“การรักษาความปลอดภัย – ง่ายดายผ่านระบบการบริหารจัดการด้านความปลอดภัย Identity Management”

โดยมร. โรมัน ทูม่า ผู้อำนวยการฝ่ายขาย ประจำภูมิภาคอาเซียน, เอเชียเหนือ และอินเดีย ออราเคิล คอร์ปอเรชั่น เอเชีย-แปซิฟิค

การรักษาความปลอดภัยกับความสะดวกสบายไม่ได้เป็นเรื่องที่จะไปด้วยกันได้ง่ายๆ ดังนั้นจึงเป็นหน้าที่ของผู้บริหารฝ่ายข้อมูล หรือที่เรียกกันทั่วๆ ไปว่า CIO ของแต่ละองค์กร ที่จะต้องทำหน้าที่หาจุดเชื่อมโยงที่เหมาะสมระหว่างการรักษาระบบโครงข่ายพื้นฐานของบริษัทให้ปลอดภัย แต่สามารถเข้าถึงได้อย่างง่ายดาย

ผู้เชี่ยวชาญด้านโซลูชั่นระบบรักษาความปลอดภัยของออราเคิล กล่าวไว้ว่า “คุณสามารถรักษาความปลอดภัยให้กับสิ่งแวดล้อมรอบตัวคุณได้มากจนถึงจุดที่ว่าไม่มีใครสามารถเจาะเข้าถึงได้ แต่ก็จะเป็นการปิดกั้นโอกาสไปในขณะเดียวกัน ยกตัวอย่างเช่น ระบบบริการออนไลน์ของธนาคาร – การเปิดระบบบริการเช่นนี้ออกสู่สาธารณะสำหรับลูกค้าและประชาชนทั่วไป นั่นหมายความว่าเป็นการเปิดรับการคุกคามต่างๆ จากภายนอกมาสู่ธนาคาร แต่ในขณะเดียวกัน การบริการดังกล่าวก็จะช่วยดึงดูดความสนใจจากลูกค้ามากขึ้น และเพิ่มผลกำไรให้กับธนาคาร”

ศักยภาพที่ดีกว่าของระบบการบริหารจัดการด้านความปลอดภัยและการบริหารจัดการตัวตนหรือ Identity Management คือคำตอบของความท้าทายข้างต้นนี้

รายงานการวิเคราะห์ของบริษัทผู้เชี่ยวชาญด้านการบริการแห่งหนึ่งระบุไว้ว่า ประมาณ 70 เปอร์เซ็นต์ ของรายงานความไม่พร้อมทางระบบเทคโนโลยีสารสนเทศขององค์กรมีความเกี่ยวข้องโดยตรงกับการบริหารจัดการตัวตนและการเข้าถึงข้อมูล

เรื่องของระบบ Identity Management ไม่ใช่ปัญหาที่เราจะมาตั้งคำถามกับตัวเองแล้วว่าเราควรจะมีหรือไม่ แต่ควรจะตั้งคำถามกับตัวเองว่าเราควรจะมีมันเมื่อไหร่และในราคาเท่าไหร่มากกว่า ซึ่งองค์กรธุรกิจส่วนใหญ่ก็เริ่มที่จะเข้าใจแล้วว่าระบบการบริหารจัดการด้านความปลอดภัย Identity Management นั้นถือว่ามีความสำคัญเช่นเดียวกับมาตรฐานด้านความปลอดภัยและความสามารถขององค์กรธุรกิจ

ระบบการบริหารจัดการด้านความปลอดภัยและการบริหารจัดการตัวตน (Identity Management) คืออะไร
ระบบการบริหารจัดการด้านความปลอดภัย Identity Management คือการบริหารจัดการจากศูนย์กลางและการบริหารจัดการลักษณะเฉพาะที่เป็นดิจิทัลผ่านวงจรชีวิตที่สมบูรณ์ของพนักงานแต่ละคน วงจรชีวิตจะเริ่มเมื่อผู้ใช้หรือพนักงานได้เข้ามาทำงานภายในองค์กร ซึ่งถือว่าได้เข้ามาสู่ระบบจนออกไป ในภาษาทั่วไปหมายความว่า การกำหนดว่าใครสามารถเข้าถึงข้อมูลอะไรได้บ้าง

สำหรับองค์กรธุรกิจ ระบบการบริหารจัดการด้านความปลอดภัย Identity Management เป็นวิธีการที่มีประสิทธิภาพในการกำหนดอภิสิทธิ์และสิทธิในการเข้าถึงข้อมูลของพนักงานแต่ละคน เช่น การให้สิทธิแก่คอมพิวเตอร์โปรแกรมเมอร์ ในการเข้าถึงรหัสของซอฟต์แวร์แต่ควบคุมสิทธิในการเข้าถึงรายงานด้านบัญชี เป็นต้น โดยพนักงานทุกคนจะได้รับสิทธิในการเข้าถึงข้อมูลตั้งแต่เริ่มเข้ามาทำงานภายในองค์กรและเมื่อได้รับการเลื่อนตำแหน่ง และจะถูกเอาสิทธิดังกล่าวคืนเมื่อพนักงานลาออกไป อย่างไรก็ตาม ถ้าองค์กรมีพนักงานเป็นพันคนขึ้นไป มันก็อาจจะเป็นเรื่องยากและเสียค่าใช้จ่ายสูงในการตามตรวจสอบอภิสิทธิ์ของพนักงานแต่ละคนโดยไม่ใช้ระบบอัตโนมัติเข้าช่วย ดังเช่นในสถานการณ์เดียวกันนี้ ไปใช้กับการบริหารจัดการลูกค้าในการทำธุรกรรมด้านการเงินผ่านระบบออนไลน์ เช่น ระบบธนาคารออนไลน์ นอกเหนือจากการปฏิบัติตามกฎระเบียบ ลูกค้าที่ใช้ระบบออนไลน์ของธนาคารอาจจะต้องการเปลี่ยนพาสเวิร์ดของตัวเองทุกๆ เดือน ซึ่งจะกลายเป็นฝันร้าย ถ้าการขอเปลี่ยนพาสเวิร์ดไม่ได้ถูกจัดการผ่านระบบอัตโนมัติ องค์กรธุรกิจจึงจำเป็นต้องมีระบบการบริหารจัดการด้านความปลอดภัย Identity Management ซึ่งเป็นระบบอัตโนมัติ ในขณะที่ยังรักษาคงวามปลอดภัยไว้ด้วย

ประหยัดค่าใช้จ่าย
ถึงแม้ว่า CIO จะทราบถึงความจำเป็นของระบบการบริหารจัดการด้านความปลอดภัย Identity Management แล้วนั้น แต่เขาก็ยังจะต้องเผชิญกับความท้าทายในการทำให้องค์กรตัดสินใจลงทุนไปกับระบบดังกล่าวให้ได้

มันอาจจะเป็นเรื่องยากที่จะทำให้ผู้ถือหุ้นเชื่อ เพราะดูเหมือนว่าระบบการบริหารจัดการด้านความปลอดภัย Identity Management นั้นเป็นเพียงแค่การพัฒนากระบวนการภายในองค์กร แต่ไม่ได้ให้ผลกำไรโดยตรงกับผลประกอบการขององค์กร ทั้งๆ ที่จริงๆ แล้วระบบจะเป็นตัวช่วยในทางหนึ่ง จากการวิเคราะห์ของบริษัทการตลาดด้านเทคโนโลยีแห่งหนึ่งรายงานว่า การมีระบบดังกล่าวสามารถช่วยทำให้ค่าใช้จ่ายเกี่ยวกับการบริหารจัดการลดลง มีอัตราสูงถึง 78 เปอร์เซ็นต์

ปัจจุบันระบบการบริหารจัดการด้านความปลอดภัย Identity Management ควรจะมีส่วนประกอบหลักๆ อาทิ ระบบควบคุมการเข้าถึงข้อมูล (เช่น อำนาจของผู้ใช้งาน), การบริหารจัดการลักษณะเฉพาะตัว (เช่น การสร้างและลบข้อมูลของผู้ใช้แอคเคาท์) และระบบบริการจัดหมวดหมู่ (เช่น จัดตำแหน่งใหม่สำหรับการจัดเก็บข้อมูลของผู้ใช้ องค์กรธุรกิจจำเป็นจะต้องมีความละเอียดเลือกใช้ระบบการบริหารจัดการด้านความปลอดภัย Identity Management ให้ถูกต้องเหมาะสมและรองรับกับธุรกิจขององค์กร มิเช่นนั้นจะกลายเป็นการเพิ่มค่าใช้จ่ายให้กับองค์กร