1. การสแกนเพื่อหาจุดอ่อน (Vulnerability Scanning) และการอัพเดตแพตช์เพื่อปิดช่องโหว่หรือจุดอ่อนนั้นเป็นส่วนที่สำคัญสำหรับการป้องกัน และการรักษาความปลอดภัยให้กับเครือข่าย เครื่องมือที่ใช้สำหรับการจัดการและอัพเดตแพตช์เป็นส่วนที่สำคัญ และมีประโยชน์อย่างมากในช่วงหลังๆต่อไปนี้เป็นตัวอย่างของเครื่องมือที่ได้รับความนิยม และนอกจากนี้ยังได้มีการเปรียบเทียบข้อดีข้อเสียเพื่อเป็นข้อมูลสำหรับจัดซื้อเครื่องมือเหล่านี้มาใช้งานในระบบ
2. การสแกนเครือข่ายเพื่อค้นหาจุดอ่อน หรือช่องโหว่เป็นสิ่งสำคัญที่จะช่วยทำไห้เครือข่ายปลอดภัยมากยิ่งขึ้น ผู้ดูแลระบบจำเป็นที่ต้องรู้ว่าเครือข่ายมีช่องโหว่หรือจุดอ่อนตรงไหนบ้าง การใช้เครื่องมือด้านการรักษาความปลอดภัยเป็นวิธีที่ง่ายและเป็นวิธีเดียวที่ใช้ได้ผล การสแกนนั้นควรทำจากหลายๆจุด เช่น จากภายนอกหรืออินเทอร์เน็ต เพื่อทดสอบไฟร์วอลระบบป้องกันจากภายนอก สแกนจากภายในโดยทั้งที่ใช้สิทธิ์และไม่ใช้สิทธิ์ของผู้ดูแลระบบ และสแกน DMZ โซนด้วย
3. หลังจากที่สแกนเครือข่ายและพบจุดอ่อนหรือช่องโหว่แล้ว ขั้นตอนต่อไปคือ การปิดช่องโหว่ ซึ่งในทางไอทีเราจะเรียกว่า “การอัพเดตแพตช์ (Patch)” ดังนั้น วิธีสแกนหาช่องโหว่หรือจุดอ่อนวิธีหนึ่งก็โดยการสแกนเพื่อเช็คดูว่าระบบนั้นได้อัพเดตแพตช์นั้นๆหรือยัง ถ้ายังก็สามารถสรุปได้ว่าระบบนั้นยังมีช่องโหว่อยู่ เครื่องมือที่ใช้สำหรับการสแกนหาช่องโหว่ส่วนใหญ่จะมีฟีเจอร์ที่สามารถอัพเดตแพตช์ให้กับระบบได้ทันที การไม่อัพเดตแพตช์ทันทีอาจเป็นการเพิ่มความเสี่ยงเป็นสองเท่า เพราะนอกจากช่องโหว่ที่ยังไม่ถูกปิดแล้ว การสแกนนั้นอาจถูกประกาศให้สาธารณะทราบ เมื่อมีคนรู้มากขึ้นว่าระบบมีช่องโหว่ก็อาจเป็นเหตุให้ผู้ที่ไม่หวังดีพยายามที่จะเจาะเข้ามาทำลายระบบก็ได้
วันพุธ, กันยายน 07, 2554
กระบวนการรักษาความปลอดภัยข้อมูล
การรักษาความปลอดภัยของข้อมูลนั้นเป็นกระบวนการในเชิงรุกเพื่อบริหารความเสี่ยง (Risk Management) แต่ที่ผ่านมาโดยส่วนใหญ่การรักษาความปลอดภัยจะเป็นแบบเชิงรับ กล่าวคือ องค์กรจะรอให้มีเหตุการณ์เกิดขึ้นก่อนแล้วค่อยหาวิธีการที่จะป้องกันเหตุการณ์นั้น ซึ่งการทำเช่นนี้อาจเกิดความเสียหายกับองค์การมากเกินคาดก็ได้ การจัดการในเชิงรุกนั้นเป็นขั้นตอนที่ทำก่อนที่จะเกิดเหตุการณ์ขึ้น ถ้าการรักษาความปลอดภัยนั้นเป็นแบบเชิงรับ ค่าใช้จ่ายของระบบการรักษาความปลอดภัยนั้นไม่สามารถประเมินได้
ค่าใช้จ่ายการรักษาความปลอดภัย = ค่าความเสียหายเมื่อเกิดเหตุการณ์ + ค่าใช้จ่ายในการติดตั้งระบบป้องกัน
อย่างไรก็ตามค่าความเสียหายเมื่อเกิดเหตุการณ์นั้นไม่สามารถทราบได้จนกว่าจะเกิดเหตุการณ์ขึ้นก่อน และเนื่องจากองค์กรไม่ได้เตรียมการล่วงหน้าก่อนที่จะเกิดเหตุการณ์จึงทำให้ไม่สามารถทราบได้ถึงค่าความเสียหายจากเหตุการณ์นั้น ดังนั้น ความเสี่ยงขององค์กรไม่อาจทราบได้จนกว่าจะเกิดเหตุการณ์ขึ้นจริงๆ
อย่างไรก็ตามองค์กรสามารถลดค่าใช้จ่ายเกี่ยวกับการรักษาความปลอดภัยลงได้ การจัดการวางแผนเพื่อเตรียมรับเหตุการณ์ และการบริหารความเสี่ยงสามารถทำให้ค่าความเสียหายที่เกิดจากเหตุการณ์ลดลงได้ ถ้าองค์กรได้เตรียมการอย่างดีก่อนที่จะเกิดเหตุการณ์ขึ้น ดังนั้น เหตุการณ์นั้นจึงไม่เกิดขึ้นเพราะมีการป้องกันไว้อย่างดี ดังนั้น
ค่าใช้จ่ายการรักษาความปลอดภัย = ค่าใช้จ่ายในการติดตั้งระบบป้องกัน
ข้อสังเกตจากสมการทั้งสองข้างบนก็คือ ค่าความเสียหายที่เกิดจากเหตุการณ์นั้นอาจมีค่ามากกว่าค่าใช้จ่ายในการติดตั้งระบบเพื่อป้องกันเหตุการณ์มาก ทำให้ค่าใช้จ่ายในการรักษาความปลอดภัยนั้นลดลงอย่างเห็นได้ชัด การเตรียมการล่วงหน้าก่อนที่จะเกิดเหตุการณ์ขึ้นเป็นนโยบายเชิงรุกสำหรับการรักษาความปลอดภัยข้อมูลขององค์กร
กระบวนการในการรักษาความปลอดภัยข้อมูลขององค์กรนั้นเป็นกระบวนการที่ต้องทำอย่างต่อเนื่อง ซึ่งประกอบด้วย ๕ ขั้นตอนหลักคือ
• การประเมินความเสี่ยง (Risk Assessment)
• กำหนดนโยบาย (Policy)
• การติดตั้งระบบป้องกัน (Implementation)
• การฝึกอบรม (Training)
• การตรวจสอบ (Audit)
แต่ละขั้นตอนนั้นมีความสำคัญต่อกระบวนการรักษาความปลอดภัยข้อมูลขององค์กรอย่างไรก็ตามเพื่อให้กระบวนการนี้ได้ผล และมีประสิทธิภาพในการป้องกันเหตุการณ์ต่างๆ องค์กรจะต้องทำทุกขั้นตอนควบคู่กันไป
ค่าใช้จ่ายการรักษาความปลอดภัย = ค่าความเสียหายเมื่อเกิดเหตุการณ์ + ค่าใช้จ่ายในการติดตั้งระบบป้องกัน
อย่างไรก็ตามค่าความเสียหายเมื่อเกิดเหตุการณ์นั้นไม่สามารถทราบได้จนกว่าจะเกิดเหตุการณ์ขึ้นก่อน และเนื่องจากองค์กรไม่ได้เตรียมการล่วงหน้าก่อนที่จะเกิดเหตุการณ์จึงทำให้ไม่สามารถทราบได้ถึงค่าความเสียหายจากเหตุการณ์นั้น ดังนั้น ความเสี่ยงขององค์กรไม่อาจทราบได้จนกว่าจะเกิดเหตุการณ์ขึ้นจริงๆ
อย่างไรก็ตามองค์กรสามารถลดค่าใช้จ่ายเกี่ยวกับการรักษาความปลอดภัยลงได้ การจัดการวางแผนเพื่อเตรียมรับเหตุการณ์ และการบริหารความเสี่ยงสามารถทำให้ค่าความเสียหายที่เกิดจากเหตุการณ์ลดลงได้ ถ้าองค์กรได้เตรียมการอย่างดีก่อนที่จะเกิดเหตุการณ์ขึ้น ดังนั้น เหตุการณ์นั้นจึงไม่เกิดขึ้นเพราะมีการป้องกันไว้อย่างดี ดังนั้น
ค่าใช้จ่ายการรักษาความปลอดภัย = ค่าใช้จ่ายในการติดตั้งระบบป้องกัน
ข้อสังเกตจากสมการทั้งสองข้างบนก็คือ ค่าความเสียหายที่เกิดจากเหตุการณ์นั้นอาจมีค่ามากกว่าค่าใช้จ่ายในการติดตั้งระบบเพื่อป้องกันเหตุการณ์มาก ทำให้ค่าใช้จ่ายในการรักษาความปลอดภัยนั้นลดลงอย่างเห็นได้ชัด การเตรียมการล่วงหน้าก่อนที่จะเกิดเหตุการณ์ขึ้นเป็นนโยบายเชิงรุกสำหรับการรักษาความปลอดภัยข้อมูลขององค์กร
กระบวนการในการรักษาความปลอดภัยข้อมูลขององค์กรนั้นเป็นกระบวนการที่ต้องทำอย่างต่อเนื่อง ซึ่งประกอบด้วย ๕ ขั้นตอนหลักคือ
• การประเมินความเสี่ยง (Risk Assessment)
• กำหนดนโยบาย (Policy)
• การติดตั้งระบบป้องกัน (Implementation)
• การฝึกอบรม (Training)
• การตรวจสอบ (Audit)
แต่ละขั้นตอนนั้นมีความสำคัญต่อกระบวนการรักษาความปลอดภัยข้อมูลขององค์กรอย่างไรก็ตามเพื่อให้กระบวนการนี้ได้ผล และมีประสิทธิภาพในการป้องกันเหตุการณ์ต่างๆ องค์กรจะต้องทำทุกขั้นตอนควบคู่กันไป
การรักษาความปลอดภัยของข้อมูล
การรักษาความปลอดภัยของข้อมูล คือ เทคนิคและวิธีการต่าง ๆ ที่ใช้ป้องกันการลักลอบแอบดูข้อมูล การเปลี่ยนแปลง การแทน หรือ การทําลายข้อมูลที่ไม่ได้รับอนุญาตจากเจ้าของข้อมูลนั้นๆ โดยทั่วไปแล้วในการให้บริการด้านความปลอดภัยของข้อมูล เทคโนโลยีต่าง ๆ ที่จะนํามาใช้สามารถรองรับองค์ประกอบดังต่อไปนี้
1.Confidentiality คือ การรักษาความลับของข้อมูลโดยข้อมูลนั้นสามารถถูกเปิดอ่านและเข้าใจได้เฉพาะผู้ที่ได้มีการระบุว่าเป็นผู้รับเท่านั้น การรักษาความลับของข้อมูล (Confidentiality) คือการรักษาความลับของข้อมูลที่เก็บไว้ หรือ ส่งผ่านทางเครือข่าย โดยป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้ (เปรียบเทียบได้กับ การปิดผนึกซองจดหมาย การใช้ชองจดหมายที่ทึบแสง การเขียนหมึกที่มองไม่เห็น เป็นต้น)
2.Integrity คือ การรักษาความแท้จริงของข้อมูล โดยสามารถตรวจสอบได้ว่า ข้อมูลที่นั้นได้ถูกเปลี่ยนแปลงแก้ไข โดยบุคคลอื่นที่ไม่ได้รับอนุญาตในระหว่างทางหรือ ไม่ การรักษาความถูกต้องของข้อมูล (Integrity)คือ การป้องกันไม่ให้ข้อมูลถูกแก้ไข โดยตรวจสอบไม่ได้(เปรียบเทียบได้กับ การเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะก่อให้เกิดรอยลบขึ้น การใช้โฮโลแกรมกํากับบนบัตรเครดิต เป็นต้น)
3.Authentication คือ การระบุตัวบุคคลผู้ส่งข้อมูล เพื่อตรวจสอบว่าบุคคลนั้นเป็นผู้ซึ่งอ้างถึงจริง การระบุตัวบุคคล และ อํานาจหน้าที่ (Authentication & Authorization) คือการระบุตัวบุคคลที่ติดต่อว่าเป็นบุคคลตามที่ได้กล่าวอ้างไว้จริง และมีอํานาจหน้าที่ตามที่ไดเกล่าวอ้างไว้จริง (เปรียบเทียบได้กับการแสดงตัวด้วยบัตรประจําตัวซึ่งมีรูปติดอยู่ด้วย หรือ การใช้ระบบล็อคซึ่งผู้ที่จะเปิดได้จะต้องมีกุญแจอยู่เท่านั้น เป็นต้น)
4.Non-repudiation คือความแน่ใจว่าคู่สื่อสารไม่สามารถที่จะปฏิเสธการสื่อสารทางอิเล็กทรอนิกส์ที่เกิดขึ้นได้การป้องกันการปฎิเสธ หรือ อ้าง ความรับผิดชอบ (Non-repudiation) คือการป้องกันการปฏิเสธว่าไม่ได้มีการส่ง หรือ รับข้อมูล จากฝ่ายต่างๆ ที่เกี่ยวข้อง หรือ การป้องกันการอ้างที่เป็นเท็จว่าได้ รับ หรือ ส่งข้อมูล(เปรียบเทียบได้กับการส่งจดหมายลงทะเบียนเป็นต้น)
1.Confidentiality คือ การรักษาความลับของข้อมูลโดยข้อมูลนั้นสามารถถูกเปิดอ่านและเข้าใจได้เฉพาะผู้ที่ได้มีการระบุว่าเป็นผู้รับเท่านั้น การรักษาความลับของข้อมูล (Confidentiality) คือการรักษาความลับของข้อมูลที่เก็บไว้ หรือ ส่งผ่านทางเครือข่าย โดยป้องกันไม่ให้ผู้อื่นที่ไม่มีสิทธิ์ลักลอบดูได้ (เปรียบเทียบได้กับ การปิดผนึกซองจดหมาย การใช้ชองจดหมายที่ทึบแสง การเขียนหมึกที่มองไม่เห็น เป็นต้น)
2.Integrity คือ การรักษาความแท้จริงของข้อมูล โดยสามารถตรวจสอบได้ว่า ข้อมูลที่นั้นได้ถูกเปลี่ยนแปลงแก้ไข โดยบุคคลอื่นที่ไม่ได้รับอนุญาตในระหว่างทางหรือ ไม่ การรักษาความถูกต้องของข้อมูล (Integrity)คือ การป้องกันไม่ให้ข้อมูลถูกแก้ไข โดยตรวจสอบไม่ได้(เปรียบเทียบได้กับ การเขียนด้วยหมึกซึ่งถ้าถูกลบแล้วจะก่อให้เกิดรอยลบขึ้น การใช้โฮโลแกรมกํากับบนบัตรเครดิต เป็นต้น)
3.Authentication คือ การระบุตัวบุคคลผู้ส่งข้อมูล เพื่อตรวจสอบว่าบุคคลนั้นเป็นผู้ซึ่งอ้างถึงจริง การระบุตัวบุคคล และ อํานาจหน้าที่ (Authentication & Authorization) คือการระบุตัวบุคคลที่ติดต่อว่าเป็นบุคคลตามที่ได้กล่าวอ้างไว้จริง และมีอํานาจหน้าที่ตามที่ไดเกล่าวอ้างไว้จริง (เปรียบเทียบได้กับการแสดงตัวด้วยบัตรประจําตัวซึ่งมีรูปติดอยู่ด้วย หรือ การใช้ระบบล็อคซึ่งผู้ที่จะเปิดได้จะต้องมีกุญแจอยู่เท่านั้น เป็นต้น)
4.Non-repudiation คือความแน่ใจว่าคู่สื่อสารไม่สามารถที่จะปฏิเสธการสื่อสารทางอิเล็กทรอนิกส์ที่เกิดขึ้นได้การป้องกันการปฎิเสธ หรือ อ้าง ความรับผิดชอบ (Non-repudiation) คือการป้องกันการปฏิเสธว่าไม่ได้มีการส่ง หรือ รับข้อมูล จากฝ่ายต่างๆ ที่เกี่ยวข้อง หรือ การป้องกันการอ้างที่เป็นเท็จว่าได้ รับ หรือ ส่งข้อมูล(เปรียบเทียบได้กับการส่งจดหมายลงทะเบียนเป็นต้น)
วิชาความมั่นคงปลอดภัยของระบบสารสนเทศ
* การรัีกษาความปลอดภัยของข้อมูล
* กระบวนการรักษาความปลอดภัยข้อมูล
* การป้องกันการเจาะระบบ
* Cryptography&Steganography
* การประยุกต์ใช้ Cryptography
* File wall
* IDS/IPS
* การป้องกันไวรัส
* การกู้คืนระบบ
* กรณีศึกษาการโจมตีแบบฟิชชิ่งลูกค้าธนาคาร
* กระบวนการรักษาความปลอดภัยข้อมูล
* การป้องกันการเจาะระบบ
* Cryptography&Steganography
* การประยุกต์ใช้ Cryptography
* File wall
* IDS/IPS
* การป้องกันไวรัส
* การกู้คืนระบบ
* กรณีศึกษาการโจมตีแบบฟิชชิ่งลูกค้าธนาคาร
กรณีศึกษา: ระบบสารสนเทศสำหรับผู้บริหารระดับสูงที่บริษัทเฮิร์ตซ์
กรณีศึกษา: ระบบสารสนเทศสำหรับผู้บริหารระดับสูงที่บริษัทเฮิร์ตซ์ : An Executive Ilformation System at Hertz Corporation
เฮิร์ตซ์ (Hertz) เป็นบริษัทให้บริการเช่ารถยนต์รายใหญ่ที่สุดของธุรกิจการเช่ารถ โดยให้บริการเช่ารถในหลายร้อยแห่งทั่วโลก เละมีคู่แข่งที่สำคัญหลายสิบราย
การตัดสินใจด้านการตลาดของธุรกิจให้บริการเช่ารถยนต์จะขึ้นอยู่กับปัจจัยสิ่งแวดล้อมของแต่ละแห่งซึ่งจำเป็นต้องอาศัยสารสนเทศเพื่อประกอบการตัดสินใจ เช่น สารสนเทศเกี่ยวกับสถานที่ เทศการกิจกรรมเกี่ยวกับการท่องเที่ยว การสนับสนุนการขายที่ผ่านมา ข้อมูลของผู้แข่งขัน รวมถึงพฤติกรรมของลูกค้า ฯลฯ ด้วยข้อมูลจำนวนมหาศาลเช่นนี้การประมวลผลย่อมต้องอาศัยคอมพิวเตอร์อย่างแน่นอน แต่ปัญหาที่บริษัทฯพบก็คือ จะสามารถเข้าถึงข้อมูลเหล่านี้ได้อย่างรวดเร็วและนำมาใช้อย่างเหมาะสมได้อย่างไร
บริษัทตระหนักดีว่าการวิเคราะห์ข้อมูลเป็นสิ่งสำคัญจึงได้พัฒนาระบบสนับสนุนการตัดสินใจ (DSS) ขึ้นมาเพื่อช่วยให้ผู้บริหารสามารถวิเคราะห์ข้อมูลได้อย่างรวดเร็ว อย่างไรก็ตามการใช้ระบบ ทำให้มีขึ้นตอนในการประมวลผลเพิ่มขึ้นและไม่คล่องตัว ดังนั้นในปีถัดมาทางบริษัทจึงตัดสินใจเพิ่มระบบสารสนเทศสำหรับผู้บริหาร (ELS) ซึ่งเป็นระบบบนเครื่อง PC เพื่อเป็นเครื่องมือให้ผู้บริหารสามารถวิเคราะห์ข้อมูลจำนวนมหาศาล ในลักษณะเรียลไทม์ (Real-time) ได้เองโดยไม่จำเป็นต้องอาศัยผู้ช่วยอีกต่อไป เนื่องจากระบบ ELS ได้รับการพัฒนาให้ใช้งายง่าย (User-friendly) คำนึงถึงความเหมาะสมกับลักษณะขององค์การ ทักษะ และการใช้งานของผูบริหารระดับสูง โดยระบบดังกล่าวมีเจ้าหน้าที่ด้านการตลาดเป็นผู้ดูแลบำรุงรักษาระบบ
ผู้บริหารระดับสูงของเฮิร์ตซ์ สามารถใช้ระบบ ELS ในการเลือกดูและวิเคราะห์ข้อมูลที่ต้องการและมีความสำคัญเชิงกลยุทธ์ได้อย่างรวดเร็ว สามารถเข้าถึงข้อมุลในรายละเอียดเป็นระดับลงมาได้ (Drill-Down) รวมถึงความสามารถในการดึงข้อมูลจากเครื่องขนาดใหญ่ (Mainframe) และนำมาจัดเก็บไว้ในเครื่อง PC ของผู้บริหารเองและนำข้อมูลนั้นมาวิเคราะห์ในแบบของระบบสนับสนุนการตัดสินใจโดยไม่ต้องทำการวิเคราะห์บนเครื่องขนาดใหญ่ ระบบ ELS ช่วยสนับสนุนการตัดสินใจของผู้บริหารระดับสูง ก่อให้เกิดความคิดสร้างสรรค์ และช่วยให้การตัดสินใจมีประสิทธิภาพมากยิ่งขึ้น
ในปลายทศวรรษ 1990 ระบบ ELS ได้รับการเชื่อมโยงเข้ากับคลังข้อมูล (Data Warehouse) อินเทอร์เน็ตและอินทราเน็ตขององค์การ ผู้บริหารของเฮิร์ทในท้องที่ต่างๆ สามารถรับทราบข้อมูลราคาที่แข่งขันทั้งหมดได้ลักษณะเรียลไทม์ (Real-time) และสามารถเข้าถึงข้อมูลเกี่ยวกับผละกระทบของการเปลี่ยนแปลงราคาต่อความต้องการรถยนต์ของลูกค้าได้อย่างรวดเร็ว (Turban, et al., 2002: 457)
คำถาม
1. การกำหนดอัตราค่าเช่ารถแต่ละประเภทต้องพิจารณาปัจจัยใดบ้าง
ตอบ ขึ้นอยู่กับปัจจัยสิ่งแวดล้อมของแต่ละแห่ง เช่น สถานที่ เทศกาล กิจกรรมเกี่ยวกับการท่องเที่ยว ผู้แข่งขัน พฤติกรรมของลูกค้า
2. เพราะเหตุใดบริษัทเฮิร์ตจึงนำเอาระบบสารสนเทศสำหรับผู้บริหารระดับสูงมาใช้
ตอบ เนื่องจากระบบเดิมคือระบบ DSS นั้นพบว่าบางครั้งผุ้จัดการฝ่ายการตลาดต้องอาศัยผู้ช่วยเพื่อคอยช่วยเหลือในการใช้ระบบ ทำให้มีขั้นตอนในการประมวลผลเพิ่มขึ้น และไม่คล่องตัว จึงตัดสินใจเพิ่มระบบสารสนเทศสำหรับผู้บริหาร ESS ซึ่งเป็นเครื่องมือให้ผู้บริหารสามารถวิเคราะห์ข้อมูลจำนวนมหาศาลในลักษณะเรียลไทม์ (Real-time) ได้เองโดยไม่จำเป็นต้องอายศัยผู้ช่วยอีกต่อไป
เฮิร์ตซ์ (Hertz) เป็นบริษัทให้บริการเช่ารถยนต์รายใหญ่ที่สุดของธุรกิจการเช่ารถ โดยให้บริการเช่ารถในหลายร้อยแห่งทั่วโลก เละมีคู่แข่งที่สำคัญหลายสิบราย
การตัดสินใจด้านการตลาดของธุรกิจให้บริการเช่ารถยนต์จะขึ้นอยู่กับปัจจัยสิ่งแวดล้อมของแต่ละแห่งซึ่งจำเป็นต้องอาศัยสารสนเทศเพื่อประกอบการตัดสินใจ เช่น สารสนเทศเกี่ยวกับสถานที่ เทศการกิจกรรมเกี่ยวกับการท่องเที่ยว การสนับสนุนการขายที่ผ่านมา ข้อมูลของผู้แข่งขัน รวมถึงพฤติกรรมของลูกค้า ฯลฯ ด้วยข้อมูลจำนวนมหาศาลเช่นนี้การประมวลผลย่อมต้องอาศัยคอมพิวเตอร์อย่างแน่นอน แต่ปัญหาที่บริษัทฯพบก็คือ จะสามารถเข้าถึงข้อมูลเหล่านี้ได้อย่างรวดเร็วและนำมาใช้อย่างเหมาะสมได้อย่างไร
บริษัทตระหนักดีว่าการวิเคราะห์ข้อมูลเป็นสิ่งสำคัญจึงได้พัฒนาระบบสนับสนุนการตัดสินใจ (DSS) ขึ้นมาเพื่อช่วยให้ผู้บริหารสามารถวิเคราะห์ข้อมูลได้อย่างรวดเร็ว อย่างไรก็ตามการใช้ระบบ ทำให้มีขึ้นตอนในการประมวลผลเพิ่มขึ้นและไม่คล่องตัว ดังนั้นในปีถัดมาทางบริษัทจึงตัดสินใจเพิ่มระบบสารสนเทศสำหรับผู้บริหาร (ELS) ซึ่งเป็นระบบบนเครื่อง PC เพื่อเป็นเครื่องมือให้ผู้บริหารสามารถวิเคราะห์ข้อมูลจำนวนมหาศาล ในลักษณะเรียลไทม์ (Real-time) ได้เองโดยไม่จำเป็นต้องอาศัยผู้ช่วยอีกต่อไป เนื่องจากระบบ ELS ได้รับการพัฒนาให้ใช้งายง่าย (User-friendly) คำนึงถึงความเหมาะสมกับลักษณะขององค์การ ทักษะ และการใช้งานของผูบริหารระดับสูง โดยระบบดังกล่าวมีเจ้าหน้าที่ด้านการตลาดเป็นผู้ดูแลบำรุงรักษาระบบ
ผู้บริหารระดับสูงของเฮิร์ตซ์ สามารถใช้ระบบ ELS ในการเลือกดูและวิเคราะห์ข้อมูลที่ต้องการและมีความสำคัญเชิงกลยุทธ์ได้อย่างรวดเร็ว สามารถเข้าถึงข้อมุลในรายละเอียดเป็นระดับลงมาได้ (Drill-Down) รวมถึงความสามารถในการดึงข้อมูลจากเครื่องขนาดใหญ่ (Mainframe) และนำมาจัดเก็บไว้ในเครื่อง PC ของผู้บริหารเองและนำข้อมูลนั้นมาวิเคราะห์ในแบบของระบบสนับสนุนการตัดสินใจโดยไม่ต้องทำการวิเคราะห์บนเครื่องขนาดใหญ่ ระบบ ELS ช่วยสนับสนุนการตัดสินใจของผู้บริหารระดับสูง ก่อให้เกิดความคิดสร้างสรรค์ และช่วยให้การตัดสินใจมีประสิทธิภาพมากยิ่งขึ้น
ในปลายทศวรรษ 1990 ระบบ ELS ได้รับการเชื่อมโยงเข้ากับคลังข้อมูล (Data Warehouse) อินเทอร์เน็ตและอินทราเน็ตขององค์การ ผู้บริหารของเฮิร์ทในท้องที่ต่างๆ สามารถรับทราบข้อมูลราคาที่แข่งขันทั้งหมดได้ลักษณะเรียลไทม์ (Real-time) และสามารถเข้าถึงข้อมูลเกี่ยวกับผละกระทบของการเปลี่ยนแปลงราคาต่อความต้องการรถยนต์ของลูกค้าได้อย่างรวดเร็ว (Turban, et al., 2002: 457)
คำถาม
1. การกำหนดอัตราค่าเช่ารถแต่ละประเภทต้องพิจารณาปัจจัยใดบ้าง
ตอบ ขึ้นอยู่กับปัจจัยสิ่งแวดล้อมของแต่ละแห่ง เช่น สถานที่ เทศกาล กิจกรรมเกี่ยวกับการท่องเที่ยว ผู้แข่งขัน พฤติกรรมของลูกค้า
2. เพราะเหตุใดบริษัทเฮิร์ตจึงนำเอาระบบสารสนเทศสำหรับผู้บริหารระดับสูงมาใช้
ตอบ เนื่องจากระบบเดิมคือระบบ DSS นั้นพบว่าบางครั้งผุ้จัดการฝ่ายการตลาดต้องอาศัยผู้ช่วยเพื่อคอยช่วยเหลือในการใช้ระบบ ทำให้มีขั้นตอนในการประมวลผลเพิ่มขึ้น และไม่คล่องตัว จึงตัดสินใจเพิ่มระบบสารสนเทศสำหรับผู้บริหาร ESS ซึ่งเป็นเครื่องมือให้ผู้บริหารสามารถวิเคราะห์ข้อมูลจำนวนมหาศาลในลักษณะเรียลไทม์ (Real-time) ได้เองโดยไม่จำเป็นต้องอายศัยผู้ช่วยอีกต่อไป
ความสำคัญของผู้บริหารต่อการพัฒนาระบบ ESS
ผู้บริหารระดับสูงเป็นผู้มีบทบาทสำคัญอย่างมากต่อการพัฒนาระบบสารสนเทศทุกระบบในองค์การ โดยให้การสนับสนุนและจัดหาทรัพยากร ให้ความร่วมมือกับทีมงานพัฒนาระบบเพื่อให้สามารถรวบรวมความต้องการของผู้บริหาร และนำมาออกแบบระบบให้เหมาะสมกับลักษณะการใช้งานต่อไป การมีทัศนคติที่ดีของผู้บริหารต่อระบบสารสนเทศ และเป็นผู้นำในการใช้เทคโนโลยีสารสนเทศเพื่อการวางแผนกลยุทธ์ และบริหารองค์การ ก่อให้เกิดภาพลักษณ์ที่ดี และเป็นแบบอย่างในการนำไปใช้เทคโนโลยีสารสนเทศมาใช้ให้เกิดประโยชน์ต่อองค์การ
ลักษณะของระบบ ESS
1. ให้สารสนเทศที่มีประโยชน์ต่อการวางแผนกลยุทธ์ ให้ข้อมูลที่สำคัญและเป็นประโยชน์ต่อการวางแผน และตัดสินใจของผู้บริหารระดับสูง เช่น ข้อมูลการบ่งชี้ผลการปฏิบัติงาน (Key Performance Indicators : KPI) ช่วยให้เห็นความเป็นไปของธุรกิจ และเป้าหมายในการบริหารอย่างชัดเจน เตรียมพร้อมการรองรับสถานการณ์ทันท่วงที ได้เปรียบจากคู่แข่งขัน และส่วนแบ่งการตลาดที่เพิ่มขึ้น
2. ง่ายต่อการเรียนรู้และใช้งาน โดยผู้ใช้ไม่จำเป็นต้องมีความรู้มาก หรือทักษะสูงด้านคอมพิวเตอร์ และเทคโนโลยีสารสนเทศก็สามารถเรียนรู้ และใช้งานได้ง่าย มีอุปกรณ์ช่วยให้ใช้ระบบได้คล่องตัว เช่น การใช้เมาส์ ระบบสัมผัส อาจมีเมนูสำหรับอธิบายการใช้งาน และแก้ปัญหาด้วยตนเอง (Self-help Menu) วิธีการเรียกดู สืบค้นข้อมูลง่าย ไม่ซับซ้อน
3. เชื่อมโยงกับแหล่งข้อมูลภายนอก สามารถเชื่อมโยงระหว่างสื่อหลายมิติ (Hypermedia) หรือเชื่อมโยงเข้ากับเว็บไซต์ต่าง ๆ เพื่อให้ผู้บริหารรับทราบข้อมูลที่สำคัญจากแหล่งภายนอก เช่น ภาวะเศรษฐกิจ ความต้องการตลาด ความต้องการลูกค้า เป็นต้น สามารถนำข้อมูลเหล่านี้มาวิเคราะห์เพื่อประกอบการตัดสินใจได้อย่างรวดเร็ว
4. สามารถประมวลผลในรูปแบบที่ไม่ได้กำหนดไว้ล่วงหน้า ESS มีการจัดเตรียมข้อมูล และเครื่องมือเพื่อให้ผู้บริหารเรียกดูข้อมูลในลักษณะภาพรวมแบบกว้าง (Aggregate/Global Information) และสามารถเรียกดูสารสนเทศในลักษณะเฉพาะเจาะจงในรายละเอียดของข้อมูลเป็นลำดับลงมาตามความต้องการ (Drill-down Ability) ระบบสามารถวิเคราะห์ข้อมูลเฉพาะกิจได้อย่างรวดเร็ว(Ad Hoc Analysis) และนำเสนอรายงานให้ผู้บริหารได้หลายรูปแบบ
5. พัฒนาเฉพาะสำหรับผู้บริหาร ระบบได้รับการออกแบบเป็นแบบเฉพาะสำหรับผู้บริหารในการเข้าถึงข้อมูลที่ต้องการได้อย่างสะดวกรวดเร็ว ดูได้บ่อยครั้งมีขั้นตอนที่เข้าถึงง่าย ไม่ต้องจดจำคำสั่งและใช้เวลามากในการทำงาน
6. มีระบบรักษาความปลอดภัย ป้องกันการเข้าถึงข้อมูลจากผู้ไม่ได้รับสิทธิ์ รวมถึงการรั่วไหลข้อมูลที่มีความสำคัญขององค์การ
2. ง่ายต่อการเรียนรู้และใช้งาน โดยผู้ใช้ไม่จำเป็นต้องมีความรู้มาก หรือทักษะสูงด้านคอมพิวเตอร์ และเทคโนโลยีสารสนเทศก็สามารถเรียนรู้ และใช้งานได้ง่าย มีอุปกรณ์ช่วยให้ใช้ระบบได้คล่องตัว เช่น การใช้เมาส์ ระบบสัมผัส อาจมีเมนูสำหรับอธิบายการใช้งาน และแก้ปัญหาด้วยตนเอง (Self-help Menu) วิธีการเรียกดู สืบค้นข้อมูลง่าย ไม่ซับซ้อน
3. เชื่อมโยงกับแหล่งข้อมูลภายนอก สามารถเชื่อมโยงระหว่างสื่อหลายมิติ (Hypermedia) หรือเชื่อมโยงเข้ากับเว็บไซต์ต่าง ๆ เพื่อให้ผู้บริหารรับทราบข้อมูลที่สำคัญจากแหล่งภายนอก เช่น ภาวะเศรษฐกิจ ความต้องการตลาด ความต้องการลูกค้า เป็นต้น สามารถนำข้อมูลเหล่านี้มาวิเคราะห์เพื่อประกอบการตัดสินใจได้อย่างรวดเร็ว
4. สามารถประมวลผลในรูปแบบที่ไม่ได้กำหนดไว้ล่วงหน้า ESS มีการจัดเตรียมข้อมูล และเครื่องมือเพื่อให้ผู้บริหารเรียกดูข้อมูลในลักษณะภาพรวมแบบกว้าง (Aggregate/Global Information) และสามารถเรียกดูสารสนเทศในลักษณะเฉพาะเจาะจงในรายละเอียดของข้อมูลเป็นลำดับลงมาตามความต้องการ (Drill-down Ability) ระบบสามารถวิเคราะห์ข้อมูลเฉพาะกิจได้อย่างรวดเร็ว(Ad Hoc Analysis) และนำเสนอรายงานให้ผู้บริหารได้หลายรูปแบบ
5. พัฒนาเฉพาะสำหรับผู้บริหาร ระบบได้รับการออกแบบเป็นแบบเฉพาะสำหรับผู้บริหารในการเข้าถึงข้อมูลที่ต้องการได้อย่างสะดวกรวดเร็ว ดูได้บ่อยครั้งมีขั้นตอนที่เข้าถึงง่าย ไม่ต้องจดจำคำสั่งและใช้เวลามากในการทำงาน
6. มีระบบรักษาความปลอดภัย ป้องกันการเข้าถึงข้อมูลจากผู้ไม่ได้รับสิทธิ์ รวมถึงการรั่วไหลข้อมูลที่มีความสำคัญขององค์การ
ความหมายของระบบ ESS
ระบบสารสนเทศสำหรับผู้บริหาร (Executive Support System : ESS) เป็นระบบสนับสนุนการตัดสินใจโดยเฉพาะสำหรับผู้บริหารระดับสูง เพื่อสนับสนุนการตัดสินใจแบบไม่มีโครงสร้าง โดยระบบจะให้ข้อมูลที่ถูกต้อง ทันสมัยตามความต้องการเพื่อใช้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์ วัตถุประสงค์ และเป้าหมาย การวางแผนระยะยาว
ระบบ ESS บางครั้งเรียกว่า EIS เป็นระบบที่ให้สารสนเทศสำหรับผู้บริหารระดับสูงเช่นกัน แต่ระบบ ESS จะรวมความสามารถเพิ่มเติมด้านการสื่อสารอิเล็กทรอนิกส์
ระบบ ESS บางครั้งเรียกว่า EIS เป็นระบบที่ให้สารสนเทศสำหรับผู้บริหารระดับสูงเช่นกัน แต่ระบบ ESS จะรวมความสามารถเพิ่มเติมด้านการสื่อสารอิเล็กทรอนิกส์
ข้อมูลสำหรับผู้บริหารระดับสูง
ผู้บริหารระดับสูงเป็นผู้กำหนดวิสัยทัศน์ ภารกิจ กลยุทธ์ และนโยบายขององค์การ ต้องอาศัยข้อมูลทั้งภายใน และภายนอกองค์การ ผู้บริหารได้รับข้อมูลจาก 3 แหล่ง ดังนี้
ข้อมูลภายในองค์การ (Internal Data) มีประโยชน์ต่อการบ่งชี้ผลการปฏิบัติงาน (Key Performance Indicators : KPI) ประกอบด้วย
ข้อมูลจากกระบวนการดำเนินงาน (Transaction Processing Data) แสดงถึงการปฏิบัติงานขององค์การ การควบคุม การตรวจสอบ และการแก้ปัญหาโดยทั่วไป
ข้อมูลที่แสดงให้เห็นถึงเป้าหมายหรือผลการดำเนินงาน ของแต่ละส่วนงาน หรือโครงสร้างต่าง ๆ ขององค์การ เช่น งบประมาณ แผนค่าใช้จ่าย เป็นต้น
ข้อมูลภายนอกองค์การ (External Data) มีผลกระทบต่อการดำเนินงานขององค์การ เช่น ข้อมูลเกี่ยวกับความต้องการของลูกค้า ข้อมูลคู่แข่งขันในการดำเนินธุรกิจ ฯลฯ
ข่าวสารที่ใช้ติดต่อสื่อสารระหว่างกัน ระหว่างผู้บริหารระดับสูงด้วยกัน ระหว่างผู้บริหารกับพนักงาน ระหว่างพนักงานในองค์การ หรือระหว่างองค์การอื่นๆ เช่น ข่าวสารจากสื่อมวลชนต่าง ๆ
ข้อมูลภายในองค์การ (Internal Data) มีประโยชน์ต่อการบ่งชี้ผลการปฏิบัติงาน (Key Performance Indicators : KPI) ประกอบด้วย
ข้อมูลจากกระบวนการดำเนินงาน (Transaction Processing Data) แสดงถึงการปฏิบัติงานขององค์การ การควบคุม การตรวจสอบ และการแก้ปัญหาโดยทั่วไป
ข้อมูลที่แสดงให้เห็นถึงเป้าหมายหรือผลการดำเนินงาน ของแต่ละส่วนงาน หรือโครงสร้างต่าง ๆ ขององค์การ เช่น งบประมาณ แผนค่าใช้จ่าย เป็นต้น
ข้อมูลภายนอกองค์การ (External Data) มีผลกระทบต่อการดำเนินงานขององค์การ เช่น ข้อมูลเกี่ยวกับความต้องการของลูกค้า ข้อมูลคู่แข่งขันในการดำเนินธุรกิจ ฯลฯ
ข่าวสารที่ใช้ติดต่อสื่อสารระหว่างกัน ระหว่างผู้บริหารระดับสูงด้วยกัน ระหว่างผู้บริหารกับพนักงาน ระหว่างพนักงานในองค์การ หรือระหว่างองค์การอื่นๆ เช่น ข่าวสารจากสื่อมวลชนต่าง ๆ
ลักษณะข้อมูลสำหรับผู้บริหารระดับสูง
ข้อมูลที่ได้มาจากแหล่งภายในและภายนอกองค์การที่มีผลต่อการดำเนินธุรกิจ ข้อมูลต้องกลั่นกรอง และคัดเลือกก่อนที่นำมาวิเคราะห์ในเชิงปริมาณ และเชิงคุณภาพ ผู้บริหารจะนำผลที่ได้จากการวิเคราะห์มาพิจารณาการดำเนินงานขององค์การว่าเป็นเช่นไร จะทำการปรับปรุง แก้ไขปัญหา การสร้างโอกาสใหม่ๆ ให้กับองค์การได้หรือไม่ จึงทำการตัดสินใจแก้ปัญหา ปรับกลยุทธ์ วางแผนการดำเนินงาน
สมัครสมาชิก:
ความคิดเห็น (Atom)
