2. เวิร์ม Worm
3. ม้าโทรจัน Trojan Horses
4. ลอจิกบอมบ์ Logic Bomb
5. มาตรการควบคุม Control Measures
6. การควบคุมการเข้าถึง Access Controls
7. ไฟร์วอล Firewall
8. การพิสูจน์ตัวตน Authentication
9. การเข้ารหัส Encryption
10. เพลนเท็กซ์ Plaintext
วันอังคารที่ 17 พฤศจิกายน พ.ศ. 2558
บทที่ 12 คำศัพท์
1. ภัยธรรมชาติ Natural Disasters
2. เวิร์ม Worm
3. ม้าโทรจัน Trojan Horses
4. ลอจิกบอมบ์ Logic Bomb
5. มาตรการควบคุม Control Measures
6. การควบคุมการเข้าถึง Access Controls
7. ไฟร์วอล Firewall
8. การพิสูจน์ตัวตน Authentication
9. การเข้ารหัส Encryption
10. เพลนเท็กซ์ Plaintext
2. เวิร์ม Worm
3. ม้าโทรจัน Trojan Horses
4. ลอจิกบอมบ์ Logic Bomb
5. มาตรการควบคุม Control Measures
6. การควบคุมการเข้าถึง Access Controls
7. ไฟร์วอล Firewall
8. การพิสูจน์ตัวตน Authentication
9. การเข้ารหัส Encryption
10. เพลนเท็กซ์ Plaintext
บทที่ 12 เรื่องที่ 3 ความเสี่ยงการปฏิบัติการออนไลน์
ความหมายและความสำคัญของการจัดการความเสี่ยง
การจัดการความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ วิเคราะห์ ประเมิน ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง
เมื่อเทคโนโลยีสารสนเทศก้าวเข้ามามีบทบาทสำคัญในฐานะกลไกลอันทรงพลังในการขับเคลื่อนโลกของเราให้หมุนไปอย่างไม่หยุดยั้ง ทุกกิจกรรมที่เกิดขึ้นบนโลกนี้ล้วนแต่มีความเกี่ยวข้องกับเทคโนโลยีสารสนเทศแทบทั้งสิ้น ในแต่ละวัน ข้อมูลนับล้านถูกส่งผ่านเครือข่ายเทคโนโลยีสารสนเทศ เพื่ออำนวยความสะดวกให้กับการดำเนินชีวิตประจำวัน และโดยเฉพาะอย่างยิ่ง “การประกอบธุรกิจ”
แต่ในปัจจุบัน “ข้อมูล” ซึ่งถือเป็นทรัพย์สินอันทรงคุณค่ามหาศาลต่างตกอยู่ในภาวะเสี่ยงต่อการถูกล่วงละเมิด ถูกทำให้เสียหาย หรือเสียหาย และถูกนำไปใช้ในทางที่ผิด ทั้งจากบุคคลภายในและภายนอกองค์กร โดยเจตนา หรือไม่เจตนาก็ตาม ดังนั้น หนทางที่ดีที่สุดในการแก้ปัญหานี้ จึงควรเริ่มตั้งแต่การบริหารจัดการองค์กรให้ได้มาตรฐานด้านความปลอดภัย ซึ่งก็คือ การจัดการความเสี่ยงในองค์กร นั่นเอง
ความหมายของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร
การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทำงานที่ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์ และการดำเนินธุรกิจ ระหว่างมาตรการในการป้องกันและการบรรลุผลสำเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศและข้อมูลสำคัญ ซึ่งจะช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กร
กระบวนการบริหารจัดการความเสี่ยง
กระบวนการนี้ประกอบด้วย 5 ขั้นตอน ดังนี้
1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและการประเมินค่าความเสี่ยง
1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้
▫ การชี้ระบุความเสี่ยง (Risk identification)
▫ ลักษณะรายละเอียดของความเสี่ยง (Risk description)
▫ การประมาณความเสี่ยง (Risk estimation)
1.2 ประเมินค่าความเสี่ยง (Risk evaluation)
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
3. กระบวนการบำบัดความเสี่ยง (Risk treatment)
4. การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
5. การเฝ้าสังเกต (Monitoring)
การประเมินความเสี่ยง (Risk assessment)
1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ
กระบวนการที่ 1 การชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา
ตัวอย่างที่มาของสิ่งคุกคามด้านสารสนเทศ
1. ด้านกายภาพและสิ่งแวดล้อม (physical and environmental threats)
- การปนเปื้อน (contamination) จากสารเคมี สิ่งสกปรก หรือรังสี เป็นต้น
- เหตุการณ์แผ่นดินไหว (earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (extremes of temperature and humidity) เช่น ร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (power supply failure or fluctuations)
- ไฟไหม้ (fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (storm)
- สัตว์ เช่นสัตว์กัดแทะ (vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (malicious destruction of data and facilities)
2. ด้านระบบ (systems threats)
- แฮ็กเกอร์ (hackers)
- การโจมตีเพื่อห้ามการบริการ [Denial of Service (DoS) attacks]
- การแอบฟัง (eavesdropping)
- การประท้วงหยุดงานของพนักงาน (industrial action)
- คำสั่งเจตนาร้าย (malicious code)
- การอำพรางหรือสวมรอย (masquerade)
- การปฏิเสธไม่ยอมรับ (repudiation)
- การก่อวินาศกรรม (sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต(unauthorized data access, dial-in access, or software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (software/programming errors)
- ความล้มเหลวทางเทคนิค (technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (transmission errors)
3. ด้านการบริหารจัดการ (administrative threats)
- การสังคมวิศวกรรม (social engineering)
- การลักทรัพย์และการฉ้อฉล (theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (use of pirated software)
- การแทรกแซงเว็บไซต์ (website intrusion)
การชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ ร่วมกันดังนี้ เช่น
1. การระดมสมอง (brain storming)
2. การออกแบบสอบถาม (questionnaire)
3. การวิเคราะห์กระบวนการทำงานหรือกิจกรรมในภารกิจ (business process analysis)
4. การวิเคราะห์สภาพการณ์เหตุการณ์ละเมิดความมั่นคง (scenario analysis)
5. การประชุมเชิงปฏิบัติการด้านการประเมินความเสี่ยง (risk assessment workshop)
6. การสืบสวนเหตุการณ์ละเมิดความมั่นคงสารสนเทศ (incident investigation)
7. การตรวจสอบและการตรวจสภาพระบบ (auditing and inspection)
8. การวิเคราะห์ HAZOP (hazard and operability studies)
9. การวิเคราะห์สถานการณ์ (SWOT analysis)
กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ยง (description of risk) เมื่อชี้ระบุความเสี่ยงได้แล้ว และนำมาบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่
- ชื่อความเสี่ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ยง (Nature)
- ผู้ที่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ยง
- การบำบัดและการควบคุม
- แนวทางการปรับปรุง
- การพัฒนากลยุทธ์และนโยบาย
กระบวนการที่ 3 การประมานความเสี่ยง (risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่ของโอกาสการเกิดเหตุ (incident) หรือเหตุการณ์ (event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใด
โอกาส หรือ ความน่าจะเป็น (Probability) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์ อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น
- บ่อย (frequent) พบได้บ่อยครั้งเป็นประจำ
- ประปราย (probable)
- ตามโอกาส (occasional)
- น้อยครั้งมาก (remote)
- แทบไม่เกิดเลย (improbable)
ความรุนแรงของสิ่งที่เกิดขึ้นตามมา (Severity of consequence) อาจแบ่งเป็น 4 ระดับคือ
- สูงมาก (severe)
- สูง (high)
- ปานกลาง (moderate)
- ต่ำ (low)
2. การประเมินค่าความเสี่ยง (Risk evaluation)
เมื่อได้ความเสี่ยง โดยมีรายละเอียด, การประมาณเชิงกึ่งปริมาณเป็นแมทริกซ์แล้ว จึงนำมาประเมินค่าความเสี่ยงโดยการเปรียบเทียบกับหลักเกณฑ์ความเสี่ยงที่ยอมรับได้
หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น
- ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (costs and benefits)
- ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors)
- ปัจจัยด้านสิ่งแวดล้อม (environmental factors)
- ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (concerns of stakeholders)
- อื่นๆ
การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ดังต่อไปนี้
ฝ่ายบริหาร ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่
- เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ
- ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ
- ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล
- ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง
หัวหน้างาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร
- มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่
ผู้ปฏิบัติงาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- เข้าในบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยวงแต่ละรายการ
- เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง
- เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง
กระบวนการบำบัดความเสี่ยง (Risk treatment)
เมื่อผู้บริหารได้รับรายงานการประเมินความเสี่ยงแล้วจำเป็นต้องทำการตัดสินใจ โดยพิจารณาจากหลักเกณฑ์การยอมรับความเสี่ยงที่องค์กรมีอยู่ว่าจะยอมรับโดยไม่ทำอะไร หรือจะดำเนินการบำบัดความเสี่ยง ซึ่งได้แก่กระบวนการดังต่อไปนี้
1. การยอมรับความเสี่ยง (acceptance) เป็นการยอมรับในความเสี่ยงโดยไม่ทำอะไร และยอมรับในผลที่อาจตามมา เช่น การพิสูจน์ตัวจริงเพียงใช้ id/ password มีความเสี่ยงเพราะอาจมีการขโมยไปใช้ได้ การให้มีใช้
ชีวมาตร (biometrics) เช่น การตรวจลายนิ้วมือหรือม่านตา อาจมีค่าใช้จ่ายสูงไม่คุ้มค่า โรงพยาบาลอาจยอมรับความเสี่ยงของระบบปัจจุบันและทำงานต่อไปโดยไม่ทำอะไร
2. การเลี่ยงความเสี่ยง (avoidance) การหลีกเลี่ยงความเสี่ยง เช่น เมื่อพบว่าปัจจุบันโรงพยาบาล มีการสำรองข้อมูลเพียง 1 ชุดและจัดเป็นความเสี่ยงต่อการสูญเสีย การเลี่ยงความเสี่ยงนี้อาจได้แก่การทำสำรองข้อมูล
2 ชุด และแยกเก็บในสถานที่ต่างกัน การบริหารจัดการการเชื่อมโยงสู่เครือข่ายผ่านโมเด็ม ถ้าเป็นการยากต่อการควบคุมหรือบริหารจัดการ องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริการ และแนะนำให้พนักงานใช้บริการผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่างหนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง Antivirus เป็นต้น
3. การโอนย้ายความเสี่ยง (transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ทำงาน องค์กรอาจเลือกซื้อประกัน หรือสัญญาการบำรุงรักษาหลังขาย (Maintenance service) เป็นต้น
4. การลดความเสี่ยง (reduction) ได้แก่การมีมาตรการควบคุมมากชนิดขึ้น หรือชนิดที่เข้มงวดมากขึ้นเพื่อลดความเสี่ยง เช่น การใช้ชีวมาตร (biometrics) เพื่อใช้ในการพิสูจน์ตัวจริง นอกเหนือไปจากการใช้ id/ password ที่มีอยู่เดิม
การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
เมื่อมีการบำบัดความเสี่ยงแล้ว จำเป็นต้องมีการรายงานและทบทวนอยู่เสมอเพื่อดูว่ามีการประเมิน และการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายในหรือภายนอกทำการตรวจสอบโดยกระบวนการ IT auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจำเป็นต้องมีการบริหารความเสี่ยงและการตรวจสอบเป็นประจำ
การเฝ้าสังเกต (Monitoring)
กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่างๆ ที่จำเป็นและเหมาะสมสำหรับการบริหารความเสี่ยงต่างๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตามและบังเกิดผลจริง ดังนั้น กระบวนการเฝ้าสังเกตพึงพิจารณาว่า
- ได้มีการปฏิบัติตามมาตรการต่างๆและบังเกิดผล
- กระบวนงานที่กำหนดขึ้นมาสามารถปฏิบัติได้จริง
- มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง
บทสรุป
การบริหารจัดการความเสี่ยง มีบทบาทสำคัญในการปกป้องข้อมูลและระบบเครือข่ายคอมพิวเตอร์ที่เป็นสินทรัพย์ขององค์กร และยังรวมถึงการปกป้อง “พันธกิจ” ขององค์กรให้รอดพ้นจากความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย ขั้นตอนในการบริหารจัดการความเสี่ยงควรจัดให้อยู่ในความรับผิดชอบหลักของฝ่ายเทคนิค ซึ่งมีผู้เชี่ยวชาญทางด้านเทคโนโลยีสารสนเทศเป็นผู้บริหาร และฝ่ายบริหารขององค์กร
องค์กรจะต้องมีกระบวนการในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมและได้มาตรฐาน เพื่อปกป้ององค์กรจากความเสียหายที่อาจเกิดขึ้นได้จากความเสี่ยง และเพื่อความสามารถในการดำเนินพันธกิจขององค์กรให้บรรลุผลสำเร็จ ไม่ใช่แค่เพียงการปกป้องสินทรัพย์เทคโนโลยีสารสนเทศหรือองค์กรเพียงเท่านั้น
การจัดการความเสี่ยง (Risk Management) คือ กระบวนการในการระบุ วิเคราะห์ ประเมิน ดูแล ตรวจสอบ และควบคุมความเสี่ยงที่สัมพันธ์กับกิจกรรม หน้าที่และกระบวนการทำงาน เพื่อให้องค์กรลดความเสียหายจากความเสี่ยงมากที่สุด อันเนื่องมาจากภัยที่องค์กรต้องเผชิญในช่วงเวลาใดเวลาหนึ่ง
เมื่อเทคโนโลยีสารสนเทศก้าวเข้ามามีบทบาทสำคัญในฐานะกลไกลอันทรงพลังในการขับเคลื่อนโลกของเราให้หมุนไปอย่างไม่หยุดยั้ง ทุกกิจกรรมที่เกิดขึ้นบนโลกนี้ล้วนแต่มีความเกี่ยวข้องกับเทคโนโลยีสารสนเทศแทบทั้งสิ้น ในแต่ละวัน ข้อมูลนับล้านถูกส่งผ่านเครือข่ายเทคโนโลยีสารสนเทศ เพื่ออำนวยความสะดวกให้กับการดำเนินชีวิตประจำวัน และโดยเฉพาะอย่างยิ่ง “การประกอบธุรกิจ”
แต่ในปัจจุบัน “ข้อมูล” ซึ่งถือเป็นทรัพย์สินอันทรงคุณค่ามหาศาลต่างตกอยู่ในภาวะเสี่ยงต่อการถูกล่วงละเมิด ถูกทำให้เสียหาย หรือเสียหาย และถูกนำไปใช้ในทางที่ผิด ทั้งจากบุคคลภายในและภายนอกองค์กร โดยเจตนา หรือไม่เจตนาก็ตาม ดังนั้น หนทางที่ดีที่สุดในการแก้ปัญหานี้ จึงควรเริ่มตั้งแต่การบริหารจัดการองค์กรให้ได้มาตรฐานด้านความปลอดภัย ซึ่งก็คือ การจัดการความเสี่ยงในองค์กร นั่นเอง
ความหมายของการจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร
การจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสาร คือ กระบวนการการทำงานที่ช่วยให้ IT Managers สามารถสร้างความสมดุลของต้นทุนเชิงเศรษฐศาสตร์ และการดำเนินธุรกิจ ระหว่างมาตรการในการป้องกันและการบรรลุผลสำเร็จของพันธกิจ ด้วยการปกป้องระบบเทคโนโลยีสารสนเทศและข้อมูลสำคัญ ซึ่งจะช่วยสนับสนุนความสำเร็จของการบรรลุพันธกิจขององค์กร
กระบวนการบริหารจัดการความเสี่ยง
กระบวนการนี้ประกอบด้วย 5 ขั้นตอน ดังนี้
1. การประเมินความเสี่ยง (Risk assessment) ประกอบด้วยกระบวนการวิเคราะห์ความเสี่ยงและการประเมินค่าความเสี่ยง
1.1 การวิเคราะห์ความเสี่ยง (Risk analysis) ประกอบด้วย 3 ขั้นตอนดังนี้
▫ การชี้ระบุความเสี่ยง (Risk identification)
▫ ลักษณะรายละเอียดของความเสี่ยง (Risk description)
▫ การประมาณความเสี่ยง (Risk estimation)
1.2 ประเมินค่าความเสี่ยง (Risk evaluation)
2. การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
3. กระบวนการบำบัดความเสี่ยง (Risk treatment)
4. การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
5. การเฝ้าสังเกต (Monitoring)
การประเมินความเสี่ยง (Risk assessment)
1. การวิเคราะห์ความเสี่ยง การวิเคราะห์ความเสี่ยงประกอบด้วย 3 กระบวนการ คือ
กระบวนการที่ 1 การชี้ระบุความเสี่ยง (Risk identification) เป็นการชี้ให้เห็นถึงปัญหาความไม่แน่นอนที่องค์กรเผชิญอยู่ กระบวนการนี้จำเป็นต้องอาศัยความรู้ความเข้าใจองค์กร ภารกิจและกิจกรรม สิ่งแวดล้อมด้านกฎหมาย สังคม การเมืองและวัฒนธรรม พัฒนาการและปัจจัยที่มีต่อความสำเร็จขององค์กร รวมทั้งโอกาสและสิ่งคุกคามที่มีต่อองค์กร การชี้ระบุความเสี่ยงควรได้ดำเนินการอย่างทั่วถึงครอบคลุมกิจกรรมในทุกๆ ด้านขององค์กร สาเหตุสำคัญของความเสี่ยงคือการมีสิ่งคุกคาม (Threat) ที่อาจส่งผลให้เกิดการละเมิดความมั่นคงสารสนเทศและส่งผลเสียตามมา
ตัวอย่างที่มาของสิ่งคุกคามด้านสารสนเทศ
1. ด้านกายภาพและสิ่งแวดล้อม (physical and environmental threats)
- การปนเปื้อน (contamination) จากสารเคมี สิ่งสกปรก หรือรังสี เป็นต้น
- เหตุการณ์แผ่นดินไหว (earthquake)
- การรบกวนทางอิเล็กทรอนิกส์ (electronic interference)
- ภาวะอุณหภูมิและความชื้นสุดขั้ว (extremes of temperature and humidity) เช่น ร้อนหรือเย็นหรือความชื้นสูงหรือต่ำ เกินไป
- แหล่งกำเนิดไฟฟ้าขัดข้องหรือแรงดันไฟฟ้ากระเพื่อม (power supply failure or fluctuations)
- ไฟไหม้ (fire) จากอุบัติเหตุไฟฟ้าลัดวงจร การวางเพลิง หรืออื่นๆ
- น้ำท่วม (flood) จากกระแสน้ำ ฝนตกหลังคารั่ว หรือท่อน้ำชำรุดแตก
- พายุ (storm)
- สัตว์ เช่นสัตว์กัดแทะ (vermin) ประเภทหนู และสัตว์อื่นๆเช่น แมลง เป็นต้น
- การทำลายระบบและข้อมูลโดยเจตนาร้าย (malicious destruction of data and facilities)
2. ด้านระบบ (systems threats)
- แฮ็กเกอร์ (hackers)
- การโจมตีเพื่อห้ามการบริการ [Denial of Service (DoS) attacks]
- การแอบฟัง (eavesdropping)
- การประท้วงหยุดงานของพนักงาน (industrial action)
- คำสั่งเจตนาร้าย (malicious code)
- การอำพรางหรือสวมรอย (masquerade)
- การปฏิเสธไม่ยอมรับ (repudiation)
- การก่อวินาศกรรม (sabotage)
- การเข้าถึงข้อมูล การเข้าถึงโดยใช้โมเด็ม หรือการเปลี่ยนแปลงข้อมูล โดยไม่ได้รับอนุญาต(unauthorized data access, dial-in access, or software changes)
- ความล้มเหลวในด้านการสื่อสารหรือการบริการภายนอก (failure of communications services or outsourced operations)
- การส่งข้อความผิดเส้นทางหรือส่งซ้ำ (misrouting/re-routing of messages)
- ความผิดพลาดของซอฟต์แวร์หรือการเขียนโปรแกรม (software/programming errors)
- ความล้มเหลวทางเทคนิค (technical failures)
- ความผิดพลาดด้านการส่งผ่านข้อมูล (transmission errors)
3. ด้านการบริหารจัดการ (administrative threats)
- การสังคมวิศวกรรม (social engineering)
- การลักทรัพย์และการฉ้อฉล (theft and fraud)
- การใช้โปรแกรมละเมิดลิขสิทธิ์ (use of pirated software)
- การแทรกแซงเว็บไซต์ (website intrusion)
การชี้ระบุความเสี่ยง (Risk identification) อาจพิจารณาถึงเหตุการณ์หรือสิ่งที่เคยเกิดขึ้นมาแล้วในอดีตกับองค์กรนั้น หรือองค์กรอื่นใด หรืออาจเป็นสิ่งที่มีความเป็นไปได้ว่าจะเกิดขึ้นแม้ไม่เคยเกิดขึ้นมาก่อนก็ได้ กระบวนการในชี้ระบุความเสี่ยงอาจใช้วิธีการต่างๆ ร่วมกันดังนี้ เช่น
1. การระดมสมอง (brain storming)
2. การออกแบบสอบถาม (questionnaire)
3. การวิเคราะห์กระบวนการทำงานหรือกิจกรรมในภารกิจ (business process analysis)
4. การวิเคราะห์สภาพการณ์เหตุการณ์ละเมิดความมั่นคง (scenario analysis)
5. การประชุมเชิงปฏิบัติการด้านการประเมินความเสี่ยง (risk assessment workshop)
6. การสืบสวนเหตุการณ์ละเมิดความมั่นคงสารสนเทศ (incident investigation)
7. การตรวจสอบและการตรวจสภาพระบบ (auditing and inspection)
8. การวิเคราะห์ HAZOP (hazard and operability studies)
9. การวิเคราะห์สถานการณ์ (SWOT analysis)
กระบวนการที่ 2 ลักษณะรายละเอียดของความเสี่ยง (description of risk) เมื่อชี้ระบุความเสี่ยงได้แล้ว และนำมาบรรยายรายละเอียดและลักษณะของความเสี่ยงนั้น ได้แก่
- ชื่อความเสี่ยง (Name)
- ขอบเขต (Scope)
- ลักษณะความเสี่ยง (Nature)
- ผู้ที่มีผลกระทบ
- ลักษณะเชิงประมาณ
- การยอมรับความเสี่ยง
- การบำบัดและการควบคุม
- แนวทางการปรับปรุง
- การพัฒนากลยุทธ์และนโยบาย
กระบวนการที่ 3 การประมานความเสี่ยง (risk estimation) ขั้นตอนนี้เป็นการดูปัญหาความเสี่ยงในแง่ของโอกาสการเกิดเหตุ (incident) หรือเหตุการณ์ (event) ว่ามีมากน้อยเพียงไรและผลที่ติดตามมาว่ามีความรุนแรงหรือเสียหายมากน้อยเพียงใด
โอกาส หรือ ความน่าจะเป็น (Probability) หรือความบ่อยครั้งของการเกิดเหตุหรือเหตุการณ์ อาจแบ่งแบบง่ายๆเป็น 5 ระดับจากน้อยไปหามาก เช่น
- บ่อย (frequent) พบได้บ่อยครั้งเป็นประจำ
- ประปราย (probable)
- ตามโอกาส (occasional)
- น้อยครั้งมาก (remote)
- แทบไม่เกิดเลย (improbable)
ความรุนแรงของสิ่งที่เกิดขึ้นตามมา (Severity of consequence) อาจแบ่งเป็น 4 ระดับคือ
- สูงมาก (severe)
- สูง (high)
- ปานกลาง (moderate)
- ต่ำ (low)
2. การประเมินค่าความเสี่ยง (Risk evaluation)
เมื่อได้ความเสี่ยง โดยมีรายละเอียด, การประมาณเชิงกึ่งปริมาณเป็นแมทริกซ์แล้ว จึงนำมาประเมินค่าความเสี่ยงโดยการเปรียบเทียบกับหลักเกณฑ์ความเสี่ยงที่ยอมรับได้
หลักเกณฑ์ยอมรับความเสี่ยง (Risk acceptance criteria) ว่าจะยอมรับได้มากน้อยเพียงใด เพื่อประกอบการตัดสินใจว่าจะบำบัดความเสี่ยงนั้นๆต่อไปอย่างไร พึงพิจารณาในแง่ต่างๆดังต่อไปนี้ เช่น
- ค่าใช้จ่าย ประโยชน์และความคุ้มทุนที่จะได้รับจากการแก้ไขบำบัดความเสี่ยง (costs and benefits)
- ข้อกำหนดด้านกฎหมายและกฎระเบียบขององค์กร (legal requirements)
- ปัจจัยด้านเศรษฐกิจและสังคม (socioeconomic factors)
- ปัจจัยด้านสิ่งแวดล้อม (environmental factors)
- ประเด็นสาระสำคัญในมุมมองของผู้มีส่วนได้เสีย (concerns of stakeholders)
- อื่นๆ
การรายงานผลการวิเคราะห์ความเสี่ยง (Risk reporting)
เมื่อประเมินความเสี่ยงแล้วเสร็จ จำเป็นต้องออกรายงานการประเมินเป็นเอกสารที่ผู้อื่นสามารถอ่านได้เอกสารนี้จะเป็นสาระสำคัญในการสื่อสารให้บุคลากรทั้งองค์กรได้รับรู้ รายงานประกอบด้วยรายละเอียดอย่างน้อยตามลักษณะรายละเอียดของความเสี่ยง และการออกรายงานมีวัตถุประสงค์ให้ส่วนต่างๆได้รับรู้ดังต่อไปนี้
ฝ่ายบริหาร ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- รับรู้นัยสำคัญของความเสี่ยงที่องค์กรเผชิญอยู่
- เข้าใจผลที่กระทบต่อผู้มีส่วนได้เสียต่างๆในกรณีที่เกิดมีเหตุ หรือเหตุการณ์และเกิดผลเสียต่อภารกิจและผลประกอบการ
- ดำเนินการเพื่อสร้างความตระหนักในปัญหาความเสี่ยงให้เกิดการรับรู้ทั่วทั้งองค์กร
- เข้าใจผลกระทบที่อาจมีต่อความมั่นใจของผู้ที่ได้รับผลกระทบ
- ให้แน่ใจว่ากระบวนการบริหารความเสี่ยงกำลังเป็นไปอย่างได้ผล
- ออกนโยบายบริหารความเสี่ยงที่มีเนื้อหาด้านปรัชญาและความรับผิดชอบของหน่วยงานและบุคลากรต่างๆในการบริหารความเสี่ยง
หัวหน้างาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- ตระหนักในความเสี่ยงอันเกี่ยวข้องกับภาระหน้าที่ของตน ผลกระทบที่อาจมีต่อหน่วยงานอื่น หรือกิจกรรมอื่นในองค์กร
- มีดัชนีชี้วัดสมรรถนะของกิจกรรมในหน่วยงานเพื่อดูว่าระบบงานของตนเองได้รับผลกกระทบจากความเสี่ยงมากน้อยเพียงใด
- รายงานผลกระทบจากความเสี่ยงในกรณีเกิดหรือจะเกิดเหตุและเสนอแนะแนวทางการแก้ไข
- รายงานความเสี่ยงใดๆที่เกิดใหม่หรือความล้มเหลวใดๆ ในมาตรการการควบคุมหรือป้องกันอารักขาสารสนเทศที่มีอยู่
ผู้ปฏิบัติงาน ควรได้ข้อมูลการรายงานเพื่อวัตถุประสงค์ดังต่อไปนี้ เช่น
- เข้าในบทบาทภาระหน้าที่และความรับผิดชอบในความเสี่ยวงแต่ละรายการ
- เข้าใจบทบาทในการดำเนินการพัฒนาอย่างต่อเนื่องด้านการบริหารความเสี่ยง
- เข้าใจการบริหารความเสี่ยงและความตระหนักต่อความเสี่ยงในการเป็นวัฒนธรรมองค์กรที่สำคัญอย่างหนึ่ง
กระบวนการบำบัดความเสี่ยง (Risk treatment)
เมื่อผู้บริหารได้รับรายงานการประเมินความเสี่ยงแล้วจำเป็นต้องทำการตัดสินใจ โดยพิจารณาจากหลักเกณฑ์การยอมรับความเสี่ยงที่องค์กรมีอยู่ว่าจะยอมรับโดยไม่ทำอะไร หรือจะดำเนินการบำบัดความเสี่ยง ซึ่งได้แก่กระบวนการดังต่อไปนี้
1. การยอมรับความเสี่ยง (acceptance) เป็นการยอมรับในความเสี่ยงโดยไม่ทำอะไร และยอมรับในผลที่อาจตามมา เช่น การพิสูจน์ตัวจริงเพียงใช้ id/ password มีความเสี่ยงเพราะอาจมีการขโมยไปใช้ได้ การให้มีใช้
ชีวมาตร (biometrics) เช่น การตรวจลายนิ้วมือหรือม่านตา อาจมีค่าใช้จ่ายสูงไม่คุ้มค่า โรงพยาบาลอาจยอมรับความเสี่ยงของระบบปัจจุบันและทำงานต่อไปโดยไม่ทำอะไร
2. การเลี่ยงความเสี่ยง (avoidance) การหลีกเลี่ยงความเสี่ยง เช่น เมื่อพบว่าปัจจุบันโรงพยาบาล มีการสำรองข้อมูลเพียง 1 ชุดและจัดเป็นความเสี่ยงต่อการสูญเสีย การเลี่ยงความเสี่ยงนี้อาจได้แก่การทำสำรองข้อมูล
2 ชุด และแยกเก็บในสถานที่ต่างกัน การบริหารจัดการการเชื่อมโยงสู่เครือข่ายผ่านโมเด็ม ถ้าเป็นการยากต่อการควบคุมหรือบริหารจัดการ องค์กรอาจเลือกทางออกโดยการยกเลิกไม่ให้ใช้บริการ และแนะนำให้พนักงานใช้บริการผ่านทาง ISP ในช่วงที่มีการระบาดของไวรัสอย่างหนัก องค์กรอาจมีเลือกระงับไม่ให้ใช้คอมพิวเตอร์ที่ไม่ได้ติดตั้ง Antivirus เป็นต้น
3. การโอนย้ายความเสี่ยง (transfer) เช่น อุปกรณ์เครือข่ายเมื่อซื้อมาแล้วมีระยะประกันเพียงหนึ่งปี เพื่อเป็นการรับมือในกรณีที่อุปกรณ์เครือข่ายไม่ทำงาน องค์กรอาจเลือกซื้อประกัน หรือสัญญาการบำรุงรักษาหลังขาย (Maintenance service) เป็นต้น
4. การลดความเสี่ยง (reduction) ได้แก่การมีมาตรการควบคุมมากชนิดขึ้น หรือชนิดที่เข้มงวดมากขึ้นเพื่อลดความเสี่ยง เช่น การใช้ชีวมาตร (biometrics) เพื่อใช้ในการพิสูจน์ตัวจริง นอกเหนือไปจากการใช้ id/ password ที่มีอยู่เดิม
การรายงานความเสี่ยงตกค้าง (Residual risk reporting)
เมื่อมีการบำบัดความเสี่ยงแล้ว จำเป็นต้องมีการรายงานและทบทวนอยู่เสมอเพื่อดูว่ามีการประเมิน และการประเมินค่าความเสี่ยงอยู่ตลอดเวลา และดูว่ามาตรการควบคุมต่างๆที่ออกมาใช้ได้ผลหรือไม่เพียงไร วิธีการมาตรฐานที่ใช้กันโดยทั่วไป คือการมีหน่วยงานภายในหรือภายนอกทำการตรวจสอบโดยกระบวนการ IT auditing ที่เหมาะสม เนื่องจากสิ่งแวดล้อมและกฎระเบียบมีพลวัตรและการเปลี่ยนแปลงเกิดขึ้นตลอดเวลา จึงจำเป็นต้องมีการบริหารความเสี่ยงและการตรวจสอบเป็นประจำ
การเฝ้าสังเกต (Monitoring)
กระบวนการเฝ้าสังเกตเป็นหลักประกันว่า องค์กรมีมาตรการต่างๆ ที่จำเป็นและเหมาะสมสำหรับการบริหารความเสี่ยงต่างๆ และมาตรการเหล่านั้นมีผู้ปฏิบัติตามและบังเกิดผลจริง ดังนั้น กระบวนการเฝ้าสังเกตพึงพิจารณาว่า
- ได้มีการปฏิบัติตามมาตรการต่างๆและบังเกิดผล
- กระบวนงานที่กำหนดขึ้นมาสามารถปฏิบัติได้จริง
- มีการเรียนรู้เกิดขึ้นในหน่วยงานอันเป็นผลมาจากการบริหารความเสี่ยง
บทสรุป
การบริหารจัดการความเสี่ยง มีบทบาทสำคัญในการปกป้องข้อมูลและระบบเครือข่ายคอมพิวเตอร์ที่เป็นสินทรัพย์ขององค์กร และยังรวมถึงการปกป้อง “พันธกิจ” ขององค์กรให้รอดพ้นจากความเสี่ยงที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศอีกด้วย ขั้นตอนในการบริหารจัดการความเสี่ยงควรจัดให้อยู่ในความรับผิดชอบหลักของฝ่ายเทคนิค ซึ่งมีผู้เชี่ยวชาญทางด้านเทคโนโลยีสารสนเทศเป็นผู้บริหาร และฝ่ายบริหารขององค์กร
องค์กรจะต้องมีกระบวนการในการบริหารจัดการความเสี่ยงด้านเทคโนโลยีสารสนเทศและการสื่อสารที่เหมาะสมและได้มาตรฐาน เพื่อปกป้ององค์กรจากความเสียหายที่อาจเกิดขึ้นได้จากความเสี่ยง และเพื่อความสามารถในการดำเนินพันธกิจขององค์กรให้บรรลุผลสำเร็จ ไม่ใช่แค่เพียงการปกป้องสินทรัพย์เทคโนโลยีสารสนเทศหรือองค์กรเพียงเท่านั้น
บทที่ 12 เรื่องที่ 2 เป้าหมายหลักใด้านความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยระบบสารสนเทศและจรรยาบรรณเบื้องต้น
ความหมายของความเสี่ยงของระบบสารสนเทศ
- ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software)ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
>> ไวรัส เป็นตัวสร้างความเสี่ยงมากที่สุด ซึ่งแพร่กระจายในTrump Drive ง่ายมาก มักเกิดจากพวกGen Y ที่มีความสามารถด้านด้านคอมพิวเตอร์ มักเข้าไปยังแหล่งที่มีไวรัส เผลอเรอ และมักมีนิสัยชอบกด YES โดยไม่อ่านข้อมูล
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) คือบุคคลที่ใช้ทักษะหรือความสามารถที่สูงทางคอมพิวเตอร์เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่น แม้ว่าการกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย
- แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) เป็นบุคคลที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก ส่วนมากจะทำการดาวน์โหลดซอฟต์แวร์ที่ช่วยในการเจาะระบบจากเว็บ
- ผู้สอดแนม (Spies) เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
- เจ้าหน้าที่ขององค์กร (Employees) เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว เช่น การปล่อยข่าว กล่าวหาบุคคลอื่น
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) เช่น Call Center หลอกลวง / การแชร์ Password กับเพื่อน และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing ส่งไวรัสจากเครื่องของเราให้คนอื่น โดยอาจจะแปลงเลข IP เป็นรหัสของเรา
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service) ส่งการRequest อัตโนมัติจากเครื่องคอมพิวเตอร์หลายๆ ล้านครั้ง เพื่อให้เว็บไซต์ล่ม
- Webpage Spoof การทำเว็บไซต์ปลอม เช่น หน้าตาเว็บไซต์เป็นกูเกิล แต่URL เป็นยาฮู
- E-mail Spoofing ต้องระมัดระวังการเข้าลิงก์ที่ไม่รู้จัก แปลกปลอมจากในอีเมล์
- IP Spoofing การที่เราเข้าไปคลิกเว็บไซต์หนึ่งๆ ที่ผู้ก่อการร้ายทางคอมพิวเตอร์สร้างไว้ แล้วระบบจะจดจำ IPของเราไว้ หลังจากนั้นก็นำ IP ของเราไปทำกิจกรรมต่างๆ โดยที่เราไม่รู้ตัว อาจนำไปสร้างอันตรายให้ผู้อื่น ซึ่งอาจส่งผลกระทบต่อตัวเรา เนื่องจาก IP เปรียบเหมือนบ้านเลขที่สำหรับคอมพิวเตอร์ของตัวเรา
- Distributed denial-of-service เช่น เกิดจากการมีไวรัสมาฝังในเครื่องเราโดยตั้งไว้ว่า ให้ ณ เวลหนึ่งๆ หากเรายังใช้งานคอมพิวเตอร์อยู่จะส่ง Request ของเราไปยังเครื่องอื่นๆ เพื่อทำลายหรือรบกวนระบบ เป็นการถูกนำไปใช้เป็นเครื่องมือทำลายผู้อื่น
- ข้อมูลที่ถูกจัดส่งไปยังเว็บ อาจไว้ใช้เช็กการเข้าเว็บไซต์ของพนักงานว่าเข้าเว็บไซต์ไหนบ้าง อย่างไรก็ตาม ถือเป็นการละเมิดความเป็นส่วนตัว
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส(Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ(Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) การเปลี่ยนการปรับแต่งระบบ (Configuration Changers)การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
- ไวรัส หมายถึงโปรแกรมที่ติดตัวเองไปกับเอกสารหรือโปรแกรม ประมวลผลเมื่อเอกสารหรือโปรแกรมนั้นถูกเปิด ก่อให้เกิดปัญหา
- เวิร์ม เป็นโปรแกรมมุ่งร้ายเช่นเดียวกับไวรัส แต่มีความแตกต่างกัน 2 ประการคือ ประการแรก ไวรัสเป็นโปรแกรมที่ติดตัวเองไปกับเอกสารทางคอมพิวเตอร์ ในขณะที่เวิร์มสามารถที่จะไปยังที่ต่างๆ ได้ด้วยตัวเอง ประการที่สอง ไวรัสต้องอาศัยผู้ใช้งานสั่งให้ประมวลผลโปรแกรม แต่เวิร์ม สามารถประมวลผลได้ด้วยตนเอง
- โทรจันฮอร์ส คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่นๆ เช่น เกม เป็นต้น
- ลอจิกบอมบ์ เป็นโปรแกรมที่แฝงตัวในโปรแกรมคอมพิวเตอร์ แต่จะยังไม่ทำงานจนกว่าเงื่อนไขที่กำหนดเกิดขึ้น
- แอดแวร์ คือโปรแกรมที่จะแสดงข้อความโฆษณาที่เว็บเพจโดยที่ผู้ใช้งานมิได้ต้องการ
- พิชชิง คือการส่งอีเมลไปให้ผู้ใช้ เมื่อผู้ใช้เข้าไปในเว็บไซด์ที่แสดงในอีเมลก็จะแสดงเว็บเพจ ปลอมซึ่งมีการจัดทำหน้าเว็บเพจให้เหมือนของจริง ถ้าผู้ใช้ป้อนรหัสผ่านหรือเลขที่บัตรเครดิตเข้าไปในเว็บเพจดังกล่าว ข้อมูลก็จะถูกขโมยและนำไปใช้ต่อไป นอกจากนี้ยังมีวิธีการ พาร์มมิง (Pharming) ที่มีเป้าหมายเพื่อต้องการข้อมูลส่วนตัวเช่นเดียวกับฟิชชิง แตกต่างกันที่แทนที่จะขอให้ผู้ใช้เข้าเยี่ยมชมเว็บไซด์ปลอมจะเชื่อมโยงผู้ใช้ไปยังเว็บไซด์ปลอมอัตโนมัติเมื่อผู้ใช้ป้อนที่อยู่เว็บในเว็บเบราว์เซอร์ด้วยวิธีการของ DNS Spoofing
- คีลอกเกอะ อาจเป็นอุปกรณ์คอมพิวเตอร์หรือโปรแกรมขนาดเล็กที่บันทึกการกดแป้นพิมพ์เพื่อป้อนตัวอักขระและจัดเก็บในแฟ้มข้อมูล เช่น ตู้ ATM ที่ถูก hack
- แบ็คดอร์ ทำให้การเข้าถึงระบบไม่ต้องผ่านขั้นตอนการป้อนรหัสประจำตัวและรหัสผ่าน
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ เช่น การเข้าระบบโอนเงินธนาคารโดยไม่ได้รับอนุญาต
3. การขโมย (Theft) เช่น การขโมยฮาร์ดแวร์/การขโมยซอฟต์แวร์ /การขโมยสารสนเทศ
4. ความล้มเหลวของระบบสารสนเทศ (System failure) เช่น เสียง (Noise) อาจเป็นการรบกวนจากฝนตก ความชื้น หรือไฟตก เป็นต้น
การรักษาความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition ต้องมีการ Update ตลอดเวลาด้วย
- ติดตั้งไฟร์วอลล์ (Firewall) ซึ่งเป็นซอฟต์แวร์และฮาร์ดแวร์ที่คอยกั้นไม่ให้สิ่งไม่ดีเข้ามาในองค์กร แต่อาจไม่ค่อยแข็งแรงนัก ต้องมีติดตั้งโปรแกรมป้องกันไวรัสเพิ่มเติม
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) กิจการขนาดใหญ่ส่วนมากจะติดตั้งระบบนี้ เพื่อดูว่าคนที่เข้ามาใช้ทรัพยากรในองค์กร เป็นใครมาจากไหน IP อะไร มีการบุกรุกหรือไม่
- ติดตั้ง Honeypot คือ การตั้งระบบเหมือนจริงขึ้นมาป้องกันไว้รอบๆระบบจริงที่ใช้งานอยู่ เป็นการป้องกันอันตรายจากการถูกเจาะระบบ
การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification) จะมีหมายเลขประจำตัวแต่ละคน เวลาจะเข้าใช้ระบบอะไรบางอย่าง ก่อนต้องกรอกรหัสก่อน
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
1. ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
2. ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตรATM เป็นต้น
3. ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
*** การตั้งพาสเวิด ควรตั้งเป็นภาษาคาราโอเกะ เพราะ ไม่ใช่ภาษาใดภาษาหนึ่ง และควรมีทั้งตัวเลขและตัวอักษร
การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้(Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร ผู้ส่งและผู้รับจะใช้คีย์ลับในการเปิด ซึ่งการเข้ารหัสแบบนี้จะใช้กันในวงแคบ
- การเข้ารหัสแบบไม่สมมาตร ผู้ส่งใช้คีย์สาธารณะส่วนผู้รับใช้คีย์ส่วนตัวในการเปิด เช่น ระหว่างการติดต่อของเว็บไซต์อเมซอนกับลูกค้า
การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย httpsแทนที่จะเป็น http จะมีความปลอดภัยมากขึ้น
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN)
การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้ (ต่อ)
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
ความหมายของความเสี่ยงของระบบสารสนเทศ
- ความเสี่ยงของระบบสารสนเทศ (Information system risk) หมายถึง เหตุการณ์หรือการกระทำใดๆ ที่ก่อให้เกิดการสูญเสียหรือทำลายฮาร์ดแวร์ (Hardware) ซอฟต์แวร์ (Software)ข้อมูล สารสนเทศ หรือความสามารถในการประมวลผลข้อมูลของระบบ
>> ไวรัส เป็นตัวสร้างความเสี่ยงมากที่สุด ซึ่งแพร่กระจายในTrump Drive ง่ายมาก มักเกิดจากพวกGen Y ที่มีความสามารถด้านด้านคอมพิวเตอร์ มักเข้าไปยังแหล่งที่มีไวรัส เผลอเรอ และมักมีนิสัยชอบกด YES โดยไม่อ่านข้อมูล
ประเภทของบุคคลที่เกี่ยวข้องกับความเสี่ยงของระบบสารสนเทศ
- แฮกเกอร์ (Hacker) คือบุคคลที่ใช้ทักษะหรือความสามารถที่สูงทางคอมพิวเตอร์เพื่อเจาะเข้าไปในระบบสารสนเทศของผู้อื่น แม้ว่าการกระทำดังกล่าวจะเป็นการกระทำที่ผิดกฏหมาย
- แครกเกอร์ (Cracker) คือบุคคลที่ทำอันตรายต่อการรักษาความปลอดภัยของระบบสารสนเทศโดยมีวัตถุประสงค์ร้าย
- ผู้ก่อให้เกิดภัยมือใหม่ (Script Kiddies) เป็นบุคคลที่มีเป้าหมายเช่นเดียวกับแครกเกอร์คือทำลายระบบ แต่มักไม่มีทักษะทางด้านคอมพิวเตอร์มากนัก ส่วนมากจะทำการดาวน์โหลดซอฟต์แวร์ที่ช่วยในการเจาะระบบจากเว็บ
- ผู้สอดแนม (Spies) เป็นบุคคลที่ถูกจ้างเพื่อเจาะระบบสารสนเทศและขโมยข้อมูล มักมีทักษะทางคอมพิวเตอร์สูง โดยมีเป้าหมายของระบบที่ต้องการเจาะอย่างชัดเจน ไม่ไร้จุดหมายเหมือนผู้ก่อให้เกิดภัยมือใหม่
- เจ้าหน้าที่ขององค์กร (Employees) เป็นภัยคุกคามที่มีจำนวนมากขึ้น โดยเจ้าหน้าที่จะเจาะเข้าไปในระบบสารสนเทศของกิจการของตนโดยมีเหตุผลเพื่อแสดงให้เห็นว่าระบบรักษาความปลอดภัยขององค์กรมีจุดอ่อน
- ผู้ก่อการร้ายทางคอมพิวเตอร์ (Cyberterrorist) ใช้ความเชื่อของตนเองในการปรับเปลี่ยนข้อมูลสารสนเทศ หรือการทำให้ระบบสารสนเทศ ปฏิเสธการให้บริการกับผู้ใช้ที่มีสิทธิในการใช้ระบบอย่างถูกต้อง หรือเจาะเข้าไปในระบบเพื่อทำให้ข้อมูลเสียหายอย่างมาก ผู้ก่อการร้ายทางคอมพิวเตอร์เป็นนักเจาระบบที่น่ากลัวมากที่สุดในจำนวนนักเจาะระบบ มีทักษะทางคอมพิวเตอร์ที่สูงมาก นอกจากนี้ยังเป็นการยากที่จะทำนายว่าจะโจมตีจะเกิดเวลาไหนและที่ใด โจมตีในรูปแบบใหม่อย่างอย่างฉับพลันและรวดเร็ว เช่น การปล่อยข่าว กล่าวหาบุคคลอื่น
ประเภทของความเสี่ยงของระบบสารสนเทศ
1. การโจมตีระบบเครือข่าย (Network attack)
- การโจมตีขั้นพื้นฐาน (Basic Attacks) เช่น กลลวงทางสังคม (Social engineering) เช่น Call Center หลอกลวง / การแชร์ Password กับเพื่อน และการรื้ออค้นเอกสารทางคอมพิวเตอร์จากที่ทิ้งขยะ (Dumpster Diving )
- การโจมตีด้านคุณลักษณะ (Identity Attacks) เช่น DNS Spoofing และ e-mail spoofing ส่งไวรัสจากเครื่องของเราให้คนอื่น โดยอาจจะแปลงเลข IP เป็นรหัสของเรา
- การปฏิเสธการให้บริการ (Denial of Service หรือ DoS) เช่น Distributed denial-of-service (DDoS) , DoSHTTP (HTTP Flood Denial of Service) ส่งการRequest อัตโนมัติจากเครื่องคอมพิวเตอร์หลายๆ ล้านครั้ง เพื่อให้เว็บไซต์ล่ม
- Webpage Spoof การทำเว็บไซต์ปลอม เช่น หน้าตาเว็บไซต์เป็นกูเกิล แต่URL เป็นยาฮู
- E-mail Spoofing ต้องระมัดระวังการเข้าลิงก์ที่ไม่รู้จัก แปลกปลอมจากในอีเมล์
- IP Spoofing การที่เราเข้าไปคลิกเว็บไซต์หนึ่งๆ ที่ผู้ก่อการร้ายทางคอมพิวเตอร์สร้างไว้ แล้วระบบจะจดจำ IPของเราไว้ หลังจากนั้นก็นำ IP ของเราไปทำกิจกรรมต่างๆ โดยที่เราไม่รู้ตัว อาจนำไปสร้างอันตรายให้ผู้อื่น ซึ่งอาจส่งผลกระทบต่อตัวเรา เนื่องจาก IP เปรียบเหมือนบ้านเลขที่สำหรับคอมพิวเตอร์ของตัวเรา
- Distributed denial-of-service เช่น เกิดจากการมีไวรัสมาฝังในเครื่องเราโดยตั้งไว้ว่า ให้ ณ เวลหนึ่งๆ หากเรายังใช้งานคอมพิวเตอร์อยู่จะส่ง Request ของเราไปยังเครื่องอื่นๆ เพื่อทำลายหรือรบกวนระบบ เป็นการถูกนำไปใช้เป็นเครื่องมือทำลายผู้อื่น
- ข้อมูลที่ถูกจัดส่งไปยังเว็บ อาจไว้ใช้เช็กการเข้าเว็บไซต์ของพนักงานว่าเข้าเว็บไซต์ไหนบ้าง อย่างไรก็ตาม ถือเป็นการละเมิดความเป็นส่วนตัว
- การโจมตีด้วยมัลแวร์ (Malware)
- โปรแกรมมุ่งร้ายที่โจมตีการปฏิบัติงานของคอมพิวเตอร์ (Computer’s operations) ประกอบด้วย ไวรัส (Viruses) เวิร์ม (Worms) โทรจันฮอร์ส(Trojan horse) และลอจิกบอมบ์ (Logic bombs)
- และโปรแกรมมุ่งร้ายที่โจมตีความเป็นส่วนตัวของสารสนเทศ(Information privacy) ที่มีชื่อเรียกทั่วไปว่า สปายแวร์ (Spyware) ประกอบด้วย แอดแวร์ (Adware) พิชชิง (Phishing) คีลอกเกอะ (Keyloggers) การเปลี่ยนการปรับแต่งระบบ (Configuration Changers)การต่อหมายเลข (Dialers) และ แบ็คดอร์ (Backdoors)
- ไวรัส หมายถึงโปรแกรมที่ติดตัวเองไปกับเอกสารหรือโปรแกรม ประมวลผลเมื่อเอกสารหรือโปรแกรมนั้นถูกเปิด ก่อให้เกิดปัญหา
- เวิร์ม เป็นโปรแกรมมุ่งร้ายเช่นเดียวกับไวรัส แต่มีความแตกต่างกัน 2 ประการคือ ประการแรก ไวรัสเป็นโปรแกรมที่ติดตัวเองไปกับเอกสารทางคอมพิวเตอร์ ในขณะที่เวิร์มสามารถที่จะไปยังที่ต่างๆ ได้ด้วยตัวเอง ประการที่สอง ไวรัสต้องอาศัยผู้ใช้งานสั่งให้ประมวลผลโปรแกรม แต่เวิร์ม สามารถประมวลผลได้ด้วยตนเอง
- โทรจันฮอร์ส คือโปรแกรมที่ทำลายระบบคอมพิวเตอร์โดยแฝงมากับโปรแกรมอื่นๆ เช่น เกม เป็นต้น
- ลอจิกบอมบ์ เป็นโปรแกรมที่แฝงตัวในโปรแกรมคอมพิวเตอร์ แต่จะยังไม่ทำงานจนกว่าเงื่อนไขที่กำหนดเกิดขึ้น
- แอดแวร์ คือโปรแกรมที่จะแสดงข้อความโฆษณาที่เว็บเพจโดยที่ผู้ใช้งานมิได้ต้องการ
- พิชชิง คือการส่งอีเมลไปให้ผู้ใช้ เมื่อผู้ใช้เข้าไปในเว็บไซด์ที่แสดงในอีเมลก็จะแสดงเว็บเพจ ปลอมซึ่งมีการจัดทำหน้าเว็บเพจให้เหมือนของจริง ถ้าผู้ใช้ป้อนรหัสผ่านหรือเลขที่บัตรเครดิตเข้าไปในเว็บเพจดังกล่าว ข้อมูลก็จะถูกขโมยและนำไปใช้ต่อไป นอกจากนี้ยังมีวิธีการ พาร์มมิง (Pharming) ที่มีเป้าหมายเพื่อต้องการข้อมูลส่วนตัวเช่นเดียวกับฟิชชิง แตกต่างกันที่แทนที่จะขอให้ผู้ใช้เข้าเยี่ยมชมเว็บไซด์ปลอมจะเชื่อมโยงผู้ใช้ไปยังเว็บไซด์ปลอมอัตโนมัติเมื่อผู้ใช้ป้อนที่อยู่เว็บในเว็บเบราว์เซอร์ด้วยวิธีการของ DNS Spoofing
- คีลอกเกอะ อาจเป็นอุปกรณ์คอมพิวเตอร์หรือโปรแกรมขนาดเล็กที่บันทึกการกดแป้นพิมพ์เพื่อป้อนตัวอักขระและจัดเก็บในแฟ้มข้อมูล เช่น ตู้ ATM ที่ถูก hack
- แบ็คดอร์ ทำให้การเข้าถึงระบบไม่ต้องผ่านขั้นตอนการป้อนรหัสประจำตัวและรหัสผ่าน
2. การเข้าถึงระบบโดยไม่ได้รับอนุญาต (Unauthorized access) หมายถึง การใช้คอมพิวเตอร์หรือระบบเครือข่ายคอมพิวเตอร์โดยไม่มีสิทธิ เช่น การเข้าระบบโอนเงินธนาคารโดยไม่ได้รับอนุญาต
3. การขโมย (Theft) เช่น การขโมยฮาร์ดแวร์/การขโมยซอฟต์แวร์ /การขโมยสารสนเทศ
4. ความล้มเหลวของระบบสารสนเทศ (System failure) เช่น เสียง (Noise) อาจเป็นการรบกวนจากฝนตก ความชื้น หรือไฟตก เป็นต้น
การรักษาความปลอดภัยของระบบสารสนเทศ
การรักษาความปลอดภัยการโจมตีระบบเครือข่าย
- ติดตั้งโปรแกรมป้องกันไวรัสและปรับปรุง Virus signature หรือ Virus definition ต้องมีการ Update ตลอดเวลาด้วย
- ติดตั้งไฟร์วอลล์ (Firewall) ซึ่งเป็นซอฟต์แวร์และฮาร์ดแวร์ที่คอยกั้นไม่ให้สิ่งไม่ดีเข้ามาในองค์กร แต่อาจไม่ค่อยแข็งแรงนัก ต้องมีติดตั้งโปรแกรมป้องกันไวรัสเพิ่มเติม
- ติดตั้งซอฟต์แวร์ตรวจจับการบุกรุก (Intrusion detection software) กิจการขนาดใหญ่ส่วนมากจะติดตั้งระบบนี้ เพื่อดูว่าคนที่เข้ามาใช้ทรัพยากรในองค์กร เป็นใครมาจากไหน IP อะไร มีการบุกรุกหรือไม่
- ติดตั้ง Honeypot คือ การตั้งระบบเหมือนจริงขึ้นมาป้องกันไว้รอบๆระบบจริงที่ใช้งานอยู่ เป็นการป้องกันอันตรายจากการถูกเจาะระบบ
การควบคุมการเข้าถึงระบบโดยไม่ได้รับอนุญาต
- การระบุตัวตน (Identification) จะมีหมายเลขประจำตัวแต่ละคน เวลาจะเข้าใช้ระบบอะไรบางอย่าง ก่อนต้องกรอกรหัสก่อน
- การพิสูจน์ตัวจริง (Authentication) เช่น รหัสผ่าน (Password)
1. ข้อมูลที่ทราบเฉพาะบุคคลที่เป็นเจ้าของ (What you know)
2. ใช้บัตรผ่านที่มีลักษณะเป็นบัตรประจำตัว (What you have) เช่น บัตรATM เป็นต้น
3. ลักษณะทางกายภาพของบุคคล (What you are) เช่น ม่านตา เป็นต้น
*** การตั้งพาสเวิด ควรตั้งเป็นภาษาคาราโอเกะ เพราะ ไม่ใช่ภาษาใดภาษาหนึ่ง และควรมีทั้งตัวเลขและตัวอักษร
การควบคุมการขโมย
- ควบคุมการเข้าถึงทางกายภาพ (Physical access control) เช่น การปิดห้องและหน้าต่าง เป็นต้น
- กิจการบางแห่งนำระบบ Real time location system (RTLS) มาใช้เพื่อระบุสถานที่ที่มีความเสี่ยงสูงโดยนำ RFID tags ติดที่อุปกรณ์คอมพิวเตอร์เพื่อใช้ในการติดตามอุปกรณ์นั้นๆ
- ปัจจุบันมีการออกแบบเครื่องคอมพิวเตอร์ให้สามารถควบคุมการเปิดเครื่องและการเข้าใช้งานเครื่องด้วยการใช้ลักษณะทางกายภาพของบุคคล เช่น ลายนิ้วมือ เป็นต้น
- การรักษาความปลอดภัยของซอฟต์แวร์ทำโดยเก็บรักษาแผ่นซอฟต์แวร์ในสถานที่มีการรักษาความปลอดภัย
- ในกรณีที่มีโปรแกรมเมอร์ลาออกหรือถูกให้ออก ต้องควบคุมและติดตามโปรแกรมเมอร์ทันที (Escort)
การเข้ารหัส คือกระบวนการในการแปลงหรือเข้ารหัสข้อมูลที่อยู่ในรูปที่คนทั่วไปสามารถอ่านได้(Plaintext) ให้อยู่ในรูปที่เฉพาะผู้ที่เกี่ยวข้องเท่านั้นสามารถอ่านข้อมูลได้ (Ciphertext)
ประเภทของการเข้ารหัส
- การเข้ารหัสแบบสมมาตร ผู้ส่งและผู้รับจะใช้คีย์ลับในการเปิด ซึ่งการเข้ารหัสแบบนี้จะใช้กันในวงแคบ
- การเข้ารหัสแบบไม่สมมาตร ผู้ส่งใช้คีย์สาธารณะส่วนผู้รับใช้คีย์ส่วนตัวในการเปิด เช่น ระหว่างการติดต่อของเว็บไซต์อเมซอนกับลูกค้า
การรักษาความปลอดภัยอื่นๆ
- Secure sockets layer (SSL) โดยเว็บเพจที่ใช้ SSL จะขึ้นต้นด้วย httpsแทนที่จะเป็น http จะมีความปลอดภัยมากขึ้น
- Secure HTTP (S-HTTP) เช่น ระบบธนาคารออนไลน์จะใช้ S-HTTP
- Virtual private network (VPN)
การควบคุมความล้มเหลวของระบบสารสนเทศ
- การป้องกันแรงดันไฟฟ้าใช้ Surge protector หรือ Surge suppressor
- ไฟฟ้าดับใช้ Uninterruptible power supply (UPS)
- กรณีระบบสารสนเทศถูกทำลายจนไม่สามารถให้บริการได้ การควบคุมทำโดยการจัดทำแผนการทำให้กลับคืนสู่สภาพเดิมจากภัยพิบัติ (Disaster Recovery – DR) หรือ Business continuity planning (BCP)
การสำรองข้อมูล (Data Backup) สิ่งที่ต้องตัดสินใจเกี่ยวกับการสำรองข้อมูลประกอบด้วย
1. เลือกสื่อบันทึก (Media) ที่จะทำการสำรองข้อมูล เช่น CD DVD หรือ Portable Harddisk เป็นต้น
2. ระยะเวลาที่ต้องสำรองข้อมูล
3. ความถี่ในการสำรองข้อมูล ขึ้นอยู่กับระยะเวลาสูงสุดที่ระบบจะไม่สามารถให้บริการได้โดยไม่ส่งผลต่อการดำเนินงานปกติขององค์กร
4. สถานที่จัดเก็บสื่อบันทึกที่สำรองข้อมูล ซึ่งสามารถจัดเก็บ On Site หรือ Offsite ซึ่งแต่ละประเภทมีข้อดีและข้อเสียแตกต่างกันออกไป
การรักษาความปลอดภัยของแลนไร้สาย (Wireless LAN)
- ควบคุมการเชื่อมโยงเข้าสู่แลนไร้สายด้วย Service Set Identifier (SSID)
- กลั่นกรองผู้ใช้งานด้วยการกรองหมายเลขการ์ดเน็ตเวิร์ก (MAC Addressing Filtering)
- การเข้ารหัสและถอดรหัสด้วยวิธีการ Wired Equivalency Privacy (WEP)
- จำกัดขอบเขตพื้นที่ให้บริการด้วยการควบคุมกำลังส่งของแอ็กเซสพอยน์
- การพิสูจน์สิทธิเข้าใช้งานแลนไร้สายด้วย Radius Server
- การสร้าง Virtual Private Network (VPN) บนแลนไร้สาย
จรรยาบรรณ
จรรยาบรรณทางคอมพิวเตอร์ คือหลักปฏิบัติที่แสดงให้เห็นถึงความรู้สึกผิดชอบเกี่ยวกับการใช้ระบบสารสนเทศ ซึ่งประกอบด้วย
- การใช้คอมพิวเตอร์และเครือข่ายโดยไม่ได้รับอนุญาต
- การขโมยซอฟต์แวร์ (การละเมิดลิขสิทธิ์)
- ความถูกต้องของสารสนเทศ เช่น การตกแต่งรูปภาพ เป็นต้น
- สิทธิ์ต่อทรัพย์สินทางปัญญา (Intellectual property rights)
- หลักปฏิบัติ (Code of conduct)
- ความเป็นส่วนตัวของสารสนเทศ (Information privacy)
หลักปฏิบัติ คือสิ่งที่เขียนเป็นลายลักษณ์อักษรเพื่อเป็นแนวทางในการตัดสินใจว่าการกระทำใดที่เกี่ยวข้องกับคอมพิวเตอร์เป็นสิ่งที่มีหรือไม่มีจรรยาบรรณ หลักปฏิบัติมีดังนี้
- ต้องไม่ใช้คอมพิวเตอร์ในการทำอันตรายบุคคลอื่น
- ต้องไม่รบกวนการทำงานทางคอมพิวเตอร์ของคนอื่น
- ต้องไม่เข้าไปยุ่งเกี่ยวกับแฟ้มข้อมูลของคนอื่น
- ต้องไม่ใช้คอมพิวเตอร์ในการขโมย
- ต้องไม่ใช้คอมพิวเตอร์เพื่อให้หลักฐานที่เป็นเท็จ
- ต้องไม่สำเนาหรือใช้ซอฟต์แวร์ที่ละเมิดลิขสิทธิ์
- ต้องไม่ใช้ทรัพยากรทางคอมพิวเตอร์ของผู้อื่นโดยไม่ได้รับอนุญาต
- ต้องไม่ใช้ทรัพสินทางปัญญาของผู้อื่นเหมือนเป็นของตน
- ต้องคำนึงถึงผลกระทบทางสังคมของโปรแกรมที่ออกแบบ
- ต้องใช้คอมพิวเตอร์ในทางที่แสดงให้เห็นถึงความเคารพในมนุษย์แต่ละคน
ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้
- ให้เฉพาะข้อมูลที่จำเป็นเท่านั้นในการกรอกข้อมูลใบลงทะเบียน ใบรับประกัน และอื่นๆ
- ไม่พิมพ์เบอร์โทรศัพท์ เลขที่บัตรประชาชน บนเช็ค ล่วงหน้า (Preprint)
- แจ้งองค์การโทรศัพท์ไม่ให้พิมพ์หมายเลขโทรศัพท์ของท่านลงใบสมุดโทรศัพท์
- ถ้าหมายเลขโทรศัพท์ของท่านอยู่ในพื้นที่ๆ สามารถแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับได้ ให้ท่านระงับการแสดงหมายเลขโทรศัพท์ที่เครื่องของผู้รับด้วย
- ไม่ควรเขียนหมายเลขโทรศัพท์ของท่านบนในบิลของบัตรเครดิต
- ซื้อสินค้าด้วยเงินสด แทนที่จะเป็นบัตรเครดิต
- ถ้าร้านค้าสอบถามข้อมูลส่วนตัวของท่าน ให้หาเหตุผลว่าทำไมจึงถามคำถามนั้นก่อนที่จะตัดสินใจว่าจะให้หรือไม่ให้ข้อมูล
- กรอกข้อมูลส่วนตัวของท่านบนเว็บเฉพาะส่วนที่ต้องกรอกเท่านั้น
- ติดตั้งตัวจัดการ Cookie เพื่อกลั่นกรอง Cookie
- ลบ History file ภายหลังจากเลิกใช้โปรแกรมเบาวร์เซอร์
- ยกเลิกการเปิดบริการแบ่งปันข้อมูล (File sharing) หรือเครื่องพิมพ์ก่อนการเชื่อมต่ออินเทอร์เน็ต
- ความเป็นส่วนตัวของสารสนเทศ มีหลักปฏิบัติดังนี้ (ต่อ)
- ติดตั้งไฟร์วอลล์ส่วนบุคคล
- ติดตั้งโปรแกรม Anti-spam
- ไม่ตอบ e-mail ที่เป็น spam ไม่ว่าจะด้วยเหตุผลใดก็ตาม
กฏหมายเกี่ยวกับความเป็นส่วนตัวของสารสนเทศ เช่น Privacy Act และ Family Educational Rights and Privacy Act เป็นต้น โดยกฏหมายนี้ส่วนใหญ่จะกล่าวถึง
- จำนวนของสารสนเทศที่จัดเก็บจะต้องจัดเก็บเท่าที่จำเป็นเพื่อการดำเนินงานของธุรกิจหรือรัฐบาลเท่านั้น
- จำกัดการเข้าถึงข้อมูลที่รวบรวมนั้น โดยให้พนักงานที่เกี่ยวข้องและจำเป็นต้องใช้ข้อมูลเพื่อการปฏิบัติงานสามารถใช้ข้อมูลนั้นได้เท่านั้น
- แจ้งให้ผู้ที่ถูกจัดเก็บข้อมูลทราบว่ากำลังจัดเก็บข้อมูลอยู่ เพื่อให้บุคคลนั้นมีโอกาสในการพิจารณาความถูกต้องของข้อมูล
บทที่ 12 เรื่องที่ 1 มาตราฐานการควบคุม
มาตรฐานการควบคุมคุณภาพ (ISQC : International Standard on Quality Control)
ที่มาของมาตรฐานการควบคุมคุณภาพนี้ เริ่มตั้งแต่ประมาณปี 2001ที่มีบริษัทยักษ์ใหญ่หลายแห่งถูกจับได้ว่า ผู้บริหารมีการทำทุจริตแล้วบริษัทเหล่านี้ก็ล้มและปิดตัวไปในที่สุด โดยมีผู้สอบบัญชีเข้าไปมีส่วนร่วมด้วย จากนั้นกระแสสังคมจึงมีคำถามว่า ทำไมงบการเงินของบริษัทที่ล้มเหล่านั้นจึงแทบไม่มีข้อบ่งชี้หรือสะท้อนสิ่ง ผิดปกติอะไรให้ผู้มีส่วนได้เสียรู้ก่อน ทั้งในรายงานผู้สอบบัญชีก็แสดงความเห็นแบบไม่มีเงื่อนไข ซึ่งย่อมส่งผลกระทบต่อความน่าเชื่อถือในผลงานตรวจสอบของผู้สอบบัญชี ผู้สอบบัญชีเองก็ต้องเริ่มต้นคิดแล้วว่า จะทำอย่างไรที่จะทำให้ความเชื่อมั่นกลับคืนมา จนกระทั่งปี 2005 ที่ IASB เริ่มมีแนวคิดว่า นอกจากการควบคุมคุณภาพงานสอบบัญชีในแต่ละงานแล้ว ควรมองถึงสำนักงานสอบบัญชีที่ควรจะต้องมีการควบคุมคุณภาพด้วย
สำหรับประเทศไทย หน่วยงานที่กำกับดูแลวิชาชีพบัญชี(สภาวิชาชีพบัญชีฯ) ก็ได้ออกมาตรฐานการควบคุมคุณภาพฉบับแรก (ISQC 1) เพื่อให้บริษัทสำนักงานสอบบัญชีมีมาตรฐานการควบคุมคุณภาพในระดับสำนักงาน ที่ให้การปฏิบัติงานสอบบัญชีมีการกลั่นกรองโดยระบบและบุคคลอื่น ไม่ใช่ขึ้นอยู่กับการปฏิบัติงานของบุคคลคนเดียวอีกต่อไป ที่ย่อมทำให้คุณภาพงานสอบบัญชีดีขึ้น… มาตรฐานนี้เริ่มใช้ในต่างประเทศตั้งแต่ปี 2548 และมีการปรับปรุงเนื้อหาในปี 2552 ส่วนในประเทศไทยเริ่มเผยแพร่ร่างมาตรฐานนี้ในปี 2553 และประกาศเป็นมาตรฐานเมื่อต้นปี 2554 เพื่อให้สำนักงานสอบบัญชีถือปฏิบัติในปี 2557 แต่อย่างไรก็ตามสภาวิชาชีพบัญชีฯ สนับสนุนให้มีการนำมาตรฐานนี้ไปใช้ก่อน สำหรับสำนักงานที่ยังไม่พร้อม ก็ควรต้องเร่งทำความเข้าใจเพื่อปรับระบบงานหรือเตรียมการไว้ตั้งแต่เนิ่นๆใน ระยะเวลาอีกไม่นานก่อนการใช้บังคับ และอย่านิ่งนอนใจเป็นอันขาด
มาตรฐานฉบับนี้ประกอบไปด้วยอะไร
สรุปประเด็นสำคัญที่มาตรฐานนี้กำหนด อาจแบ่งเป็น 6 เรื่อง ดังนี้
1. ความรับผิดชอบของผู้นำต่อคุณภาพภายในสำนักงาน คือ หัวหน้าสำนักงานสอบบัญชีว่า มีหน้าที่ความรับผิดชอบอะไร เพื่อให้สำนักงานมีคุณภาพตามที่กำหนด
2. ข้อกำหนดด้านจรรยาบรรณที่เกี่ยวข้อง คือ การกำหนดให้สำนักงานและบุคลากรของสำนักงานปฏิบัติตามข้อกำหนดจรรยาบรรณของ ผู้ประกอบวิชาชีพบัญชี
3. การตอบรับงานสอบบัญชี สำนักงานต้องมีกระบวนการและวิธีปฏิบัติในการตอบรับงานสอบบัญชี รวมถึงการคงไว้ซึ่งความสัมพันธ์กับลูกค้าและงานที่มีลักษณะเฉพาะ
4. ทรัพยากรบุคคล สำนักงานต้องการออกแบบวิธีปฏิบัติเพื่อให้สำนักงานมีบุคคลากรที่มีคุณภาพ มีทักษะความรู้ ความสามารถ และยึดมั่นในหลักจรรยาบรรณที่เพียงพอ
5. การปฏิบัติงาน กำหนดวิธีปฏิบัติงานให้เป็นไปตามมาตรฐานวิชาชีพ และข้อกำหนดทางกฎหมายที่เกี่ยวข้อง
6. การติดตามผล คือ การติดตามผลเกี่ยวกับนโยบาย วิธีปฏิบัติในการควบคุมคุณภาพที่สำนักงานได้กำหนดไว้ หรือพูดง่ายๆ คือ การดูแลตัวเอง ทำอย่างไรให้สำนักงานสอบบัญชีมีระบบขึ้นมาจริง ๆ และมีอย่างต่อเนื่อง
การประกาศบังคับใช้มาตรฐาน
สภาวิชาชีพบัญชีฯ ได้ประกาศบังคับใช้ มาตรฐานการควบคุมคุณภาพ ฉบับที่ 1 การควบคุมคุณภาพสำหรับสำนักงานที่ให้บริการด้านการตรวจสอบและการสอบทานงบการ เงิน และงานให้ความเชื่อมั่นอื่นตลอดจนบริการเกี่ยวเนื่อง (ตามประกาศสภาวิชาชีพบัญชีฯ ที่ 9/2554) ให้ใช้บังคับตั้งแต่วันที่ 1 มกราคม พ.ศ. 2557 เป็นต้นไป
บทที่ 11 คำศัพท์
1. กางวางแผน Planning
2. แผนการ Plan
3. กางวางแผนกลยุทธ์ Strategic Planning
4. การวิเคราะห์ SWOT
5. แบบจำลองธุรกิจ Business Model
6. ขอบเขต Scope
7. ราคา Pricing
8. แหล่งรายได้ Revenue Source
9. ระบบงานแบบอัติโนมัติ Automation
10. การปรับรื้อระบบใหม่ Reengineering
2. แผนการ Plan
3. กางวางแผนกลยุทธ์ Strategic Planning
4. การวิเคราะห์ SWOT
5. แบบจำลองธุรกิจ Business Model
6. ขอบเขต Scope
7. ราคา Pricing
8. แหล่งรายได้ Revenue Source
9. ระบบงานแบบอัติโนมัติ Automation
10. การปรับรื้อระบบใหม่ Reengineering
บทที่ 11 เรื่องที่ 3 วงจรการพัฒนาระบบ
วงจรการพัฒนาระบบ(SDLC)
ความหมาย เป็นการดำเนินการตามขั้นตอนหรือกระบวนการต่างๆที่กหนดเอาไว้ในแผนพัฒนาระบบสารสนเทศทางการเงิน เพื่อสร้างระบบงานคอมพิวเตอร์ให้ทำงานเป็นไปตามที่ต้องการ
วงจรการพัฒนาระบบ คือ กระบวนในการพัฒนาระบบสารสนเทศ เพื่อแก้ปัญหาทางธุรกิจและตอบสนองความต้องการของผู้ใช้ได้ โดยภายในวงจรนั้นจะแบ่งกระบวนการพัฒนาออกเป็นกลุ่มงานหลัก ๆ ดังนี้ ด้านการวางแผน (Planning Phase) ด้านการวิเคราะห์ (Analysis Phase) ด้านการออกแบบ (Design Phase) ด้านการสร้างและพัฒนา (Implementation Phase)
ความสำคัญ ระบบสารสนเทศทั้งหลายมีวงจรชีวิตที่เหมือนกันตั้งแต่เกิดจนตายวงจรนี้จะเป็นขั้นตอน ที่เป็นลำดับตั้งแต่ต้นจนเสร็จเรียบร้อย เป็นระบบที่ใช้งานได้ ซึ่งนักวิเคราะห์ระบบต้องทำความเข้าใจให้ดีว่าในแต่ละขั้นตอนจะต้องทำอะไร และทำอย่างไร
ขั้นตอนการพัฒนาระบบมีอยู่ด้วยกัน 7 ขั้น ด้วยกัน คือ
ขั้นตอนที่ 2 : ศึกษาความเป็นไปได้ (Feasibility Study)จุดประสงค์ของการศึกษาความเป็นไปได้ก็คือ การกำหนดว่าปัญหาคืออะไรและตัดสินใจว่าการพัฒนาสร้างระบบสารสนเทศ หรือการแก้ไขระบบสารสนเทศเดิมมีความเป็นไปได้หรือไม่โดยเสียค่าใช้จ่ายและเวลาน้อยที่สุด และได้ผลเป็นที่น่าพอใจ
ปัญหาต่อไปคือ นักวิเคราะห์ระบบจะต้องกำหนดให้ได้ว่าการแก้ไขปัญหาดังกล่าวมีความเป็นไปได้ทางเทคนิคและบุคลากร ปัญหาทางเทคนิคก็จะเกี่ยวข้องกับเรื่องคอมพิวเตอร์ และเครื่องมือเก่าๆถ้ามี รวมทั้งเครื่องคอมพิวเตอร์ซอฟต์แวร์ด้วย ตัวอย่างคือ คอมพิวเตอร์ที่ใช้อยู่ในบริษัทเพียงพอหรือไม่ คอมพิวเตอร์อาจจะมีเนื้อที่ของฮาร์ดดิสก์ไม่เพียงพอ รวมทั้งซอฟต์แวร์ ว่าอาจจะต้องซื้อใหม่ หรือพัฒนาขึ้นใหม่ เป็นต้น ความเป็นไปได้ทางด้านบุคลากร คือ บริษัทมีบุคคลที่เหมาะสมที่จะพัฒนาและติดตั้งระบบเพียงพอหรือไม่ ถ้าไม่มีจะหาได้หรือไม่ จากที่ใด เป็นต้น นอกจากนั้นควรจะให้ความสนใจว่าผู้ใช้ระบบมีความคิดเห็นอย่างไรกับการเปลี่ยนแปลง รวมทั้งความเห็นของผู้บริหารด้วย
ขั้นตอนที่ 3 การวิเคราะห์ (Analysis)
เริ่มเข้าสู่การวิเคราะห์ระบบ การวิเคราะห์ระบบเริ่มตั้งแต่การศึกษาระบบการทำงานของธุรกิจนั้น ในกรณีที่ระบบเราศึกษานั้นเป็นระบบสารสนเทศอยู่แล้วจะต้องศึกษาว่าทำงานอย่างไร เพราะเป็นการยากที่จะออกแบบระบบใหม่โดยที่ไม่ทราบว่าระบบเดิมทำงานอย่างไร หรือธุรกิจดำเนินการอย่างไร หลังจากนั้นกำหนดความต้องการของระบบใหม่ ซึ่งนักวิเคราะห์ระบบจะต้องใช้เทคนิคในการเก็บข้อมูล (Fact-Gathering Techniques) ดังรูป ได้แก่ ศึกษาเอกสารที่มีอยู่ ตรวจสอบวิธีการทำงานในปัจจุบัน สัมภาษณ์ผู้ใช้และผู้จัดการที่มีส่วนเกี่ยวข้องกับระบบ เอกสารที่มีอยู่ได้แก่ คู่มือการใช้งาน แผนผังใช้งานขององค์กร รายงานต่างๆที่หมุนเวียนใน ระบบการศึกษาวิธีการทำงานในปัจจุบันจะทำให้นักวิเคราะห์ระบบรู้ว่าระบบจริงๆทำงานอย่างไร ซึ่งบางครั้งค้นพบข้อผิดพลาดได้ ตัวอย่าง เช่น เมื่อบริษัทได้รับใบเรียกเก็บเงินจะมีขั้นตอนอย่างไรในการจ่ายเงิน ขั้นตอนที่เสมียนป้อนใบเรียกเก็บเงินอย่างไร เฝ้าสังเกตการทำงานของผู้เกี่ยวข้อง เพื่อให้เข้าใจและเห็นจริงๆ ว่าขั้นตอนการทำงานเป็นอย่างไร ซึ่งจะทำให้นักวิเคราะห์ระบบค้นพบจุดสำคัญของระบบว่าอยู่ที่ใด
การสัมภาษณ์เป็นศิลปะอย่างหนึ่งที่นักวิเคราะห์ระบบควรจะต้องมีเพื่อเข้ากับผู้ใช้ได้ง่าย และสามารถดึงสิ่งที่ต้องการจากผู้ใช้ได้ เพราะว่าความต้องการของระบบคือ สิ่งสำคัญที่จะใช้ในการออกแบบต่อไป ถ้าเราสามารถกำหนดความต้องการได้ถูกต้อง การพัฒนาระบบในขั้นตอนต่อไปก็จะง่ายขึ้น เมื่อเก็บรวบรวมข้อมูลแล้วจะนำมาเขียนรวมเป็นรายงานการทำงานของ ระบบซึ่งควรแสดงหรือเขียนออกมาเป็นรูปแทนที่จะร่ายยาวออกมาเป็นตัวหนังสือ การแสดงแผนภาพจะทำให้เราเข้าใจได้ดีและง่ายขึ้น หลังจากนั้นนักวิเคราะห์ระบบ อาจจะนำข้อมูลที่รวบรวมได้นำมาเขียนเป็น "แบบทดลอง" (Prototype) หรือตัวต้นแบบ แบบทดลองจะเขียนขึ้นด้วยภาษาคอมพิวเตอร์ต่างๆ และที่ช่วยให้ง่ายขึ้นได้แก่ ภาษายุคที่ 4 (Fourth Generation Language) เป็นการสร้างโปรแกรมคอมพิวเตอร์ขึ้นมาเพื่อใช้งานตามที่เราต้องการได้ ดังนั้นแบบทดลองจึงช่วยลดข้อผิดพลาดที่อาจจะเกิดขึ้นได้
ขั้นตอนที่4 : การออกแบบ (Design)ในระยะแรกของการออกแบบ นักวิเคราะห์ระบบจะนำการตัดสินใจ ของฝ่ายบริหารที่ได้จากขั้นตอนการวิเคราะห์การเลือกซื้อคอมพิวเตอร์ ฮาร์ดแวร์และซอฟต์แวร์ด้วย (ถ้ามีหรือเป็นไปได้) หลังจากนั้นนักวิเคราะห์ระบบจะนำแผนภาพต่างๆ ที่เขียนขึ้นในขั้นตอนการวิเคราะห์มาแปลงเป็นแผนภาพลำดับขั้น (แบบต้นไม้) ดังรูปข้างล่าง เพื่อให้มองเห็นภาพลักษณ์ที่แน่นอนของโปรแกรมว่ามีความสัมพันธ์กันอย่างไร และโปรแกรมอะไรบ้างที่จะต้องเขียนในระบบ หลังจากนั้นก็เริ่มตัดสินใจว่าควรจะจัดโครงสร้างจากโปรแกรมอย่างไร การเชื่อมระหว่างโปรแกรมควรจะทำอย่างไร ในขั้นตอนการวิเคราะห์นักวิเคราะห์ระบบต้องหาว่า "จะต้องทำอะไร (What)" แต่ในขั้นตอนการออกแบบต้องรู้ว่า " จะต้องทำอย่างไร(How)"
ในการออกแบบโปรแกรมต้องคำนึงถึงความปลอดภัย (Security) ของระบบด้วย เพื่อป้องกันการผิดพลาดที่อาจจะเกิดขึ้น เช่น "รหัส" สำหรับผู้ใช้ที่มีสิทธิ์สำรองไฟล์ข้อมูลทั้งหมด เป็นต้น
ขั้นตอนที่ 5 : การพัฒนาระบบ (Construction)ในขั้นตอนนี้โปรแกรมเมอร์จะเริ่มเขียนและทดสอบโปรแกรมว่า ทำงานถูกต้องหรือไม่ ต้องมีการทดสอบกับข้อมูลจริงที่เลือกแล้ว ถ้าทุกอย่างเรียบร้อย เราจะได้โปรแกรมที่พร้อมที่จะนำไปใช้งานจริงต่อไป หลังจากนั้นต้องเตรียมคู่มือการใช้และการฝึกอบรมผู้ใช้งานจริงของระบบ
ระยะแรกในขั้นตอนนี้นักวิเคราะห์ระบบต้องเตรียมสถานที่สำหรับ เครื่องคอมพิวเตอร์แล้วจะต้องตรวจสอบว่าคอมพิวเตอร์ทำงานเรียบร้อยดี
โปรแกรมเมอร์เขียนโปรแกรมตามข้อมูลที่ได้จากเอกสารข้อมูลเฉพาะของการออกแบบ (Design Specification) ปกติแล้วนักวิเคราะห์ระบบไม่มีหน้าที่เกี่ยวข้องในการเขียนโปรแกรม แต่ถ้าโปรแกรมเมอร์คิดว่าการเขียนอย่างอื่นดีกว่าจะต้องปรึกษานักวิเคราะห์ระบบเสียก่อน เพื่อที่ว่านักวิเคราะห์จะบอกได้ว่าโปรแกรมที่จะแก้ไขนั้นมีผลกระทบกับระบบทั้งหมดหรือไม่ โปรแกรมเมอร์เขียนเสร็จแล้วต้องมีการทบทวนกับนักวิเคราะห์ระบบและผู้ใช้งาน เพื่อค้นหาข้อผิดพลาด วิธีการนี้เรียกว่า "Structure Walkthrough " การทดสอบโปรแกรมจะต้องทดสอบกับข้อมูลที่เลือกแล้วชุดหนึ่ง ซึ่งอาจจะเลือกโดยผู้ใช้ การทดสอบเป็นหน้าที่ของโปรแกรมเมอร์ แต่นักวิเคราะห์ระบบต้องแน่ใจว่า โปรแกรมทั้งหมดจะต้องไม่มีข้อผิดพลาด
ขั้นตอนที่ 6 : การปรับเปลี่ยน (Construction)ขั้นตอนนี้บริษัทนำระบบใหม่มาใช้แทนของเก่าภายใต้การดูแลของนักวิเคราะห์ระบบ การป้อนข้อมูลต้องทำให้เรียบร้อย และในที่สุดบริษัทเริ่มต้นใช้งานระบบใหม่นี้ได้
การนำระบบเข้ามาควรจะทำอย่างค่อยเป็นค่อยไปทีละน้อย ที่ดีที่สุดคือ ใช้ระบบใหม่ควบคู่ไปกับระบบเก่าไปสักระยะหนึ่ง โดยใช้ข้อมูลชุดเดียวกันแล้วเปรียบเทียบผลลัพธ์ว่าตรงกันหรือไม่ ถ้าเรียบร้อยก็เอาระบบเก่าออกได้ แล้วใช้ระบบใหม่ต่อไป
ขั้นตอนที่ 7 : บำรุงรักษา (Maintenance)การบำรุงรักษาได้แก่ การแก้ไขโปรแกรมหลังจากการใช้งานแล้ว สาเหตุที่ต้องแก้ไขโปรแกรมหลังจากใช้งานแล้ว สาเหตุที่ต้องแก้ไขระบบส่วนใหญ่มี 2 ข้อ คือ 1. มีปัญหาในโปรแกรม (Bug) และ 2. การดำเนินงานในองค์กรหรือธุรกิจเปลี่ยนไป จากสถิติของระบบที่พัฒนาแล้วทั้งหมดประมาณ 40% ของค่าใช้จ่ายในการแก้ไขโปรแกรม เนื่องจากมี "Bug" ดังนั้นนักวิเคราะห์ระบบควรให้ความสำคัญกับการบำรุงรักษา ซึ่งปกติจะคิดว่าไม่มีความสำคัญมากนัก
เมื่อธุรกิจขยายตัวมากขึ้น ความต้องการของระบบอาจจะเพิ่มมากขึ้น เช่น ต้องการรายงานเพิ่มขึ้น ระบบที่ดีควรจะแก้ไขเพิ่มเติมสิ่งที่ต้องการได้
การบำรุงรักษาระบบ ควรจะอยู่ภายใต้การดูแลของนักวิเคราะห์ระบบ เมื่อผู้บริหารต้องการแก้ไขส่วนใดนักวิเคราะห์ระบบต้องเตรียมแผนภาพต่าง ๆ และศึกษาผลกระทบต่อระบบ และให้ผู้บริหารตัดสินใจต่อไปว่าควรจะแก้ไขหรือไม่
ความสำคัญ ระบบสารสนเทศทั้งหลายมีวงจรชีวิตที่เหมือนกันตั้งแต่เกิดจนตายวงจรนี้จะเป็นขั้นตอน ที่เป็นลำดับตั้งแต่ต้นจนเสร็จเรียบร้อย เป็นระบบที่ใช้งานได้ ซึ่งนักวิเคราะห์ระบบต้องทำความเข้าใจให้ดีว่าในแต่ละขั้นตอนจะต้องทำอะไร และทำอย่างไร
ขั้นตอนการพัฒนาระบบมีอยู่ด้วยกัน 7 ขั้น ด้วยกัน คือ
1. เข้าใจปัญหา (Problem Recognition)
2. ศึกษาความเป็นไปได้ (Feasibility Study)
3. วิเคราะห์ (Analysis)
4. ออกแบบ (Design)
5. สร้างหรือพัฒนาระบบ (Construction)
6. การปรับเปลี่ยน (Conversion)
7. บำรุงรักษา (Maintenance)
2. ศึกษาความเป็นไปได้ (Feasibility Study)
3. วิเคราะห์ (Analysis)
4. ออกแบบ (Design)
5. สร้างหรือพัฒนาระบบ (Construction)
6. การปรับเปลี่ยน (Conversion)
7. บำรุงรักษา (Maintenance)
ขั้นที่ 1 : เข้าใจปัญหา (Problem Recognition)
ระบบสารสนเทศจะเกิดขึ้นได้ก็ต่อเมื่อผู้บริหารหรือผู้ใช้ตระหนักว่า ต้องการระบบสารสนเทศหรือระบบจัดการเดิม ได้แก่ระบบเอกสารในตู้เอกสาร ไม่มีประสิทธิภาพเพียงพอที่ตอบสนองความต้องการในปัจจุบัน
ระบบสารสนเทศจะเกิดขึ้นได้ก็ต่อเมื่อผู้บริหารหรือผู้ใช้ตระหนักว่า ต้องการระบบสารสนเทศหรือระบบจัดการเดิม ได้แก่ระบบเอกสารในตู้เอกสาร ไม่มีประสิทธิภาพเพียงพอที่ตอบสนองความต้องการในปัจจุบัน
ปัจจุบันผู้บริหารตื่นตัวกันมากที่จะให้มีการพัฒนาระบบสารสนเทศมาใช้ในหน่วยงานของตน ในงานธุรกิจ อุตสาหกรรม หรือใช้ในการผลิต ตัวอย่างเช่น บริษัทของเรา จำกัด ติดต่อซื้อสินค้าจากผู้ขายหลายบริษัท ซึ่งบริษัทของเราจะมีระบบ MIS ที่เก็บข้อมูลเกี่ยวกับหนี้สินที่บริษัทขอเราติดค้างผู้ขายอยู่ แต่ระบบเก็บข้อมูลผู้ขายได้เพียง 1,000 รายเท่านั้น แต่ปัจจุบันผู้ขายมีระบบเก็บข้อมูลถึง 900 ราย และอนาคตอันใกล้นี้จะเกิน 1,000 ราย ดังนั้นฝ่ายบริหารจึงเรียกนักวิเคราะห์ระบบเข้ามาศึกษา แก้ไขระบบงาน
ปัญหาต่อไปคือ นักวิเคราะห์ระบบจะต้องกำหนดให้ได้ว่าการแก้ไขปัญหาดังกล่าวมีความเป็นไปได้ทางเทคนิคและบุคลากร ปัญหาทางเทคนิคก็จะเกี่ยวข้องกับเรื่องคอมพิวเตอร์ และเครื่องมือเก่าๆถ้ามี รวมทั้งเครื่องคอมพิวเตอร์ซอฟต์แวร์ด้วย ตัวอย่างคือ คอมพิวเตอร์ที่ใช้อยู่ในบริษัทเพียงพอหรือไม่ คอมพิวเตอร์อาจจะมีเนื้อที่ของฮาร์ดดิสก์ไม่เพียงพอ รวมทั้งซอฟต์แวร์ ว่าอาจจะต้องซื้อใหม่ หรือพัฒนาขึ้นใหม่ เป็นต้น ความเป็นไปได้ทางด้านบุคลากร คือ บริษัทมีบุคคลที่เหมาะสมที่จะพัฒนาและติดตั้งระบบเพียงพอหรือไม่ ถ้าไม่มีจะหาได้หรือไม่ จากที่ใด เป็นต้น นอกจากนั้นควรจะให้ความสนใจว่าผู้ใช้ระบบมีความคิดเห็นอย่างไรกับการเปลี่ยนแปลง รวมทั้งความเห็นของผู้บริหารด้วย
ขั้นตอนที่ 3 การวิเคราะห์ (Analysis)
เริ่มเข้าสู่การวิเคราะห์ระบบ การวิเคราะห์ระบบเริ่มตั้งแต่การศึกษาระบบการทำงานของธุรกิจนั้น ในกรณีที่ระบบเราศึกษานั้นเป็นระบบสารสนเทศอยู่แล้วจะต้องศึกษาว่าทำงานอย่างไร เพราะเป็นการยากที่จะออกแบบระบบใหม่โดยที่ไม่ทราบว่าระบบเดิมทำงานอย่างไร หรือธุรกิจดำเนินการอย่างไร หลังจากนั้นกำหนดความต้องการของระบบใหม่ ซึ่งนักวิเคราะห์ระบบจะต้องใช้เทคนิคในการเก็บข้อมูล (Fact-Gathering Techniques) ดังรูป ได้แก่ ศึกษาเอกสารที่มีอยู่ ตรวจสอบวิธีการทำงานในปัจจุบัน สัมภาษณ์ผู้ใช้และผู้จัดการที่มีส่วนเกี่ยวข้องกับระบบ เอกสารที่มีอยู่ได้แก่ คู่มือการใช้งาน แผนผังใช้งานขององค์กร รายงานต่างๆที่หมุนเวียนใน ระบบการศึกษาวิธีการทำงานในปัจจุบันจะทำให้นักวิเคราะห์ระบบรู้ว่าระบบจริงๆทำงานอย่างไร ซึ่งบางครั้งค้นพบข้อผิดพลาดได้ ตัวอย่าง เช่น เมื่อบริษัทได้รับใบเรียกเก็บเงินจะมีขั้นตอนอย่างไรในการจ่ายเงิน ขั้นตอนที่เสมียนป้อนใบเรียกเก็บเงินอย่างไร เฝ้าสังเกตการทำงานของผู้เกี่ยวข้อง เพื่อให้เข้าใจและเห็นจริงๆ ว่าขั้นตอนการทำงานเป็นอย่างไร ซึ่งจะทำให้นักวิเคราะห์ระบบค้นพบจุดสำคัญของระบบว่าอยู่ที่ใด
การสัมภาษณ์เป็นศิลปะอย่างหนึ่งที่นักวิเคราะห์ระบบควรจะต้องมีเพื่อเข้ากับผู้ใช้ได้ง่าย และสามารถดึงสิ่งที่ต้องการจากผู้ใช้ได้ เพราะว่าความต้องการของระบบคือ สิ่งสำคัญที่จะใช้ในการออกแบบต่อไป ถ้าเราสามารถกำหนดความต้องการได้ถูกต้อง การพัฒนาระบบในขั้นตอนต่อไปก็จะง่ายขึ้น เมื่อเก็บรวบรวมข้อมูลแล้วจะนำมาเขียนรวมเป็นรายงานการทำงานของ ระบบซึ่งควรแสดงหรือเขียนออกมาเป็นรูปแทนที่จะร่ายยาวออกมาเป็นตัวหนังสือ การแสดงแผนภาพจะทำให้เราเข้าใจได้ดีและง่ายขึ้น หลังจากนั้นนักวิเคราะห์ระบบ อาจจะนำข้อมูลที่รวบรวมได้นำมาเขียนเป็น "แบบทดลอง" (Prototype) หรือตัวต้นแบบ แบบทดลองจะเขียนขึ้นด้วยภาษาคอมพิวเตอร์ต่างๆ และที่ช่วยให้ง่ายขึ้นได้แก่ ภาษายุคที่ 4 (Fourth Generation Language) เป็นการสร้างโปรแกรมคอมพิวเตอร์ขึ้นมาเพื่อใช้งานตามที่เราต้องการได้ ดังนั้นแบบทดลองจึงช่วยลดข้อผิดพลาดที่อาจจะเกิดขึ้นได้
ขั้นตอนที่4 : การออกแบบ (Design)ในระยะแรกของการออกแบบ นักวิเคราะห์ระบบจะนำการตัดสินใจ ของฝ่ายบริหารที่ได้จากขั้นตอนการวิเคราะห์การเลือกซื้อคอมพิวเตอร์ ฮาร์ดแวร์และซอฟต์แวร์ด้วย (ถ้ามีหรือเป็นไปได้) หลังจากนั้นนักวิเคราะห์ระบบจะนำแผนภาพต่างๆ ที่เขียนขึ้นในขั้นตอนการวิเคราะห์มาแปลงเป็นแผนภาพลำดับขั้น (แบบต้นไม้) ดังรูปข้างล่าง เพื่อให้มองเห็นภาพลักษณ์ที่แน่นอนของโปรแกรมว่ามีความสัมพันธ์กันอย่างไร และโปรแกรมอะไรบ้างที่จะต้องเขียนในระบบ หลังจากนั้นก็เริ่มตัดสินใจว่าควรจะจัดโครงสร้างจากโปรแกรมอย่างไร การเชื่อมระหว่างโปรแกรมควรจะทำอย่างไร ในขั้นตอนการวิเคราะห์นักวิเคราะห์ระบบต้องหาว่า "จะต้องทำอะไร (What)" แต่ในขั้นตอนการออกแบบต้องรู้ว่า " จะต้องทำอย่างไร(How)"
ในการออกแบบโปรแกรมต้องคำนึงถึงความปลอดภัย (Security) ของระบบด้วย เพื่อป้องกันการผิดพลาดที่อาจจะเกิดขึ้น เช่น "รหัส" สำหรับผู้ใช้ที่มีสิทธิ์สำรองไฟล์ข้อมูลทั้งหมด เป็นต้น
ขั้นตอนที่ 5 : การพัฒนาระบบ (Construction)ในขั้นตอนนี้โปรแกรมเมอร์จะเริ่มเขียนและทดสอบโปรแกรมว่า ทำงานถูกต้องหรือไม่ ต้องมีการทดสอบกับข้อมูลจริงที่เลือกแล้ว ถ้าทุกอย่างเรียบร้อย เราจะได้โปรแกรมที่พร้อมที่จะนำไปใช้งานจริงต่อไป หลังจากนั้นต้องเตรียมคู่มือการใช้และการฝึกอบรมผู้ใช้งานจริงของระบบ
ระยะแรกในขั้นตอนนี้นักวิเคราะห์ระบบต้องเตรียมสถานที่สำหรับ เครื่องคอมพิวเตอร์แล้วจะต้องตรวจสอบว่าคอมพิวเตอร์ทำงานเรียบร้อยดี
โปรแกรมเมอร์เขียนโปรแกรมตามข้อมูลที่ได้จากเอกสารข้อมูลเฉพาะของการออกแบบ (Design Specification) ปกติแล้วนักวิเคราะห์ระบบไม่มีหน้าที่เกี่ยวข้องในการเขียนโปรแกรม แต่ถ้าโปรแกรมเมอร์คิดว่าการเขียนอย่างอื่นดีกว่าจะต้องปรึกษานักวิเคราะห์ระบบเสียก่อน เพื่อที่ว่านักวิเคราะห์จะบอกได้ว่าโปรแกรมที่จะแก้ไขนั้นมีผลกระทบกับระบบทั้งหมดหรือไม่ โปรแกรมเมอร์เขียนเสร็จแล้วต้องมีการทบทวนกับนักวิเคราะห์ระบบและผู้ใช้งาน เพื่อค้นหาข้อผิดพลาด วิธีการนี้เรียกว่า "Structure Walkthrough " การทดสอบโปรแกรมจะต้องทดสอบกับข้อมูลที่เลือกแล้วชุดหนึ่ง ซึ่งอาจจะเลือกโดยผู้ใช้ การทดสอบเป็นหน้าที่ของโปรแกรมเมอร์ แต่นักวิเคราะห์ระบบต้องแน่ใจว่า โปรแกรมทั้งหมดจะต้องไม่มีข้อผิดพลาด
ขั้นตอนที่ 6 : การปรับเปลี่ยน (Construction)ขั้นตอนนี้บริษัทนำระบบใหม่มาใช้แทนของเก่าภายใต้การดูแลของนักวิเคราะห์ระบบ การป้อนข้อมูลต้องทำให้เรียบร้อย และในที่สุดบริษัทเริ่มต้นใช้งานระบบใหม่นี้ได้
การนำระบบเข้ามาควรจะทำอย่างค่อยเป็นค่อยไปทีละน้อย ที่ดีที่สุดคือ ใช้ระบบใหม่ควบคู่ไปกับระบบเก่าไปสักระยะหนึ่ง โดยใช้ข้อมูลชุดเดียวกันแล้วเปรียบเทียบผลลัพธ์ว่าตรงกันหรือไม่ ถ้าเรียบร้อยก็เอาระบบเก่าออกได้ แล้วใช้ระบบใหม่ต่อไป
ขั้นตอนที่ 7 : บำรุงรักษา (Maintenance)การบำรุงรักษาได้แก่ การแก้ไขโปรแกรมหลังจากการใช้งานแล้ว สาเหตุที่ต้องแก้ไขโปรแกรมหลังจากใช้งานแล้ว สาเหตุที่ต้องแก้ไขระบบส่วนใหญ่มี 2 ข้อ คือ 1. มีปัญหาในโปรแกรม (Bug) และ 2. การดำเนินงานในองค์กรหรือธุรกิจเปลี่ยนไป จากสถิติของระบบที่พัฒนาแล้วทั้งหมดประมาณ 40% ของค่าใช้จ่ายในการแก้ไขโปรแกรม เนื่องจากมี "Bug" ดังนั้นนักวิเคราะห์ระบบควรให้ความสำคัญกับการบำรุงรักษา ซึ่งปกติจะคิดว่าไม่มีความสำคัญมากนัก
เมื่อธุรกิจขยายตัวมากขึ้น ความต้องการของระบบอาจจะเพิ่มมากขึ้น เช่น ต้องการรายงานเพิ่มขึ้น ระบบที่ดีควรจะแก้ไขเพิ่มเติมสิ่งที่ต้องการได้
การบำรุงรักษาระบบ ควรจะอยู่ภายใต้การดูแลของนักวิเคราะห์ระบบ เมื่อผู้บริหารต้องการแก้ไขส่วนใดนักวิเคราะห์ระบบต้องเตรียมแผนภาพต่าง ๆ และศึกษาผลกระทบต่อระบบ และให้ผู้บริหารตัดสินใจต่อไปว่าควรจะแก้ไขหรือไม่
วันอาทิตย์ที่ 15 พฤศจิกายน พ.ศ. 2558
บทที่ 11 เรื่องที่ 2 การวางแผนระบบสารสนเทศ
1. กำหนดหน้าที่ภารกิจของหน่วยงานสารสนเทศ เพื่อทำหน้าที่ในการวางแผนด้านระบบสารสนเทศ คือหน้าที่ของผู้บริหารระดับสูงขององค์กร
2. ประเมินสภาวะแวดล้อม เป็นการจำแนกว่ามีโอกาสหรือความเสี่ยงใด ๆ จากการนำระบบสารสนเทศมาใช้ในองค์กร
3. กำหนดวัตถุประสงค์ด้านระบบสารสนเทศ เป็นการระบุว่าระบบที่ได้คิดไว้จะให้อะไรต่อองค์กรได้บ้าง โดยสอดคล้องกับวัตถุประสงค์เชิงกลยุทธ์ขององค์กรด้วย
4. กำหนดแนวทางด้านกลยุทธ์อย่างกว้าง ๆ ให้สอดคล้องกับวัตถุประสงค์ข้างต้น
5. กำหนดนโยบายด้านสารสนเทศ กำหนดนโยบายให้สอดคล้องกับแผนกลยุทธ์ที่ได้วางไว้ ซึ่งการกำหนดนโยบายจะต้องคำนึงถึงทรัพยากรและขีดจำกัดอื่น ๆ ที่มีอยู่
6. นำวัตถุประสงค์ กลยุทธ์ และนโยบายมาจัดทำเป็นแผนระยะยาวและระยะสั้น เพื่อกำหนดทิศทางที่องค์กรจะดำเนินการหรือก้าวต่อไป
7. ทำแผนงานที่กำหนดเป็นรูปธรรมแล้วนำไปดำเนินการ เมื่อแผนงานได้ทำเป็นรูปธรรมแล้วก็จะนำไปดำเนินการ
การวางแผนระยะยาว
เป็นแผนแม่บททางด้านสารสนเทศ กำหนดระยะเวลาประมาณ 3-5 ปี โดยเนื้อหาของแผนระยะยาวจะต้องครอบคลุมรายละเอียดดังนี้
- คำอธิบายวัตถุประสงค์
- สภาพแวดล้อมระบบสารสนเทศในอนาคต
- กลยุทธ์ต่าง ๆ เกี่ยวกับระบบสารสนเทศ
- แผนการพัฒนาระบบ และระบบที่เป็นอยู่
- แผนบุคลากร
- แผนงบประมาณและค่าใช้จ่าย
- แผนการจัดองค์การ
- แผนการฝึกอบรม
- แผนการจัดหาฮาร์ดแวร์
- สรุปข้อเสนอแนะในการดำเนินการ
- ทำให้เห็นแนวทางในการพัฒนาระบบสารสนเทศ และเป็นการเตรียมทรัพยากรต่าง ๆ ที่จำเป็นต้องใช้ในการนำระบบไปใช้
- กำหนดขั้นตอนในการพัฒนาระบบให้ได้รับประโยชน์มากที่สุด
- เกิดการพัฒนาระบบแบบผสมผสานที่ต่อเนื่อง และทำงานร่วมกันได้โดยไม่มีข้อขัดแย้ง
- ป้องกันไม่ให้แผนกต่าง ๆ พัฒนาระบบขึ้นเองตามใจชอบ เพราะจะทำให้เกิดความสับสน และเกิดความซ้ำซ้อนของข้อมูลภายในองค์กร
แผนระยะยาวที่กล่าวมาแล้วข้างต้นจะทำให้เกิดประโยชน์ ดังต่อไปนี้
ส่วนสำคัญของการวางแผนระยะยาว คือ การกำหนดโครงสร้างของระบบสารสนเทศทั้งหน่วยงาน หรือองค์กร โดยให้สอดคล้องกับวัตถุประสงค์ กลยุทธ์ และนโยบาย
การวางแผนระยะสั้น
หรือแผนงานประยุกต์โดยใช้เวลาประมาณ 1-2 ปี โดยการนำแผนระยะยาวที่ผ่านการอนุมัติแล้วมาตั้งเป็นแนวทางและขยายรายละเอียดของโครงการต่าง ๆ ซึ่งมีรายละเอียดเกี่ยวกับด้านการดำเนินการ ด้านการจัดงบประมาณ ด้านการบุคลากร และตารางเวลาที่แน่ชัด โดยที่เนื้อหาของแผนระยะสั้นนี้จะต้องมีเนื้อหาครอบคลุมในเรื่องดังต่อไปนี้
1. วัตถุประสงค์ด้านบริการสารสนเทศ เกี่ยวกับทรัพยากรและงบประมาณ ตลอดจนการจัดการอุปกรณ์ฮาร์ดแวร์ และซอฟต์แวร์
2. แผนการพัฒนาปรับปรุงและดูแลระบบ เป็นการนำแผนระบบงานแต่ละระบบมาอธิบายขยายความในรายละเอียด โดยครอบคลุมถึงวัตถุประสงค์ ทรัพยากร และตารางเวลา
3. แผนการปฏิบัติ อธิบายเนื้องานและปริมาณงานต่าง ๆ ที่จะต้องปฏิบัติ เช่น การบันทึกข้อมูล การเดินเครื่องคอมพิวเตอร์ การควบคุมคุณภาพ
4. แผนสนับสนุนด้านเทคนิค อธิบายกิจการและทรัพยากรต่าง ๆ ที่จะต้องใช้ในการสนับสนุนการพัฒนาระบบสารสนเทศ การติดตั้งเครื่องมือ การติดตั้งซอฟต์แวร์
5. แผนอัตรากำลัง อธิบายถึงการเปลี่ยนแปลงอัตรากำลังคน การจัดอัตรากำลังในแต่ละโครงการ การจัดรูปแบบงานต่าง ๆ ในแต่ละโครงการ
6. แผนการฝึกอบรม อธิบายถึงขั้นตอน และรายละเอียดการจัดการฝคกอบรมให้กับพนักงานและเจ้าหน้าที่ที่เกี่ยวข้อง
7. แผนการเงิน เป็นการอธิบายรายละเอียดเกี่ยวกับงบประมาณ และค่าใช้จ่ายต่าง ๆ ในการดำเนินงานตามแผน
เครื่องมือที่ใช้ในการวางแผนจัดการสารสนเทศ
เครื่องมือที่ใช้ในการวางแผนสารสนเทศ มีดังนี้
1. Delphi Technique
2. Value-Added Chain
3. Critical – Success Factors
4. Gantt Chart
5. PERT/CPM
6. WBS (Work Breakdown Structure)
7. Risk Analysis and Management
8. Brain Mapper
9. Software Package
..... อ่านต่อได้ที่: https://www.gotoknow.org/posts/453860
สมัครสมาชิก:
บทความ (Atom)