Background



เกร็ดความรู้สู้โรค
การรักษาความปลอดภัยทางข้อมูล
7 กรกฎาคม 2555

440


การรักษาความปลอดภัยทางข้อมูล (อังกฤษ: Information Security) แยกออกเป็นสองคำ ได้แก่ Information หรือสารสนเทศ คือข้อมูลในรูปแบบของตัวเลข ข้อความ หรือภาพกราฟิก ที่ได้นำมารวบรวม จัดเป็นระบบ และนำเสนอในรูปแบบที่ผู้ใช้สามารถเข้าใจได้อย่างแจ่มชัด ไม่ว่าจะเป็นรายงาน ตาราง หรือแผนภูมิต่างๆ และ Security หรือความปลอดภัย คือสภาพที่เกิดขึ้นจากการจัดตั้งและดำรงไว้ซึ่งมาตราการการป้องกันที่ทำให้เกิดความมั่นใจว่าจะไม่มีผู้ที่ไม่หวังดีจะบุกรุกเข้ามาได้ เมื่อรวมสองคำก็จะได้ "Information Security" จึงหมายถึง การศึกษาถึงความไม่ปลอดภัยในการใช้งานสารสนเทศที่เกี่ยวข้องกับคอมพิวเตอร์ การวางแผนและการจัดระบบความปลอดภัยในคอมพิวเตอร์ โดยศึกษาถึงสิ่งต่างๆ ดังนี้

  1. การรักษาความปลอดภัยในคอมพิวเตอร์ส่วนบุคคล
  2. การรักษาความปลอดภัยในระบบฐานข้อมูล
  3. การรักษาความปลอดภัยในเครือข่ายการสื่อสารข้อมูล
  4. การป้องกันทางกายภาพ
  5. การวิเคราะห์ความเสี่ยง
  6. ประเด็นในแง่กฎหมาย
  7. จรรยาบรรณในเรื่อง "ความปลอดภัยในระบบคอมพิวเตอร์"
จากวิกิพีเดีย สารานุกรมเสรี
 

การจัดการความเสี่ยง หรือ การบริหารความเสี่ยง (อังกฤษ: risk managment) คือ การจัดการความเสี่ยง ทั้งในกระบวนการในการระบุ วิเคราะห์(en:risk analysis) ประเมิน(en:risk assessment) ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับ กิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง หรือเรียกว่า อุบัติภัย (Accident )

เนื้อหา

นิยามของความเสี่ยง

ความเสี่ยงมีความหมายในหลากหลายแง่มุม เช่น ความเสี่ยงคือ

  • โอกาสที่เกิดขึ้นแล้วธุรกิจจะเกิดความเสียหาย (Chance of Loss)
  • ความเป็นไปได้ที่จะเกิดความเสียหายต่อธุรกิจ (Possibility of Loss)
  • ความไม่แน่นอนของเหตุการณ์ที่จะเกิดขึ้น (Uncertainty of Event)
  • และ การคลาดเคลื่อนของการคาดการณ์ (Dispersion of Actual Result)
Risk and Control Impact Assessment.JPG

ศัพท์ทางเทคนิค

  • ภัย (Peril) คือ สาเหตุของความเสียหาย ซึ่งภัยสามารถเกิดขึ้นได้จากภัยธรรมชาติ เช่น เกิดพายุ สึนามิ น้ำท่วม แผ่นดินไหว เป็นต้น ภัยนอกจากจะเกิดขึ้นได้จากภัยธรรมชาติแล้ว ภัยนั้นยังเกิดขึ้นจากการกระทำของมนุษย์ เช่น อัคคีภัย จลาจล ฆาตกรรม เป็นต้น สำหรับสาเหตุสุดท้ายที่จะเกิดภัยได้นั้นคือภัยที่เกิดขึ้นจากภาวะเศรษฐกิจ เพราะภัยที่เกิดจากภาวะเศรษฐกิจ เป็นอีกสาเหตุที่สำคัญ เพราะเมื่อเกิดขึ้นแล้วคนทั้งประเทศ หรือทั้งภูมิภาคจะได้รับผลกระทบอย่างกว้างขวาง
  • ความเสี่ยง (Risk) คือ ความไม่แน่นอนของเหตุการณ์ ซึ่งไม่สามารถคาดเดาได้ว่าจะเกิดขึ้นเมื่อใด แต่ความเสี่ยงนั้น ๆ จะมีแนวโน้มที่เกิดขึ้นไม่มากก็น้อยในบริษัท
  • สภาวะที่จะทำให้เกิดความเสียหาย (Hazard) คือ สภาพเงื่อนไขที่เป็นสาเหตุที่ทำให้ความเสียหายเพิ่มสูงขึ้น โดยสภาวะต่าง ๆ นี้สามารถแบ่งออกได้เป็น สภาวะทางด้านกายภาพ (Physical) คือ สภาวะของโอกาสที่จะเกิดความเสียหาย เช่น ชนิดและทำเลที่ตั้งของสิ่งปลูกสร้าง อาจเอื้อต่อการเกิดเพลิงไหม้ สภาวะทางด้านศีลธรรม (Moral) คือ สภาวะของโอกาสที่จะเกิดขึ้นจากความไม่ซื่อสัตย์ต่อหน้าที่การงาน เช่น การฉ้อโกงของพนักงาน และสภาวะด้านจิตสำนึกในการป้องกันความเสี่ยง (Morale) คือ สภาวะที่ไม่ประมาทและเลินเล่อ หรือการไม่เอาใจใส่ในการป้องกันความเสี่ยง เช่น การที่พนักงานปล่อยให้เครื่องจักรทำงานโดยไม่ควบคุม

องค์ประกอบการบริหารความเสี่ยง

  1. การระบุชี้ว่าองค์กรกำลังมีภัย
    เป็นการระบุชี้ว่าองค์กรมีภัยอะไรบ้างที่มาเผชิญอยู่ และอยู่ในลักษณะใดหรือขอบเขตเป็นอย่างไร นับเป็นขั้นตอนแรกของการบริหารความเสี่ยง
  2. การประเมินผลกระทบของภัย
    เป็นการประเมินผลกระทบของภัยที่จะมีต่อองค์กรซึ่งอาจเรียกอีกอย่างหนึ่งว่า การประเมินความเสี่ยงที่องค์กรต้องเตรียมตัวเพื่อรับมือกับภัยแต่ละชนิดได้อย่างเหมาะสมมากที่สุด
  3. การจัดทำมาตรการตอบโต้ตอบความเสี่ยงจากภัย
    การจัดทำมาตรการตอบโต้ตอบความเสี่ยงเป็นมาตรการที่จัดเรียงลำดับความสำคัญแล้วในการประเมินผลกระทบของภัย มาตรการตอบโต้ที่นิยมใช้เพื่อการรับมือกับภัยแต่ละชนิด อาจจำแนกดังนี้
  • มาตรการขจัดหรือลดความรุนแรงของความอันตรายของภัยที่ต้องประสบ
  • มาตรการที่ป้องกันผู้รับภัยมิให้ต้องประสบภัยโดยตรง เช่น
    • ภัยจากการที่ต้องปีนไปในที่สูงก็มีมาตรการป้องกันโดยต้องติดเข็มขัดนิรภัย กันการพลาดพลั้งตกลงมา
    • ภัยจากไอระเหยหรือสารพิษก็ป้องกันโดยออกมาตรการให้สวมหน้ากากป้องกันไอพิษ เป็นต้น
  • มาตรการลดความรุนแรงของสถานการณ์ฉุกเฉิน เช่น กรณีเกิดเพลิงไหม้ในอาคาร ได้มีการขจัดและลดความรุนแรง โดยออกแบบตัวอาคารให้มีผนังกันไฟ กันเพลิงไหม้รุนลาม
    ไปยังบริเวณใกล้เคียง และมีการติดตั้งระบบสปริงเกอร์ ก็จะช่วยลดหรือหยุดความรุนแรงของอุบัติภัยลงได้
  • มาตรการกู้ภัยก็เป็นการลดความสูญเสียโดยตรง ลงได้มาก
  • มาตรการกลับคืนสภาพ ก็เป็นอีกมาตรการในการลดความเสียหายต่อเนื่องจากภัยหรืออุบัติภัยแต่ละครั้งลงได้

มาตรการรับมือกับภัย 5 มาตรการ (5R)

  • R1 Readiness ความเตรียมพร้อม
    องค์กรต้องเตรียมความพร้อมระบบการบริหารความเสี่ยงให้มีความพร้อมในการจัดทำมาตรการขจัดหรือควบคุมภัยต่างๆเอาไว้ล่วงหน้า
  • R2 Response การตอบสนองอย่างฉับไว
    เมื่อเกิดอุบัติภัยขึ้นระบบต้องมีสมรรถนะที่ดีพอในการตอบโต้ภัยแต่ละชนิดอย่างได้ผลและทันเวลา
  • R3 Rescue การช่วยเหลือกู้ภัย
    เป็นกระบวนการปกป้องชีวิตและทรัพย์สินขององค์กร ที่ได้ผลและทันเวลา
  • R4 Rehabilitation การกลับเข้าไปทำงาน
    เมื่ออุบัติภัยสิ้นสุดลงแล้วต้องกลับเข้าไปที่เดิมให้เร็วที่สุดเพื่อ การซ่อมแซม การเปลี่ยนใหม่ หรือการสร้างขึ้นใหม่ (Rebuild) เพื่อให้อาคารสถานที่พร้อมที่จะดำเนินกิจการต่อไปได้ อาจรวมไปถึงการประกันภัยด้วย
  • R5 Resumption การกลับคืนสู่สภาวะปกติ
    องค์กรสามารถเปิดทำการ หรือ ดำเนินธุรกิจต่อไปตามปกติได้เสมือนว่าไม่มีอุบัติภัยมาก่อน

Response กับ Rescue อาจจะเหมือนเป็นเรื่องเดียวกัน แต่ความจริงแล้วแตกต่างกัน โดยขอยกตัวอย่าง กรณีเกิดอัคคีภัย อุปกรณ์ดับเพลิงอัตโนมัติ รวมถึง Fire Alarm คือขั้นตอนของ Response แต่ไฟฉุกเฉินและเครื่องช่วยหายใจ เพื่อให้พนักงานสวม เพื่อหนีออกจากอาคาร เป็นขั้นตอนของ Rescue


The Committee of Sponsoring Organization (COSO)

  • The Committee of Sponsoring Organization (COSO) เป็นหน่วยงานที่ได้เผยแพร่วิธีการและกรอบแนวคิดของการควบคุมภายในขององค์กร (Internal Control Framework) อย่างเป็นระบบ เมื่อช่วงต้นทศวรรษของ ปี ค.ศ. 1990 จนกระทั่งเป็นที่รู้จักและมีความนิยมอย่างแพร่หลาย หลังจากที่วิธีการและการดำเนินการควบคุมภายใน (Internal Control) นั้นเป็นที่ถกเถียงกันมาเป็นเวลานาน
  • ในการจัดการความเสี่ยง (Risk Management) เป็นเรื่องที่ทุกคนมีความเห็นอย่างตรงกันว่า การจัดการความเสี่ยงเป็นเรื่องที่จำเป็นและเราต้องมีวิธีในการจัดการกับความเสี่ยงที่ดี แต่การจัดการความเสี่ยงนั้นก็ประสบกับปัญหาเดียวกับการเริ่มทำการควบคุมภายในในช่วงแรก ๆ เพราะการจัดการความเสี่ยงนั้นยังไม่สามารถที่จะกำหนดคำนิยามได้อย่างชัดเจน
  • องค์กรของการประกันภัย ก็มีการกำหนดคำนิยามของการจัดการความเสี่ยงไว้แบบหนึ่ง แต่องค์กรที่ให้บริการสินเชื่อก็กำหนดคำนิยามและวิธีการของการจัดการความเสี่ยงไว้อีกแบบหนึ่งอย่างแตกต่างกัน จนทำให้หน่วยงานหลายหน่วยงานไม่ว่าจะเป็นองค์กรที่แสวงหาผลกำไร หรือองค์กรที่ไม่แสวงหาผลกำไรต่างก็พยายามที่จะกำหนด คำนิยามและความหมายของการจัดการความเสี่ยง ตลอดจนพยายามคิดถึงโครงสร้างของการจัดการกับความเสี่ยงต่าง ๆ เหล่านั้น
  • หลังการจากพยายามหาข้อสรุปถึงคำนิยาม ความหมาย วิธีการในการจัดการความเสี่ยง และการจัดทำโครงสร้างในการบริหารความเสี่ยงมานาน COSO จึงพยายามที่จะกำนหด และกำหนดคำนิยามและรูปแบบต่าง ๆ ในการจัดการกับความเสี่ยง โดยได้กำหนดออกมาเป็น COSO ERM (COSO Enterprise Risk Management) ซึ่ง COSO ได้กำหนดโครงสร้างและความหมายในการจัดการกับความเสี่ยง และนำเสนอต่อสาธารณะในปลายปี ค.ศ. 2004 โดยให้บริษัทในทุกขนาด ไม่ว่าจะเป็นบริษัทขนาดใหญ่ หรือบริษัท SMEs สามารถนำเอาแนวทางในการบริหารจัดการกับความเสี่ยงไปใช้ได้
  • COSO Internal Control Framework เป็นกระบวนการ ที่ออกแบบให้ กรรมการบริหาร ผู้บริหาร บุคลากรต่าง ๆ ของหน่วยงาน ต้องมีความรับผิดชอบ และพยายามที่จะให้หน่วยงานประสบความสำเร็จ โดยมีวัตถุประงค์ดังนี้ 1. ให้การดำเนินงานเป็นไปอย่างมีประสิทธิภาพ 2. มีการรายงานทางการเงินที่น่าเชื่อถือ และ 3. การปฏิบัติตามข้อกำหนดทางกฎหมาย และระเบียบต่าง ๆ
  • COSO Internal Control Framework จะมีลักษณะที่เชื่อมโยงต่อ COSO Enterprise Risk management ดังนั้นการเข้าใจใน COSO Internal Control Framework จึงเป็นการช่วยให้เข้าใจใน COSO ERM มากขึ้นนั่นเอง

อ้างอิง

  • ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2548 - 2550. บทความจากหนังสือพิมพ์บิสิเนสไทย คอลัมน์ส่องธุรกิจ
  • ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2554. การจัดการความเสี่ยงและตราสารอนุพันธ์เบื้องต้น พิมพ์ครั้งที่ 4 สำนักพิมพ์เพียร์สัน เอ็ดดูเคชั่น
  • ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2550 - 2555. บทความจากนิตยสาร Make Money คอลัมน์ Finance & Investment
  • ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2551 - 2555. บทความจากหนังสือพิมพ์ ASTV ผู้จัดการรายวัน คอลัมน์ Road to Investment
  • ดร.กิตติพันธ์ คงสวัสดิ์เกียรติ. 2554 ลงทุนเป็น เห็นความสำเร็จ สำนักพิมพ์ แมคกรอฮิล

การระบุความเสี่ยง (อังกฤษ: Risk Identification) คือ การระบุหมวดหมู่รูปแบบความเสี่ยง เกี่ยวกับความปลอดภัยทรัพย์สินต่างๆภายในองค์กร

แบ่งเป็นหมวดหมู่ดังนี้

  1. ประเภทที่เกี่ยวกับส่วนประกอบต่างๆของระบบ
  2. การวิจัยพัฒนาเรื่องความลับเกี่ยวกับทรัพย์สินขององค์กร
  3. ทรัพย์สินประเภทต่างๆ
  4. หมวดที่เกี่ยวกับสาเหตุของความเสี่ยงที่เกี่ยวกับทรัพย์สินขององค์กร
  5. ประเภทที่ถูกกำหนดให้เป้นสาเหตูพิเศษเกี่ยวกับทรัพย์สินที่ถูกโจมตีหรือมีความเสี่ยงสูง

เกณฑ์การประเมินหมวดหมู่หรือประเภทความเสี่ยงต่างๆ

  1. การถูกโจมตีอย่างไร เสี่ยงมากแค่ไหน
  2. ลักษณะการถูกโจมตี
  3. คำนวณจากความสัมพันธ์ที่ความเสี่ยงกับสาเหตุที่เกิด ที่มีผลต่อทรัพย์สิน
  4. สำรวจ ทบทวน และพิจารณาความเป็นไปได้ในการควบคุมความเสี่ยงนั้นๆ
  5. งานหรือเอกสารที่เราค้นพบ .

ตัวอย่าง ในระบบบริษัทหนึ่งๆ มีการใช้ระบบรักษาความปลอดภัย โดยแบ่งส่วนและประเภทของข้อมูลไว้เป็น 2 ชนิด คือ ส่วนที่เป็นความลับ กับส่วนที่สามารถเผยแพร่ต่อบุคคลทั่วไปได้ โดยที่ส่วนแรกถือว่ามีความเสี่ยงสูงที่ต้องรักษาความปลอดภัยไว้ แต่ในทางกลับกัน ก็มีความมั่นใจมากกว่าที่ได้รักษาความปลอดภัย โดยไม่ได้อนุญาตให้บุคคลทั่วไปเข้ามาใช้

จากวิกิพีเดีย สารานุกรมเสรี