ภัยคุกคามความมั่นคงทางกายภาพ..เรื่องสำคัญที่ห้ามละเลย

ภัยคุกคามความมั่นคงทางกายภาพ..เรื่องสำคัญที่ห้ามละเลย

ความมั่นคงปลอดภัยทางกายภาพ (Physical Security) เป็นหัวข้อสำคัญที่ทุกองค์กรจำเป็นต้องใส่ใจ โดยเฉพาะอย่างยิ่งเมื่อพิจารณาจากมุมมองด้านการบริหารความต่อเนื่องในการดำเนินธุรกิจ

เมื่อไม่นานมานี้ สถาบัน Business Continuity Institute (BCI) ได้ทำการศึกษาและจัดอันดับภัยคุกคามที่ผู้บริหารองค์กรจากทั่วโลกมีความกังวลมากที่สุด 10 อันดับแรก ประจำปี 2016 ซึ่งผลปรากฏว่า..

1. การโจมตีไซเบอร์ (คงที่)
2. ข้อมูลรั่วไหล (สูงขึ้น 1 อันดับ)
3. บริการด้านระบบไอทีและโทรคมนาคมหยุดชะงัก (ลดลง 1 อันดับ)
4. เหตุก่อการร้าย (สูงขึ้น 6 อันดับ)
5. เหตุละเมิดความมั่นคงปลอดภัย (สูงขึ้น 1 อันดับ)
6. บริการด้านสาธารณูปโภคหยุดชะงัก (ลดลง 2อันดับ)
7. ระบบซัพพลายเชนหยุดชะงัก (ลดลง 2 อันดับ)
8. สภาพอากาศและสิ่งแวดล้อมแปรปรวน (สูงขึ้น 1 อันดับ)
9. การขาดแคลนทักษะ/ความสามารถของบุคลากร (สูงขึ้น 5 อันดับ)
10. เหตุละเมิดความปลอดภัย/สุขอนามัย (สูงขึ้น 1 อันดับ)

จากผลการสำรวจจะเห็นได้ว่า ภัยที่ส่งผลกระทบต่อความมั่นคงเชิงกายภาพนั้นได้รับความกังวลเพิ่มสูงขึ้น โดยเฉพาะภัยจากเหตุก่อการร้ายที่พุ่งทะยานขึ้นถึง 6 อันดับ อันน่าจะเป็นผลมาจากสถิติการก่อการร้ายครั้งใหญ่ที่ปรากฏที่ขึ้นอย่างต่อเนื่อง ไล่เรียงจากปีที่แล้วมาจนถึงต้นปีนี้ อาทิ เหตุระเบิด ณ ใจกลางกรุงเทพ, ปารีส, บรัสเซล เป็นต้น

นอกจากนี้ เหตุละเมิดความมั่นคงปลอดภัยที่น่าเป็นห่วงนั้น ได้แก่ การลอบทำลายทรัพย์สิน, การโจรกรรม ฯลฯ หรือความแปรปรวนของอากาศและสภาพแวดล้อม ก็มีอันดับที่สูงขึ้นเช่นกัน แต่ในทางตรงกันข้าม ความกังวลที่มีต่อการหยุดชะงักของระบบไอที/โทรคมนาคม, ระบบสาธารณูปโภค และระบบซัพพลายเชนกลับลดอันดับลง ซึ่งเป็นผลมาจากระบบเหล่านี้มีเสถียรภาพมากขึ้นในปัจจุบัน อย่างไรก็ตาม ระบบดังกล่าวยังคงได้รับคะแนนด้านความจำเป็นในระดับสูงจากผู้บริหารสำนักงาน, ร้านค้า, โรงงาน และคลังสินค้า

จากผลการสำรวจนี้ ทางสถาบัน BCI ได้เผยข้อแนะนำโดยสรุปว่า ทุกองค์กรควรจะมีการปรับโครงสร้างองค์กรให้ยืดหยุ่น (Resilience) เพื่อความพร้อมรับมือกับภัยคุกคามทั้งในรูปแบบดั้งเดิม (Traditional) และแบบสมัยใหม่ (Modern) เนื่องจากแนวโน้มในช่วง 2-3 ปีก่อนหน้านี้ องค์กรส่วนใหญ่ให้น้ำหนักในการป้องกันภัยสมัยใหม่มากกว่า ซึ่งก็คือการโจมตีทางไซเบอร์และการรั้วไหลของข้อมูลต่างๆ จนบางครั้งก็ละเลยการปรับปรุงมาตรการด้านการรับมือภัยคุกคามแบบดั้งเดิม เช่น ภัยการก่อการร้าย, ระบบป้องกันโจรกรรม ฯลฯ ซึ่งในช่วงปีนี้มีโอกาสความเป็นไปได้ในการเกิดเหตุเพิ่มสูงขึ้นนั้นเอง

Content Cr: Business Continuity Institute, DestinationOne Counselor

Photo Cr: Prachachart Online

เคล็ดลับ 3 มิติ เพื่อรับมือเหตุล่วงละเมิดความมั่นคงปลอดภัย

เคล็ดลับ 3 มิติ เพื่อรับมือเหตุล่วงละเมิดความมั่นคงปลอดภัย

ความเสี่ยงมีอยู่รอบตัวเสมอ ระบบสารสนเทศไม่ว่าจะเพื่อการใช้งานส่วนตัวหรือเพื่อการดำเนินธุรกิจก็ล้วนแล้วแต่ถูกจ้องคุกคามอย่างหลีกเลี่ยงไม่ได้ ทั้งที่ตกเป็นเป้าหมายในแบบเฉพาะเจาะจงและแบบสุ่มหว่านแห ซึ่งโอกาสที่ความมั่นคงปลอดภัยจะถูกล่วงละเมิดนั้นมีอยู่สูง โดยเฉพาะหากมีความประมาทหรือไม่ได้เตรียมความพร้อมอย่างเหมาะสม

ซึ่งเคล็ดลับเพื่อเตรียมการป้องกันและรับมือการถูกล่วงละเมิดความมั่นคงปลอดภัยนั้น ต้องดำเนินการใน 3 มิติ ซึ่งทางทีมที่ปรึกษาของ DestinationOne ได้สรูปมาฝากดังต่อไปนี้

มิติที่ 1 : การตรวจสอบและการป้องกัน

โดยในมิตินี้จะเป็นการดำเนินการในเชิงรุก เน้นที่การป้องกันก่อนเกินเหตุนั่นเอง โดยมีกิจกรรมที่ต้องลงมือทำคือ..

• การทดสอบระบบรักษาความมั่นคงปลอดภัยอย่างสม่ำเสมอ
• การสร้างความมั่นคงปลอดภัยให้กับทุกองค์ประกอบของระบบสารสนเทศและระบบเครือข่าย รวมถึงการสร้างความตระหนักรู้ให้กับบุคลากรอย่างเหมาะสม
• การกำหนดแผนฉุกเฉิน/แผนกู้คืนระบบอย่างมีประสิทธิภาพและมีความพร้อมใช้งานเสมอ เพื่อให้สามารถนำมาใช้งานได้ทันทีหากเกิดเหตุผิดปกติขึ้น

มิติที่ 2 : การตอบสนองต่อเหตุ

หากระบบถูกล่วงละเมิดความมั่นคงปลอดภัย จะต้องรีบตั้งสติและดำเนินการตามแผนฉุกเฉินที่ได้กำหนดไว้ จากนั้นจะต้อง..

• ให้การปกป้อง/รวบรวมเอาข้อมูลสำคัญที่อยู่บนระบบที่ถูกล่วงละเมิดออกมาให้หมด
• วิเคราะห์ระบบเครือข่ายในเชิงลึก เพื่อดูว่าการถูกโจมตีนั้นลุกลามไปยังส่วนใดบ้าง และลงมือจำกัดความเสียหาย
• แจ้งเตือนไปยังผู้เกี่ยวข้องทุกฝ่าย เพื่อให้แต่ละฝ่ายดำเนินการตอบสนองต่อเหตุตามหน้าที่ความรับผิดชอบของตนที่ได้ระบุไว้ในแผนฉุกเฉิน/แผนกู้คืนระบบ

มิติที่ 3 : การเยียวยา

เมื่อสามารถควบคุมเหตุล่วงละเมิดได้แล้ว ก็ควรจะมีการเยียวยาและสร้างภูมิคุ้มกัน เพื่อลดผลกระทบและโอกาสในการเกิดเหตุซ้ำ

• ทำการปรับปรุงระบบที่ได้รับความเสียหาย และเสริมความมั่นคงปลอดภัยอย่างเหมาะสม
• วิเคราะห์และจัดทำรายงาน เพื่อทบทวนหาสาเหตุ ผลกระทบ บทเรียน และข้อควรปรับปรุง เพื่อการพัฒนาแผนและมาตรการรักษาความความมั่นคงปลอดภัยต่อไป
• ชี้แจงข้อมูลและข้อเท็จจริงเกี่ยวกับเหตุล่วงละเมิดที่เกิดขึ้นกับผู้ถือหุ้น, ลูกค้า, หน่วยงานภารรัฐ, สื่อมวลชน ฯลฯ อย่างรอบคอบ เลือกใช้ภาษาและช่องทางการสื่อสารที่เหมาะสมเพื่อหลีกเลี่ยงการสร้างความแตกตื่นหรือสร้างความเข้าใจผิด

Content Cr: DestinationOne Counselor

Photo Cr: DataBreachToday.com

11 เทคนิคเพื่อการจัดทำนโยบายที่ดี

11 เทคนิคเพื่อการจัดทำนโยบายที่ดี

“องค์กร” ถือเป็น “สังคม” ในรูปแบบหนึ่งที่เกิดขึ้นจากการรวมตัวกันของบุคลากรจำนวนมากซึ่งมาจากภูมิหลังที่แตกต่าง ดังนั้น เพื่อให้การอยู่ร่วมกันมีความสงบสุขและการดำเนินธุรกิจสามารถก้าวหน้าไปได้อย่างราบรื่นบรรลุเป้าหมาย จึงจำเป็นต้องมีการกำหนดกฎระเบียบเพื่อควบคุมและแนะนำแนวทางในการทำงาน อันจะช่วยให้บุคลากรทุกคนสามารถมุ่งหน้าไปยังทิศทางเดียวกันได้เป็นอย่างดี

การกำหนดและการประกาศใช้ “นโยบาย” จึงเป็นเรื่องที่จำเป็นมากสำหรับทุกองค์กร โดยเฉพาะอย่างยิ่งนโยบายที่เกี่ยวข้องกับความมั่นคงปลอดภัย ซึ่งในบทความนี้ DestinationOne ได้รวบรวมเอาประเด็นสำคัญที่จำเป็นต้องพิจารณาอย่างถี่ถ้วนรอบคอบในระหว่างกระบวนการจัดทำนโยบาย เพื่อให้นโยบายที่ได้ออกมานั้นมีความเหมาะสมกับองค์กรของท่านอย่างที่สุด

1. ต้องมีเป้าหมายและวัตถุประสงค์ ระบุอย่างชัดเจนว่านโยบายที่จัดทำขึ้นมานี้เพื่อต้องการให้เกิดเป็นผลลัพธ์เช่นไร
2. ใครควรเป็นผู้ร่างนโยบาย ควรจะเลือกผู้ร่างเนื้อหานโยบายอย่างเหมาะสมตามหัวข้อ โดยเป็นผู้มีความรู้ความเชี่ยวชาญและคลุกคลีกับเนื้องานที่เกี่ยวข้อง
3. ใครควรเป็นผู้ทบทวนนโยบาย เมื่อมีร่างเนื้อหานโยบายแล้ว ก็ควรจะมีการทบทวนและแสดงความคิดเห็นจากบุคคลอื่น เพื่อมองหาข้อบกพร่องหรือข้อควรปรับปรุง
4. ใครควรเป็นผู้อนุมัตินโยบาย ผู้อนุมัติควรจะเป็นผู้บริหารระดับสูง เพื่อเป็นการรับรองว่านโยบายที่ประกาศใช้นั้นมีความสำคัญ และผู้ที่เกี่ยวข้องทุกคนจำเป็นต้องปฏิบัติตาม
5. ใครมีหน้าที่ต้องปฏิบัติตามนโยบายบ้าง ระบุขอบเขตของการบังคับใช้นโยบาย เช่น แผนก/ฝ่าย, พื้นที่, ระยะเวลา ฯลฯ
6. โครงสร้างหรือรูปแบบเอกสาร หน้าตาของเอกสารนโยบายนั้นควรจะเป็นเช่นไร ลำดับหัวข้ออย่างไร โดยคำนึงให้ผู้อ่านเข้าใจได้ง่าย
7. การสื่อสารเนื้อหา ภาษาที่ใช้ในการเขียนเนื้อหานโยบายนั้นจะต้องมีความเหมาะสมกับผู้ที่เกี่ยวข้องทั้งหมด เพื่อให้ทุกคนสามารถปฏิบัติตามได้อย่างถูกต้อง
8. การกำหนดคำนิยาม คำศัพท์บางคำอาจจะมีความหมายที่แตกต่างกันออกไปตามภูมิหลังของผู้อ่าน ดังนั้น จึงจำเป็นต้องมีการระบุคำนิยามที่ชัดเจนตามบริบทของนโยบาย เพื่อหลีกเลี่ยงการเข้าใจผิด
9. ระบุนโยบายหรือระบบอื่นๆ ที่เกี่ยวข้อง นโยบายในเรื่องหนึ่งๆ อาจจะมีความเกี่ยวข้องหรือต้องใช้งานร่วมกับนโยบาย, กระบวนการทำงาน, ระบบอื่นๆ ได้ ดังนั้น จึงควรมีการระบุการเชื่อมโยงเอาไว้ด้วย เพื่อให้สะดวกต่อการสืบค้น
10. การตรวจสอบวัดผล ต้องมีการกำหนดแนวทางหรือวิธีการในการตรวจสอบว่าบุคลากรมีการปฏิบัติตามนโยบายอย่างเคร่งครัดหรือไม่ และต้องกำหนดรอบระยะเวลาการตรวจวัดผลอย่างเหมาะสม
11. การทบทวนปรังปรุง เมื่อนโยบายถูกใช้งานเป็นระยะเวลาหนึ่งอาจจะเกิดความล้าสมัย หรือพบข้อควรปรับปรุง ดังนั้น จึงต้องมีการกำหนดรอบระยะเวลาในการทบทวนนโยบาย เพื่อให้สามารถบังคับใช้ได้อย่างมีประสิทธิภาพและทันสมัยอยู่เสมอ

Content Cr: DestinationOne Counselor

Photo Cr: ShutterStock.com