Cyber Youth Cambodia (Channel)
前往频道在 Telegram
Cyber Youth Cambodia is a platform to promote Digital Knowledge and Cybersecurity among the Youth in Cambodia. We need to build more digital and cybersecurity talents to develop and defense the digital infrastructure in Cambodia! January 2020
显示更多1 566
订阅者
-124 小时
-27 天
+230 天
帖子存档
Repost from OU PHANNARITH (Cybersecurity)
ការយល់ខុសដ៏ធំបំផុតមួយអំពី ISO 27001:2022 គឺការគិតថាគ្រាន់តែអនុវត្តវិធានការបច្ចេកទេសគឺគ្រប់គ្រាន់ហើយ
តាមពិតទៅ អ្វីដែលសវនករស្វែងរក និងមានសារៈសំខាន់ដូចគ្នានោះគឺ៖
ភស្តុតាង (Evidence)
ប្រសិនបើដំណើរការមួយមិនត្រូវបានចងក្រងជាឯកសារ មិនត្រូវបានថែទាំ និងមិនត្រូវបានអនុវត្តតាមឱ្យបានជាប់លាប់នោះទេ វាពិតជាពិបាកក្នុងការបង្ហាញថាដំណើរការនោះមានពិតប្រាកដណាស់។
ហេតុដូច្នេះហើយ ទើបប្រព័ន្ធឯកសារគឺជាឆ្អឹងខ្នងនៃប្រព័ន្ធគ្រប់គ្រងសន្តិសុខព័ត៌មាន (ISMS) ដែលមានប្រសិទ្ធភាព។
ឯកសារសំខាន់ៗមួយចំនួនដែលគ្រប់ស្ថាប័នគួរតែរក្សាទុក រួមមាន៖
📄 គោលនយោបាយសន្តិសុខព័ត៌មាន (Information Security Policy)
ជាគ្រឹះដែលកំណត់ពីគោលបំណងសន្តិសុខ ការទទួលខុសត្រូវ និងការប្តេជ្ញាចិត្តរបស់ស្ថាប័ន។
📊 វិធីសាស្ត្រវាយតម្លៃហានិភ័យ និងបញ្ជីហានិភ័យ (Risk Assessment Methodology & Risk Register)
វិធីសាស្ត្រដែលមានរចនាសម្ព័ន្ធច្បាស់លាស់ក្នុងការកំណត់ វាយតម្លៃ និងចាត់វិធានការលើហានិភ័យសន្តិសុខព័ត៌មាន។
📋 សេចក្តីថ្លែងការណ៍ស្តីពីការអនុវត្ត (Statement of Applicability - SoA)
ជាឯកសារដ៏សំខាន់បំផុតមួយក្នុងអំឡុងពេលធ្វើសវនកម្ម ISO 27001 ដែលពន្យល់ពីវិធានការត្រួតពិនិត្យណាខ្លះដែលត្រូវបានអនុវត្ត និងហេតុអ្វី។
🖥️ បញ្ជីសារពើភ័ណ្ឌទ្រព្យសកម្ម (Asset Inventory)
អ្នកមិនអាចការពារប្រព័ន្ធ កម្មវិធី ឬទ្រព្យសកម្មព័ត៌មានដែលអ្នកមិនដឹងថាមាននោះឡើយ។
🔐 គោលនយោបាយគ្រប់គ្រងការចូលប្រើប្រាស់ (Access Control Policies)
ការកំណត់ឱ្យបានច្បាស់លាស់ថា តើនរណាអាចចូលប្រើប្រាស់អ្វីខ្លះ ស្ថិតនៅក្រោមលក្ខខណ្ឌណា និងរបៀបគ្រប់គ្រងសិទ្ធិអនុញ្ញាត។
🚑 ផែនការឆ្លើយតបចំពោះឧប្បត្តិហេតុ (Incident Response Plans)
នីតិវិធីដែលបានចងក្រងជាឯកសារជួយឱ្យក្រុមការងារសន្តិសុខអាចឆ្លើយតបបានយ៉ាងមានភាពស៊ីសង្វាក់គ្នា និងមានប្រសិទ្ធភាពនៅពេលមានឧប្បត្តិហេតុកើតឡើង។
🔄 ការបន្តនិរន្តរភាពអាជីវកម្ម និងការស្តារឡើងវិញពីគ្រោះមហន្តរាយ (Business Continuity & Disaster Recovery)
សន្តិសុខសាយប័រមិនមែនត្រឹមតែជាការការពារឧប្បត្តិហេតុប៉ុណ្ណោះទេ ប៉ុន្តែគឺអំពីការធានាថាអាជីវកម្មអាចស្តារឡើងវិញបាននៅពេលដែលវាសាយភាយកើតឡើង។
🤝 ការគ្រប់គ្រងសន្តិសុខអ្នកផ្គត់ផ្គង់ (Supplier Security Management)
ហានិភ័យពីភាគីទីបីនៅតែជាបញ្ហាប្រឈមដ៏ធំបំផុតមួយសម្រាប់ស្ថាប័នទំនើបៗ និងជាចំណុចផ្តោតសំខាន់ក្នុងអំឡុងពេលធ្វើសវនកម្ម។
🛠️ ការគ្រប់គ្រងភាពងាយរងគ្រោះ និងការអាប់ដេតបំណះសន្តិសុខ (Vulnerability & Patch Management)
ការបង្ហាញពីដំណើរការដែលអាចធ្វើឡើងវិញបានក្នុងការស្វែងរក កំណត់អាទិភាព និងដោះស្រាយចំណុចខ្សោយផ្នែកសន្តិសុខ។
📈 នីតិវិធីកត់ត្រាប្រវត្តិកិច្ចការ និងការត្រួតពិនិត្យ (Logging & Monitoring Procedures)
ការត្រួតពិនិត្យប្រកបដោយប្រសិទ្ធភាពជួយផ្តល់នូវភាពមើលឃើញ គណនេយ្យភាព និងភស្តុតាងដ៏មានតម្លៃក្នុងអំឡុងពេលស៊ើបអង្កេត និងការវាយតម្លៃការអនុលោមភាព។
💡 អ្វីដែលអ្នកគួរចងចាំ!
ISO 27001 មិនគួរត្រូវបានចាត់ទុកថាជាគ្រាន់តែជាគម្រោងដើម្បីទទួលបានវិញ្ញាបនបត្រនោះឡើយ។ វាគឺជាក្របខ័ណ្ឌអភិបាលកិច្ចដែលត្រូវបានបង្កើតឡើងដើម្បីកសាងការអនុវត្តសន្តិសុខដែលអាចធ្វើឡើងវិញបាន អាចវាស់វែងបាន និងមាននិរន្តរភាព។
គោលនយោបាយតែមួយមុខ មិនអាចជួយលើកកម្ពស់សន្តិសុខបានទេ។ នីតិវិធីតែមួយមុខ មិនអាចជួយលើកកម្ពស់សន្តិសុខបានទេ។ គំរូឯកសារ (Templates) តែមួយមុខ ក៏មិនអាចជួយលើកកម្ពស់សន្តិសុខបានដែរ។
*** មានតែមនុស្សដែលអនុវត្តតាមដំណើរការដែលបានកំណត់យ៉ាងច្បាស់លាស់ឱ្យបានជាប់លាប់ប៉ុណ្ណោះ ទើបអាចធ្វើទៅបាន។
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
13 YouTube Channels That Can Teach You More Than College
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
សិស្សអាយុ ១៦ ឆ្នាំម្នាក់ នៅក្នុងខេត្តង៉ែអាន (Nghệ An) ភាគកណ្តាលនៃប្រទេសវៀតណាម ត្រូវបានចោទប្រកាន់ពីបទលួចចូល (Hack) ប្រព័ន្ធព័ត៌មានចាក់វ៉ាក់សាំងជាតិរបស់ប្រទេសវៀតណាម និងបានលក់ទិន្នន័យផ្ទាល់ខ្លួនប្រហែល ២០ លានកំណត់ត្រា ដោយរកចំណូលបានច្រើនជាង ១០០ លានដុង (VNĐ) ពីការលក់ព័ត៌មានរបស់ប្រជាពលរដ្ឋដោយខុសច្បាប់នេះ។
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
តើការតំឡើង Apps នៅលើឡាន EV ថ្មីៗគឺជាហានិភ័យ ឬជាការធ្វើឲ្យកាន់តែទំនើប និងងាយស្រួលដល់អ្នកបើកបរ និងរួមអ្នកដំណើរជាមួយ?
សូមស្តាប់លោក ជី សុផាត បកស្រាយ!
ប្រភពៈ
https://youtu.be/3hfCK_cZIzc?si=ciqmWP0mSZUar_gD
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
🚨 ក្រុម Hacker ប្រើប្រាស់ AI Bot របស់ Meta ដើម្បីកំណត់លេខសម្ងាត់ឡើងវិញ និងលួចគណនី Instagram
កំហុសបច្ចេកទេសដ៏ធ្ងន់ធ្ងរមួយនៅក្នុងប្រព័ន្ធ AI Chatbot សម្រាប់ជំនួយការ (Support Chatbot) របស់ Instagram បានអនុញ្ញាតឱ្យក្រុម Hacker អាចឆ្លងកាត់ប្រព័ន្ធផ្ទៀងផ្ទាត់ពីរជំហាន (Two-Factor Authentication) បានយ៉ាងងាយស្រួល។ ពួកគេមិនបានប្រើវិធីសាស្ត្រវាយប្រហារដើម្បីបំបែកកូដនោះទេ ប៉ុន្តែពួកគេគ្រាន់តែស្នើសុំឱ្យ Chatbot ប្រគល់សិទ្ធិចូលប្រើប្រាស់គណនីឱ្យតែម្ដង។
ការវាយប្រហារនេះមិនតម្រូវឱ្យមានកម្មវិធីមេរោគ (Malware) មិនចាំបាច់ប្រើតំណភ្ជាប់ Phishing និងមិនទាមទារឱ្យមានការចូលទៅក្នុងអ៊ីមែលរបស់ជនរងគ្រោះឡើយ។ ដំបូង ក្រុម Hacker បានកំណត់គោលដៅទៅលើគណនីដែលមានតម្លៃខ្ពស់ ជាពិសេសគណនីដែលមានឈ្មោះហៅក្រៅខ្លីៗ (Short-handle/OG usernames) ដែលមានតម្លៃរាប់ពាន់ដុល្លារនៅលើទីផ្សារងងឹត។
បន្ទាប់មក ពួកគេប្រើប្រាស់ VPN ឬសេវាកម្ម Residential Proxy ដែលមានទីតាំងភូមិសាស្ត្រស្ថិតនៅក្នុងតំបន់តែមួយជាមួយម្ចាស់គណនី ដើម្បីចៀសវាងការចាប់បានពីប្រព័ន្ធត្រួតពិនិត្យការក្លែងបន្លំដោយស្វ័យប្រវត្តិរបស់ Instagram។
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
📢 Applications are now open — our first cohort starting soon.
I am launching the first cohort of the Applied AI Engineer Three-Month Mastery program, led by me myself.
This is a structured, hands-on program designed to take you from AI foundations to production deployment in 90 days:
→ Month 1: Python for AI, data handling, classical ML & deep learning fundamentals
→ Month 2: Modern AI stack — Prompt Engineering, RAG, AI Agents & evaluation
→ Month 3: Production systems with FastAPI, Docker, LLMOps & a capstone project
Graduates leave with 4 tangible portfolio pieces ready to show employers.
Cohorts are intentionally small (5–10 students) to ensure personalized instruction and strong accountability.
If you're serious about building a career in AI engineering or AI research opportunities, I'd love to welcome you in the first cohort. Reach out to me for consultation : rinabuoy@gmail.com
#AppliedAI #AIEngineering #CareerDevelopment #MachineLearning #TechEducation
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
ការស្រាវជ្រាវថ្មីបានបង្ហាញថា ប្រវត្តិសារជជែករបស់ WhatsApp អាចនឹងត្រូវបានរក្សាទុកដោយមិនមានការអុីនគ្រីប (Unencrypted) នៅលើទាំងឧបករណ៍ macOS និង iOS ដែលនេះបានបង្កជាក្តីបារម្ភសារជាថ្មីអំពីការការពារទិន្នន័យនៅលើឧបករណ៍ និងការចូលប្រើប្រាស់ទិន្នន័យឆ្លងកម្មវិធី (Cross-application access) នៅក្នុងប្រព័ន្ធអេកូឡូស៊ីរបស់ Apple។
ទោះបីជា WhatsApp ប្រើប្រាស់ការអុីនគ្រីបពីចុងម្ខាងទៅចុងម្ខាង (E2EE) ដ៏រឹងមាំ ដើម្បីធានាសុវត្ថិភាពសារនៅពេលកំពុងបញ្ជូនក៏ដោយ ប៉ុន្តែការការពារនេះមិនគ្របដណ្តប់ទៅលើរបៀបដែលទិន្នន័យត្រូវបានរក្សាទុកនៅលើឧបករណ៍នោះទេ បន្ទាប់ពីអ្នកប្រើប្រាស់បានបើកចូលមើលវា។
បញ្ហានេះប៉ះពាល់ដល់ទាំងឧបករណ៍ iOS និងប្រព័ន្ធ macOS ដែលកំពុងដំណើរការកម្មវិធី WhatsApp ជាពិសេសនៅពេលដែលមានការប្រើប្រាស់កន្លែងផ្ទុកទិន្នន័យកម្មវិធីរួមគ្នា (Shared app containers)។ នៅលើប្រព័ន្ធ macOS ដែលការចូលប្រើប្រាស់ប្រព័ន្ធឯកសារមានភាពបត់បែនជាងមុន ហានិភ័យនេះអាចនឹងកាន់តែខ្ពស់ ប្រសិនបើប្រព័ន្ធត្រួតពិនិត្យសុវត្ថិភាពឧបករណ៍ (Endpoint security controls) មានភាពខ្សោយ។
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
អត្ថបទទី6 — អ្នកវាយប្រហារបានធ្វើកិច្ចការរបស់គេ។ ចុះអ្នកវិញ? "ហេគឃ័រ (Hackers) មិនទាយនោះទេ។ ពួកគេស្រាវជ្រាវ ហើយពួកគេដឹងពីប្រព័ន្ធរបស់អ្នកច្រើនជាងអ្វីដែលអ្នកបានគិតទៅទៀត។"
១. បរិបទទូទៅ
មុនពេលឧក្រិដ្ឋជនសាយប័រចាប់ផ្តើមការវាយប្រហារពួកគេចំណាយពេលយ៉ាងច្រើនក្នុងការធ្វើការស៊ើបការណ៍ (reconnaissance) — ប្រមូលព័ត៌មានអំពីគោលដៅ។ ពួកគេប្រើប្រាស់ឧបករណ៍ដែលមានជាសាធារណៈដើម្បីស្វែងរកប្រព័ន្ធរបស់អ្នកដែលភ្ជាប់ទៅកាន់អុីនធឺណិត។ ពួកគេស្វែងរកកំណែកម្មវិធី (software versions) ចាស់ៗ។ ពួកគេពិនិត្យមើល ថាតើគេហទំព័ររបស់អ្នកបានបង្ហាញព័ត៌មានអំពីឧបករណ៍ដែលអ្នកប្រើប្រាស់ដែរឬទេ។ ពួកគេស្វែងរកនៅលើ LinkedIn ដើម្បីយល់ពីរចនាសម្ព័ន្ធស្ថាប័នរបស់អ្នក និងកំណត់ថាតើនរណាខ្លះជាក្រុមព័ត៌មានវិទ្យា។ ពួកគេថែមទាំងអាចទូរស័ព្ទទៅកាន់ផ្នែកជំនួយ (helpdesk) របស់អ្នក ដោយក្លែងបន្លំជាបុគ្គលិកដើម្បីប្រមូលព័ត៌មានសម្រាប់ការចូលប្រើប្រាស់។
នៅពេលដែលពួកគេចាប់ផ្តើមធ្វើសកម្មភាព ពួកគេដឹងច្បាស់ថាទ្វារមួយណាដែលខ្សោយជាងគេ។ ហើយក្នុងករណីភាគច្រើន ទ្វារនោះគឺជាទ្វារដែលស្ថាប័នរបស់អ្នកបានភ្លេច — ប្រព័ន្ធដែលមិនបានធ្វើបច្ចុប្បន្នភាព (unpatched system) ទំព័រចូលប្រើ (login page) ដែលគេអាចមើលឃើញ គណនីក្លោដ (cloud account) ដែលរៀបចំខុស ឬឧបករណ៍ដែលដំណើរការកម្មវិធីហួសសម័យ។
ជាមធ្យមអ្នកវាយប្រហារចំណាយពេលពី 3 ទៅ 6 សប្តាហ៍ដើម្បីសិក្សាពីគោលដៅ មុនពេលចាប់ផ្តើមការវាយប្រហារ។ ស្ថាប័នដែលពួកគេវាយប្រហារ ច្រើនតែមិនចំណាយពេលសោះក្នុងការសិក្សាពីខ្លួនឯង តាមទស្សនៈរបស់អ្នកវាយប្រហារ។
២. ហេតុអ្វីបានជារឿងនេះមានសារៈសំខាន់ចំពោះស្ថាប័នរបស់អ្នក
ភាពមិនស៊ីគ្នានេះគឺច្បាស់ណាស់៖ អ្នកវាយប្រហារវិនិយោគពេលវេលាសិក្សាពីចំណុចខ្សោយរបស់អ្នក ខណៈពេលដែលស្ថាប័នភាគច្រើនវិនិយោគពេលវេលាតិចតួចបំផុតក្នុងការយល់ដឹងពីអ្វីដែលពួកគេបានបង្ហាញទៅកាន់ពិភពខាងក្រៅ។ ការគ្រប់គ្រងទ្រព្យសកម្ម គឺជួយបិទចន្លោះប្រហោងនេះ។ នៅពេលដែលអ្នកដឹងច្បាស់ថាអ្នកមានអ្វីខ្លះ អ្វីដែលត្រូវបានលាតត្រដាង និងអ្វីដែលហួសសម័យ អ្នកអាចស្វែងរក និងជួសជុលទ្វារដែលខ្សោយទាំងនោះ មុនពេលអ្នកវាយប្រហាររកវាឃើញសម្រាប់អ្នក។
៣. ការណែនាំ និងជំហានសម្រាប់ការអនុវត្ត
ជំហានទី 1 — ស្វែងរកស្ថាប័នរបស់អ្នកនៅលើ Google
ចាប់ផ្តើមជាមួយនឹងទម្រង់ដ៏សាមញ្ញបំផុតនៃការស៊ើបការណ៍ខ្លួនឯង។ ស្វែងរកឈ្មោះក្រុមហ៊ុនរបស់អ្នក
ដូមេន (domain) របស់អ្នក និងឈ្មោះថ្នាក់ដឹកនាំសំខាន់ៗនៅលើអុីនធឺណិត។ តើមានព័ត៌មានអ្វីខ្លះដែលត្រូវបានបង្ហាញជាសាធារណៈ? តើមានវេទិកាបច្ចេកវិទ្យាអ្វីខ្លះដែលត្រូវបានលើកឡើងនៅលើគេហទំព័ររបស់អ្នក? តើស្ថាប័នរបស់អ្នកបានលាតត្រដាងអ្វីខ្លះដោយមិនដឹងខ្លួន?
ជំហានទី 2 — ស្នើសុំការវាយតម្លៃចំណុចខ្សោយពីខាងក្រៅ
ស្នើសុំឱ្យអ្នកជំនាញសន្តិសុខសាយប័រធ្វើការវាយតម្លៃផ្នែកខាងក្រៅជាមូលដ្ឋាន — សម្លឹងមើលស្ថាប័នរបស់អ្នកពីខាងក្រៅ ដូចទៅនឹងរបៀបដែលអ្នកវាយប្រហារធ្វើដែរ។ នេះមិនចាំបាច់ជាការធ្វើតេស្តជ្រៀតចូលពេញលេញ (full penetration test) នោះទេ ត្រឹមតែការស្កេនជាមូលដ្ឋានលើទ្រព្យសកម្មដែលភ្ជាប់ទៅអ៊ីនធឺណិតរបស់អ្នក នឹងបង្ហាញពីរបកគំហើញដ៏សំខាន់ជាច្រើន។
ជំហានទី 3 — ពិនិត្យមើលអ្វីដែលការប្រកាសជ្រើសរើសបុគ្គលិករបស់អ្នកបានលាតត្រដាង
គួរឱ្យភ្ញាក់ផ្អើល ការប្រកាសការងារគឺជាឃ្លាំងមាសសម្រាប់អ្នកវាយប្រហារ។ ការប្រកាសដែលនិយាយថា "ត្រូវមានបទពិសោធន៍ជាមួយ SAP, Cisco ASA firewalls, និង AWS" ប្រាប់អ្នកវាយប្រហារយ៉ាងច្បាស់ពី បច្ចេកវិទ្យាដែលក្រុមហ៊ុនរបស់អ្នកកំពុងប្រើប្រាស់។ សូមពិនិត្យមើលការប្រកាសការងាររបស់អ្នកឡើងវិញដោយផ្តោតលើចំណុចនេះ។
ជំហានទី 4 — កំណត់អត្តសញ្ញាណទ្រព្យសកម្មដែលភ្ជាប់ទៅអ៊ីនធឺណិតរបស់អ្នក
ធ្វើការជាមួយក្រុមព័ត៌មានវិទ្យារបស់អ្នក ដើម្បីរាយនាមរាល់សេវាកម្ម ប្រព័ន្ធឬច្រកចូល (portal) ដែលអាចចូលប្រើបានពីអុីនធឺណិត — គេហទំព័រ ម៉ាស៊ីនមេអុីមែល (email servers), ច្រកចូល VPN, ច្រកចូលសម្រាប់អតិថិជន (customer portals), និងឧបករណ៍ចូលប្រើប្រាស់ពីចម្ងាយ (remote access tools)។ ទាំងនេះគឺជាទ្រព្យសកម្មដែលងាយរងគ្រោះបំផុតរបស់អ្នក ហើយទាមទារការយកចិត្តទុកដាក់ជាអាទិភាព។
៤. អនុសាសន៍សំខាន់សម្រាប់ថ្នាក់ដឹកនាំ
ស្នើសុំការធ្វើ "ការវាយតម្លៃតាមទស្សនៈរបស់អ្នកវាយប្រហារ (Attacker's View Assessment)" ប្រចាំឆ្នាំពីក្រុមហ៊ុនសន្តិសុខសាយប័រដែលមានកេរ្តិ៍ឈ្មោះ។ ការវាយតម្លៃនេះសម្លឹងមើលស្ថាប័នរបស់អ្នកក្នុងទម្រង់ដែលអ្នកវាយប្រហារនឹងធ្វើ — កំណត់អត្តសញ្ញាណអ្វីដែលអាចមើលឃើញ អ្វីដែលខ្សោយ និងអ្វីដែលត្រូវបានលាតត្រដាង។ របកគំហើញទាំងនេះគួរតែត្រូវបានបង្ហាញជូនដល់ថ្នាក់គ្រប់គ្រង មិនមែនត្រឹមតែក្រុមព័ត៌មានវិទ្យាប៉ុណ្ណោះទេ ពីព្រោះការសម្រេចចិត្តជាច្រើនដែលត្រូវការដើម្បីជួសជុលចន្លោះប្រហោងទាំងនោះ គឺជាការសម្រេចចិត្តកម្រិតថ្នាក់គ្រប់គ្រង។
សំណួរសម្រាប់ពិភាក្សា៖ តើអ្នកធ្លាប់ប្រើ Google ដើម្បីស្វែងរកក្រុមហ៊ុនខ្លួនឯង ដើម្បីមើលថាមានព័ត៌មានអ្វីខ្លះដែលត្រូវបានបង្ហាញជាសាធារណៈដែរឬទេ? តើមានអ្វីដែលធ្វើឱ្យអ្នកភ្ញាក់ផ្អើល?
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
តើវិធានការណាមួយដែលមានប្រសិទ្ធភាពបំផុតក្នុងការការពារទិន្នន័យរបស់អ្នក នៅពេលប្រើប្រាស់ WiFi សាធារណៈនៅហាងកាហ្វេ?
Repost from OU PHANNARITH (Cybersecurity)
CISO មិនមែនជា "ទទួលខុសត្រូវផ្តាច់មុខលើគ្រប់កិច្ចការតាមសាយប័រ" ឬជាអ្នកដែលត្រូវគេទម្លាក់កំហុសលើដោយស្វ័យប្រវត្តិ បន្ទាប់ពីមានការបែកធ្លាយទិន្នន័យ ឬការបរាជ័យក្នុងការធ្វើសវនកម្មនោះទេ។ ការងាររបស់ CISO គឺគ្រប់គ្រង កំណត់ស្តង់ដារ កំណត់អត្តសញ្ញាណហានិភ័យ ផ្ទៀងផ្ទាត់ការត្រួតពិនិត្យ និងរាយការណ៍ពីចន្លោះប្រហោង - មិនមែនជាអ្នកប្រតិបត្តិរាល់ការត្រួតពិនិត្យទាំងអស់នៅក្នុងស្ថាប័ននោះទេ។
តួនាទីរបស់ CISO (នាយកសន្តិសុខសាយប័រ) ត្រូវបានគេយល់ខុស។
គណនេយ្យភាពគួរតែស្ថិតនៅកន្លែងដែលការងារត្រូវធ្វើ៖
១. ថ្នាក់ដឹកនាំអាជីវកម្ម ជាម្ចាស់លើហានិភ័យអាជីវកម្ម
២. ផ្នែកព័ត៌មានវិទ្យានិងវិស្វកម្ម ជាម្ចាស់លើការអនុវត្តប្រតិបត្តិការ
៣. ម្ចាស់ទ្រព្យសកម្ម ជាម្ចាស់លើភាពត្រឹមត្រូវនៃបញ្ជីសារពើភ័ណ្ឌឌីជីថល
៤. ផ្នែកសន្តិសុខ ជួយសម្រួល គ្រប់គ្រង ផ្ទៀងផ្ទាត់ និងរាយការណ៍បន្ត
ប៉ុន្តែនៅក្នុងស្ថាប័នជាច្រើន CISO តែងតែត្រូវបានគេបន្ទោសចំពោះ៖
១. បញ្ជីសារពើភ័ណ្ឌទ្រព្យសកម្មឌីជីថលមិនពេញលេញ ដែលគ្រប់គ្រងដោយផ្នែកប្រតិបត្តិការ IT និងផ្នែកពាក់ព័ន្ធ
២. ការបរាជ័យក្នុងការជួសជុលប្រព័ន្ធ (Patching failures) ដែលគ្រប់គ្រងដោយក្រុមរចនាសម្ព័ន្ធព័ត៌មានវិទ្យា (infrastructure)
៣. ចន្លោះប្រហោងនៃ IAM (ការគ្រប់គ្រងអត្តសញ្ញាណ និងសិទ្ធិចូលប្រើប្រាស់) ដែលអាជីវកម្មបដិសេធមិនអនុវត្តតាម
៤. ការលើកលែងក្រៅផ្លូវការ ដែលក្រោយមកប្រែទៅជាឧប្បត្តិហេតុ
៥. ស្តង់ដារដែលត្រូវបានរំលងដោយក្រុមអភិវឌ្ឍន៍កម្មវិធី
ដើម្បីឱ្យកាន់តែច្បាស់ - CISO មានគណនេយ្យភាពនៅពេលដែលពួកគេបរាជ័យក្នុងការកំណត់អត្តសញ្ញាណហានិភ័យ ការចូលរួមជាមួយអាជីវកម្ម ឬការរាយការណ៍បញ្ហាដែលមិនទាន់ដោះស្រាយទៅកាន់ថ្នាក់ដឹកនាំ។ នោះហើយទើបជាការងាររបស់ពួកគេ។ ប៉ុន្តែការត្រូវទទួលខុសត្រូវលើការអនុវត្តការត្រួតពិនិត្យដែលពួកគេមិនបានចាត់ចែង ឬមិនបានអនុញ្ញាត គឺមិនមែនជាការងាររបស់ពួកគេទេ។
នៅពេលដែលផ្នែកសន្តិសុខសាយប័រ "ទទួលយកភាពជាម្ចាស់" លើចន្លោះប្រហោងនៃប្រតិបត្តិការ ស្ថាប័ននឹងសន្មត់ដោយស្ងៀមស្ងាត់ថា៖ "ប្រសិនបើមានអ្វីខុសឆ្គង វាជាបញ្ហារបស់ CISO"។
កម្មវិធីដែលរឹងមាំបំផុត គឺត្រូវចែករំលែកការទទួលខុសត្ររូវរវាងផ្នែកសន្តិសុខសាយប័រ (cybersecurity) អាជីវកម្ម (business) ឌីជីថលឬព័ត៌មានវិទ្យា (IT) សវនកម្ម (Audit) និងហានិភ័យ (Risk)។ សន្តិសុខសាយប័រ (Cybersecurity) គឺជាការទទួលខុសត្រូវរបស់ស្ថាប័នទាំងមូល - មិនមែនជាមុខងាររបស់មនុស្សតែម្នាក់នោះទេ។
តើអ្នកយល់យ៉ាងដូចម្តេច?
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
តើវិធីសាស្ត្រណាមួយដែលល្អបំផុត និងមានសុវត្ថិភាពបំផុតក្នុងការបង្កើត និងគ្រប់គ្រងពាក្យសម្ងាត់?
Repost from OU PHANNARITH (Cybersecurity)
អត្ថបទី៥ — ឧបករណ៍ចាស់ គ្រោះថ្នាក់ថ្មី៖ បញ្ហាឧបករណ៍ដែលគេបំភ្លេចចោល (Ghost Device) - "ឧបករណ៍ដែលគ្រោះថ្នាក់បំផុតនៅក្នុងស្ថាប័នរបស់អ្នក គឺជាឧបករណ៍ដែលគ្មានអ្នកណាម្នាក់ កំពុងនឹកគិតដល់។"
១. បរិបទទូទៅ
នៅពេលដែលក្រុមហ៊ុនបណ្តាញហាងលក់រាយដ៏ធំមួយបានធ្វើបច្ចុប្បន្នភាព (upgrade) ទៅលើម៉ាស៊ីនគិតប្រាក់ (POS) ទាំងអស់របស់ពួកគេកាលពី ៣ឆ្នាំមុន ម៉ាស៊ីនចាស់ៗត្រូវបានគេយកទៅទុកក្នុងបន្ទប់ផ្ទុកឥវ៉ាន់ — ដោយនៅតែភ្ជាប់ទៅនឹងបណ្តាញ (network) ដដែល — ដើម្បីរង់ចាំការណែនាំពីការបោះចោល ដែលមិនត្រូវបានគេប្រាប់សោះ។ ការវាយតម្លៃសុវត្ថិភាពជាប្រចាំមួយបានបង្ហាញថា ម៉ាស៊ីនដែលគេបំភ្លេចចោលទាំងនោះនៅតែមានសកម្មភាពនៅលើបណ្តាញ ដោយប្រើប្រាស់កម្មវិធីហួសសម័យដែលមានចំណុចខ្សោយ ហើយតាមការពិតវាត្រូវបានភាគីខាងក្រៅ ឬចោរព័ត៌មានវិទ្យាចូលប្រើប្រាស់រួចទៅហើយតាំងពីប៉ុន្មានខែមុនមកម៉្លេះ។
គ្មាននរណាម្នាក់គិតដល់ឧបករណ៍ចាស់ៗទាំងនោះទេ ព្រោះកាលណាបាត់ពីភ្នែក គឺពិតជាបាត់ពីការចងចាំមែន។ ប៉ុន្តែនៅក្នុងពិភពឌីជីថល "បាត់ពីការចងចាំ" មិនមែនមានន័យថា "បាត់ពីបណ្តាញតភ្ជាប់" នោះទេ។ ឧបករណ៍ខ្មោច (Ghost devices) មាននៅគ្រប់ទីកន្លែង។ អតីតបុគ្គលិកដែលធ្វើការពីផ្ទះនៅតែមានកុំព្យូទ័រយួរដៃរបស់ក្រុមហ៊ុន។ ដុំរ៉ោតទ័រ (routers) ចាស់ៗត្រូវបានជំនួសថ្មី ប៉ុន្តែមិនដែលត្រូវបានផ្តាច់ចេញពីបណ្តាញឡើយ។ ម៉ាស៊ីនមេដែលបានរៀបចំសម្រាប់គម្រោងមួយកាលពី ៥ឆ្នាំមុន នៅតែដំណើរការនៅជ្រុងមួយនៃបន្ទប់ដាក់ម៉ាស៊ីនមេ។ ថេប្លេតដែលធ្លាប់ប្រើជាប្រព័ន្ធចុះឈ្មោះភ្ញៀវត្រូវបានជំនួសថ្មី ប៉ុន្តែរបស់ចាស់ត្រូវបានគេឱ្យទៅកូនរបស់បុគ្គលិកម្នាក់បាត់ទៅហើយ។ ឧបករណ៍នីមួយៗទាំងនេះ ប្រសិនបើនៅតែតភ្ជាប់ទៅបណ្តាញរបស់អ្នក ឬនៅតែផ្ទុកទិន្នន័យក្រុមហ៊ុន គឺជាហានិភ័យសុវត្ថិភាពដ៏នៅរស់រវើក។
២. ហេតុអ្វីបានជារឿងនេះមានសារៈសំខាន់ចំពោះស្ថាប័នរបស់អ្នក
ក្រុមអ្នកវាយប្រហារតែងតែស្កេនអុីនធឺណិតយ៉ាងសកម្ម ដើម្បីស្វែងរកឧបករណ៍ដែលមិនបានធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាព និងត្រូវបានគេបំភ្លេចចោល។ ឧបករណ៍ស្វ័យប្រវត្តិដែលប្រើប្រាស់ដោយឧក្រិដ្ឋជនសាយប័រ អាចកំណត់អត្តសញ្ញាណឧបករណ៍ដែលងាយរងគ្រោះ ក្នុងរយៈពេលប៉ុន្មាននាទីប៉ុណ្ណោះ បន្ទាប់ពីពួកវាត្រូវបានភ្ជាប់ទៅអុីនធឺណិត។ ឧបករណ៍កាន់តែចាស់ និងកាន់តែត្រូវបានគេបំភ្លេចចោល វាកាន់តែមិនសូវទទួលបានការធ្វើបច្ចុប្បន្នភាពសុវត្ថិភាព — ដែលធ្វើឱ្យវាក្លាយជាគោលដៅដ៏ងាយស្រួលបំផុត។
៣. ការណែនាំ និងជំហានសម្រាប់ការអនុវត្ត
ជំហានទី 1 — ធ្វើការប្រកាសប្រមូលឧបករណ៍ (Device Amnesty)
ប្រកាសពីកម្មវិធី "ការប្រគល់ និងចុះបញ្ជីឧបករណ៍" នៅទូទាំងក្រុមហ៊ុន។ ស្នើឱ្យបុគ្គលិកទាំងអស់រាយការណ៍ពីឧបករណ៍របស់ក្រុមហ៊ុនដែលពួកគេកំពុងមាន — ទោះបីជានៅក្នុងការិយាល័យ នៅផ្ទះ ឬទុកនៅកន្លែងណាមួយក៏ដោយ។ កុំធ្វើការបន្ទោស គឺគ្រាន់តែទាមទារការទទួលខុសត្រូវប៉ុណ្ណោះ។ គោលដៅគឺដើម្បីឱ្យយើងមើលឃើញពីអ្វីដែលយើងមាន (visibility)។
ជំហានទី 2 — សវនកម្មលើការតភ្ជាប់បណ្តាញរបស់អ្នក
ស្នើឱ្យក្រុមព័ត៌មានវិទ្យារបស់អ្នកដំណើរការការស្កេនលើគ្រប់ឧបករណ៍ ដែលកំពុងតភ្ជាប់ទៅបណ្តាញក្រុមហ៊ុនរបស់អ្នកនាពេលបច្ចុប្បន្ន។ ប្រៀបធៀបបញ្ជីនោះទៅនឹងបញ្ជីឈ្មោះទ្រព្យសកម្មដែលអ្នកបានស្គាល់។ អ្វីក៏ដោយនៅលើបណ្តាញ ដែលមិនមាននៅក្នុងបញ្ជីឈ្មោះ គឺជាឧបករណ៍ខ្មោច ហើយត្រូវតែធ្វើការស៊ើបអង្កេតជាបន្ទាន់។
ជំហានទី 3 — បង្កើតដំណើរការបោះបង់ឧបករណ៍ចាស់ៗ
បង្កើតនីតិវិធីច្បាស់លាស់មួយសម្រាប់ការបោះបង់ឧបករណ៍ចាស់ៗ៖ ទិន្នន័យត្រូវតែត្រូវបានលុបចោលទាំងស្រុង (wiped) ឧបករណ៍ត្រូវតែផ្តាច់ចេញពីបណ្តាញ លុបចេញពីបញ្ជីទ្រព្យសកម្ម និងយកទៅកម្ទេចចោលផ្ទាល់តាមរយៈដំណើរការដែលមានការទទួលស្គាល់ត្រឹមត្រូវ។ មិនត្រូវមានឧបករណ៍ណាមួយត្រូវបានគេបោះបង់ចោលក្រៅផ្លូវការឡើយ។
ជំហានទី 4 — តាមដានឧបករណ៍ដែលបានប្រគល់ជូនបុគ្គលិកធ្វើការពីចម្ងាយ (Remote ឬ Hybrid)
រក្សាកំណត់ត្រានៃគ្រប់ឧបករណ៍ដែលបានចេញឱ្យបុគ្គលិកដែលធ្វើការក្រៅការិយាល័យ។ បញ្ចូលប្រភេទឧបករណ៍ លេខស៊េរី (serial number) ឈ្មោះបុគ្គលិកដែលទទួល និងកាលបរិច្ឆេទត្រួតពិនិត្យចុងក្រោយ ហើយត្រួតពិនិត្យកំណត់ត្រានេះជារៀងរាល់ត្រីមាស។
៤. អនុសាសន៍សំខាន់សម្រាប់ថ្នាក់ដឹកនាំ
តម្រូវឱ្យក្រុមព័ត៌មានវិទ្យារបស់អ្នកផ្តល់ "របាយការណ៍ឧបករណ៍ខ្មោច (Ghost Device Report)" ជារៀងរាល់ត្រីមាស — ដែលជាសេចក្តីសង្ខេបនៃឧបករណ៍ណាមួយដែលបានរកឃើញនៅលើបណ្តាញ ប៉ុន្តែមិនត្រូវបានចុះបញ្ជីផ្លូវការ ក៏ដូចជាឧបករណ៍ដែលបានចុះបញ្ជីរួច ប៉ុន្តែមិនឃើញមានវត្តមាននៅលើបណ្តាញរយៈពេលជាង 90 ថ្ងៃមកហើយ។ បញ្ជីទាំងពីរនេះបញ្ចូលគ្នា នឹងបង្ហាញពីទំហំនៃបញ្ហាឧបករណ៍ខ្មោចរបស់អ្នក។
សំណួរសម្រាប់ពិភាក្សា៖ តើអ្នកដឹងទេថា រាល់ឧបករណ៍របស់ក្រុមហ៊ុនបច្ចុប្បន្នកំពុងនៅឯណាខ្លះ — រាប់បញ្ចូលទាំងឧបករណ៍ដែលត្រូវបានយកទៅផ្ទះ ដោយបុគ្គលិកធ្វើការពីចម្ងាយ ឬអតីតបុគ្គលិក? តើដំណើរការតាមដានរបស់អ្នកមានលក្ខណៈដូចម្តេចដែរ?
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
ផលវិបាកដោយសារ AI ទៅលើការងារ ចេញរូបរាងបណ្តើរៗ !
តើអ្នកត្រូវត្រៀមខ្លួនបែបណា? ចាប់យកជំនាញណា?
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
រោងចក្រ Foxconn ដែលផ្គត់ផ្គង់ hardware សម្រាប់ Apple និង Nvidia ទទួលរងការវាយប្រហារដោយមេរោគចាប់ជំរិត!
https://www.theregister.com/cyber-crime/2026/05/12/foxconn-confirms-cyberattack-after-nitrogen-claims-apple-nvidia-data-theft/5239144
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
អត្ថបទទី៤ — ថ្ងៃដែលអាជីវកម្មគាំងដំណើរការទាំងស្រុង៖ មេរោគចាប់ជំរិត (Ransomware) - "វាមិនមែនជាសំណួរថាតើវានឹងកើតឡើងឬអត់នោះទេ — វាគ្រាន់តែជាពេលវេលាប៉ុណ្ណោះ។ ហើយនៅពេលដែលវាមកដល់ តើអ្នកត្រៀមខ្លួនរួចរាល់ហើយឬនៅ?"
១.បរិបទទូទៅ
វាជាព្រឹកថ្ងៃចន្ទ បុគ្គលិកបានមកដល់ក្រុមហ៊ុនខ្នាតមធ្យមមួយ ធ្វើការឆុងកាហ្វេនិងអង្គុយចុះដើម្បីចាប់ផ្តើមការងារប្រចាំសប្តាហ៍។ ប៉ុន្តែនៅពេលដែលពួកគេបើកកុំព្យូទ័រ មានអ្វីម្យ៉ាងប្លែកខុសធម្មតា។ គ្រប់អេក្រង់ទាំងអស់បានបង្ហាញសារដូចៗគ្នាថា៖ "ឯកសាររបស់អ្នកត្រូវបានអ៊ិនគ្រីប (ចាក់សោ)។ សូមបង់ប្រាក់ 150,000 ដុល្លារអាមេរិក ជា Bitcoin ក្នុងរយៈពេល 72 ម៉ោង បើមិនដូច្នេះទេទិន្នន័យរបស់អ្នកនឹងត្រូវលុបចោលជារៀងរហូត។" គ្រប់កុំព្យូទ័រ គ្រប់សេវើ (Server) គ្រប់ប្រព័ន្ធផ្ទុកទិន្នន័យរួម (shared drive) ត្រូវបានចាក់សោទាំងអស់។
ក្រុមហ៊ុនមិនមានទិន្នន័យបម្រុងទុក (backup) ថ្មីៗនោះទេ។ ក្រុមព័ត៌មានវិទ្យារបស់ពួកគេមិនមានកំណត់ត្រានៃប្រព័ន្ធទាំងអស់ដែលរងផលប៉ះពាល់ឡើយ ព្រោះពួកគេមិនដែលបានរក្សាទុកបញ្ជីទ្រព្យសកម្មឱ្យបានត្រឹមត្រូវ។ ពួកគេមិនដឹងថាប្រព័ន្ធមួយណាជាប្រព័ន្ធសំខាន់បំផុត និងមួយណាអាចរង់ចាំសិនបាន។ ពួកគេមិនដឹងថាម៉ាស៊ីនមេមួយណាផ្ទុកទិន្នន័យអ្វីខ្លះនោះទេ។ ការសង្គ្រោះទិន្នន័យបានក្លាយជាការលេងល្បែងទាយ ហើយទីបំផុតពួកគេបានបង់ប្រាក់ជំរិតនោះ។ ឯកសារមួយចំនួនត្រូវបានស្តារឡើងវិញ រីឯឯកសារខ្លះទៀតគឺបាត់បង់រហូត។
ក្រុមហ៊ុនបានចំណាយពេល 4 ខែបន្ទាប់ដើម្បីរៀបចំប្រតិបត្តិការឡើងវិញ ដែលក្នុងនោះបានបាត់បង់អតិថិជនសំខាន់ៗ ហើយចុងក្រោយត្រូវកាត់បន្ថយបុគ្គលិកចំនួន 30%។ ទាំងអស់នេះគឺដោយសារតែម៉ាស៊ីនមេមួយដែលមិនបានធ្វើបច្ចុប្បន្នភាព (unpatched) និងមិនបានតាមដាន — ដែលគ្មាននរណាម្នាក់ចាំថាវានៅដំណើរការនៅឡើយ — បានក្លាយជាច្រកចូលនៃមេរោគ។
២. ហេតុអ្វីបានជារឿងនេះមានសារៈសំខាន់ចំពោះស្ថាប័នរបស់អ្នក
មេរោគចាប់ជំរិត (Ransomware) មិនរើសមុខទេ។ វាវាយប្រហារសាជីវកម្មធំៗ ស្ថាប័នរដ្ឋាភិបាល មន្ទីរពេទ្យ និងអាជីវកម្មខ្នាតតូចដូចគ្នា។ ភាពខុសគ្នារវាងស្ថាប័នដែលអាចងើបឡើងវិញបានលឿន និងស្ថាប័នដែលមិនអាចងើបឡើងវិញបានសោះ គឺតែងតែមានលក្ខណៈដូចគ្នា៖ មិនមានការត្រៀមខ្លួន និងមិនមានភាពមើលឃើញ (visibility)។ ស្ថាប័នដែលដឹងច្បាស់ថាពួកគេមានអ្វីខ្លះ មានទិន្នន័យបម្រុងទុកនៅទីណា ហើយប្រព័ន្ធមួយណាដែលសំខាន់បំផុត អាចឆ្លើយតបវិញក្នុងរយៈពេលត្រឹមប៉ុន្មានម៉ោង។ អ្នកដែលមិនដឹង ត្រូវចំណាយពេលរាប់ខែ — ឬប្រហែលជាមិនអាចស្តារបានទាល់តែសោះ ឬបិទអាជីវកម្មទាំងស្រុង។
៣. ការណែនាំ និងជំហានសម្រាប់ការអនុវត្ត
ជំហានទី 1 — កំណត់អត្តសញ្ញាណប្រព័ន្ធដែល "សំខាន់បំផុត" របស់អ្នកនៅពេលនេះស្នើឱ្យក្រុមព័ត៌មានវិទ្យារបស់អ្នករាយនាមប្រព័ន្ធ ឬឧបករណ៍កំពូលទាំង 10 ដែលប្រសិនបើវាគាំងនៅថ្ងៃនេះ វានឹងធ្វើឱ្យអាជីវកម្មរបស់អ្នកបញ្ឈប់ប្រតិបត្តិការ។ ទាំងនេះគឺជាទ្រព្យសកម្មដ៏សំខាន់របស់អ្នក។ ពួកវាត្រូវការកម្រិតនៃការការពារខ្ពស់បំផុត និងផែនការបម្រុងទុក (backup plan) ដែលអាចទុកចិត្តបានបំផុត។
ជំហានទី 2 — ផ្ទៀងផ្ទាត់ស្ថានភាពទិន្នន័យបម្រុងទុក (Backup) របស់អ្នក
សម្រាប់ទ្រព្យសកម្មសំខាន់ៗនីមួយៗ សូមសួរថា៖ "តើយើងមានទិន្នន័យបម្រុងទុកដែរឬទេ? តើវាត្រូវបានសាកល្បងចុងក្រោយនៅពេលណា? តើត្រូវចំណាយពេលប៉ុន្មានដើម្បីស្តារឡើងវិញ?" ប្រសិនបើអ្នកមិនអាចឆ្លើយសំណួរទាំងនេះដោយជឿជាក់ទេ យុទ្ធសាស្ត្របម្រុងទុករបស់អ្នកត្រូវការការយកចិត្តទុកដាក់ជាបន្ទាន់។
ជំហានទី 3 — បង្កើតផែនការឆ្លើយតបជាមូលដ្ឋាន
ធ្វើការជាមួយក្រុមព័ត៌មានរបស់អ្នក ដើម្បីបង្កើតមគ្គុទ្ទេសក៍ "តើយើងត្រូវធ្វើដូចម្តេចប្រសិនបើរឿងនេះកើតឡើង" មួយទំព័រដ៏សាមញ្ញមួយ។ វាមិនចាំបាច់ស្មុគស្មាញទេ — វាគ្រាន់តែត្រូវកំណត់ថាតើនរណាទូរស័ព្ទទៅនរណា តើអ្វីត្រូវបិទមុនគេ ហើយតើអាជីវកម្មធ្វើការទំនាក់ទំនងផ្ទៃក្នុង និងខាងក្រៅយ៉ាងដូចម្តេចក្នុងអំឡុងពេលមានហេតុការណ៍មិនប្រក្រតីណាមួយ។
ជំហានទី 4 — សាកល្បងការស្តារឡើងវិញ (Recovery) របស់អ្នក
យ៉ាងហោចណាស់ម្តងក្នុងមួយឆ្នាំ សូមបង្កើតការសាកល្បងត្រាប់តាមស្ថានភាពដែលប្រព័ន្ធសំខាន់មួយគាំងដំណើរការ។ តើត្រូវចំណាយពេលប៉ុន្មានដើម្បីស្តារវាឡើងវិញ? តើមានបញ្ហាអ្វីខ្លះក្នុងដំណើរការនេះ? ការសាកល្បងបង្ហាញពីចន្លោះប្រហោងដែលការរៀបចំផែនការតែមួយមុខមិនអាចមើលឃើញ។
៤. អនុសាសន៍សំខាន់សម្រាប់ថ្នាក់ដឹកនាំ
ណែនាំក្រុមព័ត៌មានវិទ្យារបស់អ្នកឱ្យបង្កើតការវាយតម្លៃផលប៉ះពាល់អាជីវកម្ម (Business Impact Assessment) — ឯកសារសាមញ្ញមួយដែលភ្ជាប់ទ្រព្យសកម្មឌីជីថលសំខាន់ៗនីមួយៗទៅនឹងមុខងារអាជីវកម្មដែលវាគាំទ្រ និងការខាតបង់ជាប្រាក់ក្នុងមួយថ្ងៃប្រសិនបើបាត់បង់វា។ ឯកសារនេះក្លាយជាមូលដ្ឋានគ្រឹះនៃយុទ្ធសាស្ត្រសង្គ្រោះរបស់អ្នក ហើយគួរតែត្រូវបានត្រួតពិនិត្យដោយថ្នាក់គ្រប់គ្រងជារៀងរាល់ឆ្នាំ។
សំណួរសម្រាប់ពិភាក្សា៖ ប្រសិនបើកុំព្យូទ័រគ្រប់គ្រឿងនៅក្នុងស្ថាប័នរបស់អ្នកត្រូវបានចាក់សោ និងមិនអាចចូលប្រើបាននៅព្រឹកស្អែក តើអ្នកមានផែនការហើយឬនៅ?
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
អត្ថបទទី៣ — អាជីវកម្មរបស់អ្នកមាន "ទ្រព្យសកម្មឌីជីថល" ច្រើនជាងអ្វីដែលអ្នកគិត - "ប្រសិនបើអ្នកមិនអាចរាប់វាអស់នោះទេ អ្នកមិនអាចទិញធានារ៉ាប់រងឱ្យវាបានឡើយ។ ប្រសិនបើអ្នកមិនអាចទិញធានារ៉ាប់រងឱ្យវាបានទេ អ្នកមិនអាចការពារវាបានឡើយ។"
១. បរិបទទូទៅ
សាកសួរម្ចាស់អាជីវកម្មណាម្នាក់ឱ្យរាប់ទ្រព្យសកម្មរូបវន្ត (physical assets) របស់ពួកគេ ហើយពួកគេនឹងផ្តល់ចម្លើយដ៏ត្រឹមត្រូវមួយដល់អ្នក — អគារ យានយន្ត គ្រឿងសង្ហារឹម តុ ទូ គ្រឿងចក្រ ...។ ពួកគេដឹងរឿងនេះយ៉ាងច្បាស់ដោយសារតែរបស់របររូបវន្តអាចមើលឃើញ អាចប៉ះ ឬកាន់បាន និងជារឿយៗមានតម្លៃថ្លៃគ្រប់គ្រាន់ដែលតម្រូវឱ្យមានការទិញធានារ៉ាប់រង ឬរកមធ្យោបាយការពារ និងកត់ត្រាទុកបញ្ជី។
ឥឡូវនេះ សាកសួរម្ចាស់អាជីវកម្មដដែលនោះឱ្យរាយនាមទ្រព្យសកម្មឌីជីថល (digital assets) របស់ពួកគេម្តង។ ភាគច្រើននឹងឆ្លើយថា៖ "កុំព្យូទ័រ និងទូរស័ព្ទ... និងប្រហែលជាសុសវ៉ែរគណនេយ្យ។" តាមការពិត អាជីវកម្មខ្នាតមធ្យមដែលមានបុគ្គលិកពី 50 ទៅ 100 នាក់ ជាទូទៅមានទ្រព្យសកម្មឌីជីថលរាប់រយ — ដែលថ្នាក់ដឹកនាំភាគច្រើនមិនដែលបានគិតដល់៖
• កុំព្យូទ័រយួរដៃ និងទូរសព្ទដៃរបស់បុគ្គលិក
• គណនីអ៊ីមែលក្រុមហ៊ុន និងប្រអប់សាររួម (shared inboxes)
• កន្លែងផ្ទុកទិន្នន័យលើក្លោដ (Google Drive, Dropbox, OneDrive)
• មូលដ្ឋានទិន្នន័យអតិថិជន និងប្រព័ន្ធ CRM
• កម្មវិធីគណនេយ្យ និងកម្មវិធីបើកប្រាក់ខែ
• គណនីបណ្តាញសង្គម
• គេហទំព័រ និងឈ្មោះដូមេន (domain names)
• ដុំវ៉ាយហ្វាយ (Wi-Fi routers) និងឧបករណ៍បណ្តាញ
• ប្រព័ន្ធកាមេរ៉ាសុវត្ថិភាព (CCTV) ដែលតភ្ជាប់អុីនធឺណិត
• ម៉ាស៊ីនគិតប្រាក់ (POS terminals)
• ថាសរឹងផ្ទុកទិន្នន័យបម្រុងទុកចាស់ៗ (backup drives) ដែលទុកចោលក្នុងថតតុ
• អាជ្ញាប័ណ្ណកម្មវិធី (Software licenses)
• ច្រកចូលប្រើប្រាស់របស់អ្នកផ្គត់ផ្គង់ភាគីទីបី (Third-party vendor portals)
របស់មួយៗខាងលើនេះ គឺជាទ្រព្យសកម្មឌីជីថល ហើយសុទ្ធតែមានតម្លៃសម្រាប់អាជីវកម្ម។ បន្ថែមជាមួយគ្នានេះ វាក៏តំណាងឱ្យហានិភ័យដ៏ធំធេងផងដែរ ប្រសិនបើទុកចោលដោយមិនបានគ្រប់គ្រង។
២. ហេតុអ្វីបានជារឿងនេះមានសារៈសំខាន់ចំពោះស្ថាប័នរបស់អ្នក
អ្នកមិនអាចវាយតម្លៃ ដាក់ការការពារ ឬបង្កើតផែនការសង្គ្រោះសម្រាប់អ្វីមួយដែលអ្នកមិនបានដឹងថាវាមានវត្តមាននោះទេ។ ទ្រព្យសកម្មឌីជីថល — ដូចគ្នាទៅនឹងទ្រព្យសកម្មរូបវន្តដែរ — អាចធ្លាក់ថ្លៃ ហួសសម័យ ងាយរងការវាយប្រហារ និងចាំបាច់ត្រូវផ្លាស់ប្តូរថ្មី។ ប៉ុន្តែមិនដូចកៅអីបាក់ដែលយើអាចឃើញផ្ទាល់ភ្នែកនោះទេ មូលទិន្នន័យ (database) ដែលត្រូវបានគេលួចយក ឬបំពាន (hacked or breached) មិនចេះស្រែកប្រាប់យើងឱ្យដឹងនោះឡើយ។
៣. ការណែនាំ និងជំហានសម្រាប់ការអនុវត្ត
ជំហានទី 1 — ធ្វើ "ការដើរត្រួតពិនិត្យទ្រព្យសកម្មឌីជីថល"
ស្រដៀងគ្នាទៅនឹងរបៀបដែលអ្នកដើរត្រួតពិនិត្យដោយផ្ទាល់ក្នុងអង្គភាព ឬផ្ទះរបស់អ្នកដើម្បីកត់ត្រាពីអ្វីដែលមាននៅទីនោះ សូមឱ្យក្រុមព័ត៌មានវិទ្យារបស់អ្នកធ្វើសកម្មភាពស្រដៀងគ្នានេះក្នុងទម្រង់ឌីជីថល ទៅកាន់នាយកដ្ឋាននីមួយៗ ហើយសួរថា៖ "តើឧបករណ៍ ប្រព័ន្ធ និងគណនីអ្វីខ្លះដែលក្រុមនេះកំពុងប្រើប្រាស់?"
ជំហានទី 2 — ចាត់ថ្នាក់តាមប្រភេទ
ចាត់ក្រុមទ្រព្យសកម្មឌីជីថលរបស់អ្នកជាប្រភេទៗ ដើម្បីងាយស្រួលក្នុងការគ្រប់គ្រង៖
• ឧបករណ៍ — កុំព្យូទ័រយួរដៃ ទូរសព្ទ ថេប្លេត សេវើ (servers) ម៉ាស៊ីនបោះពុម្ព ដុំរ៉ោតទ័រ (routers)
• គណនីអនឡាញ — អ៊ីមែល បណ្តាញសង្គម វេទិកាក្លោដ ច្រកចូលប្រើប្រាស់របស់អ្នកផ្គត់ផ្គង់
• ទិន្នន័យ — ឯកសារអតិថិជន ទិន្នន័យហិរញ្ញវត្ថុ ឯកសារធនធានមនុស្ស កម្មសិទ្ធិបញ្ញា
• កម្មវិធី (Software & Applications) — ឧបករណ៍ដែលមានអាជ្ញាប័ណ្ណ កម្មវិធីលើវេប (web-based apps) ប្រព័ន្ធដែលបង្កើតឡើងផ្ទាល់ខ្លួន
• ហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញ — ការតភ្ជាប់អុីនធឺណិត (switches) ចំណុចតភ្ជាប់វ៉ាយហ្វាយ (Wi-Fi access points)
ជំហានទី 3 — កំណត់តម្លៃប៉ាន់ស្មានសម្រាប់អាជីវកម្ម
នៅពេលដែលរាយនាមរួចរាល់ សូមសួរសំណួរថា៖ "ប្រសិនបើយើងបាត់បង់ការចូលប្រើប្រាស់ទ្រព្យសកម្មនេះរយៈពេលមួយសប្តាហ៍ តើវានឹងធ្វើឱ្យយើងខាតបង់ប៉ុន្មាន?" លំហាត់ដ៏សាមញ្ញនេះជួយកំណត់អាទិភាពថាទ្រព្យសកម្មមួយណាត្រូវការការយកចិត្តទុកដាក់ និងការការពារខ្លាំងជាងគេ។
៤. អនុសាសន៍សំខាន់សម្រាប់ថ្នាក់ដឹកនាំ
ស្នើសុំ "របាយការណ៍ស្វែងរកទ្រព្យសកម្មឌីជីថល (Digital Asset Discovery Report)" ពីក្រុមព័ត៌មានវិទ្យារបស់អ្នក ឬអ្នកប្រឹក្សាខាងក្រៅ។ របាយការណ៍នេះគួរតែរាយនាមរាល់ទ្រព្យសកម្មឌីជីថលដែលត្រូវបានស្គាល់ អ្នកដែលជាម្ចាស់ គោលបំណងនៃការប្រើប្រាស់ និងពេលវេលាដែលវាត្រូវបានត្រួតពិនិត្យចុងក្រោយ។ ប្រសិនបើស្ថាប័នរបស់អ្នកមិនធ្លាប់បង្កើតរបាយការណ៍បែបនេះទេ សូមចាត់ទុកវាជាគម្រោងអាទិភាពរបស់អ្នកសម្រាប់រយៈពេល 30 ថ្ងៃបន្ទាប់។
សំណួរសម្រាប់ពិភាក្សា៖ សម្លឹងមើលជុំវិញការិយាល័យរបស់អ្នកឥឡូវនេះ។ តើអ្នកមើលឃើញទ្រព្យសកម្មឌីជីថលចំនួនប៉ុន្មាន ដែលក្រុមព័ត៌មានវិទ្យារបស់អ្នកកំពុងតាមដាន និងគ្រប់គ្រងជាផ្លូវការ? សាកល្បងទាយមើល — បន្ទាប់មកទៅសួរក្រុមព័ត៌មានវិទ្យារបស់អ្នក!
@OUPNarith
Repost from OU PHANNARITH (Cybersecurity)
Sustainable Finance Taxonomy for Cambodian Banking Sector (2026)
National Bank of Cambodia.
@OUPNarith
现已上线!2025 年 Telegram 研究 — 年度关键洞察 
