บทเรียนจากผู้เชี่ยวชาญ Crisis Management

บทเรียนจากผู้เชี่ยวชาญ Crisis Management

“ภาวะวิกฤติ” มักจะเป็นเหตุการณ์ที่เกิดขึ้นแบบไม่ทันตั้งตัว คุกคามและส่งผลกระทบกับองค์กรในเชิงลบ ซึ่งแน่นอนว่าองค์กรที่ดีส่วนใหญ่ย่อมจะมีการเตรียมแผนรับมือและบริหารจัดการในภาวะวิกฤติไว้อยู่แล้ว อย่างไรก็ตาม แผนการเหล่านี้แม้จะได้รับการทดสอบและทบทวนตามรอบระยะเวลาอย่างสม่ำเสมอ แต่ก็ยังไม่มีใครสามารถการันตีได้ว่า เมื่อถึงเวลาที่เหตุวิกฤติมาเยี่ยมเยือนเข้าจริงๆ แล้ว แผนนั้นจะมีประสิทธิภาพมากน้อยเพียงใด

เมื่อไม่นานมานี้ ผู้เชี่ยวชาญด้านการบริหารจัดการเหตุวิกฤติและความต่อเนื่องทางธุรกิจของ Destination One ได้แบ่งปันบทเรียนล้ำค่าที่เก็บเกี่ยวมาระหว่างการทำงานจริง จากประสบการณ์ตรง เพื่อเป็นประโยชน์สำหรับหน่วยงานต่างๆ ในการจัดทำแผนและวางกลยุทธ์ ซึ่งผมได้นำเนื้อหาดังกล่าวมาสรุปอีกครั้งเป็นคำแนะนำ 7 ข้อ ดังนี้

          1. ประสบการณ์ของผู้จัดการระดับอาวุโสมีคุณค่ามาก มองข้ามไม่ได้โดยเด็ดขาด องค์กรควรจะจัดให้มีการแชร์เรื่องราว ประสบการณ์ และมุมมองของผู้จัดการของแต่ละแผนกที่มีต่อการรับมือเหตุวิกฤติ เพราะสิ่งเหล่านี้มีผลต่อความสามารถในการตัดสินใจ และประสิทธิภาพในการรับมือวิกฤตการณ์

          2. เตรียมรายการ Check List สิ่งที่จำเป็นต้องทำเมื่อเกิดเหตุวิกฤติ ซึ่งจะช่วยลดอาการตื่นตกใจจับต้นชนปลายไม่ถูกของทีมงาน และสามารถตรวจสอบได้ว่าไม่มีสิ่งใดตกหล่น

          3. ผู้บริหารและผู้ที่มีหน้าที่รับผิดชอบทุกคนจะต้องทำความเข้าใจและรู้ว่ามีความเสี่ยงใดบ้างที่สามารถคุกคามองค์กรได้ รวมถึงคอยอัพเดทข้อมูลอยู่เสมอ

          4. ทีมวางแผนกลยุทธ์จะต้องมองภาพในมุมกว้างของเหตุวิกฤติ รวมถึงผลกระทบที่อาจจะเกิดขึ้นได้ทั้งหมดของเหตุนั้น อีกทั้งจะต้องวิเคราะห์สาเหตุของปัญหา เพื่อส่งต่อให้ทีมเทคนิคนำไปปฏิบัติการต่อไป

          5. ลองใช้เครื่องมือ Social Media ในการสื่อสารกับพนักงาน เพื่ออัพเดทข้อมูลเกี่ยวกับการป้องกันความเสี่ยง และแจ้งข่าวสารในยามวิกฤติ

          6. ในบางครั้ง การใช้บริษัทประชาสัมพันธ์มืออาชีพเข้ามาช่วยในการบริหารจัดการข้อมูลข่าวสารกับสาธารณชนก็เป็นทางเลือกที่ชาญฉลาด เพราะ PR มืออาชีพจะช่วยลดความตื่นตระหนก ประนีประนอม รักษาความสัมพันธ์อันดี รวมถึงลดผลกระทบเชิงลบกับภาพลักษณ์ขององค์กรได้

          7. สิ่งสำคัญ คือจะต้องมีการซักซ้อมและฝึกอบรมเกี่ยวกับแผนการรับมือและกอบกู้เหตุฉุกเฉินให้กับพนักงานอยู่เสมอ โดยจะต้องเป็นกิจกรรมที่ใช้กระชับ ใช้เวลาไม่นาน และให้สาระอย่างสนุกสนาน เพื่อให้พนักงานมีความตื่นตัว และไม่คิดว่าเป็นเรื่องน่าเบื่อ

หวังว่าจะเป็นประโยชน์สำหรับทุกท่านนะครับ!!

Content Cr : DestinationOne Counselor

Photo Cr : PhotoPool

10 กลยุทธ์เพื่อปกป้องข้อมูลส่วนตัวของผู้ป่วยสำหรับโรงพยาบาล

10 กลยุทธ์เพื่อปกป้องข้อมูลส่วนตัวของผู้ป่วยสำหรับโรงพยาบาล

นอกจากสถาบันทางการเงินแล้ว ในยุคที่เทคโนโลยีก้าวกระโดดอย่างรวดเร็วเช่นในปัจจุบัน “โรงพยาบาล” ก็จัดเป็นสถาบันอีกประเภทหนึ่งที่ตกเป็นเป้าหมายยอดนิยมของการโจมตีโดยเหล่าแฮ็กเกอร์ทั้งหลาย ข่าวการเจาะระบบฐานข้อมูลโรงพยาบาลหรือการโจรกรรมข้อมูลส่วนตัวของผู้ป่วยเริ่มมีให้เห็นถี่ขึ้นเรื่อยๆ ดังนั้น โรงพยาบาลจึงจำเป็นที่จะต้องวางแผนกลยุทธ์เพื่อปกป้องข้อมูลสำคัญดังกล่าว

เมื่อไม่นานมานี้ เครือข่ายผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยและการบริหารความเสี่ยงโรงพยาบาล (PHI Protection Network) ได้เผยแพร่คำแนะนำเพื่อการปกป้องข้อมูลสำคัญของผู้ป่วยและสถานพยาบาลที่จำเป็นสำหรับปี 2015 ซึ่งทีมที่ปรึกษา Destination One ได้สรุปสาระสำคัญ เพื่อให้คุณสามารถนำแนวคิดที่เป็นประโยชน์ไปประยุกต์ใช้ได้สะดวกยิ่งขึ้นดังนี้

1. ผู้บริหารของโรงพยาลจะต้องแสดงความเป็นผู้นำ : แค่เพียงจัดตั้งทีมงานความมั่นคงปลอดภัยแล้วปล่อยให้พวกเขาทำงานกันเองนั้นยังไม่เพียงพอ ผู้บริหารระดับสูงของโรงพยาบาลควรจะแสดงบทบาทความเป็นผู้นำอย่างจริงจัง และกำหนดให้บุคลากรทุกคนต้องมีสำนึกในการรักษาความมั่นคงปลอดภัยของข้อมูล โดยถือเป็นส่วนหนึ่งของวัฒนธรรมองค์กร

2. รวบรวมและระบุข้อมูลทั้งหมดของโรงพยาบาล : คุณจะต้องรวบรวมและระบุอย่างชัดเจนได้ว่าภายในโรงพยาบาลนั้น มีการใช้งานข้อมูลอะไรบ้าง มีการบริหารจัดการยังไง และถูกเก็บรักษาอย่างไร

3. กำหนดแนวทางปกป้องข้อมูลและจำกัดการเข้าถึงข้อมูล : คุณจะต้องกำหนดแนวทางควบคุมการใช้งานข้อมูลอย่างมั่นคงปลอดภัย และสื่อสารทำความเข้าใจแนวทางดังกล่าวกับบุคลากรที่เกี่ยวข้องทั้งหมด นอกจากนั้น ยังจะต้องจำกัดการเข้าถึงข้อมูลให้สามารถใช้งานได้เฉพาะบุคคลที่มีความเกี่ยวข้องจำเป็นจริงๆ เท่านั้น

4. ประเมินความเสี่ยง : โรงพยาบาลจะต้องกำหนดกระบวนการประเมินความเสี่ยงอย่างชัดเจน เพื่อประเมินระบบ, เครื่องมือ, อุปกรณ์, บริการ และซัพพลายเออร์ที่จะจัดซื้อหรือจัดจ้างมาใหม่ เพื่อให้มั่นใจว่าสิ่งที่จัดหามาใหม่นั้นมีความมั่นคงปลอดภัยอย่างพอเพียง

5. การบริหารจัดการผู้ให้บริการภายนอก :  คุณต้องมีกระบวนการบริหารจัดการผู้ให้บริการภายนอก โดยตรวจสอบและทบทวนกระบวนการทำงานว่ามีความมั่นคงปลอดภัยเพียงพอหรือไม่ ข้อสังเกตอย่างหนึ่งก็คือผู้ให้บริการที่เป็นผู้ประกอบการรายย่อยมักจะมีจุดอ่อนและความเสี่ยงในการทำงานมากกว่า เพราะข้อจำกัดด้านทรัพยากรที่ด้อยกว่าผู้ประกอบการรายใหญ่นั่นเอง

6. เน้นแผนการเชิงรุก : โรงพยาบาลจำเป็นที่จะต้องมีแผนกลยุทธ์เชิงรุกในการปกป้องความมั่นคงปลอดภัยของข้อมูลผู้ป่วย เพราะหากโรงพยาลใดที่สามารถสร้างผลงานได้สูงกว่าค่าเฉลี่ยมาตรฐานทั่วไป จะทำให้มีภาพลักษณ์ของความเป็นผู้นำในกลุ่มธุรกิจทันที

7. สนับสนุนให้การรักษาความเป็นส่วนตัวของข้อมูลเป็นหนึ่งในเกณฑ์การพัฒนาเทคโนโลยี : เทคโนโลยีและอุปกรณ์ที่ออกแบบมาเพื่อสนับสนุนฟังก์ชั่นการใช้งานด้านสุขภาพนั้นมีเพิ่มสูงขึ้น อาทิ Apple Watch หรือ Internet of Things แต่ยังมีหลักฐานน้อยมากว่าผู้พัฒนาเทคโนโลยีนั้นใส่ใจในการรักษาความลับให้กับข้อมูลส่วนตัวของผู้ใช้งาน

8. การวัดผลและการปรับปรุง : คุณจำเป็นต้องออกแบบกระบวนการต่างๆ ให้สามารถวัดผลได้ เพราะคุณจะไม่สามารถบริหารจัดการและปรับปรุงสิ่งใดๆ ได้เลย หากสิ่งนั้นไม่สามารถวัดผลได้

9. ลองมองหาระบบอื่นๆ เพิ่มเติมที่อาจจะเกี่ยวข้องกับข้อมูลผู้ป่วย : ในโรงพยาบาลมีการใช้งานระบบต่างๆ อยู่มากมาย ซึ่งอาจจะยังมีระบบอื่นๆ ที่อยู่นอกเหนือจากการควบคุมในปัจจุบัน อาทิ ระบบวอยซ์เมล์, ระบบบันทึกเสียงสนทนาโทรศัพท์ หรือ ระบบกล้องวงจรปิด เป็นต้น ซึ่งอาจจะมีส่วนเกี่ยวข้องกับข้อมูลผู้ป่วย ดังนั้น โรงพยาลจึงต้องขยายการควบคุมไปยังระบบเหล่านี้เพิ่มเติมด้วย

10. ตอกย้ำวัฒนธรรมในการปกป้องข้อมูลของผู้ป่วย : บุคลากรของโรงพยาบาลทุกคนจะต้องให้ความสำคัญในการปกป้องข้อมูลส่วนตัวของผู้ป่วยและสถานพยาบาลเป็นสำคัญ

ที่มา : www.net-security.org

เรียบเรียง : DestinationOne Counselor

ภาพประกอบ : MediaPal

การบริหารเหตุละเมิดความมั่นคงปลอดภัยแบบเร่งรัดตาม ISO 27001:2013

การบริหารเหตุละเมิดความมั่นคงปลอดภัยแบบเร่งรัดตาม ISO 27001:2013

เหตุละเมิดความมั่นคงปลอดภัย หรือ Security Incident นั้น คืออะไรก็ตามที่ขัดขวางความมั่นคงปลอดภัยไม่ให้เป็นไปตามเป้าหมายหรือวัตถุประสงค์ ซึ่งโดยทั่วไปแล้ว “ความมั่นคงปลอดภัย” จะหมายถึง การคงไว้ซึ่ง “CIA” - โดย C นั้นมาจาก Confidentiality (ความลับ) - สำหรับ I นั้น มาจาก Integrity (ความถูกต้องครบถ้วน) - ส่วน A นั้น มาจาก Availability (ความพร้อมใช้งาน)

ดังนั้น สิ่งใดก็ตามที่ส่งผลกระทบในเชิงลบต่อ CIA จึงถือเป็นเหตุละเมิดความมั่นคงปลอดภัยทั้งสิ้น

ตัวอย่างของเหตุละเมิดความมั่นคงปลอดภัยที่พบเห็นได้ทั่วไป อาทิ..

     o การติดไวรัส

     o การโจมตีทางไซเบอร์

     o ข้อมูลรั่วไหลหรือถูกเปิดเผยโดยไม่ได้รับอนุญาต

     o การเข้าถึงระบบโดยไม่ได้รับอนุญาต

     o การฝ่าฝืนนโยบาย/ขั้นตอนการปฏิบัติงาน/กฎหมาย

ถ้ามองในมุมของการบริหารจัดการ เหตุละเมิดความมั่นคงปลอดภัยแม้เพียงเล็กน้อยก็ถือเป็นปัจจัยหรือจุดเริ่มต้นของความผิดพลาดในการให้บริการขององค์กรได้ รวมถึงอาจจะทำให้ระดับความมั่นคงปลอดภัยขององค์กรลดลงต่ำกว่า Acceptable Level ที่มีการกำหนดไว้ก็เป็นได้ ดังนั้น องค์กรจึงจำเป็นที่จะต้องมีการวางแผนเตรียมรับมือกับเหตุละเมิดความมั่นคงปลอดภัยที่อาจจะเกิดขึ้น โดยคำนึงถึงความสมเหตุสมผลและความคุ้มค่าในการลงทุน ซึ่งอาจจะอาศัยแนวทางจากมาตรฐานสากลต่างๆ เช่น ISO 27001:2013 หรือ ISO 27035 เป็นต้น ที่สำคัญก็คือจะต้องเป็นแผนงานหรือกระบวนการที่สามารถปฏิบัติใช้ได้จริง และมีการทบทวนและทดสอบกระบวนการอยู่เสมอ

ทั้งนี้ เพื่อเป็นทางลัดให้องค์กรของคุณมีกระบวนการรับมือหรือตอบสนองต่อเหตุละเมิดความมั่นคงปลอดภัยเอาไว้ใช้งานเบื้องต้น ทีมที่ปรึกษา Destination One จึงขอเสนอกระบวนการบริหารจัดการเหตุละเมิดความมั่นคงปลอดภัยแบบเร่งรัด ดังนี้

การรายงาน / การแจ้งเหตุ : เหตุการณ์หรือจุดอ่อนด้านความมั่นคงปลอดภัยนั้นคืออะไร ต้องแจ้งเหตุไปที่ผู้ใด แจ้งด้วยช่องทางใด ต้องแจ้งข้อมูลอย่างไรบ้าง

การวิเคราะห์ / การประเมินเบื้องต้น : สิ่งที่ตรวจพบเข้าเกณฑ์ที่จัดเป็น “เหตุละเมิดความมั่นคงปลอดภัย” หรือไม่ ใครต้องเป็นผู้รับผิดชอบในการวิเคราะห์และประเมิน และเมื่อประเมินเสร็จแล้วจะต้องส่งเรื่องต่อไปที่แผนกใด

การตอบสนองต่อเหตุละเมิดความมั่นคงปลอดภัย : จะต้องพิจารณาว่าควรจะตอบสนองต่อเหตุละเมิดแต่ละประเภทอย่างไร ใครคือผู้รับผิดชอบ สาเหตุของเหตุละเมิดคืออะไร และวางแผนแก้ไขเหตุทั้งระยะสั้น และระยะยาว โดยมีแนวทางดังนี้..

     o การควบคุมหรือจำกัดความรุนแรงของเหตุละเมิด

     o การแก้ไขและกำจัดเหตุละเมิด

     o การกู้คืนระบบ

     o การติดต่อสื่อสาร

     o การทบทวนเหตุละเมิด

การเรียนรู้และการปรับปรุงกระบวนการ : จากเหตุละเมิดที่เกิดขึ้น คุณได้รับบทเรียนอะไรบ้าง ได้รับความรู้หรือแนวปฏิบัติใหม่ๆ เพิ่มเติมบ้างไหม

การจัดเก็บหลักฐาน : ในการจัดเก็บบันทึกและหลักฐานเกี่ยวกับเหตุละเมิดนั้น ใครคือผู้รับผิดชอบ จัดเก็บที่ใด และมีกระบวนการจัดเก็บอย่างไร

หากคุณต้องการให้บริการขององค์กรมีความราบรื่นต่อเนื่องและมั่นคงปลอดภัย ผู้บริหารและทีมงานจะต้องร่วมมือกันกำหนดกระบวนการบริหารจัดการเหตุล่วงละเมิดที่มีประสิทธิภาพ เพื่อลดผลกระทบเชิงลบที่อาจจะเกิดขึ้นกับองค์กร สิ่งที่คุณจำเป็นต้องพึงระลึกไว้เสมอก็คือ “เหตุล่วงละเมิดความมั่นคงปลอดภัย ยิ่งเจอเร็ว แก้ไขได้เร็ว ผลกระทบก็จะยิ่งน้อยลง” ครับ!

Content Cr : DestinationOne Counselor

Photo Cr : Google Search

HOW TO: กด ATM อย่างไรให้มั่นคงปลอดภัย

HOW TO: กด ATM อย่างไรให้มั่นคงปลอดภัย

สำหรับคนในเมืองยุคนี้ การกดเงินผ่านตู้ ATM ถือเป็นไลฟ์สไตล์ทั่วไปอย่างหนึ่ง บางคนกดบ่อย บางคนกดมาก บางคนกดน้อย อันนี้ก็ต้องแล้วแต่รูปแบบการใช้จ่ายและตัวเลขเงินในบัญชีนะครับ.. แต่ที่ผมอยากจะพูดถึงในบทความนี้ เป็นเรื่องของความมั่นคงปลอดภัยในการใช้งาน ATM มากกว่า เพราะไม่ว่าจะเสพข่าวจากสื่อไหนก็จะมีเรื่องของการโจรกรรมผ่านตู้ ATM ให้เห็นกันอยู่ตลอด ประเดี๋ยวก็มีข่าวจับชาวต่างชาติแอบติดตั้งอุปกรณ์ขโมยข้อมูลบ้างล่ะ ข่าวบัตรถูกปลอมแปลงบ้างล่ะ ธนาคารเองก็ออกมาเตือนเรื่องแฮกเกอร์กันอยู่บ่อยๆ ส่งผลให้คนใช้บัตร ATM รู้สึกหนาวๆ ร้อนๆ ไปตามกัน

ความเสี่ยงของการใช้งาน ATM ในประเทศไทยตอนนี้กำลังเพิ่มสูงขึ้น เพราะมีมิจฉาชีพกลุ่มหนึ่ง (ส่วนใหญ่จะเป็นชาวต่างชาติ) มักจะใช้วิธีดักจับข้อมูลบัตร ATM แล้วทำการปลอมแปลงเพื่อขโมยกดเงินออกไปจากบัญชีของเหยื่อ ซึ่งเทคนิคนี้เรียกกันว่า “ATM Skimming”

หลายท่านคงอยากทราบว่า แล้วเราควรจะทำอย่างไรดีเพื่อปกป้องตนเองไม่ให้ตกเป็นเหยื่อ ซึ่งทีมงานของ Destination One ได้เสนอคำแนะนำไว้ดังนี้ครับ

ข้อควรปฏิบัติเพื่อการใช้งาน ATM อย่างมั่นคงปลอดภัย

ควรกดเงินจากตู้ ATM ที่ตั้งอยู่หน้าธนาคาร

เพราะตู้ ATM ที่ตั้งอยู่หน้าธนาคารมักจะได้รับการรักษาความมั่นคงปลอดภัยมากกว่าตู้ที่ตั้งอยู่เดี่ยวๆ จึงยากที่มิจฉาชีพจะลักลอบติดตั้งอุปกรณ์แปลกปลอม และยังอยู่ในความดูแลของพนักงานธนาคารอย่างใกล้ชิดอีกด้วย

ควรเปลี่ยนแปลงรหัสผ่าน หากมีการใช้งานตู้ ATM นอกพื้นที่

ในบางครั้งคุณอาจจะหลีกเลี่ยงไม่ได้ และจำเป็นจะต้องใช้บริการตู้ ATM ที่ตั้งอยู่ในสถานที่ที่ไม่น่าเชื่อถือในความปลอดภัย คุณจึงควรจะเปลี่ยนแปลงรหัสผ่านหลังจากการใช้งานครั้งนั้น เพราะรหัสผ่านคือกุญแจสำคัญที่ใช้พิสูจน์ตัวตนของคุณในการเบิกถอนเงินจากบัญชี

ควรเปลี่ยนรหัสผ่านอยู่เสมอ และใช้รหัสผ่านที่ยากต่อการคาดเดา

คุณควรจะเปลี่ยนรหัสผ่านบ่อยๆ อย่างน้อยคือทุกๆ 3 เดือน และควรจะเป็นรหัสผ่านที่คาดเดาได้ยาก โดยไม่ควรนำข้อมูลพื้นฐานส่วนตัวมาตั้งเป็นรหัสผ่านโดยเด็ดขาด

ควรจำกัดจำนวนเงินในบัญชีบัตร ATM แค่เพียงเท่าที่จำเป็น

การกระจายเงินไว้ตามบัญชีต่างๆ ถือเป็นการกระจายความเสี่ยงอย่างหนึ่ง โดยเราควรจะเก็บเงินไว้ในบัญชีที่บัตร ATM เข้าถึงได้แค่เท่าที่จำเป็นต่อการใช้จ่ายทั่วไปเท่านั้น เพื่อจำกัดความเสียหายหากเกิดเหตุไม่พึงประสงค์ขึ้น

ควรสำรวจแบบ 360 องศา ก่อนการกดเงินทุกครั้ง

คุณจะต้องตรวจสอบหาความผิดปกติของตู้ ATM ก่อนการใช้งานทุกครั้ง และจะต้องสังเกตรอบตัวทั้งด้านข้างและด้านหลังเพื่อความมั่นใจว่าไม่มีมิจฉาชีพแฝงตัวอยู่บริเวณรอบๆ

ควรเลือกใช้งานบัตร ATM ที่มีความมั่นคงปลอดภัยมากกว่า

ปัจจุบันนี้บัตร ATM ส่วนใหญ่ยังเป็นบัตรแบบที่ใช้แถบแม่เหล็กกันอยู่ ซึ่งมีความมั่นคงปลอดภัยน้อยกว่าบัตรรุ่นใหม่ๆ ที่เป็นแบบฝัง Chip ซึ่งปลอมแปลงข้อมูลได้ยากกว่า โดยในขณะนี้ทางธนาคารแห่งประเทศไทยกำลังจะประกาศให้ธนาคารทุกแห่งทำการเปลี่ยนรูปแบบบัตร ATM มาเป็นแบบฝัง Chip ทั้งหมด คาดว่าจะมีผลบังคับใช้ประมาณต้นปี 2558 ครับ

ขอขอบคุณภาพประกอบจาก BANK OF MONTREAL

ควรหมั่นติดตามรายการเดินบัญชีอย่างสม่ำเสมอ

คุณควรจะตรวจสอบความเคลื่อนไหวของเงินในบัญชีที่ผูกกับบัตร ATM อยู่เสมอ อย่างน้อยที่สุดคือเดือนละ 1 ครั้ง เพราะหากมีการถอนเงินหรือการโอนเงินที่ผิดปกติ คุณจะได้รีบติดต่อกับธนาคารและดำเนินการติดตามได้ทันท่วงที

Content Cr : DestinationOne Counselor

Photo Cr : FreeImages.com, Bank of Montreal

10 ความเสี่ยงที่ทุกองค์กรต้องเตรียมแผนรับมือให้พร้อม

10 ความเสี่ยงที่ทุกองค์กรต้องเตรียมแผนรับมือให้พร้อม

"ความเสี่ยง" คือ อะไรก็ตาม (คน, สัตว์, สิ่งของ, เหตุการณ์, ฯลฯ) ที่สามารถขัดขวางการบรรลุผลตามเป้าหมายหรือวัตถุประสงค์ที่ได้กำหนดไว้ ซึ่งถ้ามองในมุมของการบริหารจัดการองค์กรแล้วล่ะก็ ความเสี่ยงก็คือสิ่งใดก็ตามที่ทำให้ธุรกิจของคุณหยุดชะงัก การปฏิบัติงานหรือการให้บริการล่าช้า หรือขาดความมั่นคงปลอดภัย ดังนั้น คุณจึงจำเป็นที่จะต้องวางแผนการรับมือความเสี่ยงต่างๆ ที่อาจจะเกิดขึ้นล่วงหน้า โดยแผนและวิธีการเหล่านี้จะต้องสมเหตุสมผลและคุ้มค่ากับการลงทุน

องค์กรจะต้องพัฒนาเครื่องมือขึ้นมาช่วยในการบริหารจัดการความเสี่ยงอย่างเหมาะสมตามบริบทของตน อาจจะอาศัยตัวช่วยด้วยการพิจารณาตามหลัก PPT (People - Process - Technology) หรือทฤษฎี Security Control Categorized (Physical Control - Administrative Control - Logical Control) ในขณะเดียวกัน ทางเลือกที่ดีอีกอย่างหนึ่งก็คือ การนำเอาแนวทางของ Best Practice หรือมาตรฐานสากล อาทิ ISO 22301:2012 Business Continuity Management, ISO 27001:2013 Information Security Management มาประยุกต์ใช้ภายในองค์กร ทั้งนี้ แผน เครื่องมือ วิธีการ และกระบวนการที่พัฒนาขึ้นนี้ จะต้องสามารถใช้งานได้จริง มีการทบทวนและทดสอบประสิทธิภาพอยู่เสมอ

จากสถานการณ์ในช่วงปีที่ผ่านมา ทางทีมที่ปรึกษาของ Destination One ได้คัดเลือก 10 ความเสี่ยงสำคัญที่ทุกองค์กรจำเป็นจะต้องมีการวางแผนรับมือและบริหารจัดการอย่างหลีกเลี่ยงไม่ได้ ดังนี้

     1. ไฟไหม้ (มีแผนอพยพแล้วหรือยัง, อุปกรณ์ดับเพลิงมีเพียงพอไหม)

     2. น้ำท่วม (มีแผนความต่อเนื่องและแผนกู้คืนแล้วหรือยัง)

     3. เหตุชุมนุมทางการเมือง (มีแผนรับมืออย่างไร)

     4. ไฟดับ (มีระบบไฟฟ้าสำรองมีเพียงพอไหม)

     5. ระบบโทรคมนาคมมีปัญหา (มีระบบสื่อสารสำรองไหม, มีศูนย์สำรองหรือไม่)

     6. ฮาร์ดแวร์หรือซอฟต์แวร์มีปัญหา (มีระบบสำรองหรือไม่, มีแผนกู้คืนอย่างไร)

     7. การถูกโจมตีผ่านระบบเครือข่าย (มีระบบป้องกันไหม, มีวิธีการกู้คืนอย่างไร)

     8. ข้อมูลขององค์กรรั่วไหล (มีแผนรับมือหรือตอบสนองต่อเหตุการณ์อย่างไร)

     9. การไม่สามารถเข้าถึงพื้นที่ปฏิบัติงาน (มีสถานที่ปฏิบัติงานสำรองไหม)

     10. การประท้วงโดยพนักงานขององค์กร (มีแผนรองรับอย่างไร, มีพนักงานสำรองไหม)

หากผู้บริหารต้องการให้องค์กรของตนสามารถดำเนินธุรกิจได้อย่างต่อเนื่องราบรื่น กระบวนการทำงานหรือให้บริการมีความมั่นคงปลอดภัย ก็จะต้องมีการผลักดันและให้การสนับสนุนการจัดทำแผนและกระบวนการบริหารจัดการความเสี่ยงอย่างชัดเจน โดยกำหนดทีมงานผู้รับผิดชอบ และจัดหาทรัพยากรที่จำเป็นให้อย่างพอเพียง เพื่อให้ความเสี่ยงเหล่านี้ลดลงมาอยู่ในระดับที่องค์กรยอมรับได้ (Acceptable Level) หรือลดลงมาถึงในระดับที่ความเสี่ยงนั้นไม่มีนัยสำคัญต่อองค์กรอีกต่อไป ซึ่งถือเป็นความสำเร็จสูงสุดนั่นเอง

Content Cr : DestinationOne Counselor

Photo Cr : DailyNews.co.th

แนะนำข้อกำหนดของ ISO 27001:2013 แบบเข้าใจง่าย

แนะนำข้อกำหนดของ ISO 27001:2013 แบบเข้าใจง่าย

ธุรกิจในปัจจุบันต้องแข่งขันกันที่ข้อมูลและระบบเทคโนโลยีสารสนเทศ ว่ากันว่าข้อมูลลับทางการค้าในมือของใครครบถ้วน ถูกต้อง ประมวลผลและวิเคราะห์ได้รวดเร็วกว่า คนนั้นย่อมได้เปรียบคู่แข่งเสมอ ดังนั้น จึงไม่น่าแปลกใจที่มีทฤษฎี โมเดล มาตรฐาน และงานวิจัยเกี่ยวข้องกับความพยายามในการบริหารจัดการข้อมูลอย่างมีประสิทธิภาพปรากฏให้เห็นอยู่มากมาย ซึ่งแน่นอนว่ามาตรฐานสากล ISO 27001:2013 การบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System) มักจะได้รับการอ้างอิงถึงอยู่เสมอๆ และกำลังได้รับความนิยมในการนำไปประยุกต์ใช้งานเพิ่มขึ้นอย่างต่อเนื่อง

สำหรับองค์กรที่ต้องการได้รับการรับรองมาตรฐาน ISO 27001:2013 นั้น จำเป็นที่จะต้องปฏิบัติตามข้อกำหนดหลักของมาตรฐาน ซึ่งถ้าอ้างอิงตามเอกสารแล้วได้แก่ ข้อกำหนด 4-10 นั่นเอง ซึ่งในบทความนี้ ผมจะขอแนะนำข้อกำหนดหลักดังกล่าวให้ทุกท่านเข้าใจอย่างง่ายๆ ดังนี้

ข้อกำหนดหลักของมาตรฐาน ISO 27001:2013

ข้อกำหนดที่ 4 การระบุบริบทขององค์กร

ทำความเข้าใจองค์กรและบริบท : คุณจะต้องระบุประเด็นและปัจจัยทั้งภายในและภายนอกองค์กร ที่มีผลกระทบกับเป้าหมายและวัตถุประสงค์ในการบริหารจัดการความมั่นคงปลอดภัย

ทำความเข้าใจกับความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้อง : คุณจะต้องระบุตัวผู้ที่มีส่วนเกี่ยวข้องกับความมั่นคงปลอดภัยขององค์กรทั้งหมด แล้วระบุความต้องการและความคาดหวังของพวกเขาที่มีต่อการบริหารจัดการความมั่นคงปลอดภัย

ระบุขอบเขตของระบบบริหารความมั่นคงปลอดภัย : คุณจะต้องระบุขอบเขตของการจัดทำระบบบริหารความมั่นคงปลอดภัยอย่างชัดเจน รวมถึงข้อยกเว้นต่างๆ ด้วย (ถ้ามี)

ระบบบริหารจัดการความมั่นคงปลอดภัย : องค์กรจะต้องมีการจัดตั้ง บังคับใช้ บำรุงรักษา และปรับปรุงระบบบริหารจัดการความมั่นคงปลอดภัยอย่างเหมาะสม

ข้อกำหนดที่ 5 ภาวะผู้นำ

ภาวะผู้นำและพันธกิจ : ผู้บริหารจะต้องแสดงออกถึงพันธกิจและความเป็นผู้นำในการจัดทำระบบบริหารจัดการความมั่นคงปลอดภัย โดยจะต้องมั่นใจว่านโยบายด้านความมั่นคงปลอดภัยมีความสอดคล้องกับวัตถุประสงค์ขององค์กร และมีการจัดการทรัพยากรที่จำเป็นในการดำเนินการให้อย่างเพียงพอ

นโยบาย : องค์กรจะต้องมีการประกาศ บังคับใช้ และสื่อสารเกี่ยวกับนโยบายด้านความมั่นคงปลอดภัยอย่างเหมาะสม

บทบาท หน้าที่ ความรับผิดชอบ และการใช้อำนาจหน้าที่ : ผู้บริหารจะต้องกำหนดบทบาท อำนาจ หน้าที่และความรับผิดชอบของบุคลากรที่เกี่ยวข้องกับการบริหารจัดการความมั่นคงปลอดภัยอย่างเหมาะสม

ข้อกำหนดที่ 6 การวางแผน

การบริหารความเสี่ยง : คุณจะต้องมีการบริหารจัดการความเสี่ยงและโอกาสที่เกี่ยวข้องกับความมั่นคงปลอดภัย โดยการหามาตรการป้องกันหรือปรับปรุงให้ความเสี่ยงต่างๆ อยู่ในระดับที่องค์กรสามารถยอมรับได้ ทั้งนี้ ในการประเมินความเสี่ยงจะต้องคำนึงถึง 3 แง่มุม อันได้แก่ ความลับ (Confidentiality), ความถูกต้องครบถ้วน (Integrity) และความพร้อมใช้งาน (Availability) จากนั้นจึงทำการจัดลำดับความสำคัญของความเสี่ยง กำหนดตัวผู้เป็นเจ้าของความเสี่ยง พร้อมทั้งจัดหาแผนการแก้ไขความเสี่ยงต่อไป

กำหนดวัตถุประสงค์และแผนงาน : คุณจะต้องมีการกำหนดวัตถุประสงค์ด้านความมั่นคงปลอดภัยของแต่ละแผนก ฝ่าย หรือหน่วยงาน พร้อมทั้งสื่อสารให้พวกเขารับทราบ รวมถึงจะต้องจัดทำแผนงานที่เหมาะสมเพื่อให้สอดคล้องตามวัตถุประสงค์เหล่านั้น

ข้อกำหนดที่ 7 การสนับสนุน

ทรัพยากร : ผู้บริหารจะต้องสนับสนุนและจัดการทรัพยากรต่างๆ ให้เพียงพอต่อการจัดทำระบบบริหารความมั่นคงปลอดภัย

ทักษะความสามารถ : องค์กรจะต้องมีการกำหนดทักษะความสามารถ (Competency) ที่จำเป็นในการบริหารจัดการความมั่นคงปลอดภัย และจัดให้มีการอบรมฝึกฝนเพื่อให้บุคลากรมีทักษะความสามารถเหล่านั้น รวมถึงจะต้องมีการประเมินความสามารถเป็นประจำตามรอบระยะเวลาที่กำหนด

ความตระหนักรู้ : บุคลากรและผู้ที่เกี่ยวข้องทั้งหมดจะต้องมีความตระหนักรู้ (Awareness) ด้านการบริหารจัดการความมั่นคงปลอดภัย โดยจะต้องได้รับการสื่อสารและให้ความรู้เกี่ยวกับนโยบายและแผนการดำเนินการต่างๆ อย่างเหมาะสม

การติดต่อสื่อสาร : คุณจะต้องจัดให้มีการสื่อสารเกี่ยวกับการบริหารจัดการความมั่นคงปลอดภัยไปยังผู้ที่มีส่วนเกี่ยวข้องทั้งหมดตามความจำเป็น ทั้งบุคคลภายในและภายนอกองค์กร เพื่อให้ทุกคนสามารถปฏิบัติตนได้สอดคล้องตามข้อกำหนดของมาตรฐานสากล

การบริหารจัดการเอกสาร : คุณจะต้องกำหนดให้มีการบริหารจัดการเอกสารและบันทึกต่างๆ ที่เกี่ยวข้องกับระบบบริการจัดการความมั่นคงปลอดภัย ให้มีความครบถ้วนถูกต้อง พร้อมใช้งาน สอดคล้องตามระดับความสำคัญของข้อมูลนั้นๆ ตลอดวัฏจักรของเอกสารเหล่านั้น

ข้อกำหนดที่ 8 การปฏิบัติงาน

การวางแผนและควบคุมการปฏิบัติงาน : คุณจะต้องมีการวางแผนและควบคุมการปฏิบัติงานด้านการบริหารความมั่นคงปลอดภัยอย่างเหมาะสม เพื่อให้สอดคล้องตามวัตถุประสงค์ที่ได้กำหนดไว้ รวมถึงมีการควบคุมบริหารความเปลี่ยนแปลง (Change Management) ที่เกิดขึ้น และควบคุมการปฏิบัติงานของผู้ให้บริการภายนอก (Outsource) ที่เกี่ยวข้องอีกด้วย

การประเมินความเสี่ยงด้านความมั่นคงปลอดภัย : คุณจะต้องทำการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอตามรอบระยะเวลาที่ได้กำหนดไว้ หรือเมื่อมีการเปลี่ยนแปลงที่มีนัยสำคัญเกิดขึ้น

การแก้ไขความเสี่ยงด้านความมั่นคงปลอดภัย : คุณจะต้องจัดทำแผนแก้ไขความเสี่ยงให้สอดคล้องตามผลการประเมิน และดำเนินการตามแผนนั้นเพื่อให้ความเสี่ยงลดลงมาอยู่ในระดับที่องค์กรสามารถยอมรับได้

ข้อกำหนดที่ 9 การประเมินประสิทธิภาพและประสิทธิผล

การตรวจติดตาม การวัดผล การวิเคราะห์และการประเมินผล : คุณจะต้องทำการประเมินประสิทธิภาพและประสิทธิผลของระบบบริหารความมั่นคงปลอดภัย ด้วยการตรวจติดตาม การวัดผล การวิเคราะห์และการประเมินผล และสรุปรายงานเพื่อนำเสนอให้ผู้บริหารพิจารณาต่อไป

การตรวจสอบภายใน : คุณจะต้องดำเนินการตรวจสอบภายในระบบบริหารความมั่นคงปลอดภัยตามรอบระยะเวลาที่ได้กำหนดไว้ โดยครอบคลุมทุกหัวข้อที่ระบุไว้ในขอบเขตของระบบ

การทบทวนโดยผู้บริหาร : ผู้บริหารระดับสูงจะต้องพิจารณาทบทวนระบบบริหารจัดการความมั่นคงปลอดภัยตามรอบระยะเวลาที่ได้กำหนดไว้ เพื่อให้มั่นใจได้ว่าระบบมีประสิทธิภาพและประสิทธิผลอยู่เสมอ

ข้อกำหนดที่ 10 การพัฒนาและปรับปรุง

สิ่งที่ไม่สอดคล้องตามข้อกำหนด และการแก้ไข : เมื่อพบว่ามีสิ่งใดที่ไม่เป็นไปตามข้อกำหนด คุณจะต้องระบุข้อมูลของสิ่งนั้น แล้วดำเนินการวางแผนแก้ไขปัญหาให้ถูกต้องครบถ้วน รวมถึงทำการวัดผลการแก้ไขนั้นด้วย

การปรับปรุงอย่างต่อเนื่อง : องค์กรจะต้องมีการพัฒนาปรับปรุงประสิทธิภาพและประสิทธิผลของระบบบริหารจัดการความมั่นคงปลอดภัยอย่างต่อเนื่อง เพื่อให้สอดคล้องตามวัตถุประสงค์ทางธุรกิจขององค์กรอยู่เสมอ

การปฏิบัติตามข้อกำหนดเหล่านี้จะช่วยให้มั่นใจได้ว่าข้อมูลและระบบสารสนเทศขององค์กรมีความมั่นคงปลอดภัย และสามารถขอรับการตรวจประเมิน ISO 27001:2013 จากหน่วยงานรับรองได้ รวมถึงช่วยเพิ่มความได้เปรียบ ความมั่นคง และความต่อเนื่องในการดำเนินธุรกิจภายใต้สถานการณ์ที่การต่อสู้แข่งขันกันมีความดุเดือดอย่างเช่นในปัจจุบันนี้นี่เอง

Content Cr: DestinationOne Counselor

Photo Cr: ISO, MS Template

20 คำถาม เพื่อจัดหาศูนย์คอมพิวเตอร์ (Data Center) ให้สอดคล้องตาม ISO 27001:2013

20 คำถาม?? เพื่อจัดหาศูนย์คอมพิวเตอร์ (Data Center) ให้สอดคล้องตาม ISO 27001:2013

เดี๋ยวนี้การทำงานในทุกองค์กร ไม่ว่าจะแผนกไหนๆ ก็อาศัยระบบเทคโนโลยีสารสนเทศกันทั้งนั้น ไม่ว่าจะเป็นระบบงานขาย ระบบบริหารการตลาด ระบบจัดการทรัพยากรบุคคล ฯลฯ นั่นคือเหตุผลที่ทำให้ต้องจัดตั้งศูนย์คอมพิวเตอร์ (Data Center) ขึ้นมา เพื่อทำหน้าที่ในการบริหารจัดการและบำรุงรักษาข้อมูลทางธุรกิจและระบบไอทีต่างๆ ที่มีใช้งานอยู่ภายในองค์กร เพื่อความพร้อมในการให้บริการอย่างราบรื่นได้ตลอดเวลา ตอบสนองความต้องการทางธุรกิจ และคุ้มครองความมั่นคงปลอดภัย

การตัดสินใจเกี่ยวกับตัวเลือกต่างๆ สำหรับศูนย์คอมพิวเตอร์จำเป็นต้องทำอย่างรอบคอบ ไม่ว่าจะตัดสินใจสร้างศูนย์ขึ้นมาเอง หรือไปเช่าใช้จากผู้ให้บริการภายนอก ดังนั้น ทีมงาน Destination One จึงอยากจะนำเสนอคำถามจำนวน 20 ข้อ ที่ผู้บริหารหรือผู้มีอำนาจดูแลจะต้องพิจารณาหาคำตอบอย่างรอบคอบ เพื่อประกอบการตัดสินใจในการจัดหาศูนย์คอมพิวเตอร์ที่ดีและเหมาะสมกับองค์กรของตนเอง

20 คำถามที่ต้องพิจารณามีดังนี้..

      1. ศูนย์คอมพิวเตอร์มีทำเลที่ตั้งอย่างไร    

      2. โครงสร้างอาคารของศูนย์คอมพิวเตอร์มีความมั่นคงแข็งแรงอย่างไร

      3. ระบบไฟฟ้าของศูนย์คอมพิวเตอร์เป็นอย่างไร

      4. ระบบปรับอากาศของศูนย์คอมพิวเตอร์เป็นอย่างไร

      5. ระบบโทรคมนาคมของศูนย์คอมพิวเตอร์เป็นอย่างไร

      6. ระบบตรวจจับและตรวจสอบของศูนย์คอมพิวเตอร์เป็นอย่างไร

      7. ระบบดับเพลิงของศูนย์คอมพิวเตอร์เป็นอย่างไร

      8. ระบบควบคุมการเข้าถึงทางกายภาพของศูนย์คอมพิวเตอร์เป็นอย่างไร

      9. ระบบ Access Control & CCTV ของศูนย์คอมพิวเตอร์เป็นอย่างไร

      10. ระบบการเดินสายสัญญาณ สายไฟ และสายเคเบิ้ลอื่นๆ เป็นอย่างไร

      11. ระบบมอนิเตอร์และเฝ้าระวังระบบของศูนย์คอมพิวเตอร์เป็นอย่างไร

      12. ระบบเครือข่ายของศูนย์คอมพิวเตอร์เป็นอย่างไร

      13. ระบบป้องกันความมั่นคงปลอดภัยของศูนย์คอมพิวเตอร์เป็นอย่างไร

      14. ระบบบริหารจัดการ การบำรุงรักษาอุปกรณ์ และระบบสารสนเทศเป็นอย่างไร

      15. การบริหารจัดการความมั่นคงปลอดภัยของศูนย์คอมพิวเตอร์เป็นอย่างไร

      16. การบริหารจัดการความเสี่ยงของศูนย์คอมพิวเตอร์เป็นอย่างไร

      17. การบริหารจัดการการให้บริการของศูนย์คอมพิวเตอร์เป็นอย่างไร

      18. การบริหารจัดการคววามต่อเนื่องของการให้บริการของศูนย์คอมพิวเตอร์เป็นอย่างไร

      19. การบริหารจัดการพนักงานของศูนย์คอมพิวเตอร์เป็นอย่างไร

      20. ระดับของการให้บริการ (SLA) ของศูนย์คอมพิวเตอร์เป็นอย่างไร

คำถามเหล่านี้เป็นเพียงข้อมูลเบื้องต้นที่องค์กรโดยทั่วไปต้องใช้ประกอบการพิจารณาก่อนการคัดเลือกหรือจัดตั้งศูนย์คอมพิวเตอร์ เพื่อให้สอดคล้องตามมาตรฐาน ISO 27001:2013 แต่นอกเหนือไปจากนี้ ผู้บริหารยังต้องขบคิดเกี่ยวกับบริบทเฉพาะองค์กรอื่นๆ ที่เกี่ยวข้อง เพื่อให้ศูนย์คอมพิวเตอร์นี้สามารถตอบโจทย์และความต้องการทางธุรกิจได้อย่างสูงสุด

Content Cr : Destination One Counselor

Photo Cr : Freeimages.com