ประวัติอาจารย์ผู้สอน blog นี้สร้างขึ้นโดยมีวัตถุประสงค์เพื่อเป็นงานส่วนหนึ่งของ รายวิชา ITM 633: การจัดการความมั่นคงปลอดภัยสารสนเทศ หลักสูตรวิทยาศาสตรมหาบัณฑิต โดยมีอาจารย์ พ.อ.รศ.ดร.เศรษฐพงศ์ มะลิสุวรรณ เป็นผู้สอน RSU CYBERU : MSITM  มหาวิทยาลัยรังสิต ประวัติอาจารย์ผู้สอน พ.อ. รศ. ดร. เศรษฐพงศ์ มะลิสุวรรณ Mobile: 081-870-9621 Email Address: settapong_m@hotmail.com: จบการศึกษา   ระดับปริญญาตรี ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จากโรงเรียนนายร้อยพระจุลจอมเก้า (เกียรตินิยมเหรียญทอง)   ระดับปริญญาโท ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จาก Geogia Institute of Technology ประเทศสหรัฐอเมริกา โดยทุนกองทัพไทย   ระดับปริญญาเอก ด้านวิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม จาก State University System of Florida (Florida Atlantic University) ประเทศสหรัฐอเมริกา โดยทุนกองทัพไทยหลักสูตรเสนาธิการทหารบก ในระหว่างรับราชการในกองบัญชาการกองทัพไทยได้รับคัดเลือกจากกระทรวงกลาโหมสหรัฐอเมริกา เพื่อเข้ารับการฝึกอบรมในหลักสูตรต่อต้านก่อการร้ายสากล (Counter Terrorism Fellowship Program) ที่ National Defense University, Washington D.C. หลักสูตรการบริหารทรัพยากรเพื่อความมั่นคง (Defense Resource Management) ที่ Naval Postgraduate School, Monterey, CA ประเทศสหรัฐอเมริกา   ประสบการณ์ด้านการวิจัย มีประสบการณ์การวิจัยหลายด้านเช่น - Electromagnetic Interference and Compatibility (EMI/EMC) - Mobile Cellular Communication, Satellite Communication - Broadband Communication และ ICT Management and Policy ผลงานตีพิมพ์ระดับนานาชาติทั้งในวารสารการประชุมระดับนานาชาติและวารสารวิจัยระดับนานาชาติที่เป็นที่ยอมรับมากกว่า 80 ฉบับ   ประสบการณ์การทำงาน ประสบการณ์การทำงานที่หลากหลาย เช่น - อาจารย์โรงเรียนนายร้อยพระจุลจอมเกล้า - เลขานุการประธานกรรมการ บริษัท กสท โทรคมนาคม จำกัด (มหาชน) โดยมี พลเอกมนตรี สังขทรัพย์ เป็นประธานบอร์ด - คณะกรรมการกำกับดูแล การดำเนินงานและโครงการของ บริษัท กสท โทรคมนาคม จำกัด (มหาชน) - นายทหารฝ่ายเสนาธิการประจำเสนาธิการทหารบก - คณะกรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสารและโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน กทช. - คณะกรรมการเทคโนโลยีสารสนเทศและการสื่อสาร สำนักงานตรวจเงินแผ่นดิน - คณะทำงานวางระบบเทคโนโลยสารสนเทศ C4ISR กองทัพบก - ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง - คณะอนุกรรมการ การประชาสัมพันธ์ สื่อทางอินเทอร์เน็ต ศาลยุติธรรม - ที่ปรึกษาคณะอนุกรรมาธิการพิจารณาศึกษาหามาตรการในการป้องกันการแพร่ระบาดของเกมส์คอมพิวเตอร์ สภาผู้แทนราษฎร - คณะอนุกรรมาธิการทรัพยากรน้ำในคณะกรรมาธิการทรัพยากรธรรมชาติและสิ่งแวดล้อม สนช. - ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัย พัฒนาและวิศวกรรม ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) - ผู้เชี่ยวชาญเพื่อพิจารณาข้อเสนอโครงการวิจัยและพัฒนา กระทรวงกลาโหม - ที่ปรึกษาโครงการดาวเทียมเพื่อความมั่นคง ศูนย์พัฒนากิจการอวกาศเพื่อความมั่นคง กระทรวงกลาโหม - นักวิจัย (Visiting Researcher), Asian Center for Research on Remote Sensing (ACRoRS); Asian Institute of Technology - กรรมการพิจารณาผลงานวิจัยในวารสารวิจัยระดับนานาชาติหลายแห่ง   ปัจจุบัน: - ปฏิบัติหน้าที่ในตำแหน่ง นายทหารฝ่ายเสนาธิการประจำรองผู้บัญชาการทหารสูงสุด กองบัญชาการกองทัพไทย (พลเอกมนตรี สังขทรัพย์) - อาจารย์พิเศษโรงเรียนนายร้อยพระจุลจอมเกล้า - กองบรรณาธิการ NGN Forum กทช. - คณะอนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคง ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) - Associate Professor of New Hampshire University, USA.   Create Date : 15 มีนาคม 2552     0 comment Last Update : 15 มีนาคม 2552 9:36:47 น.     Counter : 1063 Pageviews.   Share Tweet

BCP and DRP (Individual Report) BUSINESS CONTINUITY PLANNING: BCP and  DISASTER RECOVERY PLANNING: DRP            สำหรับองค์กรธุรกิจในยุคปัจจุบันนี้ ข้อมูลข่าวสารเปรียบเสมือนสินทรัพย์หลักที่สำคัญยิ่งกว่าบุคลากรหรือสถานที่ทำงาน แต่กลับเป็นส่วนที่ได้รับการปกป้องและคุ้มครองน้อยที่สุด สังเกตได้จากสถานที่ทำงานส่วนมากจะมีผู้รักษาความปลอดภัย, สัญญาณกันขโมย, สัญญาณเตือนเมื่อเกิดอัคคีภัย, หรือประตูที่มีระบบควบคุมการเข้า-ออก แต่ตัวข้อมูลข่าวสารนั้น กลับไม่มีระบบการรักษาความปลอดภัยเท่าที่ควร ซึ่งบริษัทที่ใช้เทปแบคอัพข้อมูลมีเพียง 60% ส่วนอีก 40% นั้น ไม่มีการแบคอัพข้อมูลไว้เลย             หากเหตุการณ์ที่ไม่คาดคิดเกิดขึ้นกับองค์กร อย่างเช่น ตึกออฟฟิศเกิดถล่มลง หรือเกิดไฟไหม้ หรือภัยรุนแรงทางธรรมชาติ หรือแม้แต่อุบัติเหตุที่มิคาดฝัน จะเห็นได้ว่า สำหรับกรณีดังกล่าวนี้ การแบคอัพข้อมูลแบบออนไซด์ก็ไม่สามารถรักษาข้อมูลทั้งหมดขององค์กรไว้ได้เช่นกัน ซึ่งอาจจะต้องสูญเสียข้อมูลทั้งหมด ทั้งข้อมูลในรูปแบบกระดาษและอิเลคโทรนิค             หากผลกระทบรุนแรงจนถึงขั้นต้องหยุดกระบวนการทางธุรกิจลงในชั่วขณะ หรือเป็นระยะเวลาที่ยาวนานจนเกิดความเสียหายแก่ผลิตภัณฑ์ หรือการให้บริการ เราจำเป็นจะต้องแก้ไขระบบสารสนเทศและกระบวนการทางธุรกิจให้สามารถกลับมาอยู่ในสภาวะปกติได้ ซึ่งอาจจะต้องใช้ระบบสารสนเทศอีกส่วนเป็นตัวช่วยเหลือเพื่อกู้วิกฤติการณ์ดังกล่าวและจำเป็นจะต้องพัฒนาแผนเพื่อรับมือกับเรื่องดังกล่าว ที่รู้จักกันโดยทั่วไปในชื่อของ “แผนรับมือภาวะฉุกเฉินทางธุรกิจ: Business Continuity Plan”            เรื่องของ BCP และ DRP ปัจจุบันกลายเป็นเรื่องที่ทุกองค์กรที่มี File, Server, Application Server หรือ Database Server ต้องให้ความสำคัญกับเรื่องนี้ เนื่องจากธุรกิจ หรือ ธุรกรรมต่าง ๆ ต้องพึ่งพาอาศัย ICT แทบทั้งสิ้น ข้อมูลทุกอย่างล้วนถูก Digitized เก็บเป็นรูปแบบลักษณะเชิงเลข Binaryที่มีแต่ 0 กับ 1 ในอนาคตเราต้องฝากความหวังไว้กับ High-End Storage และ ระบบ Clustered Server ที่ค่อนข้างจะเชื่อถือได้ และ มี Availability แต่ในความเป็นจริงแล้ว ไม่มีระบบใด ในโลกนี้ที่จะไม่มีการ Down หรือ หยุดทำงาน เนื่องจากทุกวันนี้ ต้องยอมรับว่ามี ภัย (Threat) ทั้งภายใน และภายนอก (Internal Threat and External Threat) ที่จะทำให้ระบบต้องหยุดทำงาน             BCP คือ แผนที่จะทำให้ธุรกิจดำเนินต่อไปได้แม้อยู่ในสถานการณ์คับขัน ขั้นตอนแรกของ BCP หรือ DRP ก็คือ ต้องทำการประเมินความเสี่ยง (Risk Evaluation) ให้กับระบบขององค์กร โดยสำรวจที่มาของ Threat ต่าง ๆ ทั้งภายในและภายนอก แล้วแบ่งแยกเป็น Primary Threat และ Secondary Threat จากนั้นต้องหาวิธีที่จะทำอย่างไร ที่จะลดความเสี่ยงให้น้อยที่สุดเท่าที่จะทำได้            BIA หรือ "BUSINESS IMPACT ASESSMENT" คือ การประเมินผลกระทบกับธุรกิจหากมี DISASTER เกิดขึ้น DISASTER มีความแตกต่างจาก NON-DISASTER กล่าวคือ NON-DISASTER เป็นการที่ระบบหยุดทำงาน เนื่องจาก ความผิดพลาดบางประการของระบบเองโดยมีผลกระทบกับระบบบางส่วน เราต้องมีการเตรียมการรองรับเหตุการณ์ เพื่อให้ระบบของเราสามารถทำงานต่อได้โดยไม่สะดุด แต่ DISASTER ตัวอย่างเช่น ไฟไหม้ หรือน้ำท่วม นั้นทำให้ระบบของเราหยุดทำงานไปทั้งระบบ และ เป็นระยะเวลานานซึ่งอาจต้องใช้ OPERATION PROCESSING FACILITY สำรอง แทนระบบจริงที่ยังไม่สามารถใช้งานได้ ซึ่งเรามักจะเรียกว่า "OFFSITE BACKUP" ได้แก่ HOT SITE, WARM SITE และ COLD SITE ทั้งนี้ขึ้นกับงบประมาณ และลักษณะธุรกิจว่าจะเลือกใช้วิธีไหน            ในการสร้างโมเดลธุรกิจชั้นสูงนั้น สามารถช่วยให้เราประเมินความเสี่ยงที่มีอยู่ในองค์กร หรือมองเห็นจุดเชื่อมต่อของเหตุการณ์ที่ก่อให้เกิดการเปลี่ยนแปลงในทางลบกับธุรกิจ เพื่อที่จะได้ดำเนินการแก้ไขปัญหาได้อย่างลุล่วง ดังนั้นเราจำเป็นจะต้องทำการประเมินธุรกิจและผลกระทบอย่างรอบคอบเสียก่อน             เหตุผลอีกประการหนึ่งของความจำเป็นที่จะต้องทำการวิเคราะห์ผลกระทบทางธุรกิจก็คือ ในเบื้องต้นนั้นเทคโนโลยีที่เราสนใจยังคงไม่มีรูปแบบลักษณะที่ชัดเจนสักเท่าไรนัก ถ้าหากซื้อเครื่องแม่ข่ายศูนย์ข้อมูลเข้ามาใช้งานตั้งแต่ก่อนเกิดวิกฤติการณ์เราคงจะไม่พบกับปัญหาใหญ่ขนาดนี้และธุรกิจน่าจะอยู่รอดปลอดภัย แต่จากจำนวน Notebook PC และอุปกรณ์ Hi-Technology อื่นๆ ทำให้อาจไม่มีความจำเป็นต้องซื้อเครื่องแม่ข่ายมาทำหน้าที่ศูนย์ข้อมูลด้วยซ้ำ หรือไม่ก็เพราะว่าเราไม่สามารถลงทุนในทุกอย่างที่เราต้องการได้ทั้งหมด ซึ่งก็ต้องทราบดีว่าจุดไหนที่มีความสำคัญในแผนกลยุทธ์ที่จำเป็นและต้องใส่เทคโนโลยีลงไปจึงจะสามารถพาไปถึงเป้าหมายทางธุรกิจได้             ปัจจัยที่เป็นตัวแปรอิสระส่วนใหญ่จะกลายมาเป็นสิ่งทั่วไปมากยิ่งขึ้นเรื่อยๆ สำหรับวิกฤติการณ์หรือภัยพิบัติต่างๆจากกรณีภัยธรรมชาติ หรือจากฝีมือมนุษย์ที่เห็นกันมาแล้วนั้น จะพบว่าก่อนเกิดพายุใหญ่ น้ำท่วม หรือแผ่นดินไหว หรือเหตุความไม่สงบจะมีองค์กรเพียงไม่กี่แห่งที่สนใจพิจารณาว่าจะเกิดอะไรขึ้นหากเมืองทั้งเมือง ไม่สามารถติดต่อสื่อสารอะไรกันได้เลย ซึ่งความเสี่ยงจากเหตุการณ์ดังกล่าวจะมีผลกระทบกับรายได้ ตลาดสินค้าและบริการเสียหายมากกว่าครั้งไหนๆ ที่เคยเกิดขึ้นมา เราจึงต้องคำนึงถึงการป้องกันและกำจัดความเสี่ยงใดๆที่มีอยู่ เพราะหากรอให้ถึงวันที่เกิดขึ้นกับข้อมูลสำคัญแล้วล่ะก็ ความเสียหายอาจจะมากจนไม่สามารถรับผิดชอบได้ ดังนั้น ฝ่ายสารสนเทศขององค์การจะต้องมีความเข้าใจในการขึ้นต่อกันในแต่ละกระบวนการในธุรกิจบนโครงสร้างพื้นฐานที่องค์กรมีอยู่             ขั้นตอนใหญ่ขั้นแรกของการประเมินการจัดการความเสี่ยงในกรอบของการทำงานที่ดีที่สุดตามกฎเกณฑ์ของหลายๆองค์กรที่เป็นที่ยอมรับระดับสากล เช่น                  COSO (Committee of Sponsoring Organizations of the Tread way Commission) เป็นส่วนเพิ่มเติมในฝั่งของธุรกิจ โดยเน้นหนักไปในด้านการควบคุมหน่วยธุรกิจ หรือการปกครองที่ต่างออกไป แทนที่จะให้ความสนใจเฉพาะเพียงด้านสารสนเทศเพียงด้านเดียว                  COBIT (Control Objectives for Information and relates Technology) เป็นกรอบเค้าโครงสำหรับการควบคุมทางเทคโนโลยีสารสนเทศเพื่อลดความเสี่ยงหรือทำให้การทำความเข้าใจความเสี่ยงที่มีอยู่ในระหว่างการทำโมเดลของกระบวนการให้สามารถทำได้ง่ายยิ่งขึ้น                  ITIL (Information Technology Infrastructure Library) จะดูที่ความต่อเนื่องกันของธุรกิจ การจัดการความเปลี่ยนแปลงต่างๆที่จะเกิดขึ้น รวมถึงปัญหาและการจัดการกิจกรรมต่างๆที่อาจจะเกิดขึ้นจากมุมมองทางด้านฝั่งงานบริการ                  ISO/IEC (International Organization for Standardization and the International Electro technical Commission) 17799:2005 รวบรวมเอาแบบอย่างที่ดีที่สุดในหลายกรณี สำหรับการจัดการความปลอดภัยของข้อมูลและระบบข้อมูลสารสนเทศ               มาตรฐานที่มาจากองค์กรเหล่านั้นทั้งหมดล้วนแล้วแต่เป็นส่วนประกอบสำคัญของการวางแผนกรทำงานอย่างต่อเนื่อง              หัวใจหลักของการทำ Continuity plan นั้น ต้องเริ่มจากการทำโมเดลในตัวธุรกิจเองอย่างระมัดระวังมากที่สุด หมายถึงต้องมีความเข้าใจลึกซึ้งถึงเป้าหมายของธุรกิจ ลำดับความสำคัญ ฟังก์ชั่นการทำงาน กระบวนการที่เกี่ยวข้อง บุคลากรและผู้เชี่ยวชาญที่อยู่ในกระบวนการดังกล่าว ฝ่ายสารสนเทศจะต้องเข้าใจพื้นฐานธุรกิจขององค์กร รวมถึงเข้าใจความขึ้นต่อกันของแต่ละกระบวนการ แต่ละกิจกรรมภายใต้โครงสร้างพื้นฐานทางธุรกิจนั้นๆด้วย                คำจำกัดความตามมาตรฐาน BS25999-1:2006 “Business continuity: strategic and tactical capability of the organization to plan for and respond to incidents and business disruption in order to continue business operations at an acceptable pre-defined level”              จะเห็นได้ว่ามี Key word ที่สำคัญๆอยู่ในคำนิยามนี้ที่เรียกได้ว่าเป็นหัวใจหรือจุดมุ่งหมายของการทำ BCM เพื่อให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่องในยามที่เกิดเหตุไม่คาดฝันขึ้น อันก่อให้เกิดการหยุดชะงักของกิจกรรมทางธุรกิจขึ้น และการดำเนินการได้อย่างต่อเนื่องในการทำ BCM นั้น ไม่ได้หมายถึงการที่สามารถทำทุกอย่างหรือมีทุกอย่างได้เหมือนกับในสถานการณ์ปกติ (business as usual) แต่ต้องเพียงพอให้สามารถดำเนินธุรกิจต่อไปได้ สามารถทำให้มีธุรกิจต่อไปได้ และเกิดความเสียหายน้อยที่สุด process หรือ business function อะไรที่ไม่จำเป็นในช่วงเวลาที่เกิดภาวะวิกฤต ก็อาจจะละเว้นไว้ก่อนก็ได้ ในขณะที่พยายามรักษาและกู้กลับงานที่มีความสำคัญในการให้บริการหรือรักษาโครงสร้างสำคัญๆ เอาไว้ให้ได้     องค์ประกอบหลักของ BCM ตามมาตรฐาน BS25999:2006 ประกอบไปด้วย 1.     BCM program management ถือได้ว่าเป็นหัวใจของกระบวนการทั้งหมด ที่ผู้บริหารระดับสูงต้องเข้ามามีส่วนร่วมเพื่อให้แน่ใจได้ว่ามีการจัดทำ BCM อย่างเหมาะสม และได้รับการสนับสนุนอย่างเพียงพอ 2.     Understand the organization การประเมินความเสี่ยง (Risk assessment) และการวิเคราะห์ผลกระทบทางธุรกิจ (Business impact analysis) เป็นกิจกรมสำคัญหลักในข้อนี้ที่จะทำให้สามารถจัดระดับความสำคัญของ product หรือ service และเป็นการวิเคราะห์เพื่อระบุความเร่งด่วนของกิจกรรมต่างๆ และระดับความสามารถที่ต้องการ เพื่อนำไปเป็นข้อมูลสำคัญในการกำหนดกลยุทธ์ในข้อต่อไป 3.     Determine business continuity strategy การกำหนดกลยุทธ์ในภาพรวมจะทำให้การเลือกกิจกรรมหรือระบบรองรับสนับสนุนสำหรับแต่ละ product และ service เป็นไปอย่างสอดคล้อง และไปในทิศทางเดียวกัน เช่น การกำหนดระดับของการดำเนินการที่ยอมรับได้ หรือการกำหนดขอบเขตของช่วงเวลาที่ยอมรับได้ เป็นต้น 4.     Develop and implement a BCM response หลังจากที่ได้มีการกำหนดกลยุทธ์เป็นที่เรียบร้อยแล้ว ก็จะใช้กรอบดังกล่าวมาจัดทำแผนงาน เพื่อให้เป็นไปตามกรอบยุทธศาสตร์ที่กำหนดไว้ โดยจัดทำแผน IMP : Incident Management Plan, BCP : Business continuity plan, DRP: Disaster recovery plan 5.     BCM exercising, maintaining and reviewing BCM arrangements กิจกรรมในข้อนี้เป็นกิจกรรมที่ทำให้แน่ใจได้ว่า BCM ที่ได้จัดทำขึ้นนั้น สามารถใช้ได้จริง และมีข้อมูลที่เป็นปัจจุบันไม่ล้าหลัง หรือมีข้อมูลอ้างอิงที่ไม่สามารถนำมาใช้ได้ 6.     Embedding BCM in the organization’s culture การทำให้ BCM ผสมกลมกลืนเข้าจนเป็นวัฒนธรรมองค์กรนั้นไม่ใช่เรื่องง่ายและต้องใช้เวลา ที่จะทำให้พนักงานทุกคนได้ซึมซาบและเข้าใจถึงความสำคัญของ BCM ตลอดจนบทบาทหน้าที่ที่ทุกคนพึงมีเพื่อให้ธุรกิจสามารถดำเนินต่อไปได้ในยามที่เกิดเหตุวิกฤต รูปที่ 1  BCM programme management ประโยชน์ของ BCM   องค์กรสามารถบอกได้ถึงผลกระทบและความเสียหายหากเกิดเหตุให้การดำเนินงานหยุดชะงัก   มีการตอบสนองต่อสถานการณ์ที่ดี อันเป็นการลดผลกระทบที่จะเกิดขึ้นกับองค์กร   ทำให้เกิดการประสานงานแบบข้ามสายงาน (cross-team working)   แสดงศักยภาพขององค์กรในการตอบสนองต่อสถานการณ์รูปแบบต่างๆในรูปแบบของการซักซ้อม   เป็นการยกระดับภาพพจน์ที่ดีให้กับองค์กรในแง่ของการบริหารจัดการที่ดี หรือ Good Governance   เป็นการสร้างความมั่นใจให้กับ stakeholders, business partners และ customers ถึงความสามารถในการให้บริการหรือให้ผลผลิตได้ในระดับที่ได้ตกลงไว้    Disaster Recovery Plan (DRP) หรือ แผนฟื้นฟูภัยพิบัติ บางครั้งได้รับการเรียกว่า business process contingency plan (BPCP) อธิบายถึงองค์กรในความเกี่ยวข้องกับภัยพิบัติ โดยภัยพิบัติเป็นเหตุการณ์ที่ทำให้ความต่อเนื่องของการทำงานปกติเป็นไปไม่ได้ แผนฟื้นฟูหายนะภัยพิบัติ ประกอบด้วยการระมัดระวังที่เตรียมไว้ ดังนั้นผลกระทบของความหายนะจะทำให้น้อยลงและองค์กรจะสามารถทั้งการบำรุงรักษาหรือภาระกิจการทำงานวิกฤติดำเนินต่อไปอย่างรวดเร็ว ตามปกติแผนฟื้นฟูภัยพิบัติเกี่ยวข้องกับการวิเคราะห์กระบวนการทางธุรกิจและความต้องการต่อเนื่อง ซึ่งอาจจะรวมถึงการเน้นหนักกับการป้องกันภัยพิบัติ        การฟื้นฟูภัยพิบัติกำลังกลายเป็นมุมมองสำคัญอย่างมากของคอมพิวเตอร์ของผู้ประกอบการ ในฐานะอุปกรณ์ ระบบ และเครือข่ายกลายเป็นความซับซ้อนมากขึ้น มีหลายสิ่งมากขึ้นที่สามารถผิดพลาดตามผลกระทบ แผนการฟื้นฟูได้กลายเป็นความซับซ้อนมากขึ้น ตามที่ Jon William Toigo (ผู้เขียน Disaster Recovery Planning) กล่าวถึงตัวอย่างว่า สิบห้าปีหรือยี่สิบปีก่อน ถ้ามีการคุกคามระบบจากไฟ แผนฟื้นฟูภัยพิบัติอาจจะประกอบด้วยการตัดไฟเครื่องเมนเฟรมและเครื่องคอมพิวเตอร์อื่น ก่อนระบบสปริงเกอร์ทำงาน การแยกส่วนประกอบ และการอบแห้งแผ่นวงจรในที่จอดรถด้วยเครื่องเป่าผม ระบบองค์กรปัจจุบันมีแนวโน้มใหญ่ขึ้นและซับซ้อน การขัดจังหวะของบริการหรือสูญเสียข้อมูลสามารถมีผลกระทบทางการเงินรุนแรง ทั้งทางตรงหรือผ่านความสูญเสียความเชื่อมั่นของลูกค้า        แผนที่เหมาะสมจะแปรผันตามแต่ละองค์กรธุรกิจ ขึ้นกับตัวแปร เช่น ประเภทของธุรกิจ กระบวนการที่เกี่ยวข้อง และระดับของความปลอดภัยที่ต้องการ แผนการฟื้นฟูภัยพิบัติอาจจะพัฒนาภายในองค์กรหรือจัดซื้อบริการหรือโปรแกรมประยุกต์ อย่างไรก็ตาม องค์กรส่วนใหญ่ยังเตรียมตัวน้อยเกินไปสำหรับภัยพิบัติ ตามรายงานของไซต์ Disaster Recovery  “ถึงแม้ว่าจำนวนของภัยพิบัติสาธารณะค่อนข้างมากตั้งแต่เหตุการณ์ 9/11 มีบริษัทเพียงร้อยละ 50 รายงานว่ามีแผนฟื้นฟูภัยพิบัติ พวกเหล่านั้นที่ได้ทำ เกือบครึ่งไม่เคยทดสอบแผนของพวกเขา ซึ่งเป็นจำนวนเท่ากันที่ไม่เคยมีเลย”        DRP หรือ DISASTER RECOVERY PLANNING เป็นแผนที่จะต้องเตรียมไว้ในการกู้ระบบในกรณีที่ระบบล่ม (System Down) ดังแผนภาพต่อไปนี้ รูปที่ 2 Enterprise Operations Cycle of Disaster Recovery   DRP ประกอบไปด้วยกระบวนการดังต่อไปนี้คือ -          Identification and Analysis of Disaster Risks / Threats รูปที่ 3 Risk Attributes -          Classification of risks Based on Relative Weights     External Risks     Facility Risks     Data Systems Risks     Departmental Risks     Desk-Level Risks -          Building the Risk Assessment -          Determining the Effects of  Disasters     List of Disaster Affected Entities     Downtime Tolerance Limits     Cost of Downtime     Interdependencies รูปที่ 4 Disaster Effects Diagram -          Evaluation of disaster Recovery Mechanisms -          Disaster Recovery Committee รูปที่ 5 Call Tree Chart    IT DRP สามารถตอบโจทย์การวางแผนกู้คืนศูนย์ข้อมูลสารสนเทศได้อย่างรวดเร็ว และช่วยในการควบคุมการสูญเสียให้น้อยที่สุด ซึ่งมีผลในการรักษาชื่อเสียงและธุรกิจขององค์กร ทั้งลูกค้าและคู่ค้าให้เกิดความมั่นใจในความมั่นคงของธุรกิจองค์กรมากขึ้น ซึ่งเป็นประโยชน์มากสำหรับองค์กรที่ต้องการความมั่นใจและการรับประกันว่า ไม่ว่าจะเกิดอุบัติภัยใดๆขึ้นก็ตาม องค์กรจะยังสามารถกู้ข้อมูลทั้งหมดเกี่ยวกับฐานข้อมูลลูกค้าและข้อมูลสำคัญอื่นๆได้ภายในเวลาอันรวดเร็ว และมั่นใจได้ถึงเสถียรภาพขององค์กรว่าจะยังคงรักษาความเชื่อมั่นในวงการธุรกิจไว้ต่อไปได้ เอกสารอ้างอิง -          Disaster Recovery : Best Practices by Cisco System 2008 -          แผนรับมือภาวะฉุกเฉินทางธุรกิจ Business Continuity Plan : วิชญ์ศุทธ์ เมาระพงษ์ -          Contingency Planning Guide for Information Technology System : NIST Tecnology Administration U.S. Department of commerce -          //www.disasterrecoveryforum.com -          //www.continuitycentral.com/feature0524.htm -          //www-07.ibm.com/th/specialoffers/services/itdrp.html -          //communication.howstuffworks.com/how-disaster-recovery-plans-work.htm   Create Date : 15 มีนาคม 2552     0 comment Last Update : 15 มีนาคม 2552 9:13:48 น.     Counter : 5774 Pageviews.   Share Tweet

IT GOVERNANCE           ปัจจุบันความก้าวหน้าทางเทคโนโลยี การแข่งขันทางธุรกิจ และปัจจัยด้านเศรษฐกิจ สังคม และการเมือง เป็นตัวผลักดันที่สำคัญ ที่ทำให้องค์กรหรือหน่วยงานต้องมีการปรับตัวอย่างมาก ไม่ใช่เพียงเพื่อความอยู่รอดเท่านั้น แต่สิ่งที่ผู้บริหารทุกคนต้องการ คือการเจริญเติบโตอย่างยั่งยืนและมีภูมิคุ้มกันขององค์กรเพื่อให้บรรลุวัตถุประสงค์ดังกล่าวขององค์กร ผู้บริหารจำเป็นจะต้องมีความรู้และความเข้าใจในการพัฒนาคุณภาพ การบริหารความเสี่ยง การวางแผนกลยุทธ์ แผนธุรกิจ และแผนการปฏิบัติงาน ตลอดจนการติดตามประเมินผล แต่เมื่อไปศึกษาถึงเบื้องหลังขององค์กรระดับโลกที่ประสบความสำเร็จในการพัฒนาคุณภาพ และเป็นรูปแบบของความเป็นเลิศเหล่านี้ ( Best Practices ) จะพบว่าปัจจัยที่แตกต่างกันระหว่างองค์กรที่ประสบความสำเร็จ กับองค์กรที่ไม่ประสบความสำเร็จก็คือ ระบบสารสนเทศ โดยองค์กรที่ประสบความสำเร็จจะมีโครงสร้างพื้นฐานของระบบสารสนเทศที่มีความยืดหยุ่น และสามารถตอบสนองต่อการเปลี่ยนแปลงได้อย่างรวดเร็ว ( Agile and Responsive IT Infrastructure System ) และมีการนำเอาสารสนเทศไปใช้ในการพัฒนาคุณภาพในทุกส่วนขององค์กร มีการสังเคราะห์คิดค้นความรู้ใหม่ๆ เพื่อนำไปสร้างโอกาสทางธุรกิจ การค้นหาความต้องการใหม่ๆของลูกค้า การพัฒนาสินค้าและบริการให้ตอบสนองความต้องการของลูกค้า สร้างความประทับใจในสินค้าและบริการ ลดความผิดพลาด การติดตามประเมินความพึงพอใจของลูกค้า และเพิ่มประสิทธิภาพในการดำเนินการ และเป็นแนวทางในการลดต้นทุนได้อย่างชาญฉลาดและมีประสิทธิภาพ            จะเห็นได้ว่าด้วยศักยภาพที่เพิ่มขึ้นของเทคโนโลยีสารสนเทศ ทำให้การใช้ระบบสารสนเทศขององค์กร ได้ยกระดับจากการใช้ในระดับปฏิบัติงาน มาเป็นการใช้ในระดับกลยุทธ์ มีผลกระทบถึงความสามารถในการแข่งขัน การอยู่รอด และการเจริญเติบโตอย่างยั่งยืนขององค์กร ซึ่งทำให้แนวคิดในการบริหารจัดการระบบสารสนเทศ ( IT Management ) อย่างที่เป็นอยู่ในปัจจุบันในหลายองค์กรซึ่งเน้นที่การปฏิบัติงาน ไม่เพียงพอที่จะตอบโจทย์ขององค์กรในระดับกลยุทธ์ได้ เทคโนโลยีสารสนเทศกลายมาเป็นสินทรัพย์ที่มีค่าอย่างยิ่งขององค์กร เป็นกลไกหลักในการสนับสนุน ( Enabler ) ให้เกิดการเปลี่ยนแปลงขององค์กรในด้านต่างๆ ไม่ว่าจะเป็นการปรับเปลี่ยนระบบและกระบวนการทำงานให้มีความกระชับมากขึ้น ลดขั้นตอนการทำงานที่ซับซ้อนและสับสน เพิ่มประสิทธิภาพในการทำงาน กำกับควบคุม และการตรวจสอบติดตามประเมินผล เกิดการกระจายอำนาจ           ( Empowerment ) และปรับโครงสร้างองค์กรให้เป็นแนวราบมากขึ้น ( Flat Organization ) เพิ่มศักยภาพการทำงานข้ามสายงาน ( Cross Functional Operation ) มีผลกระทบให้เกิดการพัฒนาและปรับเปลี่ยนโครงสร้างการทำงานในองค์กรแบบก้าวกระโดด ( Business Transformation )           การเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศที่เกิดอย่างรวดเร็วและรุนแรง รวมถึงการที่ผู้บริหารและหน่วยงานในองค์กรให้ความสำคัญ คาดหวังและเรียกร้องกับเทคโนโลยีสารสนเทศมากขึ้น ทำให้องค์กรจำเป็นต้องมีกลไกในการบริหารและควบคุมระบบสารสนเทศที่มีประสิทธิภาพ มีระบบบริหารความเสี่ยง ( IT Risk Management ) ซึ่งมาพร้อมกับการเปลี่ยนแปลงทางเทคโนโลยีให้ดียิ่งขึ้น ทำให้ธรรมาภิบาลทางด้านเทคโนโลยีสารสนเทศ ( IT Governance ) กลายมาเป็นส่วนสำคัญ มีบทบาทและผลกระทบอย่างมากในการกำกับดูแลกิจการที่ดีขององค์กร ( Corporate Governance )            ด้วยเหตุที่เทคโนโลยีมีการเปลี่ยนแปลงที่รวดเร็วและมีความซับซ้อนมากขึ้น บวกกับการแข่งขันทางธุรกิจที่รุนแรง ไร้พรมแดน ( Globalization ) ถ้าไม่มีการบริหารจัดการที่ดี จะทำให้เกิดช่องว่างระหว่างความต้องการทางธุรกิจ และความสามารถในการตอบสนองของระบบสารสนเทศ มากขึ้นเรื่อยๆ และปัญหานี้ก็จะยิ่งทวีความรุนแรงมากขึ้น จนส่งผลกระทบต่อความอยู่รอดขององค์กร ดังนั้นองค์กรจำเป็นที่จะต้องมีการออกแบบ วางแผน ตรวจสอบควบคุมคุณภาพและมาตรฐานในการบริหารจัดการระบบสารสนเทศอย่างมีประสิทธิภาพ รวมถึงมีมาตรการควบคุมความเสี่ยง เพื่อให้มั่นใจได้ว่าการลงทุนในระบบสารสนเทศ จะตอบสนองต่อความต้องการทางธุรกิจ เพิ่มศักยภาพและขีดความสามารถในการแข่งขันทางธุรกิจ ( Business-IT Alignment ) และสามารถให้ผลตอบแทนในการลงทุน ( Return On Investment ) ได้สูงกว่าคู่แข่งขัน              IT Governance เป็นกรอบกำหนดหน้าที่และความรับผิดชอบเกี่ยวกับการจัดการที่ดีทางด้านเทคโนโลยีสารสนเทศ เป็นความรับผิดชอบของผู้บริหารระดับสูง และเป็นองค์ประกอบของกระบวนการบริหารในการปฏิบัติตามแผนกลยุทธ์ เพื่อสร้างศักยภาพ และการเจริญเติบโตอย่างยั่งยืนขององค์กร ควบคู่กันไปกับหลักการกำกับดูแลกิจการที่ดี รวมถึงกระบวนการบริหารความเสี่ยง การเปลี่ยนแปลงในเทคโนโลยีสารสนเทศสร้างความเสี่ยงใหม่ๆให้กับองค์กร การสูญเสียโอกาสที่มีผลต่อประสิทธิภาพและประสิทธิผลในการดำเนินการ การปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับของทางราชการ ซึ่งอาจจะมีผลกระทบต่อชื่อเสียงและความน่าเชื่อถือขององค์กร ดังนั้นการผสมผสานความสามารถด้านต่างๆขององค์กรกับศักยภาพของระบบงาน และการจัดการเทคโนโลยีสารสนเทศที่ดี จึงเป็นทั้งหน้าที่และความรับผิดชอบที่ไม่อาจหลีกเลี่ยงได้ของคณะกรรมการและผู้บริหารระดับสูงของทุกองค์กรในปัจจุบัน              IT Governance ทำให้เกิดบูรณาการในการบริหารจัดการระบบสารสนเทศที่เป็นระบบ มีการกำหนดเป้าหมายและวัตถุประสงค์ รวมทั้งขั้นตอนการทำงานที่ชัดเจน ลดความซ้ำซ้อน ลดความเสี่ยง และเพิ่มศักยภาพในการทำงานขององค์กร ทำให้เกิดการทำงานที่มีประสิทธิภาพและประสิทธิผล มีการใช้ทรัพยากรอย่างเหมาะสม ลดต้นทุนในการดำเนินงาน และเพิ่มศักยภาพขององค์กร            ภาพรวมของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ                ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศคือ การนำกรอบวิธีการปฏิบัติและวิธีการปฏิบัติที่ดีที่สุดจากมาตรฐานต่างๆ มาปรับใช้ในองค์กร เพื่อช่วยในการตรวจสอบติดตาม และปรับปรุงกระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร เพื่อเพิ่มมูลค่าทางธุรกิจและเป็นการลดความเสี่ยงด้านธุรกิจที่องค์กรต้องเผชิญไปด้วยในตัว และให้สามารถแน่ใจได้ว่าเทคโนโลยีสารสนเทศขององค์กร ได้สนับสนุนวัตถุประสงค์ของธุรกิจ เพื่อที่จะทำให้องค์กรสามารถได้รับประโยชน์อย่างเต็มที่ จากข้อมูลของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ             ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่มีประสิทธิภาพจะช่วยให้องค์กรสามารถแน่ใจได้ว่า เทคโนโลยีที่องค์กรนำมาใช้จะสามารถสนับสนุนเป้าหมายทางธุรกิจ ช่วยเพิ่มประสิทธิภาพสูงสุดทางด้านธุรกิจให้กับการลงทุนทางด้านเทคโนโลยีสารสนเทศ และช่วยให้องค์กรมีวิธีที่ใช้ในการจัดการกับความเสี่ยงอย่างเหมาะสม การที่มีความเข้าใจที่ดีในเรื่องของ สภาพแวดล้อมทางธุรกิจ ความเสี่ยงต่างๆ ที่เกี่ยวข้อง กลยุทธ์ทางด้านธุรกิจขององค์กร โครงสร้างในด้านเทคโนโลยีสารสนเทศขององค์กร ความรู้ในเรื่องของเทคโนโลยีสารสนเทศที่สำคัญต่อองค์กร และแนวโน้มในการใช้งานของเทคโนโลยีสารสนเทศ จะเป็นส่วนสำคัญของการประสบความสำเร็จในการนำธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาใช้ในองค์กร ซึ่งหน้าที่ในการดูแลและรับผิดชอบในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศนั้น ถือเป็นอีกหน้าที่หลักของผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Broad of Directors) ในการผลักดันให้องค์กรก้าวเข้าสู่หลักธรรมาภิบาลด้านเทคโนโลยีสารสนเทศที่ดี     ความสำคัญของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ    ธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทำให้องค์กรมีการบริหารงานที่เป็นระบบ ระเบียบ มีขั้นตอนที่แน่นอน ลดความซ้ำซ้อน และลดความเสี่ยง ทำให้องค์กรสามารใช้สารสนเทศได้อย่างเต็มประสิทธิภาพ ยังผลให้เกิดประโยชน์สูงสุดแก่องค์กร    ช่วยป้องกันการทุจริตของผู้บริหารหรือผู้ปฏิบัติงานได้ เนื่องจากมีการบริหารงานที่โปร่งใส สามารถตรวจสอบได้    ช่วยให้การลงทุนทางด้านเทคโนโลยีสารสนเทศประสบความสำเร็จได้อย่างมีประสิทธิภาพสูงสุด คือ ได้ผลประโยชน์สูงสุดกับองค์กรโดยที่ใช้ต้นทุนที่ต่ำที่สุด    ช่วยสร้างและส่งเสริมภาพลักษณ์ที่ดีต่อองค์กร ทำให้ผู้ที่มีส่วนเกี่ยวข้องกับองค์กร (เช่น ผู้ถือหุ้น องค์กรที่ทำธุรกิจร่วมกัน และลูกค้าขององค์กร) เกิดความเชื่อมั่นและความไว้วางใจในองค์กรมากยิ่งขึ้น   ความต้องการในเรื่องธรรมาภิบาลด้านเทคโนโลยีสารสนเทศของผู้มีส่วนเกี่ยวข้อง       ในองค์กรมีผู้ที่มีส่วนเกี่ยวข้องหลายคนที่จำเป็นจะต้องให้ความสนใจกับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพื่อที่จะสามารถทำงานร่วมกันได้อย่างมีประสิทธิภาพ   ผู้บริหารระดับสูงและคณะกรรมการผู้จัดการ (Executive and Broad of Director) ต้องการที่จะทราบว่าจะสามารถกำหนดเป้าหมายทางธุรกิจอย่างไรให้สามารถบรรลุเป้าหมายดังกล่าวได้โดยก่อให้เกิดประโยชน์สูงสุดแก่องค์กร และจะนำแนวทางปฏิบัติของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมาปรับใช้กับองค์กรให้เหมาะสมได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงต่างๆ ที่เกี่ยวข้องกับสารสนเทศที่มีความสำคัญต่อองค์กรจะได้รับการจัดการอย่างเหมาะสม   ผู้บริหารด้านธุรกิจ (Business Manager) ต้องการที่จะทราบว่าฝ่ายบริหารจะสามารถกำหนดความต้องการทางด้านธุรกิจที่เกี่ยวข้องกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศได้อย่างไร เพื่อให้สามารถมั่นใจได้ว่าโอกาสที่จะเกิดความเสี่ยงต่างๆ ที่เกี่ยวข้องจะถูกทำให้ลดน้อยลง   ผู้บริหารด้านเทคโนโลยีสารสนเทศ (IT Manager) ต้องการที่จะทราบว่าจะต้องทำอย่างไรเพื่อให้การให้บริการทางด้านเทคโนโลยีสารสนเทศสามารถตอบสนองได้ตรงตามความต้องการของธุรกิจอยู่ตลอดเวลา   ผู้ตรวจสอบด้านเทคโนโลยีสารสนเทศ (IT Auditor) ต้องการที่จะทราบว่าจะต้องทำอย่างไรในการที่จะนำเนื้อหาต่างๆ ของโคบิตมาปรับใช้ในกระบวนการตรวจสอบด้านเทคโนโลยีสารสนเทศ เพื่อให้สามารถแน่ใจได้ว่ากระบวนการตรวจสอบจะมีประสิทธิภาพและมีความเป็นอิสระจากฝ่ายงานอื่น   ความเสี่ยง และพนักงานทั่วไป (compliance officer) ต้องการที่จะทราบว่าผู้จัดการด้านความเสี่ยง (risk manager) และ พนักงานทั่วไป จะสามารถนำมาตรฐานมาใช้ในเรื่องที่เกี่ยวกับกิจกรรมด้านความเสี่ยงและการปฏิบัติตามกฎระเบียบข้อบังคับได้อย่างไร เพื่อให้สามารถแน่ใจได้ว่าความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศใหม่ๆ จะถูกค้นพบได้อย่างรวดเร็ว และ พนักงานที่จำเป็นต้องปฏิบัติตามกฎ (IT complies) มีการปฏิบัติตามนโยบาย ระเบียบข้อบังคับ และกฎหมายหรือไม่   ตัวอย่างโคบิตกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ      โคบิตมีเนื้อหาหลายหัวข้อที่มีความเกี่ยวเนื่องกับเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพื่อต้องการที่จะให้องค์กรที่นำโคบิตไปใช้ ได้เป็นองค์กรที่มีธรรมาภิบาลที่ดี โดยเรื่องที่โคบิตกล่าวถึงเกี่ยวกับธรรมาภิบาลด้านเทคโนโลยีสารสนเทศมีดังนี้         วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ       IT Governance Focus Areas   วัตถุประสงค์ของโคบิตในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ       โคบิตสนับสนุนในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยมีการจัดเตรียมกรอบวิธีปฏิบัติต่างๆ เพื่อต้องการให้แน่ใจว่า :       เทคโนโลยีสารสนเทศที่นำมาใช้จะเป็นไปในทิศทางเดียวกันกับธุรกิจขององค์กร       เทคโนโลยีสารสนเทศสามารถที่จะสนับสนุนความต้องทางด้านธุรกิจได้อย่างเต็มประสิทธิภาพ       ทรัพยากรด้านเทคโนโลยีสารสนเทศถูกใช้อย่างเหมาะสม       สามารถจัดการความเสี่ยงทางด้านเทคโนโลยีสารสนเทศได้อย่างเหมาะสม   IT Governance Focus Areas       โคบิตนำเสนอเนื้อหาที่เกี่ยวกับการจัดการในส่วนของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศโดยแบ่งออกเป็น 5 ส่วนหลัก ซึ่งมีเนื้อหาที่ครอบคลุมในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศทั้งหมด ดังข้อมูลด้านล่างนี้        การจัดวางกลยุทธ์ (IT strategic alignment) มีเนื้อหาในการเน้นที่เรื่องของการเชื่อมโยงให้เกิดความสอดคล้องกันระหว่างแผนทางธุรกิจกับแผนทางเทคโนโลยีสารสนเทศ โดยจะครอบคลุมไปถึงการกำหนดและการวางแผน การดูแลรักษา และการตรวจสอบความถูกต้องของเทคโนโลยีสารสนเทศ และรวมไปถึงการทำให้กระบวนการปฏิบัติงานด้านเทคโนโลยีสารสนเทศ ดำเนินไปในทิศทางเดี่ยวกับกระบานการปฏิบัติงานขององค์กร        การนำเสนอคุณค่า (Value delivery) มีเนื้อหาในการเน้นที่เรื่องของการนำเสนอคุณค่าตลอดจนวงจรของการนำส่ง หลักการพื้นฐานของการสร้างคุณค่าด้านเทคโนโลยีสารสนเทศคือ การส่งมอบให้ตรงเวลา อยู่ในงบประมาณที่กำหนด ผลประโยชน์ที่ได้รับจะต้องสามารถระบุได้และเป็นไปตามที่ได้กำหนดไว้ เพื่อทำให้มั่นใจได้ว่าเทคโนโลยีสารสนเทศสามารถสร้างประโยชน์ได้ตามที่กำหนดไว้ในกลยุทธ์ขององค์กร        การจัดการกับทรัพยากรด้านเทคโนโลยีสารสนเทศ (IT resources management) มีเนื้อหาในการเน้นที่เรื่องของการบริหารจัดการทรัพยากรด้านเทคโนโลยีสารสนเทศ ซึ่งครอบคลุมในส่วนของการลงทุนอย่างไรเพื่อให้ได้รับผลตอบแทนสูงสุด และเรื่องการบริหารจัดการด้านเทคโนโลยีสารสนเทศที่มีความสำคัญต่อองค์กร (ได้แก่ ระบบงานประยุกต์ สารสนเทศ โครงสร้างพื้นฐาน และบุคลากร) อย่างเหมาะสม ซึ่งประเด็นของเรื่องนี้จะอยู่ที่การนำความรู้และโครงสร้างพื้นฐานที่องค์กรมีอยู่มาใช้ประโยชน์ให้ได้มากที่สุด        การจัดการความเสี่ยง (Risk management) มีเนื้อหาในการเน้นที่เรื่องของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ เพื่อให้เกิดความเข้าใจที่ชัดเจนในเรื่องของความเสี่ยงต่างๆ ที่เกี่ยวข้องกับการดำเนินงานขององค์กร และสามารถตระหนักถึงความเสี่ยงที่มีความสำคัญต่อองค์กร เพื่อเป็นการปลูกฝังในเรื่องของหน้าที่ความรับผิดชอบของผู้ที่มีส่วนเกี่ยวข้องต่างๆ ในองค์กร        การวัดประสิทธิภาพ (Performance measurement) มีเนื้อหาในการเน้นที่เรื่องของกลยุทธ์และวิธีที่ใช้ในการตรวจสอบและติดตามในด้านของ การทำให้เป็นผล (implementation) ความครบถ้วนสมบูรณ์ของโครงการ (project completion) การใช้งานทรัพยากร (resource usage) ประสิทธิภาพของกระบวนการ (process performance) และ การส่งมอบการให้บริการ (service delivery) ซึ่งการวัดประสิทธิภาพถือเป็นส่วนที่มีความสำคัญมากที่สุดในเรื่องของธรรมาภิบาลด้านเทคโนโลยีสารสนเทศ เพราะจะทำให้องค์กรทราบได้ว่าหลักการที่องค์กรได้นำมาใช้นั้นประสบผลสำเร็จมากน้อยแค่ไหน และควรที่จะปรับปรุงไปในทิศทางไหน เอกสารอ้างอิง -  //www.itsmf.org.sg -  //www.ibm.com/developerworks/rational/library/dec07/mueller_phillipson/index.html - IT Governance & Risk Management โดย เมธา สุวรรณสาร -  //www.drkanchit.com   Create Date : 13 มีนาคม 2552     0 comment Last Update : 13 มีนาคม 2552 15:00:46 น.     Counter : 1380 Pageviews.   Share Tweet

มาตรฐานสากลด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศ   มาตรฐานสากลด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศ                 เนื่องจากในปัจจุบัน สิ่งที่มีค่ามากที่สุดขององค์กร คือ ข้อมูล และข้อมูลส่วนใหญ่จะอยู่ในรูปแบบดิจิตอล และจะจัดเก็บไว้ที่ใดที่หนึ่งในเครือข่าย บางครั้งข้อมูลเหล่านี้อาจต้องถูกส่งผ่านเครือข่ายไปยังที่ต่างๆ เครือข่ายเป็นสิ่งที่สร้างสำหรับการรับส่งข้อมูลเหล่านี้อย่างมีประสิทธิภาพ อย่างไรก็ตามข้อมูลเหล่านี้อาจถูกลักลอบนำไปใช้ในทางที่ผิด หรืออาจทำให้ใช้การไม่ได้จากผู้ที่ไม่หวังดี ดังนั้น การรักษาความปลอดภัยของระบบเทคโนโลยีสารสนเทศจึงเป็นอีกประเด็นหนึ่งที่ต้องให้ความสำคัญ องค์ประกอบของการรักษาความปลอดภัยของข้อมูล  ความลับ (Confidentiality)  ความคงสภาพ (Integrity)  ความพร้อมใช้งาน (Availability) ปัจจุบันมีแม่แบบของการบริหารความปลอดภัยข้อมูลมากมายขึ้นอยู่กับว่าใครเป็นผู้ให้บริการ ยกตัวอย่างเช่น    ISO/IEC 17799:2005 (Second Edition) หรือ BS7799-1    CobiT (Control Objective for Information and Relation and Related Technology)    ITIL (IT Infrastructure Library) / BS15000    SANS TOP20    ISMF 7 (Information Security Management Framework) มาตรฐานที่ถูกกำหนดให้เป็นมาตรฐานการรักษาความปลอดภัยของข้อมูลระดับนานาชาติ ที่ได้รับความนิยมมากที่สุด ซึ่งเป็นมาตรฐานที่พัฒนาโดยประเทศอังกฤษ ประกอบด้วย 2 ส่วน คือ         BS 7799-1  ซึ่งต่อมาได้เปลี่ยนเป็นมาตรฐาน ISO/IEC 17799 : Information Technology – Code of Practice for Information Security Management         BS 7799-2  ซึ่งต่อมาได้รับการยอมรับเป็นมาตรฐาน ISO 27001 : Information Security Management : Specification with Guidance for Use มาตรฐานทั้งสองนี้เป็นมาตรฐานที่มีลิขสิทธิ์ องค์กรใดที่ต้องการได้ใบรับรองจะต้องจ่ายค่าดำเนินการทั้งหมด โดยจุดมุ่งหมายของมาตรฐานนี้ก็เพื่อให้คำแนะนำสำหรับการบริหารการรักษาความปลอดภัยสำหรับผู้ที่มีหน้าที่ในการเริ่มต้นออกแบบติดตั้ง และดูแลระบบการรักษาความปลอดภัยขององค์กร เป็นพื้นฐานสำหรับการพัฒนามาตรฐานการรักษาความปลอดภัยขององค์กร และระเบียบปฏิบัติที่มีประสิทธิภาพเพื่อสร้างความมั่นใจให้กับองค์กร และหน่วยงานอื่นที่เกี่ยวข้อง   มาตรฐาน BS 7799-1 (ISO/IEC 17799)       มาตรฐาน ISO/IEC 17799 เริ่มแรกได้ประกาศใช้เมื่อปี 2000 ซึ่งประกอบด้วย 10 โดเมน และต่อมามีการปรับปรุงอีกครั้งเมื่อปี 2005 และปรับให้มี 11 โดเมน ดังแสดงในรูป   มาตรฐาน BS 7799-2 (ISO/IEC 17799)       เป็นมาตรฐานเกี่ยวกับการบริหารการรักษาความปลอดภัยของข้อมูล และเป็นแนวทางในการสร้าง ดูแล และปรับปรุงระบบบริหารการรักษาความปลอดภัยข้อมูล (The Information Security Management System (ISMS)) โดยโมเดลการบริหารแบบ Plan-Do-Check-Act (PDCA) มาช่วยในการสร้าง และพัฒนาระบบการรักษาความปลอดภัย ดังนั้นมาตรฐาน ISO/IEC 27001 นี้จึงเป็นแนวทางพื้นฐานเพื่อที่จะสร้างระบบควบคุม เพื่อให้บรรลุภารกิจขององค์กร เพื่อให้สามารถบริหารความเสี่ยงให้อยู่ในระดับที่ยอมรับได้ และเพื่อให้แน่ใจว่าระบบนั้นควรได้รับการปรับปรุงเมื่อถึงเวลา ดังรูปต่อไปนี้   มาตรฐาน BS 7799-3       ในส่วนมาตรฐานนี้เป็นแนวทางในการบริหารความเสี่ยงของการรักษาความปลอดภัยข้อมูล และเป็นแนวทางในการทำมาตรฐาน BS 7799-2 และเหมาะสำหรับองค์กรทุกขนาด โดยเนื้อหาที่สำคัญของมาตรฐานนี้ประกอบด้วย   ความเสี่ยงเกี่ยวกับความปลอดภัยของข้อมูลในองค์กร   การประเมินความเสี่ยง   วิธีปฏิบัติเพื่อลดความเสี่ยงและการบริหารการตัดสินใจ   การดำเนินกิจกรรมเกี่ยวกับการบริหารความเสี่ยง      มาตรฐาน BS 7799-3 นี้ต้องทำควบคู่อย่างใกล้ชิดกับมาตรฐาน ISO 17799 และ ISO 27001 เพื่อทำให้แน่ใจว่ากระบวนการรักษาความปลอดภัยนั้นกระทำอย่างต่อเนื่อง   CobiT (Control Objective for Information and Relation and Related Technology)              มาตรฐาน CobiT ถูกพัฒนาขึ้นโดย ISACA และ IT Governance Institute เพื่อองค์กรที่ต้องการมุ่งสู่การเป็น “ไอทีภิบาล” หรือ “IT Governance”      มาตรฐาน CobiT เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติสำหรับผู้ตรวจสอบระบบสารสนเทศด้วย           กระบวนการของ CobiT นั้นแบ่งออกเป็น 4 หัวข้อใหญ่ๆ ได้แก่   การวางแผนและจัดการองค์กร (PO : Planning and Organization)   การจัดหาและติดตั้ง (AI : Acquisition and Implementation)   การส่งมอบและบำรุงรักษา (DS : Delivery and Support)   การติดตามผล (M : Monitoring)    ITIL (IT Infrastructure Library) / BS15000                 มาตรฐาน ITIL นั้นมีต้นกำเนิดมาจากประเทศอังกฤษ ซึ่งทางรัฐบาลประเทศอังกฤษ โดย OGC (Office of Government Commerce) พัฒนาร่วมกับ BSI (British Standard Institute) มีวัตถุประสงค์ในการสร้าง Best Practice สำหรับกระบวนการบริหารงานบริการด้านสารสนเทศ (IT Service Management)        ITIL กล่าวถึง “Best Practice” ในการบริหารจัดการงานให้บริการด้านระบบสารสนเทศที่ควรจะเป็นและมีประสิทธิภาพและประสิทธิผลชัดเจน เช่น มาตรฐานด้าน Service Support และ Service Delivery ตลอดจนการกำหนด SLA (Service Level Agreement) เป็นต้น        มาตรฐาน ITIL ถูกจัดทำเป็นหนังสือหลายเล่าโดยแบ่งออกเป็น 2 ส่วน ได้แก่            BS15000-1 Specification for Service management            BS15000-2 Code of practice for service management         ปัจจุบันแนวโน้มด้านการ “Outsource” การบริหารจัดการเทคโนโลยีสารสนเทศมีการเพิ่มขึ้นอย่างรวดเร็ว ดังนั้นมาตรฐานในการควบคุมคุณภาพของการให้บริการนั้นจึงถือเป็นเรื่องสำคัญที่องค์กรควรจะศึกษาและกำหนดเป็นมาตรฐานขั้นต่ำให้กับ Outsourcer Company ที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและประสิทธิภาพสูงสุดในการให้บริการ และส่งผลด้านความพึงพอใจของ User ทั่วๆไป และส่งผลต่อภาพลักษณ์ของผู้บริหารเทคโนโลยีสารสนเทศระบบสูงในทางอ้อมอีกด้วย    SANS Top 20        มาตรฐาน SANS TOP20 เป็นมาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows และ UNIX/Linux ที่ได้รับการยอมรับกันโดยทั่วไป       SANS เป็นสถาบันที่ให้บริการฝึกอบรมด้าน Information Security การออกใบรับรอง และการค้นคว้าทางด้านความปลอดภัยที่มีชื่อเสียงและได้รับความเชื่อถือเป็นอันดับต้นๆ ของโลก โดยในแต่ละปี SANS จะทำการสรุป 20 อันดับ ของช่องโหว่ทางด้านความปลอดภัยของระบบต่างๆ ซึ่งเวอร์ชันล่าสุดคือ SANS Top-20 2007 Security Risks เวอร์ชัน 8.0        SANS Top-20 2007 Security Risks นั้น จะจัดแบ่งออกเป็น 6 หัวข้อคือ Client-side Vulnerabilities, Server-side Vulnerabilities, Security Policy and Personnel, Network Devices และ Zero Day Attacks     ISMF 7 (Information Security Management Framework)         ISMF 7 เป็นมาตรฐานตรวจสอบและประเมินความปลอดภัยระบบสารสนเทศที่พัฒนาโดยนักวิชาการคนไทย จุดประสงค์เพื่อให้เป็นแนวทางในการปริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพให้ทันกับสถานการณ์ปัจจุบันของการโจมตีระบบโดยแฮกเกอร์และมัลแวร์ต่างๆ นอกจาก CIO ยุคใหม่ต้องศึกษามาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยแล้ว ยังต้องมีหน้าที่ในการ กำหนดยุทธศาสตร์ ทิศทางด้านเทคโนโลยีสารสนเทศขององค์กร ตลอดจนมาตรการในการรักษาความปลอดภัยเทคโนโลยีสารสนเทศขององค์กร เนื่องจากเป็นบุคลากรที่รับผิดชอบในเรื่องนี้โดยตรง        ในกรณีที่ยังไม่มีตำแหน่ง CSO (Chief Security Office) หรือ CISO (Chief Information Security Officer) มารับผิดชอบด้านความปลอดภัยสารสนเทศโดยตรง CIO ก็ต้องรับผิดชอบเรื่องความปลอดภัยไปด้วยในตัว ซึ่งนับว่าเป็นภาวะความรับผิดชอบที่ค่อนข้างสูง เพราะเรื่องความปลอดภัยเทคโนโลยีระบบสารสนเทศนั้น มีการเปลี่ยนแปลงอยู่เสมอ CIO ต้องคอยติดตามความเคลื่อนไหวและปรับปรุงความรู้ความสามารถให้สอดคล้องกับสถานการณ์ปัจจุบัน และยังต้องตัดสินใจเรื่องการเลือกใช้เทคโนโลยีด้านความปลอดภัยที่เหมาะสมแก่องค์กรทั้งในเรื่องของ TCO (Total Cost of Ownership) และ ROI (Return On Investment)         จากข้อมูลของ Gartner เรื่อง Hype Cycle for Information Security 2004 ปัญหาด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศยังเป็นประเด็นสำคัญที่ CIO ต้องให้ความสนใจและจัดการอย่างเป็นระบบ ไม่ว่าจะเป็น Spyware, Phishing, SPAM และ Peer-to-Peer Exploit ขณะเดียวกันเทคโนโลยีและบริการที่ CIO ใช้ในการแก้ปัญหาดังกล่าว บางเทคโนโลยี เช่น IDS นั้น ล้าสมัยไปแล้ว ทุกวันนี้ เทคโนโลยีใหม่เข้ามาแทนที่ เช่น IPS, Vulnerability Management และ Patch Management เป็นต้น ส่วนการให้บริการเฝ้าระวังระบบรักษาความปลอดภัยจากบริษัทที่รับดูแลด้านความปลอดภัยโดยตรง ที่เรียกตัวเองว่า MSSP (Managed Security Service Provider) ก็กำลังได้รับความนิยมจาก CIO เพิ่มขึ้นเช่นกัน ดังนั้น CIO ควรมีกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีและเตรียมพร้อมกับสถานการณ์ปัจจุบัน และอนาคต เอกสารอ้างอิง -   “Master in Security” โดย จตุชัย แพงจันทร์ Infopress 2550 -   “มาตรฐานด้านความปลอดภัยของเทคโนโลยีสารสนเทศ” โดยอาจารย์จามรกุล เหล่าเกียรติกุล -   “SANS Top 20 2007 Security Risks” //thaiwinadmin.blogspot.com/2008/06/kb2008254.html -   มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1 //www.sodamixzer.th.gs/web-s/odamixzer/sci2.htm -   มาตรฐานสากลทางด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่ CIO ควรรู้เพื่อนำมาใช้เป็นแนวทางปฏิบัติในองค์กร และ กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่ by A.Pinya Hom-anek, GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board President, ACIS Professional Center   Create Date : 12 มีนาคม 2552     1 comment Last Update : 13 มีนาคม 2552 11:27:49 น.     Counter : 3634 Pageviews.   Share Tweet

@ITM640@~ เทคโนโลยีการสื่อสารและอินเทอร์เน็ต บทความนี้มีวัตถุประสงค์เพื่อเป็นงานส่วนหนึ่งของวิชา ITM640 เทคโนโลยีการสื่อสารและอินเทอร์เน็ต คณะเทคโนโลยีสารสนเทศ สาขาวิชาการจัดการเทคโนโลยีสารสนเทศ มหาวิทยาลัยรังสิต อาจารย์ผู้สอน  พ.อ.รศ.ดร.เศรษฐพงค์ มะลิสุวรรณ        เนื่องจากปัจจุบัน การรักษาความปลอดภัย ไม่ว่าจะเป็นเรื่องสถานที่ ข้อมูลหรือการระบุตัวบุคคล เพื่อเป็นการยืนยันการเข้าใช้งานหรือการเข้าถึง มีความจำเป็นมากยิ่งขึ้นในสังคมปัจจุบันที่เต็มไปด้วยการแข่งขันในเรื่องของเทคโนโลยี การพัฒนาของ Application ทั้งหลายไม่ได้จำกัดแค่ในเรื่องของการสร้างนวัตกรรมใหม่ๆ ที่ก่อให้เกิดประโยชน์ แต่ในอีกมุมหนึ่งการพยายามลักลอบเข้าถึงข้อมูลหรือการโจรกรรมข้อมูลก็ไม่ได้ลดน้อยลงไป ยังคงสร้างความเสียหายให้กับหน่วยงานและประเทศชาติเป็นอย่างมาก           เทคโนโลยีชีวภาพ หรือ Biometric คือการตรวจวัดคุณลักษณะทางกายภาพของแต่ละบุคคลที่เป็นลักษณะเฉพาะมาใช้ในการระบุตัวบุคคลนั้นๆ แล้วนำสิ่งเหล่านั้นมาเปรียบเทียบกับคุณลักษณะที่ได้มีการบันทึกไว้ในฐานข้อมูลก่อนหน้านี้ เพื่อใช้แยกแยะบุคคลนั้นจากบุคคลอื่นๆ Biometric สามารถช่วยในเรื่องการรักษาความปลอดภัยในการเข้าถึงข้อมูลขององค์กร การระบุตัวตน รวมถึงการสั่งการ ซึ่งบางหน่วยงานเช่น การทหาร เป็นหน่วยงานที่ต้องการความปลอดภัยในการเข้าถึงข้อมูล หรือการตรวจสอบบุคคลเพื่อการเข้าใช้งาน และการระบุตัวตนในการสั่งการต่างๆ เป็นถือเรื่องสำคัญอย่างยิ่ง อีกทั้งทางด้านตำรวจ สามารถใช้ Biometric ในการเก็บข้อมูลเพื่อเป็นหลักฐานแสดงตัวตน หรือใช้ตรวจสอบบุคคลต้องสงสัย รวมถึงเพิ่มประสิทธิภาพความแม่นยำในการสอบสวน การประมวลผลที่รวดเร็วช่วยให้การปฏิบัติงานมีประสิทธิผลมากยิ่งขึ้น นอกจากนี้หน่วยงานทั่วไปที่มีบุคลากร และพนักงานมากมาย สามารถใช้ Biometric ช่วยในการบันทึกเวลาทำงาน ซึ่งการเซ็นชื่อเข้า-ออก หรือตอกบัตร ส่งผลให้เกิดความล่าช้า ไม่สะดวก พนักงานมีการลงชื่อแทนกัน และเกิดปัญหาเกี่ยวกับการเช็คเวลาทำงานนอกเวลา ทั้งนี้การนำเทคโนโลยีชีวภาพหรือ Biometric มาเป็นตัวระบุลักษณะทางกายภาพของพนักงานแต่ละคน เข้ามาช่วยในการทำงานให้มีประสิทธิภาพมากขึ้น ช่วยในการแก้ไขปัญหาดังกล่าว และยังเป็นการรักษาความปลอดภัยภายในองค์กรได้อีกด้วย ความหมายของเทคโนโลยี Biometric          เทคโนโลยีชีวภาพ หรือ Biometric คือ  การผสมผสานเทคโนโลยีทางด้านชีวภาพและทางการแพทย์กับเทคโนโลยีทางคอมพิวเตอร์เข้าด้วยกัน โดยการตรวจวัดคุณลักษณะทางกายภาพ (Physical Characteristics) ที่แตกต่างกันแต่ละบุคคล เช่น รูปแบบของลายนิ้วมือ(Fingerprint) , รูปลักษณ์ของมือ (Hand Geometry), ลักษณะของเรตินา (Retina Pattern), ลักษณะของม่านตา (Iris Pattern) รูปลักษณ์ใบหน้า (Facial) เป็นต้น หรือใช้ลักษณะทางพฤติกรรมของแต่ละบุคคล เช่น เสียง (Voice) , เอกลักษณ์ในการพิมพ์ (Keystroke Dynamics), ลักษณะท่าทางในการเดิน (Gait recognition) เป็นต้น ซึ่งเป็นลักษณะทางพฤติกรรม (Behaviors) ที่เป็นลักษณะเฉพาะของแต่ละคนมาใช้ในการระบุตัวบุคคลนั้นๆ แล้วนำสิ่งเหล่านั้นมาเปรียบเทียบกับคุณลักษณะที่ได้มีการบันทึกไว้ในฐานข้อมูลก่อนหน้านี้ เพื่อใช้แยกแยะบุคคลนั้นจากบุคคลอื่นๆ นอกจากนี้ยังสามารถใช้ในการตรวจสอบบุคคลคนนั้นในกรณีที่อาจเป็นผู้ต้องสงสัยในการละเมิดกฎหมายได้อีกด้วย คุณลักษณะทางกายภาพของคนเรานั้นส่วนใหญ่จะไม่เปลี่ยนไปตามกาลเวลา ในขณะที่พฤติกรรมอาจมีการเปลี่ยนแปลงได้ จึงทำให้การพิสูจน์บุคคลโดยการใช้ลักษณะทางกายภาพนั้น มีความน่าเชื่อถือมากกว่า ส่วนเสียงพูด การลงลายมือชื่อ การใช้แป้นพิมพ์ ซึ่งจัดเป็นคุณลักษณะทางพฤติกรรมของบุคคล ที่สามารถเปลี่ยนแปลงได้ตามกาลเวลาและการเรียนรู้ของเจ้าของ      การระบุตัวบุคคลโดยใช้ไบโอเมตริกซ์ สามารถนำมาประยุกต์ใช้งานได้ทั้งในภาครัฐบาลและภาคเอกชน เช่น งานทางด้านรักษาความปลอดภัย, ช่วยผู้รักษากฏหมายในการจับตัวผู้กระทำผิด, ช่วยในการตรวจสอบผู้ใช้งานของระบบเครือข่ายคอมพิวเตอร์, การจัดการระบบบริหารงานบุคคล (เช่น งานตรวจสอบเวลาการทำงาน), ช่วยในการตรวจสอบตัวบุคคลในการซื้อขายสินค้าผ่านทางอินเทอร์เน็ต, การจัดการเรื่องการพิสูจน์ตัวบุคคลของสถาบันการเงิน เป็นต้น           ไบโอเมตริกซ์สามารถแบ่งออกเป็น 2 ประเภทใหญ่ๆ คือ การใช้ลักษณะทางกายภาพ (Physiological Biometrics) และการใช้ลักษณะทางพฤติกรรม (Behavioural Biometrics) ในการระบุตัวบุคคล ลักษณะทางกายภาพ (Physiological Biometrics) ได้แก่           - ลายนิ้วมือ Fingerprint            - ลักษณะใบหน้า Facial Recognition            - ลักษณะของมือ Hand Geometry            - ลักษณะของนิ้วมือ Finger Geometry            - ลักษณะใบหู Ear Shape            - Iris และ Retina ภายในดวงตา            - กลิ่น Human Scent ลักษณะทางพฤติกรรม (Behavioural Biometrics) ได้แก่           - การพิมพ์ Keystroke Dynamics            - การเดิน Gait Recognition            - เสียง Voice Recognition            - การเซ็นชื่อ Signature           กระบวนการที่ทำให้ระบบคอมพิวเตอร์สามารถระบุบุคคลได้โดยอัตโนมัติ นั้นเป็นการเลียนแบบพฤติกรรมของมนุษย์ประเภทหนึ่ง มนุษย์เราใช้วิธีการทางไบโอเมตริกซ์ ในการระบุ ตัวบุคคลอยู่ตลอดเวลา เราใช้ลักษณะจำเพาะทางรูปร่าง ใบหน้า น้ำเสียง หรือแม้กระทั่งกลิ่น ของแต่ละบุคคลตามที่ยกตัวอย่างข้างต้น ในการระบุว่าคนที่เราพบเป็นคนที่เรารู้จักหรือไม่ ดังนั้นจึงถือได้ว่าไบโอเมตริกซ์ เป็นรูปแบบหนึ่งของปัญญาประดิษฐ์ (Artificial Intelligence) นั่นเอง  ยกตัวอย่างกระบวนการ Face Recoqnition             การจดจำใบหน้าบุคคล ถือเป็นวิธีการหนึ่งที่ช่วยในการแยกแยะบุคคลที่ถูกต้องและบุคคลแปลกปลอมที่ไม่อยู่ในสารบบ(ขององค์กรหรือหน่วยงานใดๆ) เพิ่มความสะดวกรวดเร็วในการตรวจสอบบุคคล และลดภาระของหน่วยงานรักษาความปลอดภัย Face Verification with Trace Transform Face Recognition using Shape and Texture Information derived from the Trace Transform Interactive Enrollment                 ระบบ face recoqnition จำเป็นจะต้องบันทึกข้อมูลบุคคลเพื่อใช้สำหรับตรวจสอบความถูกต้อง โดยใช้รูปถ่าย ประกอบกับหมายเลขทะเบียนและข้อมูลรายละเอียดส่วนบุคคล เช่นโปรแกรมบางบริษัทจะประกอบไปด้วย Significant Information และ Additional Information ดังรูปตัวอย่าง Batch Enrollment ตัวอย่างกระบวนการทำงานการตรวจสอบบุคคลของระบบ face recoqnition จากรูปจะเห็นได้ว่าข้อมูลบุคคลที่ถูกบันทึกใน database ซึ่งอาจจะแยกออกเป็นบุคคลปกติทั่วไป และบุคคลที่มีประวัติเป็นผู้ต้องสงสัยหรือเป็นอาชญากร โดยส่งผ่านเครือข่ายอินเตอร์เน็ต เมื่อข้อมูลบุคคลถูกส่งไปยัง face recoqnition enrollment system ระบบจะทำการประมวลผลตรวจสอบเปรียบเทียบหมายเลขทะเบียนหรือหมายเลขประจำตัว ซึ่งถูกแปลงเป็นรหัสเฉพาะบุคคลที่เก็บไว้ใน face template database server ซึ่งกรณีที่บุคคลใดบุคคลหนึ่งได้ถูกบันทึกประวัติว่าเป็นบุคคลต้องสงสัยแล้ว ระบบ face recoqnition จะแสดงผลบอกได้ทันที จากรูปบนและรูปด้านล่างแสดงขั้นตอนการประมวลผลใบหน้าบุคคล Face Recognition System            การตรวจสอบใบหน้าบุคคล สามารถรับข้อมูลได้จากหลายอุปกรณ์ เช่น web camera , scanner, video หรือ CCTV เป็นต้น โดยทำการส่งผ่านไปยังเครือข่ายอินเตอร์เน็ตเพื่อเข้าสู่ face management server ซึ่งระบบจัดการนี้สามารถมี face recoqnition server ได้หลายตัว ขึ้นอยู่กับความต้องการของระบบ หรือ scale งานที่เหมาะสมกับจำนวนข้อมูลที่ได้ลงบันทึกไว้ใน template database server ดังรูป Face Recognition for Video Surveillance           การตรวจจับบุคคลโดยผ่านกล้องวิดีโอ สามารถทำได้โดยนำรูปมาเปรียบเทียบกับข้อมูลใน database และแสดงผลบุคคลที่มีลักษณะตรงกันมากที่สุด ดังรูป Face Recognition for Database Scan           การเปรียบเทียบใบหน้าบุคคล สามารถทำได้ ถึงแม้บุคคลนั้นจะมีวัตถุปิดบังใบหน้าอยู่ เช่น แว่นกันแดด ระบบจะทำการสแกนเทียบกับฐานข้อมูลที่มีอยู่ที่มีลักษณะตรงกันมากที่สุด ความสามารถพิเศษเพิ่มเติมของระบบ Face Recoqnition (Robust against) ซึ่งพบได้ใน vendor บางราย ได้แก่    Facial Expressions    Wearing glasses and Sun glasses    Partial Occlusions    Lighting Variations    Low Resolution Images    Pose Variations (+/- 15 degree)    Beard and Hair Style Changes ข้อดีของเทคโนโลยี Biometrics           -   การใช้ไบโอเมตริกซ์ ทำให้ผู้ใช้ ไม่จำเป็นต้องใช้ความจำ หรือจำเป็นต้องถือบัตรผ่านใดๆ ทำให้สะดวกและรวดเร็ว ผู้ใช้ไม่จำเป็นต้องพกบัตร และต้องจำรหัสผ่าน อีกทั้งยังเป็นการช่วยเพิ่มความปลอดภัย และป้องกันการสูญหายของบัตรผ่าน หรือการลักลอบนำเอารหัสผ่านไปใช้            -   การใช้ไบโอเมตริกซ์ ทำให้ผู้ใช้ไม่สามารถปฏิเสธความรับผิดชอบได้ เช่นในกรณีของการใช้รหัสผ่าน หรือบัตรผ่าน เจ้าของบัตรอาจอ้างได้ว่ารหัสผ่านหรือบัตรถูกผู้อื่นลักลอบนำไปใช้ แต่ถ้าใช้ การใช้การตรวจสอบหรือระบุตัวบุคคลด้วยไบโอเมตริกซ์ ทำให้ผู้ใช้ไม่สามารถปฏิเสธความรับผิดชอบได้           -   ไบโอเมตริกซ์ ยากต่อการปลอมแปลง และยากต่อการลักลอบนำไปใช้            -   ช่วยลดค่าใช้จ่าย เช่น ช่วยในการป้องกันพนักงานลงเวลาแทนกัน(Buddy Punching)            -   ระบบจะไม่อนุญาตให้เข้าถึงข้อมูลได้ง่ายเพราะอวัยวะของร่างกายไม่ใช่สิ่งที่จะทำเลียนแบบกันได้            -   เทคโนโลยีการจดจำอวัยวะแบบสามมิติจะช่วยเพิ่มความปลอดภัยในระดับที่ยอดเยี่ยม ข้อเสียของเทคโนโลยี Biometrics           ปัญหาที่สำคัญของ Biometrics ที่ทำให้ไม่แพร่หลายนักมีอยู่ 3 ประการหลัก คือ ความเชื่อถือได้ของเทคโนโลยี Biometrics บางประเภทยังมีความเชื่อถือได้ไม่ดีเท่าที่ควร ยังต้องการการพัฒนาทั้งทางด้านทฤษฎี และทางด้านอุปกรณ์เครื่องมือ ประการที่สองคือ ราคาของอุปกรณ์ที่จำเป็นเช่น เครื่องสแกนลายนิ้วมือ, เครื่องสแกนเรตินา/ไอริสในดวงตา เป็นต้น ยังมีราคาค่อนข้างสูง และประการสุดท้ายคือ การยอมรับของสังคม เพราะเรื่องของความเป็นส่วนตัวของแต่ละบุคคล (Privacy) ซึ่งเรื่องนี้เป็นเรื่องที่สำคัญมากในสังคมตะวันตก แต่มีปัญหาน้อยในสังคมตะวันออก อย่างไรก็ตามทุกปัญหาที่กล่าวมาก็มีการแก้ไขและพัฒนาอย่างต่อเนื่องทั้งในด้านความรู้ความเข้าใจใหม่ และราคาของอุปกรณ์ที่มีราคาถูกมากในแต่ละปี จะเป็นแรงผลักดันให้มีความนิยมใช้เทคโนโลยีไบโอเมตริกซ์กันมากขึ้น           -   ไม่สามารถใช้ได้หากไม่มีอุปกรณ์เฉพาะทาง           -   เนื่องจากใช้อวัยวะของร่างกายเป็นรหัสผ่าน จึงมีโอกาสโดนทำร้ายร่างกายได้ง่าย ซึ่งต่างจากรหัสผ่านและชิปโทเคน           -   รหัสผ่านที่ใช้กับระบบนี้ไม่สามารถเปลี่ยนแปลงได้           -   ถึงแม้จะมีระบบหลายแบบ แต่อุปกรณ์ในแต่ละชนิดนั้นยังมีให้เลือกไม่มาก           -   ระบบมีราคาค่อนข้างสูง ต้องพิจารณาความคุ้มค่าของผลิตภัณฑ์อย่างรอบคอบ ภาพรวมของการนำเอา Biometrics มาประยุกต์ใช้งาน              การนำเอา Biometrics มาประยุกต์ใช้งานนั้น ส่วนใหญ่เป็นงานที่มีความจำเป็นในการตรวจสอบ และระบุตัวบุคคล รวมถึงงานที่ต้องการความสะดวก และรวดเร็วในการระบุตัวผู้ใช้ การประยุกต์ใช้งาน Biometrics นั้นเหมาะสมทั้งในภาครัฐ และภาคเอกชนหรือภาคธุรกิจ ตัวอย่างของหน่วยงานหรือองค์กรที่สามารถนำมาเอา Biometrics มาช่วยในการดำเนินงานได้ เช่น   Biometrics กับการควบคุมการเข้าออกสถานที่ / หรือการใช้ตรวจสอบเวลาทำงาน               การเข้าออกสถานที่หวงห้ามในปัจจุบัน มักจะใช้บัตรผ่าน หรือใช้รหัสผ่าน หรือแม้แต่การใช้ยามเฝ้า ซึ่งการป้องกันแบบนี้สามารถถูกลักลอบได้ง่าย เช่นบัตรผ่าน หรือรหัสผ่าน อาจหาย ลืม หรือแม้แต่ให้คนอื่นยืมใช้ได้ ส่วนยามเฝ้าก็ขึ้นอยู่กับความเข้มงวดของยามแต่ละคน ความบกพร่องของระบบที่ใช้กันอยู่ในปัจจุบันจึงมีอยู่มาก การนำเอาไบโอเมตริกซ์มาช่วยเช่น การผ่านเข้าออกโดยใช้ลายนิ้วมือ, ใช้การตรวจสอบรูปหน้า, หรือแม้แต่การใช้การตรวจสอบลักษณะของเรตินาภายในดวงตา จึงเป็นทางออกที่ดีกว่าการใช้งานที่เป็นอยู่ในปัจจุบัน   Biometrics กับการใช้งานเครื่องคอมพิวเตอร์และระบบเครือข่าย               เครื่องคอมพิวเตอร์แบบ Notebook หลายๆรุ่น มีการนำเอาเทคโนโลยี Biometrics ประเภทลายนิ้วมือเพื่อมาช่วย Authentication การใช้งานเครื่องคอมพิวเตอร์ ซึ่งค่อนข้างมีประโยชน์มากสำหรับบุคคลที่ต้องการความปลอดภัยในการรักษาข้อมูล เพราะถึงแม้ว่าเครื่องคอมพิวเตอร์จะถูกขโมย แต่ผู้ที่ขโมยไปก็ไม่สามารถนำไปใช้งานได้ โดยการใช้ลายนิ้วมือมาช่วยมีอยู่หลักๆสองประเภท คือเครื่องคอมพิวเตอร์ Notebook ที่มีตัวตรวจจับลายนิ้วมืออยู่ในตัวเครื่องอยู่แล้ว และ ประเภทที่ใช้ PC Card ที่มีตัวตรวจจับลายนิ้วมืออยู่ ใส่เข้าไปในช่อง PC Card ของเครื่องคอมพิวเตอร์ Notebook โดยที่ลายนิ้วมือจะเป็นการใช้ทดแทนการใช้รหัสผ่าน (Password) นั่นเอง  นอกจากนี้ การใช้งานคอมพิวเตอร์ระบบเครือข่าย จะต้องให้ผู้ใช้ใส่รหัสผ่านก่อนการใช้งานทุกครั้ง แต่เนื่องจากรหัสผ่านสามารถถูกคาดเดา หรือขโมย หรือ ถูกยืมไปใช้ได้ง่าย ดังนั้นการใช้ Biometrics มาเป็นตัวเข้ารหัสการใช้งานของผู้ใช้ระบบเครือข่าย จึงเป็นสิ่งที่สามารถยืนยันได้อย่างแท้จริงว่า ผู้ที่ใช้ระบบเครือข่ายอยู่คือผู้ที่มีสิทธิในการใช้งานได้จริง   Biometrics กับการใช้งานของสถาบันการเงิน               ในปัจจุบันการตรวจสอบตัวบุคคล เป็นสิ่งที่เป็นพื้นฐานที่สำคัญของการทำธุรกิจของสถาบันทางการเงิน การใช้การตรวจสอบลายเซ็น ลายนิ้วมือ บัตรประจำตัว หรือแม้แต่รหัสผ่าน ล้วนแต่เป็นสิ่งที่ง่ายต่อการปลอมแปลง และเป็นปัญหาที่สถาบันการเงินต้องพบเจอกับกลโกงต่างๆ ที่ทำให้เกิดความเสียหาย ดังนั้น การนำเอาเทคโนโลยีทางด้านไบโอเมตริกซ์มาเป็นสิ่งประกอบเพิ่มเติมในการตรวจสอบตัวบุคคล จึงเป็นสิ่งที่ได้รับความสนใจเป็นอย่างมากจากสถาบันทางการเงิน ทั้งทางด้านการช่วยในการเบิกถอนเงินทั้งที่ผ่านทางเคาเตอร์ และทั้งที่ผ่านทางเครื่อง ATM นอกจากนี้การใช้เทคโนโลยีไบโอเมตริกซ์ในการตรวจสอบผู้ใช้บัตรเครดิต ก็จะเป็นการช่วยลดการปลอมแปลง หรือการลักลอบใช้บัตรเครดิตของผู้อื่น และในทางกลับกันก็ยังช่วยลดการปฏิเสธความรับผิดชอบของผู้ใช้งานเอง เพราะมีหลักฐานที่แน่นอนในการระบุตัวบุคคลที่เชื่อถือได้   Biometrics กับการใช้งานด้านการระบุตัวอาชญากร                การระบุตัวอาชญากรที่ทำการตรวจสอบลายนิ้วมือ หรือการชี้ตัวโดยพยาน ซึ่งสามารถนำเอา Biometrics มาช่วยในการตรวจสอบลายนิ้วมือโดยอัตโนมัติ AFIS (Automated Fingerprint Identification System) ระบบนี้นอกจากจะให้ทางตำรวจตรวจลายนิ้วมือที่พบในที่เกิดเหตุกับฐานข้อมูลลายนิ้วมืออาชญากรที่มีอยู่แล้ว ระบบ AFIS ยังสามารถเป็นแหล่งข้อมูลให้กับทางองค์กรทางเอกชน ในการค้นหาประวัติการทำผิดกฏหมายของผู้สมัครงานหรือบุคคลากรภายในองค์กรได้อีกด้วย   Biometrics กับงานทะเบียนราษฎร์               จะเห็นได้ว่าในยุคปัจจุบันประเทศไทยเองก็ได้มีการพัฒนางานทะเบียนราษฎร์ให้มีความทันสมัยและมีความสะดวกสบายและมีความรวดเร็วมากยิ่งขึ้น ส่วนหนึ่งก็ได้มีการนำเทคโนโลยี Biometrics ร่วมกับเทคโนโลยีทางคอมพิวเตอร์ เพื่อมาใช้กับการระบุยืนยันตัวบุคคลในการมาติดต่องานทะเบียนราษฎร์ ซึ่งจะทำให้เกิดความคล่องตัวมากยิ่งขึ้น อย่างเช่น การทำ Passport หรือการต่ออายุบัตรประชาชนก็สามารถทำแบบออนไลน์ได้ที่สำนักงานเขต หรืออำเภอที่ใดก็ได้ เนื่องจากจะมีการยืนยันตัวบุคคลและเชื่อมโยงเป็นระบบเครือข่ายเดียวกันทั้งประเทศ เป็นต้น รูปแสดงตัวอย่างอุปกรณ์สแกนลายนิ้วมือ            ในตอนนี้ หลายบริษัทมีการใช้บริการตรวจสอบที่เป็นไบโอเมตริกซ์จากหลายบริษัทเข้ามารวมกัน ดังนั้นการตรวจสอบของระบบต่างๆ นั้นจะต้องมีความสามารถที่จะทำงานด้วยกันได้ (Compatible) รวมถึงการใช้ระบบฐานข้อมูลร่วมกัน               จากประโยชน์และการประยุกต์ใช้งานของเทคโนโลยีทางด้านไบโอเมตริกซ์ที่กล่าวมาข้างต้น เป็นเพียงตัวอย่างส่วนหนึ่งเท่านั้น ซึ่งเทคโนโลยีทางด้านไบโอเมตริกซ์สามารถนำมาใช้ประโยชน์ได้กับงานทุกๆประเภทที่มีความจำเป็นในการระบุตัวบุคคล ดังนั้นในอนาคตอันใกล้ เทคโนโลยีไบโอเมตริกซ์ก็จะเข้ามาเป็นส่วนประกอบที่สำคัญอันหนึ่งในการใช้ชีวิตประจำวันของบุคคลทั่วไป                ไม่แน่ว่าต่อไปในอนาคต ระบบการจำเสียง หรือว่า Speech Recognition นั้นจะเข้ามามีบทบาทอย่างมากกับการใช้โทรศัพท์ผ่านอินเทอร์เน็ต หรือว่าใช้คำพูดในการสั่งงานให้คอมพิวเตอร์ทำงานตามที่ต้องการ อาจจะเป็นการเข้าไปค้นข้อมูลผ่านบราวเซอร์แทนการใช้คีย์บอร์ด โดยระบบนี้จะจำเสียงและเปลี่ยนเสียงพูดให้เป็นโค้ดคำสั่ง ระบบการจำเสียงนี้จะช่วยให้การค้นข้อมูลผ่านเครือข่ายอินเทอร์เน็ตนั้นเร็วขึ้น พร้อมกันนั้นระบบนี้ยังเป็นไบโอเมตริกซ์ที่สามารถยืนยันสิทธิการใช้เครื่องพีซีของทุกคนได้อีกด้วย โดยที่ไม่ต้องห่วงว่าใครจะแอบเข้ามาใช้ระบบส่วนตัวได้ นอกจากการล็อกด้วยการใช้พาสเวิร์ดอย่างที่เคยใช้กัน                 ประโยชน์ของไบโอเมตริกซ์นั้นสามารถนำมาประยุกต์ใช้กับชีวิตประจำวันได้อีกเป็นจำนวนมาก และต่อไปก็มีแนวโน้มว่าจะถูกดาวน์สเกลลงมาให้กลายเป็นระบบ Home Biometrics อีกด้วย นั่นหมายถึงว่า พวกเราจะมียามรักษาการณ์ติดอยู่กับบ้านที่เหนือล้ำกว่าสุนัขเฝ้าบ้านหรือว่ายามเฝ้าบ้าน เพราะระบบสามารถทำงานได้ตลอด 24 ชั่วโมงโดยไม่ต้องมีการพักผ่อน ในขณะเดียวกันยังมีระบบการป้องกันและตรวจสอบให้กับเจ้าของบ้านได้มั่นใจว่ามีคนเฝ้าบ้านตลอดเวลา แม้ว่าจะไม่อยู่บ้านเป็นเวลานานๆ References : ·       //cpe.rsu.ac.th/ut/courses/T150/cpe489/portfolio/472407/reportbiome.html ·       //biometrics.cse.msu.edu/info.html ·       //techcruser.blogspot.com/2007/03/create-custom-faces-online-using-flash.html ·       //www.paybytouch.com/portal/site/main ·       //www.comstock.com/web/search/loupe.asp?Image=A0004332.jpg&Type=TS        ·    Magazine Eworld เรื่อง Empower Your Business with ICT Solution   Create Date : 03 กันยายน 2551     0 comment Last Update : 7 ตุลาคม 2551 20:39:18 น.     Counter : 2874 Pageviews.   Share Tweet