- Details
- Category: ไอที-เทคโนฯ
- Published: Thursday, 24 December 2020 12:25
- Hits: 2996
Bluebik แนะแนวองค์กรแก้จุดอ่อนระบบจัดการข้อมูล
อุดช่องโหว่เสี่ยงภัยไซเบอร์-ปรับตัวรับ PDPA ใกล้บังคับใช้ในอีก 5 เดือน
บลูบิค (Bluebik) แนะธุรกิจเร่งอุดช่องโหว่ระบบจัดการข้อมูล เพิ่มความปลอดภัยในการคุ้มครองข้อมูลและป้องกันการโจรกรรมทางไซเบอร์ รวมถึงปรับกระบวนการให้สอดคล้องตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่จะบังคับใช้ในอีก 5 เดือนข้างหน้า โดยองค์กรต้องเริ่มที่การประเมินจุดอ่อนการเก็บข้อมูลภายใน พร้อมชี้แนวทางจัดการข้อมูลเพื่อแก้ไขปัญหา ซึ่งประกอบด้วย 5 ขั้นตอน ได้แก่ 1. จัดทำโครงสร้างข้อมูล (Data Mapping) 2. จัดลำดับความสำคัญของข้อมูล (Prioritization) 3. พัฒนาระบบควบคุมการเข้าถึงข้อมูล (Access Control System) 4. กำหนดค่าและทดสอบระบบ (Configuration and Testing) และ 5. ผลักดันสู่การปฏิบัติจริง (Implementation)
นางฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Chief Operation Officer (COO) บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า ปัจจุบัน ข้อมูลลูกค้าได้กลายเป็นสินทรัพย์สำคัญขององค์กร โดยเฉพาะสำหรับการทำการตลาดแบบ Personalized Marketing ที่ให้ธุรกิจสามารถนำเสนอสินค้าและบริการได้ตรงความต้องการ ตอบโจทย์ปัญหาของผู้บริโภค จนนำไปสู่การสร้างยอดขายเพิ่มขึ้น ดังนั้น องค์กรจึงต้องให้ความสำคัญมากขึ้นกับการรักษาความปลอดภัยของข้อมูล (Data Security) เพื่อป้องกันความเสี่ยงข้อมูลภายในองค์กรรั่วไหล การถูกโจรกรรมข้อมูล รวมถึงการต้องปรับกระบวนการให้สอดคล้องกับระเบียบข้อบังคับต่างๆ ของภาครัฐ เช่น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่กำลังจะมีผลบังคับใช้ ในวันที่ 27 พ.ค. 2564
“ในปัจจุบันหลายองค์กรต่างตระหนักถึงความสำคัญของการดูแลความปลอดภัยของข้อมูล แต่ยังไม่แน่ใจว่าควรต้องเริ่มดำเนินการอย่างไร ทั้งนี้ ในการกำหนดแนวทางว่าควรบริหารจัดการจากการข้อมูลอย่างไร ควรเริ่มจากการประเมิน ความพร้อม หรือ ช่องโหว่ด้านการจัดการข้อมูล เพื่อที่จะได้วางแนวทางได้อย่างตรงจุด” นางฉันทชา กล่าว
ทั้งนี้ การประเมินความพร้อมหรือช่องโหว่การบริหารจัดการข้อมูลขององค์กร ควรเริ่มด้วยการศึกษาและวิเคราะห์เพื่อระบุแหล่งที่มาข้อมูล โครงสร้างการจัดเก็บข้อมูล การเข้าถึง การไหลของข้อมูล จากนั้นประเมินความเสี่ยงและวิเคราะห์ ช่องโหว่ของมาตรการที่องค์กรดำเนินการอยู่ในปัจจุบัน และกำหนดมาตรการที่ต้องมีในการบริหารจัดการเพื่อคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ซึ่งมาตรการ รวมถึงกระบวนการบริหารจัดการข้อมูล องค์กรควรพิจารณาตั้งแต่ขั้นตอนการขอความยินยอมจากเจ้าของข้อมูล (Consent) ซึ่งต้องแจ้งอย่างเป็นลายลักษณ์อักษร พร้อมชี้แจงวัตถุประสงค์การเก็บ/ การประมวลข้อมูล รายละเอียด ระยะเวลา และสิทธิของเจ้าของข้อมูล
“การประเมินประสิทธิภาพของกระบวนการในการบริหารจัดการข้อมูลเป็นสิ่งที่องค์กรส่วนใหญ่ละเลย โดยองค์กรจำนวนมากมักให้ความสำคัญและพุ่งเป้าไปที่การนำเทคโนโลยีเข้ามาใช้ ซึ่งแท้จริงแล้วเทคโนโลยีมีส่วนช่วยเพียง 10% เท่านั้น และหากขาดการประเมินความพร้อมในการบริหารจัดการข้อมูล ก่อนการนำเทคโนโลยีเข้ามาใช้อาจประสบปัญหาว่าเทคโนโลยีดังกล่าวอาจไม่ได้เหมาะสมหรือตอบโจทย์ความต้องการที่แท้จริงขององค์กรในด้านการบริหารจัดการข้อมูล” นางฉันทชา เสริม
หลังดำเนินการประเมินช่องโหว่การบริหารจัดการข้อมูล ขั้นตอนถัดมาคือการกำหนดแนวทางการจัดการข้อมูลเพื่อแก้ไขปัญหา ในปัจจุบันกระบวนการทำงานของธุรกิจส่วนใหญ่อยู่บนช่องทางออนไลน์และระบบเทคโนโลยีสารสนเทศ ทำให้มีข้อมูลปริมาณมากไหลเวียนภายในองค์กร โดยข้อมูลดังกล่าวอยู่กระจัดกระจาย ไม่ได้รวมอยู่ในที่เดียวกัน หรืออาจจะไม่ได้จัดเก็บรวบรวมอย่างเป็นระบบ ส่งผลไม่สามารถระบุได้อย่างชัดเจนว่าแหล่งข้อมูล (Source of Data) จัดเก็บอยู่ตรงไหนบ้าง ทำให้การป้องกันความเสี่ยงกรณีข้อมูลรั่วไหลหรือสูญหายเป็นเรื่องยากสำหรับองค์กร เนื่องจากอาจเกิดปัญหาที่ส่วนใดของการเก็บข้อมูลก็ได้
ด้วยเหตุนี้ หากต้องการอุดช่องโหว่ความเสี่ยงและเพิ่มความปลอดภัยในการดูแลข้อมูล จึงต้องปรับการจัดการข้อมูล ซึ่งประกอบด้วย 5 ขั้นตอนหลัก ดังนี้
1. จัดทำ Data Mapping ซึ่งเป็นการจัดโครงสร้างข้อมูล เพื่อตรวจสอบว่าองค์กรมีข้อมูลอะไร และข้อมูลถูกเก็บไว้ที่ใดบ้าง โดยจะแสดงถึงแหล่งข้อมูลต้นทางปลายทาง ความสัมพันธ์ของข้อมูล และการไหลเวียนของข้อมูล ทำให้องค์กรนำข้อมูลไปใช้งานได้ง่ายขึ้น และหากเกิดปัญหาข้อมูลรั่วไหลหรือถูกขอให้ลบข้อมูล จะช่วยให้ระบุตำแหน่งข้อมูลได้อย่างรวดเร็ว
2. จัดลำดับความสำคัญของข้อมูล (Prioritization) เป็นการนำข้อมูลที่จัดให้เป็นระบบแล้ว มาจัดลำดับความสำคัญตามระดับความอ่อนไหวของข้อมูล (Sensitivity Level) ซึ่งข้อมูลที่มีความอ่อนไหวหมายถึงข้อมูลที่เสี่ยงสร้างความเสียหายต่อบุคคลหรือองค์กรหากมีการเปิดเผยข้อมูลนั้น โดยการจัดลำดับความสำคัญของข้อมูล จะช่วยให้องค์กรสามารถออกแบบนโยบาย แนวทางจัดการข้อมูล และวางแผนการดำเนินงานได้อย่างเหมาะสมในอนาคต
3. พัฒนาระบบควบคุมการเข้าถึงข้อมูล (Access Control System) เพื่อช่วยสร้างความปลอดภัยรัดกุมในการจัดการข้อมูล โดยระบบที่องค์กรควรพัฒนาเพิ่ม เช่น ระบบการให้สิทธิ์เข้าถึงข้อมูลและการยืนยันตัวตน การเข้ารหัสข้อมูลเพื่อรักษาความปลอดภัย (Encryption) รวมถึงการทำข้อมูลให้เป็นนิรนาม (Anonymization) ซึ่งหมายถึง การทำให้ข้อมูล ส่วนบุคคลไม่สามารถระบุตัวตนของบุคคลได้เพื่อคุ้มครองข้อมูลส่วนบุคคล เป็นต้น
4. กำหนดค่าและทดสอบระบบ (Configuration and Testing) โดยควรเริ่มจากการกำหนดมาตรฐานการตั้งค่าระบบปฏิบัติการ ระบบฐานข้อมูล และอุปกรณ์อื่นๆ ภายในเครือข่าย เพื่อเพิ่มความปลอดภัยอีกขั้นในการเข้าถึงข้อมูล รวมถึงต้องจัดเก็บการเปลี่ยนแปลงการตั้งค่า และตรวจสอบการตั้งค่าอย่างสม่ำเสมอเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นกับระบบการจัดเก็บข้อมูล
5. ผลักดันสู่การปฏิบัติจริง (Implementation) ทางองค์กรควรมีทีมงานเฉพาะกิจในการวางแผนและบริหารจัดการ เพื่อผลักดันการให้แผนการจัดการข้อมูลเป็นไปอย่างมีประสิทธิภาพและถูกต้องตามกฎหมาย โดยคณะทำงานควรเป็นมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง
“คงต้องบอกว่า การปรับโครงสร้างระบบเพื่อรักษาความปลอดภัยของข้อมูล เป็นสิ่งที่องค์กรต้องให้ความสำคัญและดำเนินการอย่างต่อเนื่อง อย่างไรก็ตาม สถานการณ์การระบาดของโควิด-19 ที่กลับมาน่ากังวลอีกครั้งเมื่อไม่นานนี้ ทำให้องค์กรตระหนักเรื่องนี้น้อยลง แตกต่างจากในช่วงแรกๆ ที่องค์กรต่างตื่นตัวเรื่องการปรับกระบวนการและการจัดการข้อมูลเพื่อให้สอดรับกับ PDPA ที่กำลังจะบังคับใช้ในปี 2564” นางฉันทชา กล่าว
จากประสบการณ์ของบลูบิค ในการให้คำปรึกษาแนะนำองค์กรเกี่ยวกับแนวทางการปรับกระบวนการธุรกิจให้สอดรับกับ PDPA มองว่า องค์กรควรให้ความสำคัญกับเรื่องข้อมูล โดยไม่มองข้าม 3 ประเด็น ได้แก่ 1. การให้ความรู้ความเข้าใจเรื่อง PDPA กับบุคลากรในองค์กร เพื่อให้พร้อมสำหรับการปฏิบัติงานจริง 2. การกำหนดกระบวนการทำงานให้มีความชัดเจน ตั้งแต่การวางนโยบายและแผนกลยุทธ์การนำข้อมูลไปใช้งาน พร้อมระบุความชัดเจนของสิทธิ์ หน้าที่ และความรับผิดชอบ รวมไปถึงขั้นตอนการตรวจสอบหากเกิดกรณีข้อมูลรั่วไหล และ 3. การเลือกใช้เทคโนโลยีให้เหมาะสมกับขนาดและระบบข้อมูลขององค์กร รวมถึงควรปรับเทคโนโลยีให้ทันสมัย เอื้อต่อการรักษาความปลอดภัยของข้อมูล ซึ่งการเตรียมความพร้อมอย่างรอบด้าน ทั้งเรื่องโครงสร้างข้อมูล บุคลากร กระบวนการ และเทคโนโลยีจะช่วยให้องค์กรประสบความสำเร็จในการอุดช่องโหว่ความเสี่ยง และรักษาความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ นางฉันทชา ทิ้งท้าย
A12811
******************************************
กด Like - Share เพจ Corehoon-Power Time เพื่อติดตามเคล็ดลับ ข่าวสาร เทรนด์ และบทวิเคราะห์ดีๆ อัพเดตทุกวัน คัดสรรมาเพื่อท่านนักลงทุนโดยเฉพาะ