องค์กรของท่านกำลังเผชิญ “ความเสี่ยงจากบุคคลหรือหน่วยงานภายนอก” มากขึ้น โดยไม่รู้ตัวหรือไม่

บทความน่าสนใจ

Loading

    ปัจจุบันหลายๆ องค์กร ได้พึ่งพาการใช้บริการบุคคลหรือหน่วยงานภายนอก (เช่น คู่ค้าทางธุรกิจ ซัพพลายเออร์ ผู้ให้บริการด้าน IT และอื่นๆ) เข้ามาช่วยในงานด้านต่างๆ มากขึ้นอย่างมีนัยสำคัญ เพื่อให้บรรลุวัตถุประสงค์ทางธุรกิจและเทคโนโลยีสารสนเทศ รวมทั้งเพื่อเพิ่มขีดความสามารถในการแข่งขัน แต่การใช้บริการบุคคลหรือหน่วยงานภายนอกอาจส่งผลให้องค์กรต้องเผชิญความเสี่ยงในหลายด้านได้เช่นกัน   ยกตัวอย่างเช่น การใช้บริการ Cloud Computing เพื่อใช้ระบบงาน ประมวลผล และเก็บข้อมูลส่วนบุคคลของลูกค้าหรือข้อมูลที่มีความอ่อนไหว อาจทำให้องค์กรต้องเผชิญกับความเสี่ยงทางด้านเทคโนโลยีสารสนเทศ ความเสี่ยงด้านการปฏิบัติตามกฎหมายหรือข้อบังคับของทางการ รวมไปถึงอีกหนึ่งความเสี่ยงซึ่งมีแนวโน้มที่จะขยายตัวเพิ่มสูงขึ้น   นั่นคือความเสี่ยงด้านไซเบอร์ ที่องค์กรอาจถูกโจมตีและนำไปสู่การรั่วไหลของข้อมูลลูกค้า ปัจจัยที่ทำให้องค์กรอาจต้องเผชิญความเสี่ยงด้านต่างๆ อาจมาจากหลายสาเหตุ อาทิ พนักงานขาดความรู้ความเข้าใจอย่างเพียงพอ (People) ไม่มีกรอบหรือนโยบายการบริหารความเสี่ยงฯ ที่ชัดเจน (Framework & Policy) ไม่มีระบบหรือเครื่องมือที่สนับสนุนการทำงานอย่างมีประสิทธิภาพ (System/Tool)   รวมทั้งกระบวนการที่สนับสนุนการบริหารความเสี่ยงฯ ที่ยังไม่เหมาะสม (Process) ซึ่งกระบวนการในที่นี้ เริ่มตั้งแต่การคัดเลือกบุคคลหรือหน่วยงานภายนอก การบริหารจัดการเรื่องสัญญาที่เหมาะสม การควบคุมการเข้าถึงและความปลอดภัยของระบบหรือข้อมูลลูกค้า การประเมินผลการปฎิบัติงานและความเสี่ยงฯ อย่างสม่ำเสมอ รวมไปถึง เรื่องที่ควรพิจารณาในกรณีที่มีการยกเลิกหรือสิ้นสุดสัญญา  …

‘นูทานิคซ์’ แนะเคล็ดลับ พิทักษ์ ‘ข้อมูล’ องค์กร

บทความน่าสนใจ

Loading

  องค์กรจำเป็นต้องมีกลยุทธ์ด้านการปกป้องข้อมูลแบบครบวงจรและสมบูรณ์แบบ สามารถรักษาความปลอดภัยได้ทุกที่ ตลอดเวลา ไม่ว่าใช้งานอยู่ที่ใด การที่โลกต้องพึ่งพาและนำเทคโนโลยีมาใช้ในทุกภาคส่วน ทำให้ข้อมูลกลายเป็นสินทรัพย์ที่ทรงคุณค่า… ทวิพงศ์ อโนทัยสินทวี ผู้จัดการประจำประเทศไทย นูทานิคซ์ เปิดมุมมองว่า ช่วงที่ผ่านมาได้เห็นกรณีศึกษาจำนวนมากที่นำข้อมูลส่วนบุคคลไปใช้และก่อให้เกิดความเสียหายทั้งต่อตัวบุคคลและองค์กรอย่างมาก แต่นับว่าเป็นเรื่องน่ายินดีที่มีการบังคับใช้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (PDPA) ของประเทศไทย ซึ่งช่วยสร้างความมั่นใจ และเพิ่มความปลอดภัยในทุกมิติ ทว่ายังมีความท้าทายที่องค์กรต่างๆ ต้องรับมือกับการปฏิบัติตามข้อกำหนด การให้ความรู้ความเข้าใจกับบุคลากร การหาเครื่องมือเข้ามาช่วย การตรวจสอบ และปรับปรุงกระบวนการทำงาน เพื่อให้องค์กรปฏิบัติตามข้อกำหนดของ PDPA ได้ จัดประเภท ‘ข้อมูลอ่อนไหว’ แม้ว่า PDPA จะบังคับใช้เต็มรูปแบบแล้ว และในขณะที่กฎหมายลูกยังไม่ครบสมบูรณ์ ผู้นำองค์กรจะต้องให้ความสำคัญกับการปกป้องข้อมูลขององค์กรด้วยตนเองด้วย โดยเฉพาะข้อมูลที่อ่อนไหวง่าย รวมถึงต้องมีโซลูชันที่ช่วยสร้างความปลอดภัยในการเข้าถึงข้อมูลและแอปพลิเคชันต่างๆ “องค์กรจำเป็นต้องมีกลยุทธ์ด้านการปกป้องข้อมูลแบบครบวงจรและสมบูรณ์แบบ สามารถรักษาความปลอดภัยได้ทุกที่ ตลอดเวลา ไม่ว่าข้อมูลนั้นกำลังถูกใช้งานอยู่กับแอปพลิเคชัน หรือเป็นข้อมูลที่อยู่ในเซิร์ฟเวอร์ บนเน็ตเวิร์ก บนอุปกรณ์ของผู้ใช้งาน เก็บอยู่ในฐานข้อมูล และบนคลาวด์ ครอบคลุมตั้งแต่แกนหลักไปจนถึงเอดจ์ และปกป้องทั้งข้อมูลที่ไม่มีการใช้งาน ข้อมูลที่มีการเคลื่อนไหว หรือกำลังถูกใช้งานอยู่” อย่างไรก็ดี ก่อนที่จะเริ่มจัดทำระบบรักษาความปลอดภัยให้กับข้อมูลที่อยู่ตามสภาพแวดล้อมที่หลากหลายในองค์กร ผู้รับผิดชอบด้านนี้ต้องเข้าใจว่า ข้อมูลที่มีอยู่เป็นข้อมูลประเภทใด อยู่ในรูปแบบใด และลักษณะอื่นๆ…

รายงานเผย องค์กร 60% เคยสูญเสียข้อมูล เหตุเพราะพนักงานทำพลาด

การรักษาความลับ, ข่าวประจำวัน

Loading

  จากแบบสำรวจใหม่ล่าสุดของทาง Ponemon Institute เรียกว่าองค์กรที่อยู่ในแบบสำรวจถึง 3 ใน 5 ที่ได้เคยสูญเสียข้อมูลหรือถูกคัดออกไปจากองค์กร อันเนื่องมาจากความผิดพลาดของพนักงานที่จัดการเกี่ยวกับอีเมลในช่วง 12 เดือนที่ผ่านมา โดยแบบสำรวจดำเนินการกับผู้ปฏิบัติงานด้านความมั่นคงปลอดภัยไอที (IT Security) จำนวน 614 ท่านทั่วโลก ซึ่งเผยให้เห็นว่าอีเมลนั้นเป็นช่องที่มีความเสี่ยงมากที่สุดที่จะทำให้ข้อมูลองค์กรสูญหายไปได้ ด้วยตัวเลขที่ตอบแบบสำรวจกว่า 65% เลยทีเดียว นอกจากนี้ แบบสำรวจยังพบว่า “ความประมาทเลินเล่อของพนักงาน” (เพราะไม่ได้ทำตามนโยบาย Policy ที่วางไว้) นั้นจะเป็นสาเหตุที่นำไปสู่เหตุการณ์ความสูญเสียข้อมูลได้ ซึ่งพบว่า เหตุการณ์กว่า 27% นั้นเกิดจาก Malicious ที่อยู่ภายในองค์กร โดยการขโมยข้อมูลออกไปโดยเจตนานี้ยังสร้างความเครียดให้กับทีมไอทีอย่างต่อเนื่อง เพราะเหตุการณ์ดังกล่าวต้องใช้เวลาราว 3 วัน สำหรับทีมบริหารจัดการความเสี่ยงและความมั่นคงปลอดภัยในการตรวจจับและแก้ไขปัญหาเหตุการณ์สูญข้อมูลไปอันเนื่องมาจาก Malicious ภายในหรืออีเมลก็ตาม ข้อมูลที่มักจะสูญหาบ่อย ๆ นั้นมักจะเป็นข้อมูลความลับองค์กรที่มีความละเอียดอ่อน เช่น ข้อมูลลูกค้า (61%) ข้อมูลทรัพย์สินทางปัญญา (56%) ข้อมูลผู้บริโภค (47%) รวมไปถึงข้อมูลที่ผู้ใช้สร้างขึ้น เช่น เนื้อหาในอีเมล…

เมื่อองค์กรต้องดูแลระบบ ‘ไซเบอร์ ซิเคียวริตี้’ จำนวนมาก

บทความน่าสนใจ

Loading

  ความท้าทายส่วนหนึ่งคือ ขาดข้อมูลเชิงลึกเกี่ยวกับทรัพย์สินที่สำคัญขององค์กร ยิ่งภัยคุกคามทางไซเบอร์พัฒนาไปเท่าไหร่ องค์กรก็ยิ่งต้องติดตั้งระบบไซเบอร์ซิเคียวริตี้มากขึ้นเท่านั้น แต่ปัญหาที่เกิดขึ้นคือระบบเหล่านี้มีจำนวนมากเกินกว่าที่องค์กรจะดูแลไหว ทำให้องค์กรส่วนมากดึงดูดแฮกเกอร์ด้วยช่องโหว่อันเปิดกว้างที่เกิดจากการมีเครื่องมือจำนวนมาก การขาดทัศนวิสัยในทรัพย์สินที่สำคัญ (Key Asset) และการดูแลระบบ Cyber Security ที่ผิดที่ผิดทางครับ ล่าสุดผู้พัฒนาโซลูชั่นด้านการรักษาความปลอดภัยทางไซเบอร์ ได้จัดการสำรวจความคิดเห็นของผู้บริหารที่ดูแลด้านการรักษาความปลอดภัยองค์กรในสหรัฐอเมริกาและสหราชอาณาจักรจำนวน 1,200 คนในอุตสาหกรรมต่างๆ พบว่า การเปลี่ยนไปใช้ระบบคลาวด์และการทำงานแบบระยะไกลหรือ Remote Working ส่งผลให้ในช่วงสองปีที่ผ่านมาองค์กรมีเครื่องมือรักษาความปลอดภัยที่ต้องจัดการเพิ่มขึ้นถึง 19% ทำให้มีรายงาน (Report) ที่ต้องตรวจสอบมากขึ้น จนเกิดเป็นช่องโหว่ในการมองเห็นและการควบคุมความปลอดภัยที่ยากต่อการปกปิด หนึ่งในสาม หรือคิดเป็น 36% ของผู้ตอบแบบสอบถามกล่าวว่า พวกเขารู้สึกมั่นใจเป็นอย่างมากว่าสามารถพิสูจน์ได้ว่าการควบคุมความปลอดภัยต่างๆทำงานได้ตามที่กำหนดไว้ ซึ่งถ้าเปรียบเทียบกับคนส่วนใหญ่คิดเป็น 82% อ้างว่ารู้สึกประหลาดใจกับเหตุการณ์ด้านความปลอดภัย การฝ่าฝืนต่างๆ ที่หลบเลี่ยงการควบคุมเข้ามาได้ สองในห้าของผู้นำด้านความปลอดภัยยืนยันว่า พวกเขาเข้าใจเรื่องนี้และสามารถแก้ไขการควบคุมที่มีประสิทธิภาพต่ำกว่ามาตรฐาน พร้อมทั้งติดตามการพัฒนาระบบให้ดีขึ้นได้ ผู้ตอบแบบสอบถามส่วนใหญ่ หรือกว่า 60% ยอมรับว่า ยังไม่มั่นใจว่าจะสามารถควบคุมความปลอดภัยที่ออกแบบมาเพื่อรับมือกับมัลแวร์เรียกค่าไถ่ หรือ Ransomware ในระยะยาวได้ ความท้าทายส่วนหนึ่งของเรื่องนี้คือ การขาดข้อมูลเชิงลึกเกี่ยวกับทรัพย์สินที่สำคัญขององค์กร เช่น ฐานข้อมูล อุปกรณ์ต่างๆ รวมถึงอุปกรณ์ไอโอที…