การบูรณาการคน กระบวนการ และเทคโนโลยี | Tech, Law and Security
สามองค์ประกอบหลักเพื่อบรรลุวิสัยทัศน์และพันธกิจขององค์กร คือ คน (People) กระบวนการ (Process) และเทคโนโลยี (Technology) หรือเรียกว่า PPT
“ความมั่นคงปลอดภัย (Security) และความเป็นส่วนตัว (Privacy)” มีความสำคัญต่อการประกอบธุรกิจมากขึ้น หลายประเทศรวมถึงประเทศไทยต้องการเสริมสร้างการรักษาความมั่นคงปลอดภัยและความเป็นส่วนตัวให้เกิดขึ้นในทุกภาคส่วน พยายามหากระบวนการและวิธีการเพื่อยกระดับและเพิ่มประสิทธิภาพการป้องกันภัยคุกคามต่าง ๆ ที่เกิดมากขึ้น ๆ อย่างต่อเนื่อง
ในการดำเนินการใด ๆ เพื่อให้บรรลุวิสัยทัศน์และพันธกิจขององค์กร มี 3 องค์ประกอบหลัก คือ คน (People) กระบวนการ (Process) และเทคโนโลยี (Technology) หรือเรียกว่า PPT ซึ่งองค์กรต้องบริหารองค์ประกอบเหล่านี้ให้ทำงานร่วมกันได้อย่างมีประสิทธิภาพและเป็นไปในทิศทางเดียวกันเพื่อให้บรรลุเป้าหมายขององค์กร
องค์ประกอบที่ 1 “คน” : เหตุการณ์และภัยคุกคามที่เกิดขึ้น ปัจจัยแรกซึ่งมักเป็นจุดเริ่มต้นของภัยคุกคามและยังคงเป็น “อันดับแรกเสมอ” คือ ตัวบุคคล ไม่ว่าจะทางตรงหรือทางอ้อมที่ก่อให้เกิดเหตุการณ์ไม่ปลอดภัย หรือภัยคุกคามขึ้นจากความตั้งใจ หรือขาดความระมัดระวังเพียงพอ ที่เหล่าผู้ไม่ประสงค์ดี (Hacker) อาจอาศัยการโจมตีต่าง ๆ
เช่น การโจมตีประเภทหลอกลวงผ่านทางอีเมล เว็บไซต์ ที่ทำให้เหยื่อไม่ทันระวังตัว กรอกและให้ข้อมูลที่สำคัญต่าง ๆ กับผู้ไม่ประสงค์ดี เช่น ข้อมูลส่วนบุคคล เลขบัตรประจำตัว หมายเลขบัตรเครดิต รหัสผ่านสำหรับเข้าระบบต่าง ๆ ซึ่งบางครั้งอาจเป็นข้อมูลสำคัญขององค์กรเช่นกัน
องค์ประกอบที่ 2 “กระบวนการ” : ขั้นตอน นโยบาย ระเบียบ ข้อบังคับและแนวปฏิบัติสำคัญต่าง ๆ ที่เป็นแนวทางในการปฏิบัติตนทั้งในสิ่งที่ต้องทำ ควรทำ และไม่ควรทำ รวมถึงการระบุบทบาทหน้าที่ความรับผิดชอบ เป็นส่วนสนับสนุนให้องค์กรสามารถทำงานได้อย่างราบรื่นและแก้ไขสถานการณ์หรือเหตุการณ์ที่ไม่ปกติที่เกิดขึ้นได้ เช่น ระบบหยุดทำงาน หรือเครือข่ายอินเทอร์เน็ตไม่สามารถใช้งานได้ หรือเหตุการณ์การโจมตีของผู้ไม่ประสงค์ดี รวมถึงมัลแวร์และไวรัสเรียกค่าไถ่ที่สามารถเกิดขึ้นได้หลากหลายช่องทาง
หากองค์กรไม่มีการนโยบายในการใช้งาน และแนวทางการรับมือเหตุการณ์ต่าง ๆ ที่ดีเพียงพอ ก็จะส่งผลให้เกิดปัญหาเดิมซ้ำ ๆ และอาจจะยิ่งรุนแรงมากขึ้นเรื่อย ๆ
นอกจากนี้ หากองค์กรไม่มีนโยบาย กระบวนการ หรือไม่ปฏิบัติตามกฎหมาย เช่น พระราชบัญญัติ (พ.ร.บ.) “การรักษาความมั่นคงปลอดภัยไซเบอร์” และ “ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์” หรือ “คุ้มครองข้อมูลส่วนบุคคล” จะมีความผิดและบทลงโทษตามมาทั้งโทษปรับและจำคุก ตามมา
องค์ประกอบที่ 3 “เทคโนโลยี”: หลายองค์กรยังคงมีความเชื่อว่าการมีเทคโนโลยีที่ดีจะช่วยให้ปลอดภัยจากการถูกโจมตีจากภัยคุกคาม แต่ความเป็นความจริงแล้ว “บนโลกนี้ไม่มีอะไรมั่นคงปลอดภัย 100%” เพราะระบบหรือเทคโนโลยีที่เราใช้งานนั้นมีจุดอ่อนหรือช่องโหว่อยู่ด้วยเสมอ เพียงแต่จะถูกค้นพบและถูกโจมตีโดยผู้ไม่ประสงค์ดีเมื่อไหร่เท่านั้นเอง
นอกจากนี้ “ภัยคุกคามจะตามมาคู่กับเทคโนโลยีใหม่อยู่เสมอ” การโจมตีและภัยคุกคามมีการพัฒนาตลอดเวลา ผู้ไม่ประสงค์ดีพยายามเจาะระบบการรักษาความมั่นคงปลอดภัยและการป้องกันของเทคโนโลยี เพื่อให้ได้รับค่าช่องโหว่และเงินค่าไถ่จากการโจมตี เช่น ช่องโหว่ของระบบปฏิบัติการ หรือระบบโปรแกรมต่าง ๆ ดังนั้น นอกจากมีเทคโนโลยีที่ดี องค์กรต้องมีกระบวนการในการเฝ้าระวังและปรับปรุงแก้ไขช่องโหว่ และตอบสนองต่อภัยคุกคามได้อย่างทันท่วงที
การเรียนรู้ การพัฒนา เพื่อรับมือกับเหตุการณ์ด้านความมั่นคงปลอดภัย
1. การสร้างความตระหนักรู้ และการอบรม ช่วยให้บุคลากรพัฒนาตนเองเพื่อเตรียมความพร้อมในการทำงานและพัฒนาทักษะที่สำคัญเพื่อใช้ในการคิด วิเคราะห์ แยกแยะ เหตุการณ์ภัยคุกคามและการโจมตี ความรู้และทักษะของบุคคลจำเป็นสำหรับทั้งทุกคนในองค์กรตั้งแต่ระดับปฏิบัติการจนถึงผู้บริหารที่ต้องได้รับความรู้ใหม่และทันสมัยให้เหมาะสมกับเหตุการณ์ ซึ่งมีรูปแบบที่หลากหลายในการดำเนินการ เช่น แจ้งให้ทราบผ่านอินทราเน็ต ติดประกาศ กำหนดเป็นตัวชี้วัด ระบุเป็นหนึ่งในหัวข้อของการประชุมรายเดือน จัดอบรมอย่างสม่ำเสมอ ให้รางวัลกับผู้ที่ปฏิบัติตนได้เหมาะสมเพื่อเป็นต้นแบบ
2. มาตรฐานและกรอบการทำงานด้านความมั่นคงปลอดภัย การพัฒนาทักษะที่ได้จากบุคลากรยังไม่เพียงพอต่อการรับมือเหตุการณ์ภัยคุกคามต่าง ๆ เพราะการที่มีเฉพาะทักษะและความรู้ แต่ไม่มีกระบวนการ นโยบาย แนวปฏิบัติและมาตรฐาน สำหรับนำมาใช้ในการป้องกันเหตุการณ์ที่เกิดขึ้น และยิ่งหากภาคธุรกิจมีมูลค่าสูงหรืออยู่ในตลาดหลักทรัพย์ จำเป็นต้องปฏิบัติตามข้อกำหนดของหน่วยงานกำกับดูแล มาตรฐาน นโยบาย แนวปฏิบัติที่ดีและมีประสิทธิภาพ จึงเป็นสิ่งสำคัญที่ควรมี เช่น ISO/IEC 27001, NIST Cybersecurity Framework หรือ COBIT เป็นต้น
3. เทคโนโลยี ซอฟต์แวร์ ลิขสิทธิ์และการอัปเดต สิ่งจำเป็นในขั้นตอนนำมาปฏิบัติงานและช่วยในการทำงาน รวมถึงการปฏิบัติหน้าที่ ยังช่วยบริหารจัดการต่าง ๆ เพื่อให้บุคคลที่เกี่ยวข้องในการทำงาน สามารถติดตามและตรวจสอบเหตุการณ์ภัยคุกคามที่เกิดขึ้นได้
ผู้บริหารจำเป็นที่จะต้องพิจารณามูลค่าและความคุ้มค่าของการลงทุน ในการจัดหาเครื่องมือที่เหมาะสมกับองค์กร เพราะในหลาย ๆ ครั้งที่องค์กรมักลงทุนเทคโนโลยีเพื่อป้องกันข้อมูลสำคัญและลดความเสี่ยงจากภัยคุกคามที่ไม่เพียงพอและอาจจะไม่ตอบโจทย์ในเหตุการณ์ที่เกิดขึ้นได้ เช่น ไลเซนส์ระบบปฏิบัติการ โปรแกรมป้องกันไวรัส เทคโนโลยีในการเฝ้าระวัง แจ้งเตือน และหยุดยั้งภัยคุกคาม
องค์กรไม่จำเป็นต้องใช้เทคโนโลยีล่าสุด แต่ควรหาความรู้ให้ทันสมัย สร้างกระบวนการที่ปลอดภัย และพัฒนาบุคลากรอย่างต่อเนื่อง ก็จะช่วยลดค่าใช้จ่ายการลงทุนเทคโนโลยีสำหรับป้องกันภัยคุกคามและความเสี่ยงที่เกิดขึ้น
ดังนั้น สำคัญอย่างยิ่งที่องค์กรต้องพัฒนาคน กระบวนการ และเทคโนโลยีไปพร้อมกันอย่างบูรณาการแบบองค์รวม (Holistic) ให้เหมาะสมต่อทรัพย์สิน (Asset) และ ข้อมูล (Data) ที่สำคัญขององค์กร ก็จะช่วยป้องกัน ควบคุม และลดผลกระทบต่าง ๆ ที่เกิดขึ้นได้มากพอสมควร ซึ่งต้องมีการดำเนินการปรับปรุงอย่างต่อเนื่องให้ทันกับสถานการณ์และความเสี่ยงที่เกิดขึ้น.
คอลัมน์ : Tech, Law and Security
รศ.ดร.พงษ์พิสิฐ วุฒิดิษฐโชติ และ เกียรติศักดิ์ จันทร์ลอย
ภาควิชาการบริหารเครือข่ายดิจิทัลและความมั่นคงปลอดภัยสารสนเทศ
คณะเทคโนโลยีสารสนเทศและนวัตกรรมดิจิทัล
มหาวิทยาลัยเทคโนโลยีพระจอมเกล้าพระนครเหนือ