ความเสีย่ งและการบริหารความเสีย่ งด้าน เทคโนโลยีสารสนเทศ Ployphan Sornsuwit [email protected] http://ployphan17.wordpress.com 089-5595638 สาเหตุท่ตี อ้ งวางแผนเทคโนโลยีสารสนเทศ สภาพแวดล้อมทางธุรกิจทาให้เกิดแรงผลักดันให้เกิดความเปลีย่ นแปลงในการ ดาเนินธุรกิจอยู่เสมอ ความสามารถในการตอบสนองต่อแรงกดดันเหล่านี้ทาให้ธุรกิจสามารถ อยู่รอดได้ นอกจากนี้หากมีการเตรียมตัววางแผนเพือ่ ตอบรับกับสภาพแวดล ้อมเป็ นอย่างดีกา จะสามารถแสวงหาโอกาสทางธุรกิจได้อกี ด้วย แรงกดดันทางธุรกิจอาจเกิดจาก 1.
Download ReportTranscript ความเสีย่ งและการบริหารความเสีย่ งด้าน เทคโนโลยีสารสนเทศ Ployphan Sornsuwit [email protected] http://ployphan17.wordpress.com 089-5595638 สาเหตุท่ตี อ้ งวางแผนเทคโนโลยีสารสนเทศ สภาพแวดล้อมทางธุรกิจทาให้เกิดแรงผลักดันให้เกิดความเปลีย่ นแปลงในการ ดาเนินธุรกิจอยู่เสมอ ความสามารถในการตอบสนองต่อแรงกดดันเหล่านี้ทาให้ธุรกิจสามารถ อยู่รอดได้ นอกจากนี้หากมีการเตรียมตัววางแผนเพือ่ ตอบรับกับสภาพแวดล ้อมเป็ นอย่างดีกา จะสามารถแสวงหาโอกาสทางธุรกิจได้อกี ด้วย แรงกดดันทางธุรกิจอาจเกิดจาก 1.
ความเสีย่ งและการบริหารความเสีย่ งด้าน เทคโนโลยีสารสนเทศ Ployphan Sornsuwit [email protected] http://ployphan17.wordpress.com 089-5595638 สาเหตุท่ตี อ้ งวางแผนเทคโนโลยีสารสนเทศ สภาพแวดล้อมทางธุรกิจทาให้เกิดแรงผลักดันให้เกิดความเปลีย่ นแปลงในการ ดาเนินธุรกิจอยู่เสมอ ความสามารถในการตอบสนองต่อแรงกดดันเหล่านี้ทาให้ธุรกิจสามารถ อยู่รอดได้ นอกจากนี้หากมีการเตรียมตัววางแผนเพือ่ ตอบรับกับสภาพแวดล ้อมเป็ นอย่างดีกา จะสามารถแสวงหาโอกาสทางธุรกิจได้อกี ด้วย แรงกดดันทางธุรกิจอาจเกิดจาก 1. ความต้องการข้อมูลทีท่ นั สมัย 2. การค้าแบบรอบโลกและการแข่งขันทีร่ ุนแรงขึ้น 3. ความสามารถในการต่อรองของลูกค้าสูงขึ้น 4. ความเจริญก้าวหน้าทางด้านเทคโนโลยีใหม่ ๆ ทีเ่ กิดขึ้นอย่างรวดเร็ว 2 องค์กรดิจทิ ลั และความต้องการสารสนเทศ องค์กรดิจทิ ลั คือองค์กรทีใ่ ช้เครือข่ายทางคอมพิวเตอร์เพือ่ เชื่อมต่อส่วนต่ าง ๆ ภายในองค์กรโดย ผ่านเครือข่ายอินเทอร์เน็ต และเชื่อมต่อคู่คา้ และลูกค้า โดยผ่านเครือข่ายอินเทอร์เน็ตเอกซ์ทราเน็ต หรือระบบ เครือข่ายแบบแวน องค์กรดิจทิ ลั ทาให้เกิดแนวทางในการดาเนินธุรกิจแบบใหม่ โดย บิลเกตส์ กล่าวว่า การแข่งขันทุก วันนี้ไม่ใช่การแข่งขันแต่เฉพาะเรื่องของผลิตภัณฑ์หรือการให้บริการทีด่ กี ว่า แต่เป็ นการแข็งขันในเรื่องแนวทาง ในการดาเนินธุรกิจทีด่ กี ว่า การให้บริการลูกค้าทีด่ กี ว่าและรวดเร็วกว่า ก่อนทีจ่ ะได้ระบบสารสนเทศขององค์กร องค์กรจาเป็ นต้องมีเทคโนโลยีสารสนเทศทีจ่ ะสามารถ รองรับระบบสารสนเทศทีต่ อ้ งการก่อน เทคโนโลยีสารสนเทศจึงเปรียบเสมือนเป็ นรากฐาน สาหรับรองรับ โปรแกรมการใช้งานต่าง ๆ ทีต่ อบสนองความต้องการการใช้งานภายในองค์กร ขัน้ ตอนในการกาหนดความต้องการสารสนเทศ 1. กาหนดวิสยั ทัศน์ พันธกิจ และกลยุทธ์ขององค์กร 2. ระบบเป้ าประสงค์หลักขององค์กร 3. ระบบเปาประสงค์หลักของระบบสารสนเทศ 4. สรุปความต้องการทางด้านเทคโนโลยีสารสนเทศทีส่ อดคล้องกับเป้ าประสงค์หลัก ขององค์กรและหน่วยงานของระบบสารสนเทศ 3 การวางแผนเทคโนโลยีสารสนเทศ การวางแผนเทคโนโลยีสารสนเทศ คือการวางแผนเกี่ยวกับโครงสร้างเทคโนโลยี สารสนเทศ ขององค์กร ซึง่ จะต้องใช้หรือมีไว้เป็ นหลักฐานเพือ่ รองรับโปรแกรมการใช้งานทีจ่ ะถูก เลือกสรรมาใช้ให้สามารถตอบสนองต่อความต้องการสารสนเทศขององค์กร กระบวนการในการวางแผนมีได้หลายระดับดังนี้ 1. การวางแผนเทคโนโลยีสารสนเทศในระดับกลยุทธ์ เป็ นการกาหนดทิศ ทางการลงทุนทางด้านโครงสร้างเทคโนโลยีสารสนเทศ ระบุทรัพยาการทีจ่ ะต้องใช้สาหรับกิจกรรม ทางด้านเทคโนโลยีสารสนเทศล่วงหน้า 5-10 ปี 2. การวางแผนเทคโนโลยีสารสนเทศในระดับกลาง เป็ นการกาหนด โปรแกรมการใช้งาน ทีจ่ ะสามารถตอบสอนงความต้องการใช้สารสนเทศขององค์กร ระบบ โครงการทีผ่ ่านการอนุมตั ติ ามแนวทางของแผนกลยุทธ์หลักเป็ นการวางแผนในระยะ 3-5 ปี 3. การวางแผนเทคโนโลยีสารสนเทศในระดับปฏิบตั กิ าร เป็ นการกาหนด งบประมาณ และการจัดทากิจกรรมตามตารางเวลาทีก่ าหนดในระยะเวลา 1 ปี 4 กระบวนการในการบริการจัดการความเสีย่ ง 1. กาหนดนโยบายหลัก 1.1 กาหนดนโยบายเกี่ยวกับความเสีย่ งด้านเทคโนโลยีสารสนเทศทีช่ ดั เจน 1.2 จัดตัง้ คณะกรรมการเพือ่ กากับดูแลเกี่ยวกับความเสีย่ งด้านเทคโนโลยีสารสนเทศ 2. ระบุความเสีย่ ง 3. วิเคราะห์และจัดอันดับความสาคัญของความเสีย่ ง 3.1 โอกาสทีเ่ อาจเกิดเหตุการณ์และผลกระทบหรือความเสียหายทีอ่ าจเกิดตามมา 3.2 พิจารณาแนวทางในการจัดการกับความเสีย่ งนัน้ หลีกเลีย่ ง เผชิญหน้า หรือลดความรุนแรง 4.หาแนวทางที่จะจัดการกับความเสีย่ ง 4.1 จัดสรรงบประมาณและกากับดูแลให้แนวทางทีถ่ กู เลือกแล้วสามารถดาเนินงานได้อย่างมี ประสิทธิภาพ 4.2 พัฒนาระบบฐานข้อมูลเพือ่ จะได้สามารถติดตามผลการดาเนินงาน มีการเปรียบเทีย่ บและตรวจสอบ ผลการดาเนินงาน 5. ติดตามผลและรายงาน 5 คณะกรรมการที่มีหน้าที่บริหารจัดการความเสีย่ ง คณะกรรมการที่มีหน้าที่บริหารจัดการความเสีย่ งด้านเทคโนโลยีสารสนเทศแบ่งได้ 2 กลุม่ คือ 1. คณะกรรมการบริหาร เป็ นผูก้ าหนดนโยบายควบคุมและดูแล 2. คณะกรรมการดาเนินงาน เป็ นผูด้ าเนินงานจัดการบริหารความเสีย่ ง บทบาทและหน้าที่ของคณะกรรมการบริหารจัดการความเสีย่ งด้านเทคโนโลยีสารสนเทศ 1. กาหนดนโยบายด้านเทคโนโลยีสารสนเทศ 2. กาหนดทิศทางและกลยุทธ์ดา้ นเทคโนโลยีสารสนเทศ 3. แสดงความเห็นต่อกระบวนการและแนวทางในการดาเนินงาน 4. สรุปและจัดทางบประมาณด้านเทคโนโลยีสารสนเทศ 5. กาหนดขัน้ ตอนการบริหารจัดการความเสีย่ งด้านเทคโนโลยีสารสนเทศทีอ่ าจเกิดขึ้น 6. กากับดูแลให้ทรัพยากรด้าน เทคโนโลยีสารสนเทศ ก่อให้เกิดประสิทธิภาพและประสิทธิผล สูงสุดแก่องค์กรอย่างต่อเนื่อง 6 วัตถุประสงค์ของการรักษาความปลอดภัย วัตถุประสงค์ของการรักษาความปลอดภัยให้แก่สารสนเทศ ได้แก่ 1. ช่วยลดความเสีย่ งอันจะก่อให้เกิดความเสียหายแก่ระบบสารสนเทศขององค์กร 2. รักษาสารสนเทศให้เป็ นความลับ 3. รับรองความสมา่ เสมอและความน่าเชื่อถือของข้อมูล 4. รับรองว่าระบบสามารถทางานและให้ขอ้ มูลแก่ผูใ้ ช้อย่างต่อเนื่อง 5. รับรองว่าการจัดเก็บสารสนเทศขององค์กรเป็ นไปตามนโยบายและกฏหมาย ด้านความปลอดภัยและความลับส่วนบุคคล 7 ความเสีย่ งกับระบบสารสนเทศ ความเสีย่ ง คือสิง่ ทีไ่ ม่พงึ ประสงค์ให้เกิดขึ้น ระบบสารสนเทศขององค์กรจะต้อง สามารถทางานได้อย่างต่อเนื่อง ถูกต้องตลอดเวลา ทาอย่างไรกับระบบงานจะสามารถนาเสนอ ข้อมูลแก่ผูต้ อ้ งการใช้ได้ตลอด 24 ชัว่ โมง 7 วันของการทางาน ทาอย่างไรองค์กรจะสามารถลด หรือกาจัดช่วงเวลาทีเ่ รียกว่าช่วงเวลาเครื่องไม่สามารถทางานได้ ให้นอ้ ยที่สุดหรือไม่มเี ลย ดาวไทม์ คือช่วงเวลาทีระบบสารสนเทศหรือข้อมูลไม่สามารถดึงออกมาใช้งานในการ ดาเนินธุรกิจได้ ดาวน์ไทม์ทาให้เกิดความเสียหายอย่างมหาศาลแก่องค์กร ผลจากการวิจยั พบว่า กิจการในสหรัฐอเมริกาสูญเสียเงินถึง 400 ล ้านเหรียญสหรัฐ ต่อปี สบื นื่องจากดาวน์ไทม์ ความเสีย่ งทีอ่ าจทาให้เกิดดาวน์ไทม์น้ ีอาจแบ่งออกเป็ น 1. ความเสีย่ งทีอ่ าจเกิดต่ออุปกรณ์คอมพิวเตอร์ 2. ความเสีย่ งทีอ่ าจเกิดต่อข้อมูลและโปรแกรมการใช้งาน 3. ความเสีย่ งทีอ่ าจเกิดต่อการดาเนินงานแบบออนไลน์ 8 ความเสีย่ งต่ออุปกรณ์คอมพิวเตอร์ ความเสีย่ งต่ออุปกรณ์คอมพิวเตอร์รวมถึงความเสียหายทีเ่ กิดจากเครื่องคอมพิวเตอร์ อุปกรณ์ขา้ งเคียง และอุปกรณ์สอ่ื สาร สาเหตุของความเสีย่ งต่ออุปกรณ์เหล่านี้ ได้แก่ ภัยธรรมชาติ ไฟฟ้ าดับ หรือแรงส่งกระแสไฟฟ้ าลดลง และความเสียหายทีเ่ กิดจากการกระทาของคนต่ออุปกรณ์ คอมพิวเตอร์ ภัยธรรมชาติ เช่น แผ่นดินไหว พายุเฮอร์รเิ คน พายุทอร์นาโด ฟ้ าผ่า นา้ ท่วม เป็ นต้น กระแสไฟฟ้ าขัดข้อง ได้แก่ - Blackout คือ การทีก่ ระแสไฟฟ้ าถูกตัดขาดโดยสิ้นเชิง - Brownout คือ การทีก่ ระแสไฟฟ้ าถูกลดความแรงลงหรือถูกรบกวนในเวลา สัน้ ๆ วิธกี ารแก้ปญั หาไฟฟ้ าได้แก่การเป็ นผูผ้ ลิตไฟฟ้ าขึ้นเอง (Generator) บางครัง้ ความเสียหายทีเ่ กิดขึ้นอาจเกิดจากการกระทาของบุคคลโดยตัง้ ใจที่จะทาลายระบบ เราจะเรียกว่า Vandalism 9 ความเสีย่ งต่อข้อมูลและโปรแกรมการใช้งาน ข้อมูลเป็ นสิง่ มีค่าอย่างยิง่ แก่องค์กร ข้อมูลทีถ่ กู เก็บรวบรวมไว้เป็ นเวลานานเมือ่ สูญหายไป จะไม่สามารถกูค้ นื ได้ หรือถึงแม้จะรวบรวมเก็บมาใหม่ ค่าใช้จ่ายทีจ่ ะต้องเปสียไปมักมากมายเกินทีจ่ ะ รับได้ ความเสียหายของข้อมูลทีเ่ กิดขึ้นอาจเกิดจากข้อมูลสูญหาย หรือข้อมูลถูก โจรกรรม โดยเฉพาะ ข้อมูลทีเ่ ป็ นความลับหรือข้อมูลส่วนตัว Identity theft คือการปลอมแปลงเป็ นบุคคลใดบุคคลหนึ่ง ด้วยเจตนาเพือ่ จะหลอกลวง บางครัง้ อาจทาได้โดยการ สร้างโปรแกรมแฝงเข้ามาในเครื่องคอมพิวเตอร์ของเหยือ่ แล ้วทาการ Keystroke logging คือ การตัง้ โปรแกรมให้บนั ทึกการกดแป้ นพิมพ์ทกุ ครัง้ เพือ่ ทาการโจรกรรม ID และ Password ของเหยือ่ หรือบางครัง้ ผูโ้ จรกรรมอาจใช้วธิ ี Phishing เป็ นวิธกี ารทีผ่ ูบ้ กุ รุกใช้วธิ ใี น การขโมยสิง่ ในการแสดงตัวตนของเจ้าของเครื่องคอมพิวเตอร์โดยการหลอกถาม หรือหลอกล่อ เช่น การหลอกถามข้อมูลส่วนตัว ทางอีเมล เป็ นต้น แต่ Social engineering เป็ นการหลอกล่อถามข้อมูล ID และ Password ของเหยือ่ โดยตรง 10 ความเสีย่ งต่อข้อมูลและโปรแกรมการใช้งาน บางครัง้ ผูบ้ กุ รุกอาจทาการ ปรับแต่งข้อมูล ทาลายข้อมูล เช่นการแก้ไขข้อมูลการเป็ นหนี้ การแก้ไขข้อมูล เงินฝากในธนาคาร หรือการลบข้อมูลไฟล์รายงานในคอมพิวเตอร์ ซึง่ บางครัง้ การแก้ไขดังกล่าวอาจทาด้วยความตัง้ ใจ หรือไม่ตงั้ ใจ เราจึงควรมีการป้ องกันการกระทาดังกล่าว เช่นการสร้างไฟล์สารองเพือ่ ป้ องกันข้อมูลหาย หรือเมือ่ เข้อมูล หายสามารถนากลับมาใหม่ได้ในทันที Street Graffiti คือการทีบ่ คุ คลนาข้อความหรือรูปภาพทีห่ ยาบคายไม่สุภาพ หรือไม่สมควรมาเขียนตาม ถนนหนทาง แต่ถา้ สาหรับข้อมูลบนเว็บ เราก็เรียกอย่างนี้เช่นเดียวกัน Honey token คือการใส่ระเบียนปลอม ลงสู่แฟ้ มข้อมูลเมือ่ มีผูบ้ กุ รุกพยายามกอปปี้ ฐานข้อมูลหรือส่วน หนึ่งส่วนใดของฐานข้อมูลทีม่ รี ะเบียนปลอมนัน้ อยู่ระบบจะเตือนเจ้าของให้หาผูบ้ กุ รุก Honey pot คือการทีเ่ ครื่องคอมพิวเตอร์แม่ขา่ ย สร้างกอปปี้ ของฐานข้อมูลไว้อกี ชุดหนึ่งเพือ่ ใช้เป็ นตัวล่อให้ ผูบ้ กุ รุกเข้าใจผิดมาขโมยเข้าใจว่าฐานข้อมูลนัน้ เป็ นฐานข้อมูลฉบับจริง และจะมีการแจ้งเตื่อนการขโมยต่อผูท้ เ่ี กี่ยวข้อง ให้รบั รู ้ 11 ไวรัสคอมพิวเตอร์ เวิรม์ และลอจิกบอมบ์ ไวรัสคอมพิวเตอร์ทางานในลักษณะเดียวกับไวรัสทีอ่ ยู่ในตัวมนุษย์ ไวรัสสามารถติดต่ อจากคอมพิวเตอร์ เครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้อย่างง่ายดาย เมือ่ ได้รบั ไวรัสความเสียหายอาจเกิดขึ้นต่ อแฟ้ มข้อมูลและโปรแกรมการ ใช้งานต่าง ๆ เวิรม์ คือไวรัสคอมพิวเตอร์ชนิดหนึ่ง แต่แตกต่างตรงทีเ่ วิรม์ สามารถแพร่ขยายในเครือข่ายคอมพิวเตอร์ได้ อย่างรวดเร็วโดยไม่ตอ้ งมีการกระทาของบุคคลเข้ามาเกี่ยวข้อง เวิรม์ สามารถติดต่อได้แม้ไม่เปิ ดไฟล์ หรือรับอีเมล ม้าโทรจัน เป็ นโปรแกรมทีถ่ กู พัฒนาขึ้นมาเพือ่ ฝังตัวเข้ามาสู่ระบบสารสนเทศขององค์กรโดยผูใ้ ช้ไม่รูต้ วั เพือ่ ทาลายล้างหรือทาความเสียหายให้แก่ระบบและข้อมูล ลอจิกบอมบ์ เป็ นโปรแกรมทีถ่ กู พัฒนาขึ้นเพือ่ สร้างความเสียหายให้แก่ระบบงานเมือ่ ถึงเวลาทีก่ าหนด Computer hijacking หมายถึงการแอบใช้ส่วนใดส่วนหนึ่งหรือบางส่วนของทรัพยากรทัง้ หมดของเครื่อง คอมพิวเตอร์ทเ่ี ชื่อมต่ออยู่กบั เครือข่ายคอมพิวเตอร์ทใ่ี ช้โดยบุคคลทัว่ ไป 12