ปกป้องข้อมูลอย่างไรในยุค New Normal

มีคำกล่าวที่ว่า “Data is king” (ข้อมูลคือราชา) แต่ในยุคนี้เราจะรักษาข้อมูลให้ปลอดภัยได้อย่างไรเมื่อต้องทำงานนอกสถานที่ ทั้งยังต้องมีการแลกเปลี่ยนข้อมูลในแต่ละแผนก แต่ละบริษัท แต่ละบุคคลอีกด้วย ถึงแม้ว่าการทำงานที่บ้าน หรือการทำงานนอกสถานที่จะกลายเป็นเรื่องธรรมดาที่ทุกคนต่างคุ้นชินในยุค New Normal จนหลายๆท่านได้ปรับเปลี่ยนวิถีชีวิตและการทำงานไปเป็นที่เรียบร้อยแล้ว แต่สิ่งหนึ่งที่เรายังคงต้องเตรียมรับมือเช่นเดิมก็คือ การมาถึงของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ที่แม้จะเลื่อนออกไปแต่ก็ยังคงมีอยู่ ในบทความนี้ผมจะมาสรุปวิธีการรักษาข้อมูลสำคัญที่บริษัทควรทำไว้ทั้งหมด 5 ข้อ ดังนี้ครับ

 

  1. แจ้งให้พนักงานปฏิบัติตามนโยบายของบริษัทอย่างเคร่งครัด

บริษัทควรมีนโยบายและระเบียบปฏิบัติที่ชัดเจนในเรื่องของการแลกเปลี่ยนข้อมูลสำคัญ ไม่ว่าจะเป็นข้อมูลของพนักงาน, ลูกค้า, คู่ค้า รวมไปถึงข้อมูลบริษัท ผู้ดูแลควรย้ำเตือนถึงนโยบายของการทำงานกับพนักงานเสมอ ไม่ว่าจะเป็นเรื่องของระเบียบในการใช้งาน ข้อควรระวังในการใช้ อีเมล, เว็บไซต์, แอปพลิเคชัน และแพลตฟอร์มอื่นๆที่พนักงานมักจะใช้ทำงาน ก็ควรจะเป็นแพลตฟอร์มที่ได้รับการรับรองว่าปลอดภัย ในส่วนของการเก็บข้อมูลบน Cloud และอุปกรณ์ USB drives ก็ควรมีนโยบายมาคลอบคุลมด้วยเช่นกัน

  1. กำหนดระดับความสำคัญของข้อมูลและจัดกลุ่มข้อมูล

ข้อมูลที่สำคัญและเป็นความลับควรถูกดูแลเป็นพิเศษ เช่น ทำลายน้ำ (Watermarking) ยิ่งในบางโปรแกรมสามารถทำการติด Label ลงบนไฟล์ได้ ทั้งหมดนี้เพื่อให้พนักงานที่เข้าถึงข้อมูลนั้นตระหนักได้ว่าจะต้องเพิ่มความระมัดระวังในการใช้และส่งต่อข้อมูล นอกจากนี้ข้อมูลสำคัญเหล่านั้นก็ควรถูกแยกออกจากข้อมูลกลุ่มอื่นเพื่อที่จะได้ดูแลอย่างทั่วถึงอีกด้วย

  1. จำกัดการเข้าถึงข้อมูลสำคัญ

ผู้ดูแลข้อมูลควรเลือกใช้โซลูชันที่ช่วยติดตามว่ามีใครสามารถเข้าถึงข้อมูลเหล่านี้ได้ รวมถึงสามารถเก็บประวัติการเข้าถึงข้อมูลได้ว่าพนักงานคนไหนนำข้อมูลออกไปใช้ทำอะไร ในวันที่เท่าไหร่ เวลาใดได้อีกด้วย ทั้งนี้ต้องมีการตรวจสอบพนักงานอยู่เสมอ เพื่อเตรียมพัฒนานโยบายให้สอดคล้องกับวิธีการปฏิบัติงานในหลายๆบริบท คอยสังเกตพฤติกรรมที่ผิดปกติ เช่น หากมีการดาวน์โหลดที่สูงขึ้นในช่วงเวลาหนึ่งที่ไม่เป็นไปตามเดิม ก็ควรจะมีการตรวจสอบทันที

  1. จัดอบรมความรู้เรื่องการป้องกันภัยไซเบอร์ให้พนักงานเป็นกิจวัตร

บริษัทควรจัดให้มีการอบรมพนักงานให้ตระหนักถึงภัยไซเบอร์ หากเปรียบเทียบก็เหมือนกับการซ้อมหนีไฟ เพื่อให้พนักงานเข้าใจเรื่อง Security Awareness และในการอบรมควรจะมี Tool ต่างๆมาทำงานร่วมกันเพื่อให้พนักงานเห็นภาพชัดเจน

  1. นำเทคโนโลยี Virtual Desktop Infrastructure (VDI) หรือ Desktop-as-a-service (DaaS) เข้ามาใช้

การปล่อยให้พนักงานทำงานด้วยคอมพิวเตอร์ที่ไม่ใช้เครื่องของบริษัทก็เป็นความเสี่ยง เช่นเดียวกับการใช้งาน WiFi Networks ภายนอกบริษัท วิธีการแก้ปัญหาคือบริษัทต้องย้ายอุปกรณ์ของพนักงานกลุ่มนี้ไปใช้เป็นเครื่องบน Cloud ด้วยโซลูชัน VDI หรือ DaaS เพื่อให้บริษัทสามารถควบคุมความเสี่ยง และยังคงให้พนักงานทำงานได้ เข้าถึงข้อมูลได้ อย่างมีประสิทธิภาพอีกด้วย

ทั้งหมดนี้คือ 5 ข้อพื้นฐานที่จะช่วยให้บริษัทลดความเสี่ยงข้อมูลสูญหาย รวมทั้งลด Human Error และยังช่วยลดความเสี่ยงจาก Insider Threat ได้อีกด้วยครับ