ดูจากเหตุการณ์แห่งความชอกช้ำหลายๆอย่างที่ผ่านมาในระยะ 2-3 ปีนี้ ผมรู้สึกว่า ภัยพิบัติทั้งจากธรรมชาติและจากคนมันมีมากเหลือเกินจนชักรู้สึกว่า ประเทศไทยที่เค้าว่าปลอดภัย เป็นแลนด์ออฟสไมล์ ใครๆก็อยากมาเที่ยว อยากมาลงทุนเนี่ย มันใช่หรอฟระ เพราะโดยส่วนตัวผมเองก็ทำงานด้านวางระบบไอทีและเป็นที่ปรึกษาให้หลายๆที่ ยังเจอเหตุการณ์ที่เกิดเหตุอะไรซักอย่างจนทำให้ธุรกิจหยุดชะงักกันเป็นแถว
ยกตัวอย่างง่ายๆ ก็ช่วงน้ำท่วม ในช่วงปีนั้นบริษัทไอทีจำนวนมากโดนกระแสน้ำซัดซะจนทำงานไม่ได้ ต้องไปหา DR Site (Disaster Recovery Site) เพื่อให้ทีม IT สามารถทำงานได้ไปก่อน หรือเหตุการณ์เร็วๆนี้เอง ที่ ISP เจ้านึงไฟดับหลายชั่วโมงจนทำให้เว็บหลายๆแห่งใช้งานไม่ได้ สุดท้าย Server พังกันกระจายไล่กู้ข้อมูลและระบบกันจนหัวหมุน
ดังนั้นองค์กรทั้งหลาย น่าจะทำ BCM กันเอาไว้บ้าง จะได้มีแผนมาตรการรับมือยามเกิดเหตุฉุกเฉินเพื่อลดความสูญเสีย และทำให้ธุรกิจสามารถดำเนินต่อไปได้โดยไม่สะดุด หรือสะดุดให้มันน้อยที่สุดนั่นเองครับ
แล้ว BCM คืออะไร??
BCM ย่อมาจาก Business Continuity Management หรือ การบริหารความต่อเนื่องของธุรกิจ หมายถึง
องค์รวมของกระบวนการบริหารซึ่งต้องมีการชี้บ่งถึงภัยพิบัติและผลกระทบเมื่อเกิดเหตุการณ์ที่มีผลต่อการดําเนินธุรกิจ และให้แนวทางในการตอบสนองและรับมือ ทำให้องค์กรมีความยืดหยุ่นและดำเนินธุรกิจได้อย่างต่อเนื่อง ลดความเสียหายต่อธุรกิจ เพื่อปกป้องผลประโยชน์ของผู้มีส่วนได้ส่วนเสีย ชื่อเสียง ภาพลักษณ์และความเชื่อมั่นของผู้ใช้บริการ
กระบวนการ BCM จะต้องประกอบไปด้วย
- BCP (Business Continuity Plan) : แผนความต่อเนื่องทางธุรกิจ ซึ่งเป็นเอกสารที่รวบรวมขั้นตอนและข้อมูลที่จะนำไปใช้เมื่อเกิดเหตุการณ์ต่างๆ ซึ่งระดับความฉุกเฉินแต่ละระดับอาจจะมีขั้นตอนการรับมือไม่เหมือนกันก็ได้
- IMP (Incident Management Plan) : แผนจัดการอุบัติการณ์ฉุกเฉิน ซึ่งจะเป็นแนวทางปฏิบัติที่กําหนดไว้เพื่อใช้เตรียมความพร้อมของระบบป้องกันและระงับเหตุฉุกเฉิน และผู้มีหน้าที่รับผิดชอบเมื่อเกิดเหตุฉุกเฉิน
อ่านแล้วงงชิปเป๋งเลยใช่ไหมครับ เดี๋ยวขอยกตัวอย่างคร่าวๆไว้ให้ก็ได้ครับ
สมมติมีบริษัทที่ทำธุรกิจด้าน E-Commerce เจ้าหนึ่ง มี Office ไว้นั่งทำงาน มีโกดังไว้เก็บสินค้า และมี Server อยู่ที่ ISP เพื่อให้บริการลูกค้า
ถ้าเกิดเหตุการณ์น้ำท่วมโกดัง จะมีขั้นตอนการรับมือยังไง หรือถ้าเกิด Server ล่มเพราะไฟดับจนกระทั่งข้อมูลเสียหาย จะมีขั้นตอนการรับมือยังไง ซึ่งก็ต้องทำแผนงานเอาไว้ เพราะว่าอะไร
เพราะว่าคนที่รับมือหน้างาน อาจจะไม่ใช่คนออกแบบแผนงานก็ได้ เช่น Server ล่ม แต่ผู้จัดการฝ่ายไอที ไปพักร้อนอยู่ญี่ปุ่น เจ้าหน้าที่ Admin ที่อยู่หน้างานก็จะต้องนำเอา BCP มาดูเพื่อดำเนินการแก้ไขตามสถานการณ์นั่นแหละครับ
ทีนี้การจะทำ BCM ได้ มันจะต้องมีองค์ประกอบ 3 ส่วนด้วยกันคือ
- คน : เป็นส่วนที่สำคัญที่สุด เพราะส่วนนี้จะเป็นการกำหนดให้ “ใคร” ทำอะไร และอยู่ภายใต้สายงานบังคับบัญชาของใครในสภาวะที่ต้องเอา BCM มาใช้
- สถานที่ : เป็นส่วนสำคัญรองลงมา ซึ่งสถานที่หมายถึง ศูนย์บัญชาการสำรอง , สถานที่ทำงานสำรอง และสถานที่สำรองนี้จะต้องไม่อยู่ใกล้กับสถานที่หลักมากเกินไป (คิดง่ายๆ ตอนน้ำท่วม ถ้าเกิด Office หลักที่อยู่ปากซอยโดนน้ำท่วม ถึงจะมี Office สำรองอยู่ท้ายซอยก็คงไม่น่าจะต่างกันมั้งครับ) ซึ่งสถานที่สำรองจะต้องมีอุปกรณ์และ infrastructure ที่สามารถทำงานต่อเนื่องจากสถานที่หลักได้ทันที
- แผน : ส่วนใหญ่จะเป็นแผนเชิงปฏิบัติ ที่กำหนดบทบาทให้ชัดเจน ว่าใครต้องทำอะไร จะได้ไม่ตื่นตระหนกยามฉุกเฉินครับ
จริงๆ ไอ้ที่ผมยกตัวอย่างมา หลายๆคนอาจจะนึกไม่ค่อยออก แต่สำหรับเจ้าของกิจการอะไรซักอย่าง ถ้ามีงบประมาณเหลือ ก็ลงทุนกับ BCM ไว้บ้างก็ดีครับ เพราะเราไม่รู้ว่าความเวรกรรมจะมาเยือนเราเมื่อไหร่
สำหรับคนที่อยากลองทำ BCM ในองค์กรแบบง่ายๆ ลอง Camden BCP Template ไปดูก็ได้นะครับ
แต่สำหรับองค์กรไหนที่อยากจะทำ BCM แบบมืออาชีพ มีที่ปรึกษารองรับ มีหน่วยงานคอยช่วยรับมือเวลาเกิดอะไรเวรกรรมขึ้นมา ลองใช้บริการ BCM Consulting ของ CAT cyfence ก็ได้นะครับ บริการของ CAT ครอบคลุมถึง การวิเคราะห์สถานการณ์ การวางกรอบการทำงานเพื่อให้ช่วยดำเนินธุรกิจต่อได้ มีการประเมินความเสี่ยง แถมยังมีบริการอบรมและซักซ้อมให้กับพนักงาน เพื่อให้พร้อมรับมือเวลางานเข้าอีกต่างหากครับ ซึ่งทาง CAT ก็ได้มาตรฐาน ISO 22301:2012 มาด้วย ใครสนใจก็ไปดูรายละเอียดได้ที่ http://www.catcyfence.com/it-security/services/business-continuity-management/