5 ข้อผิดพลาดในการรักษาความปลอดภัยข้อมูลขององค์กร

แต่ละองค์กรมีมาตรการรักษาความมั่นคงปลอดภัยที่ต่างกันออกไป บ้างก็ใส่ใจกับการผ่านเกณฑ์ปฏิบัติแต่นั่นก็ไม่ได้หมายความว่าการผ่านมาตรฐานประเมินแล้วจะสบายใจได้ วันนี้เราจึงได้นำบทความที่แสดงถึงสิ่งที่องค์กรอาจจะหลงลืมหรือนิ่งนอนใจจนไปสู่การรั่วไหลของข้อมูลในอนาคต

Credit: ShutterStock.com

1.ผ่านการตรวจข้อบังคับระดับองค์กรแล้วก็สบายใจ

นี่เป็นเรื่องที่ผิดมากเพราะแม้จะสามารถผ่านการตรวจข้อบังคับไม่ได้หมายความว่าองค์กรจะมีความมั่นคงปลอดภัย องค์กรต่างเสาะหาเครื่องมือมาช่วยให้ตนผ่านเกณฑ์ข้อบังคับขององค์กร แต่ก็มีตัวอย่างเหตุการณ์รั่วไหลหลายครั้งซึ่งก็เกิดกับบริษัทที่ผ่านการตรวจสอบตามข้อบังคับกันมาทั้งนั้น

2.ไม่ได้จัดการควบคุมข้อมูลจากศูนย์กลาง

ข้อบังคับขององค์กรสร้าง Awareness ก็จริงแต่ไม่ได้สร้างคำสั่งเพื่อไปควบคุมความเป็นส่วนตัวและความมั่นคงปลอดภัยในภาพกว้าง อีกทั้งการเติบโตของข้อมูลมักมีแหล่งที่มาปรากฏขึ้นใหม่ทุกวันหรือไม่ก็ทุกอาทิตย์ซึ่งมีข้อมูลละเอียดอ่อนปะปนอยู่ในนั้นเสียด้วย จึงจำเป็นต้องรวบศูนย์การควบคุมข้อมูลให้ได้

3.ไม่ได้แบ่งความรับผิดชอบชัดเจน

หลายองค์กรไม่ได้มีการแบ่งหน้าที่กันชัดเจนว่าข้อมูลละเอียดอ่อนที่เก็บมาหรือที่แชร์กัน รวมถึงที่ใช้เพื่อปฏิบัติการทางธุรกิจ ส่วนไหนเป็นความรับผิดชอบของใคร พอเกิดปัญหาหรือเมื่อต้องการใช้ข้อมูลก็วุ่นวายกันใหญ่ทีเดียวเลย

4.ผิดพลาดที่ไม่แก้ไขช่องโหว่ที่ทราบอยู่แล้ว

มีสถิติจาก Gartner พบว่าการเจาะระบบกว่า 99% ใช้ช่องโหว่ที่รู้กันอยู่แล้ว เหตุการณ์ข้อมูลรั่วไหลต่างๆ ที่ได้ยินส่วนใหญ่ก็เกิดจากการไม่แพตซ์แก้ไขนั่นเอง

5.ไม่มีการจัดลำดับความสำคัญของข้อมูลและไม่ใช้ประโยชน์จากกิจกรรมติดตามข้อมูล

การติดตามข้อมูลเป็นส่วนที่สำคัญอย่างยิ่งในกลยุทธ์ด้านความมั่นคงปลอดภัยที่องค์กรต้องมีเพื่อทราบว่าใครทำอะไร ที่ไหน อย่างไร เพื่อแยกแยะพฤติกรรมที่ปกติหรือดูมีความเสี่ยง อีกทั้งความเป็นจริงแล้วเป็นเรื่องยากที่ฝ่ายไอทีจะได้รับงบประมาณมากเพียงพอที่จะปกป้องได้ทุกส่วน ดังนั้นเราควรจัดลำดับความสำคัญของข้อมูลว่าส่วนไหนต้องให้ความสำคัญอย่างไร

ที่มา : https://securityintelligence.com/five-epic-fails-in-data-security-do-you-know-how-to-avoid-them/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้