ការពិតដ៏ពិបាកទទួលយក អំពីកម្មវិធីអភិបាលកិច្ចសន្តិសុខសាយប័រ (Cybersecurity Governance Programs)
កម្មវិធីអភិបាលកិច្ចភាគច្រើនមិនមែនបរាជ័យដោយសារតែបច្ចេកវិទ្យានោះទេ។
ពួកវាបរាជ័យដោយសារតែអភិបាលកិច្ច (Governance) មិនដែលត្រូវបានយកមកអនុវត្តន៍ជាក់ស្តែងក្នុងប្រតិបត្តិការ (Operational)។
រឿងដែលយើងតែងតែឃើញកើតឡើងដដែលៗមានដូចជា៖
• គោលការណ៍ (Policies) ត្រូវបានសរសេរឡើង ប៉ុន្តែមិនមានការអនុវត្តតាម
• បញ្ជីកំណត់ត្រាហានិភ័យ (Risk registers) ត្រូវបានធ្វើបច្ចុប្បន្នភាព សម្រាប់តែពេលមានសវនកម្ម (Audits) ប៉ុណ្ណោះ
• វិធានការត្រួតពិនិត្យ (Controls) ត្រូវបានកំណត់ឡើង ប៉ុន្តែគ្មានអ្នកទទួលខុសត្រូវច្បាស់លាស់ (Control owner)
• ផ្នែកសន្តិសុខ (Security) ផ្តល់ត្រឹមតែការប្រឹក្សា ប៉ុន្តែមិនមានអំណាចក្នុងការរាយការណ៍ដើម្បីចាត់វិធានការ (Escalate)
• ការវាស់វែង (Metrics) តាមដានតែលើសកម្មភាព ជាជាងការតាមដានលើហានិភ័យ
ដូច្នេះ តើមានអ្វីកើតឡើងបន្តទៀត?
អភិបាលកិច្ចក្លាយជាត្រឹមតែការធ្វើឯកសារ ជាជាងការធ្វើសេចក្តីសម្រេចចិត្ត។
ចុងក្រោយ ក្រុមសន្តិសុខសាយប័របញ្ចប់ត្រឹមការកត់ត្រាពីបញ្ហា ជាជាងការដោះស្រាយពួកវា។
កម្មវិធីដែលពិតជាដំណើរការ និងមានប្រសិទ្ធភាព ជាទូទៅមានចំណុច ៣ យ៉ាង៖
• មានថ្នាក់ដឹកនាំប្រតិបត្តិ (Executive) ដែលមានឈ្មោះទទួលខុសត្រូវផ្ទាល់លើហានិភ័យ
• មានភាពច្បាស់លាស់ក្នុងការទទួលខុសត្រូវ (Accountability) លើវិធានការត្រួតពិនិត្យនៅក្នុងអាជីវកម្ម
• មាននីតិវិធីនៃការរាយការណ៍បញ្ហា (Escalation paths) ដែលថ្នាក់ដឹកនាំពិតជាគោរព និងយកចិត្តទុកដាក់ដោះស្រាយ
អភិបាលកិច្ចសន្តិសុខសាយប័រមានប្រសិទ្ធភាព នៅពេលដែលការទទួលខុសត្រូវគឺជារឿងពិតប្រាកដ មិនមែននៅពេលដែលឯកសារត្រូវបានរៀបចំរួចរាល់នោះទេ។
តើចន្លោះប្រហោងនៃអភិបាលកិច្ចមួយណា ដែលអ្នកឧស្សាហ៍ឃើញជាងគេ?
@OUPNarith
