ทางการเปลี่ยนแปลงของกระบวนการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศทั่วโลก และ สถานการณ์ล่าสุดของประเทศไทย
แนวโน้มการเปลี่ยนแปลงของกระบวนการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศ ในวันนี้กำลังเป็นเรื่องสำคัญที่หลายองค์กรทั้งภาครัฐและเอกชนทั่วโลกมีความจำเป็นต้องปรับตัวให้เข้ากับยุคสงครามไซเบอร์ (Cyber Warfare) เพื่อป้องกันองค์กรจากภัยอินเทอร์เน็ต (Internet Threat) ที่นับวันจะยิ่งทวีความรุนแรงมากขึ้นในลักษณะที่เราเรียกว่า "Blend Threat" ซึ่งหมายถึงโปรแกรมจำพวก "MalWare" หรือ "Malicious Software" ที่เป็นทั้ง ไวรัส (Virus) สปายแวร์ (Spy ware) โทรจัน (Trojan Horse) เวิร์ม (Worm) และ หน่วยทำลายระบบ (Denial of Service Agent) ผสมผสานกันภายในโปรแกรมเพียงโปรแกรมเดียว ซึ่งอาจมาในรูปไฟล์นามสกุล .PIF, .HTA, .SCR, .ZIP หรือ แม้กระทั่งไฟล์นามสกุล .JPG ก็ยังอันตราย คอมพิวเตอร์เพียงตัวเดียวเช่นเครื่องโน๊ตบุ๊ค ที่ติดไวรัส หรือ ถูกติดตั้งโปรแกรม MalWare แบบอัตโนมัติ โดยที่ผู้ใช้ไม่รู้ตัว อาจทำอันตรายแก่ระบบคอมพิวเตอร์และระบบเครือข่ายขององค์กรใหญ่ๆได้อย่างง่ายดายภายในไม่กี่นาที ดังนั้นการป้องกันความปลอดภัยระบบสารสนเทศขององค์กรอย่างเป็นระบบและได้มาตรฐาน ซึ่งนับวันทุกองค์กรจะขาดระบบสารสนเทศเสียไม่ได้ จึงเป็นเรื่องที่มีความสำคัญอย่างยิ่งยวดในปัจจุบัน และอนาคต
ทิศทางการเปลี่ยนแปลงของกระบวนการจัดการความปลอดภัยข้อมูลทั่วโลกนั้น แบ่งออกได้เป็น 3 ระยะ ได้แก่
ระยะที่ 1 IT Control Best Practices, Standards and Frameworks
ระยะที่ 2 IT Control Regulations
ระยะที่ 3 IT Control Laws and Legislations
ในระยะที่หนึ่ง IT Control Best Practices, Standards and Frameworks องค์กรจะคำนึงถึงมาตรฐานด้านความปลอดภัยคอมพิวเตอร์ที่สามารถนำมาอ้างอิงในการป้องกันรักษาความปลอดภัยให้กับระบบสารสนเทศขององค์กร ลักษณะของมาตรฐาน IT Control Standard ดังกล่าวเรียกได้ว่าเป็น "Best Practices" คือ สูตรสำเร็จที่ได้รับการยอมรับกันโดยทั่วไป เช่น มาตรฐาน ISO/IEC 17799 ของ BSI หรือ มาตรฐาน ITIL {(IT Infrastructure Library) ของ OGC (Office of Government Commerce) ประเทศอังกฤษ
สำหรับ IT Control Framework ที่สามารถนำมาอ้างอิงและประยุกต์การใช้งานร่วมกับมาตรฐานดังกล่าวได้แก่ CobiT (Control Objectives for Information and related Technology) Framework และ COSO Framework ซึ่งเป็นมาตรฐานที่ธนาคารพาณิชย์ และ บริษัทหลักทรัพย์ นิยมนำมาใช้อ้างอิง โดยเฉพาะผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) ที่ได้รับการรับรองมาตรฐาน เช่น CISA (Certified Information Systems Auditor) มักจะนำ CobiT Framework มาเป็น Framework ในการตรวจสอบระบบสารสนเทศ สำหรับ COSO Framework นั้นประกอบด้วยรายละเอียด 5 หัวข้อหลัก ได้แก่ Control Environment, Risk Assessment, Control Activities, Information and Communication และ Monitoring
ถามว่าองค์กรโดยทั่วไปควรอ้างอิงมาตรฐานใดดี เช่น จะนำ ISO/IEC17799 หรือ ITIL มาเป็น IT Control Standard ที่ต้องการให้องค์กร "Compliance" หรือ "ผ่าน" มาตรฐานดังกล่าว บางองค์กรถามว่าจะนำ CobiT Framework หรือ COSO ERM (Enterprise Risk Management) Framework มาใช้อ้างอิงดี คำตอบก็คือ ต้องผสมผสานข้อดีจาก Best Practices, Standards และ Frameworks ต่างๆ เข้าด้วยกัน หรือ เลือกนำมาใช้เพียงบางส่วน ยกตัวอย่างเช่นเรื่อง "Risk Assessment" นั้นเป็นเรื่องสำคัญที่มีอยู่ในทุก Standards และ Frameworks เป็นเรื่องที่หลีกเลี่ยงไม่ได้และจำเป็นต้องนำมาปฏิบัติ ส่วนขั้นตอนในการปฏิบัติ องค์กรสามารถประยุกต์ให้เข้ากับธุรกิจขององค์กรได้ เพราะระบบสารสนเทศของแต่ละองค์กรย่อมมีความแตกต่างกัน ซึ่งกับรูปแบบในการดำเนินธุรกิจขององค์กรนั้นๆ กล่าวโดยสรุป ในระยะที่หนึ่งนั้นองค์กรจะนำเป็น IT Control Standard and Framework มาปฏิบัติหรือไม่ ขึ้นอยู่กับวิสัยทัศน์ของผู้บริหารองค์กร
ในระยะที่สอง IT Control Regulations องค์กรจะถูกบังคับโดยหน่วยงานกลางที่มีหน้าที่ในการควบคุมองค์กรที่อยู่ในความรับผิดชอบ เช่น ธนาคารแห่งประเทศไทยควบคุมธนาคารพาณิชย์ หรือ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ (กลต.) ควบคุม บริษัทหลักทรัพย์ เป็นต้น ยกตัวอย่างเช่น ประกาศสำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ เรื่อง การควบคุมการปฏิบัติงานและการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศของบริษัทหลักทรัพย์ที่บริษัทหลักทรัพย์ทุกที่ต้องปฏิบัติตามเพื่อให้เกิดความปลอดภัยของระบบสารสนเทศ ตามที่ กลต. ได้ประกาศเป็นต้น
ในระยะที่สาม IT Control Laws and Legislations ซึ่งเป็นระยะสุดท้ายนั้นเกิดขึ้นแล้วในประเทศสหรัฐอเมริกา และ ในประเทศไทย กล่าวคือ ในประเทศสหรัฐอเมริกาได้ทำการออกกฏหมายที่เกี่ยวข้องกับระบบสารสนเทศ ได้แก่ GLBA (Gramm-Leach-Bliley Act) , HIPAA (Health Insurance Portability and Accountability Act) และ ล่าสุด SOA (Sarbanes-Oxley Act) ซึ่งเป็นกฏหมายที่มีความเกี่ยวข้องกับ COSO Framework ซึ่งถูกนำมาใช้ในการควบคุมภายใน (Internal Control) สำหรับแนวโน้มของขั้นตอนที่สามในประเทศไทย อ้างอิงจากจาก กฎหมายเกี่ยวกับธุรกรรมทางอิเล็กทรอนิกส์ (Electronic Transactions Law) ล่าสุดคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ ได้ออกมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์มาเป็นแนวทางในการปฏิบัติให้แก่องค์กรโดยทั่วไป ข้อมูลเพิ่มเติมดูได้ที่ www.etcommission.go.th
ข้อสังเกตจากระยะที่สองได้แก่ ธนาคารพาณิชย์ ตลอดจน บริษัทหลักทรัพย์ มีความจำเป็นต้องทำให้องค์กร "Compliance" หรือ "ผ่าน" มาตรฐานและกฏเกณฑ์ต่างๆ ที่ถูกประกาศโดยธนาคารแห่งประเทศไทย และ กลต. ซึ่งถือเป็น จุดเริ่มต้นที่ดีแก่ประเทศไทยในด้านการควบคุมความปลอดภัยข้อมูลด้านเทคโนโลยีสารสนเทศ สำหรับองค์กรอื่นที่ไม่ได้อยู่ในการควบคุมของ ธนาคารแห่งประเทศไทย และ กลต. นั้นอาจไม่มีความจะเป็นต้องปฏิบัติตามโดยตรงแต่สามารถนำประกาศดังกล่าวไปประยุกต์ใช้ในองค์กรของตนโดยอ้อมเพื่อให้เกิดประโยชน์ได้เช่นกัน
การจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพ (Information Security Management Framework - ISMF)
ทุกวันนี้ความเสี่ยง (Risk) ของระบบข้อมูลคอมพิวเตอร์มีเพิ่มมากขึ้นทุกวัน เนื่องจากระบบที่เราใช้อยู่ไม่ว่าจะเป็นค่าย Microsoft หรือค่าย Unix ตลอดจนระบบ Open Source ที่ใช้ Linux เป็นหลัก ล้วนมีช่องโหว่ (Vulnerability) ด้วยกันทั้งสิ้น ช่องโหว่เหล่านี้เกิดขึ้นทุกวัน โดยเฉลี่ยแต่ละเดือนมีมากกว่า 10 ช่องโหว่ขึ้นไป
ข้อมูลช่องโหว่ที่ถูกค้นพบของระบบปฏิบัติการต่างๆ จะถูกรวบรวมและให้ชื่อว่า CVE ย่อมาจาก (Common Vulnerabilities and Exposures) ถ้าเราเข้าไปดูจะพบว่าช่องโหว่ เกิดขึ้นอย่างต่อเนื่องโดยเฉพาะช่องโหว่ Buffer Overflow ซึ่งเป็นที่มาของ Virus ต่างๆ ตั้งแต่ CodeRed, Nimda, จนถึง Blaster และ Nachi Worm ซึ่งกำลังทำให้หลายองค์กรในประเทศไทยมีปัญหาอยู่ในเวลานี้ เนื่องจากเจ้า Nachi Worm อาศัยช่องโหว่ของระบบปฏิบัติการตระกูล Windows ตั้งแต่ NT,2000,XP จนถึง 2003 ทำการเข้ายึดครองเครื่องตระกูล Windows ที่มีช่องโหว่แต่ไม่ได้รับการแก้ไขที่ถูกต้อง ในทางเทคนิคเราเรียกว่า ยังไม่ได้ Patch ซึ่งเครื่อง Windows ในองค์กรนั้นมีใช้อยู่มากมาย บางองค์กรมีมากกว่าหนึ่งพันเครื่อง การเข้าไป Patch ระบบ Windows ทุกตัว ในทางปฏิบัติจึงทำได้ยากมาก
จากข้อมูลข้างต้น เราพบว่าการที่จะให้บุคลากรในองค์กรจัดการกับปัญหาเรื่องระบบความปลอดภัยข้อมูลนั้นไม่ใช่เรื่องง่าย ต้องอาศัยความรู้ทางด้านเทคนิคขั้นสูงจากผู้เชี่ยวชาญด้าน Information Security โดยตรง การติดตั้ง Firewall และ IDS (Intrusion Detection System) นั้นเป็นแต่เพียงการผ่อนหนักให้เป็นเบา แต่ไม่สามารถป้องกันความเสี่ยงให้กับระบบของเราได้ทั้งหมด ยังไงก็ต้องอาศัย "คน" ที่มีความเชี่ยวชาญมาดูแลระบบของเราอยู่ดี ดังนั้น กระแสการจัดจ้างบริษัทมาดูแลระบบที่เรานิยมเรียกว่า IT Outsourcing จึงค่อนข้างมาแรงในช่วง 2-3 ปีให้หลัง และมีแนวโน้มที่จะเพิ่มขึ้นอย่างต่อเนื่อง โดยเฉพาะการ Outsourcing Managed Security Services (MSS) ดูเหมือนจะเป็นทางออกที่ดีสำหรับผู้บริหารที่ต้องการโอนความเสี่ยง (Transfer Risk) ทางด้านการจัดการ Information Security ไปให้กับผู้ให้บริการรับดูแลที่เรียกว่า Managed Security Service Provider (MSSP) อย่างไรก็ตาม การเลือก MSSP นั้นก็เป็นเรื่องสำคัญที่ต้องนำมาคิดเช่นเดียวกัน และก่อนที่เราจะเลือก MSSP มาให้บริการนั้น เราควรทำการตรวจสอบระบบของเราเองเสียก่อนว่าพร้อมที่จะให้ MSSP มาดูแลหรือไม่
การวิเคราะห์ (Analyze) และ ตรวจสอบ (Audit) ระบบ ถือเป็นการประเมินความเสี่ยง (Risk Assessment) ให้กับระบบของเรา เพื่อดูว่าระบบของเรานั้นมีความแข็งแกร่งต่อการโจมตีของ Hacker เพียงใด และระบบได้รับการติดตั้งอย่างถูกต้องหรือไม่ ซึ่งการทำ Risk Assessment นั้นถือเป็นขั้นตอนที่ 1 ที่เราควรทำเป็นการเริ่มต้นของ Information Security Management Framework (ISMF) ซึ่งมีทั้งหมด 7 ขั้นตอน โดยมีรายละเอียดดังนี้
การวิเคราะห์ (Analyze) และ ตรวจสอบ (Audit) ระบบ ถือเป็นการประเมินความเสี่ยง (Risk Assessment) ให้กับระบบของเรา เพื่อดูว่าระบบของเรานั้นมีความแข็งแกร่งต่อการโจมตีของ Hacker เพียงใด และระบบได้รับการติดตั้งอย่างถูกต้องหรือไม่ ซึ่งการทำ Risk Assessment นั้นถือเป็นขั้นตอนที่ 1 ที่เราควรทำเป็นการเริ่มต้นของ Information Security Management Framework (ISMF) ซึ่งมีทั้งหมด 7 ขั้นตอน โดยมีรายละเอียดดังนี้
ขั้นตอนที่ 1 Risk Management / Vulnerability Assessment / Penetration Testing
การวิเคราะห์และประเมินความเสี่ยงของระบบ IT ที่เราใช้งานอยู่ (Risk Assessment and Risk Analysis) ถือเป็นขั้นตอนแรกที่ต้องปฏิบัติ เริ่มจากการทำ Inventory ของระบบ, การทำ Revised Network Diagram ทั้ง Logical และ Physical Diagram ตลอดจนดูขั้นตอนในการปฏิบัติงานของพนักงาน และช่องทางเข้าออกระบบทั้งด้านกายภาพและทางเครือข่าย LAN และ WAN ที่เชื่อมต่อกับระบบ Internet ในบริเวณที่เรียกว่า Perimeter Network ขั้นตอนนี้จะมีการทดสอบเจาะระบบดูช่องโหว่ว่าระบบเรามีช่องโหว่ให้ผู้บุกรุกเข้ามาโจมตี หรือไม่ เราเรียกขั้นตอนนี้ว่า "Vulnerability Assessment" จากนั้น เราควรลองเจาะระบบเพื่อนำเอาข้อมูลหรือ username/password ของระบบออกมาเพื่อดูความแข็งแกร่งในการป้องกันตนเองของระบบด้วย ขั้นตอนนี้เราเรียกว่า "Penetration Testing" จากนั้นเราจะได้รายงานสรุป (Risk Assessment Summary Report) ที่ทำให้เรารู้ถึงจุดอ่อนของระบบเรา ตลอดจนวิธีการที่จะทำให้ระบบของเราปลอดภัยต่อไป
การวิเคราะห์และประเมินความเสี่ยงของระบบ IT ที่เราใช้งานอยู่ (Risk Assessment and Risk Analysis) ถือเป็นขั้นตอนแรกที่ต้องปฏิบัติ เริ่มจากการทำ Inventory ของระบบ, การทำ Revised Network Diagram ทั้ง Logical และ Physical Diagram ตลอดจนดูขั้นตอนในการปฏิบัติงานของพนักงาน และช่องทางเข้าออกระบบทั้งด้านกายภาพและทางเครือข่าย LAN และ WAN ที่เชื่อมต่อกับระบบ Internet ในบริเวณที่เรียกว่า Perimeter Network ขั้นตอนนี้จะมีการทดสอบเจาะระบบดูช่องโหว่ว่าระบบเรามีช่องโหว่ให้ผู้บุกรุกเข้ามาโจมตี หรือไม่ เราเรียกขั้นตอนนี้ว่า "Vulnerability Assessment" จากนั้น เราควรลองเจาะระบบเพื่อนำเอาข้อมูลหรือ username/password ของระบบออกมาเพื่อดูความแข็งแกร่งในการป้องกันตนเองของระบบด้วย ขั้นตอนนี้เราเรียกว่า "Penetration Testing" จากนั้นเราจะได้รายงานสรุป (Risk Assessment Summary Report) ที่ทำให้เรารู้ถึงจุดอ่อนของระบบเรา ตลอดจนวิธีการที่จะทำให้ระบบของเราปลอดภัยต่อไป
ขั้นตอนที่ 2 Critical Hardening/Patching/Fixing
หลังจากที่เราได้ประเมินความเสี่ยงในขั้นตอนที่หนึ่งไปแล้วนั้น เราพบว่ามีช่องโหว่ที่จัดอยู่ในระบบ Critical คือ สามารถก่อความเสียหายให้กับองค์กร เราจึงต้องควรทำการปิดช่องโหว่เหล่านั้น โดยการ Hardening ระบบของเรา หมายถึงการปิด Port ต่างๆ ที่ไม่จำเป็นต้องใช้, การติดตั้ง Firewall เพิ่มเติม หรือ การแก้ไข Rules ที่ Firewall ให้ถูกต้องตลอดจนการติดตั้ง Patch หรือ Hotfix เพื่อแก้ปัญหาช่องโหว่ต่างๆ ที่เราสามารถ download patch ได้จาก Web site ของผู้ผลิต การติดตั้ง Patch นั้นควรมีกรรมวิธีในการจัดการ เราไม่อาจติดตั้ง Patch ทั้งหมดได้ เนื่องจาก Patch มีจำนวนมาก ตลอกจน Workstation และ Server ที่เราใช้งานอยู่ก็มีจำนวนมาก อาจเกิดผลกระทบจากการติดตั้ง Patch เราควรปฏิบัติตามคำแนะนำของผู้เชี่ยวชาญ หรือใช้ Tools ในการช่วยติดตั้ง Patch จะทำให้เราของเราง่ายขึ้นมาก
หลังจากที่เราได้ประเมินความเสี่ยงในขั้นตอนที่หนึ่งไปแล้วนั้น เราพบว่ามีช่องโหว่ที่จัดอยู่ในระบบ Critical คือ สามารถก่อความเสียหายให้กับองค์กร เราจึงต้องควรทำการปิดช่องโหว่เหล่านั้น โดยการ Hardening ระบบของเรา หมายถึงการปิด Port ต่างๆ ที่ไม่จำเป็นต้องใช้, การติดตั้ง Firewall เพิ่มเติม หรือ การแก้ไข Rules ที่ Firewall ให้ถูกต้องตลอดจนการติดตั้ง Patch หรือ Hotfix เพื่อแก้ปัญหาช่องโหว่ต่างๆ ที่เราสามารถ download patch ได้จาก Web site ของผู้ผลิต การติดตั้ง Patch นั้นควรมีกรรมวิธีในการจัดการ เราไม่อาจติดตั้ง Patch ทั้งหมดได้ เนื่องจาก Patch มีจำนวนมาก ตลอกจน Workstation และ Server ที่เราใช้งานอยู่ก็มีจำนวนมาก อาจเกิดผลกระทบจากการติดตั้ง Patch เราควรปฏิบัติตามคำแนะนำของผู้เชี่ยวชาญ หรือใช้ Tools ในการช่วยติดตั้ง Patch จะทำให้เราของเราง่ายขึ้นมาก
ขั้นตอนที่ 3 Practical Security Policy
ขณะที่เราจัดการกับระบบในขั้นตอนที่ 2 ซึ่งต้องใช้เวลาพอสมควร เราสามารถทำงานขนานกับขั้นตอนที่ 2 ได้ โดยการจัดทำ Practical Information Security Policy ให้กับองค์กรของเรา โดยนำหลักการนโยบายด้าน INFOSEC มาจากหลายๆ หน่วยงาน เช่น ISO17799, CBK (Common Body of Knowledge) ของ ISC2 ตลอดจน CobiT ของ ISACA และ SANS/FBI Top 20 ของสถาบัน SANS ร่วมกับ FBI มาใช้ในการทำ "Practical Security Policy" หมายถึง การนำมาประยุกต์ใช้ให้ตรงกับความต้องการขององค์กร ซึ่ง Policy ต้องมีการปรับแต่ง แก้ไขให้เหมาะสมกับองค์กรด้วย
ขณะที่เราจัดการกับระบบในขั้นตอนที่ 2 ซึ่งต้องใช้เวลาพอสมควร เราสามารถทำงานขนานกับขั้นตอนที่ 2 ได้ โดยการจัดทำ Practical Information Security Policy ให้กับองค์กรของเรา โดยนำหลักการนโยบายด้าน INFOSEC มาจากหลายๆ หน่วยงาน เช่น ISO17799, CBK (Common Body of Knowledge) ของ ISC2 ตลอดจน CobiT ของ ISACA และ SANS/FBI Top 20 ของสถาบัน SANS ร่วมกับ FBI มาใช้ในการทำ "Practical Security Policy" หมายถึง การนำมาประยุกต์ใช้ให้ตรงกับความต้องการขององค์กร ซึ่ง Policy ต้องมีการปรับแต่ง แก้ไขให้เหมาะสมกับองค์กรด้วย
ขั้นตอนที่ 4 Defense In-Depth / Best Practices Implementation
คำว่า "Defense In-Depth" หมายถึง การจัดการกับระบบความปลอดภัยข้อมูลขององค์กรอย่างละเอียดรอบคอบ โดยพิจารณาตั้งแต่ Border Router ที่ต่อเชื่อม Internet จาก ISP ผ่านมาที่ Firewall หลักขององค์กร ตลอดจนการติดตั้ง IDS หรือ IPS (Intrusion Prevention System) และ การจัดการภายใน LAN ของระบบ การแก้ไขปัญหาภายใน LAN ที่อุปกรณ์เครือข่าย เช่น Core Switching/Core Router ตลอดจน Server ต่างๆ ที่อยู่ใน LAN ซึ่งถือว่าเป็นภายในแต่ยังไม่ปลอดภัยจาก Virus ต่างๆ ในเวลานี้ที่จะโจมตีเครือข่าย LAN ภายในมากขึ้น เราจึงต้องมีการนำ "Best Practices" ซึ่งเป็นสูตรสำเร็จในการจัดการกับอุปกรณ์เครือข่าย ตลอดจน Workstation และ Server ที่เราใช้งานอยู่ทั้งใน DMZ และบริเวณ LAN ภายใน ขั้นตอนนี้จะใช้เวลานานกว่าเมื่อเทียบกับขั้นตอนที่ 1 และ 2
คำว่า "Defense In-Depth" หมายถึง การจัดการกับระบบความปลอดภัยข้อมูลขององค์กรอย่างละเอียดรอบคอบ โดยพิจารณาตั้งแต่ Border Router ที่ต่อเชื่อม Internet จาก ISP ผ่านมาที่ Firewall หลักขององค์กร ตลอดจนการติดตั้ง IDS หรือ IPS (Intrusion Prevention System) และ การจัดการภายใน LAN ของระบบ การแก้ไขปัญหาภายใน LAN ที่อุปกรณ์เครือข่าย เช่น Core Switching/Core Router ตลอดจน Server ต่างๆ ที่อยู่ใน LAN ซึ่งถือว่าเป็นภายในแต่ยังไม่ปลอดภัยจาก Virus ต่างๆ ในเวลานี้ที่จะโจมตีเครือข่าย LAN ภายในมากขึ้น เราจึงต้องมีการนำ "Best Practices" ซึ่งเป็นสูตรสำเร็จในการจัดการกับอุปกรณ์เครือข่าย ตลอดจน Workstation และ Server ที่เราใช้งานอยู่ทั้งใน DMZ และบริเวณ LAN ภายใน ขั้นตอนนี้จะใช้เวลานานกว่าเมื่อเทียบกับขั้นตอนที่ 1 และ 2
ขั้นตอนที่ 5 Security Awareness/Technical/Know-how Transfer Training
ขั้นตอนนี้เป็นขั้นตอนที่หลายๆ คนมองข้าม และ ไม่ค่อยให้ความสนใจ แต่ในทางปฏิบัตินั้น ถือเป็นเรื่องสำคัญที่ต้องทำ และกระทำอย่างต่อเนื่องทุกปีในองค์กร ได้แก่การจัดฝึกอบรมให้บุคลากรในองค์กรมีความเข้าใจที่ถูกต้องกับปัญหาเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ การฝึกอบรมควรเริ่มจาก กลุ่มผู้บริหารระดับสูง และ กลุ่มผู้บริหารระดับกลางก่อน แล้วตามด้วย กลุ่มผู้ดูแลระบบ และ กลุ่มผู้รับผิดชอบเรื่อง Information Security โดยตรง, กลุ่ม Internal Audit ตลอดจน กลุ่มผู้ใช้คอมพิวเตอร์ทั่วไป เพื่อจะได้ไม่หลงเป็นเหยื่อพวก Virus, AdWare/Spyware และ Trojan ต่างๆ ที่มักจะมากับ e-Mail Attachment และ จากการเข้าชม Web Site ที่ไม่เหมาะสม
ขั้นตอนนี้เป็นขั้นตอนที่หลายๆ คนมองข้าม และ ไม่ค่อยให้ความสนใจ แต่ในทางปฏิบัตินั้น ถือเป็นเรื่องสำคัญที่ต้องทำ และกระทำอย่างต่อเนื่องทุกปีในองค์กร ได้แก่การจัดฝึกอบรมให้บุคลากรในองค์กรมีความเข้าใจที่ถูกต้องกับปัญหาเรื่องความปลอดภัยข้อมูลคอมพิวเตอร์ การฝึกอบรมควรเริ่มจาก กลุ่มผู้บริหารระดับสูง และ กลุ่มผู้บริหารระดับกลางก่อน แล้วตามด้วย กลุ่มผู้ดูแลระบบ และ กลุ่มผู้รับผิดชอบเรื่อง Information Security โดยตรง, กลุ่ม Internal Audit ตลอดจน กลุ่มผู้ใช้คอมพิวเตอร์ทั่วไป เพื่อจะได้ไม่หลงเป็นเหยื่อพวก Virus, AdWare/Spyware และ Trojan ต่างๆ ที่มักจะมากับ e-Mail Attachment และ จากการเข้าชม Web Site ที่ไม่เหมาะสม
ขั้นตอนที่ 6 Internal/External Audit
หลังจากที่เราได้ปฏิบัติตามขั้นตอนที่ 1 จนถึง ขั้นตอนที่ 5 แล้ว เราควรทำการ Audit ระบบอีกครั้งหนึ่งว่า ผลจากการ Assessment ในขั้นตอนที่ 1 เปรียบเทียบกับผลการ Re-Assessment ระบบในขั้นตอนที่ 6 นั้นมีความแตกต่างกันอย่างไร ซึ่งผลที่ได้ ช่องโหว่ควรจะลดลงอยู่ในระดับที่เราพอใจและเชื่อใจระบบได้ เราสามารถตรวจสอบโดยทีม Internal Audit ขององค์กรเราเอง หรือ ใช้บริการ External Audit Service ที่มีความเชี่ยวชาญด้าน Information Security มาตรวจสอบให้เราก็ได้เช่นกัน
หลังจากที่เราได้ปฏิบัติตามขั้นตอนที่ 1 จนถึง ขั้นตอนที่ 5 แล้ว เราควรทำการ Audit ระบบอีกครั้งหนึ่งว่า ผลจากการ Assessment ในขั้นตอนที่ 1 เปรียบเทียบกับผลการ Re-Assessment ระบบในขั้นตอนที่ 6 นั้นมีความแตกต่างกันอย่างไร ซึ่งผลที่ได้ ช่องโหว่ควรจะลดลงอยู่ในระดับที่เราพอใจและเชื่อใจระบบได้ เราสามารถตรวจสอบโดยทีม Internal Audit ขององค์กรเราเอง หรือ ใช้บริการ External Audit Service ที่มีความเชี่ยวชาญด้าน Information Security มาตรวจสอบให้เราก็ได้เช่นกัน
ขั้นตอนที่ 7 Managed Security Services (MSS) / Real time Monitoring using IDS/IPS
จากที่กล่าวมาแล้วในตอนต้น หลังจาก ขั้นตอนที่ 1 และ 6 เรียบร้อยแล้ว เนื่องจากระบบนั้นสามารถเกิดช่องโหว่ใหม่ๆ ได้ตลอดเวลา เราจึงควร Outsourcing การดูแลปัญหาด้านระบบความปลอดภัยข้อมูลคอมพิวเตอร์ให้กับ Managed Security Services Provider (MSSP) ดังนั้น ขั้นตอนที่จำเป็นคือ วิธีการที่จะคัดเลือก MSSP ที่เหมาะสมมาดูแลระบบให้เรา และพิจารณา Services Level Agreement (SLA) ว่าจะให้ดูแลในระดับใดเช่น 5x8 หรือ 24x7 เป็นต้น การดูแลระบบนั้นควรมีการดูแลในลักษณะ Real time Monitoring 24x7 อย่างต่อเนื่อง และ ต้องใช้บุคลากรที่มีความชำนาญผลัดเปลี่ยนกันดูแลตลอด 24 ชั่วโมง เพื่อจะได้สามารถเตือนองค์กรเราได้อย่างทันท่วงทีในกรณีที่เกิดปัญหาและช่องโหว่ใหม่ๆ และ เพื่อไม่ไห้มีผลกระทบในระยะสั้นกับองค์กรของเรา ตลอดจนให้ MSSP รับผิดชอบปัญหาเรื่อง Hacker และ Virus ไปด้วย จะทำให้องค์กรมีความคล่องตัวในการบริหารงานด้าน IT Security มากขึ้น
จากที่กล่าวมาแล้วในตอนต้น หลังจาก ขั้นตอนที่ 1 และ 6 เรียบร้อยแล้ว เนื่องจากระบบนั้นสามารถเกิดช่องโหว่ใหม่ๆ ได้ตลอดเวลา เราจึงควร Outsourcing การดูแลปัญหาด้านระบบความปลอดภัยข้อมูลคอมพิวเตอร์ให้กับ Managed Security Services Provider (MSSP) ดังนั้น ขั้นตอนที่จำเป็นคือ วิธีการที่จะคัดเลือก MSSP ที่เหมาะสมมาดูแลระบบให้เรา และพิจารณา Services Level Agreement (SLA) ว่าจะให้ดูแลในระดับใดเช่น 5x8 หรือ 24x7 เป็นต้น การดูแลระบบนั้นควรมีการดูแลในลักษณะ Real time Monitoring 24x7 อย่างต่อเนื่อง และ ต้องใช้บุคลากรที่มีความชำนาญผลัดเปลี่ยนกันดูแลตลอด 24 ชั่วโมง เพื่อจะได้สามารถเตือนองค์กรเราได้อย่างทันท่วงทีในกรณีที่เกิดปัญหาและช่องโหว่ใหม่ๆ และ เพื่อไม่ไห้มีผลกระทบในระยะสั้นกับองค์กรของเรา ตลอดจนให้ MSSP รับผิดชอบปัญหาเรื่อง Hacker และ Virus ไปด้วย จะทำให้องค์กรมีความคล่องตัวในการบริหารงานด้าน IT Security มากขึ้น
กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่
ตำแหน่งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง หรือ CIO (Chief Information Officer) นั้นเป็นตำแหน่งสำคัญที่ทุกองค์กรทั้ง ภาครัฐ และ เอกชนต้องมีบุคลากรที่รับผิดชอบในเรื่องนี้โดยตรง โดยเฉพาะในองค์กรขนาดใหญ่ CIO ควรมีหน้าที่ในการกำหนดยุทธศาสตร์ (Strategy) ทิศทางด้านเทคโนโลยีสารสนเทศขององค์กร ตลอดจนมาตรการในการรักษาความปลอดภัยเทคโนโลยีสารสนเทศขององค์กร ในกรณีที่ยังไม่มีตำแหน่ง CSO (Chief Security Office) หรือ CISO (Chief Information Security Officer) มารับผิดชอบด้านความปลอดภัยสารสนเทศ โดยตรง CIO ก็ต้องรับผิดชอบเรื่องความปลอดภัยไปด้วยในตัว ซึ่งนับว่าเป็นภาวะความรับผิดชอบที่ค่อนข้างสูง เพราะ เรื่องความปลอดภัยเทคโนโลยีระบบสารสนเทศนั้นมีการเปลี่ยนแปลงอยู่เสมอ CIO ต้องคอยติดตามความเคลื่อนไหวและปรับปรุงความรู้ความสามารถให้สอดคล้องกับสถานการณ์ปัจจุบัน และยังต้องตัดสินใจเรื่องการเลือกใชเทคโนโลยีด้านความปลอดภัยที่เหมาะสมแก่องค์กรทั้งในเรื่องของ TCO (Total Cost of Ownership) และ ROI (Return On Investment) จากข้อมูลของ Gartner เรื่อง Hype Cycle for Information Security 2004 ปัญหาด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศยังเป็นประเด็นสำคัญที่ CIO ต้องให้ความสนใจและจัดการอย่างเป็นระบบดังนั้น CIO ควรมีกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีและเตรียมพร้อมกับสถานการณ์ปัจจุบัน และอนาคตโดยสรุปได้ 6 ข้อดังนี้
1. CIO ต้องมีกลยุทธ์ในการรับผิดชอบดูแลเรื่องการประหยัดงบประมาณ การใช้จ่ายทางด้านเทคโนโลยีสารสนเทศ
การจัดซื้อจัดจ้างระบบเทคโนโลยีสารสนเทศนั้นจำเป็นต้องใช้งบประมาณค่อนข้างสูง การตัดสินใจเลือกใช้เทคโนโลยีใหม่ ๆ จึงเป็นความท้าทายของ CIO เพราะหากตัดสินใจผิดก็อาจส่งผลเสียในระยะยาวให้แก่องค์กรได้ ขณะที่งบประมาณด้านการรักษาความปลอดภัยนั้นมีแนวโน้มที่จะลดลงตามสภาวะเศรษฐกิจโลกที่ถดถอย แต่การโจมตีจากแฮกเกอร์ และ ไวรัสกลับมีแนวโน้มที่เพิ่มขึ้นอย่างมาก ดังนั้น CIO จึงจำเป็นต้อง "Balance" ปรับสมดุล ระหว่างความปลอดภัยขั้นต่ำที่องค์กรควรมี และ งบประมาณที่จะถูกใช้จ่ายออกไปเพื่อให้ได้มาซึ่งอุปกรณ์ฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนการบริการจาก IT Auditor, IT Consultant, System Integrator และ IT Outsourcer รวมถึง งบประมาณการฝึกอบรม Information Security Awareness Training และ Information Security Technical Training จาก IT Training Center ต่าง ๆ อีกด้วย
การจัดซื้อจัดจ้างระบบเทคโนโลยีสารสนเทศนั้นจำเป็นต้องใช้งบประมาณค่อนข้างสูง การตัดสินใจเลือกใช้เทคโนโลยีใหม่ ๆ จึงเป็นความท้าทายของ CIO เพราะหากตัดสินใจผิดก็อาจส่งผลเสียในระยะยาวให้แก่องค์กรได้ ขณะที่งบประมาณด้านการรักษาความปลอดภัยนั้นมีแนวโน้มที่จะลดลงตามสภาวะเศรษฐกิจโลกที่ถดถอย แต่การโจมตีจากแฮกเกอร์ และ ไวรัสกลับมีแนวโน้มที่เพิ่มขึ้นอย่างมาก ดังนั้น CIO จึงจำเป็นต้อง "Balance" ปรับสมดุล ระหว่างความปลอดภัยขั้นต่ำที่องค์กรควรมี และ งบประมาณที่จะถูกใช้จ่ายออกไปเพื่อให้ได้มาซึ่งอุปกรณ์ฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนการบริการจาก IT Auditor, IT Consultant, System Integrator และ IT Outsourcer รวมถึง งบประมาณการฝึกอบรม Information Security Awareness Training และ Information Security Technical Training จาก IT Training Center ต่าง ๆ อีกด้วย
2. CIO ควรกำหนดแผนยุทธ์ศาสตร์ ด้านความปลอดภัยระบบสารสนเทศ (Information Security Strategic Planning) ให้ชัดเจนและนำไปปฏิบัติจริงได้
แผนยุทธ์ศาสตร์ในระยะยาวควรกำหนดออกมาให้ชัดเจน เพื่อเป็นแนวทางในการดำเนินการด้านสารสนเทศและการรักษาความปลอดภัยข้อมูลสารสนเทศ จากนั้น แผนระยะกลางและแผนระยะสั้น ก็ควรถูกกำหนดออกมาเช่นกัน ยกตัวอย่าง เช่น องค์กรควรมีการจัดทำการประเมินความเสี่ยงระบบสารสนเทศ (IT Risk Assessment) เป็นประจำทุกปี และควรมีการจัดทำแผนฝึกอบรม Information Security Awareness Training ในทุกๆ 3 - 6 เดือน เป็นต้น
แผนยุทธ์ศาสตร์ในระยะยาวควรกำหนดออกมาให้ชัดเจน เพื่อเป็นแนวทางในการดำเนินการด้านสารสนเทศและการรักษาความปลอดภัยข้อมูลสารสนเทศ จากนั้น แผนระยะกลางและแผนระยะสั้น ก็ควรถูกกำหนดออกมาเช่นกัน ยกตัวอย่าง เช่น องค์กรควรมีการจัดทำการประเมินความเสี่ยงระบบสารสนเทศ (IT Risk Assessment) เป็นประจำทุกปี และควรมีการจัดทำแผนฝึกอบรม Information Security Awareness Training ในทุกๆ 3 - 6 เดือน เป็นต้น
3. CIO ควรเพิ่มความรู้และมีความรอบรู้เพียงพอเพื่อใช้ประกอบการตัดสินใจเลือกใช้เทคโนโลยีที่เหมาะสมและไม่ล้าสมัยให้แก่องค์กร
ยกตัวอย่างการเลือกใช้ Platform ว่าจะใช้ Windows Server 2003 Platform หรือ UNIX/LINUX Platform การเลือกใช้เทคโนโลยี J2EE (Jave 2 Enterpirse Edition) หรือ เลือกใช้เทคโนโลยี Dot NET ของ Microsoft เป็นต้น การหมั่นเข้าร่วมฟังงานสัมมนาเทคโนโลยีใหม่ ๆ ก็เป็นเรื่องจำเป็นของ CIO เช่นเดียวกัน ซึ่งก็คงต้องปลีกเวลาการทำงานบ้างเพื่อเพิ่มพูนความรู้ใหม่ ๆ ที่เป็นประโยชน์ในการตัดสินใจในอนาคต การเดินทางไปชมงาน ICT Expo ในต่างประเทศ ก็ควรอยู่ในโปรแกรมของ CIO ด้วย
ยกตัวอย่างการเลือกใช้ Platform ว่าจะใช้ Windows Server 2003 Platform หรือ UNIX/LINUX Platform การเลือกใช้เทคโนโลยี J2EE (Jave 2 Enterpirse Edition) หรือ เลือกใช้เทคโนโลยี Dot NET ของ Microsoft เป็นต้น การหมั่นเข้าร่วมฟังงานสัมมนาเทคโนโลยีใหม่ ๆ ก็เป็นเรื่องจำเป็นของ CIO เช่นเดียวกัน ซึ่งก็คงต้องปลีกเวลาการทำงานบ้างเพื่อเพิ่มพูนความรู้ใหม่ ๆ ที่เป็นประโยชน์ในการตัดสินใจในอนาคต การเดินทางไปชมงาน ICT Expo ในต่างประเทศ ก็ควรอยู่ในโปรแกรมของ CIO ด้วย
4. CIO ควรนำองค์กรเข้าสู่มาตรฐานกำหนดความปลอดภัยสารสนเทศที่สากลให้การยอมรับและเตรียมพร้อมสำหรับในการตรวจสอบจากผู้ตรวจสอบระบบสารสนเทศ
การนำมาตรฐานสากลด้านความปลอดภัยระบบสารสนเทศเช่น ISO/IEC17799 หรือ CobiT มาประยุกต์ใช้บางส่วน ถือเป็นเรื่องจำเป็น CIO ต้องให้ความสำคัญเช่นกัน โดยองค์กรอาจจะไม่จำเป็นต้องได้รับใบรับรองมาตรฐาน BS7799-2 ในกรณีที่องค์กรมองว่าประโยชน์ที่ได้รับจากการได้รับใบรับรองมาตรฐานด้านความปลอดภัยนั้นยังไม่ชัดเจน แต่องค์กรก็ควรนำมาตรฐานสากลที่เป็น "Best Practice" ต่าง ๆ มาประยุกต์ใช้ เพื่อความปลอดภัยขององค์กรเอง และ เพื่อให้สอดคล้องกับยุคของ IT Governance การตรวจสอบระบบสารสนเทศโดยผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบภายในเป็นเรื่องจำเป็นที่ต้องทำเป็นประจำทุกปีเพื่อให้แน่ใจถึงระดับของความเสี่ยงที่ผู้บริหารยอมรับได้ และ ไม่ส่งผลกระทบต่อองค์กร
การนำมาตรฐานสากลด้านความปลอดภัยระบบสารสนเทศเช่น ISO/IEC17799 หรือ CobiT มาประยุกต์ใช้บางส่วน ถือเป็นเรื่องจำเป็น CIO ต้องให้ความสำคัญเช่นกัน โดยองค์กรอาจจะไม่จำเป็นต้องได้รับใบรับรองมาตรฐาน BS7799-2 ในกรณีที่องค์กรมองว่าประโยชน์ที่ได้รับจากการได้รับใบรับรองมาตรฐานด้านความปลอดภัยนั้นยังไม่ชัดเจน แต่องค์กรก็ควรนำมาตรฐานสากลที่เป็น "Best Practice" ต่าง ๆ มาประยุกต์ใช้ เพื่อความปลอดภัยขององค์กรเอง และ เพื่อให้สอดคล้องกับยุคของ IT Governance การตรวจสอบระบบสารสนเทศโดยผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบภายในเป็นเรื่องจำเป็นที่ต้องทำเป็นประจำทุกปีเพื่อให้แน่ใจถึงระดับของความเสี่ยงที่ผู้บริหารยอมรับได้ และ ไม่ส่งผลกระทบต่อองค์กร
5. CIO ควรรักษาความสัมพันธ์ที่ดีกับผู้ร่วมงานและพัฒนาการสื่อสารกับผู้ร่วมงานให้มีความชัดเจนและความเข้าใจในทิศทางเดียวกัน
ปัญหาของ CIO ในหลาย ๆ องค์ก คือ CIO ไม่สามารถอธิบายการทำงานด้านสารสนเทศต่าง ๆ ให้แก่ ผู้บริหารระดับสูง เช่น CEO หรือ CFO เพื่อให้เกิดความเข้าใจ และ ให้การสนับสนุนได้อย่างมากพอ ทำให้หลายๆ โครงการด้านสารสนเทศ ไม่ประสบความสำเร็จ ดังนั้น CIO ควรต้องมี Communication Skill หรือ ทักษะในการพูดคุย การติดต่อ ตลอดจน การนำเสนอในรูปแบบมืออาชีพ ที่มีความชัดเจน และ ง่ายต่อการเข้าใจของผู้บริหารระดับสูงที่ไม่ใช่ "คนไอที" ตลอดจน CIO ควรรักษาความสัมพันธ์กับ System Integrator, Consultant, Supplier และ Outsourcer เพื่อให้บริษัทเหล่านี้มาช่วยแบ่งเบาภาระของ CIO และ เป็นการ Transfer Risk ไปในตัว ความสัมพันธ์ที่ดีกับหน่วยงานต่าง ๆ ดังกล่าวจะส่งผลช่วย CIO ในทางอ้อมต่อประสิทธิภาพในการปฏิบัติงานและภาพลักษณ์ของตัว CIO เอง
ปัญหาของ CIO ในหลาย ๆ องค์ก คือ CIO ไม่สามารถอธิบายการทำงานด้านสารสนเทศต่าง ๆ ให้แก่ ผู้บริหารระดับสูง เช่น CEO หรือ CFO เพื่อให้เกิดความเข้าใจ และ ให้การสนับสนุนได้อย่างมากพอ ทำให้หลายๆ โครงการด้านสารสนเทศ ไม่ประสบความสำเร็จ ดังนั้น CIO ควรต้องมี Communication Skill หรือ ทักษะในการพูดคุย การติดต่อ ตลอดจน การนำเสนอในรูปแบบมืออาชีพ ที่มีความชัดเจน และ ง่ายต่อการเข้าใจของผู้บริหารระดับสูงที่ไม่ใช่ "คนไอที" ตลอดจน CIO ควรรักษาความสัมพันธ์กับ System Integrator, Consultant, Supplier และ Outsourcer เพื่อให้บริษัทเหล่านี้มาช่วยแบ่งเบาภาระของ CIO และ เป็นการ Transfer Risk ไปในตัว ความสัมพันธ์ที่ดีกับหน่วยงานต่าง ๆ ดังกล่าวจะส่งผลช่วย CIO ในทางอ้อมต่อประสิทธิภาพในการปฏิบัติงานและภาพลักษณ์ของตัว CIO เอง
6. CIO ควรเตรียมรับสถานการณ์ฉุกเฉินด้านความปลอดภัยสารสนเทศที่อาจเกิดขึ้นได้
แผน BCP (Business Continuity Planning) และ DRP (Disaster Recovery Planning) ควรถูกจัดทำขึ้นเพื่อให้องค์กรพร้อมกับการเตรียมรับเหตุการณ์ฉุกเฉิน หรือ Incident Response Management ที่อาจเกิดขึ้นและส่งผลกระทบต่อการทำงานโดยรวมขององค์กรได้ โดย CIO ต้องช่วยสนับสนุนและเป็นแกนหลักในการจัดทำแผนดังกล่าวด้วย
กล่าวโดยสรุป ตำแหน่ง CIO นั้นเป็นตำแหน่งที่มีความสำคัญต่อองค์กรอย่างสูงในยุคที่เทคโนโลยีระบบสารสนเทศ และ การสื่อสาร เข้ามามีบทบาทสำคัญต่อการดำเนินงานขององค์กรในปัจจุบัน การกำหนดกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศและการรักษาความปลอดภัยสารสนเทศเป็นเรื่องสำคัญที่ CIO ทุกท่านต้องจัดทำขึ้น และ CIO จะต้องมีความรับผิดชอบในเรื่องดังกล่าวโดยปริยาย เพราะ ในอนาคตกฏหมายต่าง ๆ ที่กำลังจะถูกประกาศใช้ เช่น กฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือ ประกาศกฏข้อบังคับต่าง ๆ ขององค์กรที่มีหน้าที่ในการควบคุม เช่น สตง. ธนาคารแห่งประเทศไทย หรือ กลต. มีแนวโน้มที่จะเข้มงวด เรื่องการรักษาความปลอดภัยข้อมูลระบบสารสนเทศมากขึ้น CIO ก็ควรจะปรับตัวให้เข้ากับยุคสมัยทศวรรษแห่งดิจิตอลเพื่อนำองค์กรเข้าสู่ IT Governance หรือ "ไอทีภิบาล" เพื่อจุดมุงหมายปลายทาง คือ Corporate Governance หรือ "บรรษัทภิบาล" ในที่สุด
แผน BCP (Business Continuity Planning) และ DRP (Disaster Recovery Planning) ควรถูกจัดทำขึ้นเพื่อให้องค์กรพร้อมกับการเตรียมรับเหตุการณ์ฉุกเฉิน หรือ Incident Response Management ที่อาจเกิดขึ้นและส่งผลกระทบต่อการทำงานโดยรวมขององค์กรได้ โดย CIO ต้องช่วยสนับสนุนและเป็นแกนหลักในการจัดทำแผนดังกล่าวด้วย
กล่าวโดยสรุป ตำแหน่ง CIO นั้นเป็นตำแหน่งที่มีความสำคัญต่อองค์กรอย่างสูงในยุคที่เทคโนโลยีระบบสารสนเทศ และ การสื่อสาร เข้ามามีบทบาทสำคัญต่อการดำเนินงานขององค์กรในปัจจุบัน การกำหนดกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศและการรักษาความปลอดภัยสารสนเทศเป็นเรื่องสำคัญที่ CIO ทุกท่านต้องจัดทำขึ้น และ CIO จะต้องมีความรับผิดชอบในเรื่องดังกล่าวโดยปริยาย เพราะ ในอนาคตกฏหมายต่าง ๆ ที่กำลังจะถูกประกาศใช้ เช่น กฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือ ประกาศกฏข้อบังคับต่าง ๆ ขององค์กรที่มีหน้าที่ในการควบคุม เช่น สตง. ธนาคารแห่งประเทศไทย หรือ กลต. มีแนวโน้มที่จะเข้มงวด เรื่องการรักษาความปลอดภัยข้อมูลระบบสารสนเทศมากขึ้น CIO ก็ควรจะปรับตัวให้เข้ากับยุคสมัยทศวรรษแห่งดิจิตอลเพื่อนำองค์กรเข้าสู่ IT Governance หรือ "ไอทีภิบาล" เพื่อจุดมุงหมายปลายทาง คือ Corporate Governance หรือ "บรรษัทภิบาล" ในที่สุด
แหล่งอ้างอิง
http://gits.nectec.or.th/
http://www.acisonline.net/article_prinya_eleader_0948.htm
http://bc.siam.edu/sriprai/chap3.13.htm
www.navy.mi.th/dockyard/news/51/inside_control/1.3.doc
www.businessthai.co.th/content.php?data=410290_Technology-Digital
http://gits.nectec.or.th/
http://www.acisonline.net/article_prinya_eleader_0948.htm
http://bc.siam.edu/sriprai/chap3.13.htm
www.navy.mi.th/dockyard/news/51/inside_control/1.3.doc
www.businessthai.co.th/content.php?data=410290_Technology-Digital
ไม่มีความคิดเห็น:
แสดงความคิดเห็น