|
|
|
ITM640 Internet and Communication Technologies
ITM640 Internet and Communication Technologies
หลักสูตรวิทยาศาสตร์มหาบัณฑิต สาขาวิชาการจัดการเทคโนโลยีสารสนเทศ
(ระบบการศึกษาทางไกลทางอินเทอร์เน็ต) มหาวิทยาลัยรังสิต
พ.อ.รศ.ดร.เศรษฐพงศ์ มะลิสุวรรณ
ปริญญาตรี
วิศวกรรมไฟฟ้าสื่อสารโทรคมนาคม (เกียรตินิยมเหรียญทอง) โรงเรียนนายร้อยพระจุลจอมเกล้า BS in EE (Telecommunication) นักเรียนเตรียมทหาร รุ่น 26 , นักเรียนนายร้อย จปร. รุ่น 37
ปริญญาโท
วิศวกรรมไฟฟ้า (Computer Communication Network) MS in EE (Computer Communication Network) Georgia Institute of Technology, Atlanta, Georgia, USA.
วิศวกรรมสื่อสารและโทรคมนาคม (ระบบสื่อสารเคลื่อนที่และเซลลูล่า) MS in EE (Mobile Communication) The George Washington University, Washington DC, USA.
ปริญญาเอก
วิศวกรรมสื่อสารและโทรคมนาคม (Telecommunications) Ph.D. in Telecommunications State University System of Florida (Florida Atlantic University), USA.
ตำแหน่งและหน้าที่ปัจจุบัน
อาจารย์ภาควิชาวิศวกรรมไฟฟ้าและคอมพิวเตอร์ โรงเรียนนายร้อยพระจุลจอมเกล้า
นายทหารฝ่ายเสนาธิการ สำนักงานรองผู้บัญชาการทหารสูงสุด
คณะอนุกรรมการบริหารโปรแกรมเทคโนโลยีเพื่อความมั่นคง (NECTEC)
Associate Professor of Business School, Touro University International, USA. (Accredited Internet Distance Learning University)
Assistant Professor, American University of London, Information Technology South East Asia
Adjunct Professor, Southern New Hampshire University, USA
ตำแหน่งและหน้าที่สำคัญในอดีต
ผู้พิพากษาสมทบศาลทรัพย์สินทางปัญญาและการค้าระหว่างประเทศกลาง
เลขานุการประธานกรรมการ บริษัท กสท โทรคมนาคม จำกัด (มหาชน)
ที่ปรึกษาและคณะทำงานด้านเทคโนโลยีสารสนเทศ คณะกรรมการตรวจเงินแผ่นดิน
คณะกรรมการร่างหลักเกณฑ์ใบอนุญาตประกอบกิจการโทรคมนาคมผ่านดาวเทียมสื่อสาร และโครงข่ายสถานีวิทยุคมนาคมภาคพื้นดิน (คำสั่ง กทช. 22/2548)
Adjunct Professor, School of Information Technology, Southern Cross University, Australia
Adjunct Professor, University of Canberra, AU. (Cooperation with Dhulakij Bandit University, Thailand)
ที่ปรึกษาคณะกรรมการพัฒนาระบบงานด้านเทคโนยีสารสนเทศกองทัพบก
CIO Board สำนักงานตรวจเงินแผ่นดิน
|
"การวิเคราะห์ความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ"
นิจวรรณ นิลประดับ
ITM0168
ความเสี่ยงทางธุรกิจ อาจเกิดขึ้นได้ทั้งจากปัญหาเชิงปฏิบัติการในแต่ละวันไปจนถึงความผิดพลาดครั้งใหญ่ที่เกิดขึ้นนานๆ ครั้ง โดยในช่วงทศวรรษที่ผ่านมา ระบบเทคโนโลยีสารสนเทศ (IT) ได้เข้ามามีบทบาทสำคัญในทุกภาคส่วนของธุรกิจ ทำให้การทำงานต่างๆ จำเป็นต้องพึ่งพาระบบไอทีในระดับสูงอย่างที่ไม่เคยมีมาก่อน และนั่นทำให้ ความเสี่ยงด้านไอที ซึ่งเดิมเป็นเพียงส่วนย่อยของความเสี่ยงในด้านการปฏิบัติงาน กำลังกลายเป็นภัยคุกคามสำคัญของหลายองค์กร ที่จำเป็นต้องเอาใจใส่และดูแลจัดการด้วยความรอบคอบกว่าเดิม โดยความเสี่ยงด้านไอทีนั้นประกอบไปด้วยเรื่องของความปลอดภัย ความพร้อมของระบบ สมรรถนะของระบบ และการดำเนินตามนโยบายคอมไพลเอนซ์ (compliance) ซึ่งภัยในแต่ละส่วนนั้นล้วนก่อให้เกิดความเสียหายแก่ธุรกิจได้อย่างมหาศาล
แนวคิดการประเมินและวิเคราะห์ความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร
การประเมินความเสี่ยง (Risk Assessment)
การประเมินความเสี่ยงเป็นกระบวนการแรกในวิธีการบริหารจัดการความเสี่ยง องค์กรทั้งหลายมักใช้การประเมินความเสี่ยงในการตรวจสอบขอบเขตของความเสี่ยงและภัยคุกคามที่สัมพันธ์กับระบบสารสนเทศรวมไปถึงช่วงชีวิตของการพัฒนาระบบ (SDLC: System Development Life Cycle) ผลที่ได้จากกระบวนการนี้ช่วยให้สามารถหาวิธีการควบคุมที่เหมาะสมสำหรับการลดหรือกำจัดความเสี่ยงที่เกิดขึ้น
ความเสี่ยงเป็นฟังก์ชันของโอกาสที่จะเกิดเหตุการณ์ใดๆ ซึ่งก่อให้เกิดภัยคุกคามในระบบที่มีความอ่อนแอในการปกป้อง กับความรุนแรงของผลกระทบที่จะเกิดขึ้นจากภัยคุกคามนั้น ในการตรวจสอบโอกาสในการเกิดเหตุการณ์หรือภัยคุกคามหนึ่งๆ ในอนาคตที่มีต่อระบบข้อมูลขององค์กรนั้นจะต้องวิเคราะห์จากความอ่อนแอ และวิธีการควบคุมของระบบ ใน ขณะที่ผลกระทบที่เกิดขึ้นจะพิจารณาที่ความรุนแรง
วิธีการประเมินความเสี่ยงสามารถแบ่งเป็น 9 ขั้นตอน ดังนี้
1. การอธิบายลักษณะของระบบ (System Characterization)
2. การบ่งชี้ภัยคุกคาม (Threat Identification)
3. การบ่งชี้ความไม่มั่นคง (Vulnerability Identification)
4. การวิเคราะห์การควบคุม (Control Analysis)
5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
6. การวิเคราะห์ผลกระทบ (Impact Analysis)
7. การตรวจสอบความเสี่ยง (Risk Determination)
8. การเสนอวิธีการควบคุม (Control Recommendations)
9. การทำเอกสารสรุปผล (Result Documentation)
1. การอธิบายลักษณะของระบบ (System Characterization)
ในการประเมินความเสี่ยงในระบบข้อมูลสารสนเทศ ขั้นตอนแรกคือ การระบุของเขตในการพิจารณา ซึ่งจะต้องคำนึงถึงจำนวนทรัพยากรและข้อมูลข่าวสารที่มีอยู่ในระบบ การอธิบายลักษณะระบบข้อมูลสารสนเทศจะต้องกำหนดขอบเขตในการประเมินความเสี่ยง จำแนกขอบเขตการให้สิทธิในการทำงาน และเตรียมข้อมูลที่มีผลต่อความเสี่ยง เช่น อุปกรณ์ฮาร์ดแวร์ ซอฟต์แวร์ และการเชื่อมต่อระบบ เป็นต้น
2. การบ่งชี้ภัยคุกคาม (Threat Identification)
ภัยคุกคาม คือ สิ่งที่เป็นไปได้ที่แหล่งกำเนิดภัยคุกคามจะกระทำต่อสิ่งที่ไม่มีความมั่นคง ความไม่มั่นคงคือความอ่อนแอของสิ่งหนึ่งทำให้ได้รับผลกระทบจากภายนอกได้ง่าย การพิจารณาความเป็นไปได้ของการเกิด
ภัยคุกคามจึงต้องพิจารณาจากแหล่งกำเนิดภัยคุกคาม ความอ่อนแอไม่มั่นคง และการควบคุมที่มีอยู่
การบ่งชี้แหล่งกำเนิดภัยคุกคาม(Threat-Source Identification) เป้าหมายของขั้นตอนนี้คือ ระบุแหล่งกำเนิดของภัยคุกคาม และประมวลผลเป็นรายชื่อภัยคุกคามที่มีผลต่อระบบข้อมูลสารสนเทศ เพื่อนำมาใช้ในการประเมิน
3. การบ่งชี้ความไม่มั่นคง (Vulnerability Identification)
การวิเคราะห์ภัยคุกคามที่มีต่อระบบข้อมูลสารสนเทศ ต้องมีการวิเคราะห์ความอ่อนแอไม่มั่นคงของสภาพแวดล้อมของระบบ เป้าหมายของขั้นตอนนี้คือ การพัฒนารายการความไม่มั่นคงของระบบที่ทำให้ระบบ
มีโอกาสได้รับภัยคุกคาม ตัวอย่างความไม่มั่นคงของระบบซึ่งก่อให้เกิดภัยคุกคาม
4. การวิเคราะห์การควบคุม (Control Analysis)
เป้าหมายของขั้นตอนนี้ เพื่อวิเคราะห์การควบคุมที่องค์กรใช้อยู่หรือที่วางแผนไว้เพื่อลดหรือกำจัดโอกาสที่จะเกิดภัยคุกคาม การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่งชี้ถึงความเป็นไปได้ที่ระบบจะไม่มีความมั่นคงสามารถทำได้เมื่ออยู่ในสภาพแวดล้อมที่มีภัยคุกคาม เช่นโอกาสเกิดความเสี่ยงจะต่ำ ถ้าแหล่งกำเนิดภัยคุกคามมีความสามารถต่ำในการสร้างผลกระทบ หรือเมื่อองค์กรมีวิธีการควบคุมและรักษาความปลอดภัยที่มีประสิทธิภาพมากพอที่จะลด หรือ กำจัดอันตรายที่จะเกิดขึ้น
5. การตรวจสอบโอกาสในการเกิดภัยคุกคาม (Likelihood Determination)
การวัดระดับโอกาสที่จะเกิดความเสี่ยงซึ่งบ่งชี้ถึงความเป็นไปได้ที่ระบบจะไม่มีความมั่นคงสามารถทำได้เมื่ออยู่ในสภาพแวดล้อมที่มีภัยคุกคาม ปัจจัยที่ต้องพิจารณาได้แก่
5.1 ความสามารถของแหล่งกำเนิดภัยคุกคามในการก่อให้เกิดความเสี่ยง
5.2 ธรรมชาติของความไม่มั่นคงที่ก่อให้เกิดความเสี่ยง
5.3 ความมีประสิทธิภาพของวิธีการควบคุมที่มีอยู่
โอกาสที่ระบบเกิดความไม่มั่นคงเนื่องจากแหล่งกำเนิดภัยคุกคามสามารถอธิบายได้ด้วยระดับของความเป็นไปได้เช่น ระดับสูง ระดับปานกลาง และ ระดับต่ำ
6. การวิเคราะห์ผลกระทบ (Impact Analysis)
การตรวจสอบผลกระทบต่อระบบเมื่อเกิดภัยคุกคามขึ้น ก่อนที่จะเริ่มวิเคราะห์ผลกระทบ จะต้องทำความเข้าใจกับข้อมูลได้แก่
พันธกิจของระบบ (System mission)
ความสำคัญของระบบและข้อมูล (System and data criticality)
ความไวต่อการเปลี่ยนแปลงของระบบและข้อมูล (System and data sensitivity)
การวิเคราะห์ผลกระทบนำไปสู่การจัดลำดับผลกระทบโดยพิจารณาจากข้อมูลขององค์กร ซึ่งก็ขึ้นอยู่กับการประเมินความสำคัญและความไวต่อการเปลี่ยนแปลงของสินทรัพย์ทั้งหลาย ทั้งในเชิงปริมาณหรือเชิงคุณภาพ
ผลกระทบจะประกอบไปด้วย ผลกระทบที่จับต้องได้สามารถวัดปริมาณได้ในรูปของรายได้ที่สูญเสียไป หรือต้นทุนในการซ่อมแซมระบบที่เพิ่มขึ้น ส่วนผลกระทบที่ไม่สามารถวัดปริมาณได้ก็สามารถอธิบายด้วยการวัดเป็นระดับของความรุนแรงที่มีต่อระบบเช่น ระดับสูง ปานกลาง และต่ำ
7. การตรวจสอบความเสี่ยง (Risk Determination)
การตรวจสอบความเสี่ยงจะพิจารณาจากปัจจัยจากขั้นตอนที่ผ่านมาได้แก่ โอกาสที่ภัยคุกคามที่เกิดขึ้นทำให้ระบบขาดความมั่นคง ระดับผลกระทบหรือความรุนแรงของภัยคุกคามที่มีต่อระบบ และประสิทธิภาพของแผนการควบคุมความปลอดภัยของระบบ การวัดระดับความเสี่ยงจะใช้มาตรฐานเมตริกซ์ระดับความเสี่ยง (Risk-Level Matrix) ซึ่งสูตรวัดความเสี่ยงได้จากผลคูณของโอกาสเกิดความเสี่ยง (Likelihood) กับ ความรุนแรงของความเสี่ยง (Impact) ที่ระบบได้รับจากภัยคุกคามนั้น เมตริกซ์ระดับความเสี่ยงสามารถมีได้หลายขนาดแล้วแต่ความต้องการของแต่ละองค์กร
8. การเสนอวิธีการควบคุม (Control Recommendation) การควบคุมภายในองค์กรช่วยลดระดับความเสี่ยงที่จะเกิดกับระบบข้อมูลสารสนเทศ และข้อมูลอื่นๆขององค์กรให้อยู่ในระดับที่สามารถยอมรับได้ การเสนอวิธีการควบคุมเป็นผลจากกระบวนการประเมินความเสี่ยงและเป็นการเตรียมข้อมูลสำหรับกระบวนการลดระดับความเสี่ยง
9. การจัดทำเอกสารสรุปผล (Results Documentation)
เมื่อการประเมินความเสี่ยงเสร็จสมบูรณ์แล้ว ต้องมีการรวบรวมข้อมูลที่เกี่ยวข้องทั้งหมดและจัดทำเอกสารสรุป รายงานการประเมินความเสี่ยงเป็นรายงานที่นำไปใช้ร่วมกับการบริหารจัดการ เพื่อประกอบการตัดสินใจต่างๆขององค์กรมีโอกาสได้รับภัยคุกคาม ตัวอย่างความไม่มั่นคงของระบบซึ่งก่อให้เกิดภัยคุกคาม
กระบวนการควบคุมความเสี่ยง (Approach for Control Implementation)
เมื่อต้องมีการควบคุมเกิดขึ้นสิ่งที่ต้องปฏิบัติคือระบุความเสี่ยงที่เกิดขึ้นให้มากที่สุด แล้วพยายามหาวิธีลดความเสี่ยงด้วยวิธีที่มีต้นทุนต่ำและส่งผลกระทบต่อพันธกิจอื่นๆขององค์กรให้น้อยที่สุด กระบวนการในการบรรเทาความเสี่ยงสรุปได้ดังนี้
1. จัดลำดับความสำคัญของการปฏิบัติงาน (Prioritize Actions) จากผลการจัดลำดับความเสี่ยงในกระบวนการประเมินความเสี่ยง นำไปสู่การจัดลำดับการลงมือปฏิบัติงานด้วย ภายใต้ทรัพยากรที่มีอยู่ ลำดับแรกสุดควรจะเลือกลงมือกับความเสี่ยงที่มีระดับความเสี่ยงสูง ซึ่งต้องการการแก้ไขในทันทีเพื่อปกป้องพันธกิจขององค์กร ผลลัพธ์ที่ได้คือลำดับการลงมือจัดการความเสี่ยง
2. ประเมินทางเลือกในการควบคุม (Evaluate recommended Control Options) วิธีการควบคุมที่ถูกเสนอในกระบวนการประเมินความเสี่ยงอาจไม่ใช่วิธีที่เหมาะสมที่สุดหรือเป็นทางเลือกที่เป็นไปได้ที่สุดสำหรับแต่ละองค์กร ขั้นตอนนี้จึงเป็นการเลือกวิธีการที่มีความเป็นไปได้มากที่สุดที่จะสามารถบรรเทาความเสี่ยงได้ ผลลัพธ์ที่ได้คือรายชื่อของวิธีการควบคุม
3. วิเคราะห์ผลประโยชน์ที่ได้รับ (Conduct Cost-Benefit Analysis) การวิเคราะห์ผลประโยชน์นี้ จะช่วยให้ระดับบริหารสามารถตัดสินใจและเลือกการควบคุมที่มีประสิทธิภาพ
4. เลือกวิธีการควบคุม (Select Control) จากพื้นฐานผลลัพธ์ที่ได้จากการวิเคราะห์ผลประโยชน์ ผู้บริหารสามารถตรวจสอบวิธีควบคุมทั้งหมดและเลือกวิธีที่ครอบ คลุมทั้งการควบคุมเชิงเทคนิค, เชิงปฏิบัติการ และเชิงบริหารเพื่อให้มั่นใจความเพียงพอต่อความต้องการความปลอดภัยของระบบและองค์กร
5. มอบหมายความรับผิดชอบ (Assign Responsibility) คือการเลือกบุคคลที่เหมาะสมซึ่งมีความเชี่ยวชาญและมีทักษะในการลงมือควบคุม พร้อมมอบหมายหน้าที่รับผิดชอบ
6. พัฒนาแผนการปฏิบัติงานเพื่อการป้องกัน (Develop a Safeguard Implementation Plan) อย่างน้อยที่สุด แผนงานควรจะประกอบด้วยข้อมูลดังต่อไปนี้
ความเสี่ยงและระดับความเสี่ยง
วิธีการควบคุมที่ได้รับการแนะนำ
การปฏิบัติงานที่ได้รับการจัดลำดับไว้
การเลือกวิธีการควบคุม
ทรัพยากรที่ต้องการใช้ในการลงมือควบคุม
รายชื่อผู้มีหน้าที่รับผิดชอบ
กำหนดวันที่เริ่มลงมือปฏิบัติ
กำหนดวันเสร็จสิ้นการปฏิบัติ
รายละเอียดการดูแลรักษาระบบ
7. ลงมือปฏิบัติความวิธีควบคุมที่เลือก (Implement Selected Controls) ขึ้นอยู่กับแต่ละสถานการณ์ บางครั้งการควบคุมอาจจะลดความเสี่ยงได้ แต่ไม่สามารถกำจัดความเสี่ยงนั้นออกจากระบบหรือองค์กรได้ ซึ่งทำให้เกิดความเสี่ยงคงค้างนั่นเอง
ผู้บริหารเทคโนโลยีในทุกวันนี้ คือ นักรบของโลกยุคใหม่ ซึ่งต้องต่อสู้กับภัยคุกคามรอบด้าน โดยแทนที่จะทดสอบความกล้าหาญด้วยการต่อสู้กับเสือร้ายและนักรบผู้กล้า เจ้าหน้าที่ฝ่ายไอทีกลับต้องรับมือกับคู่ต่อสู้ที่แฝงตัวอยู่ในเงามืด ทั้งเหล่าแฮกเกอร์ที่มุ่งทำลายระบบ ตลอดจนกฎระเบียบที่ซับซ้อนของอุตสาหกรรมและของรัฐ และพวกเขายังค้นพบว่านี่คือสงครามที่พวกเขาไม่สามารถจัดการได้ด้วยตนเอง
ดังนั้น ฝ่ายไอทีของบริษัทจึงจำต้องค้นหากลยุทธ์ที่มีประสิทธิภาพ เพื่อให้ก้าวล้ำหน้าความเสี่ยงที่มีเพิ่มขึ้นเรื่อยๆ ความเสี่ยงนี้เกิดจากปัจจัยต่างๆ ไม่ว่าจะเป็น ความล้มเหลวของโครงสร้างพื้นฐาน ภัยพิบัติทางธรรมชาติ และความพยายามในการล่วงละเมิดระบบรักษาความปลอดภัย พร้อมกันนั้นพวกเขายังต้องนำเสนอบริการใหม่ๆ และพร้อมที่จะฉวยโอกาสที่เกิดขึ้นในทันที เมื่อคู่แข่งมีการเคลื่อนไหวหรือเกิดการเปลี่ยนแปลงในตลาด
ในการรับมือกับความเสี่ยงและโอกาสเหล่านี้ สิ่งหนึ่งที่เห็นได้ชัดเจนคือ ระบบไอทีต้องมีกระบวนการจัดการที่ดีและสามารถบริหารความเสี่ยงได้อย่างมีประสิทธิภาพ เพื่อให้โครงการด้านไอทีขององค์กรสอดคล้องไปในแนวทางเดียวกับเป้าหมายทางธุรกิจ
ด้วยเหตุนี้ การจัดการด้านไอทีและการบริหารความเสี่ยงจึงกลายเป็นภารกิจที่สำคัญที่สุดสำหรับผู้บริหารขององค์กรธุรกิจทั่วโลก ทั้งนี้ ในประเด็นเรื่องการรักษาความปลอดภัย องค์กรต้องรับมือกับภัยคุกคามทางด้านไอทีหลากหลายรูปแบบ ตั้งแต่การใช้สคริปต์ทั่วไปโจมตีระบบ ไปจนถึงการใช้โปรแกรมทำลายที่ซับซ้อนขึ้น เช่น เวิร์ม หรือไวรัส รวมถึงแฮกเกอร์ที่มีความเชี่ยวชาญมากขึ้น ซึ่งอาจเป็นพวกที่อยากรู้อยากเห็น หรือเป็นพวกที่มุ่งทำลายล้างและโจรกรรมข้อมูล
นอกเหนือจากภัยคุกคามภายนอกเหล่านี้แล้ว ยังมีภัยคุกคามภายในจากพนักงานในองค์กรนั้นเอง ซึ่งผลการศึกษาบ่งชี้ว่า ในบางครั้ง ผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลในองค์กรอาจสร้างภัยคุกคามต่อระบบความปลอดภัยได้มากกว่าแฮกเกอร์ภายนอกเสียอีก เพราะผู้ใช้เหล่านี้สามารถเข้าถึงอุปกรณ์คอมพิวเตอร์ รวมทั้งเข้าถึงข้อมูลทางธุรกิจผ่านระบบ และพวกเขาอาจนำทรัพยากรหรือข้อมูลนั้นไปใช้ในทางที่ผิด ทั้งโดยตั้งใจหรือไม่ตั้งใจ อันนำไปสู่ผลเสียหายในภายหลังได้
นอกจากนั้น ขณะที่บริษัทพยายามปรับปรุงระบบรักษาความปลอดภัย พวกเขายังต้องประพฤติปฏิบัติให้สอดคล้องตามกฎระเบียบขององค์กรที่ออกใหม่อยู่ตลอดเวลา โดยกฎระเบียบใหม่โดยส่วนมากกำหนดขอบเขตที่องค์กรปัจจุบันจะต้องยึดถือในการจัดการดูแลข้อมูล ควบคุมการเข้าถึง จำกัดช่องโหว่ รวมทั้งรักษาความครบถ้วนสมบูรณ์และความโปร่งใสของข้อมูลโดยรวม
ความบกพร่องของระบบความปลอดภัย อาจทำให้เกิดการละเมิดกฎระเบียบเหล่านี้โดยไม่ได้ตั้งใจได้ ดังนั้นการจัดการระบบความปลอดภัยที่ดีจึงกลายเป็นเรื่องสำคัญมากขึ้นกว่าในอดีต
การจัดการด้านสารสนเทศให้มีประสิทธิภาพไม่ใช่เรื่องง่าย โดยเฉพาะอย่างยิ่งการดำเนินงานด้านเทคโนโลยีในปัจจุบัน กลายเป็นเป้าหมายที่สำคัญมากขึ้นในธุรกิจ และได้กลายเป็นระบบงานที่สำคัญที่สุดขององค์กรธุรกิจส่วนใหญ่ตลอด 20 ปีที่ผ่านมา ด้วยเหตุนี้ การดำเนินงานด้านไอทีจึงมีความซับซ้อนมากขึ้น และนำไปสู่ความเสี่ยงใหม่ๆ มากมาย
สืบเนื่องจากความร่วมมือกันทางธุรกิจและระบบบริหารห่วงโซ่อุปทาน ที่ขยายตัวครอบคลุมทั่วโลกมากขึ้น ดังนั้น ปัญหาที่เกิดขึ้นในส่วนใดส่วนหนึ่งของโลก จึงอาจกลายเป็นปัญหาด้านไอทีของทั้งองค์กรโดยง่ายดาย ยิ่งกว่านั้น การจัดการด้านไอทีในทุกวันนี้ต้องมีการบริหารความเสี่ยงไม่เฉพาะในด้านการรักษาความปลอดภัยแบบดั้งเดิมและการปฏิบัติให้สอดคล้องตามกฎระเบียบเท่านั้น หากยังต้องดูแลในเรื่องประสิทธิภาพของระบบ ความพร้อมใช้งานของทรัพยากร และความสมบูรณ์ถูกต้องของบริการด้านไอทีอีกด้วย
กลยุทธ์การบริหารความเสี่ยงที่ดีต้องใช้การมองแบบองค์รวม คือ ต้องให้ความใส่ใจกับบุคคลและการเข้าถึงข้อมูลของบุคคลนั้น นอกเหนือจากการดูแลระบบคอมพิวเตอร์ แอพพลิเคชั่นซอฟต์แวร์ และข้อมูลที่จัดเก็บ นอกจากนี้ องค์กรยังต้องเชื่อมโยงความปลอดภัยให้กับคอมพิวเตอร์และอุปกรณ์ต่างๆ ทั้งระบบ รวมถึงพยายามปรับลดความเสี่ยงควบคู่กันไปด้วย
วิธีหนึ่งในการช่วยให้บริษัทสามารถปรับลดความเสี่ยงและบริหารระบบไอทีได้มีประสิทธิภาพ คือ เริ่มต้นด้วยโครงการไอทีใหม่ที่มีประสิทธิภาพสูงสุด โดยสอดคล้องกับแนวทางธุรกิจมากขึ้น พร้อมทั้งปรับปรุงการตรวจสอบและการควบคุมระบบไอทีตลอดอายุการใช้งาน องค์กรสามารถปรับปรุงการดำเนินงานและความฉับไวของธุรกิจด้วยการเพิ่มประสิทธิภาพในการจัดการบริการ การรักษาความต่อเนื่องของธุรกิจ และการรักษาความปลอดภัย
ในฐานะที่เป็นส่วนสำคัญที่สุดของธุรกิจ ฝ่ายไอทีต้องปรับตัวอย่างรวดเร็วเมื่อความต้องการด้านบริการธุรกิจเปลี่ยนไป โดยจะต้องตอบสนองความต้องการใหม่ๆ และรับมือกับภัยคุกคามใหม่ๆ ได้อย่างทันท่วงที ปัจจุบัน ผู้บริหารฝ่ายสารสนเทศ (CIO) และผู้จัดการฝ่ายไอทีต้องสามารถบริหารระบบไอทีทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ
ในการจัดการระบบไอทีและการบริหารความเสี่ยง ผู้นำขององค์กรยังต้องมีแผนการรักษาความต่อเนื่องในการดำเนินงาน เพื่อไม่ให้มีการสะดุดหากมีปัญหาเกิดขึ้น และเพื่อให้องค์กรสามารถฟื้นตัวได้จากปัญหา ผู้บริหารขององค์กรต้องมั่นใจว่าพวกเขาได้เตรียมพร้อมแล้วสำหรับปัญหาที่คาดเดาได้และปัญหาที่คาดไม่ถึง ทั้งนี้ เพื่อรักษาความต่อเนื่องในการดำเนินธุรกิจ
ในความเป็นจริงแล้ว ความสามารถในการฟื้นตัวของธุรกิจควรเป็นส่วนประกอบสำคัญของกลยุทธ์ธุรกิจและกลยุทธ์ด้านไอที ด้วยการดำเนินงานและโครงสร้างพื้นฐานที่ถูกออกแบบมาเพื่อให้สามารถจัดการกับความท้าทาย เช่น ปัญหาจากไฟฟ้าดับ การตรวจสอบ ความผันผวนของความต้องการ หรือการควบรวมกิจการ เป็นต้น
ผู้บริหารฝ่ายสารสนเทศและผู้จัดการฝ่ายไอทีควรดำเนินการประเมินระบบภายในอย่างสม่ำเสมอ เพื่อระบุว่าหน่วยงานธุรกิจส่วนใดสำคัญที่สุด หน่วยงานใดเป็นจุดอ่อนขององค์กร พร้อมทั้งประเมินโอกาสที่จะเกิดผลกระทบต่อประสิทธิภาพของการปฏิบัติงานและผลการดำเนินงาน เมื่อการประเมินเสร็จสิ้น ผู้บริหารจะสามารถจัดสรรบุคลากร กำหนดแผนงาน และติดตั้งเทคโนโลยีได้อย่างเหมาะสม เพื่อให้แน่ใจว่าข้อมูล บริการ และการสนับสนุนจะพร้อมใช้สำหรับทุกส่วนงาน
การนำแผนความต่อเนื่องของธุรกิจไปใช้งานเป็นส่วนหนึ่งของกลยุทธ์การบริหารความเสี่ยงและการจัดการที่ดี จะช่วยทำลายจุดอ่อนภายในองค์กร และสร้างแนวทางการปฏิบัติงานที่ดีที่สุด ทำให้มีระบบสำรองและระบบป้องกัน เพื่อช่วยให้ธุรกิจดำเนินไปได้อย่างเหมาะสม
ข้อมูลธุรกิจเปรียบเสมือนเส้นเลือดหล่อเลี้ยงการดำเนินงานขององค์กร และการปกป้องข้อมูลเป็นสิ่งจำเป็นอย่างยิ่งที่จะทำให้การดำเนินงานเป็นไปด้วยดี องค์กรต้องปกป้องข้อมูลให้ครอบคลุมมากที่สุดเท่าที่เป็นได้ตลอดอายุการใช้งานของข้อมูล เพื่อให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่อง รวมทั้งสอดคล้องตามกฎระเบียบของอุตสาหกรรมและของรัฐบาล ในขณะที่ภัยคุกคามข้อมูลมีการพัฒนารวดเร็วกว่าเดิม
ผู้จัดการด้านระบบเครือข่ายและระบบรักษาความปลอดภัยต้องเผชิญกับสงครามประจำวันที่เกิดจากการโจมตีแบบอัตโนมัติ การโจมตีแบบมุ่งเป้าหมาย และการเจาะระบบภายใน ซึ่งอาจเป็นการกระทำจากภัยคุกคามภายนอกและผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลในองค์กรนั้นเอง
ทุกวันนี้ องค์กรต้องรับมือกับกฎระเบียบใหม่ๆ มากมายที่ระบุว่า องค์กรควรจัดการข้อมูลธุรกิจภายในองค์กรอย่างไร ใครควรมีสิทธิ์เข้าถึงข้อมูลนี้ และภายใต้สถานการณ์ใดบ้างที่สามารถหรือไม่สามารถเปลี่ยนแปลงได้ การปกป้องข้อมูลธุรกิจเกี่ยวข้องกับการจำกัดข้อมูลให้กับบุคคลากรที่เหมาะสมทั้งภายในและภายนอกหน่วยงาน การคงรักษาความถูกต้องของข้อมูล เนื่องจากต้องมีการป้องกันข้อมูลจากความพยายามเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และการทำให้ข้อมูลสามารถพร้อมใช้งานได้ต่อเนื่องสำหรับการดำเนินงานของธุรกิจ
ด้วยการนำกลยุทธ์การประเมินระบบรักษาความปลอดภัยที่ครอบคลุมทุกส่วนไปใช้งาน องค์กรจะสามารถรับทราบว่า บริเวณใดเป็นจุดอ่อนในการโจมตีที่สุด ควรใช้ทางแก้ปัญหาใดในการจัดการจุดอ่อนเหล่านั้น และจะผสมผสานทางแก้ปัญหาเหล่านั้นเข้ากับโครงสร้างพื้นฐานด้านสารสนเทศอย่างไรให้เหมาะสมที่สุด ทั้งนี้ เพื่อรับมือกับภัยคุกคามในปัจจุบันและภัยคุกคามในอนาคต ในการประเมินระบบรักษาความปลอดภัย องค์กรจำเป็นที่จะต้องตรวจสอบว่าการปฏิบัติตามกฎระเบียบใหม่จะก่อให้เกิดปัญหาเรื่องความปลอดภัยมากน้อยเพียงใด และจะต้องค้นหาทางลัดไปสู่การแก้ปัญหาในกรณีที่มีการตรวจสอบหรือการละเมิดระบบรักษาความปลอดภัยเกิดขึ้น
การจัดการตัวตนของผู้ใช้ (Identity Management) เป็นส่วนประกอบสำคัญอีกอย่างหนึ่งของกลยุทธ์การจัดการด้านสารสนเทศที่มีประสิทธิภาพ เนื่องจากช่วยให้ฝ่ายจัดการไอทีสามารถกำหนดบัญชีผู้ใช้และรหัสผ่านให้กับพนักงานและลูกค้าได้อย่างรวดเร็วและปลอดภัย ทั้งยังช่วยให้สามารถจำกัด จัดการ และติดตามการเข้าถึง และตั้งรหัสผ่านพนักงานให้ตรงกันเพื่อลดการใช้ข้อมูลธุรกิจในทางที่ผิดทั้งโดยตั้งใจและไม่ตั้งใจ
องค์กรที่มีความเชี่ยวชาญย่อมตระหนักถึงความสำคัญในการนำกระบวนการจัดการไอทีไปใช้งานอย่างมีประสิทธิภาพ การกำหนดเป้าหมายประสิทธิภาพทางด้านไอที และการนำกลยุทธ์บริหารความเสี่ยงไปใช้งาน เพื่อจำกัดผลกระทบเชิงลบต่อความปลอดภัย และปรับปรุงความสามารถของการดำเนินธุรกิจอย่างยืดหยุ่น
การดำเนินกลยุทธ์นี้ให้ประสบความสำเร็จเป็นสิ่งสำคัญมาก เนื่องจากองค์กรทุกวันนี้ได้รับแรงกดดันจากการแข่งขันทั่วโลกที่เพิ่มขึ้น ความต้องการของลูกค้าที่ซับซ้อนมากยิ่งขึ้น และภัยคุกคามความปลอดภัยที่พัฒนาขึ้นตลอดเวลา
ภาคอุตสาหกรรมและรัฐบาลจะยังคงเรียกร้องให้องค์กรเอกชนต่าง ๆ ปฏิบัติตามกฎระเบียบเกี่ยวกับความเป็นส่วนตัวของข้อมูล ความปลอดภัย และความต่อเนื่องของธุรกิจ ในขณะที่ภัยคุกคามด้านความปลอดภัยทั้งภายในและภายนอกองค์กรจะยังคงเพิ่มขึ้นอย่างต่อเนื่อง และองค์กรธุรกิจที่ขาดความพร้อมก็จะต้องแบกรับค่าใช้จ่ายที่สูงขึ้นและเผชิญกับการกำกับดูแลที่เข้มงวด
กล่าวโดยสรุปก็คือ การประเมินระบบรักษาความปลอดภัยและความสอดคล้องตามกฎระเบียบ การใช้งานเทคโนโลยีที่สามารถจัดการตนเอง (self-managing) และการบริหารความเสี่ยงโดยอาศัยประสบการณ์ที่มีอยู่ จะช่วยให้องค์กรสามารถรับมือกับปัญหาและความเปลี่ยนแปลงได้อย่างเหมาะสม และช่วยปรับปรุงผลประกอบการได้อย่างเป็นรูปธรรม แม้สงครามนี้ไม่ใช่สงครามที่มุ่งหมายชีวิต หากแต่ในโลกของธุรกิจ ผู้ที่อยู่รอดคือผู้ที่ปรับตัวได้ดีที่สุดเท่านั้น
References
Gary S., Alice G. & Alexis F., (2002). National Institute Standards and Technology 800-30 (NIST800-30) Risk Management Guide for Information Management Systems. Gaitherburg & Falls Church: National Institute Standards and Technology
Thomas R. P. (2005). Information Security Risk Analysis. Boca Raton, London, New York,
Washington D.C.: Auerbach.
Symantec (Thailand). (2550). รายงานการจัดการความเสี่ยงด้านไอที. เอพีพีอาร์ มีเดีย.
IBM (Thailand). (2551). การบริหารความเสี่ยงทางด้านไอที ปัจจัยที่สำคัญที่สุดสำหรับธุรกิจ. แผนกประชาสัมพันธ์ IBM (Thailand).
|
| Create Date : 25 ธันวาคม 2551 | | |
| Last Update : 7 มกราคม 2552 21:15:20 น. |
| Counter : 272 Pageviews. |
| |
|
 |
|
|
|
|
|
|
ฝากข้อความหลังไมค์
Rss Feed
ผู้ติดตามบล็อก : 1 คน [
