ยินดีต้อนรับสู่ Modoko's Blog ~* ... กรุณาลงชื่อให้กำลังใจใน ด้วยค่ะ ...
Group Blog
 
All blogs
 

การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ




การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ



กนกวรรณ วีระประสิทธิ์
(ปัจจุบันเปลี่ยนชื่อเป็น ธัญญดา วีระประสิทธิ์)

21 มกราคม 2552


ความหมายและความสำคัญของการจัดการความเสี่ยง

การจัดการความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ วิเคราะห์ ประเมิน ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง

เมื่อเทคโนโลยีสารสนเทศก้าวเข้ามามีบทบาทสำคัญในฐานะกลไกลอันทรงพลังในการขับเคลื่อนโลกของเราให้หมุนไปอย่างไม่หยุดยั้ง ทุกกิจกรรมที่เกิดขึ้นบนโลกนี้ล้วนแต่มีความเกี่ยวข้องกับเทคโนโลยีสารสนเทศแทบทั้งสิ้น ในแต่ละวัน ข้อมูลนับล้านถูกส่งผ่านเครือข่ายเทคโนโลยีสารสนเทศ เพื่ออำนวยความสะดวกให้กับการดำเนินชีวิตประจำวัน และโดยเฉพาะอย่างยิ่ง “การประกอบธุรกิจ”

แต่ในปัจจุบัน “ข้อมูล” ซึ่งถือเป็นทรัพย์สินอันทรงคุณค่ามหาศาลต่างตกอยู่ในภาวะเสี่ยงต่อการถูกล่วงละเมิด ถูกทำให้เสียหาย หรือเสียหาย และถูกนำไปใช้ในทางที่ผิด ทั้งจากบุคคลภายในและภายนอกองค์กร โดยเจตนา หรือไม่เจตนาก็ตาม ดังนั้น หนทางที่ดีที่สุดในการแก้ปัญหานี้ จึงควรเริ่มตั้งแต่การบริหารจัดการองค์กรให้ได้มาตรฐานด้านความปลอดภัย ซึ่งก็คือ การจัดการความเสี่ยงในองค์กร นั่นเอง


ความหมายของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร

การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทำงานที่ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์ และการดำเนินธุรกิจ ระหว่างมาตรการในการป้องกันและการบรรลุผลสำเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศและข้อมูลสำคัญ ซึ่งจะช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กร


กระบวนการบริหารจัดการความเสี่ยง

กระบวนการนี้ประกอบด้วย 5 ขั้นตอน ดังนี้

1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและการประเมินค่าความเสี่ยง
1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้
▫ การชี้ระบุความเสี่ยง (Risk identification)
▫ ลักษณะรายละเอียดของความเสี่ยง (Risk description)
▫ การประมาณความเสี่ยง (Risk estimation)
1.2 ประเมินค่าความเสี่ยง (Risk evaluation)
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
3. กระบวนการบำบัดความเสี่ยง (Risk treatment)
4. การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
5. การเฝ้าสังเกต (Monitoring)


การประเมินความเสี่ยง (Risk assessment)

1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ

กระบวนการที่ 1 การชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา

ตัวอย่างที่มาของสิ่งคุกคามด้านสารสนเทศ

1. ด้านกายภาพและสิ่งแวดล้อม (physical and environmental threats)
- การปนเปื้อน (contamination) จากสารเคมี สิ่งสกปรก หรือรังสี เป็นต้น
- เหตุการณ์แผ่นดินไหว (earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (extremes of temperature and humidity) เช่น ร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (power supply failure or fluctuations)
- ไฟไหม้ (fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (storm)
- สัตว์ เช่นสัตว์กัดแทะ (vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (malicious destruction of data and facilities)

2. ด้านระบบ (systems threats)
- แฮ็กเกอร์ (hackers)
- การโจมตีเพื่อห้ามการบริการ [Denial of Service (DoS) attacks]
- การแอบฟัง (eavesdropping)
- การประท้วงหยุดงานของพนักงาน (industrial action)
- คำสั่งเจตนาร้าย (malicious code)
- การอำพรางหรือสวมรอย (masquerade)
- การปฏิเสธไม่ยอมรับ (repudiation)
- การก่อวินาศกรรม (sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต(unauthorized data access, dial-in access, or software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (software/programming errors)
- ความล้มเหลวทางเทคนิค (technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (transmission errors)

3. ด้านการบริหารจัดการ (administrative threats)
- การสังคมวิศวกรรม (social engineering)
- การลักทรัพย์และการฉ้อฉล (theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (use of pirated software)
- การแทรกแซงเว็บไซต์ (website intrusion)

การชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ ร่วมกันดังนี้ เช่น

1. การระดมสมอง (brain storming)
2. การออกแบบสอบถาม (questionnaire)
3. การวิเคราะห์กระบวนการทำงานหรือกิจกรรมในภารกิจ (business process analysis)
4. การวิเคราะห์สภาพการณ์เหตุการณ์ละเมิดความมั่นคง (scenario analysis)
5. การประชุมเชิงปฏิบัติการด้านการประเมินความเสี่ยง (risk assessment workshop)
6. การสืบสวนเหตุการณ์ละเมิดความมั่นคงสารสนเทศ (incident investigation)
7. การตรวจสอบและการตรวจสภาพระบบ (auditing and inspection)
8. การวิเคราะห์ HAZOP (hazard and operability studies)
9. การวิเคราะห์สถานการณ์ (SWOT analysis)

กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ยง (description of risk) เมื่อชี้ระบุความเสี่ยงได้แล้ว และนำมาบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่

- ชื่อความเสี่ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ยง (Nature)
- ผู้ที่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ยง
- การบำบัดและการควบคุม
- แนวทางการปรับปรุง
- การพัฒนากลยุทธ์และนโยบาย

กระบวนการที่ 3 การประมานความเสี่ยง (risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่ของโอกาสการเกิดเหตุ (incident) หรือเหตุการณ์ (event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใด

โอกาส หรือ ความน่าจะเป็น (Probability) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์ อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น

- บ่อย (frequent) พบได้บ่อยครั้งเป็นประจำ
- ประปราย (probable)
- ตามโอกาส (occasional)
- น้อยครั้งมาก (remote)
- แทบไม่เกิดเลย (improbable)

ความรุนแรงของสิ่งที่เกิดขึ้นตามมา (Severity of consequence) อาจแบ่งเป็น 4 ระดับคือ
- สูงมาก (severe)
- สูง (high)
- ปานกลาง (moderate)
- ต่ำ (low)


2. การประเมินค่าความเสี่ยง (Risk evaluation)

เมื่อได้ความเสี่ยง โดยมีรายละเอียด, การประมาณเชิงกึ่งปริมาณเป็นแมทริกซ์แล้ว จึงนำมาประเมินค่าความเสี่ยงโดยการเปรียบเทียบกับหลักเกณฑ์ความเสี่ยงที่ยอมรับได้

หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น

- ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (costs and benefits)
- ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors)
- ปัจจัยด้านสิ่งแวดล้อม (environmental factors)
- ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (concerns of stakeholders)
- อื่นๆ


การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)

เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ดังต่อไปนี้

ฝ่ายบริหาร ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น

- รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่
- เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ
- ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ
- ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล
- ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง

หัวหน้างาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น

- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร
- มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่

ผู้ปฏิบัติงาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น

- เข้าในบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยวงแต่ละรายการ
- เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง
- เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง


กระบวนการบำบัดความเสี่ยง (Risk treatment)

เมื่อผู้บริหารได้รับรายงานการประเมินความเสี่ยงแล้วจำเป็นต้องทำการตัดสินใจ โดยพิจารณาจากหลักเกณฑ์การยอมรับความเสี่ยงที่องค์กรมีอยู่ว่าจะยอมรับโดยไม่ทำอะไร หรือจะดำเนินการบำบัดความเสี่ยง ซึ่งได้แก่กระบวนการดังต่อไปนี้

1. การยอมรับความเสี่ยง (acceptance) เป็นการยอมรับในความเสี่ยงโดยไม่ทำอะไร และยอมรับในผลที่อาจตามมา เช่น การพิสูจน์ตัวจริงเพียงใช้ id/ password มีความเสี่ยงเพราะอาจมีการขโมยไปใช้ได้ การให้มีใช้
ชีวมาตร (biometrics) เช่น การตรวจลายนิ้วมือหรือม่านตา อาจมีค่าใช้จ่ายสูงไม่คุ้มค่า โรงพยาบาลอาจยอมรับความเสี่ยงของระบบปัจจุบันและทำงานต่อไปโดยไม่ทำอะไร

2. การเลี่ยงความเสี่ยง (avoidance) การหลีกเลี่ยงความเสี่ยง เช่น เมื่อพบว่าปัจจุบันโรงพยาบาล มีการสำรองข้อมูลเพียง 1 ชุดและจัดเป็นความเสี่ยงต่อการสูญเสีย การเลี่ยงความเสี่ยงนี้อาจได้แก่การทำสำรองข้อมูล
2 ชุด และแยกเก็บในสถานที่ต่างกัน การบริหารจัดการการเชื่อมโยงสู่เครือข่ายผ่านโมเด็ม ถ้าเป็นการยากต่อการควบคุมหรือบริหารจัดการ องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริการ และแนะนำให้พนักงานใช้บริการผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่างหนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง Antivirus เป็นต้น

3. การโอนย้ายความเสี่ยง (transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ทำงาน องค์กรอาจเลือกซื้อประกัน หรือสัญญาการบำรุงรักษาหลังขาย (Maintenance service) เป็นต้น

4. การลดความเสี่ยง (reduction) ได้แก่การมีมาตรการควบคุมมากชนิดขึ้น หรือชนิดที่เข้มงวดมากขึ้นเพื่อลดความเสี่ยง เช่น การใช้ชีวมาตร (biometrics) เพื่อใช้ในการพิสูจน์ตัวจริง นอกเหนือไปจากการใช้ id/ password ที่มีอยู่เดิม


การรายงานความเสี่ยงตกค้าง (Residual risk reporting)

เมื่อมีการบำบัดความเสี่ยงแล้ว จำเป็นต้องมีการรายงานและทบทวนอยู่เสมอเพื่อดูว่ามีการประเมิน และการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายในหรือภายนอกทำการตรวจสอบโดยกระบวนการ IT auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจำเป็นต้องมีการบริหารความเสี่ยงและการตรวจสอบเป็นประจำ


การเฝ้าสังเกต (Monitoring)

กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่างๆ ที่จำเป็นและเหมาะสมสำหรับการบริหารความเสี่ยงต่างๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตามและบังเกิดผลจริง ดังนั้น กระบวนการเฝ้าสังเกตพึงพิจารณาว่า

- ได้มีการปฏิบัติตามมาตรการต่างๆและบังเกิดผล
- กระบวนงานที่กำหนดขึ้นมาสามารถปฏิบัติได้จริง
- มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง


บทสรุป

การบริหารจัดการความเสี่ยง มีบทบาทสำคัญในการปกป้องข้อมูลและระบบเครือข่ายคอมพิวเตอร์ที่เป็นสินทรัพย์ขององค์กร และยังรวมถึงการปกป้อง “พันธกิจ” ขององค์กรให้รอดพ้นจากความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย ขั้นตอนในการบริหารจัดการความเสี่ยงควรจัดให้อยู่ในความรับผิดชอบหลักของฝ่ายเทคนิค ซึ่งมีผู้เชี่ยวชาญทางด้านเทคโนโลยีสารสนเทศเป็นผู้บริหาร และฝ่ายบริหารขององค์กร

องค์กรจะต้องมีกระบวนการในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมและได้มาตรฐาน เพื่อปกป้ององค์กรจากความเสียหายที่อาจเกิดขึ้นได้จากความเสี่ยง และเพื่อความสามารถในการดำเนินพันธกิจขององค์กรให้บรรลุผลสำเร็จ ไม่ใช่แค่เพียงการปกป้องสินทรัพย์เทคโนโลยีสารสนเทศหรือองค์กรเพียงเท่านั้น


References:

An Introduction to Computer Security: The NIST Handbook. NIST Special Publication 800-12, 1996.

Gary S., Alice G. & Alexis F., (2002). National Institute Standards and Technology 800-30 (NIST
800-30) Risk Management Guide for Information Management Systems. Gaitherburg & Falls Church: National Institute Standards and Technology

Thomas R. P. (2005). Information Security Risk Analysis. Boca Raton, London, New York,
Washington D.C.: Auerbach.

เมธา สุวรรณสาร. IT Governance & Risk Management กับศักยภาพการแข่งขันและการสร้างมูลค่าเพิ่มขององค์กร. (2549). จุลสารสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (สตท.). ฉบับที่ 39, กรุงเทพฯ.







 

Create Date : 27 มกราคม 2552    
Last Update : 25 กุมภาพันธ์ 2553 9:51:52 น.
Counter : 7444 Pageviews.  

มาตรฐานที่เกี่ยวข้องการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ




มาตรฐานที่เกี่ยวข้องการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ



กนกวรรณ วีระประสิทธิ์
(ปัจจุบันเปลี่ยนชื่อเป็น ธัญญดา วีระประสิทธิ์)

17 ธันวาคม 2551


เมื่อ “เทคโนโลยีสารสนเทศ” ก้าวเข้ามามีบทบาทสำคัญในฐานะกลไกลอันทรงพลังในการขับเคลื่อนโลกของเราให้หมุนไปอย่างไม่หยุดยั้ง ทุกกิจกรรมที่เกิดขึ้นบนโลกนี้ล้วนแต่มีความเกี่ยวข้องกับเทคโนโลยีสารสนเทศแทบทั้งสิ้น ในแต่ละวัน ข้อมูลนับล้านถูกส่งผ่านเครือข่ายเทคโนโลยีสารสนเทศ เพื่ออำนวยความสะดวกให้กับการดำเนินชีวิตประจำวัน และโดยเฉพาะอย่างยิ่ง “การประกอบธุรกิจ”

แต่ในปัจจุบัน “ข้อมูล” ซึ่งถือเป็นทรัพย์สินอันทรงคุณค่ามหาศาลต่างตกอยู่ในภาวะเสี่ยงต่อการถูกล่วงละเมิด ถูกทำให้เสียหาย หรือเสียหาย และถูกนำไปใช้ในทางที่ผิด ทั้งจากบุคคลภายในและภายนอกองค์กร โดยเจตนา หรือไม่เจตนาก็ตาม ดังนั้น หนทางที่ดีที่สุดในการแก้ปัญหานี้ จึงควรเริ่มตั้งแต่การบริหารจัดการองค์กรให้ได้มาตรฐานด้านความปลอดภัย ซึ่งก็คือ การจัดการความเสี่ยงในองค์กร นั่นเอง

การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทำงานที่ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์ และการดำเนินธุรกิจ ระหว่างมาตรการใน
การป้องกันและการบรรลุผลสำเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศและข้อมูลสำคัญ ซึ่งจะช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กร

หลายองค์กรได้เล็งเห็นถึงประโยชน์ที่จะได้รับจากเทคโนโลยี สำหรับองค์กรที่ประสบความสำเร็จก็มีความเข้าใจและสามารถบริหารความเสี่ยงที่มาพร้อมกับการนำเทคโนโลยีมาใช้ได้เป็นอย่างดี โดยเฉพาะการเปลี่ยนแปลงทางด้านเทคโนโลยีสารสนเทศได้เกิดมากขึ้นเป็นลำดับและรวดเร็ว จึงจำเป็นต้องมีการจัดการความเสี่ยงที่มาพร้อมกับการเปลี่ยนแปลงนี้ให้ดียิ่งขึ้น ไม่ว่าจะเป็นการจัดการกับข้อมูลที่เปิดเผย และข้อมูลที่เป็นความลับ รวมทั้งการนำข้อมูลไปใช้กระทำการที่ผิดกฎหมาย ดังนั้น การบริหารความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศ จึงกลายมาเป็นส่วนสำคัญในการกำกับดูแลกิจการที่ดีขององค์กร (Corporate Governance)

องค์กรที่ประสบความสำเร็จต่างๆ มีความเข้าใจ และประเมินค่าของความเสี่ยง เทียบกับข้อจำกัดในการใช้เทคโนโลยีสารสนเทศในทุกระดับขององค์กร เพื่อให้มั่นใจว่าองค์กรจะสามารถมีการกำกับดูแลที่มีประสิทธิผลและมีการควบคุมที่เพียงพอในระดับบริหาร โดยการปฏิบัติตามมาตรฐานสำหรับการจัดการเรื่องความปลอดภัยและการควบคุมทางด้านเทคโนโลยีสารสนเทศ


มาตรฐานที่เกี่ยวข้องการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ

มาตรฐานที่เกี่ยวข้องการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศ ที่หลายองค์กรนำมาใช้ในการบริหารจัดการความเสี่ยงก็คือ มาตรฐาน ISO/IEC 27001:2005 และมาตรฐาน ISO/IEC 27002:2005 นอกจากนี้
ยังมีมาตรฐานอื่นๆ ที่มีสถาบันที่มีชื่อเสียงกำหนดเพื่อเป็นแนวทางในการปฏิบัติ ได้แก่ มาตรฐาน ISO/IEC TR 13335, มาตรฐาน ISO/IEC 15408:2005, มาตรฐาน ITIL (IT Infrastructure Library), มาตรฐาน FIPS PUB 200, มาตรฐาน NIST 800-14 และมาตรฐาน IT Baseline Protection Manual

ISO/IEC 27001:2005 และ ISO/IEC 27002:2005 คือ มาตรฐานสากลด้านการบริหารความมั่นคงของข้อมูล ซึ่งเน้นความสำคัญที่ “ระบบการบริหารจัดการ” (Management System) โดยมีข้อกำหนดต่างๆ ที่องค์กรพึงปฏิบัติในการรักษาความมั่นคงของข้อมูล เพื่อปกป้องข้อมูล กระบวนการทางธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญให้พ้นจากภัยคุกคาม และความเสี่ยงในรูปแบบต่างๆ รวมถึงกำหนดให้มีการจัดทำแผนรับมือเหตุฉุกเฉินที่อาจเกิดขึ้น เพื่อลดความสูญเสีย และคงไว้ซึ่งความสามารถในการดำเนินธุรกิจได้อย่างต่อเนื่อง

ในปัจจุบัน ได้มีการนำมาตรฐานดังกล่าวไปใช้งานกันอย่างแพร่หลายทั่วโลก โดยเฉพาะในประเทศญี่ปุ่น ประเทศอังกฤษ รวมถึงประเทศในแถบยุโรป ซึ่งเป็นที่น่าสนใจว่ามาตรฐาน ISO/IEC 27001:2005 กำลังได้รับความนิยมเทียบเท่า หรืออาจจะมากกว่ามาตรฐาน ISO 9001 (มาตรฐานเกี่ยวกับระบบการบริหารจัดการคุณภาพ) ก็เป็นได้ ทั้งนี้ เนื่องมาจากการพัฒนาเทคโนโลยีที่ก้าวหน้าอย่างรวดเร็ว และบทบาทของ IT ที่มีต่อการขับเคลื่อนการดำเนินธุรกิจ สำหรับในประเทศไทยเองก็เริ่มมีองค์กรต่างๆ ทั้งภาครัฐและเอกชนให้ความสนใจนำเอามาตรฐานดังกล่าวมาใช้ในการปรับปรุงการบริหารความมั่นคงของข้อมูล และระบบ IT ภายในองค์กร รวมถึงได้มีการนำมาตรฐานดังกล่าวไปแปลเป็นภาษาไทย เพื่อใช้เป็นพื้นฐานในการพัฒนากฎหมายด้านสารสนเทศอีกด้วย

จุดเด่นที่สำคัญอีกอย่างหนึ่งสำหรับมาตรฐานนี้ คือ องค์กรที่มีการจัดทำระบบ ISO 9000 หรือ ISO 14000 อยู่แล้ว จะมีความพร้อมในการนำระบบ ISO/IEC 27001:2005 มาใช้งานร่วมกับมาตรฐานเดิมที่มีอยู่ เนื่องจากมาตรฐานเหล่านี้ล้วนใช้พื้นฐานของหลักการ PDCA รวมถึงใช้ระบบการจัดการเอกสาร และบันทึกตามรูปแบบมาตรฐานของสถาบัน ISO จึงสามารถใช้ระบบเอกสารที่องค์กรคุ้นเคยแล้วกับมาตรฐาน ISO/IEC 27001:2005 ได้ และยังมีกลไกสำหรับการทบทวนโดยผู้บริหาร (Management review) และการตรวจติดตามระบบภายในองค์กร (Internal audit) ที่มีแนวปฏิบัติคล้ายคลึงกันอีกด้วย


ISO/IEC 27001:2005 (Information Security Management System: ISMS)

ISO/IEC 27001:2005 (Information Security Management System: ISMS) กล่าวถึงข้อกำหนดสำหรับใช้เป็นเกณฑ์ในการตรวจรับรองความมีมาตรฐานของ “ระบบบริหารความมั่นคงของข้อมูล” (Information Security Management Systems – ISMS) โดยมีรายละเอียดนับตั้งแต่การริเริ่มทำระบบ การปฏิบัติใช้งาน การทบทวน การปรับปรุงอย่างต่อเนื่อง ซึ่งสอดคล้องกับแนวคิดของหลักการ PDCA (Plan-Do-Check-Act) นั่นเอง ทั้งนี้ ระบบ ISMS ที่จัดตั้งขึ้นนั้น จะต้องอ้างอิงตามหัวข้อของการควบคุมด้านความมั่นคงของข้อมูล 133 หัวข้อในมาตรฐาน ISO 27002 ตามความเหมาะสมด้วย

เนื้อหาของมาตรฐาน ISO 27001:2005 จะเกี่ยวข้องกับการจัดตั้งและปฏิบัติใช้งาน “ระบบบริหารความมั่นคงของข้อมูล” (Information security management systems: ISMS) ขึ้นในองค์กร ซึ่งแนวคิดของมาตรฐานส่วนนี้จะเป็นแนวทางสำคัญ สำหรับองค์กรที่ต้องการนำระบบ ISMS ไปใช้ในการปกป้องข้อมูล กระบวนการธุรกิจ และทรัพย์สินด้านสารสนเทศที่สำคัญขององค์กร เนื้อหาของมาตรฐาน ISO 27001:2005 แบ่งออกเป็น 8 ส่วน ดังนี้

1. ขอบเขต (Scope)
2. มาตรฐานอ้างอิง (Normative reference)
3. คำจำกัดความและนิยาม (Terms and definitions)
4. ระบบบริหารความมั่นคงของข้อมูล (Information security management system)
5. หน้าที่ ความรับผิดชอบของฝ่ายบริหาร (Management responsibility)
6. การตรวจประเมินการบริหารความมั่นคงของข้อมูลภายใน (Internal ISMS audit)
7. การทบทวนการบริหารความมั่นคงของข้อมูล (Management review of the ISMS)
8. การปรับปรุงการบริหารความมั่นคงของข้อมูล (ISMS improvement)

มาตรฐานนี้ได้ถูกจัดทำขึ้นโดยยึดตามแนวคิดของหลักการ PDCA (Plan-Do-Check-Act) เพื่อให้เกิดวิธีการปฏิบัติงานที่เป็นระบบ และมีการพัฒนาขึ้นอย่างต่อเนื่อง (Continuous improvement) เริ่มต้นตั้งแต่การจัดตั้ง (Establish) การนำระบบไปใช้ (Implement) การดำเนินงาน (Operate) การติดตามและวัดผล (Monitor) การทบทวน (Review) การบำรุงรักษาระบบ (Maintain) และการปรับปรุงพัฒนาระบบให้ดียิ่งขึ้น (Improve) ซึ่งสามารถอธิบายได้ดังรูป



รูปที่ 1 แสดงแนวคิดของหลักการ PDCA (Plan-Do-Check-Act)


ทั้งนี้ หัวใจสำคัญของการริเริ่มจัดตั้ง การปฏิบัติใช้งาน และการปรับปรุงระบบ ISMS อย่างต่อเนื่องก็คือ การประเมินความเสี่ยง (Risk assessment) และการเลือกวิธีการเพื่อแก้ไขควบคุมความเสี่ยงให้เหมาะสมกับการปฏิบัติงานและระดับความเสี่ยงที่ยอมรับได้ขององค์กร


ISO/IEC 27002:2005 (Code of Practice for Information Security Management)

ISO/IEC 27002:2005 (Code of Practice for Information Security Management) กล่าวถึงวิธีปฏิบัติที่จะนำไปสูระบบบริหารจัดการความมั่นคงปลอดภัยที่องค์กรไดจัดทำขึ้น ซึ่งจะต้องเป็นไปตามข้อกำหนดในมาตรฐาน ISO 27001:2005 รายละเอียดของมาตรฐานนี้จะบอกถึงวิธีปฏิบัติในการลดความเสี่ยงที่เกิดจากจุดอ่อนของระบบโดยแบ่งเป็นหัวข้อหลักที่เกี่ยวข้องกับระบบ และให้แนวทางว่าผู้จัดทำควรปฏิบัติอย่างไร ซึ่งผู้ใช้สามารถเพิ่มเติมมาตรการหรือใช้วิธีการที่มีความมั่นคงปลอดภัยเพียงพอ หรือเหมาะสมตามที่องค์กรไดประเมินไว้ ซึ่งจะมีทั้งหมด 133 หัวข้อ และแบ่งออกเป็น 11 หมวดหลัก ดังนี้

1. นโยบายความมั่นคงปลอดภัยขององค์กร (Security policy)
2. โครงสร้างความมั่นคงปลอดภัยภายในองค์กร (Organization of information security)
3. การจัดหมวดหมูและการควบคุมทรัพย์สินขององค์กร (Asset management)
4. มาตรฐานของบุคลากรเพื่อสร้างความมั่นคงปลอดภัยให้กับองค์กร (Human resources security)
5. ความมั่นคงปลอดภัยทางด้านกายภาพและสิ่งแวดล้อมขององค์กร (Physical and environmental security)
6. การบริหารจัดการด้านการสื่อสารและการดำเนินงานของเครือข่ายสารสนเทศขององค์กร (Communications and operations management)
7. การควบคุมการเข้าถึงระบบสารสนเทศขององค์กร (Access control)
8. การพัฒนาและดูแลระบบสารสนเทศ (Information systems acquisition, development and maintenance)
9. การบริหารจัดการเหตุการณละเมิดความมั่นคงปลอดภัย (Information security incident management)
10. การบริหารความต่อเนื่องในการดำเนินงานขององค์กร (Business continuity management)
11. การปฏิบัติตามข้อกำหนดทางด้านกฎหมายและบทลงโทษของการละเมิดนโยบาย (Compliance)

มาตรฐาน ISO 27001:2005 และมาตรฐาน ISO/IEC 27002:2005 เป็นมาตรฐานสากลที่ใช้กันอย่างแพรหลายแลว ดังนั้น ความพร้อมใช้ของมาตรฐานนี้ และความสำคัญของการเป็นมาตรฐานที่ว่าด้วยเรื่องของความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ มาตรฐานนี้จึงควรศึกษาและให้ความสำคัญเป็นอย่างมาก


ISO/IEC TR 13335 (Guidelines for the Management of IT Security)

ISO/IEC TR 13335 (Guidelines for the Management of IT Security) เป็น Technical Report ซึ่งมาตรฐาน ISO/IEC 27001 ไดมีการอ้างอิงมายังมาตรฐาน ISO/IEC 13335 ในเรื่องของการจัดทำ Technical Report ซึ่งเริ่มต้นจากการระบุภัยคุกคามจุดอ่อนหรือชองโหวของระบบเทคโนโลยีสารสนเทศ แนวทางการประเมินความเสี่ยงต่างๆ จนสามารถระบุแนวทางเพื่อลดความเสี่ยงได สำหรับเนื้อหาหลักของมาตรฐานนี้จะแบ่งเป็น 5 สวนสำคัญ ดังนี้

1. การบริหารจัดการหน้าที่การงานต่างๆ ของความมั่นคงปลอดภัยระบบเทคโนโลยีสารสนเทศ
ที่ไดรับการวางโครงร่างไว รวมถึงจัดหาแนวคิดด้านความมั่นคงปลอดภัยให้เป็นไปตามโครงร่างที่ได้ตั้งไว้ ทั้งรูปแบบสารสนเทศและเทคโนโลยีที่ใช้ในการติดต่อสื่อสาร
2. การนำไปปฏิบัติและการบริหารจัดการด้านความมั่นคงปลอดภัยต้องไดรับการจัดทำด้วยวิธีการ
ที่เหมาะสมที่สุด
3. เทคนิคสำหรับการบริหารจัดการด้านความมั่นคงปลอดภัยต้องไดรับการจัดการให้จากผู้จัดทำระบบ เทคโนโลยีสารสนเทศ
4. ต้องให้แนวทางปฏิบัติสำหรับการเลือกวิธีการรักษาความมั่นคงปลอดภัย ซึ่งพิจารณาจากประเภทของระบบไอทีนั้นๆ รวมถึงความตระหนักด้านความมั่นคงปลอดภัยและภัยคุกคามที่อาจมีขึ้นในอนาคต
5. สารสนเทศที่อยู่บนระบบกรณีที่ต้องมีการส่งผ่านสายสื่อสาร ตองไดรับการรักษาความมั่นคงปลอดภัย ในระหว่างการส่งและต้องจัดให้เครือข่ายมีความมั่นคงปลอดภัยด้วย


ISO/IEC 15408:2005/Common Criteria/ ITSEC

ISO/IEC 15408:2005/Common Criteria/ ITSEC มาตรฐานนี้ไดรับการพิมพ์เผยแพรโดย ISO/IEC JTC1 กลุ่มองค์กรที่ให้ความร่วมมือกันจัดทำมาตรฐาน กลางหรือข้อกำหนดร่วมกันที่เรียกว่า Common Criteria โดยส่วนใหญ่เป็นกลุ่มองค์กรในประเทศแถบยุโรป เป้าหมายในการร่างมาตรฐานกลางหรือข้อกำหนดร่วมนี้ จัดทำขึ้นเพื่อใช้เป็นเกณฑ์กลางในการวัดระดับความมั่นคงปลอดภัยว่าระบบต่างๆ ที่จัดทำขึ้น เมื่อนำมาเปรียบเทียบกับเกณฑ์นี้แล้วระบบนั้นจะมีความมั่นคงปลอดภัยอยู่ในระดับใด
ทั้งนี้ การที่มีตัวแทนองค์กรมาร่วมมือกันกำหนดมาตรฐานกลางนี้ ก็เพื่อความยุติธรรมในการสร้างข้อกำหนด องค์กรต่างๆ ที่เข้ามาร่วมกันดำเนินการในเรื่องนี้ ไดแก

• องค์กร Communication Security Establishment จากประเทศแคนาดา
• องค์กร Central Service of the Information จากประเทศฝรั่งเศส
• องค์กร Federal Office for Security in Information Technology จากประเทศเยอรมนี
• องค์กร The Netherlands National Communications Security Agency จากประเทศเนเธอรแลนด์
• องค์กร Communications-Electronics Security Group จากประเทศสหราชอาณาจักรอังกฤษ
• องค์กร National Institute of Standards and Technology and National Security Agency จากประเทศสหรัฐอเมริกา


ITIL (Information Technology Infrastructure Library)

ITIL (Information Technology Infrastructure Library) เป็นแนวทางปฏิบัติ (Guidance) ที่ว่าด้วยเรื่องเกี่ยวกับโครงสร้างพื้นฐานเทคโนโลยีสารสนเทศ ไดรับการจัดทำเผยแพรโดยหน่วยงานรัฐบาล คือ Central Computer and Telecommunications Agency หรือ CCTA ซึ่งขณะนี้กลายเป็นองค์กร The British Office of Government Commerce (OGC) แต่ก็มิไดประกาศบังคับว่าทุกองค์กรที่เกี่ยวข้องจะต้องปฏิบัติตาม ITIL โดยเนื้อหาใน ITIL แบ่งเป็น 8 เรื่อง ดังนี้

1. การบริหารจัดการซอฟต์แวร์และทรัพย์สินขององค์กร (Software and Asset Management)
2. การส่งมอบผลิตภัณฑ์หรือบริการที่ได้มาตรฐาน (Service Delivery)
3. คุณภาพของการบริการหลังส่งมอบ (Service Support)
4. การวางแผนสำหรับการบริหารจัดการการให้บริการ (Planning to Implement Service Management)
5. การบริหารจัดการโครงสร้างพื้นฐานด้านไอซีที (ICT Infrastructure Management)
6. การบริหารจัดการแอพพลิเคชั่น (Application Management)
7. การบริหารจัดการด้านความมั่นคงปลอดภัย (Security Management)
8. มุมมองทางธุรกิจ (Business Perspective, Volume II)

ITIL ไดชื่อว่าเป็นแนวทางปฏิบัติที่ดีเยี่ยม (best practice) ในการบริหารจัดการด้าน IT Serviceให้แกผู้บริโภคอย่างเปี่ยมคุณภาพ แนวทางปฏิบัตินี้เหมาะกับองค์กรไมว่าจะขนาดเล็กหรือใหญ่ โดยเฉพาะอย่างยิ่งองค์กรที่เน้นเรื่องของการบริการด้าน IT Service

ITIL เป็นแนวทางปฏิบัติปัจจุบันยังไมสามารถขอใบรับรองได เนื่องจากปัจจุบัน ITIL เป็นเอกสารอ้างอิงสำหรับใช้เป็นแนวทางปฏิบัติ แต่ในอนาคตก็อาจมีการคัดเอาเฉพาะส่วนนี้มาทำข้อกำหนด และมีการออกใบรับรองภายใต้ชื่อ ISO 20000 (มาตรฐานการให้บริการด้านสารสนเทศ)


FIPS PUB 200 (The Federal Information Processing Standards Publication 200)

FIPS PUB 200 (The Federal Information Processing Standards Publication 200) กล่าวถึงเรื่องของข้อกำหนดขั้นต่ำสำหรับความต้องการด้านความมั่นคงปลอดภัย ซึ่งเป็นภาคบังคับขององค์กรบริหารจัดการสารสนเทศและระบบสารสนเทศกลางของประเทศสหรัฐอเมริกา ทุกองค์กรที่เป็นหน่วยงานภาครัฐจะต้องปฏิบัติตามข้อกำหนดด้านความมั่นคงปลอดภัยนี้เป็นอย่างน้อย โดยมาตรฐานนี้ จะมีการระบุประเภทของระบบสารสนเทศต่างๆ และวิธีปฏิบัติที่จำเป็นสำหรับควบคุม เพื่อให้เกิดความมั่นคงปลอดภัยของสารสนเทศในระบบนั้นๆ

FIPS PUB 200 เป็นมาตรฐานที่ไดรับการพิมพ์เผยแพรจากองค์กรกลางที่กำกับดูแลมาตรฐานต่างๆ ของ ระบบประมวลผลสารสนเทศในประเทศสหรัฐอเมริกา The Federal Information Processing Standards (FIPS) มาตรฐานนี้ไดรับการกำหนดให้เป็นมาตรฐานขั้นต่ำ และองค์กรภาครัฐต้องปฏิบัติตามเป็นภาคบังคับ เนื่องมาจากรัฐบาลของประเทศสหรัฐอเมริกาต้องการสนับสนุนเรื่องความมั่นคงปลอดภัย ดังนั้น จึงไดบัญญัติกฎหมาย Federal Information Security Management Act (FISMA) ซึ่งส่งผลให้หน่วยงานต่างๆ ต้องปฏิบัติตามโดยปริยาย โดยเนื้อหาโดยสรุปของมาตรฐานนี้ ได้แก

1. การระบุข้อกำหนดขั้นต่ำของระบบประมวลผลสารสนเทศขององค์กรกลางในประเทศสหรัฐอเมริกา
2. การจัดทำข้อกำหนดนี้เพื่อสนับสนุนการพัฒนา
3. การลงมือปฏิบัติ
4. การดำเนินการ เพื่อสร้างความมั่นคงปลอดภัยระบบสารสนเทศ โดยหน่วยงานสามารถคัดเลือกเฉพาะส่วนที่เกี่ยวข้องกับองค์กรของตนมาปฏิบัติตาม มาตรฐานนี้จึงไดมีการจัดทำแนวทางในการคัดเลือก และกำหนดมาตรการด้านความมั่นคงปลอดภัยที่จำเป็นและเหมาะสมสำหรับระบบประมวลผลสารสนเทศของแต่ละหน่วยงาน

FIPS PUB 200 กล่าวได้ว่าเป็นข้อกำหนดตามกฎ หรือข้อบังคับที่องค์กรภาครัฐหรือองค์กรกลางของรัฐบาลสหรัฐอเมริกาต้องปฏิบัติตามให้ได และมาตรฐานนี้ยังเป็นเพียงข้อกำหนดขั้นต่ำและไมมีการให้ใบรับรองสำหรับมาตรฐานของระบบสารสนเทศที่ต้องการความมั่นคงปลอดภัยในระดับที่สูงกว่านี้ จะมีองค์กรอีกองค์กรหนึ่งที่ช่วยพัฒนามาตรฐานด้านเทคโนโลยีต่างๆ และไดจัดทำไวเพื่อเสริมสร้างมาตรฐานความมั่นคงปลอดภัยทางด้านเทคนิค หน่วยงานที่ดูแลในส่วนนี้มีชื่อว่า National Institute of Security Technology หรือ NIST ดังนั้นระบบที่มีข้อมูลสารสนเทศที่ต้องรักษาความลับ ความถูกต้อง และความสมบูรณของข้อมูลในระดับสูงจำเป็นจะต้องใช้มาตรฐานที่รัดกุมและเข้มแข็งมากกว่ามาตรฐาน FIPS PUB 200 นี้ หรืออาจต้องอาศัยความเฉพาะด้านทางเทคโนโลยีและใช้มาตรฐานของ NIST เป็นมาตรฐานหลัก


NIST 800-14 (National Institute of Standards and Technology 800-14)

NIST 800-14 (National Institute of Standards and Technology 800-14) เป็นมาตรฐานที่ไดรับการพิมพ์เผยแพรจากสถาบันมาตรฐานเทคโนโลยีสารสนเทศแห่งชาติของสหรัฐอเมริกา โดยใช้ชื่อหนังสือว่า Generally Accepted Principles and Practices for Securing Information Technology Systems มาตรฐานนี้เป็นเกณฑ์กลางที่ไดรับการจัดทำและเผยแพรขึ้นโดยสถาบันดังกล่าว เพื่อเสริมสร้างองค์กรที่ใช้ระบบสารสนเทศให้นำมาตรฐานเทคโนโลยีทีไดจัดพิมพ์นี้ไปใช้ เพื่อเสริมสร้างความมั่นคงปลอดภัยให้แกระบบเทคโนโลยีสารสนเทศขององค์กรหรือหน่วยงานต่างๆ ในประเทศสหรัฐอเมริกาให้มากที่สุด ทั้งนี้ เพื่อเป็นการป้องกันภัยคุกคามด้านอาชญากรรมคอมพิวเตอร์และการละเมิดความมั่นคงปลอดภัยข้อมูลสารสนเทศ โดยเฉพาะอย่างยิ่ง สารสนเทศบนระบบโครงสร้างพื้นฐานของประเทศ โดยเนื้อหาของ NIST 800-14 เป็นกฎพื้นฐานด้าน Computer Security จำนวน 8 ข้อ ดังนี้

1. ในพันธกิจขององค์กรต้องให้การสนับสนุนเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์
2. ในการบริหารจัดการขององค์กรต้องผนวกเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์ไว
เป็นสาระสำคัญด้วย
3. ควรมีการลงทุนที่เหมาะสมในเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์
4. ผู้เป็นเจ้าของระบบต้องแสดงความรับผิดชอบต่อการรักษาความมั่นคงปลอดภัยของระบบ
โดยตลอด
5. ความรับผิดชอบและการดูแลเอาใจใสในเรื่องของความมั่นคงปลอดภัยคอมพิวเตอร์ต้องไดรับการดำเนินการอย่างชัดแจ้ง
6. การรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ต้องการแนวทางที่ผสมผสานในวิธีปฏิบัติ เช่น การรักษา ความมั่นคงปลอดภัยทางกายภาพ ทางด้านฮาร์ดแวร์ ซอฟต์แวร์ และผู้ใช้ เป็นต้น
7. ความมั่นคงปลอดภัยคอมพิวเตอร์ต้องไดรับการปรับปรุงให้ดีขึ้นอย่างต่อเนื่องและสม่ำเสมอ
8. ปัจจัยแวดล้อมสามารถส่งผลต่อการรักษาความมั่นคงปลอดภัยคอมพิวเตอร์ไดเสมอ

NIST เป็นแนวทางปฏิบัติที่องค์กรที่จัดทำมีเจตนาให้ใช้เป็นเอกสารอ้างอิง และเป็นเสมือนเครื่องมือในการตรวจสอบระบบเทคโนโลยีสารสนเทศขององค์กร แนวทางปฏิบัตินี้ จัดเป็นเกณฑ์พื้นฐานที่หลายองค์กรเห็นร่วมกันว่าควรจะต้องจัดให้มีและสามารถตรวจสอบได้โดยฝ่ายตรวจสอบทั้งภายในและภายนอกองค์กร เช่น ผู้ตรวจสอบกิจการภายใน ผู้จัดการ ผู้ใช้หรือลูกค้า พนักงานด้านความมั่นคงปลอดภัยคอมพิวเตอร์ เป็นต้น แนวทางที่ NIST ไดจัดทำนั้นสามารถประยุกต์ใช้ไดทั้งภาครัฐและเอกชน


IT BPM (Information Technology Baseline Protection Manual)

IT BPM (Information Technology Baseline Protection Manual) เป็นหนังสือคูมือที่แนะนำการรักษาความมั่นคงปลอดภัยระบบอย่างมีมาตรฐาน แต่อาจกำหนดไวเป็นมาตรฐานขั้นต่ำคูมือนี้พิมพ์เผยแพรโดยสถาบันมาตรฐานแห่งชาติอังกฤษ (British Standards Institution: BSI) ซึ่งเป็นองค์กรกลางที่กำกับดูแลเรื่องการรักษาความมั่นคงปลอดภัยสารสนเทศ โดยจะจัดทำเฉพาะระบบสารสนเทศที่มีใช้ในองค์กรทั่วไป อาทิ ระบบสารสนเทศเกี่ยวกับบุคลากรขององค์กร ระบบสารสนเทศสำหรับสื่อสารด้วยไปรษณีย์อิเล็กทรอนิกส์ เป็นต้น

คู่มือนี้จะให้การแนะนำว่าระบบที่ยกตัวอย่างนี้ ควรมีเกราะป้องกัน หรือวิธีการด้านความมั่นคงปลอดภัยอย่างน้อยต้องดำเนินการอย่างไรบ้าง ซึ่งแต่ละองค์กรอาจนำไปประยุกต์ใช้ด้วยวัตถุประสงค์ที่แตกต่างกันออกไป เช่น ตองการที่จะใช้เป็นเกณฑ์ระบุว่า ความปลอดภัยขั้นต่ำขององค์กรคืออะไร องค์กรต้องการใช้เป็นแนวทางปฏิบัติด้านความมั่นคงปลอดภัยที่ดีระดับหนึ่ง การปรับปรุงความมั่นคงปลอดภัยระบบข้อมูลสารสนเทศ หรือบางองค์กร อาจต้องการไดรับใบรับรอง เป็นต้น

อย่างไรก็ดี หนังสือคูมือนี้ จะไดรับการปรับปรุงทุกๆหกเดือน การจะปรับปรุงในหัวข้อใดจะต้องไดรับความเห็นชอบจากการลงมติของกลุ่มความร่วมมือ ซึ่งเนื้อหา IT BPM ประกอบด้วย

1. ระบบต้องมีการบริหารจัดการด้านความมั่นคงปลอดภัยตั้งแต่ขั้นการออกแบบ ประสานงาน และติดตามสถานะของความมั่นคงปลอดภัยของระบบที่เกี่ยวกับหน้าที่งานนั้น
2. ระบบต้องมีการวิเคราะห์และจัดทำเป็นเอกสารเกี่ยวกับโครงสร้างที่มีอยู่ของทรัพย์สินที่เป็นเทคโนโลยีสารสนเทศในองค์กร
3. ระบบต้องไดรับการประเมินถึงมาตรการและระบบบริหารจัดการด้านความมั่นคงปลอดภัยเดิม
ที่ได้จัดทำไวแล้วนั้น ว่ามีประสิทธิภาพเพียงพอและเหมาะสมแล้วหรือยัง
4. องค์กรต่างๆ สามารถนำโครงสร้างของเครือข่ายที่มีความมั่นคงปลอดภัย ซึ่งไดออกแบบไว เหมาะสมแล้วตามคูมือนี้มาเป็นแนวทางในการจัดทำเครือข่ายขององค์กร
5. ระบบต้องไดรับการดำเนินการปรับปรุงแกไขกรณีที่พบว่ามาตรการหรือแนวทางการรักษาความมั่นคงปลอดภัยเหล่านั้นไมเพียงพอ หรือมีการดำเนินการบาอย่างที่ยังไมรัดกุม เป็นต้น


References:

The Government of the Hong Kong Special Administrative Region. An Overview of Information Security Standards. February, 2008.

โกเมน พิบูลย์โรจน์, ดร.. IT Security Management Standard กับการจัดการความเสี่ยง. เอกสารประกอบการบรรยายศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย. , มกราคม 2551.

เมธา สุวรรณสาร. IT Governance & Risk Management กับศักยภาพการแข่งขันและการสร้างมูลค่าเพิ่มขององค์กร. จุลสารสมาคมผู้ตรวจสอบภายในแห่งประเทศไทย (สตท.). ฉบับที่ 39 มกราคม - มีนาคม, 2549.

ดวงกมล ทรัพย์พิทยากร. มาตรฐาน แนวทางปฏิบัติ และกรอบวิธีปฏิบัติต่างๆ ที่เกี่ยวข้องกับระบบเทคโนโลยีสารสนเทศ. เอกสารเผยแพร่ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ ประเทศไทย. กุมภาพันธ์, 2550.

ปริญญา หอมเอนก. บทวิเคราะห์มาตรฐานการรักษาความปลอดภัยข้อมูลสารสนเทศ ISO/IEC 17799 Second Edition และ มาตรฐาน ISO/IEC FDIS 27001:2005. eWeek Thailand. กรกฎาคม, 2548.








 

Create Date : 27 มกราคม 2552    
Last Update : 25 กุมภาพันธ์ 2553 9:52:26 น.
Counter : 2786 Pageviews.  

โมเดลของการบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์บนพื้นฐานการจัดการความรู้


A Model of E-Governance Based On Knowledge Management

Journal of Knowledge Management Practice, June 2005

Paul Manuel, Kuwait University





โมเดลของการบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์
บนพื้นฐานการจัดการความรู้


กนกวรรณ วีระประสิทธิ์
(ปัจจุบันเปลี่ยนชื่อเป็น ธัญญดา วีระประสิทธิ์)

รหัสนักศึกษา 5107173 [ITM0056]
4 สิงหาคม 2551

บทคัดย่อ

การบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์ (E-Governance) มีอุปสรรคมากมาย เนื่องจากว่า
มีคุณลักษณะที่แตกต่างจากการทำธุรกรรมผ่านสื่ออิเล็กทรอนิกส์ (E-Commerce) และการเรียนผ่านสื่ออิเล็กทรอนิกส์ (E-Learning) กล่าวคือ การทำธุรกรรมผ่านสื่ออิเล็กทรอนิกส์และการเรียนผ่านสื่ออิเล็กทรอนิกส์ใช้การจัดการข้อมูลข่าวสาร ส่วนการบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์ใช้การจัดการความรู้ ซึ่งการจัดการความรู้ ก็คือ การจัดการข้อมูลข่าวสาร ทักษะ ประสบการณ์ นวัตกรรม และความสามารถ โมเดลของการบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์บนพื้นฐานระบบการจัดการความรู้ มีการสร้างวัฏจักรการจัดการความรู้ของการเก็บเกี่ยวความรู้ (Knowledge capturing) การแบ่งปันความรู้ (Knowledge sharing) การเพิ่มพูนความรู้ (Knowledge enhancing) และการรักษาความรู้ (Knowledge preserving) การพัฒนาโมเดลการบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์บนพื้นฐานระบบการจัดการข้อมูลข่าวสารเป็นการใช้วัฏจักรประมวลผล โดยโมเดลนี้จัดเตรียมสำหรับสิ่งแวดล้อมที่ระบบจะค่อยๆ เติบโตไปพร้อมกับประชาชน


1. ที่มาของการบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์

การบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์ หรือ E-Governance เป็นคำจำกัดความที่ทางรัฐบาลใช้ในบริหารจัดการให้มีความโปร่งใส มีประสิทธิภาพ และประสิทธิผลในการดำเนินงานและบริการประชาชน ประโยชน์ของ E-Governance คือ สามารถกระทำการได้รวดเร็ว ลดการทำงานซ้ำซ้อน สามารถตรวจสอบทุจริต และป้องกันข้อมูลรั่วไหล

จุดประสงค์ของ E-Governance เพื่อที่จะช่วยเหลือประชาชนในด้านต่างๆ ได้แก่ 1.การชำระค่าบริการ (ค่าน้ำ, ค่าไฟ, ค่าโทรศัพท์ และอื่นๆ) และชำระภาษี 2.การจัดระเบียบทะเบียนราษฎร์ ทะเบียนสมรส สูติบัตร และมรณบัตร 3.การสอบใบอนุญาตขับขี่และการต่อใบอนุญาตขับขี่ 4.การทำใบอนุญาตทำงานและหนังสือเดินทาง 5.การรับการร้องเรียน E-Governance จะช่วยลดช่องว่างระหว่างรัฐกับประชาชน ประชาชนสามารถเข้าถึงข้อมูลข่าวสารได้ทุกที่ที่สามารถเชื่อมต่ออินเทอร์เน็ตได้ โดย E-Governance จะมีทั้งเอกสารต่างๆ ได้แก่ กฎระเบียบ ประกาศ จดหมาย และข้อมูลข่าวสารต่างๆ

โมเดลของ E-Governance มี 2 องค์ประกอบ คือ 1.ระบบการจัดการ 2.ภาครัฐและประชาชน ซึ่งระบบการจัดการมี 2 แบบ คือ การจัดการแบบภายในภาครัฐ และการจัดการระหว่างภาครัฐกับประชาชน และในระหว่างภาครัฐกับประชาชนก็มี 2 แบบเช่นกัน คือ ประชาชนตอบสนองต่อภาครัฐ และภาครัฐตอบสนองต่อประชาชน


1.1 การจัดการ

การจัดการ E-Governance จะต้องมีความปลอดภัย การจัดการภายในภาครัฐต้องมีการแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์ทั้งภายในหน่วยงาน และต่างหน่วยงาน ส่วนการจัดการระหว่างภาครัฐและประชาชน ก็จะมี
การแลกเปลี่ยนข้อมูลข่าวสาร สร้างความร่วมมือระหว่าง 2 ฝ่าย รวมถึงการติดตามผลและให้ความช่วยเหลือ


1.2 ภาครัฐและประชาชน

ภาครัฐเกี่ยวข้องกับประชาชนทางด้านการเงิน ได้แก่ ภาษี ค่าสาธารณูปโภค ค่าปรับ และค่าธรรมเนียมต่างๆ ส่วนด้านอื่นที่ภาครัฐเกี่ยวข้องกับประชาชน ได้แก่ เสียงของประชาชน ความต้องการ การเลือกตั้ง และอื่นๆ

ลักษณะการเงินที่ภาครัฐเข้ามาช่วยประชาชน คือ การกู้ยืมเงิน การตั้งกองทุนบรรเทาทุกข์ การบริจาคเงิน และการค้าผ่านสื่ออิเล็กทรอนิกส์ (E-Commerce) ได้แก่ การค้าระหว่างองค์กรธุรกิจกับผู้บริโภค (B2C) และการค้าระหว่างองค์กรธุรกิจ (B2B) โดยการค้าระหว่างองค์กรธุรกิจกับผู้บริโภคและการค้าระหว่างองค์กรธุรกิจ จะเป็นการเชื่อมต่ออุตสาหกรรมที่มีขนาดเล็ก ผู้ประกอบการ ชาวนา และผู้บริโภค ส่วนลักษณะทางด้านอื่น คือ การเรียนและการอบรมผ่านสื่ออิเล็กทรอนิกส์ (E-Learning) การลงความเห็น การสำรวจ และการรายงานผล ซึ่ง E-Governance สามารถใช้อินเทอร์เน็ตและระบบเครือข่ายในกระจายความรู้อย่างมีคุณภาพได้ทั่วโลก


2. ภาพรวมของบทความ

ในมุมมองของวิศวกรรมซอฟท์แวร์ E-Governance คือ การประมวลผลของการรวมข้อมูลข่าวสารต่างๆ และมีปฏิสัมพันธ์ระหว่างเจ้าของระบบกับผู้ใช้ระบบ ผู้ใช้ระบบต้องการให้ระบบมีความสมบูรณ์ มีประสิทธิภาพ และสามารถเข้าถึงข้อมูลข่าวสารที่เป็นองค์ความรู้ ซึ่ง E-Governance จะเป็นต้องมีการผนึกกำลังระหว่างฮาร์ดแวร์และซอฟท์แวร์อย่างเต็มที่ ประเทศเกิดจากภาครัฐและประชาชน ประชาชนเป็นคนสร้างชุมชนขึ้นมา E-Governance ที่ดีจะต้องจัดเตรียมรูปแบบเพื่อรองรับความหลากหลายของชุมชนและการแสดงความคิดเห็นของผู้ที่มีความสนใจเฉพาะด้าน ซึ่งจะช่วยเชื่อมโยงระหว่างประชาชนและองค์กรเข้าด้วยกัน

โมเดลของ E-Governance ในส่วนที่ 2 นี้พบว่า ประชาชนยังไม่ได้แสดงความคิดเห็นและความต้องการอย่างเต็มที่ บทความนี้จะกล่าวถึงการวิเคราะห์ตัวแปรต่างๆ ที่มีผลต่อการการรวมข้อมูลข่าวสารและมีปฏิสัมพันธ์ ระหว่างภาครัฐกับประชาชน โมเดลของ E-Governance ที่อยู่บนพื้นฐานบนระบบการจัดการความรู้นี้จะช่วยวิศวกรที่วางแผนออกแบบการทำ E-Governance ซึ่งการออกแบบนี้มีอุปสรรคหลายอย่างที่จะทำให้ประชาชนยอมรับ ปัจจัยสำคัญอย่างหนึ่งที่เบื้องหลังของการประสบความสำเร็จของ E-Governance คือประสิทธิภาพของการออกแบบรูปแบบการใช้งานที่เหมาะกับประชาชน

จากข้อมูล สู่ข่าวสาร และความรู้ ความแตกต่างของทั้ง 3 ยุคในมุมมองของวิศวกรรมซอฟท์แวร์ ทำให้เกิดระบบการจัดการความรู้ของ E-Governance ขึ้น

มีการศึกษาความแตกต่างระหว่างระบบการจัดการข้อมูลข่าวสาร (IMS) และระบบการจัดการความรู้ (KMS) ของ E-Governance พบว่า ระบบการจัดการข้อมูลข่าวสารเป็นพื้นฐานของ E-Governance แต่การพัฒนาโมเดลของ E-Governance อยู่ที่ระบบการจัดการความรู้


3. โมเดลของการบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์

ประเทศเกิดจากภาครัฐและประชาชน ประชาชนเป็นคนสร้างชุมชนขึ้นมา E-Governance ที่ดีจะต้องจัดเตรียมรูปแบบ เพื่อรองรับความหลากหลายของชุมชนและการแสดงความคิดเห็นของผู้ที่มีความสนใจเฉพาะด้านซึ่งจะช่วยเชื่อมโยงระหว่างประชาชนและองค์กรเข้าด้วยกัน ทำให้เกิดแนวทางในการแก้ไขปัญหาที่เรียกว่า ระบบการจัดการชุมชน (Community Management System) ดังรูปที่ 1





รูปที่ 1 โมเดลของการบริหารจัดการภาครัฐผ่านสื่ออิเล็กทรอนิกส์ (A Model of E-Governance)


E-Governance เป็นกระบวนการเปลี่ยนแปลงจากการบริการของรัฐรูปแบบเดิมสู่การบริการผ่านสื่ออิเล็กทรอนิกส์ ซึ่งเป็นการเปลี่ยนแปลงครั้งใหญ่ของพฤติกรรมของคน ซึ่งการเปลี่ยนแปลงจะประสบผลสำเร็จได้จะต้องมีการพัฒนาแบบค่อยเป็นค่อยไป มีการสร้างชุมชนในการเรียนและอบรม โดยสื่ออิเล็กทรอนิกส์จะต้องใช้ง่ายและสามารถเข้าถึงได้ทุกชุมชน รวมทั้งต้องมีการจัดระเบียบควบคุมด้วย

ระบบการจัดการความรู้ เป็นการสร้างวัฏจักรการจัดการความรู้ของการเก็บเกี่ยวความรู้ การแบ่งปันความรู้ การเพิ่มพูนความรู้ และการรักษาความรู้ ซึ่งการแบ่งปันความรู้เป็นส่วนสำคัญของระบบการจัดการความรู้ของ E-Governance โดยระบบการจัดการความรู้ของ E-Governance จะต้องมีการจัดเตรียมความรู้ โดยให้มีการไหลเวียนความรู้จากแหล่งความรู้ไปสู่ผู้รับอย่างราบรื่น

ผู้ใช้ระบบเข้าถึงข้อมูลจากหลายทาง ซึ่งผู้ใช้ระบบต้องการให้ระบบมีความสมบูรณ์ มีประสิทธิภาพ และสามารถเข้าถึงข้อมูลข่าวสารที่เป็นองค์ความรู้ ซึ่ง E-Governance จะเป็นต้องมีการผนึกกำลังระหว่างฮาร์ดแวร์และซอฟท์แวร์อย่างเต็มที่


3.1 ระบบการจัดการชุมชน

ประเทศประกอบไปด้วยหลากหลายชุมชน ได้แก่ กลุ่มผลประโยชน์ กลุ่มที่มีความคิดตรงกัน การแสดงความเห็นต่างๆ สถาบันต่างๆ องค์กรที่เกี่ยวกับสังคมและวัฒนธรรม การสร้างธุรกิจ และการบริหารจัดการ แต่ละชุมชนก็อยากจะสร้างชุมชนออนไลน์ของตนขึ้นเพื่อนำไปสู่การเปลี่ยนแปลงทางวัฒนธรรมทั้งภาครัฐและสังคม

E-Governance เป็นความร่วมมือกันระหว่างภาครัฐและประชาชน เดิมคือภาครัฐจะเป็นฝ่ายดำเนินการและประชาชนเป็นผู้ตอบสนอง แต่ E-Governance ช่วยให้ทั้งภาครัฐและประชาชนได้เป็นทั้งฝ่ายดำเนินการและตอบสนอง ซึ่ง E-Governance จะประสบความสำเร็จได้นั้นก็ขึ้นอยู่กับแผนการ การตัดสินใจ และการบริหารจัดการ ในโมเดลที่ดีผู้บริหารและผู้บัญญัติกฎหมายจะถูกมองว่าเป็นส่วนหนึ่งของระบบ ผู้ที่มีส่วนร่วมใน E-Governance จะรวมกันเป็นชุมชนขึ้น โมเดลของ E-Governance ทั้งภาครัฐบาลและประชาชนมีส่วนร่วมในพัฒนาระบบ วิเคราะห์เทคโนโลยีใหม่ ไปสู่ระบบใหม่หรือปฏิรูปไปสู่สังคมใหม่ กล่าวคือ E-Governance เป็นยานพาหนะที่นำไปสู่สังคมความรู้

การจัดการชุมชน จะส่งผลกระทบต่อกระบวนการติดต่อสื่อสารทั้งแนวดิ่งและแนวราบ จุดเริ่มต้นของการจัดการชุมชน คือ ต้องดูแลกลุ่มและชุมชนในระดับชาติและพัฒนาไปสู่ระหว่างประเทศ การจัดการชุมชนเป็นการร่วมมือกันทั้ง 2 ฝ่าย ทั้งตัวบุคคลและองค์กรที่มีการนำเสนอและการบริการที่เอื้อต่อการเข้ามามีส่วนร่วม





รูปที่ 2 ระบบการจัดการชุมชน (Community Management System)


การแบ่งประเภทโดยทั่วไปของชุมชน ได้แก่ ทางสังคม ทางวัฒนธรรม ทางการเมือง และทางศาสนา อย่างไรก็ตาม ทั้ง 4 ชุมชน จะมีปฏิสัมพันธ์ 2 แบบ ดังรูปที่ 2 ด้านซ้ายมือเป็นประเทศที่ชุมชนทั้ง 4 เป็นอิสระต่อกัน ส่วนอีกด้านหนึ่งเป็นประเทศที่ชุมชนทางสังคม ทางวัฒนธรรม และทางการเมืองอยู่รอบชุมชนทางศาสนา ซึ่งจะถูกแยกประเภทชุมชนโดยปกครองกันตามลำดับชั้น

โมเดลของ E-Governance ที่ดีจะต้องสนับสนุนกิจกรรมทางสังคมทั้งหมดของชุมชน และมุ่งประโยชน์สู่ประชาชนทุกภาคส่วน

>> จำเป็นต้องสร้างชุมชนหลัก ระบบที่ช่วยอำนวยความสะดวก และผู้นำในการสื่อสาร เพราะว่าสิ่งเหล่านี้เป็นส่วนสำคัญในสร้างชุมชนให้ประสบความสำเร็จ ระบบจะต้องมีเครื่องมือที่ชุมชนสามารถดูแลและจัดการได้เอง ซึ่งระบบนี้ก็จะเป็นที่พบปะพูดคุย แลกเปลี่ยนข้อมูลของคนในชุมชน

>> ช่วยเชื่อมระหว่างประชาชนและองค์กร โดยมีผู้เชี่ยวชาญมาช่วยตอบคำถามและแนะแนวทางแก้ปัญหา

>> มีรูปแบบที่ง่ายต่อการใช้ในการงาน บุคคลที่ใช้งานสามารถหากลุ่มหรือชุมชมที่สนใจได้ง่าย

>> มีการประสานงานของกิจกรรมที่หลากหลายของแต่ละที่และเหตุการณ์ต่างๆ ของชุมชน


3.2 ระบบการจัดการความเปลี่ยนแปลง

ระบบการจัดการความเปลี่ยนแปลง เป็นส่วนที่ช่วยในการเปลี่ยนจากชุมชมแบบเดิมให้เปลี่ยนเป็นชุมชนอิเล็กทรอนิกส์ ระบบการจัดการความเปลี่ยนแปลง (Riley, 2002) ทั้งภาครัฐและภาคเอกชนให้ความสนใจเป็นอย่างมากในปัจจุบัน ในช่วง 30 ปีที่ผ่านมารัฐบาลได้เผชิญกับการเปลี่ยนแปลงทางสังคม และเปลี่ยนแปลงหน้าที่ในการบริหารจัดการ โลกาภิวัฒน์ การค้าเสรี การเพิ่มของจำนวนประชากรและสินค้า และความก้าวหน้าทางเทคโนโลยีสารสนเทศและการสื่อสาร เป็นการเผชิญหน้ากับความท้าทายและความเท่าเทียมกัน Thomas Riley (Riley, 2002) เรียกว่าเป็นการเปลี่ยนแปลงการจัดการ

การจัดการความเปลี่ยนแปลง จะช่วยแก้ปัญหาเรื่องบุคคลและวัฒนธรรมองค์กรที่อาจจะเป็นปัญหาในการเปลี่ยนแปลงไปสู่ E-Governance

การจัดการความเปลี่ยนแปลงจะกลายมาเป็นศูนย์กลางของเรื่องต่างๆ ที่กล่าวไปแล้ว อย่างไรก็ตาม องค์กรที่กำลังปรับเปลี่ยนสู่สิ่งแวดล้อมใหม่ก็จะต้องมีความโปร่งใส ตรวจสอบได้ และเปิดกว้าง นำไปสู่ความสำเร็จของ
E-Governance ซึ่งการเปลี่ยนแปลงนี้จะสะท้อนสังคมและวัฒนธรรมที่กำลังเปลี่ยนไป การจัดการความเปลี่ยนแปลงจึงเป็นเครื่องมือหนึ่งที่จะทำให้ E-Governance ประสบความสำเร็จตามเป้าหมาย อย่างไรก็ตาม ความสำเร็จนี้ก็ขึ้นอยู่กับความร่วมมือกันของทุกฝ่ายที่ยอมรับและทำงานในสิ่งแวดล้อมใหม่ที่เกิดขึ้นนี้

ความสำเร็จของ E-Governance เกิดจากการออกแบบรูปแบบการใช้งานที่เหมาะกับผู้ใช้งาน ซึ่งต้องหาวิธีการดึงดูดและทำให้ยอมรับสื่อใหม่ๆ ปัจจัยที่สำคัญตัวหนึ่งที่วัดความสำเร็จของ E-Governance คือ ประสิทธิภาพของการออกแบบรูปแบบการใช้งานสำหรับผู้ใช้งาน

โมเดลของ E-Governance ที่ดีจะต้องมีรูปแบบการใช้งานที่ง่าย

>> ต้องรองรับเครือข่ายแบ่งปันความรู้ เช่น การอบรม การประเมินผล การเข้าถึงศูนย์กลางข้อมูล และการศึกษา

>> จัดเตรียมสื่อการสอนอิเล็กทรอนิกส์ที่ผู้ใช้สามารถใช้งานได้ง่าย มีการดูแลและจัดระเบียบระบบ ซึ่งจะเป็นตัวดึงดูดผู้ใช้ให้เข้ามาใช้งาน


3.3 ระบบการจัดการองค์ความรู้

ในประวัติศาสตร์ถูกแบ่งเป็นยุคต่างๆ ได้แก่ ยุคของข้อมูล, ยุคของข้อมูลข่าวสาร, และยุคขององค์ความรู้
(Ackoff, 1989; Davenport, 2002; Devlin, 1999, Kock et al, 1997) ข้อมูลแสดงให้เห็นถึงข้อเท็จจริง ข้อมูลข่าวสารคือการอธิบายของข้อมูล และองค์ความรู้ก็คือการประยุกต์จากข้อมูลข่าวสาร


3.3.1 ยุคของข้อมูลและยุคของข้อมูลข่าวสาร

ในช่วงปี 1970 เป็นยุคของข้อมูล ประชาชนมีความสุขกับระบบการจัดการข้อมูล (Data Management System: DMS) ต่อมาเป็นยุคของข้อมูลข่าวสาร เนื่องจากประชาชนตื่นตัวกับการปฏิวัติเทคโนโลยีสารสนเทศ
ในมุมมองของวิศวกรรมซอฟท์แวร์ มองว่าระหว่างข้อมูลและข้อมูลข่าวสารมีความแตกต่างกัน ดังนี้

ด้านสถาปัตยกรรม DMS จะเป็นแบบ Single tier ส่วน IMS นั้นเป็นสถาปัตยกรรมแบบ N-tier

ด้านระบบ DMS จะเป็นแบบ homogenous ส่วน IMS นั้นเป็นแบบ heterogeneous

ด้านการออกแบบ Model DMS จะเป็นในเชิงการบำรุงรักษาข้อมูล ส่วน IMS นั้นเป็นในเชิงการอธิบายข้อมูล

ด้านการพัฒนา Model DMS จะมุ่งไปที่ผู้ใช้งาน ส่วน IMS นั้นมุ่งไปที่ไปที่ผู้ดูแลระบบ


3.3.2 ระบบข้อมูลข่าวสารและระบบองค์ความรู้

อะไรคือความแตกต่างระหว่างข้อมูลข่าวสารและองค์ความรู้? “ผลงานที่ผ่านมาของ Wall Street ที่ประสบผลสำเร็จและกินส่วนแบ่งตลาดโดยรวมคืออะไร?” คำตอบก็คือข้อมูลข่าวสาร “ฉันมีเงินอยู่ 1 ล้านดอลลาร์ ฉันจะลงทุนใน Wall Street ได้อย่างไร?” คำตอบก็คือความรู้ ความรู้ คือ การรวบรวมข้อมูลข่าวสาร ทักษะ ประสบการณ์ ความน่าเชื่อถือ และความสามารถ ซึ่งการเก็บเกี่ยวความรู้นี้เป็นหน้าที่ที่ท้าทายของเหล่าวิศวกรคอมพิวเตอร์ ระบบการจัดการความรู้เป็นหัวข้อวิจัยที่น่าสนใจสำหรับเหล่านักวิทยาการคอมพิวเตอร์ในปีนี้ (Malhorta, 1998)

ความแตกต่างระหว่างข้อมูลข่าวสารและความรู้จากมุมมองของ E-Governance สมมุติว่ามีระบบหนึ่งจำลองเป็นองค์การการค้าโลก (WTO) ซึ่งวุฒิสภาของสหรัฐอเมริกาได้มีการร่างกฎหมายที่จะจำกัดผู้รับเหมาทางด้าน IT จากสัญญาผู้รับเหมารายย่อยในโครงการของรัฐบาลเพื่อความมั่นคงในแต่ละประเทศ ทำให้ประเทศต่างๆ อย่างเช่น อินเดีย ได้วางแผนที่จะอธิบายต่อ WTO ว่าเป็นการค้านต่อการค้าเสรี ซึ่ง WTO เป็นองค์กรที่เหมือนกับสหประชาชาติ (UN) ที่ทำหน้าที่คอยไกล่เกลี่ยข้อพิพาททางการค้าระหว่างสองกลุ่ม ซึ่งการไกล่เกลี่ยหรือการพิจารณาบทลงโทษ รวมไปถึงข้อบัญญัติ ประสบการณ์ และความเข้าใจในสภาพแวดล้อมที่เปลี่ยนแปลง พื้นฐานของ E-Governance บนพื้นฐานของการจัดการข้อมูลข่าวสาร จะไม่จัดการกับเนื้อหาที่ไม่สามารถมองเห็นได้ดังที่กล่าวไปแล้ว แต่อย่างไรก็ตาม หนึ่งในความรับผิดชอบ E-Governance บนพื้นฐานของระบบการจัดการความรู้ คือ การเล่นไปตามบทบาทของผู้เป็นสื่อกลางนั่นเอง

ในมุมมองของวิศวกรรมซอร์ฟแวร์ E-Governance บนพื้นฐานของระบบการจัดการความรู้ จะชี้ให้เห็นว่า ระบบการจัดการข้อมูลข่าวสารไม่สามารถปรับเปลี่ยนไปสู่โมเดลของ E-Governance บนพื้นฐานของระบบการจัดการความรู้

โครงการ ระบบการจัดการข้อมูลข่าวสารมุ่งพัฒนาโครงการ ส่วน E-Governance บนพื้นฐานของการจัดการความรู้มุ่งไปที่การบำรุงรักษาของโครงการ

ความต้องการ ระบบการจัดการข้อมูลข่าวสารมีการจัดระเบียบและมีโครงสร้างที่ดี (สามารถแสดงได้ในรูปของ SQL Statements) ส่วน E-Governance บนพื้นฐานของระบบการจัดการความรู้ไม่สามารถแยกประเภทและจัดระเบียบได้

การขับเคลื่อน ระบบการจัดการข้อมูลข่าวสารมีการขับเคลื่อนทางธุรกิจที่ถูกควบคุมโดยทีมใดทีมหนึ่ง ส่วน E-Governance บนพื้นฐานของการจัดการความรู้มีการขับเคลื่อนโดยประชาชน

ระบบ ระบบการจัดการข้อมูลข่าวสารเป็นโครงการแบบ Homogenous ด้วยระบบHeterogeneous ส่วน E-Governance บนพื้นฐานของระบบการจัดการความรู้จะเป็นโครงการแบบ Heterogeneous บนระบบ Hydrogenous

การออกแบบสำหรับผู้ใช้งาน ระบบการจัดการข้อมูลข่าวสารมีการออกแบบรูปแบบการใช้งานตามความต้องการของผู้ออกแบบ ส่วน E-Governance บนพื้นฐานของระบบการจัดการความรู้มีการออกแบบรูปแบบการใช้งานให้ง่ายและสะดวกสำหรับผู้ใช้งาน

การออกแบบสถาปัตยกรรม ระบบการจัดการข้อมูลข่าวสารมีพื้นฐานอยู่ที่การผสมผสาน ซึ่งเป็นการรวมกันของโครงการเล็กๆ ส่วน E-Governance บนพื้นฐานของระบบการจัดการความรู้มีพื้นฐานอยู่ที่การประกอบกัน ซึ่งเป็นการ นำโครงการหลายๆ โครงการมาประกอบกัน

กระบวนการ ระบบการจัดการข้อมูลข่าวสารเป็นกระบวนการบนพื้นฐานของวัฏจักร เป็นวัฏจักรของการพัฒนาซอร์ฟแวร์จากความต้องการทางวิศวกรรมสู่ความเปลี่ยนแปลง ส่วน E-Governance บนพื้นฐานของระบบการจัดการเป็นกระบวนการบนพื้นฐานของเส้นทาง


3.3.3 กระบวนการบนพื้นฐานของเส้นทาง

โมเดลแสดงให้เห็นถึงองค์ความรู้ (Deen & Johnson, 2003) โมเดลของระบบการจัดการความรู้ที่ดีนั้นเป็นการผสมผสานกันของวิวัฒนาการและนวัตกรรม วัฏจักรของการจัดการความรู้ (Haggie & Kingston, 2003; Riley, 2003; Spek & Spijkervert, 1997) มีอยู่ 4 ส่วน คือ

1. การเก็บเกี่ยวความรู้ (Knowledge capturing)
2. การแบ่งปันความรู้ (Knowledge sharing)
3. การเพิ่มพูนความรู้ (Knowledge enhancing)
4. การรักษาความรู้ (Knowledge preserving)

E-Governance บนพื้นฐานของระบบการจัดการข้อมูลข่าวสารและ E-Governance บนพื้นฐานของระบบการจัดการความรู้ จากมุมมองของกระบวนการซอฟท์แวร์มีความแตกต่างกันอย่างไร? พิจารณา E-Governance ของระบบการจัดการความรู้ของรัฐควีเบค (Quebec) ประเทศแคนาดาในปี 1990 หากถามตามระบบการจัดการข้อมูลข่าวสารถึงความเอาใจใส่ในประชามติของการปกครองสูงสุดของประเทศว่า “Quebec ต้องการที่จะแยกตัวออกจากแคนาดาใช่ไหม?” ก็จะต้องตอบว่า “ไม่” ในปี 2000 ยังคงตอบเหมือนเดิม และในปี 2010 ก็ยังคงตอบในทิศทางเดิม ในความเป็นจริง ความเชื่อที่มีผลต่อพฤติกรรมของประชากรของ Quebec กำลังมีการเปลี่ยนแปลง โดยจะเปลี่ยนแปลงจากคำว่า “ไม่” ไปสู่คำว่า “ใช่” ซึ่งต้องการระบบที่เปลี่ยนพฤติกรรม สะท้อนทัศนคติ และพัฒนาไปพร้อมๆ กับประชาชน อีกนัยหนึ่ง คือต้องการระบบที่ทำให้มีคำตอบว่า “ ไม่” ในปี 1990 และตอบว่า “ระหว่าง ใช่และไม่” ในปี 2000 และมีคำตอบที่แตกต่างไปในปี 2010 ตามความเหมาะสมของการเปลี่ยนแปลงพฤติกรรมของประชาชนในรัฐควีเบคในปี 2010 E-Governance บนพื้นฐานของความรู้มีการจัดเตรียมเพื่อสิ่งเหล่านี้

โมเดลของกระบวนการที่ได้รับความนิยมของวัฏจักรการพัฒนาซอฟท์แวร์ คือ วัฏจักรแบบน้ำตก วัฏจักรแบบเส้นขด และวัฏจักรแบบซ้ำ ในวัฏจักรของระบบการจัดการข้อมูลข่าวสารของ E-Governance เป็นส่วนของการพัฒนาและการบำรุงรักษาในระยะเวลาที่แตกต่างกัน การบำรุงรักษาจะเริ่มหลังจากส่วนของการพัฒนาได้เสร็จสิ้น ช่วงของการพัฒนาจะมีระยะเวลาน้อยมากเมื่อเทียบกับส่วนของการบำรุงรักษา วัฏจักรการพัฒนาซอฟท์แวร์นั้น ไม่เหมาะสมสำหรับ E-Governance บนพื้นฐานของระบบการจัดการความรู้ เนื่องจากส่วนของการพัฒนาและการบำรุงรักษาของ E-Governance บนพื้นฐานของระบบการจัดการความรู้เป็นแบบต่อเนื่องกันไป เป็นกระบวนการที่ไม่สิ้นสุดบนเส้นทางคู่ขนานกัน ดังรูปที่ 3 ที่แสดงให้เห็นถึงกระบวนการแบบเส้นทางของ E-Governance บนพื้นฐานของระบบการจัดการความรู้ ส่วนของการพัฒนาและการบำรุงรักษาเป็นกิจกรรมที่ขนานกันไป





รูปที่ 3 กระบวนการบนพื้นฐานของเส้นทาง (A path based process)

โมเดลของ E-Governance จะต้องมีคุณสมบัติ ดังนี้

>> การจัดการข้อมูลข่าวสาร (Computer Associates, 2003; Riley, 2003) รวมไปถึงการรักษาความรู้การจัดเก็บและส่งคืนข้อมูล เอกสาร และบันทึกต่างๆ ของภาครัฐ ระบบจะต้องมีความสามารถในการทำสถิติและรายงานแนวโน้มสำหรับการวางแผนในอนาคต

>> การจัดการเหตุการณ์ (Binney, 2001; Day & Wendler, 1998; Zack, 1999) รวมไปถึงการเก็บเกี่ยวความรู้ ระบบต้องจัดเตรียมรูปแบบสำหรับการตัดสินใจ การแสดงความคิดเห็น การสุ่มตัวอย่าง ประชามติสำหรับชุมชน การให้บริการกับชุมชนมีเป้าหมายเพื่อสนับสนุนการมีปฏิสัมพันธ์ระหว่างองค์กรและเครือข่ายการวิจัย ซึ่งสามารถนำข้อมูลเหล่านี้มาจัดเก็บและทำการส่งต่อข้อมูลให้ผู้ใช้งาน

>> การจัดการข้อมูลส่วนตัว (Riley, 2002) ระบบจะต้องมีการออกแบบรองรับการจัดการข้อมูลส่วนตัว การแสดงความคิดเห็น การสุ่มตัวอย่าง การลงประชามติ และมีการจัดการและบำรุงรักษาอย่างเข้มงวด มีการดูแลเรื่องลิขสิทธิ์และทรัพย์สินทางปัญญา

>> การจัดการความสามารถ (Binney, 2001; Day & Wendler, 1998; Zack, 1999) รวมไปถึงการแบ่งปันความรู้ ระบบจะต้องมีการแบ่งปันความรู้ เพื่อพัฒนาองค์กรในการแบ่งปันความสามารถ ประสบการณ์ และความรู้ เป้าหมายของการแบ่งปันความรู้ก็เพื่อสนับสนุนและพัฒนาองค์กรพร้อมๆ กับการพัฒนาของชุมชน ซึ่งจะมีการให้บริการแก่สมาชิกและผู้ที่สนใจ เช่น การฝึกอบรม การให้คำปรึกษา และมีการอำนวยความสะดวกต่างๆ

>> การจัดการความสร้างสรรค์ (Binney, 2001; Day & Wendler, 1998; Zack, 1999) รวมไปถึงการเพิ่มพูนความรู้ ระบบจะต้องจัดเตรียมรูปแบบที่หลากหลายเพื่อรองรับผู้ใช้งาน ระบบจะต้องเอื้อต่อการใช้งานของนักกิจกรรมทางสังคม นักวิจัย นักธุรกิจ และกลุ่มคนที่ปฏิบัติงานบนพื้นฐานของความรู้ ซึ่งเมื่อทุกภาคส่วนมาร่วมมือกันก็จะสร้างนวัตกรรมที่นำไปสู่เทคโนโลยีใหม่ องค์กรรูปแบบใหม่ ทักษะความเป็นผู้นำใหม่ๆ การร่วมมือกันทั้งในองค์กร ระหว่างองค์กร และภายนอกองค์กร


3.4 ระบบการจัดการโครงสร้างพื้นฐาน

การจัดการโครงสร้างพื้นฐาน (Computer Associates, 2003) เป็นการศึกษาภายใต้ห่วงโซ่ของกิจกรรมขององค์กร (ERP) การจัดการโครงสร้างพื้นฐาน (Madhavan, 2003) ครอบคลุม ดังนี้

>> การจัดการความปลอดภัย ความปลอดภัยเป็นกุญแจที่นำไปสู่ความสำเร็จของ E-Governance โดยมีการป้องกันในขณะที่มีการแลกเปลี่ยนข้อมูลอิเล็กทรอนิกส์

>> การจัดการซอฟท์แวร์ ซอฟท์แวร์เป็นหนึ่งในส่วนประกอบที่สำคัญที่สุดของระบบ จุดสนใจของระบบการจัดการซอฟท์แวร์ คือ องค์กร การควบคุม, และการป้องกันซอฟท์แวร์ภายในชุมชนของ E-Governance

>> การจัดการเครือข่าย E-Governance จะมีข้อมูลจากแหล่งข้อมูลที่หลากหลาย ที่ทำงานบนเครื่องคอมพิวเตอร์ที่แตกต่างกัน มีฐานข้อมูล มีการจัดเตรียมรูปแบบที่มีคุณภาพสูง ระบบจะต้องมีการดูแลความปลอดภัย สามารถพัฒนาได้ มีโปรแกรมในการจัดการเครือข่ายของ E-Governance

>> การจัดการทรัพยากร ได้แก่ การจัดหา การจัดการทรัพยากรที่มีอยู่ การจัดการดูแลซอฟท์แวร์และฮาร์ดแวร์ การจัดการใบอนุญาต การจัดการค่าที่กำหนด การวางแผน และความเหมาะสมของโครงสร้างพื้นฐาน

หากมีความชำนาญในระบบการจัดการโครงสร้างพื้นฐาน ก็ไม่ต้องใช้ระบบการจัดการโครงสร้างพื้นฐาน


4.สรุป

โดยทั่วไป E-Governance อยู่บนพื้นฐานของการจัดการข้อมูลข่าวสาร จะใช้แนวคิดของ “ศูนย์กลางความรู้” ที่แบ่งปันความรู้ แต่โมเดลของ E-Governance บนพื้นฐานระบบการจัดการองค์ความรู้นี้ ถูกสร้างในวัฏจักรการจัดการความรู้ของการเก็บเกี่ยวความรู้ การแบ่งปันความรู้ การเพิ่มพูนความรู้ และการรักษาความรู้ ซึ่ง Model นี้แบ่งปันความรู้ที่สนับสนุนความรู้ที่เป็นพลวัตร

การพัฒนาโมเดลของ E-Governance บนพื้นฐานของการจัดการข้อมูลข่าวสารได้ประยุกต์กระบวนการพื้นฐานแบบเป็นวัฏจักร E-Governance เป็นการผสมผสานของการตอบสนองของผู้ใช้งานและนวัตกรรม บทความนี้ได้ศึกษาโมเดลของการพัฒนาของ E-Governance บนพื้นฐานของระบบการจัดการความรู้ ซึ่งโมเดลได้จัดเตรียมไว้เพื่อให้สิ่งแวดล้อมและประชาชนผู้ใช้งานพัฒนาไปพร้อมกัน


5.เอกสารอ้างอิง

Ackoff, R.L., 1989, From Data to Wisdom, Journal of Applied Systems Analysis, 16

Binney, D., 2001, The knowledge management spectrum - understanding the KM landscape, Journal of Knowledge Management, 5.1

Computer Associates, 2003, Next Generation IT Organizations: An Evolutionary Approach to On-Demand Computing - A Research Report, Enterprise Management Associates, Computer Associates International Inc.

Davenport, K., 2002, Northeast Iowa Regional Library System, Library Journal, 127.8

Day, J.D, and Wendler, J.C., 1998, Best Practice and Beyond: Knowledge Strategies, McKinsey Quarterly, 1

Devlin, K., 1999, InfoSense: Turning Information into Knowledge, W .H. Freeman, New York.

Deen, S.M, and Johnson, C.A., 2003, Formalizing an engineering approach to cooperating knowledge-based systems, IEEE Transactions on Knowledge and Data Engineering, 15.1

Haggie, K, and Kingston, J., 2003, Choosing Your Knowledge Management Strategy, Journal of Knowledge Management Practice, 4, //www.tlainc.com/jkmpv4.tm

Kock, N.F, McQueen, R.J, and Corner, J.L., 1997, The Nature of Data, Information and Knowledge Exchanges in Business Processes: Implications for Process Improvement and Organizational Learning, The Learning Organization, 4.2

Madhavan, M., 2003, White paper guideline to design a highly available infrastructure, Wipro Technologies, //www.wipro.com/itservices/infrastrucmgmt

Malhorta, Y., 1998, Tools@Work - Deciphering the Knowledge Management Hype. Journal of Quality & Participation, special issue on Learning and Information Management, 21.4

Riley, T.B., 2002, Change Management and the Relationship to eGovernment, eGov Monitor Weekly, December

Riley, T.B., 2003, Knowledge Management and Technology, International tracking survey report 2003, Government Telecommunications and Informatics Services, Public Works and Government Services, Canada

Spek, V.D, and Spijkervet, R., 1997, A. Knowledge Management: Dealing Intelligently with Knowledge, Knowledge Management Network (CIBIT/CSC)

Zack, M.H., 1999, Developing a Knowledge Strategy, California Management Review, 41.3

About The Author:

Paul Manuel, Department of Information Science, Kuwait University, P.O. Box 5969, Safat 13060, Kuwait

Email: p.manuel@cfw.kuniv.edu







 

Create Date : 27 มกราคม 2552    
Last Update : 25 กุมภาพันธ์ 2553 9:52:57 น.
Counter : 979 Pageviews.  

ชุมชนนักปฏิบัติ (COP: Community of Practice)




ชุมชนนักปฏิบัติ (COP: Community of Practice)



กนกวรรณ วีระประสิทธิ์
(ปัจจุบันเปลี่ยนชื่อเป็น ธัญญดา วีระประสิทธิ์)

26 สิงหาคม 2551


ปัจจุบันทั้งภาครัฐและภาคเอกชนให้ความสำคัญกับการบริหารจัดการความรู้ภายในองค์กร (Knowledge Management: KM) กันมากขึ้น ให้ความสำคัญกับการจัดการสินทรัพย์ที่จับต้องไม่ได้ (Intangible Asset) ดังเช่นความรู้ ความสามารถในการเรียนรู้และพัฒนาองค์กร เพื่อสร้างคุณค่าและมูลค่าเพิ่มให้กับองค์กร ให้กลายเป็นความสามารถในแข่งขันที่ยั่งยืนต่อไป การบริหารความรู้ที่มีอยู่ให้เกิดประโยชน์สูงสุดต่อองค์กร เพื่อนำองค์กรไปสู่องค์กรแห่งการเรียนรู้ เป็นสิ่งที่ท้าทายต่อการเปลี่ยนแปลงในยุคปัจจุบัน เพราะหัวใจขององค์กรแห่งการเรียนรู้ คือความสามารถในการบริหารจัดการความรู้ที่มีอยู่ให้เกิดประโยชน์สูงสุด และบริหารให้สมาชิกขององค์กรทุกคนมีจิตสำนึกในการพัฒนาความรู้ ความสามารถของตนเอง และพัฒนากลุ่มบุคคลอย่างต่อเนื่อง ไม่ว่าจะเป็นการฝึกอบรม การส่งเสริมการเรียนรู้โดยการใช้เครื่องมือเพื่อสนับสนุนการแลกเปลี่ยน แบ่งปันความรู้ (Knowledge Sharing)

เป้าหมายของ KM คือ ต้องการดึงความรู้ในตัวผู้ปฏิบัติ ซึ่งเป็นความรู้แบบ Tacit Knowledge หรือความรู้แบบฝังลึก ให้กลายเป็น Explicit Knowledge หรือความรู้ที่ปรากฏแจ้งชัด เพื่อสร้าง Best Practices หรือวิธีปฏิบัติที่เป็นเลิศในการทำงานให้บุคคลอื่นได้ทดลองนำไปใช้ การจะไปถึงเป้าหมายนี้ได้ ต้องอาศัยเครื่องมือในการจัดการความรู้แบบต่างๆ (KM Tools) และเครื่องมือที่นิยมใช้เพื่อจัดการความรู้อย่างง่ายๆ ไม่ซับซ้อน คือ การทำชุมชนนักปฏิบัติ

ชุมชนนักปฏิบัติ (Community of Practice: COP) เป็นวิธีการหนึ่งที่สำคัญในการจัดการความรู้ขององค์กร และจะนำไปสู่การเป็นองค์กรแห่งการเรียนรู้ ด้วยการสร้างเป็นชุมชนขึ้นมา เพื่อทำการแลกเปลี่ยนแบ่งปันความรู้ รวมทั้งประสบการณ์ ของผู้ที่สนใจในเรื่องเดียวกัน มีวัตถุประสงค์ หรืออุดมการณ์ร่วมกันผ่านทั้งรูปแบบที่เป็นทางการและไม่เป็นทางการ โดยอาจจะมีการพบปะกันจริง หรือพบปะกันแบบเสมือนผ่านทางเครือข่ายอินทราเน็ตหรืออินเทอร์เน็ต ซึ่งจะเป็นการทำให้เกิดการทำงานที่มีการประสานร่วมมือกัน ปรึกษาหารือกัน มีลักษณะเป็นการทำงานแบบเชื่อมโยงกันเป็นเครือข่ายที่มีการแบ่งปันความรู้ร่วมกัน หากองค์การสามารถเชื่อมโยงชุมชนนักปฏิบัติหลายๆ ชุมชนเข้าด้วยกัน ก็จะเป็นเครือข่ายการทำงานที่มีการปฏิบัติงานร่วมกันจากหลายๆ ฟังก์ชั่นงาน ทำให้บุคลากรไม่เพียงแต่มีความรู้ ความสามารถเฉพาะด้านใดด้านหนึ่งเท่านั้น แต่อาจจะมีความรู้ ความสามารถที่หลากหลายมากขึ้น เมื่อได้มีการแบ่งปันความรู้ร่วมกันผ่านชุมชนนักปฏิบัติ


ความหมายของชุมชนนักปฏิบัติ

“ชุมชนนักปฏิบัติ” (COP: Community of Practice) คือ การรวมตัวของคนหรือกลุ่มคนที่มีความชอบ มีความสนใจในสาระ ความเชี่ยวชาญ ที่คล้ายๆ กัน หรือมีปัญหาร่วมกัน ทำงานด้านเดียวกัน สมาชิกในกลุ่มพร้อมและเต็มใจที่จะเรียนรู้และแลกเปลี่ยนประสบการณ์ซึ่งกันและกัน มีการเรียนรู้ซึ่งกันและกัน สร้างและพัฒนาความสัมพันธ์ ความเข้าอกเข้าใจซึ่งกันและกัน ในระหว่างการดำเนินกิจกรรมร่วมกันซึ่งจะช่วยเสริมสร้างความรู้สึกมีส่วนร่วมและความเป็นเจ้าของร่วมกัน ก่อให้เกิดความมุ่งมั่นที่จะดำเนินการอย่างสร้างสรรค์ต่อไป โดยที่การพบปะกันของสมาชิกในชุมชน อาจจะเป็นการพบปะกันจริงๆ แบบเผชิญหน้ากัน เช่น เป็นการประชุม สัมมนา หรือแม้กระทั่งสภากาแฟเล็กๆ นอกจากนี้ยังมีการพบปะกันแบบเสมือนผ่านทางเครื่องมือหรือเทคโนโลยี ได้แก่ แบบออนไลน์ผ่านทางอินเทอร์เน็ต หรืออินทราเน็ต เช่น การแลกเปลี่ยนความรู้ และประสบการณ์จากการทำงานผ่าน Webboard


กรอบแนวทางการวิเคราะห์ค้นหาชุมชนแนวปฏิบัติที่สำคัญ

1. พัฒนาการหรือการก่อเกิดของกลุ่ม
พัฒนาการหรือการก่อเกิดของกลุ่มมีประวัติความเป็นมาอย่างไร อะไรคือสิ่งจูงใจหรือความสนใจร่วมกัน การเกิดขึ้นของกลุ่มเกิดในภาวะหรือบริบทเช่นไร เป็นการเกิดขึ้นโดยธรรมชาติ หรือเกิดจากภาวะวิกฤตร่วมกัน เหตุผลในการก่อเกิดคืออะไรในทัศนะของสมาชิกกลุ่ม ภาวะผู้นำในการเกิดและดำรงอยู่เป็นอย่างไร ในอดีตนั้นกลุ่มมีการเผชิญอุปสรรคอย่างไร และฝ่าฟันมาได้อย่างไร กลุ่มมีกระบวนการและแนวทางการจัดการความขัดแย้งอย่างไร มีขนาดและการเปลี่ยนแปลงจำนวนสมาชิกกลุ่มอย่างไร

2. Core Business, Core Value และ Key Success
Core Business, Core Value และ Key Success คืออะไร ส่วนนี้เป็นคำถามสำคัญที่ว่ากลุ่มเกิดขึ้น เพื่อทำอะไร เช่น กลุ่มการวิจัย มีหัวข้อที่สนใจร่วมกันคืออะไร กลุ่มมีความเชื่อพื้นฐานร่วมกันอย่างไร อาจรวมถึงวิสัยทัศน์ร่วมของกลุ่มคืออะไร อะไรคือเป้าหมายหรือธงชัยของกลุ่ม ปัจจัยความสำเร็จที่สำคัญของกลุ่มที่ผ่านมาคืออะไร และอะไรคือประเด็นความภาคภูมิใจของสมาชิกกลุ่มร่วมกัน

3. ระบบความสัมพันธ์ของสมาชิก
สมาชิกของกลุ่มมีระบบความสัมพันธ์เป็นอย่างไร กลุ่มมีความผูกพันกันแบบไหน ความแนบแน่นของกลุ่มเป็นอย่างไร ภาวะผู้นำเป็นอย่างไร ระบบและเครื่องมือการสื่อสารภายในกลุ่มเป็นอย่างไร อะไรคือช่องทางการสื่อสารหลัก ความสัมพันธ์ของกลุ่มมีลักษณะของความเป็นทางการหรือไม่เป็นทางการ ทรัพยากรและโครงสร้างพื้นฐานที่เอื้อให้กลุ่มดำรงอยู่ได้คืออะไร อย่างไร

4. ความสัมพันธ์เชื่อมโยงกับภายนอก
ประเด็นมุ่งตรวจสอบว่า กลุ่มมีพัฒนาการและดำรงอยู่ได้นั้น มีระบบความสัมพันธ์หรือความช่วยเหลือจากภายนอกหรือไม่ อย่างไร ทั้งความช่วยเหลือในทางเทคนิค ทรัพยากร เทคโนโลยี และอื่นๆ

5. ความยั่งยืนของกลุ่ม
ความยั่งยืนของกลุ่ม ต้องมีการวิเคราะห์ใน2 มิติ คือมิติของมุมมองภายใน (Emic View) ของสมาชิกกลุ่มเองที่มองความยั่งยืนของกลุ่มเป็นอย่างไร ต้องการการหนุนเสริมจากภายนอกหรือไม่ อย่างไร และมิติของมุมมองจากภายนอกหรือผู้วิจัยเอง (Ethic View) ว่าในฐานะคนภายนอกที่มองเข้าไปนั้น เห็นว่ากลุ่มมีความยั่งยืนหรือไม่ อย่างไร จุดอ่อนจุดแข็งของกลุ่มคืออะไร ปัจจัยและโอกาสที่จะเอื้อให้กลุ่มพัฒนาและยั่งยืนคืออะไรอย่างไร

6. ระบบการจัดการความรู้
ระบบการจัดการความรู้ มีความสำคัญและสอดคล้องกับการจัดการความรู้ว่า การดำรงอยู่ของกลุ่มเช่นนี้นั้น มีการพัฒนายกระดับความรู้อย่างไร มี Feedback Loop ของการจัดการความรู้อย่างไร หรืออาจวิเคราะห์ลงลึกไปถึงว่าในกระบวนการกลุ่มนั้น ใครคือคุณกิจ ใครคือคุณอำนวย และคนเหล่านี้แสดงบทบาทได้อย่างไร กระบวนการยกระดับการเรียนรู้ จากTacit Knowledge สู่ Explicit Knowledge เป็นอย่างไร เกิดขึ้นหรือไม่ และสุดท้าย ชุมชนแนวปฏิบัติที่ศึกษาวิเคราะห์นี้ มีการปฏิบัติที่แตกต่างจากลักษณะการทำงานประจำ (Routine Work) อย่างไร

แนวคิดและกรอบการวิเคราะห์ดังกล่าวข้างต้น เป็นเพียงเครื่องมือในการตรวจสอบระบบวิธีคิดและความเข้าใจ ในการสร้างหรือหนุนเสริมให้ ชุมชนแนวปฏิบัติ มีความเข้มแข็งขึ้นอย่างสอดคล้องกับบริบทที่เป็นจริง เราคงอาจนึกถึงกรอบแนวทางการวิเคราะห์ได้อีกมากมายหลายประการ ในที่นี้ เราคงต้องมีการสรุปบทเรียนจากกรณีศึกษาต่างๆ เพื่อนำมาสู่การประมวลเป็นชุดองค์ความรู้ และพัฒนาสร้าง “ยุทธศาสตร์การขับเคลื่อน” ให้ชุมชนแนวปฏิบัติ ขยายและเติบโตขึ้นเต็มพื้นที่ สร้าง approach ใหม่ๆ อันเป็นการช่วยถักทอให้ระบบความสัมพันธ์ในองค์กรมีความเข้มแข็งเกิดดุลยภาพทั้งในแนวตั้งและแนวนอน


องค์ประกอบของชุมชนแนวปฏิบัติ

ชุมชนแนวปฏิบัติ มุ่งเน้นการนำความรู้ที่ใช้ในงานมาแลกเปลี่ยนกัน เพื่อต่อยอดความรู้และพัฒนาคุณภาพงานที่ตนเองปฏิบัติอยู่ โดยทั่วไปการที่จะรวมกลุ่มกันเป็นชุมชนแนวปฏิบัติจะมีองค์ประกอบ ดังนี้

1. โดเมน (domain) หรือหัวข้อความรู้ เป็นหัวข้อที่กลุ่มหรือชุมชนจะมาร่วมแลกเปลี่ยนเรียนรู้กัน หัวข้อที่ดีจะต้องมีลักษณะดังนี้

- เป็นหัวข้อที่เกิดจากความต้องการ หรือ แรงปรารถนาจริง (Real Passion) ของผู้ปฏิบัติงาน ซึ่งส่วนใหญ่หัวข้อจะมาจากงานในหน้าที่รับผิดชอบที่ตนเองปฏิบัติอยู่แล้ว เช่น สอนหนังสือ ให้บริการแก่ผู้ป่วย ปฏิบัติงานด้านพัสดุของหน่วยงานหรือด้านวิเทศสัมพันธ์ เป็นต้น

- เป็นหัวข้อความรู้ที่ตอบสนองต่อ Core Business/Core Value ขององค์กร ความเข้มแข็งของชุมชนแนวปฏิบัติ ส่วนหนึ่งมาจากการสนับสนุนขององค์กร ดังนั้น หัวข้อความรู้ของชุมชนจะต้องตอบสนองต่อ Core Business/ Core Value ขององค์กร และสมาชิกสามารถใช้ความรู้จากการแลกเปลี่ยนเรียนรู้ในชุมชนมาพัฒนาองค์กรได้

2. ชุมชน (community) ได้แก่ พันธะทางสังคมที่จะรวบรวมและยึดเหนี่ยวสมาชิกผู้ปฏิบัติงานเข้าไว้ด้วยกันภายใต้โดเมนและแรงปรารถนาเดียวกัน ในการรวมกลุ่มกันเป็นชุมชนแนวปฏิบัติไม่ได้มีกฎตายตัวว่าสมาชิกในชุมชน จะต้องมีจำนวนเท่าใด มีตำแหน่งใดบ้าง แต่เพื่อความสะดวกในการก่อตั้งชุมชนแนวปฏิบัติ สมาชิกในชุมชนควรประกอบด้วย

- คุณอำนวย หรือ Facilitator เป็นผู้ดำเนินการหลัก ทำหน้าที่จัดระบบและบริหารทรัพยากรของชุมชน เป็นผู้นำการสนทนาและการสื่อสารระหว่างสมาชิกตามช่องทางต่างๆ ใช้และกระตุ้นให้สมาชิกได้ใช้เครื่องมือเพื่อการแลกเปลี่ยนเรียนรู้ รวมทั้งทำหน้าที่เสริมแรงให้กับชุมชนในโอกาสต่างๆ

- คุณลิขิต หรือ Community Historian เป็นผู้ที่บันทึกสิ่งสำคัญที่ได้จากการแลกเปลี่ยนเรียนรู้ในชุมชน จับประเด็นและสรุปประเด็นต่างๆ เพื่อรวบรวมไว้เป็น คลังความรู้ (Knowledge Assets) ของชุมชน
คุณลิขิตนี้มีความสำคัญมากเพราะเป็นผู้เปลี่ยนความรู้ที่ฝังลึก (Tacit Knowledge) จากการแลกเปลี่ยน ให้เป็นความรู้เชิงประจักษ์ (Explicit Knowledge) ที่สมาชิกสามารถนำไปอ้างอิงและใช้ประโยชน์ในการทำงานได้

- คุณกิจ หรือ Member เป็นสมาชิกของชุมชน ทำหน้าที่แลกเปลี่ยนความรู้และประสบการณ์ในการทำงานตามหัวข้อความรู้ คุณกิจจะต้องมีส่วนร่วมในการอภิปรายนำเสนอประเด็น วิธีแก้ปัญหา รวมทั้งวิธีการที่ทำให้ชุมชนมีความเข้มแข็งมากยิ่งขึ้น คุณกิจในชุมชนควรมีจำนวนที่พอดีไม่มากหรือน้อยเกินไป เพราะหากมีจำนวนน้อยเกินไป ความรู้ที่นำมาแลกเปลี่ยนอาจอยู่ในวงจำกัด แต่ถ้าสมาชิกมีมากเกินไป ความสนิทสนมหรือพันธะระหว่างสมาชิกอาจไม่แข็งแรงพอและเป็นอุปสรรคต่อการแลกเปลี่ยนเรียนรู้ได้

นอกจากนั้น บางชุมชนอาจมีผู้สนับสนุน (Sponsor) ที่เป็นผู้บริหารขององค์กร หรือมีผู้เชี่ยวชาญ (expert) ในหัวข้อความรู้นั้นๆ เข้ามามีส่วนร่วมเป็นครั้งคราวก็ได้

3. แนวปฏิบัติ (practice) คือผลที่ได้จากการแลกเปลี่ยนเรียนรู้ของชุมชนที่สมาชิกสามารถนำไปปฏิบัติในงานของตนได้จริง โดยทั่วไปแนวปฏิบัตินี้ได้มาจากการบันทึกโดยคุณลิขิต เป็นคลังความรู้ขององค์กรที่ได้จากการสังเคราะห์โดยชุมชนและจัดเก็บ/ปรับปรุง/ถ่ายทอด โดยชุมชนเอง

ชุมชนแนวปฏิบัติจะต้องมีองค์ประกอบทั้ง 3 ส่วนนี้ครบถ้วนและสมดุล จึงจะสามารถดำรงอยู่และขับเคลื่อนการจัดการความรู้ให้กับองค์กร การขาดองค์ประกอบอันใดอันหนึ่งไปจะไม่สามารถสร้างชุมชนให้เกิดความยั่งยืนขึ้นได้ โดเมนที่ขาดแรงปรารถนาหรือเป็นหัวข้อที่ถูกสั่งลงมาจากผู้บริหารจะทำให้ชุมชนไร้พลังและขาดแรงจูงใจ ชุมชนที่ขาดความไว้เนื้อเชื่อใจกันระหว่างสมาชิก ขาดทรัพยากร หรือขาดคุณอำนวยที่เข้มแข็ง ก็จะแยกสลายและไม่สามารถรักษาความเป็นชุมชนไว้ได้ ชุมชนที่ไม่มีการบันทึกแนวปฏิบัติก็ไม่อาจสร้างและนำความรู้ใหม่ที่แลกเปลี่ยนกันไปปฏิบัติให้เกิดผลสัมฤทธิ์ในองค์กรได้ แม้ว่าชุมชนแนวปฏิบัติสามารถก่อตั้งขึ้นได้โดยง่าย การที่จะให้ชุมชนมีความยั่งยืน และนำความรู้มาใช้เพื่อพัฒนาองค์กร ถือเป็นความท้าทายและต้องอาศัยพลังกาย พลังใจของผู้ที่เกี่ยวข้องทั้งหมดในการบรรลุประสิทธิผลของการจัดการความรู้ในองค์กร

คุณลักษณะของชุมชนนักปฏิบัติ

>> มีความสนใจในเรื่องเดียวกัน และต้องการแลกเปลี่ยนประสบการณ์ของกันและกัน
>> มีเป้าหมายและความมุ่งมั่นร่วมกัน ที่จะพัฒนาวิธีการทำงานได้ดีขึ้น
>> มีความเชื่อ และยึดถือคุณค่าเดียวกัน
>> วิธีปฏิบัติคล้ายกัน ใช้เครื่องมือ และภาษาเดียวกัน
>> ประสบกับปัญหาในลักษณะเดียวกัน
>> มีบทบาทในการสร้าง และใช้ความรู้
>> มีการแลกเปลี่ยนเรียนรู้จากกันและกัน อาจจะพบกันด้วยตัวจริง หรือผ่านเทคโนโลยี
>> มีช่องทางเพื่อการไหลเวียนของความรู้ ทำให้ความรู้เข้าไปถึงผู้ที่ต้องการใช้ได้ง่าย
>> มีความร่วมมือช่วยเหลือ เพื่อพัฒนา และเรียนรู้จากสมาชิกด้วยกันเอง
>> มีวิธีการเพื่อเพิ่มความเข้มแข็งให้แก่ชุมชน ทำให้มีความรู้ที่ลึกซึ้งเพิ่มพูนขึ้นอย่างต่อเนื่อง


ธรรมชาติของชุมชนนักปฏิบัติ

>> เป็นเครือข่ายความสัมพันธ์แบบไม่เป็นทางการ เกิดจากความใกล้ชิด ความพอใจ และพื้นฐานที่ใกล้เคียงกันของสมาชิก ซึ่งลักษณะที่ไม่เป็นทางการจะมีผลดีในการเอื้อต่อการเรียนรู้ และการสร้างความรู้ใหม่ๆ มากกว่าโครงสร้างที่เป็นทางการ
>> ในองค์กรหนึ่งอาจประกอบไปด้วยชุมชนนักปฏิบัติจำนวนมาก และคนคนหนึ่งอาจจะเป็นสมาชิกได้หลายชุมชน
>> องค์กรประกอบไปด้วยชุมชนนักปฏิบัติจำนวนมากทับซ้อนกันอยู่ คู่ขนานไปกับโครงสร้างที่เป็นทางการขององค์กร
>> คำว่า ปฏิบัติ หรือ practice ในชุมชนนักปฏิบัติ มุ่งเน้นไปที่ การเรียนรู้ซึ่งได้รับจากการทำงาน เป็นหลัก เป็นแง่มุมเชิงปฏิบัติ ปัญหาประจำวัน เครื่องมือใหม่ๆ พัฒนาการในเรื่องงานวิธีการทำงานที่ได้ผล
และไม่ได้ผล การมีปฏิสัมพันธ์ระหว่างบุคคลในชุมชน จะทำให้เกิดการถ่ายทอดแลกเปลี่ยนความรู้แบบฝังลึก(เป็นประสบการณ์ หรือความรู้เฉพาะของแต่ละบุคคล) สร้างความรู้ และความเข้าใจได้มากกว่าการเรียนรู้ จากหนังสือ หรือการฝึกอบรมตามปกติ
>> การปฏิบัติมิใช่สิ่งตายตัว ที่เปลี่ยนแปลงไม่ได้ ขณะเดียวกันก็ไม่อาจเปลี่ยนแปลงได้ง่ายๆ ด้วยคำสั่ง หรือกฎระเบียบ
>> ชุมชนนักปฏิบัติเป็นกลไกของการไขว่คว้าหาความรู้เข้าหาตัว มากกว่าการรวบรวมความรู้ เพื่อส่งมอบให้ผู้อื่น
>> สิ่งที่มีผลต่อการปฏิบัติ และเป็นผลจากการเรียนรู้ ได้แก่
▫ สิ่งที่ปรากฏชัดแจ้ง ได้แก่ เครื่องมือ เอกสาร ภาพลักษณ์ สัญลักษณ์ บทบาที่ชัดเจน
เกณฑ์ที่กำหนดไว้ กฎข้อบังคับ สัญญา
▫ สิ่งที่ไม่ปรากฏชัดแจ้ง ได้แก่ ความสัมพันธ์ กฎเกณฑ์ในใจ ความหยั่งรู้ การรับรู้
ความอ่อนไหว ความเข้าใจ สมมติฐาน มุมมองซึ่งเป็นที่ยอมรับทั่วไป
>> ประเด็นที่ชุมชนนักปฏิบัติให้ความสนใจจะเปลี่ยนไปตามความต้องการ และความสนใจของสมาชิก
>> รอบชีวิตของชุมชนนักปฏิบัติไม่มีความชัดเจนว่า เริ่มต้นเมื่อไร สิ้นสุดเมื่อไร ขึ้นกับความพร้อมและโอกาสเหมาะ สำหรับการเรียนรู้


รูปแบบของชุมชนนักปฏิบัติ

ลักษณะรูปแบบในการทำชุมชนนักปฏิบัติ มีด้วยกันหลายรูปแบบ แตกต่างกันไป แล้วแต่ว่าแต่ละชุมชนจะเลือกใช้แบบใดแบบหนึ่ง หรืออาจจะผสมผสานกันก็ได้ โดยมีรูปแบบดังต่อไปนี้

1. แบบกลุ่มเล็ก มี 5 กลุ่ม กลุ่มละ 6-7 คน ซึ่งมีข้อดี คือ สามารถแลกเปลี่ยนประสบการณ์กัน
ได้อย่างทั่วถึง
2. แบบเป็นทางการที่เปิดเผย มีการจัดทำเป็นโครงการ KM ของ สคบศ. ดำเนินการโดย KM Team ขององค์กร เนื่องจากเป็น โครงการนำร่องจัดเป็นครั้งแรก จึงต้องทำแบบเป็นทางการ
3. แบบไม่เป็นทางการ เป็นลักษณะที่ต้องการพบปะ แลกเปลี่ยนประสบการณ์กันเมื่อไรก็ได้ ตามความเหมาะสม และต้องการของสมาชิก เช่น สภากาแฟ หรือพบปะพูดคุยกันในโต๊ะอาหาร เป็นต้น
4. แบบบนลงล่าง (Top Down) เพราะเป็นนโยบายขององค์กร ซึ่งต่อไปในอนาคตเมื่อทุกคนมีความรู้ความเข้าใจ เรื่อง KM ดีแล้ว แต่ละฝ่ายงานจะมีการทำ COP แบบรากหญ้า (Grass Root) ที่เริ่มต้นรวมตัวกันจากสมาชิกภายในฝ่าย
5. แบบคละฝ่าย เนื่องจากหัวข้อเรื่องการทำ COP เป็นหัวข้อใหญ่ มีลักษณะงานที่เกี่ยวข้องกันหลายฝ่าย คือ งานบริการด้านฝึกอบรม จำเป็นต้องแลกเปลี่ยนเรียนรู้กับฝ่ายต่าง ๆ ที่เกี่ยวข้องกับงานฝึกอบรม
6. แบบเน้นการแลกเปลี่ยนความรู้ระหว่างคนกับคน แบบซึ่งหน้า (Face to Face) ไม่ใช่การแลกเปลี่ยนความรู้โดยผ่านสื่อ Intranet หรือ Internet
7. แบบที่มีการแลกเปลี่ยนความรู้ ระหว่างคนในองค์กร และคนนอกองค์กร เนื่องจากมีเจ้าหน้าที่ฝึกอบรมจากสำนักงานที่ดินมาร่วมกิจกรรมด้วย


ตัวอย่างของชุมชนนักปฏิบัติ

ตัวอย่างที่ 1 ชุมชนนักปฏิบัติที่ก่อตั้งได้ง่ายที่สุด ก็คือ สภากาแฟ เป็นการพบปะกันของบุคคลซึ่งมีความสนใจในเรื่องเดียวกัน มีการแลกเปลี่ยนความรู้ ประสบการณ์ ความคิดเห็นซึ่งกันและกัน โดยอาจจะเป็นตอนเช้าก่อนทำงาน หรือเวลาช่วงบ่ายๆ ก่อนเลิกงาน เป็นต้น

ตัวอย่างที่ 2 การประชุม ซึ่งมีการจัดประชุมอย่างเป็นประจำ เช่น ทุกสัปดาห์ หรือ ทุก 2 สัปดาห์ เพื่อให้มีการแลกเปลี่ยนเรียนรู้กันอย่างสม่ำเสมอ จะได้รับรู้ปัญหาต่างๆ ที่เกิดขึ้นกับสมาชิกในชุมชน หรือได้รับความรู้ และประสบการณ์ที่ทันต่อเหตุการณ์ตลอดเวลา

ตัวอย่างที่ 3 ชุมชนนักปฏิบัติจาการเล่าเรื่อง โดยอาจจะจัดเป็นการนัดประชุมเพื่อพบปะกัน โดยเริ่มประเด็นการแลกเปลี่ยนเรียนรู้จากการที่มีคนมาเล่าประสบการณ์ เรื่องราว หรือความรู้ของตนเองที่มีให้กับสมาชิกคนอื่นๆฟัง ซึ่งจะช่วยเพิ่มประสบการณ์ในการรับรู้โดยตรงจากการถ่ายทอดจากบุคคลไปยังบุคคล อีกทั้ง
ยังสามารถร่วมกันอภิปราย ซักถามประเด็นข้อสงสัยต่างๆได้ในทันทีขณะนั้น

ตัวอย่างที่ 4 ชุมชนนักปฏิบัติโดยใช้เทคโนโลยีเว็บบอร์ด บนอินเทอร์เน็ต ซึ่งเว็บบอร์ดที่ตั้งขึ้นมานั้นจะเป็นการอภิปรายเกี่ยวกับประเด็น หรือเรื่องราวเรื่องใดเรื่องหนึ่งที่มีคนให้ความสนใจในเรื่องนั้นๆ เหมือนกัน
ซึ่งเว็บบอร์ดนี้ อาจจะมีผู้เชี่ยวชาญเป็นแกนหลักในการ ดำเนินกิจกรรมของชุมชน ไม่ว่าจะเป็นการ ตั้งกระทู้ หรือการตอบคำถามข้อสงสัย แต่มีข้อเสีย คือ ไม่ได้เป็นการโต้กันทันทีในขณะนั้น แต่จะต้องรอคำตอบ หรือการอภิปรายจากผู้ที่รู้ มาตอบในภายหลังอีกทีหนึ่ง

ตัวอย่างที่ 5 ชุมชนนักปฏิบัติผ่านทางเทคโนโลยีอินเทอร์เน็ต คือการสนทนากันผ่านทางระบบเครือข่ายที่เรียกว่า Chat ซึ่งเป็นการสนทนาในหัวข้อมที่มีสมาชิกสนใจร่วมกัน มาแลกเปลี่ยนความรู้ละประสบการร่วมกันโดยพบปะกันแบบเสมือน คล้ายกับการประชุมแต่ไม่ได้เห็นหน้าตากัน แต่สามารถอภิปราย ซักถาม และตอบคำถามกันได้ทันทีในขณะที่สนทนากัน


ปัจจัยสู่ความสำเร็จของชุมชนนักปฏิบัติ

ชุมชนที่ไม่เป็นทางการ เป็นสิ่งที่เกิดโดยธรรมชาติอยู่แล้วในองค์กร การที่จะให้มีคุณค่าต่อองค์กร จะต้องได้รับการเพาะบ่ม ดูแลด้วยความระมัดระวัง การสนับสนุนมากเกินไป อาจจะทำให้ไม่เป็นที่สนใจจากสมาชิก และการปล่อยปละละเลย ก็อาจจะทำให้แคระแกร็นเหี่ยวเฉา ซึ่งเป็นความท้าทายอย่างมากที่จะทำให้ชุมชนนักปฏิบัติประสบความสำเร็จได้ องค์ประกอบหลักๆ ที่ช่วยสนับสนุนให้ชุมชนนักปฏิบัติประสบความสำเร็จมีดังต่อไปนี้

1. ผู้บริหาร
ผู้นำองค์กรนับว่ามีส่วนสำคัญ ที่จะทำให้ชุมชนนักปฏิบัติประสบความสำเร็จได้ โดยสามารถสนับสนุนได้ด้วยวิธีการต่อไปนี้
- มุ่งเน้นที่ความรู้ซึ่งสำคัญต่อทั้งกิจการขององค์กร และสมาชิกในองค์กร
- สนับสนุนการจัดตั้งชุมชนนักปฏิบัติ สำหรับประเด็นที่เป็นหัวใจขององค์กร ขณะเดียวกันเปิดโอกาสให้ได้พูดคุย ในสิ่งที่สมาชิกต้องการ
- หาผู้ประสานงาน ซึ่งเป็นที่ยอมรับของสมาชิก
- ส่งเสริมและเปิดโอกาสให้สมาชิกได้เข้าร่วมกิจกรรม อาจจะมีการจัดสรรเวลาให้อย่างเปิดเผย ด้วยการบรรจุลงในแผนงาน ซึ่งระบุถึงผลกระทบที่คาดว่าจะเกิดขึ้น
- พยายามควบคุมชุมชนนักปฏิบัติให้สอดคล้องกับเป้าหมาย วัฒนธรรม และค่านิยมหลักขององค์กร

2. สมาชิก
สิ่งที่มีคุณค่ามากของชุมชนนักปฏิบัติ คือ การร่วมกันแก้ปัญหา แต่การอภิปรายปัญหาอย่างเปิดอกในขณะที่ความคิดยังไม่สุกงอมดี หรือการคิดดังๆ ในที่ประชุมเป็นสิ่งที่ไม่ใช่ธรรมชาติของคน ความท้าทายของสมาชิกที่สำคัญ คือ การพูดถึงปัญหาของตนเอง ต่อหน้าผู้คนจำนวนมากที่เราไม่รู้จัก
- สมาชิกในองค์กรต้องเข้าใจตรงกันเกี่ยวกับหลักการ ความสำคัญความเป็นมา เป้าหมายและประโยชน์ในการที่จะจัดให้มีชุมชนนักปฏิบัติขึ้นในองค์กร
- ปฏิบัติต่อชุมชนนักปฏิบัติ เสมือนว่าเป็นทรัพย์สินขององค์กร โดยให้การสนับสนุนทรัพยากร และข้อมูลข่าวสารเท่าที่จะทำได้
- ให้การยอมรับผลงานที่เกิดขึ้น จากชุมชนนักปฏิบัติ และพยายามชักจูงให้ทุกคนในองค์กรมีส่วนร่วมกับชุมชนนักปฏิบัติ ให้ลึกซึ้งยิ่งขึ้นอีก
- มองว่า “องค์กรเป็นที่รวมของชุมชน” ที่เชื่อมต่อกัน ส่งเสริมให้มีจุดยืนที่เหมาะสม และมีส่วนต่อความสำเร็จขององค์กร
- สมาชิกต้องไม่มุ่งแต่ประโยชน์ส่วนตน โดยไม่คำนึงถึงประโยชน์ส่วนรวมของชุมชน
- ต้องมีการพบปะ หรือติดต่อกันของสมาชิกอย่างสม่ำเสมอ

3. วิธีการ
- การสร้างความไว้เนื้อเชื่อใจในกลุ่มขนาดเล็ก 2-3 คน อาจเป็นจุดเริ่มต้นสำหรับการสร้างชุมชนนักปฏิบัติได้
- ดำเนินการอย่างสอดคล้องกับเป้าหมาย วัฒนธรรม และค่านิยมหลักขององค์กร ไม่พยายามไปหักล้าง หรือคัดค้านวัฒนธรรมที่มีอยู่เต็ม
- สร้างเวทีเสวนาโดยให้มีสมาชิกอาวุโสซึ่งเป็นที่ยอมรับ และหาผู้ที่มีประสบการณ์ มีกึ๋นไปร่วมอยู่ในเวที มีผู้ประสานงานช่วยกระตุ้นให้อธิบายหลักคิดของข้อเสนอ เพื่อให้สมาชิกอภิปราย
ไปที่สมมติฐาน ที่ใช้และเลือก
- เชิญผู้นำทางความคิด ซึ่งเป็นที่ยอมรับเข้ามาร่วมแต่เริ่มแรก เพื่อสร้างพลังให้แก่ชุมชน
- จัดให้มีเวทีพบปะกัน เพื่อแลกเปลี่ยนความคิด เพื่อสร้างความตื่นตัว ความไว้เนื้อเชื่อใจ
และความรู้สึกร่วมกัน
- ส่งเสริมการติดต่อสื่อสารระหว่างสมาชิกของชุมชนอย่างสม่ำเสมอ
- จัดตั้งกลุ่มแกนที่แข็งขัน ไม่จำเป็นว่าสมาชิกทุกคนจะมีส่วนร่วมอย่างเท่าเทียมกัน
- สนับสนุนกลุ่มแกนหลัก ด้วยการให้เป็นที่รับรู้ของชุมชน และเป็นผู้นำในการทำกิจกรรม
- ส่งเสริมให้มีการเรียนรู้จากภายในชุมชนเอง และจากชุมชนอื่นๆ ด้วย ซึ่งการรวมกันของชุมชน จะยิ่งเป็นการช่วยเพิ่มเติมความรู้ที่มีอยู่ของสมาชิกขององค์กร ให้มีกว้างขวางรอบด้านมากขึ้นไม่ใช่รู้แต่เฉพาะงานของตนเองที่ทำอยู่
- ส่งเสริมการเรียนรู้ทุกรูปแบบ และเชื่อมต่อทั่วทั้งองค์กร
- ใช้เทคโนโลยีที่เหมาะสม และไม่ยากจนเกินไปเข้ามาช่วย เพื่อเป็นการแบ่งเบาภาระงาน
ที่ไม่จำเป็น และช่วยส่งเสริมการดำเนินไปของชุมชน

4. เทคโนโลยี
- เลือกเทคโนโลยีที่เหมาะสมกับองค์กร โดยอาจจะเริ่มจากเทคโนโลยีที่ง่าย ๆ ก่อน เช่น การใช้Software computer ที่ใช้ง่าย และคุ้นเคย
- ใช้เทคโนโลยีในระดับที่สูงขึ้น เพื่อการพัฒนาการจัดการความรู้ที่มีประสิทธิภาพ และเป็นการบันทึกการถ่ายทอดความรู้เฉพาะบุคคล ให้เป็นความรู้ที่มีหลักฐานชัดเจน คนอื่นๆ สามารถนำไปศึกษา หรือยึดถือเอาเป็นแบบอย่างในการปฏิบัติงานได้
- ใช้เทคโนโลยีอินเทอร์เน็ต และอินทราเน็ต เพื่อให้เกิดการแลกเปลี่ยนเรียนรู้กันได้ตลอดเวลา ไม่จำกัดพื้นที่ ไม่จำกัดเวลา


ประโยชน์ของชุมชนนักปฏิบัติ

สำหรับองค์กร
- ช่วยขับเคลื่อนให้องค์กรบรรลุเป้าหมายเชิงกลยุทธ์
- ทำให้องค์กรสามารถแก้ไขปัญหาต่าง ๆ ได้รวดเร็ว และทันเหตุการณ์
- เป็นหนทางในการเผยแพร่แนวทางปฏิบัติที่ดีเยี่ยม (Best Practices)
- เพิ่มโอกาสในการสร้างนวัตกรรมใหม่ ๆ ในองค์กร
- พัฒนาองค์ความรู้ที่มีพลวัตขององค์กร
- ทำให้องค์กรเป็นองค์กรแห่งการเรียนรู้
- เป็นหนทางที่ทำให้องค์กรประสบความสำเร็จในการจัดการความรู้

สำหรับพนักงาน- ได้รับความช่วยเหลือจากเพื่อนสมาชิกในชุมชน
- ได้ร่วมมือกับเพื่อนสมาชิกในชุมชน ในการพัฒนาความรู้ใหม่ๆ ที่สามารถนำไปประยุกต์ใช้ในการทำงานได้
- ได้รู้จักเพื่อนใหม่ๆ ที่มีหลายสิ่งหลายอย่างคล้ายกัน รวมทั้งอาจกำลังเผชิญปัญหาที่คล้ายคลึงกัน เมื่อได้แลกเปลี่ยนประสบการณ์ จะทำให้ค้นพบวิธีแก้ปัญหา
- ได้เรียนรู้และพัฒนาตนเองอย่างไม่มีที่สิ้นสุด


ข้อควรระวังของชุมชนนักปฏิบัติ

- การทำ COP ครั้งแรกมีความสำคัญต่อความสำเร็จของการทำ KM ดังนั้นต้องแสดงให้เห็นถึงคุณค่าของ COP ซึ่งสามารถก่อให้เกิดประโยชน์ต่อการพัฒนางานหรือวิธีการทำงาน สร้างมากพัฒนาวิธีการที่มีดีกว่าวิธีการทำงานแบบเดิม

- การทำ COP เป็นกิจกรรมรวมกลุ่มเพื่อแลกเปลี่ยนแบ่งปันประสบการณ์การทำงานซึ่งกันและกัน เป็นการสื่อสารสองทาง เป็นการบอกเล่าแบ่งปันเรื่องราวความสำเร็จ ประสบการณ์ วิธีการทำงานของผู้ปฏิบัติงานซึ่งกันและกัน ดังนั้น ผู้ดำเนินกิจกรรม COP หรือ คุณอำนวย (Knowledge Facilitator) ต้องมีบทบาทเป็นผู้เอื้ออำนวยให้เกิดการเรียนรู้ ช่วยเหลือด้านเทคนิคเกี่ยวกับความรู้ เรื่องที่ตั้ง ประสานงานกับส่วนต่าง ๆ ประเมินผล และสื่อสารความสำเร็จของ COP โดยมีเลขานุการ หรือ คุณลิขิต (Note Taker, Community historian, Knowledge banker, Secretary) ช่วยบันทึกสรุปย่อเรื่องเล่าทุกเรื่องที่ คุณกิจ (Knowledge Practitioners) หรือสมาชิก (Member) ทุกคนในกลุ่มเล่า และจัดทำเป็นฐานข้อมูลความรู้ที่ได้จากลุ่ม อย่างไรก็ตามการจัดการความรู้ในองค์กรจะเดินไม่ได้หากปราศจากการสนับสนุนทรัพยากร ให้ทิศทาง แนวคิด สร้างแรงจูงใจ สร้างการยอมรับ สื่อสารจากคุณเอื้อ (Sponsor หรือ Leader)

- การทำ COP ควรเป็น COP ที่ยั่งยืนและให้ผลถาวร ควรทำให้เป็นวิถีชีวิตการทำงานตามปกติอย่างหนึ่ง หรือกลายเป็นวัฒนธรรมการทำงานในองค์กรที่ทุกคนได้ถือปฏิบัติ เพื่อให้องค์กรนั้นเข้าถึงแก่นแท้หรือจิตวิญญาณที่แท้จริงของการจัดการความรู้


References

อลิสรา คูประสิทธิ์. (2550). ความรู้เกี่ยวกับ COP. สถาบันวิจัยวิทยาศาสตร์และเทคโนโลยีแห่งประเทศไทย.

อนุชาติ พวงสำลี, รศ. ดร. ; และ รวิน ระวิวงศ์, ผศ. ดร. (2550). คู่มือการพัฒนาและขับเคลื่อนชุมชนแนวปฏิบัติ (COP). สำนักพัฒนาคุณภาพ.

สุรินทร์ สรงสระแก้ว. (2550). เครื่องมือจัดการความรู้ (KM Tools) เพื่อเพิ่มประสิทธิภาพการปฏิบัติงาน. วิทยาลัยการปกครอง กรมการปกครอง กระทรวงมหาดไทย.

สายพิณ เชิงเชาว์. (2551). เทคนิคการ COP อย่างมีผลสัมฤทธิ์. กรมประชาสัมพันธ์.

บูรชัย ศิริมหาสาคร. (2550). การทำ COP เพื่อจัดการความรู้ในองค์กร. สถาบันพัฒนาครู คณาจารย์ และบุคลากรทางการศึกษา.






 

Create Date : 26 สิงหาคม 2551    
Last Update : 25 กุมภาพันธ์ 2553 9:53:24 น.
Counter : 6353 Pageviews.  

ผลกระทบของความปลอดภัยของข้อมูลข่าวสารในสถาบันการศึกษาบนความปลอดภัยสาธารณะ


The Impact of Information Security
in Academic Institutions on Public Safety and Security


ผลกระทบของความปลอดภัยของข้อมูลข่าวสารในสถาบันการศึกษาบนความปลอดภัยสาธารณะ


กนกวรรณ วีระประสิทธิ์
(ปัจจุบันเปลี่ยนชื่อเป็น ธัญญดา วีระประสิทธิ์)

รหัสนักศึกษา 5107173 [ITM0056]
14 สิงหาคม 2551


อุบัติการณ์การละเมิดความปลอดภัยของข้อมูลข่าวสารมีแนวโน้มเพิ่มขึ้นอย่างรวดเร็ว เนื่องจากมีปัจจัยสนับสนุนหลายด้าน ได้แก่ เทคโนโลยี วัฒนธรรม การเมือง และกฎหมาย รวมไปถึงการเชื่อมโยงของระบบเครือข่ายคอมพิวเตอร์ โดยเฉพาะข้อมูลที่เกี่ยวพันกับความมั่นคงและโครงสร้างพื้นฐานของชาติ กิจกรรมที่ผิดกฎหมายทางอินเทอร์เน็ตเป็นผลมาจากวิวัฒนาการของเกม ทำให้มี "มือใหม่หัดแฮก" มากมาย อินเทอร์เน็ตจึงเป็นเวทีตลาดมืดของนักเจาะระบบคอมพิวเตอร์ อาชญากรด้านเทคโนโลยี และพวกผู้ก่อการร้าย (McAfee, July 2005) นอกจากนี้ ยังมีการละเมิดความปลอดภัยของข้อมูลข่าวสารแบบต่างๆ ได้แก่ การโจมตีแบบบอท (หรือเครือข่ายคอมพิวเตอร์ "ซอมบี้") ซอฟท์แวร์สอดแนม การหลอกลวงทางอินเทอร์เน็ต และเว็บไซด์ตรวจสอบเครดิตลวง ที่จ้องขายข้อมูลส่วนบุคคลและรหัสบัตรเครดิตที่ล้วงมาได้ (Time Magazine, August 2005; IEEE, December 2005)

เป้าหมายที่เป็นส่วนบุคคลและหน่วยงานของรัฐมีการป้องกันที่ดี ทำให้ผู้กระทำผิดเปลี่ยนเป้าหมายเป็นเป้าหมายที่โจมตีได้ง่ายกว่า ซึ่งได้แก่ สถาบันการศึกษา ผู้ใช้งานตามบ้าน พนักงานที่ทำงานแบบไม่อยู่กับที่ (Mobile Workforce) สถาบันการศึกษาเป็นเป้าหมายที่มีลักษณะที่น่าดึงดูดเนื่องจากมีลักษณะเฉพาะ คือ มีวัฒนธรรมแบบเปิด มีข้อมูลที่เป็นความลับ มีผู้ใช้และวิธีการเข้าถึงที่หลากหลาย และมีกิจกรรมที่เสี่ยงสูง

ลักษณะเฉพาะที่ทำให้สถานบันการศึกษาเป็นเป้าหมายของผู้กระทำผิด ได้แก่

1. วัฒนธรรมของการศึกษาและความปลอดภัย วัฒนธรรมของการศึกษาจะต้องถูกสร้างบนการเปิดกว้างของข้อมูลข่าวสาร มีการแสดงความคิดเห็น การเรียนรู้ การแบ่งปันและการตรวจสอบข้อมูลข่าวสาร ซึ่งทำให้เป็นช่องทางหนึ่งในการถูกโจมตีข้อมูลข่าวสาร

2.ข้อมูลที่เป็นความลับ สถาบันการศึกษาเป็นที่เก็บข้อมูลส่วนตัวเกี่ยวกับคณาจารย์ เจ้าหน้าที่ นักเรียน ศิษย์เก่า ข้อมูลงานวิจัย เช่น หมายเลขประกันสังคม หมายเลขใบขับขี่ ข้อมูลทางการเงินและทางการแพทย์ และผลการเรียน นอกจากนั้น สถาบันการศึกษาเป็นส่วนแรกที่มีการวิจัยและพัฒนานวัตกรรมเทคโนโลยีของประเทศ ซึ่งข้อมูลส่วนนี้และทรัพย์สินทางปัญญาจะถูกควบคุมจากนโยบายการคุ้มครองความปลอดภัยอย่างเคร่งครัด แต่อย่างไรก็ตาม ก็ยังมีช่องโหว่ที่ทำให้เกิดอันตรายต่อข้อมูลส่วนบุคคลและทรัพย์สินทางปัญญา

3.ผู้ใช้และวิธีการเข้าถึงที่หลากหลาย เครือข่ายการศึกษาถูกใช้เป็นประจำจากผู้ใช้ที่หลากหลายและมีภาระหน้าที่ที่แตกต่างกัน ผู้ใช้ก็คือ นักเรียน คณาจารย์ เจ้าหน้าที่ พนักงานชั่วคราว และผู้เยี่ยมชม ซึ่งสามารถเข้าสู่ระบบของสถาบันโดยเข้ามาในสถานศึกษา หรือเข้าถึงระบบโดยการล็อกอินจากที่สถานที่ต่างๆ เช่น ที่พัก, ห้องเรียน, ศูนย์คอมพิวเตอร์, มหาวิทยาลัยอื่น ผู้ดูแลระบบจะต้องเผชิญกับสิ่งแวดล้อมของเครือข่ายที่เปลี่ยนแปลงไป นั่นก็คือ การเปลี่ยนแปลงจำนวนนักเรียนในสถาบันการศึกษา ซึ่งมีอัตราเฉลี่ยการลาออกของนักเรียนชั้นปีที่ 1 และ 2 ถึง 50% (Washington Post.com, Sept 4, 2003)

4.กิจกรรมที่มีความเสี่ยงสูงบนเครือข่ายการศึกษา สถาบันการศึกษามีกิจกรรมที่มีความเสี่ยงสูงบนเครือข่าย ได้แก่ ระบบที่อนุญาติให้ผู้ใช้สามารถแลกเปลี่ยนไฟล์ระหว่างกันหรือใช้ทรัพยากรร่วมกันผ่านระบบเครือข่าย (peer-to-peer) โปรแกรมที่ใช้ในการสื่อสารและส่งข้อความในระหว่างเพื่อน หรือกลุ่มคนที่อยู่ในอินเทอร์เน็ต (instant messaging) และการเรียนผ่านสื่ออิเล็กทรอนิกส์ (e-learning) ถึงแม้ว่าจะมีนวัตกรรมการป้องกันต่างๆ มากมาย แต่ก็ยังมีช่องโหว่ที่ทำให้เกิดอันตรายต่อข้อมูลที่เป็นความลับ


การเผชิญกับการคุกคามความปลอดภัยของข้อมูลข่าวสารของสถาบันการศึกษา

การคุกคามความปลอดภัยของข้อมูลข่าวสารอาจเกิดขึ้นจากภายใน ได้แก่ นักเรียน เจ้าหน้าที่ คณาจารย์ หรือภายนอก ได้แก่ ผู้เจาะระบบเครือข่ายคอมพิวเตอร์ ผู้ก่อการร้าย องค์กรอาชญากรรม ที่มีความเกี่ยวข้องกับเครือข่ายสถาบันการศึกษา

การคุกคามความปลอดภัยของข้อมูลข่าวสารของสถาบันการศึกษา ได้แก่

1.การลักลอบโจมตี สถาบันการศึกษาเป็นเป้าหมายที่ดีเยี่ยมและเป็นหนทางในการเข้าสู่ข้อมูลที่เป็นความลับเนื่องจากมีการแบ่งปันข้อมูลข่าวสาร เมื่อไม่นานมานี้ ในสถาบันวิจัยหลายแห่ง หน่วยงานทางทหาร และนาซ่า ถูกวัยรุ่นชาวสวีเดนลักลอบเข้าระบบ (CNN.com, May 10, 2005) เป็นการชี้ให้เห็นว่ายังมีช่องโหว่ของการป้องกันความปลอดภัยข้อมูลข่าวสารของสถาบันการศึกษาและหน่วยงานที่สำคัญ ซึ่งทำให้ผู้ก่อการร้าย องค์กรอาชญากรรม และกลุ่มจารกรรม สามารถหาผลประโยชน์จากช่องโหว่นี้เพื่อโจมตีข้อมูลข่าวสารที่สำคัญ

2.การคุกคามของบอทเน็ต เนื่องจากธรรมชาติของระบบที่เปิดกว้างของเครือข่ายสถาบันการศึกษาทำให้เป็นจุดอ่อนที่ทำให้เกิดการระบาดของบอท MS-ISAC ได้ยกตัวอย่าง 3 ตัวอย่างในบทความ “บอทเน็ท: อะไรที่คุณควรรู้” (Nov 2004) ของการระบาดของบอท โดยทุกตัวอย่างนั้นเกิดในสถาบันการศึกษา หนึ่งในตัวอย่างนั้นคือ มีการระบาดของบอทไปสู่เครื่องคอมพิวเตอร์ที่เชื่อมต่อกันถึง 7,200 เครื่อง โดยนักเรียนที่เป็นเจ้าของเครื่องที่เป็นตัวควบคุมบอทเน็ตไม่รู้ว่าคอมพิวเตอร์ของตนเป็นตัวแพร่บอท

3.การโจมตีแบบไม่รู้ตัว การโจมตีแบบนี้จะไม่เป็นอันตราย แต่การระบาดของบอทอาจจะทำให้การทำงานของเครื่องคอมพิวเตอร์ช้าลง ผู้ดูแลระบบเครือข่ายของสถาบันการศึกษาอาจจะต้องยุ่งยากในการจัดการกับเครือข่ายของคอมพิวเตอร์กว่า 100,000 เครื่องที่ประสบปัญหาเกี่ยวกับซอฟท์แวร์ที่ฝังมาในเครื่องคอมพิวเตอร์โดยไม่รู้ตัว บ่อยครั้งที่ตรวจสอบแล้วพบว่าเป็นเหตุการณ์บังเอิญเท่านั้น


ผลกระทบของความปลอดภัยสาธารณะ นโยบาย และการปฏิบัติ

เครือข่ายคอมพิวเตอร์มีการเชื่อมโยงกันมากขึ้น และมีความซับซ้อนมากขึ้น ทำให้ส่งผลกระทบต่อความปลอดภัยข้อมูลข่าวสารของสถาบันการศึกษาเพิ่มขึ้นด้วย ลิ่งที่เป็นอันตรายต่อข้อมูลส่วนบุคคลและทรัพย์สินทางปัญญา ความเสียหายทางการเงิน และการคุกคามโครงสร้างพื้นฐาน ส่งผลกระทบต่อสิทธิส่วนบุคคลและความปลอดภัยสาธารณะ

สิ่งที่เป็นอันตรายต่อข้อมูลส่วนบุคคล รวมถึงการขโมยข้อมูลที่เป็นข้อมูลของนักเรียน ผู้สมัครเข้าเรียน ผู้สมัครเข้าทำงาน คณาจารย์ และเจ้าหน้าที่ มีอัตราที่เพิ่มมากขึ้น ซึ่งเป็นตัวชี้ให้เห็นช่องโหว่ของระบบ ยกตัวอย่างเช่น ข้อมูลส่วนตัวของนักเรียนปัจจุบันและศิษย์เก่า ผู้สมัครและลูกจ้างกว่า 178,000 ข้อมูลของสำนักงานกองทุนช่วยเหลือทางด้านการเงินของมหาวิทยาลัย San Diego State ถูกเจาะเข้าเครื่องแม่ข่ายของระบบ (San Francisco Chronicle, April 2004) การถูกโจมตีของเครื่องแม่ข่าย 2 ตัวของมหาวิทยาลัย Colorado’s health center ทำให้เป็นอันตรายต่อหมายเลขประกันสังคม ชื่อ วันเกิด และที่อยู่กว่า 43,000 ข้อมูล (CNET, July 2005) มีการเจาะระบบการบันทึกข้อมูลของหมายเลขประกันสังคมและวันเกิดของประชาชนกว่า 197,000 คน จากมหาวิทยาลัย Texas (Statesman.com, April 2006)

ความเสียหายทางการเงิน ความเสียหายนี้จะเกิดขึ้นช้าๆ แต่ทำให้เกิดความเสียหายต่อความปลอดภัยสาธารณะและระบบรักษาความปลอดภัยอย่างร้ายแรง อันมีผลมาจากสถาบันมีการสูญเสียทางด้านการเงิน. หากการสูญเสียมีการดำเนินไปอย่างต่อเนื่อง รัฐบาลจำเป็นต้องเข้ามาแทรกแซง การสำรวจอย่างไม่เป็นทางการจาก 19 งานวิจัยของมหาวิทยาลัยต่างๆ (The Chronicle of Higher Education, March 19, 2004) แสดงให้เห็นการใช้เงินโดยเฉลี่ยครั้งละ $299,579 ในระยะเวลา 5 สัปดาห์ เพื่อแก้ความเสียหายที่เกิดจากหนอนอินเทอร์เน็ต (Blaster worm) ผลจากมหาวิทยาลัยที่ถูกสำรวจ พบว่า มหาลัย Stanford ได้จ่ายเงินมากกว่า $806,000 เพื่อแก้ไขเครื่องคอมพิวเตอร์ 6,000 เครื่อง และเสียเวลาไปกับการซ่อมเครื่อง 18,420 ชั่วโมง

การโจมตีบนโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกา อาจทำให้เกิดผลกระทบที่น่ากลัวที่สุดในสถาบันการศึกษา ผู้ประสงค์ร้ายสามารถหาผลประโยชน์จากช่องโหว่ของการป้องกันความปลอดภัยนี้และเป็นเหตุให้เกิดความเสียหายด้วยการโจมตีด้วยไวรัสที่มีจุดประสงค์เพื่อทำให้ระบบไม่สามารถให้บริการได้ (DDOS) บนระบบโครงสร้างพื้นฐานที่จำเป็นของสหรัฐอเมริกา โดยคอมพิวเตอร์ของมหาวิทยาลัยทำการแพร่ซอฟท์แวร์ที่ฝังมาในเครื่องคอมพิวเตอร์โดยไม่รู้ตัว การโจมตีโดยไวรัสที่มีจุดประสงค์เพื่อทำให้ระบบไม่สามารถให้บริการได้บนโมโครซอฟ (February 2004) ส่งผลกับความรวดเร็ว และประสิทธิผลของการทำงาน การกระทำที่เป็นอันตรายต่อระบบ 911 (November 2003) ส่งผลกับความหายนะบนความปลอดภัยสาธารณะ


ข้อมูลการโจมตีข้อมูลข่าวสารทั่วโลก

ผลของการวิเคราะห์เครือข่ายระดับสูง พบว่ามีการโจมตีด้านระบบข้อมูลข่าวสารของสถาบันต่างๆ โดยมีการโจมตีข้อมูลข่าวสารภายในประเทศ จาก 173 ประเทศที่เกี่ยวข้อง 3 อันดับแรก ได้แก่ สหรัฐอเมริกา เกาหลี และจีน และการโจมตีข้อมูลข่าวสารระหว่างประเทศ จาก 87 ประเทศที่เกี่ยวข้อง 3 อันดับแรก ได้แก่ สหรัฐอเมริกา เดนมาร์ก และมาเลเซีย





ภาพที่ 1 สิบประเทศแรกที่มีการโจมตีข้อมูลข่าวสาร


รายงานสรุปผลการตอบสนองเหตุละเมิดความปลอดภัยคอมพิวเตอร์ของประเทศไทย

ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย ได้ทำรายงานสรุปผลการตอบสนองเหตุละเมิดความปลอดภัยคอมพิวเตอร์ โดยมีจำนวนเหตุละเมิดความปลอดภัยทางคอมพิวเตอร์ตั้งแต่ปี 2545 (ค.ศ.2001) ถึงปี 2550 (ค.ศ.2007) ดังแผนภูมิ





แผนภูมิที่ 1 จำนวนเหตุละเมิดความปลอดภัยคอมพิวเตอร์ตั้งแต่ปี 2545 (ค.ศ.2001) ถึงปี 2550 (ค.ศ.2007)


จากแผนภูมิ พบว่า จำนวนเหตุละเมิดความปลอดภัยทางคอมพิวเตอร์มีแนวโน้มลดลง ซึ่งอาจเกิดจากการที่ผู้ใช้โดยเฉพาะอย่างยิ่งผู้ใช้ทั่วไปที่ไม่ใช่ผู้ดูแลระบบคอมพิวเตอร์ มีความตื่นตัวเกี่ยวกับภัยคุกคามทางระบบคอมพิวเตอร์มากขึ้น ทำให้มีการพัฒนาความพร้อมเพื่อรับมือกับเหตุละเมิดนั้น

นอกจากนี้ ยังมีการจำแนกเหตุละเมิดความปลอดภัยคอมพิวเตอร์ตั้งแต่ปี 2545 (ค.ศ.2001) ถึงปี 2550 (ค.ศ.2007) ตามประเภท ดังแผนภูมิ





แผนภูมิที่ 2 จำนวนเหตุละเมิดความปลอดภัยคอมพิวเตอร์ตั้งแต่ปี 2545 (ค.ศ.2001) ถึงปี 2550 (ค.ศ.2007)จำแนกตามประเภท


จากแผนภูมิ พบว่า ข้อมูลปี 2550 ประเภทเหตุละเมิดที่มีจำนวนมากที่สุดคือ เหตุละเมิดรูปแบบฟิชชิ่ง กล่าวได้ว่าภัยคุกคามระบบคอมพิวเตอร์ได้เปลี่ยนมาเป็นการโจมตีที่เป้าหมายเกี่ยวข้องกับด้านการทำธุรกรรมและการเงินส่วนบุคคลมากขึ้น โดยเฉพาะการทำฟิชชิ่ง ซึ่งก็คือ การโจมตีในรูปแบบของการปลอมแปลงอีเมล์และทำการสร้างเว็บไซต์ปลอม เพื่อทำการหลอกลงให้เหยื่อหรือผู้รับอีเมล์เปิดเผยข้อมูลทางด้านการเงินหรือข้อมูลส่วนบุคคลนั่นเอง


ตัวอย่างอาชญากรรมคอมพิวเตอร์ที่ผ่านมา

ค.ศ.1980
Hacking เครือข่ายคอมพิวเตอร์ของ Digital Equipment Corporation ที่บริษัท U.S.Leasing ด้วยการหลอกถามข้อมูล Login ทำ Logic Bomb สั่งให้เครื่องพิมพ์พิมพ์ข้อความทั้งวันทั้งคืน แล้วปล่อย Virus เข้าไปทำลายฐานข้อมูลของบริษัททั้งหมด

ค.ศ.1983 ภาพยนต์ 2 เรื่องของสหรัฐอเมริกา จำลองเหตุการณ์ที่เกิดขึ้นจากเรื่องจริง เรื่องแรก คือ "141 Hackers" เป็นเรื่องราวของเด็กหนุ่มที่ถูกจับในปี ค.ศ.1983 ฐานลักลอบใช้เครื่องคอมพิวเตอร์ และโมเด็มโทรศัพท์ เจาะเข้าไปในระบบคอมพิวเตอร์ของหน่วยงานต่างๆ ประมาณ 80 กว่าแห่ง รวมทั้งสถาบันโรคมะเร็ง Sloan Kettering Memorial Cancer Institute, ธนาคาร Security Pacific National Bank และสถาบันวิจัย Los Alamos National Laboratory) ในจำนวนนี้มีแฟ้มข้อมูลขององค์การสหประชาชาติ โดยข้อมูลของสถาบันโรคมะเร็งถูกทำลายบางส่วน การกระทำดังกล่าวถูกตัดสินว่าเป็นความผิดฐานใช้โทรศัพท์รบกวนผู้อื่น เรื่องที่สองชื่อ War Game สร้างขึ้นในปีเดียวกัน (ค.ศ.1983) ซึ่งในภาพยนต์ดังกล่าวได้จำลองเหตุการณ์ที่เกิดขึ้นจริง เป็นเรื่องของเด็กหนุ่มผู้มีอัจฉริยะทางคอมพิวเตอร์ สามารถเจาะเข้าไปในระบบคอมพิวเตอร์ของกองกำลังป้องกันภัยทางอากาศในพื้นที่ภาคเหนือของสหรัฐ North Air Defense (NORAD) Command in Wyoming ที่ตั้งอยู่ในมลรัฐไวโอมิง และเกือบทำให้เกิดสงครามปรมาณูโดยอุบัติเหตุ

ผลกระทบของภาพยนตร์ที่ทำจากเรื่องจริงทั้งสองเรื่องนี้ ได้ถูกนำเข้าสู่ที่ประชุมสภา Congress ของสหรัฐหลายครั้งและในเดือนกันยายน ค.ศ.1983 และได้มีการนำตัวนาย Neal Patrick หนึ่งในผู้กระทำความผิดในแก๊ง 141 Hackers มาให้ปากคำในเรื่องการลักลอบใช้คอมพิวเตอร์โดยปราศจากอำนาจ และก่อนให้ปากคำได้มีการนำภาพยนต์เรื่อง War Game มาฉายให้กรรมการผู้ไต่สวนชมเพื่อเป็นหลักฐานแสดงให้เห็นว่าผู้ต้องหากระทำความผิดได้จริงอย่างไร

ค.ศ.1988นายมอริส นักศึกษา ม.คอร์แนล สร้าง Worm และปล่อยไว้ที่ระบบปฏิบัติการ Unix ของ MIT และได้ระบาดไปสู่ระบบเครือข่ายอื่นๆ ที่เชื่อมต่อด้วยกันอย่างรวดเร็ว ทำระบบเครือข่ายล่มตามๆ กัน

ค.ศ.1994
นายมิทนิค นักเจาะข้อมูลที่ชอบทดลองและท้าทายความสามารถของตน ได้เจาะระบบเครือข่ายคอมพิวเตอร์ของ San Diego Supercomputer Center โดยผ่านระบบโทรศัพท์ และต่อมาเจาะระบบเครือข่ายคอมพิวเตอร์ของ The Well และ NetCom ซึ่งจากการเขียนโปรแกรมติดตามพฤติกรรมการก่ออาชญากรรม และการใช้อุปกรณ์ตามจับแบบเซลลูล่าร์ของ F.B.I. ทำให้สามารถจับตัวนายมิทนิคมาดำเนินคดีได้ภายในไม่ถึงสองเดือน

ค.ศ.1996
ชาวสวีเดนเจาะเข้า Web Site ของ CIA (Central Intelligence Agency ของสหรัฐฯ) และทิ้งข้อความว่า “Central Stupidity Agency”

ค.ศ.1997แฮกเกอร์ได้เจาะเข้าไปในระบบรักษาความปลอดภัยของ Yahoo และได้แจ้งว่าใครก็ตามที่เข้ามาใช้บริการของ Yahoo ในเดือนธันวาคมจะต้องติดไวรัสที่มีชื่อว่า "Logic bomb/Worm" โดยที่บริการของ Yahoo จะมีผู้ใช้ประมาณ 26 ล้านคนต่อเดือน และไวรัสดังกล่าวได้รับการกำหนดให้ทำลายระบบคอมพิวเตอร์นับล้านทั่วโลก

ค.ศ.1998
Hacker ในประเทศสวีเดนและแคนาดา เจาะเข้าระบบคอมพิวเตอร์ของ ม.สแตนฟอร์ด และขโมยข้อมูลรหัสผ่านไปกว่า 5,000 รหัส


ตัวอย่างอาชญากรรมในประเทศไทย

กรณี Sanook.com
มีการแอบอ้างชื่อ ส่งข้อมูลไปแจ้งขอแก้ไข IP address ที่ InterNic ซึ่งทาง InterNic นั้นใช้เครื่องคอมพิวเตอร์ทำงานรับข้อมูลและแก้ไขแบบอัตโนมัติแทนคนทั้งหมด ลักษณะ Robot โดยได้แก้เป็น IP หมายเลขอื่นๆ ที่ไม่มีตัวตนจริง หลังจากนั้น InterNic จะกระจายข้อมูลไปยัง Root ต่างๆ ให้เปลี่ยนแปลง ดังนั้น เมื่อคนทั้งโลก จะเข้าเว็บของ Sanook.com ก็จะชี้ไปยัง IP ปลอมดังกล่าว ทำให้ไม่สามารถเข้าเว็บจริงได้ ทั้งๆที่ เว็บของ Sanook ก็ยังเปิดใช้บริการอยู่ตามปกติ กรณีนี้ ได้สืบทราบว่า ผู้ทำคือใคร ใช้ account ของ ISP รายใด ใช้หมายเลขโทร.ใด แต่ไม่อาจดำเนินคดีได้ ในช่วงเวลาดังกล่าวนั้น มีเว็บไซต์ชั้นนำหลายราย ก็ถูกกระทำในลักษณะนี้ เช่น Thaimail.com ฯลฯ

ปัญหาคือ ข้อหาฐานความผิด, มูลค่าความเสียหาย, ผู้เป็นเจ้าของ account ที่เข้าไปแก้ไขข้อมูลนั้น จะถือว่าเป็นผู้กระทำผิดได้หรือไม่, การแสวงหาหลักฐาน

กรณี Thailand.com
เป็นกรณีของผู้ใช้ชื่อว่า ซอนย่า รักไทย ขั้นแรก ส่งข้อมูลไปที่ InterNic ขอแก้ไข หมายเลขโทรศัพท์และที่ติดต่อ เพื่อไม่ให้ติดต่อกลับได้ แต่ยังใช้ชื่อเจ้าของเดิม ขั้นต่อมา ได้แจ้งให้เปลี่ยนชื่อเจ้าของเป็น ซอนย่า รักไทย และที่อยู่ใหม่ โดยอ้างว่าได้ซื้อโดเมนนั้นมาจากเจ้าของเดิม แล้วตั้งเว็บใหม่บนเครื่องใหม่ โดยใช้โดเมนว่า Thailand.com ต่อมาเมื่อเจ้าของเดิมทักทวง ก็อ้างว่าได้ซื้อมาและพร้อมจะขายคืนให้ในราคาเดิมคือ 5 ล้านบาท และได้ส่งเอกสารการซื้อขาย บัตรประชาชนปลอมของเจ้าของเดิม (บัตรเป็นภาษาอังกฤษ) และหนังสือยืนยันรับรองมีตราประทับของหน่วยราชการ (ไม่มีตัวตน) ไปให้ InterNic จนในที่สุดเจ้าของเดิมต้องแสดงหลักฐานต่างๆยืนยันพร้อมคำรับรองของบริษัทผู้รับฝากเว็บในสหรัฐฯไปให้ InterNic จึงได้โดเมนนั้นกลับคืนมา เจ้าของเดิมไม่อาจใช้เว็บนั้นได้ประมาณ 1 เดือนเศษ

ปัญหาคือ ข้อหาฐานความผิด, มูลค่าความเสียหาย, ใครเป็นผู้เสียหาย เพราะไม่อาจหาหลักฐานแสดงความเป็นเจ้าของโดเมนที่ถูกต้องได้ (ไม่มีเอกสารสิทธิ), การแสวงหาหลักฐานเนื่องจาก ผู้ดูแลเครื่อง Server ใหม่ไม่ยอมให้หลักฐานการขอเช่าเนื้อที่ ทั้งชื่อที่อยู่และด้านการเงิน (แนวทางการช่วยเหลือ ควรให้ THNIC เป็นผู้ประสานกับ InterNic ในการรับรอง)

ปัญหากรณี ISP แห่งหนึ่ง ถูกพนักงานเดิมที่ไล่ออกไป แก้ไขเว็บ
ISP แห่งหนึ่งในประเทศไทย เมื่อได้ไล่พนักงานกลุ่มหนึ่งออกไปแล้ว ปรากฏว่าเว็บไซต์ของ ISP รายนั้น ได้ถูกเพิ่มเติมข้อมูลกลายเป็น เว็บลามกอนาจาร และได้ใช้ชื่อ E-Mail ของผู้บริหาร ส่งไปด่าทอผู้อื่น

ปัญหากรณี แอบใช้ Account InterNet ของผู้อื่น
การแอบลักลอบใช้ Account Internet ของผู้อื่น ทำให้ผู้นั้นต้องจ่ายค่าชั่วโมงมากขึ้น หรือเสียเวลาชั่วโมงการใช้งาน (คล้ายกับการจูนโทรศัพท์มือถือของผู้อื่น) จากการสืบสวนบางรายทราบว่า ใครเป็นผู้ใช้ บางรายทราบเพียงหมายเลขโทรศัพท์ที่ใช้ในการติดต่อ (จาก Caller ID) และบางรายใช้หมายเลขโทรศัพท์เดียวกัน กับ Account หลายๆราย
ปัญหา คือ ผู้กระทำผิดรู้ Account และ รหัสลับได้อย่างไร เจ้าของเป็นผู้บอกเอง หรือมี Hacker เข้ามาในระบบแล้วนำข้อมูลไป ,ใครเป็นผู้เสียหาย ISP หรือ ผู้ใช้บริการ, ฐานความผิดข้อหาใด แพ่ง หรือ อาญา , สิทธิในการใช้บริการ ชั่วโมงใช้งาน เป็นทรัพย์หรือไม่ , หลักฐานที่ต้องใช้ บันทึกหมายเลขโทรศัพท์ที่ติดต่อใช้บริการ Caller ID ได้หรือไม่ , ใครที่ต้องถือว่าเป็นผู้กระทำผิด คนในบ้านหรือเจ้าบ้าน ถ้าไม่มีใครรับจะทำอย่างไร , ที่เกิดเหตุเป็นที่ใด เป็นที่ตั้ง ISP หรือที่บ้านผู้กระทำผิด หรือที่บ้านขอเจ้าของ Account , การประเมินค่าความเสียหาย

ปัญหากรณี เว็บที่ส่งเสริมการขายสินค้าของไทย 3 แห่ง ถูกใส่ร้าย
มีเว็บที่ส่งเสริมเผยแพร่สินค้าไทยสู่ตลาดโลก 3 เว็บไซต์ ได้ถูกกลุ่มผู้ไม่หวังดี ปลอม อี-เมล์ ของเว็บดังกล่าว แล้วส่งไปยังผู้ใช้อินเทอร์เน็ตทั่วโลกประมาณ 4 ล้านฉบับ เป็นลักษณะ Spam Mail และได้ใส่ร้ายเว็บดังกล่าวว่า " เป็นเว็บที่ฉ้อโกง จะนำชื่อและหมายเลขบัตรเครดิตของผู้ที่สนใจเข้ามาซื้อของ ไปใช้ในทางที่ผิด ขอให้อย่าเข้าเว็บไทยทั้ง 3 ดังกล่าว " ผลร้ายที่เกิดขึ้น นอกจากจะทำให้คนทั้งโลกไม่เข้าไปชมเว็บดังกล่าวแล้ว ยังทำให้องค์กรต่อต้าน Spam Mail สั่งให้ Web Hosting ยุติ ปิดการให้บริการ เว็บไทยทั้ง 3 อีกด้วย

ปัญหากรณี อาจารย์ในสถานศึกษา ถูกแอบขโมยข้อมูลตำราและข้อสอบ
อาจารย์ในสถานศึกษาแห่งหนึ่ง ได้ใช้เวลากว่า 3 ปี เขียนตำราไว้ รวมเกือบ 1,000 ไฟล์ รวมทั้งข้อสอบ ข้อเฉลย และคะแนนสอบ เก็บไว้ในเครื่อง PC ของตนในห้องทำงานส่วนตัว แต่เนื่องจากได้มีการต่อเชื่อมโยงเป็นเครือข่าย LAN ไว้ทั้งสถานศึกษา จึงทำให้มีบุคคลอื่นสามารถเข้ามาดึงข้อมูลในเครื่อง PC ทั้งหมดที่มีไปได้

ปัญหากรณี การสั่งซื้อของจากการประมูล eBay.com
เว็บไซต์ eBay.Com เป็นเว็บที่เปิดโอกาสให้บุคคลทั่วไป ประกาศขายสินค้าโดยการประมูลบนเว็บ กรณีปัญหาคือ มีบุคคลในประเทศไทย ได้เข้าไปในเว็บ eBay.Com และพบว่า มีชายชาวอเมริกัน ได้ประกาศขายเครื่องโทรทัศน์ใช้แล้ว ขนาดจอภาพ 50 นิ้ว เกิดความสนใจจึงได้เข้าไปร่วมประมูล ต่อมาชายชาวอเมริกันดังกล่าวได้ส่ง e-mail ว่าเป็นผู้ชนะการประมูล ขอให้ส่งเงินเข้าบัญชีเป็นจำนวน 266,000 บาท หลังจากนั้น บุคคลในประเทศไทย ได้รับกล่องพัสดุขนาดใหญ่ จากบริษัทขนส่ง FedEx ที่กล่องเขียนว่าเป็น อีเล็กทรอนิกส์ แต่เมื่อเปิดกล่องดูพบว่าเป็นเพียงตุ๊กตา และเครื่องแก้วที่แตกแล้ว

ปัญหากรณี การแอบอ้างใช้ชื่อ และข้อมูลของบุคคลอื่น ขอฟรี E-mail
มีการแอบอ้าง ใช้ชื่อและข้อมูลของบุคคลอื่น ซึ่งเป็นผู้มีชื่อเสียง ไปขอใช้ ฟรี e-mail แล้วใช้ e-mail เข้าไปลงทะเบียนเล่นเกมส์ออนไลน์ และส่ง e-mail ไปยังผู้อื่นโดยอ้างว่าเป็นบุคคลผู้มีชื่อเสียงนั้นจริง ซึ่งอาจทำให้ผู้อื่นดูแคลนหรือลดความเชื่อถือศรัทธา

ปัญหากรณี พนักงานบริษัทที่รับออกแบบพัฒนาเว็บไซต์
บริษัทชั้นนำแห่งหนึ่งที่รับออกแบบและพัฒนาเว็บไซต์ ซึ่งมีลูกค้าทั้งในและต่างประเทศได้ถูกพนักงานในบริษัทนั้น แอบไปรับงานนอก โดยใช้ ทรัพยากร, อุปกรณ์เครื่องมือ, Software และเทคโนโลยี ต่างๆ ของบริษัท ใช้ในการพัฒนา และแอบอ้างผลงานของบริษัทฯ (ซึ่งต้องทำหลายคน) ว่าเป็นผลงานของตนเองในการเสนอขอทำงาน

กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารถูกแฮก
วันที่ 19 ก.ค. 50 เวลา 11.50 น. เว็บไซต์ของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร //www.mict.go.th ถูกแฮกเกอร์นำภาพของ พ.ต.ท.ทักษิณ ชินวัตร อดีตนายกรัฐมนตรี รูปธงชาติ พร้อมข้อความที่ไม่เหมาะสม และมีรูปของ พล.อ. สนธิ บุญยรัตกลิน ผู้บัญชาการทหารบก ในฐานะประธานคณะมนตรีความมั่นคงแห่งชาติ มีข้อความว่า “เอา คมช. คืนไป เอาทักษิณคืนมา” ไปแสดงไว้บนหน้าเว็บไซต์กระทรวงไอซีที ประมาณ 20 นาที

แฮกเกอร์ เจาะ-ดูดเงิน ลูกค้ากรุงไทย
เจ้าหน้าที่ตำรวจกองบังคับการปราบปรามอาชญากรรมทางเศรษฐกิจและเทคโนโลยี (ปศท.) ได้รับแจ้งจากธนาคารกรุงไทยจำกัด (มหาชน) สำนักงานใหญ่ เมื่อวันที่ 10 เมษายน 51 ว่า มีลูกค้าของธนาคารหลายรายร้องเรียนว่าเงินในบัญชีธนาคารที่ได้มีการเปิดบัญชีออนไลน์ หรือที่เรียกกันว่าการใช้โปรแกรม ID-PLUS+ ถูกดึงเงินออกจากบัญชีไปยอดเงินรวมไม่ต่ำกว่า 800,000 บาท ซึ่งแฮกเกอร์เป็นนักเรียน กศน.อยู่ที่ศูนย์การศึกษานอกโรงเรียนจังหวัดสมุทรปราการ

เว็บสภาโดนแฮก! เปลี่ยนรูป 'ชัย ชิดชอบ'
8 กรกฎาคม 2551 ได้มีแฮกเกอร์มือดีเข้าไปแฮกในเว็บไซต์ของรัฐสภา //www.parliament.go.th ในส่วนข้อมูลประวัติของนายชัย ชิดชอบ ประธานรัฐสภาและประธาน สภาผู้แทนราษฎร โดยได้เปลี่ยนรูปนายชัยเป็นรูปตัวเงินตัวทอง โดยมีการโพสต์นานประมาณ 10 นาที ก่อนที่เจ้าหน้าที่จะตรวจพบและแก้ไขจนเรียบร้อย


References

McAfee, Virtual Criminology Report: North American Study into Organized Crime and the Internet, McAfee, July, 2005, //www.mcafeesecurity.com/us/local_content/misc/mcafee_na_virtual_ criminology_report.pdf

Thornburgh, N., “The Invasion of the Chinese Cyberspies”, Time Magazine, August, 29, 2005, //www.time.com/time/magazine/printout/0,8816,1098961,00.html

Goth, Greg, “Higher-Ed Networks Begin Circling the Wagons", IEEE Distributed Systems Online, (6:12), December, 2005, //csdl2.computer.org/persagen/DLAbsToc.jsp?resourcePath= /dl/mags/ds/&toc=comp/mags/ds/2005/12/oztoc.xml

Staff Reporter, “Students infecting university system with viruses”, Washingtonpost.com, September 4, 2003.

Sieberg, D., “Hacker infiltrated government computers”, CNN.com, May 10, 2005., //www.cnn.com/2005/TECH/05/10/govt.computer.hacker/

Multi-State Information Sharing and Analysis Center (MS-ISAC), What You Need To Know About Botnets!, MS-ISAC, November 2004, //whitepapers.silicon.com/0,39024759,60125590p-39001181q,00.htm

Schevitz, Tanya, “Colleges leaking confidential data Students compromised by Internet intrusions”, San Francisco Chronicle, April 5, 2004,

Evers, Joris, “University of Colorado servers hacked”, CNETNews.com, July 22, 2005, //news.com.com/University+of+Colorado+servers+hacked/2110-7349_3800712.html?part=rss&tag=5800712&subj=news

Haruwitz, Ralph, “Computer records on 197,000 people breached at UT” , Statesman.com, April 24, 2006, //www.statesman.com/news/content/news/stories/local/04/24utcomputers.html
//www.sfgate.com/cgi-bin/article.cgi?file=/c/a/2004/ 04/05/MNGGP60LNV1.DTL

Foster, Andrea L., “Colleges Brace for the Next Worm”, The Chronicle of Higher Education, March 19, 2003, //chronicle.com/weekly/v50/i28/28a02901.htm

National Institute of Standards and Technology (NIST), Federal Information Processing Standards Publication: Standards for Security Categorization of Federal Information and Information Systems. (FIPS PUB 199), NIST, Feb, 2004, //www.csrc.nist.gov/publications/ fips/fips199/FIPS-PUB-199-final.pdf

United States National Infrastructure Advisory Council, National Strategy to Secure Cyberspace, U.S. National Infrastructure Advisory Council, February 14, 2003, //www.whitehouse.gov/pcipb

Steffani A. Burd.The Impact of Information Security in Academic Institutions on Public Safety and Security: Assessing the Impact and Developing Solutions for Policy and Practice. The U.S. Department of Justice, October 2006.

ดร.ทวีศักดิ์ กออนันตกูล. โครงการพัฒนากฎหมายเทคโนโลยีสารสนเทศ อาชญากรรมคอมพิวเตอร์. ไอทีปริทัศน์ ปีที่ 6 ฉบับที่ 9 ประจำเดือนพฤศจิกายน - ธันวาคม 2541.

พ.ต.อ.ญาณพล ยั่งยืน. กรณีตัวอย่าง อาชญากรรมทางคอมพิวเตอร์ ในประเทศไทย. ศูนย์ข้อมูลข้อสนเทศ สำนักงานตำรวจแห่งชาติ พฤศจิกายน 2549.

ณัฐพงษ์ แสงเลิศศิลปชัย. รายงานสรุปผลการตอบสนองเหตุละเมิดความปลอดภัยคอมพิวเตอร์ปี 2550. ศูนย์ประสานงานการรักษาความปลอดภัยคอมพิวเตอร์ประเทศไทย, กุมภาพันธ์ 2551.

//www.thairath.co.th/offline.php?section=hotnews&content=54574

//www.thairath.co.th/offline.php?section=hotnews&content=86542

//www.thairath.co.th/offline.php?section=hotnews&content=96450






 

Create Date : 16 สิงหาคม 2551    
Last Update : 25 กุมภาพันธ์ 2553 9:53:49 น.
Counter : 1416 Pageviews.  


modoko
Location :
กรุงเทพ Thailand

[Profile ทั้งหมด]

ให้ทิปเจ้าของ Blog [?]
ฝากข้อความหลังไมค์
Rss Feed
Smember
ผู้ติดตามบล็อก : 1 คน [?]




Friends' blogs
[Add modoko's blog to your web]
Links
 

 Pantip.com | PantipMarket.com | Pantown.com | © 2004 BlogGang.com allrights reserved.