ในปัจจุบันนี้ คงไม่มี CIO ท่านใด ไม่รู้จักคำว่า Cloud Computing และ ประโยชน์ของ Cloud Computing ก็เป็นที่ชัดเจนแล้ว เนื่องจาก การย้ายหรือ Migrate ระบบ ไอทีขององค์กร จากการติดตั้งใช้งานในระบบของเราเอง ไปติดตั้งและใช้งานจาก Cloud Environment นั้น ทำให้ CIO ง่ายในการบริหารจัดการทรัพยากรระบบไอที ง่ายในการคำนวณต้นทุนการใช้งานระบบไอที และง่ายในการบริหารผู้เชี่ยวชาญที่ต้องทำงานในฝ่ายไอที CIO ที่ต้องการจะนำระบบไอทีไปสู่การติดตั้งใช้งานใน Cloud มักจะเริ่มต้นจากระบบที่มีความสำคัญน้อยหรือปานกลาง และไม่ซับซ้อน เพื่อลดผลกระทบต่างๆ ที่อาจจะเกิดขึ้น พร้อมทั้งเป็นการปูพื้นฐานความเข้วใจให้กับทีมงาน ก่อนจะขยายการใช้งานต่อไป ซึ่งจะขอนำกรณีศึกษา การย้ายระบบไอทีขององค์กร ไปสู่ Cloud Environment เพื่อให้ทราบปัจจัยความสำเร็จ และสิ่งที่ต้องคำนึงถึง ก่อนการดำเนินการ เพื่อเป็นบทเรียนให้ CIO ทุกท่านใช้กำหนดกิจกรรมสำคัญที่ต้องดำเนินการ ในโครงการ Migrate ระบบ ไอที สู่ Cloud
1. ปัจจัยด้านความคุ้มทุนของโครงการ
ความคุ้มค่าของการ Migrate ระบบไป Cloud นั้น เป็นเรื่องแรกที่ CIO ต้องพิจารณาในด้านต้นทุนของการเช่าใช้ระบบผ่าน Cloud เทียบกับต้นทุนการบริหารระบบเองภายในศูนย์คอมพิวเตอร์ขององค์กร แต่ความท้าทายของประเด็นนี้ อยู่ที่วิธีการคำนวณต้นทุนของทั้ง 2 ทางเลือก เพื่อเปรียบเทียบและหาจุดคุ้มทุน ซึ่งพอจะอธิบายโดยภาพกว้างๆได้ดังนี้
ต้นทุนของการเช่าใช้ระบบผ่าน Cloud จะประกอบด้วยเรื่องที่ต้องพิจารณาดังนี้
- ค่าบริการเช่าใช้ระบบผ่าน Cloud ที่ต้องจ่ายให้ Cloud Provider ซึ่งอาจจะคิดต่อหน่วยการใช้งาน เช่น ตามจำนวนผู้ใช้งาน ตามจำนวนอุปกรณ์ที่เชื่อมต่อ ตามจำนวนธุรกรรมที่ใช้ ตามจำนวนความจุข้อมูลที่ผ่าน Cloud เป็นต้น ค่าใช้จ่ายในหมวดนี้ Cloud Provider อาจจะเรียกเก็บเป็นรายเดือน หรือรายปี ตามแต่สัญญาตกลงกัน แต่ CIO มีหน้าที่ พิจารณาเงื่อนไขให้ชัดเจน และเลือกให้เหมาะกับการใช้งาน และการเติบโตของธุรกรรมในองค์กร เพื่อให้ได้ต้นทุนที่คุ้มค่าที่สุดค่าบริการการเชื่อมต่อ Link ส่งข้อมูลขึ้น Cloud ซึ่งจะต้องมีขนาดใหญ่ขึ้น เนื่องจาก ข้อมูลธุรกรรม เดิมที่เคยเชื่อมต่อกันภายในองค์กร จะต้องถูกนำขึ้นสู่ Cloud ผ่าน Link เชื่อมต่อข้อมูลดังกล่าว ในหัวข้อนี้ CIO ต้องพิจารณา ขนาดความจุของข้อมูลในธุรกรรม ที่จะนำขึ้น Cloud แล้ว นำไปคำนวณ Bandwidth ของ Link ที่ต้องใช้เพิ่ม เพื่อตัดสินใจในการขยาย Bandwidth ของ Link ให้รองรับการใช้งานขององค์กร
- ค่าพัฒนาปรับปรุง Application หรือระบบแวดล้อมต่างๆ ที่ทำงานเชื่อมโยงกับ ระบบที่จะนำขึ้น Cloud เนื่องจาก ระบบเหล่านี้ จำเป็นต้อง ถูกปรับปรุงให้ย้ายการเชื่อมต่อจากระบบที่อยู่ในองค์กร ให้ไปเชื่อมต่อที่ Cloud ในประเด็นนี้ เป็นเรื่องที่ ท้าทาย CIO ขององค์กรขนาดใหญ่อย่างมาก เนื่องจาก หากไม่มีการจัดเก็บบันทึก สถาปัตยกรรมของระบบไว้อย่างดีแล้ว การเชื่อมต่อกันของระบบต่างๆนั้น เป็นเรื่องยากที่จะระบุได้ครบถ้วนและชัดเจน รวมถึง การแก้ไขระบบที่ใช้มานาน อาจจะทำได้ยากและมีความเสี่ยงสูง
- ค่าบริการการเชื่อมต่อ Internet เพื่อใช้บริการ ระบบที่อยู่บน Cloud ซึ่งจะต้องมี Bandwidth การเชื่อมต่อ Internet ที่มากขึ้น รองรับการใช้งานระบบบน Cloud
- ค่าอุปกรณ์และระบบแวดล้อม ที่ต้องเพิ่มเติม เมื่อการเชื่อมต่อ Internet มีปริมาณมากขึ้น เช่น ความสามารถของ Proxy เป็นต้น ประเด็นหัวข้อดังกล่าว มักถูกละเลยและมองข้ามไป จนกระทั่งเกิดปัญหาในการใช้งาน เมื่อเริ่มใช้งานระบบผ่าน Cloud ในระยะแรกๆ
- ค่าจ้างในการย้ายข้อมูลระบบที่อยู่ในศูนย์คอมพิวเตอร์ขององค์กร ไปสู่การระบบใหม่ที่จัดเก็บข้อมูลบน Cloud ประเด็นดังกล่าว CIO จะต้องพิจารณา รูปแบบ ลำดับ และช่วงเวลาการย้ายข้อมูล ให้เหมาะสม และสื่อสารกับผู้ใช้งานในองค์กรให้ชัดเจน เนื่องจากมีความเสี่ยงต่อการไม่สามารถให้บริการผู้ใช้งานได้ และมีความเสี่ยงเรื่องข้อมูลของผู้ใช้งานหายหรือไม่เป็นปัจจุบัน
ต้นทุนของการบริหารระบบเองภายในศูนย์คอมพิวเตอร์ขององค์กรจะประกอบด้วยเรื่องที่ต้องพิจารณาดังนี้
- ค่าบุคลากร ดูแลระบบ ติดตั้งระบบ สำรองข้อมูล ระบบภายในองค์กร ทั้งในเรื่อง ค่าเงินเดือน ค่าสวัสดิการ ค่าตอบแทนโบนัสประจำปี ค่าฝึกอบรมพัฒนาทักษะการทำงาน ค่าอุปกรณ์ในการทำงาน เป็นต้น
- ค่าสถานที่ตั้งและจัดเก็บอุปกรณ์ ใน Data Center และ Disaster Recovery Center ขององค์กร รวมถึงอุปกรณ์แวดล้อมในการทำงาน
- ค่าไฟฟ้าที่ต้องใช้ในการทำงานของอุปกรณ์
- ค่าอุปกรณ์และ Software ที่ต้องใช้ในระบบ รวมถึงค่า ซ่อมบำรุงรายปี
- ค่าใช้จ่ายในการจัดทำและทดสอบแผนสำรองประจำปีของระบบ (BCP/DRP)
CIO ต้องนำต้นทุนทั้ง 2 กลุ่ม มาเปรียบเทียบกัน เพื่อหาจุดคุ้มทุน ประกอบการตัดสินใจในการดำเนินการ
2. ปัจจัยเรื่องความปลอดภัยของระบบและข้อมูล
การนำระบบขึ้นไปติดตั้งและใช้งานบน Cloud นั้น เป็นการ Outsource งานการบริหารจัดการระบบ ไปให้ Cloud Provider เป็นผู้ดำเนินการ ดังนั้นการบริหารความปลอดภัยของระบบไอที จะต้องถูกดำเนินการโดย Cloud Provider เกือบทั้งหมด ในประเด็นนี้ CIO ต้องร่วมกับ CISO เพื่อพิจารณาความพร้อมของ Cloud Provider ในการบริการจัดการความปลอดภัยของระบบที่นำสู่ Cloud และการป้องกันข้อมูลรั่วไหลของ Cloud Provider ประเด็นเหล่านี้ ต้องถูกพิจารณาและตรวจสอบก่อนตัดสินใจทำสัญญาใช้บริการกับ Cloud Provider รายใด ซึ่งควรประกอบไปด้วยหัวข้อการพิจารณาดังนี้
- กำหนดให้ Cloud Provider ต้องลงนามในสัญญาการรักษาความลับ หรือ Non Disclosure Agreement เพื่อให้มั่นใจว่า ข้อมูลขององค์กร ที่ถูกจัดเก็บที่ Cloud Provider นั้น จะถูกเก็บรักษาอย่างดี ไม่รั่วไหลไปสู่บุคคลที่ไม่มีสิทธิ และ Cloud Provider มีหน้าที่ยังคงต้องควบคุมไม่ให้ข้อมูลขององค์กรรั่วไหล ต่อไปเป็นระยะเวลา 5 ปี หลังจากเลิกสัญญาการใช้บริการ Cloud แล้ว
- CIO ต้องมอบหมาย CISO หรือผู้เชี่ยวชาญด้านความปลอดภัยไอที ไปทำการประเมินความพร้อมด้านการดูแลรักษาความปลอดภัยระบบไอที ของ Cloud Provider เช่น
- Data Center ของ Cloud Provider มีการจัดการที่ดี และได้รับการรับรองจากมาตรฐานสากล เช่น ISO 27001 , SSAE16 , TIA 942 (TIA-4) เป็นต้น และ การรับรองดังกล่าว ยังเป็นปัจจุบันหรือไม่
- Cloud Provider มีการทดสอบหาช่องโหว่ของระบบอย่างน้อยปีละครั้ง และดำเนินการปิดช่องโหว่เรียบร้อยหรือไม่ และรายงานการทดสอบปละปิดช่องโหว่ ต้องสามารถเปิดเผยให้ผู้ใช้บริการเข้าถึงได้
- Cloud Provider มีการติดตั้งระบบ ตรวจจับและจัดการ Malware และ Advance Malware หรือไม่ และมีกระบวนการในการจัดการ ในกรณีระบบติด Malware หรือไม่
- Cloud Provider มีเครื่องมือและการจัดการ เหตุบุกรุกด้านความปลอดภัยไอที หรือ Security Incident หรือไม่
- Cloud Provider มีการทดสอบแผนสำรอง (BCP/DRP) อย่างน้อยปีละครั้งหรือไม่
- Cloud Provider มีการจัดเก็บ Log การทำธุรกรรมของระบบที่นำสู่ Cloud หรือไม่ และ องค์กรของผู้ใช้บริการ สามารถเข้าถึง Log เหล่านั้นได้หรือไม่
- ระบบที่องค์กร นำไปใช้บน Cloud นั้น ถูกติดตั้งที่ Data Center ของ Cloud Provider โดยการติดตั้ง แยก Server จากลูกค้ารายอื่นของ Cloud Provider หรือไม่หรือ ติดตั้งรวมกัน
- Data Center ของ Cloud Provider มีจำนวนมากและหลายสถานที่ หรือไม่ และระบบขององค์กร ถูกติดตั้งที่ Data Center ที่ตั้งอยู่ในประเทศใด และประเทศนั้น มีภัยธรรมชาติบ่อยครั้งหรือไม่ มีระบบ infrastructure ดีพอหรือไม่
- องค์กรของผู้ใช้บริการ มีสิทธิในการเข้าตรวจสอบ หรือเข้าถึงรายงานตรวจสอบความปลดภัยระบบไอที ของ Cloud Provider หรือ ไม่ (Right to audit)
3. ปัจจัยเรื่องข้อกำหนด กฎระเบียบ และ Regulation ต่างๆของหน่วยงานกำกับดูแล ทั้งภายในและภายนอกองค์กร
การนำระบบขึ้นไปใช้บน Cloud นั้น ยังคงเป็นประเด็นท้าทายหน่วยงานกำกับดูแลหรือ Regulator ของหลายๆประเทศอยู่มาก เนื่องจาก การนำระบบขึ้นไปใช้บน Cloud มีผลกระทบในเรื่องความเสี่ยงขององค์กร ในหลายด้าน เช่น การรั่วไหลของข้อมูลสำคัญ ความพร้อมของ Cloud Provider ในการจะให้บริการอย่างต่อเนื่อง เป็นต้น ในประเด็นนี้ CIO ต้องศึกษาข้อกำหนด (Regulation) ของหน่วยงานกำกับดูแลให้เข้าใจ และประสานงานกับหน่วยงานที่เกี่ยวข้อง เช่น หน่วยงานด้านความเสี่ยง หน่วยงานด้านความปลอดภัยไอที และหน่วยงานด้านกฎหมาย เพื่อกำหนดให้มีกิจกรรมในการปฏิบัติตามข้อกำหนด และแจ้งให้หน่วยงานกำกับดูแลทราบ ก่อนการดำเนินการ
4. ปัจจัยเรื่องวัฒนธรรมในองค์กรทั้งผู้ใช้งานและผู้ดูแลระบบ
การนำระบบขึ้นไปใช้บน Cloud ทำให้ผุ้ใช้งาน สามารถใช้งานระบบขององค์กรจาก Internet นั่นหมายถึง ผู้ใช้งาน จะสามารถใช้งานระบบ จากที่ไหนก็ได้ และอาจจะหมายรวมถึง สามารถใช้งานระบบจากอุปกรณ์ Notebook ส่วนตัว หรือ อุปกรณ์ Mobile ส่วนตัวได้ การควบคุมพฤติกรรมการใช้งาน ให้มีความตระหนักด้านความปลอดภัย และการป้องกันข้อมูลรั่วไหล เป็นสิ่งที่ CIO ต้องพิจารณา และจัดอบรมเพื่อสื่อสารให้ผู้ใช้งานทราบ
ในส่วนของผู้ดูแลระบบเดิม ก็ต้องเปลี่ยนบทบาทจากผู้ดูแลระบบภายในองค์กร ไปเป็นผู้กำกับดูแล Cloud Provider โดยการกำหนด Service Level Agreement (SLA) ของ Cloud Provider ให้ชัดเจน และติดตามเฝ้าระวัง ให้ Cloud Provider ให้บริการอย่างต่อเนื่อง ภายใน SLA ที่กำหนด
5. ปัจจัยเรื่องสถาปัตยกรรมระบบและการขยายระบบในอนาคต
สำหรับองค์กรขนาดใหญ่ ฝ่ายงานไอที จะมีหน่วยงานที่คอย ออกแบบ กำกับ และดูแลเรื่องสถาปัตยกรรมของระบบไอทีในองค์กร เพื่อให้ระบบไอที มีการสร้างให้เป็นไปตามมาตรฐานสถาปัตยกรรมที่กำหนด เพื่อให้ง่ายในการทำความเข้าใจ ง่ายในการบริหารจัดการ และง่ายในการขยายต่อไปในอนาคต แต่สำหรับองค์กรที่พึ่งเริ่มในการนำระบบไปใช้บน Cloud นั้น การออกแบบมาตรฐานสถาปัตยกรรมของระบบ ให้รองรับการเชื่อมต่อกับ Cloud จะต้องถูกพิจารณาและกำหนดให้เป็นมาตรฐาน โดย CIO ต้องมอบหมายให้ผู้เชี่ยวชาญด้านสถาปัตยกรรมระบบ ทำการออกแบบ และกำกับให้ระบบที่จะนำไปใช้บน Cloud มีการสร้างเป็นไปตามมาตรฐานสถาปัตยกรรมขององค์กร
6. ปัจจัยเรื่องความมั่นคงและน่าเชื่อถือของ Cloud Provider
ความน่าเชื่อถือ และขนาดองค์กรของ Cloud Provider นั้น มีผลอย่างมากต่อการตัดสินใจของ CIO เนื่องจาก Cloud Provider ที่ขาดประสบการณ์ และมีขนาดเล็ก อาจจะส่งผลต่อความมั่นคงของการให้บริการ ประเด็นที่เกี่ยวข้องกับความมั่นคงของ Cloud Provider ที่ CIO ต้องพิจารณา มีดังนี้
- ขนาดธุรกิจของ Cloud Provider
- จำนวน Data Center ที่ Cloud Provider มีให้บริการในโลก
- จำนวนลูกค้าอ้างอิง ที่ใช้บริการ Cloud ของ Cloud Provider ทั้งในประเทศและในต่างประเทศ
- ประสบการณ์ของ Cloud Provider ในการให้บริการ
ทั้ง 6 ปัจจัยดังกล่าวข้างต้น เป็นสิ่งที่กำหนดความสำเร็จของการ Migrate ระบบขึ้นสู่ Cloud อย่างคุ้มค่า ปลอดภัย และเกิดประโยชน์ต่อองค์กร สูงสุด ซึ่งเป็นบทบาทสำคัญ ของ CIO ที่ต้องจัดให้มี ในกรณีที่ต้องปรับตัวกับกระแสการใช้ Cloud ที่มากขึ้นในปัจจุบัน
สายพิน กิตติพรพิมล
อดีต CIO TMB Bank 2547-2559