สถานการณ์ตัวอย่างจำลอง ประเด็นศึกษา เพื่อสนับสนุนการตัดสินใจการลงทุนในโซลูชัน PAM
ลองจำลองภาพว่าคุณเป็น CIO ขององค์กรที่ให้บริการทางการเงินขนาดกลาง องค์กรนี้ตัดสินใจลงทุนในโซลูชัน PAM เพื่อเพิ่มความปลอดภัย ปรับปรุงประสิทธิภาพการดำเนินงาน และลดความเสี่ยงที่เกี่ยวข้องกับการเข้าถึงแบบมีสิทธิพิเศษ คุณซึ่งเป็น CIO จึงมีประเด็นศึกษา เพื่อสนับสนุนการตัดสินใจ สามารถแยกเป็นประเด็น ได้ดังต่อไปนี้
ประเด็นที่ 1 – ประหยัดต้นทุน (Cost Savings)
1.1. ประเมินค่าเสียหายโดยประมาณของการถูกละเมิดด้านความปลอดภัย
• สถานการณ์จำลอง: หากไม่มี PAM องค์กรจะเสี่ยงต่อการละเมิดความปลอดภัย ซึ่งรวมถึงการขโมยข้อมูลและการเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต
• ผลประโยชน์โดยประมาณ: ด้วยการใช้ PAM ในระยะเวลา 3 ปี คุณประมาณการประหยัดค่าใช้จ่ายองค์กรที่ประหยัดได้ที่ 300,000 ดอลลาร์ หรือประมาณ 10-11 ล้านบาท ซึ่งรวมถึงการหลีกเลี่ยงค่าใช้จ่ายอื่นๆ ที่เกี่ยวข้องกับการละเมิดข้อมูล เช่น ค่าปรับตามกฎระเบียบ ค่าธรรมเนียมทางกฎหมาย และความเสียหายต่อชื่อเสียงขององค์กร
1.2 ประหยัดเวลา (Time Savings)
• สถานการณ์จำลอง: หากไม่มี PAM เจ้าหน้าที่ไอทียังคงใช้วิธีการจัดการการเข้าถึงระบบแบบดั้งเดิม เช่น การรีเซ็ตรหัสผ่านและการจัดเตรียมการเข้าถึงระบบแบบ manual ซึ่งทำให้พนักงานใช้เวลามากในการจัดการ
• ผลประโยชน์โดยประมาณ: ด้วยระบบอัตโนมัติของ PAM จะประหยัดเวลาของเจ้าหน้าที่ไอทีได้ประมาณ 500 ชั่วโมงต่อปี สมมติว่าค่าจ้างเฉลี่ยต่อชั่วโมงที่ 50 ดอลลาร์หรือ 1,800 สำหรับบุคลากรด้านไอที จะช่วยประหยัดเวลาได้ปีละ 25,000 ดอลลาร์ หรือ 900,000 บาท หรือ 75,000 ดอลลาร์ หรือ 2,700.000 บาทในช่วงเวลา 3 ปี
1.3 ค่าใช้จ่ายในการปฏิบัติตามกฎระเบียบ (Compliance Costs)
• สถานการณ์จำลอง: องค์กรของคุณต้องปฏิบัติตามข้อบังคับอุตสาหกรรม เช่น GDPR หรือ PCI DSS ซึ่งจำเป็นต้องมีการควบคุมการเข้าถึงและแนวทางการตรวจสอบที่เข้มงวด โดยไม่ได้ใช้ระบบควบคุมการเข้าถึงระบบแบบอัตโนมัติหรือ PAM
• ผลประโยชน์โดยประมาณ: ด้วยการใช้ PAM เพื่อบังคับใช้นโยบายการเข้าถึงและรักษาบันทึกการตรวจสอบ คุณคาดว่าจะสามารถหลีกเลี่ยงการละเมิดการปฏิบัติตามข้อกำหนดที่อาจเกิดขึ้นและค่าปรับที่เกี่ยวข้อง ส่งผลให้ประหยัดต้นทุนได้ 50,000 ดอลลาร์ หรือ 1,800,000 ในระยะเวลา 3 ปี
1.4 การลดต้นทุนการดำเนินงาน (Operational Costs)
• สถานการณ์จำลอง: หากไม่มี PAM กระบวนการจัดการการเข้าถึงแบบ manual ก่อให้เกิดข้อผิดพลาดและขาดประสิทธิพภาพ
• ผลประโยชน์โดยประมาณ: PAM ทำให้งานการจัดการการเข้าถึงระบบ มีความคล่องตัว คาดการณ์ว่าจะลดการออก IT support ticket ได้ 20% ต่อปี ส่งผลให้ประหยัดต้นทุนการดำเนินงานได้ 100,000 ดอลลาร์ หรือ 36,000,000 บาทในระยะเวลา 3 ปี
ประเด็นที่ 2 – การลดความเสี่ยง (Risk Reduction)
2.1 คุณค่าของการลดความเสี่ยง (Risk Mitigation)
• สถานการณ์จำลอง: องค์กรกำลังเผชิญกับความเสี่ยงจากภัยคุกคามจากภายใน การโจมตีทางไซเบอร์จากภายนอก และการเข้าถึงระบบที่สำคัญโดยไม่ได้รับอนุญาต
• ผลประโยชน์โดยประมาณ: ด้วยการใช้ PAM จะ enforce การเข้าถึงสิทธิ์ในขั้นที่ต่ำที่สุด ตรวจสอบกิจกรรมของผู้เข้าใช้ระบบ และตรวจจับความผิดปกติ ทำให้คุณประเมินการลดความเสี่ยงของเหตุการณ์ด้านความปลอดภัยได้ แม้ว่าการกำหนดมูลค่าทางการเงินที่แม่นยำเพื่อลดความเสี่ยงจะเป็นเรื่องยาก แต่คุณมั่นใจได้ว่ามาตรการรักษาความปลอดภัยที่ได้รับการปรับปรุงแล้วจากการนำ PAM มาใช้งาน จะช่วยลดความสูญเสียทางการเงินที่อาจเกิดขึ้นได้
2.2 การลดหย่อนเบี้ยประกันภัย
• สถานการณ์จำลอง: องค์กรได้ทำประกันภัยด้านความปลอดภัยทางไซเบอร์เพื่อลดความสูญเสียทางการเงินจากเหตุการณ์ด้านความปลอดภัย
• ผลประโยชน์โดยประมาณ: หากบริษัทประกันภัยได้เรียนรู้ถึงการที่องค์กรนำ PAM มาใช้ และปรับปรุงมาตรการรักษาความปลอดภัย จะประมาณการได้ว่า เบี้ยประกันความปลอดภัยทางไซเบอร์ที่องค์กรต้องจ่ายให้กับบริษัทประกันภัยจะลดลงทันที อย่างน้อย 10% ต่อปี ซึ่งส่งผลให้ประหยัดต้นทุนได้ตลอด 3 ปี
ประเด็นที่ 3 – ผลระทบทางธุรกิจ (Business Impact)
3.1 การคุ้มครองรายได้ (Revenue Protection)
• สถานการณ์จำลอง: เหตุการณ์การการละเมิดความปลอดภัย นำไปสู่ความไม่ไว้วางใจของลูกค้า ความเสียหายต่อชื่อเสียง และการสูญเสียรายได้
• ผลประโยชน์โดยประมาณ: ด้วยการป้องกันการละเมิดความปลอดภัยและรักษาความไว้วางใจของลูกค้า คุณคาดว่าจะหลีกเลี่ยงการสูญเสียรายได้ที่อาจเกิดขึ้นได้ถึง 500,000 ดอลลาร์ หรือ 18,000,000 บาท ในระยะเวลา 3 ปี
3.2 ความต่อเนื่องทางธุรกิจ (Business Continuity)
• สถานการณ์จำลอง: การหยุดทำงานหรือการหยุดชะงักที่เกิดจากเหตุการณ์ด้านความปลอดภัยอาจส่งผลกระทบต่อการดำเนินธุรกิจและการบริการลูกค้า
• ผลประโยชน์โดยประมาณ: ความต่อเนื่องทางธุรกิจผ่านการจัดการการเข้าถึงที่มีประสิทธิภาพและการควบคุมความปลอดภัยผ่านระบบ PAM องค์กรจะสามารถหลีกเลี่ยงการสูญเสียความสามารถในการผลิต และการหยุดชะงักของบริการที่อาจเกิดขึ้น ส่งผลให้มีการป้องกันรายได้และประหยัดต้นทุน
บทสรุปสถานการณ์ตัวอย่างในการหา tangible value
ในระยะเวลาสามปี หลังจากมีการนำ PAM ไปใช้ ได้รับผลประโยชน์รวม 1,075,000 ดอลลาร์ หรือ 38,700,000 บาท
หักเงินลงทุน โซลูชัน PAM ไปใช้เริ่มแรก 500,000 ดอลลาร์ หรือ 18,000,000 บาท
ผลประโยชน์สุทธิจะอยู่ที่ 575,000 ดอลลาร์ หรือ 20,700,000 บาท
ตอนนี้ คุณหรือ CIO ก็จะสามารถคำนวณ ROI โดยใช้สูตรที่ให้ไว้ก่อนหน้านี้ ซึ่งแสดงให้เห็นถึงมูลค่าที่จับต้องได้ (tangible value) ของการลงทุนในโซลูชั่น PAM เพื่อความปลอดภัยและประสิทธิภาพการดำเนินงานขององค์กร
สูตรคำนวณเปอร์เซ็นต์ ผลตอบแทนจากการลงทุน (Return of Investment ROI)
ROI Percentage = (จำนวนผลประโยชน์ในรูปการเงิน – ต้นทุนเงินลงทุนด้าน PAM) / ต้นทันเงินลงทุนด้าน PAM x 100
ROI Percentage = (20,700,000 –18,000,000) / 18,000,000 x 100
ROI Percentage = 15%
เขียนโดย : Udorn
วันที่เผยแพร่ : 17 เม.ย. 2567