การกำกับดูแลความปลอดภัย (Security Governance) สำหรับองค์กรยุคดิจิทัล
- ดร.นิพนธ์ นาชิน, CISSP, CISA, CISM, GPEN, QSA, CCISO, CDMP
- 2 วันที่ผ่านมา
- ยาว 1 นาที
การกำหนด ดำเนินการ จัดการและรักษาโปรแกรมการกำกับดูแลความมั่นคงปลอดภัยข้อมูล (Information Security Governance Program)
การกำกับดูแลด้านความมั่นคงปลอดภัยสารสนเทศ (Information Security Governance) เป็นองค์ประกอบสำคัญที่ทุกองค์กรต้องให้ความสำคัญในยุคดิจิทัล เพื่อปกป้องสินทรัพย์ด้านข้อมูลและรักษาความเชื่อมั่นของผู้มีส่วนได้ส่วนเสีย บทความนี้จะกล่าวถึงองค์ประกอบสำคัญในการกำหนด ดำเนินการ จัดการและรักษาโปรแกรมการกำกับดูแลความมั่นคงปลอดภัยข้อมูล
เข้าใจปัจจัยขับเคลื่อนทางธุรกิจ (Business Drivers) ที่มีผลต่อการกำกับดูแลความมั่นคงปลอดภัยข้อมูล (Security Governance)
ก่อนที่จะเริ่มพัฒนาการกำกับดูแลความมั่นคงปลอดภัยข้อมูล (Security Governance) ผู้บริหารด้านความมั่นคงปลอดภัยสารสนเทศ (CISO) จำเป็นต้องเข้าใจปัจจัยขับเคลื่อนทางธุรกิจ ซึ่งหมายถึง เงื่อนไข กระบวนการ ข้อกำหนด หรือข้อกังวลอื่นๆ ที่มีอิทธิพลต่อวิธีที่องค์กรกำกับดูแลหรือจัดการกิจกรรมต่างๆ
CISO ต้องเข้าใจเหตุผลในการดำรงอยู่ขององค์กรและวิธีการดำเนินธุรกิจก่อนเริ่มกระบวนการพัฒนาการกำกับดูแลความมั่นคงปลอดภัยข้อมูล (Security Governance) โดยรูปแบบการจัดองค์กรธุรกิจ โครงสร้างลำดับชั้น อุตสาหกรรมที่องค์กรดำเนินงาน และระดับความเป็นมืออาชีพขององค์กร ล้วนมีอิทธิพลต่อการกำกับดูแลกิจการในองค์กร
รูปแบบการจัดองค์กรธุรกิจ (Forms of Business Organization)
รูปแบบการจัดองค์กรธุรกิจที่พบได้ทั่วไปมี 3 แบบ แต่ละแบบมีอิทธิพลต่อขอบเขตและความซับซ้อนของการกำกับดูแล (Governance) ภายในองค์กร ดังนี้:
1. ธุรกิจเจ้าของคนเดียว (Proprietorship)
เป็นรูปแบบการเป็นเจ้าของที่เรียบง่ายที่สุด เกิดขึ้นเมื่อบุคคลเพียงคนเดียวเป็นเจ้าของกิจการ
เจ้าของกำหนดภารกิจ วิสัยทัศน์ และวัตถุประสงค์ขององค์กรตามประสบการณ์และลำดับความสำคัญของตน
อำนาจในการตัดสินใจอยู่ที่บุคคลนี้เพียงคนเดียว
2. ห้างหุ้นส่วน (Partnership)
คล้ายกับธุรกิจเจ้าของคนเดียว แต่มีบุคคลตั้งแต่สองคนขึ้นไปที่แบ่งปันผลประโยชน์และความรับผิดชอบต่อหนี้สินที่เกี่ยวข้องกับการดำเนินงานขององค์กร
เปิดโอกาสให้เจ้าของรวมความรู้และประสบการณ์เข้าด้วยกัน
การกำกับดูแล (Governance) มีความซับซ้อนมากขึ้นเมื่อห้างหุ้นส่วนต้องพิจารณามุมมองและความต้องการของคนหลายคน
3. บริษัท (Corporation)
เป็นนิติบุคคลที่แยกออกจากเจ้าของ
การกำกับดูแล (Governance) เป็นไปโดยตรงเพราะเจ้าของต้องกำหนดกฎระเบียบสำหรับการดำเนินงานของบริษัทภายในข้อบังคับการจัดตั้งบริษัท
มูลค่าของผู้ถือหุ้นเป็นแรงขับเคลื่อนหลักของการกำกับดูแลความมั่นคงปลอดภัยข้อมูล (Security Governance) สำหรับบริษัท
อุตสาหกรรม (Industry)
อุตสาหกรรมที่องค์กรดำเนินงานอยู่มีผลต่อการกำกับดูแลกิจการ (Corporate Governance) โดยในการอภิปรายเกี่ยวกับการกำกับดูแล มักจะกล่าวถึงอุตสาหกรรมเพียงไม่กี่ประเภท เช่น ภาครัฐ ค้าปลีก สารสนเทศ และบริการทางการเงิน อย่างไรก็ตาม มีอุตสาหกรรมหลากหลายประเภท แต่ละประเภทมีข้อกังวลและข้อกำหนดเฉพาะอุตสาหกรรมที่ขับเคลื่อนการตัดสินใจในการกำกับดูแล (Governance)
ความเป็นมืออาชีพขององค์กร (Organizational Maturity)
ความเป็นมืออาชีพขององค์กรแตกต่างกันไปโดยไม่ขึ้นกับขนาดขององค์กรหรือโครงสร้างที่กำหนดไว้เพื่อจัดการกิจกรรม แนวคิดของความเป็นมืออาชีพสอดคล้องกับแบบจำลองการบูรณาการความเป็นมืออาชีพด้านความสามารถ (Capability Maturity Model Integration - CMMI) ซึ่งเป็นแบบจำลองกระบวนการที่กำหนดสิ่งที่องค์กรควรทำเพื่อส่งเสริมพฤติกรรมที่ช่วยให้การทำงานดีขึ้น
ระดับ CMMI (Capability Maturity Model Integration)
เริ่มต้น (Initial) - กระบวนการไม่สามารถคาดการณ์ได้ ควบคุมได้ไม่ดี และเป็นแบบตั้งรับ
จัดการได้ (Managed) - กระบวนการมีการกำหนดลักษณะสำหรับโครงการ แต่มักเป็นแบบตั้งรับ
กำหนดไว้ (Defined) - กระบวนการมีการกำหนดลักษณะทั่วทั้งองค์กรและเป็นแบบเชิงรุก
จัดการเชิงปริมาณ (Quantitatively Managed) - กระบวนการมีการวัดและควบคุม - เชิงรุก
ปรับให้เหมาะสม (Optimizing) - มุ่งเน้นการปรับปรุงกระบวนการและยกระดับกระบวนการที่มีอยู่
องค์กรจะเริ่มรับรู้ถึงประโยชน์ของการจับคู่กระบวนการกับมาตรฐานขององค์กรและการบรรลุความสอดคล้องกันทั่วทั้งองค์กรได้เมื่อถึง CMMI ระดับ 3 เท่านั้น
วิธีการแบบตั้งรับเปรียบเทียบกับแบบเชิงรุก (Reactive vs. Proactive Approaches)
แบบตั้งรับ (Reactive) | คุณลักษณะ (Attribute) | แบบเชิงรุก (Proactive) |
การทำเงินและผลตอบแทนของผู้ถือหุ้นระยะสั้น | โฟกัส (Focus) | ผลตอบแทนระยะยาวและทิศทางเชิงกลยุทธ์ |
ตอบสนองต่อปัญหาเฉพาะหน้า | ลำดับความสำคัญ (Priorities) | ใช้วิธีการเชิงป้องกัน |
การควบคุมรวมศูนย์ | การควบคุม (Control) | การควบคุมแบบกระจาย |
พึ่งพาสัญชาตญาณหรือประสบการณ์ของคนคนเดียวหรือกลุ่มเล็กๆ | การวิเคราะห์ (Analysis) | มุ่งเน้นข้อมูลเพื่อปรับปรุงกระบวนการ |
บุคลากรถือเป็นต้นทุน | บุคลากร (Personnel) | บุคลากรมีคุณค่าเป็นสินทรัพย์ |
การฝึกอบรมเป็นสวัสดิการหรือสิทธิพิเศษ | การฝึกอบรม (Training) | การฝึกอบรมเป็นสิ่งจำเป็นต่อความสำเร็จ |
ความไม่ไว้วางใจระหว่างผู้บริหารและพนักงาน | ภาวะผู้นำ (Leadership) | ผู้นำและบุคลากรร่วมมือและทำงานร่วมกัน |
สรุป
การพัฒนาโปรแกรมการกำกับดูแลความมั่นคงปลอดภัยข้อมูล (Security Governance Program) ที่มีประสิทธิภาพต้องคำนึงถึงหลายปัจจัย ทั้งรูปแบบการจัดองค์กรธุรกิจ อุตสาหกรรมที่องค์กรดำเนินงาน และระดับความเป็นมืออาชีพขององค์กร การเข้าใจปัจจัยเหล่านี้จะช่วยให้ CISO สามารถออกแบบและดำเนินการโปรแกรมการกำกับดูแล (Governance Program) ที่ตอบสนองความต้องการเฉพาะขององค์กรและส่งเสริมวัฒนธรรมด้านความมั่นคงปลอดภัยที่เข้มแข็ง
การมุ่งสู่วิธีการแบบเชิงรุกแทนที่แบบตั้งรับเป็นก้าวสำคัญในการยกระดับความเป็นมืออาชีพขององค์กรและเพิ่มประสิทธิภาพของโปรแกรมการกำกับดูแลความมั่นคงปลอดภัยข้อมูล (Security Governance Program) ในระยะยาว