หน้าแรก > บ่นไปเรื่อย, เก็บมาฝาก > ห่วงใย SMEs เผื่อใจไว้เมื่อเจ้าหน้าที่ไอทีกลายเป็น Bad Boy ตอนจบ

ห่วงใย SMEs เผื่อใจไว้เมื่อเจ้าหน้าที่ไอทีกลายเป็น Bad Boy ตอนจบ

ทิ้งช่วงยาวไปร่วมสัปดาห์ทีเดียวสำหรับบทความนี้ ไม่ใช่เพราะไปหาข้อมูลหรอกนะครับ แต่บังเอิญมีเรื่องอื่นที่อยากให้เขียนเยอะแยะมากมาย … จะว่าไปแล้ว เดือนกุมภาพันธ์นี้ ตลอดระยะเวลา 21 วันนี้ ผมอัพเดตบล็อกวันละตอนกันเลยทีเดียวนะนี่ ถือว่าเดือนนี้ผมคึกก็แล้วกัน แต่เดือนหน้าคงจะไม่ถี่ขนาดนี้นะครับ เพราะการหาเรื่องมาเขียนทุกวัน แถมต้องเขียนยาวๆ เนี่ย มันไม่ไหวจริงๆ ฮาฮา (ผมมีงานเขียนอื่นๆ ที่ยังต้องจัดการให้เสร็จ และยังมีวิทยานิพนธ์ที่ยังไม่ได้เริ่มมาหลายปี แหะ แหะEmbarrassed smile )

ขอย้ำว่า ผมเขียนบทความนี้ขึ้นมาด้วยความเป็นห่วงธุรกิจต่างๆ โดยเฉพาะ SMEs ทั้งหลาย ที่เจ้าของกิจการมักจะไม่คุ้นเคยกับเรื่องของเทคโนโลยีมากนัก แต่ด้วยกระแสเทคโนโลยีที่เชี่ยวกราก ทำให้มีความจำเป็นต้องนำเทคโนโลยีต่างๆ มาใช้ในธุรกิจของตน

hacker

ผมได้มีโอกาสคุยกับเพื่อนจาก Adecco Thailand เกี่ยวกับแนวโน้มของการสรรหาบุคคลากรด้านไอที พบว่าในประเทศไทยค่อนข้างมีแนวโน้มการจ้างงานที่สูงอยู่ นั่นแสดงให้เห็นว่าธุรกิจต่างๆ ก็มีแนวโน้มที่จะนำไอทีเข้ามาผนวกกับองค์กรกันอยู่มาก ดังนั้นการเตรียมตัวเตรียมใจไว้บ้าง มันก็เป็นการล้อมคอกก่อนวัวหายครับ

ส่วนใครที่จำไม่ได้แล้วว่าตอนที่แล้วผมเขียนอะไรไว้ ก็ลองย้อนกลับไปอ่านกันก่อนนะครับ แล้วค่อยมาเริ่มอ่านตอนนี้

แต่ก่อนที่จะเข้าไปอ่านเนื้อหาหลัก ผมก็อยากขออาศัยพื้นที่ส่วนนี้ประชาสัมพันธ์ให้กับสปอนเซอร์ที่น่ารักทั้งหลายของผมก่อนนะครับ Embarrassed smile

  • พุธที่ 23 ก.พ. นี้แล้ว ที่ Adecco จัดฟรีสัมมนาสำหรับชาว HR ในหัวข้อ Social Media for HR in the New Generation ที่เกสรพลาซ่า ตั้งแต่เวลา บ่าย 2 ถึง 5 โมงเย็น งานนี้ผมเป็น Guest Speaker ด้วยครับ Embarrassed smileEmbarrassed smileEmbarrassed smile … รายละเอียดเพิ่มเติม อ่านได้ที่นี่เลยครับ รับรองว่าผมเตรียมตัวมาเป็นอย่างดี อิอิ
  • แม้ว่าท่านผู้อ่านอาจจะพลาดไม่ได้สอย Dell Streak 5 นิ้วมาเป็นเจ้าของในงาน Thailand Mobile Expo 2011 ที่ผ่านมา ก็ยังสามารถที่จะไปสอยมาเป็นเจ้าของได้ในราคา 19,900 บาทนะครับ หาซื้อได้ตาม Power Buy และร้านค้าในเครือ Value Systems ครับ
  • ลูกค้า i-mobile 3GX สามารถที่จะสมัครแพ็กเกจ Unlimited Package 650 บาท/เดือน (ไม่รวม VAT) ซึ่งให้คุณใช้งาน BlackBerry Service ได้ไม่จำกัด, เล่นอินเทอร์เน็ต 3G ไม่จำกัด และ โทรฟรีไม่จำกัด บนโครงข่าย TOT3G (นอกพื้นที่ โทรผ่าน Roaming คิด 1.50 บาท/นาที) ส่วน SMS ครั้งละ 1 บาท รายละเอียด อ่านที่นี่เลย

ความเดิมจากตอนที่แล้ว: ผมได้เขียนถึงสิ่งที่ธุรกิจอาจต้องเผชิญ หากว่าบุคคลากรด้านไอทีของคุณในทุกระดับชั้นที่คุณไว้ใจ เกิดไม่ได้เป็นคนดีของสังคมอย่างที่คิดนั้นมันมีอะไรบ้าง โดยผมได้พูดถึงกรณีคดีละเมิดลิขสิทธิ์, การถูกขโมยแบนด์วิธใช้งาน และการถูกวางบั๊กในกรณีที่พวกเขาออกจากงานไป (โดยเฉพาะในกรณีที่ไม่ได้จากกันด้วยดี)

เรามาต่อกันในภาคจบดีกว่าครับ…

 

การจารกรรมข้อมูล

ว่ากันว่าศึกนอกป้องกันง่าย แต่ศึกในป้องกันยาก … ลำพังองค์กรของคุณก็อาจต้องพยายามป้องกันศึกนอกจากพวกแฮกเกอร์ และมัลแวร์ทั้งหลายกันอย่างแข็งขันอยู่แล้ว แต่ไปๆ มาๆ กลับโดนข้าศึกรุกรานจากภายในซะอย่างงั้นอ่ะ

ผมพบเห็นมาเยอะแยะมาก ในหลายๆ องค์กรที่แผนกไอทีเหมือนจะมีสิทธิสภาพสูงมาก ด้วยเหตุว่าทุกอย่างเอาไอทีมาควบคุมหมด และไอทีก็เป็นผู้ถือรหัสผ่านระดับ Administrator ที่สามารถควบคุมได้ทุกอย่าง เข้าถึงข้อมูลได้ทุกส่วน แม้แต่ข้อมูลทรัพยากรบุคคลหรือบัญชี … ผมเคยเห็นกรณีพนักงานไอทีคนนึงมาทำงานสายเป็นประจำ แล้วใช้สิทธิไอทีของตนเข้าไปเปลี่ยนแปลงข้อมูลว่ามาทำงานตรงเวลาทุกวัน

ในขณะที่หน่วยงานอื่นๆ ในองค์กรนั้นอาจถูกนโยบายขององค์กรจำกัดการเข้าถึงอุปกรณ์ไอทีหลายๆ อย่าง เช่น ติดตั้งโปรแกรมเองไม่ได้, เชื่อมต่ออินเทอร์เน็ตไม่ได้ หรือ เชื่อมต่อได้แต่จำกัดการเข้าถึงเว็บไซต์หลายๆ แห่ง, ไม่มี CD/DVD-ROM หรือ เสียบ Flash Drive ไม่ได้ เป็นต้น แต่แผนกไอทีนั้นส่วนใหญ่แล้วทำได้ทุกอย่างที่ขวางหน้า

จะว่าไปแล้ว หากข้อมูลสำคัญๆ ขององค์กรจะรั่วไหลเนี่ย หน่วยงานไอทีอาจเป็น WikiLeak ตัวดีเลย ฮาฮา

ทางออกขององค์กร

การที่จะไปจำกัดการเข้าถึงอินเทอร์เน็ต หรือพวกสื่อบันทึกข้อมูลต่างๆ ของแผนกไอทีนั้นคงทำได้ยาก ขืนทำไปมีแต่จะโดนโวยวายว่าทำงานไม่สะดวกเปล่าๆ แต่องค์กรก็สามารถที่จะป้องกันปัญหาได้ โดยการจำกัดการเข้าถึงข้อมูลสำคัญๆ ของเจ้าหน้าที่ไอทีต่างๆ เสีย เช่น

  • ในการบริหารจัดการผู้ใช้งาน แผนกไอทีควรสามารถที่จะรีเซ็ตรหัสผ่านผู้ใช้งานได้ ในกรณีที่ผู้ใช้งานแจ้งว่าลืมรหัสผ่าน แต่ไม่ควรที่จะให้สิทธิในการเห็นรหัสผ่านนั้นๆ โปรแกรมฐานข้อมูลที่ดีจะไม่เปิดโอกาสดังกล่าว แต่ผมก็เจออยู่หลายโปรแกรม ที่ดันให้สิทธิ Administrator ในการเห็นรหัสผ่านของผู้ใช้งานทุกคน
  • และแม้ว่าแผนกไอทีจะเป็น Administrator แต่ก็ไม่ควรได้สิทธิในการเข้าถึงข้อมูลที่พวกเขาไม่ควรเข้าถึง เช่น ข้อมูลทรัพยากรบุคคล ข้อมูลบัญชีของบริษัท เป็นต้น หากไอทีต้องการเข้าถึงข้อมูลดังกล่าวควรต้องผ่านทางหน่วยงานที่เกี่ยวข้องนั้นๆ เพื่อที่จะได้ทราบว่าพวกไอทีเหล่านี้ได้เห็นได้รู้ข้อมูลอะไรไปบ้าง และควรหรือไม่ควรที่จะให้เขารู้

 

การใช้ทรัพยากรขององค์กรด้วยวัตถุประสงค์ส่วนตัว

อันนี้เหมือนภาคต่อของ “ขโมยแบนด์วิธขององค์กรใช้งาน” ที่ผมพูดถึงไปในตอนที่แล้ว แต่หัวข้อนั้นผมเน้นไปที่การดาวน์โหลดหนังโป๊แผ่นผีซีดีเถื่อนซะมากกว่า แต่ในหัวข้อนี้ผมหมายถึง การนำทรัพยากรต่างๆ ไปใช้ในวัตถุประสงค์อื่นๆ … ผมจะลองยกตัวอย่างกรณีศึกษาของ นาย ก. ดูนะครับ

กรณีศึกษา:  นาย ก.

นาย ก. เป็นเจ้าหน้าที่ไอทีในตำแหน่งเว็บโปรแกรมเมอร์และเว็บมาสเตอร์ของธุรกิจ SMEs ที่ประกอบธุรกิจ Import/Export เล็กๆ แห่งหนึ่ง นาย ก. เป็นคนขยันขันแข็ง และมีฝีไม้ลายมือในการออกแบบและพัฒนาเว็บไซต์อย่างมาก ผู้บริหารชื่นชมผลงานของ นาย ก. กันทุกคนเลย

ทว่า … อยู่มาวันหนึ่ง ตำรวจบุกเข้ามาในออฟฟิศของบริษัทพร้อมกับหมายค้น แจ้งว่าที่บริษัทนี้เป็นแหล่งจำหน่ายแผ่นซีดีและดีวีดีหนังโป๊ออนไลน์ และเมื่อทำการตรวจค้น พบว่าในเครื่องเว็บเซิร์ฟเวอร์ของบริษัท มีข้อมูลเว็บไซต์ x-rated-av.com (นามสมมติ) ซึ่งเป็นเว็บจำหน่ายหนังโป๊ออนไลน์ตามที่ตำรวจแจ้ง และตามรายละเอียดของไฟล์แล้ว เจ้าของไฟล์ทั้งหมด ก็คือ นาย ก. นั่นเอง

ที่แท้ นาย ก. แอบใช้เครื่องเซิร์ฟเวอร์ของบริษัท ในการโฮสต์เว็บไซต์อีกแห่ง เอาไว้หาลำไพ่พิเศษด้วยการขายหนังโป๊ … แม้ว่าครั้งนี้ตัวผู้กระทำผิดจะไม่ใช่ตัวบริษัทเอง แต่ว่าชื่อเสียงของบริษัทก็ป่นปี้ไม่มากก็น้อยละครับ

ทางออกขององค์กร

เคราะห์ดีที่ทางออกขององค์กรนั้นไม่แตกต่างจากกรณีของการถูกขโมยแบนด์วิธใช้เท่าใดนัก การตรวจสอบข้อมูลการใช้งานแบนด์วิธ และ Log File ต่างๆ จะช่วยได้มาก และเครื่องมืออำนวยความสะดวกในการสร้างรายงานสำหรับผู้บริหารก็ใช่ว่าจะไม่มี การตรวจสอบรายงานเหล่านี้ จะช่วยให้สามารถพบเห็นความผิดปกติของการใช้งานและเข้าตรวจสอบได้ทันท่วงที

 

บทสรุปของผม

ผมเข้าใจว่านี่เป็นเรื่องน่าปวดหัวและน่าเหนื่อยใจครับสำหรับผู้บริหาร SMEs ทุกท่าน โดยเฉพาะท่านที่ไม่ค่อยมีพื้นฐานด้านคอมพิวเตอร์เท่าใดนัก แต่ว่ามันก็เป็นสิ่งจำเป็นที่หลีกเลี่ยงไม่ได้ ที่ท่านจะต้องเรียนรู้ถึงความเป็นไปได้ของปัญหาที่จะเกิดขึ้น เพื่อที่จะได้วางแผนป้องกันก่อนที่มันจะเกิด เพราะหากมันเกิดแล้ว ผลกระทบที่ตามมามันอาจเสียหายร้ายแรง และน่าเหนื่อยใจชวนให้ปวดหัวกว่ามากๆ

ผมอยากย้ำว่า เมื่อเกิดปัญหาแล้ว การลงโทษด้วยการไล่ออก ในกรณีที่พบว่าบุคคลากรด้านไอทีของท่านกระทำความผิด อาจไม่ใช่ทางแก้ปัญหาทั้งหมด โดยเฉพาะอย่างยิ่ง หากว่าเขาหรือเธอคนนั้นเป็นผู้กุมข้อมูลสำคัญๆ หรือรหัสผ่านหลักๆ เอาไว้ เผลอๆ อาจโดนวางบั๊กเหมือนอย่างที่ผมพูดถึงไปในตอนที่แล้วก็เป็นได้ … Computerworld ก็ได้ยกตัวอย่างของ Phil (นามสมมติ) ที่เมื่อถูกจับได้ว่าเอาเซิร์ฟเวอร์ขององค์กรไปทำเว็บขายของเถื่อน ก็ไล่เขาออก แต่ผลลงเอยด้วยการที่หมอนี่ไปลบไฟล์ที่เก็บข้อมูล Encryption Key ของบริษัททิ้งไป ทำให้ข้อมูลของพนักงาน 25 คนที่ทำมาตลอด 3 ปี ไม่สามารถเรียกมาใช้งานได้เลย

ทางออกสำหรับแทบทุกปัญหาที่ผมกล่าวถึงมานั้นคือ ผู้บริหารและองค์กรต้องมีความเข้าใจถึงความเสี่ยงและความเป็นไปได้ที่จะเกิดปัญหาขึ้น และวางมาตรการป้องกันอย่างรัดกุม ไม่ให้เกิดเหตุการณ์วัวหายแล้วล้อมคอก

Advertisements
หมวดหมู่:บ่นไปเรื่อย, เก็บมาฝาก ป้ายกำกับ:,
  1. dexterlaos
    เมษายน 19, 2011 ที่ 15:22

    ขอบคุญ ยากบอกว่า ชืนชมเว็บนี้มาก ยากกอดเจ้าของเว็บสักครั้ง ว่าสุดยอดครับพี่

    • นายกาฝาก
      เมษายน 19, 2011 ที่ 20:57

      ถ้าเป็นสาวสวยจะรีบบึ่งไปให้กอดโดยบัดดล

  1. กุมภาพันธ์ 21, 2011 ที่ 13:20

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

%d bloggers like this: