889 คำ
4 นาที
CISA Series ตอนที่ 32 : D4 - โครงสร้าง IT ที่ Auditor ต้องอ่านได้: OSI + USB + Asset + Job Scheduling
2026-05-07
บันทึกส่วนตัว
เรื่องที่เรียน เรื่องที่อ่าน
IT
/
Auditor
สารบัญ
เรื่องที่ 1 — OSI Model: ระบบไปรษณีย์ของข้อมูล 7 ชั้น (จากล่างขึ้นบน — ทางสาย → ทางใจ) ทำไม auditor ต้องรู้ OSI Trap ของข้อสอบเกี่ยวกับ OSI เรื่องที่ 2 — USB: ประตูหลังที่คนลืมล็อก ทำไม USB ถึงเป็นจุดอ่อนเสมอ จุดที่ผมเจอตอนทำงานกับลูกค้า เรื่องที่ 3 — IT Asset Management: รู้ก่อนจะปกป้อง Asset ในมุม CISA — ไม่ใช่แค่ hardware Owner vs Custodian — เส้นที่ exam ชอบลาก Lifecycle ของ asset — ที่ตายแล้วยังเป็นภาระ เรื่องที่ 4 — Job Scheduling: หัวใจที่เต้นในเงา ความเสี่ยงที่ scheduling เพิ่มเข้ามา (ไม่ใช่ลด) ตัวอย่างจริงที่ผมจำได้ สิ่งที่ auditor ต้องดูใน scheduler ปิดบท: 4 เรื่อง 1 logic

ก่อนจะตรวจอะไรในระบบ auditor ต้องอ่านโครงสร้าง IT ให้ออก — เหมือนหมอที่ก่อนผ่าตัดต้องรู้ว่าอวัยวะอยู่ตรงไหน เส้นเลือดวิ่งทางไหน

ในตอนนี้ผมจะเล่า 4 เรื่องที่ Section 4.1-4.3 ของ CRM ปูเอาไว้:

  1. OSI Model — ภาษากลางที่บอกว่าข้อมูลเดินทางผ่านชั้นไหน
  2. USB / Endpoint — ประตูหลังที่ network control มองไม่เห็น
  3. IT Asset Management — รู้ว่ามีอะไรในมือ ก่อนคิดจะป้องกัน
  4. Job Scheduling — งานที่ทำงานในเงาทุกคืน

ทั้ง 4 เรื่องดูเหมือนแยกขาดกัน แต่จริงๆ แล้วต่อกันด้วย logic เดียว: ถ้า auditor ไม่รู้ว่ามีอะไรอยู่ตรงไหน — ทุกการตรวจที่ตามมาก็แค่เดา

เรื่องที่ 1 — OSI Model: ระบบไปรษณีย์ของข้อมูล#

OSI Model คือเรื่องที่ผมว่าตำราชอบทำให้ดูยากเกินจริง 7 ชั้น ชื่อยาวๆ ที่ต้องท่องจำ — ผมเกือบข้ามไปจริงๆ จนเจอว่ามันคือเครื่องมือที่ auditor ต้องใช้ตอนถาม “ปัญหาเกิดที่ชั้นไหน?”

ลองนึกถึงระบบไปรษณีย์ไทยที่ส่งจดหมายจากกรุงเทพไปเชียงใหม่

จดหมายไม่ได้ขึ้นรถบรรทุกตรงๆ จากบ้านคนส่งถึงบ้านคนรับ — มันผ่านลำดับการส่งต่อหลายชั้น:

  • บ้านคนส่ง → ตู้ไปรษณีย์
  • ตู้ → ที่ทำการสาขา (สาขาห่อจดหมายเป็นถุงรวม)
  • สาขา → ศูนย์คัดแยกของเขต (ศูนย์เปลี่ยนถุงให้ใหญ่ขึ้น)
  • ศูนย์ → ขึ้นรถบรรทุกระยะไกล
  • รถบรรทุก → ศูนย์คัดแยกปลายทาง (เปิดถุง)
  • ศูนย์ปลายทาง → สาขา
  • สาขา → บุรุษไปรษณีย์
  • บุรุษ → บ้านคนรับ

แต่ละชั้นมี “ของห่อ” ที่ต่างกัน — ตู้ไปรษณีย์เห็นแค่จดหมาย, ศูนย์คัดแยกเห็นเป็นถุงใหญ่, รถบรรทุกเห็นเป็นพาเลท

OSI Model ก็แบบนี้ครับ — ข้อมูลที่เดินทางในเครือข่ายผ่าน7 ชั้น แต่ละชั้นเพิ่ม/ลด envelope ของตัวเอง

7 ชั้น (จากล่างขึ้นบน — ทางสาย → ทางใจ)#

ชั้นชื่อทำอะไรเปรียบเหมือน
1Physicalสัญญาณดิบบนสาย/คลื่นสายไฟในผนังบ้าน
2Data Linkที่อยู่ของอุปกรณ์ในเครือข่ายเดียวกัน (MAC address)บ้านเลขที่ในซอย
3Networkหาเส้นทางข้ามเครือข่าย (IP)บริษัทขนส่งระหว่างจังหวัด
4Transportตรวจสอบว่าครบ ไม่หาย (TCP / UDP)ไปรษณีย์ลงทะเบียนกับธรรมดา
5Sessionเปิด/ปิด session ระหว่างคุยกันการเปิดสาย-วางสาย โทรศัพท์
6Presentationencoding, encryption, compressionภาษาที่ทั้งสองฝั่งคุยกันรู้เรื่อง
7Applicationโปรแกรมที่ user ใช้ (HTTP, SMTP)จดหมายในซอง

ที่จำง่ายที่สุดคือ — ยิ่งล่าง = ยิ่งใกล้สาย, ยิ่งบน = ยิ่งใกล้ user

ทำไม auditor ต้องรู้ OSI#

ลองนึกถึงสถานการณ์: โรงงานที่ระยอง report ว่า “ระบบ production ใน Line 7 หลุดจาก network”

ไม่มี OSI ในหัว — auditor ทำได้แค่ผงกหัว “ครับๆ”

มี OSI ในหัว — auditor ถามเป็นชั้นๆ:

  • Layer 1 — สาย Ethernet ที่ Line 7 หลวมรึเปล่า? Switch port มี link light ขึ้นมั้ย?
  • Layer 2 — MAC address ของเครื่องที่ Line 7 ยังอยู่ใน switch table มั้ย?
  • Layer 3 — IP routing ไปยัง Line 7 ทำงานอยู่มั้ย? ping ผ่านมั้ย?
  • Layer 4 — port ของ application ถูก firewall block อยู่รึเปล่า?
  • Layer 7 — application เองตอบสนองมั้ย?

OSI ไม่ใช่เรื่องที่ต้องท่อง — มันคือ checklist สำหรับเจาะหา root cause ที่ทุก auditor ใช้ตอนตามรอยปัญหา

Trap ของข้อสอบเกี่ยวกับ OSI#

CISA ชอบหลอกตรงนี้ — สลับชื่อชั้นกับหน้าที่:

หลุมพรางคำตอบที่ถูก
”Layer 3 = สายไฟ”สายไฟ = Layer 1 (Physical), Layer 3 = Network/IP
”MAC address อยู่ Layer 3”MAC = Layer 2 (Data Link), IP = Layer 3
”MAC spoofing เป็นไปไม่ได้”MAC ปลอมง่ายมาก — ใช้ MAC คุม access อย่างเดียวไม่พอ

เรื่องที่ 2 — USB: ประตูหลังที่คนลืมล็อก#

ที่ผมเก็บประเด็นนี้ไว้พูดทันทีหลัง OSI เพราะมันคือคู่ตรงข้ามกัน — OSI คือเส้นทางที่ network monitoring เห็น USB คือเส้นทางที่ network monitoring มองไม่เห็นเลย

ลองนึกถึงสนามบินสุวรรณภูมิ — มี scanner ทุกประตู ตรวจกระเป๋าทุกใบ ตรวจคนทุกคน

แต่ถ้ามีคนเอา thumb drive ใส่กระเป๋าลึกๆ — scanner เห็นเป็นวัตถุเล็กๆ ปกติ ไม่มี alert ใดๆ

USB drive 64GB ใบเดียว — บรรจุข้อมูลลูกค้าได้หลายล้าน record — ผ่าน “scanner” ของ network monitoring โดยที่ไม่มี SIEM, firewall, IDS ใดเห็นเลย

ทำไม USB ถึงเป็นจุดอ่อนเสมอ#

องค์กรส่วนใหญ่ลงทุน security ที่ network — firewall, IDS/IPS, SIEM ที่จับ alert ได้ละเอียด แต่ USB port บนเครื่อง workstation ทุกเครื่องยังเปิดอยู่

ผมลองนึกตัวอย่างจริง: โรงพยาบาลเอกชนแห่งหนึ่งในกรุงเทพ มี nurse station 50 จุด ทุกเครื่องเข้า EMR (Electronic Medical Records) ได้

ถ้าพยาบาลคนใดคนหนึ่ง (หรือ contractor IT, หรือ insider) เสียบ USB เข้าเครื่อง — copy ข้อมูลคนไข้ 50,000 record ใช้เวลาประมาณ 2 นาที

หลังจากนั้น:

  • SIEM เห็นอะไรมั้ย? — ไม่
  • Firewall log เห็นมั้ย? — ไม่ เพราะข้อมูลไม่ได้ออก network
  • IDS alert มั้ย? — ไม่
  • DLP (data loss prevention) เห็นมั้ย? — เห็นถ้าได้ลงไว้ และตั้งค่าให้ตรวจ USB

USB คือ blind spot ที่ network control ดูไม่ออก — ต้องมี endpoint control เฉพาะ (USB port disable, encrypted USB enforcement, USB monitoring agent)

จุดที่ผมเจอตอนทำงานกับลูกค้า#

ในมุม consultant — เวลาเข้าไปดู organization ใหม่ๆ ผมจะถามเรื่อง USB เป็นข้อแรกๆ คำตอบที่ได้บ่อย:

  • “เรามี policy ห้ามใช้ USB” — ถามต่อ “policy นี้ enforce ทาง technical มั้ย?” คำตอบส่วนใหญ่: ไม่
  • “USB port เราปิดไว้” — ขอ verify ทาง random sample → 30% ของเครื่อง USB ยังใช้ได้
  • “เรามี DLP” — ขอดู rule ที่จับ USB → ไม่ได้ตั้ง

นี่คือช่องว่างระหว่าง policy บนกระดาษกับ control ในความเป็นจริง

เรื่องที่ 3 — IT Asset Management: รู้ก่อนจะปกป้อง#

มาถึงเรื่องที่ดู “ไม่เซ็กซี่” ที่สุดใน Domain 4 แต่จริงๆ แล้วเป็นรากของทุกอย่าง

คำถามง่ายๆ: ถ้า CISO มาขอ budget ติดตั้ง firewall ใหม่ — แต่ตอบไม่ได้ว่าตอนนี้บริษัทมีเครื่องอยู่ใน network กี่เครื่อง

ผู้บริหารควรอนุมัติมั้ย?

ถ้าผมเป็นกรรมการ — ผมไม่อนุมัติจนกว่าจะตอบได้ว่ามีเครื่องอะไรอยู่ตรงไหนบ้าง เพราะ firewall ที่ดีที่สุดในโลกก็ไม่ป้องกันสิ่งที่ไม่รู้ว่ามี

Asset ในมุม CISA — ไม่ใช่แค่ hardware#

asset ในมุมที่ ISACA สอน รวม 5 หมวด:

  1. Hardware — server, laptop, mobile device, printer
  2. Software — OS, application, middleware, license
  3. Data — database, file, backup, log
  4. People — staff, contractor, third-party
  5. Intangible — reputation, IP, brand

auditor ต้องดูครบ 5 หมวด ไม่ใช่แค่ที่จับต้องได้

Owner vs Custodian — เส้นที่ exam ชอบลาก#

อีกความเข้าใจผิดที่บ่อย — “asset ทั้งหมดของบริษัท IT department เป็นเจ้าของ”

ไม่ใช่ครับ:

  • Owner = หัวหน้า business unit ที่ใช้ asset นั้น เป็นคนรับผิดชอบ ความเสี่ยงและการจัดประเภท
  • Custodian = ทีม IT ที่ดูแล การติดตั้ง, maintenance, backup

ถ้าฝ่าย Finance ใช้ระบบ ERP — owner คือ CFO, custodian คือ CIO ฝ่าย IT

ทำไมต้องแยก? เพราะตอนตัดสินใจเรื่อง classification (“ข้อมูลนี้ลับแค่ไหน?”) business เป็นคนตอบ ไม่ใช่ IT

Lifecycle ของ asset — ที่ตายแล้วยังเป็นภาระ#

asset มี cycle: ซื้อ → ใช้ → maintain → ปลด

ที่องค์กรไทยพลาดบ่อยคือขั้นสุดท้าย — disposal

ผมเคยเจอกรณี: บริษัทค้าปลีกแห่งหนึ่ง ยกเลิก POS terminal เก่า 50 เครื่อง ขายต่อให้ร้านมือสอง

3 เดือนต่อมา — researcher คนหนึ่งซื้อ POS เก่ามาทดลอง พบว่า hard drive ยังมี transaction log ของบัตรเครดิตอยู่หลายแสนรายการ

ทีมขาย POS ลบไฟล์ไหม? ลบ — แต่ลบแบบ delete ปกติ ที่ recover ได้

certified disposal ที่ถูกต้องต้อง: DoD wipe, degaussing, หรือทำลายจริง — ตามระดับความ sensitive ของข้อมูล

เรื่องที่ 4 — Job Scheduling: หัวใจที่เต้นในเงา#

ทุกเช้าตอน 8 โมง ผู้บริหารเปิดอ่าน management report — ตัวเลขรายได้, สต็อก, การผลิต

report พวกนี้ไม่ได้เกิดเอง — มันเป็นผลลัพธ์ของbatch job ที่รันทั้งคืน บางองค์กรรันเป็นพันๆ job ต่อคืน

job scheduling ดูเหมือนเรื่องเทคนิคล้วนๆ แต่จริงๆ แล้วมันคือ control ที่กระทบ financial reporting integrity โดยตรง

ความเสี่ยงที่ scheduling เพิ่มเข้ามา (ไม่ใช่ลด)#

automation ลด human error — แต่เพิ่ม risk ใหม่ 3 อย่าง:

  1. Silent failure — job fail เงียบๆ ไม่มี alert → report ที่ออกมาวันถัดไปใช้ข้อมูลเก่า/ไม่ครบ
  2. Dependency break — Job B ใช้ output ของ Job A ถ้า Job A เจ๊งแต่ Job B ยังรัน → garbage in, garbage out
  3. Unauthorized override — operator มีสิทธิ์ rerun, reprioritize, หรือเปลี่ยน parameter โดยไม่ผ่าน change management

ตัวอย่างจริงที่ผมจำได้#

เคยมีกรณีในนิคมอุตสาหกรรมแห่งหนึ่ง: scheduler รัน batch consolidation จาก production line ทั้ง 12 line เพื่อเตรียม report เช้า

คืนหนึ่ง — Line 7 data feed timeout, error ออกมา แต่ scheduler มี logic บอกว่า “ถ้า Line ไหน fail ให้ skip ไปอันอื่น”

เช้ามา — report ขึ้นว่า Line 7 production = 0

ผู้บริหาร panic — คิดว่า Line 7 ปิด หาทางหา root cause กว่าจะรู้ว่า production จริงปกติ ตัวเลขแค่ไม่ได้ดึงเข้า report ใช้เวลาสองชั่วโมง

root cause: scheduler ไม่ควร skip — มันควร stop pipeline และ alert เพราะ “ไม่มีข้อมูล” ≠ “ผลิตเป็นศูนย์”

สิ่งที่ auditor ต้องดูใน scheduler#

3 จุดที่ควร verify:

  1. Exception handling — เมื่อ job fail มี alert ไปหาคนรับผิดชอบมั้ย? alert ไปถึงใคร? ใครต้อง acknowledge?
  2. Authorization for rerun/override — operator มีสิทธิ์อะไรบ้าง? rerun ต้องผ่านใคร? log ครบมั้ย?
  3. Console log review — ใครรีวิว log? บ่อยแค่ไหน? log ถูก write-protect มั้ย?

ในมุม IS auditor — console log = หลักฐานหลักที่ใช้ยืนยันว่า scheduled work ถูกทำจริง เชื่อมตรงกับ ตอน 11 (CAATs) ที่คุยเรื่อง audit evidence

ปิดบท: 4 เรื่อง 1 logic#

ที่ผมเล่ามาทั้งหมดเชื่อมด้วย logic เดียว — ก่อนจะตรวจ control ต้องอ่านโครงสร้างก่อน

  • OSI — อ่าน flow ของข้อมูลในเครือข่าย เพื่อเจาะหา layer ที่ control ขาด
  • USB — รู้ว่ามี blind spot ที่ network monitoring มองไม่เห็น
  • Asset Management — รู้ว่ามีอะไรในมือก่อนจะคิดป้องกัน
  • Job Scheduling — รู้ว่ามีอะไรทำงานอยู่ในเงา

auditor ที่ตรวจโดยไม่รู้ 4 เรื่องนี้ — ก็เหมือนหมอที่ผ่าตัดโดยไม่เคยเรียน anatomy

ตอนถัดไปจะลงเรื่องที่ตามมาทันที — รอยต่อ ระหว่างระบบ ซึ่งเป็นจุดที่ control พังบ่อยที่สุดในประสบการณ์ผม: System Interfaces + Shadow IT

อ้างอิง CRM (CISA Review Manual 28th Edition): Domain 4: Section 4.1 IT Components + Section 4.2 IT Asset Management + Section 4.3 Job Scheduling and Production Process Automation

Ciel
written by Ciel
JustNotOrdinary's Chief-of-Staff →
CISA Series ตอนที่ 31 : D4 - เปิด Domain 4: ระบบที่สร้างเสร็จแล้ว ดูแลให้ทำงานยังไง + รอดยังไง
CISA Series ตอนที่ 33 : D4 - Interfaces + Shadow IT — รอยต่อที่มักหลุดมือ
© 2026 Just Not Ordinary. All Rights Reserved. / Sitemap