เมื่อพิจารณาข้อกำหนดของหน่วยงานกำกับดูแลเรื่องความมั่นคงปลอดภัยทางไซเบอร์ ไม่ว่าจะเป็นภายในประเทศ เช่น ประกาศธนาคารแห่งประเทศไทย (ธปท.) ประกาศคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ประกาศคณะกรรมการกำกับและส่งเสริมการประกอบธุรกิจประกันภัย (คปภ.) หรือ ระหว่างประเทศ ในบางครั้งแยกตามกลุ่มอุตสาหกรรม เช่น PCI-DSS ต่างก็กำหนดให้มีการทดสอบเจาะระบบ (Penetration Test) อยู่เสมอ องค์กรไหนที่มีความเชี่ยวชาญในข้อกำหนด และมีประสบการณ์ในการทดสอบเจาะระบบอยู่แล้ว ย่อมสามารถปฏิบัติตามได้ไม่ยาก แต่หากองค์กรไหนที่เพิ่งเริ่มหรือพอมีข้อมูลอยู่บ้างแล้ว บทความนี้แนะนำหลักสำคัญว่าจะต้องทำการทดสอบเจาะระบบอย่างไร เพื่อให้ตอบโจทย์เรื่องของความเสี่ยง (Risk) ตามข้อกำหนด นอกจากนั้น บทความนี้ยังเหมาะกับผู้ที่ต้องการใช้ประโยชน์จากการทดสอบเจาะระบบให้เกิดประโยชน์สูงสุดกับองค์กรและหน้าที่การงานของทุกคน ไม่ใช่ให้การทดสอบเจาะระบบเป็นเพียงกิจกรรมทางเทคนิคของฝ่าย IT และ Cybersecurity เท่านั้น 1. ทราบสภาพแวดล้อมทางธุรกิจ กฎข้อบังคับ และข้อกำหนด ที่ต้องทำตาม เริ่มต้นจากทราบให้แน่ชัดก่อนว่ามีข้อกำหนดหรือกฎหมายใดบ้างที่มีผลบังคับใช้กับองค์กร และเนื้อหากล่าวไว้ว่าอย่างไร การมีข้อมูลในส่วนนี้ที่ชัดเจนจะสามารถช่วยเหลือเราได้อย่างมากเฉพาะในเรื่อง ลดความซ้ำซ้อนในการดำเนินการทดสอบและออกรายงาน หากเราทราบข้อกำหนดที่เกี่ยวข้องครบถ้วน เราสามารถที่จะดำเนินการทดสอบครั้งเดียวให้ผลที่ได้สอดคล้องกับข้อกำหนดทั้งหมดได้ เราอาจจะสามารถใช้วิธีอื่นที่ประหยัดงบประมาณกว่า ซึ่งบางครั้งอาจหมายถึงการดำเนินการทดสอบในรูปแบบอื่น ๆ เช่น การประเมินช่องโหว่ (Vulnerability Assessment), การตรวจสอบการตั้งค่าของระบบ (Configuration Review), การตรวจสอบความผิดพลาดด้านความปลอดภัยของ […]