Cybersecurity Management

งานบริหารความเสี่ยงไซเบอร์ สำหรับผู้บริหารระดับสูง (ตอนจบ)

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 3 เมษายน 2562

เมื่อโลกไซเบอร์ไม่ใช่เรื่องเทคนิคเพียงอย่างเดียว ผู้บริหารจึงควรเข้าใจแนวทางการบริหารความเสี่ยงด้านความปลอดภัยไซเบอร์ ที่ต้องเชื่อมโยงและบูรณาการ IT Risk และ Information Security Risk เข้าด้วยกัน 

จากบทความตอนที่แล้ว ได้กล่าวถึงปัญหาเรื่อง Cybersecurity Threats ที่ไม่ใช่เรื่องไกลตัว

หลังจากโลกเรามีการเปลี่ยนแปลงเข้าสู่ยุคแห่งเศรษฐกิจสังคมดิจิทัลอย่างเต็มรูปแบบ เป็นเหตุให้การบริหารจัดการความเสี่ยงในระดับองค์กร (Enterprise Risk Management) เป็นเรื่องที่ต้องทำความเข้าใจ เพราะไซเบอร์ไม่ใช่เรื่องเทคนิคเพียงอย่างเดียว รวมถึงต้องเข้าใจในแนวทางการบริหารความเสี่ยงด้านความปลอดภัยไซเบอร์

ทั้งนี้ ยังรวมถึงแนวคิดและกระบวนการประเมินความเสี่ยงทางไซเบอร์สมัยใหม่ ที่จะเน้นไปในแนวทาง “Scenario-based Risk Management” มากขึ้น

กล่าวคือ จะมีการประเมินความเสี่ยงที่อ้างอิงมาจากสถานการณ์ตัวอย่างที่ช่วยให้ผู้บริหารมี “Risk Visibility” มากขึ้น

โดยการนำ “Risk Scenario” หรือสถานการณ์ความเสี่ยงตัวอย่างมาปรับให้เข้ากับความเสี่ยงขององค์กร โดยมุ่งไปที่ผลกระทบทางธุรกิจที่เกิดจากความเสี่ยงทางด้านเทคโนโลยีสารสนเทศหรือความเสี่ยงทางด้านไซเบอร์

เราอาจกล่าวได้ว่า IT Risk ก็คือ Business Risk ดังแนวทางของ George Westerman และ Richard Hunter ได้กล่าวไว้ในหนังสือ IT Risk: Turning Business Threats into Competitive Advantage

โดยสรุป IT Risk ได้เป็น 3 กลุ่มใหญ่ๆ 1. IT Service Delivery Risk 2. IT Solution Delivery Risk 3. IT Benefit Realization Risk

  1. “IT Service Delivery Risk”

เป็นความเสี่ยงเนื่องจากการที่ระบบสารสนเทศไม่สามารถตอบสนองการให้บริการในมุมมองของ “Performance” และ “Availability” เช่น ระบบล่มเข้าถึงข้อมูลไม่ได้ หรือระบบมีช่องโหว่ถูกแฮกเกอร์หรือมัลแวร์โจมตี ทำให้ระบบช้าลงหรือไม่สามารถให้บริการแก่ลูกค้าตามปกติได้

2. “IT Solution Delivery Risk”

เป็นความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้กับกระบวนการธุรกิจที่เกิดใหม่ เช่น การเปิดโครงการใหม่ หรือการให้บริการใหม่ หรืออาจจะเป็นการปรับปรุงกระบวนการทางธุรกิจ หรือการให้บริการทางธุรกิจที่มีอยู่แล้วให้ดีขึ้นโดยการนำเทคโนโลยีสารสนเทศมาใช้

ยกตัวอย่างเช่น โครงการไม่เสร็จตามเวลาที่กำหนดไว้ เนื่องจากมีปัญหาเกิดขึ้นในระบบสารสนเทศ หรือคุณภาพของการให้บริการในโครงการไม่เป็นไปตามวัตถุประสงค์ เนื่องจากเกิดปัญหาทางด้านเทคนิคที่เกี่ยวข้องกับการนำเอาเทคโนโลยีสารสนเทศมาใช้

3. “IT Benefit Realization Risk”

เป็นความเสี่ยงเนื่องจากการที่เราไม่สามารถนำเทคโนโลยีสารสนเทศมาใช้งานตอบสนองธุรกิจได้อย่างคุ้มค่าเพียงพอในการเพิ่มประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ

เราต้องการให้ “IT” เป็น “Business Enabler” หมายถึง การนำเทคโนโลยีสารสนเทศ (IT) มาใช้เพื่อประโยชน์ในการดำเนินทางธุรกิจไม่ใช่นำเอา “IT” มาใช้แล้วมีแต่ปัญหาต่างๆ เกิดขึ้นตามมา

เนื่องจากการนำเทคโนโลยีสารสนเทศมาใช้อย่างไม่ถูกต้องและไม่มั่นคงปลอดภัยเพียงพอ ส่วนใหญ่มีสาเหตุมาจากระบบสารสนเทศที่มีความเสี่ยงสูงและมีผลกระทบสูง

การนำ Best Practices และ International Standards มาใช้ในการบริหารจัดการความเสี่ยงในระดับองค์กร จึงต้องทำให้เหมาะสมกับยุคสมัย

ในอดีตการบริหารความเสี่ยงในระดับองค์กรหรือ Enterprise Risk Management (ERM) นั้น จะถูกแยกออกจาการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ หรือ IT Risk และแยกจากการบริการความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ หรือ Information Security Risk

โดย ERM จะนิยมอ้างอิง COSO ERM Best Practices และในส่วนของ IT Risk จะนิยมอ้างอิง NIST SP 800-30 Risk Management Guide for Information Technology Systems ตลอดจน Information Security Risk จะนิยมอ้างอิง ISO/IEC 27005:2011 กันเป็นส่วนใหญ่

แต่ในปัจจุบัน การบริหารจัดการความเสี่ยงในระดับองค์กรจำเป็นต้องเชื่อมโยง และบูรณาการการบริหารความเสี่ยงสารสนเทศและการบริการความเสี่ยงความมั่นคงปลอดภัยสารสนเทศเข้าด้วยกัน จึงจำเป็นต้องอ้างอิงมาตรฐานกลาง ได้แก่ มาตรฐาน ISO 31000:2018 Risk management — Guidelines มีการพิจารณาความเสี่ยงเทคโนโลยีสารสนเทศ ควบคู่ไปกับความเสี่ยงด้านไซเบอร์ โดยใช้หลักการประเมินความเสี่ยงตามแนวทาง “Scenario-based Approach” ดังกล่าวมาแล้ว

ดังนั้น ฝ่ายบริหารความเสี่ยงขององค์กร ตลอดจนผู้บริหารระดับสูงตลอดจนกรรมการบริหารจึงจำเป็นต้องมี Agenda ที่พูดคุยกันในระดับ Boards Meeting หรือ Executives Meeting ในเรื่องของ IT Risk, Information security Risk และ Cybersecurity Risk ซึ่งจะส่งผลกระทบในระดับ Enterprise Risk ขององค์กรอย่างหลีกเลี่ยงไม่ได้ ในยุคที่ Reputational Risk เป็นความเสี่ยงอันดับหนึ่งที่ผู้บริหารองค์กรสมัยใหม่จำเป็นต้องให้ความใส่ใจในเรื่องนี้อย่างจริงจัง