคาร
มาตรฐาน COBIT เป็นทั้งแนวคิดและแนวทางการปฏิบัติ (Framework) เพื่อการควบคุมภายในที่ดีด้านเทคโนโลยีสำหรับองค์กรต่างๆ ที่จะใช้อ้างอิงถึงแนวทางการปฏิบัติที่ดี (Best Practice) ซึ่งสามารถนำไปปรับใช้ได้ในทุกองค์กรสำหรับกิจกรรมที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ โดยโครงสร้างของมาตรฐาน COBIT ได้ออกแบบอยู่บนพื้นฐานของกระบวนการทางธุรกิจ Business Process สามารถแบ่งได้เป็น 4 กระบวนการหลัก (Domain) ได้แก่
- การวางแผนและการจัดการองค์กร (PO : Planning and Organization)
- การจัดหาและติดตั้ง (AI : Acquisition and Implementation)
- การส่งมอบและบำรุงรักษา (DS : Delivery and Support)
- การติดตามผล (M : Monitoring)
5. มาตรฐาน ISO/IEC TR 13335 (Guidelines for the Management of IT Security)
มาตรฐาน ISO/IEC 27001 ได้มีการอ้างอิงมายังมาตรฐาน ISO/IEC 13335 ในเรื่องของการจัดทำ Technical Report ซึ่งเริ่มต้นจากการระบุภัยคุกคาม จุดอ่อนหรือช่องโหว่ของระบบเทคโนโลยีสารสนเทศ แนวทางการประเมินความเสี่ยงต่างๆ จนสามารถระบุแนวทางเพื่อลดความเสี่ยงได้ สำหรับเนื้อหาหลักของมาตรฐานนี้จะแบ่งเป็น 5 ส่วนสำคัญ ดังนี้
1. การบริหารจัดการหน้าที่งานต่างๆของความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศที่ได้รับการวางโครงร่างไว้ รวมถึงจัดหาแนวคิดด้านความมั่นคงปลอดภัยให้เป็นไปตามโครงร่างที่ได้ตั้งไว้ทั้งรูปแบบสารสนเทศและเทคโนโลยีที่ใช้ในการติดต่อสื่อสาร
2. การนำไปปฏิบัติและการบริหารจัดการด้านความมั่นคงปลอดภัยต้องได้รับการจัดทำด้วยวิธีการที่เหมาะสมที่สุด
3. เทคนิคสำหรับการบริหารจัดการด้านความมั่นคงปลอดภัยต้องได้รับการจัดการให้จากผู้จัดทำระบบเทคโนโลยีสารสนเทศ
4. ต้องให้แนวทางปฏิบัติสำหรับการเลือกวิธีการรักษาความมั่นคงปลอดภัย ซึ่งพิจารณาจากประเภทของระบบไอทีนั้นๆรวมถึงความตระหนักด้านความมั่นคงปลอดภัยและภัยคุกคามที่อาจมีขึ้นในอนาคต
5. สารสนเทศที่อยู่บนระบบกรณีที่ต้องมีการส่งผ่านสายสื่อสาร ต้องได้รับการรักษาความมั่นคงปลอดภัยในระหว่างการส่งและต้องจัดให้เครือข่ายมีความมั่นคงปลอดภัยด้วย
6. มาตรฐาน ITIL (IT Infrastructure Library)
เป็นมาตรฐานที่ได้รับการจัดทำเผยแพร่โดยหน่วยงานรัฐบาลคือ Central Computer and Telecommunications Agency หรือ CCTA ซึ่งขณะนี้กลายเป็นองค์กร The British Office of Government Commerce (OGC) แต่ก็มิได้ประกาศบังคับว่าทุกองค์กรที่เกี่ยวข้องจะต้องปฏิบัติตาม ITIL
ITIL เป็นแนวทางปฏิบัติ ที่ว่าด้วยเรื่องเกี่ยวกับโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศแบ่งเป็น 8 เรื่อง ดังนี้
1. การบริหารจัดการซอฟต์แวร์และทรัพย์สินขององค์กร (Software and Asset Management)
2. การส่งมอบผลิตภัณฑ์หรือบริการที่ได้มาตรฐาน (Service Delivery)
3. คุณภาพของการบริการหลังส่งมอบ (Service Support)
4. การวางแผนสำหรับการบริหารจัดการการให้บริการ (Planning to Implement Service Management)
5. การบริหารจัดการโครงสร้างพื้นฐานด้านไอซีที (ICT Infrastructure Management)
6. การบริหารจัดการแอพพลิเคชั่น (Application Management)
7. การบริหารจัดการด้านความมั่นคงปลอดภัย (Security Management)
8. มุมมองทางธุรกิจ (Business Perspective, Volume II)
ITIL เป็นแนวทางปฏิบัติปัจจุบันยังไม่สามารถขอใบรับรองได้ เนื่องจากปัจจุบัน ITIL เป็นเอกสารอ้างอิง
สำหรับใช้เป็นแนวทางปฏิบัติ แต่ในอนาคตก็อาจมีการคัดเอาเฉพาะส่วนนี้มาทำข้อกำหนด และมีการออกใบรับรอง
ภายใต้ชื่อ ISO 20000 (มาตรฐานการให้บริการด้านสารสนเทศ)
7. มาตรฐาน FIPS PUB 200
เป็นมาตรฐานที่ว่าด้วยเรื่องของข้อกำหนดขั้นต่ำสำหรับความต้องการด้านความมั่นคงปลอดภัยซึ่งเป็นภาคบังคับขององค์กรบริหารจัดการสารสนเทศและระบบสารสนเทศกลางของประเทศสหรัฐอเมริกา ซึ่งทุกองค์กรที่เป็นหน่วยงานภาครัฐจะต้องปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยนี้เป็นอย่างน้อย โดยมาตรฐานนี้จะมีการระบุประเภท ของระบบสารสนเทศต่างๆ และวิธีปฏิบัติที่จำเป็นสำหรับควบคุมเพื่อให้เกิดความมั่นคงปลอดภัยของสารสนเทศในระบบนั้นๆ
FIPS PUB 200 เป็นมาตรฐานที่ได้รับการพิมพ์เผยแพร่จากองค์กรกลางที่กำกับดูแลมาตรฐานต่างๆ ของระบบประมวลผลสารสนเทศในประเทศสหรัฐอเมริกา The Federal Information Processing Standards (FIPS)มาตรฐานนี้ได้รับการปรับปรุงและพิมพ์เผยแพร่ล่าสุดเดือนมีนาคม 2006 การที่ FIPS PUB 200 ได้รับการกำหนดให้เป็นมาตรฐานขั้นต่ำและองค์กรภาครัฐต้องปฏิบัติตามเป็นภาคบังคับ เนื่องมาจากรัฐบาลของประเทศสหรัฐอเมริกา ต้องการสนับสนุนเรื่องความมั่นคงปลอดภัย ดังนั้น จึงได้บัญญัติกฎหมาย Federal Information Security Management Act (FISMA) ซึ่งส่งผลให้หน่วยงานต่างๆต้องปฏิบัติตามโดยปริยาย สำหรับเนื้อหาโดยสรุปของมาตรฐานนี้ ได้แก่
- การระบุข้อกำหนดขั้นต่ำของระบบประมวลผลสารสนเทศขององค์กรกลางในประเทศสหรัฐอเมริกา
- การจัดทำข้อกำหนดนี้เพื่อสนับสนุนการพัฒนา
- การลงมือปฏิบัติ
- การดำเนินการเพื่อสร้างความมั่นคงปลอดภัยระบบสารสนเทศ โดยหน่วยงานสามารถคัดเลือกเฉพาะส่วนที่เกี่ยวข้องกับองค์กรของตนมาปฏิบัติตาม มาตรฐานนี้จึงได้มีการจัดทำแนวทางในการคัดเลือกและกำหนดมาตรการด้านความมั่นคงปลอดภัยที่จำเป็นและเหมาะสมสำหรับระบบประมวลผลสารสนเทศของแต่ละหน่วยงาน
มาตรฐานนี้กล่าวได้ว่าเป็นข้อกำหนดตามกฎ หรือข้อบังคับที่องค์กรภาครัฐหรือองค์กรกลางของรัฐบาลสหรัฐฯ ต้องปฏิบัติตามให้ได้ และมาตรฐานนี้ยังเป็นเพียงข้อกำหนดขั้นต่ำและไม่มีการให้ใบรับรอง สำหรับมาตรฐานของระบบสารสนเทศที่ต้องการความมั่นคงปลอดภัยในระดับที่สูงกว่านี้ จะมีองค์กรอีกองค์กรหนึ่งที่ช่วยพัฒนามาตรฐานด้านเทคโนโลยีต่างๆ และได้จัดทำไว้เพื่อเสริมสร้างมาตรฐานความมั่นคงปลอดภัยทางด้านเทคนิค หน่วยงานที่ดูแลในส่วนนี้มีชื่อว่า (National Institute of Security Technology หรือ NIST) ดังนั้นระบบที่มีข้อมูลสารสนเทศที่ต้องรักษาความลับ ความถูกต้อง และความสมบูรณ์ของข้อมูลในระดับสูงจำเป็น จะต้องใช้มาตรฐานที่รัดกุมและเข้มแข็งมากกว่ามาตรฐาน FIPS PUB 200 นี้ หรืออาจต้องอาศัยความเฉพาะด้านทางเทคโนโลยีและใช้มาตรฐานของ NIST เป็นมาตรฐานหลัก
8. มาตรฐาน NIST 800-14
สถาบันมาตรฐานเทคโนโลยีสารสนเทศแห่งชาติของสหรัฐอเมริกา ได้พิมพ์เผยแพร่หนังสือมาตรฐานในชื่อว่า Generally Accepted Principles and Practices for Securing Information Technology Systemsมาตรฐานนี้เป็นเกณฑ์กลางที่ได้รับการจัดทำและเผยแพร่ขึ้นโดยสถาบันดังกล่าว เพื่อเสริมสร้างองค์กรที่ใช้ระบบสารสนเทศให้นำมาตรฐานเทคโนโลยีทีได้จัดพิมพ์นี้ไปใช้ เพื่อเสริมสร้างความมั่นคงปลอดภัยให้แก่ระบบเทคโนโลยีสารสนเทศขององค์กรหรือหน่วยงานต่างๆ ในประเทศสหรัฐอเมริกาให้มากที่สุดทั้งนี้ เพื่อเป็นการป้องกันภัยคุกคามด้านอาชญากรรมคอมพิวเตอร์และการละเมิดความมั่นคงปลอดภัยข้อมูลสารสนเทศโดยเฉพาะอย่างยิ่งสารสนเทศบนระบบโครงสร้างพื้นฐานของประเทศ การเผยแพร่ในครั้งแรกเมื่อปี 1996 ได้จัดทำเป็นกฎพื้นฐานด้าน Computer Security จำนวน 8 ข้อดังนี้
1. ในพันธกิจขององค์กรต้องให้การสนับสนุนเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์
2. ในการบริหารจัดการองค์กรต้องผนวกเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์ไว้เป็นสาระสำคัญด้วย
3. ควรมีการลงทุนที่เหมาะสมในเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์
4. ผู้เป็นเจ้าของระบบต้องแสดงความรับผิดชอบต่อการรักษาความมั่นคงปลอดภัยของระบบโดยตลอด
5. ความรับผิดชอบและการดูแลเอาใจใส่ในเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์ต้องได้รับการดำเนินการอย่างชัดแจ้ง
6. การรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ต้องการแนวทางที่ผสมผสานในวิธีปฏิบัติ เช่น การรักษาความมั่นคงปลอดภัยทางกายภาพ ทางด้านฮาร์ดแวร์ ซอฟต์แวร์ และผู้ใช้ เป็นต้น
7. ความมั่นคงปลอดภัยคอมพิวเตอร์ต้องได้รับการปรับปรุงให้ดีขึ้นอย่างต่อเนื่องและสม่ำเสมอ
8. ปัจจัยแวดล้อมสามารถส่งผลต่อการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ได้เสมอ
NIST เป็นแนวทางปฏิบัติที่องค์กรที่จัดทำมีเจตนาให้ใช้เป็นเอกสารอ้างอิงและเป็นเสมือนเครื่องมือในการตรวจสอบระบบเทคโนโลยีสารสนเทศขององค์กร แนวทางปฏิบัตินี้จัดเป็นเกณฑ์พื้นฐานที่หลายองค์กรเห็นร่วมกันว่าควรจะต้องจัดให้มีและสามารถตรวจสอบได้โดยฝ่ายตรวจสอบทั้งภายในและภายนอกองค์กร เช่น ผู้ตรวจสอบกิจการภายใน ผู้จัดการ ผู้ใช้หรือลูกค้า พนักงานด้านความมั่นคงปลอดภัยคอมพิวเตอร์ เป็นต้น แนวทางที่ NIST ได้จัดทำนั้นสามารถประยุกต์ใช้ได้ทั้งภาครัฐและเอกชน
9. มาตรฐาน IT BPM (IT Baseline Protection Manual)
มาตรฐาน IT Baseline Protection Manual เป็นหนังสือคู่มือที่แนะนำการรักษาความมั่นคงปลอดภัยระบบอย่างมีมาตรฐาน แต่อาจกำหนดไว้เป็นมาตรฐานขั้นต่ำ คู่มือนี้พิมพ์เผยแพร่โดย BSI ซึ่งเป็นองค์กรกลางที่กำกับดูแลเรื่องการรักษาความมั่นคงปลอดภัยสารสนเทศ โดยจะจัดทำเฉพาะระบบสารสนเทศที่มีใช้ในองค์กรทั่วไป อาทิ ระบบสารสนเทศเกี่ยวกับบุคลากรขององค์กร ระบบสารสนเทศสำหรับสื่อสารด้วยไปรษณีย์อิเล็กทรอนิกส์ เป็นต้น คู่มือนี้จะให้การแนะนำว่าระบบที่ยกตัวอย่างนี้ ควรมีเกราะป้องกันหรือวิธีการด้านความมั่นคงปลอดภัยอย่างน้อยต้องดำเนินการอย่างไรบ้าง
หนังสือคู่มือนี้แต่ละองค์กรอาจนำไปประยุกต์ใช้ด้วยวัตถุประสงค์ที่แตกต่างกันออกไป เช่นต้องการที่จะใช้เป็นเกณฑ์ระบุว่าความปลอดภัยขั้นต่ำขององค์กรคืออะไร องค์กรต้องการใช้เป็นแนวทางปฏิบัติด้านความมั่นคงปลอดภัยที่ดีระดับหนึ่ง การปรับปรุงความมั่นคงปลอดภัยระบบข้อมูลสารสนเทศ หรือบางองค์กร อาจต้องการได้รับใบรับรอง เป็นต้น
อย่างไรก็ดี หนังสือคู่มือนี้ จะได้รับการปรับปรุงทุกๆ หกเดือน การจะปรับปรุงในหัวข้อใดจะได้รับความเห็นชอบจากการลงมติของกลุ่มความร่วมมือ หนังสือคู่มือนี้มีความหนาถึง 2,300 หน้าและเน้นหนักด้านเทคนิคเป็นอย่างมาก เนื้อหาประกอบด้วย
- ระบบต้องมีการบริหารจัดการด้านความมั่นคงปลอดภัยตั้งแต่ขั้นการออกแบบ ประสานงานและติดตามสถานะของความมั่นคงปลอดภัยของระบบที่เกี่ยวกับหน้าที่งานนั้น
- ระบบต้องมีการวิเคราะห์และจัดทำเป็นเอกสารเกี่ยวกับโครงสร้างที่มีอยู่ของทรัพย์สินที่เป็นเทคโนโลยีสารสนเทศในองค์กร
- ระบบต้องได้รับการประเมินถึงมาตรการและระบบบริหารจัดการด้านความมั่นคงปลอดภัยเดิมที่ได้จัดทำไว้แล้วนั้น ว่ามีประสิทธิภาพเพียงพอและเหมาะสมแล้วหรือยัง
- องค์กรต่างๆ สามารถนำโครงสร้างของเครือข่ายที่มีความมั่นคงปลอดภัย ซึ่งได้ออกแบบไว้เหมาะสมแล้วตามคู่มือนี้ มาเป็นแนวทางในการจัดทำเครือข่ายขององค์กร
- ระบบต้องได้รับการดำเนินการปรับปรุงแก้ไขกรณีที่พบว่ามาตรการหรือแนวทางการรักษาความมั่นคงปลอดภัยเหล่านั้นไม่เพียงพอหรือมีการดำเนินการบางอย่างที่ยังไม่รัดกุม เป็นต้น
10. มาตรฐาน PRINCE2
PRINCE2 เป็นเครื่องมือที่ได้รับการพัฒนาขึ้นเพื่อเป็นการช่วยให้ผู้มีหน้าที่เป็น Project Managerสามารถทำงานได้สะดวกขึ้น เครื่องมือนี้จะรวมสภาวะแวดล้อมทางธุรกิจที่เกี่ยวข้องกับการจัดทำโครงการด้านเทคโนโลยีสารสนเทศที่หลากหลาย และสามารถแจกแจงออกมาเป็นกิจกรรมที่ต้องกระทำ เพื่อช่วยในการบริหารจัดการโครงการด้านไอที ให้สามารถดำเนินการได้อย่างมีประสิทธิภาพและประสิทธิผล และสิ่งที่เครื่องมือ PRINCE2 นี้ได้รวบรวมไว้นั้นเป็นกิจกรรมที่เป็นพื้นฐานและสามารถปรับแต่งให้เหมาะสมกับเงื่อนไขต่างๆ ตามการบริหารจัดการโครงการได้
อาจกล่าวได้ว่า ผู้บริหารที่ใช้เครื่องมือนี้ จะสามารถบริหารโครงการได้สัมฤทธิผลอย่างแน่นอนอย่างไรก็ดีเครื่องมือดังกล่าวแม้จะได้รับการยอมรับว่าเป็นเครื่องมือที่ใช้กันจนเป็นที่นิยมและเกือบจะกลายเป็นมาตรฐานของการบริหารจัดการโครงการด้านไอทีไปแล้วก็ตามแต่ก็ไม่ได้ประกาศให้เป็นมาตรฐานที่ทุกองค์กรควรต้องนำไปใช้เนื่องด้วยข้อจำกัดในการประยุกต์ให้เหมาะสมกับองค์กรซึ่งบางองค์กรที่มีขนาดใหญ่ก็จะสามารถใช้งานเครื่องมือนี้ได้อย่างคุ้มค่า แต่หากไม่ใช่องค์กรขนาดใหญ่ก็อาจไม่คุ้มที่จะนำเครื่องมือนี้ไปประยุกต์ใช้
สำหรับเครื่องมือ PRINCE2 ได้จัดพิมพ์เผยแพร่เป็นครั้งแรกโดย the Central Computer and Telecommunications Agency (CCTA) และได้รับการนำไปพัฒนาต่อโดย British Office of Government Commerce (OGC) และตีพิมพ์เป็นภาษาอังกฤษเท่านั้น


บทสรุป
การบริหารจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศเป็นสิ่งที่จำเป็นอย่างยิ่ง ในการปกป้องระบบสารสนเทศและข้อมูลสำคัญ ซึ่งเป็นสินทรัพย์อันมีค่ายิ่งขององค์กร เพื่อใช้ในการดำเนินภารกิจ การประเมินความเสี่ยงเป็นขั้นตอนที่สำคัญในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เนื่องจากจะเป็นตัวชี้นำในการกำหนดนโยบายและกำหนดแผนการดำเนินงานเพื่อความปลอดภัยของสารสนเทศและข้อมูลสำคัญ ดังนั้น องค์กรจึงมีความจำเป็นจะต้องมีกระบวนในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศที่เหมาะสมและได้มาตรฐาน เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้นได้จากความเสี่ยง ซึ่งอาจส่งผลกระทบต่อระบบสารสนเทศได้ และเพื่อประสิทธิภาพในการดำเนินภารกิจขององค์กรให้บรรลุผลสำเร็จ

เอกสารอ้างอิง
1.http://www.siroros.com/CMU_M_IT/it_risk_management_july_2006.pdf
2.www.auditddc.org/images/1148885564/RM.P1.ppt
3.http://www.thaicert.nectec.or.th/paper/basic/COBIT_mapping_revised2.pdf
4.http://www.thaiadmin.org/board/index.php?action=dlattach;topic=53885.0;attach=32552

วันอาทิตย์ที่ 11 ตุลาคม พ.ศ. 2552

Broadband Wireless Access : BWA

Broadband Wireless Access : BWA ไม่ใช่เทคโนโลยีที่เกิดขึ้นมาใหม่ แต่เป็นการจัดกลุ่มมาตรฐานของเทคโนโลยีการสื่อสารไร้สายชนิดต่างๆ ที่มีให้บริการอยู่ในปัจจุบัน ซึ่งแต่ละชนิดมีความสามารถในการใช้งานที่แตกต่างกันไป และเหมาะกับการใช้งานคนละประเภท โดยเทคโนโลยีการสื่อสารไร้สายที่มีความเร็วในการรับส่งข้อมูลสูงเกินกว่า 500-640 Kbps ก็ถือได้ว่าเป็น BWA ทั้งสิ้น
เทคโนโลยีการสื่อสารไร้สายสามารถแบ่งออกเป็น 4 ประเภทตามลักษณะการเข้าถึงข้อมูล ดังนี้
1. WPAN (Wireless Personal Area Network)
เป็นระบบเครือข่ายไร้สายส่วนบุคคล การทำงานจะครอบคลุมบริเวณการสื่อสารที่ค่อนข้างจำกัด โดยมีระยะทางไม่เกิน 10 เมตร และมีอัตราการรับส่งข้อมูลความเร็วสูงมาก (สูงถึง 480 Mbps) ซึ่งเทคโนโลยีที่ใช้กันแพร่หลาย เช่น
• Ultra Wide Band (UWB) ตามมาตรฐาน IEEE 802.15.3a
• Bluetooth ตามมาตรฐาน IEEE 802.15.1
• Zigbee ตามมาตรฐาน IEEE 802.15.4
เทคโนโลยีเหล่านี้ใช้สำหรับการติดต่อสื่อสารระหว่างคอมพิวเตอร์และอุปกรณ์ต่อพ่วง (Peripherals) ให้สามารถรับส่งข้อมูลถึงกันได้และยังใช้สำหรับการรับส่งสัญญาณวิดีโอที่มีความละเอียดภาพสูง (High-Definition Video Signal) ได้2. WLAN (Wireless Local Area Network)
2. WLAN (Wireless Local Area Network)
เป็นระบบเครือข่ายท้องถิ่นที่ใช้งานในพื้นที่ใดพื้นที่หนึ่งในระยะใกล้ ภายในหน่วยงานหรืออาคารเดียวกัน เช่น สำนักงาน บริษัท หรือสถานที่จัดนิทรรศการ โดยที่มีระยะทางไม่เกิน 100 เมตรและมีอัตราการรับส่งข้อมูลความเร็วที่สูงถึงระดับ 100 Mbps และติดตั้งสถานีฐานที่เรียกว่า Access Point เพื่อทำหน้าที่เชื่อมต่อสัญญาณระหว่างอุปกรณ์ปลายทาง (Terminal Equipment) ในลักษณะที่เป็นเซลล์ขนาดเล็กมาก (Pico Cells) ที่ไม่แตกต่างจากเซลล์ของระบบโทรศัพท์เคลื่อนที่มากนัก ซึ่งเทคโนโลยีใช้กันแพร่หลาย คือ
• WiFi ตามมาตรฐาน IEEE 802.11
• ETSI HIPERLAN ตามมาตรฐานของกลุ่มประเทศยุโรป
ข้อจำกัดสำหรับการใช้งานเทคโนโลยีนี้ คือ จำนวนของผู้ใช้งานในขณะใดขณะหนึ่งพร้อมกัน ระยะห่างระหว่าง Access point กับ Terminal Equipment และความพอเพียงของคลื่นความถี่ เนื่องจากส่วนใหญ่จะเป็นการใช้งานในลักษณะได้รับยกเว้นใบอนุญาต (Unlicensed) จึงต้องใช้คลื่นความถี่ร่วมกันกับผู้ประกอบการรายอื่น
3. WMAN (Wireless Metropolitan Area Network)
เป็นระบบเครือข่ายสำหรับเมืองใหญ่ๆ มีระบบเครือข่ายที่หลากหลายมักใช้เชื่อมต่อสื่อสารกันระหว่างอาคารต่างๆภายในเมือง ซึ่งมีระยะทางตั้งแต่ 10 ถึง 50 กม. ขึ้นอยู่กับคลื่นความถี่ที่ใช้งาน และมีอัตราการรับส่งข้อมูลที่ความเร็วสูงในระดับ 15 – 50 Mbps ขึ้นอยู่กับการใช้งานว่าเป็น non-line-of-sight (NLOS) หรือ line-of-sight (LOS) โดยเทคโนโลยีที่ใช้ในปัจจุบัน คือ
• WiMAX ตามมาตรฐาน IEEE 802.16
• WiBro ซึ่งเป็นส่วนหนึ่งของมาตรฐาน IEEE 802.16
• ETSI HIPERMAN ซึ่งเป็นมาตรฐานของกลุ่มประเทศยุโรป ซึ่งพัฒนาให้ทำงานร่วมกันได้กับมาตรฐาน IEEE 802.16
4. WWAN (Wireless Wide Area Network)
เป็นระบบเครือขายไร้สายขนาดใหญ่สำหรับเมืองหรือประเทศซึ่งมักมีการใช้งานผ่านดาวเทียมข้ามประเทศ มีอัตราการรับส่งข้อมูลที่มีความเร็วได้ไม่เกิน 1.5 Mbps เนื่องจากมุ่งเน้นที่การใช้งานแบบเคลื่อนที่ ทั้งนี้ เทคโนโลยีการเข้าถึงที่มักระบุว่าเป็นเทคโนโลยีการเข้าถึงไร้สายบริเวณกว้าง คือ
• เทคโนโลยีโทรศัพท์เคลื่อนที่ยุคที่ 3 (3G)
• MBWA (Mobile Broadband Wireless Access) ตามมาตรฐาน IEEE 802.20 ซึ่งเป็นมาตรฐานที่เทียบเคียงกันได้กับ IEEE 802.16e (Mobile WiMAX) แต่ยังอยู่ระหว่างการจัดทำมาตรฐาน
ตารางแสดงเทคโนโลยีที่สำคัญต่างๆ
เทคโนโลยีสื่อสารไร้สายชนิดใหม่ ๆ ที่สามารถนับได้ว่าเป็นการให้บริการ BWA ในปัจจุบันมีอยู่เพียง 3 ชนิดโดยแต่ละชนิดนั้นจะมีคุณสมบัติที่เหมาะสมกับการเปิดให้บริการ BWA แตกต่างกันไป ดังนี้
1.เทคโนโลยี HSDPA (High Speed Downlink Packet Access)
เป็นเทคโนโลยีในการสื่อสารข้อมูลแบบไร้สายภายใต้มาตรฐาน 3G เทคโนโลยี HSDPA เป็นวิวัฒนาการขั้นถัดมาจากเครือข่าย W-CDMA มีความรวดเร็วกว่า EDGE ภายใต้เครือข่ายแบบ UMTS เพื่อเพิ่มประสิทธิภาพในการส่งผ่านข้อมูลที่รวดเร็วและเพิ่มช่วงกว้างของข้อมูลมากขึ้น โดยมีอัตราความเร็วในการส่งผ่านข้อมูล 1.8 Mbps, 3.6 Mbps, 7.2 Mbps และ Down Link ความเร็ว 14.4 Mbps
2.เทคโนโลยี WiMAX (Worldwide inter-Operability for Microwave Access)
เป็นเทคโนโลยีบรอดแบนด์ไร้สายความเร็วสูงรุ่นใหม่ที่ถูกพัฒนาขึ้นมาบนมาตรฐาน IEEE 802.16 ซึ่งต่อมาได้พัฒนามาตรฐาน IEEE 802.16a ขึ้น มีรัศมีทำการที่ 30 ไมล์ หรือเป็นระยะทางประมาณ 50 กิโลเมตร โดยมาตรฐาน IEEE 802.16a หรือ WiMAX มีความสามารถในการส่งกระจายสัญญาณในลักษณะจากจุดเดียวไปยังหลายจุด (Point-to-multipoint) ได้พร้อมๆ กัน โดยมีความสามารถรองรับการทำงานในแบบ Non-Line-of-Sight ได้ สามารถทำงานได้แม้กระทั่งมีสิ่งกีดขวาง เช่น ต้นไม้ หรือ อาคารได้เป็นอย่างดี ส่งผลให้ WiMAX สามารถช่วยให้ผู้ที่ใช้งาน สามารถขยายเครือข่ายเชื่อมต่ออินเทอร์เน็ตได้กว้างขวางด้วยรัศมีทำการถึง 31 ไมล์ หรือประมาณ 48 กิโลเมตร และมีอัตราความเร็วในการรับส่งข้อมูลสูงสุดถึง 75 Mbps มาตรฐาน IEEE 802.16a นี้ใช้งานอยู่บนคลื่นไมโครเวฟที่ความถี่ระหว่าง 2-11 กิกะเฮิรตซ์ (GHz) และยังสามารถใช้งานร่วมกับอุปกรณ์มาตรฐานชนิดอื่นๆ ที่ออกมาก่อนหน้านี้ได้เป็นอย่างดี
3.เทคโนโลยี Flash-OFDM (Flash Orthogonal Frequency Division Multiplexing)
เป็นเทคโนโลยีที่ใช้การรับส่งข้อมูลแบบ OFDM เช่นเดียวกับที่ใช้ในเครือข่าย WiMAX โดย Flash-OFDM จะมีย่านความถี่ใช้งานตั้งแต่ช่วง 450 เมกะเฮิตรซ์ ขึ้นไปจนถึง 2.5 กิกะเฮิตรซ์ แล้วแต่ว่าประเทศใดมีย่านความถี่ช่วงใดว่างสำหรับใช้งาน คุณสมบัติทั่วไปของเทคโนโลยีดังกล่าวรองรับการสื่อสารข้อมูลด้วยอัตราเร็ว 3 เมกะบิตต่อวินาทีจากสถานีฐานไปสู่อุปกรณ์สื่อสารไร้สาย และ 800 กิโลบิตต่อวินาทีในทางกลับกัน ย่านความถี่ที่น่าจะมีการนำไปใช้กับเทคโนโลยี Flash-OFDM มากที่สุดก็คือ 450 เมกะเฮิตรซ์ ซึ่งเป็นความถี่ดั้งเดิมที่ใช้กับเครือข่ายโทรศัพท์เคลื่อนที่ NMT (Nordic Mobile Telephone) ซึ่งเป็นเครือข่ายโบราณในยุค 1G

ตารางเปรียบเทียบคุณลักษณะและความสามารถทางเทคนิคของมาตรฐาน BWA แต่ละประเภท

จากตางรางเปรียบเทียบด้านบนจะเห็นได้ว่าทั้ง 3 เทคโนโลยีนี้จะมีคุณสมบัติ และลักษณะการทำงานที่แตกต่างกันออกไป โดยเมื่อทำการเปรียบเทียบคุณลักษณะของเทคโนโลยี BWA ทั้ง 3 ชนิด โดยที่เทคโนโลยี Wimax นั้นจะมีอัตราความเร็วในการรับส่งข้อมูลสูงที่สุดอยู่ที่ 70Mbps แต่จะมีข้อจำกัดอยู่ตรงที่ไม่สามารถใช้งานขณะเคลื่อนที่ได้ แต่สามารถพัฒนาให้ใช้งานขณะเคลื่อนที่ได้ในอนาคต
รูปแบบการให้บริการ Broadband Wireless Access แบ่งออกเป็น 3 ประเภท ดังนี้


1.การใช้งานแบบประจำที่ (Fixed Access)
การใช้บริการในลักษณะนี้จะเป็นกลุ่มผู้ใช้บริการที่ทำงานอยู่ประจำที่ เช่น ภายในบ้านหรือสำนักงาน โดยที่ไม่สามารถเคลื่อนที่ในขณะรับ-ส่งข้อมูล เนื่องจากจะทำให้เกิดการแทรกสอดจากหลายทิศทางของสัญญาณ (Multi-path Fading) และเทคโนโลยีที่รองรับการใช้งานในลักษณะนี้ ไม่มีขีดความสามารถในการแก้ไขผลกระทบที่เกิดจากสัญญาณรบกวนซึ่งเกิดจากการเคลื่อนที่ของผู้ใช้งาน อีกทั้งยังไม่มีความสามารถที่จะรองรับการย้ายพื้นที่ใช้งาน (Roaming) จากสถานีฐานหนึ่งไปอีกสถานีฐานหนึ่งได้ อย่างไรก็ตามหากจำกัดให้ผู้ใช้บริการอยู่ประจำที่ ก็จะทำให้เทคโนโลยีที่รองรับการใช้งานแบบนี้ทำการรับส่งข้อมูลได้ด้วยอัตราเร็วสูงสุด เทคโนโลยีในกลุ่มนี้ได้แก่ MMDS, LMDS และการสื่อสารไร้สายมาตรฐาน IEEE 802.16, 16a, 16d
2.การใช้งานแบบเคลื่อนที่เล็กน้อย (Nomadic and Portable)
การใช้บริการในลักษณะนี้จะเป็นกลุ่มผู้ใช้บริการแบบใช้งานอยู่เป็นที่แต่อาจมีการเคลื่อนที่เล็กน้อย เช่น การใช้อุปกรณ์ประมวลผลแบบ PDA หรือเครื่องคอมพิวเตอร์โน๊ตบุ๊คที่ติดตั้งอุปกรณ์สื่อสารไร้สายไว้ ซึ่งอาจมีการเดินไปมา หรือย้ายตำแหน่งที่ใช้งานบ้าง แต่ไม่ถึงกับมีการเคลื่อนที่ด้วยความเร็วสูง โดยเทคโนโลยีในกลุ่มนี้ต้องชดเชยความสามารถในการรองรับการใช้งานขณะเคลื่อนที่กับพื้นที่ให้บริการที่แคบลง และอัตราเร็วในการสื่อสารที่อาจจะต่ำกว่าการใช้งานแบบประจำที่ เทคโนโลยีในกลุ่มนี้ได้แก่ การสื่อสารไร้สายมาตรฐานIEEE802.16e และมาตรฐาน IEEE 802.16a, b, g , n ข้อดีของการใช้งานแบบ Nomadic and Portable ก็คือ ผู้ใช้งานสามารถเปลี่ยนสถานีฐานหรือจุดเชื่อมต่อไปใช้งาน ณ สถานที่อื่นได้โดยเครือข่ายจะตรวจสอบโพรโฟล์ (Profile) การใช้งานของผู้ใช้บริการ จากฐานข้อมูลส่วนกลาง เพื่ออนุญาตให้ใช้งานในต่างพื้นที่ (Roaming) ได้
3.การใช้งานขณะเคลื่อนที่ตลอดเวลา (Mobility)
การใช้งานในลักษณะนี้จะเป็นกลุ่มผู้ใช้งานที่มีการเคลื่อนที่ย้ายตำแหน่งอยู่ตลอดเวลา หรืออาจจะมีการใช้งานจะมีการใช้งานในยานพาหนะที่เคลื่อนที่ด้วยความเร็วสูง เช่น ภายในรถยนต์หรือรถไฟ โดยเทคโนโลยีที่รองรับการใช้งานในรูปแบบนี้มีเพียงเทคโนโลยีโทรศัพท์เคลื่อนที่เท่านั้น ซึ่งในอนาคตจะมีการผลักดันเทคโนโลยีการสื่อสารไร้สายมาตรฐาน IEEE 802.20 เพื่อรองรับการใช้งานในลักษณะนี้


รูปแบบการให้บริการ Broadband Wireless Access และเทคโนโลยีที่เกี่ยวข้อง

มาตรฐานการสื่อสารไร้สายที่เกี่ยวข้องกับ Broadband Wireless Access
มาตรฐาน IEEE 802.11
มาตรฐานหลักของระบบเครือข่ายไร้สายและอุปกรณ์เครือข่ายไร้สาย คือ มาตรฐาน IEEE 802.11 เป็นมาตรฐานระบบเครือข่ายไร้สายที่ถูกกำหนดขึ้นโดย Institute of Electrical and Electronic Engineers ซึ่งเป็นองค์กรกำหนดมาตรฐานเกี่ยวกับการสื่อสารของอุตสาหกรรมคอมพิวเตอร์
มาตรฐาน IEEE 802.11 นั้นเริ่มประกาศใช้ตั้งแต่ปี ค.ศ. 1997 มาตรฐานที่เกิดขึ้นนี้ยังมีข้อจำกัดในด้านเทคโนโลยี ซึ่งกำหนดระบบการส่งสัญญาณด้วยความเร็ว 2 Mbps และได้มีการพัฒนาเรื่อยมา โดยมีส่วนย่อยอยู่ด้วยกันถึง 9 ส่วน คือ a, b, c, d, e, f, g, h, iโดยแต่ละชนิดนั้นก็จะมีลักษณะหรือมาตรฐานของรายละเอียดต่างกันไป
มาตรฐาน 802.11 นี้ใช้การส่งสัญญาณแบบคลื่นวิทยุที่ความถี่ 2.4 GHz ซึ่งเป็นความถี่ ISM band สามารถส่งข้อมูลได้ด้วยอัตราความเร็ว ค่อนข้างต่ำ คือ 1 และ 2 Mbps เท่านั้น โดยใช้เทคนิคการส่งสัญญาณหลักอยู่ 2 รูปแบบ คือ DSSS และ FHSS ซึ่งถูกคิดค้นมาจากหน่วยงานทหาร การส่งสัญญาณทั้ง 2 รูปแบบจะใช้ความกว้างของช่องสัญญาณ (Bandwidth) ที่มากกว่า การส่งสัญญาณแบบ Narrow Band แต่ทำให้สัญญาณมีความแรงมากกว่าซึ่งง่ายต่อการตรวจจับมากกว่า แบบ Narrow Band
มาตรฐาน IEEE 802.11b
IEEE 802.11b เป็นมาตรฐานที่นิยมใช้ กันมากที่สุดในปัจจุบันนี้และมีอุปกรณ์ที่รองรับอย่างมากมาย ระบบไร้สายประเภทนี้ใช้การส่งคลื่นสัญญาณวิทยุในย่านความถี่ 2.4GHz โดยใช้เทคนิคการส่งสัญญาณแบบ DSSS ซึ่งเป็นความถี่ ISM band สามารถส่งถ่ายข้อมูลด้วยความเร็วสูงสุดที่ 11Mbps ภายในรัศมี 300 เมตร แบนด์วิทด์ที่ได้รับและระยะทางที่เชื่อมโยงได้ไกลจึงทำให้เป็นมาตรฐานที่นิยมใช้งานภายในองค์กรโดยทั่วไป ทั้งยังรองรับการใช้งานได้หลากหลายไม่ว่าจะเป็นการทำงานภายในบ้านหรือสำนักงาน จุดเด่นคือการใช้ความถี่คลื่นวิทยุที่ค่อนข้างต่ำ เพียง 2.4 GHz นั้นทำให้ IEEE 802.11b มีระยะทางในการติดต่อระหว่างอุปกรณ์ค่อนข้างไกล ทำให้ชุดเครือข่ายไร้สายแบบ IEEE 802.11b ไม่จำเป็นต้องมีจุดรับ-ส่งสัญญาณ หรือที่เรียกกันว่า Access Point หรือ Hot Spot มาก ขณะที่ข้อเสียของมาตรฐานนี้คือ ใช้ย่านความถี่ในระยะของย่านความถี่ที่โทรศัพท์ใช้และอุปกรณ์ Bluetooth จึงทำให้ส่งผลต่อความปลอดภัย ในการใช้ข้อมูล เนื่องจากข้อมูลจะมีโอเวอร์เฮดที่สูง ถ้าพื้นที่ใช้งานมีสิ่งกีดขวาง และสัญญาณไฟฟ้า รบกวน ก็จะทำให้คุณภาพของสัญญาณลดต่ำลง จึงทำให้ความสามารถในการนำพาข้อมูลจริงๆ นั้นจะอยู่ที่ประมาณ 5 Mbps
มาตรฐาน IEEE 802.11a
มาตรฐาน IEEE 802.11a นั้นเกิดขึ้นหลังการวางตลาดของมาตรฐาน IEEE 802.11b โดยที่ IEEE 802.11a มีข้อดีกว่า IEEE 802.11b คือ ใช้ย่านความถี่เฉพาะต่างหาก ซึ่งเป็นย่านความถี่ที่สูง อยู่ในระหว่าง 5.15GHz ถึง 5.825GHz ซึ่งเป็นย่านความถี่วิทยุ ของ U-NII Band โดยมีความกว้างของความถี่ทั้งหมด 300 MHz แบ่งเป็น 3 ระดับ ระดับละ 100 MHz คือ ต่ำ, ปานกลางและสูง ซึ่งแต่ละระดับมีความสามารถในการใช้งานและกำลังส่งแตกต่างกัน
- ย่านความถี่ระดับต่ำ(Low Band) ย่านความถี่ที่ทำงานจาก 5.15 ถึง 5.25 GHz กำลังส่งสูงสุด เท่ากับ 50 mW
- ย่านความถี่ระดับปานกลาง(Middle Band) ย่านความถี่ที่ทำงานจาก 5.25 ถึง 5.35 GHz กำลังส่งสูงสุดเท่ากับ 250 mW
- ย่านความถี่ระดับสูง(High Band) ย่านความถี่ที่ทำงานจาก 5.725 ถึง 5.825 GHz กำลังส่งสูงสุด เท่ากับ 1000 mWความเร็วในการรับส่งข้อมูลในทางทฤษฎีสูงสุด 54Mbps แต่ในการใช้งานจริงแล้วจะอยู่ที่ประมาณ 22Mbps มาตรฐานนี้จึงเหมาะที่จะนำมา ใช้ในการจัดส่งข้อมูลเสียงและภาพกราฟิก แต่ข้อเสียหลัก ก็คือ มีรัศมีทำการอยู่แค่ 75 ฟุต ดังนั้นถ้าต้องการระยะทางที่ไกล ขึ้นจะต้องเสียค่าใช้จ่ายในการ ติดตั้งอุปกรณ์ Access Point เพิ่มขึ้นมาก นอกจากนั้นแล้วอุปกรณ์ที่รองรับมาตรฐานนี้ในปัจจุบันก็ยังมีราคาแพงเมื่อเทียบกับมาตรฐาน IEEE 802.11b เนื่องจากว่าทั้งสองมาตรฐานนี้ใช้ย่านความถี่ ต่างกัน จึงทำให้อุปกรณ์ของทั้งสองประเภทนั้น ไม่สามารถที่จะใช้งานร่วมกันได้
มาตรฐาน IEEE802.11g
IEEE 802.11g เป็นมาตรฐานที่จะเข้า มาทดแทนมาตรฐาน IEEE 802.11b จุดเด่นของ IEEE 802.11g ก็คือการใช้คลื่นความถี่วิทยุ 2.4 GHz ซึ่งเป็นคลื่นสาธารณะที่ได้รับอนุญาตให้ใช้งานได้โดยไม่ผิดกฎหมาย เหมือนมาตรฐาน IEEE802.11b แต่ใช้เทคโนโลยีแบบ OFDM ในการส่งสัญญาณ ทำให้มีความเร็วสูงสุดมากกว่า 20 Mbps อีกทั้งยังสามารถ ที่จะใช้งานร่วมกันกับอุปกรณ์ที่ใช้มาตรฐาน IEEE 802.11b จึงทำให้ไม่จำเป็นที่จะต้องเปลี่ยนแปลงโครงสร้างพื้นฐานของระบบไร้สายที่ใช้กันอยู่เดิมอย่าง IEEE 802.11b

ตารางแสดงมาตรฐาน IEEE 802.11

มาตรฐาน IEEE 802.16
IEEE 802.16 หรือ เทคโนโลยี WiMAX คือเทคโนโลยีไร้สายความเร็วสูงล่าสุด มีระยะทางการเชื่อมโยง 1.6-4.8
กิโลเมตร และมีความเร็วในการส่งผ่านข้อมูลสูงสุด 75 เมกะบิตต่อวินาที (Mbps) เป็นมาตรฐานเดียวที่สนับสนุน LoS (Line of Sight) คือต้องไม่มีสิ่งกีดขวางระหว่างเครื่องรับเครื่องส่ง และทำงานบนย่านความถี่ 10-16 GHz
มาตรฐาน IEEE 802.16a
เป็นมาตรฐานที่ปรับปรุงจาก IEEE 802.16 เดิม รันบนความถี่ย่าน 2-11 GHz โดยคุณสมบัติที่ได้รับการปรับปรุงจาก
มาตรฐาน 802.16 เดิม คุณสมบัติเด่นของ IEEE 802.16a คือความสามารถในการส่งสัญญาณจากจุดเดียวไปยังหลายจุด (Point-to-Multipoint) ได้พร้อมกัน รองรับการทำงานแบบ Non-Line-of-Sight คือทำงานได้แม้มีสิ่งกีดขวาง เช่น ต้นไม้หรืออาคาร และเป็นประโยชน์อย่างยิ่งต่อผู้ให้บริการบรอดแบนด์ในการขยายพื้นที่ให้บริการ มาตรฐาน IEEE 802.16a จะทำงานบนความถี่ย่าน 2-11 กิกะเฮิรตซ์ (GHz) และสามารถใช้งานร่วมกับอุปกรณ์มาตรฐานชนิดอื่นๆ ที่ออกมาก่อนหน้านี้ได้ รัศมีทำการ 30 ไมล์ และความเร็วในการรับส่งข้อมูลสูงสุด 75 Mbps
มาตรฐาน IEEE 802.16e
IEEE 802.16e เป็นมาตรฐานที่ได้รับการพัฒนาขึ้นเพื่อสนับสนุนการทำงานร่วมกับอุปกรณ์โมบายล์ เช่น พีดีเอและโน้ตบุ๊ค รัศมีทำการ 1.6-4.8 กิโลเมตร สนับสนุนการเชื่อมต่อในขณะเคลื่อนที่โดยไม่กระทบกับคุณภาพและความเสถียรของระบบ

..........................