Breaking News

5 ข้อผิดพลาดในการรักษาความปลอดภัยข้อมูลขององค์กร

แต่ละองค์กรมีมาตรการรักษาความมั่นคงปลอดภัยที่ต่างกันออกไป บ้างก็ใส่ใจกับการผ่านเกณฑ์ปฏิบัติแต่นั่นก็ไม่ได้หมายความว่าการผ่านมาตรฐานประเมินแล้วจะสบายใจได้ วันนี้เราจึงได้นำบทความที่แสดงถึงสิ่งที่องค์กรอาจจะหลงลืมหรือนิ่งนอนใจจนไปสู่การรั่วไหลของข้อมูลในอนาคต

Credit: ShutterStock.com

1.ผ่านการตรวจข้อบังคับระดับองค์กรแล้วก็สบายใจ

นี่เป็นเรื่องที่ผิดมากเพราะแม้จะสามารถผ่านการตรวจข้อบังคับไม่ได้หมายความว่าองค์กรจะมีความมั่นคงปลอดภัย องค์กรต่างเสาะหาเครื่องมือมาช่วยให้ตนผ่านเกณฑ์ข้อบังคับขององค์กร แต่ก็มีตัวอย่างเหตุการณ์รั่วไหลหลายครั้งซึ่งก็เกิดกับบริษัทที่ผ่านการตรวจสอบตามข้อบังคับกันมาทั้งนั้น

2.ไม่ได้จัดการควบคุมข้อมูลจากศูนย์กลาง

ข้อบังคับขององค์กรสร้าง Awareness ก็จริงแต่ไม่ได้สร้างคำสั่งเพื่อไปควบคุมความเป็นส่วนตัวและความมั่นคงปลอดภัยในภาพกว้าง อีกทั้งการเติบโตของข้อมูลมักมีแหล่งที่มาปรากฏขึ้นใหม่ทุกวันหรือไม่ก็ทุกอาทิตย์ซึ่งมีข้อมูลละเอียดอ่อนปะปนอยู่ในนั้นเสียด้วย จึงจำเป็นต้องรวบศูนย์การควบคุมข้อมูลให้ได้

3.ไม่ได้แบ่งความรับผิดชอบชัดเจน

หลายองค์กรไม่ได้มีการแบ่งหน้าที่กันชัดเจนว่าข้อมูลละเอียดอ่อนที่เก็บมาหรือที่แชร์กัน รวมถึงที่ใช้เพื่อปฏิบัติการทางธุรกิจ ส่วนไหนเป็นความรับผิดชอบของใคร พอเกิดปัญหาหรือเมื่อต้องการใช้ข้อมูลก็วุ่นวายกันใหญ่ทีเดียวเลย

4.ผิดพลาดที่ไม่แก้ไขช่องโหว่ที่ทราบอยู่แล้ว

มีสถิติจาก Gartner พบว่าการเจาะระบบกว่า 99% ใช้ช่องโหว่ที่รู้กันอยู่แล้ว เหตุการณ์ข้อมูลรั่วไหลต่างๆ ที่ได้ยินส่วนใหญ่ก็เกิดจากการไม่แพตซ์แก้ไขนั่นเอง

5.ไม่มีการจัดลำดับความสำคัญของข้อมูลและไม่ใช้ประโยชน์จากกิจกรรมติดตามข้อมูล

การติดตามข้อมูลเป็นส่วนที่สำคัญอย่างยิ่งในกลยุทธ์ด้านความมั่นคงปลอดภัยที่องค์กรต้องมีเพื่อทราบว่าใครทำอะไร ที่ไหน อย่างไร เพื่อแยกแยะพฤติกรรมที่ปกติหรือดูมีความเสี่ยง อีกทั้งความเป็นจริงแล้วเป็นเรื่องยากที่ฝ่ายไอทีจะได้รับงบประมาณมากเพียงพอที่จะปกป้องได้ทุกส่วน ดังนั้นเราควรจัดลำดับความสำคัญของข้อมูลว่าส่วนไหนต้องให้ความสำคัญอย่างไร

ที่มา : https://securityintelligence.com/five-epic-fails-in-data-security-do-you-know-how-to-avoid-them/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

เชิญร่วมสัมมนาฟรี วิศวกรรมแห่งชาติ 61 อัปเดต Security, Blockchain, IoT, AI, AR, VR ในงานเดียว

ด้วยวิศวกรรมสถานแห่งประเทศไทย ในพระบรมราชูปถัมภ์ (วสท.) เป็นสมาคมวิชาชีพทางด้านวิศวกรรม มีภารกิจในการบริการสมาชิกด้านการจัดฝึกอบรมจัดทำมาตรฐานวิชาชีพทางด้านวิศวกรรม และให้บริการหน่วยงานภาครัฐ เอกชน และประชาชนในการให้คำปรึกษาทางด้านวิศวกรรม และเป็นองค์กรกลางทางด้านวิศวกรรมจนเป็นที่ยอมรับของหน่วยงานภาครัฐเอกชน ซึ่งในปี 2561 วิศวกรรมสถานแห่งประเทศไทยฯ ครบรอบ 75 ปี …

Facebook ออกแถลงการณ์ สรุป 30 ล้านบัญชีถูกแฮ็ก พร้อมเปิดให้ตรวจสอบว่าได้รับผลกระทบหรือไม่

หลังจากที่มีข่าว Facebook เกิดเหตุ Data Breach ครั้งใหญ่ที่สุดในประวัติการณ์เมื่อปลายเดือนกันยายนที่ผ่านมา ส่งผลให้แฮ็กเกอร์สามารถขโมย Access Token ลับของผู้ใช้กว่า 50 ล้านคนผ่านฟีเจอร์ “View As” ออกไปได้ …