คุยกันเรื่องประกาศ ธปท. เรื่อง การใช้บริการ IT outsourcing ของสถาบันการเงินของไทย

              ในฐานะที่ทำและเคยทำงานในสถาบันการเงินของไทย และได้มีโอกาสเข้าไปรับรู้และทำงานที่เกี่ยวข้องกับเรื่องของ IT Outsource ว่าสถาบันการเงินของไทยถ้าใช้บริการ IT Outsource ต้องดำเนินการตามประกาศของ ธนาคารแห่งประเทศไทยเรื่องการใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing)  ในการประกอบธุรกิจของสถาบันการเงิน (สนส. 6/2557) ซึ่งเท่าที่ได้สัมผัสมาก็ได้รับรู้ถึงคำถามต่าง ๆ และการตีความต่าง ๆ ที่ IT Management ของธนาคาร และหน่วยงานอื่น ๆ ที่เกี่ยวข้องก็ยังมีคำถามอยู่จึงเป็นที่มาของการหาข้อมูลและพยายามเปรียบเทียบและนำเสนอประเด็นต่าง ๆ ซึ่งในที่สุดแล้ว ธปท. ซึ่งเป็นผู้ออกกติกานี้ ก็คงเป็นผู้พิจารณาปรับ ซึ่งเข้าใจว่ามีดำริจะปรับในอีกไม่นานนี้ สำหรับประเด็นต่าง ๆ ที่นำมาเขียนนี้อาจจะไม่ได้เป็นทั้งหมด แต่เป็นที่มองเห็นตอนนี้ นะครับ มาเริ่มกันเลยดีกว่า

1.       บริการแบบไหนเรียกว่า IT Outsource หรืออะไร ตามคำจำกัดความระบุว่า “การใช้บริการจากผู้ให้บริการภายนอกด้านงานเทคโนโลยีสารสนเทศ (IT Outsourcing) หมายความว่า การใช้บริการจากผู้ให้บริการภายนอก (Service Provider) ในดำเนินงานด้านเทคโนโลยีสารสนเทศให้แก่สถาบันการเงิน ซึ่งโดยปกติแล้วสถาบันการเงินต้องดำเนินการเอง “ ดูที่ขีดเส้นใต้ไว้นะครับว่าอะไรที่ทำเองได้หรือต้องทำเองแต่ให้คนอื่นทำเรียกว่า การใช้บริการจากผู้ให้บริการภายนอก ซึ่งมีคำถามตามมาเช่น จ้างคนมาเขียนโปรแกรม ทำโครงการที่มีการเขียนโปรแกรมส่งมอบ ทำสัญญา MA ระยะยามต้องเรียกว่า IT Outsource ไหม ซึ่งพอไปหาข้อมูลจากประกาศของประเทศอื่น ๆ มาดูก็ไปเจอของ สิงค์โปร์ครับ ใกล้ ๆ บ้านเราในเอกสารชื่อ “CONSULTATION PAPER, P019-2014, SEPTEMBER 2014 - GUIDELINES ON OUTSOURCING ” โดย Monetary Authority of Singapore (MAS)  กำหนด Definition ไว้ว่า

“―outsourcing arrangement‖ means an arrangement in which a service provider provides the institution with a service that may currently or potentially be performed by the institution itself and which includes the following characteristics:

       จะเห็นว่าที่ขีดเส้นใต้ไว้เหมือนกันอย่างกับแปลมาประมาณว่างานที่เคยทำเองหรือน่าจะทำเอง แต่ที่แตกต่างกันคือเขาบอกว่า และเป็นไปตามคุณสมบัติเหล่านี้ (and which includes the following characteristics) ซึ่งของ ไทยไม่มี เรามาดูกันว่าข้อความที่ขยายมานี้มีอะไร

a)       The institution is dependent on the service on an ongoing basis but such service excludes services that involve the provision of a finished product (e.g. insurance policies); and

b)      The service is integral to the provision of a financial service by the institution or the service is provided to the market by the service provider in the name of the institution;

ส่วนขยายนี้ของเราไม่มี ผมไม่แปลนะครับแต่อยากเน้นที่ขีดเส้นใต้ไว้คือ เป็นบริการที่เป็น เป็นการดำเนินการอย่างต่อเนื่อง (Ongoing Basis) ไม่นับรวมบริการที่ทำให้ได้มาซึ่ง Finished Product ซึ่งอันนี้คิดว่าการจ้างคนมาทำแล้วส่งมอบงาน (Finished Product) อย่างการเขียน Software เห็นว่าไม่น่าจะต้องเป็น IT Outsource เพราะเป็นกิจกรรมเพื่อ Finished Product และไม่ได้เป็น Ongoing Process สำหรับธุรกิจธนาคาร นอกจากนี้ของ MAS นี้ยังมี Appendix ที่มีตัวอย่างบริการจากภายนอกที่เป็นและไม่เป็น Outsourcing ไว้ด้วยไปหาดูกันต่อเองนะครับ

2.       ในประกาศระบุว่า สถาบันการเงินต้องบริหารความเสี่ยงภายใต้กรอบหลักด้านเทคโนโลยีสารสนเทศที่สำคัญ 3 ประการ คือ การรักษาความปลอดภัยและความลับของระบบงานและข้อมูล ( Security) ความถูกต้องเชื่อถือได้ของระบบงานและข้อมูล (Integrity) และความพร้อมใช้ของงานเทคโนโลยีสารสนเทศที่ใช้บริการ (Availability) กรอบนี้ค่อยข้างจะหมิ่นเหม่ในเชิงการตีความและการนำไปใช้ร่วมกับมาตรฐานหรือแนวปฏิบัติอื่น ๆ ซึ่งเกิดความไม่สอดคล้องกันเชิงความหมาย (Consistency) คือการรักษาความปลอดภัยของระบบงานและข้อมูล คำว่าความปลอดภัยคือ Safety และการรักษาความลับของระบบงานและข้อมูลคือ Confidentiality -- ซึ่ง Safety + Confidentiality ย่อมไม่เท่ากับ Security ซึ่งหากพิจารณาตามข้อความโดยรวม ๆ แล้วตามประกาศน่าจะตั้งใจหมายถึง Confidentiality มากกว่าสำหรับบริบทนี้ ซึ่งไม่ได้ผิดอะไรถ้าจะเป็นการบัญญัติศัพท์เพื่อประกาศนี้เท่านั้นแต่หากไปใช้งานร่วมกับ มาตรฐานอื่น ๆ จะเกิดความสับสนได้เช่น หากไปดู ISO27001 ก็จะมีการนิยามว่า Security คือการรักษาไว้ซึ่ง Confidentiality Integrity และ Availability  ซึ่งต่างกันมันคล่อม ๆ กันอยู่ ทีนี้ถ้าจะเปลี่ยน คำว่า Security เป็น Confidentiality  ในประกาศนี้ ก็จะทำให้รู้สึกว่ามีการมองความเสี่ยงเฉพาะแค่เรื่อง Security เท่านั้นเองหรือไม่ซึ่งจริง ๆ  แล้วมันน่าจะมีอีกหลายด้าน สำหรับ IT ซึ่งที่ผมชอบก็คือการกำหนด Information Criteria ของ COBIT 4  คิดว่าครบสุดละครับ ซึ่งประกอบไปด้วย

a.       Effectiveness

b.       Efficiency

c.       Confidentiality.

d.       Integrity

e.       Availability

f.        Compliance

g.       Reliability

จะเห็นว่ามี เรื่อง Effectiveness, Efficiency, Compliance และ Reliability เพิ่มเข้ามาด้วย และอาจเพิ่มเรื่อง Privacy เข้ามาด้วยนะครับ บ้านเรา Privacy ยังไม่กลายเป็น Compliance สำหรับความเห็นเรื่อง การกำหนดคำนี้ก็เพราะรู้สึกว่าควรใช้ คำศัพท์ต่างๆ  ให้เป็นไปตามมาตรฐานสากล และควรพิจารณาเรื่องอื่น ๆ นอกจาก security ด้วย

              นอกจากนี้ยังไม่มีรายละเอียดเกี่ยวกับการที่ Outsource ไปใช้ Sub-Contract อีกทอดว่าจะต้องควบคุมอย่างไร  รวมถึงการใช้งานผู้บริการที่เป็น Cloud Computing ว่าจะควบคุมอย่างไร ตรวจสอบอย่างไร … วันนี้ประมาณนี้ครับ เจอกันใหม่ ครับ สวัสดีครับ 

Information Security Awareness กับการควบคุมภายใน

         เมื่อเดือนที่แล้วได้มีโอกาสไปฟังการสัมมนาเรื่องการสร้าง Information security awareness ในองค์กรและการทดสอบ information security awareness โดยจำลอง Email ประเภท Social engineering ว่าพนักงานจะมี ความตระหนักและไม่ตกเป็นเหยื่อหรือไม่ เพื่อวัดเรื่อง Information Security awareness ทุก ๆ คนในการสัมมนานั้นต่างเข้าใจถึงการสร้าง Information Security Awareness ให้กับคนในองค์กร และคิดว่ามีความสำคัญ อันดับต้น ๆ ในการควบคุมเรื่อง Information Security อย่างไรก็ตามด้วยความที่ชอบคิดไปเรื่อย ๆ ก็พบว่าบางที ครั้งที่เราหวังพึ่ง Awareness ของคนและเอาเป็นเหตุให้ลดความรัดกุมในการออกแบบการควบคุมเชิงกระบวนการ(Process Control) หรือเชิง Automated Control บทความนี้มุ่งจะชี้ให้เห็นถึงแนวคิดเกี่ยวกับ Information security Awareness ว่ามีบทบาทอย่างไรบ้างกับการควบคุมความเสี่ยงขององค์กร

            ตามเอกสารของ National Institute of Standard and Technology (NIST) ของอเมริกา เรื่อง Information Security training requirement (Role and Responsibility) NIST 800-16 ซึ่งได้แบ่งแยกการให้ความรู้เกี่ยวกับ Information Security ออกเป็น 3 ระบบดับคือ Awareness, Training และ Education ได้พูดถึงความหมายของ Awareness ว่า “Awareness is not training. The purpose of awareness presentations is simply to focus attention on security. Awareness presentations are intended to allow individuals to recognize IT security concerns and respond accordingly” สรุปความได้ว่าการสร้าง Awareness คือการสร้างให้บุคคลมีความรับรู้และสนใจในเรื่อง information security และทราบถึงสิ่งที่เป็นข้อกังวลและการมีการตอบสนองข้อกังวลด้าน Information security อย่างเหมาะสม พูดง่าย ๆ คือทราบว่าเหตุการณ์อะไรสิ่งแวดล้อมแบบไหนที่จะอาจนำมาซึ่งความผิดปกติหรือปัญหาด้าน Information security ก็ทราบถึงวิธีการตอบสนองที่ถูกต้อง เช่นทราบว่าลักษณะของ Email แบบนี้คือ Virus Computer และเข้าใจวิธีการในการหลีกเลี่ยงไม่ทำให้ติด Virus Computer นั้น

            ในแง่การควบคุมเราแบ่งการควบคุมตามลักษณะของมันได้สามแบบคือ Protective control คือการควบคุมเชิงป้องกัน, Detective Control คือการควบคุมเชิงตรวจจับ, Corrective Control คือการควบคุมเชิงแก้ไข จากวิธีการในการสร้าง Awareness ด้าน Information Security นั้นเราจะเห็นว่า User Awareness สามารถเป็นได้ทั้ง Preventive Control และ Detective Control  หากเราตั้งคำถามต่อไปว่าแล้วเป็นได้ดีไหม ดีแค่ไหน มาดูกันต่อไปว่า Awareness นั้นเป็นการควบคุมที่เราฝากความหวังไว้ที่คนทั้งสิ้นว่าจะตัดสินใจทำอย่างไรกับสถานการณ์ต่าง ๆ ซึ่งเราก็มักจะพบว่าการ Balance resource อันประกอบด้วย People, Process, Technology นั้น Process กับ Technology ส่วนหนึ่งก็เพื่อนำมาแก้ไขการไม่ reliable ของคน ซึ่งอาจพูดได้ว่าลักษณะที่เป็นข้อไม่ดีของคนคือ Unreliable มากกว่า Process และ Technology

            จากประเด็นเรื่อง Unreliable นี้ก็คงจะสามารถกำหนดเป็นแนวทางในการออกแบบการควบคุมต่าง ๆ ได้ว่าการสร้าง Awareness เป็นเรื่องจำเป็นและเป็นเรื่องที่ขาดไม่ได้แต่นอกจากนั้นการกำหนดการควบคุมเชิง Process และการใช้ technology มาช่วยจะต้องถูกออกแบบให้มีความเข้มข้นรัดกุมระดับหนึ่งด้วยก่อนจะไปฝากไว้ที่คน และให้เป็นด่านสุดท้าย แล้วทีนี้คนจะดีกว่าเครื่องจักร (Technology) ในด้านไหนได้บ้างเพื่อนำเอาความสามารถนั้นมาใช้ได้

            Intelligence คือสิ่งที่คนมีมากกว่าเครื่องจักรเสมอ ๆ หากเรามี Awareness เราสามารถพิจารณาเหตุการณ์ต่าง ๆ ประมวลผลเหตุการณ์ต่าง ๆ และตอบสนองได้อย่างรวดเร็วมากกว่าเครื่องจักร รวมถึงสามารถเรียนรู้สถานการณ์และสภาพแวดล้อมใหม่ ๆ ได้ตลอดเวลาดังนั้นการที่จะสามารถจับข้อนี้ดีมาสร้าง Awareness ให้คนในองค์กรสามารถมองเห็นถึงความผิดปกติต่าง ๆ และแจ้งเตือนมายังหน่วยงานที่เป็นผู้เชี่ยวชาญด้าน Information Security เราก็จะได้ Detector ที่มี Intelligence มาก ๆ มากกว่า Technology ใด ๆ และนำไปถึงการสามารถลดผลกระทบของ Zero day Attack ได้มากเนื่องจากสามารถตรวจจับได้ก่อน

            สรุปว่าการสร้าง Awareness เรื่อง Information Security เป็นเรื่องที่ดีและจำเป็นสำหรับพนักงานในองค์กร แต่ควรกำหนดการควบคุมต่าง ๆ ที่เกิดจาก Technology/Tools และ Process ให้เพียงพอและครอบคลุมอย่างเต็มที่ก่อนแล้วจึงให้การสร้าง Awareness กับพนักงานในองค์กรเป็นการเสริมความเข้มแข็งของ Control นั้น ๆ ในการลดความเสี่ยง อีกด้านหนึ่งคือการโปรโมท ข้อดีของการมี พนักงานที่มี Awareness ด้าน Information security ในการที่จะทำหน้าที่เป็นผู้แจ้ง security event และ Security Incident ที่ดีเพื่อองค์กรสามารถดำเนินการป้องกันแก้ไข ได้ทันท่วงที และจำกัดขอบเขตของความเสียหายอีกด้วย