คอลัมนิสต์

ความพร้อมหรือความบกพร่องจากผู้ให้บริการภายนอก

By Tech, Law and Security27 พ.ค. 2021 เวลา 8:00 น.
ความพร้อมหรือความบกพร่องจากผู้ให้บริการภายนอก

การดำเนินการของหลายองค์กร มักเจอความท้าทายจากความรู้และทรัพยากร ที่ไม่สามารถตอบสนองได้อย่างมีประสิทธิภาพ และเพียงพอต่อการบรรลุเป้าหมาย

HIGHLIGHTS 

  • ความพร้อมในการให้บริการของผู้ให้บริการภายนอก
  • หลักการและวิธีการเลือกผู้ให้บริการ
  • ปัญหาด้านความมั่นคงปลอดภัยข้อมูล

บทความโดย รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย

ภาควิชาการสื่อสารข้อมูลและเครือข่าย คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล

มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ

บทนำ – หลายองค์กรจึงใช้การจ้างผู้ให้บริการภายนอก (Outsourcing) เพื่อแก้ไขสถานการณ์ต่าง ๆ รวมถึงสนับสนุนการทำงานและความรู้ จากสถิติในปี 2021 พบว่าองค์กรที่มีพนักงานจำนวนตั้งแต่ 1,000 – 50,000 มีการวางแผนในการลงทุนจ้างผู้ให้บริการภายนอกมากเกินกว่า 50% สำหรับสนับสนุนการทำงาน

162203538275

สถิติการจัดจ้างผู้ให้บริการภายนอกจากเว็บไซต์ n-ix.com

ปัญหาการเกิดเหตุการณ์ไม่ปกติ (Security Incident) เป็นสิ่งที่องค์กรไม่สามารถหลีกเลี่ยงได้ขึ้นอยู่ว่าเหตุการณ์มีความรุนแรงและส่งผลกระทบกับธุรกิจระดับใด

สถิติ - ความเสี่ยง  สมาคม ISACA (สมาคมที่มีชื่อเสียงด้านตรวจสอบระบบสารสนเทศและอื่น ๆ) พบว่าความเสี่ยงที่เกิดจากผู้ให้บริการภายนอกนั้นมีถึง 6.32 จากคะแนนเต็ม 10 ซึ่งถือเป็นความเสี่ยงที่องค์กรมีความกังวลเป็นอันดับที่ 8 จากความเสี่ยง 10 ลำดับแรกทางด้านเทคโนโลยีในปี 2021 เป็นปัญหาจากความไม่พร้อมในเรื่องของอุปกรณ์ ความรู้ความสามารถ ในการตอบสนองต่อภัยคุกคาม เหตุการณ์ไม่ปกติ ทำให้องค์กรไม่สามารถจัดการปัญหาและความเสี่ยงได้

162203559067

IT Audit's Perspectives on the Top Technology Risks for 2021, ISACA

4 สาเหตุหลักที่หลายองค์กรมักพบเจอ คือ

สาเหตุที่หนึ่ง งบประมาณและราคา เป็นปัญหาแรก ๆ ที่ทำให้หลายองค์กรมีปัญหาไม่ว่าจะราคาถูกหรือแพง สำหรับการคัดเลือกผู้ให้บริการที่จะมาช่วยองค์กรในการป้องกันเหตุการณ์ไม่ปกติหรือความเสี่ยงต่าง ๆ ที่เกิดขึ้นภายในองค์กรที่ซ่อนอยู่และเป็นระเบิดเวลาในการดำเนินธุรกิจ เพราะส่วนใหญ่ ผู้ให้บริการที่มีศักยภาพและมีความสามารถในการตอบโจทย์ปัญหาทุกอย่างขององค์กรก็มักจะมีราคาสูงกว่างบประมาณที่ตั้งไว้และส่วนใหญ่งบประมาณก็จะไม่สามารถเพิ่มเติมได้ในทันที

สาเหตุที่สอง ประเภทธุรกิจและวิสัยทัศน์ ประเภทของธุรกิจก็มีผลในการคัดเลือกผู้ให้บริการภายนอก เพราะในความคิดส่วนใหญ่มักมีคำพูด ธุรกิจเราไม่ใช่เป้าหมายของ Hacker” หรือ ธุรกิจเล็ก ๆ อย่างเราคงไม่โดนโจมตีซึ่งเป็นวลีสำคัญที่ผู้บริหารที่กำหนดทิศทางองค์กรนำพาไปสู่ความเสี่ยงมากขึ้น!!!

การที่องค์กรไม่ตระหนักถึงความพร้อมและประสิทธิภาพของทรัพยากรบุคคลทำให้เกิดความเสี่ยง โดยเฉพาะอย่างยิ่งในสถานการณ์โรคระบาดที่รุนแรง ยิ่งส่งผลทำให้กระบวนการทำงานเปลี่ยนแปลงไปอย่างมาก จะเกิดอะไรขึ้นหากมีนโยบายลงมาจากฝ่ายบริหารที่ใช้ในการแก้ไขปัญหาแต่ไม่มีคนทำและจะจ้างผู้ให้บริการภายนอกก็ช้าไปเสียแล้ว

สาเหตุที่สาม รายได้ รายรับและรายจ่าย ผลกำไรเป็นตัวกำหนดทิศทางและชะตาชีวิตของธุรกิจ เพราะการจ้างผู้ให้บริการภายนอกเข้ามาสนับสนุนการทำงานมีราคาค่างวดที่สูงมากพอสมควร หากดูจากการตั้งงบประมาณในแต่ละปีที่สูงขึ้นหรือตัวแดงในบัญชีรายจ่าย องค์กรไม่อยากเสียรายจ่ายในส่วนนี้ไป การมีสองกระเป๋าย่อมดีกว่ามีกระเป๋าใบเดียว จึงตั้งบริษัทลูกขึ้นมาให้บริการในด้านต่าง ๆ ทำให้บริษัทมองว่าสามารถให้บริการได้เช่นเดียวกันกับผู้บริการรายอื่น ๆ โดยอาจจะลืมมองเรื่องประสิทธิภาพของบุคลากร

สาเหตุที่สี่ ศักยภาพของผู้ให้บริการ ความคาดหวังขององค์กรที่มีต่อผู้ให้บริการภายนอกนั้นสูงมากเสมอในการเข้ามาช่วยสนับสนุนองค์กร ไม่ว่าในราคาค่าจ้างที่ถูกหรือแพง และปัญหาสำคัญจะอยู่ตรงนี้ คือ

  1. การจ้างบริษัทในเครือขององค์กร ในราคาที่ถูก [บางครั้งก็แพงกว่า] แต่มีศักยภาพที่
    ไม่เพียงพอเนื่องจากไม่มีเครื่องมือในการให้บริการกับไม่มีความรู้มากเพียงพอในการช่วยสนับสนุน

การจ้างผู้ให้บริการภายนอก นอกเครือขององค์กรในราคาที่แพง [บางครั้งก็ถูกกว่าโดยการลดราคา] แต่ศักยภาพนั้นไม่เพียงพอที่สนับสนุนองค์กรเนื่องจากคนที่มีศักยภาพนั้นไปสนับสนุนโครงการอื่น ๆ อยู่ ทำให้ส่งคนที่ไม่ศักยภาพในการตอบสนองต่อความคาดหวังขององค์กรได้มากพอ

สรุป การพิจารณาว่าจ้างผู้ให้บริการภายนอกที่ใช้ราคาในการพิจารณา ควรมองปัจจัยอื่นด้วยและควรฟังเหตุผลของผู้ปฏิบัติงานควบคู่กันไป โดยอาศัยหลักเกณฑ์อื่น ๆ เพิ่มเติมบางส่วน ดังนี้

(1) ทุนจดทะเบียน (Capital) และชื่อเสียง (Reputation) ก็เป็นส่วนหนึ่งในการคัดเลือก เพราะแสดงถึงความน่าเชื่อถือของบริษัทที่ให้บริการ หากมองในมุมที่ว่าหากเกิดเหตุการณ์สุ่มเสี่ยงหรือฟ้องร้องกัน ก็สามารถมองดูถึงความสามารถในการชดเชยต่อความเสียหายที่เกิดขึ้น หรือการถูกปรับในกรณีที่ไม่สามารถตอบสนองหรือสนับสนุนการทำงานที่ได้รับไป

   (2) มาตรฐานในปฏิบัติงาน (Standard) เป็นส่วนเสริมที่ดี การที่ผู้ให้บริการมีการรับรองมาตรฐานในการปฏิบัติงานก็เพิ่มความน่าเชื่อถือได้ว่าการดำเนินการสนับสนุนกระบวนการของผู้รับบริการได้ และบ่งบอกการทำงานที่เป็นมืออาชีพมากขึ้น เพราะแต่ละมาตรฐานจะมีกระบวนการ วิเคราะห์ วางแผน ควบคุม ปฏิบัติ ปรับปรุง ที่รัดกุม ทำให้ลดความเสี่ยงที่จะเกิดขึ้นได้

   (3) ความรู้ ความชำนาญ ใบรับรองคุณสมบัติ (Certification) ตัวเลือกที่ผู้ว่าจ้างหลายองค์กรมักมองเป็นหลัก เพราะแสดงถึงความรู้ความสามารถที่ช่วยสนับสนุนการทำงานในด้านต่าง ๆ ได้ ถึงแม้ การมีใบรับรองคุณสมบัติจะไม่ได้เป็นการการันตีความสามารถที่แท้จริงก็ตาม แต่ก็สามารถบ่งบอกหลักการที่ใช้ช่วยสนับสนุนต่าง ๆ ได้ ดังนั้น บริษัทผู้ให้บริการที่มีใบรับรองคุณสมบัติมักจะได้เปรียบในการคัดเลือก

   (4) จำนวนของพนักงาน (Employee) บริษัทของผู้ให้บริการนั้นมีความสามารถมากเพียงใด จำนวนพนักงานก็มีผลต่อในการตัดสินใจเลือกใช้บริการ การแก้ไขปัญหาในบางเหตุการณ์ที่มีความเร่งด่วนมีระยะเวลาจำกัด ก็จำเป็นต้องใช้จำนวนคนที่มากเพียงพอ.

เนื้อหาที่เกี่ยวข้อง