ความมั่นคงทางไซเบอร์ ภูมิทัศน์ทางธุรกิจที่เชื่อมโยงกันในปัจจุบันได้ขยายการดำเนินงาน ไปสู่ระดับโลกทำให้ บริษัท ต่างๆสามารถเข้าถึงตลาด ที่ไม่สามารถเข้าถึงได้เมื่อ 20 ปีก่อน ด้วยเหตุนี้ บริษัท ต่างๆจึงสามารถจัดหาผลิตภัณฑ์ และ บริการของตนได้ทั่วโลก อย่างไรก็ตาม เนื่องจากการดำเนินงานมีการขยายตัวจึงมีห่วงโซ่อุปทาน
ปัจจุบันเป็นเรื่องปกติที่ผลิตภัณฑ์จะเดินทางไปทั่วโลก ในระหว่างการประกอบชิ้นส่วนบางชิ้นผลิตในเอเชียในขณะที่องค์ประกอบอื่น ๆ จะประกอบในทวีปอื่น ๆ ซึ่งอยู่ห่างออกไปหลายพันไมล์ แม้ว่าห่วงโซ่อุปทานที่ขยาย ตัวนี้สามารถลดต้นทุน และ เพิ่มอัตรากำไรขององค์กรได้ แต่ก็เพิ่มความเสี่ยงทางไซเบอร์ด้วย
ดังที่ระบุไว้ในเอกสารไวท์เปเปอร์ล่าสุดของ ISACA เกี่ยวกับความยืดหยุ่นของห่วงโซ่อุปทาน และ ความต่อเนื่องทางธุรกิจห่วงโซ่อุปทานของ บริษัท มีความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่ยิ่งใหญ่ที่สุดอย่างหนึ่งต่อการดำเนินงานประจำวัน แต่วิธีการแบบองค์รวมพร้อมกลไกการจัดการที่เหมาะสม สามารถเพิ่มวุฒิภาวะทางไซเบอร์ และ ลดองค์กรได้ ความเสี่ยง ความมั่นคงทางไซเบอร์
เพื่อให้เข้าใจถึงวิธีการนำวุฒิภาวะทางไซเบอร์มาใช้กับการดำเนินงานประจำวัน และซัพพลายเชนก่อนอื่นองค์กรต่างๆ ต้องมีความเข้าใจอย่างถ่องแท้ เกี่ยวกับการดำเนินการทั่วโลกของตน การทำความเข้าใจเกี่ยวกับ การดำเนินงานหลายชาติสามารถพิสูจน์ได้ ค่อนข้างยากขึ้นอยู่กับขนาดและขอบเขตขององค์กร
ตัวอย่างเช่น IBM ซึ่งเป็นหนึ่งใน บริษัท ที่ใหญ่ที่สุด และ เก่าแก่ที่สุดในโลกปัจจุบันระบุบนเว็บไซต์ว่าเป็นองค์กรระหว่างประเทศ ที่มีพนักงานมากกว่า 350,000 คนทั่วโลก การติดตามระบุและจัดระเบียบองค์กรขนาดนั้นถือเป็นงานที่ยาก ไม่ว่าใครจะเป็นผู้นำในการเรียกเก็บเงิน
กระบวนการนี้จะดำเนินต่อไปเมื่อมีการทำแผนที่ โครงสร้างองค์กรโดยระบุห่วงโซ่อุปทานที่กว้างขวางซึ่งต้องใช้ความพยายาม และ ความขยันมากยิ่งขึ้น การสร้างแผนภูมิทั้งหมดของความสัมพันธ์กับผู้ขาย และ บุคคลที่สามสามารถพิสูจน์ได้ยากอย่างยิ่ง เมื่อพิจารณาว่าข้อตกลงของบุคคลที่สาม และ ผู้จัดจำหน่ายมีความแตกต่างกันระหว่างองค์กรที่ทำสัญญาแต่ละแห่งโดยละเว้นความสอดคล้องกันเพื่อโอกาสทางธุรกิจ
อย่างไรก็ตามการใช้ความขยันหมั่นเพียร และ ความดื้อรั้นเพิ่มเติมในการสร้างการทำแผนที่แบบองค์รวมอย่างละเอียดถี่ถ้วน และ ความเข้าใจเครือข่ายซัพพลายเชนของบุคคลที่สามขององค์กรมักทำให้ กระบวนการเพิ่มวุฒิภาวะทางไซเบอร์ง่ายขึ้นมาก
แม้จะมีความยากลำบากในการทำแผนที่ซัพพลายเชน แต่การทำความเข้าใจเกี่ยวกับการพึ่งพาซึ่งกันและกัน และ การพึ่งพาองค์กรกลางเกี่ยวกับความพยายามของบุคคล ที่สามเป็นสิ่งสำคัญยิ่งในการสร้างจุดยืน ด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง โดยเฉพาะอย่างยิ่งองค์กรที่แข็งแกร่งและเป็นผู้ใหญ่ในโลกไซเบอร์ จำนวนมากสร้างนโยบาย และ ขั้นตอนที่มีประสิทธิภาพจากองค์กรส่วนกลาง
ในหลายกรณีองค์กรที่กำหนดนโยบาย ใช้รูปแบบของกลุ่มความปลอดภัยทางไซเบอร์ระดับกลยุทธ์ หรือกลุ่มความปลอดภัยของข้อมูล ผู้เชี่ยวชาญระดับกลยุทธ์เหล่านี้ สามารถทำแผนที่เต็มรูปแบบของห่วงโซ่อุปทานขององค์กร และวิเคราะห์ความสัมพันธ์ที่เฉพาะเจาะจงเพื่อกำหนดความเสี่ยง และช่องโหว่ขององค์กร ในทางกลับกันพวกเขาสามารถ จัดลำดับความสำคัญและจัดหมวดหมู่ปัญหาที่อาจเกิดขึ้นเหล่านี้ และ พัฒนาวิธีการและขั้นตอนเพื่อลดความเสี่ยง และจัดการกับช่องโหว่
นโยบายที่สร้างจากส่วนกลาง และแบบกระจายยังมีศักยภาพสูงสุดในการยึดมั่น ในองค์กรและให้โอกาสสูงสุดในการยึดมั่นที่สอดคล้องกัน
นโยบายขั้นตอนและข้อกำหนดเหล่านี้ ซึ่งพัฒนาโดยผู้เชี่ยวชาญด้านความปลอดภัยแบบรวมศูนย์อยู่ในรูปแบบ ของการปฏิบัติขององค์กรและการควบคุมความปลอดภัย การปฏิบัติและการควบคุมเหล่านี้ทำให้มั่นใจได้ ว่าเมื่อทำงานร่วมกับผู้ขายบุคคลที่สามภายในห่วงโซ่อุปทาน การดำเนินการบางอย่างจะได้รับการกำหนดไว้ล่วงหน้าเพื่อลดความเสี่ยงให้กับองค์กร
การควบคุมความปลอดภัยทั่วไป รวมถึงข้อกำหนดที่บุคคล ที่สามที่ทำงานกับองค์กรจะปฏิบัติตามข้อกำหนดบางประการ เช่นการตรวจสอบท่าทางการรักษาความปลอดภัยของตนเองเป็นระยะ ในบางกรณีจำเป็นต้องมีการทดสอบการเจาะ และการตรวจสอบตามกำหนดเวลาเป็นประจำเพื่อทำงาน ร่วมกับองค์กรบางแห่งโดยเฉพาะสถาบันการเงิน
เนื่องจากการควบคุม และ การปฏิบัติเหล่านี้ถูกนำมาใช้อย่างสม่ำเสมอ และ เป็นองค์รวมองค์กรต่างๆจะสังเกตเห็นท่าทาง ที่แข็งแกร่งขึ้นในการต่อต้านการโจมตีทุกประเภท ที่มาจากห่วงโซ่อุปทาน นั่นไม่ได้หมายความว่าจะมีวิธีรักษาทั้งหมดสำหรับความเสี่ยง ในห่วงโซ่อุปทาน แต่เป็นการเพิ่มความพร้อมสำหรับเหตุการณ์ที่อาจเกิดขึ้น
การต่อสู้กับความเป็นผู้ใหญ่ในโลกไซเบอร์ เป็นหนึ่งในภารกิจที่ยากที่สุดที่องค์กร ซึ่งดำเนินงานในโลกธุรกิจที่ผันผวนในปัจจุบัน สามารถดำเนินการได้ อย่างไรก็ตามความสิ้นหวังที่เสี่ยง ต่อความสัมพันธ์ของบุคคลภายนอกที่มีค่าเหล่านี้ไม่จำเป็น ต้องเป็นการตอบสนองเริ่มต้น ผ่านการประเมินผลแบบรวมศูนย์ หรือ ความเปราะบางและความเสี่ยง และ การจัดการความเสี่ยงที่สอดคล้องกันแบบองค์รวมองค์กร และ บริษัท ต่างๆสามารถเพิ่มความเป็นผู้ใหญ่ในโลกไซเบอร์ และ รู้สึกมั่นใจที่เพิ่มขึ้นในการดำเนินงานในโลกที่เชื่อมต่อระหว่างกันในปัจจุบัน
อันตรายจากการเข้าถึงสิทธิพิเศษที่ไม่มีหลักประกัน
ในกรณีของ Twitter จะให้สิทธิพิเศษแก่พนักงานในการเข้าถึงเครื่องมือการดูแลระบบเพื่อให้พวกเขาสามารถตอบสนองต่อข้อสงสัยของบริการลูกค้าและดูแลเนื้อหาได้ เป็นที่เชื่อกันว่าพนักงาน Twitter หลายร้อยคนสามารถเข้าถึงได้ซึ่งทำให้เกิดคำถามด้านความปลอดภัย – เหตุใดพนักงานจำนวนมากจึงเข้าถึงบัญชีที่ได้รับการยืนยัน ใครมีสิทธิ์เข้าถึงเครื่องมือการดูแลระบบแบบแบ็คเอนด์ ทุกคนสามารถแก้ไขบัญชีที่เชื่อถือได้โดยไม่ต้องมีการอนุมัติได้อย่างไร?
การให้สิทธิพิเศษดังกล่าวอย่างกว้างขวางทำให้เกิดช่องโหว่หลายจุดสำหรับ Twitter การแบ่งแยกความรับผิดชอบและหน้าที่สามารถช่วยให้ก้าวพ้นจุดแห่งความล้มเหลวเพียงจุดเดียวได้เนื่องจากต้องใช้คนมากกว่าหนึ่งคนในการดำเนินการ อีกวิธีหนึ่งในการจัดการการเข้าถึงที่มีสิทธิพิเศษคือผ่านการมอบหมาย ควรมีกลุ่มการมอบหมายที่กำหนดเองเพื่อกำหนดสิทธิ์ในระดับต่ำสุดที่จำเป็นสำหรับความรับผิดชอบของพนักงาน ตัวอย่างเช่นงานโปรแกรมช่วยเหลือทั่วไปเช่นการปลดล็อกบัญชีและการรีเซ็ตรหัสผ่านไม่จำเป็นต้องมีการควบคุมระดับผู้ดูแลระบบทั้งหมดในหน่วยขององค์กร
ระวังภัยคุกคามจากวงใน
พนักงานผู้รับเหมาผู้ให้บริการและบุคคลภายในอื่น ๆ อยู่ในสถานะที่เหมาะสมที่จะประนีประนอมข้อมูล จากรายงานInsider Threat ภัยคุกคามภายในคิดเป็น 60% ของการโจมตีทางไซเบอร์ ผู้ใช้ที่มีสิทธิ์เช่นผู้จัดการที่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนถือเป็นภัยคุกคามภายในที่ใหญ่ที่สุดต่อองค์กร ไม่ว่าการแฮ็ก Twitter จะเกิดจากบุคคลภายในที่เป็นอันตรายหรือกลุ่มพนักงานที่ไม่สงสัยก็ตามเป็นที่ประจักษ์ว่ามีบุคคลภายในเกี่ยวข้อง
โดยไม่คำนึงถึงเจตนาต่อไปนี้เป็นมาตรการที่มีประสิทธิภาพในการหยุดยั้งภัยคุกคามภายใน:
รู้ว่าข้อมูลที่ละเอียดอ่อนของคุณอยู่ที่ไหนและใครสามารถเข้าถึงได้ ด้วยการระบุทรัพย์สินที่สำคัญที่สุดของคุณคุณสามารถคาดเดาได้ว่าปัญหาใดที่มักจะเกิดขึ้นและพนักงานมีแนวโน้มที่จะตกเป็นเป้าหมายมากที่สุด
ใช้การควบคุมความปลอดภัย ควรให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ที่ปฏิบัติงานที่ครอบคลุมโดเมน Active Directory หรือกิจกรรมที่ต้องการสิทธิ์ระดับสูงเท่านั้น ควรลบบัญชีผู้ดูแลระบบเก่าเนื่องจากสามารถใช้เพื่อเข้าถึงทรัพยากรโดยไม่มีใครสังเกตเห็น
สร้างพื้นฐานของพฤติกรรมปกติของพนักงานและตั้งค่าการแจ้งเตือนเมื่อพฤติกรรมเบี่ยงเบนไปจากบรรทัดฐานนี้ พฤติกรรมที่ผิดปกติรวมถึงการดาวน์โหลดหรือการคัดลอกข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาตและการเข้าถึงข้อมูลที่ไม่เกี่ยวข้องกับงานของพวกเขาและการเข้าสู่ระบบเครือข่ายของคุณในเวลาไม่ปกติ
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.rh
