กนกวรรณ วีระประสิทธิ์
(ปัจจุบันเปลี่ยนชื่อเป็น ธัญญดา วีระประสิทธิ์)
21 มกราคม 2552


ความหมายและความสำคัญของการจัดการความเสี่ยง

การจัดการความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ วิเคราะห์ ประเมิน ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง

เมื่อเทคโนโลยีสารสนเทศก้าวเข้ามามีบทบาทสำคัญในฐานะกลไกลอันทรงพลังในการขับเคลื่อนโลกของเราให้หมุนไปอย่างไม่หยุดยั้ง ทุกกิจกรรมที่เกิดขึ้นบนโลกนี้ล้วนแต่มีความเกี่ยวข้องกับเทคโนโลยีสารสนเทศแทบทั้งสิ้น ในแต่ละวัน ข้อมูลนับล้านถูกส่งผ่านเครือข่ายเทคโนโลยีสารสนเทศ เพื่ออำนวยความสะดวกให้กับการดำเนินชีวิตประจำวัน และโดยเฉพาะอย่างยิ่ง “การประกอบธุรกิจ”

แต่ในปัจจุบัน “ข้อมูล” ซึ่งถือเป็นทรัพย์สินอันทรงคุณค่ามหาศาลต่างตกอยู่ในภาวะเสี่ยงต่อการถูกล่วงละเมิด ถูกทำให้เสียหาย หรือเสียหาย และถูกนำไปใช้ในทางที่ผิด ทั้งจากบุคคลภายในและภายนอกองค์กร โดยเจตนา หรือไม่เจตนาก็ตาม ดังนั้น หนทางที่ดีที่สุดในการแก้ปัญหานี้ จึงควรเริ่มตั้งแต่การบริหารจัดการองค์กรให้ได้มาตรฐานด้านความปลอดภัย ซึ่งก็คือ การจัดการความเสี่ยงในองค์กร นั่นเอง


ความหมายของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร

การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทำงานที่ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์ และการดำเนินธุรกิจ ระหว่างมาตรการในการป้องกันและการบรรลุผลสำเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศและข้อมูลสำคัญ ซึ่งจะช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กร


กระบวนการบริหารจัดการความเสี่ยง

กระบวนการนี้ประกอบด้วย 5 ขั้นตอน ดังนี้

1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและการประเมินค่าความเสี่ยง
1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้
▫ การชี้ระบุความเสี่ยง (Risk identification)
▫ ลักษณะรายละเอียดของความเสี่ยง (Risk description)
▫ การประมาณความเสี่ยง (Risk estimation)
1.2 ประเมินค่าความเสี่ยง (Risk evaluation)
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
3. กระบวนการบำบัดความเสี่ยง (Risk treatment)
4. การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
5. การเฝ้าสังเกต (Monitoring)


การประเมินความเสี่ยง (Risk assessment)

1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ

กระบวนการที่ 1 การชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา

ตัวอย่างที่มาของสิ่งคุกคามด้านสารสนเทศ

1. ด้านกายภาพและสิ่งแวดล้อม (physical and environmental threats)
- การปนเปื้อน (contamination) จากสารเคมี สิ่งสกปรก หรือรังสี เป็นต้น
- เหตุการณ์แผ่นดินไหว (earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (extremes of temperature and humidity) เช่น ร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (power supply failure or fluctuations)
- ไฟไหม้ (fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (storm)
- สัตว์ เช่นสัตว์กัดแทะ (vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (malicious destruction of data and facilities)

2. ด้านระบบ (systems threats)
- แฮ็กเกอร์ (hackers)
- การโจมตีเพื่อห้ามการบริการ [Denial of Service (DoS) attacks]
- การแอบฟัง (eavesdropping)
- การประท้วงหยุดงานของพนักงาน (industrial action)
- คำสั่งเจตนาร้าย (malicious code)
- การอำพรางหรือสวมรอย (masquerade)
- การปฏิเสธไม่ยอมรับ (repudiation)
- การก่อวินาศกรรม (sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต(unauthorized data access, dial-in access, or software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (software/programming errors)
- ความล้มเหลวทางเทคนิค (technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (transmission errors)

3. ด้านการบริหารจัดการ (administrative threats)
- การสังคมวิศวกรรม (social engineering)
- การลักทรัพย์และการฉ้อฉล (theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (use of pirated software)
- การแทรกแซงเว็บไซต์ (website intrusion)

การชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ ร่วมกันดังนี้ เช่น

1. การระดมสมอง (brain storming)
2. การออกแบบสอบถาม (questionnaire)
3. การวิเคราะห์กระบวนการทำงานหรือกิจกรรมในภารกิจ (business process analysis)
4. การวิเคราะห์สภาพการณ์เหตุการณ์ละเมิดความมั่นคง (scenario analysis)
5. การประชุมเชิงปฏิบัติการด้านการประเมินความเสี่ยง (risk assessment workshop)
6. การสืบสวนเหตุการณ์ละเมิดความมั่นคงสารสนเทศ (incident investigation)
7. การตรวจสอบและการตรวจสภาพระบบ (auditing and inspection)
8. การวิเคราะห์ HAZOP (hazard and operability studies)
9. การวิเคราะห์สถานการณ์ (SWOT analysis)

กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ยง (description of risk) เมื่อชี้ระบุความเสี่ยงได้แล้ว และนำมาบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่

- ชื่อความเสี่ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ยง (Nature)
- ผู้ที่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ยง
- การบำบัดและการควบคุม
- แนวทางการปรับปรุง
- การพัฒนากลยุทธ์และนโยบาย

กระบวนการที่ 3 การประมานความเสี่ยง (risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่ของโอกาสการเกิดเหตุ (incident) หรือเหตุการณ์ (event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใด

โอกาส หรือ ความน่าจะเป็น (Probability) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์ อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น

- บ่อย (frequent) พบได้บ่อยครั้งเป็นประจำ
- ประปราย (probable)
- ตามโอกาส (occasional)
- น้อยครั้งมาก (remote)
- แทบไม่เกิดเลย (improbable)

ความรุนแรงของสิ่งที่เกิดขึ้นตามมา (Severity of consequence) อาจแบ่งเป็น 4 ระดับคือ
- สูงมาก (severe)
- สูง (high)
- ปานกลาง (moderate)
- ต่ำ (low)


2. การประเมินค่าความเสี่ยง (Risk evaluation)

เมื่อได้ความเสี่ยง โดยมีรายละเอียด, การประมาณเชิงกึ่งปริมาณเป็นแมทริกซ์แล้ว จึงนำมาประเมินค่าความเสี่ยงโดยการเปรียบเทียบกับหลักเกณฑ์ความเสี่ยงที่ยอมรับได้

หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น

- ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (costs and benefits)
- ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors)
- ปัจจัยด้านสิ่งแวดล้อม (environmental factors)
- ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (concerns of stakeholders)
- อื่นๆ


การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)

เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ดังต่อไปนี้

ฝ่ายบริหาร ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น

- รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่
- เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ
- ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ
- ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล
- ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง

หัวหน้างาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น

- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร
- มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่

ผู้ปฏิบัติงาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น

- เข้าในบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยวงแต่ละรายการ
- เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง
- เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง


กระบวนการบำบัดความเสี่ยง (Risk treatment)

เมื่อผู้บริหารได้รับรายงานการประเมินความเสี่ยงแล้วจำเป็นต้องทำการตัดสินใจ โดยพิจารณาจากหลักเกณฑ์การยอมรับความเสี่ยงที่องค์กรมีอยู่ว่าจะยอมรับโดยไม่ทำอะไร หรือจะดำเนินการบำบัดความเสี่ยง ซึ่งได้แก่กระบวนการดังต่อไปนี้

1. การยอมรับความเสี่ยง (acceptance) เป็นการยอมรับในความเสี่ยงโดยไม่ทำอะไร และยอมรับในผลที่อาจตามมา เช่น การพิสูจน์ตัวจริงเพียงใช้ id/ password มีความเสี่ยงเพราะอาจมีการขโมยไปใช้ได้ การให้มีใช้
ชีวมาตร (biometrics) เช่น การตรวจลายนิ้วมือหรือม่านตา อาจมีค่าใช้จ่ายสูงไม่คุ้มค่า โรงพยาบาลอาจยอมรับความเสี่ยงของระบบปัจจุบันและทำงานต่อไปโดยไม่ทำอะไร

2. การเลี่ยงความเสี่ยง (avoidance) การหลีกเลี่ยงความเสี่ยง เช่น เมื่อพบว่าปัจจุบันโรงพยาบาล มีการสำรองข้อมูลเพียง 1 ชุดและจัดเป็นความเสี่ยงต่อการสูญเสีย การเลี่ยงความเสี่ยงนี้อาจได้แก่การทำสำรองข้อมูล
2 ชุด และแยกเก็บในสถานที่ต่างกัน การบริหารจัดการการเชื่อมโยงสู่เครือข่ายผ่านโมเด็ม ถ้าเป็นการยากต่อการควบคุมหรือบริหารจัดการ องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริการ และแนะนำให้พนักงานใช้บริการผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่างหนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง Antivirus เป็นต้น

3. การโอนย้ายความเสี่ยง (transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ทำงาน องค์กรอาจเลือกซื้อประกัน หรือสัญญาการบำรุงรักษาหลังขาย (Maintenance service) เป็นต้น

4. การลดความเสี่ยง (reduction) ได้แก่การมีมาตรการควบคุมมากชนิดขึ้น หรือชนิดที่เข้มงวดมากขึ้นเพื่อลดความเสี่ยง เช่น การใช้ชีวมาตร (biometrics) เพื่อใช้ในการพิสูจน์ตัวจริง นอกเหนือไปจากการใช้ id/ password ที่มีอยู่เดิม


การรายงานความเสี่ยงตกค้าง (Residual risk reporting)

เมื่อมีการบำบัดความเสี่ยงแล้ว จำเป็นต้องมีการรายงานและทบทวนอยู่เสมอเพื่อดูว่ามีการประเมิน และการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายในหรือภายนอกทำการตรวจสอบโดยกระบวนการ IT auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจำเป็นต้องมีการบริหารความเสี่ยงและการตรวจสอบเป็นประจำ


การเฝ้าสังเกต (Monitoring)

กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่างๆ ที่จำเป็นและเหมาะสมสำหรับการบริหารความเสี่ยงต่างๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตามและบังเกิดผลจริง ดังนั้น กระบวนการเฝ้าสังเกตพึงพิจารณาว่า

- ได้มีการปฏิบัติตามมาตรการต่างๆและบังเกิดผล
- กระบวนงานที่กำหนดขึ้นมาสามารถปฏิบัติได้จริง
- มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง


บทสรุป

การบริหารจัดการความเสี่ยง มีบทบาทสำคัญในการปกป้องข้อมูลและระบบเครือข่ายคอมพิวเตอร์ที่เป็นสินทรัพย์ขององค์กร และยังรวมถึงการปกป้อง “พันธกิจ” ขององค์กรให้รอดพ้นจากความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย ขั้นตอนในการบริหารจัดการความเสี่ยงควรจัดให้อยู่ในความรับผิดชอบหลักของฝ่ายเทคนิค ซึ่งมีผู้เชี่ยวชาญทางด้านเทคโนโลยีสารสนเทศเป็นผู้บริหาร และฝ่ายบริหารขององค์กร

องค์กรจะต้องมีกระบวนการในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมและได้มาตรฐาน เพื่อปกป้ององค์กรจากความเสียหายที่อาจเกิดขึ้นได้จากความเสี่ยง และเพื่อความสามารถในการดำเนินพันธกิจขององค์กรให้บรรลุผลสำเร็จ ไม่ใช่แค่เพียงการปกป้องสินทรัพย์เทคโนโลยีสารสนเทศหรือองค์กรเพียงเท่านั้น


References:

An Introduction to Computer Security: The NIST Handbook. NIST Special Publication 800-12, 1996.

Gary S., Alice G. & Alexis F., (2002). National Institute Standards and Technology 800-30 (NIST
800-30) Risk Management Guide for Information Management Systems. Gaitherburg & Falls Church: National Institute Standards and Technology

Thomas R. P. (2005). Information Security Risk Analysis. Boca Raton, London, New York,
Washington D.C.: Auerbach.

เมธา สุวรรณสาร. IT Governance & Risk Management กับศักยภาพการแข่งขันและการสร้างมูลค่าเพิ่มขององค์กร. (2549). จุลสารสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (สตท.). ฉบับที่ 39, กรุงเทพฯ.