งานบริหารความเสี่ยงไซเบอร์ สำหรับผู้บริหารระดับสูง(จบ)

งานบริหารความเสี่ยงไซเบอร์ สำหรับผู้บริหารระดับสูง(จบ)

จากบทความตอนที่แล้ว(20 มี.ค.) ได้กล่าวถึงปัญหาเรื่อง Cybersecurity Threats ที่ไม่ใช่เรื่องไกลตัว

หลังจากโลกเรามีการเปลี่ยนแปลงเข้าสู่ยุคแห่งเศรษฐกิจสังคมดิจิทัลอย่างเต็มรูปแบบ เป็นเหตุให้การบริหารจัดการความเสี่ยงในระดับองค์กร (Enterprise Risk Management) จึงจำเป็นต้องเข้าใจเพราะไซเบอร์ไม่ใช่เรื่องเทคนิคเพียงอย่างเดียว รวมถึงความเข้าใจต่อแนวทางการบริหารความเสี่ยงด้านความปลอดภัยไซเบอร์

ยังรวมถึงแนวคิดและกระบวนการประเมินความเสี่ยงทางไซเบอร์สมัยใหม่ ที่จะเน้นไปในแนวทาง “Scenario-based Risk Management” มากขึ้น กล่าวคือ จะมีการประเมินความเสี่ยงที่อ้างอิงมาจากสถานการณ์ตัวอย่างที่ช่วยให้ผู้บริหารมี “Risk Visibility” มากขึ้น โดยการนำ “Risk Scenario” หรือ สถานการณ์ความเสี่ยงตัวอย่างมาปรับให้เข้ากับความเสี่ยงขององค์กร โดยมุ่งไปที่ผลกระทบทางธุรกิจที่เกิดจากความเสี่ยงทางด้านเทคโนโลยีสารสนเทศหรือความเสี่ยงทางด้านไซเบอร์ เราอาจกล่าวได้ว่า IT Risk ก็คือ Business Risk ดังแนวทางของ George Westerman และ Richard Hunter ได้กล่าวไว้ในหนังสือ IT Risk: Turning Business Threats into Competitive Advantage โดยสรุป IT Risk ได้เป็น 3 กลุ่มใหญ่ๆ 1. IT Service Delivery Risk 2. IT Solution Delivery Risk 3. IT Benefit Realization Risk

งานบริหารความเสี่ยงไซเบอร์ สำหรับผู้บริหารระดับสูง(จบ)

1.“IT Service Delivery Risk”

เป็นความเสี่ยงเนื่องจากการที่ระบบสารสนเทศไม่สามารถตอบสนองการให้บริการในมุมมองของ “Performance” และ “Availability” เช่น ระบบล่ม เข้าถึงข้อมูลไม่ได้ หรือ ระบบมีช่องโหว่ถูกแฮกเกอร์หรือมัลแวร์โจมตี ทำให้ระบบช้าลง หรือ ไม่สามารถให้บริการแก่ลูกค้าตามปกติได้

2.“IT Solution Delivery Risk”

เป็นความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้กับกระบวนการธุรกิจที่เกิดใหม่ เช่น การเปิดโครงการใหม่ หรือ การให้บริการใหม่ หรืออาจจะเป็นการปรับปรุงกระบวนการทางธุรกิจหรือการให้บริการทางธุรกิจที่มีอยู่แล้วให้ดีขึ้นโดยการนำเทคโนโลยีสารสนเทศมาใช้

ยกตัวอย่างเช่น โครงการไม่เสร็จตามเวลาที่กำหนดไว้ เนื่องจากมีปัญหาเกิดขึ้นในระบบสารสนเทศ หรือ คุณภาพของการให้บริการในโครงการไม่เป็นไปตามวัตถุประสงค์ เนื่องจากเกิดปัญหาทางด้านเทคนิคที่เกี่ยวข้องกับการนำเอาเทคโนโลยีสารสนเทศมาใช้

3.“IT Benefit Realization Risk”

เป็นความเสี่ยงเนื่องจากการที่เราไม่สามารถนำเทคโนโลยีสารสนเทศมาใช้งานตอบสนองธุรกิจได้อย่างคุ้มค่าเพียงพอในการเพิ่มประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ

เราต้องการให้ “IT” เป็น “Business Enabler” หมายถึง การนำเทคโนโลยีสารสนเทศ (“IT”) มาใช้เพื่อประโยชน์ในการดำเนินทางธุรกิจไม่ใช่นำเอา “IT” มาใช้แล้วมีแต่ปัญหาต่าง ๆ เกิดขึ้นตามมา

เนื่องจากการนำเทคโนโลยีสารสนเทศมาใช้อย่างไม่ถูกต้องและไม่มั่นคงปลอดภัยเพียงพอ ส่วนใหญ่มีสาเหตุมาจากระบบสารสนเทศที่มีความเสี่ยงสูงและมีผลกระทบสูง

การนำBest Practices และ International Standards มาใช้ในการบริหารจัดการความเสี่ยงในระดับองค์กรให้เหมาะสมกับยุคสมัย

ในอดีตการบริหารความเสี่ยงในระดับองค์กรหรือ Enterprise Risk Management (ERM) นั้นจะถูกแยกออกจาการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ หรือ IT Risk และ แยกจากการบริการความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ หรือ Information Security Risk โดย ERM จะนิยมอ้างอิง COSO ERM Best Practices และ ในส่วนของ IT Risk จะนิยมอ้างอิง NIST SP 800-30 Risk Management Guide for Information Technology Systems ตลอดจน Information Security Risk จะนิยมอ้างอิง ISO/IEC 27005:2011 กันเป็นส่วนใหญ่ แต่ในปัจจุบัน การบริหารจัดการความเสี่ยงในระดับองค์กรจำเป็นต้องเชื่อมโยง และบูรณาการการบริหารความเสี่ยงสารสนเทศและการบริการความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ เข้าด้วยกัน จึงจำเป็นต้องอ้างอิงมาตรฐานกลาง ได้แก่ มาตรฐาน ISO 31000:2018 Risk management -- Guidelines มีการพิจารณาความเสี่ยงเทคโนโลยีสารสนเทศ ควบคู่ไปกับความเสี่ยงด้านไซเบอร์ โดยใช้หลักการประเมินความเสี่ยงตามแนวทาง “Scenario-based Approach” ดังกล่าวมาแล้ว

ดังนั้น ฝ่ายบริหารความเสี่ยงขององค์กร ตลอดจนผู้บริหารระดับสูงตลอดจนกรรมการบริหารจึงจำเป็นต้องมีAgenda ที่พูดคุยกันในระดับ Boards Meeting หรือ Executives Meeting ในเรื่องของ IT Risk, Information security Risk และ Cybersecurity Risk ซึ่งจะส่งผลกระทบในระดับ Enterprise Risk ขององค์กรอย่างหลีกเลี่ยงไม่ได้ ในยุคที่ Reputational Risk เป็นความเสี่ยงอันดับหนึ่งที่ผู้บริหารองค์กรสมัยใหม่จำเป็นต้องให้ความใส่ใจในเรื่องนี้อย่างจริงจัง