จัดการกับข้อมูลที่ละเอียดอ่อน มีแนวโน้มสำคัญสองประการที่เกิดขึ้นในขณะนี้ซึ่งไม่ควรแปลกใจสำหรับทุกคนที่อ่านโพสต์นี้ ประการแรก ธุรกิจต่างๆ กำลังรวบรวมและใช้ประโยชน์จากข้อมูลมากขึ้นเรื่อยๆ เพื่อปรับปรุงบริการหลักของตน ประการที่สอง การปฏิบัติตามกฎระเบียบและมาตรฐานการกำกับดูแลเพิ่มมากขึ้นจากรัฐบาลและองค์กรเอกชน เนื่องจากธุรกิจเหล่านี้ตระหนักดีว่าการรวบรวมและการใช้ข้อมูลช่วยเพิ่มประสิทธิภาพ การขาย หรือเป้าหมายอื่นๆ หน่วยงานกำกับดูแลจึงคอยตรวจสอบวิธีการใช้ข้อมูลอย่างละเอียด
นี่เป็นสิ่งที่ดีที่สุดแน่นอน ธุรกิจจำเป็นต้องสามารถเข้าถึงและใช้ข้อมูลได้อย่างรวดเร็วเพื่อรักษาความสามารถในการทำกำไรและประสิทธิผล แต่พวกเขายังต้องการให้แน่ใจว่าพวกเขากำลังรักษาความปลอดภัยข้อมูลเพื่อปกป้องผลประโยชน์ความเป็นส่วนตัวของทุกคนที่เกี่ยวข้อง ประสิทธิภาพการทำงานขององค์กรนั้นไร้ความหมายโดยพื้นฐานแล้ว หากเริ่มมีค่าปรับจากการละเมิด PDPA GDPR , HIPAA , PCIหรือข้อบังคับของรัฐที่มีจำนวนมากขึ้นเรื่อยๆ เกี่ยวกับข้อมูลส่วนบุคคล
การกำกับดูแลข้อมูลที่ดีต้องการให้ธุรกิจรักษาประสิทธิภาพการทำงานให้สูง ขณะเดียวกันก็รักษาความเป็นส่วนตัวและความสมบูรณ์ของข้อมูลด้วย ในบทความนี้ ผมขอเสนอคำแนะนำเกี่ยวกับวิธีจัดการข้อมูลที่ละเอียดอ่อนอย่างเหมาะสมในปี 2020
การกำหนดข้อมูลที่ละเอียดอ่อน
ไม่มีทางที่จะบรรลุเป้าหมายของคุณได้ เว้นแต่คุณจะสร้างกรอบงานสำหรับกำหนดมันขึ้นมาก่อน หลายองค์กรมีความกระตือรือร้นที่จะอัพเกรดเทคโนโลยีหรือสร้างวิธีการใหม่ในการทำงาน แต่พวกเขาไม่ได้พิจารณาโครงสร้างโดยรอบจนกว่าจะถึงภายหลัง หากคุณต้องการผลลัพธ์ที่ดีขึ้นและหลีกเลี่ยงความรับผิด นโยบายควรมาก่อน
ขั้นตอนแรกคือการกำหนดสิ่งที่คุณถือว่าเป็นข้อมูลที่ละเอียดอ่อน อาจเป็นเรื่องยากที่จะแสดงรายการข้อมูลทุกชิ้นที่อาจถือว่ามีความละเอียดอ่อน ดังนั้นคุณต้องทำให้กว้าง
วิธีหนึ่งคือการแสดงรายการสิ่งที่คุณรู้ว่ามีความละเอียดอ่อน เช่น รายชื่อผู้ใช้ รหัสผ่าน และข้อมูลระบบ จากนั้นคุณสามารถดำเนินการกับข้อมูลที่รวบรวมได้ เช่น ชื่อลูกค้า ความลับทางการค้า เวชระเบียน ข้อมูลทางการเงิน และอื่นๆ
การระบุตัวอย่างที่เฉพาะเจาะจงจำนวนมาก แต่ยังปล่อยให้นโยบายเป็นแบบเปิดกว้างสำหรับข้อมูลที่คุณอาจรวบรวมได้ในอนาคต คุณตั้งความคาดหวังว่าข้อมูลส่วนใหญ่ที่พนักงานของคุณรวบรวมนั้นมีความละเอียดอ่อน ด้วยวิธีนี้ เมื่อต้องเผชิญกับข้อมูลที่อาจใหม่หรืออาจไม่ได้กำหนดไว้โดยเฉพาะในรายการของคุณ นโยบายควรช่วยแนะนำพนักงานของคุณให้คิดอย่างมีวิจารณญาณในขณะนั้นและตัดสินใจได้อย่างถูกต้อง
ข้อมูลยังสามารถจำแนกเป็นหมวดหมู่ต่างๆ ข้อมูลส่วนตัวทั้งหมดมีความสำคัญ แต่เห็นได้ชัดว่าบัตรเครดิตหรือหมายเลขประกันสังคมมีความละเอียดอ่อนมากกว่าการโฆษณาที่การตลาดกำลังรวบรวมอยู่
ยังเป็นความคิดที่ดีที่จะกำหนดประเภทของข้อมูลที่พนักงานไม่ควรจัดการ ตัวอย่างเช่น คุณอาจต้องการหลีกเลี่ยงการตรวจสอบกฎระเบียบที่เกี่ยวข้องกับการรวบรวมข้อมูลบัตรเครดิตเนื่องจากข้อกำหนดของPCI ในกรณีดังกล่าว คุณจะต้องระบุในนโยบายของคุณโดยเฉพาะว่าพนักงานจะไม่เก็บรายละเอียดบัตรเครดิตไม่ว่าในกรณีใดๆ เมื่อข้อมูลถูกเก็บรวบรวมโดยเจตนา คุณจะต้องรับผิดชอบต่อข้อมูลนั้นไม่ว่าคุณจะตัดสินใจเป็นธุรกิจที่คุณต้องการหรือไม่ก็ตาม
การประเมิน
โอกาสที่องค์กรของคุณอยู่ในวงจรการจัดการข้อมูลที่ละเอียดอ่อนอยู่แล้ว ไม่ว่าคุณจะเพิ่งเริ่มรวบรวมและสร้างระบบ หรือคุณกำลังจัดการระบบอยู่แล้วและกำลังคิดเกี่ยวกับขั้นตอนถัดไปในแผนงานด้านเทคโนโลยีของคุณ ไม่ว่าจะด้วยวิธีใด การปฏิบัติตามข้อกำหนดและ/หรือการประเมินความเสี่ยงบางประเภทมีความเหมาะสมเป็นประจำ อาจเป็นรายปี แม้ว่าจะแตกต่างกันไปตามความต้องการเฉพาะของคุณ
ในขณะที่สร้างและจัดการระบบที่จัดการข้อมูลที่ละเอียดอ่อนในลักษณะที่ยึดถือแนวทางปฏิบัติที่ดีที่สุด คุณจะต้องทำการปรับเปลี่ยนไปพร้อมกัน แม้ว่าคุณจะคิดว่าคุณทำทุกอย่างถูกต้อง การประเมินที่ดีจะระบุจุดที่คุณพลาดเป้า นอกจากนี้ รายงานการประเมินที่สรุปข้อบกพร่องจะทำให้คุณมีความชัดเจนในการตัดสินใจที่ถูกต้องตั้งแต่แรก ธุรกิจส่วนใหญ่มีคนฉลาดที่เป็นผู้เชี่ยวชาญในสายงานธุรกิจของตน แต่ไม่จำเป็นต้องจัดการการปฏิบัติตามข้อกำหนดของ PCI เป็นต้น พึงระลึกไว้เสมอว่ามาตรฐานมีวิวัฒนาการและเปลี่ยนแปลงตลอดเวลา ดังนั้น คุณจึงไม่สามารถยอมรับได้ว่าการควบคุมข้อมูลที่ละเอียดอ่อนที่คุณมีอยู่ในตอนนี้จะเพียงพอในอนาคต
การประเมินควรเกิดขึ้นในกรณีที่มีปัญหาสำคัญบางประเภท เช่น ระบบล้มเหลวซึ่งเป็นผลมาจากสิ่งต่างๆ เช่น ขาดการเชื่อมต่อ ไฟดับ ความล้มเหลวของฮาร์ดแวร์ หรือเหตุการณ์ด้านความปลอดภัยที่เปิดเผยให้คุณเสี่ยงต่อการละเมิดข้อมูลที่ไม่สามารถยอมรับได้
พื้นที่จัดเก็บ
เมื่อคุณได้กำหนดว่าข้อมูลที่ละเอียดอ่อนคืออะไร คุณสามารถเริ่มสร้างกฎสำหรับข้อมูลที่ละเอียดอ่อนมีอยู่ในสภาพแวดล้อมของคุณ ซึ่งเริ่มต้นด้วยวิธีการจัดเก็บข้อมูลของคุณ
ขั้นแรก ให้พิจารณาว่าคุณต้องการจัดระเบียบข้อมูลแบบดิจิทัลอย่างไรเมื่อจัดเก็บไว้นิ่งโดยไม่คำนึงถึงแพลตฟอร์ม คุณน่าจะจัดเรียงข้อมูลในลักษณะที่สอดคล้องกับความอ่อนไหวของข้อมูลอย่างมีเหตุผล ซึ่งจะช่วยสร้างกฎการเข้าถึงสำหรับพนักงานที่มีสิทธิ์น้อยที่สุด และช่วยคุณออกแบบโซลูชันการรักษาความปลอดภัยและการจัดการความเสี่ยงโดยเฉพาะสำหรับข้อมูลที่ละเอียดอ่อน คุณจะต้องการนำข้อมูลนี้ไปใช้กับทุกที่ที่มีข้อมูล แต่ถ้าไม่ได้รับการจัดระเบียบตามหลักเหตุผล คุณจะไม่สามารถจัดการข้อมูลของคุณได้อย่างเพียงพอ หลายองค์กรมีความท้าทายประเภทนี้แม้ว่าจะมีเครื่องมือรักษาความปลอดภัยที่ยอดเยี่ยมก็ตาม
โดยเฉพาะอย่างยิ่งในช่วงเวลาที่ไม่เคยเกิดขึ้นมาก่อนเหล่านี้ มีแนวโน้มว่าคุณจะใช้ประโยชน์จากระบบคลาวด์ในทางใดทางหนึ่งเพื่อจัดเก็บข้อมูลที่ละเอียดอ่อนของคุณ แต่แม้ว่าคุณจะจัดเก็บข้อมูลในเครื่อง มาตรฐานการปฏิบัติตามข้อกำหนด เช่นHIPAA , PCI, GDPRและอื่นๆ จะต้องได้รับการพิจารณาอย่างจริงจัง การค้นหา ผู้ให้บริการพื้นที่เก็บข้อมูลบน คลาวด์ที่อ้างว่าปลอดภัยนั้นไม่เพียงพอ ระบุมาตรฐานการปฏิบัติตามข้อกำหนดที่คุณต้องดำเนินการ และตรวจสอบให้แน่ใจว่าผู้ขายที่คุณกำลังดูอยู่สามารถยืนยันได้ว่าโซลูชันที่ปลอดภัยซึ่งสอดคล้องกับมาตรฐานเหล่านั้น ผู้ให้บริการหลายรายเสนอบริการที่เป็นเลิศ…แต่ไม่เพียงพอสำหรับข้อมูลที่ละเอียดอ่อนบางประเภทเสมอไป
การเข้าถึงข้อมูลเฉพาะของการควบคุมที่คุณต้องการนั้นอยู่นอกเหนือขอบเขตของบล็อกนี้ แต่คุณจะต้องมองหาสิ่งต่างๆ เช่น การตรวจสอบสิทธิ์ แบบหลายปัจจัย การเข้ารหัสระหว่างทางและระหว่างทาง โซลูชันการสำรองข้อมูลและความซ้ำซ้อน การรับรองศูนย์ข้อมูล ภูมิศาสตร์ และประวัติการตรวจสอบ และพื้นที่อื่นๆ ที่การจัดเก็บข้อมูลที่ละเอียดอ่อนของคุณต้องเผชิญกับการประนีประนอมหรือขาดการปฏิบัติตามข้อกำหนด การลงทุนของคุณในโซลูชันเทคโนโลยีเหล่านี้และผู้ขายที่คุณเชื่อมโยงด้วยจะเป็นสัดส่วนกับความสำคัญของข้อมูล การเข้ารหัสที่ซับซ้อนไม่จำเป็นเมื่อแชร์อีเมลที่ถามเกี่ยวกับสิ่งที่เรากินเป็นอาหารกลางวัน แต่สิ่งสำคัญคือต้องเก็บเวชระเบียนไว้บนเซิร์ฟเวอร์ที่คุณใช้
สมมติว่าคุณได้ตั้งค่าการควบคุมที่เหมาะสมในสภาพแวดล้อมการจัดเก็บข้อมูลของคุณ (อาจเป็นข้อสันนิษฐานที่สำคัญ) ขั้นตอนต่อไปคือการตรวจสอบให้แน่ใจว่าทีมของคุณใช้งานอย่างถูกต้อง นี้นำเราไปสู่แนวคิดของเงาไอที นี่คือจุดที่ผู้ใช้ปลายทางตัดสินใจใช้เทคโนโลยีที่ไม่ได้รับการจัดการหรืออนุมัติโดยองค์กร สิ่งนี้เป็นที่แพร่หลายโดยเฉพาะอย่างยิ่งในขณะนี้เนื่องจากผู้คนจำนวนมากขึ้นทำงานจากที่บ้านและใช้อุปกรณ์ส่วนตัวของพวกเขา ไม่มีระบบใดที่สามารถจัดการข้อมูลที่ละเอียดอ่อนได้อย่างเหมาะสม หากไม่ได้ใช้ในลักษณะที่ออกแบบไว้ จัดการกับข้อมูลที่ละเอียดอ่อน
แม้จะมีเรื่องราวที่น่าสับสนอย่างถูกกฎหมายเกี่ยวกับการละเมิดข้อมูลและการแฮ็กที่เป็นอันตรายในข่าว แต่องค์กรที่ใช้โซลูชันเทคโนโลยีที่สอดคล้องอย่างเหมาะสมนั้นมีโอกาสน้อยที่จะพบว่าตัวเองอยู่ผิดจุดสิ้นสุดของเหตุการณ์ด้านความปลอดภัยที่มีข้อมูลละเอียดอ่อน
การแบ่งปัน
ไม่มีข้อมูลในสุญญากาศ ส่วนใหญ่แล้ว องค์กรที่ได้รับข้อมูลที่ละเอียดอ่อนจะส่งต่อไปยังฝ่ายอื่นๆ ด้วยเหตุผลสำคัญ ตัวอย่างเช่น แผนกทรัพยากรบุคคลของคุณ นำข้อมูลที่ละเอียดอ่อนจากพนักงานของคุณและส่งต่อไปยังรัฐบาล บริษัทบัญชีเงินเดือน และอื่นๆ
แต่ลองนึกดูว่าฝ่ายทรัพยากรบุคคลของคุณรับข้อมูลนั้นและตัดสินใจส่งบางส่วนทางไปรษณีย์ธรรมดาในซองจดหมายที่ชัดเจนหรือไม่ หรือพวกเขาใช้สี่วิธีในการส่งโดยขึ้นอยู่กับอารมณ์ของพวกเขาด้วยวิธีการเพียงเล็กน้อยในการติดตาม หรือที่แย่ที่สุดคือพวกเขาไม่ได้ตรวจสอบชื่อและที่อยู่ของฝ่ายที่พวกเขาแบ่งปันข้อมูลนี้ด้วย โดยสมัครใจให้ข้อมูลส่วนบุคคลกับอาชญากรในกระบวนการ
ในการแบ่งปันข้อมูลที่ละเอียดอ่อนซึ่งเป็นส่วนหนึ่งของการดำเนินธุรกิจตามปกติได้อย่างเหมาะสม คุณต้องกำหนดขั้นตอนและการควบคุมทางเทคนิค เพื่อให้บรรลุเป้าหมายนี้ ก่อนอื่นให้เริ่มต้นด้วยกระบวนการและเวิร์กโฟลว์ นำเทคโนโลยีออกจากสมการและคิดว่าคนในทีมของคุณที่แชร์ข้อมูลที่ละเอียดอ่อนกับบุคคลที่สามต้องทำอะไรให้สำเร็จ จากที่นั่น คุณสามารถสร้างกระบวนการทำงานที่สามารถเสริมด้วยโซลูชันเทคโนโลยีได้ หากคุณรู้ว่าทีมของคุณต้องทำอะไรเพื่อทำงานหลักให้เสร็จ คุณก็จะพบผลิตภัณฑ์ที่เหมาะสมในการดำเนินการดังกล่าวด้วยวิธีที่เหมาะสม
คุณจะต้องใช้การเข้ารหัสระหว่างการส่งสำหรับข้อมูลใดๆ ที่ส่งออกไปยังบุคคลที่สามอย่างไม่ต้องสงสัย นอกจากนี้ คุณจะต้องใช้โซลูชันการยืนยันตัวตน เพื่อที่เมื่อคุณแบ่งปันข้อมูลที่ละเอียดอ่อนกับบุคคลที่สาม คุณจะมั่นใจได้ว่าข้อมูลดังกล่าวจะส่งไปยังบุคคลที่เหมาะสม คุณควรพิจารณาโซลูชันการตรวจสอบปลายทางและการจัดการอุปกรณ์เพื่อปกป้องอุปกรณ์ที่สัมผัสข้อมูลที่ละเอียดอ่อนจากการถูกบุกรุก
สุดท้าย ควรจำกัดวิธีการที่แท้จริงในการแบ่งปันข้อมูลที่ละเอียดอ่อน มีโซลูชันการแชร์ไฟล์หรือการส่งข้อความมากมายที่สามารถเข้ารหัสข้อมูลระหว่างส่งและเป็นไปตามมาตรฐานการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับข้อมูลที่ละเอียดอ่อน แต่ไม่ได้หมายความว่าคุณควรใช้สิ่งเหล่านี้ทั้งหมด ยิ่งคุณใช้เทคโนโลยีในการแบ่งปันข้อมูลมากเท่าใด คุณก็ยิ่งต้องจัดการและรักษาความปลอดภัยเครื่องมือมากขึ้นเท่านั้น ซึ่งจะช่วยเพิ่มความเสี่ยงไปพร้อมกัน เมื่อคุณสร้างโซลูชันเทคโนโลยีของคุณแล้ว ให้บังคับพนักงานของคุณให้ใช้โซลูชันเหล่านี้และอยู่ห่างจากโซลูชันการแบ่งปันโดยไม่ได้รับอนุญาต
การกำจัดและการทำลาย
เมื่อธุรกิจรวบรวมข้อมูลมากขึ้นเรื่อยๆ พวกเขาจึงสร้างคลังข้อมูลที่จำเป็นสำหรับการดำเนินงาน แต่เมื่อพวกเขาสร้างพื้นที่เก็บข้อมูลที่ใหญ่ขึ้น พวกเขายังสร้างความรับผิดมากขึ้นและมีศักยภาพมากขึ้นสำหรับการละเมิดข้อมูลที่อาจส่งผลให้ต้องเสียค่าปรับ การตรวจสอบ และผลที่ตามมาอื่นๆ นอกจากนี้ อุปกรณ์และผู้ใช้ต่างก็ออกจากองค์กรในที่สุด ทำให้เกิดโอกาสในการเปิดเผยข้อมูล ดังนั้น คุณจำเป็นต้องมีนโยบายและกระบวนการที่ดีในการจัดการกับการลบและการทำลายข้อมูล
อุปกรณ์ที่จัดเก็บข้อมูลสำคัญใดๆ ที่ไม่ได้ใช้งานควรได้รับการทำลายฮาร์ดไดรฟ์เมื่อเลิกใช้งานทุกวัน และการทำลายควรทำโดยบริษัทที่ทำในลักษณะที่สอดคล้องและจัดทำเป็นเอกสาร สำหรับอุปกรณ์ที่ไม่ได้จัดเก็บข้อมูลที่ละเอียดอ่อนแต่อาจเคยสัมผัสมาแล้ว วิธีที่ดีที่สุดคือคืนค่าอุปกรณ์เหล่านี้กลับเป็นการตั้งค่าจากโรงงานก่อนที่คุณจะส่งออกไปรีไซเคิลหรือบริจาค มาตรฐานเฉพาะสำหรับการลบและทำลายข้อมูลจะแตกต่างกันไปตามข้อกำหนดเฉพาะของคุณ
นอกจากนี้ เมื่อผู้ใช้ออกจากองค์กรของคุณ ตรวจสอบให้แน่ใจว่าข้อมูลประจำตัวของพวกเขาถูกเปลี่ยนหรือเพิกถอน เพื่อไม่ให้ผู้ใช้เข้าถึงข้อมูลที่ครั้งหนึ่งเคยได้รับสิทธิพิเศษอีกต่อไป นี่เป็นความรับผิดชอบหลักของฝ่ายบริหาร เนื่องจากแผนกไอทีและผู้ให้บริการมักจะไม่ตระหนักถึงการเปลี่ยนแปลงของบุคลากร แต่สามารถตอบสนองต่อ ความต้องการ ด้านการจัดการการเปลี่ยนแปลงเพื่อปกป้องบริษัทจากความเสี่ยง
ความขยันหมั่นเพียรและเปิดใจ
สำหรับธุรกิจที่จัดการข้อมูลละเอียดอ่อนทุกประเภท จะมีข้อจำกัดในสิ่งที่สามารถทำได้ ดังนั้นคุณต้องได้รับการจัดการความเสี่ยงมากที่สุดสำหรับการลงทุนที่คุณทำเกี่ยวกับการปกป้องข้อมูลที่ละเอียดอ่อนของคุณ การจัดการข้อมูลที่ละเอียดอ่อนในลักษณะที่ปลอดภัยและสอดคล้องต้องอาศัยความขยันหมั่นเพียรอย่างต่อเนื่องและไม่เคยคิดว่าทุกอย่างจะปลอดภัย เปิดใจให้กว้างว่าค่าคงที่อย่างเดียวคือการเปลี่ยนแปลง
THAI-PDPA เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร ด้วยเทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุดคุ้มที่สุด
หากท่านมีความสนใจ บทความ หรือ Technology
สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
หรือ E m a i l : c s @ k o . i n . t h สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด
Leave A Comment?