ข่าวสารและกิจกรรม
บริหารจัดการซอฟต์แวร์ประเภท Patch และ Update ลดความเสี่ยงความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security)
  • 2 ก.ย. 2562
  • 3881

องค์กรธุรกิจส่วนใหญ่ตระหนักรู้เรื่องความสำคัญของการใช้ซอฟต์แวร์ ที่เรียกว่า “แพตช์” (Patch) และ “อัปเดต” (Update) เพื่อลดความเสี่ยงในการรักษาความปลอดภัยด้านสารสนเทศเป็นอย่างดี  โดย Patch เป็นโปรแกรมที่ถูกพัฒนาขึ้นมาเพื่อซ่อมแซมหรือแก้ไขจุดบกพร่อง (Security Flaw) และ Update เป็นโปรแกรมที่ถูกพัฒนาขึ้นมาเพื่อการปรับปรุงความปลอดภัยของซอฟต์แวร์  ซอฟต์แวร์ทั้งสองประเภททำหน้าที่บำรุงรักษาและเพิ่มประสิทธิภาพการทำงานของซอฟต์แวร์ที่มีการติดตั้งและใช้งานภายในองค์กร เช่น ซอฟต์แวร์ระบบปฏิบัติการ แอพพลิเคชั่น เฟิร์มแวร์ เป็นต้น

​อย่างไรก็ตาม การตระหนักรู้ดังกล่าวไม่ได้นำไปสู่การบริหารจัดการซอฟต์แวร์ประเภท Patch และ Update รวมถึงการมีขั้นตอนและกระบวนการจัดการ (Release Management) เริ่มตั้งแต่การดาวน์โหลด ติดตั้ง และใช้งาน ซอฟต์แวร์ประเภท Patch และ Update อย่างมีประสิทธิภาพตามมาตรฐานสากล

ตัวอย่างของบริษัท Equifax ที่เผชิญกับเหตุการณ์ข้อมูลของลูกค้ารั่วไหล และการสำรวจของ Ponemon Institute ยิ่งตอกย้ำความจำเป็น ของการบริหารจัดการซอฟต์แวร์ประเภท Patch และ Update รวมถึงการมีขั้นตอนและกระบวนการจัดการ (Release Management) ที่มีประสิทธิภาพตามมาตรฐานสากล

บริษัท Equifax ซึ่งเป็นบริษัทที่ให้บริการด้านข้อมูลเครดิตในสหรัฐอเมริกา เผชิญกับเหตุการณ์ข้อมูลของลูกค้ารั่วไหล เมื่อกลางเดือนพฤษภาคม 2017 เพราะไม่มีการดำเนินการติดตั้งและใช้งาน Patch เพื่อแก้ปัญหาเกี่ยวกับความปลอดภัย (Security Flaw) ของซอฟต์แวร์ประเภท Web-Application ที่บริษัทฯ ใช้งานอยู่ แม้ว่าบริษัทซอฟต์แวร์ผู้พัฒนา Web-Application ดังกล่าวได้เผยแพร่ Patch ออกมาให้ลูกค้าดาวน์โหลด พร้อมคำแนะนำสำหรับการติดตั้งและใช้งานแล้วก่อนหน้านี้ในเดือนมีนาคม[1]  

การสำรวจของสถาบัน Ponemon (Ponemon Institute) ในปี 2018 พบว่าองค์กรส่วนใหญ่ที่ตกเป็นเหยื่อของการละเมิดข้อมูล (Data Breach) ไม่ได้บำรุงรักษาซอฟต์แวร์ขององค์กรที่มีการติดตั้งและใช้งาน รวมถึงมีความล่าช้าในการดาวน์โหลด ติดตั้ง และใช้งาน Patch  ในขณะเดียวกัน พบว่า 34% ของเจ้าหน้าที่ด้านการรักษาความมั่นคงปลอดภัยของเทคโนโลยีสารสนเทศ (Security Professionals) กว่า 3 พันคน ใน 9 ประเทศ ที่เป็นเป้าหมายของการสำรวจในครั้งนั้น ทราบว่าระบบขององค์กรมีปัญหาด้านความมั่นคงปลอดภัย ก่อนที่จะเกิดเหตุการณ์การละเมิดข้อมูล[2]

จากกรณีของบริษัท Equifax ทำให้เกิดคำถามว่า ทำไมจึงไม่มีการดำเนินการติดตั้งและใช้งาน Patch และจากข้อมูลการสำรวจของสถาบัน Ponemon (Ponemon Institute) ทำให้เกิดคำถามว่า ทำไมจึงเกิดความล่าช้าในการดาวน์โหลด ติดตั้ง และใช้งาน Patch และ Update และทำไมจึงไม่มีการแก้ไขปัญหาด้านความมั่นคงปลอดภัยของระบบในทันที  อาจเป็นไปได้ว่าองค์กรธุรกิจส่วนใหญ่ ยังขาดการบริหารจัดการ Patch และ Update รวมถึงการไม่มีขั้นตอนและกระบวนการจัดการ (Release Management) เพื่อติดตั้งและใช้งาน Patch และ Update ที่มีประสิทธิภาพตามมาตรฐานสากล

การบริหารจัดการ Patch และ Update รวมถึงขั้นตอนและกระบวนการจัดการ (Release Management) เพื่อติดตั้งและใช้งาน Patch และ Update เป็นส่วนหนึ่งของการบริหารจัดการสินทรัพย์ซอฟต์แวร์ (Software Asset Management: SAM)

การบริหารจัดการ Patch และ Update ทำให้องค์กรธุรกิจมีข้อมูลเกี่ยวกับ Patch และ Update ที่ถูกต้องครบถ้วน สอดคล้องกับสัญญาอนุญาตให้ใช้สิทธิซอฟต์แวร์ (License) เช่น ข้อมูลเกี่ยวกับระดับความสำคัญของ Patch และ Update ข้อมูลเกี่ยวกับสิทธิในการใช้ Patch และ Update ทั้งแบบที่มีค่าใช้จ่ายและไม่มีค่าใช้จ่าย เป็นต้น  การบริหารจัดการ Patch และ Update ต้องเชื่อมโยงไปถึงข้อมูลอีกส่วนหนึ่งที่ระบุว่าองค์กรมีซอฟต์แวร์อะไรบ้างที่ติดตั้งและใช้งานอยู่ ซอฟต์แวร์เหล่านั้นติดตั้งและใช้งานอยู่ที่ไหน ใครเป็นผู้ใช้และใครสามารถเข้าถึงซอฟต์แวร์ดังกล่าวได้ รวมทั้งซอฟต์แวร์อะไรบ้างที่ต้องการ Patch และ Update และมีสิทธิได้รับ Patch และ Update หรือไม่ รวมทั้งเวลาในการดำเนินการเพื่อติดตั้ง เป็นต้น

ส่วนขั้นตอนและกระบวนการจัดการ (Release Management) เพื่อติดตั้งและใช้งาน Patch และ Update ทำให้องค์กรธุรกิจสามารถดำเนินการติดตั้งและใช้งาน Patch และ Update ได้ทันสถานการณ์และมีประสิทธิภาพ ช่วยลดเวลาในการติดตั้งและใช้งาน Patch และ Update ลดผลกระทบต่อการทำงานของผู้ใช้งาน (User) ในองค์กร ให้เหลือน้อยที่สุด เป็นต้น 

สิ่งที่สำคัญที่สุด คือการมีเจ้าหน้าที่ที่ทำหน้าที่บริหารจัดการ Patch และ Update และทำหน้าที่รับผิดชอบดำเนินการตามขั้นตอนและกระบวนการจัดการ (Release Management) เพื่อติดตั้งและใช้งาน Patch และ Update โดยร่วมมือกับเจ้าหน้าที่ฝ่ายจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security) เจ้าหน้าที่ที่เกี่ยวข้องในแผนกเทคโนโลยีสารสนเทศและแผนกอื่น รวมถึงผู้ใช้งาน (Users) ในองค์กร  

หากองค์กรธุรกิจมีข้อมูลที่ถูกต้องครบถ้วนเกี่ยวกับ Patch และ Update รวมถึงซอฟต์แวร์ทั้งหมดที่มีการติดตั้งและใช้งาน สอดคล้องกับสัญญาอนุญาตให้ใช้สิทธิซอฟต์แวร์ (License) และเป็นข้อมูลที่ถูกต้องครบถ้วน มีขั้นตอนและกระบวนการจัดการ (Release Management) เพื่อติดตั้งและใช้งาน Patch และ Update และมีเจ้าหน้าที่ที่ทำหน้าที่และรับผิดชอบงานส่วนนี้ องค์กรธุรกิจจะสามารถลดความเสี่ยงความมั่นคงปลอดภัยด้านสารสนเทศ โดยการดำเนินการติดตั้งและใช้งาน Patch และ Update ตามคำแนะนำของบริษัทซอฟต์แวร์

องค์กรธุรกิจจึงไม่ควรมองข้ามความสำคัญของการบริหารจัดการซอฟต์แวร์ประเภท Patch และ Update รวมถึงการบริหารจัดการสินทรัพย์ซอฟต์แวร์อื่น และควรนำการบริหารจัดการสินทรัพย์ซอฟต์แวร์ (SAM) เข้าไปเป็นส่วนประกอบสำคัญของกลยุทธ์เพื่อรักษาความมั่นคงปลอดภัยด้านสารสนเทศ (Information Security) ขององค์กรธุรกิจ

**********

BSA Verafirm SAM Certification หลักสูตรออนไลน์ เพื่อการบริหารจัดการสินทรัพย์ซอฟต์แวร์ในองค์กร

สนใจขอรับคำปรึกษาด้านการบริหารจัดการสินทรัพย์ซอฟต์แวร์ในองค์กรธุรกิจ โดยไม่มีค่าใช้จ่าย หรือสอบถามเพิ่มเติม ติดต่อ thailand@bsa.org

ติดตามข้อมูลข่าวสารจาก BSA | The Software Alliance


[1] https://www.wired.com/story/equifax-breach-no-excuse/

[2] https://www.servicenow.com/company/media/press-room/servicenow-research-uncovers-security-patching-paradox.html