Breaking News

หน่วยงานรัฐบาลสหรัฐฯแนะ 6 ข้อปฏิบัติเพื่อการใช้งานคลาวด์อย่างมั่นคงปลอดภัย

Federal Trade Commission (FTC) ได้ออกแนะนำ 6 ข้อปฏิบัติให้องค์กรได้ตระหนักเพื่อใช้งานคลาวด์ได้อย่างมั่นคงปลอดภัย

Credit: ShutterStock.com

1.) ความมั่นคงปลอดภัยคือความรับผิดชอบของคุณเองเสมอ

ผู้บริโภคเองคือคนที่ต้องรับผิดชอบเรื่องความมั่นคงปลอดภัย แม้ว่าเราจะมีผู้ให้บริการคลาวด์ที่ทำหน้าที่เก็บและประมวลผลข้อมูล แต่ไม่ได้หมายความว่าหน้าที่รักษาความมั่นคงปลอดภัยจะหายไปจากเรา ดังนั้นองค์กรจึงควรมีโปรแกรมสำหรับความมั่นคงปลอดภัยของข้อมูล ว่าจะรักษาข้อมูลนั้นอย่างไรและทำอย่างต่อเนื่อง รวมถึงต้องเทรนพนักงานให้เข้าใจแผนและความรับผิดชอบ และสุดท้ายองค์กรต้องนั่งรีวิวสัญญาที่ทำไว้กับผู้ให้บริการถึงขอบเขตความรับผิดชอบว่าส่วนไหนของใคร และหากเกิดเหตุจะต้องทราบว่าควรติดต่อใครอย่างชัดเจน

2.) คอยรับฟังและตื่นตัวกับคำเตือนต่างๆ

ผู้ให้บริการคลาวด์หลายเจ้ามีเครื่องมือตรวจสอบว่า Repository ของลูกค้านั้น เข้าถึงได้ผ่านอินเทอร์เน็ตแบบสาธารณะหรือไม่ ทั้งนี้ก็จะมีนักวิจัยที่ควรตรวจตราอยู่เองด้วย ซึ่งหากพบว่าทรัพยากรของเรามีความเสี่ยงจากออนไลน์ก็อาจมีคำเตือนติดต่อมา ดังนั้นก็คอยรับข่าวสารคำเตือนต่างๆ เอาไว้ด้วย อย่าประมาท

3.) ต้องทราบว่าเก็บข้อมูลอะไรไว้ที่ไหนและได้รับการดูแลป้องกันอย่างไร

ผู้ให้บริการคลาวด์หลายเจ้าจะมือเครื่องมือที่ช่วยให้เราทราบถึงแผนผังของข้อมูลของเรา เช่น Dashboard หรือ Management Console ด้วยเหตุนี้องค์กรจะต้องทำให้แน่ใจว่าทราบถึงการเก็บข้อมูลต่างๆ ว่าวางอยู่ที่ไหนบ้าง และมีการตั้งค่าการป้องกันเหมาะสมไหมอย่างไร ซึ่งควรจะมีการทดสอบการตั้งค่าด้วยว่ามาตรการที่มีอยู่เพียงพอแล้วหรือยัง พร้อมกันนี้ต้องดูแล Log เพื่อให้เราสามารถติดตาม Repository ได้อย่างต่อเนื่อง

4.) ใช้ประโยชน์จากฟีเจอร์ด้านความมั่นคงปลอดภัยของผู้ให้บริการให้มากที่สุด

ผู้ให้บริการคลาวด์แทบทุกเจ้าต่างมีฟีเจอร์ด้านความมั่นคงปลอดภัยอยู่แล้ว ด้วยเหตุนี้เองมีของก็ต้องใช้ ซึ่งแต่ละรายยังมีเอกสารแนวปฏิบัติ (Best Practice) ไว้ให้ด้วย ดังนั้นองค์กรจะต้องเข้าใจการตั้งค่าและคอนฟิคให้เหมาะสม โดยมีข้อแนะนำดังนี้

  • เข้าใจธรรมชาติของข้อมูลที่ถูกเก็บ ประมวลผล หรือใช้งานในคลาวด์
  • เข้าใจความเสี่ยงที่เกิดขึ้นกับแต่ละข้อมูลเช่น จำเป็นหรือไม่ ใครเข้าถึงได้
  • จะป้องกันหรือลดความเสี่ยงในการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาตได้อย่างไร

5.) ใช้การเข้ารหัสที่ดีพอ

การเข้ารหัสโดยอัลกอริทึมที่มั่นคงปลอดภัยและต้องยังอัปเดตอยู่เป็นเรื่องสำคัญ เพราะจะช่วยลดผลกระทบจากการที่ข้อมูลถูกขโมย แก้ไข หรือนำไปใช้ในทางที่ไม่เหมาะสม อย่างไรก็ดีองค์กรสามารถพิจารณาใช้มาตรการให้เหมาะสมได้ตามความสำคัญของข้อมูล

6.) อย่าเก็บข้อมูลเกินความจำเป็น

ด้วยแนวคิดที่ว่า Storage บนคลาวด์ถูกจัง ทำให้หลายองค์กรมองว่าเก็บข้อมูลไว้เถอะเผื่อวันหน้าได้ใช้ อันที่จริงแล้วกลับเพิ่มปัญหาได้ดังนี้

  • Practical – ในความจริงนั้น ข้อมูลเก่าส่วนใหญ่มักหาประโยชน์ไม่ได้ ลองพิจรารณาดูตามความเหมาะสม
  • Legal – ตามกฏหมายข้อมูลส่วนบุคคลนั้น การเก็บข้อมูลที่ไม่เกี่ยวข้องไว้นานเกินอาจซวยได้ 
  • Security – ยิ่งมีข้อมูลมากก็มีความเสี่ยงที่จะถูกขโมยได้มากหรือได้รับความเสียหายมาก
  • Contractual – การทำเช่นนี้อาจละเมิดต่อสัญญาทางธุรกิจได้

ด้วยเหตุที่กล่าวมานี้จึงเป็นเหตุผลว่าองค์กรควรเก็บข้อมูลเท่าที่จำเป็นเท่านั้น เพราะการเก็บมาเยอะแต่รับผิดชอบไม่ได้อาจมีความผิดทางกฏหมายและได้รับผลกระทบรุนแรงในภายหลัง

ที่มา : https://cloudsecurityalliance.org/blog/2020/07/06/ftc-guidance-six-steps-toward-more-secure-cloud-computing/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Facebook เปิดตัว Pysa เครื่องมือ Open Source Static Analysis เสริมความมั่นคงปลอดภัยให้โค้ด Python

Facebook ได้ออกมาประกาศเปิด Open Source ให้กับ Pysa เครื่องมือ Static Analysis Tool ที่ Facebook ได้พัฒนาขึ้นมาเพื่อตรวจจับและป้องกันประเด็นด้าน Security และ Privacy ภายในโค้ดภาษา Python

Arm แจกฟรีรายงาน The IoT Business Index 2020 สรุปแนวโน้มการใช้ IoT ในธุรกิจจากการสำรวจผู้บริหารทั่วโลก

เพื่อให้ธุรกิจในอุตสาหกรรมต่างๆ ทั่วโลกสามารถติดตามแนวโน้มการนำอุปกรณ์ IoT มาใช้งานในธุรกิจองค์กรได้ ทาง The Economist จึงได้ร่วมกับ Arm จัดทำการสำรวจและสรุปออกมาเป็นรายงาน The IoT Business Index 2020 …