ความพร้อมหรือความบกพร่องจากผู้ให้บริการภายนอก
การดำเนินการของหลายองค์กร มักเจอความท้าทายจากความรู้และทรัพยากร ที่ไม่สามารถตอบสนองได้อย่างมีประสิทธิภาพ และเพียงพอต่อการบรรลุเป้าหมาย
HIGHLIGHTS
- ความพร้อมในการให้บริการของผู้ให้บริการภายนอก
- หลักการและวิธีการเลือกผู้ให้บริการ
- ปัญหาด้านความมั่นคงปลอดภัยข้อมูล
บทความโดย รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย
ภาควิชาการสื่อสารข้อมูลและเครือข่าย คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ
บทนำ – หลายองค์กรจึงใช้การจ้างผู้ให้บริการภายนอก (Outsourcing) เพื่อแก้ไขสถานการณ์ต่าง ๆ รวมถึงสนับสนุนการทำงานและความรู้ จากสถิติในปี 2021 พบว่าองค์กรที่มีพนักงานจำนวนตั้งแต่ 1,000 – 50,000 มีการวางแผนในการลงทุนจ้างผู้ให้บริการภายนอกมากเกินกว่า 50% สำหรับสนับสนุนการทำงาน
ปัญหา – การเกิดเหตุการณ์ไม่ปกติ (Security Incident) เป็นสิ่งที่องค์กรไม่สามารถหลีกเลี่ยงได้ขึ้นอยู่ว่าเหตุการณ์มีความรุนแรงและส่งผลกระทบกับธุรกิจระดับใด
สถิติ - ความเสี่ยง สมาคม ISACA (สมาคมที่มีชื่อเสียงด้านตรวจสอบระบบสารสนเทศและอื่น ๆ) พบว่าความเสี่ยงที่เกิดจากผู้ให้บริการภายนอกนั้นมีถึง 6.32 จากคะแนนเต็ม 10 ซึ่งถือเป็นความเสี่ยงที่องค์กรมีความกังวลเป็นอันดับที่ 8 จากความเสี่ยง 10 ลำดับแรกทางด้านเทคโนโลยีในปี 2021 เป็นปัญหาจากความไม่พร้อมในเรื่องของอุปกรณ์ ความรู้ความสามารถ ในการตอบสนองต่อภัยคุกคาม เหตุการณ์ไม่ปกติ ทำให้องค์กรไม่สามารถจัดการปัญหาและความเสี่ยงได้
4 สาเหตุหลักที่หลายองค์กรมักพบเจอ คือ
สาเหตุที่หนึ่ง – งบประมาณและราคา เป็นปัญหาแรก ๆ ที่ทำให้หลายองค์กรมีปัญหาไม่ว่าจะราคาถูกหรือแพง สำหรับการคัดเลือกผู้ให้บริการที่จะมาช่วยองค์กรในการป้องกันเหตุการณ์ไม่ปกติหรือความเสี่ยงต่าง ๆ ที่เกิดขึ้นภายในองค์กรที่ซ่อนอยู่และเป็นระเบิดเวลาในการดำเนินธุรกิจ เพราะส่วนใหญ่ ผู้ให้บริการที่มีศักยภาพและมีความสามารถในการตอบโจทย์ปัญหาทุกอย่างขององค์กรก็มักจะมีราคาสูงกว่างบประมาณที่ตั้งไว้และส่วนใหญ่งบประมาณก็จะไม่สามารถเพิ่มเติมได้ในทันที
สาเหตุที่สอง – ประเภทธุรกิจและวิสัยทัศน์ ประเภทของธุรกิจก็มีผลในการคัดเลือกผู้ให้บริการภายนอก เพราะในความคิดส่วนใหญ่มักมีคำพูด “ธุรกิจเราไม่ใช่เป้าหมายของ Hacker” หรือ “ธุรกิจเล็ก ๆ อย่างเราคงไม่โดนโจมตี” ซึ่งเป็นวลีสำคัญที่ผู้บริหารที่กำหนดทิศทางองค์กรนำพาไปสู่ความเสี่ยงมากขึ้น!!!
การที่องค์กรไม่ตระหนักถึงความพร้อมและประสิทธิภาพของทรัพยากรบุคคลทำให้เกิดความเสี่ยง โดยเฉพาะอย่างยิ่งในสถานการณ์โรคระบาดที่รุนแรง ยิ่งส่งผลทำให้กระบวนการทำงานเปลี่ยนแปลงไปอย่างมาก จะเกิดอะไรขึ้นหากมีนโยบายลงมาจากฝ่ายบริหารที่ใช้ในการแก้ไขปัญหาแต่ไม่มีคนทำและจะจ้างผู้ให้บริการภายนอกก็ช้าไปเสียแล้ว
สาเหตุที่สาม – รายได้ รายรับและรายจ่าย ผลกำไรเป็นตัวกำหนดทิศทางและชะตาชีวิตของธุรกิจ เพราะการจ้างผู้ให้บริการภายนอกเข้ามาสนับสนุนการทำงานมีราคาค่างวดที่สูงมากพอสมควร หากดูจากการตั้งงบประมาณในแต่ละปีที่สูงขึ้นหรือตัวแดงในบัญชีรายจ่าย องค์กรไม่อยากเสียรายจ่ายในส่วนนี้ไป การมีสองกระเป๋าย่อมดีกว่ามีกระเป๋าใบเดียว จึงตั้งบริษัทลูกขึ้นมาให้บริการในด้านต่าง ๆ ทำให้บริษัทมองว่าสามารถให้บริการได้เช่นเดียวกันกับผู้บริการรายอื่น ๆ โดยอาจจะลืมมองเรื่องประสิทธิภาพของบุคลากร
สาเหตุที่สี่ – ศักยภาพของผู้ให้บริการ ความคาดหวังขององค์กรที่มีต่อผู้ให้บริการภายนอกนั้นสูงมากเสมอในการเข้ามาช่วยสนับสนุนองค์กร ไม่ว่าในราคาค่าจ้างที่ถูกหรือแพง และปัญหาสำคัญจะอยู่ตรงนี้ คือ
- การจ้างบริษัทในเครือขององค์กร ในราคาที่ถูก [บางครั้งก็แพงกว่า] แต่มีศักยภาพที่
ไม่เพียงพอเนื่องจากไม่มีเครื่องมือในการให้บริการกับไม่มีความรู้มากเพียงพอในการช่วยสนับสนุน
การจ้างผู้ให้บริการภายนอก นอกเครือขององค์กรในราคาที่แพง [บางครั้งก็ถูกกว่าโดยการลดราคา] แต่ศักยภาพนั้นไม่เพียงพอที่สนับสนุนองค์กรเนื่องจากคนที่มีศักยภาพนั้นไปสนับสนุนโครงการอื่น ๆ อยู่ ทำให้ส่งคนที่ไม่ศักยภาพในการตอบสนองต่อความคาดหวังขององค์กรได้มากพอ
สรุป – การพิจารณาว่าจ้างผู้ให้บริการภายนอกที่ใช้ราคาในการพิจารณา ควรมองปัจจัยอื่นด้วยและควรฟังเหตุผลของผู้ปฏิบัติงานควบคู่กันไป โดยอาศัยหลักเกณฑ์อื่น ๆ เพิ่มเติมบางส่วน ดังนี้
(1) ทุนจดทะเบียน (Capital) และชื่อเสียง (Reputation) ก็เป็นส่วนหนึ่งในการคัดเลือก เพราะแสดงถึงความน่าเชื่อถือของบริษัทที่ให้บริการ หากมองในมุมที่ว่าหากเกิดเหตุการณ์สุ่มเสี่ยงหรือฟ้องร้องกัน ก็สามารถมองดูถึงความสามารถในการชดเชยต่อความเสียหายที่เกิดขึ้น หรือการถูกปรับในกรณีที่ไม่สามารถตอบสนองหรือสนับสนุนการทำงานที่ได้รับไป
(2) มาตรฐานในปฏิบัติงาน (Standard) เป็นส่วนเสริมที่ดี การที่ผู้ให้บริการมีการรับรองมาตรฐานในการปฏิบัติงานก็เพิ่มความน่าเชื่อถือได้ว่าการดำเนินการสนับสนุนกระบวนการของผู้รับบริการได้ และบ่งบอกการทำงานที่เป็นมืออาชีพมากขึ้น เพราะแต่ละมาตรฐานจะมีกระบวนการ วิเคราะห์ วางแผน ควบคุม ปฏิบัติ ปรับปรุง ที่รัดกุม ทำให้ลดความเสี่ยงที่จะเกิดขึ้นได้
(3) ความรู้ ความชำนาญ ใบรับรองคุณสมบัติ (Certification) ตัวเลือกที่ผู้ว่าจ้างหลายองค์กรมักมองเป็นหลัก เพราะแสดงถึงความรู้ความสามารถที่ช่วยสนับสนุนการทำงานในด้านต่าง ๆ ได้ ถึงแม้ การมีใบรับรองคุณสมบัติจะไม่ได้เป็นการการันตีความสามารถที่แท้จริงก็ตาม แต่ก็สามารถบ่งบอกหลักการที่ใช้ช่วยสนับสนุนต่าง ๆ ได้ ดังนั้น บริษัทผู้ให้บริการที่มีใบรับรองคุณสมบัติมักจะได้เปรียบในการคัดเลือก
(4) จำนวนของพนักงาน (Employee) บริษัทของผู้ให้บริการนั้นมีความสามารถมากเพียงใด จำนวนพนักงานก็มีผลต่อในการตัดสินใจเลือกใช้บริการ การแก้ไขปัญหาในบางเหตุการณ์ที่มีความเร่งด่วนมีระยะเวลาจำกัด ก็จำเป็นต้องใช้จำนวนคนที่มากเพียงพอ.