{แนะนำ} กินเจอย่างไรไม่ให้อ้วน

ช่วงเทศกาลถือศีลกินเจมาถึงอีกแล้ว

ปีนึงมีหนเดียว มีทั้งคนถือศีลกินเจ(ขอร่วมอนุโมทนาจ้ะ ^/\^) กับคนกินเจตามความสะดวก

ยิ่งถ้าคนที่ระบบย่อยเนื้อสัตว์ไม่ค่อยดี หรือคนที่ต้องการลดความอ้วน

ช่วง 9-10 วันนี้อาจจะเป็นโอกาสดีที่เราจะได้ดีท็อกซ์ภายในร่างกายของเราเอง ^^

บางคนเคยบอกว่าช่วงกินเจ น้ำหนักขึ้นกว่าไม่กินเจ

จึงได้อยากเขียนเกี่ยวกับกินเจไม่ให้อ้วน

ลองสังเกตุตัวเองว่าช่วงที่เรากินเจ เป็นแบบนี้ไหม??

1.นึกไม่ออกก็กินแต่ผัดหมี่เหลือง

2.แต่ละมื้อไม่ค่อยจะมีผัก หรือผักน้อย

3.ถึงไม่ได้กินเนื้อสัตว์แท้ ขอกินเนื้อสัตว์เจก็ยังดี

4.หิวบ่อย กินบ่อย ไม่ก็กินเยอะๆเผื่อหิวบ่อย

ถ้ามีครบ 4 ข้อ รับประกันได้เลยว่าน้ำหนักขึ้น ชัวร์!!

เพราะในกระเพาะเราจะมีแต่แป้งหลากหลายรูปแบบ แป้งที่ไม่สามารถย่อยสลายและดูดซึมไปตามร่างกายได้ จะกลายเป็นไขมัน ^^"

จะกินเจทั้งทีต้องกินให้ดี ;D

- กินผักให้เยอะ สาระพัดแป้งให้น้อยเท่าที่จะน้อยได้ เช่น ผัดผัก ผัดเส้นหมี่ขาวผักกะเฉด ต้มจับฉ่าย กานาฉ่าย 

- ก่อน/หลังกินมื้อหนัก ดื่มนมถั่วเหลืองสักกล่อง หรือน้ำเต้าหู้สักถ้วย

- ถ้ารู้สึกหิวบ่อย ให้กินผลไม้ หรือของว่างที่ทำำจากถั่วเหลือง

- อดใจไม่กินเนื้อสัตว์เจ ไว้รอกินของแท้ดีกว่า

สำหรับคนที่ต้องใช้แรงมากๆในการทำกิจกรรม เช่น นักกีฬา 

ควรจะบริโภคเนื้อสัตว์แท้ๆดีกว่า เพราะร่างกายต้องการโปรตีนให้กับกล้ามเนื้อ

ช่วงที่โปรตีนไม่เพียงพอกับความต้องการ ร่างกายจะดึงโปรตีนจากกล้ามเนื้อมาใช้

ทำให้รู้สึกล้าและหมดแรงเร็วกว่าปกติ

ขอให้ทุกคนได้บุญจากการกินเจโดยทั่วหน้ากันค่ะ ^/\^

ป.ล.เขียนจากประสบการณ์ ไม่ได้อ้างอิงวิชาการอะไรมากมาย เป็นการแชร์ประสบการณ์ร่วมกันค่ะ :)

----------------------------------------------------------------------------------

{review} น้ำชาเขียวน้องใหม่ "มิเรอิ"

อยากจะเรียกว่า"สปอย"มากกว่า"รีวิว"อีก แต่ใช้"รีวิว"แหละดีแล้ว :P

น้ำชาเขียวน้องใหม่ยี่ห้อนี้"มิราอิ" เป็น 1 ใน product ของซันโทรี่
(บริษัทเดียวกับที่ผลิตเครื่องดื่มดาการะ)
[ขอสปอยชื่อนิดนึงนะ เข้าใจว่าตั้งใจจะตั้งชื่อตามภาษาญี่ปุ่น แต่จะเขียนแบบไหนกันแน่
ที่ฉลากตัวหนังสือภาษาญี่ปุ่น อ่านว่า มิ-รา-อิ (แปลว่า อนาคต) 
แต่ดันใส่ภาษาไทย มิ-เร-อิ ที่เขียนญี่ปุ่นแบบนี้ みれい ]  -__-

ที่เห็นในโฆษณามี 3 รส แต่เห็น 7-11 วางขายแค่ 2 มีรสน้ำผึ้งผสมมะนาว กับกลิ่นซากุระ
ที่ทำให้อยากลองยี่ห้อใหม่นี้ เพราะลดราคาจริงๆนะ(เหลือ 16 บาท)
ตอนเห็นแค่ในโฆษณาก็เฉยๆงั้นๆ ไม่ได้ทำให้รู้สึกอยากซื้อเท่าไหร่
เอาล่ะ! จะรีวิว"กลิ่นซากุระ"ล่ะกัน เพราะเป็นรสชาติที่มีความแตกต่างจากน้ำชาเขียวยี่ห้ออื่นๆ

ดูฉลากก็ให้ความรู้สึกสดชื่นดี เน้นโทนสีเขียวแล้วก็สีประจำรสชาติ (ชมพู)
คนที่ชอบน้ำหวานๆอาจจะชอบรสนี้ เพราะหวาน 2 ชั้น
ยังไงน่ะเหรอ... ก็ชั้นแรกมีความหวานจากฟรุกโตสไซรัป แล้วหวานชั้นที่ 2 ก็น้ำตาล
โดยรวมก็น้อยกว่ารสน้ำผึ้งผสมมะนาว

คนเป็นเบาหวานหรือคนกลัวอ้วนควรเลี่ยงๆไว้ดีกว่า  
แต่ถ้าคนที่รู้สึกอ่อนเพลียก็กระดกแบบเย็นๆไปเลย ชื่นใจดี :D

แต่สงสัยอยู่ว่า"กลิ่นซากุระ"มันจะมาจากไหนหนอ??
ดูส่วนประกอบแค่นี้ มันก็เหมือนมีแต่น้ำชาเขียวและความหวาน....

{องค์ความรู้} Chapter 15 Impact of IT on Enterprises, Users and the Environment

อ้างอิงจากหนังสือ 7th Information Technology for Management : Transforming Organizations in the Digital Economy


Chapter 15   Impact of IT on Enterprises, Users and the Environment
ผลกระทบของเทคโนโลยีสารสนเทศ (IT) ต่อองค์กร, ผู้ใช้ และสภาพแวดล้อม


แนวโน้มของเทคโนโลยีสารสนเทศ
Ray Kurzweil ได้แผยแพร่ "Law of Accelerating Return" สรุปได้ว่า
(1) ผลของการเปลี่ยนแปลงเทคโนโลยีในเชิง exponential ประสบการณ์ในการเรียนรู้ในระยะเวลา 100 ปี ในศตวรรษที่ 21 จะเทียบเท่าอัตราการเรียนรู้ที่ต้องใช้เวลาถึง 20,000 ปี
(2) ความก้าวหน้าทางเทคโนโลยี 4,000 ปี จะเทียบเท่ากับสิ่งที่เกิดขึ้น 2 ทศวรรษแรกเท่านั้น (2000-2020)
(3) จะสามารถสร้าง AI brain (สมองเทียม) ที่สามารถจดจำรูปแบบต่างๆได้ทัดเทียมกับสมองมนุษย์ภายในปี 2020


การขับเคลื่อนความก้าวหน้าด้วยเทคโนโลยีสารสนเทศ (Quantum Leaps Driven by IT)
กลางยุค 1990 เกิดการเปลี่ยนแปลงเทคโนโลยีสารสนเทศ คือ
- Web ก่อให้เกิดธุรกิจอินเตอร์เน็ตและ e-commerce
- ระบบสารสนเทศองค์กร (Enterprise Information System) เช่น CRM, SCM และ ERP เป็นการใช้พลังของเครือข่ายข้อมูลและข้อมูลไปใช้ปรับปรุงประสิทธิภาพ


วิวัฒนาการเทคโนโลยีการรักษาเคลื่อนที่ (Mobile Technology Revolutionizing Medicine)
ประสิทธิภาพของเทคโนโลยี telemedicine และ telehealth ช่วยให้แพทย์รักษาผู้ป่วยได้เพิ่มมากขึ้นผ่านการควบคุมระยะไกล และยังช่วยให้ค่ารักษาพยาบาลถูกลงและประหยัดเวลาในการเดินทาง ซึ่ง telemedicine คือการใช้โครงข่ายการสื่อสารเพื่อให้สารสนเทศและการให้บริการทางการแพทย์ และ telehealth คือ การใช้สารสนเทศทางอิเล็กทรอนิกส์และเทคโนโลยีการสื่อสาร เช่น ประชุมผ่านวีดีโอ เพื่อสนับสนุน การป้องกันหรือการดูแลรักษาสุขภาพในสถานพยาบาลที่อยู่ห่างออกไปจากการตรวจรักษาคนไข้และแพทย์ผู้ชำนาญ


Urban Planning with wireless sensor networks
ปัญหาการจราจรและที่จอดรถที่ประชากรอาศัยอยู่หนาแน่น ก่อให้เกิดปัญหาด้านมลพิษทางเสียงและอากาศ สิ้นเปลืองน้ำมัน ฯลฯ ต่อมาได้นำเซ็นเซอร์ และเครือข่ายไร้สาย (sensors and wireless network) มาช่วยแจ้งให้ผู้ขับขี่ทราบที่จอดรถที่ยังว่าง โดยส่งไปยังแผงแสดงผลที่ติดไว้ริมถนน หรือ แผนที่อิเล็คทรอนิกส์ ต่อมาพัฒนาให้จ่ายค่าจอดรถผ่านโทรศัพท์มือถือ ซึ่งกลายมาเป็น smart parking system

Offshore Outsourcing

การ outsource งานที่ต้องใช้พนักงานที่มีความรู้เป็นพิเศษ เช่น การพัฒนาซอฟต์แวร์, call center เกิดขึ้นอย่างต่อเนื่อง และขยายตัวไปงานด้านอื่นๆ เช่น การวิเคราะห์ทางการเงิน การวิจัยตลาด เป็นต้น

การประมวลข้อมูลลับ (confidential data) เกี่ยวข้องกับเรื่อง การขโมยข้อมูลส่วนตัว (identify theft and policy) แต่ละประเทศมีกฎหมายและการป้องกันแตกต่างกัน การสื่อสารด้วยเทคโนโลยีสารสนเทศไม่จำกัดแค่งาน outsourse ที่ใช้เทคโนโลยีีขั้นสูง แต่ยังกระจายสู่หน้าที่หลักขององค์กรทั่วโลก เช่น แผนกบัญชี แผนกการตลาด

Business Process Outsourcing (BPO)

กระบวนการว่าจ้างบริษัทอื่นให้ดำเนินการกิจกรรมที่เกี่ยวข้องกับธุรกิจให้ ซึ่งแตกต่างจาก IT outsourcing ที่มุ่งเน้นที่การว่าจ้างบริษัทอื่น หรือผู้ให้บริการทำกิจกรรมเกี่ยวกับเทคโนโลยีสารสนเทศให้ เช่น การพัฒนา application, การดำเนินการ data center 

IT Delivery Models

แนวโน้มที่ให้มีการบริการต่างๆทางด้านเทคโนโลยีสารสนเทศ ซึ่งมีข้อจำกัดในการตอบสนองและความเสี่ยง บริษัทต้องแบกรับเรื่องการจัดหาและการดูแลรักษาเทคโนโลยีที่ส่งเสริมการทำงานหลักในธุรกิจ เช่น ความสามารถด้านการจัดเก็บ, บริการการสื่อสาร, อุปกรณ์ที่พนักงานเป็นเจ้าของ เพื่อให้งานสำเร็จ, Business Process utilities

Current Perspectives on the Enterprise Web 2.0

Enterprise Web 2.0 คือ การประยุกต์ใช้เทคโนโลยี Web 2.0 ในองค์กร หรือเรียกว่า Enterprise 2.0 เป็นการนำ blog, wiki, RLoopt:SS และ social network มาใช้ในองค์กร

iPhone3G and E 2.0

Apple, Inc. ได้วางตลาด iPhone3G ซึ่งเป็นโทรศัพท์ที่ดีที่สุดสำหรับธุรกิจเพราะคุณสมบัติที่ผู้ใช้ต้องการ คือ

- สามารถเข้าถึงเครือข่ายข้อมูลความเร็วสูงผ่านทางคลื่นวิทยุ

- สนับสนุน Microsoft Exchange ActiveSync ทำให้เกิดการดึงข้อมูลอีเมล, ปฏิทิน และรายชื่อติดต่อ

- มีเครือข่ายส่วนตัวเสมือนจริง (Virtual private network ;VPN) ซึ่งมีการตรวจสอบตัวตน จึงช่วยให้เกิดการปรับปรุงระดับความปลอดภัยให้กับธุรกิจ

Enterprise 2.0 สนับสนุนโปรแกรมประยุกต์ เช่น

• Enterprise Application 
• Saleforce Mobile จัดหาผู้ใช้สารสนเทศได้ทันทีผ่านหน้าจอสัมผัส
• Oracle Business Indicators โปรแกรมประยุกต์เกี่ยวกับธุรกิจอัจฉริยะ (business intelligence ;BI) ที่ใช้สารสนเทศเกี่ยวกับประสิทธิภาพการดำเนินธุรกิจแบบ real time, เข้าถึงความปลอดภัยข้อมูลทางธุรกิจผ่านอุปกรณ์พกพา 
• Social Networking เพิ่มความสามารถในการเชื่อมโยงกับผู้อื่นและแบ่งปันความรู้ ซึ่งใน iTunes App มี application เกี่ยวกับเครือข่ายทางสังคม เช่น
• AIM: Instant Messaging
• Whrrl แผนที่แสดงสถานที่ๆเพื่อนหรือผู้ร่วมงานอยู่
• Loopt ใช้เทคโนโลยีระบุตำแหน่งเพื่อเชื่อมต่อกับผู้ใช้ทั่วโลก
• Search
•  Google Mobile App: ความสามารถในการค้นหาที่เร็วและง่าย
• RSS
• NetNwesWire: เป็น RSS Reader สำหรับ iPhone 
• iRSS: เป็น RSS reader ข่าวทั่วๆไป
• Blogging and Publishing:
•  TypePad: เพื่ออัพเดต blog
•  Mobile Flickr: ใช้เรียกดูและอัพโหลดขึ้น Flickr
•  Twitterrific: เพื่อ read และส่งข้อความขึ้น Twitter
•  LifeCast: บันทึกชีวิตประจำวันและรูป

การดำเนินธุรกิจสีเขียวและศูนย์ข้อมูลที่เป็นมิตร (Operating Greener Business and Eco-Friendly Data Centers)

ศูนย์รวมข้อมูลมีข้อจำกัดด้านความร้อน ขนาดพื้นที่ และความต้องการพลังงาน ซึ่งองค์กรสามารถลดต้นทุนทางพลังงานลงได้ครึ่งหนึ่ง เพิ่มพื้นที่ได้เป็น 2 เท่าอย่างมีประสิทธิภาพ เพิ่มการใช้งาน server ได้สูง 4ส่วนที่ต้องจับตามอง คือ desktop, พลังงานคอมพิวเตอร์ของศูนย์รวมข้อมูล (data center computing power), ส่วนระบายความร้อน (data center power/cooling), ส่วนจัดเก็บศูนย์รวมข้อมูล (data center storage) ดังนั้น สิ่งที่องค์กรต้องการ

- เครื่องคอมพิวเตอร์เสมือน คือข้อมูลขององค์กรถูกเก็บไว้ใน server ทำให้ประหยัดพลังงานพื้นที่จัดเก็บ และการหมุนเวียน

- ปิดคอมพิวเตอร์ที่ำไม่ใช้

- ให้มีการบริหารจัดการพลังงาน

- เปลี่ยน server ใหม่ที่ใช้งานอย่างมีประสิทธิภาพ ทดแทนของเก่า

- เปลี่ยนเทคโนโลยีพื้นที่จัดเก็บข้อมูล (disk) เช่น ทดแทน disk ความจุน้อยกว่า 70 GB เป็นที่สามารถมีพื้นที่จัดเก็บมากกว่า 500 GB

- เคลื่อนย้ายข้อมูลเก่าเป็นเทป เพราะเทปบันทึกได้ 20-200 เท่า

Global Green Regurations

แนวทางของธุรกิจสีเขียว เช่น ข้อบังคับ RoHS (Restriction of Hazardous Substances) ของสหภาพยุโรป เพื่อห้ามใช้สารอันตรายในอุปกรณ์ไฟฟ้าและอิเล็คทรอนิกส์ ซึ่งสารทั้ง 6 คือ lead, mercury, cadmium, hexavalent chromium, polybrominated biphenyls (PBB), and polybrominated diphenyl ethers (PBDE) โดยจะต้องมีปริมาณไม่เกินที่กำหนดไว้

Electronic Product Environmental Assessment Tool

ดูแลโดย Green Electronics Council (GEC) ซึ่ง Electronic Product Environmental Assessment Tool (EPEAT) เป็นเครื่องมือการประเมินสมรรถนะทางสิ่งแวดล้อมของสินค้า เพื่อช่วยให้ผู้ซื้อสามารถประเมินและเปรียบเทียบคุณลักษณะทางสิ่งแวดล้อมของอุปกรณ์ IT ตามหลักเกณฑ์

(1) การลด/เลิกใช้วัสดุที่ส่งผลกระทบต่อสิ่งแวดล้อม

(2) การเลือกใช้วัสดุที่เป็นมิตรต่อสิ่งแวดล้อม

(3) ออกแบเพื่อให้ง่ายต่อการจัดการซากที่หมดอายุ

(4) ยืดอายุการใช้งาน

(5) อนุรักษ์พลังงาน

(6) บริหารจัดการซาก
(7) สิ่งแวดล้อมขององค์กร
(8) บรรจุภัณฑ์


The Field of Green Technology and Telecommuting
เทคโนโลยีสีเขียว เน้นการลดผลกระทบจากเทคโนโลยีนวัตกรรมอุตสาหกรรมการผลิตและคอมพิวเตอร์ที่เป็นอันตรายต่อสภาพแวดล้อม เพื่อลดการทำลายสิ่งแวดล้อมและทรัพยากรธรรมชาติโดยการสร้างสินค้าที่สามารถหมุนเวียนได้, การลดมลภาวะ, และการออกแบบเทคโนโลยีที่ใช้พลังงานอย่างมีประสิทธิภาพ หรือเทคโนโลยีทางเลือก
การสื่อสารโทรคมนาคม (telecommuting) หรือการทำงานเสมือนจริง ให้ประโยชน์มากมาย รวมถึงการลดจราจรในชั่วโมงเร่งด่วน, ปรับปรุงคุณภาพอากาศ, ปรับปรุงความปลอดภัยบนท้องถนน


ผลกระทบของข้อมูลและการเชื่อมต่อที่มากเกินไป 
(Impacts of Too Much Information and Connectivity)

Information Overload
รูปแบบที่แตกต่างของเทคโนโลยีที่มีความสามารถในการสร้างข้่อมูล และข้อมูลเหล่านี้มัีกเกินขีดความสามารถที่จะจัดการ
Information Quality
คุณภาพของสารสนเทศ คือการวัดที่เกี่ยวกับการใช้ประโยชน์, วัตถุประสงค์ และความสมบูรณ์ของสารสนเทศที่ใช้ร่วมกัน
Spam
การส่งข้อความถึงผู้ที่ไม่ต้องการรับ ก่อให้เกิดความรำคาญ ละเมิดสิทธิความเป็นส่วนตัว สร้างความเสียหายให้ธุรกิจ จากการลดกำลังการผลิตของพนักงาน อาจจะทำให้คอมพิวเตอร์สูญเสียพลังงาน
Impacts on Individual

• ผลกระทบทางจิตวิทยา หลายๆคนรู้สึกว่าสูญเสียความเป็นตัวเอง สาเหตุจากคอมพิวเตอร์ อีกด้านหนึ่งวัตถุประสงค์ของเทคโนโลยีเพื่อเพิ่มกำลังการผลิต สร้างเอกลักษณ์ ระบบที่ยืดหยุ่น 
• ผลกระทบต่อสุขภาพและความปลอดภัย จากความเครียดเรื่องงานและใช้คีย์บอร์ดเป็นเวลานาน

-------------------------------------------------------------------------------------------------

{องค์ความรู้} Chapter 10 ระบบองค์กร : Supply Chains,ERP,CRM,and KM

อ้างอิงจากหนังสือ 7th Information Technology for Management : Transforming Organizations in the Digital Economy

Chapter 10 Enterprise Systems: Supply Chains, ERP, CRM, and KM

Enterprise systems (หรือ Enterprisewide system) คือ ระบบหรือกระบวนการต่างๆที่ทั้งองค์กรหรือใช้เฉพาะส่วนหลักๆ จะเห็นว่าต่างจาก functional system ซึ่งใช้ในแต่ละแผนก ที่พบเห็นทั่วๆไปของ Enterprise system
- Enterprise resource planning (ERP): สนับสนุน Supply Chain ภายใน

- Extended EPR: ERP ที่สนับสนุนพันธมิตร

- Customer relationship management (CRM): ดูแลลูกค้า

- Knowledge management (KM) systems: สนับสนุนการสร้างองค์ความรู้ การจัดเก็บและการกระจายความรู้

- Partner relationship management (PRM):  ดูแลพันธมิตร

- Business process management (BPM): ทำความเข้าใจและปรับเปลี่ยนกระบวนการต่างๆในองค์กร รวมถึงการทำ Reengineering และการบริหารกิจกรรมและงานต่างๆ
- Product life cycle management (PLM): ลดต้นทุนและระยะการออกแบบผลิตภัณฑ์หรือสร้างบริการใหม่ๆ เริ่มตั้งแต่แนวคิด การออกแบบ การสร้าง และการสนับสนุน

- Decision support systems (DSSs):  ระบบสนับสนุนการตัดสินใจ มักใช้ร่วมกับคลังข้อมูล (Data warehouse) โดยจะรวม Executive information system (EIS) เอาไว้ด้วย
-
Intelligent Systems : ระบบอัจฉริยะ ประกอบด้วยองค์ความรู้ (knowledge component เช่น Expert system หรือ  Neural network)
-
Business intelligence (BI) : วิเคราะห์ด้านการตัดสินใจ

Overview of Enterprise System

ห่วงโซ่อุปทาน (Supply chain) คืออะไร?
Supply chain หมายถึง การไหล (flow) ของวัตถุดิบ สารสนเทศ เงิน และการบริการต่างๆ จาก supplier ซึ่งเป็นผู้ป้อนวัตถุดิบผ่านโรงงาน ไปถึงคลังสินค้าของลูกค้า รวมถึงแผนกต่างๆและกระบวนการที่เกี่ยวข้อง

Structure of a typical Supply chain

แนวคิดการจัดการห่วงโซ่อุปทาน (Supply chain management concept)
Supply chain management (SCM) คือ การจัดการห่วงโซ่อุปทาน (supply chain) ที่มีประสิทธิภาพตลอดกระบวนการ เริ่มตั้งแต่การออกแบบผลิตภัณฑ์หรือบริการ ขาย และสิ้นสุดที่ผู้บริโภค
บางครั้งรวมถึงการจัดการสินค้าคงคลัง (inventory management) การจัดซื้อวัตถุดิบ และแปรรูปวัตถุดิบเป็นสินค้าสำเร็จรูปและขนส่ง

เป้าหมายของ Supply Chain Management (SCM) สมัยใหม่ คือ ทำการลดความไม่แน่นอน (Uncertainty) ความผันแปร (variability) และความเสี่ยง (Risk) และเพิ่มการควบคุม Supply Chain นั่นคือ เพิ่มประสิทธิภาพระดับสินค้าคงคลัง (inventory level), รอบเวลา (cycle time) และปรับปรุงกระบวนการทางธุรกิจกับการให้บริการกับลูกค้า เพื่อเพิ่มความสามารถในการทำกำไรและการแข่งขัน
การจัดการ supply chain ให้มีประสิทธิภาพ เป็นโอกาสที่องค์กรจะลดต้นทุน และเพิ่มประสิทธิภาพการดำเนินงาน ข้อมูลสารสนเทศต้องสนับสนุน supply chain ให้เป็นไปตามการดำเนินงาน ได้แก่
- การตัดสินใจเกี่ยวกับการจัดซื้อและ supplier
- การตัดสินใจเกี่ยวกับการผลิต
- การตัดสินใจเกี่ยวกับการกระจายสินค้า
- การตัดสินใจด้านการให้การสนับสนุนสารสนเทศ
- การตัดสินใจเกี่ยวกับการไหลของวัตถุดิบ
- การตัดสินใจเกี่ยวกับกระแสเงินสด
Supply Chain Management Software (SCM Software) เป็นซอฟต์แวร์ที่ออกแบบให้สนับสนุนส่วนต่างๆของ supply chain เช่น การผลิต การควบคุมสินค้าคงคลัง การจัดเวลาและการขนส่ง โดยจะเน้นการปรับปรุงการตัดสินใจ, ความเหมาะสมที่สุด และการวิเคราะห์
E-supply chain คือ การจััดการ Supply chain ผ่านทางอิเล็คทรอนิกส์ โดยใช้ Web-based software อาจเรียกว่าเป็น Digital supply chain

ส่วนประกอบของ supply chain
- ต้นทาง (Upstream) เกิดจาก external suppliers

- ภายใน (Internal) เกิดการ packaging, assembly, หรือ manufacturing

- ปลายทาง (Downstream) เกิดจาก distribution หรือ dispersal มักเกิดจาก external distributors

การจัดการห่วงโซ่อุปทานและคุณค่าทางธุรกิจ
(Supply Chain Management and Its Business Value)
Managing Collaboration

แนวทางทั่วๆไปในการแก้ไขปัญหา supply chain โดยเฉพาะอย่างยิ่งการปรับปรุงเรื่องการพยากรณ์ความต้องการ (demand forecast) คือ การใช้สารสนเทศร่วมกัน (sharing information) ซึ่งจะหมายถึง collaborative supply chain

• Collaborative Planning, CPFR and Collaborative Design ในด้าน Collaborative Planning พันธมิตรทางธุรกิจ ได้แก่ ผู้ผลิต suppliers พันธมิตรช่องทางการจัดจำหน่าย และพันธมิตรด้านอื่นๆช่วยกันรวบรวมและสร้างพยากรณ์ความต้องการเริ่มต้น (ยอดขาย) ทำการเปลี่ยนแปลงตามที่จำเป็นและแบ่งปันข้อมูลกัน เช่น ยอดขายจริง และพยากรณ์ของตัวเอง เป็นต้น

• Collaborative planning, forecasting and replenishment (CPFR) คือแนวทางการปฏิบัติทางธุรกิจซึ่ง suppliers และผู้ค้าปลีกร่วมมือกันวางแผนและพยากรณ์ความต้องการ (demand forecasting) เพื่อให้มั่นใจว่าสมาชิกของ supply chain ทั้งหมดจะมีวัตถุดิบและสินค้าสำเ็ร็จรูปในปริมาณที่เหมาะสมเมื่อต้องการ เป้าหมายเพื่อการปรับปรุงประสิทธิภาพการไหลของสินค้าจากโรงงานผู้ผลิตไปสู่ลูกค้้า

CPFR Model

(1) กลยุทธ์และการวางแผน (Strategy & Planning) เพื่่อการร่วมมือกันในเรื่องระดับอุปทานและสินค้าคงคลัง

(2) การจัดการด้านอุปสงค์และอุปทาน (Demand & Supply Management) เป็นการเชื่อมการพยากรณ์ความต้องการและการจัดการกับอุปทานและสินค้าคงคลัง

(3) การปฏิบัติการ (Execution) แผนจะถูกนำมาดำเนินการและผลที่ได้จะถูกนำมาวิเคราะห์

(4)  การวิเคราะห์ (Analysis) ปรับกลยุทธ์ตามความจำเป็น

• Vendor-Managed Inventory การใช้สารสนเทศร่วมกัน เป็นส่วนหนึ่งของกลยุทธ์ VMI ทำให้ supplier หรือคู่ค้า,ผู้ส่ง สามารถบริหารสินค้าคงคลังของผู้ซื้อหรือผู้ผลิตได้เอง ช่วยลดต้นทุนการจัดเก็บของ supplier

E-Business Systems and the Supply Chain
การเพิ่มขึ้นของ E-Commerce ทำให้เกิดการปรับปรุงประสิทธิภาพของ supply chain ซึ่งการนำอินเตอร์เน็ตเข้ามาใช้งานมีข้อได้เปรียบ
- ประสิทธิภาพต้นทุนดีขึ้น มาจากผลผลิตได้รับการปรับปรุงและต้นทุนต่ำลง
- การให้บริการลูกค้าได้รับการปรับปรุงคุณภาพให้ดีขึ้น
- ความสามารถของกระบวนการถูกปรับปรุงจากคุณภาพด้านธุรกิจ
- ผลผลิตสูงขึ้นและเชื่อถือได้ เป็นผลจากการควบคุมการไหลของวัตถุดิบตลอด supply chain
- ระยะเวลาของวงจรสั้นลงเนื่องจากลดความล่าช้าและเพิ่มความเร็ว
- มีความคล่องตัวในเรื่องการวางแผนและปรับเปลี่ยนแผน
- ห่วงโซ่อุปทาน (supply chain) สั้นลง
- กระบวนการผลิตดีขึ้น
ตัวอย่าง E-business ที่ปรับปรุง Supply Chain Management เช่น Collaborative fulfillment networks (CFN), Electronic marketplaces, Electronic Data Interchange (EDI) ใช้กับการทำธุรกรรมระหว่างองค์กร, Advanced Shipping Notice (ASN) ทำให้คู่ค้าส่งใบส่งสินค้าให้ผู้ซื้อได้โดยตรง, Electronic ordering and funds transfer (EOFT)

การจัดการสินค้าคงคลัง (Managing Inventory)
ปัญหาจากสินค้าคงคลังที่เพิ่มมากขึ้น (building inventories) ยากที่จะกำหนดระดับแต่ละสินค้าคงคลัง ถ้าสูงเกินไป จะทำให้ต้นทุนในการจัดเก็บสูงตาม อาจทำให้เกิด bullwhip effect ได้ (bullwhip effect หมายถึง การเปลี่ยนแปลง (Erratic shifts) ในเชิงเพิ่มขึ้นหรือลดลงของ supply chain จะสัมพันธ์กับความถูกต้องในการกำหนดระดับสินค้าคงคลังในหลายๆ ส่วนที่เกี่ยวข้องกับ supply chain)

การจัดการจัดซื้ออิเล็กทรอนิกส์ (Managing E-Procurement)
E-Procurement เป็นการใช้เทคโนโลยีของอินเตอร์เน็ตช่วยในเรื่องการจัดซื้อ หรือจัดหาสินค้าและบริการต่างๆ ช่วยลดต้นทุนการจัดซื้อถูกกว่าราคาตลาด

Managing Other IT-Assisted Solution

• Supply Chain team คือกลุ่มธุรกิจที่ผสมผสาน ซึ่งทำงานร่วมกันเพื่อให้บริการกับลูกค้า งานแต่ละงานกระทำโดยสมาชิกในกลุ่ม แต่ละงานทำโดยผู้ที่มีความสามารถ
• Virtual factory คือ โรงงานเสมือน โปรแกรมประยุกต์ที่ใช้ร่วมกันทั้งองค์กร

ห่วงโซ่อุปทานและการรวมข้อมูล (Supply Chain and Information Integration)

• การรวมภายใน (Internal integration) หมายถึง การรวมกันของแผนกหรือฝ่ายภายในบริษัท ระหว่างการประยุกต์ใช้และ/หรือระหว่างการประยุกต์ใช้กับฐานข้อมูลต่างๆ รวมการควบคุมสินค้าคงคลังเข้ากับระบบการสั่งซื้อ
• การรวมภายนอก (External integration) หมายถึง การรวมกันของการประยุกต์ใช้ต่างๆและฐานข้อมูลต่างๆท่ามกลางพันธมิตรทางธุรกิจ เช่น รวมแค็ตตาล็อกของ supplier เข้ากับระบบจัดซื้ออิเล็กทรอนิกส์ของผู้ซื้อ

ประเด็นจริยธรรมสัมพันธ์กับทางออกห่วงโซ่อุปทาน (Ethical issues related to supply chain solutions)

การทำโครงการจัดการห่วงโซ่อุปทาน (Supply Chain Management) อาจให้เกิดการปลดคนงาน อบรมคนงานใหม่ หรือการย้ายพนักงานไปทำงานอื่น ปัญหาเรื่องพนักงานสูงอายุ ซึ่งผู้บริหารควรแจ้งให้ทราบล่วงหน้า การแบ่งปันข้อมูลส่วนบุคคลในการทำงานร่วมกันอาจทำให้เกิดแรงต่อต้าน

ระบบการวางแผนทรัพยากร (Enterprise Resource Planning (ERP) Systems)

ERP คืออะไร?
ข้อได้เปรียบของ enterprisewide client/server computing คือการควบคุมกระบวนการหลักๆ ทั้งหมดของธุรกิจตามเวลาจริงด้วยซอฟท์แวร์ตัวเดียว ซอฟท์แวร์ตัวนี้รู้จักกันทั่วไปว่า Enterprise resource planning (ERP)
จุดประสงค์และข้อได้เปรียบของ ERP
วัตถุประสงค์หลัก คือ รวบรวมข้อมูลตามหน้าที่ทั้งหมดของทุกแผนกภายในบริษัทไว้ที่ระบบคอมพิวเตอร์เครื่องเดียว ซึ่งสามารถให้ข้อมูลทั้งหมดได้ตามที่องค์กรต้องการ
ข้อได้เปรียบจากความสามารถของ ERP

-  ผสมผสานการส่งสินค้า เพื่อลดเวลาการรับ/ส่ง และกำจัดพื้นที่จัดเก็บที่ไม่ต้องการ

-  แหล่งที่มาผลผลิตมีการหมุนเวียน จากการผลิตและการขนส่งที่แตกต่าง

-  การเผชิญหน้ากับลูกค้าทั่วโลก

-  รวบรวมยอดขาย, การตลาด และการกระจายสินค้าแต่ละประเทศ

-  จัดซื้อ/จัดหาร่วมกัน และขนส่งสินค้าข้ามหน่วยธุรกิจและประเทศ

-  สร้างช่องทางให้ Supplier รวบรวมความต้องการของแต่ละหน่วยธุรกิจ และหาพันธมิตร

ความสำเร็จของ ERP ขึ้นอยู่กับความสำเร็จของการปฏิบัติงานและความสามารถที่จะเอาชนะข้อจำกัด

การนำ ERP มาใช้งาน

การปฎิบัติตามแผน ERP ประกอบด้วยหลายกิจกรรม ขึ้นกับว่าที่ไหน เมื่อไหร่ ใคร และเกี่ยวข้องกับอะไร

ERP Application Modules

การจัดการลูกค้าสัมพันธ์ (Customer Relationship Management ;CRM)
Customer relationship management (CRM) คือ ความพยายามขององค์กรเพื่อให้ได้มาและรักษาลูกค้าที่ยังทำกำไรได้ โดยเน้นการสร้างความสัมพันธ์กับลูกค้าอย่างยาวนานและยั่งยืน

CRM Applications

ประเภทโปรแกรมประยุกต์ที่ใ้ช้กับ CRM 
เน้นไปที่เครื่องมือใช้งานด้วย CRM
1) Customer-facing applications  เน้นไปที่ทุกๆ พื้นที่ที่ลูกค้ามีปฏิสัมพันธ์กับบริษัท เช่น call center

2) Customer-touching applications เน้นไปที่ลูกค้ามีปฏิสัมพันธ์โดยตรงกับการประยุกต์ใช้งานต่างๆ เช่น บริการตนเอง, e-commerce

3) Customer-centric intelligence applications มุ่งเน้นไปที่การวิเคราะห์ผลลัพธ์ของกระบวนการดำเนินงานและนำผลที่ได้มาปรับปรุง CRM Application หัวข้อหลักคือข้อมูลจากรายงาน,คลังข้อมูล

4) Online networking applications  คือ โอกาสการสร้างความสัมพันธ์กับลูกค้าวงกว้างทางเครือข่ายออนไลน์ ซึ่งรวมถึงห้อง chat

E-CRM

เทคโนโลยี CRM เป็นวิวัฒนาการตอบสนองการเปลี่ยนแปลงสภาพแวดล้อมทางธุรกิจ การใช้อุปกรณ์และเครื่องมือด้าน IT เช่น การใช้ web browsers, Internet และ electronic touch-points อื่นๆ เพื่อบริหารจัดการความสัมพันธ์กับลูกค้า จะเรียกว่า Electronic CRM (E-CRM)

ระดับและประเภทของ e-CRM

1) Foundational service  รวมถึงการบริการที่จำเป็นน้อยที่สุด เช่น การตอบสนองผ่าน website (บริการเร็วและทันที) เป็นการบริการขั้นพื้นฐาน

2) Customer-centered services  รวมไปถึงการสั่้งสินค้า,ผลิตตามความต้องการของลูกค้า และความปลอดภัย/ความเชื่อใจ บริการนี้มุ่งไปที่ความต้องการของลูกค้าเป็นหลัก ยึดลูกค้าเป็นศูนย์กลาง 

3) Value-added services การบริการส่วนเพิ่ม เพื่อสร้างมูลค่าเพิ่มให้แก่การบริการ

Loyalty Programs
Loyalty Program เป็นกิจกรรมที่สำคัญของ e-CRM ซึ่งเป็นโปรแกรมที่จดจำลูกค้าที่ใช้บริการ/ผลิตภัณฑ์ที่บริษัทเสนอให้ซ้ำๆ เช่น supermarket ใช้โปรแกรมประเภทนี้ในการให้รางวัลกับลูกค้าที่มาซื้อประจำ

Customer Service on the Web

งานหลักของ e-CRM คือ ให้บริการลูกค้าผ่าน Web ตัวอย่าง ได้แก่

1) ความสามารถในการค้นหาและเปรียบเทียบ

2) ให้บริการฟรีในเรื่องที่เกี่ยวกับสินค้าและบริการ

3) ให้สารสนเทศเชิงเทคนิคและอื่นๆ รวมทั้งบริการต่างๆ ด้วย

4) จัดผลิตภัณฑ์และบริการให้เหมาะสมกับความต้องการของลูกค้า

5) ติดตามสถานะการณ์สั่งของ การจัดส่ง การชำระเงิน เป็นต้น

Other tools for customer service (เครื่องมือ CRM ที่รู้จักกันในชื่ออื่นๆ)

1) Personalized Web pages

2) FAQs

3) E-mail and automated response

4) Chat rooms

5) Call center

6) Troubleshooting tools

Wireless (Mobile) CRM

เครื่องและการประยุกต์ใช้งาน CRM เป็นแบบไร้สาย โปรแกรมบริหารงานขาย(salesforce automation)ผ่านโทรศัพท์มือถือกำลังได้รับความนิยม จากการให้บริการที่ดีกว่าผ่านอุปกรณ์ไร้สาย รวมทั้งการใช้ SMS และ e-mail

Traditional VS mobile CRM

CRM ที่สำเร็จและล้มเหลว (CRM Successes and Failure)

ประเด็นที่สัมพันธ์กับ CRM ที่ล้มเหลว

(1) ยากที่จะทำการวัดและกำหนดคุณค่าในแง่ของผลประโยชน์ที่ไม่ใช่ตัวเงิน

(2) ล้มเหลวในการระบุและเน้นไปที่ปัญหาทางธุรกิจที่เจาะจง ซึ่ง CRM สามารถแก้ไขได้

(3) ขาดการให้การสนับสนุนอย่างเต็มกำลังจากผู้บริหารระดับสูง

(4) ผู้ใช้งานยอมรับได้ยาก มาจากหลายเหตุผล เช่น ผลประโยชน์ที่ไม่ชัดเจน ปัญหาการใช้งาน

(5) พยายามทำให้เป็นอัตโนมัติกับกระบวนการทางธุรกิจที่กำหนดเอาไว้ไม่ดีในการนำ CRM มาใช้งาน

คุณค่าของ CRM ในทางธุรกิจ (Business Value of CRM)

มักจะอยู่ใน 3 ส่วน คือการตลาด การขาย และการบริการ

ข้อผิดพลาดและความเสี่ยงที่อาจะเกิดขึ้นของ e-CRM (Potential Pitfalls and Risks of e-CRM)
(1) ใช้เวลามาก : e-CRM ควรเจาะจงตามหน้าที่ฝ่ายขายหรือบริการ หรือเจาะจงกลุ่มผู้่ใช้
(2) ใช้งบประมาณเกินและล่าช้ากว่าที่กำหนด
(3) ผู้ใช้ปรับตัวได้ช้า : การอบรมเป็นสิ่งจำเป็น
(4) ค่าบำรุงรักษาและการสนับสนุนราคาแพง
(5) เกิดการแบ่งแยก ถ้าไม่ใช้ข้อมูล CRM ทั่วทั้งองค์กร
(6) ข้อมูลขยะ เพราะ e-CRM ต้องการข้อมูลจำนวนมาก,ผู้ใช้ใส่ข้อมูลผิดพลาดหรือไม่ถูกต้อง ทำให้การวิเคราะห์เป็นไปได้ยาก ส่งผลให้เกิดข้อผิดพลาด
(7) ล้มเหลวในการวัดความสำเร็จ

On-demand CRM
สามารถส่งมอบระบบ CRM ได้ 2 ทาง
- On-premise CRM ผู้ใช้ไปซื้อระบบมาติดตั้งในบริษัท
- On-demand CRM ระบบติดตั้งอยู่บริษัทที่เป็นผู้ให้บริการ (Application Service Provider) หรือคู่ค้า
ปัญหาที่เกิดขึ้น
1) ASP อาจเิลิกให้บริการ
2) เป็นไปไม่ได้ที่จะแก้ไขซอฟต์แวร์
3) การ upgrade อาจกลายเป็นปัญหา
4) การปล่อยข้อมูลไว้ที่ผู้ให้บริการ อาจมีความเสี่ยง
5) ควบควมซอฟต์แวร์ที่มีอยู่เป็นเรื่องยุ่งยาก
ประโยชน์
1) ประหยัดกระแสเงินสดจากการจัดซื้อ
2) ไม่จำเป็นต้องมีผู้เชี่ยวชาญด้านซอฟแวร์องค์กร
3) ใช้ง่าย
4) ใช้ได้เร็ว
5) มีผู้เชี่ยวชาญของผู้ให้บริการ

การบริหารจัดการองค์ความรู้และเทคโนโลยีสารสนเทศ 
(Knowledge Management and IT)
การบริหารจัดการองค์ความรู้ (Knowledge Management ;KM)  คือกระบวนการที่ช่วยให้องค์กรระบุ เลือก เผยแพร่ และถ่ายโอนสารสนเทศและประสบการณ์ที่สำคัญ ถือเป็นส่วนความจำขององค์กร

Data, Information, and Knowledge

Knowledge (ความรู้) ในความหมายทางสารสนเทศ ความรู้ คือ ความแตกต่างของข้อมูลและสารสนเทศ ซึ่งมีคำอธิบายที่ชัดเจน, สัมพันธ์กับปัญหา และนำไปใช้ได้

คุณสมบัติขององค์ความรู้

- มีความพิเศษ และให้ผลตอบแทนเิพิ่มขึ้น

- แยกย่อย, รั่วไหล และต้องการการปรับปรุงข้อมูล

- มูลค่าไม่แน่นอน 

- มูลค่าการแบ่งปันไม่แน่นอน

- เชื่อมโยงกับเวลา

Explicit knowledge (องค์ความรู้ที่เปิดเผย) คือ แสดงวัตถุประสงค์,สัดส่วน และความรู้ทางเทคนิค (ข้อมูล, นโยบาย, กระบวนการผลิต, ซอฟต์แวร์, เอกสาร อื่นๆ)

Tacit knowledge (องค์ความรู้ที่แอบแฝง)  อยู่ในขอบเขตของหัวข้อ, ความรู้ความเข้าใจ และประสบการณ์เรียนรู้ ขึ้นกับบุคคลและจัดรูปแบบได้ยาก

The need for Knowledge Management Systems

เป้าหมายของ Knowledge Management คือ ให้องค์กรรับรู้เกี่ยวกับองค์ความรู้เฉพาะพนักงานในองค์กร และองค์ความรู้ที่เก็บสะสมไว้ในองค์กร และสามารถนำองค์ความรู้มาใช้อย่างมีประสิทธิภาพ องค์กรตระหนักว่ามีความจำเป็นในการรวมความรู้ทั้งที่เปิดเผยและแอบแฝงในระบบสารสนเทศที่เป็นทางการด้วยเทคโนโลยีสารสนเทศสมัยใหม่ เรียกว่า Knowledge Management Systems (KMS)

วงจรการบริหารจัดการองค์ความรู้ (Knowledge Management System Cycle)

หน้าที่ขององค์ความรู้เป็นไปตาม 6 ขั้นตอนตามวงจร เพราะความรู้หมุนเวียนได้ตลอดเวลา
1. สร้างองค์ความรู้ใหม่ (Create knowledge)
2. จับองค์ความรู้ (Capture knowledge)
3. ปรับองค์ความรู้ให้เหมาะสม (Refine knowledge)
4. จัดเก็บองค์ความรู้ (Store knowledge)
5. บริหารจัดการองค์ความรู้ (Manage knowledge)
6. กระจายองค์ความรู้ (Disseminate knowledge)

The Knowledge Management System Cycle

องค์ประกอบของระบบองค์ความรู้ (Component of Knowledge Management Systems)
การพัฒนาระบบองค์ความรู้ ประกอบด้วยเทคโนโลยี 3 ส่วน
(1) เทคโนโลยีการสื่อสาร (Communication technologies)
(2) เทคโนโลยีที่ก่อให้เกิดการร่วมมือกัน (Collaboration technologies)
(3) เทคโนโลยีจัดเก็บและบริหาร (database management systems)

การนำระบบองค์ความรู้ไปใช้ (Knowledge Management System Implementation)
เครื่องมือทางเทคโนโลยีที่สนับสนุนการบริหารจัดการองค์ความรู้ เรียกว่า knowware

• Finding Experts Electronically and Using Expert Location System - ระบบการค้นหาและใช้ความรู้ความเชี่ยวชาญ

Expert Location Systems

• Enterprise Knowledge Portal (EKP) - ช่องทางความรู้ขององค์กร หมายถึงการจัดการแหล่งข้อมูลมากมายในองค์กร

• Using KM in Training and Learning - การใช้องค์ความรู้ในการอบรมและการเรียนรู้ของพนักงาน

-------------------------------------------------------------------------------------------------------

{องค์ความรู้} Chapter 5 ความปลอดภัยขององค์กรและความต่อเนื่องทางธุรกิจ

อ้างอิงจากหนังสือ 7th Information Technology for Management : Transforming Organizations in the Digital Economy


Chapter 5 Securing the Enterprise and Business Continuity
ความปลอดภัยขององค์กรและความต่อเนื่องทางธุรกิจ


IT security หมายถึง การปกป้องสารสนเทศ โครงข่ายการสื่อสาร และการดำเนินงานในแบบปกติทั่วๆไป และ e-commerce เพื่อให้มั่นใจว่าการรักษาความลับอย่างสมบูรณ์ หรือการพร้อมใช้ของทรัพย์สินและใช้ได้เฉพาะกับผู้มีสิทธิ์ใช้งานเท่านั้น จุดมุ่งหมายเพื่อปกป้องความเสี่ยงในการดำเนินงานที่อาจเกิดขึ้น
Operation risk หมายถึง ความเสี่ยงในการดำเนินงาน อาจก่อให้เกิดความสูญเสียใดๆซึ่งเกิดจากความไม่เหมาะสม หรือล้มเหลวของกระบวนการภายในองค์กร คนในองค์กร ระบบต่างๆหรือเหตุการณ์ภายนอก


IT security ต้องผนวกเข้ากับเป้าหมายของธุรกิจ จะแยกออกมาเป็นฟังก์ชันเพื่อดูแลไม่ได้ เพราะความล้มเหลวที่เกิดขึ้นจะส่งกระทบโดยตรงกับผลการดำเนินงานของธุรกิจ (operation) ลูกค้า คู้ค้า และผู้มีส่วนได้ส่วนเสีย
"IT Security Risks are Business Risk"


IT Security Terms
Threat (ภัยคุกคาม) บางสิ่งหรือบางคนที่อาจก่อให้เกิดความเสียหายให้กับทรัพย์สิน
Vulnerability (ช่องโหว่ความปลอดภัย) จุดอ่อนที่เป็นภัยคุกคามต่อการรักษาความลับ ความสมบูรณ์ หรือการพร้อมใช้ของทรัพย์สิน
Risk (ความเสี่ยง) โอกาสที่จะเกิดภัยคุกคาม ใช้ประโยชน์จากจุดอ่อนของระบบ
CIA triad (confidentiality, integrity, availability) หลักการพื้นฐาน 3 ประการของความปลอดภัยของ IT; ความลับ, ความสมบูรณ์, การใช้ประโยชน์ได้
Risk Management (การจัดการความเสี่ยง) กระบวนการบ่งชี้ การประเมิน และการลดความเสี่ยงสู่ระกับที่ยอมรับได้
Exposure (สิ่งที่แสดงออกมาให้เห็น) ต้นทุน ความเสี่ยง หรือความเสียหายโดยประมาณ ซึ่งเป็นผลมาจากภัยคุกคามที่ใช้ประโยชน์จากจุดอ่อนของระบบที่ถูกพบ
Exploit  เครื่องมือหรือเทคนิคที่ก่อให้เกิดประโยชน์จากจุดอ่อนของระบบ
Access control (ควบคุมการเข้าถึง)  รูปแบบความปลอดภัยถูกออกแบบเพื่อกีดขวางผู้ที่ต้องการเข้าถึงโครงข่าย ระบบสารสนเทศ หรือข้อมูล ห้ามการเข้าถึงทรัพยากรในคอมพิวเตอร์ โดยใช้การควบคุมทางกายภาพหรือทางตรรกะที่ถูกออกแบบเพื่อต่อต้านการเข้าถึงข้อมูลหรือใช้ข้อมูล
Countermeasure (มาตรการป้องกัน/วิธีการรับมือ) สิ่งที่ถูกนำมาปกป้องเพื่อใช้ลดความเสี่ยง
Audit (การตรวจสอบ) กระบวนการในการสร้าง บันทึก และทบทวนบันทึกของระบบตามลำดับของเหตุการณ์เพื่อประเมินความถูกต้อง
Encryption (การเข้ารหัสลับ) การเปลี่ยนข้อมูลไปอยู่ในรูปแบบของรหัสลับเพื่อป้องกันจากผู้ที่ำไม่ได้รับอนุญาต
Plaintext หรือ Clear-text ข้อความที่สามารถอ่านได้
Ciphertext  ข้อความที่เข้ารหัสแล้ว
Authentication (การยืนยันตัวตนการใช้งาน) โดยทั่วไปใช้ชื่อผู้ใช้และรหัสผ่าน ที่ระบบสารสนเทศใช้ยืนยันผู้มีสิทธิ์ใช้งานจริง
Malware ย่อมาจาก Malicious Software  เป็นซอฟต์แวร์ที่ประสงค์ร้ายต่อระบบ ทำให้เกิดช่องโหว่ขึ้นในซอฟต์แวร์อื่นๆ เช่น

• Virus สามารถแพร่ไปติดไฟล์อื่นๆในคอมพิวเตอร์โดยการแนบตัวเองเข้าไปกับไำฟล์ อาศัยไฟล์เป็นพาหะ ซึ่งสร้างความเสียหายให้กับไฟล์
• Worm คัดลอกตัวเองและสามารถส่งตัวเองไปคอมพิวเตอร์เครื่องอื่นๆได้อย่างอิสระ โดยอาศัย E-mail หรือช่องโหว่ของระบบปฎิบัติการ มักไม่แพร่ไปติดไฟล์อื่น แต่สร้างความเสียหายให้กับระบบเครือข่าย
• Trojan horse หรือ RAT (Remote Administration Trojan) ไม่สามารถแพร่ไปติดไฟล์อื่นและส่งตัวเองไปยังคอมพิวเตอร์เครื่องอื่นได้ ต้องอาศัยการหลอกคนใช้ให้ download ใส่เครื่องเองหรือหลอกด้วยวิธีอื่นๆ เป็นการเปิดโอกาสให้ผู้ไม่ประสงค์ดีเข้ามาควบคุมเครื่องที่ติดเชื้อจากระยะไกลผ่านระบบเครือข่าย

Biometrics  วิธีการระบุตัวตนโดยอาศัยโครงสร้างทางกายภาพ เช่น ลายนิ้วมือ
Perimeter Security มาตรฐานความปลอดภัยเพื่อให้มั่นใจว่าผู้มีสิทธิ์ใช้เท่านั้นที่สามารถเข้าโครงข่ายได้ ส่วนที่ป้องกันระบบเครือข่ายองค์กรจากภายนอก เช่น Firewall
Endpoint Security มาตรฐานความปลอดภัยเพื่อปกป้องสิ่งที่อยู่ท้ายสุดในองค์กร เช่น คอมพิวเตอร์ส่วนบุคคล หรือ laptop ใช้โปรแกรมตรวจหาไวรัส เป็นต้น
Firewall วิธีการปกป้องโครงข่ายส่วนตัวออกจากโครงข่ายสาธารณะ (internet) โดยการวิเคราะห์ข้อมูลที่วิ่งเข้าหรือส่งออก
Packet หน่วยย่อยของข้อมูลที่ส่งผ่านโครงข่ายใดๆ ซึ่งมีส่วนหัว (header) แหล่งที่มา (source) และปลายทางที่จะไป (destination)
IP address (Internet Protocol Address) แอดเดรสเฉพาะที่ไม่ซ้ำใคร ซึ่งใช้กำหนดคอมพิวเตอร์ หรืออุปกรณ์อื่นๆที่เชื่อมต่อเข้ากับเครือข่าย
Public key infrastructure (PKI) (กุญแจสาธารณะ) ระบบที่ใช้ระบุตัวตนของผู้ส่งหรือผู้รับข้อความสาธารณะผ่านระบบเครือข่าย (Internet Message or transaction)
Intrusion detection system (IDS) (ระบบตรวจจับการบุกรุก) เครื่องมือปองกันที่ใช้ในการเฝ้าดูการจราจรในโครงข่าย packet และแจ้งเตือนเมื่อมีสิ่งที่น่าสงสัย
Router  อุปกรณ์สำหรับส่งผ่าน packet ระหว่าง 2 โครงข่ายหรือมากกว่า
Fault tolerance  ความสามารถของระบบสารสนเทศที่ยังดำเนินการต่อได้เมื่อมีข้อบกพร่องเกิดขึ้น ในช่วงระยะเวลาจำกัดหนึ่ง หรือที่มีการลดระดับการให้บริการลงจากเดิม
Backup การสำรองข้อมูลหรือโปรแกรมไว้ในที่ปลอดภัย
Spoofing  การโจมตีระบบโดยใช้ web ปลอม, การปลอมแปลง E-mail หรือใช้ข้อมูลปลอมจากการปลอมแปลง IP
Denial of Service (DoS) การโจมตีระบบโดยการส่งการขอใช้บริการหรือการเข้าถึงข้อมูลอย่างมากมายจนกระทั่งระบบให้บริการพร้อมๆกันไม่ไหว (crash or can not response) ทำงานช้าลง หรือหยุดทำงาน
DDoS (Distributed Denial of Service) การโจมตีรูแปบบเดียวกับ DOS ต่างกันที่จะใช้หลายๆเครื่องจากหลายๆจุดช่วยกัน ทำให้ส่งผลเร็วกว่าใช้เครื่องเดียว ซึ่งจะป้องกันได้ยาก
วิธีการ DDOS จะเกิดจากการที่ใช้ Bots ซึ่งเป็นโปรแกรมที่ทำหน้าที่บางอย่างอัตโนมัติ เข้าไปฝังตัวอยู่ที่เครื่องคอมพิวเตอร์ของเหยื่อและเปลี่ยนคอมพิวเตอร์เครื่องนั้นให้เป็น Zombies เพื่อที่จะรองรับคำสั่งต่างๆจากผู้โจมตี
Zombie คอมพิวเตอร์ที่ถูกฝัง Bots จะถูกควบคุมผ่านทาง internet โดยผู้อื่นที่ไม่มีสิทธิ์ใช้งานเครื่องคอมพิวเตอร์นั้น เช่น hacker
Botnet (roBot network) การรวบรวม bot ต่างๆ (คอมพิวเตอร์ที่ติด software robot แล้ว) ซึ่งเครือข่ายคอมพิวเตอร์จะถูกควบคุมจากระยะไกลจาก botmaster หรือ bot herder ให้ทำอาชญากรรมออนไลน์ผ่านเครือข่าย internet โดยอาศัยโปรแกรมที่ฝังไว้ในเครื่อง ผ่าน Malware, Spyware, Virus หรือ Worm
ภัยคุกคามที่ก่อให้เกิด botnet 

• Spyware ซอฟต์แวร์ที่ซ่อนอยู่ในเครื่องที่คอยรวบรวมข้อมูลสารสนเทศเกี่ยวกับผู้ใช้ หรือกิจกรรมต่างๆ เครื่องอาจถูกสั่งให้เฝ้าดูหรือขโมยข้อมูลส่วนบุคคลหรือข้อมูลทางการเงิน
• Adware เครื่องจะถูกสั่ง download และแสดงข้อความโฆษณา หรือบังคับให้ไปยัง web ที่ต้องการ
• Spam เครื่องจะส่งอีเมลขยะออกไปยังเครื่องอื่นๆ
• Phising การโจมตีในรูปแบบของการปลอมแปลง E-mail (Email Spoofing) และทำการสร้าง website ปลอม เพื่อทำการหลอกลวงให้เหยื่อเปิดเผยข้อมูลทางด้านการเงิน หรือข้อมูลส่วนบุคคล เช่น ข้อมูลบัตรเครดิต, บัญชีผู้ใช้งาน(Username) และรหัสผ่าน(Password), ข้อมูลหมายเลขบัตรประชาชน
• DoS

Cyber-Blackmail  โดย hacker จะแอบเข้ารหัสข้อมูล (Trojan encrypt) ของผู้ใช้แล้วเรียกร้องเงินในการการถอดรหัส


จาก 9/10 ของปัญหาความปลอดภัย มาจากปัจจัย
1.การกระทำผิด เป็นความผิดพลาดจากคน  (Human error)
2.ระบบเกิดความบกพร่อง (Malfunction)
3.ความเข้าใจผิด ซึ่งเป็นผลมาจากการเพิ่มซอฟต์แวร์ที่เข้ากันไม่ได้กับระบบเดิม
4.แรงจูงใจ


ระบบรักษาความปลอดภัยและการควบคุมภายในองค์กร (IT Security and Internal Control Model)
การควบคุมภายในองค์กร คือ กระบวนการที่ออกแบบเพื่อรับประกันการดำเนินงานที่มีประสิทธิภาพและรายงานทางการเงินที่เชื่อถือได้

1.ผู้บริหารระดับสูงต้องมีความมุ่งมั่นและให้การสนับสนุน
2.นโยบายและการอบรมด้านความปลอดภัย เป็นการสร้างโปรแกรมความปลอดภัยด้าน IT ที่มีประสิทธิภาพ
สิ่งสำคัญที่ต้องมี acceptance use policy (AUP) คือ การระบุการกระทำของผู้ใช้ที่ยอมรับได้หรือไม่ได้ เพื่อแจ้งให้ผู้ใช้ทราบถึงความรับผิดชอบ เพราะ
- เพื่อป้องกันไม่ให้นำสารสนเทศและทรัพยากรที่เกี่ยวข้องกับคอมพิวเตอร์ไปใช้ในทางที่ผิด
- เพื่อเป็นการลดปัญหาเกี่ยวกับการปรับเงิน การลงโทษ และการฟ้องร้องทางกฎหมาย
3.กำหนดระเบียบปฏิบัติด้านความปลอดภัยและการบังคับใช้
4.เครื่องมือทางด้านความปลอดภัย Hardware & Software ซึ่งต้ิองสนับสนุนการดำเนินการทางด้านความปลอดภัย ทั้งการกำหนดนโยบายและการบังคับใช้

ช่องโหว่ระบบสารสนเทศและภัยคุกคาม (IS Vulnerabilities and Threats)

จุดอ่อนของระบบสารสนเทศจะมากขึ้นเมื่อเข้าสู่โลกเครือข่ายโดยเฉพาะคอมพิวเตอร์ไร้สาย (wireless computing) ภัยคุกคามที่ใ้ช้ประโยชน์จากจุดอ่อนมีทั้งที่ไม่ได้ตั้งใจและตั้งใจ

ภัยคุกคามที่ไม่ได้ตั้งใจ

1.ความผิดพลาดของคน

2.ภัยธรรมชาติ เช่น แผ่นดินไหว น้ำท่วม ไฟไหม้ เป็นต้น

3.ระบบคอมพิวเตอร์ล้มเหลว เกิดจากกระบวนผลิต หรือวัตถุดิบที่ไม่ดี

ภัยคุกคามที่เกิดจากความตั้งใจ เช่น การโจรกรรมข้อมูล, ใช้ข้อมูลไม่เหมาะสม, การขโมยอุปกรณ์หรือโปรแกรม, การถ่ายโอนข้ิอมูล, ก่อจราจล, ก่อวินาศกรรม, ซอฟต์แวร์ที่ทำลายระบบ, การหลอกลวงทางอินเตอร์เน็ต


ประเภทของอาชญากรและอาชญากรรมทางคอมพิวเตอร์

อาชญากรรมทางคอมพิวเตอร์ จากคนภายนอกทำการบุกรุกเข้ามาในระบบคอมพิวเตอร์ หรือคนที่มีสิทธิ์ใช้ระบบแต่ใช้ในทางที่ผิด โดย 

- Hacker บุคคลภา่ยนอกที่บุกรุกเข้าำำไปในระบบคอมพิวเตอร์

- Cracker แฮกเกอร์ที่ประสงค์ร้าย หรือเรียกว่า Black-hat hacker ส่วน White-hat hacker ผู้ที่ทำตัวเป็นแฮกเกอร์เพื่อทดสอบระบบ หาจุดอ่อน

วิธีการโจมตีคอมพิวเตอร์

1.เข้าไปยุ่งเกี่ยวกับข้อมูล

2.โจมตีผ่านทางโปรแกรม เช่น Virus, Worm, Trojan horse ที่เรียกว่า Malware

การป้องกัน Malware
1.เทคโนโลยีต่อต้าน Malware (Anti-Malware Technology)

ควรระวัง!!  Software ของโปรแกรม Aniti-Malware บางตัวจะทำไว้หลอกให้ download ไปใช้ หลังจากที่ติดตั้งเสร็จแล้ว มันจะเตือนภายในเครื่องมี Virus หรือ Spyware แฝงอยู่ แล้วหลอกให้ซื้อโปรแกรมทางอินเตอร์เน็ตเพื่อกำจัด ผลกระทบจริงๆหลังจากติดตั้งโปรแกรมหลอกลงไปในเครื่องคอมพิวเตอร์ จะทำให้ข้อมูลภายใน harddisk ตกอยู่ในอันตราย และทำให้คอมพิวเตอร์ช้าลงอย่างเห็นได้ชัด

2.ระบบตรวจจับผู้บุกรุก (Intrusion Detection System ;IDS) 
ระบบที่ hardware หรือ software ได้รับการออกแบบเพื่อให้ตรวจจับผู้บุกรุก รวมถึงVirus โดยจะทำการวิเคราะห์ข้อมูลทั้งหมดที่ผ่านเข้าออกเครือข่าย และจะทำการแจ้งเตือนให้ผู้ดูแลระบบ
3.ระบบป้องกันผู้บุกรุก  (Intrusion Prevention System ;IPS)
ระบบมีลักษณะคล้าย IDS แต่มีความสามารถพิเศษมากกว่าคือการตรวจพบข้อมูลที่มีลักษณะการทำงานที่เสี่ยงต่อระบบเครือข่าย ระบบจะทำการป้องกันข้อมูลไม่ให้เข้าระบบเครือข่าย


ภัยอันตรายต่อความปลอดภัยในโลกไซเบอร์
1. การเพิ่มขึ้นของการโจมตีผ่าน website ที่หลอกให้เชื่อ ซึ่งจะเจาะเข้ามาทาง browser ที่มีช่องโหว่ (บางโปรแกรมยังไม่ถูก update) โดยเฉพาะ website ที่น่าเชื่อถือทั้งหลาย
2. การเพิ่มขึ้นของ botnet ทำให้หลงเชื่อ
3. การโจรกรรมบนโลกไซเบอร์เพิ่มมากขึ้น เพราะความต้องการขโมยข้อมูล
4. ภัยคุกคามต่อโทรศัพท์เคลื่อนที่
5. ภัยคุกคามที่เกิดจากภายใน
6. การโจรกรรมข้อมูล จาก bot ที่ฝังตัวอยู่ในเครื่องเป็นเวลานาน
7. การเพิ่มขึ้นของ Malware
8. ความปลอดภัยของ Web Application ถูกเจาะ ซึ่งเป็นผลมาจาก programming error
9. การเพิ่มขึ้นของการหลอกลวงในเชิง Social Engineering (ระบบรักษาความปลอดภัย ใช้กลอุบายให้ผู้ใช้คอมพิวเตอร์เปิดเผยข้อมูล) รวมถึงการ Phising ร่วมกับ VoIP และ Event Phising (การหลอกให้หลงเชื่อ)
10. การโจมตีห่วงโซ่อุปทาน (Supply Chain) ผ่านทางอุปกรณ์ เช่น thumb drive, GPS ซึ่งกรจายมาจากองค์กรที่เชื่อถือได้

การจัดการระบบรักษาความปลอดภัย IT (IT Security Management Practices)
วัตถุประสงค์ของกลยุทธ์การป้องกันและควบคุม
1.ป้องกันและยังยั้ง ความผิดพลาดที่จะเกิดขึ้น, อาชญากรรมจากการโจมตีระบบ
2.ตรวจจับ ก่อนที่การโจมตีจะเกิดขึ้น โดยการใช้โปรแกรมวิเคราะห์
3.จำกัดความเสียหาย เพื่อลดหรือจำกัดการสูญเสียที่จะเกิดขึ้น
4.กู้คืน ซ่อมแซมข้อมูลที่เสียหายอย่างรวดเร็ว
5.ทำให้ถูกต้อง ป้องกันไม่ให้การทำลายระบบเกิดขึ้นอีก
6.การตระหนักถึงระบบความปลอดภัยและปฏิบัติตาม

Major Defense Controls

รักษาความปลอดภัยเครือข่าย (Network Security)

Security Layer

Layer1 - วัตถุประสงค์หลักของ Perimeter security (หรือ border security) คือ ควบคุมการเข้าถึงข้อมูล (Access control) ด้วยเครื่องมือ เช่น Firewalls, Malware Controls, ระบบตรวจจับ (IDS), ระบบเครื่อข่ายเสมือนจริง (Virtual Private Networking ;VPN)

Layer2 - ทำ Authentication เป็นการพิสูจน์ตัวตนก่อน อาจจะเป็นจุดอ่อนให้ทำการ Phishing หรือโจรกรรมข้อมูล จึงต้องออกแบบให้ใช้ปัจจัย 2 ตัวหรือมากกว่าที่แตกต่างกัน
คำถามหลักที่ต้องถามเมื่อกำหนดระบบพิสูจน์
(1) Who are you?
(2) Where are you?
(3) What do you want?
Layer3 - จากนั้นเป็น Authorization การอนุญาตให้ผู้ใช้ดำเนินงานตามสถานะ

ระบบเครือข่ายไร้สาย 
เครือข่ายไร้สายป้องกันความปลอดภัยได้ยากกว่าเครือข่ายที่ใช้สาย การติดตั้ง Wireless Access Points (APs หรือ WAPs) เอาไว้หลัง Firewall หรือสิ่งป้องกันความปลอดภัยอื่นๆ อาจเป็นประตูหลัง (backdoor) เข้าสสู่เครือข่าย ส่วนข้อมูลที่มีความอ่อนไหวที่ไม่ได้เข้ารหัสลับ หรือการเข้ารหัส weak cryptographic technique เช่น wired equivalent privacy (WEP) ที่ใช้กับอุปกรณ์ไร้สาย เมื่อมีการรับส่งสัญญาณระหว่างอุปกรณ์ไร้สาย 2 ตัว สัญญาณอาจถูกตัดและถูกเปิดเผย

การควบคุมภายในและการจัดการให้ปฏิบัติตาม 
(Internal Control and Compliance Management)
การควบคุมภายใน เป็นการทำงานที่ตั้งขึ้นสำหรับพนักงาน เืพื่อให้บรรลุถึง
(1) ความน่าเชื่อถือของรายงานการเงิิน
(2) ความมีประสิทธิภาพในการปฏิบัติงาน
(3) ความสอดคล้องกับกฎหมาย
(4) การปฏิบัติให้เป็นไปตามกฎและนโยบาย
(5) ความปลอดภัยของทรัพย์สิน

กฎระเบียบต่อต้านการทุจริตทั่วโลก (Worldwide Anti-Fraud Regulations)
การวัดความเสี่ยงที่อาจก่อให้เกิดความสูญเสีย
1. การหลอกลวงภายใน
2. การหลอกลวงภายนอก
3. แนวทางการปฏิบัติในการจ้างงานและความปลอดภัยในสถานที่ทำงาน
4. แนวทางการปฏิบัติที่เกี่ยวข้องกับธุรกิจ สินค้าและลูกค้า
5. การชำรุดเสียหายของทรัพย์สิน
ุ6. การหยุดชะงักของธุรกิจและระบบล้มเหลว
7. การจัดการด้านการปฏิบัติงาน การจัดส่งและกระบวนการ

ความต่อเนื่องทางธุรกิจและการวางแผนหลังเกิดหายนะ 
(Business Continuity and Disaster Recovery Planning)

• จุดมุ่งหมายของความต่อเนื่องทางธุรกิจ ทำให้ธุรกิจดำเนินต่อไปได้หลังเกิดความเสียหายขึ้น
• กาีรวา่งแผนกู้คืน (Recovery planning) เป็นส่วนของการปกป้องทรัพย์สิน
• การวางแผนควรเน้นไปที่การกู้คืนจากการสูญเสียความสามารถโดยรวมทั้งหมด
• พิสูจน์ความสามารถของแผนการวิเคราะห์ What-if analysis ซึ่งจะแสดงแผนกู้คืนปัจจุบัน
• Application ทั้งหลายต้องระบุได้และกระบวนการกู้คืนถูกกำหนดไว้แล้ว
• ควรเขียนแผนให้ใช้งานได้ในทางปฏิบัติเมื่อเกิดความเสียหายขึ้น
• ควรเก็บแผนในที่ปลอดภัย เก็บสำเนาให้ผู้บริหารหลักๆ

การตรวจสอบและการจัดการความเสี่ยง (Auditing and Risk Management)

การตรวจสอบเป็นส่วนสำคัญของระบบควบคุม ผู้ตรวจสอบสามารถเข้าไปสังเกตการณ์และยังยั้งไม่ให้เกิดอาชญากรรม โดยเฉพาะภายใน ซึ่งผู้่้ตรวจสอบต้องตอบคำถาม เช่น

- ในระบบมีการควบคุมเพียงพอหรือไม่? การควบคุมไม่ครอบคลุมส่วนใด?

- การควบคุมใดที่ไม่จำเป็น?

- การควบคุมต่างๆนำมาใช้อย่างเหมาะสมหรือไม่?

- การควบคุมมีประประสิทธิภาพหรือไม่? มีการตรวจสอบ output ของระบบหรือไม่? 

- การแบ่งหน้าที่ต่างๆของพนักงานชัดเจนหรือไม่?

- กระบวนการต่างๆแสดงความสอดคล้องกับการควบคุมหรือไม่?

- การะบวนการต่างๆในการรายงานและแก้ไขข้อบกพร่อง ในกรณีที่มีการเบี่ยงเบนออกจากการควบคุมหรือไม่?

การจัดการความเสี่ยงและการวิเคราะห์ผลประโยชน์เชิงต้นทุน
โปรแกรมความปลอดภัยของสารสนเทศ จะต้องประเมินภัยคุกคาม และตัดสินใจเรื่องใดควรเตรียม หรือควรหยุดไว้
วิเคราะห์การจัดการความเสี่ยง (Risk-Management Analysis) สามารถวิเคราะห์ด้วยซอฟต์แวร์ DDS แต่ถ้าเป็นการคำนวณแบบง่าย

Expected loss = P1 x P2 x L

เมื่อ P1 = ความเป็นไปได้ที่ถูกโจมตี โดยประมาณ

                [probability of attack (estimate, based on judgment)]

       P2 = ความเป็นไปได้ที่ถูกโจมตีสำเร็จ โดยประมาณ

                [probability of attack being successful (estimate, based on judgment)]

         L = ความสูญเสียหลังจากที่ถูกโจมีสำเร็จ 

                [Loss occurring if attack is successful]

----------------------------------------------------------------------------------------------------