Thursday, September 7, 2023

Basic Root Cause Analysis Tools

---

Labels:

Wednesday, September 6, 2023

Strategic The Series (Part 1) -- แผนยุทธศาสตร์คืออะไร?

วันนี้ฟังสัมนาการจัดทำยุทธศาสตร์คณะฯ เลยเอามาเขียนสรุปตามความเข้าใจของตัวเองสักหน่อย และแบ่งปันกันอ่านครับ ที่เขียนนี่คือเอาตามความเข้าใจของตัวเองที่ได้ฟังนะครับ อาจจะไม่ครบ หรือตกหล่น บางอันก็เขียนเพิ่มเองไม่ได้เกี่ยวกับที่ฟังมาต้องขออภัย

เริ่มต้นอาจารย์ได้เกริ่นก่อนว่าทุกองค์กรมีข้อจำกัดที่เหมือนกัน 3 ประการ คือ เวลา, คน และเงิน ด้วยข้อจำกัดเหล่านี้ เราจึงไม่สามารถทำทุกสิ่งที่เราต้องการได้ ดังนั้นการเพื่อผลลัพธ์ที่ดีภายใต้ข้อจำกัดเราจึงต้องเลือกทำสิ่งที่สำคัญที่สุด เพื่อให้เกิดประโยชน์สูงสุด

แผนยุทธศาสตร์คืออะไร? ก่อนจะตอบคำถามนี้อาจจะต้องทำความเข้าใจไปทีละขั้น เราคงไม่ได้เอานิยามมาคุยกันนะครับ เพราะมีการกำหนดไว้ค่อนข้างหลากหลายเลยทีเดียว 

แผน คือ รายการขั้นตอนที่ต้องทำอะไรบางอย่าง โดยใช้ทรัพยากร เพื่อให้บรรลุเป้าหมาย

แผนยุทธศาสตร์ คือ แผนที่กำหนดทิศทางหรือแนวทางปฏิบัติเพื่อให้บรรลุพันธกิจและวิสัยทัศน์ขององค์กร

องค์ประกอบหลักของแผนยุทธศาสตร์:

  1. วิสัยทัศน์ (Vision): สิ่งที่องค์กรต้องการเป็นในอนาคต เป็นจินตภาพเกี่ยวกับองค์กรในอนาคตที่ต้องการชี้ให้บุคลากร หรือผู้มีส่วนได้เสียเห็นถึงทิศทางที่องค์กรต้องการจะมุ่งไป วิสัยทัศน์จะอธิบายความท้าทายทะเยอทะยานสำหรับอนาคตขององค์กรแต่ไม่ได้ระบุถึงวิธีการที่จะนำไปสู่ความมุ่งหมายนั้นอย่างชัดเจน 
  2. พันธกิจ (Mission): กรอบหรือขอบเขตการดำเนินงานขององค์กร เป็นกิจกรรมหลักและลักษณะงานสำคัญขององค์กรเพื่อนำไปสู่วิสัยทัศน์ที่องค์กรกำหนดขึ้น พันธกิจเป็นภารกิจพื้นฐานขององค์กรหรือหน่วยงานที่ต้องปฏิบัติหรือต้องการพัฒนา
  3. เป้าประสงค์ (Goals): ผลลัพธ์ที่องค์กรต้องการบรรลุ
  4. กลยุทธ์ (Strategies): วิธีการหรือแนวทางในการบรรลุเป้าประสงค์
  5. ตัวชี้วัด (Key Performance Indicators - KPIs): เครื่องมือในการวัดความสำเร็จของแผนยุทธศาสตร์นั้น ๆ

แผนยุทธศาสตร์ที่ดี ควรต้องมี:

  • เป้าหมายที่ชัดเจน (Clear Goals)
  • มีการจัดลำดับความสำคัญ (Priority)
  • มีกลยุทธ์ที่สอดคล้องกับเป้าหมาย และสภาพแวดล้อมที่เปลี่ยนแปลง
ลักษณะสำคัญของแผนยุทธศาสตร์
  • การมององค์การแบบภาพรวม (Holistic View): แผนยุทธศาสตร์จะต้องมององค์การในภาพรวมและเชื่อมโยงทุกส่วนขององค์การเข้าด้วยกัน.
  • การมุ่งเน้นอนาคต (Future-Oriented): แผนยุทธศาสตร์จะต้องมีการวางแผนระยะยาวและมุ่งเน้นไปที่การเตรียมความพร้อมสำหรับอนาคต.
การจัดทำแผนยุทธศาสตร์
  1. วิเคราะห์สภาพแวดล้อม:
    • ภายนอก: มองหาโอกาสและอุปสรรคจากปัจจัยต่างๆ เช่น เศรษฐกิจ สังคม เทคโนโลยี การเมือง กฎหมาย และคู่แข่ง
    • ภายใน: ประเมินจุดแข็ง จุดอ่อน ทรัพยากร และความสามารถขององค์กร

  2. วิเคราะห์ข้อมูลที่ได้จากการวิเคราะห์สภาพแวดล้อม และเลือกกลยุทธ์ที่เหมาะสมกับองค์กรมากที่สุด โดยพิจารณาความได้เปรียบในการแข่งขัน กำหนดแผนปฏิบัติการที่ชัดเจน วัดผลได้ และยืดหยุ่น

  3. นำกลยุทธ์ไปใช้ โดยการสื่อสารกลยุทธ์ให้บุคลากรในองค์กรเข้าใจ จัดสรรทรัพยากรและบุคลากรอย่างมีประสิทธิภาพ มีกระบวนการในการติดตามผลและประเมินผลการดำเนินงาน และที่สำคัญคือปรับเปลี่ยนกลยุทธ์ให้เหมาะสมตามสถานการณ์
ในการดำเนินการให้เป็นไปตามแผนยุทธศาสตร์ที่วางไว้ผู้บริหารเปรียบเสมือนกัปตัน ทำหน้าที่ขับเคลื่อนองค์กรให้นำทางไปสู่เป้าหมาย 

ประโยชน์ของแผนยุทธศาสตร์
  • การกำหนดทิศทางที่ชัดเจน: ช่วยให้องค์การมีทิศทางที่ชัดเจนและสามารถวางแผนการดำเนินงานได้อย่างมีประสิทธิภาพ.
  • การเชื่อมโยงระหว่างยุทธศาสตร์กับการปฏิบัติการ: ช่วยให้องค์การสามารถเชื่อมโยงยุทธศาสตร์กับการปฏิบัติการได้อย่างเป็นรูปธรรม.
  • การปรับปรุงและพัฒนาอย่างต่อเนื่อง: ช่วยให้องค์การสามารถปรับปรุงและพัฒนาแผนยุทธศาสตร์ได้อย่างต่อเนื่องตามสภาพแวดล้อมที่เปลี่ยนแปลง.

>>> จะมีพาร์ทสองไหม?
Labels: , ,

Tuesday, August 22, 2023

Penetration testing (การทดสอบเจาะระบบ)

Pentest: Penetration testing เป็นการทดสอบเจาะระบบความปลอดภัยขององค์กร เพื่อค้นหาและโจมตี (exploit) ไปยังช่องโหว่ทางด้านความปลอดภัยใน application 

รูปแบบของการทดสอบเจาะระบบแบ่งออกเป็น 3 รูปแบบ คือ 

  1. Black Box เป็นการทดสอบเจาะระบบเสมือนจริง โดยการทดสอบ ผู้ทดสอบหรือ Pentester จะไม่ทราบข้อมูลของเป้าหมาย 
  2. White Box เป็นการทดสอบเจาะระบบที่เน้นมุมมองของภัยคุกคามจากภายในองค์กรมากที่สุด ผู้ทดสอบหรือ Pentester จะทราบข้อมูลภายในขององค์กรทั้งหมดไม่ว่าจะเป็นระบบโครงสร้างเครือข่าย ข้อมูลการให้บริการต่าง ๆ เป็นต้น
  3. Grey Box เป็นการทดสอบโดยที่ผู้ทดสอบหรือ Pentester จะทราบข้อมูลภายในบางส่วน 

Labels: , , , ,

Tuesday, August 15, 2023

ความคลาดเคลื่อนทางยา (Medication Error)

ความคลาดเคลื่อนทางยา หมายถึง เหตุการณ์ความผิดพลาดเกี่ยวกับยาซึ่งเกิดขึ้นขณะที่ยาอยู่ในความควบคุมของบุคลากรวิชาชีพด้านสุขภาพ อันอาจเป็นสาเหตุที่นำไปสู่การใช้ยาไม่เหมาะสมหรือเป็นอันตรายต่อผู้ป่วย แต่เป็นเหตุการณ์ที่สามารถป้องกันได้ เหตุการณ์ที่เกิดขึ้นอาจเป็นความผิดพลาดที่เกิดจากตัวบุคคลที่หน้างาน (active หรือ human error) หรืออาจเป็นความล้มเหลวในเชิงระบบที่ฝังตัวมานานแล้ว (latent error) แต่ไม่มีใครสังเกต จนกระทั่งเป็นสาเหตุให้เกิดความผิดพลาดที่หน้างานโดยตัวบุคคล ซึ่งเมื่อวิเคราะห์หาสาเหตุเชิงลึกแล้วพบว่ามีความเกี่ยวโยงกัน ต้องแก้ไขหรือวางระบบใหม่ จึงจะป้องกันการเกิดความคลาดเคลื่อนซ้ำได้อย่างยังยืน

Read more »
Labels: , , , ,

Thursday, July 13, 2023

Data life cycle — วงจรชีวิตข้อมูล

Data life cycle & Security requirement

Labels: ,

Wednesday, July 12, 2023

Encoding, Encryption และ Hashing: ความแตกต่างที่สำคัญ

Encoding

Encoding เป็นการแปลงข้อมูลให้อยู่ในรูปแบบที่ระบบสามารถเข้าใจได้. จุดประสงค์หลักคือเพื่อความสะดวกในการรับส่งข้อมูล ไม่ใช่เพื่อความปลอดภัย.

เช่น: 

  • ASCII: แปลงตัวอักษรเป็นตัวเลข เช่น 'A' เป็น 65
  • Base64: ใช้ในการส่งข้อมูลผ่านอีเมล เช่น "Hello" เป็น "SGVsbG8="

Encoding สามารถถอดกลับเป็นข้อมูลต้นฉบับได้ง่าย โดยไม่ต้องใช้กุญแจพิเศษ


Encryption

Encryption เป็นการเข้ารหัสข้อมูลเพื่อรักษาความลับ. จุดประสงค์หลักคือป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเข้าถึงข้อมูล.

เช่น:

  • AES: ใช้ในการเข้ารหัสข้อมูลในฮาร์ดดิสก์
  • RSA: ใช้ในการเข้ารหัสการสื่อสารทางอินเทอร์เน็ต
  • Caesar Cipher: วิธีการเข้ารหัสอย่างง่าย โดยเลื่อนตัวอักษรไปตามจำนวนที่กำหนด

การถอดรหัส Encryption จำเป็นต้องใช้กุญแจ (key) ที่ถูกต้อง.


Hashing

Hashing เป็นการแปลงข้อมูลให้เป็นค่าคงที่ที่ไม่สามารถแก้ไขหรือถอดกลับได้. จุดประสงค์หลักคือเพื่อตรวจสอบความถูกต้องของข้อมูล.

เช่น:

  • SHA-256: ใช้ในการตรวจสอบความถูกต้องของไฟล์ดาวน์โหลด
  • MD5: ใช้ในการตรวจสอบความถูกต้องของข้อมูลในฐานข้อมูล
  • bcrypt: ใช้ในการเก็บรหัสผ่านของผู้ใช้ในระบบ

ตัวอย่างการใช้งาน Hashing:

  • ตรวจสอบความถูกต้องของไฟล์: เปรียบเทียบค่า hash ของไฟล์ที่ดาวน์โหลดกับค่า hash ที่ผู้ให้บริการระบุไว้.
  • เก็บรหัสผ่าน: ระบบเก็บเฉพาะค่า hash ของรหัสผ่าน ไม่ใช่รหัสผ่านจริง เพื่อความปลอดภัย.


การ Hashing มีคุณสมบัติสำคัญคือ:

  • Input เดิมจะได้ output เดิมเสมอ
  • Input ต่างกันจะได้ output ต่างกัน
  • ไม่สามารถย้อนกลับจาก output เป็น input ได้
  • การเปลี่ยนแปลง input เพียงเล็กน้อยจะส่งผลให้ output เปลี่ยนแปลงอย่างมาก

NOTE:

  • Encoding ใช้เพื่อความสะดวกในการส่งข้อมูล 
  • Encryption ใช้เพื่อรักษาความลับของข้อมูล 
  • Hashing ใช้เพื่อตรวจสอบความถูกต้องของข้อมูล. 
โดยในการการเลือกใช้แต่ละวิธีขึ้นอยู่กับวัตถุประสงค์ในการใช้งานข้อมูลนั้น ๆ

Labels: , ,

Firewall Policy - การตั้งค่าความปลอดภัยสำหรับไฟร์วอล

ซื้อไฟร์วอลมาโครตแพง แต่ Allow all ก็ไม่ได้ช่วยให้เกิดความปลอดภัยมากนัก ซึ่งส่วนใหญ่แล้วมักจะไม่ค่อยเห็นความสำคัญ 

หลักการที่สำคัญในการตั้งค่าให้กับไฟร์วอล คือ เปิดเฉพาะที่จำเป็น เช่น ผู้ใช้ภายในส่วนใหญ่ก็จะใช้งานแค่  HTTP, HTTPS, SSH, DNS, SMTP, POP3 เราก็เปิดแค่นั้น, ในส่วนของการสื่อสารระหว่าง Server ก็มาดูทีละส่วนทีละเครื่องว่าจะเปิดให้เข้าถึงอะไรได้บ้าง และที่สำคัญคือควรจะต้องมีการทบทวน Firewall Policy อย่างน้อยปีละ 1 ครั้ง เพื่อนำพอร์ท หรืออะไรที่ไม่ได้ใช้งานแล้วออก (ปกติถ้าไม่ได้ใช้แล้วก็ควรนำออกเลย แต่มันก็มีผิดพลาด หรือลืมกันได้ เพราะฉะนั้นปีนึงก็มาทบทวนอีกซักรอบว่ายังจำเป็นอยู่หรือปล่าว)

ตัวอย่างการตั้งค่า Access control list: ACL

Labels:

Tuesday, July 4, 2023

BCP Exercise - การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ

การฝึกซ้อมแผนความต่อเนื่องทางธุรกิจ เป็นขั้นตอนในการทดสอบและประเมินความพร้อมของแผนปฏิบัติการ และกระบวนการในการตอบโต้สถานการณ์เมื่อเกิดเหตุที่ไม่คาดคิด เพื่อให้ทราบถึงข้อบกพร่องของแผน, ทรัพยากร, กระบวนการทำงาน, ช่องว่างในการประสานงานต่าง ๆ ทั้งภายในและภายนอกหน่วยงาน ตลอดจนประสิทธิภาพของกระบวนการสื่อสาร   โดยมีรูปแบบที่นิยมใช้ในการฝึกซ้อม 3 รูปแบบ คือ
  • การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise)
  • การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise)
  • การฝึกซ้อมเสมือนจริง (Full scale Exercise)
การฝึกซ้อมแผนบนโต๊ะ (Table top Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการทำความเข้าใจเกี่ยวกับแผน บทบาทหน้าที่ และความร่วมมือต่าง ๆ  โดยใช้การอภิปรายแบบกลุ่มบนสถานะการณ์จำลองที่กำหนดขึ้น โดยผู้บริหาร และผู้ที่มีส่วนเกี่ยวข้อง ข้อดีของการฝึกซ้อมแผนบนโต๊ะคือประหยัด เหมาะสำหรับใช้ในการเตรียมการฝึกซ้อมที่มีความซับซ้อนมากขึ้น

การฝึกซ้อมเฉพาะหน้าที่ (Functional Exercise) เป็นการฝึกซ้อมที่มุ่งเน้นการประเมินความสามารถของบุคลากร การสั่งการ และทรัพยากรที่จำเป็น โดยการจำลองสถานะการเฉพาะจุด หรือเฉพาะบทบาทหน้าที่นั้น ๆ ข้อดีของการฝึกซ้อมการฝึกซ้อมเฉพาะหน้าที่ คือความสมจริงของเหตุการณ์ภายไต้งบประมาณที่จำกัด มักถูกใช้ในการเตรียมความพร้อมรับมือเหตุการณ์ต่าง ๆ เช่น การทดสอบการสื่อสารผ่าน Call tree, การทดสอบ hot site เป็นต้น

การฝึกซ้อมเสมือนจริง (Full scale Exercise) เป็นการฝึกซ้อมที่ซับซ้อนและใช้ทรัพยากรมากที่สุดเนื่องจากต้องมีการเคลื่อนย้ายทรัพยากร และบุคลากรที่เกี่ยวข้องเพื่อให้เกิดความสมจริงในการตอบสนองต่อเหตุการณ์ โดยมุ่งเน้นการปฏิบัติตามแผนงานที่ได้กำหนดไว้ ซึ่งรวมทั้งกระบวนการสั่งการ การสื่อสาร การเคลื่อนย้าย การตั้งค่า การรายงาน ฯลฯ โดยใช้สถานการณ์สมมติ

การที่องค์กรจะเลือกรูปแบบการซ้อมแบบไหนก็ขึ้นอยู่กับบริบท และความพร้อมขององค์กรในการดำเนินการ แต่อย่างน้อยควรจะมีการซ้อมปีละ 1 ครั้ง เพื่อให้มั่นใจว่าเมื่อเกิดเหตุขึ้นแผนนี้จะสามารถรับมือได้ 
Labels: , , , , ,

Thursday, June 15, 2023

Document Action Request Form | DAR -- (แบบคำร้องขอให้ดำเนินการเกี่ยวกับเอกสารควบคุม)

 
สนใจนำไปประยุกต์ใช้ในหน่วยงาน > https://docs.google.com/document/d/1azwXuAdg5EoBCyCT1-OfiD8zYk1GEyNDwc7HEJ78hBk/edit?usp=sharing

Labels: , ,

Monday, June 12, 2023

SWOT Analysis Template


สนใจนำไปประยุกต์ใช้ในองค์กร > https://docs.google.com/presentation/d/1VyI6d8BbCbdXCteA5HZw25MzOAiUGQeCokZrZOd9-nA/edit?usp=sharing

Labels: ,