Archive for กุมภาพันธ์, 2013

ASEAN CSA Summit 2013 Bangkok Thailand. GRC and Audit

ผมได้มีโอกาสเป็นผู้หนึ่งใน Panelists ในหัวข้อ Cloud Governance : Cloud and GRC (Audit) และเป็นผู้ร่วมรับฟังในหัวข้อที่น่าสนใจอื่น ๆ อีกหลายเรื่อง ในงาน ASEAN CSA Summit 2013 Bangkok Thailand ที่จัดขึ้นเมื่อวันที่ 7 – 8 กุมภาพันธ์ 2556 ณ โรงแรมเซ็นทาราแกรนด์ ที่เซ็นทรัลพลาซ่า ลาดพร้าว จึงขอนำมาเล่าสู่กันฟังสั้นตามที่ผมเข้าใจในเบื้องต้นของภาพโดยรวมของงานดังนี้

As we are on the path towards the strategic roadmap of ASEAN ICT Master Plan 2015 to harness ICT to drive all strategic initiatives for ASEAN Economic Community (AEC), Cloud Computing has definitely presented the potential to enable ASEAN’s social and economic integration. The aim of the ASEAN CSA Summit- Bangkok 2013 is to build shared understanding in the role of cloud computing on ASEAN economy and its impact on business at national level as well as ASEAN level through public- private partnership (PPP) initiatives. There are several important factors and issues concerning both opportunities and challenges business and IT executives need to consider when making Cloud adoption decision.

Despite its potential business values such as cost savings, flexibility, and better resource optimization, several relevant risks have emerged and those, if left unmanaged, will prevent us from realizing business benefits of clouds. To achieve value realization as well as risk optimization of Cloud technology- both Public and Private platforms, it is crucial for every organization and country to pursue an integrated management approach, known as Integrated-Governance, Risk, and Compliance (GRC) or Integrated IT-GRC. That said, not only Value driver but also Risk driver of cloud computing has to be considered, well understood, and managed properly at all organizational levels and stakeholders.

It is essential for the management committee/board to assure the alignment of ASEAN goals and Enterprise goals which need to be cascaded down to IT-related goals regarding Cloud Computing environment with respective proper measures and target outcomes in order to monitor and evaluate value realization of cloud investments. Such alignments ought to address all the needs and concerns from various stakeholders including governments, citizens, businesses, and users with respect to expected value and risk appetite in order to achieve optimal level of enterprise performance and conformance.

In sum, ASEAN CSA Summit –Bangkok 2013 is a forum for sharing, discussing, collaborating, and setting a common direction for ASEAN Cloud Computing initiatives. The summit offers various sessions to discuss current critical gaps Cloud Security Alliance-CSA has against standards, good practices, and frameworks regarding IT/IS security driven by enterprise goals and ASEAN goals. The possible solutions to address those gaps at enterprise and national levels will also be discussed to provide guidance for CIOs, business leaders, and government agencies to consider and pursue in order to achieve benefits realization and effective risk management of Cloud Computing, as well as to optimize ICT resources.

ผมขอนำสไลด์ที่ใ้ช้ในการเป็น Panelist เพียง 2-3 สไลด์มาใช้ประกอบให้ท่านผู้อ่านได้ติดตามได้สะดวกขึ้น สำหรับสไลด์ที่เหลืออีกประมาณ 35 สไลด์นั้น ให้ท่านติดตามได้จาก www.csathailand.org นะครับ เพราะผมเองในการร่วมเป็น Panelist ก็ใช้เพียง 2-3 สไลด์หลัก ๆ นี้เท่านั้น

ความจริงข้อมูลข้างต้นผมได้ัจัดทำและนำเผยแพร่ตามที่ผมเข้าใจในกรอบของการจัดงาน ASEAN CSA Summit 2013 Bangkok Thailand ก่อนที่จะเข้ารับฟังและร่วมเป็น Panelists ในหัวข้อ Cloud Governance : Cloud and GRC (Audit) และหลังจากการมีส่วนร่วมในงานนี้แล้ว ผมก็ยังเข้าใจว่า ข้อมูลที่ได้เขียนไว้ก่อนหน้านี้ยังสามารถนำมาสื่อสารและสรุปตามที่กล่าวข้างต้นได้

สำหรับหัวข้อของผมที่พูดถึงเรื่อง GRC และ Audit เนื่องจากมีเวลาค่อนข้างจำกัดมาก ผมจึงอธิบายเรื่อง GRC และ Audit ได้ไม่เต็มที่นัก จึงขอเล่าสู่กันฟังเพิ่มเติมดังนี้ครับ

G+R+C ไม่เท่ากับ และไม่เป็น GRC และไม่ใช่ Integrated GRC อีกด้วย …ฟังแล้วก็อาจอยากฟังต่อ ก็ขออธิบายเชิงเปรียบเทียบเรื่องใกล้ๆตัวนะครับว่า…หิน+ปูน+ทราย ไม่เท่ากับ หรือไม่เป็น “ซิเมนต์” แต่เมื่อนำน้ำผสมคลุกเคล้ากับ หิน+ปูน+ทราย ก็จะได้ “ซิเมนต์” ณที่นี้ ซิเมนต์ก็คือมุมมองของ GRC หรือ Integrated GRC นั่นเอง…น้ำคือ “ความเข้าใจ” ในหลักการและกระบวนการทำงานของ GRC ที่ต้องผสมผสานกับหลักการบริหารแบบบูรณาการ/Integrated Management …หากจะพูดหรืออธิบายว่า..ซิเมนต์ ประกอบด้วย หิน+ปูน+ทราย ผสมกับน้ำ…นั่นคือ หลักการบริหารแบบบูรณการยุคใหม่ที่ไม่อาจบริหารแบบ SILO ให้ได้ผลตามความต้ัองการของผู้มีผลประโยชน์ร่วมได้อีก โดยเฉพาะอย่างยิ่งในยุค “Governance Enterprise of IT หรือ GEIT”

การอธิบาย GRC ในเวลาที่จำกัดตามที่กล่าวข้างต้นพอที่จะทำให้ท่านผู้อ่านได้เข้าใจความหมายของ GRC ได้ดีขึ้นระดับหนึ่ง แต่รายละเอียดต่าง ๆ ที่เกี่ยวข้องกับการบริหารและการจัดการแบบบูรณาการในลักษณะ Integrated Management and Audit นั้น คงต้องเล่ากันเป็นซีรีย์ยาวในโอกาสต่อ ๆ ไปนะครับ

 

งาน ASEAN CSA-Cloud Security Alliance Summit – Bangkok 2013

วันนี้ผมจะได้พูดถึงเรื่องที่เกี่ยวข้องกับการจัดงาน ASEAN CSA Summit – Bangkok 2013 ในบางมุมมอง ดังนี้นะครับ

ASEAN CSA Summit – Bangkok 2013 จะมีแนวทางสร้างความเข้าใจร่วมกันในระดับหนึ่งของประชาชาติ ASEAN เมื่อมีการใช้ Cloud และผลกระทบที่เกิดขึ้นต่อธุรกิจในระดับ PPP- Public Private Partnership ตลอดจนมุมมองที่ผู้บริหารควรทราบก่อนการตัดสินใจใช้ Cloud และการใช้ Cloud เป็นสะพานเชื่อมโยง ASEAN ICT Master Plan กับ กลยุทธ์ต่างๆของ AEC ในปี 2015

การบริหารในแบบบูรณาการหรือ Integrated-GRC หรือ Integrated IT – GRC ที่มีเรื่อง Cloud นั้น มีความจำเป็นและมีความสำคัญยิ่งของทุกองค์กรและประเทศ ที่สนใจในการใช้ Cloud ไม่ว่าจะเป็น Private cloud หรือ Public cloud เนื่องมาจากค่าใช้จ่ายที่ประหยัดได้มากกว่า มีความสะดวกมากกว่าตามที่รับทราบกันมานั้น ว่า คุ้มค่ากับ Value driver ที่มาคู่กับ Risk driver จากการมีการใช้ Cloud ของผู้ต้องการใช้ในระดับต่าง ๆ มีความเข้าใจในการจัดการกับความเสี่ยงที่เหมาะสม เพื่อขับเคลื่อน Enterprise goals และ/หรือ ASEAN goals ได้ตามเป้าหมายที่กำหนด และมีตัวชี้วัดอะไร ในการติดตามและประเมินความสำเร็จดังกล่าวที่เป็นรูปธรรม

ประเด็นที่น่าคิดและพิจารณาของคณะกรรมการและผู้บริหารของทุกองค์กรและในระดับประเทศก็คือ เราทราบแล้วยังว่า ความเสี่ยงที่ยอมรับได้ (Risk Appetite) ของการใช้ Cloud ในมุมมองต่าง ๆ ของ Stakeholders ที่มีผลต่อการขับเคลื่อน Enterprise goals ตามเป้าประสงค์หลักทั้งสี่ของ Performance ที่ควรได้ดุลยภาพกับ Conformance และสัมพันธ์อย่างแนบแน่นกับ IT-related Goals คืออะไร องค์กรหรือประเทศจะสนองตอบและมีคำตอบที่ดี เป็นที่ยอมรับได้ทุกมุมมองอย่างได้ดุลยภาพของ Stakeholder ต่าง ๆ นั้น ควรพิจารณาจากปัจจัยอะไรบ้าง

โดยงาน ASEAN CSA Summit 2013 ที่จะจัดขึ้นในวันที่ 7 – 8 กุมภาพันธ์ 2513 ที่โรงแรมเซ็นทารา แกรนด์ แอท เซ็นทรัลพลาซาลาดพร้าว กรุงเทพฯ ครั้งนี้ ผมเป็นผู้หนึ่งใน panalist ที่จะได้กล่าวถึงเรื่องของ Cloud Governance: Cloud and GRC (Audit) ซึ่งเป็นหัวข้อหรือ topic ในการเสวนา แสวงหาคำตอบ รวมถึงมีแนวทางร่วมกันว่า Cloud Security Alliance – CSA นั้นมีช่องว่างอะไรที่สำคัญเมื่อเทียบกับ Standards-Good practice-Good Framework ที่เกี่ยวกับ IT / IS Security -> IT – related Goals and Enterprise goals สู่ ASEAN หรือ AEC Goals เพื่อสนองตอบต่อ Internal & External Stakeholder หรือ Domestic and International ของทุกกลุ่มได้อย่างลงตัว และผู้บริหารจะมีแนวทางพิจารณาอย่างไรว่า องค์กร/ประเทศ มีคุณภาพในการบริหารผลประโยชน์ต่างๆด้วยการบริหารความเสี่ยง และบริหารทรัพยากรที่มีคุณภาพอย่างเหมาะสม เมื่อองค์กร /ประเทศจะใช้ หรือใช้ Cloud แล้วในการตอบสนองความต้องการของ Stakeholder ระดับต่าง ๆ อย่างมั่นใจได้

สำหรับงานที่จัดขึ้นนี้ยังมีรายละเอียดของหัวข้ออื่น ๆ ที่น่าสนใจอีกมากมาย ท่านผู้บริหาร หรือผู้ที่สนใจ หากมีโอกาสผมแนะนำให้ไปร่วมงาน โดยไม่มีค่าใช้จ่าย ซึ่งทุกท่านสามารถติดตามได้ที่ http://www.csathailand.org/ แล้วพบกันที่งานนะครับ