คุณคิดอย่างไรหากมีคนบอกคุณว่าระบบ Cloud นั้นปลอดภัยมาก และไม่ต้องการการรักษาความปลอดภัยอื่นๆเพิ่มเติม…
ความจริงก็คือระบบ Cloud นั้นไม่ได้มีระบบรักษาความปลอดภัยหรือมนต์วิเศษที่ทำให้ข้อมูลของคุณปลอดภัยมากขึ้น คำว่า “Cloud” ในภาษาอังกฤษแปลว่า “making less clear หรือ transparent” และ “cause of gloom, suspicion, trouble, or worry” ไม่ได้มีตรงไหนบอกถึงความปลอดภัยเลย แปลว่าความกังวลเสียด้วยซ้ำ แต่นั่นแหละครับ ระบบ Cloud ก็จำเป็นต้องมีมาตรการรักษาความปลอดภัยมารับมือกับความเสี่ยงที่มีอยู่ดี
อาจเป็นเพราะระบบ Cloud ทำให้เราสามารถประหยัดฮาร์ดแวร์ ผู้ใช้ Cloud จึงอาจลืมความรับผิดชอบที่ต้องทำ เพราะฉะนั้นคุณจำเป็นต้องหมั่นถามผู้ดูแล หรือผู้ให้บริการ Cloud เกี่ยวกับนโยบายและความปลอดภัย หรือเป็นไปได้ก็ให้ทางผู้ให้บริการเป็นผู้รับผิดชอบหากมีความเสียหายใดๆเกิดขึ้น
คำถามด้านนโยบาย (Policy Questions)
ก่อนที่เราจะตั้งคำถามกับผู้ให้บริการ Cloud เราต้องตอบคำถามเกี่ยวกับความต้องการขององค์กรตัวเองก่อน
#1 คุณต้องการใช้บริการ Cloud แบบไหน?
- ใช้เพื่อเก็บไฟล์
- ใช้ร่วมกับซอฟต์แวร์แอปพลิเคชั่น
- ใช้เพื่อเปิด Virtual Machine
#2 คุณนำไปใช้อย่างไร?
- ใช้สำหรับสาธารณะ
- ใช่ส่วนตัวหรือภายในองค์กร
- ใช้เพื่อจุดประสงค์เฉพาะอื่นๆ อย่างเช่น ลดความเสี่ยง
#3 ฟังก์ชั่นหรือข้อมูลที่เก็บไว้บน Cloud สำคัญแค่ไหน?
เพราะว่า Cloud นั้นใครก็สามารถใช้งานได้หากเขามีข้อมูลเพียงพอ และอาจทำให้ข้อมูลสำคัญตกอยู่ในความเสี่ยงได้
#4 มีใครบ้างที่เข้าใช้ระบบ Cloud นี้?
ระวังภายนอกแล้วให้ระวังคนภายในด้วย ว่าจะมีใครเข้ามาใช้ได้บ้าง และจัดระบบอย่างไร
#5 มีประมวลกฎหมายหรือข้อปฏิบัติที่ต้องทำตามหรือไม่?
ในปัจจุบันมีกฎหมายเกี่ยวกับโลกอินเตอร์เน็ตเพิ่มมากขึ้น ทั้งที่บังคับใช้ และกำลังจะบังคับใช้
#6 นโยบายที่จะใช้นั้นเป็นที่ยอมรับของผู้ใช้หรือไม่?
ความรู้ความเข้าใจของผู้ใช้นั้นเป็นตัวแปรสำคัญ หากต้องการใช้ผู้ใช้ปฏิบัติตาม ต้องอธิบายให้พวกเขาเข้าใจเสียก่อน
#7 ความเสียหายที่อาจเกิดขึ้นหากล้มเหลวในการปฏิบัติตาม?
ข้อนี้ต้องดูในมุมของผู้ใช้และผู้ให้บริการ ระเบียบสัญญาที่เขียนร่วมกัน ผู้มีหน้าที่รับผิดชอบข้อมูลในกรณีต่างๆ
ขั้นตอนความปลอดภัย
เมื่อคุณตอบคำถามตัวเองได้ทั้งหมดแล้ว ต่อมาก็ต้องถามผู้ให้บริการว่าจะตอบโจทย์ที่เราตั้งได้แค่ไหน ทาง Gulf Cooperation Council eGovernment เคยพิจารณาประเด็นของนโยบาย Cloud Computing policy และรวบรวมชุดคำถามเอาไว้
- Does the vendor have regular 3rd-party security audits?
(ผู้ให้บริการจ้างหน่วยงานตรวจสอบความปลอดภัยหรือไม่?)
- What is their policy on updates and patching?
(พวกเขามีนโยบายเกี่ยวกับการอัพเดตและแพทช์อย่างไร?)
- Do they have anti-malware or intrusion detection products scanning their machines?
(ผู้ให้บริการมีโปรแกรมป้องกันมัลแวร์ หรือโปรแกรมตรวจจับการแทรกแซงติดตั้งไว้หรือไม่?)
- What types of authentication are available with their service?
(พวกเขาใช้การยืนยันตัวตนรูปแบบไหน?)
- What types of controls are available for Identity and Access Management of your user accounts?
(ผู้ให้บริการใช้การบริหารจัดการการใช้งานบัญชีผู้ใช้รูปแบบไหน?)
- Is encryption available for traffic to and from the cloud, or in storage?
(สามารถการเข้ารหัสทราฟฟิคเข้า-ออกจาก Cloud หรือพื้นที่จัดเก็บได้หรือไม่?)
- How will Intellectual Property rights relating to data stored on their servers be protected?
(ผู้ให้บริการสามารถปกป้องทรัพย์สินทางปัญญาที่เก็บเอาไว้ได้อย่างไร?)
- What types of alerting and reports of events are available to you?
(ผู้ให้บริการใช้วิธีไหนการแจ้งเตือนและรายงานเหตุการณ์?)
- How are their customers’ resources segmented from one another?
(แหล่งข้อมูลของลูกค้าแยกออกมาจากเซิร์ฟเวอร์ Cloud อย่างไร?)
- How often do they make and test backups, and how are they stored?
(พวกเขาทดสอบ Backup บ่อยแค่ไหน และเก็บข้อมูลไว้ที่ไหน?)
- Do they have an established incident response policy?
(ผู้ให้บริการเตรียมนโยบายรับมือกับเหตุการณ์ไม่คาดฝันอย่างไร?)
- Do they have a published responsible disclosure policy?
(พวกเขามีนโยบายการเปิดเผยข้อมูลอย่างไร?)
- Do they have event logging that would allow forensic analysis in case of a security incident?
(ผู้ให้บริการมีบันทึกเหตุการณ์สำหรับการตรวจสอบทางกฎหมายหรือไม่?)
- In what country are their servers located physically?
(เซิร์ฟเวอร์ตัวจริงเก็บไว้ในประเทศไหน?)
- What are their policies regarding data mobility and retention?
(พวกเขามีนโยบายการเก็บรักษาและเคลื่อนย้ายข้อมูลอย่างไร?)
- What options are available for secure data deletion or destruction?
(มีทางเลือกในการลบหรือทำลายข้อมูลอะไรบ้าง?)
ระบบ Cloud ไม่ได้มีความปลอดภัยมาตั้งแต่กำเนิด แต่ถ้าคุณทำการบ้านมากเพียงพอคุณจะได้ทั้งรับความสะดวกสบายของการใช้ไฟล์จากที่ไหนก็ได้ และช่วยเพิ่มความสามารถในการทำงาน ภายใต้ความปลอดภัยที่เหมาะสม
Author: Lysa Myers
Source: https://www.welivesecurity.com/2017/09/29/cloud-security-policy/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
คุณคิดอย่างไรหากมีคนบอกคุณว่าระบบ Cloud นั้นปลอดภัยมาก และไม่ต้องการการรักษาความปลอดภัยอื่นๆเพิ่มเติม…
ความจริงก็คือระบบ Cloud นั้นไม่ได้มีระบบรักษาความปลอดภัยหรือมนต์วิเศษที่ทำให้ข้อมูลของคุณปลอดภัยมากขึ้น คำว่า “Cloud” ในภาษาอังกฤษแปลว่า “making less clear หรือ transparent” และ “cause of gloom, suspicion, trouble, or worry” ไม่ได้มีตรงไหนบอกถึงความปลอดภัยเลย แปลว่าความกังวลเสียด้วยซ้ำ แต่นั่นแหละครับ ระบบ Cloud ก็จำเป็นต้องมีมาตรการรักษาความปลอดภัยมารับมือกับความเสี่ยงที่มีอยู่ดี
อาจเป็นเพราะระบบ Cloud ทำให้เราสามารถประหยัดฮาร์ดแวร์ ผู้ใช้ Cloud จึงอาจลืมความรับผิดชอบที่ต้องทำ เพราะฉะนั้นคุณจำเป็นต้องหมั่นถามผู้ดูแล หรือผู้ให้บริการ Cloud เกี่ยวกับนโยบายและความปลอดภัย หรือเป็นไปได้ก็ให้ทางผู้ให้บริการเป็นผู้รับผิดชอบหากมีความเสียหายใดๆเกิดขึ้น
คำถามด้านนโยบาย (Policy Questions)
ก่อนที่เราจะตั้งคำถามกับผู้ให้บริการ Cloud เราต้องตอบคำถามเกี่ยวกับความต้องการขององค์กรตัวเองก่อน
#1 คุณต้องการใช้บริการ Cloud แบบไหน?
#2 คุณนำไปใช้อย่างไร?
#3 ฟังก์ชั่นหรือข้อมูลที่เก็บไว้บน Cloud สำคัญแค่ไหน?
เพราะว่า Cloud นั้นใครก็สามารถใช้งานได้หากเขามีข้อมูลเพียงพอ และอาจทำให้ข้อมูลสำคัญตกอยู่ในความเสี่ยงได้
#4 มีใครบ้างที่เข้าใช้ระบบ Cloud นี้?
ระวังภายนอกแล้วให้ระวังคนภายในด้วย ว่าจะมีใครเข้ามาใช้ได้บ้าง และจัดระบบอย่างไร
#5 มีประมวลกฎหมายหรือข้อปฏิบัติที่ต้องทำตามหรือไม่?
ในปัจจุบันมีกฎหมายเกี่ยวกับโลกอินเตอร์เน็ตเพิ่มมากขึ้น ทั้งที่บังคับใช้ และกำลังจะบังคับใช้
#6 นโยบายที่จะใช้นั้นเป็นที่ยอมรับของผู้ใช้หรือไม่?
ความรู้ความเข้าใจของผู้ใช้นั้นเป็นตัวแปรสำคัญ หากต้องการใช้ผู้ใช้ปฏิบัติตาม ต้องอธิบายให้พวกเขาเข้าใจเสียก่อน
#7 ความเสียหายที่อาจเกิดขึ้นหากล้มเหลวในการปฏิบัติตาม?
ข้อนี้ต้องดูในมุมของผู้ใช้และผู้ให้บริการ ระเบียบสัญญาที่เขียนร่วมกัน ผู้มีหน้าที่รับผิดชอบข้อมูลในกรณีต่างๆ
ขั้นตอนความปลอดภัย
เมื่อคุณตอบคำถามตัวเองได้ทั้งหมดแล้ว ต่อมาก็ต้องถามผู้ให้บริการว่าจะตอบโจทย์ที่เราตั้งได้แค่ไหน ทาง Gulf Cooperation Council eGovernment เคยพิจารณาประเด็นของนโยบาย Cloud Computing policy และรวบรวมชุดคำถามเอาไว้
(ผู้ให้บริการจ้างหน่วยงานตรวจสอบความปลอดภัยหรือไม่?)
(พวกเขามีนโยบายเกี่ยวกับการอัพเดตและแพทช์อย่างไร?)
(ผู้ให้บริการมีโปรแกรมป้องกันมัลแวร์ หรือโปรแกรมตรวจจับการแทรกแซงติดตั้งไว้หรือไม่?)
(พวกเขาใช้การยืนยันตัวตนรูปแบบไหน?)
(ผู้ให้บริการใช้การบริหารจัดการการใช้งานบัญชีผู้ใช้รูปแบบไหน?)
(สามารถการเข้ารหัสทราฟฟิคเข้า-ออกจาก Cloud หรือพื้นที่จัดเก็บได้หรือไม่?)
(ผู้ให้บริการสามารถปกป้องทรัพย์สินทางปัญญาที่เก็บเอาไว้ได้อย่างไร?)
(ผู้ให้บริการใช้วิธีไหนการแจ้งเตือนและรายงานเหตุการณ์?)
(แหล่งข้อมูลของลูกค้าแยกออกมาจากเซิร์ฟเวอร์ Cloud อย่างไร?)
(พวกเขาทดสอบ Backup บ่อยแค่ไหน และเก็บข้อมูลไว้ที่ไหน?)
(ผู้ให้บริการเตรียมนโยบายรับมือกับเหตุการณ์ไม่คาดฝันอย่างไร?)
(พวกเขามีนโยบายการเปิดเผยข้อมูลอย่างไร?)
(ผู้ให้บริการมีบันทึกเหตุการณ์สำหรับการตรวจสอบทางกฎหมายหรือไม่?)
(เซิร์ฟเวอร์ตัวจริงเก็บไว้ในประเทศไหน?)
(พวกเขามีนโยบายการเก็บรักษาและเคลื่อนย้ายข้อมูลอย่างไร?)
(มีทางเลือกในการลบหรือทำลายข้อมูลอะไรบ้าง?)
ระบบ Cloud ไม่ได้มีความปลอดภัยมาตั้งแต่กำเนิด แต่ถ้าคุณทำการบ้านมากเพียงพอคุณจะได้ทั้งรับความสะดวกสบายของการใช้ไฟล์จากที่ไหนก็ได้ และช่วยเพิ่มความสามารถในการทำงาน ภายใต้ความปลอดภัยที่เหมาะสม
Author: Lysa Myers
Source: https://www.welivesecurity.com/2017/09/29/cloud-security-policy/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: