Disease disruption เมื่อ “โรคไร้พรมแดน”
ถ้าย้อนไปราว 20 ปีก่อน ทุกองค์กรต้องลงทุนเทคโนโลยีสารสนเทศและพัฒนาระบบต่างๆขึ้นมา
ไม่ว่าจะเป็นระบบ Web Site ขององค์กร ระบบ Electronic Mail หรือระบบเฉพาะทางต่างๆ เช่น Intranet, Portal, ERP, CRM ,SCM ฯลฯ ทำให้การใช้งานคอมพิวเตอร์ในการเข้าถึงข้อมูลองค์กรกลายเป็นเรื่องที่พนักงานทุกคนคุ้นเคยและใช้ปฏิบัติงานอยู่ในชีวิตประจำวัน จนกระทั่งระบบสารสนเทศและระบบเครือข่ายกลายเป็นโครงสร้างพื้นฐานของการทำงานในองค์กร
แผนรับมือกับความเสี่ยงจากภัยธรรมชาติจึงขยายไปสู่ความเสี่ยงจากระบบสารสนเทศขององค์กร ไม่ใช่แค่สินค้าและข้อมูลที่ไหลในระบบเศรษฐกิจเท่านั้น ปัจจุบันเราเห็นแล้วว่าภัยในด้านสุขภาพจากเชื้อโรคมีผลกว้างไกลข้ามประเทศ จากการเคลื่อนย้ายของคน คำว่า “โลกไร้พรมแดน (Globalization)” ทางธุรกิจ จึงมาพร้อมกับคำว่า “โรคไร้พรมแดน” ในด้านสาธารณสุขและสุขภาพของประชากรโลกเช่นกัน
ในอดีตเรามักจะนึกถึงภัยคุกคามที่ทำให้ระบบสารสนเทศล่มจากภัยธรรมชาติ เช่น สึนามิ พายุ น้ำท่วม แผนดินไหว ภัยจากความขัดแย้งกันเองของมนุษย์ เช่น การก่อวินาศกรรมกรณี 911 การจลาจล การลอบวางเพลิง ซึ่งล้วนเป็นปัจจัยกระตุ้นให้ผู้บริหารองค์กรต้องให้ความสำคัญอย่างยิ่งยวดต่อระบบสารสนเทศที่เป็นกระดูกสันหลังในการดำเนินธุรกิจขององค์กร เพราะหากระบบเกิดปัญหา ก็ต้องมีแผนฉุกเฉินทำให้ระบบสารสนเทศขององค์กรสามารถให้บริการได้อย่างไม่ติดขัดจนก่อให้เกิดความเสียหายแก่องค์กรทั้งทางตรงและทางอ้อม การบริหารจัดการให้องค์กรสามารถดำเนินธุรกิจได้อย่างต่อเนื่องภายใต้ภาวะวิกฤติ หรือ “Business Continuity Management (BCM)” ที่ทำไว้เดิมอาจไม่ครอบคลุมเรื่องโรคระบาด ภัยแล้ง ฝุ่นพิษPM2.5 แต่โชคดีที่ตอนนี้เราเข้าสู่ยุคออนไลน์ องค์กรที่ปรับตัวเข้าสู่ดิจิทัลไปแล้วจึงสามารถรับมือได้ง่ายขึ้น
BCM เป็นกระบวนการบริหารจัดการแบบองค์รวม ที่ทำให้องค์กรสามารถกำหนดปัจจัยเสี่ยง และ ผลกระทบที่อาจเกิดขึ้นได้จากปัจจัยเสี่ยงดังกล่าวว่ามีผลเสียหายต่อองค์กรมากน้อยเพียงใด มีทั้งหมด 5 ขั้นตอนขออธิบายให้เห็นภาพอย่างย่อๆ ดังนี้
ขั้นตอนที่ 1 :Analysis Phase เป็นขั้นตอนการวิเคราะห์ปัจจัยเสี่ยงและผลกระทบที่เรียกว่าการทำ “Business Impact Analysis” (BIA) โดยเริ่มจากการวิเคราะห์ความแตกต่างของ Critical Function และ Non – Critical Function ขององค์กรเสียก่อน โดยค่า Recovery Time Objective (RTO) หมายถึงระยะเวลาที่องค์กรยอมรับได้ในการกู้คืนระบบในกรณีที่เกิดเหตุฉุกเฉินขึ้น ซึ่งเป็นค่าที่ถูกกำหนดโดยเจ้าของระบบ ต้องให้ผู้บริหารระดับสูงรับรู้ และยอมรับในค่า RTO ที่ถูกกำหนดขึ้น ถ้า RTO เท่ากับ 1 ชั่วโมง หมายถึงต้องกู้ระบบคืนภายในหนึ่งชั่วโมง สำหรับค่า Recovery Point Objective (RPO) หมายถึงปริมาณข้อมูลสูญหายที่องค์กรยอมรับได้ในช่วงเวลาหนึ่ง (Acceptable Loss) ถ้าค่า RPO เท่ากับ 2 ชั่วโมง ระบบสำรองข้อมูลก็จะต้องสอดรับกัน สมมติสำรองข้อมูลไว้เวลา 10.00 น. และระบบล่มเวลา 11.30 น. เราสามารถกู้คืนข้อมูลที่สำรองไว้ตอน 10.00 น. ก็ถือว่าอยู่ในเวลาที่กำหนดไว้ตาม RPO ข้อมูลธุรกรรมสูญหายไม่เกินเวลาที่เรากำหนดไว้
ขั้นตอนที่ 2 :Solution Design Phase เป็นขั้นตอนการออกแบบแนวทางในการกู้ข้อมูล (Disaster Recovery) ที่เหมาะสมกับความต้องการขององค์กร
ขั้นตอนที่ 3 :Implementation Phase เป็นขั้นตอนในการนำแนวทางที่ออกแบบไว้ในขั้นตอนที่ 2 มาทำเป็นแผนปฏิบัติการ โดยการเขียนแผน Business Continuity (BC) ที่สามารถนำไปใช้ปฏิบัติจริงได้
ขั้นตอนที่ 4 :Testing and Organization Acceptance Phase เป็นขั้นตอนในการทดสอบแผน Business Continuity ที่ได้เขียนไว้ในขั้นตอนที่ 3 ว่าสามารถนำมาใช้งานได้จริงเมื่อเกิดปัญหาหรือไม่ เหมือนการซ้อมหนีไฟดับเพลิงที่ทุกองค์กรต้องทำอย่างน้อยปีละครั้ง
ขั้นตอนที่ 5 :Maintenance Phase เป็นขั้นตอนในการปรับปรุงแผนในคู่มือ BCP ให้เป็นปัจจุบัน และรองรับขั้นตอนการกู้คือข้อมูลตามค่า RTO, RPO ที่ได้กำหนดไว้ในการทำ BIA ตลอดจนการฝึกอบรมพนักงาน (staff awareness) ให้มีความรู้ความเข้าใจในการนำแผน Business Continuity (BC) มาใช้ในยามฉุกเฉิน ปกติจะจัดทำและฝึกอบรมอย่างน้อยปีละหนึ่งครั้ง
การจัดทำ BCP ครอบคลุมทั้งระบบ IT และระบบ Non – IT แต่ถ้ากล่าวถึงการจัดทำ Disaster Recovery Planning หรือ DRP ซึ่งเป็นส่วนหนึ่งของ BCP มักเน้นไปที่การกู้คืนระบบ IT เป็นหลัก เมื่อคนไม่สามารถเดินทางไปในสถานที่ต่างๆได้ การดำรงชีวิตของทุกคนเปลี่ยนไป การดำเนินธุรกิจขององค์กรต่างๆหยุดชะงัก แต่ก็กลายเป็นโชคดีขององค์กรที่ปรับตัวและพัฒนาระบบดิจิทัลขึ้นมาทดแทนระบบงานเดิมไว้แล้ว องค์กรที่รับมือกับ Digital disruption ได้ดีในช่วงที่ผ่านมา ก็จะสามารถรับมือกับ Disease disruption ได้ดีกว่าในวันนี้