วันจันทร์ที่ 23 พฤศจิกายน พ.ศ. 2558

คำศัพท์ บทที่ 4

คำศัพท์ 10 คำ
1. File Structure = โครงสร้างแฟ้มข้อมูล
2. Database = ฐานข้อมูล
3. Faster File = แฟ้มข้อมูลหลัก
4. Transaction File = แฟ้มข้อมูลรายการเปลี่ยนแปลง
5. Database Model = แบบจำลองฐานข้อมูล
6. Root = ราก
7. Encapsulation = การซ้อนรายละเอียด
8. Data Warehousing = คลังข้อมูล
9. Database Administration = ผู้บริหารฐานข้อมูล
10. Data Dictionary = พจนานุกรมข้อมูล

คำศัพท์ บทที่ 3

คำศัพท์ 10 คำ
1. Input Devices = อุปกรณ์รับข้อมูล
2. Central Processing Unit = หน่วยประมวณผลกลาง
3. Internal Memory = หน่วยความจำภายใน
4. Read Only Memory = หน่วยความจำรอม
5. Storage = สื่อจัดเก็บข้อมูล
6. Output Dvices = อุปกรณ์แสดงผล
7. Machine Cycle = วัฏจักรเครื่อง
8. Store = การจัดเก็บ
9. Clock Speed = ความเร็บของสัญญาณนาฬิกา
10. Light Pen = ปากกาแสง

คำศัพท์ บทที่ 2

คำศัพ 10 คำ
1. Organization = องค์กร
2. Top Management = ผู้บริหารระดับสูง
3. Middle Management = ส่วนผู้บริหารระดับกลาง
4. Supervisor = หัวหน้างาน
5. Management = การบริหารจัดการ
6. Business Processes = กระบวนการธุรกิจ
7. Organizational Politics = การเมืองภายในองค์กร
8. Organizational Culture = วัฒนธรรมในองค์กรณ์
9. Organizational Environments = องค์กรกับสิ่งแวดล้อม
10. Organizational Structure = โครงสร้างองค์กร

คำศัพท์ บทที่ 1

คำศัพท์ 10 คำ
1. Information Systems = ระบบสาระสนเทศ
2. Information Technology = เทคโนโลยีสารสนเทศ
3. Data = ข้อมูล
4. Input = การนำเข้า
5. Process = การประมวลผล
6. Output = การแสดงผลลัพธ์
7. Subsystem = ระบบย่อย
8. Closed System = ระบบปิด
9. Open System = ระบบเปิด
10. Feedback = ผลป้อนกลับ

วันศุกร์ที่ 20 พฤศจิกายน พ.ศ. 2558

บทที่ 12 เรื่องที่ 3 ความเสี่ยงจากการปฏิบัติการออนไลน์

12.3  ความเสี่ยงจากการปฏิบัติการออนไลน์
                ความเคลื่อนไหวเป็นกลุ่มก้อนขนาดใหญ่อย่างการออนไลน์เพื่อปฏิบัติการทางอินเทอร์เน็ต ได้กลายเป็นสิ่งดึงดูดให้แก่เหล่าบรรดาแฮกเกอร์ ที่พยายามเข้ามาขัดจังหวะการปฏิบัติงานประจำวัน ซึ่งถือเป็นการเข้าถึงโดยไม่ได้รับการอนุญาต  ไม่ว่าจะเป็นการโจรกรรมข้อมูล  การเปลี่ยนโฉมหน้าเว็บ  การโจมตีเพื่อปฏิเสธการบริการ  และการถูกปล้นโดยโจรสลัดหรือ  Hijack
                12.3.1  การโจมตีเพื่อปฏิเสธการให้บริการ(Denial of Service : DoS)
                เป็นการโจมตีเพื่อให้คอมพิวเตอร์หรือระบบเครือข่ายหยุดตอบสนองงานบริการใดๆ ตัวอย่างเช่น กรณีที่เซิร์ฟเวอร์ถูกโจมตีด้วย DoSแล้ว นั่นหมายความว่าจะอยู่ในสภาวะที่ไม่สามารถบริการทรัพยากรใดๆ ได้อีก ครั้นเมื่อเครื่องไคลเอนด์ได้พยายามติดต่อสื่อสารกับเซิร์ฟเวอร์ก็จะถูกขัดขวาง และถูกปฏิเสธการให้บริการไปในที่สุด อย่างไรก็ตาม การโจมตีแบบ DoSนั้น อาจถูกผสมผสานกับการโจมตีประเภทอื่นๆ เข้าร่วมด้วย เช่น การส่งเมลบอมบ์ การแพร่ข่าวสารที่เป็นขยะจำนวนมหาศาลบนเครือข่าย การแพร่ระบาดของหนอนไวรัสที่ชอนไชไปทั่วทุกเครือข่าย ซึ่งสิ่งเหล่านี้จะส่งผลต่อระบบจราจรบนเครือข่ายที่เต็มไปด้วยขยะ ทำให้การจราจรบนเครือข่ายติดขัด ส่งผลต่อการบริการของโฮสต์อยู่ในระดับต่ำ จนกระทั่งโฮสต์ไม่สามารถบริการใดๆ  ให้แก่ผู้ใช้ได้อีกต่อไป
                12.3.2  การถูกโจรกรรมโดยHijack

                Hijack มีความหมายว่า การที่ทรัพยากรทางคอมพิวเตอร์ ไม่ว่าจะทั้งหมดหรือบางส่วน ได้ถูกบุคคลผู้ใดผู้หนึ่งหรือแฮกเกอร์นำไปใช้งานโดยไม่ได้รับความยินยอมจากเจ้าของ การโจรกรรมโดย Hijack อาจถูดำเนินการโดย DoSแต่มีจุดประสงค์แตกต่างกัน โดย Hijack จะทำงานได้ลุล่วงก็ต่อเมื่อได้ลักลอบแอบเข้าไปติดตั้งโปรแกรมขนาดเล็กที่เรียกว่า บอท(Bot) ลงในคอมพิวเตอร์ โปรแกรมดังกล่าวจะทำหน้าที่แทนมนุษย์เพื่อจัดการบางอย่าง ครั้นเมื่อคอมพิวเตอร์ได้ถูกโจรกรรมโดย Hijack แล้ว การเชื่อมต่ออินเทอร์เน็ตก็จะทำงานช้าลงจนกระทั่งแทบใช้งานไม่ได้ ซึ่งส่งผลเสียหายต่อองค์กรโดยเฉพาะผลผลิตที่ลดลงอย่างเห็นได้ชัด  และจุดประสงค์หลักประการหนึ่งของ  Hijack  ก็คือการส่งสแปมเมล  หรือเมลขยะ

บทที่ 12 เรื่องที่ 2 ความเสี่ยงที่มีต่อระบบสารสนเทศ

12.2  ความเสี่ยงที่มีต่อระบบสารสนเทศ
                ในตอนเย็นวันจันทร์ของเดือนกรกฎาคม ปี ค.ศ. 2007 บริษัท Netflix ที่ดำเนินธุรกิจเช่าวีดีโอออนไลน์ ระบบได้หยุดชะงักลง และไม่สามารถทำงานต่อไปได้ จนกระทั่งถึงช่วงบ่ายในวันอังคาร เหตุการณ์ดังกล่าวนอกจากจะส่งผลต่อการดำเนินธุรกิจของบริษัทที่ต้องขาดรายได้ไปจำนวนมากแล้ว ลุกค้าก็ไม่พึงพอใจเช่นกัน  เนื่องจากระบบถูกระงับการบริการ  ลูกค้าใช้งานไม่ได้เป็นเวลานานกว่า 18 ชั่วโมง  และช่วงไม่กี่ปีมานี้  อัตราการเจริญเติบของธุรกิจออนไลน์ได้ขยายตัวขึ้นมาก  จึงทำให้หลายบริษัทด้วยกันได้ตระหนักถึงความสำคัญกับเหตุการณ์ดังกล่าว  โดยมีการพิจารณามาตรการเพื่อป้องกันระบบหยุดชะงัก  หรือที่เรียกว่า  Downtime 
                ดาวน์ไทม์(Downtime)คือช่วงเวลาที่ระบบหยุดทำงาน  โดยผู้ใช้ไม่สามารถใช้งานระบบสารสนเทศและไม่สามารถเข้าถึงข้อมูลในระบบได้ ส่งผลให้ธุรกิจต้องหยุดทำงานชั่วคราว จนกว่าจะมีการแก้ไขให้ระบบกลับมาใช้งานได้เหมือนเดิม และถือเป็นสถานการณ์อันเลวร้ายต่อแทบทุกธุรกิจทั่วโลก  ตัวอย่างเช่น
-                   มีการประมาณไว้ว่า ธุรกิจในอเมริกาต้องสูญเสียไปกว่า 4 พันล้านเป็นประจำทุกปี อันเนื่องมาจากสาเหตุการดาวน์ไทม์
-                   ธุรกิจสายการบินที่เปิดบริการจองที่นั่งออนไลน์ ต้องสูญเสียรายได้ไปกว่า 90,000 ดอลลาร์ ต่อการดาวน์ไทม์ชั่วโมง
-                   ธุรกิจค้าปลีกแบบออนไลน์ต้องสูญเสียรายได้กว่า 900,000 ดอลลาร์
-                   ธนาคารต้องสูญเสียรายได้จากการบริการบัตรเครดิตกว่า  2.6  ล้านดอลลาร์
-                   นายหน้าซื้อขายหุ้นออนไลน์  ต้องสูญเสียรายได้กว่า  6.5  ล้านดอลลาร์ต่อการดาวน์ไทม์1 ชั่วโมง
                สำหรับการประมาณการโดยเฉลี่ยจากการดาวน์ไทม์ต่อการสูญเสียของธุรกิจ  CRM  จะสูญเสีย 2,500 ดอลลาร์ต่อนาที  และธุรกิจอีคอมเมิร์ชจะสูญเสียประมาณ  7,800  ดอลลาร์ต่อนาที  ซึ่งต้นทุนการสูญเสียอาจสูงขึ้นกว่านี้ได้ขึ้นอยู่กับอุตสาหกรรมและขนาดของธุรกิจเป็นสำคัญ รวมถึงปัจจัยในด้านอื่นๆ  ทั้งนี้ความเสี่ยงในระบบสารสนเทศจะประกอบด้วย  ความเสี่ยงทางด้านฮาร์ดแวร์  ซอฟต์แวร์  และข้อมูลรายละเอียดต่อไปนี้

                12.2.1  ความเสี่ยงทางด้านฮาร์ดแวร์
                ผลกระทบจากความล้มเหลวในอุปกรณ์ฮาร์ดแวร์  เป็นสาเหตุหนึ่งจากการเกิดดาวน์ไทม์  โดยความเสี่ยงทางด้านฮาร์ดแวร์จะเกี่ยวข้องกับอุปกรณ์ทางกายภาพที่ได้รับความเสียหาย เช่น คอมพิวเตอร์  อุปกรณ์รอบข้าง และอุปกรณ์สื่อสาร สาเหตุหลักๆ ที่ทำให้ฮาร์ดแวร์เกิดความเสียหายก็คือ ภัยธรรมชาติ  ไฟฟ้าดับ  ครอบคลุมในวงกว้าง  และไฟตก  รวมถึงการถูกทำลายทรัพย์สินโดยมนุษย์
                1. ภัยธรรมชาติ (Natural Disasters)เป็นความเสี่ยงในระบบสารสนเทศ ที่เกี่ยวข้องกับไฟไหม้  น้ำท่วม แผ่นดินไหว พายุ ฟ้าแลบ  และฟ้าผ่า ซึ่งส่งผลต่อความเสียหายในอุปกรณ์ฮาร์ดแวร์  ซอฟต์แวร์  รวมถึงอุปกรณ์ที่เกี่ยวข้องทั้งหมดและสายสื่อสาร ภัยจากน้ำท่วมจะทำลายสื่อจัดเก็บข้อมูลต่างๆ และทำให้วงจรอิเล็กทรอนิกส์ในอุปกรณ์เกิดลัดวงจรขึ้นมา  อุปกรณ์อย่างไมโครชิป  ซึ่งมีความบอบบาง  และหากเกิดลัดวงจรขึ้นมาเพียงเล็กน้อยก็อาจเสียหายได้โดยทันที  ภัยจากน้ำท่วมในที่นี้ยังรวมถึงปัญหาน้ำท่วมที่เกิดจากความผิดพลาดจากภายในตึกอาคารด้วย เช่น ท่อน้ำชำรุดทำให้น้ำนองทั่วสำนักงาน ส่วนกระแสไฟจากฟ้าแลบ  ฟ้าผ่า  ก่อให้เกิดแรงดันไฟฟ้าสูงขึ้นอย่างฉับพลัน  ทำให้อุปกรณ์อิเล็กทรอนิกส์เสียหายได้  นอกจากนี้สัตว์ป่าและความผิดพลาดที่เกิดจากมนุษย์ในบางครั้งได้ทำลายสายสื่อสาร เช่น สัตว์ได้แทะสายเคเบิล  และชาวนาหรือคนงานก่อสร้างได้ตัดสายเคเบิลทิ้งโดยไม่ได้ตั้งใจ เป็นต้น
ภัยธรรมชาติต่างๆ เช่น แผ่นดินไหว น้ำท่วม พายุ และฟ้าผ่า ล้วนเสี่ยงต่อ
ความเสียงหายในอุปกรณ์ซอฟแวร์ทั้งสิ้น

                2. ไฟดับและไฟตก (Blackouts and Brownouts)คอมพิวเตอร์ทำงานได้ด้วยการใช้กระแสไฟฟ้า ดังนั้น หากกระแสไฟฟ้าดับหรือหยุดทำงาน คอมพิวเตอร์และอุปกรณ์รอบข้างก็ไม่สามารถทำหน้าที่ของมันได้อีกต่อไป ความสำคัญอยู่ที่ว่า หากในขณะที่ใช้งานคอมพิวเตอร์อยู่ และยังไม่ทันสั่งบันทึกข้อมูลลงในอุปกรณ์จัดเก็บข้อมูล ก็ได้เกิดเหตุการณ์ไฟฟ้าดับขึ้น นั่นหมายความว่าข้อมูลในหน่วยความจำหลักได้สูญหายไปทั้งหมดแล้ว ซึ่งสร้างความเสียหายต่อการใช้งานเป็นอย่างมาก ส่วนไฟตก เกิดจากแรงดันไฟฟ้าลดต่ำลงชั่วขณะ ซึ่งอาจส่งผลต่อความเสียหายในชิ้นส่วนอิเล็กทรอนิกส์ได้ ในขณะที่ไฟเกิน เกิดจากแรงดันไฟฟ้าสูงขึ้นชั่วขณะ ซึ่งเป็นเหตุการณ์ที่สามารถสร้างความเสียหายต่ออุปกรณ์มากเช่นกัน  ทำนองเดียวกันกับฟ้าแลบและฟ้าผ่า อย่างไรก็ตาม ความล้มเหลวเกี่ยวกับกระแสไฟฟ้า อาจมิใช่เฉพาะกรณีไฟดับหรือไฟตกก็เป็นได้  แต่เกิดจากความเสียหายของตัวอุปกรณ์ฮาร์ดแวร์เอง
                สำหรับการแก้ไขปัญหาที่นิยมในกรณีไฟตกก็คือ การนำอุปกรณ์รักษาระดับแรงดัน (Voltage Regulator / Voltage Stabilizer) มาใช้ อุปกรณ์ดังกล่าวจะช่วยปรับแรงดันไฟฟ้าที่สูงเกินหรือต่ำเกิน ให้อยู่ในระดับที่เหมาะสม  อีกทั้งยังช่วยยืดอายุการใช้งานให้แก่อุปกรณ์อิเล็กทรอนิกส์ได้อีกด้วย
                ในส่วนการป้องกันไฟฟ้าดับ  อุปกรณ์อย่าง  UPS  (Uninterruptible Power Supply) ก็มักถูกนำมาใช้เพื่อแก้ไขปัญหาดังกล่าว โดย UPS เป็นอุปกรณ์สำรองไฟฟ้า ที่มีหน้าที่ป้องกันความเสียหายจากความผิดปกติของกระแสไฟฟ้า โดยจะจ่ายพลังงานไฟฟ้าสำรองให้กับคอมพิวเตอร์ หรืออุปกรณ์อิเล็กทรอนิกส์ทันทีเมื่อไฟดับ  ทั้งนี้ภายใน  UPS  จะมีแบตเตอรี่ที่ใช้เก็บประจุไฟฟ้าสำรองไว้เพื่อใช้งานกรณีฉุกเฉิน  อย่างไรก็ตาม  UPS  บางรุ่น  นอกจากจะนำมาใช้เพื่อเป็นเครื่องสำรองไฟฟ้าแล้ว  ยังได้ผนวกระบบรักษาระดับแรงดันมาให้ด้วย  ซึ่งย่อมดีกว่า UPS ชนิดที่มีหน้าที่สำรองไฟฟ้าเพียงอย่างเดียว
                UPS จะมีหลายรุ่นหลายขนาดด้วยกัน สำหรับ UPS ขนาดเล็กที่มักถูกนำมาใช้งานตามบ้านหรือตามสำนักงานทั่วไป จะสามารถสำรองไฟฟ้าในระยะเวลาสั้นๆ เช่น 5 – 10 นาที เพื่อให้ผู้ใช้มีเวลาเพียงพอต่อการสั่งบันทึกข้อมูล และปิดเครื่องตามปกติ ในขณะที่ UPS ขนาดใหญ่ที่สามารถสำรองไฟฟ้าได้นานกว่า  30นาทีขึ้นไป  ก็จะมีราคาที่สูงขึ้นไปอีก

                3.  การถูกก่อกนวนและทำลายโดยคนป่าเถื่อน (Vandalism)อุปกรณ์ฮาร์ดแวร์หรือคอมพิวเตอร์ อาจถูกทำลายด้วยความจงใจโดยน้ำมือมนุษย์ เช่น ลูกค้าบางคนจงใจทำลายตู้บริการเงินด่วน(ATM)หรือพนักงานในองค์กรที่ไม่พอใจในบางสิ่ง ได้ทำลายอุปกรณ์คอมพิวเตอร์ให้เกิดความเสียหาย โดยไม่เกรงกลัวต่อความผิดหรือการถูกขับไล่ออกจากงาน ซึ่งเป็นเรื่องที่ยากทีเดียวกับการป้องกันบุคคลเหล่านี้ในการจ้องทำลายทรัพย์สิน ดังจะพบว่า อุปกรณ์ที่ใช้เพื่อการสาธารณะ เช่น ตู้ ATM หรืออื่นๆ ถึงแม้จะมีการติดตั้งอยู่ในกล่องเหล็กอย่างแน่นหนา เพื่อป้องกันการถูกทำลายแล้วก็ตาม ก็ยังมีบุคคลบางกลุ่มที่พยายามจ้องทำลายให้เกิดความเสียหายจนได้ สำหรับในสถานที่ทำงาน อุปกรณ์สำคัญอย่างเครื่องเซิร์ฟเวอร์ จะต้องถูกติดตั้งไว้ในห้องอย่างปลอดภัย ผู้ที่สามารถเข้าไปยังห้องต้องมีบัตรผ่านเพื่อแสดงตน ซึ่งถือเป็นแนวทางหนึ่งในการป้องกันผู้ไม่หวังดีเข้าไปทำลายอุปกรณ์ ประกอบกับจะต้องล็อกกลอนประตูอย่างแน่นหนาด้วย  และโดยปกติห้องที่ถูกนำมาติดตั้งเครื่องเซิร์ฟเวอร์หรือศูนย์บริการข้อมูล มักมีการติดตั้งระบบป้องกันไฟไหม้และการติดตั้งเครื่องปรับอากาศเพื่อป้องกันความเสี่ยงต่างๆ  ที่อาจเกิดขึ้นจากสภาพแวดล้อมได้
               
12.2.2  ความเสี่ยงทางด้านข้อมูลและซอฟต์แวร์
                ข้อมูลถือเป็นเรื่องหลักสำคัญของทุกๆ องค์กรเลยก็ว่าได้ และส่วนใหญ่แหล่งข้อมูลต่างๆ ภายในองค์กรมักถูกจัดเก็บไว้ในแหล่งเดียวกัน หรืออยู่ภายใต้ฐานข้อมูลชุดเดียวกัน ดังนั้นหากเกิดข้อขัดข้องหรือเสียหายขึ้นมาย่อมส่งผลต่อการดำเนินธุรกิจขององค์กรในภาพรวมทั้งหมด
                ปกติแล้ว  ข้อมูลจะถูกรวบรวมในแต่ละวัน  และสะสมจนมากขึ้นเรื่อยๆ จนล่วงเลยระยะเวลาเป็นปี ดังนั้นเมื่อข้อมูลเสียหายหรือสูญหาย  จึงเป็นเรื่องที่ยากหรือแทบจะเป็นไปไม่ได้เลย  กับการรวบรวมข้อมูลขึ้นมาใหม่  หรือหากต้องการดำเนินการจริงๆ  ย่อมเป็นเรื่องที่สิ้นเปลืองค่าใช้จ่ายมาก  แลไม่คุ้มค่ากับการดำเนินการ  ดังนั้นแนวทางที่ดีก็คือ  การลดความเสี่ยงและปกป้องข้อมูลมิให้เกิดความเสียหาย  ซึ่งทั้งข้อมูลและซอฟต์แวร์นั้น  มีความเสี่ยงต่อการถูกทำลายได้ง่าย  รวมถึงความเสียหายที่เกิดจากการโจรกรม  อย่างไรก็ตาม  นอกจากภัยธรรมชาติ ที่ทำให้ฮาร์ดแวร์และซอฟต์แวร์เสียหายแล้ว ก็ยังมีความเสียหายที่เกิดจากน้ำมือมนุษย์อยู่ไม่น้อย
                1. การโจรกรรมสารสนเทศ และการสวมรอยความเป็นตัวคุณ ในบางครั้งการขาดความระมัดระวังขององค์กร หรือความประมาทจากการใช้เทคโนโลยีสารสนเทศ โดยเฉพาะการเชื่อมโยงคอมพิวเตอร์เพื่อใช้งานผ่านเครือข่ายสาธารณะอย่างอินเทอร์เน็ต ถือเป็นการเสี่ยงภัยด้านความปลอดภัย รวมถึงช่องโหว่ในด้านต่างๆ ตัวอย่างเช่น มีผู้ไม่ประสงค์ดีได้ทำการติดตั้งโปรแกรมที่เรียกว่า “Invisible KeyLoggerStealth” ลงในคอมพิวเตอร์ของร้านอินเทอร์เน็ต โปรแกรมประเภท Keystroke Logging ที่ซ่อนการทำงานอยู่ในเครื่องก็จะทำการบันทึกข้อมูลทุกๆ อย่างที่ลูกค้าพิมพ์ไปทั้งหมด ถัดมาอีก 1 ปี ซอฟต์แวร์นี้ก็ได้ทันทึกรหัสประจำตัวผู้ใช้ พร้อมรหัสผ่านของลูกค้าไปกว่า 450 รายด้วยกัน รวมถึงข้อมูลทางการเงินของลูกค้าด้วย จากนั้นรหัสประจำตัวผู้ใช้ดังกล่าวก็จะถูกผู้ไม่ประสงค์ดีเหล่านี้นำมาใช้เพื่อสวมรอยความเป็นตัวคุณหรือที่เรียกว่า Identity Theft โดยจะนำชื่อของคุณไปใช้เพื่อการเข้าถึงอินเทอร์เน็ตตามเว็บไซต์ต่างๆ ที่ส่องในทางที่ผิด เช่น การสวมรอยความเป็นตัวคุณในการดำเนินธุรกรรมทางการเงิน ด้วยการนำข้อมูลส่วนตัวของคุณไปใช้เพื่อใช้จ่ายผ่านบัตรเครดิต หรือการนำไปใช้เพื่อส่องในทางทุจริตและเรื่องเสื่อมเสีย  ทำให้ตัวคุณต้องกลายเป็นแพะรับบาปจากสิ่งที่ตนไม่ได้ทำ  นอกจากนี้ยังมีเทคนิคที่เรียกว่า  Social Engineering หรือวิศวกรรมทางสังคม โดยเป็นเทคนิคที่ผู้ไม่ประสงค์ดี ทำการขโมยข้อมูลส่วนบุคคลด้วยการใช้กลวิธีโทรศัพท์มาหาเหยื่อ แล้วอ้างตัวเองว่ามาจากสถาบันที่น่าเชื่อถือ จากนั้นก็หลอกเหยื่อให้ตายใจและหลงผิดเพื่อปฏิบัติตาม ด้วยการให้เหยื่อเปิดเผยข้อมูลสำคัญบางอย่าง เช่น รหัสผ่าน หรือหมายเลขสำคัญของบัตรเครดิตหรือบัตร ATMไป ซึ่งจะพบว่าเทคนิคนี้เป็นกลลวงที่ง่ายมาก ลงทุนต่ำ แต่ก็มีบุคคลที่ตกเป็นเหยื่ออยู่ไม่น้อย ด้วยการใช้หลักจิตวิทยาเพื่อโน้มน้าวจุดอ่อนของคนให้เกิดความกลัว  หลงเชื่อและยินดีบอกข้อมูลส่วนตัวไปในที่สุด ส่วน Phishing (อ่านออกเสียงเหมือนคำว่า Fishing)ก็จัดเป็นกลวิธีหนึ่งของการหลอกลวงให้เหยื่อเปิดเผยข้อมูลทางการเงิน หรือข้อมูลส่วนตัวสำคัญอื่นๆ เช่นรหัสประจำตัวผู้ใช้ รหัสผ่าน หรือหมายเลขบัตรเครดิต โดยจะส่งอีเมลปลอมที่ถูกจัดทำขึ้นให้ดูสมจริง แล้วหลอกเหยื่อให้คลิกเข้าไปยังเว็บไซต์ของตน ที่สำคัญเว็บไซต์ดังกล่าวเป็นเว็บไซต์ปลอมที่ถูกจัดตั้งขึ้นมาให้ดูเป็นทางการ  มีการจดทะเบียนโดเมนจริง เสมือนกับเป็นองค์กรจริงๆ  และได้ลงทะเบียนโดยมีการกรอกข้อมูลส่วนตัว  และข้อมูลทางการเงินผ่านเว็บไซต์ปลอมแห่งนี้ ข้อมูลสำคัญของท่านก็จะถูกลักลอบนำไปใช้ในทางที่ผิด
ฟิชชิ่งเว็บไซต์ ที่ถูกปลอมแปลงขึ้นมาในนามของ Bank of America

                2. การดัดแปลง/ทำลายข้อมูล และการเปลี่ยนโฉมหน้าเว็บ การดัดแปลงหรือทำลายข้อมูล ถือเป็นการกระทำที่ประสงค์ร้าย ส่งผลให้ข้อมูลผิดธรรมชาติไปจากความเป็นจริง รวมถึงการมีเรคอร์ดข้อมูลปลอมปนมา ในขณะที่แฮกเกอร์บางรายมีเป้าหมายมุ่งทำลายเว็บไซต์ระดับองค์กร โดยได้ทำการเจาะระบบและดำเนินการปรับเปลี่ยนโฉมหน้าเว็บ (Web Defacement) ให้เพี้ยนไปจากเดิม สิ่งเหล่านี้ถือเป็นการทำลายทรัพย์สินอันมีค่าขององค์กร ทำให้องค์กรต้องมีภาระค่าใช้จ่ายเกี่ยวกับการแก้ไขข้อมูลให้กลับคืนสู่สภาพเดิม หรือนำข้อมูลที่เคยสำรองไว้มาใช้งานแทน แต่ก็ใช่ว่าข้อมูลสำรองที่นำมาใช้งานในครั้งนี้จะเป็นข้อมูลที่อัปเดตที่สุด อย่างไรก็ตาม หากความเสียหายที่เกิดขึ้นไม่มากนัก ทีมงานไอทีจะต้องใช้เวลาไปกับการตรวจสอบข้อมูลว่ามีความถูกต้องตรงกันหรือไม่ และจะต้องวางมาตรการจัดการเพื่อป้องกันมิให้เกิดอีกได้อย่างไร  รวมถึงการติดตามผู้กระทำผิด  ซึ่งสิ่งเหล่านี้ล้วนมีค่าใช้จ่ายที่สูง
                3. ไวรัสคอมพิวเตอร์ เวิร์ม และบอมบ์ เนื่องจากการใช้งานคอมพิวเตอร์ของผู้ใช้ทั่วไปในปัจจุบันล้วนเสี่ยงภัยต่อการถูกคุกคามโดยไวรัสคอมพิวเตอร์เป็นอย่างมาก ไวรัสคอมพิวเตอร์เป็นโปรแกรมขนาดเล็กที่สามารถแฝงเข้าไปกับไฟล์ข้อมูล ครั้นเมื่อไวรัสคอมพิวเตอร์ติดอยู่บนเครื่องคอมพิวเตอร์แล้ว จะทำให้คอมพิวเตอร์เครื่องนั้นเกิดปัญหาต่างๆ นานา จากการใช้งาน สำหรับความรุนแรงของปัญหาจะมากน้อยเพียงไร ขึ้นอยู่กับไวรัสคอมพิวเตอร์ชนิดนั้นๆ เป็นสำคัญ โดยไวรัสคอมพิวเตอร์บางตัวมุ่งสร้างความรำคาญแก่ผู้ใช้ ทำให้เครื่องทำงานช้าลงหรือเข้าไปปรับแก้ไขโปรแกรมที่ใช้งานให้ผิดเพี้ยนไปจากเดิม ในขณะที่ไวรัสคอมพิวเตอร์บางตัวมีจุดมุ่งหมายเพื่อทำลายล้างข้อมูลโดยเฉพาะ สำหรับการติดต่อของไวรัสคอมพิวเตอร์จะสามารถติดต่อผ่านไฟล์ที่เป็นพาหะ เพื่อแพร่เชื้อนี้ต่อไปเรื่อยๆ เช่น การคัดเลือกไฟล์ที่มีไวรัสจากแฟลชไดรฟ์การดาวน์โหลดไฟล์ที่มีไวรัสจากเว็บไซต์และนำไปติดตั้งใช้งาน หรือการเปิดอีเมลที่ได้แนบไวรัสมา  เป็นต้น
                ส่วน เวิร์ม(Worm) หรือหนอนไวรัส จะมีความสามารถในการป้องกันตัวเองเพื่อให้ผู้ใช้เกิดความหลงผิดได้ โดยหนอนไวรัสหากถูกแพร่ออกไปแล้ว มันสามารถที่จะเปลี่ยนชื่อแฟ้มข้อมูลของตัวเองให้กลายเป็นชื่อแฟ้มข้อมูลชื่ออื่นๆ แทนชื่อแฟ้มข้อมูลเดิมที่ถูกหนอนไวรัสลบทิ้งไป จึงทำให้การค้นหาไฟล์ที่เป็นหนอนไวรัสจริงๆ ค้นหาได้ยากขึ้น ครั้นเมื่อผู้ใช้หลงผิดด้วยการเปิดไฟล์ดังกล่าวขึ้นมาใช้งาน หนอนไวรัสก็จะถูกกระตุ้นให้ทำงาน ซึ่งโดยปกติหนอนไวรัสมักสร้างความเสียหายให้กับระบบเครือข่ายเป็นสำคัญ โดยมีความสามารถในการคัดลอกตัวเองเพื่อขยายพันธุ์ และชอนไชไปยังคอมพิวเตอร์ที่เชื่อมต่อเข้ากับเครือข่ายอินเทอร์เน็ต ทำให้เครือข่ายเต็มไปด้วยหนอนไวรัสส่งผลต่อการจราจรบนเครือข่ายติดขัด และทำให้เครือข่ายล่มในที่สุด
                ไวรัสคอมพิวเตอร์บางชนิดจะเรียกว่า ม้าโทรจัน (Trojan Horses) ซึ่งจัดเป็นไวรัสชนิดหนึ่งที่ลักลอบเข้ามาด้วยการซ่อนมากับแฟ้มข้อมูล อีเมล เกม หรือการ์ดอวยพรอิเล็กทรอนิกส์ ครั้นเมื่อผู้ใช้เปิดอ่านม้าโทรจันก็จะถูกกระตุ้นให้ทำงานโดยทันที โดยม้าโทรจันมีจุดมุ่งหมายเพื่อลักลอบเข้ามาเป็นสายลับ และทำการแอบส่งข้อมูลที่เป็นความลับในคอมพิวเตอร์ของผู้ใช้งานส่งกลับไปยังโฮสต์ของผู้สร้าง
                นอกจากนี้  ยังมีโปรแกรมที่ถูกสร้างขึ้นมาที่เรียกว่า  ลอจิกบอมบ์ (Logic Bomb) ซึ่งคล้ายกับไวรัสคอมพิวเตอร์ แต่จะมีพิษร้ายกาจและมีจุดมุ่งหมายเพื่อทำลายมากกว่า ระบบคอมพิวเตอร์ระดับองค์กรที่ตกเป็นเหยื่อจะเกิดความเสียหายจนกระทั่งสูญเสียและใช้การไม่ได้  ชุดคำสั่งในลอจิกบอมบ์  ผู้เขียนจะมีการสร้างเงื่อนไขเอาไว้เพื่อปฏิบัติการบางอย่าง  ครั้นในเวลาต่อมา  เหตุการณ์หรือสถานการณ์ในวันนั้นได้ตรงกับเงื่อนไขที่กำหนดไว้ในชุดคำสั่ง  ทำให้ชุดคำสั่งในลอจิกบอมบ์ถูกกระตุ้นให้ทำงานโดยทันที  ตัวอย่างเช่น  ลอจิกบอมบ์ได้แฝงตัวมาและอยู่ในเครื่องเซิร์ฟวเวอร์ขององค์กร  ซึ่งการใช้งานประจำวันก็จะดำเนินการไปตามปกติ  แต่หากวันใดก็ตามที่ตรงกับวันศุกร์ที่  13  เมื่อใด  โค้ดคำสั่งในลอจิกบอมบ์ก็จะถูกกระตุ้นให้ทำงานตามเงื่อนไข เช่น จะทำการลบข้อมูลสำคัญในระบบออกไปทั้งหมด หรือฟอร์แมตฮาร์ดดิสก์  เป็นต้น
                สำหรับแนวทางในการป้องกันไวรัสคอมพิวเตอร์ เวิร์มและโทรจัน สามารถใช้ซอฟต์แวร์อย่างโปรแกรมแอนตี้ไวรัส  ซึ่งปัจจุบันมีจำนวนมากทีเดียว  ที่ผู้ใช้สามารถดาวน์โหลดมาใช้งานได้ฟรี โดยไม่เสียค่าใช้จ่าย  แต่อย่างไรก็ตาม  ซอฟต์แวร์แอนตี้ไวรัสแบบใช้งานฟรีนั้น  ส่วนใหญ่จะครอบคลุมการใช้งานไม่ครบถ้วน  แต่ก็ใช้งานครอบคลุมส่วนที่จำเป็นได้ดีระดับหนึ่ง)  ดังนั้นหากต้องการใช้งานอย่างเต็มประสิทธิภาพ ผู้ใช้ก็จะต้องติดต่อขอซื้อเวอร์ชั่นสมบูรณ์ผ่านเว็บไซต์ ซึ่งจำเป็นต้องเสียค่าใช้จ่าย  สำหรับตัวอย่างซอฟต์แวร์แอนตี้ไวรัสแบบลิขสิทธิ์  เช่น  Symantec, McAfee  และแบบฟรีแวร์ที่ได้รับความนิยมและสามารถหาดาวน์โหลดได้ฟรีบนอินเทอร์เน็ต  เช่น  AVG Anti-Virus , Avira AntiVirและ  BitDefender เป็นต้น

                และต่อไปนี้เป็นขั้นตอนการป้องกันไวรัสคอมพิวเตอร์  ประกอบด้วย
                - ติดตั้งโปรแกรมแอนตี้ไวรัสและสั่งให้ทำงานอยู่เสมอ สำหรับโปรแกรมแอนตี้ไวรัสโดยส่วนใหญ่เมื่อทำการติดตั้งเบ็ดเสร็จแล้ว มักจะทำงานโดยทันทีหรือเมื่อมีการบูตเครื่องใหม่ทุกครั้งในการพิจารณาว่าจะใช้โปรแกรมแอนตี้ไวรัสของค่ายใด ในปัจจุบันสามารถหาได้ง่ายมากตามเว็บไซต์ ซึ่งจะมีการจัดอันดับความน่าเชื่อถือ รวมถึงโปรแกรมแอนตี้ไวรัสที่ผู้ใช้สามารถหาดาวน์โหลดมาใช้งานได้ฟรีก็มีอยู่มากมาย  อีกทั้งยังมีประสิทธิภาพสูงด้วย
                - อัปเดตซอฟต์แวร์แอนตี้ไวรัสอย่างสม่ำเสมอ มีไวรัสสายพันธุ์ใหม่ๆ เกิดขึ้นทุกวันดังนั้น การอัปเดตซอฟต์แวร์แอนตี้ไวรัสอยู่เสมอจึงเป็นสิ่งจำเป็น เพื่อให้ตัวโปรแกรมสามารถตรวจจับพบและกำจัดไวรัสตัวใหม่ๆ ได้ ในการอัปเดตซอฟต์แวร์แอนตี้ไวรัสผู้ใช้สามารถดาวน์โหลดผ่านเว็บ หรือสั่งอัปเดตแบบออนไลน์ทันทีเมื่อมีการเชื่อมต่ออินเทอร์เน็ต
                สแกนอุปกรณ์จัดเก็บข้อมูลภายนอกทุกครั้ง ก่อนคัดลอกหรือสั่งรันโปรแกรมจากอุปกรณ์หรือสื่อจัดเก็บข้อมูลภายนอก เช่น แฟลชไดรฟ์ แผ่นซีดี หรือดีวีดี ควรสั่งให้โปรแกรมแอนตี้ไวรัสทำการสแกนก่อน เพื่อป้องกันไวรัสติดเข้าเครื่อง
                -เลือกติดตั้งซอฟต์แวร์ที่มีความน่าเชื่อถือเท่านั้น ในปัจจุบันมีซอตฟ์แวร์จำนวนมากมาย ที่สามารถหาดาวน์โหลดเพื่อนำมาใช้งานได้ฟรีบนอินเทอร์เน็ต ดังนั้นไวรัสคอมพิวเตอร์จึงมักแฝงมากับไฟล์เหล่านี้  แนวทางหนึ่งที่ควรพิจารณาก็คือ  ควรเลือกใช้ซอฟต์แวร์ที่มีความน่าเชื่อถือจากบริษัทผู้ผลิตที่ได้รับการยอมรับ  รวมถึงเลือกดาวน์โหลดจากเว็บไซต์ที่มีความน่าเชื่อถือและมีความปลอดภัย
                - ติดตามไฟล์ที่ดาวน์โหลดมาอย่างระมัดระวังภายหลังจากการดาวน์โหลดซอฟต์แวร์จากอินเทอร์เน็ตมาเก็บไว้ในเครื่องแล้ว  ซึ่งอาจอยู่ในรูปแบบของไฟล์ที่สามารถรันได้ทันที(Executed Files) หรืออาจเป็นไฟล์ที่ถูกย่อมา  (Zip Files) ไม่ควรสั่งรันโดยทันที ให้ทำการสแกนไฟล์ดังกล่าวด้วยโปรแกรมแอนตี้ไวรัสก่อน
                - หากตรวจพบไวรัส จะต้องจัดการโดยทันที ทันทีที่ตัวโปรแกรมแอนตี้ไวรัสได้ตรวจพบไวรัสในคอมพิวเตอร์แล้ว  จะต้องดำเนินการกำจัดด้วยการลบไวรัสตัวนั้นออกไป  ก่อนที่จะก่อให้เกิดความเสียหายในภายหลัง
                4. อุบัติเหตุที่เกิดจากความสะเพร่า ในบางครั้งข้อมูลหรือซอฟต์แวร์อาจเสียหายจากความสะเพร่าโดยไม่เจตนา อันเนื่องมาจากการอบรมใช้งานที่ไม่ดีพอ หรือเกิดจากข้อผิดพลาดจากน้ำมือของมนุษย์เอง ถึงแม้ว่าความเสียหายโดยไม่เจตนา จะเกิดขึ้นไม่บ่อยครั้งสำหรับแอปพลิเคชั่นที่มีระบบคงทน แต่การอบรมใช้งานที่ไม่ดีพออาจส่งผลลัพธ์ที่ไม่สมควรเกิดขึ้นจากการใช้งานแอปพลิเคชั่น แล้วส่งผลเสียร้ายแรงต่อข้อมูลที่ผู้ใช้รู้เท่าไม่ถึงการณ์ ตัวอย่างเช่น เมื่อต้องปฏิบัติบนหน้าจอที่เกี่ยวข้องกับการแก้ไขหรือการลบข้อมูลแอปพลิเคชั่นโปรแกรมที่ดี จะมีคำถามยืนยันให้ผู้ใช้รับทราบว่า “Are you sure you want to delete the record ?” หรือมีข้อความเตือนให้ระวัง เช่น “This might destroy the file.” ซึ่งข้อความดังกล่าวจะช่วยยืนยันถึงสิ่งที่จะทำลงไปก่อนดำเนินการจริง  เพื่อป้องกันความผิดพลาดที่อาจเกิดขึ้นโดยไม่เจตนาได้

                นอกจากนี้ การไม่อนุญาตให้ผู้ใช้ดาวน์โหลดโปรแกรมและมิให้ผู้ใช้ทำการติดตั้งโปรแกรมลงในเครื่องด้วยตนเอง  ก็ถือเป็นแนวทางในการป้องกันความเสียหายได้ดีอีกทางหนึ่ง  โดยผู้ดูแลระบบจะต้องควบคุมและจำกัดสิทธิการใช้งานของผู้ใช้แต่ละคนตามความเหมาะสม ทั้งนี้ผู้ใช้รายใดที่มีความจำเป็นหรือต้องการติดตั้งโปรแกรมใดๆ เพิ่มเติม จะต้องได้รับกาอนุญาตจากผู้ดูแลระบบเท่านั้นจึงจะได้รับรหัสผ่านเพื่อดำเนินการติดตั้งได้ต่อไป

บทที่ 12 เรื่องที่ 1 เป้าหมายหลักในด้านความปลอดภัยของระบบสารสนเทศ

12.1  เป้าหมายหลักในด้านความปลอดภัยของระบบสารสนเทศ
                ในราวเดือนมีนาคม ปี ค.ศ. 2006 ฐานข้อมูลของ Florida International University ได้ถูกบุกรุกจากผู้ไม่ประสงค์ดี โดยภายในฐานข้อมูลของมหาวิทยาลัยได้บรรจุเรคอร์ดข้อมูลของนักศึกษาจำนวนนับพันและรวมถึงข้อมูลของผู้สมัครงาน และในเดือนพฤษภาคม ปี ค.ศ. 2007 แฮกเกอร์ได้เจาะระบบเข้ามายัง University of Missouri โดยได้ล้วงข้อมูลเกี่ยวกับชื่อ และหมายเลขประกันสังคมของนักศึกษาที่มีกว่า 22,396 คน และ 2 สัปดาห์ถัดมา ข้อมูลนักศึกษากว่า 4,000 ราย รวมถึงข้อมูลผู้สมัครงานจากมหาวิทยาลัยได้ถูกคัดลอกไปจัดเก็บไว้ในฐานข้อมูลของ Northwestern University แทน และในอีกไม่กี่ชั่วโมงถัดมา ชื่อนักศึกษาและหมายเลขประกันสังคมจำนวนกว่า 64,000 ของพนักงานใน Ohio State ก็ได้ถูกลักลอบจารกรรมไปโดยแฮกเกอร์ และถูกนำไปใช้ในทางที่ผิด นี่เป็นตัวอย่างเพียงไม่กี่กรณีเท่านั้น ที่เกี่ยวข้องกับเหตุการณ์ที่อาจเกิดขึ้นได้จากระบบสารสนเทศและข้อมูลที่จัดเก็บ
                ดังนั้น  ในการพัฒนาระบบสารสนเทศเพื่อนำมาใช้งานในองค์กรนั้น  จึงต้องมีค่าใช้จ่ายด้านงานบำรุงรักษาในอัตราส่วนที่ไม่น้อยเลย โดยเฉพาะมาตรการการบำรุงรักษาความปลอดภัยของระบบ ซึ่งแนวโน้มในทุกๆ บริษัทจำเป็นต้องลงทุนด้านความปลอดภัยที่มากขึ้น และจะมีต้นทุนสูงมากขึ้นสำหรับองค์กรขนาดใหญ่ ที่ต้องวางมาตรการด้านความปลอดภัยที่ครบครัน รัดกุม เพื่อสร้างความอุ่นใจและป้องกันผู้ไม่ประสงค์ดีบุกรุกเข้าถึงฐานข้อมูลในองค์กรซึ่งจัดเป็นทรัพยากรอันทรงคุณค่าโดยเฉพาะองค์กรที่มีการเชื่อมต่อระบบสารสนเทศเข้ากับเครือข่ายภายนอกอย่างอินเทอร์เน็ต เพื่อใช้ติดต่อธุรกิจกับลูกค้าและใช้ระบบสารสนเทศร่วมกันระหว่างคู่ค้าทางธุรกิจที่กระจายอยู่ทั่วโลกผ่านเครือข่ายอินเทอร์เน็ต สิ่งเหล่านี้จึงไม่แตกต่างไปจากการเปิดประตูบ้าน  เพื่อต้อนรับผู้ไม่ประสงค์ดีลักลอบเข้ามาเพื่อจารกรรมข้อมูลเลย  ดังนั้นองค์กรจึงจำเป็นต้องวางมาตรการด้านความปลอดภัย รวมถึงการติดตั้งอุปกรณ์ตรวจจับเพื่อป้องกันผู้บุกรุกจากภายนอก  โดยเป้าหมายหลักในด้านความปลอดภัยของระบบสารสนเทศ  ประกอบด้วย
                1.  ลดความเสี่ยง  และการหยุดชะงักจากการปฏิบัติกับระบบที่อาจเกิดขึ้นได้เสมอ
                2.  รักษาสารสนเทศที่เป็นความลับ
                3.  มั่นใจต่อความสามารถในการป้องกันข้อผิดพลาดและความเชื่อมั่นในทรัพยากรข้อมูล
                4.  มั่นใจต่อการไม่ถูกรบกวน  หรือถูกขัดจังหวะในขณะปฏิบัติงานกับระบบ
                5.  มั่นใจต่อนโยบายเพื่อคุ้มครอง  และความปลอดภัยตามกฎหมายและความเป็นส่วนตัว

                ในการวางแผนเพื่อกำหนดมาตรการเพื่อการสนับสนุนเป้าหมายเหล่านี้  ประการแรก  องค์กรจะต้องรับรู้ถึงความเป็นไปได้ในด้านความเสี่ยงต่างๆ ที่อาจเกิดขึ้นต่อทรัพยากรสารสนเทศ ประกอบด้วย  ฮาร์ดแวร์  โปรแกรมประยุกต์  ข้อมูล  และเครือข่าย  จากนั้นก็จะดำเนินมาตรการเพื่อป้องกันการเสี่ยงภัยจากความเสี่ยงเหล่านั้น

บทที่ 11 เรื่องที่ 3 แบบจำลองธุรกิจและการวางแผน

11.3  แบบจำลองธุรกิจและการวางแผน
                แบบจำลองธุรกิจ (Business Model) คือกรอบแนวความคิดที่แสดงถึงองค์ประกอบต่างๆ และตรรกะทางเศรษฐกิจที่มีเหตุผลต่อการดำเนินงาน ว่าจะให้ธุรกิจสามารถส่งมอบคุณค่าไปสู่ลูกค้าด้วยต้นทุนที่เหมาะสม  และธุรกิจสามารถทำเงินได้อย่างไร  แบบจำลองธุรกิจช่วยตอบโจทก์ที่จำเป็นเกี่ยวกับส่วนประกอบพื้นฐานของธุรกิจ   เช่น
-                   ใครคือลูกค้าของเรา ?
-                   จะมอบคุณค่าอะไรแก่ลูกค้าของเรา ?
-                   ต้องใช้ต้นทุนเท่าไรกับการส่งมอบคุณค่าไปยังลูกค้าของเรา ?
-                   เราจะทำเงินในธุรกิจนี้ได้อย่างไร ?
                แบบจำลองธุรกิจจะระบุถึงคุณค่าอะไรที่จะเสนอแก่ลูกค้า ซึ่งลูกค้าจะได้รับคุณค่าเหล่านี้จากสินค้าและบริการที่ได้ซื้อจากเราไป โดยจะระบุถึงการจัดรูปแบบธุรกิจและการปฏิบัติอย่างไรเพื่อให้เกิดความสามารถในการจัดเตรียมคุณค่า และความยั่งยืนในทุกๆ สิ่งที่ก่อเกิดประโยชน์ไปสู่ลูกค้าด้วย ดังตารางเป็นแบบร่างของคำถามเฉพาะกิจที่เกี่ยวกับส่วนประกอบของธุรกิจที่แบบจำลองของธุรกิจจะต้องตอบโจทก์นี้ให้ได้ทั้งหมด ในขณะที่ตารางถัดไปคือรายการคำถามในส่วนประกอบสำคัญของแบบจำลองอีบิสซิเนส

ส่วนประกอบของแบบจำลองธุรกิจ
คำถามทั่วไปสำหรับแบบจำลองธุรกิจ
คุณค่าที่มอบให้กับลูกค้า
(Customer Value)
บริษัทจะนำเสนอสิ่งใดเป็นพิเศษให้แก่ลูกค้า  หรือมุ่งไปยังต้นทุนของผลิตภัณฑ์ให้ต่ำกว่าคู่แข่ง  เพื่อให้องค์กรสามารถขายสินค้าได้ต่ำกว่าคู่แข่งขัน
ขอบเขต (Scope)
บริษัทจะกำหนดขอบเขตของลูกค้าเป้าหมายกลุ่มใด และจะมีการกระจายสินค้าไปตามพื้นที่ใด รวมถึงสัดส่วนของส่วนแบ่งตลาด
ราคา (Pricing)
บริษัทจะกำหนดราคาสินค้าที่เหมาะสมและแลดูมีคุณค่าได้อย่างไร ?
แหล่งรายได้ (Revenue Source)
เราจะทำเงินได้จากช่องทางใดบ้าง ? ใครเป็นคนจ่าย  จ่ายอะไร  และเมื่อไร ?
กิจกรรมเพื่อการเชื่อมโยง
(Connected Activities)
มีกลุ่มของกิจกรรมใดบ้าง ที่บริษัทจะมีไว้เพื่อปฏิบัติงานไปสู่การนำเสนอคุณค่าให้แก่ลูกค้า และทำเมื่อไร และจะติดต่อผ่านกิจกรรมเหล่านี้ได้อย่างไร ?
การนำไปใช้ (Implementation)
การดำเนินงานของกิจกรรมต่างๆ มีความสัมพันธ์อย่างไรกับโครงสร้างองค์กร ระบบ บุคลากร และสภาพแวดล้อม
ความสามารถ (Capabilities)
อะไรคือความสามารถขององค์กร และช่องโหว่ในความสามารถที่ต้องมีการเติมเต็มคืออะไร ? บริษัทจะทำอย่างไรกับการเติมเต็มความสามารถเหล่านั้น และอะไรคือแหล่งที่มาของความสามารถดังกล่าว ?
ความยั่งยืน (Sustainability)
บริษัทจะทำเงินได้อย่างยั่งยืนอย่างไร ? บริษัทจะต้องทำอย่างไร เพื่อสร้างความได้เปรียบในการแข่งขันได้อย่างยั่งยืน ?
แบบจำลองธุรกิจที่ดี  จะต้องตอบคำถามเหล่านี้ได้อย่างมีประสิทธิภาพ

ส่วนประกอบของแบบจำลองธุรกิจ
คำถามเฉพาะสำหรับแบบจำลองอีบิสซิเนส
คุณค่าที่มอบให้กับลูกค้า
(Customer Value)
มีอะไรบ้างที่เกี่ยวกับเทคโนโลยีทางอินเทอร์เน็ตที่ช่วยให้บริษัทได้ส่งมอบคุณค่าไปยังลูกค้าของเราได้ ? เราสามารถใช้เทคโนโลยีอินเทอร์เน็ตในการแก้ไขกลุ่มปัญหาใหม่ๆ ของลูกค้าได้หรือไม่ ?
ขอบเขต (Scope)
อะไรคือขอบเขตวงจำกัดของลูกค้า  เพื่อจะได้นำเทคโนโลยีอินเทอร์เน็ตครอบคลุมไปให้ถึง ? อินเทอร์เน็ตช่วยให้เราสามารถดัดแปลงสินค้าหรือผสมผสานงานบริการต่างๆ เข้าด้วยกัน ให้เป็นรูปเป็นร่างขึ้นมาใหม่ได้หรือไม่  อย่างไร ?
ราคา (Pricing)
เราสามารถใช้อินเทอร์เน็ตเพื่อกำหนดราคาให้มีความแตกต่างกันได้อย่างไร ?
แหล่งรายได้ (Revenue Source)
แหล่งที่มาของรายได้จากอินเทอร์เน็ต มาจากแหล่งใดบ้าง ?
อะไรคือแหล่งรายได้ใหม่ ?
กิจกรรมเพื่อการเชื่อมโยง
(Connected Activities)
จำนวนของกิจกรรมใหม่ๆ ที่ต้องปฏิบัติในอินเทอร์เน็ตมีอะไรบ้าง ?
เทคโนโลยีอินเทอร์เน็ตสามารถช่วยเราปฏิบัติกับกิจกรรมที่มีอยู่ได้อย่างไร ?
การนำไปใช้ (Implementation)
เทคโนโลยีอินเทอร์เน็ตส่งผลกระทบต่อกลยุทธ์  โครงสร้าง  ระบบ  บุคลากรและสภาพแวดล้อมของบริษัทเราอย่างไร ?
ความสามารถ (Capabilities)
อะไรคือความสามารถใหม่ที่เราต้องการ  อะไรคือผลกระทบของเทคโนโลยีอินเทอร์เน็ตที่มีต่อความสามารถเดิมที่มีอยู่ ?
ความยั่งยืน (Sustainability)
การนำอินเทอร์เน็ตมาใช้งานช่วยสร้างความยั่งยืนได้ง่ายขึ้นหรือยากกว่าเดิม บริษัทจะสามารถสร้างข้อได้เปรียบได้อย่างไร ?
คำถามในส่วนประกอบของแบบจำลองอีบิสซิเนส  ที่สามารถพัฒนาขึ้นจากบางส่วนของกระบวนการวางแผนทางไอทีและกลยุทธ์ธุรกิจ

                แบบจำลองธุรกิจจัดเป็นเครื่องมือการวางแผนอันทรงคุณค่า เพราะจะช่วยมุ่งประเด็นบนสิ่งที่สนใจในส่วนประกอบที่สำคัญของธุรกิจทั้งหมด โดยเป็นกลไกในการขับเคลื่อนกระบวนการจัดการอย่างมีกลยุทธ์  เพื่อนำพาองค์กรไปสู่ความสำเร็จ สำหรับระเบียบแบบแผนที่จัดทำขึ้นนี้ จะเป็นแรงผลักดันให้ผู้ประกอบการและผู้จัดการต้องใช้พลังความคิด  การกวดขัน  และการทำงานอย่างมีระบบ  เพื่อนำไปสู่คุณค่าและการดำรงชีพของธุรกิจให้ธำรงอยู่รอดสืบไป