IT Auditorial เทคนิคการตรวจสอบศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์ โดยรวมทั้งด้านความปลอดภัย และสภาพของสิ่งแวดล้อมภายในศูนย์คอมพิวเตอร์

IT Auditorial

ศูนย์คอมพิวเตอร์เป็นสถานที่ที่สำคัญที่ใช้สำหรับจัดเก็บหรือจัดวางเครื่องคอมพิวเตอร์แม่ข่าย (Computer Server) และอุปกรณ์เครือข่ายต่าง ๆ (Network Equipment) ซึ่งจะมีขนาดใหญ่หรือขนาดเล็กขึ้นอยู่กับประเภทธุรกิจ โดยที่บางธุรกิจมีความซับซ้อนและพึ่งพาระบบเทคโนโลยีสารสนเทศเป็นหลัก เช่น สถาบันการเงิน หรือโทรคมนาคม

ตามประสบการณ์ของผู้เขียนเคยตรวจระบบเทคโนโลยีสารสนเทศของทั้งสถาบันการเงินและโทรคมนาคม ซึ่งจะมีเครื่องคอมพิวเตอร์แม่ข่ายเป็นจำนวนหลายร้อยเครื่อง ศูนย์คอมพิวเตอร์จะมีขนาดใหญ่ และบางธุรกิจพึ่งพาระบบเทคโนโลยีสารสนเทศไม่มากก็จะมีเครื่องคอมพิวเตอร์แม่ข่ายไม่มาก มีเพียงเครื่องหรือสองเครื่อง ห้องคอมพิวเตอร์ก็จะมีขนาดเล็ก หรือบางที่มีเพียงแค่ตู้ Rack เพียงอย่างเดียว

IT Auditorial การตรวจสอบศูนย์คอมพิวเตอร์

นอกจากนี้ ศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์ หลายท่านอาจจะเคยได้เห็นและได้ยินมีคนเรียกว่าศูนย์คอมพิวเตอร์หลัก (Data Center) และศูนย์คอมพิวเตอร์สำรอง (Disaster Recovery Site) ซึ่ง

  • ศูนย์คอมพิวเตอร์หลัก (Data Center) : เป็นศูนย์ที่ให้บริการหลัก
  • ศูนย์คอมพิวเตอร์สำรอง (Disaster Recovery Site) : เป็นศูนย์ที่ให้บริการหากมีกรณีฉุกเฉินที่ Data Center มีปัญหาหรือไม่สามารถให้บริการได้

IT Auditorial

ประเภทของศูนย์คอมพิวเตอร์สำรอง (Disaster Recovery Site) 

Hot Site หมายถึง จะมีทั้ง Hardware และ Software ตั้งอยู่ที่ Disaster Recovery Site เหมือนกับที่ Data Center ระบบสำรองทำงานร่วมกับระบบหลักอยู่ตลอดเวลา ซึ่งหากมีข้อมูลเปลี่ยนแปลงที่ระบบคอมพิวเตอร์หลัก ก็จะมีการเปลี่ยนแปลงในระบบคอมพิวเตอร์สำรองด้วย เมื่อเกิดปัญหาขึ้นกับระบบใดระบบหนึ่ง อีกระบบหนึ่งก็จะสามารถให้บริการได้อย่างต่อเนื่อง ไม่ส่งผลกระทบกับผู้ใช้งาน

Warm Site หมายถึง ระบบสำรองที่สามารถทำงานได้ก็ต่อเมื่อมีการติดตั้งข้อมูลที่อัพเดต ที่ได้จากการทำสำรองข้อมูลต้องดำเนินการติดตั้ง อัพเดตข้อมูล ฐานข้อมูล หรือระบบงานบ้าง ถึงจะใช้งานได้

Cold Site หมายถึง การจัดเตรียมสถานที่และอุปกรณ์เบื้องต้นในระดับหนึ่ง ถ้ามีปัญหา จำเป็นจะต้องจัดซื้อระบบคอมพิวเตอร์เข้ามา และทำการติดตั้งใหม่ทั้งหมด

การควบคุมที่ดีของศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์

IT Auditorial
บริษัทหรือองค์กรควรมีการควบคุมและกระบวนการในการบริหารจัดการด้านการรักษาความปลอดภัยทางกายภาพและการควบคุมสภาพแวดล้อมภายในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์โดยให้ครอบคลุมหัวข้อที่สำคัญอย่างน้อยตามหัวข้อดังต่อไปนี้

  • ขั้นตอนการเพิ่ม/แก้ไข/ลบ สิทธิการเข้าถึงห้องคอมพิวเตอร์
  • การสอบทานสิทธิการเข้าถึงห้องคอมพิวเตอร์อย่างสม่ำเสมอ
  • การอนุญาตให้บุคคลภายนอกหรือผู้ไม่มีสิทธิเข้าห้องคอมพิวเตอร์
  • การบันทึกประวัติการเข้าออกห้องคอมพิวเตอร์ (Visitor Log Sheet)
  • การควบคุมสภาพแวดล้อมในห้องคอมพิวเตอร์ เช่น การควบคุมอุณหภูมิ อุปกรณ์ป้องกันไฟไหม้ และอุปกรณ์สำรองไฟฟ้า เป็นต้น
  • การจัดระเบียบการเดินสายไฟและสายแลน
  • การจัดวางสิ่งของให้เป็นระเบียบเรียบร้อย
  • การห้ามนำอาหารและเครื่องดื่มไปรับประทานในห้องคอมพิวเตอร์
  • การเฝ้าติดตามการทำงานของอุปกรณ์คอมพิวเตอร์และอุปกรณ์ควบคุมสภาพแวดล้อมอย่างสม่ำเสมอ
  • การบริหารจัดการผู้ให้บริการภายนอก (IT Outsourcing) (ถ้ามี) ซึ่งควรมีกระบวนการดังนี้ เช่น
  • กระบวนการคัดเลือกผู้ให้บริการ
  • การจัดทำสัญญา
  • การเก็บรักษาความลับ
  • การประเมินผล
  • การควบคุมดูแลการปฏิบัติงาน
  • แผนในการนำบริการกลับมาดำเนินการเอง เป็นต้น

การตรวจสอบการควบคุมทั่วไปทางด้านการรักษาความปลอดภัยทางกายภาพและการควบคุมสภาพแวดล้อมภายในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์ (Physical Access and Environmental Controls)

  1. ผู้ตรวจสอบต้องทำความเข้าใจเกี่ยวกับศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์ตัวอย่าง เช่น
  • นโยบายและระเบียบปฏิบัติงานที่เกี่ยวข้อง
  • กฎหมายและกฎระเบียบที่เกี่ยวข้อง
  • โครงสร้างองค์กรและหน้าที่รับผิดชอบของหน่วยงานทางด้านเทคโนโลยีสารสนเทศ
  • สัญญาการให้บริการศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์ (ถ้ามี)
  • แผนผังโครงสร้างศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์
  • ทะเบียนทรัพย์สินสารสนเทศ
  • รายงานหรือสถิติเกี่ยวกับผลการทำงานของอุปกรณ์ต่าง ๆ ในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์ เช่น Network Performance, Capacity Monitoring (CPU, Disk เป็นต้น)
  • ตารางการตรวจเช็กอุปกรณ์ต่าง ๆ ในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์
  • ตารางการบำรุงรักษาและผลการบำรุงรักษาอุปกรณ์ต่าง ๆ ในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์ เป็นต้น
  1. ทำการตรวจสอบนโยบายและระเบียบปฏิบัติงานที่เกี่ยวข้องเพื่อพิจารณา
  • หน่วยงานผู้รับการตรวจมีการจัดทำนโยบายการรักษาความปลอดภัยทางกายภาพและการควบคุมสภาพแวดล้อมภายในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์ และในกรณีที่มีการจัดทำผู้ตรวจสอบต้องดูความเพียงพอของเนื้อหาในนโยบายดังกล่าว
  • หน่วยงานผู้รับการตรวจมีการจัดทำกระบวนการในการควบคุมการเข้าถึง ทั้งที่เป็นพนักงานและผู้ให้บริการภายนอก (Vendor)
  • หน่วยงานผู้รับการตรวจมีการจัดทำกระบวนการตรวจสอบบำรุงรักษาและทดสอบอุปกรณ์ต่าง ๆ ในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์
  1. เข้าไปสังเกตการณ์ในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์เพื่อ
  • ตรวจสอบเรื่องอุปกรณ์การป้องกันการเข้าถึง เช่น Access Key, Finger Scan, PIN หรือ กุญแจ เป็นต้น
  • ตรวจสอบเรื่องการบันทึกการเข้าออก เช่น Visitor Log เป็นต้น
  • ตรวจสอบเรื่องอุปกรณ์ควบคุมสภาพแวดล้อม เช่น Uninterruptible Power Supplies (UPS), แบตเตอรี่สำรอง และเครื่องกำเนิดไฟฟ้าสำรอง (Generator)
  • ตรวจสอบเรื่องอุณหภูมิและความชื้น และอุปกรณ์ในการเฝ้าติดตามการทำงานของอุปกรณ์
  • ตรวจสอบเรื่องอุปกรณ์ดับเพลิงหรือถังดับเพลิง และการบำรุงรักษา
  • ตรวจสอบเรื่องความเป็นระเบียบของการเดินสายไฟและสายเครือข่าย
  • ตรวจสอบเรื่องการล็อกประตูของตู้ที่ใช้จัดเก็บอุปกรณ์
  • ตรวจสอบเรื่องการบำรุงรักษาและตรวจสอบอุปกรณ์ควบคุมสภาพแวดล้อม เช่น เครื่องปรับอากาศ, อุปกรณ์ดับเพลิง, UPS, Generator เป็นต้น
  1. การตรวจสอบควรตรวจสอบทั้ง Data Center และ Disaster Recovery Site (ถ้ามี)

 

ข้อสังเกตที่ผู้เขียนมักจะตรวจพบอยู่เสมอ ตัวอย่างเช่น

  • หน่วยงานรับการตรวจไม่มีการจัดทำนโยบายและระเบียบปฏิบัติงานเกี่ยวกับการรักษาความปลอดภัยทางกายภาพและการควบคุมสภาพแวดล้อมภายในศูนย์คอมพิวเตอร์หรือห้องคอมพิวเตอร์
  • นโยบายและระเบียบปฏิบัติงานที่จัดทำยังไม่ครอบคลุมหัวข้อที่สำคัญ (สามารถดูตัวอย่างหัวข้อที่ควรจะมีตามการควบคุมที่ดีที่ระบุไว้ข้างต้น)
  • สถานที่ตั้งไม่เหมาะสม บางที่ตั้งไว้หน้าห้องน้ำโดยไม่มีการกั้นบริเวณ คนเดินเข้าห้องน้ำก็ต้องผ่าน
  • การเดินสายไฟและสายเครือข่ายไม่เป็นระเบียบเรียบร้อย
  • มีสิ่งของที่ไม่เหมาะสมอยู่ข้างในบริเวณห้อง เช่น กล่องกระดาษ, เครื่องหรืออุปกรณ์ที่ไม่ได้ใช้งานแล้ว, จานอาหารและขวดเครื่องดื่ม หรือแม้กระทั้งขวดหรือรังของไวน์ (เพราะห้องมีความเย็นจึงนำไวน์ไปเก็บข้างใน) เป็นต้น
  • ไม่มีอุปกรณ์ควบคุมสภาพแวดล้อม เช่น UPS, ถังดับเพลิง เป็นต้น
  • ไม่มีการตรวจสอบการทำงานของอุปกรณ์อย่างสม่ำเสมอ
  • ไม่มีการบำรุงรักษาอุปกรณ์คอมพิวเตอร์และอุปกรณ์ควบคุมสภาพแวดล้อมอย่างสม่ำเสมอ
  • สำหรับบางหน่วยงานที่ใช้ระบบ Access Control ในการควบคุมการเข้าถึง ไม่มีการสอบทานสิทธิอย่างสม่ำเสมอ บางครั้งพบพนักงานที่ลาออกไปแล้วยังมีสิทธิเข้าถึงได้
  • สำหรับบางหน่วยงานที่ใช้กุญแจในการควบคุมการเข้าถึง มักจะพบว่าประตูไม่ได้ล็อกอยู่ตลอดเวลา

นอกจากที่กล่าวมาทั้งหมดนี้ ผู้เขียนขอเพิ่มในกรณีที่หน่วยงานรับการตรวจใช้บริการเช่าสถานที่หรือนำอุปกรณ์คอมพิวเตอร์ไปตั้งไว้ที่อื่น (IT Outsource) ท่านจะต้องมั่นใจว่าสถานที่ที่ท่านไปเช่านั้นมีการควบคุมที่ดีตามข้อมูลข้างต้นและสามารถมั่นใจได้ว่าเขาจะดูแลอุปกรณ์และข้อมูลทางคอมพิวเตอร์ท่านเป็นอย่างดี มีความมั่นคงปลอดภัยอย่างเหมาะสม สำหรับการตรวจสอบในกรณีนี้ ผู้ตรวจสอบควรใช้การตรวจสอบการควบคุมทั้งในเรื่อง IT Outsourcing Controls และ Physical Access and Environmental Controls

RELATED ARTICLESMORE FROM AUTHOR