'บลูบิค' ส่งโซลูชั่น-แนะองค์กร อุดช่องโหว่เสี่ยงภัยไซเบอร์
"บลูบิค" แนะแนวองค์กรแก้จุดอ่อนระบบจัดการข้อมูล อุดช่องโหว่เสี่ยงภัยไซเบอร์-ปรับตัวรับ PDPA ใกล้บังคับใช้ในอีก 5 เดือน
นางฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Chief Operation Officer (COO) บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า ปัจจุบันข้อมูลลูกค้าได้กลายเป็นสินทรัพย์สำคัญขององค์กร โดยเฉพาะสำหรับการทำการตลาดแบบ Personalized Marketing ที่ให้ธุรกิจสามารถนำเสนอสินค้าและบริการได้ตรงความต้องการ ตอบโจทย์ปัญหาของผู้บริโภค จนนำไปสู่การสร้างยอดขายเพิ่มขึ้น
ดังนั้นองค์กรจึงต้องให้ความสำคัญมากขึ้นกับการรักษาความปลอดภัยของข้อมูล (Data Security) เพื่อป้องกันความเสี่ยงข้อมูลภายในองค์กรรั่วไหล การถูกโจรกรรมข้อมูล รวมถึงการต้องปรับกระบวนการให้สอดคล้องกับระเบียบข้อบังคับต่างๆ ของภาครัฐ เช่น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่กำลังจะมีผลบังคับใช้ในวันที่ 27 พ.ค. 2564
“ในปัจจุบันหลายองค์กรต่างตระหนักถึงความสำคัญของการดูแลความปลอดภัยของข้อมูล แต่ยังไม่แน่ใจว่าควรต้องเริ่มดำเนินการอย่างไร ทั้งนี้ ในการกำหนดแนวทางว่าควรบริหารจัดการจากการข้อมูลอย่างไร ควรเริ่มจากการประเมินความพร้อม หรือ ช่องโหว่ด้านการจัดการข้อมูล เพื่อที่จะได้วางแนวทางได้อย่างตรงจุด”
ทั้งนี้ การประเมินความพร้อมหรือช่องโหว่การบริหารจัดการข้อมูลขององค์กร ควรเริ่มด้วยการศึกษาและวิเคราะห์เพื่อระบุแหล่งที่มาข้อมูล โครงสร้างการจัดเก็บข้อมูล การเข้าถึง การไหลของข้อมูล จากนั้นประเมินความเสี่ยงและวิเคราะห์ ช่องโหว่ของมาตรการที่องค์กรดำเนินการอยู่ในปัจจุบัน และกำหนดมาตรการที่ต้องมีในการบริหารจัดการเพื่อคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด
นางฉันทนา กล่าวเสริมว่า การประเมินประสิทธิภาพของกระบวนการในการบริหารจัดการข้อมูลเป็นสิ่งที่องค์กรส่วนใหญ่ละเลย โดยองค์กรจำนวนมากมักให้ความสำคัญและพุ่งเป้าไปที่การนำเทคโนโลยีเข้ามาใช้ ซึ่งแท้จริงแล้วเทคโนโลยีมีส่วนช่วยเพียง 10% เท่านั้น และหากขาดการประเมินความพร้อมในการบริหารจัดการข้อมูล ก่อนการนำเทคโนโลยีเข้ามาใช้อาจประสบปัญหาว่าเทคโนโลยีดังกล่าวอาจไม่ได้เหมาะสมหรือตอบโจทย์ความต้องการที่แท้จริงขององค์กรในด้านการบริหารจัดการข้อมูล
หลังดำเนินการประเมินช่องโหว่การบริหารจัดการข้อมูล ขั้นตอนถัดมาคือการกำหนดแนวทางการจัดการข้อมูลเพื่อแก้ไขปัญหา ในปัจจุบันกระบวนการทำงานของธุรกิจส่วนใหญ่อยู่บนช่องทางออนไลน์และระบบเทคโนโลยีสารสนเทศ ทำให้มีข้อมูลปริมาณมากไหลเวียนภายในองค์กร โดยข้อมูลดังกล่าวอยู่กระจัดกระจาย ไม่ได้รวมอยู่ในที่เดียวกัน หรืออาจจะไม่ได้จัดเก็บรวบรวมอย่างเป็นระบบ ส่งผลไม่สามารถระบุได้อย่างชัดเจนว่าแหล่งข้อมูล (Source of Data) จัดเก็บอยู่ตรงไหนบ้าง ทำให้การป้องกันความเสี่ยงกรณีข้อมูลรั่วไหลหรือสูญหายเป็นเรื่องยากสำหรับองค์กร เนื่องจากอาจเกิดปัญหาที่ส่วนใดของการเก็บข้อมูลก็ได้
ด้วยเหตุนี้ หากต้องการอุดช่องโหว่ความเสี่ยงและเพิ่มความปลอดภัยในการดูแลข้อมูล จึงต้องปรับการจัดการข้อมูล ซึ่งประกอบด้วย 5 ขั้นตอนหลัก ดังนี้ 1.จัดทำ Data Mapping ซึ่งเป็นการจัดโครงสร้างข้อมูล เพื่อตรวจสอบว่าองค์กรมีข้อมูลอะไร และข้อมูลถูกเก็บไว้ที่ใดบ้าง โดยจะแสดงถึงแหล่งข้อมูลต้นทางปลายทาง ความสัมพันธ์ของข้อมูล และการไหลเวียนของข้อมูล ทำให้องค์กรนำข้อมูลไปใช้งานได้ง่ายขึ้น และหากเกิดปัญหาข้อมูลรั่วไหลหรือถูกขอให้ลบข้อมูล จะช่วยให้ระบุตำแหน่งข้อมูลได้อย่างรวดเร็ว
2.จัดลำดับความสำคัญของข้อมูล (Prioritization) เป็นการนำข้อมูลที่จัดให้เป็นระบบแล้ว มาจัดลำดับความสำคัญตามระดับความอ่อนไหวของข้อมูล (Sensitivity Level) ซึ่งข้อมูลที่มีความอ่อนไหวหมายถึงข้อมูลที่เสี่ยงสร้างความเสียหายต่อบุคคลหรือองค์กรหากมีการเปิดเผยข้อมูลนั้น โดยการจัดลำดับความสำคัญของข้อมูล จะช่วยให้องค์กรสามารถออกแบบนโยบาย แนวทางจัดการข้อมูล และวางแผนการดำเนินงานได้อย่างเหมาะสมในอนาคต
3.พัฒนาระบบควบคุมการเข้าถึงข้อมูล (Access Control System) เพื่อช่วยสร้างความปลอดภัยรัดกุมในการจัดการข้อมูล โดยระบบที่องค์กรควรพัฒนาเพิ่ม เช่น ระบบการให้สิทธิ์เข้าถึงข้อมูลและการยืนยันตัวตน การเข้ารหัสข้อมูลเพื่อรักษาความปลอดภัย (Encryption) รวมถึงการทำข้อมูลให้เป็นนิรนาม (Anonymization) ซึ่งหมายถึง การทำให้ข้อมูล ส่วนบุคคลไม่สามารถระบุตัวตนของบุคคลได้เพื่อคุ้มครองข้อมูลส่วนบุคคล เป็นต้น
4.กำหนดค่าและทดสอบระบบ (Configuration and Testing) โดยควรเริ่มจากการกำหนดมาตรฐานการตั้งค่าระบบปฏิบัติการ
5.ระบบฐานข้อมูล และอุปกรณ์อื่นๆ ภายในเครือข่าย เพื่อเพิ่มความปลอดภัยอีกขั้นในการเข้าถึงข้อมูล รวมถึงต้องจัดเก็บการเปลี่ยนแปลงการตั้งค่า และตรวจสอบการตั้งค่าอย่างสม่ำเสมอเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นกับระบบการจัดเก็บข้อมูล
6.ผลักดันสู่การปฏิบัติจริง (Implementation) ทางองค์กรควรมีทีมงานเฉพาะกิจในการวางแผนและบริหารจัดการ เพื่อผลักดันการให้แผนการจัดการข้อมูลเป็นไปอย่างมีประสิทธิภาพและถูกต้องตามกฎหมาย โดยคณะทำงานควรเป็นมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง
“การปรับโครงสร้างระบบเพื่อรักษาความปลอดภัยของข้อมูล เป็นสิ่งที่องค์กรต้องให้ความสำคัญและดำเนินการอย่างต่อเนื่อง อย่างไรก็ตาม สถานการณ์การระบาดของโควิด-19 ที่กลับมาน่ากังวลอีกครั้งเมื่อไม่นานนี้ ทำให้องค์กรตระหนักเรื่องนี้น้อยลง แตกต่างจากในช่วงแรกๆ ที่องค์กรต่างตื่นตัวเรื่องการปรับกระบวนการและการจัดการข้อมูลเพื่อให้สอดรับกับ PDPA ที่กำลังจะบังคับใช้ในปี 2564” นางฉันทชา กล่าว
ทั้งนี้ จากประสบการณ์ของบลูบิคในการให้คำปรึกษาแนะนำองค์กรเกี่ยวกับแนวทางการปรับกระบวนการธุรกิจให้สอดรับกับ PDPA มองว่า องค์กรควรให้ความสำคัญกับเรื่องข้อมูล โดยไม่มองข้าม 3 ประเด็น ได้แก่
1. การให้ความรู้ความเข้าใจเรื่อง PDPA กับบุคลากรในองค์กร เพื่อให้พร้อมสำหรับการปฏิบัติงานจริง
2. การกำหนดกระบวนการทำงานให้มีความชัดเจน ตั้งแต่การวางนโยบายและแผนกลยุทธ์การนำข้อมูลไปใช้งาน พร้อมระบุความชัดเจนของสิทธิ์ หน้าที่ และความรับผิดชอบ รวมไปถึงขั้นตอนการตรวจสอบหากเกิดกรณีข้อมูลรั่วไหล
และ 3. การเลือกใช้เทคโนโลยีให้เหมาะสมกับขนาดและระบบข้อมูลขององค์กร รวมถึงควรปรับเทคโนโลยีให้ทันสมัย เอื้อต่อการรักษาความปลอดภัยของข้อมูล ซึ่งการเตรียมความพร้อมอย่างรอบด้าน ทั้งเรื่องโครงสร้างข้อมูล บุคลากร กระบวนการ และเทคโนโลยีจะช่วยให้องค์กรประสบความสำเร็จในการอุดช่องโหว่ความเสี่ยง และรักษาความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ