ระบบ Username และ Password ถือเป็นอีกหนึ่งด่านสำคัญที่ใช้ในการการปกป้องระบบและข้อมูลของบริษัทจากพวกแฮกเกอร์ หรืออาชญากรในโลกออนไลน์ที่พยายามจะเจาะเข้าระบบและหาผลประโยชน์ต่างๆจากบริษัทอย่างผิดกฎหมาย เช่น การล้วงความลับด้านบัญชีที่ต้องใช้กับลูกค้า หรือเปลี่ยนแปลงข้อมูลด้านการเงินเพื่อหาประโยชน์เข้าตัวเอง ซึ่งถือเป็นเคสที่เกิดขึ้นบ่อยในสมัยนี้ ดังนั้น จึงเป็นหน้าที่ของ it audit ในการตั้งมาตรการในการใช้พาสเวิร์ดที่มีความเข้าถึงยากเพื่อป้องกันระบบได้ดียิ่งขึ้น โดยจะสามารถทำได้โดยวิธีใดบ้างนั้น ไปดูกันค่ะ
มีการกำหนดสิทธิในการเข้าถึงระบบ
การใช้พาสเวิร์ดในการเข้าใช้งานนั้น มีประโยชน์คือทำให้ระบบรู้ว่าการเข้าใช้งานแต่ละครั้งนั้น มี User คนในกำลังทำงานอยู่บ้าง ซึ่งประโยชน์ตรงจุดนี้ it audit จึงสามารถหาข้อมูลในเบื้องต้นว่า หน่วยงานในหรือตำแหน่งใดที่จำเป็นต้องใช้งานในหน้างานไหนบ้าง จากนั้นจึงกำหนดสิทธิของแต่ละ Username ให้สามารถเข้าใช้งานเฉพาะในส่วนข้อมูลที่จำเป็นเท่านั้น เพื่อจำกัดสิทธิในการเข้าใช้งานระบบเฉพาะส่วนที่จำเป็นมากที่สุด ซึ่งจะช่วยให้มีความปลอดภัยด้ายนไอทีมากขึ้นด้วย
มีการทบทวนสิทธิใหม่อย่างน้อยปีละ 2 ครั้ง
เป็นธรรมดาของการทำงานที่มักจะมีการเปลี่ยนแปลงหน้าที่งาน หรือมีคนหมุนเวียนเข้าออกจากองค์กรอยู่เสมอ ดังนั้น ฝ่าย it audit ต้องไม่ลืมที่จะทบทวนสิทธิการใช้งานของแต่ละบุคคลอยู่เป็นระยะ โดยต้องปิดสิทธิสำหรับผู้ที่ไม่ได้ใช้งานอีกต่อไป รวมทั้งเปิดสิทธิ์ให้กับคนที่เข้างานมาใหม่และเปิดเฉพาะส่วนที่จำเป็นเท่านั้น
ระงับสิทธิการใช้งานขอผู้ใช้ที่มีความผิดปกติ
ระบบการระงับสิทธิอัตโนมัติจากการใช้งานในรูปแบบที่ผิดปกติถือเป็นวิธีที่ดีในการป้องกันภัยจากแฮกเกอร์ เช่น การตั้งระบบว่า หากใส่พาสเวิร์ดผิดเกิน 3 ครั้ง ระบบจะทำการล็อค User นี้โดยอัตโนมัติทันที ซึ่งหากเป็นแฮกเกอร์ที่พยายามจะเจาะเข้าข้อมูลก็จะถูกปิดสิทธิ์ด้วยเช่นกัน นอกจากนี้ การขอเปิดสิทธิ์ใช้อีกครั้งก็ต้องมีการขออนุญาตจากผู้บริหารเป็นลายลักษณ์อักษร รวมทั้งระบุตัวตนให้ชัดเจนอีกด้วย
มีการตั้งพาสเวิร์ดด้วยตัวอักษรหลายรูปแบบ
การตั้งพาสเวิร์ดสำหรับเข้าใช้งานนั้น ควรจะมีความซับซ้อนเพื่อให้ยากแก่การแกะรหัสและการคาดเดา เช่น ควรมีทั้งตัวอักษร ตัวเลข และตัวอักษรพิเศษปะปนกัน รวมทั้งควรมีการเปลี่ยนพาสเวิร์ดทุก 3 เดือน ซึ่งจะช่วยเพิ่มประสิทธิภาพความปลอดภัยได้ดียิ่งขึ้น
Source : http://www.teammatesolutions.com/