การจัดการการกำหนดค่า กับความมั่นคงปลอดภัยด้าน IT 

การจัดการการกำหนดค่า(Configuration Management) เหตุใดจึงสำคัญต่อความมั่นคงปลอดภัยด้าน IT

Security Configuration Management หรือ SCM เป็นประเด็นสำคัญสำหรับองค์กร และเป็นส่วนพื้นฐานของกรอบการทำงานด้านความมั่นคงปลอดภัยไซเบอร์หลายรูปแบบ ลองพิจารณาสถานการณ์นี้ สมาชิกในทีมคนหนึ่งปรับแต่งการตั้งค่าฮาร์ดแวร์บนแล็ปท็อปส่วนตัว เพื่อเพิ่มประสิทธิภาพการทำงานของซอฟต์แวร์ อย่างไรก็ตาม การเปลี่ยนแปลงนี้ก่อให้เกิดปัญหาที่ไม่คาดคิด เมื่อซอฟต์แวร์ถูกนำไปใช้งานจริงในสภาพแวดล้อมการผลิต ยิ่งไปกว่านั้น ยังเปิดช่องให้ผู้ไม่หวังดีทางไซเบอร์ใช้ประโยชน์จากการกำหนดค่าที่ผิดพลาด เพื่อเข้าถึงระบบโดยไม่ได้รับอนุญาต และทำให้ความมั่นคงปลอดภัยสารสนเทศของบริษัทตกอยู่ในความเสี่ยง

ทีม IT มักเผชิญกับคำถามพื้นฐานว่า “เรามีฮาร์ดแวร์และซอฟต์แวร์อะไรบ้าง และเราจะปกป้องสิ่งเหล่านั้นได้อย่างไร” การจัดการการกำหนดค่าด้านความปลอดภัยในบริบทของความมั่นคงปลอดภัยไซเบอร์ช่วยตอบคำถามนี้ โดยทำให้องค์กรมองเห็นการเปลี่ยนแปลงทุกอย่างที่เกิดขึ้น มีการติดตามรายการกำหนดค่าแต่ละรายการ หรือ Configuration Items ซึ่งหมายถึงสินทรัพย์ใด ๆ ที่เกี่ยวข้องกับการให้บริการด้าน IT เพื่อให้มั่นใจว่าระบบยังคงมีประสิทธิภาพเหมาะสม แม้มีการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา

แม้ว่ามักถูกมองข้าม แต่ การจัดการการกำหนดค่าเป็นสิ่งจำเป็นต่อการดำเนินงานของระบบ แล้วควรเริ่มจากตรงไหน แนวทางใดเหมาะสมที่สุดสำหรับทีมของเรา และจะรับมือกับความท้าทายด้าน SCM ได้อย่างมีประสิทธิภาพ โดยไม่ต้องลงทุนเวลาและงบประมาณจำนวนมากได้อย่างไร ไม่ว่าจะเป็นธุรกิจขนาดเล็กหรือองค์กรขนาดใหญ่ บทความนี้จะช่วยแนะนำแนวทางในการนำไปใช้และดูแลกระบวนการจัดการการกำหนดค่า ซึ่งช่วยเพิ่มการควบคุม ความเสถียร และความมั่นคงปลอดภัยของระบบสารสนเทศขององค์กร

การจัดการการกำหนดค่า (ตั้งค่า) คืออะไร? ?

การจัดการการกำหนดค่าสามารถนิยามได้หลายแบบ แต่หนึ่งในนิยามที่ได้รับการยอมรับอย่างกว้างขวางมาจากมาตรฐานการควบคุมด้านความมั่นคงปลอดภัยสารสนเทศชั้นนำของโลก คือ ISO/IEC 27002 ตามมาตรฐานนี้ เป้าหมายของการจัดการการกำหนดค่าคือ “เพื่อให้มั่นใจว่าฮาร์ดแวร์ ซอฟต์แวร์ บริการ และเครือข่าย ทำงานได้อย่างถูกต้องตามการตั้งค่าความปลอดภัยที่กำหนด และ การกำหนดค่าไม่ถูกเปลี่ยนแปลงโดยไม่ได้รับอนุญาตหรือเปลี่ยนแปลงอย่างไม่ถูกต้อง”

ในทางปฏิบัติ หมายถึง การระบุ จัดทำเอกสาร และบริหารจัดการรายการกำหนดค่าภายในระบบ IT เพื่อป้องกันไม่ให้การเปลี่ยนแปลงที่ไม่ได้บันทึกไว้ส่งผลกระทบต่อสภาพแวดล้อมของระบบ ซึ่งเป็นขั้นตอนสำคัญในการเสริมความแข็งแกร่งให้กับการจัดการการกำหนดค่าด้านความปลอดภัยในงานไซเบอร์ซีเคียวริตี้

แม้เรื่องนี้อาจฟังดูตรงไปตรงมา แต่การจัดการการกำหนดค่าจะไม่มีประสิทธิภาพ หากไม่มีความเข้าใจอย่างรอบด้านเกี่ยวกับสินทรัพย์ IT ขององค์กร จุดเริ่มต้นคือการจัดทำ บัญชีรายการที่ครอบคลุม (Inventory) ว่าองค์กรมีอะไรบ้าง ทั้งในส่วนของ ฮาร์ดแวร์ เช่น ระบบปฏิบัติการ โฮสต์ และอุปกรณ์เครือข่าย และ ซอฟต์แวร์ เช่น แอปพลิเคชันที่ทำงานอยู่บนระบบเหล่านี้หรืออยู่บนคลาวด์ สิ่งนี้เป็นส่วนสำคัญของกระบวนการจัดการการกำหนดค่า การสร้างภาพรวมที่ชัดเจนและละเอียดของสภาพแวดล้อม IT รวมถึงความสัมพันธ์ระหว่างองค์ประกอบต่าง ๆ จะเป็นรากฐานของแนวปฏิบัติด้านการจัดการการกำหนดค่าที่แข็งแกร่ง ซึ่งช่วยเสริมความมั่นคงปลอดภัยและความเสถียรของระบบ

การจัดการการกำหนดค่าทำงานอย่างไร?   

การพัฒนาซอฟต์แวร์เป็นตัวอย่างที่ชัดเจนของการจัดการการกำหนดค่า และเป็นจุดเริ่มต้นที่ดีในการทำความเข้าใจกระบวนการจัดการการกำหนดค่า เช่นเดียวกับโครงการ IT ทั่วไป ความมั่นคงปลอดภัยสารสนเทศต้องถูกผสานเข้าไปในการพัฒนาซอฟต์แวร์ตั้งแต่เริ่มต้น

องค์กรต่าง ๆ มักบริหารหลายโครงการพร้อมกัน โดยแต่ละโครงการประกอบด้วยองค์ประกอบ นักพัฒนา และทีมจำนวนมาก ดังนั้น แนวทางที่เป็นระบบและสอดคล้องกันจึงเป็นสิ่งจำเป็น เพื่อป้องกันไม่ให้ขั้นตอนการสร้างและทดสอบซอฟต์แวร์เกิดความยุ่งเหยิงเกินไป การนำการจัดการการกำหนดค่าเข้ามาใช้ในวิศวกรรมซอฟต์แวร์ จะช่วยเพิ่มโครงสร้างและมาตรฐานที่จำเป็นให้กับกระบวนการพัฒนา

ระบบจัดการการกำหนดค่ามีองค์ประกอบหลัก 2 ส่วน ได้แก่

• การควบคุมเวอร์ชัน (Version control) ใช้ติดตามและบริหารจัดการการเปลี่ยนแปลงของโค้ดซอฟต์แวร์และไฟล์ที่เกี่ยวข้องตลอดเวลา ช่วยให้มั่นใจว่าทุกการเปลี่ยนแปลงถูกบันทึกอย่างละเอียด และช่วยให้นักพัฒนาหลายคนสามารถทำงานบนฐานโค้ดเดียวกันได้โดยไม่เกิดความขัดแย้ง

• การจัดการประเด็นหรือปัญหา (Issue management) ใช้ติดตามและจัดระเบียบปัญหา การปรับปรุง และงานต่าง ๆ ตลอดกระบวนการพัฒนา เพื่อให้มั่นใจว่าประเด็นต่าง ๆ ถูกระบุ จัดลำดับความสำคัญ มอบหมาย และแก้ไขได้อย่างมีประสิทธิภาพ

เมื่อใช้ร่วมกัน การควบคุมเวอร์ชันและการจัดการประเด็นจะสร้างกรอบการทำงานที่ทรงพลังสำหรับ การรักษาความถูกต้องสมบูรณ์และคุณภาพ ของโครงการซอฟต์แวร์ เนื่องจากการกำหนดค่าเหล่านี้ครอบคลุมทั้งช่วงออกแบบและช่วงใช้งานจริงของโซลูชัน จึงต้องได้รับการบริหารอย่างรอบคอบ เพื่อให้มั่นใจถึงความเสถียรและความมั่นคงปลอดภัย

ต่อไปนี้คือแนวทางแบบทีละขั้นตอน เพื่อช่วยให้คุณรับมือกับความซับซ้อนของกระบวนการจัดการการกำหนดค่า และทำให้การพัฒนาซอฟต์แวร์ประสบความสำเร็จ

เสาหลักของการจัดการการกำหนดค่า  

การจัดการการกำหนดค่ามีเสาหลักสำคัญ 5 ประการ ได้แก่ การวางแผน การระบุรายการ การควบคุม การบันทึกสถานะ และการตรวจประเมิน เสาหลักเหล่านี้เป็นกระดูกสันหลังของกระบวนการจัดการการกำหนดค่าทั้งหมด และมีความจำเป็นต่อการรักษาเอกสารที่ถูกต้อง การควบคุมเวอร์ชัน และการจัดการการเปลี่ยนแปลงในระบบ IT

• การวางแผนแนวทางข้างหน้า (Planning the way forward): การวางแผนการกำหนดค่าที่เหมาะสมจะระบุว่ารายการใดในโครงการเป็นรายการที่ “สามารถกำหนดค่าได้” และต้องมีการเปลี่ยนแปลงอย่างเป็นทางการ สิ่งนี้ช่วยให้คุณสามารถกำหนด บริหารจัดการ และตรวจประเมินการเปลี่ยนแปลงของแต่ละองค์ประกอบในโครงการได้

• การระบุรายการที่สามารถกำหนดค่าได้ (Identifying configurable items): หากมีสิ่งหนึ่งที่ควรให้ความสำคัญ นั่นคือการมีบัญชีรายการที่แข็งแกร่ง เริ่มจากการรวบรวมข้อมูล รวมถึงข้อมูลการกำหนดค่าจากแต่ละแอปพลิเคชันและอุปกรณ์เครือข่าย เพื่อให้มั่นใจว่าสามารถทำความเข้าใจ ดูแลรักษา และกู้คืนรายการเหล่านั้นได้ง่ายในกรณีเกิดภัยพิบัติ

• การกำหนดค่าพื้นฐาน (Establishing a baseline): จัดทำเอกสารข้อกำหนดด้านการกำหนดค่าทั้งหมดไว้ในแหล่งจัดเก็บกลาง ซึ่งจะทำหน้าที่เป็น “แหล่งข้อมูลที่ถูกต้องและเชื่อถือได้” เมื่อมีการเปลี่ยนแปลงเกิดขึ้น คุณสามารถวัดความคืบหน้าได้โดยเปรียบเทียบกับค่ากำหนดพื้นฐาน

• การควบคุมเวอร์ชัน (Version control): ติดตามและบันทึกการเปลี่ยนแปลงใด ๆ ที่เกิดขึ้นกับระบบ แอปพลิเคชัน และอุปกรณ์เครือข่าย สามารถใช้เครื่องมือจัดการการกำหนดค่าเพื่อเฝ้าติดตามการเปลี่ยนแปลงเหล่านี้อย่างเป็นระบบ เก็บประวัติการแก้ไข และทำให้มั่นใจว่าการกำหนดค่าทั้งหมดยังคงสอดคล้องและเชื่อถือได้ตลอดวงจรชีวิตของระบบซอฟต์แวร์

• การทบทวนและการตรวจประเมิน (Reviewing and auditing): ขั้นตอนสุดท้ายของกระบวนการจัดการการกำหนดค่าคือการตรวจสอบว่าซอฟต์แวร์สอดคล้องกับข้อกำหนดด้านการกำหนดค่าที่กำหนดไว้หรือไม่ การทบทวนและตรวจประเมินอย่างสม่ำเสมอช่วยให้มั่นใจถึงความสอดคล้องตามข้อกำหนด และช่วยระบุความเบี่ยงเบนได้อย่างรวดเร็ว

เครื่องมือจัดการการกำหนดค่า: การเลือกโซลูชันที่เหมาะสม  

การจัดการการกำหนดค่าอาจฟังดูเรียบง่าย แต่ในความเป็นจริงมีความซับซ้อนมากกว่าที่คิด เมื่อผลิตภัณฑ์ซอฟต์แวร์พัฒนาไปเรื่อย ๆ การบริหารจัดการการกำหนดค่าจะยิ่งท้าทายมากขึ้น เพราะความซับซ้อนมักนำไปสู่ปัญหา ดังนั้น องค์กรจะปรับปรุงการกำหนดค่าของผลิตภัณฑ์อย่างสม่ำเสมอ เพื่อให้ได้คุณภาพที่สูงขึ้นได้อย่างไร คำตอบอยู่ที่ บุคลากรที่มีความสามารถ กระบวนการที่แข็งแรง และเครื่องมืออัตโนมัติที่เหมาะสม

เครื่องมือจัดการการกำหนดค่าเป็นโซลูชันซอฟต์แวร์ที่ออกแบบมาเพื่อทำให้การจัดการการกำหนดค่าโครงสร้างพื้นฐานด้าน IT มีความคล่องตัวและเป็นอัตโนมัติมากขึ้น เครื่องมือเหล่านี้ช่วยให้องค์กรสามารถรักษา ความสม่ำเสมอ การควบคุม และความถูกต้องสมบูรณ์ ของระบบและบริการต่าง ๆ พร้อมทั้งช่วยให้องค์กรมองเห็นภาพรวมของระบบได้อย่างครอบคลุม

อย่างไรก็ตาม เนื่องจากมีเครื่องมือจัดการการกำหนดค่าจำนวนมากในตลาด การเลือกเครื่องมือที่เหมาะสมจึงอาจเป็นเรื่องยาก ปัจจัยสำคัญที่ควรพิจารณา ได้แก่ ความสามารถในการรักษาความสม่ำเสมอระหว่างระบบต่าง ๆ การเพิ่มประสิทธิภาพการดำเนินงาน และการลดข้อผิดพลาดที่เกิดจากการกำหนดค่าด้วยตนเอง

ตัวเลือกที่ได้รับความนิยม ได้แก่ Ansible, Terraform และ Puppet ซึ่งมี คุณสมบัติและความสามารถที่ทรงพลัง และเหมาะกับการใช้งานที่แตกต่างกันไป นอกจากนี้ยังมีทางเลือกอื่นที่น่าสนใจ เช่น Chef ซึ่งเป็นเครื่องมือจัดการการกำหนดค่าที่ใช้ DSL บนพื้นฐานภาษา Ruby ในการกำหนดค่าระบบ อย่างไรก็ตาม การเลือกเครื่องมือจัดการการกำหนดค่าที่เหมาะสมในท้ายที่สุดขึ้นอยู่กับหลายปัจจัย เช่น ความคุ้มค่าด้านต้นทุน ความสามารถในการขยายระบบ และความต้องการเฉพาะขององค์กร

การลดความซับซ้อน 

เครื่องมือจัดการการกำหนดค่ามีความสำคัญอย่างยิ่งต่อการทำให้เกิดความสม่ำเสมอ ความน่าเชื่อถือ และความมั่นคงปลอดภัยในสภาพแวดล้อมและแพลตฟอร์มที่แตกต่างกัน อย่างไรก็ตาม เครื่องมือเหล่านี้ก็นำมาซึ่งความท้าทายที่ต้องได้รับการจัดการเช่นกัน ความท้าทายสำคัญประการหนึ่งคือ เครื่องมือเหล่านี้อาจ เพิ่มความซับซ้อนให้กับกระบวนการพัฒนาและสนับสนุนซอฟต์แวร์ การเลือกเครื่องมือที่เหมาะสม รวมถึงการเรียนรู้วิธีใช้งานอย่างมีประสิทธิผลและมีประสิทธิภาพ จึงมีความสำคัญอย่างมากเพื่อหลีกเลี่ยงปัญหาที่อาจเกิดขึ้น นอกจากนี้ การออกแบบและดูแลโค้ดสำหรับการจัดการการกำหนดค่าอย่างรอบคอบก็มีความสำคัญไม่แพ้กัน เพราะงานส่วนนี้อาจซับซ้อนและใช้เวลามาก

ทั้งหมดนี้อาจทำให้การนำกระบวนการจัดการการกำหนดค่าไปใช้ดูยุ่งยาก โชคดีที่มี แหล่งคำแนะนำจำนวนมาก สำหรับการสร้างแนวปฏิบัติที่มีประสิทธิภาพ ได้แก่ มาตรฐานสากลด้านกระบวนการวงจรชีวิตของระบบ ISO/IEC/IEEE 15288 และแนวทางการจัดการการกำหนดค่า ISO 10007 นอกจากนี้ ชุดมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศ ได้แก่ ISO/IEC 27001 และ ISO/IEC 27002 ยังให้กรอบการทำงานเพื่อให้มั่นใจว่าการกำหนดค่าถูกบริหารจัดการเพื่อปกป้องความมั่นคงปลอดภัยและความถูกต้องสมบูรณ์ของระบบสารสนเทศ

การปฏิบัติตามมาตรฐานเหล่านี้ช่วยให้องค์กรสามารถใช้ประโยชน์จากระเบียบวิธีและแนวปฏิบัติที่ได้รับการพิสูจน์แล้ว ซึ่งส่งเสริมประสิทธิภาพ ความน่าเชื่อถือ และความมั่นคงปลอดภัยในการนำ IaC ไปใช้ โดยรวมแล้ว มาตรฐานเหล่านี้ทำหน้าที่เป็นแผนที่นำทางที่สามารถปรับให้เหมาะสมกับความต้องการด้านระบบอัตโนมัติของโครงสร้างพื้นฐานเฉพาะของแต่ละองค์กรได้ 

• ISO/IEC 27001:2022 ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ

• ISO/IEC 27002:2022 การควบคุมความมั่นคงปลอดภัยของข้อมูล

• ISO 10007:2017 การบริหารคุณภาพ — แนวทางสำหรับการจัดการการกำหนดค่า 

เพิ่มประสิทธิภาพด้านความความมั่นคงปลอดภัยสารสนเทศขององค์กรด้วยที่ปรึกษา ISO/IEC27001:2022 รวมถึงการสร้างความเชื่อมั่นในการบริหารการกำหนดค่า (Configuration Management)

การนำระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (ISO/IEC27001:2022 Information Security Management System) รวมถึงสารสนเทศด้านความเป็นส่วนตัว ISO10007:2017 มาประยุกต์ใช้เป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กร เสริมสร้างความปลอดภัยทางด้านสารสนเทศ และการบริหารการกำหนดค่า เพิ่มความเชื่อมั่นให้กับลูกค้า, ผู้บริหารและผู้มีส่วนได้ส่วนเสียต่าง ๆ 

ให้เราช่วยนำองค์กรของคุณไปสู่มาตรฐานระดับสากล เพื่อความปลอดภัยและความมั่นคงในระยะยาว!

สนใจฝึกอบรมจัดทำระบบ ติดต่อเรา ยินดีให้คำปรึกษากับทุกองค์กร

ติดต่อที่ปรึกษาจัดทำระบบ ISO27001, ISO27002, ISO10007 หรืออื่น ๆ  โทร. 084-1147666 

#Cybersecurity, #ISMS, #ISO27001, #Configuration_Management