Tuesday, December 23, 2014

บทเรียนจากผู้เชี่ยวชาญ Crisis Management

บทเรียนจากผู้เชี่ยวชาญ Crisis Management

ภาวะวิกฤติ” มักจะเป็นเหตุการณ์ที่เกิดขึ้นแบบไม่ทันตั้งตัว คุกคามและส่งผลกระทบกับองค์กรในเชิงลบ ซึ่งแน่นอนว่าองค์กรที่ดีส่วนใหญ่ย่อมจะมีการเตรียมแผนรับมือและบริหารจัดการในภาวะวิกฤติไว้อยู่แล้ว อย่างไรก็ตาม แผนการเหล่านี้แม้จะได้รับการทดสอบและทบทวนตามรอบระยะเวลาอย่างสม่ำเสมอ แต่ก็ยังไม่มีใครสามารถการันตีได้ว่า เมื่อถึงเวลาที่เหตุวิกฤติมาเยี่ยมเยือนเข้าจริงๆ แล้ว แผนนั้นจะมีประสิทธิภาพมากน้อยเพียงใด

เมื่อไม่นานมานี้ ผู้เชี่ยวชาญด้านการบริหารจัดการเหตุวิกฤติและความต่อเนื่องทางธุรกิจของ Destination One ได้แบ่งปันบทเรียนล้ำค่าที่เก็บเกี่ยวมาระหว่างการทำงานจริง จากประสบการณ์ตรง เพื่อเป็นประโยชน์สำหรับหน่วยงานต่างๆ ในการจัดทำแผนและวางกลยุทธ์ ซึ่งผมได้นำเนื้อหาดังกล่าวมาสรุปอีกครั้งเป็นคำแนะนำ 7 ข้อ ดังนี้



          1. ประสบการณ์ของผู้จัดการระดับอาวุโสมีคุณค่ามาก มองข้ามไม่ได้โดยเด็ดขาด องค์กรควรจะจัดให้มีการแชร์เรื่องราว ประสบการณ์ และมุมมองของผู้จัดการของแต่ละแผนกที่มีต่อการรับมือเหตุวิกฤติ เพราะสิ่งเหล่านี้มีผลต่อความสามารถในการตัดสินใจ และประสิทธิภาพในการรับมือวิกฤตการณ์

          2. เตรียมรายการ Check List สิ่งที่จำเป็นต้องทำเมื่อเกิดเหตุวิกฤติ ซึ่งจะช่วยลดอาการตื่นตกใจจับต้นชนปลายไม่ถูกของทีมงาน และสามารถตรวจสอบได้ว่าไม่มีสิ่งใดตกหล่น

          3. ผู้บริหารและผู้ที่มีหน้าที่รับผิดชอบทุกคนจะต้องทำความเข้าใจและรู้ว่ามีความเสี่ยงใดบ้างที่สามารถคุกคามองค์กรได้ รวมถึงคอยอัพเดทข้อมูลอยู่เสมอ

          4. ทีมวางแผนกลยุทธ์จะต้องมองภาพในมุมกว้างของเหตุวิกฤติ รวมถึงผลกระทบที่อาจจะเกิดขึ้นได้ทั้งหมดของเหตุนั้น อีกทั้งจะต้องวิเคราะห์สาเหตุของปัญหา เพื่อส่งต่อให้ทีมเทคนิคนำไปปฏิบัติการต่อไป

          5. ลองใช้เครื่องมือ Social Media ในการสื่อสารกับพนักงาน เพื่ออัพเดทข้อมูลเกี่ยวกับการป้องกันความเสี่ยง และแจ้งข่าวสารในยามวิกฤติ

          6. ในบางครั้ง การใช้บริษัทประชาสัมพันธ์มืออาชีพเข้ามาช่วยในการบริหารจัดการข้อมูลข่าวสารกับสาธารณชนก็เป็นทางเลือกที่ชาญฉลาด เพราะ PR มืออาชีพจะช่วยลดความตื่นตระหนก ประนีประนอม รักษาความสัมพันธ์อันดี รวมถึงลดผลกระทบเชิงลบกับภาพลักษณ์ขององค์กรได้

          7. สิ่งสำคัญ คือจะต้องมีการซักซ้อมและฝึกอบรมเกี่ยวกับแผนการรับมือและกอบกู้เหตุฉุกเฉินให้กับพนักงานอยู่เสมอ โดยจะต้องเป็นกิจกรรมที่ใช้กระชับ ใช้เวลาไม่นาน และให้สาระอย่างสนุกสนาน เพื่อให้พนักงานมีความตื่นตัว และไม่คิดว่าเป็นเรื่องน่าเบื่อ

หวังว่าจะเป็นประโยชน์สำหรับทุกท่านนะครับ!!


Content Cr : DestinationOne Counselor
Photo Cr : PhotoPool

Monday, December 15, 2014

10 กลยุทธ์เพื่อปกป้องข้อมูลส่วนตัวของผู้ป่วยสำหรับโรงพยาบาล

10 กลยุทธ์เพื่อปกป้องข้อมูลส่วนตัวของผู้ป่วยสำหรับโรงพยาบาล

นอกจากสถาบันทางการเงินแล้ว ในยุคที่เทคโนโลยีก้าวกระโดดอย่างรวดเร็วเช่นในปัจจุบัน “โรงพยาบาล” ก็จัดเป็นสถาบันอีกประเภทหนึ่งที่ตกเป็นเป้าหมายยอดนิยมของการโจมตีโดยเหล่าแฮ็กเกอร์ทั้งหลาย ข่าวการเจาะระบบฐานข้อมูลโรงพยาบาลหรือการโจรกรรมข้อมูลส่วนตัวของผู้ป่วยเริ่มมีให้เห็นถี่ขึ้นเรื่อยๆ ดังนั้น โรงพยาบาลจึงจำเป็นที่จะต้องวางแผนกลยุทธ์เพื่อปกป้องข้อมูลสำคัญดังกล่าว

เมื่อไม่นานมานี้ เครือข่ายผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยและการบริหารความเสี่ยงโรงพยาบาล (PHI Protection Network) ได้เผยแพร่คำแนะนำเพื่อการปกป้องข้อมูลสำคัญของผู้ป่วยและสถานพยาบาลที่จำเป็นสำหรับปี 2015 ซึ่งทีมที่ปรึกษา Destination One ได้สรุปสาระสำคัญ เพื่อให้คุณสามารถนำแนวคิดที่เป็นประโยชน์ไปประยุกต์ใช้ได้สะดวกยิ่งขึ้นดังนี้


1. ผู้บริหารของโรงพยาลจะต้องแสดงความเป็นผู้นำ : แค่เพียงจัดตั้งทีมงานความมั่นคงปลอดภัยแล้วปล่อยให้พวกเขาทำงานกันเองนั้นยังไม่เพียงพอ ผู้บริหารระดับสูงของโรงพยาบาลควรจะแสดงบทบาทความเป็นผู้นำอย่างจริงจัง และกำหนดให้บุคลากรทุกคนต้องมีสำนึกในการรักษาความมั่นคงปลอดภัยของข้อมูล โดยถือเป็นส่วนหนึ่งของวัฒนธรรมองค์กร

2. รวบรวมและระบุข้อมูลทั้งหมดของโรงพยาบาล : คุณจะต้องรวบรวมและระบุอย่างชัดเจนได้ว่าภายในโรงพยาบาลนั้น มีการใช้งานข้อมูลอะไรบ้าง มีการบริหารจัดการยังไง และถูกเก็บรักษาอย่างไร

3. กำหนดแนวทางปกป้องข้อมูลและจำกัดการเข้าถึงข้อมูล : คุณจะต้องกำหนดแนวทางควบคุมการใช้งานข้อมูลอย่างมั่นคงปลอดภัย และสื่อสารทำความเข้าใจแนวทางดังกล่าวกับบุคลากรที่เกี่ยวข้องทั้งหมด นอกจากนั้น ยังจะต้องจำกัดการเข้าถึงข้อมูลให้สามารถใช้งานได้เฉพาะบุคคลที่มีความเกี่ยวข้องจำเป็นจริงๆ เท่านั้น

4. ประเมินความเสี่ยง : โรงพยาบาลจะต้องกำหนดกระบวนการประเมินความเสี่ยงอย่างชัดเจน เพื่อประเมินระบบ, เครื่องมือ, อุปกรณ์, บริการ และซัพพลายเออร์ที่จะจัดซื้อหรือจัดจ้างมาใหม่ เพื่อให้มั่นใจว่าสิ่งที่จัดหามาใหม่นั้นมีความมั่นคงปลอดภัยอย่างพอเพียง

5. การบริหารจัดการผู้ให้บริการภายนอก :  คุณต้องมีกระบวนการบริหารจัดการผู้ให้บริการภายนอก โดยตรวจสอบและทบทวนกระบวนการทำงานว่ามีความมั่นคงปลอดภัยเพียงพอหรือไม่ ข้อสังเกตอย่างหนึ่งก็คือผู้ให้บริการที่เป็นผู้ประกอบการรายย่อยมักจะมีจุดอ่อนและความเสี่ยงในการทำงานมากกว่า เพราะข้อจำกัดด้านทรัพยากรที่ด้อยกว่าผู้ประกอบการรายใหญ่นั่นเอง

6. เน้นแผนการเชิงรุก : โรงพยาบาลจำเป็นที่จะต้องมีแผนกลยุทธ์เชิงรุกในการปกป้องความมั่นคงปลอดภัยของข้อมูลผู้ป่วย เพราะหากโรงพยาลใดที่สามารถสร้างผลงานได้สูงกว่าค่าเฉลี่ยมาตรฐานทั่วไป จะทำให้มีภาพลักษณ์ของความเป็นผู้นำในกลุ่มธุรกิจทันที

7. สนับสนุนให้การรักษาความเป็นส่วนตัวของข้อมูลเป็นหนึ่งในเกณฑ์การพัฒนาเทคโนโลยี : เทคโนโลยีและอุปกรณ์ที่ออกแบบมาเพื่อสนับสนุนฟังก์ชั่นการใช้งานด้านสุขภาพนั้นมีเพิ่มสูงขึ้น อาทิ Apple Watch หรือ Internet of Things แต่ยังมีหลักฐานน้อยมากว่าผู้พัฒนาเทคโนโลยีนั้นใส่ใจในการรักษาความลับให้กับข้อมูลส่วนตัวของผู้ใช้งาน

8. การวัดผลและการปรับปรุง : คุณจำเป็นต้องออกแบบกระบวนการต่างๆ ให้สามารถวัดผลได้ เพราะคุณจะไม่สามารถบริหารจัดการและปรับปรุงสิ่งใดๆ ได้เลย หากสิ่งนั้นไม่สามารถวัดผลได้

9. ลองมองหาระบบอื่นๆ เพิ่มเติมที่อาจจะเกี่ยวข้องกับข้อมูลผู้ป่วย : ในโรงพยาบาลมีการใช้งานระบบต่างๆ อยู่มากมาย ซึ่งอาจจะยังมีระบบอื่นๆ ที่อยู่นอกเหนือจากการควบคุมในปัจจุบัน อาทิ ระบบวอยซ์เมล์, ระบบบันทึกเสียงสนทนาโทรศัพท์ หรือ ระบบกล้องวงจรปิด เป็นต้น ซึ่งอาจจะมีส่วนเกี่ยวข้องกับข้อมูลผู้ป่วย ดังนั้น โรงพยาลจึงต้องขยายการควบคุมไปยังระบบเหล่านี้เพิ่มเติมด้วย

10. ตอกย้ำวัฒนธรรมในการปกป้องข้อมูลของผู้ป่วย : บุคลากรของโรงพยาบาลทุกคนจะต้องให้ความสำคัญในการปกป้องข้อมูลส่วนตัวของผู้ป่วยและสถานพยาบาลเป็นสำคัญ



ที่มา : www.net-security.org
เรียบเรียง : DestinationOne Counselor
ภาพประกอบ : MediaPal

Monday, December 8, 2014

การบริหารเหตุละเมิดความมั่นคงปลอดภัยแบบเร่งรัดตาม ISO 27001:2013

การบริหารเหตุละเมิดความมั่นคงปลอดภัยแบบเร่งรัดตาม ISO 27001:2013

เหตุละเมิดความมั่นคงปลอดภัย หรือ Security Incident นั้น คืออะไรก็ตามที่ขัดขวางความมั่นคงปลอดภัยไม่ให้เป็นไปตามเป้าหมายหรือวัตถุประสงค์ ซึ่งโดยทั่วไปแล้ว “ความมั่นคงปลอดภัย” จะหมายถึง การคงไว้ซึ่ง “CIA” - โดย C นั้นมาจาก Confidentiality (ความลับ) - สำหรับ I นั้น มาจาก Integrity (ความถูกต้องครบถ้วน) - ส่วน A นั้น มาจาก Availability (ความพร้อมใช้งาน)

ดังนั้น สิ่งใดก็ตามที่ส่งผลกระทบในเชิงลบต่อ CIA จึงถือเป็นเหตุละเมิดความมั่นคงปลอดภัยทั้งสิ้น

ตัวอย่างของเหตุละเมิดความมั่นคงปลอดภัยที่พบเห็นได้ทั่วไป อาทิ..
     o การติดไวรัส
     o การโจมตีทางไซเบอร์
     o ข้อมูลรั่วไหลหรือถูกเปิดเผยโดยไม่ได้รับอนุญาต
     o การเข้าถึงระบบโดยไม่ได้รับอนุญาต
     o การฝ่าฝืนนโยบาย/ขั้นตอนการปฏิบัติงาน/กฎหมาย



ถ้ามองในมุมของการบริหารจัดการ เหตุละเมิดความมั่นคงปลอดภัยแม้เพียงเล็กน้อยก็ถือเป็นปัจจัยหรือจุดเริ่มต้นของความผิดพลาดในการให้บริการขององค์กรได้ รวมถึงอาจจะทำให้ระดับความมั่นคงปลอดภัยขององค์กรลดลงต่ำกว่า Acceptable Level ที่มีการกำหนดไว้ก็เป็นได้ ดังนั้น องค์กรจึงจำเป็นที่จะต้องมีการวางแผนเตรียมรับมือกับเหตุละเมิดความมั่นคงปลอดภัยที่อาจจะเกิดขึ้น โดยคำนึงถึงความสมเหตุสมผลและความคุ้มค่าในการลงทุน ซึ่งอาจจะอาศัยแนวทางจากมาตรฐานสากลต่างๆ เช่น ISO 27001:2013 หรือ ISO 27035 เป็นต้น ที่สำคัญก็คือจะต้องเป็นแผนงานหรือกระบวนการที่สามารถปฏิบัติใช้ได้จริง และมีการทบทวนและทดสอบกระบวนการอยู่เสมอ

ทั้งนี้ เพื่อเป็นทางลัดให้องค์กรของคุณมีกระบวนการรับมือหรือตอบสนองต่อเหตุละเมิดความมั่นคงปลอดภัยเอาไว้ใช้งานเบื้องต้น ทีมที่ปรึกษา Destination One จึงขอเสนอกระบวนการบริหารจัดการเหตุละเมิดความมั่นคงปลอดภัยแบบเร่งรัด ดังนี้

การรายงาน / การแจ้งเหตุ : เหตุการณ์หรือจุดอ่อนด้านความมั่นคงปลอดภัยนั้นคืออะไร ต้องแจ้งเหตุไปที่ผู้ใด แจ้งด้วยช่องทางใด ต้องแจ้งข้อมูลอย่างไรบ้าง

การวิเคราะห์ / การประเมินเบื้องต้น : สิ่งที่ตรวจพบเข้าเกณฑ์ที่จัดเป็น “เหตุละเมิดความมั่นคงปลอดภัย” หรือไม่ ใครต้องเป็นผู้รับผิดชอบในการวิเคราะห์และประเมิน และเมื่อประเมินเสร็จแล้วจะต้องส่งเรื่องต่อไปที่แผนกใด

การตอบสนองต่อเหตุละเมิดความมั่นคงปลอดภัย : จะต้องพิจารณาว่าควรจะตอบสนองต่อเหตุละเมิดแต่ละประเภทอย่างไร ใครคือผู้รับผิดชอบ สาเหตุของเหตุละเมิดคืออะไร และวางแผนแก้ไขเหตุทั้งระยะสั้น และระยะยาว โดยมีแนวทางดังนี้..
     o การควบคุมหรือจำกัดความรุนแรงของเหตุละเมิด
     o การแก้ไขและกำจัดเหตุละเมิด
     o การกู้คืนระบบ
     o การติดต่อสื่อสาร
     o การทบทวนเหตุละเมิด

การเรียนรู้และการปรับปรุงกระบวนการ : จากเหตุละเมิดที่เกิดขึ้น คุณได้รับบทเรียนอะไรบ้าง ได้รับความรู้หรือแนวปฏิบัติใหม่ๆ เพิ่มเติมบ้างไหม

การจัดเก็บหลักฐาน : ในการจัดเก็บบันทึกและหลักฐานเกี่ยวกับเหตุละเมิดนั้น ใครคือผู้รับผิดชอบ จัดเก็บที่ใด และมีกระบวนการจัดเก็บอย่างไร




หากคุณต้องการให้บริการขององค์กรมีความราบรื่นต่อเนื่องและมั่นคงปลอดภัย ผู้บริหารและทีมงานจะต้องร่วมมือกันกำหนดกระบวนการบริหารจัดการเหตุล่วงละเมิดที่มีประสิทธิภาพ เพื่อลดผลกระทบเชิงลบที่อาจจะเกิดขึ้นกับองค์กร สิ่งที่คุณจำเป็นต้องพึงระลึกไว้เสมอก็คือ “เหตุล่วงละเมิดความมั่นคงปลอดภัย ยิ่งเจอเร็ว แก้ไขได้เร็ว ผลกระทบก็จะยิ่งน้อยลง” ครับ!


Content Cr : DestinationOne Counselor
Photo Cr : Google Search

Tuesday, December 2, 2014

HOW TO: กด ATM อย่างไรให้มั่นคงปลอดภัย

HOW TO: กด ATM อย่างไรให้มั่นคงปลอดภัย

สำหรับคนในเมืองยุคนี้ การกดเงินผ่านตู้ ATM ถือเป็นไลฟ์สไตล์ทั่วไปอย่างหนึ่ง บางคนกดบ่อย บางคนกดมาก บางคนกดน้อย อันนี้ก็ต้องแล้วแต่รูปแบบการใช้จ่ายและตัวเลขเงินในบัญชีนะครับ.. แต่ที่ผมอยากจะพูดถึงในบทความนี้ เป็นเรื่องของความมั่นคงปลอดภัยในการใช้งาน ATM มากกว่า เพราะไม่ว่าจะเสพข่าวจากสื่อไหนก็จะมีเรื่องของการโจรกรรมผ่านตู้ ATM ให้เห็นกันอยู่ตลอด ประเดี๋ยวก็มีข่าวจับชาวต่างชาติแอบติดตั้งอุปกรณ์ขโมยข้อมูลบ้างล่ะ ข่าวบัตรถูกปลอมแปลงบ้างล่ะ ธนาคารเองก็ออกมาเตือนเรื่องแฮกเกอร์กันอยู่บ่อยๆ ส่งผลให้คนใช้บัตร ATM รู้สึกหนาวๆ ร้อนๆ ไปตามกัน

ความเสี่ยงของการใช้งาน ATM ในประเทศไทยตอนนี้กำลังเพิ่มสูงขึ้น เพราะมีมิจฉาชีพกลุ่มหนึ่ง (ส่วนใหญ่จะเป็นชาวต่างชาติ) มักจะใช้วิธีดักจับข้อมูลบัตร ATM แล้วทำการปลอมแปลงเพื่อขโมยกดเงินออกไปจากบัญชีของเหยื่อ ซึ่งเทคนิคนี้เรียกกันว่า “ATM Skimming”

หลายท่านคงอยากทราบว่า แล้วเราควรจะทำอย่างไรดีเพื่อปกป้องตนเองไม่ให้ตกเป็นเหยื่อ ซึ่งทีมงานของ Destination One ได้เสนอคำแนะนำไว้ดังนี้ครับ


ข้อควรปฏิบัติเพื่อการใช้งาน ATM อย่างมั่นคงปลอดภัย

ควรกดเงินจากตู้ ATM ที่ตั้งอยู่หน้าธนาคาร
เพราะตู้ ATM ที่ตั้งอยู่หน้าธนาคารมักจะได้รับการรักษาความมั่นคงปลอดภัยมากกว่าตู้ที่ตั้งอยู่เดี่ยวๆ จึงยากที่มิจฉาชีพจะลักลอบติดตั้งอุปกรณ์แปลกปลอม และยังอยู่ในความดูแลของพนักงานธนาคารอย่างใกล้ชิดอีกด้วย

ควรเปลี่ยนแปลงรหัสผ่าน หากมีการใช้งานตู้ ATM นอกพื้นที่
ในบางครั้งคุณอาจจะหลีกเลี่ยงไม่ได้ และจำเป็นจะต้องใช้บริการตู้ ATM ที่ตั้งอยู่ในสถานที่ที่ไม่น่าเชื่อถือในความปลอดภัย คุณจึงควรจะเปลี่ยนแปลงรหัสผ่านหลังจากการใช้งานครั้งนั้น เพราะรหัสผ่านคือกุญแจสำคัญที่ใช้พิสูจน์ตัวตนของคุณในการเบิกถอนเงินจากบัญชี

ควรเปลี่ยนรหัสผ่านอยู่เสมอ และใช้รหัสผ่านที่ยากต่อการคาดเดา
คุณควรจะเปลี่ยนรหัสผ่านบ่อยๆ อย่างน้อยคือทุกๆ 3 เดือน และควรจะเป็นรหัสผ่านที่คาดเดาได้ยาก โดยไม่ควรนำข้อมูลพื้นฐานส่วนตัวมาตั้งเป็นรหัสผ่านโดยเด็ดขาด

ควรจำกัดจำนวนเงินในบัญชีบัตร ATM แค่เพียงเท่าที่จำเป็น
การกระจายเงินไว้ตามบัญชีต่างๆ ถือเป็นการกระจายความเสี่ยงอย่างหนึ่ง โดยเราควรจะเก็บเงินไว้ในบัญชีที่บัตร ATM เข้าถึงได้แค่เท่าที่จำเป็นต่อการใช้จ่ายทั่วไปเท่านั้น เพื่อจำกัดความเสียหายหากเกิดเหตุไม่พึงประสงค์ขึ้น

ควรสำรวจแบบ 360 องศา ก่อนการกดเงินทุกครั้ง
คุณจะต้องตรวจสอบหาความผิดปกติของตู้ ATM ก่อนการใช้งานทุกครั้ง และจะต้องสังเกตรอบตัวทั้งด้านข้างและด้านหลังเพื่อความมั่นใจว่าไม่มีมิจฉาชีพแฝงตัวอยู่บริเวณรอบๆ

ควรเลือกใช้งานบัตร ATM ที่มีความมั่นคงปลอดภัยมากกว่า
ปัจจุบันนี้บัตร ATM ส่วนใหญ่ยังเป็นบัตรแบบที่ใช้แถบแม่เหล็กกันอยู่ ซึ่งมีความมั่นคงปลอดภัยน้อยกว่าบัตรรุ่นใหม่ๆ ที่เป็นแบบฝัง Chip ซึ่งปลอมแปลงข้อมูลได้ยากกว่า โดยในขณะนี้ทางธนาคารแห่งประเทศไทยกำลังจะประกาศให้ธนาคารทุกแห่งทำการเปลี่ยนรูปแบบบัตร ATM มาเป็นแบบฝัง Chip ทั้งหมด คาดว่าจะมีผลบังคับใช้ประมาณต้นปี 2558 ครับ

ขอขอบคุณภาพประกอบจาก BANK OF MONTREAL

ควรหมั่นติดตามรายการเดินบัญชีอย่างสม่ำเสมอ

คุณควรจะตรวจสอบความเคลื่อนไหวของเงินในบัญชีที่ผูกกับบัตร ATM อยู่เสมอ อย่างน้อยที่สุดคือเดือนละ 1 ครั้ง เพราะหากมีการถอนเงินหรือการโอนเงินที่ผิดปกติ คุณจะได้รีบติดต่อกับธนาคารและดำเนินการติดตามได้ทันท่วงที


Content Cr : DestinationOne Counselor
Photo Cr : FreeImages.com, Bank of Montreal