งานบริหารความเสี่ยงไซเบอร์ สำหรับผู้บริหารระดับสูง (ตอนจบ)

February 26, 2022February 28, 2022

ตีพิมพ์: หนังสือพิมพ์กรุงเทพธุรกิจ: 3 เมษายน 2562

เมื่อโลกไซเบอร์ไม่ใช่เรื่องเทคนิคเพียงอย่างเดียว ผู้บริหารจึงควรเข้าใจแนวทางการบริหารความเสี่ยงด้านความปลอดภัยไซเบอร์ ที่ต้องเชื่อมโยงและบูรณาการ IT Risk และ Information Security Risk เข้าด้วยกัน

จากบทความตอนที่แล้ว ได้กล่าวถึงปัญหาเรื่อง Cybersecurity Threats ที่ไม่ใช่เรื่องไกลตัว

หลังจากโลกเรามีการเปลี่ยนแปลงเข้าสู่ยุคแห่งเศรษฐกิจสังคมดิจิทัลอย่างเต็มรูปแบบ เป็นเหตุให้การบริหารจัดการความเสี่ยงในระดับองค์กร (Enterprise Risk Management) เป็นเรื่องที่ต้องทำความเข้าใจ เพราะไซเบอร์ไม่ใช่เรื่องเทคนิคเพียงอย่างเดียว รวมถึงต้องเข้าใจในแนวทางการบริหารความเสี่ยงด้านความปลอดภัยไซเบอร์

ทั้งนี้ ยังรวมถึงแนวคิดและกระบวนการประเมินความเสี่ยงทางไซเบอร์สมัยใหม่ ที่จะเน้นไปในแนวทาง “Scenario-based Risk Management” มากขึ้น

กล่าวคือ จะมีการประเมินความเสี่ยงที่อ้างอิงมาจากสถานการณ์ตัวอย่างที่ช่วยให้ผู้บริหารมี “Risk Visibility” มากขึ้น

โดยการนำ “Risk Scenario” หรือสถานการณ์ความเสี่ยงตัวอย่างมาปรับให้เข้ากับความเสี่ยงขององค์กร โดยมุ่งไปที่ผลกระทบทางธุรกิจที่เกิดจากความเสี่ยงทางด้านเทคโนโลยีสารสนเทศหรือความเสี่ยงทางด้านไซเบอร์

เราอาจกล่าวได้ว่า IT Risk ก็คือ Business Risk ดังแนวทางของ George Westerman และ Richard Hunter ได้กล่าวไว้ในหนังสือ IT Risk: Turning Business Threats into Competitive Advantage

โดยสรุป IT Risk ได้เป็น 3 กลุ่มใหญ่ๆ 1. IT Service Delivery Risk 2. IT Solution Delivery Risk 3. IT Benefit Realization Risk

“IT Service Delivery Risk”

เป็นความเสี่ยงเนื่องจากการที่ระบบสารสนเทศไม่สามารถตอบสนองการให้บริการในมุมมองของ “Performance” และ “Availability” เช่น ระบบล่มเข้าถึงข้อมูลไม่ได้ หรือระบบมีช่องโหว่ถูกแฮกเกอร์หรือมัลแวร์โจมตี ทำให้ระบบช้าลงหรือไม่สามารถให้บริการแก่ลูกค้าตามปกติได้

2. “IT Solution Delivery Risk”

เป็นความเสี่ยงที่เกี่ยวข้องกับการนำเทคโนโลยีสารสนเทศมาใช้กับกระบวนการธุรกิจที่เกิดใหม่ เช่น การเปิดโครงการใหม่ หรือการให้บริการใหม่ หรืออาจจะเป็นการปรับปรุงกระบวนการทางธุรกิจ หรือการให้บริการทางธุรกิจที่มีอยู่แล้วให้ดีขึ้นโดยการนำเทคโนโลยีสารสนเทศมาใช้

ยกตัวอย่างเช่น โครงการไม่เสร็จตามเวลาที่กำหนดไว้ เนื่องจากมีปัญหาเกิดขึ้นในระบบสารสนเทศ หรือคุณภาพของการให้บริการในโครงการไม่เป็นไปตามวัตถุประสงค์ เนื่องจากเกิดปัญหาทางด้านเทคนิคที่เกี่ยวข้องกับการนำเอาเทคโนโลยีสารสนเทศมาใช้

3. “IT Benefit Realization Risk”

เป็นความเสี่ยงเนื่องจากการที่เราไม่สามารถนำเทคโนโลยีสารสนเทศมาใช้งานตอบสนองธุรกิจได้อย่างคุ้มค่าเพียงพอในการเพิ่มประสิทธิภาพและประสิทธิผลของกระบวนการทางธุรกิจ

เราต้องการให้ “IT” เป็น “Business Enabler” หมายถึง การนำเทคโนโลยีสารสนเทศ (IT) มาใช้เพื่อประโยชน์ในการดำเนินทางธุรกิจไม่ใช่นำเอา “IT” มาใช้แล้วมีแต่ปัญหาต่างๆ เกิดขึ้นตามมา

เนื่องจากการนำเทคโนโลยีสารสนเทศมาใช้อย่างไม่ถูกต้องและไม่มั่นคงปลอดภัยเพียงพอ ส่วนใหญ่มีสาเหตุมาจากระบบสารสนเทศที่มีความเสี่ยงสูงและมีผลกระทบสูง

การนำ Best Practices และ International Standards มาใช้ในการบริหารจัดการความเสี่ยงในระดับองค์กร จึงต้องทำให้เหมาะสมกับยุคสมัย

ในอดีตการบริหารความเสี่ยงในระดับองค์กรหรือ Enterprise Risk Management (ERM) นั้น จะถูกแยกออกจาการบริหารความเสี่ยงเทคโนโลยีสารสนเทศ หรือ IT Risk และแยกจากการบริการความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ หรือ Information Security Risk

โดย ERM จะนิยมอ้างอิง COSO ERM Best Practices และในส่วนของ IT Risk จะนิยมอ้างอิง NIST SP 800-30 Risk Management Guide for Information Technology Systems ตลอดจน Information Security Risk จะนิยมอ้างอิง ISO/IEC 27005:2011 กันเป็นส่วนใหญ่

แต่ในปัจจุบัน การบริหารจัดการความเสี่ยงในระดับองค์กรจำเป็นต้องเชื่อมโยง และบูรณาการการบริหารความเสี่ยงสารสนเทศและการบริการความเสี่ยงความมั่นคงปลอดภัยสารสนเทศเข้าด้วยกัน จึงจำเป็นต้องอ้างอิงมาตรฐานกลาง ได้แก่ มาตรฐาน ISO 31000:2018 Risk management — Guidelines มีการพิจารณาความเสี่ยงเทคโนโลยีสารสนเทศ ควบคู่ไปกับความเสี่ยงด้านไซเบอร์ โดยใช้หลักการประเมินความเสี่ยงตามแนวทาง “Scenario-based Approach” ดังกล่าวมาแล้ว

ดังนั้น ฝ่ายบริหารความเสี่ยงขององค์กร ตลอดจนผู้บริหารระดับสูงตลอดจนกรรมการบริหารจึงจำเป็นต้องมี Agenda ที่พูดคุยกันในระดับ Boards Meeting หรือ Executives Meeting ในเรื่องของ IT Risk, Information security Risk และ Cybersecurity Risk ซึ่งจะส่งผลกระทบในระดับ Enterprise Risk ขององค์กรอย่างหลีกเลี่ยงไม่ได้ ในยุคที่ Reputational Risk เป็นความเสี่ยงอันดับหนึ่งที่ผู้บริหารองค์กรสมัยใหม่จำเป็นต้องให้ความใส่ใจในเรื่องนี้อย่างจริงจัง

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cybersecurity Management, Cyber Sovereignty,
Transparency VS. Privacy, Data Governance

Articles by Prinya

งานบริหารความเสี่ยงไซเบอร์ สำหรับผู้บริหารระดับสูง (ตอนจบ)