ภัยคุกคามทางไซเบอร์ เรายังคงเห็นการโจมตีทางไซเบอร์ที่มีรายละเอียดสูงอย่างต่อเนื่องในหลายองค์กร เช่น British Airways และ Marriott การโจมตีทางไซเบอร์เหล่านี้มักจะส่งผลกระทบร้ายแรง เช่น การประนีประนอมข้อมูลส่วนบุคคล การหยุดชะงักของบริการ การสูญเสียข้อมูลที่เป็นความลับหรือทรัพย์สินทางปัญญา การละเมิดกฎหมายหรือสัญญาที่เกี่ยวข้องกับผู้ให้บริการ การสอบสวนด้านกฎระเบียบและการดำเนินการด้านกฎระเบียบ (รวมถึงค่าปรับ) เช่นกัน เช่นชื่อเสียงและความเสียหายของตราสินค้าที่สำคัญ อย่างไรก็ตาม ต้นทุนที่มักไม่นำมาพิจารณาคือต้นทุนของการหยุดชะงักของธุรกิจและทรัพยากรที่จำเป็นในการจัดการกับเหตุการณ์ด้านความปลอดภัยที่มีรายละเอียดสูง ตั้งแต่ค่าใช้จ่ายในการแก้ไขข้อบกพร่องด้านความปลอดภัยที่นำไปสู่การฝ่าฝืนไปจนถึงเวลาและค่าใช้จ่ายที่เกี่ยวข้อง การจัดการกับหน่วยงานกำกับดูแล บุคคลที่ได้รับผลกระทบ และผู้มีส่วนได้ส่วนเสียอื่นๆ
มีการศึกษาจำนวนมากเกี่ยวกับผลที่ตามมาทางการเงินของการโจมตีทางไซเบอร์ที่สำคัญและการละเมิดข้อมูล ตัวอย่างเช่น จากการศึกษาที่ดำเนินการโดย IBM [1]ทั่วสหราชอาณาจักร ค่าใช้จ่ายเฉลี่ยของการละเมิดข้อมูลเพิ่มขึ้นจาก 3.68 ล้านดอลลาร์ในปี 2018 เป็น 3.88 ล้านดอลลาร์ในปี 2019 ซึ่งเป็นค่าใช้จ่ายสูงสุดอันดับที่ 6 ของโลกเมื่อเทียบกับภูมิภาคอื่นๆ . ในการศึกษาเดียวกัน พวกเขาแนะนำว่าค่าใช้จ่ายเฉลี่ยทั่วโลกของการละเมิดข้อมูลเพิ่มขึ้นเป็น 3.92 ล้านดอลลาร์ ในบริบทนี้ ในระดับสากล ต้นทุนต่อการบันทึกข้อมูลที่สูญหายคือ 150 ดอลลาร์
เวลาเฉลี่ยทั่วโลกในการละเมิดข้อมูลคือ 279 วันในปี 2019 ซึ่งแสดงให้เห็นว่าการหยุดชะงักของธุรกิจของคุณสามารถเกิดขึ้นได้หลังจากการละเมิดข้อมูลมีนัยสำคัญเพียงใด การหยุดชะงักนี้มีผลกระทบโดยตรงต่อค่าใช้จ่ายที่เกี่ยวข้องกับการจัดการการละเมิดข้อมูล
ในการศึกษานี้ IBM สรุปว่าการสูญเสียความเชื่อถือของลูกค้ามีผลกระทบทางการเงินอย่างร้ายแรงต่อองค์กรที่ศึกษา และธุรกิจที่สูญเสียนั้นเป็นสาเหตุให้เกิดต้นทุนรวมของการละเมิดข้อมูลมากที่สุด
บทความนี้พยายามที่จะจัดการกับความเสี่ยงที่เกี่ยวข้องกับความปลอดภัยในโลกไซเบอร์และขั้นตอนที่กรรมการสามารถทำได้เพื่อลดความเสี่ยงสำหรับองค์กรของตน
ความปลอดภัยทางไซเบอร์คืออะไร?
การรักษาความปลอดภัยทางไซเบอร์หมายถึงมาตรการทางเทคนิคและเชิงองค์กรที่ทั้งผู้ควบคุมและผู้ประมวลผลควรนำไปใช้เพื่อลดความเสี่ยงต่อระบบข้อมูลและข้อมูลของตน GDPR กำหนดให้ดำเนินการโดยคำนึงถึง: ความทันสมัย; ค่าใช้จ่ายในการดำเนินการ และลักษณะ ขอบเขต บริบทและวัตถุประสงค์ของการประมวลผล และโอกาสและความรุนแรงที่แตกต่างกันของความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา
ตัวอย่างของมาตรการรักษาความปลอดภัยที่ถือว่ามีระดับความปลอดภัยที่เหมาะสม ได้แก่
- การใช้นามแฝงและการเข้ารหัสข้อมูลส่วนบุคคล
- ความสามารถในการรับรองการรักษาความลับ ความสมบูรณ์ ความพร้อมใช้งาน และความยืดหยุ่นของระบบการประมวลผลและบริการอย่างต่อเนื่อง
- ความสามารถในการกู้คืนความพร้อมใช้งานและการเข้าถึงข้อมูลส่วนบุคคลในเวลาที่เหมาะสมในกรณีที่เกิดเหตุการณ์ทางกายภาพหรือทางเทคนิค และ
- กระบวนการสำหรับการทดสอบ ประเมิน และประเมินประสิทธิผลของมาตรการทางเทคนิคและองค์กรอย่างสม่ำเสมอเพื่อให้มั่นใจในความปลอดภัยของการประมวลผล
ขอบเขตของภาระผูกพันตามกฎหมายเกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์นั้นขึ้นอยู่กับประเภทองค์กรที่คุณเป็นและประเภทของข้อมูลส่วนบุคคล (เช่น ข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลที่ระบุตัวตนได้) ที่ถืออยู่ ตัวอย่างเช่น บริษัทโทรคมนาคม ผู้ให้บริการอินเทอร์เน็ต ผู้ให้บริการดิจิทัล และผู้ดำเนินการบริการที่จำเป็น อยู่ภายใต้ภาระหน้าที่เพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของเครือข่ายและบริการของตน และการแจ้งเตือนที่จำเป็นเกี่ยวกับการละเมิดความปลอดภัย
เหตุใดการรักษาความปลอดภัยทางไซเบอร์จึงมีความสำคัญ
ข้อมูลส่วนบุคคลเป็นทรัพย์สินทางธุรกิจอันล้ำค่าสำหรับบริษัทจำนวนมากขึ้นเรื่อยๆ และหลายองค์กรได้ตัดสินใจที่จะมอบความไว้วางใจให้บุคคลที่สามดำเนินการกับข้อมูลของตน วิธีการนี้ แม้จะคุ้มค่ากว่าการสร้างความสามารถในการประมวลผลภายใน แต่จะเพิ่มความเสี่ยงต่อภัยคุกคามทางไซเบอร์ขององค์กร
แม้ว่าองค์กรจะพยายามใช้มาตรการรักษาความปลอดภัยที่เหมาะสมแล้วก็ตาม แต่องค์กรก็ยังต้องเผชิญกับคู่ต่อสู้ที่มีทักษะและแนวโน้มภัยคุกคามที่พัฒนาอย่างต่อเนื่อง สิ่งนี้ได้รับการสนับสนุนโดยการค้นพบของ IBM ว่าการโจมตีที่เป็นอันตรายเป็นสาเหตุหลักของการละเมิดที่พบบ่อยที่สุดและมีราคาแพงที่สุด
ด้วยเหตุนี้ สำหรับองค์กรส่วนใหญ่ จึงไม่เกิดคำถามว่า ifพวกเขาจะประสบกับการโจมตีทางไซเบอร์อย่างรุนแรง มันเป็นคำถามที่ว่ามันจะเกิดขึ้นเมื่อไหร่
คณะกรรมการสามารถดำเนินการอะไรได้บ้าง?
นับตั้งแต่เปิดตัว GDPR ความปลอดภัยทางไซเบอร์ได้กลายเป็นปัญหาระดับคณะกรรมการ หน่วยงานกำกับดูแลด้านการปกป้องข้อมูลคาดว่าจะเห็นหลักฐานสนับสนุนระดับคณะกรรมการเกี่ยวกับการกำกับดูแลข้อมูลและความปลอดภัยทางไซเบอร์
เป็นสิ่งสำคัญในการประเมินความเสี่ยงของภัยคุกคามทางไซเบอร์ต่อองค์กรอย่างต่อเนื่อง และเพื่อกำหนดพื้นที่เสี่ยงในระบบและนโยบายที่มีอยู่ คณะกรรมการควรเข้าใจกฎหมายและภาระผูกพันตามสัญญาขององค์กรเกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์ ด้วยความเข้าใจอย่างลึกซึ้งในประเด็นเหล่านี้ คณะกรรมการจึงสามารถอนุมัติงบประมาณ จัดสรรทรัพยากร และแต่งตั้งผู้บริหารที่รับผิดชอบด้านความปลอดภัยทางไซเบอร์ เพื่อให้แน่ใจว่าจะปฏิบัติตามภาระผูกพันและลดความเสี่ยงโดยธรรมชาติของภัยคุกคามทางไซเบอร์ ด้วยความรับผิดชอบที่เป็นหัวใจของ GDPR จึงจำเป็นต้องแต่งตั้งพนักงานที่รับผิดชอบความเสี่ยงทางไซเบอร์และประเมินว่ามีการแยกตัวเพียงพอจากผู้ที่ใช้งานระบบในแต่ละวันหรือไม่ ภัยคุกคามทางไซเบอร์
คำแนะนำ
งานส่วนใหญ่ที่จำเป็นเพื่อให้องค์กรสามารถปฏิบัติตามภาระผูกพันทางกฎหมายและเป็นไปตามความคาดหวังเกี่ยวกับการรักษาความปลอดภัยทางไซเบอร์จะต้องดำเนิน การ ก่อนที่จะเกิดเหตุการณ์ขึ้น เราได้ระบุมาตรการหลัก 5 ประการที่ทุกองค์กรควรพยายามนำไปใช้:
- ทำความเข้าใจกับระบอบกฎหมายที่องค์กรของคุณอยู่ภายใต้และประเมินสิ่งเหล่านี้อย่างต่อเนื่องด้วยการมีส่วนร่วมระดับคณะกรรมการ
- ใช้บันทึกการประมวลผลข้อมูลมาตรา 30 ซึ่งมีรายละเอียดเกี่ยวกับกระแสข้อมูลขององค์กร
- ดำเนินการประเมินความเสี่ยงในระบบประมวลผลข้อมูลที่มีอยู่และดำเนินการตรวจสอบสถานะความปลอดภัยทางไซเบอร์ที่เหมาะสมกับระบบใหม่ที่คุณอาจใช้ ซึ่งรวมถึงการตรวจสอบวิเคราะห์สถานะบุคคลภายนอก
- ตรวจสอบให้แน่ใจว่ามาตรการรักษาความปลอดภัยในการปฏิบัติงานขององค์กรมีความเหมาะสมตามข้อกำหนดทางกฎหมาย ในรายงานของ IBM มีรายงานว่าใน 26 ปัจจัยด้านต้นทุนที่ศึกษา มีปัจจัยการลดต้นทุนที่หลากหลายซึ่งช่วยลดค่าใช้จ่ายเชิงป้องกันหรือภายหลังการละเมิด การใช้การเข้ารหัสอย่างกว้างขวาง การป้องกันข้อมูลสูญหาย การแบ่งปันข้อมูลภัยคุกคาม และการรักษาความปลอดภัยในกระบวนการพัฒนาซอฟต์แวร์ ล้วนเกี่ยวข้องกับต้นทุนการละเมิดข้อมูลต่ำกว่าค่าเฉลี่ย ในบรรดาสิ่งเหล่านี้ การเข้ารหัสมีผลกระทบมากที่สุด โดยลดค่าใช้จ่ายในการละเมิดโดยเฉลี่ย $360,000
- สร้างแผนการจัดการเหตุการณ์ที่ชัดเจนและให้แน่ใจว่าพนักงานได้รับการฝึกอบรม
การโจมตีทางไซเบอร์เป็นสิ่งที่หลีกเลี่ยงไม่ได้ อย่างไรก็ตาม ปัจจัยที่จะช่วยลดต้นทุนขององค์กรในการจัดการกับการโจมตีทางไซเบอร์นั้นขึ้นอยู่กับความพร้อมทางไซเบอร์ องค์กรที่เป็นเชิงรุกมากกว่าเชิงรับในแนวทางของพวกเขาต่อไซเบอร์จะประสบความสำเร็จมากขึ้นในการทำให้ธุรกิจของพวกเขาดำเนินไปอย่างราบรื่นหลังจากการโจมตีทางไซเบอร์ และหากมีการโจมตีเกิดขึ้น องค์กรที่พร้อมในโลกไซเบอร์เหล่านี้มีโอกาสที่ดีที่สุด การจำกัดต้นทุนที่เกิดขึ้นในการจัดการกับพวกเขา
THAI-PDPA เปิดให้คำปรึกษาโดยผู้เชี่ยวชาญแบบครบวงจร ด้วยเทคโนโลยี Data Protection Services ที่แนะนำให้ไปประยุกต์ใช้เพื่อปกป้องข้อมูลพนักงานและลูกค้า
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุดคุ้มที่สุด
หากท่านมีความสนใจ บทความ หรือ Technology
สามารถติดต่อได้ตามเบอร์ที่ให้ไว้ด้านล่างนี้
Tel.086-594-5494
Tel.095-919-6699
สนใจรับคำปรึกษาด้านวางระบบจัดการเอกสารอิเล็กทรอนิกส์ EDMS โดยทีมงานผู้เชี่ยวชาญจาก K&O ที่มีประสบการณ์มากว่า 15 ปี รวมถึงซอฟต์แวร์ระดับโลก ติดต่อ 0 2 – 8 6 0 – 6 6 5 9
หรือ E m a i l : c s @ k o . i n . t h สอบถามได้สบายใจทั้ง เรื่องค่าบริการ ราคา และ งบประมาณ เพราะเป็นราคาที่สุด คุ้มที่สุด
Leave A Comment?