ในห้องประชุมผู้บริหารทั่วโลก คำถามที่ถูกถามบ่อยที่สุดในยุคนี้ไม่ใช่ “เราจะทำกำไรเท่าไหร่?” แต่คือ “ถ้าระบบไอทีของเราล่มพรุ่งนี้ เราจะเสียหายเท่าไหร่?” คำถามนี้สะท้อนความจริงว่า ความเสี่ยงด้านไอทีไม่ใช่ปัญหาของแผนก IT อีกต่อไป แต่คือความเสี่ยงทางธุรกิจที่ผู้บริหารทุกคนต้องเข้าใจและจัดการ

IT Risk Management จึงกลายเป็นศาสตร์ที่ทุกองค์กรต้องเรียนรู้ ไม่ใช่เพื่อกำจัดความเสี่ยงให้หมดไป (ซึ่งเป็นไปไม่ได้) แต่เพื่อให้รู้จักความเสี่ยง วัดผลได้ และตัดสินใจได้ว่าจะรับ จะลด จะโอน หรือจะเลี่ยงความเสี่ยงแต่ละประเภท

บทความนี้จะพาคุณไปเข้าใจหัวใจของ IT Risk Management ในมุมที่ใช้งานได้จริง ไม่ใช่ทฤษฎีลอย ๆ ตั้งแต่การมองความเสี่ยงในเชิงธุรกิจ การเลือกกรอบที่เหมาะสม การวัดความเสี่ยงให้เป็นตัวเลข ไปจนถึงการสร้างวัฒนธรรมความเสี่ยงในองค์กร

เปลี่ยนมุมมอง IT Risk จากปัญหาเทคนิคสู่ความเสี่ยงทางธุรกิจ

ความเข้าใจผิดที่พบบ่อยที่สุดเกี่ยวกับ IT Risk Management คือมองว่าเป็นเรื่องของแผนก IT เท่านั้น ทำให้ผู้บริหารระดับสูงไม่ให้ความสำคัญ และทีม IT ก็ทำงานโดยไม่ได้รับการสนับสนุนที่เพียงพอ ผลคือองค์กรขาดทิศทางที่ชัดเจนในการจัดการความเสี่ยง

IT Risk Management คือกระบวนการระบุ ประเมิน และจัดการความเสี่ยงที่เกี่ยวข้องกับระบบสารสนเทศและเทคโนโลยีที่องค์กรใช้งาน โดยมีเป้าหมายเพื่อปกป้องทรัพย์สินทางข้อมูล สนับสนุนเป้าหมายทางธุรกิจ และรักษาความต่อเนื่องของการดำเนินงาน

ความเสี่ยงด้านไอทีในยุคปัจจุบันส่งผลกระทบโดยตรงต่อรายได้ ภาพลักษณ์แบรนด์ และความสามารถในการแข่งขัน เช่น เมื่อเว็บไซต์ E-commerce ล่ม 1 ชั่วโมง อาจสูญเสียยอดขายหลายล้านบาท เมื่อข้อมูลลูกค้ารั่ว อาจสูญเสียลูกค้าและถูกปรับตาม PDPA เมื่อระบบบัญชีถูกโจมตี ธุรกิจอาจหยุดดำเนินงานได้

มุมมองที่ถูกต้องคือ ทุกความเสี่ยงด้านไอทีต้องถูกแปลงเป็นภาษาธุรกิจที่ผู้บริหารเข้าใจ ไม่ใช่ “เซิร์ฟเวอร์มี Vulnerability ระดับ CVSS 9.8” แต่เป็น “หากช่องโหว่นี้ถูกใช้โจมตี เราอาจสูญเสียรายได้ 50 ล้านบาทและลูกค้า 30%”

รู้จักประเภทความเสี่ยงด้านไอทีที่ส่งผลถึงธุรกิจจริง

ก่อนจะจัดการความเสี่ยง ต้องเข้าใจก่อนว่าความเสี่ยงมีกี่ประเภท แต่ละประเภทมีลักษณะอย่างไร และส่งผลต่อธุรกิจในมุมไหน การจัดประเภทช่วยให้องค์กรไม่พลาดความเสี่ยงสำคัญและจัดสรรทรัพยากรในการป้องกันได้อย่างเหมาะสม

ความเสี่ยงด้านความปลอดภัยทางไซเบอร์

ความเสี่ยงประเภทนี้คือสิ่งที่หลายคนนึกถึงเป็นอันดับแรก เช่น การถูกแฮก การติด Ransomware การรั่วไหลของข้อมูล หรือการโจมตีแบบ DDoS แต่ที่หลายคนไม่รู้คือ ความเสี่ยงไซเบอร์ในปัจจุบันไม่ได้มาจากภายนอกเท่านั้น แต่มาจากภายในองค์กรด้วย เช่น พนักงานที่ตั้งใจหรือไม่ตั้งใจรั่วข้อมูล

ผลกระทบของความเสี่ยงประเภทนี้รุนแรงและเป็นข่าวบ่อย ทำให้องค์กรลงทุนกับการป้องกันมาก แต่หลายครั้งกลับลงทุนไม่ตรงจุด

ความเสี่ยงด้านการดำเนินงาน

ความเสี่ยงด้านการดำเนินงานเกี่ยวข้องกับการที่ระบบไม่สามารถทำงานได้ตามที่คาดหวัง เช่น ระบบล่ม การประมวลผลผิดพลาด การสูญเสียข้อมูลจากความผิดพลาดของมนุษย์ หรือซอฟต์แวร์ทำงานผิดปกติหลังการอัปเดต

ความเสี่ยงประเภทนี้เกิดขึ้นบ่อยแต่มักไม่เป็นข่าว เพราะองค์กรพยายามปกปิด ทำให้บทเรียนไม่ถูกเผยแพร่ และความเสียหายสะสมไปเรื่อย ๆ

ความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ

ในยุคที่กฎหมายเรื่องข้อมูลและเทคโนโลยีเข้มงวดขึ้น เช่น PDPA, GDPR, มาตรฐานของธนาคารแห่งประเทศไทย ความเสี่ยงในการละเมิดกฎหมายเป็นเรื่องที่ส่งผลรุนแรง ทั้งค่าปรับ การถูกฟ้องร้อง และการสูญเสียใบอนุญาต

ความเสี่ยงประเภทนี้มักถูกประเมินต่ำ เพราะองค์กรคิดว่า “เราไม่ได้ทำผิด” จนกว่าจะถูกตรวจสอบจริง

ความเสี่ยงด้านกลยุทธ์

ความเสี่ยงที่เทคโนโลยีไม่ตอบสนองต่อเป้าหมายทางธุรกิจ เช่น การลงทุนกับเทคโนโลยีที่ผิด การไม่ปรับตัวต่อ Digital Disruption หรือการเลือกแพลตฟอร์มที่ไม่รองรับการเติบโตในอนาคต

ความเสี่ยงประเภทนี้มองเห็นยาก แต่ผลกระทบในระยะยาวอาจร้ายแรงที่สุด เพราะอาจทำให้ธุรกิจสูญเสียความสามารถในการแข่งขัน

ความเสี่ยงจาก Third Party

ในยุคที่องค์กรพึ่งพาผู้ให้บริการภายนอกมากขึ้น ทั้ง Cloud Service, SaaS, Outsourcing, ความเสี่ยงจากการที่พาร์ทเนอร์มีปัญหาจึงเพิ่มขึ้นตามไปด้วย หากผู้ให้บริการคลาวด์ของคุณถูกโจมตี ข้อมูลของคุณก็เสี่ยงไปด้วย

ความท้าทายคือ องค์กรไม่สามารถควบคุมความปลอดภัยของพาร์ทเนอร์ได้โดยตรง จึงต้องมีการประเมินและตรวจสอบอย่างต่อเนื่อง

ความเสี่ยงจากเทคโนโลยีใหม่

เมื่อองค์กรนำเทคโนโลยีใหม่เข้ามาใช้ เช่น AI, IoT, Blockchain, Quantum Computing ความเสี่ยงรูปแบบใหม่ก็เกิดขึ้น เช่น Bias ใน AI การถูกโจมตีผ่านอุปกรณ์ IoT หรือการที่ Quantum Computing อาจทำลายระบบเข้ารหัสปัจจุบัน

เทคนิคการวัดและให้คะแนนความเสี่ยงให้เป็นรูปธรรม

ความท้าทายที่ใหญ่ที่สุดของ IT Risk Management คือการแปลงความเสี่ยงที่เป็นนามธรรมให้กลายเป็นตัวเลขหรือคะแนนที่จับต้องได้ การวัดที่ดีคือกุญแจสำคัญในการสื่อสารและตัดสินใจ

Risk Matrix แบบดั้งเดิม

วิธีที่นิยมที่สุดคือการใช้ Risk Matrix แบบ 5×5 หรือ 3×3 ที่วัดความเสี่ยงจาก 2 มิติ คือ Likelihood (โอกาสที่จะเกิด) และ Impact (ผลกระทบ) ผลลัพธ์ที่ได้คือคะแนนความเสี่ยงที่จัดได้เป็นระดับ Low, Medium, High, Critical

ข้อดีของวิธีนี้คือเข้าใจง่าย ใช้สื่อสารกับคนที่ไม่ใช่ผู้เชี่ยวชาญได้ดี แต่ข้อจำกัดคือเป็นการประเมินเชิงคุณภาพที่อาจมีอคติ และไม่สามารถเปรียบเทียบกับการลงทุนทางธุรกิจอื่นได้

Quantitative Risk Analysis ด้วย Annual Loss Expectancy

วิธีนี้แปลงความเสี่ยงเป็นตัวเงินผ่านสูตร ALE = SLE × ARO โดย SLE (Single Loss Expectancy) คือความเสียหายต่อเหตุการณ์ และ ARO (Annual Rate of Occurrence) คือความถี่ในการเกิดต่อปี

ตัวอย่างเช่น หากการรั่วไหลของข้อมูลครั้งหนึ่งสร้างความเสียหาย 10 ล้านบาท และมีโอกาสเกิด 0.2 ครั้งต่อปี ALE = 2 ล้านบาทต่อปี ตัวเลขนี้ใช้เปรียบเทียบกับงบประมาณการลงทุนป้องกันได้โดยตรง

FAIR Methodology

FAIR ใช้การคำนวณที่ละเอียดกว่า โดยพิจารณาทั้ง Threat Event Frequency, Vulnerability, Loss Magnitude แล้วใช้การจำลองแบบ Monte Carlo Simulation เพื่อให้ได้ค่าความเสี่ยงในรูปแบบช่วงของความน่าจะเป็น

วิธีนี้ให้ผลที่แม่นยำที่สุด แต่ต้องการข้อมูลและความเชี่ยวชาญที่สูงกว่า เหมาะกับองค์กรที่ต้องการตัดสินใจสำคัญ ๆ

Risk Heat Map

Risk Heat Map คือเครื่องมือ Visual ที่ช่วยให้ผู้บริหารเห็นภาพรวมของความเสี่ยงทั้งองค์กรในหน้าเดียว แต่ละจุดบนแผนที่แสดงความเสี่ยงหนึ่งรายการ ตำแหน่งบอกถึง Likelihood และ Impact สีบอกถึงระดับ และขนาดอาจบอกถึงความเสียหายทางการเงิน

เครื่องมือนี้มีพลังในการสื่อสาร เพราะทำให้เห็นภาพรวมและจัดลำดับความสำคัญได้ทันที

4 กลยุทธ์ในการรับมือกับความเสี่ยงด้านไอที

เมื่อระบุและประเมินความเสี่ยงได้แล้ว ก้าวต่อไปคือการตัดสินใจว่าจะทำอย่างไรกับความเสี่ยงนั้น ในโลกของ Risk Management มีกลยุทธ์พื้นฐาน 4 แบบที่ทุกองค์กรต้องเข้าใจและเลือกใช้ให้เหมาะสม

Risk Avoidance หลีกเลี่ยงความเสี่ยง

การหลีกเลี่ยงคือการตัดสินใจไม่ทำกิจกรรมที่นำมาซึ่งความเสี่ยงนั้นเลย เช่น ตัดสินใจไม่ใช้คลาวด์ของผู้ให้บริการที่ไม่ผ่านมาตรฐาน หรือไม่เก็บข้อมูลส่วนบุคคลที่ละเอียดอ่อนหากไม่จำเป็นต่อธุรกิจ

วิธีนี้ใช้กับความเสี่ยงที่รุนแรงมากและไม่มีทางลดได้ แต่มีข้อเสียคือองค์กรอาจสูญเสียโอกาสทางธุรกิจไปด้วย

Risk Mitigation ลดความเสี่ยง

การลดความเสี่ยงคือการลงทุนกับมาตรการป้องกันเพื่อลด Likelihood หรือ Impact ของความเสี่ยง เช่น ติดตั้ง Firewall, ทำการสำรองข้อมูล, ฝึกอบรมพนักงาน, ปรับปรุงระบบ

วิธีนี้เป็นที่นิยมที่สุดและใช้กับความเสี่ยงส่วนใหญ่ จุดสำคัญคือต้องประเมินว่าต้นทุนการลดความเสี่ยงคุ้มกับความเสียหายที่ลดลงหรือไม่

Risk Transfer โอนความเสี่ยง

การโอนความเสี่ยงคือการให้บุคคลหรือองค์กรอื่นรับผิดชอบความเสี่ยงแทน เช่น ซื้อ Cyber Insurance, ใช้บริการ Outsource ที่มีข้อตกลงรับผิดชอบ หรือทำสัญญาที่กำหนดความรับผิดชอบของซัพพลายเออร์ชัดเจน

วิธีนี้ใช้ได้ดีกับความเสี่ยงที่มีผลกระทบทางการเงินรุนแรง แต่ไม่ได้กำจัดความเสี่ยงทั้งหมด เพราะความเสียหายต่อภาพลักษณ์ยังคงอยู่

Risk Acceptance ยอมรับความเสี่ยง

การยอมรับคือการตัดสินใจรับความเสี่ยงนั้นไว้ เพราะค่าใช้จ่ายในการลดความเสี่ยงสูงกว่าความเสียหายที่อาจเกิดขึ้น หรือเพราะความเสี่ยงนั้นต่ำมากจนไม่คุ้มจะลงทุน

วิธีนี้ต้องมีการตัดสินใจอย่างเป็นทางการและมีเอกสาร เพื่อแสดงว่าองค์กรประเมินแล้วและตัดสินใจยอมรับ ไม่ใช่การละเลย

หลุมพรางที่ทำให้ IT Risk Management ล้มเหลว

แม้จะมีกรอบและเครื่องมือที่ดี แต่หลายองค์กรยังคงล้มเหลวในการทำ IT Risk Management ให้ได้ผลจริง การเรียนรู้จากความผิดพลาดของคนอื่นช่วยให้คุณหลีกเลี่ยงปัญหาเหล่านี้ได้

1. ทำ Risk Assessment เป็นเอกสารบนกระดาษ หลายองค์กรจัดทำเอกสารประเมินความเสี่ยงครั้งเดียวแล้วเก็บไว้ในตู้ ไม่นำไปใช้จริง ทำให้กลายเป็นแค่เอกสารสำหรับการตรวจสอบ ไม่ใช่เครื่องมือบริหารจัดการ

2. ขาดการมีส่วนร่วมของผู้บริหารระดับสูง เมื่อ IT Risk Management ถูกมองว่าเป็นเรื่องของแผนก IT เท่านั้น ผู้บริหารระดับสูงจะไม่ให้ความสำคัญและไม่จัดสรรงบประมาณที่เพียงพอ

3. ใช้กรอบที่ซับซ้อนเกินไป การเลือกกรอบที่ซับซ้อนกว่าความสามารถขององค์กร ทำให้ทีมงานไม่สามารถนำไปใช้จริง สุดท้ายระบบกลายเป็นภาระมากกว่าเครื่องมือช่วย

4. ประเมินความเสี่ยงครั้งเดียวต่อปี ความเสี่ยงเปลี่ยนแปลงตลอดเวลา การประเมินปีละครั้งทำให้องค์กรไม่ทันต่อภัยคุกคามใหม่ ๆ

5. โฟกัสแต่ความเสี่ยงทางเทคนิค มองข้ามความเสี่ยงจากคน กระบวนการ และพาร์ทเนอร์ ทำให้ภาพการประเมินไม่สมบูรณ์

6. ไม่มี Risk Appetite ที่ชัดเจน เมื่อองค์กรไม่ได้กำหนดว่ายอมรับความเสี่ยงได้แค่ไหน การตัดสินใจจะไม่สอดคล้องและเปลี่ยนตามอารมณ์

7. ขาดการสื่อสารในภาษาที่ผู้บริหารเข้าใจ ทีม IT รายงานเป็นศัพท์เทคนิค ทำให้ผู้บริหารไม่เข้าใจและไม่อนุมัติงบประมาณ

8. ไม่บูรณาการกับ Enterprise Risk Management ทำให้ IT Risk Management แยกตัวอยู่โดดเดี่ยว และไม่สนับสนุนเป้าหมายทางธุรกิจอย่างแท้จริง

คำถามที่พบบ่อยเกี่ยวกับ IT Risk Management

IT Risk Management ต่างจาก Cybersecurity อย่างไร? 

IT Risk Management มีขอบเขตกว้างกว่า ครอบคลุมการบริหารความเสี่ยงทุกประเภทที่เกี่ยวข้องกับไอที ไม่ใช่แค่ความปลอดภัยทางไซเบอร์ Cybersecurity เป็นส่วนหนึ่งของ IT Risk Management แต่ยังมีความเสี่ยงอื่น ๆ เช่น ความเสี่ยงด้านการดำเนินงาน การปฏิบัติตามกฎระเบียบ และความเสี่ยงเชิงกลยุทธ์

ใครควรเป็นผู้รับผิดชอบ IT Risk Management ในองค์กร? 

ในองค์กรขนาดกลางถึงใหญ่ควรมีตำแหน่ง Chief Risk Officer (CRO) หรือ Chief Information Security Officer (CISO) ที่รายงานตรงต่อ CEO หรือบอร์ดบริหาร ในองค์กรขนาดเล็ก หน้าที่นี้อาจรวมอยู่กับ CIO หรือผู้บริหารระดับสูงคนใดคนหนึ่ง สิ่งสำคัญคือต้องมีคนที่รับผิดชอบชัดเจนและมีอำนาจตัดสินใจ

ขนาดงบประมาณ IT Risk Management ที่เหมาะสมควรเป็นเท่าไหร่? 

ขึ้นอยู่กับขนาดและความเสี่ยงของธุรกิจ โดยทั่วไปองค์กรลงทุนกับความปลอดภัยและการบริหารความเสี่ยงประมาณ 5-15% ของงบประมาณ IT ทั้งหมด สำหรับองค์กรที่อยู่ในอุตสาหกรรมที่มีความเสี่ยงสูง เช่น การเงินหรือสุขภาพ อาจสูงถึง 20-25%

สามารถทำ IT Risk Management โดยไม่มีทีมเฉพาะได้หรือไม่? 

สำหรับ SME สามารถเริ่มต้นโดยไม่มีทีมเฉพาะได้ โดยมอบหมายให้ผู้จัดการ IT หรือเจ้าของกิจการรับผิดชอบ ใช้กรอบที่เรียบง่าย เช่น CIS Controls Implementation Group 1 แต่เมื่อธุรกิจเติบโต ควรพิจารณาสร้างทีมเฉพาะหรือจ้างที่ปรึกษาภายนอก

ควรทบทวน Risk Assessment บ่อยแค่ไหน? 

อย่างน้อยปีละ 1 ครั้งสำหรับการประเมินครอบคลุม และทบทวนเฉพาะส่วนเมื่อมีการเปลี่ยนแปลงสำคัญ เช่น การติดตั้งระบบใหม่ การควบรวมกิจการ การเปลี่ยนกฎหมาย หรือหลังเกิดเหตุการณ์ผิดปกติ องค์กรที่อยู่ในสภาพแวดล้อมที่เปลี่ยนแปลงเร็วอาจต้องทบทวนทุก 6 เดือน

Cyber Insurance สามารถทดแทน IT Risk Management ได้หรือไม่? 

ไม่ได้ Cyber Insurance เป็นเพียงเครื่องมือหนึ่งในการโอนความเสี่ยงทางการเงิน แต่ไม่ได้ป้องกันการเกิดเหตุ ไม่สามารถชดเชยความเสียหายต่อภาพลักษณ์ และมักมีเงื่อนไขที่ต้องการให้องค์กรมีมาตรการป้องกันพื้นฐานก่อนเรียกร้องค่าสินไหม

AI ช่วยใน IT Risk Management ได้อย่างไร?

 AI ช่วยในหลายด้าน เช่น การตรวจจับความผิดปกติแบบ Real-time การวิเคราะห์ข้อมูลภัยคุกคามจำนวนมาก การคาดการณ์ความเสี่ยงจากข้อมูลในอดีต และการทำงานซ้ำ ๆ ที่ใช้เวลามาก แต่ AI ยังไม่สามารถแทนที่การตัดสินใจเชิงกลยุทธ์ของมนุษย์ได้

ทำอย่างไรให้ผู้บริหารระดับสูงเห็นความสำคัญของ IT Risk Management? 

สื่อสารในภาษาธุรกิจ ไม่ใช่ภาษาเทคนิค แสดงตัวเลขความเสียหายที่อาจเกิดขึ้นเป็นเงิน เปรียบเทียบกับการลงทุนป้องกัน เล่าเรื่องจริงที่เกิดกับองค์กรในอุตสาหกรรมเดียวกัน และเชื่อมโยงความเสี่ยงด้านไอทีกับเป้าหมายและกลยุทธ์ทางธุรกิจขององค์กร