งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

นโยบายเศรษฐกิจดิจิทัลของรัฐบาลในตลอดสองปีที่ผ่านมา คงปฏิเสธไม่ได้ว่า ระบบประมวลผลแบบคลาวด์ “Cloud Computing”,

ไซเบอร์ซิเคียวริตี้ “Cybersecurity” และ การคุ้มครองข้อมูลส่วนบุคคล “Data Privacy” เป็นหัวข้อสำคัญที่ต้องนำมาพิจารณาในการกำหนดนโยบาย Digital Economy ในระดับชาติ ตลอดจนพัฒนากฎหมายให้ทันยุคทันสมัย สามารถตอบโจทย์กระแสโลกที่กำลังเคลื่อนเข้าสู่การประมวลผลแบบคลาวด์ “Cloud Computing” อย่างเต็มรูปแบบ สังเกตได้จากการที่บริษัทยักษ์ใหญ่ระดับโลกล้วนลงทุนใน “Cloud Computing” ด้วยเม็ดเงินจำนวนมหาศาล ไม่ว่าจะเป็น บริษัทไมโครซอฟท์ ซึ่งขณะนี้ Office 365 เป็นอันดับหนึ่งของการใช้งาน Cloud หรือ บริษัทอเมซอนที่เข้ามาเปิดสำนักงานในประเทศไทยเพื่อให้บริการ Amazon Web Services (AWS) ยังไม่รวม Google ที่เปิดให้บริการ Cloud ในระดับ Enterprise เช่นกัน ตลอดจนบริษัทยักษ์ใหญ่ในการให้บริการ Data Center NTT Communications บริษัทโทรคมนาคมรายใหญ่ของญี่ปุ่น (อยู่ในเครือ NTT เช่นเดียวกับ NTT docomo) เปิดศูนย์ข้อมูลแห่งใหม่ในประเทศไทย รวมถึงการมาถึงของ “SUPERNAP” สร้างศูนย์ข้อมูล SUPERNAP Thailand ที่นิคมอุตสาหกรรมเหมราชใน จ.ชลบุรี คิดเป็นมูลค่ากว่า 1.1 หมื่นล้านบาท

จากหลายงานวิจัยพบว่าปัญหาอันดับต้นๆในการเคลื่อนย้ายข้อมูลขึ้นสู่ระบบประมวลผลข้อมูลแบบกลุ่มเมฆ“Cloud Computing” นั้น ก็คือ ปัญหาด้านความมั่นคงปลอดภัย (Security) และปัญหาเรื่องความเป็นส่วนตัว (Privacy) ซึ่งจำเป็นต้องมีการกำหนดนโยบายในการบริหารจัดการข้อมูลในองค์กร โดยการแบ่งระดับความสำคัญของข้อมูล หรือ “Data Classification” เสียก่อนที่จะใช้บริการ “Cloud Computing”

 

งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

“Government Cloud First Policy”

 นโยบายการเคลื่อนย้ายข้อมูลภาครัฐเข้าสู่ระบบการประมวลผลแบบคลาวด์ของรัฐบาลจากหลายประเทศทั่วโลก

ในปัจจุบันรัฐบาลในประเทศใหญ่ๆหลายประเทศทั่วโลก ไม่ว่าจะเป็นประเทศสหรัฐอเมริกา , สหราชอาณาจักร ประเทศนิวซีแลนด์ และ ประเทศออสเตรเลีย กำลังดำเนินนโยบายที่คล้ายคลึงกันได้แก่ นโยบาย “Government Cloud First Policy” หมายถึงก่อนการนำข้อมูลภาครัฐเข้าสู่ระบบการประมวลผลแบบคลาวด์ต้องมีการแบ่งระดับความสำคัญของข้อมูล หรือ “Data Classification” เสียก่อน จากนั้นนำข้อมูลที่มีความเสี่ยงหรือความสำคัญต่ำสุด (ดูรูปที่ 1) จะอนุญาตให้จัดเก็บในระบบคลาวด์ได้ จากรูปที่ 1 จะเห็นว่า ข้อมูลกว่า 90% ในระดับ Official ของสหราชอาณาจักร ได้รับการอนุญาตให้จัดเก็บในระบบคลาวด์ได้ ตามด้วยข้อมูล 80% ของประเทศสหรัฐอเมริกา ในระดับ FISMA Low และ FISMA Moderate ตามด้วย 70% ของประเทศออสเตรเลียในระดับ Unclassified ได้รับอนุญาตให้นำข้อมูลไปจัดเก็บในระบบคลาวด์ได้เช่นกัน

  งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

ในปัจจุบันรัฐบาลของสหราชอาณาจักรได้มีการปรับระดับความสำคัญของข้อมูลหน่วยงานรัฐให้กระชับ ลดความซ้ำซ้อน เหลือเพียง 3 ระดับ ได้แก่ ระดับ Official, ระดับ Secret และ ระดับ Top Secret (ดูรูปที่ 2) โดยที่ประเทศสหรัฐอเมริกาได้แบ่งแยกระดับความสำคัญของข้อมูลหน่วยงานรัฐออกเป็น 3 ระดับ ตามระดับความเสียหาย (IMPACT) กำหนดไว้ใน FIPS Publication 199 (ดูรูปที่ 3) ได้แก่ Low Impact , Moderate Impact และ High Impact

  งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

จากรูปที่ 4 เราจะเห็นได้ว่ารัฐบาลในหลายประเทศมีการแบ่งข้อมูลหน่วยงานรัฐออกเป็น 3 ระดับได้แก่

ระดับที่หนึ่ง : ข้อมูลที่ได้รับอนุญาตให้เก็บใน Public cloud ได้ ซึ่งเป็นข้อมูลส่วนใหญ่ 70 % – 90 %

ระดับที่สอง : ข้อมูลที่ได้รับอนุญาตให้เก็บใน Private and/or Hybrid Cloud หรือ On-Prem Solution

ระดับที่สาม : ข้อมูลที่เป็นความลับ มีผลกระทบสูงต้องเก็บในระบบที่มีการ Harden แยกต่างหาก

สังเกตดีๆจะพบว่า ต้นทุนในการจัดเก็บข้อมูลในระดับที่ 3 จะสูงขึ้นกว่า 10 เท่า จากการจัดเก็บข้อมูลในระดับที่หนึ่ง คือ จัดเก็บไว้ใน Public Cloud

  งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

“Data Sensitivity Levels & Volumes”

ระดับและปริมาณของข้อมูลในการจัดเก็บอย่างมั่นคงปลอดภัย

การแก้ปัญหาความมั่นคงปลอดภัยและความเป็นส่วนตัวของการจัดเก็บข้อมูลในระบบคลาวด์ สามารถบริหารจัดการลดความเสี่ยงได้โดยการจัดแบ่งระดับความสำคัญของข้อมูล โดยพิจารณาจากผลกระทบขององค์กรหากข้อมูลรั่วไหล และ อาจแบ่งตามลักษณะปริมาณของข้อมูล จากรูปที่ 5 ข้อมูลในระดับห้า หมายถึงข้อมูลที่เปิดเผยสาธารณะทั่วไปไม่มีผลกระทบ กับองค์กรเหมาะที่จะจัดเก็บใน Public Cloud เพราะต้นทุนต่ำที่สุด และมีปริมาณข้อมูลที่จะถูกจัดเก็บจำนวนมากที่สุด จากนั้นพิจารณา ระดับสี่ ซึ่งข้อมูลมีความสำคัญเพิ่มขึ้น เช่น ข้อมูลทางสถิติต่างๆ ที่ควรมีการเพิ่ม “Security Control” เข้าไป เช่นมีการ Authentication แต่ยังจัดเก็บใน Public cloud ได้เหมือนระดับห้า ในระดับสามควรเป็นข้อมูลที่แชร์กันภายในองค์กรเอง หรือระหว่างองค์กรที่จำเป็นต้องทำงานร่วมกัน สามารถจัดเก็บใน Public Cloud ได้ แต่ต้องมีการตั้งค่าอนุญาตสิทธิต่างๆให้ละเอียดรอบคอบยิ่งขึ้น สำหรับระดับสอง ถือว่าเป็นข้อมูลที่เป็นความลับเฉพาะบุคลากรในองค์กร ตามหลักการ “Need To Know” สามารถจัดเก็บใน Public Cloud ได้เช่นกัน แต่ “Security Control” ต้องเข้ม และมีการตรวจสอบที่ดี ควรนำเทคโนโลยี CASB (Cloud Access Security Broker) มาใช้ และ ในระดับสุดท้าย ระดับที่หนึ่ง เป็นระดับที่ข้อมูลมีความสำคัญอย่างยิ่งยวด ต้องการรักษาความลับในระดับสูงสุด หากข้อมูลรั่วไหลจะมีผลกระทบสูงต่อองค์กร ไม่ควรจัดเก็บใน Public Cloud แต่ควรถูกจัดเก็บใน “On-Premise Storage”ขององค์กร เราจะเห็นว่าการจัดเก็บข้อมูลในระดับหนึ่งมีต้นทุนเป็น 10 เท่าของการจัดเก็บข้อมูลในระดับห้า 

5 Steps in Cloud Data Governance Framework

 

PXpnbtlH.jpg

ห้าขั้นตอนในการเตรียมองค์กรเข้าสู่การประมวลผลข้อมูลแบบคลาวด์

เรื่องของ “Cloud Data Governance” กำลังเป็นเทรนใหม่ที่มาแรงในระดับองค์กรทั่วโลกจากปัญหาความมั่นคงปลอดภัยและปัญหาความเป็นส่วนตัวของข้อมูลลูกค้าที่เกิดการรั่วไหลออกสู่สาธารณะ กลายเป็นข่าวใหญ่ทางหนังสือพิมพ์และทางโซเชียลเน็ตเวิรค์ ทำให้องค์กรเสียภาพลักษณ์ และ มีความเสี่ยงด้านชื่อเสียงขององค์กร (Reputational Risk)

งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

ห้าขั้นตอนในการเตรียมองค์กรเข้าสู่การประมวลผลข้อมูลแบบคลาวด์

  1. กำหนดเป้าหมายของธุรกิจขององค์กรให้แน่ชัดก่อน
  2. พัฒนากลยุทธในการบริหารจัดการข้อมูล และ นโยบายในการบริหารจัดการข้อมูล
  3. กำหนดหน้าที่ในการรับผิดชอบและมีการแบ่งความรับชอบให้ชัดเจน มีการบริหารจัดการในรูปแบบการบริหารโครงการที่ดี
  4. ทำบัญชีทรัพย์สินข้อมูล และแบ่งแยกระดับความสำคัญของข้อมูล
  5. นำกลยุทธการบริหารไปสู่การปฏิบัติจริง และมีการบริหารจัดการความเปลี่ยนแปลง

หัวใจของความสำเร็จในการนำ Cloud Data Governance Framework มาใช้ก็คือ การที่ทีมงานได้รับการสนับสนุนจากผู้บริหารระดับสูง (Executive Sponsors) มีการกำหนดผู้นับผิดชอบ (Owner) ให้ชัดเจน มีการบริหารจัดการในลักษณะการบริหารงานโครงการ (Project Management) ควรนำเสนอผู้บริหารระดับสูงตั้งแต่เนิ่นๆ เพื่อให้ผู้บริหารระดับสูงเกิดความเข้าใจและเข้ามาให้การสนับสนุน

หัวใจที่สำคัญที่สุด คือ การกำหนดนโยบายในการแบ่งระดับความสำคัญของข้อมูล (Data Classification Policy) การพิจารณามาตรฐาน และข้อกำหนดต่างๆ (Standards and Compliances) ดูรูปที่8 ยกตัวอย่าง เช่น ISO/IEC 27018:2014 , ISO/IEC 27001:2013

  งานระบบประมวลผลแบบคคลาวด์ ภาครัฐ-เอกชน

กล่าวโดยสรุปจะเห็นว่า การเตรียมความพร้อมและแนวทางการบริหารจัดการข้อมูลในการใช้งานระบบประมวลผลแบบคลาวด์ เป็นเรื่องสำคัญที่องค์กรต้องพิจารณาในการเคลื่อนย้ายข้อมูลขององค์กรเข้าสู่ระบบการประมวลผลแบบคลาวด์เพื่อให้เกิดประสิทธิภาพและประสิทธิผลต่อองค์กรมากที่สุด