Get Adobe Flash player
ThaiEnglish (UK)
HOT NEWS

ค้นหาข้อมูลในเว็ป Logistics

ปฎิทินกิจกรรม

December 2017
S M T W T F S
26 27 28 29 30 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31 1 2 3 4 5 6
January 2018
S M T W T F S
31 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3

ความมั่นคงปลอดภัยของระบบสารสนเทศใน Supply Chain ต่อทางรอดทางธุรกิจ

นางสาวนันท์  บุญยฉัตร

วิศวกรโลหการชำนาญการ กองโลจิสติกส์

    

      จากสถานการณ์การระบาดของมัลแวร์คอมพิวเตอร์เรียกค่าไถ่ Wanna Cry ตั้งแต่วันที่ 12 พฤษภาคม 2560 โดยเครื่องคอมพิวเตอร์ที่ติดมัลแวร์ดังกล่าวจะไม่สามารถเปิดใช้งานข้อมูลใดๆได้เลย เว้นแต่ยอมจ่ายเงินสกุลดิจิทัลเสมือนจริง “บิตคอยน์” (Bit coin) เพื่อให้ได้รับรหัสมาปลดล็อก จนปั่นป่วนไปทั่วโลก ทำให้ประเทศไทยตื่นตัว ทั้งหน่วยราชการและเอกชน เพื่อรับมือกับภัยคุกคามทางด้านไอที โดยเฉพาะปัจจุบันที่อุตสาหกรรมไทยมุ่งเข้าสู่อุตสาหกรรม 4.0 ตามนโยบายของรัฐบาล และเพื่อเป็นการเพิ่มประสิทธิภาพการดำเนินงานขององค์กร จึงทำให้ผู้ประกอบการนำระบบเทคโนโลยีสารสนเทศมาใช้ในการดำเนินการทางธุรกิจเพื่อเชื่อมโยง กระบวนการผลิต และการทำธุรกรรมต่างๆ ใน Supply Chain มากขึ้น เช่น การใช้ระบบ ERP ในกระบวนการทำงานขององค์กร และการจัดเก็บข้อมูลในรูปแบบอิเล็คทรอนิกส์ เป็นต้น ดังนั้น ผู้ประกอบการไทยจึงมีความจำเป็นอย่างยิ่งในการเตรียมความพร้อมรับมือภัยคุกคามทางด้าน IT ซึ่งเครื่องมือหนึ่งในการลดความเสี่ยง คือ การนำระบบการจัดการมาตรฐาน ISO 22301 และมาตรฐาน ISO 27001 มาประยุกต์ใช้ในองค์กร

     มาตรฐาน ISO 22301 (มาตรฐานการบริหารความต่อเนื่องทางธุรกิจ) เป็นมาตรฐานสากลที่ให้ความสำคัญในการเตรียมความพร้อมรับมือกับภัยคุกคามต่างๆ ที่มีต่อธุรกิจ โดยองค์กรจะมีการวิเคราะห์และการจัดการความเสี่ยงขององค์กรอย่างเป็นระบบ และมีการจัดทำแผนฉุกเฉินทางธุรกิจกรณีที่เกิดภัยคุกคาม หรือแผนบริหารความต่อเนื่องทางธุรกิจ (Business Continuity Plan : BCP)  ซึ่ง BCP คือ ขั้นตอนการดำเนินการที่จะให้กิจการสามารถให้บริการหรือผลิต และส่งสินค้าให้ลูกค้าได้แม้จะอยู่ในสถานการณ์ที่เกิดภัยคุมคามที่ไม่สามารถคาดหมายได้ก่อนล่วงหน้าหรือไม่เคยเกิดขึ้นกับกิจการมาก่อน เช่น ภัยธรรมชาติ (เช่น แผ่นดินไหว
สึนามิ) การโจมตีของผู้ก่อนการร้าย หรือเกิดการแพร่กระจายของไวรัสคอมพิวเตอร์ เป็นต้น

     ส่วนมาตรฐาน ISO 27001 (มาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ) เป็นมาตรฐานที่สำคัญที่ช่วยให้องค์กรมีความสามารถในการบริหารจัดการสารสนเทศขององค์กรให้มีความมั่นคงปลอดภัยอย่างเป็นระบบ พร้อมในการใช้งาน โดยการประยุกต์ใช้กระบวนการบริหารความเสี่ยงทาง IT และมีการจัดทำแผนการกอบกู้ระบบ (Disaster Recovery Plan : DRP) เพื่อลดความเสี่ยงจากภัยคุกคามต่างๆ ซึ่งแผน DRP เป็นขั้นตอนการดำเนินการในการกู้ระบบเทคโนโลยีสารสนเทศ ในกรณีที่ระบบล่ม (System Down) ที่มาจากภัยคุมคาม โดยในรายละเอียดของแผนจะกล่าวถึงแผนโต้ตอบภาวะฉุกเฉิน (Emergency Response Procedure) กระบวนการสำรองข้อมูล (Extended Backup Operation) และการกู้คืนอุปกรณ์ที่สำคัญของระบบคอมพิวเตอร์ (Restoring Computing Facilities)

     จะเห็นได้ว่าแผน DRP เป็นส่วนหนึ่งของแผน BCP โดยแผน DRP จะเน้นด้าน IT เป็นหลัก ในขณะที่แผนBCP จะกล่าวถึงภาพรวมการดำเนินงานขององค์กรทั้งหมดจากความสัมพันธ์ที่เกี่ยวข้องกันนี้องค์กรจึงควรจัดทำแผน BCP และ DRP ร่วมกันเสมอเพราะเทคโนโลยีสารสนเทศมีความสำคัญต่อธุรกิจในปัจจุบันเป็นอย่างมากโดยเฉพาะในยุคดิจิตอล ถ้าเกิดการหยุดชะงักก็จะส่งผลกระทบต่อกระบวนการต่างๆ และส่งผลให้เกิดการหยุดชะงักของธุรกิจได้ ซึ่งการจัดทำแผนอาจแตกต่างกันในแต่ละประเภทและขนาดของกิจการ แต่ในบางธุรกิจระบบเทคโนโลยีสารสนเทศเป็นส่วนสำคัญในการนำข้อมูลในฐานข้อมูลกลับมาทำการเชื่อมโยงเพื่อให้เกิดการใช้งานในธุรกิจได้  ดังนั้น ต้องเน้นการประสานและเชื่อมโยงกันของแผน BCP กับแผน DRP เพื่อกอบกู้ระบบงานหลักของธุรกิจให้กลับมาอยู่ในสภาพพร้อมที่จะใช้งานตามปกติ

     ตัวอย่างกลยุทธ์ในการจัดทำแผน DRP คือ การจัดเตรียม DR-Site หรือ Disaster Recovery Site เป็น แนวทางในการกู้คืนระบบที่มีความสำคัญ ซึ่งเกิดจากภัยพิบัติต่างๆ อันเป็นเหตุให้ระบบ Data Center หลักหยุดให้บริการ จึงจำเป็นต้องใช้ Site สำรองในการทำงานแทนโดยมีทางเลือกในการดำเนินการสำหรับ DR-Site ดังนี้

  • - Hot Sites คือ การสร้างระบบสำรองที่เหมือนกับระบบหลัก โดยจะพร้อมทำงานแทนระบบหลักได้ทันที
  • - Warm Sites คือ คล้ายกับ Hot site แต่มีการใช้งานเพียงบางแอปพลิเคชั่นเท่านั้น หรือเป็นระบบสำรองที่สามารถทำงานได้เมื่อมีการอัพเดทข้อมูลที่ได้จากการทำสำรองข้อมูล
  • - Cold Sites คือ พื้นที่สำรองที่มีเพียงบริการพื้นฐานที่พร้อมใช้งานสำหรับการดำเนินการ โดยมีทรัพยากรที่จำกัด

     ดังนั้น เมื่อองค์กรได้เลือกกลยุทธ์แล้ว ก็มากำหนดหน้าที่ความรับผิดชอบและขั้นตอนการดำเนินการตามกลยุทธ์ที่ได้เลือกเพื่อรองรับภัยคุกคามที่จะเกิดขึ้นต่อไป

Add comment


Security code
Refresh

ข่าวสารบทความสำนักโลจิสติกส์

ข่าวประชาสัมพันธ์ สำนักโลจิสติกส์

ข่าวสารบทความ หน่วยงานภายนอก