Ingram SUSE

เตรียมระบบความมั่นคงปลอดภัยให้พร้อมรองรับ PDPA ด้วย One Stop ICT จาก CSL และโซลูชันจาก Fortinet

จากที่รัฐบาลมีมติให้เลื่อนการเริ่มบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA (Personal Data Protection Act) ในประเทศไทยออกไปอีก 1 ปีจากเดิมที่จะเริ่มใช้ในวันที่ 27 พฤษภาคม 2020 เป็น วันที่ 27 พฤษภาคม 2021 เพื่อให้องค์กรธุรกิจได้มีเวลามากขึ้นในการจัดเตรียมระบบรักษาความมั่นคงปลอดภัยของระบบ ICT ให้มีความพร้อม เพื่อการปกป้องข้อมูลส่วนบุคคลของทั้งลูกค้าและพนักงานได้อย่างมีประสิทธิภาพ

จึงนับเป็นโอกาสที่แต่ละองค์กรจะได้ทบทวนความพร้อมของระบบรักษาความมั่นคงปลอดภัยในระบบ ICT ของตนอีกครั้ง รวมทั้งระบบการจัดเก็บข้อมูล และใช้ข้อมูลในรูปแบบต่างๆ หากเกิดการละเมิดข้อมูล จะถูกดำเนินการรับผิดทางแพ่งซึ่งองค์กรธุรกิจจะต้องชดใช้ค่าเสียหายทดแทนเพิ่มขึ้นอีกสูงสุดไม่เกิน 2 เท่า ของค่าเสียหายที่แท้จริง

CSL พร้อมช่วยองค์กรรองรับ PDPA ด้วยโซลูชันที่ครบถ้วนจาก Fortinet

CSL เป็นพาร์ตเนอร์กับ Fortinet มาอย่างยาวนาน ให้บริการโซลูชันด้านความมั่นคงปลอดภัยที่หลากหลาย และได้รับความไว้วางใจจากลูกค้าระดับองค์กรเป็นอย่างมาก สามารถสร้างยอดขายสูงสุดจนได้รับรางวัล Fortinet Platinum of the Year 2018 พิสูจน์ถึงความมั่นใจจากลูกค้าระดับองค์กรธุรกิจในประเทศไทยที่มีต่อ CSL ในการนำโซลูชันด้านความมั่นคงปลอดภัยจาก Fortinet ไปใช้งานในระบบ ICT ของตนได้เป็นอย่างดี

สำหรับโซลูชันด้านความมั่นคงปลอดภัยที่รองรับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA นั้น CSL และ Fortinet ก็มีความพร้อมที่ให้บริการโซลูชันต่างๆ เพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าและพนักงานได้อย่างครบถ้วนและมีประสิทธิภาพ สามารถแบ่งออกเป็น 5 ส่วนสำคัญ ดังนี้

1. โซลูชันป้องกันการสูญหายของข้อมูล (Data Loss Prevention)

ในการปกป้องข้อมูลไม่ให้เกิดความเสียหายหรือสูญหาย Fortinet มีโซลูชันในรูปแบบ Built-in DLP (Data Loss Prevention) ประกอบด้วยคุณสมบัติการทำงานต่างๆ ดังนี้

  • FortiGate โซลูชันไฟร์วอลล์ ทำหน้าที่เป็นกำแพงปกป้องภัยคุกคามที่พยายามเจาะเข้ามาในระบบเพื่อขโมยข้อมูลอันมีค่าขององค์กร รวมถึงข้อมูลส่วนบุคคลของลูกค้า โดย CSL มีทีมวิศวกรที่เชี่ยวชาญและมีประสบการณ์เรื่อง FortiGate Firewall จึงสามารถให้คำแนะนำและปรึกษาสำหรับองค์กรทุกขนาดได้เป็นอย่างดี พร้อมบริการ ICT Managed Services สำหรับไฟร์วอลล์ จึงสามารถเป็นผู้ช่วยที่ดีมากขึ้นอีกขั้นในการดูแลและให้บริการแก่ลูกค้าหลังการเริ่มใช้งานระบบ
  • FortiProxy มีการทำงานในรูปแบบของ URL & DNS Filtering เพื่อป้องกันและควบคุมไม่ให้พนักงานเข้าไปยังเว็บไซต์ที่มีความเสี่ยงในการนำมัลแวร์จากภายนอกเข้ามาสู่ระบบเครือข่ายภายในองค์กร พร้อมระบบ Advance Threat Protection ที่ช่วยป้องกันภัยคุกคามอีกรูปแบบหนึ่ง และเพิ่มการพิสูจน์ตัวตนได้อย่างมีประสิทธิภาพ จึงช่วยปกป้องข้อมูลส่วนบุคคลของลูกค้าได้เป็นอย่างดี
  • FortiWeb ทำหน้าที่เป็น Web Security Gateway วางตำแหน่งอยู่ด้านหน้าเซิร์ฟเวอร์ โดยสามารถที่จะตรวจสอบว่าข้อมูลที่นำออกไปเป็นข้อมูลส่วนบุคคลหรือไม่ และผู้ที่ใช้งานข้อมูลเป็นผู้ที่มีสิทธิ์ในการเข้าถึงข้อมูลหรือไม่ เพื่อป้องกันภัยคุกคามในส่วนของเว็บเซิร์ฟเวอร์ให้กับองค์กร ทั้งการใช้งานภายในองค์กร และการให้บริการในรูปแบบสาธารณะ ช่วยป้องกันการโจมตีทั้งในรูปแบบ SQL Injection, Cross-Site scripting และป้องกันการขโมยข้อมูลผ่าน Web Applications
  • FortiMail อีเมลเป็นอีกส่วนสำคัญที่ทำให้ข้อมูลรั่วไหลออกไปสู่ภายนอกได้ FortiMail ทำหน้าที่กรองและป้องกันอีเมลที่มีความอันตราย ไม่ว่าจะเป็นอีเมลในรูปแบบ ฟิชชิ่ง สแปมเมล ไวรัสเมล พร้อมการทำงานในแบบ SMTP Relay เพื่อให้ระบบอีเมลภายในองค์กรมีความมั่นคงปลอดภัยจากภัยคุกคาม อีกทั้งยังสามารถช่วยปกป้ององค์กรจากการโจมตีในรูปแบบ Ransomware ที่แฝงมาพร้อมกับอีเมลได้อย่างดีเยี่ยม

สำหรับองค์กรที่มีการใช้เซิร์ฟเวอร์ในรูปแบบระบบคลาวด์ มีความจำเป็นอย่างมากเช่นกันสำหรับการปกป้องข้อมูล Fortinet ได้พัฒนาคุณสมบัติ Built-in DLP for Cloud อันประกอบด้วย FortiGate Cloud, FortiMail Cloud, FortiWeb Cloud และ FortiCASB ขึ้นมาเพื่อการรักษาความมั่นคงปลอดภัยให้กับการใช้งานเซิร์ฟเวอร์บนระบบคลาวด์โดยเฉพาะ

นอกจากนี้ หากใช้งานผ่านผู้ให้บริการคลาวด์สาธารณะ อย่างเช่น Amazon AWS, Microsoft Azure, Oracle Cloud Infrastructure หรือ Alibaba Cloud ทาง Fortinet ก็ได้พัฒนา Built-in DLP for Public Cloud ที่จะช่วยปกป้องข้อมูลในการใช้งานผ่านระบบคลาวด์ให้แก่องค์กรได้เป็นอย่างดีด้วยเช่นเดียวกัน

2. การควบคุมการเข้าถึง (Access Control)

เป็นอีกส่วนของระบบความมั่นคงปลอดภัยที่มีความสำคัญ เพื่อป้องกันไม่ให้ผู้ที่ไม่ได้รับสิทธิ์สามารถเข้าถึงและใช้งานข้อมูลได้โดยไม่ได้รับอนุญาต จึงจำเป็นจะต้องมีระบบควบคุมการเข้าถึงข้อมูลที่มีประสิทธิภาพ

  • FortiToken เป็นโซลูชันป้องกันการขโมยรหัสผ่าน รองรับการยืนยันแบบ 2-Factor Authentication (2FA) ทั้งในรูปแบบ OTP (One Time Password) และ Soft Token โดยการยืนยันตัวตนขั้นที่สอง ก่อนเข้าถึงการใช้งานข้อมูลจะมีการยืนยันผ่านโทรศัพท์มือถือของผู้ที่ได้รับสิทธิ์คนนั้นๆ หลังจากที่ก่อนหน้านี้ได้ยืนยันเข้าระบบด้วยการป้อนชื่อผู้ใช้และรหัสผ่านเพื่อยืนยันตัวตนในขั้นแรกเรียบร้อยแล้ว จึงช่วยรักษาความมั่นคงปลอดภัยจากการขโมยรหัสผ่านเพื่อเข้าสู่ระบบ ICT หรือใช้ข้อมูลโดยไม่ได้รับอนุญาตได้เป็นอย่างดี

3. โซลูชันความมั่นคงของข้อมูล (Data Integrity)

  • FortiClient ทำหน้าที่ป้องกันในส่วนของอุปกรณ์ Endpoint จากมัลแวร์ที่พยายามหาช่องโหว่ของระบบรักษาความมั่นคงปลอดภัย และปิดช่องโหว่ไม่ให้มัลแวร์สามารถขโมยข้อมูลออกไปได้ สามารถป้องกัน Ransomware ที่บุกโจมตีผ่านทางอุปกรณ์ต่างๆ ในระบบ โดยจะมีการตรวจสอบ Packet ข้อมูลหรือซอฟต์แวร์ที่ดาวน์โหลดมาสำหรับการติดตั้งใช้งานผ่านระบบคลาวด์ของ Fortinet ก่อนที่จะมีการติดตั้งลงในอุปกรณ์นั้นๆ ของผู้ใช้งานต่อไป รวมถึงมีระบบตรวจสอบฝังตัวอยู่ในเครื่องเซิร์ฟเวอร์ที่สามารถกำหนดนโยบายในการตรวจสอบว่ามีการเข้าถึงข้อมูลส่วนบุคคลที่ได้กำหนดไว้ในช่วงเวลาไหน มีการเปลี่ยนแปลงข้อมูลหรือไม่ ถ้ามีการเปลี่ยนแปลงข้อมูล เป็นการกระทำโดยผู้ที่มีสิทธิ์ถูกต้องตามนโยบายที่ได้กำหนดไว้หรือไม่

4. โซลูชันตรวจสอบและป้องกันการละเมิดข้อมูล (Breach Detection and Prevention)

เป็นพื้นฐานด้านระบบความมั่นคงปลอดภัยด้าน ICT ส่วนสำคัญส่วนแรกที่ควรเริ่มต้นสำหรับการวางระบบ โดยเบื้องต้นจะต้องมีการตรวจสอบหาช่องโหว่ของเซิร์ฟเวอร์ที่ใช้งานอยู่เสียก่อน

สำหรับการปกป้องข้อมูลส่วนบุคคล หรือ Breach Prevention จะประกอบด้วย Next Generation Firewall, Web Application Firewall, Endpoint Security, Email Security ที่มีอยู่ใน Built-in DLP ของ Fortinet อยู่แล้ว

ส่วนการตรวจสอบและเฝ้าระวัง หรือ Breach Detection ทาง Fortinet ได้พัฒนาคุณสมบัติ FortiSIEM (SIEM: Security Information and Event Management) ซึ่งเป็นคุณสมบัติที่มีอยู่ใน SOC (Security Operations Center) ของ Fortinet อยู่แล้ว เพื่อตรวจสอบและแจ้งเตือน หากมีการใช้งาน แก้ไข เปลี่ยนแปลงข้อมูลส่วนบุคคลของลูกค้า นอกเหนือจากนโยบายที่ได้กำหนดไว้ ก็จะมีการแจ้งไปยังผู้ควบคุมการใช้งานข้อมูลได้ทราบอย่างทันท่วงที

5. โซลูชันเข้ารหัสข้อมูล (Data Encryption)

การเข้ารหัสข้อมูลจะช่วยให้แม้ว่ามีการละเมิดจนสามารถนำข้อมูลออกไปจากระบบได้ แต่จะไม่สามารถเปิดดูข้อมูลได้ เนื่องจากว่าข้อมูลได้มีการเข้ารหัสไว้นั่นเอง โดยการเข้ารหัสข้อมูลในส่วนที่จำเป็นต่อการใช้งานเพื่อปกป้องข้อมูลส่วนบุคคลสำหรับองค์กรจะเป็นการเข้ารหัสในแบบ Address Encryption ซึ่งเป็นการเข้ารหัสข้อมูลที่ถูกเก็บไว้ในเครื่องเซิร์ฟเวอร์หรือในอุปกรณ์ของผู้ใช้งานเป็นสำคัญ โดยมีการเข้ารหัสข้อมูล 3 แบบ คือ

  • Drive Encryption เป็นการเข้ารหัสในระดับไดรฟ์ แม้ว่าจะมีการนำไดรฟ์ที่มีการเข้ารหัสไปเปิดในเครื่อง PC อื่นๆ ก็จะไม่สามารถเปิดใช้งานข้อมูลได้ โดยส่วนนี้ หากว่าองค์กรมีระบบรักษาความมั่นคงปลอดภัยให้กับศูนย์ข้อมูลที่ดี ก็ไม่จำเป็นต้องเข้ารหัสในรูปแบบนี้ก็ได้
  • File Encryption เป็นการเข้ารหัสให้กับไฟล์ที่มีการเก็บไว้ในโฟลเดอร์ที่ใช้งานร่วมกันในเครื่องเซิร์ฟเวอร์ ถ้าไม่ใช่ผู้ที่ได้รับอนุญาตให้เปิดใช้งาน ก็จะไม่สามารถเปิดไฟล์ได้ เป็นส่วนที่องค์กรธุรกิจในส่วนของผู้ควบคุมการใข้งานข้อมูลส่วนบุคคลควรให้ความสำคัญเป็นอย่างมาก
  • Database Encryption เป็นการเข้ารหัสให้กับฐานข้อมูล เพื่อป้องกันไม่ให้ผู้ที่ไม่ได้รับอนุญาตเปิดใช้งานฐานข้อมูลได้ หากองค์กรมีระบบรักษาความมั่นคงปลอดภัยของศูนย์ข้อมูลที่ดี ก็ไม่จำเป็นเข้ารหัสในส่วนนี้ก็ได้เช่นกัน

โซลูชันด้านความมั่นคงปลอดภัยทั้ง 5 รูปแบบ ของ Fortinet สามารถตอบสนองความต้องการด้าน ICT ที่ช่วยให้องค์กรสามารถนำไปใช้งานเพื่อปกป้องข้อมูลส่วนบุคคลของลูกค้าและพนักงานได้อย่างครบถ้วนและมีประสิทธิภาพ และได้รับการยอมรับจากองค์กรธุรกิจชั้นนำทั้งในระดับประเทศและระดับโลกเป็นอย่างดีตลอดมา โดย CSLและ Fortinet พร้อมที่จะให้ความช่วยเหลือในการให้คำปรึกษาแก่องค์กรธุรกิจทุกขนาด สำหรับการพัฒนาระบบรักษาความมั่นคงปลอดภัยด้าน ICT ขององค์กรให้สามารถปกป้องข้อมูลส่วนบุคคลของลูกค้าให้มีความมั่นคงปลอดภัยจากภัยคุกคามทุกรูปแบบได้เป็นอย่างดี

CSL พร้อมให้คำปรึกษาโซลูชันด้าน ICT เพื่อรองรับ PDPA ที่เหมาะสมกับทุกองค์กรธุรกิจ

แม้การบังคับใช้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ในประเทศไทย จะถูกเลื่อนไปอีกถึง 1 ปี คือจะเริ่มบังคับใช้ในวัน 27 พฤษภาคม 2021 ทำให้องค์กรธุรกิจมีเวลาในการเตรียมความพร้อมเพื่อให้ระบบขององค์กรสามารถรองรับ และสอดคล้องกับระเบียบข้อบังคับของ พ.ร.บ.ฯ แต่ทุกการเริ่มต้นเตรียมความพร้อมควรต้องเริ่มต้นกับพาร์ตเนอร์ด้านเทคโนโลยีที่มีประสบการณ์ และสามารถให้บริการได้ครบถ้วน

CSL มีโซลูชันที่ครบถ้วน พร้อมด้วยทีมวิศวกรที่มีประสบการณ์และความเชี่ยวชาญในการสร้างสรรค์โซลูชันด้าน ICT ให้กับองค์กรธุรกิจมาอย่างยาวนาน CSL จึงมีความพร้อมในการให้คำปรึกษา ออกแบบ จัดหาโซลูชันด้านความมั่นคงปลอดภัยที่เหมาะสมกับความต้องการและงบประมาณสำหรับองค์กรธุรกิจทุกขนาด พร้อมบริการหลังการขาย รวมถึงการบริการในรูปแบบ Managed Services ที่ช่วยแบ่งเบาภาระด้านบุคคลากรและค่าใช้จ่ายด้าน ICT โดยรวมให้กับองค์กรธุรกิจได้เป็นอย่างดีอีกรูปแบบหนึ่งด้วยเช่นกัน

นอกจากนี้ CSL พร้อมให้บริการแก่ลูกค้าผ่านหมายเลขโทรศัพท์ 1370 ในการให้คำปรึกษาและช่วยแก้ปัญหาแก่ลูกค้าได้อย่างสะดวก รวดเร็ว และมีประสิทธิภาพ

“Enhance Agility of New Normal with CSL Digital Transformation Solutions”

ปรึกษาและวางแผนพัฒนาเทคโนโลยี เพื่อรองรับการทำงานและต่อยอดธุรกิจกับ CSL โทร 0-2263-8185 หรืออีเมล presales@csl.co.th

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password ล่าสุดจาก NIST

บทความนี้ได้สรุปคำแนะนำและแนวทางปฏิบัติด้าน Password จากเอกสาร NIST Special Publication 800-63B Rev3 ของ สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐฯ หรือ NIST ได้แก่ การสร้างรหัสผ่านใหม่ การพิสูจน์ตัวตนด้วยรหัสผ่าน …

Microsoft ประกาศเข้าซื้อกิจการ ‘Nuance’ ด้วยมูลค่า 19,700 ล้านเหรียญสหรัฐฯ

Microsoft ได้ทำสร้างสถิติอันกับสองของยอดเข้าซื้อกิจการ ด้วยดีลการเข้าซื้อ Nuance Communications Inc. ด้วยมูลค่าสูงถึง 19,700 ล้านเหรียญสหรัฐฯ