ADPT

[Guest Post] เช็คความพร้อมไอทีก่อน PDPA บังคับใช้

เช็คความพร้อมไอทีก่อน PDPA บังคับใช้  : โดยนายวรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด

 

เชื่อว่าหลายองค์กรในขณะนี้ต่างมีความเข้าใจถึงความสำคัญของการบังคับใช้กฎหมาย PDPA ซึ่งหัวใจสำคัญอยู่ที่ การจัดการข้อมูลส่วนบุคคล ซึ่งจะเป็นการเสริมความมั่นคงปลอดภัยและความมั่นใจให้กับลูกค้าหรือผู้ใช้งาน เพื่อเป็นการส่งท้ายก่อนกฎหมาย PDPA จะมีผลบังคับใช้อย่างเป็นทางการในกลางปีนี้ จึงอยากเชิญชวนองค์กรมาเช็คความพร้อมของระบบไอทีไม่ให้ตกหล่นเครื่องมือสำคัญที่ต้องมีเพื่อให้การดำเนินการตามกฎหมายมีประสิทธิภาพและปลอดภัยสูง นั่นคือ

เครื่องมือค้นหาและจัดประเภทข้อมูล (Data Discovery and Classification)

          เพราะแต่ละองค์กรต่างมีการจัดเก็บและเรียกใช้และปรับปรุงข้อมูลมากมาย กระจัดกระจายอยู่ในระบบทั้งในองค์กร นอกองค์กร บนคลาวด์ หรือแม้ในปลายทาง หรือ เอนด์พอยต์ อย่างโทรศัพท์มือถือ หรือ BYOD ต่าง ๆ ดังนั้น การค้นหาและจัดประเภทข้อมูล จึงเป็นก้าวเริ่มต้นที่สำคัญในการวางระบบความปลอดภัยให้ข้อมูล เพราะเราคงไม่สามารถคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลใด ๆ ได้เลยหากไม่รู้ว่าข้อมูลนั้นอยู่ที่ไหน ข้อมูลใดสำคัญหรือไม่สำคัญและควรกำหนดแนวทางคุ้มครองอย่างไร การมีเครื่องมือไอทีที่ดีในการจัดทำคลังข้อมูลส่วนบุคคล นับเป็นการสร้างกระบวนการบริหารเชิงรุกไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์หรือผิดกฎหมาย ไม่ว่าจะเป็นการเพิ่มประสิทธิภาพในการค้นหา ระบุตำแหน่งที่จัดเก็บ และคัดแยกประเภทของข้อมูลส่วนบุคคลในระบบ การกำหนดสิทธิในการเข้าถึงผ่านการกำกับดูแลได้จากจุดเดียว สามารถติดตามกิจกรรมที่เกิดขึ้นกับการเรียกหรือใช้งานข้อมูลเหล่านั้นได้ทั้งการตรวจสอบย้อนหลัง หรือป้องปรามโดยการแจ้งเตือนทันทีที่เกิดการละเมิดนโยบายหรือข้อตกลง รวมถึงป้องกันการเข้าถึงข้อมูลด้วยการเข้ารหัส หรือเพิ่มการวิเคราะห์ตรวจประเมินช่องโหว่ตามมาตรฐานความปลอดภัยสากลต่าง ๆ เช่น DoD STIG, CIS, CVE ซึ่งในตลาดขณะนี้ก็มีโซลูชันให้เลือกใช้ได้อย่างครอบคลุม อาทิ IBM Security Guardium

ดังนั้นการบริหารจัดการกับปริมาณข้อมูลส่วนบุคคลที่มีปริมาณมากและเพิ่มขึ้นตลอดเวลา การมีเครื่องมือช่วยบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปตามกฎระเบียบข้อบังคับอย่างมีประสิทธิภาพ จะสามารถเพิ่มความน่าเชื่อถือให้กับองค์กร และลดความเสี่ยงของความเสียหายที่อาจเกิดขึ้นได้เป็นอย่างดี

 

เครื่องมือป้องกันการรั่วไหลของข้อมูล (Breach Management)

          แนวทางป้องกันข้อมูลไม่ให้เกิดการรั่วไหลได้อย่างมีประสิทธิภาพ ควรดำเนินการควบคู่กันทั้งสองด้าน ได้แก่ การติดตั้งเครื่องมือหรือแพลตฟอร์มใน การจัดการกับระบบจัดเก็บข้อมูล เพื่อรองรับปริมาณข้อมูลที่กำลังเพิ่มขึ้นอย่างรวดเร็วให้สามารถขยายการใช้งานได้ไม่จำกัด และสามารถทำการสำรองและกู้คืนข้อมูล พร้อมกับการตรวจจับภัยคุกคามตัวป่วนอย่างแรนซั่มแวร์ได้อย่างมีประสิทธิภาพ ที่สำคัญคือ ควรเป็นแพลตฟอร์มที่รองรับการทำงานร่วมกับโซลูชันจัดเก็บข้อมูลและฐานข้อมูลหลากหลาย รวมถึงคลาวด์ต่าง ๆ เพื่อการลงทุนที่คุ้มค่าและใช้งานกันไปยาว ๆ ดังเช่น แพลตฟอร์ม HPE Cohesity

 

เครื่องมือการร่วมตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cross-Layer Detection and Response)

การมีระบบร่วมตรวจจับภัยคุกคามหลายช่องทางที่อยู่บนระบบคอมพิวเตอร์  ไม่ว่าภัยคุกคามที่แฝงตัวมากับ อีเมล์ ระบบเครือข่าย และ อุปกรณ์ปลายทาง เช่น เซิร์ฟเวอร์ เครื่องคอมพิวเตอร์ คลาวด์ iOT จะทำให้ให้องค์กรมีมุมมองในเรื่องทิศทางการโจมตีของภัยคุกคามที่หลากหลาย เราสามารถตรวจจับได้อย่างแม่นยำ และรวดเร็วมากยิ่งขึ้น  ตัวอย่างเครื่องมือเหล่านี้ได้แก่ Trend Micro Vision One ( Extended Detection & Response) ที่มีความสามารถตรวจจับได้หลายช่องทางและมีความสามารถในการเชื่อมโยงความสัมพันธ์ของภัยคุกคามได้อย่างดีเยี่ยม

 

 

นอกจากนี้ยังมีโซลูชันในการจัดการกับอุปกรณ์ปลายทาง (Endpoint) โดยเฉพาะ BYOD (Bring Your Own Device) ที่มีแนวโน้มการใช้งานที่เพิ่มขึ้นหลายเท่าตัวในทุก ๆ ปี ให้มีความครบครันในแบบยูนิฟายด์ เอนด์พอยต์ (Unified Endpoint Management) โดยทำหน้าที่ตรวจจับหรือปิดกั้นการใช้แอปพลิเคชันหรือบริการที่สุ่มเสี่ยงให้เกิดภัยคุกคามตามมา การควบคุมการใช้งานให้เป็นไปตามระเบียบที่องค์กรกำหนด การปกป้องข้อมูลภายในเครื่องไม่ให้ถูกโจมตีขณะใช้งาน หรือกรณีอุปกรณ์เกิดสูญหายก็สามารถบล็อกการเข้าถึงข้อมูลได้แม้มีรหัสผ่าน ตัวอย่างเช่น โซลูชัน VMware Carbon Black เป็นต้น

 

เครื่องมือในการจัดการกับฐานข้อมูลคำยินยอม (Consent Management)

          ข้อมูลอีกประเภทหนึ่งที่จะเติบโตมากขึ้นหลังการบังคับใช้กฎหมาย PDPA คือ ฐานข้อมูลคำยินยอมที่องค์กรธุรกิจกับลูกค้าจะต้องกระทำต่อกันเพื่อให้เกิดผลคุ้มครองข้อมูลส่วนบุคคล องค์กรจึงต้องมีเครื่องมือที่มาช่วยจัดทำระบบฐานข้อมูลคำยินยอม (Consent) เพื่อกำหนดสิทธิของเจ้าของข้อมูลในการเข้าถึง ทบทวนหรือแก้ไขข้อมูลของตัวเอง มีระบบให้บริการจัดทำ ติดตาม ตรวจสอบ หรือเก็บรวบรวมคำยินยอมต่าง ๆ ที่เกิดขึ้นตามกระบวนการทำงาน หรือการดำเนินธุรกิจขององค์กรอย่างเป็นทางการ รวมทั้งการขอความยินยอมในการจัดเก็บไฟล์คุกกี้ หรือ ข้อมูลของผู้ใช้งาน (Cookie Consent) กรณีเข้าชมเว็บไซต์ ซึ่งตามกฎหมาย PDPA ถือว่าเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ต้องมีการขอคำยินยอมก่อนใช้ โดยเจ้าของข้อมูลสามารถขอแก้ไข ยกเลิกหรือถอนคำยินยอมเมื่อไหร่ก็ได้ ซึ่งถ้าองค์กรไม่ปฏิบัติให้ถูกต้องก็จะมีบทลงโทษทางกฎหมายเช่นเดียวกัน

          ดังนั้น องค์กรใดที่มีความพร้อมในการเดินหน้าระบบคุ้มครองข้อมูลส่วนบุคคลตรงตามการประกาศใช้ PDPA จึงนับเป็นอีกหนึ่งการันตีถึงความเชื่อมั่นและภาพลักษณ์ทางธุรกิจที่ยึดโยงถึงประโยชน์และความมั่นคงปลอดภัยของลูกค้าเป็นสำคัญ

                                                                            

 


About Maylada

Check Also

[Guest Post] ปกป้อง Desktop และ Server ของคุณจาก Cyber Attack ด้วย EPP & EDR จาก VMware Carbon Black

หลายคนอาจจะยังไม่คุ้นเคยกับ Concept Intrinsic Security ของ VMware ความจริงแล้ว Security อยู่ใน DNA ของ VMware มาตั้งแต่ vSphere เพราะเรื่อง Availability และ Virtualization ก็ถือเป็นส่วนหนึ่งที่จะช่วยให้ Datacenter มีความแข็งแรงทนทาน และยากต่อการเจาะมากขึ้น อย่างไรก็ตาม VMware เพิ่งจะหันมามุ่งเน้นในเรื่องของ Intrinsic Security อย่างเต็มตัวเมื่อไม่กี่ปีที่ผ่านมานี่เอง เมื่อมีการเข้าซื้อบริษัทด้าน Endpoint Security อย่าง Carbon Black และบริษัทอื่นๆในช่วง 3 ปีที่ผ่านมา ทำให้ภาพรวมของ IT Infrastructure ที่มี Built-it Security มีความชัดเจนยิ่งขึ้น โดยหัวใจหลักมาจาก Threat Intelligence Cloud ของ Carbon Black ที่เราได้นำมา integrate กับ product ที่มีอยู่เดิม ทำให้เกิดเป็น Security ในทุกๆด้านของ IT สำหรับบทความนี้จะเป็นหนึ่งในซีรี่ส์ที่จะมาอัพเดตข้อมูลต่างๆ เกี่ยวกับ Solution ด้าน Security ของ VMware โดยจะเริ่มที่หัวใจของการเปลี่ยนแปลงครั้งนี้ ซึ่งก็คือ Carbon Black นั่นเอง

F5 Webinar: ความปลอดภัยที่ควรคำนึงเมื่อต้องใช้งาน Modern Application

F5 ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงานด้าน IT เข้าร่วมการบรรยาย F5 Webinar เรื่อง “ความปลอดภัยที่ควรคำนึงเมื่อต้องใช้งาน Modern Application” พร้อมเรียนรู้ Case Study จากผู้ที่นำเอา Microservices …