บทความเรื่อง “มาตรฐานไอเอสโอช่วยปกป้องความเสี่ยงภัยจากไซเบอร์ ตอนที่ 1” กล่าวถึงความสำคัญของการปกป้องไม่ให้องค์กรเป็นอันตรายจากการก่ออาชญากรรมทางไซเบอร์ ซึ่งจำเป็นต้องมีระบบที่รวดเร็วและเข้มแข็งเพียงพอ ซึ่งภัยคุกคามทางไซเบอร์นั้น คณะกรรมการวิชาการของไอเอสโอที่รับผิดชอบด้านการจัดการความเสี่ยงได้ชี้ให้เห็นว่าองค์กรจำเป็นต้องพิจารณาถึงวัตถุประสงค์ขององค์กรหรือธุรกิจว่าอะไรคือสิ่งที่องค์กรให้คุณค่าอย่างแท้จริงแล้วทำการประเมินระบบขององค์กรในเชิงกลยุทธ์โดยรวม ไม่ใช่การประเมินเทคโนโลยี ยกตัวอย่างเช่น  องค์กรที่เป็นผู้ปกป้องทรัพย์สินทางปัญญาด้านวิชาการในระดับสูงในรูปแบบของข้อมูล หากมีการรั่วไหลของข้อมูล จะเกิดผลเสียอย่างมากมายตามมา

แนวทางของการประเมินระบบขององค์กรในเชิงกลยุทธ์โดยรวมเพื่อจัดการความเสี่ยงดังกล่าวมีความสอดคล้องกับแนวทางของดร.โดนัลด์ ดอยช์ รองประธานและหัวหน้าเจ้าหน้าที่มาตรฐานของออราเคิลซึ่งอยู่ที่แคลิฟอร์เนียและประธานคณะกรรมการวิชาการ ISO/IEC JTC 1, Information technology, คณะอนุกรรมการที่ 38, Cloud computing and distributed platforms ซึ่งเป็นกลุ่มผู้เชี่ยวชาญที่ทำงานภายใต้การดูแลร่วมของไอเอสโอและไออีซี

คลาวด์และการวางตำแหน่งของคลาวด์ตามการจัดลำดับความสำคัญของตามความเสี่ยงบางครั้งก็มีนัยสำคัญต่อผู้บริโภคในปัจจุบัน ถ้าเราใช้คอมพิวเตอร์อยู่ทุกวันนี้ ก็มีแนวโน้มสูงว่าเราจะใช้คลาวด์ แต่ว่าคลาวด์คอมพิวติ้งมีการกระจายออกไปใช้งานมากกว่าและใช้ในกลยุทธ์ทางธุรกิจมากกว่าในเชิงกลยุทธ์ทางเทคโนโลยี

มีการสนับสนุนทางเทคโลยีเมื่อเร็วๆ นี้ที่เกิดขึ้นพร้อมกับความเสี่ยง เช่น การจัดเตรียมทรัพยากรด้านคอมพิวเตอร์โดยอัตโนมัติที่มีการแบ่งปันการใช้งานกับผู้ใช้หลายคน ความเสี่ยงนั้นมีมากพอๆ กับที่เราใช้คอมพิวเตอร์แล้วอาจเสียหายมากขึ้นตามขนาดของการใช้งานที่มากขึ้น

มาตรฐานสากลเน้นแนวทางเชิงกลยุทธ์ต่อความเสี่ยงภัยทางไซเบอร์ อย่างที่เจสัน บราวน์ชี้ให้เห็น เมื่อมีการเน้นเรื่องความเสี่ยงทางไซเบอร์ ชุดมาตรฐาน ISO 31000 จะได้รับการประเมินร่วมกับชุดมาตรฐาน ISO/IEC 27000 ด้านมาตรฐานระบบการจัดการความมั่นคงปลอดภัยของข้อมูล (Information Security Management Systems: ISMS)

แนวทางเช่นนี้  ISO/IEC 27000 จะช่วยให้องค์กรประเมินความต้องการด้านเทคโนโลยีได้อย่างแท้จริง ในขณะที่ ISO 31000 จะช่วยให้เข้าใจถึงคุณค่าของข้อมูลหรือผลิตภัณฑ์ที่องค์กรดูแลอยู่ในระบบ ดังนั้น ระดับของการปกป้องเทคโนโลยีก็จะมีความจำเป็นที่จะป้องกันการจู่โจมทุกชนิด หรือในอีกทางหนึ่ง การประเมินความเสี่ยงอย่างรอบคอบด้วยการใช้ ISO 31000 จะช่วยให้องค์กรมีค่าใช้จ่ายทางการเงินอย่างมีสาระสำคัญเมื่อมีการซื้อเกี่ยวกับเทคโนโลยีด้านความมั่นคงปลอดภัยของข้อมูล    การเมินเฉยต่อความเสี่ยงอาจมีแนวโน้มนำไปสู่การเสียค่าใช้จ่ายที่มากเกินไปสำหรับระบบป้องกันเพราะอันที่จริงแล้วมันสามารถป้องกันได้ด้วยการลงทุนไปกับเทคโนโลยีที่ไม่มากนักตั้งแต่เริ่มต้น

แต่ชุดมาตรฐานทั้งสองชุดนั้นไม่ใช่เพียงแค่ช่วยให้ลดความเสี่ยงด้านไซเบอร์ลงเท่านั้น ความมั่นคงปลอดภัยทางไซเบอร์ต้องมองไปในแง่ของความต่อเนื่องทางธุรกิจด้วยซึ่ง ISO 22301, Business Continuity Managementสามารถช่วยได้จริงๆ

มาตรฐานชุดนี้ทำให้มีระบบการจัดการที่จัดทำเป็นเอกสารไว้เพื่อปกป้องเหตุการณ์ที่อาจเกิดขึ้นเช่นนั้น และทำให้องค์กรมีการประเมินวิธีของระบบโทรคมนาคมและข้อมูลสารสนเทศเพื่อสนับสนุนวัตถุประสงค์ขององค์กรและผลที่ตามมาหากเกิดการล่มของระบบ

งานของ ISO/IEC JTC 1/SC 38 เป็นการช่วยให้ผู้ผลิตและผู้บริโภคสามารถพูดภาษาเดียวกันสำหรับคลาวด์คอมพิวติ้ง  ความต้องการของชุดมาตรฐานนี้ไม่ได้เกิดขึ้นจากผู้ผลิตหรือผู้ขายเองเช่นที่เคยเป็นมา แต่ขับเคลื่อนด้วยลูกค้าและผู้ซื้อ รัฐบาลและองค์กรได้ชี้ว่าผู้ผลิตแต่ละรายได้ใช้คำศัพท์ของตัวเอง ทำให้ยากต่อการเปรียบเทียบผลิตภัณฑ์และการสร้างทางเลือกที่มีการประกาศไว้ซึ่งทำให้คนมีทางเลือก และนำไปสู่การตีพิมพ์เผยแพร่มาตรฐาน ISO/IEC 17789, Information technology – Cloud computing – Reference architecture ซึ่งกำหนดโครงสร้างการอ้างอิงและกรอบการทำงานของคำศัพท์ร่วม

คณะอนุกรรมการ SC 38 ยังได้มองเห็นความสำคัญของการสร้างมาตรฐาน ISO/IEC 19086 ซึ่งมีสี่ส่วนสำหรับข้อตกลงระดับบริการระหว่างผู้ให้บริการคลาวด์และลูกค้า โดยสองส่วนยังอยู่ในระหว่างการพัฒนา มาตรฐานเหล่านั้นเป็นผลดีสำหรับองค์กรที่นำไปใช้งานในเรื่องของความเสี่ยงด้านไซเบอร์ โดยเฉพาะ

มาตรฐาน ISO 31000 ได้รับการนำไปใช้เป็นระบบการจัดการความเสี่ยง ของประเทศแล้วประมาณ 40 ประเทศ ยิ่งไปกว่านั้น ยังพบว่ามีคนค้นหาคำว่า ISO 31000 ผ่านกูเกิ้ลกว่า 6.5 ล้านครั้งภายใน 0.54 วินาที แต่เนื่องจากเทคโนโลยีพัฒนาในอัตราที่เร็วกว่าที่เคยเป็นมา มาตรฐานสากลจึงต้องก้าวตามให้ทัน และเครื่องมือที่ใช้งานได้ในทุกวันนี้อาจจะไม่สามารถใช้ได้ในอนาคตอีกต่อไป

เมื่อกล่าวถึงเรื่องของการเรียนรู้ของเครื่องจักรที่ก้าวไปสู่เอไอ พบว่าความสามารถด้านการวิเคราะห์ข้อมูลกำลังพัฒนาไปสู่ขอบข่ายที่มีปริมาณข้อมูลจำนวนมากมายขึ้นซึ่งสามารถนำไปวิเคราะห์เพื่อชี้ประเด็นที่กำลังเกิดขึ้นและสามารถติดตามได้ ซึ่งคณะกรรมการวิชาการ ISO/TC 262, Risk Management พบว่าปัจจุบันมีการสำรวจในเรื่องของ “การบริหารจัดการกับความเสี่ยงที่กำลังเกิดขึ้นมา” โดยเน้นไปที่ความเสี่ยงที่มีแนวโน้มจะเป็นการดิสรัพท์สูงมากที่สุด

แม้ว่าผู้บริโภคและผู้ผลิตต่างมีแนวทางสำหรับอนาคตที่แตกต่างกันออกไป แต่เราทุกคนจำเป็นต้องเปิดกว้างต่อโลกที่มีการเปลี่ยนแปลงอย่างรวดเร็วและคาดเดาได้ยากเช่นนี้ และมาตรฐานไอเอสโอก็เป็นเครื่องมือสำคัญที่เราควรเปิดใจรับมาใช้เพื่อจัดการกับปัญหาของภัยคุกคามทางไซเบอร์ให้ได้ในที่สุด

ที่มา: https://www.iso.org/news/ref2359.html

Related posts

• การจัดลำดับการบริหารความเสี่ยงด้านไอทีในปี 2013 ตอนที่ 2
• นโยบายกฎระเบียบข้อบังคับทางการค้า EU 2015
• ท่องไปในโลกกว้างอย่างยั่งยืน ตอนที่ 1
• เทคโนโลยีที่พลิกโฉมอุตสาหกรรมสู่อนาคต ตอนที่ 1
• ส่องเมืองอัจฉริยะแห่งอนาคต “โตเกียวและกรุงเทพฯ”

Tags: IT, Standardization, Strategic Management