Sunday, November 24, 2024
ArticlesInformation Security

แนะข้อพิจารณา 6 ประการ เพื่อปฏิบัติตามมาตรฐานความมั่นคงปลอดภัยข้อมูล

ความมั่นคงปลอดภัยข้อมูล

ขอแนะนำข้อพิจารณา 6 จุด ที่องค์กรต้องพิจารณาและต้อบคำถาม ถ้าคำตอบคือใช่ จะถือว่าตรงตามข้อกำหนด หรือกฎระเบียบ (ส่วนใหญ่) ด้าน ความมั่นคงปลอดภัยข้อมูล

นยุคดิจิทัลแบบทุกวันนี้ ความมั่นคงปลอดภัยข้อมูล ถือเป็นประเด็นสำคัญที่องค์กรต่างๆ ไม่ควรมองข้าม ด้วยจำนวนการโจมตีของแรนซัมแวร์ที่เพิ่มขึ้น ความท้าทายในการจัดการโฟลว์ข้อมูลข้ามเขตแดน และปัจจัยด้านภูมิรัฐศาสตร์ ธุรกิจจึงต้องเผชิญกับความท้าทายที่มากขึ้นเรื่อยๆ

ในเรื่องการจัดการและการปกป้องข้อมูล ปรากฏการณ์เหล่านี้ได้เร่งให้เกิดการร่างกฎหมาย และข้อกำหนดที่เกี่ยวข้องจากรัฐบาล และองค์กรต่างๆ ที่ทั่วโลก

ตัวอย่างเช่น ไต้หวันได้ผ่าน กฎหมายการจัดการด้านความปลอดภัยทางไซเบอร์ ซึ่งระบุให้บริษัทต่างๆ ต้องมีระบบการจัดการด้านการรักษาความปลอดภัยของข้อมูล โดยใช้เทคโนโลยี และมาตรการที่เหมาะสม นอกจากนี้หลายบริษัทยังต้องได้รับการรับรอง ISO 27001 ซึ่งเพิ่งเพิ่มมาตรการด้านการควบคุมเมื่อปีที่แล้ว

บทความโดย: โจแอนน์ เวง Director of International Business Department

ยิ่งไปกว่านั้น หากธุรกิจไม่ปฏิบัติตามข้อกำหนดด้านกฎระเบียบ พวกเขาอาจเผชิญกับข้อจำกัด บทลงโทษ หรือแม้แต่การกีดกันจากห่วงโซ่อุปทานในอุตสาหกรรมต่างๆ ซึ่งทำให้การปฏิบัติตามมาตรฐานไม่ใช่ทางเลือกอีกต่อไป แต่ถือได้ว่าเป็นความจำเป็น

เนื่องจากประเด็นนี้เกี่ยวข้องเป็นอย่างมากกับชื่อเสียง และความสัมพันธ์ขององค์กร ผู้เขียนคาดว่า การปฏิบัติตามมาตรฐานด้านความปลอดภัยของข้อมูลจะเป็นปัจจัยที่ทวีความสำคัญมากขึ้นในการดำเนินธุรกิจขององค์กร

การขาดวิธีการปรับใช้งานที่ชัดเจนของกฎระเบียบต่างๆ ก่อให้เกิดความสับสนสำหรับธุรกิจ เพราะในขณะที่องค์กรกำลังวางแผนกลยุทธ์การปฏิบัติตามมาตรฐาน พบว่าอุปสรรคที่มักจะพบคือ การประเมินด้านการปรับใช้งานการปฏิบัติตามมาตรฐานตอนเริ่มต้น

ในขณะที่เป้าหมายของการปกป้องข้อมูลมีความชัดเจน แต่กฎระเบียบส่วนใหญ่จะมีเพียงทิศทางคร่าวๆ และต้องการให้บริษัทต่างๆ ปฏิบัติตามกฎระเบียบโดยปราศจากคำแนะนำที่เจาะจง อาทิ Sarbanes-Oxley Act (SOX) กฎหมายบังคับใช้กับบริษัทจดทะเบียนในตลาดหลักทรัพย์ของสหรัฐอเมริกา เพื่อปกป้องนักลงทุนจากการตกแต่งบัญชีของบริษัท

หรือ กฎหมายว่าด้วยการควบคุม และการส่งผ่านข้อมูลทางด้านการประกันสุขภาพ (HIPAA) กฎระเบียบของสหรัฐอเมริกาสำหรับอุตสาหกรรมการดูแลสุขภาพ ในการรักษาความลับของข้อมูลทางการแพทย์ หรือ ระเบียบว่าด้วยการคุ้มครองข้อมูลของสหภาพยุโรป (GDPR)

เมื่อต้องเผชิญกับกฎหมาย และกฎระเบียบที่ซับซ้อนจำนวนมากโดยไม่มีแนวทางเกี่ยวกับการปรับใช้ที่ชัดเจน บริษัทต่างๆ ที่ต้องปฏิบัติตามอาจเริ่มต้นปฏิบัติตามได้ยาก

 เริ่มต้นจาก ISO 27001 เพื่อให้ตรงตามมาตรฐานด้านการรักษาความปลอดภัยจำนวนมากพร้อมกัน เพื่อรับมือกับความท้าทายเหล่านี้

ผู้เขียน ขอแนะนำให้เริ่มจากการปรับใช้ระบบ ISO 27001 ซึ่งเป็นมาตรฐานสากลที่ช่วยให้องค์กรต่างๆ ใช้ระบบการจัดการด้านการรักษาความปลอดภัยของข้อมูล (ISMS) ได้ เนื่องจากข้อกำหนดด้านการรักษาความปลอดภัยมีส่วนที่ตรงกับมาตรฐานอื่นๆ จำนวนมาก เช่น HIPAA และ GDPR จึงเป็นวิธีที่ดีในการปฏิบัติตามหลายกฎระเบียบพร้อมกัน

แผนภาพต่อไปนี้แสดงตัวอย่างหนึ่งของความคล้ายกันของ ISO 27001 กับมาตรฐานอื่นๆ ด้วยการเน้นไปที่ความคล้ายกับ HIPAA

ซึ่งหมายความว่า ด้วยการทำตามมาตรฐาน ISO 27001 ก็จะตรงตามข้อกำหนดด้านการรักษาความปลอดภัยของข้อมูลอื่นๆ ส่วนใหญ่ของมาตรฐานอื่นๆ ไปด้วยพร้อมกัน มีเพียงข้อกำหนดเฉพาะอุตสาหกรรมที่ต้องปรับอย่างละเอียดหรือกำหนดเพื่อให้มั่นใจว่าองค์กรของคุณจะปฏิบัติตามมาตรฐานที่เกี่ยวข้อง

ข้อพิจารณา 6 ประการเพื่อให้เป็นไปตามมาตรการการปกป้องข้อมูล

ผู้เขียนเชื่อว่า ทุกองค์กรมีเป้าหมายที่จะปฏิบัติตามข้อกำหนดด้าน การปกป้องข้อมูล ด้วยวิธีการที่ซับซ้อนน้อยที่สุด เพื่อให้บรรลุเป้าหมายนี้ ขอแนะนำข้อพิจารณา (Audit) หกจุดต่อไปนี้ หากองค์กรสามารถตอบ “ใช่” ให้กับคำถามต่อไปนี้ จะถือว่าตรงตามข้อกำหนดด้านการปกป้องข้อมูลพื้นฐานสำหรับกฎระเบียบส่วนใหญ่

  1. การสำรองข้อมูลที่สมบูรณ์ มีการสำรองข้อมูลอย่างมีประสิทธิภาพและสม่ำเสมอ เพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลไปยังเวอร์ชันที่ต้องการได้หรือไม่
  2. การตรวจสอบความถูกต้องของการสำรองข้อมูล ข้อมูลสำรองมีความปลอดภัยอย่างแท้จริงและได้รับการพิสูจน์ว่าสามารถกู้คืนได้หรือไม่
  3. ความไม่เปลี่ยนแปลงของข้อมูล (Data immutability) คุณมีสำเนาของข้อมูลที่ไม่สามารถยุ่งเกี่ยวหรือลบตามความต้องการได้หรือไม่
  4. การฝึกซ้อมการกู้คืนข้อมูล คุณจำลองกลยุทธ์ และขั้นตอนการตอบสนองต่อเหตุการณ์ที่ไม่คาดคิดเป็นประจำหรือไม่
  5. การสำรองข้อมูลสำรอง Offsite ข้อมูลสำรองได้รับการจัดเก็บในสถานที่ และสื่อต่างกันหรือไม่
  6. การกู้คืนแบบทันที สามารถกู้คืนข้อมูล และรีสตาร์ท service ภายในกรอบเวลาที่ยอมรับได้ได้หรือไม่

หากขณะนี้ยังไม่สามารถบรรลุจุด Audit เหล่านี้ทั้งหมดได้ องค์กรสามารถเลือกใช้โซลูชันการปกป้องข้อมูลที่ทันสมัย เข้ามาช่วยซึ่งสามารถบรรลุจุด Audit เหล่านี้โดยอัตโนมัติ และให้ประสิทธิภาพในด้านต่างๆ เช่น การสำรองและกู้คืนข้อมูล จะช่วยให้บุคลากรด้าน IT สร้างกลยุทธ์การปกป้องข้อมูลที่สมบูรณ์ได้ง่าย

จากการสำรวจของ Synology พบว่าบริษัทมากกว่า 80% ตระหนักถึงกฎหมายด้านการปฏิบัติตามมาตรฐานการปกป้องข้อมูล แต่ยังขาดโซลูชันที่ครอบคลุมและการรักษาความปลอดภัยข้อมูลที่ปรับใช้ได้ การมองหาเครื่องมือช่วยให้บุคลากรด้าน IT เปลี่ยนความคิดเป็นแผนที่ดำเนินการได้ เกิดความมั่นใจในความปลอดภัยและความสามารถในการกู้คืนข้อมูลของบริษัท พร้อมกับการปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูลต่างๆ ได้ทุกเงื่อนไข

Featured Image: Image by rawpixel.com on Freepik