Archive for มกราคม, 2013

Cloud and Integrated GRC and Integrated IT – GRC

ปัจจุบันหลายองค์กรในหลาย ๆ ประเทศ ทั้งภาครัฐและเอกชน ต่างให้ความสนใจในการใช้ Cloud ซึ่งมีการประชาสัมพันธ์ว่า สะดวก รวดเร็ว คล่องตัว และประหยัด ทำให้ผู้บริหารระดับประเทศ ระดับองค์กรต่าง ๆ ให้ความสนใจเป็นอย่างมาก และมีความต้องการใช้เทคโนโลยี “Cloud”

วันนี้ผมจึงมีเรื่องพูดคุยกันในหัวข้อที่น่าสนใจคือ Cloud Security Alliance – CSA ที่เกี่ยวข้องกับผู้มีผลประโยชน์ร่วม (Stakeholders) ในทุกระดับว่า ควรจะมีแนวทางในการตัดสินใจอย่างไรบ้างเกี่ยวกับการใช้ Cloud เพราะหากไม่เข้าใจในเรื่อง Cloud อย่างแท้จริง โดยเฉพาะอย่างยิ่ง การบริหารจัดการกับความเสี่ยงที่ยอมรับได้ในมุมมองต่าง ๆ ก็จะก่อให้เกิดผลเสียเกินกว่าที่จะยอมรับได้นั้น จะมีแนวทางพิจารณาในเบื้องต้นอย่างไร ก่อนที่จะลงในรายละเอียดเพื่อตัดสินใจในเรื่องการใช้ Cloud เพราะมีต้นทุนในการตัดสินใจที่สูงมาก หากผู้บริหารตัดสินใจใช้ Cloud โดยไม่เข้าใจผลกระทบอย่างแท้จริงในมุมมองต่าง ๆ ที่มีผลต่อการดำเนินงาน ซึ่งอาจมีผลถึงการดำเ้นินงานอย่างต่อเนื่องอย่างมีนัยสำคัญได้ ซึ่งเป็นการพิสูจน์ในที่สุดว่า องค์กรได้ตัดสินใจผิดพลาดแล้วจากความไม่พร้อมในกระบวนการบริหารจัดการกับความเสี่ยงอย่างบูรณาการ (Integrated Risk Management)

จากที่ผมได้กล่าวถึงข้างต้น เราควรจะมีแนวทางสร้างความเข้าใจร่วมกันในระดับหนึ่งของกลุ่มผู้ใช้ระบบ เมื่อมีการใช้ Cloud และผลกระทบที่เกิดขึ้นต่อธุรกิจในระดับ PPP- Public Private Partnership ตลอดจนมุมมองที่ผู้บริหารควรทราบก่อนการตัดสินใจใช้ Cloud และการใช้ Cloud เป็นสะพานเชื่อมโยงไปสู่กลยุทธ์ต่าง ๆ ในการวางแผนการดำเนินงานขององค์กร

การบริหารในแบบบูรณาการหรือ Integrated-GRC หรือ Integrated IT – GRC ที่มีเรื่อง Cloud นั้น มีความจำเป็นและเป็นสิ่งสำคัญอย่างยิ่งของทุกองค์กร และประเทศ ที่สนใจในการใช้ Cloud ไม่ว่าจะเป็น Private cloud หรือ Public cloud เนื่องมาจากค่าใช้จ่ายที่ประหยัดได้มากกว่า มีความสะดวกมากกว่าตามที่รับทราบกันมานั้น ว่า คุ้มค่ากับ Value driver ที่มาคู่กับ Risk driver จากการมีการใช้ Cloud ของผู้ต้องการใช้ในระดับต่าง ๆ มีความเข้าใจในการจัดการกับความเสี่ยงที่เหมาะสม เพื่อขับเคลื่อน Enterprise goals ได้ตามเป้าหมายที่กำหนด และมีตัวชี้วัดอะไร ในการติดตามและประเมินความสำเร็จดังกล่าวที่เป็นรูปธรรม

ประเด็นที่น่าคิดและพิจารณาของคณะกรรมการและผู้บริหารของทุกองค์กรและในระดับประเทศก็คือ เราทราบแล้วหรือยังว่า ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ของการใช้ Cloud ในมุมมองต่าง ๆ ของ Stakeholders ที่มีผลต่อการขับเคลื่อน Enterprise goals ตามเป้าประสงค์หลักทั้งสี่ของ Performance ที่ควรได้ดุลยภาพกับ Conformance และสัมพันธ์อย่างแนบแน่นกับ IT-related Goals คืออะไร องค์กรหรือประเทศจะสนองตอบและมีคำตอบที่ดี เป็นที่ยอมรับได้ทุกมุมมองอย่างได้ดุลยภาพของ Stakeholder ต่าง ๆ นั้น ควรพิจารณาจากปัจจัยอะไรบ้าง

เราควรหาคำคอบและมีแนวทางร่วมกันว่า Cloud Security Alliance – CSA นั้นมีช่องว่างอะไรที่สำคัญเมื่อเทียบกับ Standards-Good practice-Good Framework ที่เกี่ยวกับ IT / IS Security -> IT – related Goals and Enterprise goals สู่เป้าหมายขององค์กร เพื่อสนองตอบต่อ Internal & External Stakeholder หรือ Domestic and International ของทุกกลุ่มได้อย่างลงตัว และผู้บริหารจะมีแนวทางพิจารณาอย่างไรว่า องค์กร/ประเทศ มีคุณภาพในการบริหารผลประโยชน์ต่าง ๆ ด้วยการบริหารความเสี่ยง และบริหารทรัพยากรที่มีคุณภาพอย่างเหมาะสม เมื่อองค์กร / ประเทศจะใช้ หรือใช้ Cloud แล้วในการตอบสนองความต้องการของ Stakeholder ระดับต่าง ๆ อย่างมั่นใจได้

ผมจะนำเรื่องนี้มาแลกเปลี่ยนความคิดเห็นกันในโอกาสต่อไปนะครับ

 
https://www.amazon.com/Bikeroo-Oversized-Comfort-Comfortable-Replacement/dp/B07B646ZZY/