กรุงเทพฯ--11 ก.พ.--เอพีพีอาร์ มีเดีย
รายงานการบริหารความเสี่ยงภัยด้านไอทีประจำปีจากไซแมนเทคเปิดเผยว่า ระบบไอทีถูกจัดการอย่างเป็นภาพรวมมากขึ้น และไม่ได้กระจุกตัวอยู่เฉพาะในด้านความปลอดภัยเพียงอย่างเดียว ส่วนปัญหาด้านข้อมูลรั่วไหลนั้นไม่ถูกใส่ใจจากองค์กรเท่าที่ควร ; และกระบวนการปฏิบัติด้านไอทีส่งผลกระทบต่อการดำเนินงานขององค์กรอย่างเห็นได้ชัด
ไซแมนเทค คอร์ปอเรชัน เปิดเผยรายงานการบริหารความเสี่ยงภัยด้านไอที ฉบับที่ 2 (Symantec IT Risk Management Report Vol. II) ที่บ่งชี้ถึงความสำคัญมากขึ้นของการบริหารความเสี่ยงด้านไอที ขณะเดียวกันก็ยังมีอีกหลายประเด็นที่ถูกเข้าใจผิดตลอดมา จากรายงานพบว่าผู้ที่เกี่ยวข้องส่วนใหญ่มักเลือกแนวทางที่ผสานความลงตัวระหว่างความพร้อมของระบบ ความปลอดภัย คอมไพลเอนซ์ (compliance) และความเสี่ยงที่อาจเกิดขึ้น อย่างไรก็ดีการบริหารความเสี่ยงภัยด้านไอทีด้วยความเข้าใจที่ไม่ถูกต้องอาจนำไปสู่ความผิดพลาดของระบบ และส่งผลกระทบต่อความต่อเนื่องในการดำเนินธุรกิจ รายงานฉบับดังกล่าวยังชี้ให้เห็นด้วยว่า เรื่องของกระบวนการปฏิบัตินั้นเป็นต้นตอของปัญหาด้านไอทีกว่า 53 เปอร์เซ็นต์ ขณะเดียวกันฝ่ายไอทีเองก็มักคาดการณ์อัตราการรั่วไหลข้อมูลขององค์กรได้ไม่ถูกต้องนัก
รายงานฉบับสมบูรณ์นี้เป็นการสำรวจความคิดเห็นจากมืออาชีพด้านไอทีกว่า 400 คนทั่วโลก ที่ให้ความเห็นเกี่ยวกับประเด็นสำคัญและแนวโน้มในอนาคต รวมไปถึงการวิเคราะห์และเผยแพร่ความเข้าใจผิด 4 ประการเกี่ยวกับความเสี่ยงด้านไอที อันได้แก่ความเชื่อที่ว่า:
- การบริหารความเสี่ยงภัยด้านไอทีมักเน้นประเด็นไปที่ด้านความปลอดภัย
- การบริหารความเสี่ยงภัยด้านไอทีเป็นแค่โครงการหนึ่งในองค์กร
- เทคโนโลยีเพียงอย่างเดียวก็สามารถรับมือกับความเสี่ยงภัยด้านไอทีได้
- กรบริหารความเสี่ยงภัยด้านไอทีเป็นเรื่องที่มีหลักเกณฑ์ชัดเจน
ความเชื่อที่หนึ่ง: ความเสี่ยงภัยด้านไอทีก็คือภัยด้านความปลอดภัย
จากความเชื่อดั้งเดิมที่ว่าความเสี่ยงภัยด้านไอทีมักเน้นไปที่ปัญหาด้านความปลอดภัยของระบบเป็นหลักนั้น จากรายงานล่าสุดพบว่าผู้เชี่ยวชาญด้านไอทีมีมุมมองที่เปิดกว้างต่อปัญหาต่างๆ มากขึ้น โดยพบว่า 78 เปอร์เซ็นต์จัดระดับปัญหาด้านความพร้อมของระบบอยู่ในระดับ "วิกฤต" หรือ "รุนแรง" เมื่อเทียบกับปัญหาด้านความปลอดภัย สมรรถนะของระบบ และด้านคอมไพลเอนซ์ ที่อัตราส่วนร้อยละ 70 ร้อยละ 68 และร้อยละ 63 ตามลำดับ โดยมีเพียง 15 เปอร์เซ็นต์ของผู้เชี่ยวชาญด้านไอทีที่จัดระดับคะแนนความเสี่ยงแบบสูงต่ำอย่างชัดเจนต่อประเด็นต่างๆ ทำให้เห็นได้ชัดว่าส่วนใหญ่แล้วผู้เชี่ยวชาญเหล่านี้มักมีมุมมองต่อความเสี่ยงภัยด้านไอทีที่มีความสมดุลย์มากกว่าเดิมซึ่งเคยเน้นเฉพาะเรื่องความปลอดภัยของระบบเท่านั้น
"เป็นเรื่องที่น่าสนใจอย่างยิ่งที่ในรายงานจากไซแมนเทคพบว่า องค์กรส่วนใหญ่มองความเสี่ยงภัยด้านไอทีในมุมที่กว้างกว่าแค่เรื่องความปลอดภัย แต่ยังรวมไปถึงเรื่องความพร้อมและสมรรถนะของระบบด้วย" จอน โอลท์สิค นักวิเคราะห์อาวุโสของ เอ็นเตอร์ไพรส์สแตรทิจี้กรุ๊ป กล่าว "ภายใต้โลกแห่งการเชื่อมต่อทุกวันนี้ องค์กรธุรกิจได้เริ่มเข้าใจว่าความผิดพลาดของระบบในด้านต่างๆ บนระบบไอทีจะส่งผลกระทบต่อการดำเนินธุรกิจโดยตรง"
รายงานดังกล่าวยังระบุด้วยว่า ความเสี่ยงด้านความปลอดภัยและคอมไพลเอนซ์กำลังเป็นที่ได้รับความใส่ใจ เพราะเป็นปัญหาที่เห็นผลกระทบได้อย่างชัดเจน โดย 63 เปอร์เซ็นต์ของผู้ตอบแบบสอบถามจัดให้ปัญหาข้อมูลรั่วไหลอยู่ในระดับรุนแรง อย่างไรก็ดี ความเสี่ยงด้านความพร้อมของระบบนั้นกำลังเป็นประเด็นที่ถูกจับตามากที่สุด เพราะปัญหาดังกล่าวเกี่ยวเนื่องต่อห่วงโซ่คุณค่า (value chain) ขององค์กร และสามารถสร้างผลกระทบต่อธุรกิจระดับหลายล้านดอลลาร์สหรัฐฯ แม้จะมีสาเหตุมาจากเพียงแค่ปัญหาด้านสมรรถนะของระบบเพียงเล็กน้อย อย่างเช่นที่นักวิจัยจากดาร์ทเมาธ์และมหาวิทยาลัยแห่งมลรัฐเวอร์จิเนีย ได้คาดคะเนสมมติฐานบนเครือข่าย SCADA (Supervisory Control And Data Acquisition) ในยามที่เกิดความผิดพลาด ณ โรงกลั่นน้ำมันว่า จะส่งผลกระทบต่อธุรกิจคิดเป็นมูลค่าประมาณ 405 ล้านดอลลาร์สหรัฐฯ โดยในจำนวนนี้เป็นความเสียหายอันเกิดขึ้นโดยตรงกับโรงกลั่นน้ำมัน 255 ล้านดอลลาร์สหรัฐฯ และมูลค่าความเสียหายที่เหลือจะส่งผลกระทบต่อเนื่องไปตามห่วงโซ่อุปทาน (supply chain) ที่เกี่ยวข้อง (http://www.ists.dartmouth.edu/library/207.pdf)
ความเชื่อที่สอง: การบริหารความเสี่ยงภัยด้านไอทีจบลงได้ที่โปรเจ็กต์เดียว
ความเชื่อที่ว่าการบริหารความเสี่ยงภัยด้านไอทีเป็นเพียงแค่หนึ่งโปรเจ็กต์ในองค์กร หรือเป็นการใช้งบประมาณต่อเนื่องส่วนหนึ่งของบริษัทในช่วงระหว่างปี ถือเป็นการมองข้ามสภาพที่แท้จริงของความเสี่ยงภัยด้านไอทีที่พลิกผันเปลี่ยนแปลงอยู่ตลอดเวลา ทั้งภัยจากภายในและภายนอก ทั้งนี้ไม่ว่าจะเป็นในประเด็นด้านความปลอดภัย คอมไพลเอนซ์ ความพร้อมของระบบ และสมรรถนะของระบบ ล้วนแต่ส่งผลกระทบต่อองค์กรได้ในระดับที่ต้องจับตา โดยจากรายงานได้เปิดเผยถึงความถี่ในการเกิดเหตุการณ์ต่างๆ กับระบบไอทีที่น่าสนใจ ดังนี้:
- 69 เปอร์เซ็นต์พบปัญหาระดับเล็กบนระบบไอทีหนึ่งครั้งต่อเดือน
- 63 เปอร์เซ็นต์พบปัญหาความผิดพลาดระดับรุนแรงอย่างน้อยหนึ่งครั้งต่อปี
- 26 เปอร์เซ็นต์พบปัญหาระบบไอทีที่ไม่สอดคล้องตามมาตรฐานคอมไพลเอนซ์อย่างน้อยหนึ่งครั้งต่อปี
- 25 เปอร์เซ็นต์พบปัญหาข้อมูลรั่วไหลอย่างน้อยหนึ่งครั้งต่อปี
จากรายงานยังพบด้วยว่า องค์กรที่มีประสิทธิภาพมักดำเนินแนวทางในระดับภาพรวม อย่างไรก็ดียังมีอีกหลายองค์กรที่ดูเหมือนว่าจะประสบความล้มเหลวในการดำเนินการตามแผนงานบริหารความเสี่ยง เช่น การจัดแบ่งแยกประเภทและการบริหารสินทรัพย์ด้านไอที โดยมีเพียง 40 เปอร์เซ็นต์ของผู้ถูกสำรวจทั้งหมดเท่านั้นที่ให้คะแนนองค์กรของตนเองในประสิทธิภาพด้านนี้มากกว่าระดับ 75 เปอร์เซ็นต์ นอกจากนี้มีเพียง 34 เปอร์เซ็นต์ของผู้ถูกสำรวจที่เชื่อว่าระบบจัดการสินทรัพย์ดังกล่าวทันสมัยเพียงพอที่จะรองรับอุปกรณ์ไร้สายและโมบายประเภทต่างๆ ซึ่งล้วนเป็นองค์ประกอบสำคัญในโลกธุรกิจปัจจุบัน
ความเชื่อที่สาม: เทคโนโลยีอย่างเดียวก็เพียงพอที่จะช่วยลดความเสี่ยงภัยด้านไอที
จริงอยู่ที่เทคโนโลยีนั้นมีบทบาทสำคัญในการบรรเทาความเสี่ยงภัยด้านไอที แต่บุคลากรและกระบวนการเองก็ต้องถูกดูแลให้รองรับเทคโนโลยีเพื่อให้เกิดประสิทธิผลสูงสุดในการบริหารความเสี่ยงภัยด้านไอทีด้วยเช่นกัน จากรายงานพบว่า กระบวนการปฏิบัตินั้นก่อให้เกิดปัญหาด้านไอทีสูงถึง 53 เปอร์เซ็นต์ แต่ที่แย่กว่านั้นก็คือเมื่อเปรียบเทียบกับตัวเลขจากรายงานฉบับแรก บ่งชี้ให้เห็นว่าประเด็นการควบคุมดูแลที่เหมาะสมเริ่มถูกละเลยมากขึ้น ตัวอย่างเช่น อัตราส่วนของผู้ถูกสอบถามที่ให้คะแนนตนเองในด้านประสิทธิภาพมากกว่า 75 เปอร์เซ็นต์ในส่วนของการอบรบและให้ความรู้ด้านความปลอดภัย มีปริมาณลดลงจาก 50 เปอร์เซ็นต์ในรายงานฉบับแรก เหลือเพียง 43 เปอร์เซ็นต์ในรายงานฉบับนี้ เช่นเดียวกับการควบคุมด้านสินทรัพย์บนระบบไอทีที่มีการปรับปรุงที่ดีขึ้นเพียงเล็กน้อย ท้ายสุดมีเพียง 43 เปอร์เซ็นต์ของผู้ตอบแบบสอบถามที่ให้คะแนนตนเองในด้านประสิทธิภาพของการบริหารวงจรสารสนเทศในองค์กรในระดับที่มากกว่า 75 เปอร์เซ็นต์ คิดเป็นปริมาณที่ลดลงถึง 17 เปอร์เซ็นต์เมื่อเทียบกับรายงานฉบับก่อน จุดอ่อนที่เห็นได้ชัดก็คือมาตรการควบคุมต่างๆ มักถูกนำไปปฏิบัติด้วยระดับความสำคัญที่เท่ากันต่อสินทรัพย์ทุกประเภท ทำให้ระบบ กระบวนการ และองค์ประกอบบางส่วนได้รับความใส่ใจที่มากเกินจำเป็น ในขณะที่บางอย่างที่สำคัญกว่ากลับขาดการปกป้องที่เหมาะสม ซึ่งล้วนส่งผลต่อต้นทุนและประสิทธิภาพในการให้บริการระบบไอทีในภาพรวม ส่วนตัวเลขที่ดูดีขึ้นในรายงานฉบับที่สองครั้งนี้ก็คือ การที่มีผู้ถูกสอบถามที่ให้คะแนนตนเองในด้านการติดตั้งแอพพลิเคชันด้านความปลอดภัยในระดับที่มากกว่า 75 เปอร์เซ็นต์ เพิ่มขึ้นกว่ารายฉบับแรกถึงร้อยละ 10 ทำให้เห็นได้ชัดว่าการบริหารจัดการกับปัญหาดังกล่าวกำลังได้รับความใส่ใจมากขึ้นจากองค์กรต่างๆ
เกี่ยวกับ ไซแมนเทค
ไซแมนเทค เป็นผู้นำระดับโลกด้านโซลูชันที่ช่วยสร้างความมั่นใจให้แก่องค์กรและผู้บริโภคภายใต้โลกที่เชื่อมต่อถึงกัน และยังช่วยปกป้องโครงสร้างพื้นฐานระบบไอที ข้อมูลสารสนเทศ และการติดต่อสื่อสารระหว่างกัน ด้วยซอฟต์แวร์และบริการที่ช่วยจัดการความเสี่ยงด้านความปลอดภัย ความพร้อมของระบบ คอมไพลเอนซ์ และสมรรถนะ โดยมีสำนักงานใหญ่อยู่ที่คิวเปอร์ติโน มลรัฐแคลิฟอร์เนีย และมีศูนย์ปฏิบัติการในกว่า 40 ประเทศ สำหรับรายละเอียดเพิ่มเติมสามารถเยี่ยมชมได้ที่ www.symantec.com
สอบถามข้อมูลเพิ่มเติม กรุณาติดต่อ:
คุณฐิติมา ราชสมบัติ,คุณบุษกร ศรีสงเคราะห์
ที่ปรึกษาฝ่ายประชาสัมพันธ์ บริษัท เอพีพีอาร์ มีเดีย จำกัด
โทรศัพท์ : 0-2655-6633, 085-360-7224 , 081-911-0931
โทรสาร: 0-2655-3560 Email: Thitima@apprmedia.com,Busakorn@apprmedia.com