ทำเว็บ

ถอดรหัส BYOD ตอนที่ 1

ได้มีโอกาสได้เข้าร่วมสัมมนาเกี่ยวกับเรื่อง BYOD จัดโดย Minolta และ นิตยสาร eEnterprise เมื่อสัปดาห์ที่แล้วครับ ทางผู้จัดงานเชิญผู้บริหารองค์กรจากภาคส่วนต่างๆมาเสวนาและเปลี่ยนประสบการณ์ให้ฟัง ก็เลยเก็บประเด็นต่างๆมาบันทึกไว้โดยจะขออนุญาตแยกเป็น 2 ตอนครับ

ก่อนจะเข้าเรื่อง สำหรับผู้ที่ไม่คุ้นกับคำว่า BYOD ขออธิบายไว้คราวๆแบบนี้ครับ BYOD ย่อมาจาก Bring Your Own Device เป็นหนึ่งใน 10 แนวโน้มทางด้านสารสนเทศที่ทั่วโลกยอมรับว่ามาแน่ๆในปีนี้ แต่เอาเข้าจริงๆ มันเกิดขึ้นเป็นเรื่องปรกติไปแล้วเรียบร้อยครับ

 

ถอดรหัส BYOD

BYOD – Bring Your Own Device – เกิดจากในปัจจุบัน เป็นเรื่องธรรมดาที่เราจะมีอุปกรณ์พกพา เช่น notebook, tablet หรือ smartphone เป็นของตัวเองเพื่อใช้งานส่วนตัว แต่เนื่องจากความสามารถของอุปกรณ์ในการทำงาน และพกพา ทำให้เป็นเรื่องธรรมดาอีกเช่นกัน ที่บุคคลากรจะใช้เครื่องมือส่วนตัวเข้ามาใช้ทำงาน อย่างน้อยๆก็เช่น เช็คอีเมลล์ ติดต่อสื่้อสารกับเพื่อนร่วมงาน แลกเปลี่ยนไฟล์ต่างๆ ไปจนถึงการปฏิสัมพันธ์กับลูกค้า การเชื่อมต่อเข้ามาในระบบภายใน ผ่าน VPN ซึ่งตรงนี้เองเกิดคำถามตามมามากมายถึงผลที่เกิดขึ้นกับองค์กรธุรกิจว่ามีข้อดี ข้อเสีย และควรจะต้องเตรียมตัวอย่างไร

ดร.ธนชาติ (ผอ. สถาบัน IMC ประเทศไทย) แยกประเด็นเกี่ยวกับ BYOD ไว้สองส่วนคือแนวโน้มทางด้านเทคโนโลยีที่ทำให้เกิด BYOD ขึ้นมาและสิ่งที่องค์กรต้องเตรียมตัวในอนาคตไว้แบบนี้ครับ

สาเหตุสำคัญที่ทำให้เกิดแนวโน้มของ BYOD แบ่งได้เป็นสามหัวข้อคือ

(1) ความสามารถของอุปกรณ์เคลื่อนที่
(2) การเข้าถึงและความเร็วของการเชื่อมต่อ และ
(3) ความสามารถของ application & data storage

ความสามารถในการทำงาน (ประมวลผล และหน่วยความจำ) ของอุปกรณ์ มีการพัฒนาอย่างก้าวกระโดด tablet ในปัจจุบันถูกผลิดออกมาจำหน่ายด้วยหน่วยประมวลผลแบบ dual-core เป็นอย่างน้อย และกำลังจะเป็นแบบ 4 core ในไม่ช้า ร่วมถึงตัวเลขยอดจำหน่ายของอุปกรณ์ mobile ในปัจจุบันได้แซงหน้าจำนวนยอดขายของ PC เป็นที่เรียบร้อยแล้ว และในเมื่อเครื่องมือในการทำงานสามารถพกพาได้ ผู้ใช้งานก็สามารถพกเข้าไปใช้งานในที่ทำงาน และมีการนำมาใช้กับการทำงานเพื่อเพ่ิมประสิทธิภาพได้ไม่มาก ก็น้อย

เทคโนโลยีการเชื่อมต่อไร้สายก็มีการพัฒนาอย่างก้าวกระโดดเช่นกัน มาตราฐาน wifi ที่สามารถส่งผ่านข้อมูลได้เร้วขึ้น รวมถึงมาตราฐานการส่งผ่านข้อมูลบนเครือข่ายโทรศัพท์มือถือ เช่น 3G และ 4G ซึ่งสามารถสนับสนุนการทำงานแบบ realtime ทั้งในส่วนของการทำงานเอกสาร ไปจนถึงการประชุมแบบ video conference แม้กระทั่งในเวลาที่เคลื่อนที่อยู่บนรถ

การถือกำเนิดขึ้นของ Cloud Technology เป็นส่วนสำคัญเหมือนกับเป็นตัวต่อชิ้นสุดท้ายซึ่งเข้ามาทำให้ผู้ใช้งานดึงประสิทธิภาพจากอุปกรณ์ และ การเชื่อมต่อออกมาได้อยากเต็มที่ Cloud ทำให้เทคโนโลยีสามารถทำงานได้อยู่ภายใต้สภาวะเสมือน โครงสร้างพื้นฐานด้าน server ที่ทำงานอยู่ในกลุ่มเมฆสามารถเข้าถึงผ่านการเชื่อมต่อทางไกล และสั่งงานผ่าน user interface จาก browser ปรกติธรรมดา ถ้าคุณเล่นเฟสบุคได้ คุณก็สามารถทำงานได้เหมือนกัน ลองจินตนาการดูกว่าถ้าผู้ดูแลระบบสามารถติดตั้ง server ได้จากร้านกาแฟที่ไหนซักที่หนึ่ง ขอเพียงแค่มี tablet และ internet connect ที่มีความสามารถเพียงพอ

ในส่วนประเด็นที่องค์กรต้องตระหนักถึงเกี่ยวกับ BYOD มีอยู่สองประเด็นใหญ่ๆคือ

(1) องค์กรต้องยอมรับว่า BYOD เกิดขึ้นแล้วต้องมีการสร้างความตระหนักและคำนึงถึงผลกระทบต่างๆในภาพรวม
(2) เรื่องของเทคโนโลยีความปลอดภัย และการบริหารความเสี่ยงให้เกิดสมดุลระหว่าง ความปลอดภัยของระบบ และการเข้าถึงข้อมูลได้ของบุคคลากร

อุปกรณ์พกพา

credit: stockvault-net

องค์กรธุรกิจต้องยอมรับก่อนว่า BYOD ได้กลายเป็นเรื่องที่เกิดขึ้นแล้วในองค์กร ในระดับที่ต่างๆกันไป ต้องยอมรับว่าไม่ใช่เรื่องยากอีกต่อไปสำหรับคนๆนึงที่จะเป็นเจ้าของ smart phone หรือ tablet ซักเครื่อง ซึ่งมาพร้อมกับความสามารถในการเชื่อมต่ออินเทอร์เนต การเข้าถึงบริการต่างๆผ่านทาง web browser และมักจะมาพร้อมกับ application ในการบริหารจัดการ email และ Chat ซึ่ง service เหล่านี้สามารถนำมาใช้ในการทำงานได้ทั้งหมด ทั้งๆที่เป็นอุปกรณ์ที่ซื้อมาใช้ส่วนตัว แต่การนำเอาความสามารถเหล่านี้มาช่วยในการทำงาน ก็กลายเป็นพฤติกรรมปรกติของผุ้ใช้งานทั่วไป ณ จุดนี้เองปฏิเสธไม่ได้ว่า BYOD ทำให้บุคคลลากรมีความสะดวกในการทำงาน องค์กรประหยัดในส่วนของการลงทุนและได้ประสิทธิภาพรวามในการทำงานมากขึ้น แต่ความเสี่ยงส่วนหนึ่งก็จะตกมาอยู่กับเรื่องของความปลอดภัยว่า จะรู้ได้อย่างไรว่าข้อมูลในเครื่องที่ปะปนอยู่กับข้อมูลขององค์กร จะถูกใช้และเข้าถึงได้โดยปลอดภัย

หน้าที่หลักขององค์กรเพื่อตอบสนอง BYOD ที่เกิดขึ้นคือทำอย่างไรให้เกิดความสมดุล ระหว่างการเปิดให้บุคคลากรเข้าถึงข้อมูลที่จำเป็นในการทำงานให้กับองค์กร (to serve) กับความปลอดภัยของข้อมูลตามหลัก IT secrity (to protect)

  1. องค์กรต้องมีการสร้างความตระหนักในเรื่องความมั่นคงปลอดภัยทางสารสนเทศให้กับบุคคลากร เพราะอย่าลืมว่าอุปกรณ์ BYOD เป็นของส่วนตัวปราการด่านแรกคือลักษณะการใช้งานของเจ้าของ นิสัยในการตั้รหัสผ่านเพื่อล๊อคหน้าจอ นิสัยในการป้องกันข้อมูลในอุปกรณ์ผ่าน application ที่ดาวโหลดมาเอง หรือองค์กรสนับสนุนให้ และความรุ้พื้นฐานด้านความเสี่ยงที่เกิดขึ้นได้จากการเชื่อมต่ออินเทอร์เน็ตในที่สาธารณะ
  2. การออกข้อกำหนดทั้งในระดับปฏิบัติงาน และระดับนโยบายเพื่อให้เจ้าของอุปกรณ์ต้องยอมรับและปฏิบัติตาม ก่อนจะอนุญาตให้เชื่อมตอ่เข้ากับเครือข่ายภายในองค์กร – ต้องมีการขีดเส้นระหว่างความสะดวกสบายกับความมั่นคงปลอดภัย
  3. การจัดหาและติดตั้งระบบพื้นฐานทางด้านความมั่นคงปลอดภัยที่สนับสนุนการทำงานแบบ BYOD เช่น การติดตั้งระบบ VPN เพื่อให้ผู้ใช้งานสามารถเชื่อมต่อเข้ากับระบบได้ผ่านช่องทางที่มีการเข้ารหัส เพื่อป้องกันการดักจับข้อมูล หรือการเข้าถึงบริการผ่านเว็บไซต์ที่อยู่ภายใต้ secured http protocol

ดร.ธนชาติ สรุป 10 ขั้นตอนแรกสำหรับองค์การในการปรับตัวให้เข้ากับการมาถึงของ BYOD ไว้ดังนี้ครับ

  1. ระบุอุปกรณ์ที่อนุญาติให้ใช้งานกับเครือข่ายภายใน
  2. ระบุตัว OS ที่ใช้งานได้ เวอร์ชั่นไหนบ้าง (เวอร์ชั่นเก่าๆก็จะมีช่องโหว่นะครับ)
  3. กำหนด apps ที่ต้องลงปรกติก็จะมี app สำหรับ monitor และบล๊อค app เถื่อน
  4. กำหนดระดับความเข้าถึงของอุปกรณ์ และ app ต่างๆ sale ก็ไม่ควรมี app ของ admin
  5. การออกแบบ network access
  6. ต้องมีการจัดอบรมเพื่อสร้างความตระหนักถึงความเสี่ยงจากการนำอุปกรณ์ส่วนตัวมาใช้
  7. มีการบันทึกเกี่ยวกับอุปกรณ์ที่พยายามเจาะเข้ามาในระบบ
  8. มีการบันทึกเกี่ยวกับ app ที่พยายามเจาะเข้ามาในระบบ
  9. มีการประเมิณความเสี่ยงที่เกี่ยวข้องกับการออกแบบ network
  10. ต้องมีกระบวนการในการตรวจสอบและประเมิณความเสี่ยงที่เกิดขึ้นได้อยู่ตลอดครับ

รายละเอียดอื่นๆ ตัวเลขและประเด็นต่างๆสามารถดูได้ผ่าน slide ที่ผู้บรรยายอัพโหลดไว้ที่นี่ครับ
https://dl.dropboxusercontent.com/u/12655380/BYOD-Konica.pdf

ไว้มาต่อตอนที่ 2 ครับ