# 192 จุดเริ่มต้นของความปลอดภัยด้านไอที
8 มิถุนายน - 14 มิถุนายน 2552
ในงานประชุมวิชาการระดับชาติด้านการคำนวณและเทคโนโลยีสารสนเทศ (NCCIT) ประจำปี 2552 จัดติดต่อกันเป็นครั้งที่ 5 โดยมหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ ซึ่งมหาวิทยาลัยโยนกร่วมเป็นเครือข่ายในการจัดงานครั้งนี้ จากการบรรยายพิเศษโดยวิทยากรรับเชิญคือ อ.ปริญญา หอมเอนก (acisonline.net) ได้เล่าเรื่องความปลอดภัยด้านไอทีอย่างน่าสนใจจากประสบการณ์ในการเป็นบริษัทให้คำปรึกษาและฝึกอบรม ท่านเป็นคนไทยกลุ่มแรกที่ได้รับใบรับรอง CISSP ที่วัดระดับความรู้ด้านความปลอดภัยอย่างละเอียด ความรู้ของท่านมิได้มีอยู่ในตัวเท่านั้นแต่ได้เผยแพร่ในรูปบทความออนไลน์เดือนละหลายเรื่องอย่างต่อเนื่อง ท่านพยายามกระตุ้นให้เห็นองค์ประกอบของการรักษาความปลอดภัย ชี้ให้เห็นว่าต้องเริ่มด้วยการสร้างความตระหนัก (Awareness) และมีนโยบาย (Policy) จากความเข้าใจที่แจ่งชัดของผู้บริหารสูงสุด
วิทยากรเล่าว่าหลายองค์กรล้มเหลวในการรักษาความปลอดภัยด้านไอที เพราะผู้ที่เข้าใจและมองเห็นความสำคัญเป็นเพียงกลุ่มคนที่ทำงานด้านไอที อาจถูกผู้บริหารเรียกไปตำหนิว่าเสียเงินลงทุนกับฮาร์ดแวร์และซอฟท์แวร์มากมาย แต่ไม่เห็นป้องกันอะไรได้ ตัวผู้บริหารก็ยังติดไวรัสเหมือนเดิม เพราะผู้บริหารดาวน์โหลดโปรแกรมเป็นประจำ ให้ลูกใช้เครื่องคอมพิวเตอร์โน๊ตบุ๊คเล่นเกมออนไลน์ โหลดบิทโหลดภาพยนตร์ตลอดเวลา ไม่ควบคุมการแชร์แฟ้ม เปิดอีเมลทุกฉบับโดยไม่ระมัดระวัง ไม่อัพเดทโปรแกรมต่อต้านไวรัส เป็นต้น ถ้าผู้บริหารไม่ตระหนักในความปลอดภัยที่ตนเองต้องรักษา และไม่กำหนดนโยบายปกป้ององค์กรของตนก็เชื่อได้ว่าการรักษาความปลอดภัยด้านไอทีในองค์กรนั้นต้องล้มเหลวอย่างแน่นอน
ปัญหาส่วนใหญ่เกิดจากความไม่เข้าใจ และไม่เห็นความสำคัญของความปลอดภัยในระดับบุคคล แต่แก้ไขได้ด้วยการสร้างความตระหนัก (Awareness) ด้วยการทำให้ทุกคนรู้ว่าภัยคุกคาม (Threat) เป็นเรื่องใกล้ตัว ทุกคนต้องปกป้องตนเอง เช่น ไม่เผยแพร่อีเมลสู่สาธารณะ ไม่เล่นไฮไฟ ไม่แชท ไม่เล่นเกมออนไลน์ ไม่โหลดบิท ไม่รับแฟ้มจากคนแปลกหน้าและไม่ให้ลูกเล่นคอมพิวเตอร์ของตน ผู้ใช้ส่วนใหญ่มักไม่ชอบอยู่ในกรอบ แต่กติกามารยาททำให้ทุกคนอยู่ร่วมกันในชุมชนได้อย่างสงบสุข กฎเกณฑ์ที่นำไปสู่การปฏิบัติจริงย่อมเป็นป้อมปราการป้องกันภัยให้แก่ทุกคน เพราะความเสียหายจากการไม่มีกฎเกณฑ์มักสูงกว่าการตามแก้ไขปัญหาในภายหลัง