ความมั่นคงปลอดภัยกับการบริหารจัดการโครงการ

ความมั่นคงปลอดภัยกับการบริหารจัดการโครงการ

Project หรือ โครงการ นับเป็นเรื่องสามัญที่ช่วยขับเคลื่อนให้ธุรกิจของทุกองค์กรดำเนินไปได้ โดยประเภทของโครงการนั้นสามารถเป็นไปได้อย่างหลากหลาย ไม่ว่าจะเป็นโครงการพัฒนาระบบงาน โครงการจัดซื้อจัดจ้าง โครงการด้านการเงินการบัญชี โครงการด้านเทคโนโลยีสารสนเทศ โครงการพัฒนาสินค้าและบริการใหม่ๆ ฯลฯ ซึ่งการที่โครงการจะประสบความสำเร็จได้นั้น จะต้องผ่านกระบวนการต่างๆ มากมาย ดังนั้น การวางแผนและการบริหารจัดการอย่างมีประสิทธิภาพจึงเป็นเรื่องสำคัญอย่างยิ่ง

สำหรับแนวทางในการบริหารจัดการโครงการ (Project Management) นั้น ได้มีสถาบันมากมายหลายแห่งคิดค้นพัฒนาและเผยแพร่ให้เป็นประโยชน์ต่อสากล ซึ่งองค์กรต่างๆ สามารถพิจารณาเลือกนำมาประยุกต์ใช้ให้เหมาะสมกับตนเองได้เป็นอย่างดี อย่างไรก็ตาม หัวข้อหนึ่งที่สามารถพบได้ในทุกเนื้อหาของแนวทางการบริหารจัดการโครงการจากทุกสำนักก็คือเรื่อง “ความมั่นคงปลอดภัย และความต่อเนื่องในการให้บริการ” ซึ่งทีมงาน DestinationOne ได้ทำการสรุปประเด็นสำคัญที่ทุกท่านควรจะต้องคำนึงถึงมาไว้ในบทความนี้แล้วครับ

1. กระบวนการบริหารจัดการโครงการจะต้องได้รับการกำหนดเป็นลายลักษณ์อักษร และมีการประกาศใช้งานอย่างเป็นทางการ
2. ต้องมีการระบุหน้าที่ความรับผิดชอบอย่างชัดเจน
3. ในทุกขั้นตอนของการบริหารจัดการโครงการจะต้องระบุมาตรการควบคุมด้านความมั่นคงปลอดภัย
4. ต้องมีการบริหารจัดการความเสี่ยงของโครงการ (Risk Management)
5. ต้องระบุความต้องการด้านความมั่นคงปลอดภัยเสมอ เมื่อมีการจัดซื้อ/จัดจ้าง
6. ต้องมีการบริหารจัดการความเปลี่ยนแปลง (Change Management)
7. ต้องมีการแบ่งประเภทชั้นความลับและบริหารข้อมูลโครงการอย่างเหมาะสม
8. ต้องมีการทดสอบด้านความมั่นคงปลอดภัยอย่างเหมาะสม
9. เนื้อหาสัญญา เอกสารจัดจ้าง และข้อตกลงต่างๆ จะต้องครอบคลุมหัวข้อความมั่นคงปลอดภัย
10. ต้องมีการให้ความรู้ด้านความมั่นคงปลอดภัยกับบุคลากรในโครงการ
11. ต้องมีการจัดทำแผนสำรอง แผนกู้คืน หรือแผนฉุกเฉิน
12. หากโครงการเกี่ยวข้องกับการพัฒนาระบบ/ซอฟต์แวร์ จะต้องกำหนดให้พัฒนาด้วยวิธีที่มั่นคงปลอดภัย
13. ต้องมีการระบุวิธีการจัดการสิทธิ์ความเป็นเจ้าของ ลิขสิทธิ์และทรัพย์สินทางปัญญาอย่างเหมาะสม

Content Cr: DestinationOne Counselor
Photo Cr: CIO.com

5 Tips เพื่อปกป้องธุรกิจ SME จากการถูกล่วงละเมิดข้อมูล

5 Tips เพื่อปกป้องธุรกิจ SME จากการถูกล่วงละเมิดข้อมูล

“ธุรกิจ” ไม่ว่าจะมีขนาดใหญ่หรือขนาดเล็ก หรืออยู่ในกลุ่มอุตสาหกรรมใดก็ตาม ต่างก็ต้องเผชิญหน้ากับความเสี่ยงอย่างหลีกเลี่ยงไม่ได้ โดยเฉพาะภัยคุกคามที่มาแรงและน่ากลัวที่สุดของยุคนี้ นั่นก็คือ “การล่วงละเมิดข้อมูล”

หลายท่านที่เป็นเจ้าของหรือผู้ดูแลระบบให้กับธุรกิจขนาดย่อมหรือที่เรียกว่า SME นั้น อาจจะมีความคิดว่าตนเองปลอดภัย ไม่ค่อยกังวลกับภัยร้ายเหล่านี้มากนัก เพราะมองว่าธุรกิจเล็กๆ ไม่น่าจะตกเป็นเป้าหมายการโจมตีของใครได้ แต่ในความเป็นจริงแล้ว จากผลสำรวจที่ผ่านมาพบว่ามีธุรกิจ SME จำนวนไม่น้อยที่ตกเป็นเหยื่อการล่วงละเมิดข้อมูล บ่อยครั้งที่แฮ็คเกอร์มุ่งหวังเจาะระบบของ SME เพื่อเปิดทางต่อยอดในการเข้าโจมตีหน่วยงานหรือบุคคลอื่นต่อไป อาทิ ลูกค้า, ผู้บริหาร, ซัพพลายเออร์, รีเทลเลอร์ ฯลฯ รวมถึงหลายท่านอาจจะมองข้ามความสำคัญของข้อมูลสารสนเทศ อันเป็นทรัพย์สินและทรัพยากรหลักในการดำเนินธุรกิจ ซึ่งกว่าจะรู้ตัวก็สายเมื่อข้อมูลเกิดสูญหาย ถูกเปิดเผยให้กับคู่แข่ง หรืออาจจะถูกลักไปเรียกค่าไถ่ (Ransomware) เสียแล้ว

เมื่ออ่านมาถึงตรงนี้ ท่านอาจจะเริ่มตระหนักและเริ่มวิตกว่า แล้วธุรกิจ SME ที่มีทรัพยากรอยู่อย่างจำกัดจะต้องทำเช่นไรจึงจะรักษาความมั่นคงปลอดภัยให้กับข้อมูลและระบบสารสนเทศของตนได้ ดังนั้น ทีมงานของ DestinationOne จึงได้สรุปคำแนะนำที่นิตยสาร Business2Community รวบรวมและเผยแพร่เอาไว้เมื่อเดือนกุมภาพันธ์ที่ผ่านมา ซึ่งเป็นวิธีการง่ายๆ แต่ได้ผลดีเยี่ยม มาฝากให้ทุกท่านได้พิจารณากันครับ

1. การให้ความรู้กับพนักงาน วิธีการป้องกันข้อมูลจากการถูกล่วงละเมิดที่ดีที่สุดก็คือการสร้างความเข้าใจให้กับพนักงานทุกคน หากพนักงานมีการใช้งานคอมพิวเตอร์และอุปกรณ์เคลื่อนที่ต่างๆ จะต้องมีการแนะนำวิธีการใช้งานข้อมูลและการปกป้องอุปกรณ์อย่างเหมาะสม อย่าละเลยเรื่องเหล่านี้โดยคิดว่าพวกเขาน่าจะรู้อยู่แล้ว เพราะการที่ท่านเห็นว่าพนักงานสามารถใช้งานอุปกรณ์ทำงานได้อย่างคล่องแคล่วนั้น ไม่ได้หมายความว่าพวกเขาจะรู้เท่าทันภัยคุกคามหรือกลอุบายของแฮ็คเกอร์
2. สร้างความมั่นคงปลอดภัยทางกายภาพ พื้นที่สำนักงานควรจะมีการจัดแบ่งโซนต่างๆ อย่างเป็นสัดส่วน เพื่อประโยชน์ในการควบคุมดูแล โดยบุคคลภายนอกจะต้องถูกจำกัดให้อยู่เฉพาะในบริเวณต้อนรับเท่านั้น หากจำเป็นต้องเข้าพื้นที่ทำงานภายในจะต้องมีการแลกบัตรประจำตัว, จดบันทึกเวลาเข้า-ออก และมีพนักงานคอยติดตามอยู่ตลอดเวลา หากเป็นไปได้ ควรจะมีการจัดสรรงบประมาณเพื่อติดตั้งระบบรักษาความมั่นคงปลอดภัยพื้นฐาน อาทิ ระบบควบคุมการเข้า-ออก, ระบบกล้องวงจรปิด เป็นต้น
3. บังคับใช้นโยบายควบคุมรหัสผ่าน รหัสผ่านนั้นเป็นได้ทั้งจุดแข็งที่ใช้เพื่อการปกป้องและเป็นจุดอ่อนที่ก่อให้เกิดความเสี่ยงต่อความมั่นคงปลอดภัยของระบบ ดังนั้น คุณจึงควรจะกำหนดนโยบายและตั้งค่าระบบให้ยอมรับเฉพาะรหัสผ่านที่มีคุณภาพเท่านั้น
4. ทำลายข้อมูลอย่างเหมาะสม เอกสารที่เป็นกระดาษทั้งหมด ควรจะได้รับการคัดแยกอย่างเหมาะสมก่อนนำกลับไปใช้ซ้ำหรือกำจัด หากเป็นข้อมูลสำคัญควรจะนำเข้าเครื่องทำลายเอกสารหรือฉีกให้ย่อยมากที่สุดเท่าที่จะเป็นได้ก่อนนำไปทิ้ง ส่วนการจำหน่ายออกหรือการกำจัดเครื่องคอมพิวเตอร์ รวมถึงสื่อบันทึกข้อมูลต่างๆ ควรจะมีการใช้โปรแกรมลบข้อมูลถาวร ซึ่งมีให้เลือกทั้งแบบจ่ายเงินและแบบฟรีแวร์
5. จัดหาประกันที่ครอบคลุมความเสียหายอันเกิดจากการถูกล่วงละเมิดข้อมูล ความเสี่ยงและภัยคุกคามบางประการอาจจะยากต่อการหลีกเลี่ยง รวมถึงอาจจะสร้างความเสียหายมูลค่ามหาศาลเกินกว่าที่ SME จะแบกรับภาระไว้เองได้ ดังนั้น การพิจารณาถ่ายโอนความเสี่ยงให้กับบริษัทประกันภัยช่วยแบ่งเบาความรับผิดชอบด้วยนั้น จึงเป็นทางเลือกที่ควรพิจารณา

Content Cr: Business2Community.com, DestinationOne Counselor

Photo Cr: Share-Gate.com