Identity and Access Management… ระบบระบุตัวตนและจัดการการเข้าถึงทรัพยากร #DeepTechDriven

การทำงานแบบแบ่งปันทรัพยากรดิจิทัล ไม่ว่าจะเป็นเครือข่ายองค์กรที่รองรับการทำงานแบบ Work From Home เต็มรูปแบบ รวมทั้งให้ Remote Access เข้ามาในระบบขององค์กรเพื่อเข้าถึงข้อมูลและทรัพยากรดิจิทัลขององค์กรที่จำเป็นต้องใช้ทำงานจากที่ไหนบนโลกใบนี้ก็ได้… ซึ่งการจะเปิดใช้ระบบขององค์กรให้รองรับการเชื่อมต่อจากภายนอกได้โดยไร้รอยต่อของคนในองค์กร จำเป็นจะต้อง “ระบุตัวตน หรือ Indentify” ว่าใครเป็นใครให้ถูกต้องแม่นยำ เพื่อจัดการ “ระดับการเข้าถึง หรือ Access Level” โดยผิดพลาดเป็นศูนย์

ปัญหาการระบุตัวตนเพื่อเข้าถึงทรัพยากรในระบบ ก็เหมือนปัญหาประตูบ้านกับการเข้าบ้านโดยสะดวกแต่ก็ต้องปลอดภัยพอที่คนอื่นจะมาบุกรุกเปิดประตูบ้านเราเข้ามาง่ายๆ ไม่ได้… ความย้อนแย้งเรื่องปิดกั้นให้แน่นหนาแต่ต้องเข้าออกได้ง่าย จึงเป็นเรื่องน่าเบื่อหน่ายสำหรับหลายๆ คนที่มีปัญหากับ Username และ Password ที่บางคนเคยเจอมรสุมชีวิตลูกเล็กๆ เพราะ Username และ Password จนถอดใจกันมาแล้ว… ซึ่งปัญหา Username และ Password ถือเป็น Pain Point ของคนทั้งโลกที่ทุกคนล้วนเข้าใจความจำเป็น แต่ส่วนใหญ่ก็เซ็งกันท่วมใจกันเสมอเวลาลืม Password 

ข่าวดีก็คือ… ปัจจุบันมีระบบระบุตัวตนและจัดการการเข้าถึงทรัพยากร หรือ Identity and Access Management หรือ IAM ที่จะเข้ามาช่วยเราให้เหนื่อยหน่าย Username และ Password น้อยลงได้มาก ซึ่งการยืนยันตัวภายใต้แนวคิด IAM จะครอบคลุม…

1. Single sign-on หรือ SSO หรือ การระบุตัวตนเพื่อเข้าใช้งานใน System โดยการพิสูจน์ตัวตนเพียงครั้งเดียว… หาก User ต้องการเข้าใช้งาน Application อื่น ๆ ระบบ SSO ก็จะทำการ Log-in ให้เองโดยอัตโนมัติ จากนั้นจะตรวจสอบความถูกต้องของ User เมื่อต้องการเข้าถึง
2. Multi-Factor Authentication หรือ การยืนยันตัวตนแบบหลายปัจจัย เช่น Password และ คำถามลับเพื่อกู้รหัสผ่าน… ส่งรหัสผ่านให้ email หรือ SMS หรือ Application ที่ระบุไว้เท่านั้น… สแกนลายนิ้วมือ หรือ ใบหน้า
3. Privileged Access Management หรือ PAM หรือ การจัดการการเข้าถึงข้อมูลที่มีความสำคัญกับองค์กร… โดยเฉพาะบัญชีที่มีสิทธิ์เข้าถึงทรัพยากรระดับสูง สำคัญ หรือ อ่อนไหว เช่น ระดับการเข้าถึงของ Administrator ที่บัญชีเหล่านี้มักเป็นเป้าหมายของอาชญากรไซเบอร์ 
4. Risk-Based Authentication หรือ RBA… ซึ่งเป็นระบบ หรือ กลไกการตรวจสอบความเสี่ยงจากอุปกรณ์… IP Address หรือ ตำแหน่งบน GPS อ้างอิง 
5. Data Governance หรือ ธรรมาภิบาลด้านข้อมูล… ซึ่งเป็นมาตรฐานการผลิตและใช้ข้อมูลเพื่อรับประกันว่าข้อมูลนั้นมีความพร้อมใช้งาน… ถูกต้อง… ปลอดภัย… สามารถใช้งานได้ และ มีมาตรฐานหรือมาตรการของการใช้งานข้อมูลที่ถูกต้อง เชื่อถือได้ และ ไม่ถูกนำไปใช้ในทางที่ผิด
6. Federated Identity Management หรือ การจัดการข้อมูลตัวตนแบบศูนย์รวม… โดยจะมีการแบ่งปัน Digital Identities กับ Partner ที่ชื่อถือได้ซึ่งทำให้ User สามารถใช้งานได้หลากหลายธุรกิจร่วมกันเพียงด้วย Credential หรือ Token ชุดเดียว
7. Zero-Trust… ที่จะจัดการระบบ หรือ บุคคล หรือ อุปกรณ์ใด ทั้งจากภายนอก และ ภายในเครือข่าย ให้ต้องมีการตรวจสอบ และ ยืนยันตัวตนอยู่เสมอโดยไม่มียกเว้น

อย่างไรก็ตาม… ระบบที่กล่าวมาทั้งหมดจะเป็นงานของ Administrator ที่ทำงานกับระบบหลังบ้าน หรือ Back-End โดยสมาชิกองค์กรหรือผู้ใช้งานทั่วไปไม่ต้องรู้เรื่องอะไรมากก็ได้… แต่ผู้ใหญ่ หรือ ผู้นำองค์กรในยุคนี้ควรต้องใส่ใจและให้ความสำคัญให้มาก… เพราะถ้าไม่เท่าทันเรื่อง IAM ก็มักจะพลาดพลั้งเรื่องความปลอดภัยทางไซเบอร์ได้ง่ายๆ เหมือนที่หน่วยงานรัฐเจ้าชีวิตคนไทยบางแห่ง ทำข้อมูลชาวบ้านรั่วไปหมดประเทศอย่างที่คนไทยเจอนั่นเอง

References…

• https://www.forbes.com 
• https://www.microsoft.com 
• https://www.cyfence.com