ทำไมต้อง IT Audit?

การใช้งานระบบ IT มีผลดีต่อธุรกิจ แต่ต้องยอมรับว่า IT ก็มีความเสี่ยงต่อธุรกิจเช่นกัน ดังนั้นจึงต้องมีระบบควบคุมรักษาความปลอดภัย รวมถึงมี IT Audit ที่วางใจได้ ในช่วงที่ผ่านมา มีระบบ IT หลายองค์กรถูกคุกคามเข้าไปในระบบ จนสร้างความเสียหายกับองค์กรเป็นจำนวนหลายสิบล้าน อาทิ เช่น ประกันภัย สถาบันทางการเงิน โรงแรม และหน่วยงานภาครัฐ ต่างเคยประสบพบเจอสามารถถูก Hack หรือโจรกรรมกันมาแล้ว เช่น กรณีการ Hack ข้อมูลระบบของโรงพยายาลสระบุรี ในเดือนกันยายน 2563 กรณีสายการบิน Air India ที่ถูกแฮกข้อมูลลูกค้ามากกว่า 4.5 ล้านราย และกรณีแอ๊กซ่า (AXA Insurance) บริษัทประกันภัยชั้นนำของโลก ซึ่งถูกโจมตีในระบบบริหารปฏิบัติการ IT ในประเทศแถบเอเชีย ทั้งประเทศไทย มาเลเซีย ฟิลิปินส์ และฮ่องกงในช่วงเดือนพฤษภาคม 2564 ซึ่งนับวันความเสี่ยงด้าน IT  มีการพัฒนามากขึ้น เนื่องจากข้อมูลบัญชีของแต่ละองค์กรส่วนใหญ่อยู่บนระบบ IT โดยผู้ดูแลระบบอาจจะเป็นเจ้าหน้าที่บัญชี หรือเจ้าหน้าที่ IT โดยมักไม่ค่อยมีความชำนาญในการควบคุมดูแลรักษาข้อมูลอย่างเป็นแบบแผน เนื่องจากขาดความเข้าใจในการควบคุมภายในที่มีระบบ ดังนั้นในการตรวจสอบบัญชีจึงต้องอาศัยบทบาทของ IT Audit เข้ามาช่วยและควบคุมความเสี่ยงด้านเทคโนโลยีสารสนเทศขององค์กร เพื่อสร้างความเชื่อมั่นต่อฝ่ายบริหารในการจัดการและการรักษาความปลอดภัยที่ดี

ACinfotec สามารถให้คำปรึกษา แนะนำ และตรวจสอบด้วย 6 กระบวนการของ IT Audit ดังต่อไปนี้

1.การวิเคราะห์ (Analysis)

          วิเคราะห์ ควบคุมกระบวนการของความมั่นคงทางไซเบอร์ที่มีอยู่ (Analyze existing security controls and processes) การตรวจสอบส่วนที่วิกฤต (Review critical application) การปฏิบัติการด้านการประเมินความเสี่ยง (Conduct risk assessment workshop) และการพัฒนากระบวนการให้สอดคล้อง (Develop action items toward compliance) เพื่อตรวจสอบช่องโหว่และปัญหาความเสี่ยงที่อาจจะเกิดขึ้นได้

2.ให้คำแนะนำ (Advice)

ให้คำแนะนำจากผู้ที่มีความเชี่ยวชาญสำหรับการนำดำเนินการด้านการควบคุมและกระบวนการความปลอดภัยของข้อมูลสารสนเทศ (Provide expert advice for implementing security controls and processes)

3.ด้านเอกสาร (Document)

การตรวจสอบเอกสารที่มีอยู่ ซึ่งมีความเกี่ยวข้องกับความปลอดภัยของข้อมูล (Review existing documents related to security) และการบริการให้การอัพเดทข้อมูลเอกสารตามความต้องการเพื่อยับยั้งช่องโหว่ (Update existing document as needed)

4.การฝึกอบรม (Training)

การอบรมบุคลากรด้าน IT เพื่อให้เข้าใจข้อกำหนดเพื่อป้องกันความเสี่ยงที่จะเกิดขึ้น (Training for IT personal to understand regulations) พร้อมทั้งสร้างความตระหนักถึงความปลอดภัยทางไซเบอร์ ผ่านระบบการเรียนรู้แบบ e-Learning ให้แก่บุคลากรในองค์กร (Security awareness e-Learning for staffs)

5.การทดสอบ (Testing)

บริการการทดสอบความปลอดภัยด้านไซเบอร์ซิเคียลริตี้ (Cybersecurity) อาทิ Phishing test, Incident response drill และ VA/Pentest เพื่อทดสอบความปลอดภัยจากการถูกโจรกรรมข้อมูลสารสนเทศสำหรับองค์กร

6.การตรวสอบ (Audit)

การตรวจสอบภายในด้านความมั่นคงและความปลอดภัยทางไซเบอร์ขององค์กร (Conduct independent audit to verify compliance against regulations) พร้อมทั้งการรายงานที่สำคัญ (Issue report on compliance) ACinfotec ได้รับความไว้วางใจจากลูกค้าในธุรกิจต่าง ๆ ทั้ง ประกันภัย สถาบันทางการเงิน โทรคมนาคม หน่วยงานภาครัฐ รัฐวิสาหกิจ เป็นต้น หากธุรกิจใดสนใจ สามารถติดต่อสอบถามรายละเอียดการบริการที่ปรึกษาและการฝึกอบรมได้ที่ sales@acinfotec.com, training@acinfotec.com หรือ โทร 02-670-8980 ถึง 3 (จันทร์ – ศุกร์, 09:00 น. – 18:00 น.)