Browsing by Subject "ความปลอดภัยในฐานข้อมูล"

Now showing 1 - 2 of 2
  • Thumbnail Image
  • Thumbnail Image
    Publication
    การศึกษาและหาแนวทางการจัดการแรงต้านในการ Implement ระบบSecurity โดย Outsource กรณีศึกษา Vulnerability Assessment
    (University of the Thai Chamber of Commerce, 2008)
    Saisupatpon, Denchai
    ;
    University of the Thai Chamber of Commerce. Graduate School
    การวิจัยเรื่อง “การศึกษาและหาแนวทางการจัดการแรงต้านในการ Implement ระบบSecurity โดย Outsource กรณีศึกษา Vulnerability Assessment” เป็นการศึกษาเพื่อให้ทราบถึงปัจจัยที่ทำให้เกิดแรงต้านและหาแนวทางในการจัดการกับแรงต้านที่เกิดขึ้น ทั้งนี้ ได้รวบรวมปัญหาและอุปสรรคของการดำเนินการโดยวิธีจัดจ้าง Outsource ด้วย โดยรวมรวบข้อมูลจากองค์กรขนาดใหญ่แห่งหนึ่ง ที่อยู่ระหว่างการดำเนินการทำ Vulnearbility Assessment โดย Outsource และยังได้มีการเปรียบเทียบงบประมาณในการดำ เนินการทั้งวิธีการจัดจ้าง Outsource และดำเนินการโดยพนักงานขององค์กรเอง และนำเสนอโดยการวิธีการพรรณนา(Descriptive)ในการรวบรวมข้อมูลได้ใช้วิธีสัมภาษณ์เพื่อค้นหาถึงปัจจัยที่ทำให้เกิดแรงต่อต้านโดยวิธีจัดจ้าง และให้ได้ข้อคิดใหม่ๆ ที่เราไม่ได้คาดคิดหรือไม่เคยทราบมาก่อน ในการสุ่มกลุ่มตัวอย่างเป็นการสุ่มแบบเจาะจง (Purposive Sampling) ซึ่งหมายถึง การเลือกตัวอย่างโดยให้เป็นไปโดยเหมาะสมกับวัตถุประสงค์ของผู้ทำวิจัย เป็นการสุ่มโดยไม่คำนึงถึงความน่าจะเป็น ไม่เกี่ยวข้องกับโอกาสทางสถิติ (Non Probability Sampling) ซึ่งหมายถึง เป็นการสุ่มตัวอย่างโดยที่ไม่สามารถประมาณค่าความน่าจะเป็นของตัวอย่างแต่ละหน่วยได้ เพราะไม่มีกรอบตัวอย่างซึ่งการดำเนินการทำ Vulnerability assessment นี้ เป็นเรื่องทางด้านเทคนิคในเชิงลึกซึ่งจำเป็นต้องมีความรู้ความเข้าใจในด้านเทคนิคพอสมควร ในการเลือกกลุ่มตัวอย่างเป้าหมายในการศึกษาวิจัยครั้งนี้ จึงได้เลือกบุคคลที่มีส่วนเกี่ยวข้องกับการทำ Vulnerability Assessment กับระบบสารสนเทศโดยตรง คือ ผู้ดูแลระบบ เพราะจะมีความรู้สึกและความตื่นตัวต่อการดำเนินการอย่างจริงจัง และมีความรู้และความเข้าใจในด้านเทคนิคดี ซึ่งจะทำให้การวิจัยนี้ได้ข้อมูลที่ดีที่สุดผลการวิจัยพบว่า มีปัจจัยที่ก่อให้เกิดแรงต้านในการดำเนินการโดยวิธีการจัดจ้างOutsource โดยแบ่งเป็นหัวข้อใหญ่ๆ ได้ดังนี้ 1) การขาดความเชื่อมั่นในตัว Outsource2) Outsource ขาดความรู้เกี่ยวกับระบบงานขององค์กร 3) องค์กรมีพนักงานที่มีศักยภาพในคการดำเนินการเองได้ 4) ได้รับคำแนะนำจากอาจารย์ผู้ฝึกอบรมว่าควรให้คนในองค์กรเป็นผู้ดำเนินการเอง 5) ไม่เห็นด้วยเฉพาะการทำ Penetration test เนื่องจากมีความเสี่ยงสูงกับองค์กร ซึ่งปัจจัยที่ก่อให้เกิดแรงต้านเหล่านี้มีแนวทางการแก้ไข คือ 1) แสดงถึงประวัติการดำเนินการที่ผ่านมากับหน่วยงานต่างๆ เพื่อการันตีถึงความน่าเชื่อถือ ทั้งในเรื่องประสบการณ์ ความเชี่ยวชาญ มาตรฐานต่างๆ ที่เคยได้รับ และ แสดง Profile ของบุคลากรที่จะเข้าไปดำเนินงานรวมทั้งสร้างความเชื่อมั่น โดยระบุข้อตกลงในเรื่องการรักษาความลับให้ชัดเจน SLA (ServiceLevel Agreement) 2) รวบรวม Requirement ขององค์กร และจัดทำ Check list ส่งให้ผู้ดูแลระบบตรวจสอบความถูกต้องครบถ้วนก่อนดำเนินการ 3) แสดงถึงความรู้ด้านวิธีการเทคโนโลยี เทคนิค และการเข้าถึงข้อมูลข่าวสารได้อย่างรวดเร็วของผู้รับจ้าง ซึ่งเป็นการยากที่พนักงานในองค์กรจะทันต่อข้อมูลข่าวสารได้รวดเร็วเท่ากับผู้รับจ้างซึ่งทำงานด้านนี้โดยเฉพาะ4) แสดงผลเสียหายที่จะเกิดขึ้น หากผู้ดำเนินการไม่มีความเชี่ยวชาญ 5) ชี้แจงพร้อมจัดทำเอกสารสรุปขั้นตอนการทำอย่างละเอียดในทุกๆ ขั้นตอน เพื่อให้ผู้ดูแลระบบได้ศึกษาและเตรียมความพร้อม พร้อมทั้งประเมินผลกระทบที่อาจเกิดขึ้น รวมทั้งคำแนะนำในการเตรียมแผนสำรองก่อนการดำเนินการจริงอีกทั้งการวิจัยครั้งนี้ได้ศึกษาทางด้านงบประมาณในการดำเนินการโดยศึกษาค่าใช้จ่ายจากองค์กรขนาดใหญ่ ซึ่งมีการดำเนินการทำ Vulnerability assessment กับเครื่องแม่ข่ายจำนวน 80 เครื่อง โดยวีธีการจัดจ้าง (ซึ่งประกอบไปด้วยการตรวจสอบหาช่องโหว่ของระบบ(Vulnerabilty scan) ,การทดสอบเจาะระบบจริง (Penetration test) และสรุปผลจัดทำรายงานการวิเคราะห์ช่องโหว่พร้อมวิธีการปรับปรุงแก้ไข ซึ่งจากการศึกษาพบว่า การดำเนินการโดยพนักงานในองค์กร (ไม่มีการจ้างพนักงานเพิ่ม) มีค่าใช้จ่ายที่ต่ำกว่าการจัดจ้าง Outsourceโดยค่าใช้จ่ายกรณีพนักงานองค์กรดำเนินการเอง เป็นจำนวนเงินทั้งสิ้น 408,000 บาท และค่าใช้จ่ายกรณีจัดจ้าง Outsource เป็นจำนวนเงินทั้งสิ้น 800,000 บาท แต่อย่างไรก็ตามการที่พนักงานองค์กรดำเนินการเอง ยังมีข้อจำกัดในด้านประสิทธิภาพและความรู้ความเชี่ยวชาญเฉพาะในการดำเนินการที่ต่ำกว่ากรณีจัดจ้าง Outsource
      244  109