ดีหรือไม่กับการใช้ Bring your Own Security

เราเคยได้ยินเรื่องของ BYOD หรือ Bring Your Own Device กันมานานแล้ว ในวันนี้ทาง Malwarebytes ได้พูดถึงเรื่องการ BYOS หรือ Bring Your Own Security บ้างซึ่งก็เหมือนกันกับคอนเซปต์ BYOD แต่เพียงเจาะจงในเรื่องของซอฟต์แวร์ด้านความมั่นคงปลอดภัยที่พนักงานสามารถเลือกได้เอง อย่างไรก็ตามจะเป็นไปได้หรือไม่กับการนำมาใช้ในทางปฏิบัติ เราควรจะพิจารณาปัจจัยใดบ้าง เราจึงขอเรียบเรียงมาให้ผู้อ่านได้ติดตามกัน

Credit: ShutterStock.com

สิ่งที่น่ากังวลเกี่ยวกับ BYOS คือโซลูชันที่พนักงานนำมาใช้อาจทำงานซ้ำซ้อนหรือไม่เข้ากันกับโซลูชันที่บริษัทใช้อยู่และสร้างปัญหาใหม่ด้านความมั่นคงปลอดภัยขึ้นมา แทนที่จะส่งเสริมให้มีความแข็งแกร่งมากยิ่งขึ้น อีกทั้งทีม IT ก็ต้องมานั่งแก้ไขปัญหาของความแตกต่างในโซลูชันด้วย อย่างไรก็ตามข้อดีก็คือบริษัทสามารถประหยัดค่าใช้จ่ายได้อย่างมีนัยสำคัญเพราะโยนความรับผิดชอบไว้ที่ตัวพนักงานเอง โดยผู้เขียนได้ทำการแบ่งรูปแบบการใช้งานที่เป็นไปได้ 4 รูปแบบดังนี้

  • พนักงานซื้ออุปกรณ์และเลือกใช้โซลูชันด้านความมั่นคงปลอดภัยได้เอง – บริษัทจะสามารถประหยัดค่าใช้จ่ายได้อย่างเต็มเม็ดเต็มหน่วยในส่วนนี้แต่หากเกิดปัญหาด้านความมั่นคงปลอดภัยถือว่าไม่คุ้มค่าเลย เช่น เกิดเหตุข้อมูลรั่วไหล เป็นต้น ดังนั้นถือเป็นรูปแบบที่แย่ที่สุดของการใช้ BYOS
  • บริษัทจัดหาอุปกรณ์ให้แต่พนักงานเลือกโซลูชันด้านความมั่นคงปลอดภัยได้ตามใจ – รูปแบบนี้พบได้น้อยเพราะเหมาะกับการที่พนักงานทำงานแบบ Offline ไม่ได้ต่ออินเทอร์เน็ต หรือมองอีกแง่หนึ่งคือเชื่อมั่นในองค์กรมากๆ ในเรื่องด้านการรักษาความมั่นคงปลอดภัย อย่างไรก็ตามพนักงานอาจจะไม่ใส่ใจกับการเลือกโซลูชันนัก เช่น ใช้ของฟรีหรือราคาถูกที่หาได้ หรือ ไม่สนว่าโซลูชันจะเหมาะกับอุปกรณ์หรือไม่
  • พนักงานซื้ออุปกรณ์เองแต่ต้องใช้โซลูชันที่บริษัทเลือก – ถือเป็นแผนในอุดมคติของ BYOS ที่เหมาะสมที่สุดเพราะได้ประโยชน์ทั้ง 2 ฝ่ายคือพนักงานได้อุปกรณ์ที่ชอบ บริษัทได้โซลูชันที่ใช่และยังอาจสามารถติดตามการใช้งานอุปกรณ์ผ่าน SIEM หรือ Cloud ได้ด้วย อย่างไรก็ตามก็ดูจะเหมาะกับการทำงานแบบเป็นเครื่องรองหรือทำจากทางไกลเสียมากกว่าเพราะถ้าจะใช้เครื่องพนักงานเป็นเครื่องที่ตั้งในออฟฟิศก็ดูไม่ค่อยเหมาะสมเพราะทีม IT ต้องหัวปั่นกับการจัดการอุปกรณ์และ OS ที่แตกต่างกันแม้ว่าจะได้เรื่องของความเป็นหนึ่งเดียวกันด้านความมั่นคงปลอดภัยก็ตาม
  • บริษัทซื้อให้ บริษัทเลือกเอง – รูปแบบนี้ไม่ใช่แนวคิดของ BYOS เพราะพนักงานไม่สามารถเลือกอะไรได้เองเลย

ปัจจัยที่ต้องพิจารณาเพื่อจัดทำนโยบายด้านความมั่นคงปลอดภัยของบริษัทมีดังนี้

  • จะใช้ OS อะไรบ้าง เพราะซอฟต์แวร์ที่ใช้ทำงานอาจไม่รองรับได้กับทุก OS และบริหารจัดการได้ยากด้วย
  • จะใช้ซอฟต์แวร์อะไรบ้างและวิธีการจำกัดการใช้งานทำอย่างไร ทำ Blacklist หรือ Whitelist ดี
  • อยากให้หน้าตาของนโยบายด้านความมั่งคงปลอดภัยออกมาอย่างไร เช่น จะจัดทำตัวอย่างหรือลงรายละเอียดไหมว่าต้องมีรหัสผ่านขั้นต่ำเท่าไหร่ หรือแนวทางการสังเกตอีเมลหลอกลวง เป็นต้น
  • ต้องการติดตามการใช้งานอุปกรณ์ที่นำเข้ามาใช้งานได้จากส่วนกลางหรือไม่และอุปกรณ์เหล่านั้นจำเป็นต้องเป็นไปทำสเป็คที่กำหนดไว้หรือเปล่า
  • จะเกิดอะไรขึ้นกับการที่พนักงานเอาอุปกรณ์กลับไปใช้ที่บ้านแล้วกลับมาใหม่ จะป้องกันได้อย่างไร

แนวทางการใช้งาน BYOS ให้ประสบความสำเร็จ

  • ต้องเทรนพนักงานให้เข้าใจเรื่องของวิธีการสังเกตหรือป้องกันภัยคุกคามเบื้องต้น
  • สร้างนโยบายด้านความมั่นคงปลอดภัยที่สมเหตุสมผลและบอกพนักงานให้เข้าใจ รวมถึงผลที่จะตามมาหากไม่ปฏิบัติตาม
  • ใช้งาน VPN เพื่อป้องกันการโจมตีแบบ Man-in-the-Middle
  • อัปเดตซอฟต์แวร์ให้ล่าสุดเสมอ
  • เข้ารหัสที่เก็บไฟล์และระหว่างการส่งข้อมูลเพื่อป้องกันไม่ให้ข้อมูลถูกอ่านได้โดยผู้ไม่หวังดี

ที่มา : https://blog.malwarebytes.com/101/business/2018/10/bring-your-own-security-byos-good-idea-or-not/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

SD-WAN กำลังส่งผลกระทบต่อกลยุทธ์ WAN ขององค์กรทั่วโลกอย่างไร

ตั้งแต่ที่ตลาด SD-WAN เกิดขึ้นในช่วงระยะการปรับใช้ตอนต้นและเข้าสู่ระยะเติบโตในปี 2017 การปรับใช้ SD-WAN ก็ได้รับความนิยมทั่วโลกจากข้อมูลการสำรวจตลาดผู้ใช้ปลายทางทั่วโลกของ Frost & Sullivan ที่สนับสนุนโดยซิลเวอร์ พีค  

Red Hat แจกฟรี E-Book แนะนำพื้นฐานเทคโนโลยี Service Mesh ด้วย Istio

Red Hat ได้ออกมาประกาศแจก E-Book ฟรีที่เล่าถึงพื้นฐานของแนวคิดด้าน Service Mesh ด้วยการใช้ Istio เพื่อให้เหล่านักพัฒนา Software, DevOps และเหล่าผู้ดูแลระบบได้นำไปศึกษา เตรียมก้าวเข้าสู่โลกของ Cloud-Native Application อย่างเต็มตัวกันในปี 2019