กำหนดความปลอดภัยของข้อมูล การเก็บข้อมูลภายใต้การล็อกและกุญแจอาจดูเหมือนเป็นเรื่องง่าย แต่ในความเป็นจริง ธุรกิจจำนวนมากปล่อยให้ข้อมูลที่ละเอียดอ่อนอยู่ภายใต้ความเข้าใจผิดว่าข้อมูลนั้นปลอดภัย สำหรับหลาย ๆ คน มันเป็นความท้าทายที่สำคัญ
จากข้อมูล ของ Statistaจำนวนการละเมิดข้อมูลประจำปีของบันทึกที่ถูกเปิดเผยมีมากกว่า 155 ล้านบันทึกในปี 2020
ต้นทุนเฉลี่ยต่อการละเมิดบันทึกคือ 150 ดอลลาร์ แม้ว่าสิ่งนี้อาจไม่ส่งผลกระทบมาก นัก แต่ การวิจัยโดย IBMในปี 2019 พบว่าการละเมิดโดยเฉลี่ยเกี่ยวข้องกับระเบียน 25,575 รายการ เมื่อข้อมูลถูกละเมิดต้นทุนเฉลี่ยของธุรกิจจะอยู่ที่ประมาณ 3.92 ล้านดอลลาร์
นี่คือที่มาของการปฏิบัติตามข้อกำหนด
ของ
การปฏิบัติตามข้อมูลคืออะไร?
การปฏิบัติตามข้อมูลหมายถึงกระบวนการสร้างความมั่นใจว่าข้อมูลจะถูกรวบรวมและจัดการตามระเบียบหรือมาตรฐานบางอย่าง องค์กรอาจต้องปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัวของข้อมูล ข้อบังคับอุตสาหกรรม หรือภาระผูกพันตามสัญญา
ตัวอย่างเช่น กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) คือชุดของระเบียบข้อบังคับของสหภาพยุโรปที่ควบคุมการรวบรวม การจัดเก็บ และการใช้ข้อมูลส่วนบุคคล การปฏิบัติตาม GDPR กำหนดให้องค์กรต่างๆ ดำเนินการตามขั้นตอนเพื่อปกป้องความเป็นส่วนตัวของพลเมืองในสหภาพยุโรป เช่น ตรวจสอบให้แน่ใจว่าข้อมูลถูกรวบรวมเพื่อจุดประสงค์ที่ถูกต้องตามกฎหมายเท่านั้น และให้สิทธิ์แก่บุคคลในการเข้าถึงข้อมูลส่วนบุคคลของตน
ต่อไปนี้คือรายการข้อกำหนดการปฏิบัติตามข้อกำหนดของข้อมูลที่สำคัญในสหรัฐอเมริกาและยุโรป:
- HIPAA : ภายใต้ HIPAA หน่วยงานที่ได้รับการคุ้มครองจะต้องดำเนินมาตรการเพื่อให้แน่ใจว่า PHI มีการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน พวกเขาต้องแน่ใจว่าใช้ PHI เพื่อจุดประสงค์ที่ได้รับอนุญาตเท่านั้น การเปิดเผย PHI โดยไม่ได้รับอนุญาตอาจส่งผลให้ได้รับโทษทั้งทางแพ่งและทางอาญา
- CCPA : CCPA ใช้กับธุรกิจที่รวบรวม ประมวลผล หรือขายข้อมูลส่วนบุคคลของชาวแคลิฟอร์เนีย ธุรกิจที่ตรงตามเกณฑ์บางอย่างจะต้องปฏิบัติตาม CCPA แม้ว่าจะไม่ได้อยู่ในแคลิฟอร์เนียก็ตาม
- HITRUST : Health Information Trust Alliance (HITRUST) เป็นองค์กรไม่แสวงหาผลกำไรที่พัฒนาและรักษากรอบความปลอดภัยร่วมกันสำหรับอุตสาหกรรมการดูแลสุขภาพ HITRUST Common Security Framework (CSF) เป็นชุดของมาตรฐานความปลอดภัยที่องค์กรด้านการดูแลสุขภาพสามารถใช้เพื่อปกป้องข้อมูลด้านสุขภาพอิเล็กทรอนิกส์
- PCI-DSS : เพื่อให้เป็นไปตาม PCI-DSS บริษัทต่างๆ ต้องใช้มาตรการเพื่อปกป้องข้อมูลบัตรเครดิตจากการโจรกรรมและการเข้าถึงโดยไม่ได้รับอนุญาต พวกเขาต้องตรวจสอบให้แน่ใจด้วยว่าข้อมูลบัตรเครดิตได้รับการเข้ารหัสและปลอดภัยอย่างเหมาะสม
- SOX : ภายใต้ SOX บริษัทมหาชนต้องรักษาบันทึกทางการเงินที่ถูกต้องและเปิดเผยข้อผิดพลาดที่เป็นสาระสำคัญหรือการฉ้อโกง SOX ยังได้จัดตั้งคณะกรรมการกำกับดูแลการบัญชีบริษัทมหาชน (PCAOB) เพื่อกำกับดูแลอุตสาหกรรมการบัญชี
ภัยคุกคามต่อข้อมูลสำคัญทางธุรกิจ
ในขณะที่โลกกลายเป็นดิจิทัลมาก่อน ธุรกิจต่างๆ กำลังปรับตัวและติดตามลูกค้าของตน ความเสี่ยงของอาชญากรรมไซเบอร์มาพร้อมกับความสะดวกในการทำธุรกรรมและจัดเก็บข้อมูลทางอิเล็กทรอนิกส์
การปฏิบัติตามข้อกำหนดของข้อมูลช่วยให้แน่ใจว่ามีกระบวนการที่ปกป้องข้อมูลที่มีความสำคัญต่อธุรกิจและรักษาความปลอดภัยและความเป็นส่วนตัว นอกจากนี้ยังกำหนดพื้นฐานของการป้องกันผู้มุ่งร้าย และรับรองวิธีการที่เป็นมาตรฐานในการรักษาความปลอดภัยสินทรัพย์ดิจิทัลที่สำคัญต่อธุรกิจ เช่น ข้อมูลผู้ใช้และบันทึกทางการเงิน
ภัยคุกคามต่อข้อมูลที่ละเอียดอ่อน
ในช่วงไม่กี่ปีที่ผ่านมา ประเด็นเรื่องความปลอดภัยทางไซเบอร์ได้รับความสนใจอย่างมากจากการละเมิดข้อมูลที่มีรายละเอียดสูงจำนวนมากขึ้น แม้ว่าคำว่า “ความปลอดภัยทางไซเบอร์” สามารถครอบคลุมหัวข้อต่างๆ ได้มากมาย แต่หัวใจของมันคือแนวทางปฏิบัติในการปกป้องข้อมูลอิเล็กทรอนิกส์จากการเข้าถึงหรือการโจรกรรมโดยไม่ได้รับอนุญาต ซึ่งอาจรวมถึงทุกอย่างตั้งแต่ข้อมูลส่วนบุคคล เช่น หมายเลขบัตรเครดิตหรือหมายเลขประกันสังคม ไปจนถึงข้อมูลองค์กรที่ละเอียดอ่อน เช่น ความลับทางการค้าหรือบันทึกทางการเงิน
มีภัยคุกคามมากมายต่อข้อมูลที่ละเอียดอ่อน ตั้งแต่แฮ็กเกอร์ที่เป็นอันตรายไปจนถึงพนักงานที่ประมาท การละเมิดข้อมูลสามารถส่งผลกระทบร้ายแรงทั้งด้านการเงินและชื่อเสียง เพื่อปกป้องข้อมูล องค์กรต้องใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวด ซึ่งรวมถึงทุกอย่างตั้งแต่การทำให้มั่นใจว่ามีเพียงบุคลากรที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อน ไปจนถึงการเข้ารหัสข้อมูลระหว่างทาง
5 ขั้นตอนในการปฏิบัติตามข้อกำหนดของข้อมูล
1. รักษามาตรการปกป้องข้อมูลของคุณให้ทันสมัยอยู่เสมอ
เมื่อพูดถึงการปฏิบัติตามข้อกำหนดของข้อมูล สิ่งสำคัญที่สุดอย่างหนึ่งที่คุณสามารถทำได้คือทำให้มาตรการปกป้องข้อมูลของคุณเป็นปัจจุบันอยู่เสมอ ซึ่งหมายความว่าระบบรักษาความปลอดภัยของคุณเป็นปัจจุบัน การฝึกอบรมพนักงานของคุณเป็นปัจจุบัน และนโยบายการกำกับดูแลข้อมูลของคุณสอดคล้องกับระเบียบข้อบังคับล่าสุด
วิธีที่ดีที่สุดวิธีหนึ่งในการทำให้มาตรการปกป้องข้อมูลของคุณทันสมัยอยู่เสมอคือการทำงานร่วมกับพันธมิตรด้านการปฏิบัติตามกฎระเบียบ คู่ค้าด้านการปฏิบัติตามกฎระเบียบสามารถช่วยคุณประเมินมาตรการปกป้องข้อมูลในปัจจุบัน ระบุช่องว่าง และแนะนำการอัปเดตเพื่อให้แน่ใจว่าคุณปฏิบัติตามมาตรฐานการปฏิบัติตามข้อกำหนดล่าสุด
อีกวิธีหนึ่งในการทำให้มาตรการปกป้องข้อมูลของคุณทันสมัยอยู่เสมอคือการรับทราบข่าวสารและการอัปเดตการปฏิบัติตามกฎระเบียบล่าสุด มีแหล่งข้อมูลมากมาย เช่น จดหมายข่าวและบล็อกเกี่ยวกับการปฏิบัติตามข้อกำหนด ซึ่งสามารถช่วยให้คุณได้รับข้อมูลล่าสุดเกี่ยวกับการพัฒนาการปฏิบัติตามข้อกำหนดล่าสุด
คุณควรตรวจสอบมาตรการปกป้องข้อมูลของคุณเป็นระยะเพื่อตรวจสอบว่ามาตรการเหล่านั้นยังคงมีประสิทธิภาพ ซึ่งรวมถึงการประเมินระบบความปลอดภัย การทดสอบการฝึกอบรมพนักงาน และการตรวจสอบนโยบายการกำกับดูแลข้อมูลของคุณ การตรวจสอบมาตรการปกป้องข้อมูลของคุณเป็นระยะ ทำให้คุณสามารถระบุส่วนต่างๆ ที่จำเป็นต้องปรับปรุง และทำการเปลี่ยนแปลงที่จำเป็นเพื่อให้แน่ใจว่าคุณปฏิบัติตามมาตรฐานการปฏิบัติตามข้อกำหนดล่าสุด
2. ค้นหาและทำแผนที่ข้อมูลส่วนบุคคล
องค์กรที่ประมวลผลข้อมูลส่วนบุคคลต้องดำเนินการตามขั้นตอนเพื่อให้เป็นไปตามระเบียบข้อบังคับด้านการคุ้มครองข้อมูล ซึ่งรวมถึงการค้นหาข้อมูลส่วนบุคคลที่พวกเขาถือ การทำแผนที่ที่จัดเก็บ และการใช้กระบวนการและการควบคุมเพื่อปกป้องข้อมูล
ต่อไปนี้คือขั้นตอน 3 ขั้นตอนในการค้นหาและทำแผนที่ข้อมูลส่วนบุคคล
- ค้นพบตำแหน่งที่จัดเก็บข้อมูลส่วนบุคคล:องค์กรควรจัดทำรายการสถานที่ทั้งหมดที่มีการจัดเก็บข้อมูลส่วนบุคคลทั้งทางกายภาพและทางอิเล็กทรอนิกส์ ซึ่งรวมถึงไฟล์กระดาษ บัญชีอีเมล คอมพิวเตอร์ เซิร์ฟเวอร์ และระบบจัดเก็บข้อมูลบนคลาวด์
- แผนที่ที่จัดเก็บข้อมูลส่วนบุคคล:เมื่อค้นพบสถานที่ทั้งหมดที่จัดเก็บข้อมูลส่วนบุคคลแล้ว องค์กรควรจัดทำแผนที่ว่าข้อมูลแต่ละประเภทตั้งอยู่ที่ใด ช่วยให้พวกเขาเข้าใจว่าข้อมูลที่ละเอียดอ่อนถูกจัดเก็บไว้ที่ใด และระบุความเสี่ยงที่อาจเกิดขึ้น
- ใช้กระบวนการและการควบคุมเพื่อปกป้องข้อมูลส่วนบุคคล:องค์กรควรวางกระบวนการและการควบคุมเพื่อปกป้องข้อมูลส่วนบุคคลจากการเข้าถึง การใช้ หรือการเปิดเผยโดยไม่ได้รับอนุญาต ซึ่งอาจรวมถึงการเข้ารหัส การควบคุมการเข้าถึง และการตรวจสอบกิจกรรม
3. จัดการข้อมูลรับรองการเข้าสู่ระบบอย่างปลอดภัย
มีข้อกำหนดด้านการปฏิบัติตามข้อกำหนดหลายประการเมื่อพูดถึงการจัดการข้อมูลรับรองการเข้าสู่ระบบ แต่สิ่งที่สำคัญที่สุดคือต้องตรวจสอบให้แน่ใจว่าได้รับการรักษาความปลอดภัย ต่อไปนี้คือขั้นตอนบางส่วนที่คุณสามารถทำได้เพื่อจัดการข้อมูลรับรองการเข้าสู่ระบบอย่างปลอดภัย:
- ใช้นโยบายรหัสผ่านที่รัดกุม:หมายถึงต้องใช้รหัสผ่านที่มีความยาวขั้นต่ำ มีอักขระผสมกัน (ตัวพิมพ์ใหญ่และตัวพิมพ์เล็ก ตัวเลข และสัญลักษณ์) และมีการเปลี่ยนแปลงเป็นประจำ
- จัดเก็บรหัสผ่านอย่างปลอดภัย:ไม่ควรเก็บรหัสผ่านเป็นข้อความธรรมดา ควรเข้ารหัสโดยใช้อัลกอริธึมการเข้ารหัสที่รัดกุม
- ใช้การตรวจสอบสิทธิ์แบบสองปัจจัย:วิธีนี้จะเพิ่มการรักษาความปลอดภัยอีกชั้นหนึ่งโดยกำหนดให้ต้องมีการตรวจสอบสิทธิ์รูปแบบที่สอง เช่น รหัสจากแอปตรวจสอบสิทธิ์มือถือ นอกเหนือจากรหัสผ่าน
- จำกัดการเข้าถึงข้อมูลประจำตัว:เฉพาะผู้ที่ต้องการเข้าถึงข้อมูลรับรองการเข้าสู่ระบบเท่านั้นควรมีข้อมูลดังกล่าว พวกเขาควรเก็บไว้ในสถานที่ที่ปลอดภัย เช่น ตัวจัดการรหัสผ่าน ซึ่งมีเพียงผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงได้
- ตรวจสอบการเข้าถึงข้อมูลประจำตัว:จำเป็นต้องรู้ว่าใครมีสิทธิ์เข้าถึงข้อมูลรับรองการเข้าสู่ระบบและเข้าถึงเมื่อใด ซึ่งสามารถทำได้ผ่านการตรวจสอบและการบันทึก
4. ใช้ระบบอัตโนมัติเพื่อปรับปรุงการปฏิบัติตามข้อกำหนดของข้อมูล
การอภิปรายจำนวนมากเกี่ยวกับการปฏิบัติตามข้อกำหนดของข้อมูลครอบคลุมถึงข้อกำหนดด้านกฎระเบียบ เช่น GDPR, CCPA และอื่นๆ อย่างไรก็ตาม การปฏิบัติตามกฎระเบียบเหล่านี้เป็นเพียงส่วนหนึ่งของปริศนาการปฏิบัติตามข้อกำหนดของข้อมูลเท่านั้น เพื่อรักษาการปฏิบัติตามข้อมูล องค์กรต้องคำนึงถึงนโยบายการกำกับดูแลข้อมูลภายใน ขั้นตอน และแนวทางปฏิบัติที่ดีที่สุด ต่อไปนี้คือห้าขั้นตอนที่องค์กรของคุณสามารถดำเนินการเพื่อปรับปรุงการปฏิบัติตามข้อกำหนดของข้อมูล: กำหนดความปลอดภัยของข้อมูล
- กำหนดกรอบการกำกับดูแลข้อมูลของคุณ
กรอบงานการกำกับดูแลข้อมูลของคุณควรปรับให้เข้ากับความต้องการและวัตถุประสงค์เฉพาะขององค์กรของคุณ ควรกำหนดบทบาทและความรับผิดชอบสำหรับผู้ที่จัดการและใช้ข้อมูล ตลอดจนกำหนดกระบวนการสำหรับการจัดการ การจัดเก็บ และการทำลายข้อมูล
- ดำเนินการตรวจสอบข้อมูล
การตรวจสอบข้อมูลจะช่วยให้คุณเข้าใจว่าคุณมีข้อมูลใดบ้าง มาจากไหน และนำไปใช้อย่างไร ข้อมูลนี้มีความสำคัญอย่างยิ่งในการรับรองว่าข้อมูลของคุณได้รับการจัดการตามกรอบการกำกับดูแลของคุณ
- ใช้มาตรการควบคุมคุณภาพข้อมูล กำหนดความปลอดภัยของข้อมูล
มาตรการควบคุมคุณภาพข้อมูลช่วยให้แน่ใจว่าข้อมูลของคุณสมบูรณ์ ถูกต้อง และเป็นปัจจุบัน สิ่งนี้มีความสำคัญไม่เพียงแต่เพื่อวัตถุประสงค์ในการปฏิบัติตามข้อกำหนดเท่านั้น แต่ยังรวมถึงประสิทธิภาพโดยรวมขององค์กรของคุณด้วย
- ใช้ระบบอัตโนมัติเพื่อปรับปรุงการปฏิบัติตามข้อมูล
เครื่องมือการจัดการข้อมูลอัตโนมัติสามารถช่วยเพิ่มประสิทธิภาพและความถูกต้องในการจัดการข้อมูล ตลอดจนปรับปรุงการปฏิบัติตามนโยบายภายในและระเบียบข้อบังคับภายนอก
- ติดตามและรายงานการปฏิบัติตามข้อมูล
การตรวจสอบโปรแกรมการปฏิบัติตามข้อกำหนดของข้อมูลเป็นประจำจะช่วยระบุส่วนต่างๆ ของการปรับปรุง นอกจากนี้ การรายงานการปฏิบัติตามข้อกำหนดของข้อมูลสามารถช่วยแสดงให้เห็นถึงความมุ่งมั่นขององค์กรในการกำกับดูแลข้อมูลและความเป็นส่วนตัว
5. การรักษาความลับ ความซื่อสัตย์ และความพร้อมใช้งาน (ที่รู้จักกันทั่วไปในชื่อ ‘CIA Triad’)
เพื่อให้เป็นไปตามข้อกำหนดของข้อมูล สิ่งสำคัญคือต้องปฏิบัติตามสามขั้นตอนของการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งาน ซึ่งเรียกกันทั่วไปว่า “CIA Triad”
การรักษาความลับหมายถึงการทำให้มั่นใจว่าเฉพาะบุคคลที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ ซึ่งสามารถทำได้ด้วยวิธีการต่างๆ เช่น มาตรการรักษาความปลอดภัยทางกายภาพ เช่น ประตูล็อคและตู้นิรภัย ตลอดจนการเข้ารหัสข้อมูล
ความสมบูรณ์หมายถึงการรับรองว่าข้อมูลถูกต้องและครบถ้วน นี่หมายถึงการตรวจสอบแหล่งที่มาของข้อมูลและใช้เช็คซัมหรือวิธีการอื่นๆ เพื่อให้แน่ใจว่าข้อมูลจะไม่ถูกแก้ไข
ความพร้อมใช้งานหมายถึงการตรวจสอบให้แน่ใจว่าบุคคลที่ได้รับอนุญาตสามารถเข้าถึงข้อมูลได้เมื่อต้องการ ซึ่งหมายความว่ามีสำเนาข้อมูลหลายชุดในกรณีที่ฮาร์ดแวร์ล้มเหลว รวมทั้งมีระบบสำรอง
เพิ่มความสอดคล้องกับข้อมูลด้วย Polar Security
ในโลกที่การรั่วไหลของข้อมูลกลายเป็นเรื่องปกติมากขึ้น องค์กรจำเป็นต้องปกป้องข้อมูลของตนในเชิงรุก ธุรกิจต่างๆ อยู่ภายใต้แรงกดดันอย่างที่ไม่เคยเป็นมาก่อนในการปฏิบัติตามกฎระเบียบด้านความเป็นส่วนตัวและความปลอดภัยของข้อมูล กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ของสหภาพยุโรปและกฎหมายคุ้มครองความเป็นส่วนตัวของผู้บริโภคแห่งรัฐแคลิฟอร์เนีย (CCPA) เป็นเพียงตัวอย่างสองตัวอย่างของระเบียบข้อบังคับที่องค์กรต่างๆ
วิธีหนึ่งในการทำเช่นนี้คือการใช้ Polar Security ซึ่งเป็นแพลตฟอร์มการรักษาความปลอดภัยข้อมูลอัตโนมัติและการปฏิบัติตามกฎระเบียบที่ช่วยให้องค์กรปฏิบัติตามกฎระเบียบความเป็นส่วนตัวของข้อมูล Polar Security เป็นแพลตฟอร์มที่ทำให้การค้นหาข้อมูล จำแนกประเภท และการทำแผนที่เป็นไปโดยอัตโนมัติ เพื่อช่วยให้องค์กรเข้าใจถึงข้อมูลส่วนบุคคลที่พวกเขาเก็บไว้และที่ที่ข้อมูลนั้นอยู่ ข้อมูลนี้มีความสำคัญอย่างยิ่งต่อการปฏิบัติตามข้อกำหนดความเป็นส่วนตัวและความปลอดภัยของข้อมูล
THAI-PDPA เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร ด้วยเทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุดคุ้มที่สุด
หากท่านมีความสนใจ บทความ หรือ Technology
สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
หรือ E m a i l : c s @ k o . i n . t h สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด
Leave A Comment?