ปกป้องข้อมูลอย่างไรในยุค New Normal
การทำงานที่บ้าน หรือนอกสถานที่กลายเป็นเรื่องที่ทุกคนคุ้นชิน
มีคำกล่าวที่ว่า “Data is king” (ข้อมูลคือราชา) แต่ในยุคนี้เราจะรักษาข้อมูลให้ปลอดภัยได้อย่างไรเมื่อต้องทำงานนอกสถานที่ ทั้งยังต้องมีการแลกเปลี่ยนข้อมูลในแต่ละแผนก แต่ละบริษัท แต่ละบุคคลอีกด้วย ถึงแม้ว่าการทำงานที่บ้าน หรือการทำงานนอกสถานที่จะกลายเป็นเรื่องธรรมดาที่ทุกคนต่างคุ้นชินในยุค New Normal จนหลายๆท่านได้ปรับเปลี่ยนวิถีชีวิตและการทำงานไปเป็นที่เรียบร้อยแล้ว แต่สิ่งหนึ่งที่เรายังคงต้องเตรียมรับมือเช่นเดิมก็คือ การมาถึงของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่แม้จะเลื่อนออกไปแต่ก็ยังคงมีอยู่
ในบทความนี้ผมจะมาสรุปวิธีการรักษาข้อมูลสำคัญที่บริษัทควรทำไว้ทั้งหมด 5 ข้อ ดังนี้ 1. แจ้งให้พนักงานปฏิบัติตามนโยบายของบริษัทอย่างเคร่งครัด บริษัทควรมีนโยบายและระเบียบปฏิบัติที่ชัดเจนในเรื่องของการแลกเปลี่ยนข้อมูลสำคัญ ไม่ว่าจะเป็นข้อมูลของพนักงาน, ลูกค้า, คู่ค้า รวมไปถึงข้อมูลบริษัท ผู้ดูแลควรย้ำเตือนถึงนโยบายของการทำงานกับพนักงานเสมอ ไม่ว่าจะเป็นเรื่องของระเบียบในการใช้งาน ข้อควรระวังในการใช้ อีเมล, เว็บไซต์, แอปพลิเคชัน และแพลตฟอร์มอื่นๆที่พนักงานมักจะใช้ทำงาน ก็ควรจะเป็นแพลตฟอร์มที่ได้รับการรับรองว่าปลอดภัย ในส่วนของการเก็บข้อมูลบน Cloud และอุปกรณ์ USB drives ก็ควรมีนโยบายมาคลอบคุลมด้วยเช่นกัน
2.กำหนดระดับความสำคัญของข้อมูลและจัดกลุ่มข้อมูลข้อมูลที่สำคัญและเป็นความลับควรถูกดูแลเป็นพิเศษ เช่น ทำลายน้ำ (Watermarking) ยิ่งในบางโปรแกรมสามารถทำการติด Label ลงบนไฟล์ได้ ทั้งหมดนี้เพื่อให้พนักงานที่เข้าถึงข้อมูลนั้นตระหนักได้ว่าจะต้องเพิ่มความระมัดระวังในการใช้และส่งต่อข้อมูล นอกจากนี้ข้อมูลสำคัญเหล่านั้นก็ควรถูกแยกออกจากข้อมูลกลุ่มอื่นเพื่อที่จะได้ดูแลอย่างทั่วถึงอีกด้วย
3.จำกัดการเข้าถึงข้อมูลสำคัญผู้ดูแลข้อมูลควรเลือกใช้โซลูชันที่ช่วยติดตามว่ามีใครสามารถเข้าถึงข้อมูลเหล่านี้ได้ รวมถึงสามารถเก็บประวัติการเข้าถึงข้อมูลได้ว่าพนักงานคนไหนนำข้อมูลออกไปใช้ทำอะไร ในวันที่เท่าไหร่ เวลาใดได้อีกด้วย ทั้งนี้ต้องมีการตรวจสอบพนักงานอยู่เสมอ เพื่อเตรียมพัฒนานโยบายให้สอดคล้องกับวิธีการปฏิบัติงานในหลายๆบริบท คอยสังเกตพฤติกรรมที่ผิดปกติ เช่น หากมีการดาวน์โหลดที่สูงขึ้นในช่วงเวลาหนึ่งที่ไม่เป็นไปตามเดิม ก็ควรจะมีการตรวจสอบทันที
4.จัดอบรมความรู้เรื่องการป้องกันภัยไซเบอร์ให้พนักงานเป็นกิจวัตร บริษัทควรจัดให้มีการอบรมพนักงานให้ตระหนักถึงภัยไซเบอร์ หากเปรียบเทียบก็เหมือนกับการซ้อมหนีไฟ เพื่อให้พนักงานเข้าใจเรื่อง Security Awareness และในการอบรมควรจะมี Tool ต่างๆมาทำงานร่วมกันเพื่อให้พนักงานเห็นภาพชัดเจน
5. นำเทคโนโลยี Virtual Desktop Infrastructure (VDI) หรือ Desktop-as-a-service (DaaS) เข้ามาใช้ การปล่อยให้พนักงานทำงานด้วยคอมพิวเตอร์ที่ไม่ใช้เครื่องของบริษัทก็เป็นความเสี่ยง เช่นเดียวกับการใช้งาน WiFi Networks ภายนอกบริษัท วิธีการแก้ปัญหาคือบริษัทต้องย้ายอุปกรณ์ของพนักงานกลุ่มนี้ไปใช้เป็นเครื่องบน Cloud ด้วยโซลูชัน VDI หรือ DaaS เพื่อให้บริษัทสามารถควบคุมความเสี่ยง และยังคงให้พนักงานทำงานได้ เข้าถึงข้อมูลได้ อย่างมีประสิทธิภาพอีกด้วย