5 ข้อผิดพลาดในการรักษาความปลอดภัยข้อมูลขององค์กร

แต่ละองค์กรมีมาตรการรักษาความมั่นคงปลอดภัยที่ต่างกันออกไป บ้างก็ใส่ใจกับการผ่านเกณฑ์ปฏิบัติแต่นั่นก็ไม่ได้หมายความว่าการผ่านมาตรฐานประเมินแล้วจะสบายใจได้ วันนี้เราจึงได้นำบทความที่แสดงถึงสิ่งที่องค์กรอาจจะหลงลืมหรือนิ่งนอนใจจนไปสู่การรั่วไหลของข้อมูลในอนาคต

Credit: ShutterStock.com

1.ผ่านการตรวจข้อบังคับระดับองค์กรแล้วก็สบายใจ

นี่เป็นเรื่องที่ผิดมากเพราะแม้จะสามารถผ่านการตรวจข้อบังคับไม่ได้หมายความว่าองค์กรจะมีความมั่นคงปลอดภัย องค์กรต่างเสาะหาเครื่องมือมาช่วยให้ตนผ่านเกณฑ์ข้อบังคับขององค์กร แต่ก็มีตัวอย่างเหตุการณ์รั่วไหลหลายครั้งซึ่งก็เกิดกับบริษัทที่ผ่านการตรวจสอบตามข้อบังคับกันมาทั้งนั้น

2.ไม่ได้จัดการควบคุมข้อมูลจากศูนย์กลาง

ข้อบังคับขององค์กรสร้าง Awareness ก็จริงแต่ไม่ได้สร้างคำสั่งเพื่อไปควบคุมความเป็นส่วนตัวและความมั่นคงปลอดภัยในภาพกว้าง อีกทั้งการเติบโตของข้อมูลมักมีแหล่งที่มาปรากฏขึ้นใหม่ทุกวันหรือไม่ก็ทุกอาทิตย์ซึ่งมีข้อมูลละเอียดอ่อนปะปนอยู่ในนั้นเสียด้วย จึงจำเป็นต้องรวบศูนย์การควบคุมข้อมูลให้ได้

3.ไม่ได้แบ่งความรับผิดชอบชัดเจน

หลายองค์กรไม่ได้มีการแบ่งหน้าที่กันชัดเจนว่าข้อมูลละเอียดอ่อนที่เก็บมาหรือที่แชร์กัน รวมถึงที่ใช้เพื่อปฏิบัติการทางธุรกิจ ส่วนไหนเป็นความรับผิดชอบของใคร พอเกิดปัญหาหรือเมื่อต้องการใช้ข้อมูลก็วุ่นวายกันใหญ่ทีเดียวเลย

4.ผิดพลาดที่ไม่แก้ไขช่องโหว่ที่ทราบอยู่แล้ว

มีสถิติจาก Gartner พบว่าการเจาะระบบกว่า 99% ใช้ช่องโหว่ที่รู้กันอยู่แล้ว เหตุการณ์ข้อมูลรั่วไหลต่างๆ ที่ได้ยินส่วนใหญ่ก็เกิดจากการไม่แพตซ์แก้ไขนั่นเอง

5.ไม่มีการจัดลำดับความสำคัญของข้อมูลและไม่ใช้ประโยชน์จากกิจกรรมติดตามข้อมูล

การติดตามข้อมูลเป็นส่วนที่สำคัญอย่างยิ่งในกลยุทธ์ด้านความมั่นคงปลอดภัยที่องค์กรต้องมีเพื่อทราบว่าใครทำอะไร ที่ไหน อย่างไร เพื่อแยกแยะพฤติกรรมที่ปกติหรือดูมีความเสี่ยง อีกทั้งความเป็นจริงแล้วเป็นเรื่องยากที่ฝ่ายไอทีจะได้รับงบประมาณมากเพียงพอที่จะปกป้องได้ทุกส่วน ดังนั้นเราควรจัดลำดับความสำคัญของข้อมูลว่าส่วนไหนต้องให้ความสำคัญอย่างไร

ที่มา : https://securityintelligence.com/five-epic-fails-in-data-security-do-you-know-how-to-avoid-them/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

พบมัลแวร์ตัวใหม่ ‘VPNFilter’ มุ่งโจมตี Router มีเหยื่อแล้วกว่า 5 แสนราย

นักวิจัยด้านความมั่นคงปลอดภัยจาก Cisco ได้พบกลุ่มเราเตอร์กว่า 5 แสนอุปกรณ์ที่ตกเป็นเหยื่อของมัลแวร์ตัวใหม่ชื่อว่า ‘VPNFilter’ โดยมัลแวร์ตัวนี้มีความซับซ้อนในการปฏิบัติการสูง สามารถทำรอดจากการบูตระบบ ค้นหาส่วนประกอบของ SCADA หรือทำลายฟังก์ชันของ Firmware จนอุปกรณ์ไม่สามารถใช้งานได้ นอกจากนี้มัลแวร์สามารถปฏิบัติการได้ในเราเตอร์หลายยี่ห้อรวมถึงอุปกรณ์ NAS …

True IDC ผ่านมาตรฐาน PCI-DSS เพิ่มความแกร่งบริการ Data Center ต่อยอดรองรับธุรกิจด้านการเงินเต็มรูปแบบ

True IDC ผู้นำธุรกิจ Data Center และ Cloud Computing แบบครบวงจรในประเทศไทย ผ่านการตรวจประเมินมาตรฐานด้านความมั่นคงปลอดภัยสารสนเทศที่เกี่ยวข้องกับการชำระเงินผ่านบัตรอย่าง PCI-DSS 3.2 พร้อมให้บริการ Infrastructure แก่สถาบันการเงิน ธุรกิจประกันภัย …