ซิสโก้เผยผลศึกษาการรักษาความปลอดภัยข้อมูลจากทั่วโลก สำรวจพนักงานและผู้เชี่ยวชาญด้านไอทีกว่า 2,000 คนใน 10 ประเทศ ระบุ 800 คนอยู่ในออสเตรเลีย จีน อินเดีย และญี่ปุ่น เผยเป็นตัวแทน วิถีปฏิบัติในแถบเอเชียแปซิฟิก พบพนักงานเป็นสาเหตุใหญ่ทำให้เกิดความเสี่ยงหลากหลายรูปแบบ ระบุเป็นปัญหาสำคัญ ของความปลอดภัยข้อมูลสำหรับภาคธุรกิจ ผลการศึกษาชี้พฤติกรรมเสี่ยงของพนักงานเหล่านี้แตกต่างไปตามแต่ละประเทศและวัฒนธรรม สร้างโอกาสทางธุรกิจด้านบริหารความเสี่ยง จัดการพฤติกรรมพนักงานป้องกันเกิดเหตุข้อมูลรั่วไหล

ซิสโก้ได้ว่าจ้าง อินไซท์เอ็กซ์เพรส (InsightExpress) บริษัทวิจัยตลาดที่มีฐานวิจัยอยู่ในสหรัฐอเมริกาให้ศึกษาข้อมูลการรักษาความปลอดภัยและการรั่วไหลของข้อมูลองค์กรธุรกิจ พบว่าลักษณะการทำงานในปัจจุบันเปลี่ยนแปลงไปจากเดิม พนักงานสามารถทำงานจากนอกสำนักงานได้มากขึ้น จึงเกิดการเหลื่อมซ้อนกันระหว่างชีวิตการทำงานและชีวิตส่วนตัว ทั้งนี้ เนื่องมาจากการเพิ่มจำนวนขึ้นอย่างรวดเร็วของอุปกรณ์และแอพลิเคชั่นต่างๆ อาทิ โทรศัพท์มือถือ แล็ปท็อป เทคโนโลยี เว็บ 2.0 วิดีโอ และสื่อทางสังคมอื่นๆ เป็นต้น

นายแพทริก ปีเตอร์สัน รองประธานฝ่ายเทคโนโลยี หน่วยธุรกิจไอรอนพอร์ต ซิสเต็มส์ บริษัท ซิสโก้ ซีสเต็มส์ ได้พูดถึงว่าองค์กรธุรกิจกำลังนำเทคโนโลยีมาปรับใช้ช่วยให้พนักงานสามารถประสานความร่วมมือในการทำงานกันได้มากขึ้น รวมถึงสามารถทำงานจากที่ใดก็ได้ ทั้งหมดนี้เป็นไปเพื่อผลิตผลและการเพิ่มความได้เปรียบในการแข่งขัน แต่ถ้าปราศจากนโยบายการรักษาความปลอดภัย ปราศจากเทคโนโลยี ไม่มีการให้ความรู้และการสร้างความตระหนักรู้แล้ว จะทำให้ข้อมูลองค์กรและข้อมูลส่วนบุคคลอยู่ในความเสี่ยงสูง ซึ่งการค้นพบพฤติกรรมเหล่านี้ ช่วยให้บริษัทต่างๆ วางแผนการให้ความรู้กับพนักงานได้อย่างเหมาะสมในระดับภูมิภาค รวมถึงวางแผนการบริหารความเสี่ยงได้ย่างครอบคลุม

"เราทำสำรวจนี้ขึ้นมาเพื่อทำความเข้าใจถึงพฤติกรรมของคน ไม่ใช่เรื่องของเทคโนโลยีอย่างเดียว การรักษาความปลอดภัย มักเป็นเรื่องที่ผู้ใช้ระบบจะทำเป็นเรื่องท้ายสุด ดังนั้นองค์กรธุรกิจทุกขนาดและพนักงานทุกคนจำเป็นต้องเข้าใจผลกระทบจากพฤติกรรมเสี่ยงเหล่านี้ รวมถึงเข้าใจความสำคัญของข้อมูลทั้งสำหรับตัวบุคคลและองค์กรธุรกิจ ทั้งนี้ความเข้าใจในพฤติกรรมดังกล่าวจะช่วยให้หน่วยงานไอทีและพนักงานเข้าใจกันมากขึ้น และช่วยให้องค์กรให้ความรู้กับพนักงานและสร้างความตื่นตัวได้อย่างตรงจุด รวมถึงบริหารจัดการความเสี่ยงได้ถูกทาง ซึ่งการปฏิบัติเพื่อรักษาความปลอดภัยข้อมูลจะได้ผลมากขึ้น เมื่อผู้ใช้ระบบรู้ว่าสิ่งที่ตนเองทำไปนั้นจะมีผลเสียหายอย่างไร"

การศึกษาข้อมูลในครั้งนี้ ได้ทำสำรวจพนักงาน 1,000 คน และผู้เชี่ยวชาญด้านไอทีอีก 1,000 คนจากหลายอุตสาหกรรมและองค์กรธุรกิจหลายขนาดใน 10 ประเทศ ได้แก่ สหรัฐอเมริกา อังกฤษ ฝรั่งเศส เยอรมัน อิตาลี ญี่ปุ่น จีน อินเดีย ออสเตรเลีย และบราซิล โดย 800 คนอยู่ในประเทศแถบเอเชียแปซิฟิก (ออสเตรเลีย จีน อินเดีย และญี่ปุ่น) สาเหตุที่เลือกศึกษาข้อมูล จาก 10 ประเทศดังกล่าวเนื่องจากมีความหลากหลายของสังคมและวัฒนธรรมทางธุรกิจ รวมทั้งมีการก่อตั้งสังคมเศรษฐกิจฐานเครือข่ายที่เชื่อมโยงกัน ตลอดจนผู้ใช้งานอินเทอร์เน็ตมีความหลากหลาย ซึ่งผลการศึกษาที่ได้มีการกระจายของข้อมูลเป็นไปตามความคาดหมาย แสดงให้เห็นถึงหนทางที่ทำให้ข้อมูลรั่วไหลได้หลายทาง

ทั้งนี้ จากการศึกษาข้อมูลดังกล่าวพบว่า พฤติกรรมการรักษาความปลอดภัยข้อมูลของพนักงานของแต่ละประเทศในแถบเอเชียแปซิฟิกมีความแตกต่างกันอย่างมาก โดยในประเทศจีนและอินเดียจะพบพฤติกรรมฝ่าฝืนค่อนข้างสูง แต่ในประเทศญี่ปุ่นและออสเตรเลียกลับตรงกันข้าม ตัวอย่างเช่น 74% ของพนักงานในจีนใช้โปรแกรมการสนทนาในเรื่องส่วนตัว ขณะที่พนักงานในญี่ปุ่นจะมีพฤติกรรมดังกล่าวเพียง 4% เท่านั้น นอกจากนี้พนักงานชาวจีนและชาวอินเดียยังมีพฤติกรรมใช้งาน แอพลิเคชั่นที่ไม่ได้รับอนุญาตและเปลี่ยนแปลงระบบรักษาความปลอดภัยโดยไม่ได้รับอนุญาตสูงกว่าญี่ปุ่นและออสเตรเลียมากด้วยเช่นกัน

1.การแก้ไขระบบป้องกันในคอมพิวเตอร์: พนักงาน 1 ใน 5 คนจะแก้ไขระบบป้องกันบนอุปกรณ์ที่ใช้ในการทำงาน เพื่อที่จะสามารถล่วงละเมิดนโยบายที่ฝ่ายไอทีติดตั้งไว้ ทำให้สามารถเข้าเว็บไซต์ที่บริษัทไม่อนุญาตได้ ซึ่งการกระทำดังกล่าวเป็นเรื่องปกติในสังคมเศรษฐกิจดาวรุ่งเช่นในประเทศบราซิล จีน และอินเดีย โดยมีจำนวน 52% ให้เหตุผลว่าเพียงแค่ต้องการเข้าเว็บไซต์เหล่านั้น และ 1 ใน 3 คิดว่าสิ่งที่พวกเขาทำ “ไม่ใช่ธุระของใคร” ขณะที่ญี่ปุ่นและออสเตรเลียมีพนักงานจำนวนเล็กน้อยเท่านั้นที่มีพฤติกรรมลักษณะนี้

2.การใช้งานแอพลิเคชั่นที่ไม่ได้รับอนุญาต: ผู้เชี่ยวชาญด้านไอที 7 ใน 10 คนเชื่อว่าการใช้งานโปรแกรมที่ไม่ได้รับอนุญาตมีผลกับการทำให้ข้อมูลองค์กรรั่วไหลอย่างไม่ตั้งใจ ซึ่งความเชื่อดังกล่าวเป็นเรื่องที่พบเป็นปกติในสหรัฐอเมริกา (74%) บราซิล (75%) และอินเดีย (79%)

3.การใช้งานระบบเครือข่ายหรืออุปกรณ์ที่ไม่ได้รับอนุญาต: 2 ใน 5 ของผู้เชี่ยวชาญและผู้ดูแลระบบไอทีต้องพบกับปัญหาพนักงานเชื่อมต่อเข้าไปยังระบบเครือข่ายหรืออุปกรณ์ที่ไม่ได้รับอนุญาต พฤติกรรมนี้เกิดขึ้นอย่างแพร่หลายในประเทศจีน ซึ่งพนักงานสองในสามคนที่ตอบแบบสำรวจยืนยันประเด็นดังกล่าว และ 14% ยืนยันว่าเหตุการณ์เช่นนี้เกิดขึ้นทุกเดือน ทว่าพฤติกรรมเดียวกันกลับพบเห็นเพียงเล็กน้อยในประเทศญี่ปุ่นและเยอรมัน

4.การแลกเปลี่ยนข้อมูลที่อ่อนไหวขององค์กร: 1 ใน 4 ของพนักงาน (24%) ยอมรับว่าได้แลกเปลี่ยนข้อมูลที่อ่อนไหวขององค์กรกับบุคคลอื่นที่ไม่ใช่พนักงาน เช่น เพื่อน บุคคลในครอบครัว หรือบางครั้งกับคนแปลกหน้า โดยประเทศบราซิลเกิดเหตุการณ์นี้เป็นจำนวนเปอร์เซ็นต์สูงที่สุด (47%) เหตุผลส่วนใหญ่คือ ต้องการแลกเปลี่ยนความคิดกับใครบางคน และต้องการคนช่วยตอกย้ำว่าถูกต้อง ท้ายที่สุดคือไม่คิดว่าการกระทำดังกล่าวจะเป็นเรื่องผิดปกติ

5.การแลกเปลี่ยนอุปกรณ์ขององค์กร: เกือบครึ่งของพนักงานที่ทำแบบสำรวจ (44%) ได้แลกเปลี่ยนการใช้อุปกรณ์ในการทำงานซึ่งกันและกัน รวมถึงแลกเปลี่ยนกับบุคคลอื่นที่ไม่ใช่พนักงานโดยไม่มีการปรึกษาหัวหน้างาน

6.ความไม่ชัดเจนของการใช้งานอุปกรณ์ส่วนตัวกับการทำงาน: 2 ใน 3 ของพนักงานยอมรับว่าได้ใช้งานเครื่องคอมพิวเตอร์สำหรับการทำงานไปกับเรื่องส่วนตัวด้วย เช่น การดาวน์โหลดเพลง การชอปปิ้ง การทำธุรกรรมการเงิน รวมถึงการพนันออนไลน์และดูภาพลามก นอกจากนี้ครึ่งหนึ่งของพนักงานใช้อีเมล์ส่วนตัวถึงลูกค้าหรือเพื่อนร่วมงาน แต่มีเพียง 40% กล่าวว่าการกระทำดังกล่าวได้รับการอนุญาตจากฝ่ายไอทีขององค์กรแล้ว และมีเพียง 1% ของพนักงานจีนที่ระบุว่าจะไม่ทำงานจากบ้าน ขณะที่มีพนักงานชาวญี่ปุ่นถึง 28% ที่ระบุในเรื่องเดียวกัน

7.ขาดการป้องกันตัวอุปกรณ์: 1 ใน 3 ของพนักงานเปิดเครื่องคอมพิวเตอร์ที่ยังคงล็อกอินอยู่ในระบบทิ้งไว้เมื่อไม่อยู่ที่โต๊ะ หรือเปิดเครื่องไว้ข้ามคืน เปิดโอกาสให้ผู้ไม่พึงประสงค์สามารถเข้าถึงข้อมูลองค์กรในระดับชั้นความลับรวมถึงข้อมูลส่วนบุคคลทำให้ข้อมูลรั่วไหลหรือสูญหายได้

8.การเก็บชื่อผู้ใช้และพาสเวิร์ดไว้ในที่ที่เปิดเผย : 1 ใน 5 ของพนักงานเก็บชื่อผู้ใช้และรหัสลับไว้บนเครื่องคอมพิวเตอร์ หรือเขียนวางทิ้งไว้บนโต๊ะ บ้างเก็บในตู้ที่ไม่ได้ล็อค รวมถึงติดไว้บนคอมพิวเตอร์ ในบางประเทศเช่นประเทศจีน (28%) พนักงานรายงานการเก็บข้อมูลเปิดเครื่องและรหัสลับของบัญชีการเงินส่วนบุคคลไว้บนเครื่องมือที่ใช้ในการทำงาน การกระทำดังกล่าวมีความเสี่องต่อทั้งข้อมูลส่วนบุคคลและข้อมูลด้านการเงิน ทั้งนี้ พบว่าพฤติกรรมดังกล่าวพนักงานกระทำไปโดยไม่ได้ตั้งใจ ทว่านับวันความเสี่ยงที่เกิดจากพฤติกรรมลักษณะนี้จะยิ่งมีมากขึ้น

9.อุปกรณ์จัดเก็บข้อมูลสูญหาย: เกือบ 1 ใน 4 ของพนักงาน (22%) จัดเก็บข้อมูลองค์กรไว้ในอุปกรณ์จัดเก็บข้อมูลที่เคลื่อนย้ายได้และนำออกไปนอกสำนักงาน พฤติกรรมดังกล่าวเป็นเรื่องปกติในประเทศจีน (41%) ซึ่งมีข่าวเมื่อไม่นานมานี้ที่แสดงให้เห็นถึงความเสี่ยงที่เกิดขึ้นเมื่ออุปกรณ์เหล่านี้ถูกขโมยหรือสูญหายไป อาทิ ข่าวโรงพยาบาลในฮ่องกง และข่าวของกระทรวงการป้องกันประเทศในประเทศอังกฤษ เป็นต้น

10.การปล่อยให้มีคนภายนอกเดินตามพนักงานเข้าไปในสำนักงานโดยไม่มีการตรวจสอบ และการอนุญาตให้ผู้ที่ไม่ใช่พนักงานเข้ามาในสำนักงานโดยไม่ได้ปรึกษาหัวหน้า: มากกว่า 1 ใน 5 ของพนักงานในประเทศเยอรมัน (22%) อนุญาตให้ผู้ที่ไม่ใช่พนักงานเข้ามาในสำนักงานโดยไม่ได้ขออนุญาตหัวหน้าของตน ผลเฉลี่ยอยู่ที่ 13% และ 18% ของพนักงานอนุญาตให้บุคคลที่ไม่รู้จักเดินตามหลังเข้ามาและรุกล้ำเข้าไปใช้อุปกรณ์สำนักงานโดยไม่ได้รับอนุญาต

การค้นพบพฤติกรรมเหล่านี้ ช่วยให้องค์กรธุรกิจสามารถนำมาปรับปรุงการให้ความรู้กับพนักงานได้ตรงกับสถานการณ์ที่เกิดขึ้นจริง และสร้างแผนบริหารจัดการความเสี่ยงที่ครอบคลุม สำหรับการปกป้องข้อมูลองค์กรไม่ให้สูญหายอย่างได้ผลนั้น ผู้ใช้ระบบต้องรู้จักข้อมูลของตนเอง รู้ว่าข้อมูลจัดเก็บอยู่ที่ใด จะเข้าถึงข้อมูลได้อย่างไร และจะนำข้อมูลไปใช้งานได้อย่างไร ที่สำคัญต้องปฏิบัติต่อทุกข้อมูลราวกับว่าเป็นข้อมูลของตนเอง และปกป้องให้เหมือนกับว่าเป็นเงินของตนเองด้วย นอกจากนี้ต้องให้ความรู้กับพนักงานถึงการป้องกันข้อมูลและเปรียบเทียบให้พนักงานเห็นถึงจำนวนเงินที่จะสูญเสียไปเมื่อข้อมูลรั่วไหล

ลำดับถัดมาคือจะต้องคิดให้กว้างไกล แต่เริ่มลงมือทำให้เข้ากับวัฒนธรรมของตัวเอง สร้างโปรแกรมการให้ความรู้ที่เหมาะกับวัฒนธรรมองค์กร และจะต้องให้ความสะดวกใจกับพนักงานในการรายงานเหตุการณ์ที่เกิดขึ้นเพื่อให้ฝ่ายไอทีสามารถแก้ปัญหาได้ตรงจุด สุดท้ายคือฝ่ายไอทีจะต้องให้พนักงานในองค์กรมีความรับผิดชอบร่วมกันในเรื่องการรักษาความปลอดภัยข้อมูล เพราะการป้องกันข้อมูลที่ดีต้องการทีมเวิร์คจากทุกฝ่าย ไม่ใช่งานของฝ่ายไอทีอย่างเดียวอีกต่อไป

การดำเนินธุรกิจกำลังทำให้พนักงานต้องร่วมมือกันและทำงานได้จากทุกๆ สถานที่ได้มากขึ้น หากปราศจากเทคโนโลยีการรักษาความปลอดภัยที่ทันสมัย นโยบายที่ชัดเจน และความตื่นตัวของพนักงาน รวมถึงการให้ความรู้ที่ถูกต้องแล้ว จะยิ่งมีช่องโหว่ในการเข้าถึงข้อมูลมากขึ้น เพราะปัจจุบันข้อมูลของงานอยู่ในทุกๆ ที่ ไม่ว่าจะเป็น ระหว่างการถ่ายโอน ระหว่างการใช้งาน ในอุปกรณ์จัดเก็บข้อมูล และในสถานที่ที่เหนือจากสิ่งแวดล้อมทางธุรกิจแบบดั้งเดิม เช่น ที่บ้าน ตามถนน ร้านกาแฟ บนเครื่องบิน หรือรถไฟ สิ่งเหล่านี้เกิดขึ้นจริงแล้วในปัจจุบัน เราต้องเริ่มทำความเข้าใจลักษณะของความเสี่ยงเพื่อที่จะปกป้องข้อมูลของเราอย่างได้ผล จากนั้นจึงเอาเทคโนโลยี นโยบาย การสร้างความตื่นตัว และการให้การศึกษามาปรับใช้ให้เหมาะสม