Scribe Book 9 Part 1
IT Governance คือรูปแบบการจัดโครงสร้างองค์กรโดยการนำเอา IT เข้ามาใช้
โดยแต่ละองค์กรให้ความสำคัญกับ IT ไม่เท่ากัน เช่น ถ้าให้ความสำคัญมากก็อาจตั้งเป็น
Executive ขึ้นมาดูแล เช่น CKO หรือCIO หลักๆของคนที่จบ MIS ก็คือเพื่อผลิต CIO
(Chief Information Officer) รับผิดชอบงานรับผิดชอบระดับสูงที่เกี่ยวกับด้าน IT
CIO: Chief Information Officer
หมายถึงผู้บริหารสูงสุดทางด้าน IT ขององค์กร ในโลกยุค IT ปัจจุบันนั้น การจัดการที่มีประสิทธิภาพและประสิทธิผล ของหน่วยงานตลอดจนองค์กรนั้น เทคโนโลยีสารสนเทศเป็นสิ่งสำคัญทั้งต่อสาธารณะและต่อองค์กรเอง ทำอย่างไรหน่วยงานเทคโนโลยีสารสนเทศจึงจะทำให้องค์กรบรรลุเป้าหมายและวัตถุประสงค์ รวมถึงสามารถให้บริการลูกค้าได้ดี ทั้งองค์กรในภาครัฐและเอกชนต่างเล็งเห็นถึงความสำคัญของการนำเทคโนโลยีสารสนเทศมาใช้ขับเคลื่อนทิศทางขององค์กร
CIO นั้นเป็นตำแหน่งที่มีอำนาจหน้าที่ดูแลรับผิดชอบทุกสิ่งทุกอย่างที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศในองค์กร ซึ่งหมายรวมถึง มาตรฐาน กฎเกณฑ์ โครงสร้าง งบประมาณ กระบวนการให้ความรู้ บุคลากร ของหน่วยงานสารสนเทศ โดย CIO เป็นผู้ให้คำแนะนำแก่ CEO เกี่ยวกับเทคโนโลยีสารสนเทศ เป็นผู้รับผิดชอบในการพัฒนาทั้งความสัมพันธ์ที่เข้มแข็งทั้งภายในและภายนอกเพื่อทำให้ธุรกิจดำเนินไปได้ โดยสร้างความเชื่อถือให้กับหน่วยงาน IT (Information Technology: เทคโนโลยีสารสนเทศ) เป็นผู้วางแผนทั้งในระดับแผนกลยุทธ์ และแผนปฏิบัติการ รวมถึงงบประมาณด้าน IT เพื่อพัฒนา ให้ความรู้ และปฏิบัติการ เกี่ยวกับทรัพยากรสารสนเทศ ซึ่งรวมถึงการสื่อสารโทรคมนาคมทั้งข้อมูลและเสียง โดยเจ้าหน้าที่เทคโนโลยีสารสนเทศทุกคนรายงานตรงต่อ CIO
12 หน้าที่ความรับผิดชอบหลักของ CIO คือ
1. สนับสนุนองค์กร โดยเป็นผู้กำหนดนโยบาย IT มาใช้ในองค์กร
2. บริหารโครงสร้างพื้นฐานนี้ ซึ่งรวมถึง สถาปัตยกรรมระบบเครือข่ายที่ใช้
3. ที่ปรึกษาด้านกลยุทธ์ธุรกิจ
4. ใช้เทคโนโลยีวางแผนธุรกิจ
5. พัฒนาระบบในองค์กร
6. บริหารการจัดการ IT infrastructure ขององค์กร
7. จัดสรรทรัพยากรที่มีอยู่ หรือตัดสินใจว่าควรที่จะซื้อ เช่า หรือสร้างขึ้นเอง
8. สร้างความสัมพันธ์ไมตรีกับผู้พัฒนาระบบ
9. เป็นผู้เปลี่ยนแปลงเทคโนโลยีให้มีความเหมาะสมกับองค์กร
10. บริหารความพึงพอใจของลูกค้า
11. ฝึกอบรมพนักงานในองค์กรให้มีความรู้ IT
12. จัดเตรียมแผนรองรับความเสี่ยงที่จะเกิดขึ้นในองค์กร
CIO ควรจะมีทั้ง Technical Background และBusiness Background โดย CIO ควรจะมี Business Background ซึ่งมีความสำคัญกว่า Technical Background แต่หลายองค์กรมักจะ Promote CIO จาก Engineer ซึ่งมักจะเป็นในทางเทคนิค ซึ่งอาจจะมีปัญหาในส่วนของ Business vision
ปัจจุบันหลายองค์กรไม่ได้มีแค่ CIO เช่น IBM มี Chief innovation officer และบางองค์กรก็มี CPO CTO Chief Technology officer คือผู้บริหารที่มองว่าอะไรคือ emerging technology นำมาใช้ในองค์กรตำแหน่งและหน้าที่ (ไม่ได้มีในทุกองค์กรขึ้นอยู่กับการให้ความสำคัญ)
CIO VS CTO (Chief Technology Officer)
ความสัมพันธ์ของลักษณะการทำงานและบทบาทหน้าที่ของCIOและCTOในบางสถานการณ์ CTO อาจจะได้รับการยอมรับมากกว่า โดยอาจเป็นเพราะมีความจำเป็นที่ต้องใช้เทคโนโลยีเป็นพื้นฐานของบริษัท ซึ่งคนในองค์กรอาจต้องการมี CTO ที่เชี่ยวชาญในการเป็นผู้บริหารทางด้านเทคโนโลยีเฉพาะทาง ซึ่งในกรณีนี้ CTO มักจะได้เป็นนักบริหารเทคโนโลยีระดับสูงของบริษัท
CKO (Chief Knowledge Officer)
โดย CKO มีหน้าที่และความรับผิดชอบ เป็นผู้บริหารด้านการจัดการองค์ความรู้ในส่วนราชการสนับสนุน และผลักดันให้การจัดการองค์ความรู้ในสำนักงานฯ สัมฤทธิ์ผลอย่างเป็นรูปธรรม
บทบาท/ลักษณะที่สำคัญของ CKO (ผู้บริหารสูงสุดด้านการจัดการความรู้)
บทบาทของ CKO คือ
1. สร้างสิ่งแวดล้อมการเรียนรู้ให้เกิดขึ้นในองค์กร
2. ปักธง ว่า จะดำเนินการในเรื่องใดและด้วยวิธีใด
3. ปฏิบัติการ “เชียร์-ช่วย-ชี้”
- เชียร์ คือ การกระตุ้นให้เกิดการเรียนรู้ในองค์กร
- ช่วย คือ ช่วยในเรื่องต่างๆเพื่อให้เจ้าหน้าที่เข้าใจและสามารถทำได้
- ชี้ คือ ชี้แนะว่าควรจะทำอย่างไร เรื่องอะไร
คุณสมบัติของ CKO ที่ดี
1. มีความเป็นกัลยาณมิตร
2. การคิดที่เป็นระบบ
3. รู้จักใช้โอกาสต่างๆเพื่อสื่อสารเรื่อง KM
4. ค้นคว้าหาความรู้อยู่เสมอ
5. เป็นผู้ประสานงานที่ดี
6. สามารถรับฟังและให้คำปรึกษาแก่เจ้าหน้าที่อื่นๆได้
7. ต้องมีรองและทีมเป็นผู้ช่วย
CTO (Chief Telecommunications Officer)
บริหารจัดการระบบโทรศัพท์ เครือข่าย และเทคโนโลยีการสื่อสารขององค์กร
CNO (Chief Network Officer)
สร้าง และบำรุงเครือข่ายทั้งภายในและภายนอกองค์กร
CRO (Chief Resource Officer)
บริหารจัดการ Outsource
CISO/CSO (Chief Information security Officer)
ทำไมต้องมี CSO/ CISO
ในยุคที่โลกกลายเป็นเครือข่ายที่ไร้พรมแดน เราสามารถเข้าถึงข้อมูลข่าวสารซึ่งอยู่ในรูปแบบดิจิตอลได้อย่างรวดเร็ว Broadband Internet กำลังได้รับความนิยมเพิ่มขึ้น ขณะที่ไวรัสคอมพิวเตอร์ก็เริ่มทวีความรุนแรงเพิ่มเป็นเงาตามตัวเช่นกัน "Information Security" หรือ "InfoSec" กลายเป็นศาสตร์ที่เราต้องศึกษาเรียนรู้เพื่อป้องกันความปลอดภัยข้อมูลสารสนเทศที่อยู่ในระบบ เครือข่ายซึ่งมีการต่อเชื่อมกับระบบอินเทอร์เน็ตโดยใช้โปรโตคอล TCP/IP การจู่โจมของแฮกเกอร์และไวรัสมีอัตราเพิ่มสูงขึ้นตามอัตราการเพิ่มขึ้นของช่องโหว่ (Vulnerability) ในตัวโปรโตคอล TCP/IP เองและในระบบปฏิบัติการที่เราใช้อยู่เป็นประจำไม่ว่าจะเป็น Windows, UNIX หรือ Linux แต่เดิมเราเน้นเรื่องการป้องกันระบบความปลอดภัยข้อมูลสารสนเทศในมุมมองทางด้านเทคนิคเพียงอย่างเดียว โดยที่เราไม่ค่อยได้ให้ความสำคัญกับมุมมองในด้านการจัดการบริหารให้มี ประสิทธิภาพ และประสิทธิผล ปัญหาเรื่องความปลอดภัยข้อมูลสารสนเทศ ไม่ใช่แค่ซื้อ Firewall และ Anti-Virus Program แล้วจะจบ แต่กลายเป็นปัญหาด้านอื่นที่ต้องพิจารณาเช่นการทำ Patch Management, Users & Executives Information Security Awareness Training ตลอดจนปัญหาด้าน Physical Security ก็เป็นเรื่องที่มองข้ามไม่ได้เช่นกัน
CSO หรือ CISO เป็นตำแหน่งผู้บริหารระดับสูงทางด้านการรักษาความปลอดภัยให้กับโครงสร้างเครือข่ายและความปลอดภัยข้อมูลสารสนเทศ CSO มีหน้าที่ในการจัดการกับปัญหาความปลอดภัยดังกล่าว โดย CSO ต้องมีความเข้าใจในระบบธุรกิจเป็นอย่างดี (Business Process) และต้องเข้าใจเรื่องของการจัดการกับความเสี่ยง (Risk Management) ที่มีโอกาสเกิดขึ้นแล้วมีผลกระทบกับธุรกิจขององค์กรทั้งทางตรงและทางอ้อม ในมุมมองทั้งด้านเทคนิค การจัดการตลอดจนกำหนดนโยบายการรักษาความปลอดภัยระบบเครือข่ายและข้อมูลสารสนเทศให้ได้ตามมาตรฐานสากล โดยนำนโยบายมาตรฐานเช่น ISO/IEC17799 หรือ ISACA CobiT Framework มาจัดการกับระบบในองค์กรให้มีความปลอดภัยในลักษณะบรรษัทภิบาลหรือที่เราเรียกว่า "Corporate Governance"
ความรับผิดชอบของ CSO/ CISO 10 ข้อ
1. กำหนดเป้าหมาย นโยบายด้านการรักษาความปลอดภัยข้อมูล โดยกำหนดให้ไปในทิศทางเดียวกันกับแผนยุทธศาสตร์ขององค์กร (Corporate Strategic Plan)
2. จัดการพัฒนานโยบายด้านการรักษาความปลอดภัยข้อมูล Policy, Standard, Procedure and Guideline เพื่อให้องค์กรได้มาซึ่ง การรักษาความลับของข้อมูล (Confidentiality) การรักษาความถูกต้องของข้อมูล (Integrity) และเสถียรภาพความมั่นคงของระบบ (Availability) ยกตัวอย่าง การรับผิดชอบจัดทำแผน Information Security Awareness Training ให้กับบุคลากรขององค์กรที่ต้องใช้คอมพิวเตอร์ในการทำงานให้มีความรู้ความเข้าใจกับภัยอินเทอร์เน็ต
3. จัดการบริหารเฝ้าระวังการโจมตีระบบและภัยต่างๆ ที่อาจเกิดขึ้นกับระบบ โดยใช้ระบบเตือนผู้บุกรุก Intrusion Detection System (IDS), ระบบป้องกันผู้บุกรุก Intrusion Prevention System (IPS) หรือระบบจัดการกำจัดไวรัส (Anti-Virus Systems) ตลอดจนวางแผน Business Continuity และ Disaster Recovery (BCP and DRP) เพื่อกู้ระบบยามฉุกเฉิน
4. มีการบริหารความเสี่ยง (Risk Management) และการวิเคราะห์ความเสี่ยง (Risk Analysis) ที่อาจทำให้ระบบเกิดปัญหากระทบกับการดำเนินธุรกิจขององค์กร
5. นำเสนอผู้บริหารระดับสูงเช่น CIO หรือ CEO ในเรื่องของแผนการปฏิบัติงาน นโยบาย งบประมาณ อัตรากำลัง ตลอดจนแผนการ Outsource ด้านความปลอดภัยข้อมูลเพื่อขอดำเนินการอนุมัติ และเพื่อให้ผู้บริหารระดับสูงมีความตระหนัก (Awareness) ในความสำคัญเรื่อง Information Security
6. เป็นที่ปรึกษาด้านระบบความปลอดภัยข้อมูลให้กับแผนกอื่นๆ ที่ต้องใช้ IT ในการปฏิบัติงาน
7. ติดต่อและรักษาความสัมพันธ์กับคู่ค้า, องค์กร หรือบุคคลภายนอกที่มีความเกี่ยวข้องกับเรื่องความปลอดภัยข้อมูลทั้งภาครัฐและเอกชนเช่น ตำรวจ, นักข่าว, Systems Integrator (SI), Outsourcer, Managed Security Services Provider (MSSP) และผู้ตรวจสอบ (Auditor)
8. ออกข้อกำหนดในการจัดซื้อจัดจ้างระบบรักษาความปลอดภัยข้อมูลสารสนเทศ Requests for Proposal (RPF)
9. จัดตั้งและควบคุมบริหารทีม Incident Response เพื่อให้สามารถปฏิบัติงานในยามที่เกิดภาวะฉุกเฉินขึ้นในองค์กร เช่น การระบาดของไวรัสคอมพิวเตอร์
10. เตรียมพร้อมรับสถานการณ์และเรียนรู้เทคนิคใหม่ๆ ทางด้าน Information Security อย่างสม่ำเสมอ
คุณสมบัติของ CSO/ CISO
1. มีความรู้ความสามารถด้าน Information Technology และ Information Security ในระดับบริหารจัดการ และ ควรสอบผ่านประกาศนียบัตร CISSP (Certified Information Systems Security Professional) (see http://www.isc2.org)
2. มีคุณสมบัติความเป็นผู้นำและมีประสบการณ์การทำงานในระดับผู้จัดการระบบสารสนเทศมาไม่ต่ำกว่า 5 ปี และ มีอายุระหว่าง 30-45 ปี
3. ควรมีประสบการณ์เฉพาะด้าน Risk Management, BCP, DRP, IT Audit, SLA Contract and Vendor Negotiation
4. ควรมีประสบการณ์เกี่ยวกันการแก้ปัญหาที่เกี่ยวกับไวรัสคอมพิวเตอร์หรือแฮกเกอร์ ตลอดจนพื้นฐานความเข้าใจเรื่องกฎหมายอาชญากรรมคอมพิวเตอร์ (Computer Crime Laws)
5. มีความรู้เรื่องพื้นฐานด้านระบบความปลอดภัยเช่น Firewall, IDS, Anti-Virus, VPN, PKI, Vulnerability Assessment และ Penetration Testing
6. มีความสามารถและทักษะในการติดต่อสื่อสารกับผู้บังคับบัญชาและผู้ใต้บังคับบัญชาเป็นอย่างดี ทั้ง Technical Staff และ Non-Technical Staff
สรุปบทบาท CSO/CISO
กล่าวโดยสรุปตำแหน่ง CSO/ CISO เป็นตำแหน่งที่มีความสำคัญอย่างยิ่งในการบริหารงานความปลอดภัยระบบสารสนเทศขององค์กรในทุกวันนี้ และ ควรมีการกำหนดบทบาทหน้าที่ตลอดจนโครงสร้างขององค์กร (Organization Chart) ให้รองรับกับตำแหน่ง CSO/CISO ซึ่งอาจจะขึ้นกับ CIO หรือ ขึ้นกับ CEO โดยตรง เราควรพิจารณาตามลักษณะการดำเนินธุรกิจและยุทธศาสตร์ขององค์กรโดยมีจุดประสงค์หลัก คือลดผลกระทบจากความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กรให้น้อยที่สุดเท่าที่จะทำได้ (Risk Management and IT governance)
ที่มา http://www.acisonline.net/article_prinya_ciso.htm
กิจกรรมในแผนก IT ภายในองค์กรจะแบ่งได้เป็น 8 หน้าที่หลักๆคือ
• คิดเกี่ยวกับเทคโนโลยีใหม่ๆ และนำเสนอเทคโนโลยีเหล่านี้ต่อผู้บริหารขององค์กร
• มีส่วนร่วมในการกำหนด Strategies ขององค์กร
• นำเอาเทคโนโลยีเข้ามาประยุกต์ใช้ภายในองค์กร
• การตัดสินใจว่าจะสร้างเองหรือซื้อ (Software) เพื่อเอามาใช้ภายในองค์กร
• แผนก IT ควรจะเป็นคนติดต่อสื่อสาร และบริหารความสัมพันธ์ของบริษัทเรากับบริษัทที่เป็น Outsourcer
• ผู้กำหนด Standard ของเทคโนโลยีที่เข้ามาใช้ภายในองค์กร
• ผู้ที่ดูแลความปลอดภัยทางด้านเทคโนโลยี
• การวางแผนรองรับความเสี่ยง
แผนก IT จะเป็นผู้ที่เก็บข้อมูลและองค์ความรู้ต่างๆรวมถึงบริหารข้อมูลภายในองค์กรด้วย
การจัดการฐานข้อมูล (Database Administration) หมายถึง การจัดเก็บและรวบรวมข้อมูล รวมทั้งออกแบบรูปแบบในการจัดเก็บ พัฒนาและและเผยแพร่ข้อมูล โดยผู้ดูแลระบบฐานข้อมูล เรียกว่าDatabase Administrator ซึ่งทำหน้าที่ในการดูแลระบบฐานข้อมูลซึ่งนับว่าฐานข้อมูลเป็นเทคโนโลยีสำคัญกับองค์กรอย่างมาก
แผนกIT ยังต้องต้องเป็นผู้ที่บริหารโครงสร้าง IT เครือข่าย หรือ internet ภายในองค์กร
ระบบอินเทอร์เน็ตและเครือข่ายเป็นระบบที่สำคัญต่อองค์กรธุรกิจ ดังนั้น จะต้องมีการะบบดูแลและจัดการทรัพยากรในเครือข่ายให้สามารถทำงานได้อย่างเกิดประสิทธิภาพสูงสุดไม่ว่าจะเป็นในส่วนของ Intranet Extranet Web page และ email โดยผู้บริหารองค์กรต้องประสานงานร่วมกันกับทาง web master web designer และ web developers ซึ่งผู้ที่ดูแลระบบเครือข่ายจะทำหน้าที่ในการออกแบบ สร้าง และดูแลรักษาระบบให้สามารถเก็บรวบรวมข้อมูลรวมทั้งดูแลปริมาณข้อมูลที่มีในเครือข่ายไม่ให้มากจนเกินไปและนำมาใช้เพื่อตัดสินใจได้ โดยทางองค์กรจะต้องคำนึงถึงการติดต่อสื่อสารทั้งภายในและภายนอกองค์กรรวมทั้งค่าใช้จ่ายในการจัดการระบบ โดยการจัดการระบบจัดการระบบเครือข่ายคอมพิวเตอร์สามารถแบ่งออกเป็น 5 ส่วนคือ
1. การจัดการระบบความผิดพลาดของเครือข่าย (Fault Management)
2. การจัดการคุณสมบัติของอุปกรณ์ของเครือข่าย (Performance Management)
3. การจัดการรูปแบบของเครือข่าย (Configuration Management)
4. การจัดการระบบบัญชีของเครือข่าย (Accounting Management)
5. การจัดการระบบความปลอดภัยของเครือข่าย (Security Management)
การบริหารทรัพยากรมนุษย์ที่เกี่ยวข้องกับ IT
ระบบสารสนเทศทรัพยากรมนุษย์ (Human Resource Information System) เป็นฐานข้อมูลที่องค์การใช้เพื่อเก็บ (maintain) และวิเคราะห์ข้อมูลพนักงานของตน HRIS เป็นบัญชีรายชื่อพนักงานและทักษะและขีดความสามารถของพนักงานในองค์การ
HRIS ควรเหมาะสมกับโครงสร้างเชิงสังคมและความเป็นหน่วยงานขององค์การ โดยต้องไม่สร้างขึ้นเพียงเพื่อเป็นเครื่องมือทางเทคนิคในการควบคุมพนักงานเท่านั้น แต่ควรใช้เพื่อพัฒนาคุณภาพชีวิตและสภาพการทำงานของพนักงานมากกว่า ซึ่งแนวความคิดนี้ต้องปรากฏในการออกแบบระบบและการใช้ระบบที่ครอบคลุมจะสามารถเก็บข้อมูลต่าง ๆ ได้แก่ ข้อมูลการจ่ายเงินเดือนประจำ ผลกำไร การขาดงาน และวันลาพัก ข้อมูลการพัฒนาการบริหารซึ่งพิจารณาการฝึกอบรมและการพัฒนาที่จำเป็น ระดับการจ้างที่เพียงพอ หรือทักษะต่าง ๆ ที่มีประสิทธิผลที่สุดของทีมงาน
ระบบที่ติดตามทักษะและประสบการณ์ของพนักงานทุกคนจะสามารถเฝ้าติดตามและประเมินการพัฒนาการบริหารได้เร็วและมีประสิทธิภาพมากขึ้น ซึ่งจะช่วยฝ่ายบริหารในการคาดการณ์ถึงความสำเร็จในสายอาชีพ การตัดสินใจวางแผนที่มีประสิทธิผล และการกำหนดการฝึกอบรมและการพัฒนาที่จำเป็นโดยเหมาะสมกับเวลา ฐานข้อมูลการพัฒนาการบริหารมีประโยชน์อย่างยิ่งในยุค “การปรับองค์การ” จำเป็นต้องมีข้อมูลจำนวนมากของกำลังคนที่มีเพื่อพิจารณาว่าทักษะใดที่จะเหมาะสมกับโครงสร้างใหม่หรือที่ปรับ ซึ่งระบบอัตโนมัติควรจัดข้อมูลเหล่านี้ให้ผู้บริหารระดับสูงสามารถค้นหาได้ด้วยปลายนิ้วมือ ซึ่งจะช่วยให้สามารถเลือกบุคคลได้ถูกกับงานโดยเหมาะสมกับงานเวลา
** หลายองค์กรจะมีการจัดทำ Data Center คือ ที่เก็บDatabase ขององค์กร ซึ่งเป็นหน้าที่ของแผนก IT ที่จะต้องดูแล**
Data Center พื้นฐานสำคัญของงานไอทียุคใหม่
ระบบไอทีในปัจจุบันที่มีบทบาทเกี่ยวข้องกับธุรกิจขององค์กร ตั้งแต่งานระดับบุคคลไปจนถึงการเพิ่มประสิทธิภาพให้กับธุรกิจ ทำให้งานไอทีเริ่มถูกมองเป็นระบบที่ใช้ลดต้นทุนและเพิ่มกำไรมากกว่าเป็นเพียงค่าใช้จ่ายธรรมดาเหมือนอย่างในอดีต
การพัฒนาระบบไอทีขององค์กรในปัจจุบัน จึงถือเป็นกลยุทธ์หลักทางธุรกิจอย่างหนึ่ง การพัฒนาระบบไอที มักจะมองว่าเป็นการทำงานโดยอาศัยความรู้และศักยภาพของระบบซอร์ฟแวร์ ระบบ Server ระบบเครือข่ายคอมพิวเตอร์ และระบบสำรองข้อมูลเป็นหลัก การทำ Data Center ให้ดีจะรองรับการขยายตัวหรือเปลี่ยนแปลงอุปกรณ์ IT ในอนาคตได้อย่างน้อย 10 ปี โดยไม่ต้องปวดหัวกับการจัดพื้นที่ หรืออุปกรณ์ใหม่ ไม่อยากให้เสียน้อยเสียมากเสียยากเสียง่าย การทำ Data Center ไม่ใช่ผู้รับเหมาทั่วไปก็ได้ เพราะต่างกันที่ Knowhow และ Competency คือต้องรู้ในด้าน Data Center Facility Technology ต้องมีทักษะความชำนาญ ตั้งแต่การสำรวจสถานที่, ออกแบบ, เลือกระบบอุปกรณ์, ติดตั้ง, ทดสอบ และรวมถึงพฤติกรรมการให้บริการที่ต้องบริการได้ 24 ชั่วโมง ถ้ามีปัญหาจะเข้าบริการในทันที แต่ผู้บริหารส่วนใหญ่มักจะไม่ให้ความสำคัญกับ Data Center หรือห้องที่ติดตั้งอุปกรณ์คอมพิวเตอร์หลักขององค์กร หาก Data Center ไม่สามารถจ่ายกระแสไฟฟ้าให้กับอุปกรณ์คอมพิวเตอร์อย่างต่อเนื่อง หรือระบบปรับอากาศควบคุมอุณหภูมิความชื้นไม่ทำงาน ระบบไอทีทั้งหมดก็จะไม่สามารถใช้งานได้ทันที
บริษัทฯที่มีการลงทุนด้านไอทีมูลค่ามหาศาล ยังมีบางบริษัทฯไม่ให้ความสำคัญอย่างเพียงพอในการออกแบบ Data Center จะมีเฉพาะบริษัทฯที่เป็นมืออาชีพหรือเคยประสบปัญหาจากระบบสนับสนุนศูนย์ Data Center จริง ๆ เท่านั้น ที่จะมองการก่อสร้างห้อง Data Center เป็นเรื่องสำคัญลำดับต้น ๆ
ในองค์กรควรจะมีหน่วยงานที่เรียกว่า help desk ซึ่งเป็นหน่วยงานภายในแผนก IT ที่ทำหน้าที่ให้ความช่วยเหลือแก่ user ในกรณีที่มีปัญหาทางด้านเทคนิคเกิดขึ้น ยกตัวอย่าง helpdesk ของนิด้าก็จะอยู่ที่ชั้นห้า
สิ่งที่แผนก IT ไม่ต้องทำ ก็คืองานในแผนกอื่น เช่นงานการขาย การผลิต
โครงสร้างการจัด IT ภายในองค์กร
รูปแบบของการจัดโครงสร้างแผนก ITภายในองค์กร สามารถแบ่งออกเป็น 3 โครงสร้างหลักๆ คือ
1. Centralization คือการรวมศูนย์เอาทรัพยากรที่เกี่ยวข้องกับ
IT ทั้งหมดมาที่ส่วนกลาง โดยการบริหารจะมาโดยตรงจากส่วนกลาง
ไม่ว่าจะเป็นในเรื่องของ Hardware Software Application หรือการเก็บ data
อยู่เฉพาะที่ส่วนกลาง ถ้าสาขาอื่นต้องการข้อมูลจะต้องเข้ามาเอาจากส่วนกลาง
ยกตัวอย่างเช่น นิด้าถ้าเป็น Centralized ก็จะมี IT department
หน่วยงานเดียวที่สรรหาและเก็บข้อมูลอยู่ที่ server ส่วนกลาง แต่ถ้าเป็น
Decentralized แต่ละคณะก็จะมีหน่วยงาน IT ของตัวเอง
ข้อดี
• Save cost มากกว่าเนื่องจากไม่มีความซ้ำซ้อนเรื่องของทรัพยากร
• การบริหารงานง่ายกว่า เป็นมาตรฐานเดียวกัน เนื่องจากทุกอย่างถูกกำหนดจากส่วนกลาง
• ความปลอดภัยของข้อมูลที่เก็บไว้ที่หน่วยงานกลางจะปลอดภัยสูงกว่า
ข้อเสีย
• มีความล่าช้าในการตอบสนองต่อแต่ละ Business unit
• แต่ละ Business unit อาจมีความต้องการที่แตกต่างกัน หรือไม่ตอบสนองความต้องการของ local unit
2. Decentralization เป็นการกระจายศูนย์ คือ ในแผนกต่างๆ มี IT เป็นผู้ดูแลงานในหน่วยงานของตนเองโดยกระจายอำนาจออกไปที่ Business unit ซึ่งแต่ละ Business unit ทำหน้าที่บริหารงานเอง และแต่ละสาขาหรือ Business unit อาจจะมีการบริหารที่แตกต่างกัน
ข้อดี
• ตอบสนองความต้องการในแต่ละ Business unit ได้รวดเร็วกว่า
• มีความรวดเร็วในการตอบสนอง และมีความยืดหยุ่น
ข้อเสีย
• เกิดความซ้ำซ้อนในการดำเนินงาน
• มีความปลอดภัยต่ำ
• มีความเสี่ยงจากมาตราฐานที่อาจไม่สามารถเข้ากันได้ระหว่าง Business unit ในองค์กร
3. Federalism เป็น model ที่ผสมผสานระหว่าง centralization และ decentralization ซึ่งบางส่วนจะถูกกำหนดจากส่วนกลาง และบางส่วนสามารถพัฒนาระะบบได้เองในหน่วยงาน เช่นกลยุทธ์ ถูกกำหนดจากส่วนกลาง แต่การจัดซื้อจัดจ้างมาจากแผนกต่างๆ หรือการ Support ก็มาจากแผนกต่างๆ
ซึ่งนอกจาก IT governance จะแบ่งเป็น Decentralization, Federalism, Centralization แล้วยังสามารถที่จะพิจารณาได้จากแนวความคิดอื่นได้อีกโดย
อีกความเห็นของการจัดการด้าน IT
- Weil และเพื่อนจำกัดความ การจัดการด้าน IT ว่าคือการระบุสิทธิการตัดสินใจและขอบเขตความรับผิดชอบเพื่อเพิ่มพฤติกรรมที่น่าพึงพอใจในการใช้งานด้าน IT
- โดยเน้นที่ใคร
- การจัดการด้าน IT ที่ดีคือ การจัดโครงสร้างในการตัดสินใจ
เทคโนโลยีมีบทบาทมากว่าจะกำหนดองค์กรโครงสร้าง IT ให้เป็นแบบ Centralized หรือ Decentralized ส่วนใหญ่จะเป็นแบบผสมกันโดยจะเอียงไปทางด้านใดด้านหนึ่ง ช่วงแรกๆจะเป็นถูกกำหนดให้เป็นแบบ Centralized เนื่องจากว่าข้อมูลทุกอย่างจะถูกเก็บไว้ใน Mainframe แต่พอมาในปี 1980-1990 ได้มีการเกิดขึ้นของ PC ทำให้ User สามารถที่จะเข้าถึงข้อมูลได้มากกว่าในอดีต ช่วงนั้นจึงเป็นช่วงของ Decentralized พอถึงในช่วงกลางปี 1990 ได้มีระบบ internet เข้ามา ทำให้ Centralized กลับมาเนื่องจากค่าใช้จ่ายค่อนข้างถูกในการรับส่งข้อมูลระหว่างสาขา ในปัจจุบันเป็นยุคของ Globalization ก็กลับมาเป็น Decentralized อีกเนื่องจากองค์กรเป็นต้องทำธุรกิจแบบ Global ความต้องการแต่ละพื้นที่มีความต้องการแตกต่างกัน
IT Governance คือเรื่องของโครงสร้างการตัดสินใจทางด้าน IT ภายในองค์กร มีหนังสือชื่อ IT Governance เขียนโดย Peter well and Ginny loss โดย Peter well and Ginny loss ได้แบ่งประเภทการตัดสินใจที่เกี่ยวข้องกับ IT ภายในองค์กรออกมาเป็น 5 ประเภทหลักๆ ดังนี้
• IT Principle องค์กรให้ Value กับ IT อย่างไร ในรูปแบบของ Mission statement หรือStatement of propose
• IT Architecture: โครงสร้างในระบบ IT ควรเป็นอย่างไร (Centralized, Decentralized and Federalism)
• IT infrastructure โครงสร้างของ IT ในเชิงของกายภาพ: Hardware, Software ที่เกี่ยวข้องจะได้มาจากไหน
• Business Application needs: รูปแบบของการนำ IT มาใช้ในแต่ละ Business unit
• IT Investment and Prioritization: การลงทุนใน IT
Peter well and Ginny loss ยังได้แบ่งรูปแบบการตัดสินใจภายในองค์กรซึ่งสามารถทำได้โดยกลุ่มคน 3 กลุ่ม คือ กลุ่ม CXO level เช่นพวก CEO, CKO (ผู้บริหารระดับสูงทั้งหลาย), กลุ่มคนที่ทำงานในแผนก IT, กลุ่มคนที่ทำงานในแต่ละ Business unit ดังนี้
• Business Monarchy: การตัดสินใจที่มาจากผู้บริหารระดับสูง
• IT Monarchy: การตัดสินใจที่มาจากเฉพาะกลุ่มคนในแผนก IT
• Federal: การตัดสินใจร่วมกันของ CFO, แผนก IT และ Business unit หรืออาจเป็นผู้บริหารระดับสูงกับ Business unit ก็ได้ ซึ่งจะเป็นการตัดสินใจร่วมกันจากหลายๆฝ่าย
• IT Duopoly: การตัดสินใจระหว่างแผนก IT กับ Business unit หรือ แผนก IT กับ CFO
• Anarchy: การตัดสินใจที่ไม่เป็นระบบ ซึ่งอาจมาจากคนใดคนหนึ่งภายในองค์กร หรือแบบสุ่มเอา
การเอาสองส่วนมาบวกกันระหว่างประเภทของการตัดสินใจที่เกี่ยวข้องกับ IT และประเภทของ Executive/ผู้บริหารที่เกี่ยวข้อง ซึ่ง Peter well and Ginny loss ได้ทำการวิจัยโดยการแจกแบบสอบถามให้กับองค์กรทั่วอเมริกาให้ลำดับว่าอะไรคืออันดับ 1, 2, 3 ของประเภทการตัดสินใจที่เกี่ยวข้องกับ IT
• IT Principle อันดับหนึ่งคือ IT Duopoly
• IT Architecture คือการตัดสินใจเกี่ยวกับมาตราฐานต่างๆ หลักๆก็จะมาจากแผนก IT หรือ IT Monarchy
• IT infrastructure อันดับหนึ่งก็คือ IT Monarchy
• Business Application needs คือรูปแบบของการนำ IT มาใช้ในแต่ละ Business unit โดยส่วนใหญ่มาจาก Federal ทั้งๆที่มันน่าจะเป็น IT Duopoly แสดงว่าองค์กรที่ไปสอบถามมีแนวโน้มที่จะเป็นแบบ Centralized เนื่องจากว่าการตัดสินใจที่เกี่ยวข้องกับ Business unit กลับเป็นการตัดสินใจร่วมกันของทั้ง แผนก IT และ Business unit
• ส่วน IT Investment อันดับหนึ่งก็คือ IT Duopoly
ปัจจุบันหลายองค์กรมีรูปแบบแบบ Global มากขึ้นจึงมี Factor ที่เวลาองค์กรต้องไปทำธุรกิจในประเทศอื่นๆ ไม่ว่าจะเป็น ความมั่นคงทางการเงิน ความเสี่ยง หรือวัฒนธรรม ต้องนำมาพิจารณา
CIO แบ่ง profile เป็น 4 ด้านหลักๆ
• IT Orchestrator: ผู้บริหารระบบ IT ที่เป็นเหมือนกับ Conductor
• IT Advisor: ผู้บริหารระบบ IT ที่มีความสามารถแต่ขาด funding เวลาที่อยากทำโครงการอื่นๆ
• IT Laggard: ผู้บริหารระบบ IT ที่มีความเป็น technical ค่อนข้างสูงแต่ขาด Business vision
• IT Mechanic: ผู้บริหารระบบ IT ที่ไม่มีความสามารถทั้ง technical และ Business visionเลย
CIO: Chief Information Officer
หมายถึงผู้บริหารสูงสุดทางด้าน IT ขององค์กร ในโลกยุค IT ปัจจุบันนั้น การจัดการที่มีประสิทธิภาพและประสิทธิผล ของหน่วยงานตลอดจนองค์กรนั้น เทคโนโลยีสารสนเทศเป็นสิ่งสำคัญทั้งต่อสาธารณะและต่อองค์กรเอง ทำอย่างไรหน่วยงานเทคโนโลยีสารสนเทศจึงจะทำให้องค์กรบรรลุเป้าหมายและวัตถุประสงค์ รวมถึงสามารถให้บริการลูกค้าได้ดี ทั้งองค์กรในภาครัฐและเอกชนต่างเล็งเห็นถึงความสำคัญของการนำเทคโนโลยีสารสนเทศมาใช้ขับเคลื่อนทิศทางขององค์กร
CIO นั้นเป็นตำแหน่งที่มีอำนาจหน้าที่ดูแลรับผิดชอบทุกสิ่งทุกอย่างที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศในองค์กร ซึ่งหมายรวมถึง มาตรฐาน กฎเกณฑ์ โครงสร้าง งบประมาณ กระบวนการให้ความรู้ บุคลากร ของหน่วยงานสารสนเทศ โดย CIO เป็นผู้ให้คำแนะนำแก่ CEO เกี่ยวกับเทคโนโลยีสารสนเทศ เป็นผู้รับผิดชอบในการพัฒนาทั้งความสัมพันธ์ที่เข้มแข็งทั้งภายในและภายนอกเพื่อทำให้ธุรกิจดำเนินไปได้ โดยสร้างความเชื่อถือให้กับหน่วยงาน IT (Information Technology: เทคโนโลยีสารสนเทศ) เป็นผู้วางแผนทั้งในระดับแผนกลยุทธ์ และแผนปฏิบัติการ รวมถึงงบประมาณด้าน IT เพื่อพัฒนา ให้ความรู้ และปฏิบัติการ เกี่ยวกับทรัพยากรสารสนเทศ ซึ่งรวมถึงการสื่อสารโทรคมนาคมทั้งข้อมูลและเสียง โดยเจ้าหน้าที่เทคโนโลยีสารสนเทศทุกคนรายงานตรงต่อ CIO
12 หน้าที่ความรับผิดชอบหลักของ CIO คือ
1. สนับสนุนองค์กร โดยเป็นผู้กำหนดนโยบาย IT มาใช้ในองค์กร
2. บริหารโครงสร้างพื้นฐานนี้ ซึ่งรวมถึง สถาปัตยกรรมระบบเครือข่ายที่ใช้
3. ที่ปรึกษาด้านกลยุทธ์ธุรกิจ
4. ใช้เทคโนโลยีวางแผนธุรกิจ
5. พัฒนาระบบในองค์กร
6. บริหารการจัดการ IT infrastructure ขององค์กร
7. จัดสรรทรัพยากรที่มีอยู่ หรือตัดสินใจว่าควรที่จะซื้อ เช่า หรือสร้างขึ้นเอง
8. สร้างความสัมพันธ์ไมตรีกับผู้พัฒนาระบบ
9. เป็นผู้เปลี่ยนแปลงเทคโนโลยีให้มีความเหมาะสมกับองค์กร
10. บริหารความพึงพอใจของลูกค้า
11. ฝึกอบรมพนักงานในองค์กรให้มีความรู้ IT
12. จัดเตรียมแผนรองรับความเสี่ยงที่จะเกิดขึ้นในองค์กร
CIO ควรจะมีทั้ง Technical Background และBusiness Background โดย CIO ควรจะมี Business Background ซึ่งมีความสำคัญกว่า Technical Background แต่หลายองค์กรมักจะ Promote CIO จาก Engineer ซึ่งมักจะเป็นในทางเทคนิค ซึ่งอาจจะมีปัญหาในส่วนของ Business vision
ปัจจุบันหลายองค์กรไม่ได้มีแค่ CIO เช่น IBM มี Chief innovation officer และบางองค์กรก็มี CPO CTO Chief Technology officer คือผู้บริหารที่มองว่าอะไรคือ emerging technology นำมาใช้ในองค์กรตำแหน่งและหน้าที่ (ไม่ได้มีในทุกองค์กรขึ้นอยู่กับการให้ความสำคัญ)
CIO VS CTO (Chief Technology Officer)
ความสัมพันธ์ของลักษณะการทำงานและบทบาทหน้าที่ของCIOและCTOในบางสถานการณ์ CTO อาจจะได้รับการยอมรับมากกว่า โดยอาจเป็นเพราะมีความจำเป็นที่ต้องใช้เทคโนโลยีเป็นพื้นฐานของบริษัท ซึ่งคนในองค์กรอาจต้องการมี CTO ที่เชี่ยวชาญในการเป็นผู้บริหารทางด้านเทคโนโลยีเฉพาะทาง ซึ่งในกรณีนี้ CTO มักจะได้เป็นนักบริหารเทคโนโลยีระดับสูงของบริษัท
CKO (Chief Knowledge Officer)
โดย CKO มีหน้าที่และความรับผิดชอบ เป็นผู้บริหารด้านการจัดการองค์ความรู้ในส่วนราชการสนับสนุน และผลักดันให้การจัดการองค์ความรู้ในสำนักงานฯ สัมฤทธิ์ผลอย่างเป็นรูปธรรม
บทบาท/ลักษณะที่สำคัญของ CKO (ผู้บริหารสูงสุดด้านการจัดการความรู้)
บทบาทของ CKO คือ
1. สร้างสิ่งแวดล้อมการเรียนรู้ให้เกิดขึ้นในองค์กร
2. ปักธง ว่า จะดำเนินการในเรื่องใดและด้วยวิธีใด
3. ปฏิบัติการ “เชียร์-ช่วย-ชี้”
- เชียร์ คือ การกระตุ้นให้เกิดการเรียนรู้ในองค์กร
- ช่วย คือ ช่วยในเรื่องต่างๆเพื่อให้เจ้าหน้าที่เข้าใจและสามารถทำได้
- ชี้ คือ ชี้แนะว่าควรจะทำอย่างไร เรื่องอะไร
คุณสมบัติของ CKO ที่ดี
1. มีความเป็นกัลยาณมิตร
2. การคิดที่เป็นระบบ
3. รู้จักใช้โอกาสต่างๆเพื่อสื่อสารเรื่อง KM
4. ค้นคว้าหาความรู้อยู่เสมอ
5. เป็นผู้ประสานงานที่ดี
6. สามารถรับฟังและให้คำปรึกษาแก่เจ้าหน้าที่อื่นๆได้
7. ต้องมีรองและทีมเป็นผู้ช่วย
CTO (Chief Telecommunications Officer)
บริหารจัดการระบบโทรศัพท์ เครือข่าย และเทคโนโลยีการสื่อสารขององค์กร
CNO (Chief Network Officer)
สร้าง และบำรุงเครือข่ายทั้งภายในและภายนอกองค์กร
CRO (Chief Resource Officer)
บริหารจัดการ Outsource
CISO/CSO (Chief Information security Officer)
ทำไมต้องมี CSO/ CISO
ในยุคที่โลกกลายเป็นเครือข่ายที่ไร้พรมแดน เราสามารถเข้าถึงข้อมูลข่าวสารซึ่งอยู่ในรูปแบบดิจิตอลได้อย่างรวดเร็ว Broadband Internet กำลังได้รับความนิยมเพิ่มขึ้น ขณะที่ไวรัสคอมพิวเตอร์ก็เริ่มทวีความรุนแรงเพิ่มเป็นเงาตามตัวเช่นกัน "Information Security" หรือ "InfoSec" กลายเป็นศาสตร์ที่เราต้องศึกษาเรียนรู้เพื่อป้องกันความปลอดภัยข้อมูลสารสนเทศที่อยู่ในระบบ เครือข่ายซึ่งมีการต่อเชื่อมกับระบบอินเทอร์เน็ตโดยใช้โปรโตคอล TCP/IP การจู่โจมของแฮกเกอร์และไวรัสมีอัตราเพิ่มสูงขึ้นตามอัตราการเพิ่มขึ้นของช่องโหว่ (Vulnerability) ในตัวโปรโตคอล TCP/IP เองและในระบบปฏิบัติการที่เราใช้อยู่เป็นประจำไม่ว่าจะเป็น Windows, UNIX หรือ Linux แต่เดิมเราเน้นเรื่องการป้องกันระบบความปลอดภัยข้อมูลสารสนเทศในมุมมองทางด้านเทคนิคเพียงอย่างเดียว โดยที่เราไม่ค่อยได้ให้ความสำคัญกับมุมมองในด้านการจัดการบริหารให้มี ประสิทธิภาพ และประสิทธิผล ปัญหาเรื่องความปลอดภัยข้อมูลสารสนเทศ ไม่ใช่แค่ซื้อ Firewall และ Anti-Virus Program แล้วจะจบ แต่กลายเป็นปัญหาด้านอื่นที่ต้องพิจารณาเช่นการทำ Patch Management, Users & Executives Information Security Awareness Training ตลอดจนปัญหาด้าน Physical Security ก็เป็นเรื่องที่มองข้ามไม่ได้เช่นกัน
CSO หรือ CISO เป็นตำแหน่งผู้บริหารระดับสูงทางด้านการรักษาความปลอดภัยให้กับโครงสร้างเครือข่ายและความปลอดภัยข้อมูลสารสนเทศ CSO มีหน้าที่ในการจัดการกับปัญหาความปลอดภัยดังกล่าว โดย CSO ต้องมีความเข้าใจในระบบธุรกิจเป็นอย่างดี (Business Process) และต้องเข้าใจเรื่องของการจัดการกับความเสี่ยง (Risk Management) ที่มีโอกาสเกิดขึ้นแล้วมีผลกระทบกับธุรกิจขององค์กรทั้งทางตรงและทางอ้อม ในมุมมองทั้งด้านเทคนิค การจัดการตลอดจนกำหนดนโยบายการรักษาความปลอดภัยระบบเครือข่ายและข้อมูลสารสนเทศให้ได้ตามมาตรฐานสากล โดยนำนโยบายมาตรฐานเช่น ISO/IEC17799 หรือ ISACA CobiT Framework มาจัดการกับระบบในองค์กรให้มีความปลอดภัยในลักษณะบรรษัทภิบาลหรือที่เราเรียกว่า "Corporate Governance"
ความรับผิดชอบของ CSO/ CISO 10 ข้อ
1. กำหนดเป้าหมาย นโยบายด้านการรักษาความปลอดภัยข้อมูล โดยกำหนดให้ไปในทิศทางเดียวกันกับแผนยุทธศาสตร์ขององค์กร (Corporate Strategic Plan)
2. จัดการพัฒนานโยบายด้านการรักษาความปลอดภัยข้อมูล Policy, Standard, Procedure and Guideline เพื่อให้องค์กรได้มาซึ่ง การรักษาความลับของข้อมูล (Confidentiality) การรักษาความถูกต้องของข้อมูล (Integrity) และเสถียรภาพความมั่นคงของระบบ (Availability) ยกตัวอย่าง การรับผิดชอบจัดทำแผน Information Security Awareness Training ให้กับบุคลากรขององค์กรที่ต้องใช้คอมพิวเตอร์ในการทำงานให้มีความรู้ความเข้าใจกับภัยอินเทอร์เน็ต
3. จัดการบริหารเฝ้าระวังการโจมตีระบบและภัยต่างๆ ที่อาจเกิดขึ้นกับระบบ โดยใช้ระบบเตือนผู้บุกรุก Intrusion Detection System (IDS), ระบบป้องกันผู้บุกรุก Intrusion Prevention System (IPS) หรือระบบจัดการกำจัดไวรัส (Anti-Virus Systems) ตลอดจนวางแผน Business Continuity และ Disaster Recovery (BCP and DRP) เพื่อกู้ระบบยามฉุกเฉิน
4. มีการบริหารความเสี่ยง (Risk Management) และการวิเคราะห์ความเสี่ยง (Risk Analysis) ที่อาจทำให้ระบบเกิดปัญหากระทบกับการดำเนินธุรกิจขององค์กร
5. นำเสนอผู้บริหารระดับสูงเช่น CIO หรือ CEO ในเรื่องของแผนการปฏิบัติงาน นโยบาย งบประมาณ อัตรากำลัง ตลอดจนแผนการ Outsource ด้านความปลอดภัยข้อมูลเพื่อขอดำเนินการอนุมัติ และเพื่อให้ผู้บริหารระดับสูงมีความตระหนัก (Awareness) ในความสำคัญเรื่อง Information Security
6. เป็นที่ปรึกษาด้านระบบความปลอดภัยข้อมูลให้กับแผนกอื่นๆ ที่ต้องใช้ IT ในการปฏิบัติงาน
7. ติดต่อและรักษาความสัมพันธ์กับคู่ค้า, องค์กร หรือบุคคลภายนอกที่มีความเกี่ยวข้องกับเรื่องความปลอดภัยข้อมูลทั้งภาครัฐและเอกชนเช่น ตำรวจ, นักข่าว, Systems Integrator (SI), Outsourcer, Managed Security Services Provider (MSSP) และผู้ตรวจสอบ (Auditor)
8. ออกข้อกำหนดในการจัดซื้อจัดจ้างระบบรักษาความปลอดภัยข้อมูลสารสนเทศ Requests for Proposal (RPF)
9. จัดตั้งและควบคุมบริหารทีม Incident Response เพื่อให้สามารถปฏิบัติงานในยามที่เกิดภาวะฉุกเฉินขึ้นในองค์กร เช่น การระบาดของไวรัสคอมพิวเตอร์
10. เตรียมพร้อมรับสถานการณ์และเรียนรู้เทคนิคใหม่ๆ ทางด้าน Information Security อย่างสม่ำเสมอ
คุณสมบัติของ CSO/ CISO
1. มีความรู้ความสามารถด้าน Information Technology และ Information Security ในระดับบริหารจัดการ และ ควรสอบผ่านประกาศนียบัตร CISSP (Certified Information Systems Security Professional) (see http://www.isc2.org)
2. มีคุณสมบัติความเป็นผู้นำและมีประสบการณ์การทำงานในระดับผู้จัดการระบบสารสนเทศมาไม่ต่ำกว่า 5 ปี และ มีอายุระหว่าง 30-45 ปี
3. ควรมีประสบการณ์เฉพาะด้าน Risk Management, BCP, DRP, IT Audit, SLA Contract and Vendor Negotiation
4. ควรมีประสบการณ์เกี่ยวกันการแก้ปัญหาที่เกี่ยวกับไวรัสคอมพิวเตอร์หรือแฮกเกอร์ ตลอดจนพื้นฐานความเข้าใจเรื่องกฎหมายอาชญากรรมคอมพิวเตอร์ (Computer Crime Laws)
5. มีความรู้เรื่องพื้นฐานด้านระบบความปลอดภัยเช่น Firewall, IDS, Anti-Virus, VPN, PKI, Vulnerability Assessment และ Penetration Testing
6. มีความสามารถและทักษะในการติดต่อสื่อสารกับผู้บังคับบัญชาและผู้ใต้บังคับบัญชาเป็นอย่างดี ทั้ง Technical Staff และ Non-Technical Staff
สรุปบทบาท CSO/CISO
กล่าวโดยสรุปตำแหน่ง CSO/ CISO เป็นตำแหน่งที่มีความสำคัญอย่างยิ่งในการบริหารงานความปลอดภัยระบบสารสนเทศขององค์กรในทุกวันนี้ และ ควรมีการกำหนดบทบาทหน้าที่ตลอดจนโครงสร้างขององค์กร (Organization Chart) ให้รองรับกับตำแหน่ง CSO/CISO ซึ่งอาจจะขึ้นกับ CIO หรือ ขึ้นกับ CEO โดยตรง เราควรพิจารณาตามลักษณะการดำเนินธุรกิจและยุทธศาสตร์ขององค์กรโดยมีจุดประสงค์หลัก คือลดผลกระทบจากความเสี่ยงที่อาจจะเกิดขึ้นกับองค์กรให้น้อยที่สุดเท่าที่จะทำได้ (Risk Management and IT governance)
ที่มา http://www.acisonline.net/article_prinya_ciso.htm
กิจกรรมในแผนก IT ภายในองค์กรจะแบ่งได้เป็น 8 หน้าที่หลักๆคือ
• คิดเกี่ยวกับเทคโนโลยีใหม่ๆ และนำเสนอเทคโนโลยีเหล่านี้ต่อผู้บริหารขององค์กร
• มีส่วนร่วมในการกำหนด Strategies ขององค์กร
• นำเอาเทคโนโลยีเข้ามาประยุกต์ใช้ภายในองค์กร
• การตัดสินใจว่าจะสร้างเองหรือซื้อ (Software) เพื่อเอามาใช้ภายในองค์กร
• แผนก IT ควรจะเป็นคนติดต่อสื่อสาร และบริหารความสัมพันธ์ของบริษัทเรากับบริษัทที่เป็น Outsourcer
• ผู้กำหนด Standard ของเทคโนโลยีที่เข้ามาใช้ภายในองค์กร
• ผู้ที่ดูแลความปลอดภัยทางด้านเทคโนโลยี
• การวางแผนรองรับความเสี่ยง
แผนก IT จะเป็นผู้ที่เก็บข้อมูลและองค์ความรู้ต่างๆรวมถึงบริหารข้อมูลภายในองค์กรด้วย
การจัดการฐานข้อมูล (Database Administration) หมายถึง การจัดเก็บและรวบรวมข้อมูล รวมทั้งออกแบบรูปแบบในการจัดเก็บ พัฒนาและและเผยแพร่ข้อมูล โดยผู้ดูแลระบบฐานข้อมูล เรียกว่าDatabase Administrator ซึ่งทำหน้าที่ในการดูแลระบบฐานข้อมูลซึ่งนับว่าฐานข้อมูลเป็นเทคโนโลยีสำคัญกับองค์กรอย่างมาก
แผนกIT ยังต้องต้องเป็นผู้ที่บริหารโครงสร้าง IT เครือข่าย หรือ internet ภายในองค์กร
ระบบอินเทอร์เน็ตและเครือข่ายเป็นระบบที่สำคัญต่อองค์กรธุรกิจ ดังนั้น จะต้องมีการะบบดูแลและจัดการทรัพยากรในเครือข่ายให้สามารถทำงานได้อย่างเกิดประสิทธิภาพสูงสุดไม่ว่าจะเป็นในส่วนของ Intranet Extranet Web page และ email โดยผู้บริหารองค์กรต้องประสานงานร่วมกันกับทาง web master web designer และ web developers ซึ่งผู้ที่ดูแลระบบเครือข่ายจะทำหน้าที่ในการออกแบบ สร้าง และดูแลรักษาระบบให้สามารถเก็บรวบรวมข้อมูลรวมทั้งดูแลปริมาณข้อมูลที่มีในเครือข่ายไม่ให้มากจนเกินไปและนำมาใช้เพื่อตัดสินใจได้ โดยทางองค์กรจะต้องคำนึงถึงการติดต่อสื่อสารทั้งภายในและภายนอกองค์กรรวมทั้งค่าใช้จ่ายในการจัดการระบบ โดยการจัดการระบบจัดการระบบเครือข่ายคอมพิวเตอร์สามารถแบ่งออกเป็น 5 ส่วนคือ
1. การจัดการระบบความผิดพลาดของเครือข่าย (Fault Management)
2. การจัดการคุณสมบัติของอุปกรณ์ของเครือข่าย (Performance Management)
3. การจัดการรูปแบบของเครือข่าย (Configuration Management)
4. การจัดการระบบบัญชีของเครือข่าย (Accounting Management)
5. การจัดการระบบความปลอดภัยของเครือข่าย (Security Management)
การบริหารทรัพยากรมนุษย์ที่เกี่ยวข้องกับ IT
ระบบสารสนเทศทรัพยากรมนุษย์ (Human Resource Information System) เป็นฐานข้อมูลที่องค์การใช้เพื่อเก็บ (maintain) และวิเคราะห์ข้อมูลพนักงานของตน HRIS เป็นบัญชีรายชื่อพนักงานและทักษะและขีดความสามารถของพนักงานในองค์การ
HRIS ควรเหมาะสมกับโครงสร้างเชิงสังคมและความเป็นหน่วยงานขององค์การ โดยต้องไม่สร้างขึ้นเพียงเพื่อเป็นเครื่องมือทางเทคนิคในการควบคุมพนักงานเท่านั้น แต่ควรใช้เพื่อพัฒนาคุณภาพชีวิตและสภาพการทำงานของพนักงานมากกว่า ซึ่งแนวความคิดนี้ต้องปรากฏในการออกแบบระบบและการใช้ระบบที่ครอบคลุมจะสามารถเก็บข้อมูลต่าง ๆ ได้แก่ ข้อมูลการจ่ายเงินเดือนประจำ ผลกำไร การขาดงาน และวันลาพัก ข้อมูลการพัฒนาการบริหารซึ่งพิจารณาการฝึกอบรมและการพัฒนาที่จำเป็น ระดับการจ้างที่เพียงพอ หรือทักษะต่าง ๆ ที่มีประสิทธิผลที่สุดของทีมงาน
ระบบที่ติดตามทักษะและประสบการณ์ของพนักงานทุกคนจะสามารถเฝ้าติดตามและประเมินการพัฒนาการบริหารได้เร็วและมีประสิทธิภาพมากขึ้น ซึ่งจะช่วยฝ่ายบริหารในการคาดการณ์ถึงความสำเร็จในสายอาชีพ การตัดสินใจวางแผนที่มีประสิทธิผล และการกำหนดการฝึกอบรมและการพัฒนาที่จำเป็นโดยเหมาะสมกับเวลา ฐานข้อมูลการพัฒนาการบริหารมีประโยชน์อย่างยิ่งในยุค “การปรับองค์การ” จำเป็นต้องมีข้อมูลจำนวนมากของกำลังคนที่มีเพื่อพิจารณาว่าทักษะใดที่จะเหมาะสมกับโครงสร้างใหม่หรือที่ปรับ ซึ่งระบบอัตโนมัติควรจัดข้อมูลเหล่านี้ให้ผู้บริหารระดับสูงสามารถค้นหาได้ด้วยปลายนิ้วมือ ซึ่งจะช่วยให้สามารถเลือกบุคคลได้ถูกกับงานโดยเหมาะสมกับงานเวลา
** หลายองค์กรจะมีการจัดทำ Data Center คือ ที่เก็บDatabase ขององค์กร ซึ่งเป็นหน้าที่ของแผนก IT ที่จะต้องดูแล**
Data Center พื้นฐานสำคัญของงานไอทียุคใหม่
ระบบไอทีในปัจจุบันที่มีบทบาทเกี่ยวข้องกับธุรกิจขององค์กร ตั้งแต่งานระดับบุคคลไปจนถึงการเพิ่มประสิทธิภาพให้กับธุรกิจ ทำให้งานไอทีเริ่มถูกมองเป็นระบบที่ใช้ลดต้นทุนและเพิ่มกำไรมากกว่าเป็นเพียงค่าใช้จ่ายธรรมดาเหมือนอย่างในอดีต
การพัฒนาระบบไอทีขององค์กรในปัจจุบัน จึงถือเป็นกลยุทธ์หลักทางธุรกิจอย่างหนึ่ง การพัฒนาระบบไอที มักจะมองว่าเป็นการทำงานโดยอาศัยความรู้และศักยภาพของระบบซอร์ฟแวร์ ระบบ Server ระบบเครือข่ายคอมพิวเตอร์ และระบบสำรองข้อมูลเป็นหลัก การทำ Data Center ให้ดีจะรองรับการขยายตัวหรือเปลี่ยนแปลงอุปกรณ์ IT ในอนาคตได้อย่างน้อย 10 ปี โดยไม่ต้องปวดหัวกับการจัดพื้นที่ หรืออุปกรณ์ใหม่ ไม่อยากให้เสียน้อยเสียมากเสียยากเสียง่าย การทำ Data Center ไม่ใช่ผู้รับเหมาทั่วไปก็ได้ เพราะต่างกันที่ Knowhow และ Competency คือต้องรู้ในด้าน Data Center Facility Technology ต้องมีทักษะความชำนาญ ตั้งแต่การสำรวจสถานที่, ออกแบบ, เลือกระบบอุปกรณ์, ติดตั้ง, ทดสอบ และรวมถึงพฤติกรรมการให้บริการที่ต้องบริการได้ 24 ชั่วโมง ถ้ามีปัญหาจะเข้าบริการในทันที แต่ผู้บริหารส่วนใหญ่มักจะไม่ให้ความสำคัญกับ Data Center หรือห้องที่ติดตั้งอุปกรณ์คอมพิวเตอร์หลักขององค์กร หาก Data Center ไม่สามารถจ่ายกระแสไฟฟ้าให้กับอุปกรณ์คอมพิวเตอร์อย่างต่อเนื่อง หรือระบบปรับอากาศควบคุมอุณหภูมิความชื้นไม่ทำงาน ระบบไอทีทั้งหมดก็จะไม่สามารถใช้งานได้ทันที
บริษัทฯที่มีการลงทุนด้านไอทีมูลค่ามหาศาล ยังมีบางบริษัทฯไม่ให้ความสำคัญอย่างเพียงพอในการออกแบบ Data Center จะมีเฉพาะบริษัทฯที่เป็นมืออาชีพหรือเคยประสบปัญหาจากระบบสนับสนุนศูนย์ Data Center จริง ๆ เท่านั้น ที่จะมองการก่อสร้างห้อง Data Center เป็นเรื่องสำคัญลำดับต้น ๆ
ในองค์กรควรจะมีหน่วยงานที่เรียกว่า help desk ซึ่งเป็นหน่วยงานภายในแผนก IT ที่ทำหน้าที่ให้ความช่วยเหลือแก่ user ในกรณีที่มีปัญหาทางด้านเทคนิคเกิดขึ้น ยกตัวอย่าง helpdesk ของนิด้าก็จะอยู่ที่ชั้นห้า
สิ่งที่แผนก IT ไม่ต้องทำ ก็คืองานในแผนกอื่น เช่นงานการขาย การผลิต
โครงสร้างการจัด IT ภายในองค์กร
รูปแบบของการจัดโครงสร้างแผนก ITภายในองค์กร สามารถแบ่งออกเป็น 3 โครงสร้างหลักๆ คือ
ข้อดี
• Save cost มากกว่าเนื่องจากไม่มีความซ้ำซ้อนเรื่องของทรัพยากร
• การบริหารงานง่ายกว่า เป็นมาตรฐานเดียวกัน เนื่องจากทุกอย่างถูกกำหนดจากส่วนกลาง
• ความปลอดภัยของข้อมูลที่เก็บไว้ที่หน่วยงานกลางจะปลอดภัยสูงกว่า
ข้อเสีย
• มีความล่าช้าในการตอบสนองต่อแต่ละ Business unit
• แต่ละ Business unit อาจมีความต้องการที่แตกต่างกัน หรือไม่ตอบสนองความต้องการของ local unit
2. Decentralization เป็นการกระจายศูนย์ คือ ในแผนกต่างๆ มี IT เป็นผู้ดูแลงานในหน่วยงานของตนเองโดยกระจายอำนาจออกไปที่ Business unit ซึ่งแต่ละ Business unit ทำหน้าที่บริหารงานเอง และแต่ละสาขาหรือ Business unit อาจจะมีการบริหารที่แตกต่างกัน
ข้อดี
• ตอบสนองความต้องการในแต่ละ Business unit ได้รวดเร็วกว่า
• มีความรวดเร็วในการตอบสนอง และมีความยืดหยุ่น
ข้อเสีย
• เกิดความซ้ำซ้อนในการดำเนินงาน
• มีความปลอดภัยต่ำ
• มีความเสี่ยงจากมาตราฐานที่อาจไม่สามารถเข้ากันได้ระหว่าง Business unit ในองค์กร
3. Federalism เป็น model ที่ผสมผสานระหว่าง centralization และ decentralization ซึ่งบางส่วนจะถูกกำหนดจากส่วนกลาง และบางส่วนสามารถพัฒนาระะบบได้เองในหน่วยงาน เช่นกลยุทธ์ ถูกกำหนดจากส่วนกลาง แต่การจัดซื้อจัดจ้างมาจากแผนกต่างๆ หรือการ Support ก็มาจากแผนกต่างๆ
ซึ่งนอกจาก IT governance จะแบ่งเป็น Decentralization, Federalism, Centralization แล้วยังสามารถที่จะพิจารณาได้จากแนวความคิดอื่นได้อีกโดย
อีกความเห็นของการจัดการด้าน IT
- Weil และเพื่อนจำกัดความ การจัดการด้าน IT ว่าคือการระบุสิทธิการตัดสินใจและขอบเขตความรับผิดชอบเพื่อเพิ่มพฤติกรรมที่น่าพึงพอใจในการใช้งานด้าน IT
- โดยเน้นที่ใคร
- การจัดการด้าน IT ที่ดีคือ การจัดโครงสร้างในการตัดสินใจ
เทคโนโลยีมีบทบาทมากว่าจะกำหนดองค์กรโครงสร้าง IT ให้เป็นแบบ Centralized หรือ Decentralized ส่วนใหญ่จะเป็นแบบผสมกันโดยจะเอียงไปทางด้านใดด้านหนึ่ง ช่วงแรกๆจะเป็นถูกกำหนดให้เป็นแบบ Centralized เนื่องจากว่าข้อมูลทุกอย่างจะถูกเก็บไว้ใน Mainframe แต่พอมาในปี 1980-1990 ได้มีการเกิดขึ้นของ PC ทำให้ User สามารถที่จะเข้าถึงข้อมูลได้มากกว่าในอดีต ช่วงนั้นจึงเป็นช่วงของ Decentralized พอถึงในช่วงกลางปี 1990 ได้มีระบบ internet เข้ามา ทำให้ Centralized กลับมาเนื่องจากค่าใช้จ่ายค่อนข้างถูกในการรับส่งข้อมูลระหว่างสาขา ในปัจจุบันเป็นยุคของ Globalization ก็กลับมาเป็น Decentralized อีกเนื่องจากองค์กรเป็นต้องทำธุรกิจแบบ Global ความต้องการแต่ละพื้นที่มีความต้องการแตกต่างกัน
IT Governance คือเรื่องของโครงสร้างการตัดสินใจทางด้าน IT ภายในองค์กร มีหนังสือชื่อ IT Governance เขียนโดย Peter well and Ginny loss โดย Peter well and Ginny loss ได้แบ่งประเภทการตัดสินใจที่เกี่ยวข้องกับ IT ภายในองค์กรออกมาเป็น 5 ประเภทหลักๆ ดังนี้
• IT Principle องค์กรให้ Value กับ IT อย่างไร ในรูปแบบของ Mission statement หรือStatement of propose
• IT Architecture: โครงสร้างในระบบ IT ควรเป็นอย่างไร (Centralized, Decentralized and Federalism)
• IT infrastructure โครงสร้างของ IT ในเชิงของกายภาพ: Hardware, Software ที่เกี่ยวข้องจะได้มาจากไหน
• Business Application needs: รูปแบบของการนำ IT มาใช้ในแต่ละ Business unit
• IT Investment and Prioritization: การลงทุนใน IT
Peter well and Ginny loss ยังได้แบ่งรูปแบบการตัดสินใจภายในองค์กรซึ่งสามารถทำได้โดยกลุ่มคน 3 กลุ่ม คือ กลุ่ม CXO level เช่นพวก CEO, CKO (ผู้บริหารระดับสูงทั้งหลาย), กลุ่มคนที่ทำงานในแผนก IT, กลุ่มคนที่ทำงานในแต่ละ Business unit ดังนี้
• Business Monarchy: การตัดสินใจที่มาจากผู้บริหารระดับสูง
• IT Monarchy: การตัดสินใจที่มาจากเฉพาะกลุ่มคนในแผนก IT
• Federal: การตัดสินใจร่วมกันของ CFO, แผนก IT และ Business unit หรืออาจเป็นผู้บริหารระดับสูงกับ Business unit ก็ได้ ซึ่งจะเป็นการตัดสินใจร่วมกันจากหลายๆฝ่าย
• IT Duopoly: การตัดสินใจระหว่างแผนก IT กับ Business unit หรือ แผนก IT กับ CFO
• Anarchy: การตัดสินใจที่ไม่เป็นระบบ ซึ่งอาจมาจากคนใดคนหนึ่งภายในองค์กร หรือแบบสุ่มเอา
การเอาสองส่วนมาบวกกันระหว่างประเภทของการตัดสินใจที่เกี่ยวข้องกับ IT และประเภทของ Executive/ผู้บริหารที่เกี่ยวข้อง ซึ่ง Peter well and Ginny loss ได้ทำการวิจัยโดยการแจกแบบสอบถามให้กับองค์กรทั่วอเมริกาให้ลำดับว่าอะไรคืออันดับ 1, 2, 3 ของประเภทการตัดสินใจที่เกี่ยวข้องกับ IT
• IT Principle อันดับหนึ่งคือ IT Duopoly
• IT Architecture คือการตัดสินใจเกี่ยวกับมาตราฐานต่างๆ หลักๆก็จะมาจากแผนก IT หรือ IT Monarchy
• IT infrastructure อันดับหนึ่งก็คือ IT Monarchy
• Business Application needs คือรูปแบบของการนำ IT มาใช้ในแต่ละ Business unit โดยส่วนใหญ่มาจาก Federal ทั้งๆที่มันน่าจะเป็น IT Duopoly แสดงว่าองค์กรที่ไปสอบถามมีแนวโน้มที่จะเป็นแบบ Centralized เนื่องจากว่าการตัดสินใจที่เกี่ยวข้องกับ Business unit กลับเป็นการตัดสินใจร่วมกันของทั้ง แผนก IT และ Business unit
• ส่วน IT Investment อันดับหนึ่งก็คือ IT Duopoly
ปัจจุบันหลายองค์กรมีรูปแบบแบบ Global มากขึ้นจึงมี Factor ที่เวลาองค์กรต้องไปทำธุรกิจในประเทศอื่นๆ ไม่ว่าจะเป็น ความมั่นคงทางการเงิน ความเสี่ยง หรือวัฒนธรรม ต้องนำมาพิจารณา
CIO แบ่ง profile เป็น 4 ด้านหลักๆ
• IT Orchestrator: ผู้บริหารระบบ IT ที่เป็นเหมือนกับ Conductor
• IT Advisor: ผู้บริหารระบบ IT ที่มีความสามารถแต่ขาด funding เวลาที่อยากทำโครงการอื่นๆ
• IT Laggard: ผู้บริหารระบบ IT ที่มีความเป็น technical ค่อนข้างสูงแต่ขาด Business vision
• IT Mechanic: ผู้บริหารระบบ IT ที่ไม่มีความสามารถทั้ง technical และ Business visionเลย
