แนวทางการทำ Data Protection เพื่อปกป้องทุกข้อมูลสำคัญขององค์กร

หลังจากที่ธุรกิจองค์กรทั่วไทยต่างต้องฝ่าฟันผ่านวิกฤตโรคระบาดของโควิด-19 กันอย่างตลอดในช่วง 2 ปีที่ผ่านมา หลังจากนี้วาระของการทำ Data Protection เพื่อตอบรับต่อการบังคับใช้ของ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 หรือ PDPA ก็จะกลับมาเป็นประเด็นสำคัญของธุรกิจองค์กรอีกครั้ง และยังจะเป็นอีกหนึ่งกลยุทธ์สำคัญที่ขาดไม่ได้ในการทำ Digital Transformation ที่ธุรกิจจะต้องอาศัยข้อมูลในการดำเนินงานเป็นหลักอีกด้วย

ในบทความนี้เราจะทำการสรุปถึง 3 แนวทางสำคัญที่ผู้บริหารธุรกิจองค์กรและผู้ดูแลระบบ IT ต้องดำเนินการ เพื่อวางกลยุทธ์ด้านการทำ Data Protection ที่เหมาะสมสำหรับองค์กร

1. วางนโยบายการจัดเก็บ เข้าถึง และใช้งานข้อมูลให้รัดกุม บังคับใช้นโยบายให้ทั่วถึง ลดความเสี่ยงข้อมูลรั่วไหล

การปรับปรุงกระบวนการทำงานในส่วนที่เกี่ยวข้องกับข้อมูลทั้งหมดให้สอดคล้องกับข้อกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลนั้นถือเป็นก้าวแรกที่จะขาดไม่ได้ของธุรกิจองค์กร เพื่อให้มั่นใจว่าข้อมูลทั้งหมดที่มีการจัดเก็บ เข้าถึง และใช้งานภายในองค์กรนั้นถูกต้องตามข้อกฎหมาย โดยที่ยังคงสามารถนำไปใช้งานได้อย่างเหมาะสม และมีแนวปฏิบัติที่เชื่อถือและมั่นใจได้ว่าข้อมูลสำคัญเหล่านี้จะถูกปกป้องอยู่เสมอ

สำหรับขั้นตอนแรกสุดที่จำเป็นสำหรับทุกองค์กรนั้นก็คือการศึกษาและสร้างความเข้าใจเกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลให้ชัดเจน ทั้งในระดับของผู้บริหารและระดับปฏิบัติการที่เกี่ยวข้อง เพื่อให้การทำงานหลังจากนี้เป็นไปตามกรอบของพ.ร.บ. ซึ่งในขั้นตอนนี้อาจเกิดได้ทั้งจากการศึกษา พ.ร.บ. เป็นการภายใน หรือให้ผู้เชี่ยวชาญจากภายนอกมารับหน้าที่เป็นที่ปรึกษาหรือจัดอบรมก็ได้เช่นกัน

ถัดมาก็คือการกำหนดผู้ดำรงตำแหน่ง Chief Data Protection Officer (CDPO) ขึ้นมาเพื่อทำการดูแลภาพรวมและรับผิดชอบงานด้านวางนโยบายและการบังคับใช้นโยบายให้ชัดเจน รวมถึงการทำหน้าที่ในการตรวจสอบและปรับปรุงกระบวนการการทำงานและการจัดเก็บ เข้าถึง และใช้งานข้อมูลทั้งหมดในแต่ละส่วนขององค์กรอย่างถี่ถ้วน เพื่อให้ค่อย ๆ เกิดการปรับเปลี่ยนทั้งในแง่ของแนวคิด, ขั้นตอน และวัฒนธรรมของการทำงานให้การปกป้องข้อมูลนี้เป็นส่วนสำคัญในการทำงานในอนาคต

ไม่เพียงแต่การเปลี่ยนแปลงในระดับของกระบวนการการทำงานเท่านั้น แต่การเปลี่ยนแปลงหรือเสริมเทคโนโลยีที่ใช้ในการทำงานให้มีความเหมาะสมเองก็มีความสำคัญที่ไม่แพ้กัน ดังนั้นธุรกิจจึงต้องมีการเรียนรู้ถึงแนวทางใหม่ ๆ ที่จะช่วยปกป้องข้อมูลที่ถูกจัดเก็บเอาไว้ในระบบต่าง ๆ ให้มีความเป็นส่วนบุคคลมากยิ่งขึ้นและนำมาปรับใช้ ไม่ว่าจะเป็นการเข้ารหัสข้อมูล, การนำรหัสข้อมูลมาใช้แทนข้อมูลจริง และอื่น ๆ รวมถึงยังต้องจัดทำแผนผังของการจัดเก็บข้อมูลส่วนบุคคลที่กระจัดกระจายอยู่ในระบบต่าง ๆ ทั้งภายใน Data Center, Cloud และอุปกรณ์ของผู้บริหารหรือพนักงานให้มีความชัดเจน เพื่อให้สามารถวางแผนในการปกป้องข้อมูลส่วนบุคคลเหล่านี้ให้ได้ด้วยวิธีการและแนวทางที่เหมาะสม ซึ่งในบางกรณีก็อาจต้องยกเลิกการจัดเก็บข้อมูลบางส่วนไป

ในขณะเดียวกัน การจัดทำระบบเพื่อเก็บรวบรวมความยินยอมในการขออนุญาตใช้งานข้อมูลส่วนบุคคลจากลูกค้าและคู่ค้า, ระบบเพื่อให้เกิดการร้องขอในการยกเลิกคำอนุญาตในการใช้ข้อมูลและลบข้อมูล ไปจนถึงระบบติดตามการเขัาถึงและใช้งานข้อมูลนั้นก็จะกลายเป็นอีกส่วนสำคัญที่ช่วยให้การทำ Data Protection มีความโปร่งใสและตรวจสอบได้

สุดท้าย การหมั่นติดตามข่าวสารเกี่ยวกับการปรับปรุงข้อกฎหมายที่เกี่ยวข้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล และมีการตรวจสอบทบทวนนโยบายและการบังคับใช้ทั้งหมดอยู่เสมอทุก ๆ ปีหรือทุกครั้งที่มีความเปลี่ยนแปลงในองค์กร ไม่ว่าจะเป็นการเปิดแผนกใหม่, ปรับเปลี่ยนกระบวนการทำงาน, นำระบบ IT ใหม่มาใช้งาน หรืออื่น ๆ ก็จะช่วยให้การปกป้องข้อมูลส่วนบุคคลในองค์กรนั้นเกิดขึ้นได้อย่างต่อเนื่องและมีประสิทธิภาพ

2. ตรวจสอบและบริหารจัดการความเสี่ยง ช่องโหว่ และความมั่นคงปลอดภัยของระบบ IT ที่ใช้งานอยู่เสมอ

ในการทำ Data Protection ที่ดีนั้นนอกจากการปกป้องตัวข้อมูลและการนำข้อมูลไปใช้งานโดยตรงแล้ว การปกป้องระบบ IT ที่เกี่ยวข้องกับข้อมูลเหล่านั้นให้มีความมั่นคงปลอดภัยก็มีความสำคัญไม่แพ้กัน เพราะถึงแม้นโยบายและการบังคับใช้จะมีความรัดกุมเพียงใด แต่ถ้าระบบ IT ที่เกี่ยวข้องถูกเจาะโจมตีช่องโหว่หรือถูกผู้ประสงค์ร้ายเข้าถึงและควบคุมได้ ข้อมูลที่เกี่ยวข้องกับระบบนั้น ๆ ก็ย่อมตกอยู่ในความเสี่ยงเช่นกัน

ในการรักษาความมั่นคงปลอดภัย Cybersecurity นี้ ก็จะแบ่งได้ออกเป็นหลายส่วน เช่น

• Network Security การตรวจจับและรักษาความมั่นคงปลอดภัยจากภัยคุกคามที่โจมตีผ่านระบบเครือข่าย
• Endpoint Security การตรวจจับและรักษาความมั่นคงปลอดภัยจากภัยคุกคามที่มุ่งเป้าโจมตีไปยังอุปกรณ์ของผู้ใช้งาน เช่น PC, Notebook, Smartphone และ Tablet
• Data Center & Cloud Security การตรวจจับและรักษาความมั่นคงปลอดภัยจากภัยคุกคามที่โจมตีไปยังศูนย์ข้อมูลหรือบริการ Cloud
• Application Security การตรวจจับและรักษาความมั่นคงปลอดภัยจากภัยคุกคามที่มุ่งเป้าโจมตีระบบ Application
• Identity Management & Authentication การบริหารจัดการบัญชีผู้ใช้งานและการยืนยันตัวตนขององค์กร
• Vulnerability & Patch Management การตรวจสอบและบริหารจัดการอุดช่องโหว่ในระบบต่าง ๆ ที่มีการใช้งานภายในองค์กร
• Penetration Testing การทดสอบเจาะระบบเพื่อหาช่องโหว่ภายในระบบ Application และระบบ IT ขององค์กร เพื่อทำการแก้ไขช่องโหว่หรือจุดอ่อนด้านความมั่นคงปลอดภัยก่อนที่ผู้ประสงค์ร้ายจะทำการโจมตี
• Secure Coding & DevSecOps การพัฒนาซอฟต์แวร์และการจัดเตรียมกระบวนการและระบบเพื่อการพัฒนาซอฟต์แวร์อย่างมั่นคงปลอดภัย
• Incident & Response การเฝ้าระวัง ตรวจสอบ และตอบสนองต่อเหตุการณ์ภัยคุกคามที่เกิดขึ้นในธุรกิจองค์กรด้วยกระบวนการที่เป็นมาตรฐานและเหมาะสม พร้อมมีเครื่องมือและข้อมูลที่จำเป็นต่อการตอบสนองได้อย่างทันท่วงที
• และอื่น ๆ อีกมากมาย

จะเห็นได้ว่าแนวทางในการรักษาความมั่นคงปลอดภัยนี้มีด้วยกันหลากหลายวิธีการ ซึ่งแต่ละธุรกิจองค์กรและระบบย่อยแต่ละส่วนในองค์กรนั้นก็ต้องการการรักษาความมั่นคงปลอดภัยด้วยวิธีการที่แตกต่างกันไป

ดังนั้นขั้นตอนที่สำคัญในการเตรียมตัวในส่วนนี้จึงเป็นการที่ธุรกิจองค์กรนั้นต้องทำการสำรวจและจำแนกว่าระบบ IT ใดที่ใช้งานอยู่นั้นมีการจัดเก็บข้อมูลส่วนบุคคลใดบ้างอยู่ และมีความสำคัญต่อธุรกิจมากน้อยเพียงใด รวมถึงมีการใช้เทคโนโลยีเบื้องหลังและเปิดให้มีการเชื่อมต่อใช้งานในช่องทางใดบ้าง เพื่อให้การจัดลำดับความสำคัญในการปกป้องระบบสามารถเป็นไปได้อย่างแม่นยำ และเลือกใช้งานแนวทางการปกป้องระบบได้อย่างเหมาะสม

ในขณะเดียวกัน ประเด็นด้านการเฝ้าระวังและดูแลรักษาความมั่นคงปลอดภัยโดยบุคลากรมืออาชีพผู้เชี่ยวชาญเองก็มีความสำคัญเช่นกัน ซึ่งธุรกิจองค์กรก็สามารถเลือกได้ทั้งการจัดตั้งทีมงานภายในเอง และการเลือกใช้บริการทีมงานภายนอกอย่างเช่นบริการด้าน Penetration Testing, Managed Security Services หรือการเลือกใช้บริการ Cyber Security Operation Center (SOC) as a Service ก็จะช่วยให้องค์กรสามารถรับมือกับการขาดแคลนบุคลากรด้าน Cybersecurity ที่ทั่วโลกกำลังเผชิญอยู่ในเวลานี้ได้

อย่างไรก็ดี การวางแผนและจัดการด้าน Cybersecurity นี้ก็เป็นกิจกรรมที่ต้องมีการตรวจสอบทบทวนและปรับปรุงอยู่เสมอเช่นกัน เพื่อให้การปกป้องรักษาระบบและข้อมูลสำคัญขององค์กรนั้นทันกับภัยคุกคามที่มีวิวัฒนาการอยู่ตลอดเวลาและมีการใช้เทคนิคใหม่ ๆ ในการโจมตีอยู่เสมอ

3. สำรองข้อมูลอย่างระมัดระวัง ทดสอบซ้ำให้มั่นใจว่าข้อมูลที่สำรองเอาไว้จะกู้กลับคืนมาใช้งานได้อย่างปลอดภัย

สุดท้ายแล้ว หลักการหนึ่งที่ทุกธุรกิจต้องคำนึงถึงเอาไว้อยู่เสมอก็คือ ไม่ว่าองค์กรจะมีการวางแผนปกป้องข้อมูลและป้องกันการโจมตีระบบดีเพียงใด ก็ยังมีโอกาสที่ระบบจะถูกผู้ประสงค์ร้ายโจมตีสำเร็จได้อยู่ดีไม่ทางใดก็ทางหนึ่ง ดังนั้นถึงแม้การลดความเสี่ยงด้วยกระบวนการและเทคโนโลยีต่าง ๆ นั้นจะช่วยให้องค์กรรับมือกับประเด็นเหล่านี้ได้ดีขึ้น แต่ก็ไม่สามารถนิ่งนอนใจได้ว่าข้อมูลสำคัญของธุรกิจและข้อมูลส่วนบุคคลที่จัดเก็บเอาไว้จะไม่ถูกโจมตีหรือถูกทำลายให้สูญหายไปจากการโจมตีที่หลากหลายรวมถึง Ransomware

การวางแผนรับมือกับกรณีเหล่านี้ด้วยการสำรองข้อมูลและระบบเอาไว้ก่อน ถึงแม้ระบบจะถูกโจมตีหรือข้อมูลจะสูญหาย ธุรกิจก็จะยังคงสามารถกู้คืนระบบและข้อมูลเหล่านี้ขึ้นมาได้หลังถูกโจมตี ควบคู่ไปกับการตรวจสอบหาสาเหตุของการถูกโจมตีและรีบแก้ไขปัญหานั้น ๆ ก่อนที่จะเปิดระบบกลับขึ้นมาดำเนินการต่อได้ ก็จะช่วยบรรเทาความเสียหายที่จะเกิดขึ้นกับธุรกิจลงได้เป็นอย่างมาก

อย่างไรก็ดี ในการสำรองระบบและข้อมูลนี้ก็มีประเด็นที่ต้องระวังอยู่หลายประเด็น เช่น

• การกำหนดสิทธิ์ของผู้ที่สามารถเข้าถึงข้อมูลที่สำรองเอาไว้ได้ และมีการตรวจสอบการเข้าถึงข้อมูลที่สำรองเอาไว้อยู่เสมอ เพื่อไม่ให้เกิดการกู้คืนข้อมูลและเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
• การตรวจสอบว่ามีการสำรองข้อมูลที่เป็นข้อมูลส่วนบุคคลเอาไว้ที่ใดบ้าง และทำการจัดการเพื่อให้มั่นใจว่าข้อมูลส่วนบุคคลจะไม่รั่วไหลจากช่องทางดังกล่าว
• การตรวจสอบว่าข้อมูลหรือระบบที่สำรองเอาไว้จะมีไม่มีภัยคุกคามอย่างเช่น Malware หรือ Ransomware ถูกสำรองติดไปด้วย เผื่อในกรณีที่ต้องกู้คืนข้อมูลหรือระบบเหล่านั้นมาใช้งาน ภัยคุกคามเหล่านั้นจะได้ไม่ถูกกู้คืนกลับมาด้วย
• การทดสอบการกู้คืนระบบหรือข้อมูลนั้นควรจะต้องทำอย่างสม่ำเสมอ และต้องมีกระบวนการที่ชัดเจนว่าในระหว่างที่ทำการทดสอบเหล่านี้ ข้อมูลส่วนบุคคลที่ถูกกู้คืนขึ้นมาด้วยจะไม่ถูกเข้าถึงโดยไม่ได้รับอนุญาต
• การนำข้อมูลหรือระบบไปใช้เพื่อทำ Data Analytics ในแง่มุมต่าง ๆ จะต้องคำนึงถึงประเด็นด้านข้อมูลส่วนบุคคลด้วยเช่นกัน
• การกำหนดนโยบายการรักษาความมั่นคงปลอดภัยให้กับระบบที่โดนโจมตีหรือข้อมูลที่ถูกกู้คืนมา เพื่อป้องกันไม่ให้ระบบหรือข้อมูลเหล่านี้ถูกโจมตีซ้ำสอง

ประเด็นเหล่านี้เป็นเพียงตัวอย่างบางส่วนเท่านั้น และแต่ละระบบเองก็อาจต้องมีจุดที่ต้องระวังที่แตกต่างกันออกไป แต่ไม่ว่าจะเป็นธุรกิจองค์กรใด หากต้องการทำ Data Protection อย่างรัดกุมแล้ว นอกจากการวางนโยบายด้านการควบคุมข้อมูลและบังคับใช้นโยบายดังกล่าวกับ ข้อมูลและระบบที่สำรองเอาไว้แล้วนั้น การวางนโยบายที่ศูนย์ข้อมูลหรือ Cloud ปลายทางสำหรับในกรณีกู้คืนระบบหรือข้อมูลเหล่านี้ ก็เป็นประเด็นละเอียดอ่อนที่จะมองข้ามไปไม่ได้เช่นกัน

สรุป กลยุทธ์การทำ Data Protection เป็นสิ่งที่ทุกคนในองค์กรต้องให้ความสำคัญ และต้องผลักดันโดยผู้บริหารระดับสูง

จะเห็นได้ว่าทั้ง 3 แนวทางข้างต้นนี้ล้วนต้องอาศัยความร่วมมือจากหลายภาคส่วนในองค์กรเพื่อให้สามารถปฏิบัติงานได้จริงและมีการบังคับใช้ในทุกระดับ รวมถึงต้องมีการกำหนดแผนงานที่ชัดเจน ดังนั้นการทำ Data Protection ที่จะประสบความสำเร็จได้นี้จึงต้องอาศัยทั้งความเข้าใจและการผลักดันจากเหล่าผู้บริหารระดับสูงขององค์กรในฐานะของการวางรากฐานสำคัญของธุรกิจสืบเนื่องไปในระยะยาว

ดังนั้นไม่ว่าธุรกิจองค์กรจะกำลังเผชิญกับปัญหาใด ทางทีมงาน NT cyfence ก็พร้อมให้คำปรึกษาและให้บริการด้าน Cybersecurity แบบครบวงจร เพื่อให้ธุรกิจองค์กรสามารถดำเนินงานต่อไปได้ในทุกสถานการณ์

ในการตอบโจทย์ดังกล่าวนี้ NT cyfence ได้ทำการคิดค้นและพัฒนาโซลูชัน NT cyfence Data Protection ที่ธุรกิจองค์กรสามารถเริ่มต้นใช้งานได้อย่างรวดเร็วและง่ายดาย ปกป้องข้อมูลสำคัญขององค์กรได้อย่างตรงจุด โดยมีจุดเด่นที่น่าสนใจคือเป็นบริการในแบบ Managed Services ที่ทาง NT cyfence จะนำระบบ Data Protection ในแบบ Hyper-Converged Infrastructure (HCI) ไปติดตั้งภายใน Data Center ของธุรกิจองค์กร และทำการสำรองข้อมูลมายังระบบดังกล่าวโดยตรง ทำให้สามารถสำรองข้อมูลปริมาณมหาศาลได้อย่างรวดเร็ว และกู้คืนข้อมูลหรือระบบต่าง ๆ ได้อย่างทันท่วงทีเมื่อถูก Ransomware โจมตี

แนวทางดังกล่าวนี้จะทำให้องค์กรสามารถมั่นใจได้ในการสำรองข้อมูลและระบบมายัง บริการ Data Protection ซึ่งองค์กรเองยังคงมีอิสระในการบังคับใช้นโยบายด้านการรักษาความมั่นคงปลอดภัยที่มีอยู่เดิมภายในองค์กรได้โดยไม่ต้องลงทุนเพิ่มเติม, สามารถเพิ่มขยายระบบได้อย่างต่อเนื่องทันทีที่ต้องการ, ไม่ต้องกังวลเรื่องปริมาณ Bandwidth ขาออกไปยัง Internet เหมือนบริการ Cloud Backup อื่น ๆ ในขณะที่การคิดค่าใช้จ่ายนั้นจะเป็นแบบรายเดือน ทำให้องค์กรไม่ต้องลงทุนจัดซื้อ Hardware และ ดูแลรักษาด้วยตนเองแต่อย่างใด ซึ่งองค์กรสามารถเลือกใช้บริการนี้ได้ทั้งในแบบ Standard และ Premium ตามความต้องการ

นอกเหนือจากบริการ NT cyfence Data Protection แล้ว ทาง NT cyfence เองก็ยังมีบริการอื่น ๆ ที่น่าสนใจอีกมากมาย ไม่ว่าจะเป็นบริการ Anti-Virus สำหรับการปกป้อง Server ทั้งในแบบ VM และ Cloud, Web Application Firewall (WAF) สำหรับปกป้องระบบ Web Application ขององค์กร และบริการ DDoS Protection สำหรับปกป้องระบบงานต่าง ๆ จากการโจมตีแบบ DDoS ซึ่งสามารถใช้งานร่วมกันได้ทั้งหมด เพื่อให้ภาพของการปกป้องระบบงานและข้อมูลสำคัญของธุรกิจมีความครบถ้วนสมบูรณ์ยิ่งขึ้น

ผู้ที่สนใจสามารถติดต่อทีมงาน NT cyfence ได้ที่ https://www.cyfence.com/contact-us/