วันพุธที่ 14 มีนาคม พ.ศ. 2561

CISSP



CISSP หรือ Certified Information Systems Security Professional เป็นcert ของค่าย  International Information Systems Security Certification Consortium หรือ (ISC)² ซึ่งเป็น cert ที่ไม่ขึ้นกับกับvendor (vendor-neutral certification) โดยตัวนี้เป็นที่ยอมรับกันอย่างกว้างขวาง ในวงการ Information Security ทั่วโลก ในแง่ของความรู้ และความยากในการสอบ เพราะด้วยเนื้อหาที่ต้องเข้าใจมีเป็นจำนวนมาก และผู้เข้าสอบต้องมีประสบการณ์ทางด้าน IT Security อย่างน้อย 5 ปี ถึงจะได้รับใบรับรองตัวนี้ ซึ่งเนื้อหาจะเป็นภาพรวมๆทั้งหมดของ IT Sec ที่จำเป็นต้องรู้ แต่อาจจะไม่ได้ลงลึกในรายละเอียด (A mile wide and two inches deep)

ทั่วโลกมีคนถือ certใบนี้ทั้งหมดประมาณ 94000 คน และประเทศไทยเรามี 174 คน (ข้อมูล 1 June 2015) ในขณะที่มาเลเซียมี 261 คน สิงคโปร์มี 1,311 คน (https://www.isc2.org/member-counts.aspx)

สาเหตุที่มันได้รับการยอมรับอย่างกว้างขวางคือขั้นตอนก่อนที่จะสอบ คุณต้องมีประสบการณ์ 5ปี ระหว่างสอบ ข้อสอบ 250ข้อ กับเวลา 6 ชม. ซึ่งโจทย์จะออกแนววิเคราะห์ ผมเคยได้ยินมาว่าข้อสอบเค้าจะอัพเดทบ่อยมาก มีข้อสอบอยู่ในคลังสี่ห้าพันข้อ และหลักคิดในการออกข้อสอบคือเมื่อกรรมการท่านใดออกข้อสอบมาแต่ละข้อ จะมีคณะกรรมการคอยตัดสินว่าคำถามนั้น คนที่ทำงานมาน้อยกว่า 5 ปีจะตอบได้หรือไม่ ถ้าตอบได้คือคุณต้องคิดข้อสอบใหม่ – -‘ และมีการใช้นักจิตวิทยามาช่วยในการออกข้อสอบด้วย ดังนั้นการท่อง Dump จึงเป็นไปไม่ได้โดยสิ้นเชิง (และไม่มี dump ให้ท่องด้วยเพราะเป็นข้อสอบเชิงวิเคราะห์) และหลังจากสอบได้แล้ว คุณต้องทำการ maintain cert โดยการอับเดทความรู้ของคุณเรื่อยๆ โดยการ submit CPE ซึ่งในแต่ละขั้นตอนล้วนซับซ้อนและใช้เวลาทั้งสิ้น

เนื้อหาที่ทำการสอบ รุ่มผมเป็นรุ่นที่ (ISC)² ได้ทำการอัพเดทใหญ่พอดี โดยทำการปรับจาก 10 Domain มาเป็น 8 Domain (เรียกว่า CBK หรือ common body of knowledge) แต่มันก้อคือ 10 domain เดิมนั่นแหละ เพียงแต่มีการ re-arranged ใหม่ บทโน้นยุบไปรวมกับบทนี้ บทนี้ปรับให้กระจายไปอยู่ในบทอื่นๆ และเพิ่มเนื้อหามาอีกประมาณ 30% เพื่อให้ทันกับ threat ที่เพิ่มขึ้นในปัจจุบัน และมีผลทันทีหลังจาก 15 April 2015 ที่ผ่านมา

8 Domain มีดังนี้

Asset Security
Security Engineering
Communications and Network Security
Identity and Access Management
Security Assessment and Testing
Security Operations
Software Development Security

วันเสาร์ที่ 10 มีนาคม พ.ศ. 2561

เทคนิคการสอบเพื่อ Certified PMP



ในปี 2558 ที่จะมาถึงนี้ ประเทศในแถบอาเซียนทั้งหมดรวมถึงประเทศไทยจะเปิดเสรีในด้านแรงงานในหลากหลายสาขาอาชีพ นั่นหมายถึงธุรกิจในประเทศไทยจะมีตัวเลือกในการจ้างงานจากบุคคลากรประเทศอื่นได้ง่ายขึ้น แต่ในมุมกลับกันบุคคลากรในประเทศไทยก็ต้องพร้อมในการแข่งขันกับแรงงานจากประเทศอื่นๆ และในบริบทของผู้ที่มีอาชีพเป็นนักบริหารโครงการ หรือ Project Manager ผลกระทบของการเปิดเสรีอาเซียน ส่งผลให้เราต้องแข่งขันกับ Project Manager จากประเทศเพื่อนบ้านรวมถึงเปิดโอกาสให้เราสามารถไปทำงานในบริษัทที่ตั้งอยู่ในประเทศเพื่อนบ้านอย่างเสรี การคัดเลือกบุคคลากรในปี 2558 จึงจำเป็นต้องมีมาตรฐานที่เป็นสากลเพื่อยืนยันทักษะและความสามารถของ Project Manager เพื่อเป็นเกณฑ์ในการพิจารณารับบุคคลากรเข้าทำงานในบริษัทต่างชาติ จึงไม่แปลกที่ในช่วงก่อนปี 2558 นั้น Project Manager หลายๆประเทศในอาเซียน จึงมุ่งเน้นสอบ Certified PMP (Project Manager Professional) เพื่อเสริมสร้างอัตลักษณ์ของตนเองให้โดดเด่นเป็นที่ต้องการของตลาดสากล ไม่เว้นแม่แต่ Project Manager สัญชาติไทย ก็ตกอยู่ภายใต้การเปลี่ยนแปลงนี้เช่นกัน
        การสอบ Certified PMP นั้นจำเป็นต้องมีการเตรียมตัวเป็นอย่างดีทั้งในด้านการศึกษาทฤษฏีที่เกี่ยวข้องและการฝึกฝนทำข้อสอบซึ่งมีจำนวน 200 ข้อ เป็นข้อสอบแบบตัวเลือก 4 ตัวเลือกและเป็นภาษาอังกฤษทั้งหมด โดยในบทความนี้จะขอนำเสนอแนวปฏิบัติที่ใช้ในการเตรียมตัวสอบ PMP เพื่อใช้เป็นข้อมูลสนับสนุนสำหรับผู้ที่ต้องการสอบ เพื่อนำมาประกอบในการทำงานในฐานะผู้บริหารโครงการ หรือใช้ในการเตรียมพร้อมสำหรับการแข่งขันที่จะมาถึงในอนาคตอันใกล้นี้ จากประสบการณ์การสอบ PMP และเป็นผู้บรรยายให้ผู้เรียนที่เตรียมตัวเพื่อเข้าสอบ PMP มานานหลายปี สามารถสรุปแนวปฏิบัติได้ดังนี้
1. ศึกษาข้อกำหนดในการสมัครสอบจาก Web Site www.pmi.org ซึ่งระบุคุณสมบัติของผู้สมัครสอบไว้ โดยสรุปดังนี้
ต้องมีคุณสมบัติข้อใดข้อหนึ่งดังต่อไปนี้
1.1 จบการศึกษาระดับ High School (ม.6 หรือ ปวช.) และมีประสบการณ์เป็น Project Manager มาแล้วอย่างน้อย 5 ปี หรือ 7,500 ชั่วโมงในการทำงานในฐานะผู้จัดการโครงการ และผ่านการอบรมด้านการบริหารโครงการ (Project Management Training) มาอย่างน้อย 35 ชั่วโมง
1.2 จบการศึกษาระดับ Bachelor’s Degree (ปริญญาตรี) และมีประสบการณ์เป็น Project Manager มาแล้วอย่างน้อย 3 ปี หรือ 4,500 ชั่วโมงในการทำงานในฐานะผู้จัดการโครงการ และผ่านการอบรมด้านการบริหารโครงการ (Project Management Training) มาอย่างน้อย 35 ชั่วโมง
เมื่อมีคุณสมบัติครบดังกล่าว จึงดำเนินการสมัครสอบ PMP ใน Web Site www.pmi.org
2. การเตรียมตัวก่อนสอบเริ่มต้นด้วยการ หาหนังสือ Project Management Body of Knowledge (PMBOK) มาอ่าน ซึ่งแน่นอนทั้งหมดเป็นภาษาอังกฤษความหนาประมาณ 400 หน้า มีองค์ความรู้ที่ต้องเรียนทั้งหมด 9 องค์ความรู้ หนังสือ PMBOK สั่งซื้อได้โดยตรงจาก www.pmi.org ราคาประมาณ 2,000 บาท หรือสมัครเป็นสมาชิก PMI $139 (ประมาณ 4,000 บาท) ซึ่งจะได้รับ PMBOK และ Standard อื่นๆ ของ PMI ในรูปแบบ PDF File พร้อมสิทธิประโยชน์ในการลดค่าธรรมเนียมการสอบจาก $555 (ประมาณ 16,650 บาท) เหลือ $400 (ประมาณ 12,000 บาท) และการเข้าถึงคลังความรู้ด้านการบริหารโครงการอีกมากมายรวมถึงสิทธิประโยชน์อื่นๆ สำหรับท่านที่ไม่คุ้นเคยกับการอ่านเอกสารภาษาอังกฤษ ขอแนะนำให้เริ่มต้นที่จะเรียนรู้และคุ้นเคยกับภาษาอังกฤษได้แล้ว เนื่องจากภาษาอังกฤษได้กลายเป็นภาษากลางของโลกนี้ไปเรียบร้อยแล้ว องค์ความรู้ต่างๆในโลกได้ถูกบันทึกไว้เป็นภาษาอังกฤษเป้นส่วนใหญ่ ดังนั้นทักษะการพูด ฟัง อ่าน เขียน ภาษาอังกฤษย่อมเป็นทักษะที่จำเป็นสำหรับบุคคลกรรุ่นใหม่บนโลกนี้ อย่าหาทางหลีกเลี่ยงโดยการหา PMBOK ภาษาไทยมาอ่าน เพราะสุดท้ายก็ต้องกลับมาอ่านภาษาอังกฤษเพื่อให้เข้าใจคำศัพท์ที่เกี่ยวข้องเนื่องจากข้อสอบทั้งหมดเป็นภาษาอังกฤษ ส่วนเทคนิคการอ่าน PMBOK ให้เข้าใจในรอบเดียวนั้น ต้องมีการจด Short Note ในทุกๆบท ทุกๆองค์ความรู้ที่อ่านไป จะใช้วิธีการจดเป็นข้อความช่วยจำสั้นๆ วาดรูปประกอบ หรือเขียนเป็น Mind Map ก็ได้ เพื่อให้ง่ายในการจดจำและง่ายในการอ่านทบทวน โดย Short Note ดังกล่าวจะมีประโยชน์ต่อผู้สอบในตอนทบทวนเพื่อจดจำความรู้ต่างๆที่ต้องใช้ในการสอบ
สำหรับบางท่านที่อ่าน PMBOK แล้วรู้สึกไม่เข้าใจ ไม่น่าจำหรืออ่านแล้วหลับทุกครั้งเพราะการวางรูปแบบเนื้อหาของแต่ละองค์ความรู้เหมือนกัน คือมี Input, Tools and Techniques และ Output ทำให้ไม่ดึงดูดใจในการอ่าน ผู้สอบอาจอ่านหนังสือประเภทเตรียมสอบ PMP เพิ่มเติม เช่น หนังสือของ Rita Mulcahy เป็นต้น เพราะหนังสือเตรียมสอบจะเขียนด้วยภาษาที่เข้าใจง่าย มีคำอธิบายเพิ่มเติมว่าเครื่องมือด้านการบริหารโครงการต่างๆใช้อย่างไร ซึ่งจะเป็นประโยชน์ให้ผู้สอบเข้าใจการนำไปใช้งานมากยิ่งขึ้น
นอกจาก PMBOK และหนังสือเตรียมสอบที่ผู้สอบต้องอ่านแล้ว การหาความรู้เพิ่มเติมจากหนังสือด้านการบริหารโครงการอื่นๆก็เป็นเรื่องสำคัญ เพราะข้อสอบส่วนใหญ่ไม่ใช่คำถามในลักษณะตรงไปตรงมาว่ากระบวนการต่างๆคืออะไร Input, Tools and Techniques และ Output คืออะไร แต่เป็นคำถามเชิงสถานการณ์ที่ผู้สอบต้องวิเคราะห์จากความรู้และประสบการณ์ที่มี
3. การฝึกฝนทำข้อสอบ ควรแบ่งออกเป็น 2 ช่วงดังนี้
3.1 การทำข้อสอบท้ายบท หลังจากอ่านจบในแต่ละบทของ PMBOK เป็นการทบทวนความเข้าใจในเนื้อหาองค์ความรู้ของแต่ละบท หลังจากอ่านจบในบทนั้นๆแล้ว เทคนิคการฝึกฝนทำข้อสอบ ควรให้เวลากับการดูเฉลยในแต่ละข้ออย่างละเอียดและเชื่อมโยงกลับไปยังเนื้อหาทฤษฎีที่อยู่ในหนังสือ เพื่อยืนยันว่าการเฉลยนั้นถูกต้องจริงหรือผู้ทำข้อสอบตอบผิดในข้อนั้นๆด้วยเหตุผลอะไร ด้วยวิธีการเช่นนี้ จะเป็นการทบทวนองค์ความรู้ที่ได้เรียนมาอีกครั้ง โดยข้อสอบที่ใช้ฝึกฝนทำในแต่ละบทต้องไม่ต่ำกว่า 50 ข้อ
3.2 การทำข้อสอบแบบรวมทุกบทพร้อมๆกัน หลังจากอ่านและทำข้อสอบในแต่ละบทเสร็จเรียบร้อยแล้ว การทำข้อสอบประเภทนี้ต้องผ่านการเตรียมตัวเป็นอย่างดีเพื่อฝึกฝนความอดทนและความรวดเร็วในการทำข้อสอบ เนื่องจากการสอบจริงมีข้อสอบ 200 ข้อใช้เวลา 4 ชั่วโมง (ข้อละ 72 วินาที) ซึ่งสร้างความเหนื่อยล้าให้กับผู้สอบอย่างมาก หากร่างกายไม่พร้อมหรือไม่คุ้นเคยกับการทำข้อสอบมากๆและนานๆ จะทำให้การสอบจริงเกิดการตัดสินใจผิดพลาดและสอบไม่ผ่าน ดังนั้นการฝึกฝนทำข้อสอบเสมือนจริง โดยจับเวลา 200 ข้อต่อ 4 ชั่วโมง (อาจจะเริ่มจาก 100 ข้อ ต่อ 2 ชั่วโมงก่อนก็ได้) ต้องทำหลายๆครั้ง (อย่างน้อย 5 ครั้ง) จนได้คะแนนเฉลี่ย 80% แล้วจึงพร้อมสำหรับการสอบจริง
จากข้อ 3.1 และ 3.2 ผู้สอบจำเป็นต้องมีคลังข้อสอบ PMP จำนวนมาก ซึ่งสามารถสั่งซื้อได้ที่ www.pmi.org หรือหา Download จาก Internet หรือสั่งซื้อจาก App Store มาเป็น Application ที่ Simulate การสอบใน Smart Phone ก็ได้ โดยเฉลี่ยผู้สอบควรผ่านการฝึกฝนทำข้อสอบอย่างน้อย 1,500 ข้อขึ้นไปจึงจะมั่นใจได้ว่าสอบผ่าน
4. การเตรียมตัวสอบ เนื่องจากการสอบ PMP เป้นการสอบในลักษณะ Computer Based Test ซึ่งผู้สอบจำเป็นต้องคุ้นเคยกับการใช้ Computer และอ่าน Instruction ของการสอบเป็นภาษาอังกฤษทั้งหมด ก่อนสอบควรอ่าน Short Note ที่บันทึกไว้เพื่อจดจำเนื้อหาสำคัญให้ได้ทั้งหมด ฝึกฝนเทคนิคการทำข้อสอบให้เร็ว เช่นการตัด Choice ผิด การคาดเดาแนวข้อสอบ เป็นต้น รวมถึงการพักผ่อนให้เพียงพอ ตั้งสมาธิ ระงับความตื่นเต้น และทานอาหารให้พอเหมาะก่อนเข้าห้องสอบ

ข้อปฏิบัติเพื่อเตรียมตัวทั้ง 4 ข้อข้างต้น เป็นแนวปฏิบัติที่เขียนขึ้นจากประสบการณ์ของผู้เขียนเอง การเตรียมตัวสอบ PMP ซึ่งส่วนใหญ่เป็นคนทำงานประจำมาสมัครสอบนั้น ย่อมมีข้อจำกัดในหลายด้าน เช่นทักษะภาษาอังกฤษไม่ดี ไม่มีเวลาในการอ่านและเตรียมตัวเนื่องจากมีภาระงานประจำมาก การเข้าอบรมกับสถาบันฝึกอบรมต่างๆ ช่วยลดเวลาการเตรียมตัวได้ เนื่องจากมีผู้บรรยายมาอธิบายให้ฟังทำให้การอ่าน PMBOK ง่ายขึ้นรวมถึงเข้าใจแนวข้อสอบและเทคนิคการสอบ เนื่องจากผู้บรรยายมักจะมีตัวอย่างแนวข้อสอบมาแบ่งปันกับผู้เรียน หรือการเปิดติวสอบเป็นกลุ่มเล็กๆก็สามารถลดเวลาการเตรียมตัวลงได้ เนื่องจากเป็นการแบ่งงานกันศึกษาเพื่อมาทำ Knowledge Sharing กัน แต่เหนือสิ่งอื่นใดต้องอาศัยความมุ่งมั่นและกำลังใจในการไปให้ถึงเป้าหมาย และสุดท้ายเราจะเรียนรู้ว่า PMP เปลี่ยนชีวิตเราได้ ขอเป็นกำลังใจให้กับทุกท่าน

วันพฤหัสบดีที่ 8 มีนาคม พ.ศ. 2561

CompTIA Security+

CompTIA Security+




คือใบรับรองทางมาตรฐานวิชาชีพที่เป็ นกลางไม่อิงผขู้ ายและผผู้ ลิต อุปกรณ์รายใดข้อสอบ CompTIA Security+ เป็ นที่ยอมรับในระดับสากลด้านความรู้และทักษะการ รักษาความปลอดภัยในระดับซึ่งเป็ นรากฐาน และถูกนา ไปประยกุ ตใ์ ชอ ้ ยา่ งแพร่หลายโดยองคก ์ รและ ผเู้ ชี่ยวชาญดา ้ นการรักษาความปลอดภยัทวั่ โลกผทู้ี่สอบผา่ นมาตรฐาน CompTIA Security+ จะมี ความรู้และทักษะที่จ าเป็ นในการระบุความเสี่ยง (Risk Identification) การนา ความรู้ไปใชใ้ นกิจกรรม การลดความเสี่ยง (Risk Mitigation) และสามารถดา เนินการดา ้ นโครงสร ้ างพ้ืนฐาน การประยุกต์ใช้ ข้อมูลและการรักษาความปลอดภยัในการปฏิบตัิงานไดอ ้ ยา่ งปลอดภยั นอกจากน้ีผู้สมัครจะสามารถ น าSecurity Controlมาใช้ในการรักษาความปลอดภัยในสามมุมมองด้าน Information Security ไดแ ้ ก่ ความลับ (Confidentiality) ความถูกต้อง (Integrity) และความพร้อมใช้(Availability) การเลือก เทคโนโลยีและผลิตภัณฑ์ที่เหมาะสม การแกไ้ ขสถานการณ ์ ฉุกเฉินซ่ึง เกี่ยวขอ ้ งกบัความปลอดภยั และการใช้งานด้วยความตระหนักถึงนโยบายกฎหมายและระเบียบ ขอ ้ บงัคบั ต่างๆ ที่เกี่ยวขอ ้ ง CompTIA Security+ เหมาะส าหรับผู้ที่ต้องการเป็ นมืออาชีพทางด้าน IT Security ซ่ึงควรมีคุณสมบตัิดงัน้ี  มีประสบการณ์เป็ นผู้ดูแลระบบไอทีซ่ึงมุ่งเนน ้ ดา ้ นการรักษาความปลอดภยัของระบบ อยา่ ง น้อย 2 ปี  มีประสบการณ ์ในงานประจา ทางดา ้ นเทคนิคที่เกี่ยวขอ ้ งกบัการรักษาความปลอดภยัของ ข้อมูล(Information Security)  มีความรู้ที่กว้างและหลากหลายเกี่ยวกบัการดา เนินงานและขอ ้ ควรคา นึงในดา ้ นความ ปลอดภัย CompTIA Security+ เหมาะสา หรับผทู้ี่ปฏิบตัิงานในตา แหน่งทางดา ้ นไอที่ ซ่ึงตอ ้ งเกี่ยวขอ ้ งกบังาน เทคนิคท้งัในระดบั ปฏิบตัิการและระดบั นโยบาย เช่น IT Support, System Engineer, Network Engineer, IT Auditor, IT Manager,System Manager, Network Manager, IT Project Manager ตลอดจนผู้ที่ท า งานทางด้านพัฒ นาโปรแกรม เช่น Programmer, System Analyst เป็ นต้น CompTIA Security+ ได้รับการรับรองโดย ANSI และสอดคลอ ้ งกบั มาตรฐาน ISO 17024 ซึ่ง จะตอ ้ งมีการปรับปรุงวตัถุประสงคใ์ หท ้ นั สมยัอยเู่สมอ หวัขอ ้ ต่างๆ ในวัตถุประสงค์ของ CompTIA


Course Outline CompTIA Security+ (SY0-401)

Module 1: Security Fundamentals

 The Information Security Cycle
 Information Security Controls
  Authentication Methods
 Cryptography Fundamentals
  Security Policy Fundamentals

Module 2: Security Threats and Vulnerabilities
 Social Engineering
 Physical Threats and Vulnerabilities
 Network-Based Threats
 Wireless Threats and Vulnerabilities
 Software Based Threats

 Module 3: Network Security
 Network Devices and Technologies
 Network Design Elements and Components White Board
 Implement Network Protocols
 Apply Network Security Administration Design Principles
 Secure Wireless Traffic

Module 4: Managing Application, Data and Host Security
 Establish Device / Host Security
 Application Security
 Data Security
 Mobile Security

Module 5: Access Control, Authentication and Account Management
 Access Control and Authentication Services
 Implement Account Management Security Control

Module 6: Managing Certificates
 Install a CA Hierarchy
 Enroll Certificates White Board
 Secure Network Traffic by Using Certificates
 Renew Certificates Quiz
 Revoke Certificates
 Back Up and Restore Certificates and Private Keys

 Module 7: Compliance and Operational Security
 Physical Security
 Legal Compliance
 Security Awareness and Training

Module 8: Risk Management
 Risk Analysis
 Implement Vulnerability Assessment Tools and Techniques
  Scan for Vulnerabilities
 Mitigation and Deterrent Techniques


Module 9: Managing Security Incidents
 Respond to Security Incidents
  Recover from a Security Incident

Module 10: Business Continuity and Disaster Recovery Planning
 Business Continuity
 Plan for Disaster Recovery
 Execute DRPs and Procedures

วันจันทร์ที่ 5 มีนาคม พ.ศ. 2561

IEEE

IEEE คือ สถาบันวิศวกรรมไฟฟ้าและวิศวกรรมอิเล็กทรอนิกส์นานาชาติ ชื่อเต็มคือ Institute of Electrical and Electronic Engineers ก่อตั้งขึ้นเมื่อปี ค.ศ.1963 ในประเทศสหรัฐอเมริกา โดยการรวมตัวของวิศวกรไฟฟ้าและวิศวกรอิเล็กทรอนิกส์ ซึ่งดำเนินกิจกรรมร่วมกันวิจัยและพัฒนาเทคโนโลยีด้านโทรคมนาคม ระบบไฟฟ้ากำลัง และระบบแสง




     สถาบัน IEEE เป็นสถาบันที่กำกับ ดูแลมาตรฐานวิจัยและพัฒนาความรู้และงานวิจัยใหม่ๆ ตลอดจนเผยแพร่ความรู้ โดยเน้นด้านไฟฟ้ากำลัง คอมพิวเตอร์ โทรคมนาคม ระบบอิเล็กทรอนิกส์ ระบบวัดคุม โดยนักวิจัยเหล่านี้มีอยู่ทั่วโลก และจะแบ่งกลุ่มศึกษาตามความเชี่ยวชาญของแต่ละบุคคล กลุ่มหมายเลข IEEE ที่ได้รับการยอมรับจากองค์กรควบคุมมาตรฐาน
IEEE 802.1 การบริหารจัดการระบบเครือข่าย
IEEE 802.2 ถูกออกแบบใน LLC ไม่ต้องการให้เครื่องรู้จักกับ MAC sub layer กับ physicallayer
IEEE 802.3 สำหรับเป็น โปรโตคอลมาตรฐานเครือข่าย Ethernet ที่มีอัตราเร็วในการส่งข้อมูล 10 Mbps
IEEE 802.4 มาตรฐาน IEEE 802.4 เป็นมาตรฐานกำหนดโปรโตคอลสำหรับเลเยอร์ชั้น MAC
IEEE 802.5 เครือข่ายที่ใช้โทโปโลยีแบบ Ring
•การปฏิบัติงานใด ๆ ให้ประสบความสำเร็จซ้ำ ๆ (repeatable) ควรจะยึดตามมาตรฐานที่เกี่ยวข้อง
•หากปล่อยให้ปฏิบัติงานไปตามความพอใจ  ผลงานแต่ละครั้งอาจจะไม่เหมือนเดิม  และอาจจะไม่สามารถเชื่อมต่อไปยังระบบอื่น ๆ ได้
•การสร้างระบบแบบ Interoperability ต้องใช้มาตรฐาน IT สำคัญหลายอย่าง  ตัวอย่างง่าย ๆ เช่น HTML ในเว็บ
IEEE 802.6 กำหนดมาตรฐานของ MAN ซึ่งข้อมูลในระบบเครือข่ายถูกออกแบบมาให้ใช้งานในระดับเขต และเมือง
IEEE 802.7 ใช้ให้คำปรึกษากับกลุ่มเทคโนโลยีการส่งสัญญาณแบบBroadband
IEEE 802.8 ใช้ให้คำปรึกษากับกลุ่มเทคโนโลยีเคเบิลใยแก้วนำแสง
IEEE 802.9 ใช้กำหนดการรวมเสียงและข้อมูลบนระบบเครือข่ายรองรับ
IEEE 802.10 ใช้กำหนดความปลอดภัยบนระบบเครือข่าย
IEEE (Institute of Electrical and Electronic Engineer) ซึ่งเป็นองค์กรที่กำหนดมาตรฐานอุตสาหกรรมอิเล็กทรอนิกส์ ได้กำหนดมาตรฐานเครือข่ายไร้สาย โดยใช้การกำหนดตัวเลข 802.11 แล้วตามด้วยตัวอักษร เช่น802.11b, 802.11a,
802.11g และ 802.11n
 ข้อเสียของผลิตภัณฑ์มาตรฐาน IEEE 802.11a ก็คือ การที่มาตรฐานนี้ ใช้การเชื่อมต่อที่ความถี่สูงๆ ทำให้มาตรฐานนี้ มีระยะการรับส่งที่ค่อนข้างใกล้ คือ ประมาณ 35 เมตร ในโครงสร้างปิด (เช่น ในตึก ในอาคาร) และ 120 เมตรในที่โล่ง เนื่องด้วยอุปกรณ์ไร้สายที่รองรับเทคโนโลยี IEEE 802.11a มีรัศมีการใช้งานในระยะสั้นและมีราคาแพง ดังนั้นผลิตภัณฑ์ไร้สายมาตรฐาน IEEE 802.11a จึงได้รับความนิยมน้อยและยังไม่สามารถเข้ากันได้กับอุปกรณ์ที่รองรับมาตรฐานIEEE 802.11b และ IEEE 802.11g อีกด้วย
IEEE 802.11b
เป็นมาตรฐานที่ถูกตีพิมพ์และเผยแพร่ออกมาพร้อมกับมาตรฐาน IEEE 802.11a เมื่อปี พ.ศ. 2542 มาตรฐาน IEEE 802.11b ได้รับความนิยมในการใช้งานอย่างแพร่หลายมาก ใช้เทคโนโลยีที่เรียกว่า CCK (Complimentary Code Keying) ร่วมกับเทคโนโลยี DSSS (Direct Sequence Spread Spectrum) เพื่อให้สามารถรับส่งข้อมูลได้ด้วยอัตราความเร็วสูงสุดที่ 11 เมกะบิตต่อวินาที โดยใช้คลื่นสัญญาณวิทยุย่านความถี่ 2.4 กิกะเฮิรตซ์ ซึ่งเป็นย่านความถี่ที่อนุญาตให้ใช้งานในแบบสาธารณะ ทางด้านวิทยาศาสตร์ อุตสาหกรรม และการแพทย์ โดยผลิตภัณฑ์ที่ใช้ความถี่ย่านนี้มีหลายชนิด
ข้อดีของ IEEE 802.11b
ข้อดีของมาตรฐาน IEEE 802.11b ก็คือ การใช้คลื่นความถี่ที่ต่ำกว่าอุปกรณ์ที่รองรับมาตรฐาน IEEE 802.11a ทำให้อุปกรณ์ที่ใช้มาตรฐานนี้จะมีความสามารถในการส่งคลื่นสัญญาณไปได้ไกลกว่าคือประมาณ 38 เมตรในโครงสร้างปิดและ 140 เมตรในที่โล่งแจ้ง รวมถึง สัญญาณสามารถทะลุทะลวงโครงสร้างตึกได้มากกว่าอุปกรณ์ที่รองรับกับมาตรฐาน IEEE 802.11a ด้วยผลิตภัณฑ์มาตรฐาน IEEE 802.11b เป็นที่รู้จักในเครื่องหมายการค้า Wi-Fi
IEEE 802.11e
เป็นมาตรฐานที่ออกแบบมาสำหรับการใช้งาน แอพพลิเคชันทางด้านมัลติมีเดียอย่าง VoIP (Voice over IP) เพื่อควบคุมและรับประกันคุณภาพของการ ใช้งานตามหลักการ QoS (Quality of Service) โดยการปรับปรุง MAC Layer ให้มีคุณสมบัติในการรับรองการใช้งานให้มีประสิทธิภาพ
IEEE 802.11f
มาตรฐานนี้เป็นที่รู้จักกันในนาม IAPP (Inter Access Point Protocol) ซึ่งเป็นมาตรฐานที่ออกแบบมาสำหรับจัดการกับผู้ใช้งานที่เคลื่อนที่ข้ามเขต การให้บริการของ Access Point ตัวหนึ่งไปยัง Access Point อีกตัวหนึ่งเพื่อให้บริการในแบบ โรมมิงสัญญาณระหว่างกัน
มาตรฐาน IEEE 802.11g
มาตรฐาน IEEE 802.11g เป็นมาตรฐานที่ได้รับการพัฒนาขึ้นมาทดแทนผลิตภัณฑ์ที่รองรับมาตรฐาน IEEE 802.11b โดยยังคงใช้คลื่นความถี่ 2.4 GHz แต่มีความเร็วในการรับ - ส่งข้อมูลเพิ่มขึ้นอยู่ที่ระดับ 54 Mbps หรือเท่ากับมาตรฐาน 802.11a โดยใช้เทคโนโลยี OFDM บนคลื่นวิทยุ และมีรัศมีการทำงานที่มากกว่า IEEE 802.11a พร้อมความสามารถในการใช้งานร่วมกันกับมาตรฐาน IEEE 802.11b ได้ (Backward-Compatible)  เพียงแต่ว่าความถี่ 2.4 GHz ยังคงเป็นคลื่นความถี่สาธารณะอยู่เหมือนเดิม ดังนั้นจึงยังมีปัญหาเรื่องของสัญญาณรบกวนจากอุปกรณ์ที่ใช้คลื่นความถี่เดียวกันอยู่ดี
IEEE 802.11h
มาตรฐานที่ออกแบบมาสำหรับผลิตภัณฑ์เครือข่ายไร้สายที่ใช้งานย่านความถี่ 5 กิกะเฮิรตซ์ ให้ทำงานถูกต้องตามข้อกำหนดการใช้ความถี่ของประเทศ ในทวีปยุโรป
IEEE 802.11i
เป็นมาตรฐานในด้านการรักษาความปลอดภัย ของผลิตภัณฑ์เครือข่ายไร้สาย โดยการปรับปรุง MAC Layer เนื่องจากระบบเครือข่ายไร้สายมีช่องโหว่มากมายในการใช้งาน โดยเฉพาะฟังก์ชันการเข้ารหัสแบบ WEP 64/128-bit ซึ่ง ใช้คีย์ที่ไม่มีการเปลี่ยนแปลง ซึ่งไม่เพียงพอสำหรับสภาพการใช้งานที่ต้องการ ความมั่นใจในการรักษาความปลอดภัยของการสื่อสารระดับสูง มาตรฐาน IEEE 802.11i จึงกำหนดเทคนิคการเข้ารหัสที่ใช้คีย์ชั่วคราวด้วย WPA, WPA2 และการเข้ารหัสในแบบ AES (Advanced Encryption Standard) ซึ่งมีความน่าเชื่อถือสูง
IEEE 802.11k
เป็น มาตรฐานที่ใช้จัดการการทำงานของระบบ เครือข่ายไร้สาย ทั้งจัดการการใช้งานคลื่นวิทยุให้มีประสิทธิภาพ มีฟังก์ชันการเลือกช่องสัญญาณ การโรมมิงและการควบคุมกำลังส่ง นอกจากนั้นก็ยังมีการร้องขอและปรับแต่งค่าให้เหมาะสมกับการทำงาน การหารัศมีการใช้งานสำหรับเครื่องไคลเอนต์ที่เหมาะสมที่สุดเพื่อให้ระบบ จัดการสามารถทำงานจากศูนย์กลางได้
IEEE 802.1x
เป็นมาตรฐานที่ใช้งานกับระบบรักษาความปลอดภัย ซึ่งก่อนเข้าใช้งานระบบเครือข่ายไร้สายจะต้องตรวจสอบสิทธิ์ในการใช้งานก่อน โดย IEEE 802.1x จะใช้โพรโตคอลอย่าง LEAP, PEAP, EAP-TLS, EAP-FAST ซึ่งรองรับการตรวจสอบผ่านเซิร์ฟเวอร์ เช่น RADIUS, Kerberos เป็นต้น
มาตรฐาน IEEE 802.11N
มาตรฐาน IEEE 802.11N (มาตรฐานล่าสุด) เป็นมาตรฐานของผลิตภัณฑ์เครือข่ายไร้สายที่คาดหมายกันว่า จะเข้ามาแทนที่มาตรฐาน IEEE 802.11a, IEEE 802.11b และ IEEE 802.11g ซึ่งมาตรฐาน 802.11N
มาตรฐาน IEEE 802.11N
โดยจะมีความเร็วอยู่ที่ 300 Mbps หรือเร็วกว่าแลนแบบมีสายที่มาตรฐาน 100 BASE-TX นอกจากนี้ยังมีระยะพื้นที่ให้บริการกว้างขึ้น โดยเทคโนโลยีที่ 802.11N นำมาใช้ก็คือเทคโนโลยี MIMO ซึ่งเป็นการรับส่งข้อมูลจากเสาสัญญาณหลายๆ ต้น พร้อมๆ กัน ทำให้ได้ความเร็วสูงมากขึ้น และยังใช้คลื่นความถี่แบบ Dual Band คือ ทำงานบนย่านความถี่ทั้ง 2.4 GHz และ 5 GHz

วันพฤหัสบดีที่ 1 มีนาคม พ.ศ. 2561

IT Risk Assessment

IT Risk  คือความเสี่ยงด้านไอที ซึ่งนับวันจะมีความสำคัญในการดำเนินกิจการของบรรดาธุรกิจประเภทต่าง ๆ เพิ่มมากขึ้น  ความจำเป็นในการทำความเข้าใจกับ IT Risk  จึงมีส่วนช่วยในการบริหารจัดการกับความเสี่ยงด้านเทคโนโลยี่สารสนเทศได้ดีขึ้น
ประเภทของ IT Risk
ความเสี่ยงด้านไอทีอาจจะแบ่งออกเป็น 3 ประเภทหลัก
  1. ความเสี่ยงทางการเงิน
  2. ความเสี่ยงด้านปฏิบัติการ
  3. ความเสี่ยงด้านการกำกับการปฏิบัติตามกฏเกณฑ์
 ความเสี่ยงทางการเงิน
     1.1 เป็นความเสี่ยงจากการที่กิจการมีการลงทุนทางด้านเทคโนโลยี่และเกิดผลกระทบต่อรายรับและเงินกองทุน ซึ่งเป็นความเสี่ยงที่มาจาก
           –  การลงทุนทางเทคโนโลยี่อาจจะเป็นการลงทุนที่ไม่คุ้มค่า ไม่สามารถสร้างรายได้แก่กิจการ ได้ทันที จนทำให้ความสามารถในการทำรายได้โดยรวมของกิจการลดลงในระยะแรก และหากการลงทุนทางเทคโนโลยี่ไม่สามารถสนับสนุนการสร้างหรือเพิ่มพูนรายได้ในระยะยาวได้ตามความคาดหมาย ก็จะเกิดต้นทุนค่าเสียโอกาสแก่กิจการที่ควรจะนำเงินที่ลงทุนในเทคโนโลยี่ไปลงทุนในด้านอื่นที่ให้ผลตอบแทนที่เป็นตัวเงินได้ดีกว่า
           –  การเพิ่มขึ้นของต้นทุนในกิจการอันเนื่องมาจากการที่กิจการโอนย้าย ขั้นตอนของการประมวลผลเข้ามาอยู่ในองค์กร หรือในทางตรงกันข้ามต้นทุนในกิจการกลับเพิ่มขึ้นอันเนื่องมาจากการที่กิจการโอนถ่ายการประมวลผลออกไปว่าจ้างผู้ให้บริการภายนอกดำเนินการแทน
           –  การเพิ่มขึ้นของต้นทุนหรือค่าใช้จ่ายอันเนื่องมาจากการที่กิจการ ต้องทำการเชื่อมโยงหรือบูรณาการระบบงานต่าง ๆ ที่มีความหลากหลายของแหล่งที่มาจากผู้ขายหลายราย และความเสี่ยงที่เป็นตัวเงินของต้นทุนการแก้ไขปัญหาอาจจะเพิ่มขึ้นอีก หากความพยายามเชื่อมโยงระบบต้องใช้เวลาที่ยาวนานกว่าที่คาดไว้
           –  ความล้มเหลวของการลงทุนทางด้านเทคโยนโลยี่ ซึ่งพบในภายหลังจากการลงทุนว่าเป็นผลิตภัณฑ์หรือบริการงานไอทีที่ไม่สามารถใช้งานหรือไม่เป็นประโยชน์ต่อการดำเนินงานของกิจการ
1.2 เป็นความเสี่ยงจากการที่กิจการมีการดำเนินงานหรือกิจกรรมของไอที ซึ่งส่งผลกระทบต่อความเสี่ยงด้านเครดิต หรือความเสี่ยงด้านตลาดหรือด้านสภาพคล่อง อันเป็นความเสี่ยงที่มาจาก
         –  กระบวนการคัดกรองหรือการอนุมัติที่ดำเนินการบนระบบงานไอที ทำให้ได้ลูกค้าหรือได้     คู่ค้าที่มีระดับความเสี่ยงด้านเครดิตสูง หรือมีระดับความสามารถในการชำระคืนเงินตามภาระต่ำกว่าเกณฑ์ที่เคยใช้
         –  กระบวนการอนุมัติที่ดำเนินการผ่านระบบหรือโปรแกรมแทนการใช้ดุลยพินิจของบุคลากรในฐานะของผู้เชี่ยวชาญ ทำให้การกำหนดราคา (Pricing) ไม่สอดคล้องกับอัตราตลาด
 2. ความเสี่ยงด้านปฏิบัติการ
เป็นความเสี่ยงที่เกี่ยงข้องกับ
              –  ความมั่นคงและระบบการรักษาความปลอดภัย การรักษาความลับ
              –  ความมีอยู่ของระบบงาน
              –  ความถูกต้อง เชื่อถือได้
 ตัวอย่างของความเสี่ยงไอทีที่เกี่ยวข้องกับการปฏิบัติการ
ลักษณะความเสี่ยงผลกระทบต่อกิจการ
1.การแฮกโดยแฮกเกอร์-ข้อมูลหรือระบบมีความเสียหาย-ระบบการควบคุมภายในขาดประสิทธิภาพ
-ความเชื่อมั่นของลูกค้า บุคลากรในองค์กรลดลง
 เสื่อมเสียชื่อเสียง
2.ระบบติดไวรัส-เซิร์ฟเวอร์ของกิจการเสียหาย-มีค่าใช้จ่ายในการ clean-up และค่าใช้จ่ายในการดำเนินคดีทางกฏหมาย
-กรณีที่ไม่อาจตรวจจับพบและแก้ไขได้ภายในระยะเวลาที่เหมาะสม อาจจะต้อง re-format และ re-install ทั้ง Application และ Data
-สะท้อนภาพของความอ่อนแอของการควบคุมภายในและระบบรักษาความปลอดภัย
3.การเข้าถึงระบบโดยไม่ได้รับอนุญาต-อาจจะเกิดจากความตั้งใจจะทุจริต-สะท้อนภาพของการควบคุมภายในที่อ่อนแอ
-อาจจะเกิดการสูญหายของข้อมูลการบันทึกธุรกรรม
-อาจจะมีผลต่อชื่อเสียงและความเชื่อมั่นในกิจการ
3.ความเสี่ยงในการกำกับการปฏิบัติให้เป็นไปตามกฏเกณฑ์ (Compliance)
  ความเสี่ยงทางไอทีในส่วนนี้อาจจะเป็นเรื่องของ
  –  การเก็บรักษาความลับของลูกค้าที่ต้องเป็นไปตามกฏหมาย
  –  ความถูกต้องของข้อมูลที่นำออกเผยแพร่ต่อภายนอกซึ่งเป็นเงื่อนไขทางกฏหมาย
  –  อาจจะไม่ผ่านตามเกณฑ์ของการตรวจสอบไอทีหรือการตรวจสอบกิจการของผู้กำกับ
  –  อาจจะมีผลกระทบต่อการลดลงของอันดับความน่าเชื่อถือหรือ Rating
  –  การกำกับการปฏิบัติตามสัญญาของ Outsourcing

CISSP

CISSP หรือ Certified Information Systems Security Professional เป็นcert ของค่าย  International Information Systems Security Certificatio...