ทั้ง SOX, HIPAA, GLBA สารพัดตัวย่อที่มีผลบังคับใช้กับการจัดเก็บข้อมูลในสตอเรจ คำถามคือ วันนี้เราจะใช้สตอเรจอย่างไรให้รองรับข้อกำหนด มากมายทั้งปัจจุบันและอนาคต

สำหรับผู้ บริโภคทั่วไปข่าวเก่าๆ อย่างการเรียกคืนแบตเตอรี่ที่อาจทำให้เกิดระเบิด หรือข่าวการเรียกเคลมอะไหล่ของค่ายรถชื่อดัง ก็อาจทำให้เกิดข้อสงสัยว่า ทำไมผู้ผลิตเหล่านี้ถึงรู้ดีขนาดที่ว่าแบตเตอรี่ก้อน ไหนมีสิทธิ์ระเบิด หรือรถคันไหนที่ใส่อะไหล่ไม่ได้คุณภาพเข้าไป เพราะทั้งแบตเตอรี่ทั้งรถยนต์ต่างก็ผลิตขึ้นมานับล้านคัน แต่หากเป็นนักเทคโนโลยีสารสนเทศเช่นเราๆ ก็คงเข้าใจดีว่าผู้ผลิตเหล่านี้รู้ได้อย่างไร ทำไมสามารถบอกได้ถึงว่าผลิตภัณฑ์ชิ้นนี้มีส่วนประกอบมาจากแหล่งใด ผลิตเมื่อไร จัดเก็บที่ไหน มีราคาและต้นทุนอย่างไร ซึ่งนั้นก็เพราะการนำเทคโนโลยีสารสนเทศเข้ามาใช้ในการดำเนินธุรกิจ มีการจัดเก็บข้อมูลทุกจุดในกระบวนการทางธุรกิจเพื่อการอ้างอิง วิเคราะห์และตัดสินใจในภายหลังนั่นเอง
ทำให้ปัจจุบันข้อมูลกลายเป็นสิ่งที่ขาดไม่ได้ในการดำเนินธุรกิจ องค์กรธุรกิจใดมีข้อมูลที่ลึกกว่า ตรงกว่า ย่อมตัดสินใจทางธุรกิจได้เร็วกว่า เม็ดเงินการลงทุนด้านสตอเรจจึงสะพัดต่อเนื่องมานานหลายปี และยิ่งมีตัวเร่งอย่างเหตุการณ์ 911 ด้วยแล้ว ยิ่งทำให้ตลาดอุตสาหกรรมระบบสตอเรจยิ่งเติบโตอย่างรวดเร็ว เพราะไม่ว่าใครต่างต้องการโซลูชันที่สามารถ จัดเก็บข้อมูลได้เป็นระเบียบ ถูกต้องและปลอดภัย สามารถกู้คืนข้อมูลได้ทุกเวลาที่ต้องการ

และด้วย กระแสการจัดเก็บข้อมูลนี้เอง ทำให้แต่ละองค์กรต่างใช้และพัฒนาระเบียบในการ จัดเก็บข้อมูลของตนเองขึ้นคนละทิศละทาง เช่น ธุรกิจแฟชั่น อาจมองว่าข้อมูลด้านยอดขายเสื้อผ้าในแฟชั่นรุ่นหนึ่งๆ อาจต้องเก็บไว้มากกว่าสิบปี เพราะกระแสการฮิตอาจกลับมาหวนกับมาได้แม้เวลาผ่านไปเป็นสิบปี ในขณะที่ธุรกิจอุปโภคบริโภค อาจมองเห็นความจำเป็นของการจัดเก็บข้อมูลส่วนบุคคล ความชอบและพฤติกรรมในการบริโภคมากกว่าเพื่อนำไปใช้ใน เชิงการตลาดและพัฒนาผลิตภัณฑ์ใหม่ๆ ซึ่งพฤติกรรมทั้งหลายเปลี่ยนแปลงไปตามอายุ ทำให้ข้อมูลที่จัดเก็บนั้นจะเก็บไว้เพียง 2 ถึง 3 ปี เป็นต้น

ความไม่เป็นระเบียบแบบแผนในการ จัดเก็บข้อมูลของแต่ละอุตสาหกรรมนี้เอง ทำให้หลายฝ่ายเริ่มหยิบยกขึ้นมาเป็นประเด็นร้อย และพยายามออกกฏระเบียบขึ้นมาบังคับใช้ให้เหมาะสม อาทิ Sarbanes-Oxley Act หรือ SOX, Health Insurance Portability and Accountability Act หรือ HIPAA และ Controlling the Assault of Non-Solicited Pornography and Marketing Act หรือ Can Spam เป็นต้น

ซึ่งแม้ว่ามาตรฐานข้อกำหนดดังกล่าวจะเป็นกฎหมาย ที่ออกบังคับใช้ในสหรัฐอเมริกาเป็นส่วนใหญ่ แต่เนื้อหาในมาตรฐานข้อกำหนดเหล่านั้นก็เหมาะ ที่จะนำมาใช้กับประเทศไทย และแน่นอนว่าเทคโนโลยีสตอเรจต่างๆ ที่เราซื้อนั้น ผู้ผลิตก็เป็นชาวต่างชาติ โซลูชันต่างๆ ที่ออกมาจึงรองรับมาตรฐานดังกล่าวมากมาย และบางทีสนนราคาก็เพิ่มขึ้นตามเช่นกัน ทำให้เกิดคำถามขึ้นว่า วันนี้ผู้บริหารคนไทยอย่างเรา ควรลงทุนด้านระบบสตอเรจ เพื่อเก็บรักษาข้อมูลอย่างไรให้เหมาะสมที่สุด จำเป็นหรือไม่ที่ต้องได้มาตรฐานรองรับ และปัจจุบันเองประเทศไทยมีมาตรฐานอะไรบ้างเกี่ยวกับ ข้อมูลที่ควรสนใจ วันนี้เราจะได้คำตอบเหล่านี้กัน

ข้อกำหนดการจัดเก็บข้อมูล คืออะไร
Regulation Compliance หรือข้อกำหนดกฎระเบียบนั้น คือ สิ่งที่เป็นแนวทาง คุณสมบัติ กระบวนการเพื่อให้ได้มาหรือตัวบทกฎหมาย อันเป็นที่ยอมรับของสังคม ตัวอย่างเช่น การพัฒนาซอฟต์แวร์ที่ดีให้ได้มาตรฐานตามข้อกำหนดนั้น อาจต้องมีส่วนโค้ดที่ประกอบด้วยคำสั่งมาตรฐาน การมีคำอธิบายเขียนประกอบทุกบรรทัดหรือมีโครงสร้างที่ดูไม่ซับซ้อนหรือมี ขั้นตอนการทำงานที่ได้มาตรฐาน ในทางเดียวกันสำหรับด้านกฎหมาย ข้อกำหนดอาจหมายถึง พฤติกรรมบางอย่างที่เป็นที่ยอมรับของสังคม เพื่อให้สังคมอยู่ร่วมกันได้อย่างมีความสุข

ดังนั้นในเชิงการจัดเก็บข้อมูลแล้ว “ข้อกำหนดกฎระเบียบ” จึงหมายถึง แนวทาง คุณสมบัติหรือกระบวนการใดๆ ที่ทำให้ข้อมูลต่างๆ ที่ถูกจัดเก็บไว้นั้นได้รับการยอมรับจากสังคม หรือนำไปใช้ทางกฎหมายได้นั้นเอง ทำให้การจัดเก็บข้อมูลของบุคคลทั่วไปอาจไม่จำเป็นต้องเป็นไปตามข้อกำหนด แต่สำหรับองค์กรธุรกิจแล้ว ต้องมีการจัดเก็บข้อมูลให้ตรงตามข้อกำหนดกฎระเบียบ เพื่อการเป็นที่ยอมรับของสังคม ประชาชนและผู้ถือหุ้นนั้นเอง

ตัวอย่างเช่น จะเป็นเช่นไรหากมีผู้ป่วยที่จำเป็นต้องส่งตัวไปรักษายังต่างประเทศ แต่โรงพยาบาลที่ให้การรักษาอยู่นั้น มีการจัดเก็บข้อมูลที่ไม่ได้รับการรับรองมาตรฐาน HIPAA ซึ่งทำให้โรงพยาบาลในต่างประเทศไม่รับรองข้อมูลการส่งตัว ซึ่งอาจเป็นผลให้ผู้ป่วยท่านนั้นต้องเสียค่าใช้จ่าย ในการตรวจรักษาใหม่ทั้งหมด หรือต้องยุ่งยากในเรื่องงานระเบียนเอกสาร แทนที่จะส่งข้อมูลทั้งหมดเป็นดิจิตอลได้เลย หรือถ้าคุณเป็นนักลงทุนในตลาดหุ้น คุณจะเลือกลงทุนบริษัทไหนหากตัวแปรด้านอื่นๆ เหมือนกัน ต่างกันที่บริษัทแรกมีการจัดเก็บข้อมูลทาง บัญชีอย่างเป็นระเบียบผ่านมาตรฐาน SOX กับอีกบริษัทหนึ่งไม่ได้มาตรฐาน SOX เป็นต้น

จะเห็นได้ว่าจากตัวอย่างที่กล่าวมานั้น กระทบโดยตรงต่อความเชื่อมั่นในการทำธุรกิจ โรงพยาบาลที่ได้มาตรฐาน HIPAA ย่อมได้รับความสนใจจากผู้ป่วยมากกว่า หรือบริษัทที่ได้มาตรฐาน SOX ย่อมต้องได้รับความสนใจจากนักลงทุนมากกว่า ซึ่งในระยะยาวแล้วจะส่งผลดีทั้งทางตรงอย่างการจัดเก็บข้อมูลที่เป็นระเบียบ กับทางอ้อมคือ ด้านการลงทุน ผลกำไรทางธุรกิจ

ปัจจุบันนี้ปัญหาเรื่องการวางมาตรฐานและควบคุมให้อยู่ในมาตรฐานกลายเป็น หนึ่งในงานสำคัญของการบริหารจัดการองค์กร เพราะต้องใช้ซอฟต์แวร์เฉพาะทาง ต้องมีฮาร์ดแวร์ที่รองรับและต้องใช้ที่ปรึกษา จนทำให้เกิดตำแหน่งงานใหม่ที่อีกไม่นานเราคงได้ยินจนชินหูอย่าง Chief Compliance Officer หรือ CCO

SOX คืออะไร
Sarbanes-Oxley Act of 2002 (หรือเรียกสั้นๆ ว่า SOX) เป็นกฎหมายที่ตราขึ้นบังคับใช้เพื่อป้องกันปัญหาด้านบัญชีการเงินที่ผิด พลาดและการฉ้อโกงภายในให้กับผู้ถือหุ้นและสาธารณชนทั่วไป หลังจากเกิดกรณีอื้อฉาวด้านการเงินของเอรอนและเวิร์ลดคอม โดยกฎหมายฉบับนี้ได้รับการร่างขึ้นจากคณะกรรมการ ตลาดหลักทรัพย์ของสหรัฐอเมริกา (SEC) ซึ่ง SOX นั้นไม่ใช่กฎหมายที่มีมาตรฐานที่ว่าด้วยเรื่องแนวทางการปฏิบัติของธุรกิจ หรือไม่ได้ระบุเจาะจง ว่าองค์กรธุรกิจจะต้องจัดเก็บข้อมูลอย่างไร แต่เป็นการกำหนดว่าข้อมูลอะไรบ้างที่ต้องเก็บรักษาและจัดเก็บไว้นานเท่าไร โดยครอบคลุมชนิดข้อมูลทางธุรกิจทั้งหมด ไม่ว่าจะเป็นข้อมูลดิจิตอล ข้อมูลการแจ้งเตือนของระบบก็ตาม โดยทั้งหมดต้องจัดเก็บไว้ไม่น้อยกว่า 5 ปี และหากองค์กรใดไม่ปฏิบัติตามจะต้องถูกลงโทษปรับหรือจำคุก หรือทั้งสองอย่างรวมกัน

ทำให้ SOX ไม่เพียงแต่กระทบโดยตรงต่อฝ่ายการเงินขององค์กร แต่ยังกระทบต่อฝ่ายไอทีซึ่งทำหน้าที่บริหารจัดการ การจัดเก็บข้อมูลดิจิตอลขององค์กรด้วย กลายเป็นความท้าทายในการสร้างระบบ บำรุงรักษาและดูแลการจัดเก็บข้อมูลต่างๆ เหล่านี้ ซึ่งมีเกิดขึ้นตลอดเวลาให้อยู่นาน โดยมีต้นทุนค่าใช้จ่ายที่ต่ำ่ แต่ยังคงความน่าเชื่อถือได้นานอย่างน้อย 5 ปี ในรายละเอียดของ SOX นั้นมีมาตราที่สำคัญ 3 หัวข้อที่ฝ่ายไอทีต้องใส่ใจ โดยมาตราแรกเกี่ยวข้องกับการลบทำลายข้อมูล การแก้ไขเปลี่ยนแปลงข้อมูลหรือความผิดพลาดของข้อมูล ซึ่งมาตราแรกบัญญัติไว้ดังนี้

“มาตรา 802 (ก) ผู้ใดที่รู้เห็นในการเปลี่ยนแปลง ทำลาย ตัดส่วนสำคัญ ปกปิด ซ่อนเร้น บิดเบือนหรือสร้างความผิดพลาดใดๆ ให้เกิดกับข้อมูล เอกสารหรือวัตถุใดๆ ด้วยความตั้งใจที่จะกีดขวาง ขัดขวางหรือกระทำเพื่อส่งผลต่อการตรวจสอบ ดูแลรักษา หรือสืบสวนใดๆ จากศาลหรือหน่วยงานของสหรัฐอเมริกา หรือกรณีใดๆ ภายใต้วรรค 11 หรือที่เกี่ยวเนื่องกับการพิจารณาคดี ผู้นั้นมีโทษปรับหรือจำคุกไม่ต่ำ่กว่า 20 ปีหรือทั้งจำทั้งปรับ”

ส่วนในหัวข้อที่สองซึ่งกำหนดไว้เกี่ยวกับการจัดเก็บรักษาข้อมูลในสตอเรจ โดยได้กำหนดแนวทางปฏิบัติที่ดีสำหรับทุกองค์กรที่ต้องจัดเก็บข้อมูลเกี่ยว กับธุรกิจทั้งหมด โดยข้อกำหนดดังกล่าวเหมาะสำหรับนักการบัญชีทุกคน

“มาตรา 802 (ก)(1) ผู้ทำบัญชีทุกคนที่มีหน้าที่ตรวจสอบข้อมูลทางบัญชีสำหรับบริษัทในตลาดหลัก ทรัพย์ตามมาตรา 10ก(ก) แห่งประมวลกฎหมายตลาดหลักทรัพย์ 1934 (15 U.S.C 78j-1(a)) จะต้องตรวจสอบดูแลเอกสารที่เกี่ยวข้องและจัดเก็บไว้ไม่น้อยกว่า 5 ปี นับจากปีภาษีที่ได้รับการตรวจสอบยืนยันแล้ว”

และในหัวข้อสุดท้ายที่ฝ่ายไอทีควรใส่ใจคือ หัวข้อที่ว่าด้วยเรื่องของข้อมูลทางธุรกิจใดบ้างที่ต้องจัดเก็บ

“มาตรา 802 (ก)(2) ให้คณะกรรมการตลาดหลักทรัพย์ ดำเนินการประกาศกฏระเบียบใหม่ให้เหมาะสม ภายใน 180 วัน โดยให้ครอบคลุมการบังคับใช้เกี่ยวกับการจัดเก็บข้อมูลที่เกี่ยวข้อง เช่น เอกสารการทำงาน เพื่อใช้เป็นข้อมูลในการตรวจสอบ บันทึกช่วยจำ เอกสารสัญญา การติดต่อสื่อสารหรือเอกสารอื่นๆ รวมถึงข้อมูลอิเล็กทรอนิกส์ที่ถูกสร้าง ส่งหรือได้รับจากการตรวจสอบหรือตรวจดู ที่เนื้อหาประกอบด้วย ความคิดเห็น ข้อมูลวิเคราะห์ หรือข้อมูลทางการเงินที่เกี่ยวข้องกับการตรวจสอบทางบัญชี”

ดังนั้นสิ่งที่ฝ่ายไอทีต้องกระทำเพื่อให้ได้มาซึ่งมาตราฐาน SOX นั้น คือ การวางระบบบริหารจัดการวงจรชีวิตของข้อมูลหรือ Information Life Cycle Management ซึ่งภายใต้ต้องประกอบด้วยฟีเจอร์สำคัญอย่างระบบควบคุมการเข้าถึง การให้สิทธิ์เข้าถึงข้อมูล และระบบบริหารจัดการผู้ใช้งาน ส่วนด้านฮาร์ดแวร์นอกจากต้องรองรับคำสั่งการทำงานของ ILM แล้ว ยังต้องมีต้นทุนค่าใช้จ่ายในการจัดเก็บรักษาที่เหมาะสมตามแนวคิดของ ILM ด้วยเช่นกัน

HIPAA คืออะไร
HIPAA ย่อมาจาก The United States Health Insurance Portability and Accountability Act of 1996 เป็นกฎหมายที่มีสองมาตรา โดยมาตราแรกเกี่ยวเนื่องกับการปกป้องด้านประกันสุขภาพที่ครอบคลุมกลุ่ม บุคคลว่างงานหรือกำลังเปลี่ยนงาน และมาตราที่สองว่าด้วยเรื่องงานด้านธุรกรรมของโรงพยาบาล ซึ่งได้บัญญัติมาตรฐานที่เกี่ยวกับระบบงานข้อมูลสารสนเทศด้านสุขภาพหรือ Healthcare Information System ไว้ โดยมาตรฐานดังกล่าวเกี่ยวข้องโดยตรงกับงานด้านเทคโนโลยีสารสนเทศ อันเนื่องมาจากการวางมาตรฐานตั้งแต่ฟอร์แมตการจัดเก็บข้อมูล การรับส่งข้อมูลผ่านโพรโตคอล EDI การจัดการด้านความปลอดภัยของข้อมูลและการป้องกันข้อมูลส่วนบุคคลต่างๆ โดยมีรูปแบบข้อมูลที่ได้มาตรฐานเกี่ยวกับข้อมูลผู้ป่วย ข้อมูลการรักษาและข้อมูลด้านการเงิน และใช้หมายเลขรหัสส่วนตัวเพื่อแบ่งแยกหน่วยงาน หรือส่วนต่างๆ ที่เกี่ยวข้องออกจากกัน โดยมีจุดมุ่งหมายสูงสุดให้ทุกข้อมูลมีความเป็นส่วนตัวและปลอดภัยจากการเข้า ถึงของบุคคลที่ไม่ได้รับอนุญาต

มาตรฐาน HIPAA จะช่วยให้แต่ละโรงพยาบาลที่ได้รับการรับรอง สามารถดำเนินธุรกิจเชื่อมโยงถึงกันได้ ข้อมูลผู้ป่วยสามารถส่งผ่านเครือข่ายอินเทอร์เน็ตได้อย่างปลอดภัยบนมาตรฐาน เดียวกัน ช่วยลดขั้นตอนพื้นฐานทางแพทย์ลง ให้ผู้ป่วยได้รับการรักษาที่รวดเร็วขึ้น มีความถูกต้องมากขึ้นและสร้างความมั่นใจด้านข้อมูลให้กับแพทย์ผู้รักษา

Can Spam คืออะไร
กฎหมาย The Can Spam Act of 2003 หรือเรียกอย่างเต็มๆ ว่า Controlling the Assault of Non-Solicited Pornography and Marketing Act of 2003 ซึ่งเป็นกฎหมายมาตรา 877 ของสหรัฐอเมริกาที่มีผลบังคับใช้มาตั้งแต่ 1 มกราคม 2547 โดยกฎหมายนี้อนุญาตให้ศาลตัดสินโทษปรับกับผู้กระทำผิดได้สูงสุดถึง 2 ล้านดอลลาร์ และใช้บังคับเพื่อให้นักธุรกิจมีสามัญสำนึกในการทำธุรกิจ แผนการตลาดและการโฆษณา อาทิ

• ต้องกำหนดการใช้อีเมล์ให้ชัดเจนทุกครั้งในการโฆษณาผ่านทางอีเมล์ ให้ผู้บริโภคสามารถรู้ได้ทันทีว่าเป็นอีเมล์โฆษณา เขียนหัวเรื่องที่ชัดเจน น่าเชื่อถือ มีความถูกต้องเป็นเรื่องจริง
• อีเมล์ที่ใช้ต้องถูกต้อง ไม่ใช่เป็นอีเมล์ที่ไม่มีตัวตน
• ต้องมีการใส่ที่อยู่จริงให้ถูกต้อง และต้องให้ผู้บริโภคมีทางเลือก สามารถเลือกที่จะรับโฆษณานี้หรือบริการอื่นๆ ในอนาคตต่อหรือไม่ด้วย และกระบวนการดังกล่าวเมื่อผู้บริโภคเลือกแล้ว ต้องกระทำให้เสร็จภายในสิบวัน

แต่ปัญหาของกฎหมายฉบับนี้คือ ยังไม่ครอบคลุมการลงโทษผู้กระทำผิดนอกสหรัฐอเมริกาหรือยังไม่สามารถปกป้อง ผู้บริโภคที่ถูกกระทำนอกสหรัฐอเมริกาได้ แต่ก็ยังมีองค์กรหลายแห่งที่ให้ความใส่ใจในปัญหาสแปมเมล์เหล่านี้ เช่น Direct Marketing Association (DMA), Association of National Advertisers (ANA) และ American Association of Advertising Agencies (AAAA) ซึ่งเป็นองค์กรที่ผลักดันข้อกฏหมายและสร้างกลุ่มผู้บริโภค “Do not Spam” เพื่อเรียกร้องและให้บริษัทที่ทำตามกฎหมายคัดกรองการส่งอีเมล์จากรายชื่อ ผู้ไม่ต้องการรับสแปมเมล์ก่อน โดยชื่อของกฏหมายฉบับนี้ยังมีความหมายแฝงอีกว่า “You CAN spam” ซึ่งหมายถึงคุณสามารถส่งอีเมล์สแปมได้ หากคุณทำตามข้อกำหนดที่บัญญัติไว้ในกฎหมายนี้นั่นเอง

CAN Spam นั้นเกี่ยวข้องกับงานด้านไอทีโดยตรง ทั้งในส่วนของผู้สร้างและผู้รับ สำหรับในฐานะเป็นผู้สร้างสแปมเมล์ ฝ่ายไอทีจำเป็นต้องดูแลในส่วนของการจัดทำฐานข้อมูลรายชื่อผู้รับ ซึ่งไม่ได้มีแค่เพียงอีเมล์เท่านั้น แต่ยังเป็นฐานข้อมูลที่มีข้อมูลอื่นๆ ประกอบ เพื่อคัดกรองบุคคลที่เหมาะสมจะได้รับข่าวสารนั้นเอง นอกจากนี้ยังต้องมีระบบทางเลือกให้กับผู้บริโภคได้แก้ไขรายละเอียดการรับ ข่าวสารด้วยตนเองด้วยเช่นกัน และในฐานะของผู้รับสแปมเมล์ ฝ่ายไอทีต้องใส่ใจดูแลเรื่องการคัดกรองอีเมล์ที่ไม่เหมาะสม ซึ่งมีผลร้ายมากกว่าผลดี เช่น เสียแบนด์วิดธ์ในการเรียกดึงอีเมล์ดังกล่าว เสียเวลาพนักงานในการเปิดอ่านเพื่อลบ เสียพื้นที่ในระบบสตอเรจเพื่อจัดเก็บอีเมล์ไว้รอผู้ใช้อ่านโดยเปล่าประโยชน์ สิ่งเหล่านี้จึงเกี่ยวข้องกับการใช้พื้นที่ของระบบสตอเรจที่เราต้องใส่ใจ นั่นเอง

GLBA/OCC คืออะไร
GLBA/OCC เป็นไกด์ไลน์ที่ออกแบบเพื่อช่วยธนาคารและสถาบันการเงินต่างๆ ให้สามารถปฏิบัติตามข้อกำหนด GLBA หรือ Gramm-Leach-Bliley Act ได้ง่ายขึ้น โดยได้ออกแนวทางที่ช่วยปกป้อง ตรวจสอบและตอบสนองต่อปัญหาการถูกโจมตีในระบบข้อมูลสารสนเทศสำหรับธุรกิจ ธนาคาร อีคอมเมิร์ซ โดยกำหนดให้ธนาคารต้องปกป้องข้อมูลส่วนบุคคลของลูกค้า ระบบต้องมีความสมบูรณ์พร้อมใช้งานและมีระบบตรวจสอบการโจมตี เพราะเมื่อเกิดข้อผิดพลาดด้านข้อมูลแม้เล็กน้อย แต่ก็เป็นผลให้ธุรกิจธนาคารต้องหยุดชะงัก กลายเป็นเพิ่มความเสี่ยง เพิ่มค่าใช้จ่ายในการแก้ไขปัญหา อาจถูกปรับจนทำให้รายได้ผลกำไรขององค์กรสูญหาย

เป้าหมายของข้อกำหนดด้านสตอเรจ
เราอาจมองว่าข้อกำหนดกฎหมายต่างๆ นั้นถูกบัญญัติออกมามากมาย แต่ความจริงแล้วข้อกำหนดเหล่านี้มีจุดประสงค์เพียง 3 เรื่องสำคัญคือ การเก็บรักษาข้อมูล ความสมบูรณ์ของข้อมูลและความปลอดภัยของข้อมูล

ในเรื่องการเก็บรักษาข้อมูลนั้นเราจะใส่ใจในเรื่องที่ว่าต้องจัดเก็บข้อมูล ไว้นานเท่าไร และหากต้องการใช้ข้อมูลเหล่านั้นก็ต้องสามารถเรียกดูได้อย่างรวดเร็ว ทำให้การฟังก์ชัน “ค้นหา” กลายเป็นประเด็นสำคัญในการเก็บรักษาข้อมูล ด้วยเป้าหมายการเก็บข้อมูลไว้นานกว่า 5 ปี ข้อมูลปริมาณมหาศาลขนาดนี้จึงเป็นเรื่องใหญ่ในการค้นหาข้อมูลที่ต้องการ นอกจากนี้ยังต้องคำนึงถึงปัญหาการใช้ข้อมูลร่วมกันบนระบบปฏิบัติการหรือ แอพพลิเคชันเวอร์ชันต่างๆ ด้วย เพราะใครจะรู้ว่าใน 5 ปีหรือ 10 ปีข้างหน้า ข้อมูลที่ใช้งานอยู่บนระบบปฏิบัติการหรือแอพพลิเคชันปัจจุบันจะสามารถเปิด ใช้งานบนระบบปฏิบัติการในยุคหน้าได้หรือไม่ ดังนั้นแม้ว่าเราไม่อาจรู้คำตอบได้ แต่อย่างน้อยสื่อบันทึกข้อมูลที่ใช้จัดเก็บต้องมั่นใจว่าสามารถเก็บรักษา ได้อย่างสมบูรณ์ยาวนาน

ด้านความสมบูรณ์ของข้อมูลหรืออีกมุมหนึ่งคือ “ข้อมูลไม่มีการเปลี่ยนแปลง” นั้นหมายถึงข้อมูลที่จัดเก็บลงสตอเรจนั้นต้องไม่มีความผิดพลาดหรือปัญหา สื่อบันทึกข้อมูลล้มเหลว ทำให้ระบบเทปซึ่งเป็นสื่อบันทึกข้อมูลทางเลือกแรกขององค์กรมายาวนาน เริ่มถูกแทนที่ด้วยสื่อบันทึกแบบเขียนครั้งเดียว (WORM) อย่างแผ่นซีดีรอมหรือดีวีดีรอม ซึ่งถูกกว่าและมีความน่าเชื่อถือด้านข้อมูลไม่เปลี่ยนแปลงสูงกว่า

ส่วนความปลอดภัยของข้อมูลนั้น เราใส่ใจเรื่องข้อมูลที่จัดเก็บต้องไม่ถูกเข้าถึงจากบุคคลที่ไม่ได้รับ อนุญาต ซึ่งอาจใช้ระบบบริหารจัดการผู้ใช้งาน หรือใช้การเข้ารหัสข้อมูลเพื่อเสริมความปลอดภัย โดยผู้ตรวจสอบข้อมูลส่วนใหญ่มักเรียกร้องให้บริษัททั้งหลายกำหนดนโยบายและ กระบวนการในการบริหารจัดการเรื่องความสมบูรณ์ไม่เปลี่ยนแปลงของข้อมูลและ การรักษาความปลอดภัยให้ข้อมูล เป็นพื้นฐานในการสร้างระบบจัดเก็บข้อมูลให้ได้มาตรฐาน

การอิมพลีเมนต์ระบบสตอเรจให้เป็นไปตามข้อกำหนด
ข้อกำหนดกฎหมายที่เกี่ยวข้องกับสตอเรจนั้นมีผลกระทบทั้งด้านฮาร์ดแวร์และ วอฟต์แวร์ แต่ไม่ได้จำเพาะเจาะจงว่าคุณต้องอิมพลีเมนต์ระบบหรือใช้สถาปัตยกรรมเพียง แบบเดียว ตัวอย่างเช่น คุณอาจลงทุนระบบสตอเรจแบบดิสก์สู่ดิสก์ หรือดิสก์สู่ดิสก์สู่เทป หรือดิสก์สู่ดิสก์สู่ออปติกคอลสตอเรจ ก็ได้ เพียงแต่ต้องได้มาตรฐานตามข้อกำหนดเท่านั้นเอง

องค์กรที่ไม่เข้าใจในข้อกำหนดอย่างถ่องแท้ อาจจะคิดว่าเพียงแค่ร่างความต้องการและเลือกเทคโนโลยี พร้อมร่างสัญญาการใช้สตอเรจให้ถูกข้อกำหนดก็เพียงพอ ซึ่งแนวคิดเช่นนี้ถือเป็นปัญหาใหญ่ด้านความเข้าใจในข้อกำหนดทีเดียว เพราะผลลัพธ์ที่ได้คือ การเลือกโซลูชันจากเวนเดอร์ที่มีคำมั่นสัญญาว่าระบบของตนเป็นไปตามข้อกำหนด มาตรฐาน แต่ไม่ได้เข้าใจเรื่องกฎหมายหรือผลกระทบของกฎหมายอย่างจริงจัง ตัวอย่างเช่น แพลตฟอร์มแบบดิสก์สตอเรจนั้น อาจให้ความน่าเชื่อถือสูง สามารถเก็บรักษาข้อมูลได้ยาวนาน แต่ไม่มีความปลอดภัยหรือความสมบูรณ์ของข้อมูล ซึ่งก็ทำให้ระบบสตอเรจของคุณไม่ผ่านข้อกำหนดอยู่ดี ดังนั้นสิ่งสำคัญในการอิมพลีเมนต์จึงไม่ใช่การเลือกโซลูชัน แต่เป็นการกำหนดกระบวนการและแนวทางการบริหารจัดการสตอเรจเสียก่อน

เช่นเดียวกับด้านซอฟต์แวร์ นักวิเคราะห์ให้คำแนะนำไว้ว่าซอฟต์แวร์สตอเรจควรมีเครื่องมือในการค้นหาและ ตรวจดูได้ว่ามีข้อมูลใดบ้างที่จัดเก็บอยู่และจะกำหนดให้จัดเก็บอย่างไร ควรมีเครื่องมือในการเชื่อมโยงข้อมูล เพื่อใช้ในการเคลื่อนย้ายข้อมูล เปลี่ยนแปลงที่จัดเก็บหรืออ้างอิงตำแหน่งที่จัดเก็บให้ถูกต้อง และสุดท้ายควรมีเครื่องมือในการจัดทำรายงาน เพื่อตรวจสอบการเข้าถึงไฟล์ข้อมูลและพฤติกรรมการใช้งานของผู้ใช้ โดยองค์กรต่างๆ อาจเลือกโซลูชันที่มีฟีเจอร์ทั้งหมดหรือเลือกตามงบประมาณ ความต้องการและสภาพแวดล้อมทางธุรกิจของคุณ

การบริหารจัดการสตอเรจให้เป็นไปตามข้อกำหนด
การบริหารจัดการสตอเรจให้เป็นไปตามข้อกำหนดนั้นเปรียบเสมือนการเพิ่มงานให้ กับฝ่ายไอทีโดยแท้ เพราะภาระงานหลักคือ การปกป้องข้อมูล เสริมความปลอดภัยและสร้างความมั่นใจว่าข้อมูลทั้งหมดสามารถกู้คืนกลับมาได้ ทุกขณะเวลา โดยงานทั้งหมดที่กล่าวมาจะต้องไปเพิ่มภาระงานให้กับหน่วยงานอื่นๆ และต้องให้องค์กรยังคงสามารถดำเนินกิจการต่อไปได้ไม่ติดขัด

ดังนั้นภาระงานที่เพิ่มขึ้นมาจึงเป็นการตรวจสอบเฝ้าดู การจัดทำรายงานและการควบคุมนโยบายให้เป็นไปตามที่ผู้ตรวจสอบระบบต้องการ เพื่อให้ผ่านมาตรฐานข้อกำหนดต่างๆ ซึ่งภาระงานที่ว่าอาจทำให้องค์กรของคุณต้องเสียงบประมาณเพิ่มเติมจากเดิม สูงทีเดียว ตัวอย่างเช่น ช่วงที่ SOX บังคับใช้ใหม่ๆ บริษัทยักษ์ใหญ่อย่างจีอี ต้องเสียค่าใช้จ่ายสูงถึง 30 ล้านดอลลาร์เพื่อเปลี่ยนแปลงระบบและบริหารจัดการสตอเรจให้ได้มาตรฐาน SOX อย่างไรก็ดีหากระบบสตอเรจที่เลือกติดตั้งนั้นได้รับการรับรองว่าผ่าน มาตรฐานข้อกำหนดแล้วก็จะมีผลกระทบต่อแรงงานด้านไอทีน้อย คำแนะนำคือ หากเป็นองค์กรขนาดใหญ่ก็ควรแต่งตั้งบุคคลหรือฝ่ายขึ้นมาเพื่อดูแล ปกป้อง แบ็กอัพและกู้คืนข้อมูลไปเลย ส่วนองค์กรขนาดเล็กนั้นค่าใช้จ่ายที่เพิ่มขึ้นจากการจ้างแรงงานไอทีมาช่วย ดูแลเพิ่ม อาจคุ้มค่ากว่าการลงทุนระบบใหญ่ที่รองรับมาตรฐาน

และหากเราบริหารจัดการสตอเรจให้เป็นไปตามข้อกำหนดได้ ย่อมช่วยให้องค์กรมีประสิทธิภาพและทำงานอย่างอัตโนมัติมากขึ้น ฝ่ายไอทีไม่จำเป็นต้องเสียเวลาเสียแรงงานไปกับการค้นหาเทปหรือต้องค้นหา ข้อมูลที่สำคัญอันเป็นความผิดพลาดไม่ได้มาตรฐาน

นอกจากนี้องค์กรทั้งหลายยังสามารถสร้างระบบอัจฉริยะขึ้นจากข้อมูลของพวกเขา ทำให้เกิดความเข้าใจในตัวธุรกิจมากยิ่งขึ้น ไม่ปล่อยให้ข้อมูลถูกจัดเก็บเป็นไฟล์ไปสูญเปล่าหรือเสียไร้ค่าเสียงบประมาณ ในการดูแลรักษาโดยใช่เหตุ เช่น ทำให้องค์กรต่างๆ รู้ว่าข้อมูลใดที่ใช้เป็นประจำและข้อมูลใดที่แทบไม่ได้ถูกแตะต้องเลย ซึ่งหากเป็นเช่นนี้ข้อมูลที่ไม่ได้ถูกใช้งานก็สามารถแบ็กอัพและสำเนาเก็บ ไว้ยังแหล่งสตอเรจที่มีต้นทุนค่าใช้จ่ายในการจัดเก็บที่ถูกกว่าได้ ทำให้สตอเรจแบบหลายระดับความสำคัญและซอฟต์แวร์บริหารจัดการวงจรชีวิตข้อมูล กลายเป็นเทคโนโลยีที่น่าจับตาในเรื่องการสร้างความมีประสิทธิภาพในการใช้ สตอเรจ

เทคโนโลยีสตอเรจสำหรับการทำตามข้อกำหนด
ถึงจุดนี้คุณคงเข้าใจเป็นอย่างดีแล้วว่า มาตรฐานข้อกำหนดต่างๆ นั้นจำเป็นและจะประยุกต์ใช้งานอย่างไร แต่ยังอาจไม่เข้าใจว่าจะมีเทคโนโลยีใดบ้างที่เข้ามาช่วยให้สตอเรจที่มีอยู่ หรือที่จะลงทุนใหม่นั้นรองรับข้อกำหนดทั้งหลาย เพราะบางครั้งข้อกำหนดบางเรื่องอาจมีผลกระทบเพียงแต่ส่วนของแอพพลิเคชันที่ ใช้งาน ไม่เกี่ยวข้องกับสตอเรจก็เป็นได้ โดยหลักๆ แล้วเทคโนโลยีที่คุณควรมีเพื่อเป็นไปตามข้อกำหนดได้แก่ ระบบบริหารจัดการอีเมล์ ระบบบริหารจัดการไฟล์ข้อมูล ซอฟต์แวร์เครื่องมือสำหรับรองรับการตรวจสอบ ส่วนที่เกี่ยวข้องกับสตอเรจนั้นคือเทคโนโลยีต้องรองรับการจัดการกับข้อมูล ที่ไม่เป็นโครงสร้างทั้งหลายด้วยนั้นเอง

แอพพลิเคชันที่ใช้สร้างงานเอกสาร ควรมีเทคโนโลยีฟังก์ชันสำหรับสร้าง แก้ไข ควบคุมเวอร์ชันของเอกสาร ฟังก์ชันการจัดเก็บเอกสารและการบริหารจัดการวงจรชีวิตของเอกสาร ซึ่งส่วนใหญ่เราเรียกว่า Content Management System หรือ CMS นั้นเป็นระบบที่เหมาะสำหรับการบริหารจัดการงานเอกสารทางธุรกิจที่มีโครง สร้างการจัดเก็บและการทำงานที่ชัดเจน ด้วยการควบคุมเอกสารผ่านการจัดลำดับกระบวนการทำงานต่างๆ ขององค์กร แต่ความเป็นจริงแล้วข้อมูลในองค์กรนั้นส่วนใหญ่เป็นข้อมูลที่ไม่มีโครงสร้าง ทำให้เทคโนโลยีอย่าง Content-Addressed Storage หรือ CAS ซึ่งเป็นเครื่องมือในการจัดหมวดหมู่ข้อมูลนั้นสามารถช่วยลดค่าใช้จ่ายการ บริหารจัดการและความเสี่ยงทางธุรกิจเพื่อเป็นไปตามข้อกำหนดได้มากกว่า

โดยเทคโนโลยี CAS นั้นจะช่วยองค์กรในเรื่องการจัดการข้อมูลไม่เป็นโครงสร้างจากการลดจำนวน สำเนาข้อมูล จัดเตรียมแหล่งจัดเก็บข้อมูลให้เป็นระเบียบและข้อมูลไม่ซ้ำซ้อน สามารถกำหนดนโยบายการเก็บรักษาข้อมูลได้ มีเครื่องมือในการค้นหาว่าไฟล์ต่างๆ ที่จัดเก็บนั้นอยู่ที่ใด และเมื่อใดที่ไม่ใช้งานไฟล์เหล่านั้นจะถูกลบหรือโอนย้ายไปยังสตอเรจใด รวมถึงความสามารถในการเข้ารหัสข้อมูลเพื่อความปลอดภัยด้วย และควรมีเทคโนโลยีด้านการจัดหมวดหมู่ข้อมูลไว้ใช้งานด้วย เครื่องมือในการจัดหมวดหมู่แบ่งแยกไฟล์ต่างๆ ออกจากกันให้เป็นระเบียบนั้น ช่วยในเรื่องการตรวจสอบและการปกป้องข้อมูลส่วนบุคคลได้มาก ช่วยลดจำนวนไฟล์ที่ต้องดูแลหรือบริหารจัดการ

นอกจากนี้เทคโนโลยีสตอเรจอื่นๆ อย่าง ซอฟต์แวร์เข้ารหัสเฉพาะ อาจเหมาะสำหรับข้อมูลบางอย่างที่มีความสำคัญหรือไว้ใช้กับสื่อบันทึกข้อมูล ประเภทแฟลซไดร์ฟที่สามารถเคลื่อนย้ายได้ หรือการเข้ารหัสข้อมูลก่อนบันทึกลงเทปแบ็กอัพที่จะนำออกไปจัดเก็บเป็นสำเนา ไว้ต่างสถานที่ตามมาตรฐานความปลอดภัย ซึ่งองค์กรบางแห่งอาจเลือกวิธีการแบ็กอัพแบบดิสก์สู่ดิสก์ โดยเข้ารหัสและส่งข้อมูลผ่านเครือข่ายไปแบ็กอัพยังอีกแห่งหนึ่งก็ได้

ดังนั้นจะเห็นได้ว่าไม่มีเทคโนโลยีใดเทคโนโลยีหนึ่งที่จะตอบโจทย์ข้อกำหนด ได้ทั้งหมด คุณจำเป็นต้องเลือกโซลูชันต่างๆ มาประสานใช้ด้วยกัน โดยดูจากความต้องการด้านข้อกำหนดและความต้องการใช้งานของคุณเป็นหลัก

โดยสรุปการเลือกโซลูชันสตอเรจให้เหมาะกับข้อกำหนด
จากข้อกำหนดมาตรฐานต่างๆ ที่กล่าวมานั้น จะเห็นได้ว่าเกี่ยวข้องกับธุรกิจแทบทุกภาคอุตสาหกรรม เพราะ SOX นั้นเกี่ยวข้องโดยตรงกับฝ่ายบัญชีการเงิน บริษัทมหาชนที่อยู่ในตลาดหลักทรัพย์จึงอาจต้องเน้นการวางระบบให้ผ่านมาตรฐาน SOX มากกว่าบริษัททั่วไป ส่วนองค์กรใดที่เกี่ยวข้องกับงานด้านสาธารณสุข การแพทย์ ก็ควรจำเป็นต้องได้มาตรฐาน HIPAA และสุดท้ายคือ Can Spam นั้นเกี่ยวข้องโดยตรงกับฝ่ายการตลาด ประชาสัมพันธ์ในทุกองค์กร ดังนั้นจะเห็นได้ว่าไม่ว่าคุณจะอยู่ในอุตสาหกรรมใด อย่างน้อยๆ ก็ต้องเกี่ยวข้องกับมาตฐานด้านการจัดเก็บข้อมูล ไม่มาตรฐานใดก็มาตรฐานหนึ่ง

และต่อไปนี้คือไอเดียสรุปที่ฝ่ายไอทีเช่นคุณ จำเป็นต้องใส่ใจก่อนตัดสินใจซื้อระบบสตอเรจใหม่ เพื่อมารองรับมาตรฐานต่างๆ

1. โซลูชันดังกล่าวต้องรองรับการทำงานร่วมกับแอพพลิเคชันต่างๆ ที่คุณมีใช้งานอยู่ในปัจจุบัน และต้องเป็นโซลูชันที่ง่ายต่อการอิมพลีเมนต์
2. โซลูชันการจัดเก็บข้อมูลดังกล่าวไม่ควรมีการจัดเก็บข้อมูลแบบออฟไลน์ซ้ำซ้อน เพราะในบางกรณีสำเนาข้อมูลดังกล่าวอาจต้องถูกตรวจสอบเพื่อการรับรองตาม กฎหมายหรือข้อบังคับ ดังนั้นหากข้อมูลต้นฉบับมีการเปลี่ยนแปลง สำเนาข้อมูลแบบออฟไลน์ดังกล่าวย่อมต้องเปลี่ยนแปลงตามเพื่อความถูกต้อง ดังนั้นหากต้องการเก็บข้อมูลดังกล่าวแบบออฟไลน์ ควรจัดเก็บต้นฉบับเพียงอย่างเดียว หรือเก็บหลายสำเนาได้หากมั่นใจว่าข้อมูลต้นฉบับดังกล่าวไม่มีการเปลี่ยน แปลงอีกแน่นอน
3. โซลูชันดังกล่าวต้องรองรับการเชื่อมโยงข้อมูลเข้ากับสื่อบันทึกข้อมูลแบบ อื่นๆ ได้ยามเมื่อต้องการ เพราะคุณก็คงเห็นเหมือนในอดีตที่ผ่านมา อีกแค่ไม่เกิน 3 ปีข้างหน้า สตอเรจจะมีความจุสูงขึ้นเรื่อยๆ และราคาต่อเมกะไบต์ก็ย่อมถูกลงตามเช่นกัน หรือในกรณีที่ต้องบริหารจัดการต้นทุนการจัดเก็บข้อมูล การเก็บข้อมูลระยะยาวในรูปแบบเทปแบ็กอัพย่อมถูกกว่าการใช้ดิสก์สตอเรจ ดังนั้นโซลูชันที่ว่าต้องรองรับการถ่ายโอนข้อมูลไปมาระหว่างสื่อบันทึก ข้อมูลอื่นๆ ได้
4. ที่สำคัญลำดับสุดท้ายคือ โซลูชันที่คุณเลือกต้องรองรับข้อกำหนดมาตรฐานที่คุณต้องการ และเวนเดอร์ผู้ผลิตหรือพัฒนาควรมีความน่าเชื่อถือ และคุณมั่นใจได้ว่าเวนเดอร์รายดังกล่าวจะยังคงดำเนินธุรกิจต่อเนื่องไปนาน กว่า 6 ปี (ตามข้อกฎหมายที่กำหนดให้เก็บข้อมูลไว้ไม่ต่ำกว่า 5 ปีนั้นเอง)