Home > Medias & Articles > EP.4 ข้อมูลคือสินทรัพย์สำคัญขององค์กรที่ต้องปกป้อง
Back
September 29, 2021

EP.4 ข้อมูลคือสินทรัพย์สำคัญขององค์กรที่ต้องปกป้อง

Wannakorn Bangpisuttikul

ข้อมูลคือสินทรัพย์สำคัญขององค์กรที่ต้องปกป้อง

ในการเริ่มวางแผนเรื่องระบบความปลอดภัยทางไซเบอร์ และระบุปัจจัยเสี่ยงต่าง ๆ ที่อาจสร้างความเสียหายให้เกิดขึ้น องค์กรต้องทำการตรวจสอบฐานข้อมูล ประเภทข้อมูล หมวดหมู่ข้อมูล และสินทรัพย์สารสนเทศ (Information Assets) ที่มีอยู่ในองค์กร เพื่อให้แน่ใจว่าสินทรัพย์สารสนเทศเหล่านี้ได้รับการปกป้องอย่างเหมาะสม
สินทรัพย์สารสนเทศ หมายถึง ข้อมูล ฐานข้อมูล ระบบข้อมูล และทรัพย์สินด้านเทคโนโลยีสารสนเทศและการสื่อสารของหน่วยงานต่าง ๆ ในองค์กร ได้แก่ ระบบเครือข่าย ระบบคอมพิวเตอร์ ซอฟต์แวร์ลิขสิทธิ์ เป็นต้น ประเภทของข้อมูลที่มีค่าเหล่านี้ ได้แก่ ข้อมูลส่วนบุคคล (Personally Identifiable Information (PII)) ซึ่งหมายถึงข้อมูลที่สามารถระบุตัวตนของบุคคลได้ไม่ว่าจะทางตรงหรือทางอ้อม ข้อมูลทางการเงิน ข้อมูลทรัพย์สินทางปัญญา หรือข้อมูลใดก็ตามที่มีความสำคัญต่อการดำเนินกิจการขององค์กร
สิ่งที่ต้องตรวจสอบในอันดับแรกเลย คือข้อมูลใดบ้างที่มีความสำคัญต่อองค์กร ข้อมูลเหล่านั้นถูกจัดเก็บไว้ที่ไหนบ้าง และใครมีสิทธิ์ในการเข้าถึงข้อมูลเหล่านั้นบ้าง จากนั้นก็มาลงมือกำหนดชั้นความลับของสารสนเทศ (Classification of Information) และกำหนดระดับความสำคัญ โดยพิจารณาจากมุมมองด้านกฎหมาย ระดับความสำคัญ คุณค่าอรรถประโยชน์ และระดับความอ่อนไหวของข้อมูลหากถูกเปิดเผยหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
ผมมี guideline เบื้องต้นในการจัดการสินทรัพย์สารสนเทศเหล่านี้มาฝาก ดังนี้ครับ

  1. ต้องกำหนดสิทธิ์การเข้าถึงข้อมูลและระบบสารสนเทศให้เหมาะสมกับการเข้าใช้งานและหน้าที่ความรับผิดชอบของผู้ใช้งาน รวมทั้งมีการทบทวนสิทธิ์การเข้าถึงอย่างสม่ำเสมอ
  2. ผู้ดูแลระบบเท่านั้นที่สามารถแก้ไขเปลี่ยนแปลงสิทธิ์การเข้าถึงข้อมูลและระบบสารสนเทศได้
  3. ต้องมีการบันทึกและติดตามการใช้งานระบบเทคโนโลยีสารสนเทศและการสื่อสารขององค์กร และเฝ้าระวังการละเมิดความปลอดภัยที่มีต่อข้อมูลและระบบสารสนเทศที่สำคัญ
  4. ต้องบันทึกรายละเอียดการเข้าถึงระบบ การแก้ไขเปลี่ยนแปลงสิทธิ์ต่าง ๆ ของทั้งผู้ที่ได้รับอนุญาตและไม่ได้รับอนุญาต เพื่อเป็นหลักฐานในการตรวจสอบหากมีปัญหาเกิดขึ้น
  5. ต้องกำหนดกฎเกณฑ์ ข้อห้าม และบทลงโทษการเข้าถึงข้อมูลและระบบสารสนเทศ
  6. ต้องวางแนวปฏิบัติในการเข้าถึง ใช้งาน และเผยแพร่ข้อมูลลับ โดยออกประกาศให้รับทราบโดยทั่วกัน รวมไปถึงการจัดการอบรมแนวทางปฏิบัตินี้ให้แก่ทีมงานในองค์กรได้เกิดความเข้าใจที่ถูกต้องตรงกัน
  7. ผู้ใช้งานต้องตระหนักถึงการรักษาข้อมูลที่ถูกเก็บไว้ในเครื่องคอมพิวเตอร์ของผู้ใช้งาน โดยเฉพาะอย่างยิ่งเครื่องคอมพิวเตอร์ที่มีการใช้งานร่วมกันมากกว่าหนึ่งคนขึ้นไป ข้อมูลลับเหล่านี้ต้องได้รับการปกป้องโดยการเข้ารหัส หรือโดยวิธีการอื่นใดของระบบปฏิบัติการ หรือระบบสารสนเทศอย่างเหมาะสม
  8. ข้อมูลลับต้องถูกเก็บออกจากอุปกรณ์ประมวลผล สื่อบันทึกข้อมูล และอุปกรณ์คอมพิวเตอร์พกพาต่าง ๆ และต้องได้รับการดูแลรักษาและใช้งานอย่างระมัดระวัง
  9. ผู้ใช้งานต้องไม่เปิดเผยข้อมูลลับต่อบุคคลภายนอก ยกเว้นในกรณีที่การเปิดเผยนั้นครอบคลุมโดยเอกสารข้อตกลงการไม่เปิดเผยข้อมูล

เมื่อองค์กรได้วางแผนและบริหารจัดการสินทรัพย์สารสนเทศอย่างเหมาะสม พนักงานจะเกิดความรู้ความเข้าใจที่มากขึ้นในการใช้งานข้อมูลที่สำคัญ และสามารถร่วมกันพัฒนาปรับปรุงกระบวนการทำงานเพื่อลดความเสี่ยงที่อาชญากรไซเบอร์จะเข้าถึงข้อมูลที่สำคัญขององค์กรได้ครับ

ปกป้ององค์กรของท่านจากการโจมตีทางไซเบอร์
ติดต่อเรา Cloudsec Asia
ผู้ให้บริการด้านความปลอดภัยทางไซเบอร์ชั้นนำของเอเชียแปซิฟิก
Tel.+66 2962 3425
www.cloudsecasia.com

#StaffCyberSecurityAwareness
#cybersecurity
#cybersecurityisamust
#cloudsecasia