{องค์ความรู้} Chapter 5 ความปลอดภัยขององค์กรและความต่อเนื่องทางธุรกิจ

อ้างอิงจากหนังสือ 7th Information Technology for Management : Transforming Organizations in the Digital Economy


Chapter 5 Securing the Enterprise and Business Continuity
ความปลอดภัยขององค์กรและความต่อเนื่องทางธุรกิจ


IT security หมายถึง การปกป้องสารสนเทศ โครงข่ายการสื่อสาร และการดำเนินงานในแบบปกติทั่วๆไป และ e-commerce เพื่อให้มั่นใจว่าการรักษาความลับอย่างสมบูรณ์ หรือการพร้อมใช้ของทรัพย์สินและใช้ได้เฉพาะกับผู้มีสิทธิ์ใช้งานเท่านั้น จุดมุ่งหมายเพื่อปกป้องความเสี่ยงในการดำเนินงานที่อาจเกิดขึ้น
Operation risk หมายถึง ความเสี่ยงในการดำเนินงาน อาจก่อให้เกิดความสูญเสียใดๆซึ่งเกิดจากความไม่เหมาะสม หรือล้มเหลวของกระบวนการภายในองค์กร คนในองค์กร ระบบต่างๆหรือเหตุการณ์ภายนอก


IT security ต้องผนวกเข้ากับเป้าหมายของธุรกิจ จะแยกออกมาเป็นฟังก์ชันเพื่อดูแลไม่ได้ เพราะความล้มเหลวที่เกิดขึ้นจะส่งกระทบโดยตรงกับผลการดำเนินงานของธุรกิจ (operation) ลูกค้า คู้ค้า และผู้มีส่วนได้ส่วนเสีย
"IT Security Risks are Business Risk"


IT Security Terms
Threat (ภัยคุกคาม) บางสิ่งหรือบางคนที่อาจก่อให้เกิดความเสียหายให้กับทรัพย์สิน
Vulnerability (ช่องโหว่ความปลอดภัย) จุดอ่อนที่เป็นภัยคุกคามต่อการรักษาความลับ ความสมบูรณ์ หรือการพร้อมใช้ของทรัพย์สิน
Risk (ความเสี่ยง) โอกาสที่จะเกิดภัยคุกคาม ใช้ประโยชน์จากจุดอ่อนของระบบ
CIA triad (confidentiality, integrity, availability) หลักการพื้นฐาน 3 ประการของความปลอดภัยของ IT; ความลับ, ความสมบูรณ์, การใช้ประโยชน์ได้
Risk Management (การจัดการความเสี่ยง) กระบวนการบ่งชี้ การประเมิน และการลดความเสี่ยงสู่ระกับที่ยอมรับได้
Exposure (สิ่งที่แสดงออกมาให้เห็น) ต้นทุน ความเสี่ยง หรือความเสียหายโดยประมาณ ซึ่งเป็นผลมาจากภัยคุกคามที่ใช้ประโยชน์จากจุดอ่อนของระบบที่ถูกพบ
Exploit  เครื่องมือหรือเทคนิคที่ก่อให้เกิดประโยชน์จากจุดอ่อนของระบบ
Access control (ควบคุมการเข้าถึง)  รูปแบบความปลอดภัยถูกออกแบบเพื่อกีดขวางผู้ที่ต้องการเข้าถึงโครงข่าย ระบบสารสนเทศ หรือข้อมูล ห้ามการเข้าถึงทรัพยากรในคอมพิวเตอร์ โดยใช้การควบคุมทางกายภาพหรือทางตรรกะที่ถูกออกแบบเพื่อต่อต้านการเข้าถึงข้อมูลหรือใช้ข้อมูล
Countermeasure (มาตรการป้องกัน/วิธีการรับมือ) สิ่งที่ถูกนำมาปกป้องเพื่อใช้ลดความเสี่ยง
Audit (การตรวจสอบ) กระบวนการในการสร้าง บันทึก และทบทวนบันทึกของระบบตามลำดับของเหตุการณ์เพื่อประเมินความถูกต้อง
Encryption (การเข้ารหัสลับ) การเปลี่ยนข้อมูลไปอยู่ในรูปแบบของรหัสลับเพื่อป้องกันจากผู้ที่ำไม่ได้รับอนุญาต
Plaintext หรือ Clear-text ข้อความที่สามารถอ่านได้
Ciphertext  ข้อความที่เข้ารหัสแล้ว
Authentication (การยืนยันตัวตนการใช้งาน) โดยทั่วไปใช้ชื่อผู้ใช้และรหัสผ่าน ที่ระบบสารสนเทศใช้ยืนยันผู้มีสิทธิ์ใช้งานจริง
Malware ย่อมาจาก Malicious Software  เป็นซอฟต์แวร์ที่ประสงค์ร้ายต่อระบบ ทำให้เกิดช่องโหว่ขึ้นในซอฟต์แวร์อื่นๆ เช่น

• Virus สามารถแพร่ไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวเองเข้าไปกับไำฟล์ อาศัยไฟล์เป็นพาหะ ซึ่งสร้างความเสียหายให้กับไฟล์
• Worm คัดลอกตัวเองและสามารถส่งตัวเองไปคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัย E-mail หรือช่องโหว่ของระบบปฎิบัติการ มักไม่แพร่ไปติดไฟล์อื่น แต่สร้างความเสียหายให้กับระบบเครือข่าย
• Trojan horse หรือ RAT (Remote Administration Trojan) ไม่สามารถแพร่ไปติดไฟล์อื่นและส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นได้ ต้องอาศัยการหลอกคนใช้ให้ download ใส่เครื่องเองหรือหลอกด้วยวิธีอื่นๆ เป็นการเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อจากระยะไกลผ่านระบบเครือข่าย

Biometrics  วิธีการระบุตัวตนโดยอาศัยโครงสร้างทางกายภาพ เช่น ลายนิ้วมือ
Perimeter Security มาตรฐานความปลอดภัยเพื่อให้มั่นใจว่าผู้มีสิทธิ์ใช้เท่านั้นที่สามารถเข้าโครงข่ายได้ ส่วนที่ป้องกันระบบเครือข่ายองค์กรจากภายนอก เช่น Firewall
Endpoint Security มาตรฐานความปลอดภัยเพื่อปกป้องสิ่งที่อยู่ท้ายสุดในองค์กร เช่น คอมพิวเตอร์ส่วนบุคคล หรือ laptop ใช้โปรแกรมตรวจหาไวรัส เป็นต้น
Firewall วิธีการปกป้องโครงข่ายส่วนตัวออกจากโครงข่ายสาธารณะ (internet) โดยการวิเคราะห์ข้อมูลที่วิ่งเข้าหรือส่งออก
Packet หน่วยย่อยของข้อมูลที่ส่งผ่านโครงข่ายใดๆ ซึ่งมีส่วนหัว (header) แหล่งที่มา (source) และปลายทางที่จะไป (destination)
IP address (Internet Protocol Address) แอดเดรสเฉพาะที่ไม่ซ้ำใคร ซึ่งใช้กำหนดคอมพิวเตอร์ หรืออุปกรณ์อื่นๆที่เชื่อมต่อเข้ากับเครือข่าย
Public key infrastructure (PKI) (กุญแจสาธารณะ) ระบบที่ใช้ระบุตัวตนของผู้ส่งหรือผู้รับข้อความสาธารณะผ่านระบบเครือข่าย (Internet Message or transaction)
Intrusion detection system (IDS) (ระบบตรวจจับการบุกรุก) เครื่องมือปองกันที่ใช้ในการเฝ้าดูการจราจรในโครงข่าย packet และแจ้งเตือนเมื่อมีสิ่งที่น่าสงสัย
Router  อุปกรณ์สำหรับส่งผ่าน packet ระหว่าง 2 โครงข่ายหรือมากกว่า
Fault tolerance  ความสามารถของระบบสารสนเทศที่ยังดำเนินการต่อได้เมื่อมีข้อบกพร่องเกิดขึ้น ในช่วงระยะเวลาจำกัดหนึ่ง หรือที่มีการลดระดับการให้บริการลงจากเดิม
Backup การสำรองข้อมูลหรือโปรแกรมไว้ในที่ปลอดภัย
Spoofing  การโจมตีระบบโดยใช้ web ปลอม, การปลอมแปลง E-mail หรือใช้ข้อมูลปลอมจากการปลอมแปลง IP
Denial of Service (DoS) การโจมตีระบบโดยการส่งการขอใช้บริการหรือการเข้าถึงข้อมูลอย่างมากมายจนกระทั่งระบบให้บริการพร้อมๆกันไม่ไหว (crash or can not response) ทำงานช้าลง หรือหยุดทำงาน
DDoS (Distributed Denial of Service) การโจมตีรูแปบบเดียวกับ DOS ต่างกันที่จะใช้หลายๆเครื่องจากหลายๆจุดช่วยกัน ทำให้ส่งผลเร็วกว่าใช้เครื่องเดียว ซึ่งจะป้องกันได้ยาก
วิธีการ DDOS จะเกิดจากการที่ใช้ Bots ซึ่งเป็นโปรแกรมที่ทำหน้าที่บางอย่างอัตโนมัติ เข้าไปฝังตัวอยู่ที่เครื่องคอมพิวเตอร์ของเหยื่อและเปลี่ยนคอมพิวเตอร์เครื่องนั้นให้เป็น Zombies เพื่อที่จะรองรับคำสั่งต่างๆจากผู้โจมตี
Zombie คอมพิวเตอร์ที่ถูกฝัง Bots จะถูกควบคุมผ่านทาง internet โดยผู้อื่นที่ไม่มีสิทธิ์ใช้งานเครื่องคอมพิวเตอร์นั้น เช่น hacker
Botnet (roBot network) การรวบรวม bot ต่างๆ (คอมพิวเตอร์ที่ติด software robot แล้ว) ซึ่งเครือข่ายคอมพิวเตอร์จะถูกควบคุมจากระยะไกลจาก botmaster หรือ bot herder ให้ทำอาชญากรรมออนไลน์ผ่านเครือข่าย internet โดยอาศัยโปรแกรมที่ฝังไว้ในเครื่อง ผ่าน Malware, Spyware, Virus หรือ Worm
ภัยคุกคามที่ก่อให้เกิด botnet 

• Spyware ซอฟต์แวร์ที่ซ่อนอยู่ในเครื่องที่คอยรวบรวมข้อมูลสารสนเทศเกี่ยวกับผู้ใช้ หรือกิจกรรมต่างๆ เครื่องอาจถูกสั่งให้เฝ้าดูหรือขโมยข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน
• Adware เครื่องจะถูกสั่ง download และแสดงข้อความโฆษณา หรือบังคับให้ไปยัง web ที่ต้องการ
• Spam เครื่องจะส่งอีเมลขยะออกไปยังเครื่องอื่นๆ
• Phising การโจมตีในรูปแบบของการปลอมแปลง E-mail (Email Spoofing) และทำการสร้าง website ปลอม เพื่อทำการหลอกลวงให้เหยื่อเปิดเผยข้อมูลทางด้านการเงิน หรือข้อมูลส่วนบุคคล เช่น ข้อมูลบัตรเครดิต, บัญชีผู้ใช้งาน(Username) และรหัสผ่าน(Password), ข้อมูลหมายเลขบัตรประชาชน
• DoS

Cyber-Blackmail  โดย hacker จะแอบเข้ารหัสข้อมูล (Trojan encrypt) ของผู้ใช้แล้วเรียกร้องเงินในการการถอดรหัส


จาก 9/10 ของปัญหาความปลอดภัย มาจากปัจจัย
1.การกระทำผิด เป็นความผิดพลาดจากคน  (Human error)
2.ระบบเกิดความบกพร่อง (Malfunction)
3.ความเข้าใจผิด ซึ่งเป็นผลมาจากการเพิ่มซอฟต์แวร์ที่เข้ากันไม่ได้กับระบบเดิม
4.แรงจูงใจ


ระบบรักษาความปลอดภัยและการควบคุมภายในองค์กร (IT Security and Internal Control Model)
การควบคุมภายในองค์กร คือ กระบวนการที่ออกแบบเพื่อรับประกันการดำเนินงานที่มีประสิทธิภาพและรายงานทางการเงินที่เชื่อถือได้

1.ผู้บริหารระดับสูงต้องมีความมุ่งมั่นและให้การสนับสนุน
2.นโยบายและการอบรมด้านความปลอดภัย เป็นการสร้างโปรแกรมความปลอดภัยด้าน IT ที่มีประสิทธิภาพ
สิ่งสำคัญที่ต้องมี acceptance use policy (AUP) คือ การระบุการกระทำของผู้ใช้ที่ยอมรับได้หรือไม่ได้ เพื่อแจ้งให้ผู้ใช้ทราบถึงความรับผิดชอบ เพราะ
- เพื่อป้องกันไม่ให้นำสารสนเทศและทรัพยากรที่เกี่ยวข้องกับคอมพิวเตอร์ไปใช้ในทางที่ผิด
- เพื่อเป็นการลดปัญหาเกี่ยวกับการปรับเงิน การลงโทษ และการฟ้องร้องทางกฎหมาย
3.กำหนดระเบียบปฏิบัติด้านความปลอดภัยและการบังคับใช้
4.เครื่องมือทางด้านความปลอดภัย Hardware & Software ซึ่งต้ิองสนับสนุนการดำเนินการทางด้านความปลอดภัย ทั้งการกำหนดนโยบายและการบังคับใช้

ช่องโหว่ระบบสารสนเทศและภัยคุกคาม (IS Vulnerabilities and Threats)

จุดอ่อนของระบบสารสนเทศจะมากขึ้นเมื่อเข้าสู่โลกเครือข่ายโดยเฉพาะคอมพิวเตอร์ไร้สาย (wireless computing) ภัยคุกคามที่ใ้ช้ประโยชน์จากจุดอ่อนมีทั้งที่ไม่ได้ตั้งใจและตั้งใจ

ภัยคุกคามที่ไม่ได้ตั้งใจ

1.ความผิดพลาดของคน

2.ภัยธรรมชาติ เช่น แผ่นดินไหว น้ำท่วม ไฟไหม้ เป็นต้น

3.ระบบคอมพิวเตอร์ล้มเหลว เกิดจากกระบวนผลิต หรือวัตถุดิบที่ไม่ดี

ภัยคุกคามที่เกิดจากความตั้งใจ เช่น การโจรกรรมข้อมูล, ใช้ข้อมูลไม่เหมาะสม, การขโมยอุปกรณ์หรือโปรแกรม, การถ่ายโอนข้ิอมูล, ก่อจราจล, ก่อวินาศกรรม, ซอฟต์แวร์ที่ทำลายระบบ, การหลอกลวงทางอินเตอร์เน็ต


ประเภทของอาชญากรและอาชญากรรมทางคอมพิวเตอร์

อาชญากรรมทางคอมพิวเตอร์ จากคนภายนอกทำการบุกรุกเข้ามาในระบบคอมพิวเตอร์ หรือคนที่มีสิทธิ์ใช้ระบบแต่ใช้ในทางที่ผิด โดย 

- Hacker บุคคลภา่ยนอกที่บุกรุกเข้าำำไปในระบบคอมพิวเตอร์

- Cracker แฮกเกอร์ที่ประสงค์ร้าย หรือเรียกว่า Black-hat hacker ส่วน White-hat hacker ผู้ที่ทำตัวเป็นแฮกเกอร์เพื่อทดสอบระบบ หาจุดอ่อน

วิธีการโจมตีคอมพิวเตอร์

1.เข้าไปยุ่งเกี่ยวกับข้อมูล

2.โจมตีผ่านทางโปรแกรม เช่น Virus, Worm, Trojan horse ที่เรียกว่า Malware

การป้องกัน Malware
1.เทคโนโลยีต่อต้าน Malware (Anti-Malware Technology)

ควรระวัง!!  Software ของโปรแกรม Aniti-Malware บางตัวจะทำไว้หลอกให้ download ไปใช้ หลังจากที่ติดตั้งเสร็จแล้ว มันจะเตือนภายในเครื่องมี Virus หรือ Spyware แฝงอยู่ แล้วหลอกให้ซื้อโปรแกรมทางอินเตอร์เน็ตเพื่อกำจัด ผลกระทบจริงๆหลังจากติดตั้งโปรแกรมหลอกลงไปในเครื่องคอมพิวเตอร์ จะทำให้ข้อมูลภายใน harddisk ตกอยู่ในอันตราย และทำให้คอมพิวเตอร์ช้าลงอย่างเห็นได้ชัด

2.ระบบตรวจจับผู้บุกรุก (Intrusion Detection System ;IDS) 
ระบบที่ hardware หรือ software ได้รับการออกแบบเพื่อให้ตรวจจับผู้บุกรุก รวมถึงVirus โดยจะทำการวิเคราะห์ข้อมูลทั้งหมดที่ผ่านเข้าออกเครือข่าย และจะทำการแจ้งเตือนให้ผู้ดูแลระบบ
3.ระบบป้องกันผู้บุกรุก  (Intrusion Prevention System ;IPS)
ระบบมีลักษณะคล้าย IDS แต่มีความสามารถพิเศษมากกว่าคือการตรวจพบข้อมูลที่มีลักษณะการทำงานที่เสี่ยงต่อระบบเครือข่าย ระบบจะทำการป้องกันข้อมูลไม่ให้เข้าระบบเครือข่าย


ภัยอันตรายต่อความปลอดภัยในโลกไซเบอร์
1. การเพิ่มขึ้นของการโจมตีผ่าน website ที่หลอกให้เชื่อ ซึ่งจะเจาะเข้ามาทาง browser ที่มีช่องโหว่ (บางโปรแกรมยังไม่ถูก update) โดยเฉพาะ website ที่น่าเชื่อถือทั้งหลาย
2. การเพิ่มขึ้นของ botnet ทำให้หลงเชื่อ
3. การโจรกรรมบนโลกไซเบอร์เพิ่มมากขึ้น เพราะความต้องการขโมยข้อมูล
4. ภัยคุกคามต่อโทรศัพท์เคลื่อนที่
5. ภัยคุกคามที่เกิดจากภายใน
6. การโจรกรรมข้อมูล จาก bot ที่ฝังตัวอยู่ในเครื่องเป็นเวลานาน
7. การเพิ่มขึ้นของ Malware
8. ความปลอดภัยของ Web Application ถูกเจาะ ซึ่งเป็นผลมาจาก programming error
9. การเพิ่มขึ้นของการหลอกลวงในเชิง Social Engineering (ระบบรักษาความปลอดภัย ใช้กลอุบายให้ผู้ใช้คอมพิวเตอร์เปิดเผยข้อมูล) รวมถึงการ Phising ร่วมกับ VoIP และ Event Phising (การหลอกให้หลงเชื่อ)
10. การโจมตีห่วงโซ่อุปทาน (Supply Chain) ผ่านทางอุปกรณ์ เช่น thumb drive, GPS ซึ่งกรจายมาจากองค์กรที่เชื่อถือได้

การจัดการระบบรักษาความปลอดภัย IT (IT Security Management Practices)
วัตถุประสงค์ของกลยุทธ์การป้องกันและควบคุม
1.ป้องกันและยังยั้ง ความผิดพลาดที่จะเกิดขึ้น, อาชญากรรมจากการโจมตีระบบ
2.ตรวจจับ ก่อนที่การโจมตีจะเกิดขึ้น โดยการใช้โปรแกรมวิเคราะห์
3.จำกัดความเสียหาย เพื่อลดหรือจำกัดการสูญเสียที่จะเกิดขึ้น
4.กู้คืน ซ่อมแซมข้อมูลที่เสียหายอย่างรวดเร็ว
5.ทำให้ถูกต้อง ป้องกันไม่ให้การทำลายระบบเกิดขึ้นอีก
6.การตระหนักถึงระบบความปลอดภัยและปฏิบัติตาม

Major Defense Controls

รักษาความปลอดภัยเครือข่าย (Network Security)

Security Layer

Layer1 - วัตถุประสงค์หลักของ Perimeter security (หรือ border security) คือ ควบคุมการเข้าถึงข้อมูล (Access control) ด้วยเครื่องมือ เช่น Firewalls, Malware Controls, ระบบตรวจจับ (IDS), ระบบเครื่อข่ายเสมือนจริง (Virtual Private Networking ;VPN)

Layer2 - ทำ Authentication เป็นการพิสูจน์ตัวตนก่อน อาจจะเป็นจุดอ่อนให้ทำการ Phishing หรือโจรกรรมข้อมูล จึงต้องออกแบบให้ใช้ปัจจัย 2 ตัวหรือมากกว่าที่แตกต่างกัน
คำถามหลักที่ต้องถามเมื่อกำหนดระบบพิสูจน์
(1) Who are you?
(2) Where are you?
(3) What do you want?
Layer3 - จากนั้นเป็น Authorization การอนุญาตให้ผู้ใช้ดำเนินงานตามสถานะ

ระบบเครือข่ายไร้สาย 
เครือข่ายไร้สายป้องกันความปลอดภัยได้ยากกว่าเครือข่ายที่ใช้สาย การติดตั้ง Wireless Access Points (APs หรือ WAPs) เอาไว้หลัง Firewall หรือสิ่งป้องกันความปลอดภัยอื่นๆ อาจเป็นประตูหลัง (backdoor) เข้าสสู่เครือข่าย ส่วนข้อมูลที่มีความอ่อนไหวที่ไม่ได้เข้ารหัสลับ หรือการเข้ารหัส weak cryptographic technique เช่น wired equivalent privacy (WEP) ที่ใช้กับอุปกรณ์ไร้สาย เมื่อมีการรับส่งสัญญาณระหว่างอุปกรณ์ไร้สาย 2 ตัว สัญญาณอาจถูกตัดและถูกเปิดเผย

การควบคุมภายในและการจัดการให้ปฏิบัติตาม 
(Internal Control and Compliance Management)
การควบคุมภายใน เป็นการทำงานที่ตั้งขึ้นสำหรับพนักงาน เืพื่อให้บรรลุถึง
(1) ความน่าเชื่อถือของรายงานการเงิิน
(2) ความมีประสิทธิภาพในการปฏิบัติงาน
(3) ความสอดคล้องกับกฎหมาย
(4) การปฏิบัติให้เป็นไปตามกฎและนโยบาย
(5) ความปลอดภัยของทรัพย์สิน

กฎระเบียบต่อต้านการทุจริตทั่วโลก (Worldwide Anti-Fraud Regulations)
การวัดความเสี่ยงที่อาจก่อให้เกิดความสูญเสีย
1. การหลอกลวงภายใน
2. การหลอกลวงภายนอก
3. แนวทางการปฏิบัติในการจ้างงานและความปลอดภัยในสถานที่ทำงาน
4. แนวทางการปฏิบัติที่เกี่ยวข้องกับธุรกิจ สินค้าและลูกค้า
5. การชำรุดเสียหายของทรัพย์สิน
ุ6. การหยุดชะงักของธุรกิจและระบบล้มเหลว
7. การจัดการด้านการปฏิบัติงาน การจัดส่งและกระบวนการ

ความต่อเนื่องทางธุรกิจและการวางแผนหลังเกิดหายนะ 
(Business Continuity and Disaster Recovery Planning)

• จุดมุ่งหมายของความต่อเนื่องทางธุรกิจ ทำให้ธุรกิจดำเนินต่อไปได้หลังเกิดความเสียหายขึ้น
• กาีรวา่งแผนกู้คืน (Recovery planning) เป็นส่วนของการปกป้องทรัพย์สิน
• การวางแผนควรเน้นไปที่การกู้คืนจากการสูญเสียความสามารถโดยรวมทั้งหมด
• พิสูจน์ความสามารถของแผนการวิเคราะห์ What-if analysis ซึ่งจะแสดงแผนกู้คืนปัจจุบัน
• Application ทั้งหลายต้องระบุได้และกระบวนการกู้คืนถูกกำหนดไว้แล้ว
• ควรเขียนแผนให้ใช้งานได้ในทางปฏิบัติเมื่อเกิดความเสียหายขึ้น
• ควรเก็บแผนในที่ปลอดภัย เก็บสำเนาให้ผู้บริหารหลักๆ

การตรวจสอบและการจัดการความเสี่ยง (Auditing and Risk Management)

การตรวจสอบเป็นส่วนสำคัญของระบบควบคุม ผู้ตรวจสอบสามารถเข้าไปสังเกตการณ์และยังยั้งไม่ให้เกิดอาชญากรรม โดยเฉพาะภายใน ซึ่งผู้่้ตรวจสอบต้องตอบคำถาม เช่น

- ในระบบมีการควบคุมเพียงพอหรือไม่? การควบคุมไม่ครอบคลุมส่วนใด?

- การควบคุมใดที่ไม่จำเป็น?

- การควบคุมต่างๆนำมาใช้อย่างเหมาะสมหรือไม่?

- การควบคุมมีประประสิทธิภาพหรือไม่? มีการตรวจสอบ output ของระบบหรือไม่? 

- การแบ่งหน้าที่ต่างๆของพนักงานชัดเจนหรือไม่?

- กระบวนการต่างๆแสดงความสอดคล้องกับการควบคุมหรือไม่?

- การะบวนการต่างๆในการรายงานและแก้ไขข้อบกพร่อง ในกรณีที่มีการเบี่ยงเบนออกจากการควบคุมหรือไม่?

การจัดการความเสี่ยงและการวิเคราะห์ผลประโยชน์เชิงต้นทุน
โปรแกรมความปลอดภัยของสารสนเทศ จะต้องประเมินภัยคุกคาม และตัดสินใจเรื่องใดควรเตรียม หรือควรหยุดไว้
วิเคราะห์การจัดการความเสี่ยง (Risk-Management Analysis) สามารถวิเคราะห์ด้วยซอฟต์แวร์ DDS แต่ถ้าเป็นการคำนวณแบบง่าย

Expected loss = P1 x P2 x L

เมื่อ P1 = ความเป็นไปได้ที่ถูกโจมตี โดยประมาณ

                [probability of attack (estimate, based on judgment)]

       P2 = ความเป็นไปได้ที่ถูกโจมตีสำเร็จ โดยประมาณ

                [probability of attack being successful (estimate, based on judgment)]

         L = ความสูญเสียหลังจากที่ถูกโจมีสำเร็จ 

                [Loss occurring if attack is successful]

----------------------------------------------------------------------------------------------------