การจัดการด้านไอทีเพื่อลดความเสี่ยง การดูแลความต่อเนื่องของธุรกิจ การเพิ่มมาตรการรักษาความปลอดภัยของข้อมูลในองค์กร ถือเป็นปัจจัยสู่ความสำเร็จอย่างหนึ่งทางธุรกิจ
การจัดการด้านไอทีเพื่อลดความเสี่ยง การดูแลความต่อเนื่องของธุรกิจ การเพิ่มมาตรการรักษาความปลอดภัยของข้อมูลในองค์กร ถือเป็นปัจจัยสู่ความสำเร็จอย่างหนึ่งทางธุรกิจ |
. |
ผู้บริหารเทคโนโลยีในทุกวันนี้คือนักรบของโลกยุคใหม่ ซึ่งต้องต่อสู้กับภัยคุกคามรอบด้าน โดยแทนที่จะทดสอบความกล้าหาญด้วยการต่อสู้กับเสือร้ายและนักรบผู้กล้า เจ้าหน้าที่ฝ่ายไอทีกลับต้องรับมือกับคู่ต่อสู้ที่แฝงตัวอยู่ในเงามืด ทั้งเหล่าแฮกเกอร์ที่มุ่งทำลายระบบ ตลอดจนกฎระเบียบที่ซับซ้อนของอุตสาหกรรมและของรัฐ และพวกเขายังค้นพบว่านี่คือสงครามที่พวกเขาไม่สามารถจัดการได้ด้วยตนเอง |
. |
ดังนั้น ฝ่ายไอทีของบริษัทจึงจำต้องค้นหากลยุทธ์ที่มีประสิทธิภาพ เพื่อให้ก้าวล้ำหน้าความเสี่ยงที่มีเพิ่มขึ้นเรื่อยๆ ความเสี่ยงนี้เกิดจากปัจจัยต่างๆ ไม่ว่าจะเป็น ความล้มเหลวของโครงสร้างพื้นฐาน ภัยพิบัติทางธรรมชาติ และความพยายามในการล่วงละเมิดระบบรักษาความปลอดภัย พร้อมกันนั้นพวกเขายังต้องนำเสนอบริการใหม่ๆ และพร้อมที่จะฉวยโอกาสที่เกิดขึ้นในทันที เมื่อคู่แข่งมีการเคลื่อนไหวหรือเกิดการเปลี่ยนแปลงในตลาด |
. |
ในการรับมือกับความเสี่ยงและโอกาสเหล่านี้ สิ่งหนึ่งที่เห็นได้ชัดเจนคือ ระบบไอทีต้องมีกระบวนการจัดการที่ดีและสามารถบริหารความเสี่ยงได้อย่างมีประสิทธิภาพ เพื่อให้โครงการด้านไอทีขององค์กรสอดคล้องไปในแนวทางเดียวกับเป้าหมายทางธุรกิจ |
. |
ด้วยเหตุนี้ การจัดการด้านไอทีและการบริหารความเสี่ยงจึงกลายเป็นภารกิจที่สำคัญที่สุดสำหรับผู้บริหารขององค์กรธุรกิจทั่วโลก ทั้งนี้ ในประเด็นเรื่องการรักษาความปลอดภัย องค์กรต้องรับมือกับภัยคุกคามทางด้านไอทีหลากหลายรูปแบบ ตั้งแต่การใช้สคริปต์ทั่วไปโจมตีระบบ ไปจนถึงการใช้โปรแกรมทำลายที่ซับซ้อนขึ้น เช่น เวิร์ม หรือไวรัส รวมถึงแฮกเกอร์ที่มีความเชี่ยวชาญมากขึ้น ซึ่งอาจเป็นพวกที่อยากรู้อยากเห็น หรือเป็นพวกที่มุ่งทำลายล้างและโจรกรรมข้อมูล |
. |
นอกเหนือจากภัยคุกคามภายนอกเหล่านี้แล้ว ยังมีภัยคุกคามภายในจากพนักงานในองค์กรนั้นเอง ซึ่งผลการศึกษาบ่งชี้ว่า ในบางครั้ง ผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลในองค์กรอาจสร้างภัยคุกคามต่อระบบความปลอดภัยได้มากกว่าแฮกเกอร์ภายนอกเสียอีก เพราะผู้ใช้เหล่านี้สามารถเข้าถึงอุปกรณ์คอมพิวเตอร์ รวมทั้งเข้าถึงข้อมูลทางธุรกิจผ่านระบบ และพวกเขาอาจนำทรัพยากรหรือข้อมูลนั้นไปใช้ในทางที่ผิด ทั้งโดยตั้งใจหรือไม่ตั้งใจ อันนำไปสู่ผลเสียหายในภายหลังได้ |
. |
นอกจากนั้น ขณะที่บริษัทพยายามปรับปรุงระบบรักษาความปลอดภัย พวกเขายังต้องประพฤติปฏิบัติให้สอดคล้องตามกฎระเบียบขององค์กรที่ออกใหม่อยู่ตลอดเวลา โดยกฎระเบียบใหม่โดยส่วนมากกำหนดขอบเขตที่องค์กรปัจจุบันจะต้องยึดถือในการจัดการดูแลข้อมูล ควบคุมการเข้าถึง จำกัดช่องโหว่ รวมทั้งรักษาความครบถ้วนสมบูรณ์และความโปร่งใสของข้อมูลโดยรวมความบกพร่องของระบบความปลอดภัยอาจทำให้เกิดการละเมิดกฎระเบียบเหล่านี้โดยไม่ได้ตั้งใจได้ ดังนั้นการจัดการระบบความปลอดภัยที่ดีจึงกลายเป็นเรื่องสำคัญมากขึ้นกว่าในอดีต |
. |
การจัดการความเสี่ยง |
การจัดการด้านสารสนเทศให้มีประสิทธิภาพไม่ใช่เรื่องง่าย โดยเฉพาะอย่างยิ่งการดำเนินงานด้านเทคโนโลยีในปัจจุบัน กลายเป็นเป้าหมายที่สำคัญมากขึ้นในธุรกิจ และได้กลายเป็นระบบงานที่สำคัญที่สุดขององค์กรธุรกิจส่วนใหญ่ตลอด 20 ปีที่ผ่านมา ด้วยเหตุนี้ การดำเนินงานด้านไอทีจึงมีความซับซ้อนมากขึ้น และนำไปสู่ความเสี่ยงใหม่ๆ มากมาย |
. |
สืบเนื่องจากความร่วมมือกันทางธุรกิจและระบบบริหารห่วงโซ่อุปทาน ที่ขยายตัวครอบคลุมทั่วโลกมากขึ้น ดังนั้นปัญหาที่เกิดขึ้นในส่วนใดส่วนหนึ่งของโลกจึงอาจกลายเป็นปัญหาด้านไอทีของทั้งองค์กรโดยง่ายดาย ยิ่งกว่านั้น การจัดการด้านไอทีในทุกวันนี้ต้องมีการบริหารความเสี่ยงไม่เฉพาะในด้านการรักษาความปลอดภัยแบบดั้งเดิมและการปฏิบัติให้สอดคล้องตามกฎระเบียบเท่านั้น หากยังต้องดูแลในเรื่องประสิทธิภาพของระบบ ความพร้อมใช้งานของทรัพยากร และความสมบูรณ์ถูกต้องของบริการด้านไอทีอีกด้วย |
. |
กลยุทธ์การบริหารความเสี่ยงที่ดีต้องใช้การมองแบบองค์รวม คือ ต้องให้ความใส่ใจกับบุคคลและการเข้าถึงข้อมูลของบุคคลนั้น นอกเหนือจากการดูแลระบบคอมพิวเตอร์ แอพพลิเคชั่นซอฟต์แวร์ และข้อมูลที่จัดเก็บ นอกจากนี้ องค์กรยังต้องเชื่อมโยงความปลอดภัยให้กับคอมพิวเตอร์และอุปกรณ์ต่างๆ ทั้งระบบ รวมถึงพยายามปรับลดความเสี่ยงควบคู่กันไปด้วย |
. |
วิธีหนึ่งในการช่วยให้บริษัทสามารถปรับลดความเสี่ยงและบริหารระบบไอทีได้มีประสิทธิภาพ คือ เริ่มต้นด้วยโครงการไอทีใหม่ที่มีประสิทธิภาพสูงสุด โดยสอดคล้องกับแนวทางธุรกิจมากขึ้น พร้อมทั้งปรับปรุงการตรวจสอบและการควบคุมระบบไอทีตลอดอายุการใช้งาน องค์กรสามารถปรับปรุงการดำเนินงานและความฉับไวของธุรกิจด้วยการเพิ่มประสิทธิภาพในการจัดการบริการ การรักษาความต่อเนื่องของธุรกิจ และการรักษาความปลอดภัย |
. |
ในฐานะที่เป็นส่วนสำคัญที่สุดของธุรกิจ ฝ่ายไอทีต้องปรับตัวอย่างรวดเร็วเมื่อความต้องการด้านบริการธุรกิจเปลี่ยนไป โดยจะต้องตอบสนองความต้องการใหม่ๆ และรับมือกับภัยคุกคามใหม่ๆ ได้อย่างทันท่วงที ปัจจุบัน ผู้บริหารฝ่ายสารสนเทศ (CIO) และผู้จัดการฝ่ายไอทีต้องสามารถบริหารระบบไอทีทั่วทั้งองค์กรได้อย่างมีประสิทธิภาพ |
. |
ความต่อเนื่องของธุรกิจ |
ในการจัดการระบบไอทีและการบริหารความเสี่ยง ผู้นำขององค์กรยังต้องมีแผนการรักษาความต่อเนื่องในการดำเนินงาน เพื่อไม่ให้มีการสะดุดหากมีปัญหาเกิดขึ้น และเพื่อให้องค์กรสามารถฟื้นตัวได้จากปัญหา ผู้บริหารขององค์กรต้องมั่นใจว่าพวกเขาได้เตรียมพร้อมแล้วสำหรับปัญหาที่คาดเดาได้และปัญหาที่คาดไม่ถึง ทั้งนี้เพื่อรักษาความต่อเนื่องในการดำเนินธุรกิจ |
. |
ในความเป็นจริงแล้ว ความสามารถในการฟื้นตัวของธุรกิจควรเป็นส่วนประกอบสำคัญของกลยุทธ์ธุรกิจและกลยุทธ์ด้านไอที ด้วยการดำเนินงานและโครงสร้างพื้นฐานที่ถูกออกแบบมาเพื่อให้สามารถจัดการกับความท้าทาย เช่น ปัญหาจากไฟฟ้าดับ การตรวจสอบ ความผันผวนของความต้องการ หรือการควบรวมกิจการ เป็นต้น ผู้บริหารฝ่ายสารสนเทศและผู้จัดการฝ่ายไอทีควรดำเนินการประเมินระบบภายในอย่างสม่ำเสมอ เพื่อระบุว่าหน่วยงานธุรกิจส่วนใดสำคัญที่สุด หน่วยงานใดเป็นจุดอ่อนขององค์กร พร้อมทั้งประเมินโอกาสที่จะเกิดผลกระทบต่อประสิทธิภาพของการปฏิบัติงานและผลการดำเนินงาน เมื่อการประเมินเสร็จสิ้น ผู้บริหารจะสามารถจัดสรรบุคลากร กำหนดแผนงาน และติดตั้งเทคโนโลยีได้อย่างเหมาะสม เพื่อให้แน่ใจว่าข้อมูล บริการ และการสนับสนุนจะพร้อมใช้สำหรับทุกส่วนงาน |
. |
การนำแผนความต่อเนื่องของธุรกิจไปใช้งานเป็นส่วนหนึ่งของกลยุทธ์การบริหารความเสี่ยงและการจัดการที่ดี จะช่วยทำลายจุดอ่อนภายในองค์กร และสร้างแนวทางการปฏิบัติงานที่ดีที่สุด ทำให้มีระบบสำรองและระบบป้องกัน เพื่อช่วยให้ธุรกิจดำเนินไปได้อย่างเหมาะสม |
. |
ความปลอดภัยของข้อมูล |
ข้อมูลธุรกิจเปรียบเสมือนเส้นเลือดหล่อเลี้ยงการดำเนินงานขององค์กร และการปกป้องข้อมูลเป็นสิ่งจำเป็นอย่างยิ่งที่จะทำให้การดำเนินงานเป็นไปด้วยดี องค์กรต้องปกป้องข้อมูลให้ครอบคลุมมากที่สุดเท่าที่เป็นได้ตลอดอายุการใช้งานของข้อมูลเพื่อให้สามารถดำเนินธุรกิจได้อย่างต่อเนื่องรวมทั้งสอดคล้องตามกฎระเบียบของอุตสาหกรรมและของรัฐบาล ในขณะที่ภัยคุกคามข้อมูลมีการพัฒนารวดเร็วกว่าเดิม |
. |
ผู้จัดการด้านระบบเครือข่ายและระบบรักษาความปลอดภัยต้องเผชิญกับสงครามประจำวันที่เกิดจากการโจมตีแบบอัตโนมัติ การโจมตีแบบมุ่งเป้าหมาย และการเจาะระบบภายใน ซึ่งอาจเป็นการกระทำจากภัยคุกคามภายนอกและผู้ใช้ที่มีสิทธิ์เข้าถึงข้อมูลในองค์กรนั้นเอง |
. |
ทุกวันนี้ องค์กรต้องรับมือกับกฎระเบียบใหม่ๆ มากมายที่ระบุว่า องค์กรควรจัดการข้อมูลธุรกิจภายในองค์กรอย่างไร ใครควรมีสิทธิ์เข้าถึงข้อมูลนี้ และภายใต้สถานการณ์ใดบ้างที่สามารถหรือไม่สามารถเปลี่ยนแปลงได้ การปกป้องข้อมูลธุรกิจเกี่ยวข้องกับการจำกัดข้อมูลให้กับบุคคลากรที่เหมาะสมทั้งภายในและภายนอกหน่วยงาน การคงรักษาความถูกต้องของข้อมูล เนื่องจากต้องมีการป้องกันข้อมูลจากความพยายามเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต และการทำให้ข้อมูลสามารถพร้อมใช้งานได้ต่อเนื่องสำหรับการดำเนินงานของธุรกิจ |
. |
ด้วยการนำกลยุทธ์การประเมินระบบรักษาความปลอดภัยที่ครอบคลุมทุกส่วนไปใช้งาน องค์กรจะสามารถรับทราบว่า บริเวณใดเป็นจุดอ่อนในการโจมตีที่สุด ควรใช้ทางแก้ปัญหาใดในการจัดการจุดอ่อนเหล่านั้น และจะผสมผสานทางแก้ปัญหาเหล่านั้นเข้ากับโครงสร้างพื้นฐานด้านสารสนเทศอย่างไรให้เหมาะสมที่สุด ทั้งนี้ เพื่อรับมือกับภัยคุกคามในปัจจุบันและภัยคุกคามในอนาคต ในการประเมินระบบรักษาความปลอดภัย องค์กรจำเป็นที่จะต้องตรวจสอบว่าการปฏิบัติตามกฎระเบียบใหม่จะก่อให้เกิดปัญหาเรื่องความปลอดภัยมากน้อยเพียงใด และจะต้องค้นหาทางลัดไปสู่การแก้ปัญหาในกรณีที่มีการตรวจสอบหรือการละเมิดระบบรักษาความปลอดภัยเกิดขึ้น |
. |
การจัดการตัวตนของผู้ใช้ (Identity Management) เป็นส่วนประกอบสำคัญอีกอย่างหนึ่งของกลยุทธ์การจัดการด้านสารสนเทศที่มีประสิทธิภาพ เนื่องจากช่วยให้ฝ่ายจัดการไอทีสามารถกำหนดบัญชีผู้ใช้และรหัสผ่านให้กับพนักงานและลูกค้าได้อย่างรวดเร็วและปลอดภัย ทั้งยังช่วยให้สามารถจำกัด จัดการ และติดตามการเข้าถึง และตั้งรหัสผ่านพนักงานให้ตรงกันเพื่อลดการใช้ข้อมูลธุรกิจในทางที่ผิดทั้งโดยตั้งใจและไม่ตั้งใจ |
. |
องค์กรที่มีความเชี่ยวชาญย่อมตระหนักถึงความสำคัญในการนำกระบวนการจัดการไอทีไปใช้งานอย่างมีประสิทธิภาพ การกำหนดเป้าหมายประสิทธิภาพทางด้านไอที และการนำกลยุทธ์บริหารความเสี่ยงไปใช้งาน พื่อจำกัดผลกระทบเชิงลบต่อความปลอดภัย และปรับปรุงความสามารถของการดำเนินธุรกิจอย่างยืดหยุ่นการดำเนินกลยุทธ์นี้ให้ประสบความสำเร็จเป็นสิ่งสำคัญมาก เนื่องจากองค์กรทุกวันนี้ได้รับแรงกดดันจากการแข่งขันทั่วโลกที่เพิ่มขึ้น ความต้องการของลูกค้าที่ซับซ้อนมากยิ่งขึ้น และภัยคุกคามความปลอดภัยที่พัฒนาขึ้นตลอดเวลา |
. |
ภาคอุตสาหกรรมและรัฐบาลจะยังคงเรียกร้องให้องค์กรเอกชนต่าง ๆ ปฏิบัติตามกฎระเบียบเกี่ยวกับความเป็นส่วนตัวของข้อมูล ความปลอดภัย และความต่อเนื่องของธุรกิจ ในขณะที่ภัยคุกคามด้านความปลอดภัยทั้งภายในและภายนอกองค์กรจะยังคงเพิ่มขึ้นอย่างต่อเนื่อง และองค์กรธุรกิจที่ขาดความพร้อมก็จะต้องแบกรับค่าใช้จ่ายที่สูงขึ้นและเผชิญกับการกำกับดูแลที่เข้มงวด |
. |
กล่าวโดยสรุปก็คือ การประเมินระบบรักษาความปลอดภัยและความสอดคล้องตามกฎระเบียบ การใช้งานเทคโนโลยีที่สามารถจัดการตนเอง (self-managing) และการบริหารความเสี่ยงโดยอาศัยประสบการณ์ที่มีอยู่ จะช่วยให้องค์กรสามารถรับมือกับปัญหาและความเปลี่ยนแปลงได้อย่างเหมาะสม และช่วยปรับปรุงผลประกอบการได้อย่างเป็นรูปธรรม แม้สงครามนี้ไม่ใช่สงครามที่มุ่งหมายชีวิต หากแต่ในโลกของธุรกิจ ผู้ที่อยู่รอดคือผู้ที่ปรับตัวได้ดีที่สุดเท่านั้น |
. |
ที่มา : ไอบีเอ็ม ประเทศไทย |