แนวทางการบริหารจัดการในการเปลี่ยนผ่านองค์กรด้วยดิจิทัลของไออาร์พีซีเป็นไปตามกรอบกลยุทธ์ด้านดิจิทัลของบริษัทฯ (IRPC’s Digital Framework) ซึ่งมุ่งเน้น 2 ด้านหลัก ได้แก่ (1) การบริหารจัดการด้านความมั่นคงปลอดภัยทางไซเบอร์ (Management of Cybersecurity) โดยมุ่งเน้นการเสริมสร้างความแข็งแกร่งเพื่อป้องกันการโจมตีด้านไซเบอร์ เพื่อให้มั่นใจว่าบริษัทฯ สามารถดำเนินงานได้อย่างปลอดภัย และ (2) การใช้ประโยชน์จากการวิเคราะห์ข้อมูลการวิเคราะห์ข้อมูล (Utilization of Data Analytics) เพื่อพัฒนาและเพิ่มประสิทธิภาพในการวิเคราะห์ตัดสินใจของพนักงานทุกระดับ อันจะนำไปสู่การสร้างรายได้ให้กับบริษัท
การกำกับดูแลและนโยบายด้านความมั่นคงปลอดภัยไซเบอร์
สภาพแวดล้อมทางธุรกิจกำลังเปลี่ยนแปลงอย่างรวดเร็ว โดยมี AI การบริการ Cloud Computing และการวิเคราะห์ข้อมูล เป็นแรงขับเคลื่อนให้เกิดนวัตกรรมและการเพิ่มประสิทธิภาพในการทำงาน บริษัทที่ไม่สามารถปรับตัวได้จะเสี่ยงต่อการพลาดโอกาสในการเติบโต แม้ว่าความก้าวหน้าเหล่านี้จะช่วยเพิ่มผลผลิตและขยายตลาด แต่ก็ยังมีความท้าทาย เช่น ภัยคุกคามทางไซเบอร์และข้อกังวลด้านความเป็นส่วนตัว ดังนั้น การจัดการกับความซับซ้อนเหล่านี้อย่างมีประสิทธิภาพจึงเป็นสิ่งจำเป็นสำหรับธุรกิจที่จะใช้ประโยชน์จากเทคโนโลยีดิจิทัลอย่างเต็มที่ พร้อมทั้งปกป้องทรัพย์สิน ชื่อเสียง และสร้างความไว้วางใจจากผู้มีส่วนได้ส่วนเสีย
การบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์ถือเป็นหัวใจหลักของความพยายามในการเปลี่ยนผ่านองค์กรด้วยดิจิทัลของไออาร์พีซี โดยบริษัทฯ ได้กำหนดนโยบายด้านการบริหารจัดการระบบสารสนเทศที่ประกาศใช้ตั้งแต่ปี 2562 เพื่อการบริหารจัดการความมั่นคงปลอดภัยที่ครอบคลุม ทั้งนี้ นโยบายดังกล่าวได้ระบุแนวทางการบริหารจัดการที่สำคัญไว้ ดังนี้
- การรักษาความมั่นคงปลอดภัยทางไซเบอร์ระดับสูงอย่างครอบคลุม
- การประเมินความเสี่ยงประจำปีโดยผู้ตรวจสอบภายในและภายนอก
- กระบวนการติดตามการคุกคามทางไซเบอร์
- ระดับการคุกคามทางไซเบอร์
- การรายงานการคุกคามต่อคณะกรรมการระบบการจัดการข้อมูล
- การทำงานร่วมกับหน่วยงานในการรวบรวม ติดตาม และตรวจสอบเพื่อป้องกันการคุกคาม
- การส่งเสริมความรู้ ความเข้าใจ และความตระหนักด้านความปลอดภัยทางไซเบอร์ให้แก่พนักงาน
- การอบรมเพื่อสร้างความตระหนักรู้และความเข้าใจเกี่ยวกับความมั่นคงปลอดภัยทางไซเบอร์ รวมถึงขั้นตอนการรายงานเหตุการณ์ และขั้นตอนการรวบรวมข้อมูลที่เป็นประโยชน์ต่อการสืบสวนสอบสวน
- การลงโทษ
- กระบวนการตอบสนองต่อเหตุการณ์ด้านความปลอดภัยทางไซเบอร์
คณะกรรมการความเสี่ยงมีหน้าที่ประเมินความเสี่ยงด้านความปลอดภัยทางไซเบอร์ โดยมีผู้อำนวยการของคณะกรรมการบริหารความเสี่ยงเป็นผู้นำของคณะกรรมการ และรองกรรมการผู้จัดการใหญ่ในสายงานบริหารและพัฒนาศักยภาพองค์กรเป็นผู้รับผิดชอบสูงสุด อย่างไรก็ตาม นโยบายด้านการบริหารจัดการระบบสารสนเทศได้กำหนดให้การบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์เป็นหน้าที่ของพนักงานทุกคน โดยพนักงานจะต้องปฏิบัติตามขั้นตอนที่กำหนดไว้และรายงานกิจกรรมที่น่าสงสัยและการทำงานผิดปกติของระบบ ซึ่งรวมถึงความผิดปกติของระบบ SAP อีเมลหลอกลวง (Phishing emails) หรือความพยายามในการแฮ็กเข้าระบบของผู้ควบคุมระบบ หรือ IT HELPDESK ของบริษัท นอกจากนี้ ไออาร์พีซียังกำหนดให้การประเมินผลการปฏิบัติงานด้านความปลอดภัยสารสนเทศเป็นส่วนหนึ่งของการประเมินผลการปฏิบัติงานของพนักงาน และกำหนดมาตรการทางวินัยเกี่ยวกับการกระทำผิด รวมทั้งกำหนดให้ความมั่นคงปลอดภัยทางไซเบอร์เป็นตัวชี้วัด KPI สำหรับพนักงานฝ่ายไอที เพื่อการลดภัยคุกคามทางไซเบอร์อย่างมีประสิทธิภาพ
กระบวนการและการจัดการความปลอดภัยทางไซเบอร์
ในการนำนโยบายด้านการบริหารจัดการระบบสารสนเทศไปปฏิบัติ ไออาร์พีซียึดกรอบแนวคิดและมาตรฐานด้านความมั่นคงปลอดภัยไซเบอร์ของ ISO 27001 มาใช้ร่วมกับหลักการของ NIST Cyber Security Framework ซึ่งประกอบด้วยการดำเนินการ 5 ด้าน ได้แก่
- Identify: เสริมสร้างความเข้าใจภายในองค์กรในการบริหารจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่ส่งผลกระทบต่อระบบ ทรัพย์สิน ข้อมูล และขีดความสามารถ
- Protect: พัฒนาและดำเนินการป้องกันเพื่อให้แน่ใจว่ามีการส่งมอบบริการโครงสร้างพื้นฐานที่สำคัญ
- Detect: ดำเนินกิจกรรมเพื่อระบุเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ได้อย่างทันท่วงที
- Respond: กำหนดแนวทางการดำเนินการเพื่อตอบสนองต่อเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ที่ตรวจพบอย่างมีประสิทธิภาพ
- Recover: จัดทำแผนรองรับเหตุการณ์และกิจกรรมการฟื้นฟูเพื่อให้สามารถกู้คืนขีดความสามารถหรือบริการที่ได้รับผลกระทบจากเหตุการณ์ด้านความมั่นคงปลอดภัยทางไซเบอร์ได้
ไออาร์พีซีได้ดำเนินการเพื่อเสริมสร้างแนวปฏิบัติให้เป็นไปอย่างมีประสิทธิภาพยิ่งขึ้น โดยการจัดทำแผนด้านความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity Roadmap) ซึ่งพัฒนาขึ้นตามองค์ประกอบของ NIST Cyber Security Framework ซึ่งมีแผนงานครอบคลุมตั้งแต่ปี 2564 – 2568 โดยจะมีการนำเทคโนโลยีใหม่ ๆ เข้ามาใช้เพื่อพัฒนาการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์ของบริษัทฯ ตัวอย่างเช่น การนำเทคโนโลยี Operational Technology (OT) ซึ่งเป็นเทคโนโลยีใหม่ที่จะช่วยปกป้องและรักษาความปลอดภัยให้แก่กระบวนการทำงาน มาใช้เป็นบริษัทแรกในกลุ่ม ปตท. เพื่อป้องกันการโจมตีทางไซเบอร์ (Cyberattack) โดยเทคโนโลยีดังกล่าวจะช่วยตรวจสอบกระบวนการ สินทรัพย์ และอุปกรณ์ต่าง ๆ ได้อย่างมีประสิทธิภาพ ซึ่งช่วยเสริมสร้างความมั่นคงปลอดภัยโดยรวมให้ดียิ่งขึ้น
ทั้งนี้ ความสำเร็จของการบริหารจัดการความมั่นคงปลอดภัยทางไซเบอร์ของไออาร์พีซี ขึ้นอยู่กับ 3 ปัจจัยหลัก
อันเป็นรากฐานของแนวปฏิบัติด้านการป้องกันภัยคุกคามทางไซเบอร์ที่ครอบคลุม ซึ่งประกอบไปด้วย
- ความเป็นเลิศด้านกระบวนการ (Process Excellence): มีการกำหนดนโยบายด้านความมั่นคงปลอดภัยทางไซเบอร์ ที่สอดคล้องกับมาตรฐานสากล เช่น ISO 27001 และ IEC 62443 พร้อมด้วยรูปแบบการดำเนินงานด้านความมั่นคงปลอดภัยที่ชัดเจนสำหรับ Security Operating Model รวมถึงการมีแผนฟื้นฟูหลังภัยพิบัติ การทวนสอบเหตุการณ์ความปลอดภัยทางไซเบอร์เป็นประจำทุกเดือน
- ความเป็นเลิศด้านบุคลากร (People Excellence): จัดตั้งคณะกรรมการ Computer Security Incidence Response Team (CSIRT) เพื่อดูแลการดำเนินงานด้านความมั่นคงปลอดภัยทางไซเบอร์ และกำหนดให้มี IT Security Agent เพื่อสื่อสารข่าวสารดิจิทัลและนโยบายที่เกี่ยวข้อง รวมถึงมี IT Security Team ที่คอยติดตามเฝ้าระวังและจัดการเหตุตลอด 24 ชั่วโมง นอกจากนี้ พนักงานยังได้รับการฝึกอบรมและสร้างความตระหนักเกี่ยวกับภัยคุกคามทางไซเบอร์ที่ครอบคลุม ทั้งภัยคุกคามใหม่ ๆ และผลกระทบต่อธุรกิจ โดยหลักสูตรการอบรมหลักจะจัดโดยสำนักกิจการองค์กร ควบคู่ไปกับหลักสูตรรองที่จัดโดยแต่ละหน่วยงาน
ความเป็นเลิศด้านเทคโนโลยี (Technology Excellence): การติดตั้งอุปกรณ์สำหรับการป้องกันภัยคุกคามและให้มีการเฝ้าระวังตลอด 24 ชั่วโมง เพื่อเสริมสร้างโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยทางไซเบอร์ให้แข็งแกร่ง มั่นใจได้ว่าระบบจะได้รับการปกป้องอย่างมีประสิทธิภาพ
