Tuesday, September 30, 2014

การวิเคราะห์ผลกระทบทางธุรกิจ (BIA) แบบบ้านๆ


การวิเคราะห์ผลกระทบทางธุรกิจ (BIA) แบบบ้านๆ


ความสำเร็จในการบริหารความต่อเนื่องของธุรกิจ (Business Continuity Management) ส่วนหนึ่งต้องอาศัยกระบวนการสำคัญที่เรียกว่า “การวิเคราะห์ผลกระทบทางธุรกิจ หรือ Business Impact Analysis(BIA) เพราะมันจะช่วยให้เราทราบรายละเอียดเกี่ยวกับสินค้าและบริการขององค์กรทั้งหมด รวมถึงมีการคำนวณหรือประเมินค่าระยะเวลาต่างๆ ที่เกี่ยวข้อง เช่น ระยะเวลาที่องค์กรยอมรับได้หากบริการต้องหยุดชะงัก ระยะเวลาที่เหมาะสมในการกู้คืนระบบ เป็นต้น ซึ่งผลของการวิเคราะห์ BIA จะช่วยให้เราสามารถกำหนดกลยุทธ์ สำรองทรัพยากร และเตรียมความพร้อมสำหรับการสร้างความต่อเนื่องในการดำเนินธุรกิจที่สามารถตอบโจทย์ทุกภาคส่วนที่เกี่ยวข้อง (Stakeholder) ได้



ขั้นตอนง่ายๆ ในการวิเคราะห์ผลกระทบทางธุรกิจ

รู้จักตนเอง : รู้ว่าองค์กรทำธุรกิจอย่างไร มีสินค้าและบริการอะไรบ้าง มีกระบวนการและทรัพยากรใดที่เกี่ยวข้องจำเป็นในการดำเนินธุรกิจ

รู้จักผู้อื่น : รู้จักความต้องการของลูกค้า ข้อกำหนดของกฎหมายต่างๆ รวมถึงความคาดหวังของผู้ที่เกี่ยวข้องทั้งหมด เช่น ผู้ถือหุ้น ซัพพลายเออร์ ชุมชนทางสังคมต่างๆ เป็นต้น

จัดลำดับความสำคัญ : ประเมินลำดับความสำคัญหรือความจำเป็นของสิ่งต่างๆ ข้างต้น เช่น สิ่งใดมีความเร่งด่วนมากที่สุด V.S. สิ่งใดสามารถรอได้, สิ่งใดที่ไม่สามารถละเลยได้เลย V.S. สิ่งใดที่พอจะเพิกเฉยได้ เป็นต้น

ประเมินค่าเป็นเวลา : คำนวณระยะเวลาที่องค์กรสามารถยอมรับได้หากต้องเกิดการหยุดชะงักของกระบวนการหรือสิ่งหนึ่งสิ่งใด บางอย่างอาจจะไม่สามารถปล่อยให้หยุดได้เลย ในขณะที่บางอย่างสามารถอนุโลมได้ โดยประเมินว่าหากสิ่งนั้นเกิดการหยุดชะงักจะสร้างความเสียหายให้กับองค์กรเป็นมูลค่าเท่าใด ต้องใช้เวลาและทรัพยากรเท่าใดในการกู้คืน เช่น ในกรณีที่พนักงานขายไม่สามารถเข้าถึงระบบข้อมูลคลังสินค้าได้ เป็นระยะเวลาเท่าใดที่ปัญหานั้นจะไม่ส่งผลต่อการทำงาน หากเกินไปกว่านั้นจะก่อความเสียหายอย่างไรบ้าง เป็นค่าเสียหายมูลค่าเท่าใด ต้องใช้มาตรการ ระยะเวลา หรือทรัพยากรใดบ้างในการกู้คืนระบบนั้น อาทิ อุปกรณ์สำรองข้อมูล เป็นต้น


ตัวอย่าง - การวิเคราะห์ผลกระทบทางธุรกิจของ “ปั๊มน้ำมัน”

>> ธุรกิจของเรามีบริการน้ำมัน แก๊ส สินค้าประดับยนต์ อาหารและเครื่องดื่ม

>> บุคคลอื่นที่เราต้องสำรวจความต้องการ ได้แก่ ลูกค้า ผู้ที่ขายน้ำมันให้เรา สัญญาให้บริการต่างๆ

>> ระยะเวลาที่เรายอมให้กระบวนการหรือระบบงานต่างๆ หยุดชะงักได้นั้นเป็นเวลาเท่าใด ข้อมูลใดบ้างที่สำคัญและไม่สามารถขาดได้ เรามีศักยภาพในการกู้คืนเท่าใด เช่น เรายอมให้หัวจ่ายน้ำมันใช้งานไม่ได้ไม่เกิน 1 วัน, ห้องน้ำปิดให้บริการได้ไม่เกิน 1 สัปดาห์ เป็นต้น

>> สรุปผลข้อมูลต่างๆ ข้างต้นในตาราง เพื่อใช้ประโยชน์เบื้องต้นในการวิเคราะห์ผลกระทบทางธุรกิจ




ผลกระทบทางธุรกิจที่ได้รับการวิเคราะห์อย่างรอบคอบจะช่วยให้เราสามารถวางแผนเตรียมความพร้อมได้อย่างมีประสิทธิภาพ โฟกัสในสิ่งที่สำคัญที่สุดเพื่อให้สามารถส่งมอบสินค้าและบริการได้ตามเป้าหมายที่กำหนด ส่งผลให้ธุรกิจมีความต่อเนื่อง ลดการสูญเสีย และอยู่รอดได้อย่างยั่งยืน

Content Cr: DestinationOne Counselor

Wednesday, September 24, 2014

บทวิเคราะห์ความมั่นคงปลอดภัยของสนามบิน



บทวิเคราะห์ความมั่นคงปลอดภัยของสนามบิน



หนึ่งในบรรดาข่าวฮือฮาบนสื่อต่างๆ เมื่อไม่นานมานี้ ย่อมหนีไม่พ้นเรื่องของ “การลักลอบนำอุปกรณ์เทียบเคียงอาวุธปืนและการแอบแฝงตัวของบุคคลแปลกปลอมขึ้นเครื่องบินโดยสาร” คำถามที่ผู้อ่านทุกคนย่อมนึกสงสัยก็คือ แล้วมันเกิดขึ้นได้ยังไง??



เมื่อวิเคราะห์ถึงความเป็นไปได้ของสาเหตุปัญหา ในมุมมองของผมนั้นขอแบ่งออกเป็น 4 แง่มุม.. เริ่มต้นกันที่เรื่องแรกก็คือ (1) Process ซึ่งผมคิดว่าโดยทั่วไปแล้วมาตรการรักษาความปลอดภัยและขั้นตอนการปฏิบัติงานต่างๆ ย่อมต้องมีการเขียนขึ้นอย่างรอบคอบชัดเจน สอดคล้องตามมาตรฐานสากลการบินพลเรือนที่มีการบังคับใช้อยู่ ผมจึงค่อนข้างมั่นใจว่าปัญหาไม่ได้เกิดขึ้นจากความบกพร่องของกระบวนการ แต่จากนี้ไปการทบทวนและปรับปรุงกระบวนการให้มีประสิทธิภาพมากขึ้นถือเป็นเรื่องจำเป็น



มุมมองที่สองต้องดูกันที่ (2) People ซึ่งก็คือเจ้าหน้าที่ที่ปฏิบัติงานต่างๆ ตามความรับผิดชอบของตนตามที่กระบวนการได้กำหนดไว้ อาทิ การควบคุมการเข้าออกพื้นที่ การตรวจสอบสัมภาระ ผมคิดว่ามีความเป็นได้สูงที่ปัญหาอาจจะเกิดจากความผิดพลาดในการปฏิบัติหน้าที่ของบุคลากร ลองคิดถึงสัมภาระจำนวนมากที่พวกเขาต้องตรวจสอบจนไม่สามารถรักษาความเคร่งครัดได้ในเวลาเร่งด่วน ความเหนื่อยล้าเจ็บป่วยของร่างกาย ความประมาทชะล่าใจ หรืออาจจะถูกล่อหลอกด้วยเทคนิคใดๆ จนปล่อยให้บุคคลแปลกปลอมหรือสิ่งเทียมอาวุธผ่านขึ้นเครื่องบินไปได้ ที่สำคัญที่สุดก็คือหลายครั้งที่ผมพบว่าเจ้าหน้าที่ให้บริการตามสนามบินยังขาดความตระหนักรู้ถึงความมั่นคงปลอดภัย (Security Awareness)



ถัดมาในมุมมองด้าน (3) Technology ซึ่งได้แก่เครื่องมือทันสมัยต่างๆ ที่ติดตั้งอยู่ในสนามบินเพื่อใช้ในการรักษาความมั่นคงปลอดภัย ควบคุมการเข้าออก ตรวจสอบสัมภาระ ฯลฯ อุปกรณ์เหล่านี้อาจจะไม่ใช่สาเหตุหลักของปัญหา แต่ในอีกทางหนึ่งมันอาจจะมีจุดอ่อนหรือช่องโหว่ที่ผู้ก่อการร้ายหัวใสสามารถอาศัยใช้ประโยชน์ได้ เช่น การลักลอบผ่านเข้าพื้นที่ควบคุมผ่านทางมุมอับซึ่งรัศมีของกล้องวงจรปิดไม่สามารถจับภาพได้ เป็นต้น



สุดท้ายผมอยากเสนอให้ลองมองในมุมของ (4) ISO 27001:2013 ตามข้อกำหนดและมาตรการควบคุมภายใต้หัวข้อ A.11ความมั่นคงปลอดภัยทางกายภาพ (Physical and Environmental Security) อาทิ A.11.1.1 Physical Security Perimeter และ A.11.12 Physical Entry Control เป็นต้น จะเห็นได้ว่าการละเลยไม่ปฏิบัติตามข้อกำหนดเหล่านั้น ทำให้เกิดจุดอ่อนหรือช่องโหว่ที่เอื้อให้ผู้ประสงค์ร้ายสามารถลักลอบนำตนเองและสิ่งเทียมอาวุธขึ้นเครื่องบินได้อย่างง่ายดาย



จากผลการวิเคราะห์ข้างต้น ผมจึงอยากเสนอแนะแนวทางปรับปรุงเพื่อป้องกันและแก้ไขปัญหา ดังนี้



     >> ควรมีการพิจารณาหาจุดอ่อนและช่องโหว่อย่างรอบคอบ เพื่อนำมาปรับปรุงแก้ไขให้ถูกต้องรัดกุมขึ้น โดยมองหาจุดสมดุลย์ระหว่างการรักษาความมั่นคงปลอดภัยและการให้บริการลูกค้า ถึงแม้ว่าการมุ่งหวังให้ลูกค้าได้รับความสะดวกสบายสูงสุดจะเป็นเรื่องสำคัญของสายการบิน แต่ก็ไม่ควรผ่อนปรนจนต้องลดประสิทธิภาพของมาตรการรักษาความมั่นคงปลอดภัยลงโดยเด็ดขาด

     >> ในส่วนของกระบวนการนั้น ควรมีการตรวจประเมินภายใน (Internal Audit) หรือมีการทำ Control Self Assessment บ่อยขึ้นอย่างสม่ำเสมอ

     >> การปรับปรุงคุณภาพของบุคลากรก็เป็นเรื่องสำคัญ เช่น การเพิ่มจำนวนเจ้าหน้าที่ให้เหมาะสมกับภาระงาน, การอบรมให้ความรู้เกี่ยวกับเรื่องความมั่นคงปลอดภัย, การตรวจสุขภาพและสมรรถภาพของพนักงาน เป็นต้น

     >> สำหรับเทคโนโลยีนั้น ควรจะมีการทบทวนมาตรการด้านความมั่นคงปลอดภัยทางกายภาพ โครงสร้างพื้นฐานของสนามบิน เพื่อปรับปรุงการใช้งานเครื่องมือและเทคโนโลยีต่างๆ ให้ได้ประสิทธิภาพสูงสุด และแก้ไขจุดอ่อนที่มีอยู่เดิม



ในการปฏิบัติงานต่างๆ หากต้องเกี่ยวข้องกับสวัสดิภาพของประชาชนมากเท่าใด องค์กรและหน่วยงานที่รับผิดชอบก็ยิ่งต้องมุ่งเน้นการรักษาความมั่นคงปลอดภัยมากขึ้นเท่านั้น จุดอ่อนหรือช่องโหว่แม้เพียงเล็กน้อยก็ไม่สามารถปล่อยปละละเลยได้ เพราะความผิดพลาดเพียงนิดอาจนำมาซึ่งความเสียหายใหญ่หลวงจากน้ำมือผู้มุ่งร้ายที่คอยจังหวะโจมตีอยู่แล้วก็เป็นได้



Content Cr: DestinationOne Counselor

Photo Cr: ABC News / MorgueFile.Com


Wednesday, September 17, 2014

การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยของข้อมูลตามมาตรฐาน ISO 27001:2013

การบริหารจัดการความเสี่ยงด้านความมั่นคงปลอดภัยของข้อมูลตามมาตรฐาน ISO 27001:2013


ความเสี่ยง คือ โอกาสที่ภัยคุกคามหรือเหตุการณ์บางอย่างอาจจะเกิดขึ้นและส่งผลกระทบเชิงลบต่อเป้าหมายในการดำเนินธุรกิจขององค์กร


ความเสี่ยงมีอยู่ทั่วไปทุกหนแห่ง บางครั้งเราสามารถสังเกตเห็นมันได้อย่างชัดเจน แต่บ่อยครั้งที่ความเสี่ยงนั้นแอบแฝงอยู่อย่างเงียบเชียบจนเราเองก็ไม่สามารถคาดเดาได้ ดังนั้น องค์กรที่สามารถบริหารจัดการความเสี่ยงให้อยู่ในระดับที่องค์กรสามารถยอมรับได้ (Acceptable Level) จึงมีแนวโน้มที่จะประสบความสำเร็จในการดำเนินธุรกิจ และบรรลุวัตถุประสงค์ที่กำหนดไว้ได้มากกว่า

บทความในครั้งนี้จะกล่าวถึงกระบวนการบริหารจัดการความเสี่ยง โดยมุ่งเน้นไปยังความเสี่ยงที่มีต่อความมั่นคงปลอดภัยของข้อมูลขององค์กรเป็นหลัก ซึ่งจะพิจารณาผลกระทบของความเสี่ยงที่มีต่อความลับ (Confidentiality), ความถูกต้องครบถ้วน (Integrity), และ ความพร้อมใช้งาน (Availability) ซึ่งเป็นองค์ประกอบสำคัญของความมั่นคงปลอดภัยของข้อมูล




ขั้นตอนที่ 1 : การกำหนดขอบเขตและบริบท องค์กรจะต้องกำหนดขอบเขต วัตถุประสงค์ เงื่อนไข และบริบทต่างๆ ที่เกี่ยวข้องในการบริหารจัดการความเสี่ยง
ขั้นตอนที่ 2 : การระบุทรัพย์สิน ก่อนที่จะทำการประเมินความเสี่ยง องค์กรจะต้องรู้ว่ามีทรัพย์สินใดๆ ที่เกี่ยวข้องอยู่ในขอบเขตที่กำหนดไว้บ้าง เช่น มีข้อมูลอะไรบ้าง ถูกเก็บรักษาไว้ในสื่อรูปแบบใดบ้าง ถูกประมวลผลและส่งผ่านอุปกรณ์หรือเครือข่ายใดบ้าง อยู่ในความดูแลของบุคคลใดบ้าง เป็นต้น
ขั้นตอนที่ 3 : การระบุภัยคุกคาม การพิจารณาว่ามีภัยคุกคามใดบ้าง ที่สามารถสร้างความเสียหายต่อทรัพย์สินในขอบเขตที่เรากำหนดไว้ 
ขั้นตอนที่ 4 : การระบุจุดอ่อนและมาตรการควบคุมที่มีอยู่ การพิจารณาว่าองค์กรมีการใช้มาตรการใดอยู่แล้วบ้างในการป้องกันหรือรับมือกับภัยคุกคาม ในขณะเดียวกัน องค์กรยังขาดมาตรการใดหรือมีจุดอ่อนใดหลงเหลืออยู่
ขั้นตอนที่ 5 : การประเมินค่าผลกระทบและโอกาส องค์กรจะต้องคำนวณหาค่าที่แสดงถึงผลกระทบและโอกาสที่ภัยคุกคามแต่ละอย่างจะเกิดขึ้น โดยอาศัยข้อมูลเชิงสถิติและข้อมูลแวดล้อมต่างๆ ประกอบการพิจารณา
ขั้นตอนที่ 6 : การประเมินระดับความเสี่ยง องค์กรจะต้องใช้ค่าที่ได้จากการคำนวณข้างต้นมากำหนดเป็นระดับความเสี่ยง รวมถึงมีการหารือตกลงกันว่าองค์กรจะกำหนดเกณฑ์ในการยอมรับความเสี่ยงไว้ที่ระดับใด 
ขั้นตอนที่ 7 : การแก้ไขความเสี่ยง หากระดับความเสี่ยงมีค่าสูงกว่าเกณฑ์ที่ได้กำหนดไว้ องค์กรจะต้องพิจารณาหามาตรการในการควบคุมหรือปรับปรุงความเสี่ยงมาใช้งาน เพื่อลดค่าของความเสี่ยงนั้นให้ได้ตามเกณฑ์
ขั้นตอนที่ 8 : การสื่อสารและทบทวนความเสี่ยง องค์กรจะต้องสื่อสารให้ผู้ที่เกี่ยวข้องรับทราบถึงความเสี่ยง และหมั่นทบทวนทรัพย์สิน สภาพแวดล้อม ความเปลี่ยนแปลง และองค์ประกอบอื่นๆ อยู่เสมอ

Content Cr: DestinationOne Counselor