เนื้อหาวันที่ : 2021-01-25 18:52:54 จำนวนผู้เข้าชมแล้ว : 590 views

PDPA ในมิติความน่าเชื่อถือทางธุรกิจ

บทความโดย นายวรเทพ ว่องธนาการ

ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น

บริษัท ยิบอินซอย จำกัด

นับถอยหลังจากนี้ไปเพียง 5 เดือน จนถึงวันที่ 27 พฤษภาคม 2564 จะเป็นวันดีเดย์ของการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA หลังจากเลื่อนมาหนึ่งปี

อย่างที่เราได้ยินกันว่า Data is a New Oil “ข้อมูลคือขุมพลังงานใหม่ที่สร้างมูลค่าทางเศรษฐกิจอย่างมหาศาล” ยิ่งในโลกยุคดิจิทัลที่ข้อมูลธุรกิจ ข้อมูลส่วนบุคคลทั้งทางตรง ทางอ้อม ข้อมูลอ่อนไหว เป็นสิ่งที่องค์กรอยากเก็บรวบรวมไปวิเคราะห์ด้วยกระบวนการจัดการข้อมูลต่างๆ เพื่อใช้ปรับปรุงพัฒนาผลิตภัณฑ์และบริการเพื่อสร้างโอกาสทางการแข่งขัน กฎหมาย PDPA จึงเป็นเครื่องมือหนึ่งที่ช่วยป้องปรามผู้เก็บรวบรวมและนำข้อมูลเหล่านี้ไปใช้ จะต้องมีแนวทางกำกับดูแลไม่ให้ถูกใช้งานอย่างเลยเถิดจนเจ้าของข้อมูลถูกละเมิดสิทธิ รวมถึงต้องดูแลให้ปลอดจากภัยคุกคาม กฎหมาย PDPA จึงไม่ใช่การ ห้ามไม่ให้ เข้าถึงหรือใช้ข้อมูล แต่ต้องการให้เกิดการ จัดเก็บ และ ใช้ ข้อมูลอย่างถูกต้องและถูกวิธี เพื่อรักษาสมดุลระหว่าง ความเป็นส่วนตัวและความปลอดภัย (Privacy & Security) กับ การขับเคลื่อนธุรกิจบนพื้นฐานของความไว้วางใจ (Business Accelerator & Trust) ซึ่งสิ่งที่ได้รับกลับมา คือ ความมั่นคงของระบบจัดการข้อมูล และความไว้วางใจของลูกค้าที่มีต่อแบรนด์และตัวองค์กรในระยะยาว

3 มุมมองล้อมกรอบข้อมูลให้ปลอดภัย

ไอเอสเอฟ หรือ Information Security Forum เป็นตัวอย่างหนึ่งที่เสนอแนะการสร้างความมั่นคงปลอดภัยของข้อมูลให้ทนทานต่อภัยคุกคามใน 3 มุมมองที่นำมาประยุกต์ให้รับกับกฎหมาย PDPA ได้แก่

1.ความปลอดภัยต่อตัวข้อมูลโดยตรง (Information Security) เพื่อครอบคลุมสิ่งที่เรียกว่า CIA หมายถึง สิทธิในการเข้าถึงข้อมูลเฉพาะผู้ได้รับอนุญาต (Confidential) ข้อมูลที่จัดเก็บ ส่งต่อ และนำไปใช้ ต้องเป็นข้อมูลที่ถูกต้องและไม่ถูกแก้ไขโดยผู้ไม่มีสิทธิ (Integrity) และผู้มีสิทธิต้องเข้าถึงข้อมูลเพื่อใช้งานได้ตลอดเวลา (Availability)

2.ความปลอดภัยจากภัยคุกคามไซเบอร์ (Cyber Security) เป็นการป้องกันความเสี่ยงที่จะส่งผลกระทบต่อ CIA โดยเฉพาะการเชื่อมต่อออนไลน์ด้วยการเพิ่มเครื่องมือไอทีที่มีประสิทธิภาพ อาทิ การเข้ารหัสข้อมูล (Encryption) การระบุตัวตนก่อนเข้าถึงและใช้งาน (Authentication) หรือ กำหนดสิทธิการเข้าถึงข้อมูล (Authorization)

3.การสร้างระบบให้ทนทานต่อการถูกโจมตี (Cyber Resilience) คือ ระบบที่เท่าทันในการป้องกัน รับมือ และแก้ไขผลกระทบที่เกิดขึ้นให้เร็วที่สุด สร้างความเสียหายน้อยที่สุดด้วยแผนรับมือ 5 ขั้นตอน ได้แก่ ระบุความเสี่ยง (Identification) สร้างกลไกป้องกัน (Protection) มีระบบติดตาม (Detection) เตรียมแนวทางรับมือ (Response) และวางมาตรการกู้คืน (Recovery) ให้กลับมาใช้งานได้ทันท่วงที

เสริมแนวป้องกันเชิงรุกแบบ Zero Trust

ด้วยหลักการ Zero Trust ซึ่งไม่ให้ความไว้วางใจในทุกการเชื่อมต่อจนกว่าจะพิสูจน์ตัวตนได้ถูกต้อง เป็นการกระชับพื้นที่ปลอดภัยให้ทุกข้อมูลจากการโจมตีทั้งในและนอกองค์กร โดยเฉพาะการจัดเก็บข้อมูลนอกองค์กร เช่น บนไฮบริดคลาวด์ การเข้าถึงและเรียกใช้ข้อมูลโดยเครื่องเอนด์พอยต์ที่มากขึ้น อาทิ อุปกรณ์มือถือ (Mobile Devices) อุปกรณ์เคลื่อนที่ในองค์กร (Enterprise Mobility Devices) ที่อาจขโมยข้อมูลไปได้ง่ายเพียงแค่จับภาพหน้าจอ อีกแนวทางหนึ่งของความมั่นคงด้านข้อมูลเชิงรุก คือ การสร้างแนวปฎิบัติการทดสอบเจาะระบบแบบ Intelligence-led Penetration Testing ภายใต้สถานการณ์เสมือนจริง เพื่อขยายผลการตรวจจับช่องโหว่ที่ครอบคลุมทั่วทั้งตัวระบบ เทคโนโลยี ผู้ใช้งาน และขั้นตอนในการปฏิบัติงาน

ส่วนที่สำคัญที่สุดในการเริ่มต้นในปกป้องและบริหารจัดการข้อมูลส่วนบุคคลคือ การที่เราต้องรู้ก่อนว่าข้อมูลที่สำคัญเหล่านั้นอยู่ที่ไหน มีการจัดเก็บที่เหมาะสมหรือไม่ ใครดูแลรับผิดชอบ เพื่อที่จะเตรียมตัวในการบริหารจัดการให้ได้อย่างถูกต้องตามกฎระเบียบ และสามารถนำข้อมูลไปใช้งานได้อย่างมีประสิทธิผล

IBM Security Guardium นับเป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กรสามารถช่วยในเรื่องการบริหารจัดการข้อมูลส่วนบุคคลเหล่านั้นได้เป็นอย่างดี โดยตัวเครื่องมือมีความสามารถดังต่อไปนี้

  1. ประเมินและวิเคราะห์หาช่องโหว่ของระบบตามมาตรฐานความปลอดภัยสากล DoD STIG, CIS, CVE
  2. ค้นหา, จัดประเภทและระบุตำแหน่งข้อมูลส่วนบุคคลที่จัดเก็บในระบบ
  3. กำหนดนโยบายเพื่อควบคุมสิทธิการเข้าถึงข้อมูลของสำหรับพนักงานและแอปพลิเคชั่นที่เกียวข้อง
  4. ตรวจสอบย้อนหลังในการเข้าใช้งานข้อมูลส่วนบุคคล
  5. ปกปิดการแสดงผลข้อมูลบางส่วนด้วยการใช้ Data Redaction หรือ ปกป้องการเข้าถึงข้อมูลด้วยการเข้ารหัส Data Encryption
  6. บริการแจ้งเตือนการละเมิดนโยบาย ผ่านระบบE-mail, SMS, Syslog

นอกจากนี้เมื่อ BYOD (Bring Your Own Device) กลายมาเป็นส่วนหนึ่งของชีวิตการทำงาน การดูแลอุปกรณ์เอนด์พอยต์จากทุกเครือข่ายที่เชื่อมสู่อินเทอร์เน็ต (Unified Endpoint Management) จึงเป็นสิ่งที่องค์กรไม่อาจจะละเลยได้

IBM MaaS 360 with Watson จึงถูกพัฒนาเพื่อเป็นเครื่องมือการบริหารจัดการ Smart Devices ของพนักงาน เช่น การตรวจสอบสิทธิ บล็อกพฤติกรรมเสี่ยง ส่งข้อความเตือน เพิ่มปัจจัยระบุตัวตนให้มากขึ้น หรือใช้เอไอตรวจสอบแบบอัตโนมัติ เพื่อป้องกันการละเมิดสิทธิที่พร้อมเกิดขึ้นตลอดเวลา รวมถึงสามารถป้องกันข้อมูลรั่วไหลเพื่อให้มั่นใจได้ว่าจะไม่มีข้อมูลหลุดรอดไปถึงผู้ที่ไม่มีสิทธิ์ใช้งาน

ด้วยเครื่องมือที่มาตราฐานสากลในการกำกับดูแลความปลอดภัยของข้อมูล การดำเนินการให้เป็นไปตามกฎหมาย PDPA จึงเป็นเรื่องที่สามารถบริหารจัดการกับข้อมูลส่วนบุคคลได้เป็นอย่างดี ทั้งในด้านการบริหารความเสี่ยง ความโปร่งใสในการบริหารจัดการ นำมาซึ่งความน่าเชื่อถือให้กับองค์กร และเมื่อลูกค้าเกิดความเชื่อมั่นในองค์กร ผลที่ตามมาก็คือความมั่นใจในการเลือกใช้สินค้าและบริการอย่างต่อเนื่อง ทำให้ธุรกิจนั้นมีความมั่นคงและยั่งยืนในระยะยาว

สงวนลิขสิทธิ์ ตามพระราชบัญญัติลิขสิทธิ์ พ.ศ. 2539 www.thailandindustry.com
Copyright (C) 2009 www.thailandindustry.com All rights reserved.

ขอสงวนสิทธิ์ ข้อมูล เนื้อหา บทความ และรูปภาพ (ในส่วนที่ทำขึ้นเอง) ทั้งหมดที่ปรากฎอยู่ในเว็บไซต์ www.thailandindustry.com ห้ามมิให้บุคคลใด คัดลอก หรือ ทำสำเนา หรือ ดัดแปลง ข้อความหรือบทความใดๆ ของเว็บไซต์ หากผู้ใดละเมิด ไม่ว่าการลอกเลียน หรือนำส่วนหนึ่งส่วนใดของบทความนี้ไปใช้ ดัดแปลง โดยไม่ได้รับอนุญาตเป็นลายลักษณ์อักษร จะถูกดำเนินคดี ตามที่กฏหมายบัญญัติไว้สูงสุด