|
|
|
แนวทางการประเมินความเสี่ยงระบบสารสนเทศเพื่อให้สอดคล้องกับยุคที่เปลี่ยนแปลงไป
เทคโนโลยีสารสนเทศ หรือ "Information Technology" ที่เรานิยมเรียกสั้นๆว่า "IT" หรือ "ICT" ที่รวมถึง "C" คือ "Communication" หรือ "การสื่อสาร" เข้ามาด้วย ซึ่งในปัจจุบัน "IT" หรือ "ICT" นั้น มีความสำคัญอย่างยิ่งกับทุกองค์กร ในยุคที่เทคโนโลยีสารสนเทศ กลายเป็นส่วนสำคัญในการขับเคลื่อนองค์กรสมัยใหม่ได้อย่างมีประสิทธิภาพ ระบบเครือข่ายและระบบอินเทอร์เน็ต ได้เข้ามามีบทบาทสำคัญและเปลี่ยนแปลงโลกเทคโนโลยีสารสนเทศอย่างสิ้นเชิง โดยระบบอินเทอร์เน็ตนั้นทำให้โลกไร้พรมแดน และ ในขณะเดียวกันก็เปิดช่องทางให้แฮกเกอร์ และไวรัสจากทั่วโลกสามารถเข้ามาโจมตีเครื่องคอมพิวเตอร์ของเรา และขององค์กรได้เช่นกัน ดังนั้นเทคโนโลยีสารสนเทศสมัยใหม่ที่ทำงานร่วมกันโดยผ่านระบบอินเทอร์เน็ตถือว่ามีความเสี่ยงที่องค์กรควรจะประเมินความเสี่ยงเทคโนโลยีสารสนเทศ เป็นระยะๆ เพื่อให้แน่ใจได้ว่าเทคโนโลยีสารสนเทศ และ ระบบอินเทอร์เน็ตที่องค์กรใช้อยู่นั้นปลอดภัยจาก Malware และ ภัยอินเทอร์เน็ตต่างๆ ที่สามารถโจมตีระบบเราได้จากทั่วโลก
ความเสี่ยงตามยุคสมัยของเทคโนโลยีสารสนเทศทั้ง 5 ยุค
กล่าวถึงยุคสมัยของเทคโนโลยีสารสนเทศ ถ้าเริ่มนับจากมีคอมพิวเตอร์ส่วนบุคคล หรือ "Personal Computer" เครื่องแรกในโลกนั้น แบ่งออกได้เป็น 5 ยุค ซึ่งแต่ละยุคมีแนวทางในการประเมินความเสี่ยงที่แตกต่างกัน ดังนั้นผู้ตรวจสอบระบบสารสนเทศ หรือ "IT Auditor" ควรศึกษาเทคโนโลยีสารสนเทศในแต่ละยุคเพื่อให้เกิดความเข้าใจความเสี่ยงของเทคโนโลยีสารสนเทศในแต่ละยุค และ สามารถนำความรู้ความเข้าใจไปประยุกต์ใช้ในการตรวจสอบประเมินความเสี่ยงระบบสารสนเทศให้มีประสิทธิภาพเพิ่มขึ้นต่อไป
ยุคที่ 1 ยุคเริ่มต้นของระบบเครือข่าย Local Area Network (LAN) และ
เป็นที่มาของยุคระบบ File-Based ระบบ LAN ที่เรารู้จักกันดีนั้น เริ่มนิยมใช้ในเมืองไทย ตั้งแต่ปี พ.ศ. 2532 ในยุคนั้นระบบเครือข่ายของ Novell NetWare มีส่วนแบ่งการตลาดมากที่สุด แต่ในปัจจุบันระบบ Windows 2000 Server หรือ Windows Server 2003 ของบริษัทไมโครซอฟต์กลับมีส่วนแบ่งการตลาดมากเป็นอันดับหนึ่ง และได้รับความนิยมอย่างแพร่หลายในองค์กรทั้งภาครัฐและเอกชน การเข้าถึงข้อมูลในระบบเครือข่ายทำได้โดยการติดต่อไปยัง File Server ที่ทำหน้าที่ "Share" ไฟล์ข้อมูลให้ทุกคนในระบบเครือข่ายสามารถเข้าถึงได้โดยการ "Map Network Drive" เช่น จากเครื่องลูกข่าย (Client) ไปยังเครื่องแม่ข่าย เหตุผลที่ระบบ "File-Based" เป็นที่นิยมก็เพราะความง่ายในการเก็บและเรียกใช้ File ข้อมูลต่างๆ โดยมีการจัดเก็บแบบ "Directory" ที่เราคุ้นเคยบนเครื่องแม่ข่าย
ความเสี่ยงของระบบ "File-Based" ก็คือ ปัญหาเรื่องไวรัสและเวอร์มต่างๆ ที่มุ่งเน้นไปในทางการโจมตีผ่านทาง พอร์ต "TCP" ที่ใช้ในการ "Share File" เช่น โปรโตคอล "SMB" ของไมโครซอฟต์ ใช้พอร์ต "TCP" หมายเลข 139 (NetBIOS Session) และ 445 (Microsoft Direct-host) ทำให้เครื่องลูกข่ายหลายเครื่องที่มีพฤติกรรมชอบแชร์ไฟล์ในระบบเครือข่ายสามารถติดไวรัสและเวอร์มได้อย่างง่ายดายจากการกระจายตัวของไวรัสและเวอร์มผ่านทางระบบ "File-Based" ดังกล่าว ข้อเสียของระบบ "File-Based" นอกจากเรื่องของไวรัสและเวอร์มแล้วก็คือ ปัญหาเรื่องการใช้ "Bandwidth" ของระบบเครือข่าย โดยเฉพาะถ้าเป็นระบบ Wide Area Network (WAN)มักจะเกิดปัญหาความล่าช้าในการเข้าถึงไฟล์ข้อมูลข้ามระบบผ่านทางอุปกรณ์ Router เป็นต้น
สำหรับแนวทางในการประเมินความเสี่ยงระบบ "File-Based" เราต้องมุ่งเน้นไปที่ช่องโหว่ของการ "Share File" โดยไม่ระมัดระวังว่า หลายครั้งที่ผู้ใช้คอมพิวเตอร์ทั่วไปในองค์กร ชอบ "Share-File" ให้กับผู้ใช้คนอื่นโดยไม่มีความตระหนักถึงภัยจากไวรัสและเวอร์มซึ่งอาจเข้ามาทางระบบเครือข่าย ดังนั้นผู้ตรวจสอบระบบสารสนเทศสามารถใช้ "Security Assessment Tool" ที่สามารถเข้าถึง "Share File and Folder" ต่างๆ ที่อยู่ในระบบเครือข่าย เพื่อแสดงให้ผู้ใช้คอมพิวเตอร์เห็นว่า การ "Share File" โดยไม่ระมัดระวังกลายเป็นจุดโหว่สำคัญของระบบที่แฮกเกอร์และไวรัสสามารถโจมตีได้โดยง่าย ตลอดจนองค์กรควรกำหนด "นโยบาย" หรือ "Policy" เพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นจากภัยดังกล่าว โดยประกาศให้ผู้ใช้คอมพิวเตอร์เลิกพฤติกรรมการ "Share File" ที่เครื่องลูกข่าย และ ให้ผู้ดูแลระบบ (System Administration) ทำการ "Harden" เครื่องแม่ข่ายตามมาตรฐานสากล และมีหน้าที่รับผิดชอบในการติดตั้ง "Patch" ให้กับเครื่องแม่ข่ายอย่างสม่ำเสมอเพื่อป้องกันไม่ให้เครื่องแม่ข่ายมีช่องโหว่ให้แฮกเกอร์หรือไวรัสเข้ามาโจมตีระบบได้
ยุคที่ 2 ยุค Distributed Computing หรือ ยุค Client/Server Technology
หลังจากยุค "File-Based" ซึ่งมีข้อเสียเรื่องของความล่าช้าในการรับ-ส่ง ข้อมูลผ่าน Wide Area Network (WAN) ทำให้ระบบเครือข่ายมี "Bandwidth Overhead" จำนวนมาก เกิดปัญหา Bandwidth ไม่เพียงพอ จึงทำให้เทคโนโลยี "Client/Server" ได้รับความนิยมเพิ่มขึ้น ข้อดีของระบบ Client/Server ที่ชัดเจนก็คือ เครื่องลูกข่ายและเครื่องแม่ข่ายไม่จำเป็นต้อง "Map Network Drive" และ ไม่ต้องใช้ โปรโตคอล SMB, NCP หรือ NFS ในการ "Share File" แต่จะติดต่อกันด้วย RPC หรือ "Remote Procedure Call" แทน โดยปกติระบบ Microsoft Windows จะใช้พอร์ต TCP หมายเลข 135 หรือ พอร์ต DCE End-Point Mapping (epmap) และ ระบบ UNIX/LINUX จะใช้พอร์ต TCP หมายเลข 111 หรือ พอร์ต SUNRPC ในการเริ่มต้นการติดต่อแบบ Client/Server ระหว่างเครื่องคอมพิวเตอร์ สองเครื่องขึ้นไป หลังจากการเริ่มการเชื่อมต่อแล้ว เครื่องจะทำการเปิดพอร์ตในลักษณะเป็น "Dynamic.Port " อีกหลายพอร์ต เพื่อรับส่งข้อมูลซึ่งกันและกัน
ความเสี่ยงของระบบ Client/ Server ก็คือการเปิดพอร์ต TCP หมายเลข 135 ใน Microsoft Windows และ พอร์ต TCP หมายเลข 111 ใน UNIX/LINUX ซึ่งปกติจะมีช่องโหว่แบบ Buffer Overflow อยู่เป็นประจำ (ดูรายละเอียดได้ใน SANS Top20 //www.sans.org/top20) หากเครื่องคอมพิวเตอร์ขาดการติดตั้ง Patch อย่างสม่ำเสมอ โอกาสที่จะถูกโจมตีโดยไวรัสหรือแฮกเกอร์ผ่านทางพอร์ต RRC มีโอกาสค่อนข้างสูงที่จะประสบความสำเร็จ นอกเหนือจากปัญหาเรื่องช่องโหว่ที่พอร์ต RRC แล้ว ยังมีปัญหาเรื่องการเปิดพอร์ตแบบ "Dynamic Port" จำนวนมากซึ่งทำให้ควบคุมพอร์ตที่ไฟร์วอลล์ได้ยาก เพราะ RPC ไม่ได้ใช้เพียงพอร์ตเดียว แต่เปิดพอร์ตพร้อมกันทีเดียวได้หลายๆพอร์ต
แนวทางในการประเมินความเสี่ยงระบบ Client/Server ก็คือ ต้องทำการ Assessment ที่พอร์ต RRC ของเครื่องคอมพิวเตอร์ว่ามีช่องโหว่ที่ยังไม่ได้รับการแก้ไขหรือยังไม่ได้ "Patch" หรือไม่ ถ้าพบก็ให้รีบติดตั้ง "Patch" เพื่อปิดช่องโหว่ดังกล่าวซึ่ง ในบางครั้งเครื่องแม่ข่ายที่ใช้ระบบ Microsoft Windows หรือ UNIX /Linux มีปัญหาเรื่องการติดตั้ง Patch เราสามารถแก้ปัญหาได้โดยการติดตั้งไฟล์วอลล์ภายใน หรือ "Inner Firewall" เพื่อปิดพอร์ต RRC ดังกล่าวสำหรับเครื่องคอมพิวเตอร์อื่นๆ ที่ไม่มีความจำเป็นต้องติดต่อกับเครื่องแม่ข่ายที่เปิดพอร์ต RRC อยู่
การป้องกันไวรัสที่ Gateway ก็เป็นเรื่องสำคัญ เพราะไวรัสรุ่นใหม่ๆ มักจะโจมตีที่พอร์ต RRC เช่นกัน ในปัจจุบันระบบอิเล็กทรอนิกส์เมล์ที่เราใช้กันอยู่เป็นประจำ เช่น Microsoft Outlook กับ Microsoft Exchange และ Lotus Note Client กับ Notes Server ก็ติดต่อกันด้วยเทคโนโลยี Client/Server เช่นกัน ซึ่งก็จะมีช่องโหว่ที่พอร์ต RRC ดังกล่าวมาแล้วในตอนต้น ตลอดจนมีข้อจำกัดด้าน Bandwidth ในการใช้งานเมื่อมีการใช้งานข้อมูลปริมาณมากๆ ซึ่งปกติแล้วเทคโนโลยี "Client/Server"จะเร็วกว่าเทคโนโลยี "File-Based" แต่ยังช้ากว่าเทคโนโลยี "Web-Based" ในบางกรณี ซึ่งเป็นที่มาของเทคโนโลยีในยุคที่สามต่อไป
ยุคที่ 3 ยุค "Web-Based"
จากข้อจำกัดของเทคโนโลยี "File-Based" และ "Client/Server" ดังที่กล่าวมาแล้ว ทำให้เทคโนโลยี "Web -Based" ที่ใช้โปรโตคอล HTTP ได้รับความนิยมอย่างสูงในปัจจุบัน โปรแกรมประยุกต์ต่างๆ ล้วนหันมาใช้เทคโนโลยี "Web-Based" ในการพัฒนาโปรแกรม เพื่อให้เกิดความสะดวกสบายกับการใช้งานเครื่องลูกข่าย ซึ่งมีเพียง "Web Browser" ก็สามารถเข้าใช้งานเครื่องแม่ข่ายได้ผ่านทางจากพอร์ต TCP หมายเลข 80 หรือ พอร์ต HTTP ปัญหาของระบบ "Web-Based" ส่วนใหญ่ก็คือ ข้อมูลที่รับ-ส่งกันด้วยโปรโตคอล HTTP นั้นเป็นข้อมูลที่ไม่ได้เข้ารหัส ซึ่งสามารถถูกแฮกเกอร์เข้ามาแอบดูหรือ "Sniff" ได้ง่าย โดยเฉพาะ Username และ Password ที่ใช้ Login เข้ามาในระบบ Web Application นอกจากนี้ ยังมีปัญหาที่ตัว Web Server เองก็มักจะมีช่องโหว่ Buffer Overflow ออกมาเป็นระยะๆ ไม่ว่าจะเป็น Web Server IIS หรือ Web Server Apache รวมถึง SSL Module ก็มีช่องโหว่เช่นกัน ล่าสุดยังมีปัญหาช่องโหว่ที่ Web Application เองไม่ว่าจะเป็นค่าย ASP, PHP, JAVA ก็ล้วนมีช่องโหว่ตามที่ OWASP (Open Web Application Security Project) ได้กล่าวไว้สิบช่องโหว่ (ดูรายละเอียดได้ที่ //www.owasp.org) ทำให้โปรแกรมเมอร์ต้องมีความระมัดระวังในการเขียน "Code" ให้ปลอดภัยจากการโจมตีในลักษณะดังกล่าวด้วย
สำหรับแนวทางในการประเมินความเสี่ยงระบบ "Web-Based" นั้น ควรเน้นไปที่ "Web Application Security" ตาม OWASP กล่าวคือควรมีการทำ "Penetration Testing" ระบบ Web Application ก่อนการใช้งานจริง ตาม Top 10 Web Hacking Checklist เพื่อให้แน่ใจว่าไม่มีช่องโหว่ให้แฮกเกอร์สามารถฉวยโอกาสโจมตี Web Application ของเราได้ ผู้ตรวจสอบระบบสารสนเทศจึงจำเป็นต้องมีความรู้ในด้านการเจาะระบบ Web Application พอสมควร (Ethical Hacking or Web Application Pen-test) ตลอดจน ผู้ตรวจสอบระบบสารสนเทศควรจะประเมินความเสี่ยงช่องโหว่ที่ Web Server ด้วยวิธีดังกล่าว และ ควรแนะนำให้ใช้โปรโตคอล HTTPS (SSL) ที่เป็น Cipher or Encrypted Text แทน โปรโตคอล HTTP ธรรมดาที่เป็น Plain Text เพื่อป้องกันการดักจับข้อมูลโดยใช้โปรแกรมจำพวก "Packet Sniffer" อีกด้วย
ยุคที่ 4 ยุค "Web Services"
เรื่องของ XML และ Web Services ไม่ใช่เรื่องใหม่ แต่ในประเทศไทยขณะนี้ (พ.ศ. 2549) ยังนิยมใช้เทคโนโลยี "Web-Based" เป็นส่วนใหญ่ เนื่องจากผู้พัฒนาระบบจำนวนมากมีศักยภาพในการพัฒนาซอฟต์แวร์ทำงานในแบบ "Web-Based" มากกว่า "Web Services" โดยเทคโนโลยี "Web Services" เป็นการพัฒนาต่อยอดมาจากเทคโนโลยี "Web-Based" อีกที่หนึ่ง กล่าวคือ มีการนำโครงสร้างข้อมูลแบบ XML และการเชื่อมต่อโปรแกรมประยุกต์โดยใช้เทคโนโลยี SOAP มาเชื่อมต่อระบบคอมพิวเตอร์ที่หลากหลาย Platform และ หลากหลาย Vendor ให้สามารถทำงานร่วมกันและสามารถแลกเปลี่ยนข้อมูลกันได้ ในรูปแบบของ XML Format
ปัญหาของเทคโนโลยี Web Service ก็คือ การรับส่งข้อมูลที่เป็น XML Format นั้น ส่วนใหญ่เป็น Plain Text ที่แฮกเกอร์สามารถดักจับข้อมูลได้ อีกทั้งยังมีปัญหาเหมือนกับเทคโนโลยี Web-Based คือที่ Web Server และ Web Application โดยถ้าทำงานในลักษณะ 3 Tiers ก็จะมีปัญหาช่องโหว่ทั้งของ Application Server เช่น IBM WebSphere หรือ BEA Weblogic และ ปัญหาช่องโหว่ใน RDBMS เอง เช่น Oracle หรือ Microsoft SQL Server
ซึ่งแนวทางในการประเมินความเสี่ยงระบบ Web Service นั้น ควรเริ่มจากตรวจดูว่ามีการเข้ารหัสข้อมูลที่ส่งกันในรูปแบบ XML Format หรือไม่ ซึ่งถ้ายังเป็น Plain Text อยู่ก็ควรแนะนำให้เข้ารหัสข้อมูล เช่น ใช้ SSL (HTTPS) หรือใช้เทคโนโลยี SAML หรือ WS-Security เป็นต้น
การประเมินความเสี่ยงควรทำทั้ง Web Server, Application Server และ RDBMS Server ตลอดจนตรวจสอบ Web Application ถึงช่องโหว่ทั้ง 10 แบบของ OWASP ด้วย (see //www.owasp.org)
ยุคที่ 5 ยุค SOA (Service Oriented Architecture)
เทคโนโลยี "SOA" เป็นการต่อยอดจากเทคโนโลยี "Web Services" อีกทีหนึ่ง โดยมุ่งเน้น Concept ของการ Outsource บริการต่างๆ ที่เป็น "Module" ย่อยๆ ทำงานร่วมกันผ่านระบบเครือข่าย TCP/IP ดังนั้นจะเห็นว่าเสถียรภาพของระบบเครือข่ายกลายเป็นประเด็นสำคัญของ "SOA" เพราะต้องติดต่อกันผ่านทาง SOA Enterprise Service Bus (ESB) อยู่ตลอดเวลาในแบบ Real Time โดยใช้เทคโนโลยี Message Queue เข้ามาเกี่ยวข้องเพื่อจัดระเบียบการติดต่อกันระหว่าง Module ต่างๆ
ปัญหาของเทคโนโลยี SOA ก็คือ เริ่มตั้งแต่การออกแบบ SOA ให้เกิดความปลอดภัยและปัญหาเรื่องเสถียรภาพของระบบเครือข่าย ซึ่งถือเป็น "Infrastructure" หลักของ "SOA" เพราะถ้าหากระบบเครือข่ายเกิดปัญหา ย่อมส่งผลกระทบกับ"SOA" ทั้งระบบได้ การติดต่อรับส่งข้อมูลแบบ Plain Text ก็เป็นปัญหาใหญ่เหมือนกับเทคโนโลยี Web Service เช่นกัน
แนวทางในการประเมินความเสี่ยงระบบที่ใช้สถาปัตยกรรม SOA จะคล้ายกับแนวทางในการประเมินความเสี่ยงระบบที่ใช้เทคโนโลยี "Web Service" แต่ควรเพิ่มเรื่องการประเมินความเสี่ยงตั้งแต่การออกแบบ SOA ในช่วงแรกว่ามีความเหมาะสมกับองค์กรและมีความปลอดภัยในการรับส่งข้อมูลหรือไม่ ตลอดจนควรประเมินความเสี่ยง ระบบเครือข่ายว่ามีความเสถียรภาพและปลอดภัยเพียงพอที่จะเป็นกระดูกสันหลังให้กับ SOA ทั้งระบบได้หรือไม่ ซึ่งระบบควรจะมีความสามารถในการรองรับการโจมตีแบบ DoS attack หรือ DDoS attack ได้เป็นอย่างดี
กล่าวโดยสรุปจะเห็นว่า การประเมินความเสี่ยงระบบสารสนเทศในองค์กรนั้น ต้องอาศัยความรู้ความเข้าใจในระบบที่ใช้เทคโนโลยีสารสนเทศแตกต่างกันตามยุคสมัยทั้ง 5 ยุคดังที่กล่าวมา หลายองค์กรในปัจจุบันมีการใช้งานระบบสารสนเทศมากกว่าหนึ่งยุค เช่น ใช้ทั้งเทคโนโลยี Client/Server และเทคโนโลยี Web-Based และกำลังเตรียมเข้าสู่ Web Service และ SOA ในที่สุด
ดังนั้นมุมมองผู้ตรวจสอบระบบสารสนเทศต้องมองในมุมกว้างในภาพรวม หรือ "Holistic View" และ ประยุกต์ใช้เทคนิคต่างๆในการตรวจสอบระบบสารสนเทศให้เหมาะสมกับยุคสมัยต่างๆ ของเทคโนโลยีดังที่กล่าวมาแล้วทั้งห้ายุค เพื่อที่จะให้ได้ผลการประเมินความเสี่ยงที่มีคุณค่าสอดคล้องกับความเป็นจริงในการใช้งานระบบสารสนเทศขององค์กรและเพื่อเป็นแนวทางที่ถูกต้องในการแก้ปัญหาและป้องกันระบบสารสนเทศให้มีเสถียรภาพต่อไป
________________________________________
จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำ เดือนตุลาคม 2549
Update Information : 30 พฤศจิกายน 2549
| Create Date : 17 ธันวาคม 2551 | | |
| Last Update : 17 ธันวาคม 2551 10:03:39 น. |
| Counter : 310 Pageviews. |
| |
|
 |
|
|
|
ข้อพึงระวังด้านความปลอดภัยด้าน IT
การป้องกันความปลอดภัยสำหรับระบบเครือข่ายนั้น นับเป็นภารกิจหลักของหน่วยงานด้านไอทีขององค์กรต่างๆ แต่อย่างไรก็ตามข้อผิดพลาดหลายๆ ประการที่ถูกมองข้ามจากผู้ใช้ในหน่วยงานอื่นๆ ขององค์กร ที่มักจะเปิดช่องโหว่ของระบบ และเปิดโอกาสให้กับการบุกรุก ซึ่งทั้งนี้ทั้งนั้นในการที่จะป้องกันความปลอดภัยของระบบในองค์กรนั้น ต้องมีการเน้นย้ำในนโยบายด้านความปลอดภัย ให้กับบุคลากรทุกคนซึ่งในเอกสารนี้ ได้รวบรวมเอาข้อพึงระวังในการรักษาความปลอดภัยด้านไอทีมาแบ่งปันให้กับท่านผู้อ่านดังต่อไปนี้
1. พนักงานที่อยู่ในแนวหน้าที่ต้องพบปะพูดคุยกับบุคคลภายนอกทั่วไป
เช่นพนักงานต้อนรับ และพนักงานรับโทรศัพท์นั้น ควรที่จะระวังในการให้ความช่วยเหลือแก่ผู้ไม่ประสงค์ดี ที่พยายามหลอกล่อหาข้อมูลในการเจาะระบบเช่นว่าได้ มีบุคคลภายนอกโทรศัพท์เข้ามาและปลอมแปลงชื่อว่าเป็นพนักงาน โดยอาจจะขอให้พนักงานรับโทรศัพท์ ช่วยต่อสายไปที่แผนกไอทีภายในสำนักงาน ซึ่งเจ้าหน้าที่ผู้ให้บริการในแผนกไอทีที่ได้เห็นเบอร์โทรศัพท์ที่โทรจากภายใน และได้ให้ความช่วยเหลือแก่ผู้ใช้ที่ขอให้เปลี่ยนรหัสลับ (password) หรือส่งไฟล์ข้อมูลแม้กระทั่งช่วยให้เขาต่อเชื่อมเข้าสู่ระบบภายในสำนักงานจากภายนอกได้
2.ผู้บริหารเครือข่ายที่ขาดความชำนาญหรือเป็นพนักงานใหม่
อาจสร้างข้อผิดพลาดในการคอนฟิกเครื่องอุปกรณ์ด้านเครือข่าย โดยมีตัวอย่างในหลายหน่วยงานที่โยกย้ายพนักงานจากตำแหน่งอื่นๆ และให้มาทำหน้าที่ดูแลและบริหารระบบเครือข่ายขององค์กร ไม่ว่าจะเป็นเหตุผลด้านการประหยัดงบประมาณ หรือการขาดแคลนบุคลากรด้านไอทีก็ตาม ซึ่งมักจะก่อให้เกิดความผิดพลาดเล็กๆ น้อยๆ ด้านการรักษาความปลอดภัยของระบบการป้องกันที่ไม่เพียงพอกับพนักงานเก่าที่ได้ลาออกไป นับเป็นอีกจุดหนึ่งที่หลายๆ ท่านอาจมองข้ามไป โดยได้มีผู้เชี่ยวชาญด้านความปลอดภัยหลายท่าน ได้มีข้อแนะนำให้เจ้าหน้าที่ฝ่ายทรัพยากรบุคคล ตรวจสอบและทบทวนเอกสารและ การสื่อสารผ่านสื่อต่างๆ ของพนักงานทุกคนที่ได้ลาออกไป เพื่อที่จะคัดแยกเอาข้อมูลเฉพาะ หรือข้อมูลที่เป็นความลับของบริษัท นอกจากนี้ต้องมีการเน้นย้ำถึงนโยบายในการรักษาความลับของบริษัท ที่จะต้องครอบคลุมไปถึงข้อมูลต่างๆ ที่เก็บอยู่ในเครื่องคอมพิวเตอร์ของพนักงานเก่า ไม่ว่าจะเป็นเครื่องของบริษัท หรือเครื่องอุปกรณ์อื่นๆ ที่สามารถเก็บข้อมูลได้เพื่อที่จะให้พนักงานนั้นรับทราบว่า ข้อมูลที่อยู่ในอุปกรณ์เหล่านั้นถือเป็นความลับของบริษัท ความล้มเหลวในการป้องกันอุปกรณ์คอมพิวเตอร์และอุปกรณ์อื่นๆ ที่มีการต่อเชื่อมจากระยะไกล ทั้งที่โครงสร้างด้านการรักษาความปลอดภัยขององค์กร ที่มีทั้งอุปกรณ์ไฟร์วอลล์, ระบบป้องกันการบุกรุก (Intrusion Detection Systems), การกรองเว็บไซท์ที่อนุญาตให้พนักงานเข้าดูได้, ตลอดจนการใช้ระบบเครือข่ายส่วนตัวเสมือน (Virtual Private Networks) ที่นับเป็นเทคโนโลยีใหม่ และได้รับความนิยมในการใช้งานอย่างมากในปัจจุบัน โดยทั้งหมดที่ได้กล่าวมานั้น ถือเป็นการป้องกันโดยทั่วไปในระดับเบื้องต้น สำหรับการเชื่อมต่อสู่โครงข่ายอินเทอร์เน็นขององค์กรจากผู้บุกรุก
แต่อย่างไรก็ตาม ในขณะที่บริษัทหรือองค์กรให้ความสำคัญกับการรักษาความปลอดภัยจากการเชื่อมต่อ แต่หลายต่อหลายครั้งพวกเขาได้ลืมไปว่าอุปกรณ์เครือข่ายของพวกเขา ก็ต้องระวังว่าจะไม่โดนแฮกค์ ซึ่งการเชื่อมต่อจากระยะไกลของพนักงานสู่อินเทอร์เน็ต โดยที่ไม่ผ่านโครงสร้างระบบรักษาความปลอดภัยขององค์กรนั้น ก็หมายถึงการต่อเชื่อมโดยตรงสู่โครงข่ายอินเทอร์เน็ตสาธารณะ ที่ไม่มีการรักษาความปลอดภัย เช่นการเปิดเบอร์หมุนโมเด็มเข้าสู่เครือข่าย ให้แก่พนักงานซึ่งได้บายพลาส (by pass) ระบบรักษาความปลอดภัยขององค์กรเข้ามา และไม่ต้องมีการไดอัล VPN Client อย่างการต่อเชื่อมผ่านระบบเครือข่ายส่วนตัวเสมือนอีกด้วย และนับว่าเป็นช่องโหว่หนึ่งที่อาจถูกมองข้ามไปจากผู้ดูแลระบบ และหลายกรณีนั้นผู้ดูแลระบบเองนั่นแหละที่เป็นผู้เปิดช่องไว้
การเร่งการใช้งานเทคโนโลยีใหม่ๆ ในการต่อเชื่อมเข้าสู่ระบบที่ไม่มีการดำเนินการอย่างรอบครอบ ซึ่งในทุกๆ ครั้งที่มีการเพิ่มวิธีการใหม่ๆ ในการเชื่อมต่อเข้าสู่ระบบนั้น ก็นับได้ว่าเป็นการเพิ่มช่องทางให้กับผู้บุกรุก ในการเจาะระบบเราเพิ่มขึ้นด้วย อาทิเช่น การติดตั้งการใช้งานระบบเครือข่ายไร้สาย และการเปลี่ยนเครื่องคอมพิวเตอร์เป็นแบบที่มีการติดตั้งอุปกรณ์ไร้สายในตัว มาใช้งานในสำนักงานนั้น อาจเป็นต้นเหตุให้มีผู้ที่ไม่ใช่พนักงานบริษัท สามารถที่จะจับรหัสสัญญาณในขณะที่มีการบูทเครื่อง หรือการที่ปล่อยให้บุคคลอื่นใช้เครื่อง หลังจากมีการต่อเชื่อมสู่เครือข่ายแล้ว ก็อาจจะเป็นต้นเหตุให้ผู้บุกรุก สามารถเจาะระบบเครือข่ายเราได้ ทั้งนี้ทั้งนั้นในปัจจุบัน ก็ได้มีการพัฒนาด้านการรักษาความปลอดภัยในการใช้เครือข่ายไร้สายมากยิ่งขึ้น และถ้ามีการดำเนินการอย่างถูกต้อง และเลือกใช้เทคโนโลยีด้านการรักษาความปลอดภัยผ่านระบบไร้สายอย่างเคร่งครัดแล้ว ก็สามารถวางใจได้ ซึ่งอยากจะฝากเป็นข้อคิดไว้สำหรับทุกๆ ท่านว่า อย่างมองแค่ว่าฟังค์ชันต่างๆ ด้านความปลอดภัย ที่มีมาด้วยกับอุปกรณ์เครือข่ายไร้สายนั้นไม่มีความจำเป็น ซึ่งถ้าท่านเลือกใช้อุปกรณ์ที่ไม่มีหรือมีฟังค์ชันด้านความปลอดภัยบางอย่าง โดยอาจจะไปดูแค่การประหยัดในการซื้ออุปกรณ์ ราคาถูกเพียงอย่างเดียวนั้น อาจจะเป็นสาเหตุที่ระบบของท่านอาจถูกบุกรุก และสร้างความเสียหายมากกว่าการลงทุนใช้อุปกรณ์ ที่มีประสิทธิภาพดีกว่า ซึ่งถ้าเกิดเหตุการณ์เหล่านั้นขึ้นมาแล้ว การลงทุนที่สูงอีกสักนิดนั้น มันเปรียบเทียบไม่ได้เลยกับมูลค่าความเสียหายที่มีต่อระบบและองค์กรของท่าน
การละเลยและไม่ปฏิบัติตามนโยบายด้านไอทีและความปลอดภัยขององค์กรนั้น ก็นับเป็นอีกสาเหตุหนึ่งที่ถูกมองข้าม ซึ่งการเน้นย้ำอย่างจริงจัง จะสามารถลดความเสี่ยงด้านความปลอดภัยของระบบไอทีขององค์กรได้อย่างมาก โดยสิ่งเหล่านี้ สามารถทำได้โดยเจ้าหน้าที่และผู้ดูแลระบบ ในแผนกเทคโนโลยีสารสนเทศ เช่นว่าการปฏิเสธการต่อเชื่อมเข้าสู่ระบบจากระยะไกล ของผู้ใช้ที่ไม่มีคุณสมบัติตามมาตรฐานที่ตั้งไว้ อาทิเช่นไม่มีซอฟท์แวร์ป้องกันไวรัสที่ทันสมัยเป็นต้น ทั้งนี้ผู้บริหารและแผนกบุคคลขององค์กร ต้องมีการสื่อสารและเน้นย้ำนโยบายด้านความปลอดภัย ตลอดจนข้อพึงปฏิบัติต่างและโทษที่จะได้รับถ้าไม่ปฏิบัติตาม
สิ่งที่กล่าวมาทั้งหมดนี้เป็นเพียงส่วนหนึ่ง ที่มักจะเป็นข้อผิดพลาดสำหรับการดูแลด้านความปลอดภัยขององค์กรและ สามารถที่จะใช้หลักการเดียวกันสำหรับการใช้งานในสำนักงานขนาดเล็ก และการใช้งานภายในบ้านก็ได้ เช่นว่าก่อนที่จะนำเอาแผ่นดิสค์ใดมาเปิดในเครื่องคอมพิวเตอร์ ต้องทำการสแกนไวรัสเสียก่อน ซึ่งนับเป็นนโยบายที่ท่านสามารถตั้งขึ้นมา และเน้นให้ทุกคนภายในบ้านปฏิบัติตาม ก็จะสามารถลดความเสี่ยงที่เครื่องคอมพิวเตอร์ของท่านจะติดไวรัสได้
| Create Date : 17 ธันวาคม 2551 | | |
| Last Update : 17 ธันวาคม 2551 9:59:05 น. |
| Counter : 239 Pageviews. |
| |
|
| |
|
|
|
การประยุกต์ใช้มาตราฐานสากลด้านความปลอดภัยข้อมูลกับงานบริหารความเสี่ยงระบบสารสนเทศในองค์กรอย่างได้ผล
กล่าวถึงเรื่องการบริหารความเสี่ยง หรือ Risk Management นั้น ปัจจุบันนี้นับว่าเป็นเรื่องที่หลายองค์กร ยากที่จะหลีกเลี่ยงได้ เนื่องจากปัญหาด้านความปลอดภัยกับข้อมูล หรือ Information Security ได้ทวีความรุนแรงและได้สร้างความเสียหายมากขึ้นไปตามกระแสการใช้งานระบบสารสนเทศ และอินเตอร์เน็ตในองค์กรที่เพิ่มขึ้น ตลอดจน เรื่องของ กฎข้อบังคับ และ กฎหมายต่างๆ ที่ออกมาบังคับให้องค์กรสมัยใหม่ต้องปฏิบัติตาม ดังที่ เราเรียกกันติดปากว่า "Regulatory Compliance" โดยเฉพาะอย่างยิ่งองค์กรที่ต้องทำธุรกิจและธุรกรรมในประเทศสหรัฐอเมริกา ซึ่งจะต้องผ่านข้อกำหนดกฎข้อบังคับต่างๆ ของกฎหมาย SOX, HIPAA และ GLBA ซึ่งกฎหมายเหล่านี้ล้วนแล้วแต่ต้องมีความเกี่ยวข้องกับ การบริหารความเสี่ยงระบบสารสนเทศ (IT Risk Management) ในองค์กรแทบทั้งสิ้น
ปัญหาที่เกิดขึ้น ก็คือ มาตรฐานสากลต่างๆ ที่ว่าด้วยการบริหารความเสี่ยงเหล่านี้มีอยู่หลายมาตรฐานด้วยกัน บางมาตรฐานก็ไม่เหมาะสำหรับการประเมินความเสี่ยงระบบสารสนเทศ (IT Risk Assessment) ทำให้องค์กรหลายแห่งเกิดปัญหาในการเลือกใช้มาตรฐานต่างๆ อาทิ เช่น
* มาตรฐานของ NIST (National Institute of Standards and Technology) ได้แก่ NIST 800-30 "Risk Management Guide for Information Technology Systems"
* มาตรฐานของ Australia และ New Zealand ได้แก่ AS/ NZS 4360:2004
* มาตรฐานของ Software Engineering Institute (SEI) แห่งมหาวิทยาลัย Carnegie Mellon ได้แก่มาตรฐาน OCTAVE ซึ่งย่อมาจาก Operationally Critical Threat, Asset and Vulnerability Evaluation
ยังไม่รวมถึงเฟรมเวิร์ค (Framework) ต่างๆที่หลายคนคงเคยได้ยินไม่ว่าจะเป็น COSO Framework , CoBit Framework และ ISO/ IEC17799 ซึ่งขณะนี้ได้เปลี่ยนเป็น ISO/IEC 27001 เป็นต้น เรียกได้ว่า ผู้บริหารด้านความปลอดภัยข้อมูลขององค์กรหลายคนเกิดความสับสนและไม่รู้ว่าจะนำมาตรฐานหรือเฟรมเวิร์คใดมาใช้ให้เหมาะสมกับการบริหารความเสี่ยงระบบสารสนเทศในองค์กรของตน
ก่อนอื่น เรามาทำความเข้าใจกับคำว่า "Methodologies" และ "Frameworks" เสียก่อน ความหมายของ Risk Management Methodologies ได้แก่ ขั้นตอน หรือ วิธีการในการบริหารความเสี่ยงอย่างถูกต้องตามหลักการมาตรฐานสากลที่ทั่วโลกยอมรับและนำมาประยุกต์ใช้กันโดยทั่วไป ส่วน "Framework" นั้น หมายถึง ขั้นตอน หรือ วิธีการที่ช่วยให้องค์กรได้ "Compliance" ตามหลักการมาตรฐานสากล ยกตัวอย่าง เช่น ถ้าพูดถึงการควบคุมภายใน หรือ "Internal Control" ก็จะหมายถึง COSO Framework หรือ Corporate Governance แต่ถ้าพูดถึง "IT Governance" ก็จะหมายถึง CobiT Framework ที่กำหนดขอบเขตแคบลงมาเจาะลึกในส่วนของระบบสารสนเทศ และ ถ้ากล่าวถึง Information Security Management System หรือ ISMS จะหมายถึง มาตรฐานสากล ISO/IEC 27001 (ชื่อเดิม ISO/ IEC 17799) นั่นเอง
เราจะสังเกตได้ว่าทั้ง COSO, CobiT และ ISO/ IEC 27001 นั้น ได้กล่าวถึงเรื่องของ Risk Assessment และ Risk Management ด้วยกันทั้งสิ้น แต่ทว่ายังไม่มีรายละเอียดเจาะลึกในการทำ Risk Management และ Assessment ต่างจากมาตรฐาน NIST 800-30, OCTAVE หรือ AS/ NZS 4360:2004 นั่นคือเราต้องนำมาตรฐานดังกล่าวมาประยุกต์ใช้อีกครั้งหนึ่งเพื่อลงในรายละเอียดเพิ่มมากขึ้น และ ใน CobiT นั้น ได้กล่าวถึงเรื่องของ Risk Management ไว้ใน PO9 (Planning and Organization) ซึ่งก็จะลงรายละเอียดในระดับหนึ่ง แต่ยังไม่ละเอียดเหมือนกับมาตรฐานทั้งสาม ดังที่ได้กล่าวมาแล้ว
สำหรับมาตรฐาน NIST 800-30 นั้น จะเน้นเรื่อง Threat and Vulnerability Identification, Likelihood determination, Impact Analysis และ Control Recommendations นั่นคือ ต้องกำหนด ภัย และ ช่องโหว่ ของระบบให้ได้เสียก่อน จากนั้นจึงดูโอกาสของความเสี่ยงที่อาจจะเกิดขึ้น ประกอบกับ ผลกระทบจากความเสี่ยงดังกล่าว ตลอดจนถึงวิธีการแก้ไขปัญหาของความเสี่ยงในรูปแบบต่างๆ โดยมาตรฐาน NIST 800-30 ถือเป็นต้นแบบซึ่งมาตรฐานอื่นๆ นำไปปรับปรุงแก้ไขให้มีรายละเอียดเน้นไปตามวัตถุประสงค์ของมาตรฐานนั้นๆ
ในส่วนมาตรฐาน OCTAVE ของ SEI นั้นจะเน้นไปที่ "คน และ กระบวนการ" (People and Process) โดยมีการทำเวิร์คช็อปเป็นทีม (Team Workshop) ประกอบด้วย ทั้งผู้บริหาร และ ฝ่ายปฎิบัติการจากส่วนของการรักษาความปลอดภัยข้อมูลคอมพิวเตอร์ และจากส่วนของการบริหารธุรกิจ ซึ่ง OCTAVE จะมีการใช้ Checklists และ Questionnaires ในการสอบถามทีมที่เข้าร่วมเวิร์คช็อป เพื่อที่จะให้ทุกคนได้เข้าใจเรื่องของความเสี่ยง และ รู้จักวิเคราะห์ผลกระทบของความเสี่ยงที่อาจเกิดขึ้น ซึ่ง OCTAVE จะลงรายละเอียดได้ดีกว่า NIST 800-30 เพราะผู้ร่วมทีมแต่ละคนจะมีความเข้าใจกระบวนการ (Process) ที่ตัวเองรับผิดชอบอยู่ได้เป็นอย่างดี
สำหรับมาตรฐาน AS/ NZS 4360:2004 นั้นจะครอบคลุมเนื้อหาด้านการบริหารความเสี่ยงที่กว้างกว่า NIST 800-30 และ OCTAVE เนื่องจาก AS/ NZS 4360:2004 จะเน้นเรื่องของสถานการณ์ทางด้านการเงิน ความปลอดภัยของพนักงาน และ ความเสี่ยงในการตัดสินใจทางธุรกิจของผู้บริหารด้วย องค์กรที่มีความจำเป็นต้อง "Compliance"กฎหมาย SOX, HIPAA และ GLBA นั้นมักจะเริ่มที่มาตรฐาน NIST 800-30 ก่อน จากนั้นก็ค่อยปรับลงรายละเอียดเข้าสู่มาตรฐาน OCTAVE ซึ่งจะใช้เวลามากกว่า แต่จะได้ผลดีตรงการทำเวิร์คช็อปที่ความต้องการด้านความปลอดภัยและความต้องการด้านการดำเนินธุรกิจได้มาปรับให้เข้ากัน และเหมาะสมกับการดำเนินงานขององค์กร
สำหรับ ISO/ IEC 17799 และ ISO/ IEC 27001 ถือได้ว่าเป็นมาตรฐานสากล (International Standard) ด้านการบริหารจัดการเรื่องของความปลอดภัยข้อมูล ซึ่งจะครอบคลุมเรื่องสำคัญต่างๆ อาทิ เช่น Security Policy และ Security Incident Management ซึ่งวัตถุประสงค์ก็ไม่ได้ต่างจากวัตถุประสงค์ของการบริหารความเสี่ยงระบบสารสนเทศ ซึ่งก็คือการลดความเสี่ยง (Risk Reduction) ให้อยู่ในจุดที่ยอมรับได้ (Risk Acceptance Level) โดยมีสมมุติฐานเหมือนกันคือ "เราไม่สามารถลดความเสี่ยงให้เท่ากับศูนย์ได้ แต่เราสามารถบริหารจัดการความเสี่ยงให้อยู่ในจุดที่เรายอมรับในความเสียหายที่เกิดขึ้นได้ และ สามารถทำให้องค์กรดำเนินงานได้ต่อเนื่องอย่างไม่ติดขัด"
กล่าวโดยสรุปคือ "การบริหารความเสี่ยงนั้นขึ้นอยู่กับมุมมอง" ถ้าเรามองด้านธุรกิจ การบริหารความเสี่ยงของธุรกิจก็จะขึ้นกับการตัดสินใจของผู้บริหาร เช่น ตัดสินใจว่าจะผลิตสินค้า หรือจะยกเลิกการผลิตสินค้า เป็นต้น แต่ถ้าเรามองในด้านความปลอดภัยข้อมูลสารสนเทศ เรามักจะเจาะลึกถึงขั้นตอนรายละเอียดในการปฎิบัติการ ตลอดจนรายละเอียดทางด้านเทคนิค ซึ่งต้องมีกระบวนการประเมินความเสี่ยงอื่นเสริมเข้ามาช่วยด้วย เช่น การทำ Vulnerability Assessment และ Penetration Testing เพื่อช่วยให้เราเกิดความมั่นใจกับความปลอดภัยของระบบสารสนเทศมากขึ้น
ดังนั้น ขอบเขตของงานประเมินความเสี่ยง และ งานบริหารความเสี่ยง จึงขึ้นกับความต้องการของผู้บริหารในแต่ละองค์กร และขึ้นกับลักษณะในการดำเนินงานขององค์กร แต่สิ่งหนึ่งที่ทุกองค์กรเหมือนกัน ก็คือ ควรจะต้องมีการบริหารจัดการความเสี่ยงระบบสารสนเทศอย่างจริงจัง แล ะตรวจสอบผลลัพธ์ได้ชัดเจน โดยผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) ควรจะเข้ามาประเมินอย่างน้อยปีละหนึ่งครั้ง เพื่อให้แน่ใจว่าได้เป็นไปตามแนวทางที่ถูกต้องตามมาตรฐานสากล และ สนับสนุนแนวความคิดเรื่อง IT Governance และ Corporate Governance ในที่สุด
________________________________________
จาก : หนังสือ eWeek Thailand
ปักษ์หลัง ประจำ เดือนเมษายน 2549
Update Information : 24 เมษายน 2549
| Create Date : 17 ธันวาคม 2551 | | |
| Last Update : 17 ธันวาคม 2551 9:51:14 น. |
| Counter : 300 Pageviews. |
| |
|
| |
|
|
|
การบริหารความเสียงขององค์กรและการกำกับดูแลด้านความมั่นคงปลอดภัยระบบสารสนเทศ
Risk management
การบริหารความเสี่ยง
เนื่องจากความเสี่ยงอาจไปสู่ผลเสียหรือความสูญเสียต่อองค์กรได้ทั้งทางตรงและทางอ้อม ผู้บริหารขององค์กรจึงต้องเข้าใจประเภทของความเสี่ยงที่องค์กรเผชิญอยู่เพื่อที่จะได้เลือกวิธีการที่เหมาะสมในการบริหารความเสี่ยงเหล่านั้นได้อยู่ระดับที่องค์กรสามารถรองรับได้ และทำให้องค์กรบรรลุวัตถุประสงค์ได้อย่างมีประสิทธิภาพมากขึ้น
วัตถุประสงค์ของการบริหารความเสี่ยงสามารถแบ่งออกเป็นกลุ่มได้ ดังนี้
1.วัตถุปะสงค์ก่อนความสูญเสีย :
วัตถุประสงค์ของการบริหารความเสี่ยงก่อนความสูญเสียเป็นวัตถุประสงค์สำหรับการเตรียมการขององค์กร เพื่อวางแผนป้องกันความสูญเสีย เช่น การวิเคราะห์ความเสี่ยงขององค์กร รวมไปถึงความพยายามที่จะลดความกังวลของผู้บริหารและพนักงานก่อนที่จะเกิดความสูญเสียเพื่อไม่ให้สูญเสียโอกาสในการทำกำไร หรือประสิทธิภาพการทำงาน
2.วัตถุปะสงค์หลังความสูญเสีย :
เป็นการวางแผนเพื่อความอยู่รอดขององค์กรเมื่อเกิดความสูญเสียขึ้น โดยการทำแผนรองรับความสูญเสียล่วงหน้า ซึ่งครอบคลุมการวางแผนการบริหารความเสี่ยง เพื่อรองรับเหตุการณ์ที่เกิดความสูญเสียขึ้นกับองค์กรแผนการเยียวยาความสูญเสีย แผนการดำเนินงานหลักเกิดความสูญเสีย โอกาสความรับผิดชอบผู้อื่นและสังคมหลังเกิดความสูญเสีย เป็นต้น ทั้งนี้ หน่วยงานภาครัฐต้องให้ความสำคัญกับวัตถุปะสงค์นี้มากกว่าภาคเอกชน เพราะงานบริการของหน่วยงานภาครัฐมีความสำคัญต่อความเป็นอยู่ของประชาชน และความอยู่รอดของท้องถิ่น และประเทศชาติ
ความเสี่ยงของบริบทราชการไทย
ความเสี่ยงของหน่วยงานภาครัฐมีความแตกต่างจากภาคเอกชน เนื่องจากวิสัยทัศน์และภารกิจที่แตกต่างกัน โดยในภาคเอกชนั้น ความเสี่ยงทางการเงินเป็นความเสี่ยงที่สำคัญที่สุด เพราะแผนยุทธศาสตร์ของหน่วยงานจะมุ่งเน้นไปที่การสร้างกำไรสูงสุด ในขณะที่แผนยุทธศาสตร์ของหน่วยงานภาครัฐจะมุ่งเน้นที่การตอบสนองนโยบายรัฐและให้บริการประชาชน ดังนั้น การบริหารความเสี่ยงของหน่วยงานภาครัฐจึงเกี่ยวกับความเสี่ยงเชิงนโยบาย
ทั้งนี้ ความเสี่ยงของบริบทราชการไทย ที่นับว่าเป็นเหตุให้การดำเนินงานตามแผนยุทธศาสตร์ไม่ประสบความสำเร็จ ได้แก่
1.ความเสี่ยงเชิงนโยบาย :
ครอบคลุมความเสี่ยงที่เกี่ยวข้องกับนโยบายและแผนกลยุทธ์ของหน่วยงานรวมไปถึงการตัดสินใจด้านบริหารที่ส่งผลต่อทิศทางของหน่วยงาน ในทางที่ไม่ส่งเสริมหรือเป็นอุปสรรคต่อการปฏิบัติงานตามแผนยุทธศาสตร์
2.ความเสี่ยงจากการดำเนินงาน :
เป็นความเสี่ยงที่เกิดขึ้นในกระบวนการทำงานตามแผนยุทธศาสตร์และส่งผลกระทบต่อความสำเร็จของการดำเนินงานตามแผนยุทธศาสตร์ เช่น การขาดความร่วมมือจากหน่วยงานที่เกี่ยวข้อง การออกแบบกระบวนการปฏิบัติงานที่ไม่เหมาะสมการปฏิบัติงานผิดพลาดหรือล่าช้า การขาดข้อมูลหรือเครื่องมือที่จำเป็น เป็นต้น
3.ความเสี่ยงทางการเงิน :
การบริหารงบประมาณที่ไม่มีประสิทธิภาพเพียงพอ อาจทำให้โครงการหรือการดำเนินงานตามแผนยุทธศาสตร์ ไม่สามารถดำเนินการได้อย่างต่อเนื่องหรือสำเร็จลุล่วงภายใต้กรอบเวลาที่กำหนด ซึ่งอาจเป็นเพราะการประเมินค่าใช้จ่ายของโครงการไว้ต่ำกว่าที่ควรจะเป็น หรือการเพิ่มขึ้นของราคาวัสดุอุปกรณ์ รวมไปถึงการขาดการจัดสรรเงิน หรือทรัพยากรที่มีอยู่เกิดประโยชน์อย่างเหมาะสม
4.ความเสี่ยงด้านเหตุการณ์ :
เป็นความเสี่ยงที่ไม่ได้เกิดประจำ แต่ส่งผลกระทบต่อสัมฤทธิ์ผลตามแผนยุทธศาสตร์ และไม่สามารถคาดการณ์การเกิดความสูญเสียได้อย่างแม่นยำ รวมไปถึงเหตุการณ์ที่เกิดจากปัจจัยภายนอกที่อยู่นอกเหนือการควบคุม เช่น ความเสี่ยงทางการเมือง การโยกย้ายผู้บริหาร ภัยธรรมชาติ เป็นต้น
ขั้นตอนในการบริหารความเสี่ยงขององค์กร
ขั้นตอนที่หนึ่ง :
ซึ่งเป็นขั้นตอนที่สำคัญที่สุดก่อนการวางแผนการบริหารความเสี่ยงขององค์กร คือ การสร้างความรู้สึกร่วมในงานบริหารความเสี่ยงขององค์กร ให้พนักงานทุกคนเห็นความสำคัญและประโยชน์ของการบริหารความเสี่ยง เพื่อให้ทุกคนให้ความร่วมมือ และพร้อมที่จะปฏิบัติตามมาตรการในการบริหารความเสี่ยงขององค์กรในขั้นตอนต่างๆ โดยการให้ความรู้ และให้พนักงานทุกระดับมีส่วนร่วมในการออกความเห็นเกี่ยวกับประเด็นความเสี่ยงที่องค์กรเผชิญ จากนั้น ควรมอบหมาย ผู้รับผิดชอบงานบริหารความเสี่ยงขององค์กร(Chief Risk Officer: CRO) โดยเป็นผู้ที่มีความรู้ความเข้าใจเกี่ยวกับองค์กรเป็นอย่างดี และสามารถปฏิบัติงานร่วมกับผู้บริหารในส่วนงานอื่นขององค์กรได้ ทั้งนี้ CRO จะมีหน้าที่ในการกำหนดขอบเขตและเป้าหมายงานบริหารความเสี่ยงร่วมกับทีมงานด้านอื่นขององค์กร วางกรอบแนวทางวิเคราะห์ความเสี่ยง สร้างทีมงานบริหารความเสี่ยงขององค์กร เป็นอีกขั้นตอนหนึ่งที่สำคัญของการเริ่มทำการบริหารความเสี่ยงในองค์กร โดยควรจะประกอบด้วยผู้เชี่ยวชาญในด้านต่างๆ ที่จำเป็นในการวิเคราะห์และบริหารความเสี่ยงขององค์กร
ขั้นตอนที่สอง :
คือ การวางขอบเขตและวัตถุประสงค์ของงานบริหารความเสี่ยง การเก็บข้อมูลความเสี่ยงขององค์กรโดยศึกษาร่วมกับหน่วยงานต่างๆ ขององค์กรเพื่อเก็บข้อมูลและระบุความเสี่ยงที่องค์กรเผชิญ ซึ่งจะต้องระบุให้ได้มากที่สุดเท่าที่จะมากได้ จากนั้นก็ประเมินผลกระทบของความเสี่ยงในด้านต่างๆ ที่มีต่อองค์กร ซึ่งสามารถแยกเป็นความถี่และความรุนแรงของความสูญเสีย
ขั้นตอนต่อไปอีก คือ
การสร้างแผนภูมิความเสี่ยง เพื่อให้ผู้บริหารและทุกคนในองค์กรได้เห็นภาพรวมเดียวกันว่า ความเสี่ยงมีการกระจายตัวตามความถี่และความรุนแรงอย่างไร เพื่อให้ผู้บริหารความเสี่ยงสามารถเลือกจัดการกับความเสี่ยง ที่มีความสำคัญมากที่สุดได้ก่อน รวมทั้งจัดลำดับของความเสี่ยงที่ควรได้รับการจัดการก่อนหลังตามความเหมาะสมหลังจากได้ลำดับของความเสี่ยงที่ควรได้รับการจัดการก่อนหลังแล้ว
ขั้นตอนที่สาม :
การวิเคราะห์เพื่อวางแผนกลยุทธ์ในการจัดการกับแต่ละความเสี่ยง ซึ่งทีมงานบริหารความเสี่ยงสามารถพิจารณา 4 ทางเลือกหลัก คือ การหลีกเลี่ยงความเสี่ยง การรับความเสี่ยงไว้เอง การควบคุมความสูญเสีย การถ่ายโอนความเสี่ยง โดยควรคำนึงถึงต้นทุนและผลประโยชน์ที่จะได้รับภายใต้ทางเลือกต่างๆ
เมื่อได้ทางเลือกที่เหมาะสมในการบริหารความเสี่ยงแล้ว ทีมงานบริหารความเสี่ยงต้องกำหนดแผนกลยุทธ์การบริหารความเสี่ยงที่แต่ละหน่วยงานต้องร่วมกันปฏิบัติ ซึ่งการนำแผนกลยุทธ์การบริหารความเสี่ยงไปสู่การปฏิบัตินั้น จะต้องอาศัยความเข้าใจและความร่วมมือจากทุกฝ่ายที่เกี่ยวข้อง
ขั้นตอนที่สี่ :
คือ การติดตามประเมินผลแผนกลยุทธ์การบริหารความเสี่ยง ซึ่งเป็นขั้นตอนสำคัญในการศึกษาปัญหาและอุปสรรค ในการปฏิบัติตามแผนกลยุทธ์การบริหารความเสี่ยง และช่วยให้ทีมงานบริหารความเสี่ยงได้ข้อมูลเพิ่มเติม เพื่อนำไปปรับปรุงกลยุทธ์ความเสี่ยงให้มีประสิทธิภาพสูงขึ้น
ทั้งนี้ การบริหารความเสี่ยงเป็นงานที่ต้องทำอย่างต่อเนื่อง ความเสี่ยงแต่ละประเภทเปลี่ยนไปตามความเปลี่ยนแปลงของโลก การบริหารความเสี่ยงจึงต้องได้รับความประเมินผล และปรับปรุงให้สอดคล้องกับสถานการณ์ปัจจุบัน การประเมินผลจึงไม่ใช่ขั้นตอนสุดท้ายของการบริหารความเสี่ยง แต่เป็นขั้นตอนที่นำไปสู่ระบบการบริหารความเสี่ยง ที่มีความต่อเนื่องและทันต่อเหตุการณ์
| Create Date : 17 ธันวาคม 2551 | | |
| Last Update : 17 ธันวาคม 2551 9:36:35 น. |
| Counter : 363 Pageviews. |
| |
|
| |
|
|
|
|
|
|
|
|
|
|
MY VIP Friend
 |
|
|
|
ฝากข้อความหลังไมค์
Rss Feed
ผู้ติดตามบล็อก : 1 คน [