by A.Pinya Hom-anek,
GCFW, CISSP, CISA, (ISC)2 Asian Advisory Board
President, ACIS Professional Center
ในสถานการณ์ปัจจุบันผู้บริหารระบบเทคโนโลยีสารสนเทศระดับสูงหรือ CIO นั้น มีความจำเป็นที่จะต้องศึกษามาตรฐานสากลด้านการรักษาความมั่นคงปลอดภัยในระบบเทคโนโลยีสารสนเทศ เพื่อนำมาประยุกต์ใช้ในองค์กร เหตุผลมีหลายประการ เช่น องค์กรต้อง “Compliance” หรือ “ผ่านการตรวจสอบ” จากผู้ตรวจสอบระบบสารสนเทศ (Information System Internal / External Auditor) เพื่อให้เป็นไปตามกฎหมายของประเทศที่องค์กรนั้นตั้งสำนักงานอยู่ เช่น ในประเทศสหรัฐอเมริกา องค์กรที่จดทะเบียนในตลาดหลักทรัพย์ต้องปฎิบัติตามกฎหมาย Gramm-Leach-Bliley (GLB) กฎหมาย Health Insurance Portability and Accountability Act (HIPAA) และ ล่าสุดกฎหมาย Sarbanes-Oxley (SOX) ซึ่งทำให้อาชีพทางด้านผู้ตรวจสอบระบบสารสนเทศกำลังเป็นที่ต้องการของหลาย ๆ องค์กรโดยเฉพาะองค์กรที่ต้องเตรียมรับการตรวจสอบจากองค์กรภายนอก ขณะเดียวกัน ผู้บริหารสารสนเทศขององค์กรต้องมีการเตรียมตัวเพื่อที่จะรับการตรวจสอบจากผู้ตรวจสอบสารสนเทศภายในที่อาจมาจากต่างประเทศในกรณีที่องค์กรเป็นบริษัทข้ามชาติหรือ มาจากผู้ตรวจสอบสารสนเทศภายนอกที่มีความชำนาญและมีความเป็นกลางในการตรวจสอบ ดังนั้น ผู้บริหารระบบเทคโนโลยีสารสนเทศระดับสูงขององค์กรจึงมีความจำเป็นอย่างยิ่งยวดที่จะต้องเตรียมพร้อมและศึกษาถึงมาตรฐานสากลทางด้านการรักษาความปลอดภัยระบบสารสนเทศแล้วนำมากำหนดเป็น “กรอบแนวทางปฏิบัติ” ซึ่งมาตรฐานสากลที่นิยมใช้กันทั่วโลก ได้แก่
1. มาตรฐาน ISO/IEC17799: 2005 (Second Edition) หรือ BS7799-1
มาตรฐาน ISO/IEC17799: 2005 (Second Edition) ถูกประกาศอย่างเป็นทางการในเดือนมิถุนายน ปี 2005 ได้มีการปรับปรุงแก้ไขมาจากต้นฉบับ ISO/IEC 17799:2000 (First Edition) จากปี 2000
ในประเทศไทยคณะอนุกรรมการความมั่นคงภายใต้คณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์ซึ่งจัดตั้งขึ้นตามพระราชบัญญัติการประกอบธุรกรรมทางอิเล็กทรอนิกส์ พ.ศ. 2546 (http://www.etcommission.go.th) ได้นำมาตรฐาน ISO/IEC17799 :2000 (First Edition) หรือ BS7799-1 มาเป็นแนวทางในการกำหนด มาตรฐานการรักษาความปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ของประเทศไทยจำนวน 144 ข้อ เพื่อให้เป็นแนวทางเสริมสร้างการรักษาความปลอดภัยให้กับองค์กรหรือหน่วยงานที่เกี่ยวข้องกับการประกอบธุรกรรมทางอิเล็กทรอนิกส์โดยกำหนดมาตรฐานออกเป็น 3 ระดับ คือ ระดับ 1 ควรปฏิบัติ 31 ข้อ, ระดับ 2 ควรปฏิบัติ 104 ข้อ และ ระดับ 3 ซึ่งเป็นระดับความปลอดภัยสูงสุด ควรปฏิบัติทั้งหมด 144 ข้อ
การนำมาตรฐาน ISO/IEC17799 : 2005 มาปฏิบัติในองค์กร สามารถนำองค์กรไปสู่การ “Certified” โดย Certification Body ตามมาตรฐาน BS7799-2:2002 ขณะนี้องค์กรทั่วโลกกำลังให้ความสนใจเรื่องความปลอดภัยระบบเทคโนโลยีสารสนเทศ ตัวอย่างในประเทศญี่ปุ่นนั้นมีองค์กรได้รับการรับรองมาตรฐาน BS7799-2 ไปแล้วกว่าเก้าร้อยองค์กร แสดงให้เห็นถึงมาตรฐานด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศที่พัฒนากว่าประเทศเพื่อนบ้าน ขณะนี้การรับรองมาตรฐาน BS7799-2: 2002 กำลังพัฒนาเปลี่ยนแปลงเป็น ISO/IEC 27001:2005 ที่คาดว่าจะประกาศอย่างเป็นทางการประมาณเดือน พฤศจิกายน คศ. 2005 ซึ่งจะสอดคล้องกับมาตรฐาน ISO/IEC17799:2005(BS7799-1) ที่ถูกประกาศบอกมาแล้วก่อนหน้านี้
2. มาตรฐาน CobiT (Control Objective for Information and Related Technology)
มาตรฐาน CobiT ถูกพัฒนาขึ้นโดย ISACA (http://www.isaca.org) และ IT Governance Institute (http://www.itgi.org ) เพื่อ องค์กรที่ต้องการมุ่งสู่การเป็น “ไอทีภิบาล” หรือ “IT Governance” มาตรฐาน CobiT เป็นแนวคิดและแนวทางปฏิบัติของผู้บริหารระบบสารสนเทศ และขณะเดียวกันก็เป็นแนวทางปฏิบัติสำหรับผู้ตรวจสอบระบบสารสนเทศด้วย โครงสร้างของมาตรฐาน CobiT นั้นแบ่งออกเป็น 4 กระบวนการหลัก ซึ่งทั้ง 4 กระบวนการหลักจะประกอบด้วย High Level Control Objective ทั้งหมด 34หัวข้อ และ Detail Control Objective แบ่งแยกย่อยอีกทั้งหมด 318 หัวข้อย่อย
ในปัจจุบันมาตรฐาน CobiT เป็นมาตรฐานเปิดที่สามารถ Download ได้ที่ Web Site ของ ISACA ในประเทศไทย สมาคมผู้ตรวจสอบและควบคุมระบบสารสนเทศ ภาคพื้นกรุงเทพฯ มีโครงการในการแปลมาตรฐาน CobiT ออกมาเป็นภาษาไทย และ ทางสมาคม ISACA สหรัฐอเมริกากำลังจะออก CobiT Version 4 ซึ่งมีการปรับปรุงจาก COBIT Version 3.2 ปัจจุบัน
แนวคิดของมาตรฐาน CobiT กำลังเป็นที่นิยมในกลุ่มธุรกิจด้านการเงินและการธนาคาร ยกตัวอย่าง เช่น ธนาคารแห่งประเทศไทยและ สำนักงานคณะกรรมการกำกับหลักทรัพย์และตลาดหลักทรัพย์ หรือ กลต. ได้ให้ความสนใจในการนำมาตรฐาน CobiT มาเป็นแนวทางในการออกข้อกำหนดและกฎข้อบังคับต่าง ๆ ที่ธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ควรนำมาปฏิบัติ ซึ่งขณะนี้ทางธนาคารแห่งประเทศไทย และ กลต. ได้ออกประกาศเรื่องการควบคุมการปฏิบัติงานและแนวทางปฏิบัติในการรักษาความปลอดภัยด้านเทคโนโลยีสารสนเทศและการให้บริการการเงินทางอิเล็กทรอนิกส์เพื่อเป็นแนวทางให้กับธนาคารพาณิชย์และบริษัทหลักทรัพย์ต่าง ๆ ในประเทศไทย
3. มาตรฐาน ITIL (IT Infrastructure Library)/BS15000
มาตรฐาน ITIL นั้นมีต้นตอมาจากประเทศอังกฤษ ซึ่งทางรัฐบาลประเทศอังกฤษ โดย OGC (Office of Government Commerce) พัฒนาร่วมกับ BSI (British Standard Institute) มีวัตถุประสงค์ในการสร้าง Best Practice สำหรับกระบวนการบริหารงานบริการด้านสารสนเทศ (IT Service Management) มาตรฐาน ITIL กล่าวถึง “Best Practice” ในการบริหารจัดการงานให้บริการด้านระบบสารสนเทศที่ควรจะเป็นและมีประสิทธิภาพและ ประสิทธิผลชัดเจน เช่น มาตรฐานด้าน Service Support และ Service Delivery ตลอดจน การกำหนด SLA (Service Level Agreement) เป็นต้น
มาตรฐาน ITIL ถูกจัดทำเป็นหนังสือหลายเล่าโดยแบ่งออกเป็น 2 ส่วนได้แก่ BS15000-1 Specfication for Service management และ BS15000-2 Code of pratice for service management
ปัจจุบันแนวโน้มด้านการ “Outsource” การบริหารจัดการเทคโนโลยีสารสนเทศมีการเพิ่มขึ้นอย่างรวดเร็ว ดังนั้นมาตรฐานในการควบคุมคุณภาพของการให้บริการนั้นจึงถือเป็นเรื่องสำคัญที่องค์กรควรจะศึกษาและกำหนดเป็นมาตรฐานขั้นต่ำให้กับ Outsourcer Company ที่รับงานบริการด้านสารสนเทศไปจัดการแทนองค์กรเพื่อให้เกิดประสิทธิผลและประสิทธิภาพสูงสุดในการให้บริการ และ ส่งผลด้านความพึงพอใจของผู้ใช้คอมพิวเตอร์ (Computer Users) ทั่ว ๆ ไป และ ส่งผลต่อภาพลักษณ์ของผู้บริหารเทคโนโลยีสารสนเทศระบบสูงในทางอ้อมอีกด้วย
4. มาตรฐาน SANS TOP20 
มาตรฐาน SANS TOP20 เป็น มาตรฐานในการตรวจสอบระบบสารสนเทศสำหรับระบบความปลอดภัยบนระบบปฏิบัติการ Microsoft Windows และ UNIX/Linux ที่ได้รับการยอมรับกันโดยทั่วไป มาตรฐาน SANS Top 20 มีมาตั้งแต่ปี 2000 ขณะนี้ SANS Top 20 ล่าสุดได้มีการปรับปรุงมา 4 ครั้ง และ ปรับปรุงในปี 2004 เรียกว่า SANS Top 20 2004 โดยแบ่งออกเป็นการเตือนช่องโหว่ของระบบปฏิบัติการ Windows 10 ช่องโหว่ และ การเตือนช่องโหว่ระบบปฏิบัติการ UNIX/ Linux อีก 10 ช่องโหว่ รายละเอียดดูที่ http://www.sans.org/top20 ปัจจุบัน SANS ได้ออก SANS Top 20 2005 Quarter 1 and Quarter 2 update มาเพิ่มเติมด้วย
5. มาตรฐาน ISMF 7 (Information Security Management Framework)

มาตรฐาน ISMF ทั้ง 7 ขั้นตอน เป็น มาตรฐานในการตรวจสอบและประเมินความปลอดภัยระบบสารสนเทศที่พัฒนาโดยนักวิชาการคนไทย จุดประสงค์เพื่อให้เป็นแนวทางในการปริหารจัดการระบบรักษาความปลอดภัยข้อมูลอย่างเป็นระบบและมีประสิทธิภาพให้ทันกับสถานการณ์ปัจจุบันของการโจมตีระบบโดย Hacker และ MalWare ต่างๆ
กลยุทธ์ CIO กับการบริหารระบบความปลอดภัยเทคโนโลยีสารสนเทศในองค์กรสมัยใหม่
ตำแหน่งผู้บริหารเทคโนโลยีสารสนเทศระดับสูง หรือ CIO (Chief Information Officer) นั้นเป็นตำแหน่งสำคัญที่ทุกองค์กรทั้ง ภาครัฐ และ เอกชนต้องมีบุคลากรที่รับผิดชอบในเรื่องนี้โดยตรง โดยเฉพาะในองค์กรขนาดใหญ่ CIO ควรมีหน้าที่ในการกำหนดยุทธศาสตร์ (Strategy) ทิศทางด้านเทคโนโลยีสารสนเทศขององค์กร ตลอดจนมาตรการในการรักษาความปลอดภัยเทคโนโลยีสารสนเทศขององค์กร ในกรณีที่ยังไม่มีตำแหน่ง CSO (Chief Security Office) หรือ CISO (Chief Information Security Officer) มารับผิดชอบด้านความปลอดภัยสารสนเทศ โดยตรง CIO ก็ต้องรับผิดชอบเรื่องความปลอดภัยไปด้วยในตัว ซึ่งนับว่าเป็นภาวะความรับผิดชอบที่ค่อนข้างสูง เพราะ เรื่องความปลอดภัยเทคโนโลยีระบบสารสนเทศนั้นมีการเปลี่ยนแปลงอยู่เสมอ CIO ต้องคอยติดตามความเคลื่อนไหวและปรับปรุงความรู้ความสามารถให้สอดคล้องกับสถานการณ์ปัจจุบัน และยังต้องตัดสินใจเรื่องการเลือกใช้เทคโนโลยีด้านความปลอดภัยที่เหมาะสมแก่องค์กรทั้งในเรื่องของ TCO (Total Cost of Ownership) และ ROI (Return On Investment) จากข้อมูลของ Gartner เรื่อง Hype Cycle for Information Security 2004 ปัญหาด้านความปลอดภัยระบบเทคโนโลยีสารสนเทศยังเป็นประเด็นสำคัญที่ CIO ต้องให้ความสนใจและจัดการอย่างเป็นระบบ

รูปที่1

แสดงให้เห็นถึง Cyber Threat ต่าง ๆ ที่ กำลังเป็นปัญหาอยู่ในปัจจุบัน ปัญหาใหญ่ของ CIO ในวันนี้ก็คือ เรื่อง Spyware, Phishing, SPAM และ Peer-to-Peer Exploit

รูปที่2

ขณะเดียวกัน ดูรูปที่ 2 แสดงถึงเทคโนโลยีและบริการที่ CIO ควรนำใช้ในการแก้ปัญหาดังกล่าว บางเทคโนโลยีเช่น IDS นั้น ล้าสมัยไปแล้ว ขณะนี้เทคโนโลยีใหม่เข้ามาแทนที่ เช่น IPS, Vulnerability Management และ Patch Management เป็นต้น การให้บริการเผ้าระวังระบบรักษาความปลอดภัยจากบริษัทที่รับดูแลด้านความปลอดภัยโดยตรงที่เรียกตัวเองว่า MSSP (Managed Security Service Provider) ก็กำลังได้รับความนิยมจาก CIO เพิ่มขึ้นเช่นกัน
ดังนั้น CIO ควรมีกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีและเตรียมพร้อมกับสถานการณ์ปัจจุบัน และอนาคตโดยสรุปได้ 6 ข้อดังนี้
1. CIO ต้องมีกลยุทธ์ในการรับผิดชอบดูแลเรื่องการประหยัดงบประมาณ การใช้จ่ายทางด้านเทคโนโลยีสารสนเทศ 
การจัดซื้อจัดจ้างระบบเทคโนโลยีสารสนเทศนั้นจำเป็นต้องใช้งบประมาณค่อนข้างสูง การตัดสินใจเลือกใช้เทคโนโลยีใหม่ ๆ จึงเป็นความท้าทายของ CIO เพราะหากตัดสินใจผิดก็อาจส่งผลเสียในระยะยาวให้แก่องค์กรได้ ขณะที่งบประมาณด้านการรักษาความปลอดภัยนั้นมีแนวโน้มที่จะลดลงตามสภาวะเศรษฐกิจโลกที่ถดถอย แต่การโจมตีจากแฮกเกอร์ และ ไวรัสกลับมีแนวโน้มที่เพิ่มขึ้นอย่างมาก ดังนั้น CIO จึงจำเป็นต้อง “Balance” ปรับสมดุล ระหว่างความปลอดภัยขั้นต่ำที่องค์กรควรมี และ งบประมาณที่จะถูกใช้จ่ายออกไปเพื่อให้ได้มาซึ่งอุปกรณ์ฮาร์ดแวร์และซอฟท์แวร์ ตลอดจนการบริการจาก IT Auditor, IT Consultant, System Integrator และ IT Outsourcer รวมถึง งบประมาณการฝึกอบรม Information Security Awareness Training และ Information Security Technical Training จาก IT Training Center ต่าง ๆ อีกด้วย
2. CIO ควรกำหนดแผนยุทธ์ศาสตร์ ด้านความปลอดภัยระบบสารสนเทศ (Information Security Strategic Planning) ให้ชัดเจนและนำไปปฏิบัติจริงได้
แผนยุทธ์ศาสตร์ในระยะยาวควรกำหนดออกมาให้ชัดเจน เพื่อเป็นแนวทางในการดำเนินการด้านสารสนเทศและการรักษาความปลอดภัยข้อมูลสารสนเทศ จากนั้น แผนระยะกลางและแผนระยะสั้น ก็ควรถูกกำหนดออกมาเช่นกัน ยกตัวอย่าง เช่น องค์กรควรมีการจัดทำการประเมินความเสี่ยงระบบสารสนเทศ (IT Risk Assessment) เป็นประจำทุกปี และควรมีการจัดทำแผนฝึกอบรม Information Security Awareness Training ในทุกๆ 3 – 6 เดือน เป็นต้น
3. CIO ควรเพิ่มความรู้และมีความรอบรู้เพียงพอเพื่อใช้ประกอบการตัดสินใจเลือกใช้เทคโนโลยีที่เหมาะสมและไม่ล้าสมัยให้แก่องค์กร
ยกตัวอย่างการเลือกใช้ Platform ว่าจะใช้ Windows Server 2003 Platform หรือ UNIX/LINUX Platform การเลือกใช้เทคโนโลยี J2EE (Jave 2 Enterpirse Edition) หรือ เลือกใช้เทคโนโลยี Dot NET ของ Microsoft เป็นต้น
การหมั่นเข้าร่วมฟังงานสัมมนาเทคโนโลยีใหม่ ๆ ก็เป็นเรื่องจำเป็นของ CIO เช่นเดียวกัน ซึ่งก็คงต้องปลีกเวลาการทำงานบ้างเพื่อเพิ่มพูนความรู้ใหม่ ๆ ที่เป็นประโยชน์ในการตัดสินใจในอนาคต การเดินทางไปชมงาน ICT Expo ในต่างประเทศ ก็ควรอยู่ในโปรแกรมของ CIO ด้วย
4. CIO ควรนำองค์กรเข้าสู่มาตรฐานกำหนดความปลอดภัยสารสนเทศที่สากลให้การยอมรับและเตรียมพร้อมสำหรับในการตรวจสอบจากผู้ตรวจสอบระบบสารสนเทศ
การนำมาตรฐานสากลด้านความปลอดภัยระบบสารสนเทศเช่น ISO/IEC17799 หรือ CobiT มาประยุกต์ใช้บางส่วน ถือเป็นเรื่องจำเป็น CIO ต้องให้ความสำคัญเช่นกัน โดยองค์กรอาจจะไม่จำเป็นต้องได้รับใบรับรองมาตรฐาน BS7799-2 ในกรณีที่องค์กรมองว่าประโยชน์ที่ได้รับจากการได้รับใบรับรองมาตรฐานด้านความปลอดภัยนั้นยังไม่ชัดเจน แต่องค์กรก็ควรนำมาตรฐานสากลที่เป็น “Best Practice” ต่าง ๆ มาประยุกต์ใช้ เพื่อความปลอดภัยขององค์กรเอง และ เพื่อให้สอดคล้องกับยุคของ IT Governance
การตรวจสอบระบบสารสนเทศโดยผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบภายในเป็นเรื่องจำเป็นที่ต้องทำเป็นประจำทุกปีเพื่อให้แน่ใจถึงระดับของความเสี่ยงที่ผู้บริหารยอมรับได้ และ ไม่ส่งผลกระทบต่อองค์กร
5. CIO ควรรักษาความสัมพันธ์ที่ดีกับผู้ร่วมงานและพัฒนาการสื่อสารกับผู้ร่วมงานให้มีความชัดเจนและความเข้าใจในทิศทางเดียวกัน
ปัญหาของ CIO ในหลาย ๆ องค์กร คือ CIO ไม่สามารถอธิบายการทำงานด้านสารสนเทศต่าง ๆ ให้แก่ ผู้บริหารระดับสูง เช่น CEO หรือ CFO เพื่อให้เกิดความเข้าใจ และ ให้การสนับสนุนได้อย่างมากพอ ทำให้หลายๆ โครงการด้านสารสนเทศ ไม่ประสบความสำเร็จ ดังนั้น CIO ควรต้องมี Communication Skill หรือ ทักษะในการพูดคุย การติดต่อ ตลอดจน การนำเสนอในรูปแบบมืออาชีพ ที่มีความชัดเจน และ ง่ายต่อการเข้าใจของผู้บริหารระดับสูงที่ไม่ใช่ “คนไอที” ตลอดจน CIO ควรรักษาความสัมพันธ์กับ System Integrator, Consultant, Supplier และ Outsourcer เพื่อให้บริษัทเหล่านี้มาช่วยแบ่งเบาภาระของ CIO และ เป็นการ Transfer Risk ไปในตัว ความสัมพันธ์ที่ดีกับหน่วยงานต่าง ๆ ดังกล่าวจะส่งผลช่วย CIO ในทางอ้อมต่อประสิทธิภาพในการปฏิบัติงานและภาพลักษณ์ของตัว CIO เอง
6. CIO ควรเตรียมรับสถานการณ์ฉุกเฉินด้านความปลอดภัยสารสนเทศที่อาจเกิดขี้นได้
แผน BCP (Business Continuity Planning) และ DRP (Disaster Recovery Planning) ควรถูกจัดทำขึ้นเพื่อให้องค์กรพร้อมกับการเตรียมรับเหตุการณ์ฉุกเฉิน หรือ Incident Response Management ที่อาจเกิดขึ้นและส่งผลกระทบต่อการทำงานโดยรวมขององค์กรได้ โดย CIO ต้องช่วยสนับสนุนและเป็นแกนหลักในการจัดทำแผนดังกล่าวด้วย
กล่าวโดยสรุป ตำแหน่ง CIO นั้นเป็นตำแหน่งที่มีความสำคัญต่อองค์กรอย่างสูงในยุคที่เทคโนโลยีระบบสารสนเทศ และ การสื่อสาร เข้ามามีบทบาทสำคัญต่อการดำเนินงานขององค์กรในปัจจุบัน การกำหนดกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศและการรักษาความปลอดภัยสารสนเทศเป็นเรื่องสำคัญที่ CIO ทุกท่านต้องจัดทำขึ้น และ CIO จะต้องมีความรับผิดชอบในเรื่องดังกล่าวโดยปริยาย เพราะ ในอนาคตกฏหมายต่าง ๆ ที่กำลังจะถูกประกาศใช้ เช่น กฏหมายการกระทำผิดเกี่ยวกับคอมพิวเตอร์ หรือ ประกาศกฏข้อบังคับต่าง ๆ ขององค์กรที่มีหน้าที่ในการควบคุม เช่น สตง. ธนาคารแห่งประเทศไทย หรือ กลต. มีแนวโน้มที่จะเข้มงวด เรื่องการรักษาความปลอดภัยข้อมูลระบบสารสนเทศมากขึ้น CIO ก็ควรจะปรับตัวให้เข้ากับยุคสมัยทศวรรษแห่งดิจิตอลเพื่อนำองค์กรเข้าสู่ IT Governance หรือ “ไอทีภิบาล” เพื่อจุดมุงหมายปลายทาง คือ Corporate Governance หรือ “บรรษัทภิบาล” ในที่สุด

จาก : หนังสือ eLeader Thailand
ประจำเดือน เดือนกันยายน 2548
Update Information : 30 สิงหาคม 2548