เตรียมรับมือเมื่อข้อมูลเกิดรั่วไหล ถ้าคุณยังไม่มีแผนการรับมือกับกรณีการรั่วไหลของข้อมูล นี่คืออันตรายหมายเลข 1 เลยครับ!! มันแสดงถึงความชะล่าใจ รวมทั้งคุณอาจจะยังไม่ได้รับข่าวสารมากเพียงพอว่าทุกวันนี้องค์กรมากมาย ทั้งหน่วยงานของรัฐและภาคเอกชนถูกโจมตีทางไซเบอร์กันแบบรายวันเลยทีเดียว ประเด็นตอนนี้ไม่ได้อยู่ที่ว่าองค์กรของคุณจะถูกอาชญากรไซเบอร์โจมตีหรือไม่ แต่ประเด็นสำคัญมากกว่า คือมันจะเกิดขึ้นเมื่อไหร่? ดังนั้น คุณไม่สามารถหลีกเลี่ยงการวางแผนเพื่อลดผลกระทบที่จะเกิดขึ้นเมื่อถูกโจมตี เพราะนอกจากแผนการรับมือแล้ว คุณยังต้องมีการทดสอบและซักซ้อมการดำเนินการที่เหมาะสมเมื่อภัยทางไซเบอร์เกิดขึ้นอีกด้วย แผนการรับมือกรณีข้อมูลเกิดการรั่วไหลจะช่วยให้ความรู้แก่พนักงาน ปรับปรุงโครงสร้างการดำเนินงานภายในองค์กรที่มีความเสี่ยงสูง เพิ่มความมั่นใจให้แก่ลูกค้าและผู้เกี่ยวข้อง รวมทั้งลดความสูญเสียทางการเงินและความเสียหายทางชื่อเสียงที่จะตามมาจากการรั่วไหลของข้อมูลและการถูกแฮกข้อมูล วันนี้ผมมีคำแนะนำเกี่ยวกับการวางแผนเตรียมรับมือเมื่อข้อมูลเกิดรั่วไหลมาฝาก ดังนี้ให้ความรู้และอบรมทุกคนในทีมให้เข้าใจถึงหน้าที่ความรับผิดชอบของตัวเองเมื่อเกิดกรณีข้อมูลรั่วไหลจัดทำแผนรับมือเป็นเอกสารให้เรียบร้อย โดยมีส่วนประกอบของแผนในประเด็นที่สำคัญ อาทิ การประเมินจำกัดความเสียหาย การจัดการเหตุตั้งแต่ต้นจนจบ ซึ่งต้องครอบคลุมข้อกำหนดทางกฎหมายออกแบบแผนรับมือให้ครอบคลุม 4 ขั้นตอนหลัก ได้แก่การจำกัดความเสียหายการประเมินผลกระทบการแจ้งผู้ที่ได้รับผลกระทบและหน่วยงานกำกับดูแลที่เกี่ยวข้องการทบทวนแนวทางการรับมือและหาวิธีป้องกันไม่ให้เกิดซ้ำวางแผนรับมือภัยทางไซเบอร์เป็น scenario ต่าง ๆ และจำลองการเจาะระบบเพื่อประเมินว่าแผนรับมือที่วางไว้มีประสิทธิภาพเพียงพอหรือไม่ตรวจสอบให้แน่ใจว่าองค์ประกอบต่าง ๆ ของแผนรับมือกรณีเกิดข้อมูลรั่วไหล ไม่ว่าจะเป็นการฝึกอบรม เครื่องมือ hardware และ software ต่าง ๆ ที่จำเป็นมีการอนุมัติและจัดซื้อจัดจ้างเป็นที่เรียบร้อย หากคุณต้องการปรึกษาผู้เชี่ยวชาญ Cloudsec Asia ยินดีเป็นอย่างยิ่งที่จะให้คำปรึกษาเพื่อเตรียมความพร้อมให้กับทีมงานของคุณในการสู้ศึกครั้งนี้ครับ! ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์ติดต่อเรา Cloudsec Asiaผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิกTel.+66 2962 3425www.cloudsecasia.com #StaffCyberSecurityAwareness#cybersecurity#cybersecurityisamust#cloudsecasia

ค้นหา Cyber Security Champions ในองค์กรของเรา ความปลอดภัยทางไซเบอร์ไม่ใช่เรื่องของเทคโนโลยีหรือระบบสุดไฮเทคอย่างเดียวนะครับ ทีมงานในองค์กรและผู้คนที่เราดีลงานด้วยล้วนมีบทบาทสำคัญมากในการปกป้ององค์กรจากภัยคุกคามทางไซเบอร์ พนักงานที่ตระหนักถึงและเข้าใจเรื่องภัยและความปลอดภัยทางไซเบอร์จะสามารถระบุพฤติกรรมเสี่ยง และปัจจัยเสี่ยงต่าง ๆ ได้ จากนั้นเขาเหล่านั้นจะเริ่มปรับเปลี่ยน ลดละพฤติกรรมเสี่ยงลง และเพิ่มการปฏิบัติที่สร้างความปลอดภัยมากขึ้นให้กับองค์กร เทคนิคหนึ่งที่จะช่วยสร้างความปลอดภัยทางไซเบอร์ให้มากขึ้นในกลุ่มพนักงาน คือการแต่งตั้ง Cyber Security Champions หรือ ผู้นำด้านความปลอดภัยทางไซเบอร์ ที่จะได้รับการฝึกอบรม เพิ่มทักษะ ความรู้ และพัฒนาบทบาทที่จำเป็นในการป้องกันภัยคุกคามทางไซเบอร์ ซึ่ง Cyber Security Champions นั้น ไม่จำเป็นที่จะต้องเป็นคนจากฝ่าย IT หรือผู้เชี่ยวชาญในสายงานเทคโนโลยีสารสนเทศนะครับ เพราะวัตถุประสงค์หลักของการแต่งตั้งทีมงานนี้ คือการเพิ่มมุมมองจากพนักงานผู้ปฏิบัติงานในสายงานอื่น ๆ ลงไปในกลยุทธ์การปกป้ององค์กรจากภัยคุกคามทางไซเบอร์ การที่เรามีมุมมองที่หลากหลายจากต่างแผนกต่างสายงานจะช่วยให้เกิดการตระหนักรู้และระบุปัจจัยเสี่ยงและพฤติกรรมเสี่ยงได้รอบด้านมากยิ่งขึ้น รวมทั้งทีมจากต่างแผนกที่มาเป็นส่วนหนึ่งของแผนงานความปลอดภัยทางไซเบอร์จะช่วยให้เกิดการวางแนวทางการปฏิบัติและขับเคลื่อนแนวทางการปฏิบัติในวงกว้างต่อไป นอกจากนั้น องค์กรจำเป็นต้องสร้างมาตรฐานและกระบวนการทำงานของงานด้านความปลอดภัยทางไซเบอร์ และแก้ปัญหาในกรณีที่เกิดเคสขึ้น ซึ่งต้องมีการประสานงานข้ามสายงานไปยังทุกหน่วยงานในองค์กรอย่างที่ไม่ทำให้เกิดความวุ่นวายและรวดเร็วที่สุด การแต่งตั้ง Cyber Security Champions จึงเป็นเทคนิคที่จะช่วยให้ภาคปฏิบัติเกิดความราบรื่นยิ่งขึ้น ทีนี้ เรามาดูเทคนิคการพัฒนา Cyber Security Champions กันครับ วางเป้าหมาย วัตถุประสงค์ และบทบาทของทีมนี้ให้ชัดเจน โดยบทบาทหลัก คือการช่วยเพิ่มการตระหนักรู้เรื่องภัยคุกคามทางไซเบอร์ นโยบายด้านความปลอดภัยทางไซเบอร์ และแนวทางการปฏิบัติที่ถูกต้องภายในองค์กร พยายามหาตัวแทนให้ได้ครบจากทุกแผนก เพราะเราต้องการทั้งมุมมองในการปฏิบัติงานที่หลากหลายและการประสานงานที่คล่องตัวที่สุด สร้างวัฒนธรรมการทำงานของทีม Cyber Security Champions ให้ทุกคนในทีมรู้สึกถึงความยิ่งใหญ่และภารกิจที่สำคัญและมีความหมายมากต่อองค์กร รวมทั้งเป็นวัฒนธรรมที่ให้ความสำคัญกับทุกความคิดเห็นของทุกคนในทีม เพราะทุกความคิดเห็นล้วนมีความสำคัญต่อความปลอดภัยทางไซเบอร์ขององค์กร ส่งเสริมการทำงานของทีมนี้ให้เป็นเรื่องสนุกมากกว่าเป็นภาระที่หนักอึ้งและกดดัน อาจมีการจัดกิจกรรม team building หรือกิจกรรมเบา ๆ เพื่อให้เกิดการมีส่วนร่วมของทีมและเกิดแรงจูงใจในการรับผิดชอบงานนี้อย่างเต็มควาสามารถ ด้วยความเข้าใจจากผู้บริหาร และการสนับสนุนที่ดีเพียงพอ เราจะสร้างทีม...

ให้ความรู้พนักงานเรื่องความปลอดภัยทางไซเบอร์ผ่านเทคนิคการเล่าเรื่อง เทคนิคการเล่าเรื่อง หรือ Storytelling เป็นอีกหนึ่งวิธีการที่ผมว่าทรงพลังในการสร้างความตระหนักรู้เรื่องความปลอดภัยทางไซเบอร์ เพราะเราต้องยอมรับด้วยครับว่าเรื่อง Cyber Security เป็นเรื่องเชิงเทคนิคอยู่ค่อนข้างมาก บางทีจึงอาจน่าเบื่อสำหรับคนในสายงานอื่น ดังนั้นองค์กรจึงต้องหาวิธีการสร้างการมีส่วนร่วมกับพนักงาน ให้พวกเขา “อิน” และ “เข้าใจ” ความสำคัญของเรื่องนี้อย่างแท้จริงการทำให้พนักงานเห็นว่าเรื่องความปลอดภัยทางไซเบอร์เป็นเรื่องใกล้ตัวมากขึ้นจะช่วยให้พวกเขาเห็นความสำคัญและเชื่อมโยงเรื่องนี้เข้ากับงานที่ทำอยู่และชีวิตประจำวัน ซึ่งพนักงานจะมองเห็นชัดเจนขึ้นว่าภัยไซเบอร์เหล่านี้อาจเกิดกับตัวพวกเขาได้อย่างไรและเมื่อไหร่บ้าง หลังจากนั้นเมื่อเกิดความตระหนักรู้แล้ว การปรับเปลี่ยนพฤติกรรมให้เกิดความระมัดระวังมากขึ้นจึงจะเป็นไปได้จริงครับผู้บริหารหลายท่านในสายงานไอทีเองยังมีความเชื่อว่าการสื่อสารเรื่องความปลอดภัยทางไซเบอร์ต้องทำให้เป็นทางการด้วยภาษาเชิงเทคนิค ศัพท์แสง และทฤษฎีที่เข้าใจแสนยาก เพื่อชี้ให้เห็นถึงความซีเรียสและความซับซ้อนของเรื่องนี้ แต่ในทางกลับกัน การสื่อสารแบบนั้นจะยิ่งทำให้พนักงานรู้สึกไม่สนใจและพยายามหลีกเลี่ยงการใช้เทคนิคการเล่าเรื่อง (Storytelling) เป็นการสื่อสารที่ช่วยให้คนได้เรียนรู้ และมีความรู้สึกร่วมไปกับเรื่องราว ซึ่งสร้างการจดจำได้ง่ายกว่า ยิ่งถ้าเรื่องเล่าเป็นเหตุการณ์ใกล้ตัวหรือมีความเชื่อมโยงกับตัวพนักงานด้วยแล้ว มันจะยิ่งเพิ่มโอกาสในการที่พนักงานจะจดจำและเข้าใจรายละเอียดต่าง ๆ ได้ดียิ่งขึ้น โดยการวางโครงเรื่องของเรื่องเล่าอาจแบ่งออกเป็น 5 ส่วนง่าย ๆ ดังนี้ Before คือผู้ฟังมีความคิดหรือความรู้สึกอย่างไรต่อเรื่องนี้ก่อนที่จะได้รับฟังเรื่องเล่าจากเรา Introduction คือวิธีการที่เราใช้เปิดเรื่องเล่า AHA Moment คือจุดของเรื่องที่จะสร้างความประทับใจให้กับผู้ฟังมากที่สุด Conclusion คือบทสรุปของเรื่องนี้ และ call to action After คือการออกแบบว่าผู้ฟังควรมีความรู้สึกอย่างไรหลังจากได้รับฟังเรื่องเล่าแล้ว การสร้างความรู้สึกร่วมและความเข้าใจในระดับที่ผู้ฟังเริ่มจินตนาการออกถึงสิ่งที่เรากำลังสื่อสารจะช่วยให้ระดับของการตระหนักรู้เรื่องความปลอดภัยทางไซเบอร์ในองค์กรสูงขึ้นด้วยครับ ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์ติดต่อเรา Cloudsec Asiaผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิกTel.+66 2962 3425www.cloudsecasia.com #StaffCyberSecurityAwareness#cybersecurity#cybersecurityisamust#cloudsecasia

แผนกไหนในองค์กรคือเป้าหมายของอาชญากรทางไซเบอร์ คำกล่าวที่ว่า Put the right man on the right job ไม่เพียงพอแล้วในสมัยนี้ คงต้องเสริมเพิ่มไปด้วยว่า Give the right training to the right team ครับ เพราะวันนี้เราจะมาทำความเข้าใจกันว่าแผนกไหนในองค์กรตกเป็นเป้าหมายของอาชญากรทางไซเบอร์กันบ้าง แม้ว่าพนักงานทุกคนสามารถเป็นสาเหตุให้เกิดภัยคุกคามทางไซเบอร์ได้จากความไม่ตั้งใจ ความรู้เท่าไม่ถึงการณ์ และไม่ได้รับข้อมูลความรู้อย่างถูกต้องและเพียงพอ จนก่อให้เกิดพฤติกรรมความเสี่ยง เช่น การไม่ติดตั้งใช้งานโปรแกรม Antivirus หรือ Antimalware, การไม่อัพเดตโปรแกรม Antivirus เป็นประจำ, การเข้าเว็บ Phishing, การดาวน์โหลดโปรแกรมแอปพลิเคชันต่าง ๆ และการตั้งรหัสผ่านของบัญชีที่ใช้ในการทำงานและบัญชีออนไลน์อื่น ๆ ไม่เหมาะสม หรือคาดเดาง่ายจนเกินไป หรือแม้กระทั่งเปิดเผยรหัสผ่านให้แก่ผู้อื่นได้รับทราบ แต่จะมีบางแผนกและบางหน้าที่รับผิดชอบที่เป็นเป้าหมายหลักของกลุ่มอาชญากรมากกว่าแผนกอื่น ๆ และแผนกที่ว่า ก็คือ แผนกบุคคลและแผนกบัญชีการเงิน!!! สาเหตุหลักที่แผนกบุคคลและแผนกบัญชีการเงินช่างดึงดูดอาชญากรทางไซเบอร์เสียเหลือเกิน ก็คือสิทธิ์ในการเข้าถึงข้อมูลส่วนบุคคล ข้อมูลที่มีความอ่อนไหว และข้อมูลสำคัญขององค์กรนั่นเอง นอกจากนั้นแล้ว ผู้บริหารระดับสูงอย่าง CEO และ CFO ก็มักจะตกเป็นเป้าของการโจมตีทางไซเบอร์ด้วยเหตุผลคล้ายคลึงกัน คือสิทธิ์ในการเข้าถึงและครอบครองข้อมูลที่สำคัญขององค์กรอ ซึ่งถ้าโจมตีผู้บริหารระดับสูงได้สำเร็จ ความเสียหาย ภาพลักษณ์ และผลกระทบที่จะเกิดขึ้นจะมีอย่างมหาศาลครับ ดังนั้น การเริ่มต้นออกแบบโปรแกรมการสร้างความตระหนักรู้เรื่องภัยคุกคามทางไซเบอร์สำหรับกลุ่มเป้าหมายตามที่ผมกล่าวไว้ จำเป็นต้องมีการให้ความรู้และสร้างความเข้าใจในระดับที่ลึกขึ้น รวมถึงวางมาตรการในการใช้งานระบบเทคโนโลยีสารสนเทศ ฐานข้อมูล และการสื่อสารขององค์กรอย่างรัดกุม ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์ติดต่อเรา Cloudsec Asiaผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิกTel.+66 2962 3425www.cloudsecasia.com #StaffCyberSecurityAwareness#cybersecurity#cybersecurityisamust#cloudsecasia

ข้อมูลคือสินทรัพย์สำคัญขององค์กรที่ต้องปกป้อง ในการเริ่มวางแผนเรื่องระบบความปลอดภัยทางไซเบอร์ และระบุปัจจัยเสี่ยงต่าง ๆ ที่อาจสร้างความเสียหายให้เกิดขึ้น องค์กรต้องทำการตรวจสอบฐานข้อมูล ประเภทข้อมูล หมวดหมู่ข้อมูล และสินทรัพย์สารสนเทศ (Information Assets) ที่มีอยู่ในองค์กร เพื่อให้แน่ใจว่าสินทรัพย์สารสนเทศเหล่านี้ได้รับการปกป้องอย่างเหมาะสมสินทรัพย์สารสนเทศ หมายถึง ข้อมูล ฐานข้อมูล ระบบข้อมูล และทรัพย์สินด้านเทคโนโลยีสารสนเทศและการสื่อสารของหน่วยงานต่าง ๆ ในองค์กร ได้แก่ ระบบเครือข่าย ระบบคอมพิวเตอร์ ซอฟต์แวร์ลิขสิทธิ์ เป็นต้น ประเภทของข้อมูลที่มีค่าเหล่านี้ ได้แก่ ข้อมูลส่วนบุคคล (Personally Identifiable Information (PII)) ซึ่งหมายถึงข้อมูลที่สามารถระบุตัวตนของบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ข้อมูลทางการเงิน ข้อมูลทรัพย์สินทางปัญญา หรือข้อมูลใดก็ตามที่มีความสำคัญต่อการดำเนินกิจการขององค์กรสิ่งที่ต้องตรวจสอบในอันดับแรกเลย คือข้อมูลใดบ้างที่มีความสำคัญต่อองค์กร ข้อมูลเหล่านั้นถูกจัดเก็บไว้ที่ไหนบ้าง และใครมีสิทธิ์ในการเข้าถึงข้อมูลเหล่านั้นบ้าง จากนั้นก็มาลงมือกำหนดชั้นความลับของสารสนเทศ (Classification of Information) และกำหนดระดับความสำคัญ โดยพิจารณาจากมุมมองด้านกฎหมาย ระดับความสำคัญ คุณค่าอรรถประโยชน์ และระดับความอ่อนไหวของข้อมูลหากถูกเปิดเผยหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาตผมมี guideline เบื้องต้นในการจัดการสินทรัพย์สารสนเทศเหล่านี้มาฝาก ดังนี้ครับ ต้องกำหนดสิทธิ์การเข้าถึงข้อมูลและระบบสารสนเทศให้เหมาะสมกับการเข้าใช้งานและหน้าที่ความรับผิดชอบของผู้ใช้งาน รวมทั้งมีการทบทวนสิทธิ์การเข้าถึงอย่างสม่ำเสมอ ผู้ดูแลระบบเท่านั้นที่สามารถแก้ไขเปลี่ยนแปลงสิทธิ์การเข้าถึงข้อมูลและระบบสารสนเทศได้ ต้องมีการบันทึกและติดตามการใช้งานระบบเทคโนโลยีสารสนเทศและการสื่อสารขององค์กร และเฝ้าระวังการละเมิดความปลอดภัยที่มีต่อข้อมูลและระบบสารสนเทศที่สำคัญ ต้องบันทึกรายละเอียดการเข้าถึงระบบ การแก้ไขเปลี่ยนแปลงสิทธิ์ต่าง ๆ ของทั้งผู้ที่ได้รับอนุญาตและไม่ได้รับอนุญาต เพื่อเป็นหลักฐานในการตรวจสอบหากมีปัญหาเกิดขึ้น ต้องกำหนดกฎเกณฑ์ ข้อห้าม และบทลงโทษการเข้าถึงข้อมูลและระบบสารสนเทศ ต้องวางแนวปฏิบัติในการเข้าถึง ใช้งาน และเผยแพร่ข้อมูลลับ โดยออกประกาศให้รับทราบโดยทั่วกัน รวมไปถึงการจัดการอบรมแนวทางปฏิบัตินี้ให้แก่ทีมงานในองค์กรได้เกิดความเข้าใจที่ถูกต้องตรงกัน ผู้ใช้งานต้องตระหนักถึงการรักษาข้อมูลที่ถูกเก็บไว้ในเครื่องคอมพิวเตอร์ของผู้ใช้งาน โดยเฉพาะอย่างยิ่งเครื่องคอมพิวเตอร์ที่มีการใช้งานร่วมกันมากกว่าหนึ่งคนขึ้นไป ข้อมูลลับเหล่านี้ต้องได้รับการปกป้องโดยการเข้ารหัส หรือโดยวิธีการอื่นใดของระบบปฏิบัติการ หรือระบบสารสนเทศอย่างเหมาะสม ข้อมูลลับต้องถูกเก็บออกจากอุปกรณ์ประมวลผล สื่อบันทึกข้อมูล และอุปกรณ์คอมพิวเตอร์พกพาต่าง ๆ และต้องได้รับการดูแลรักษาและใช้งานอย่างระมัดระวัง ผู้ใช้งานต้องไม่เปิดเผยข้อมูลลับต่อบุคคลภายนอก...