SMEs กับการบริหารความมั่นคงปลอดภัยของข้อมูลตาม ISO 27001:2013

SMEs กับการบริหารความมั่นคงปลอดภัยของข้อมูลตาม ISO 27001:2013

ขึ้นชื่อว่า “ธุรกิจ” ไม่ว่าจะมีขนาดใหญ่ กลาง หรือเล็ก ก็ล้วนแต่ต้องอาศัย “ข้อมูล” ในการทำงานทั้งสิ้น ไม่ว่าจะเป็นข้อมูลเกี่ยวกับสินค้าและบริการ ข้อมูลการตลาด ข้อมูลระบบ ข้อมูลการเงิน ข้อมูลส่วนตัวของลูกค้า และข้อมูลประกอบอื่นๆ อีกมากมาย ดังนั้น ทุกองค์กรจึงจำเป็นต้องมีการบริหารจัดการความมั่นคงปลอดภัยของข้อมูลอย่างเหมาะสม เพื่อให้ธุรกิจสามารถดำเนินไปได้อย่างราบรื่นต่อเนื่อง รวมถึงประสบความสำเร็จอย่างยั่งยืน

สำหรับผู้บริหารองค์กรขนาดกลางและขนาดย่อม หรือ SMEs นั้น อาจจะรู้สึกกังวลใจเมื่อต้องวางแผนบริหารความมั่นคงปลอดภัยของข้อมูล เพราะมักคิดว่าตนเองอาจจะมีความรู้และทรัพยากรไม่เพียงพอ แต่อันที่จริงแล้วมาตรฐาน ISO 27001:2013 Information Security Management นั้น มีแนวทางที่สามารถประยุกต์ใช้ได้กับองค์กรทุกขนาด ซึ่งทีมงาน DestinationOne ได้ทำการสรุปกระบวนการบริหารจัดการที่องค์กร SMEs ควรจะพิจารณาดำเนินการดังต่อไปนี้ครับ

การเตรียมความพร้อม และการทำความเข้าใจธุรกิจ/องค์กร

• การสนับสนุนของผู้บริหารเป็นปัจจัยสำคัญในการดำเนินการ ยิ่งมีการสนับสนุนจากผู้บริหารมากเพียงใดความสำเร็จก็จะยิ่งใกล้เข้ามามากเท่านั้น ในที่นี้หมายรวมถึงการสนับสนุนจากทุกฝ่ายที่เกี่ยวข้องอีกด้วย 
• การทำความเข้าใจธุรกิจ/องค์กรอย่างลึกซึ่งมีความสำคัญมาก เพราะจะช่วยให้ทราบถึงลักษณะและตัวตนที่แท้จริงขององค์กร ทำให้เราทราบบริบท ปัจจัยภายใน และปัจจัยภายนอกที่เกี่ยวข้อง ทั้งทางทางตรงและทางอ้อม รวมถึงความต้องการและความคาดหวังของผู้ที่มีส่วนเกี่ยวข้องทั้งหมด
• ต้องกำหนดวัตถุประสงค์และเป้าหมายว่าองค์กรต้องการอะไร แล้วทำการสื่อสารให้ทีมงานที่เกี่ยวข้องทุกฝ่ายรับทราบ เพื่อให้เกิดความเข้าใจที่ตรงกัน และกำหนดวิธีการเดินไปสู่เป้าหมายได้อย่างถูกต้อง
• กำหนดโครงสร้างการทำงาน บทบาท และหน้าที่ความรับผิดชอบเกี่ยวกับความมั่นคงปลอดภัยของแต่ละส่วนงานอย่างชัดเจน จากนั้นจะต้องสื่อสารและอบรมให้ความรู้ให้กับพนักงานรวมถึงผู้ที่เกี่ยวข้องอย่างเหมาะสม 

การดำเนินงาน การบริหารความเสี่ยง และการจัดทำมาตรการควบคุม

• องค์กรต้องสร้างกระบวนการดำเนินงาน และวิธีการทำงานต่างๆ อย่างเหมาะสม และจะต้องทำการสื่อสารจัดอบรมให้ความรู้กับผู้ที่เกี่ยวข้องทุกฝ่าย
• องค์กรต้องวิเคราะห์และประเมินความเสี่ยง หากผลความเสี่ยงที่ได้สูงกว่าระดับที่องค์กรกำหนดไว้ องค์กรจะต้องพิจารณาดำเนินการแก้ไข โดยจัดหามาตรการหรือวิธีการต่างๆ มาใช้เพื่อลดความเสี่ยงให้ลงมาอยู่ในระดับที่องค์กรยอมรับได้ รวมถึงเฝ้าระวังและทบทวนค่าความเสี่ยงต่างๆ ตลอดเวลา
• องค์กรต้องสร้างและจัดทำมาตรการควบคุมทางด้านความมั่นคงปลอดภัยความมั่นคงปลอดภัย โดยพิจารณาเลือกจากกลุ่มมาตรการดังต่อไปนี้ >> (ตัวอย่าง) มาตรการควบคุมของมาตรฐาน ISO 27001:2013 (อ้างอิงหมายเลขตาม Annex A.)

• กลุ่มมาตรการควบคุมที่ 9 การควบคุมการเข้าถึง
• กลุ่มมาตรการควบคุมที่ 11 ความมั่นคงปลอดภัยทางกายภาพและสิ่งแวดล้อม
• กลุ่มมาตรการควบคุมที่ 12 ความมั่นคงปลอดภัยในการปฏิบัติงาน
• กลุ่มมาตรการควบคุมที่ 13 ความมั่นคงปลอดภัยในการติดต่อสื่อสาร
• กลุ่มมาตรการควบคุมที่ 15 ความสัมพันธ์ของผู้ให้บริการภายนอกหรือห่วงโซ่อุปทาน
• กลุ่มมาตรการควบคุมที่ 16 การบริหารจัดการเหตุละเมิดความมั่นคงปลอดภัย
• กลุ่มมาตรการควบคุมที่ 17 ความมั่นคงปลอดภัยในการบริหารจัดการความต่อเนื่องในการดำเนินธุรกิจ

               หรือจัดหามาตรการอื่นใดที่องค์กรเห็นว่ามีประโยชน์ หรือสอดคล้องกับวัฒนธรรมขององค์กรมากกว่ามาตรการที่กล่าวมาแล้วข้างต้น

การเฝ้าระวัง การวัดผล และการประเมินผล

• การวัดผลและการประเมินผลจะเป็นตัวบ่งชี้ว่ากระบวนการต่างๆ ที่ดำเนินการมาทั้งหมดนั้น เป็นไปตามเป้าหมาย วัตถุประสงค์ และความต้องการขององค์กรหรือไม่อย่างไร
• การตรวจสอบจะเป็นเครื่องยืนยันและสนับสนุนกระบวนการในการบริหารความต่อเนื่องขององค์กร ว่ามีความสอดคล้องกับมาตรฐานที่ได้กำหนดไว้หรือไม่อย่างไร  ทั้งนี้ หากตรวจพบความไม่สอดคล้องก็จะต้องดำเนินการแก้ไขและปรับปรุงต่อไป
• ผู้บริหารต้องดำเนินการทบทวน ให้ความเห็น และประเมินผลเกี่ยวกับกระบวนการต่างๆ ที่ได้จัดทำขึ้น ว่า มีความสอดคล้องกับความต้องการหรือไม่อย่างไร รวมถึงมีสิ่งใดบ้างที่ต้องปรับปรุงพัฒนา

การปรับปรุง และการพัฒนาอย่างต่อเนื่อง

• องค์กรต้องดำเนินการแก้ไขหรือปรับปรุงกระบวนการทำงาน รวมถึงมาตรการความมั่นคงปลอดภัยต่างๆ ให้เป็นไปตามเป้าหมายและความต้องการขององค์กรอยู่เสมอ  นอกจากนี้ ปัญหาต่างๆ ที่เกิดขึ้นจะต้องได้รับการวิเคราะห์หาสาเหตุที่แท้จริงและดำเนินการแก้ไขอย่างถูกต้องเหมาะสม
• กระบวนการต่างๆ ในการบริหารจัดการความมั่นคงปลอดภัย จะต้องได้รับการปรับปรุงและพัฒนาอย่างต่อเนื่องตลอดเวลา เพื่อให้ข้อมูลคงไว้ซึ่งความลับ ความถูกต้อง และความพร้อมใช้งาน รวมถึงเพื่อสร้างความเข้มแข็งและความพร้อมรับมือกับภัยคุกคามหรือจุดอ่อนต่างๆ ที่อาจเกิดขึ้นได้

SMEs ที่มีความมั่นคงปลอดภัย จะสามารถส่งมอบสินค้าและบริการให้กับลูกค้าได้อย่างถูกต้อง ตรงเวลา ไม่ผิดพลาด อีกทั้งยังยกระดับภาพลักษณ์ความน่าเชื่อถือ ซึ่งจะนำไปสู่การเติบโตอย่างยั่งยืนต่อไป

Content Cr: DestinationOne Counselor

Photo Cr: PhotoStx.com

คอนโดมิเนียมกับความมั่นคงปลอดภัยตามมาตรฐาน ISO 27001

คอนโดมิเนียมกับความมั่นคงปลอดภัยตามมาตรฐาน ISO 27001

คอนโดมิเนียม เป็นที่พักอาศัยประเภทยอดนิยม โดยเฉพาะยิ่งสำหรับผู้ที่ใช้ชีวิตอยู่ในเมืองใหญ่ ซึ่งที่ผ่านมานั้น เราน่าจะได้ยินข่าวเกี่ยวกับภัยคุกคามของผู้ที่พักอาศัยอยู่ตามคอนโดฯ เป็นระยะๆ ดังนั้น การพิจารณาเลือกซื้อคอนโดฯ สักยูนิตโดยใช้เกณฑ์ด้านความมั่นคงปลอดภัยและประเมินความเสี่ยงแวดล้อมร่วมด้วยนั้น จึงเป็นเรื่องสำคัญมาก

วันนี้ผมมีคำแนะนำดีๆ โดยประยุกต์เอาแนวทางจากมาตรฐาน ISO 27001:2013 มาใช้ เพื่อการพิจารณาตัดสินใจเกี่ยวกับความมั่นคงปลอดภัยของคอนโดฯ ที่คุณอาจจะกำลังหมายตาอยู่ดังนี้ครับ..

10 สิ่งที่ต้องให้ความสำคัญเพื่อความมั่นคงปลอดภัยสำหรับคอนโดมิเนียม

1. ตำแหน่งที่ตั้ง พิจารณาว่าทำเล และดูว่าห้องที่สนใจนั้นตั้งอยู่ชั้นใด ด้านใดของตัวอาคาร อยู่ใกล้หรือติดกับสถานที่ที่มีความเสี่ยงใดๆ หรือไม่ เป็นต้น
2. โครงสร้างอาคาร โครงสร้างจะต้องมั่นคงแข็งแรง สามารถรองรับแรงสั่นสะเทือนของแผ่นดินไหวได้ตามมาตรฐาน/กฎหมายกำหนด ต้องมีทางเข้าออกที่มั่นคงปลอดภัย มีการป้องกันหลายชั้น รวมถึงยากต่อการบุกรุก
3. กำแพง/รั้ว ขอบเขตของคอนโดฯ จะต้องมีรั้วรอบขอบชิด โดยจะต้องมีความสูงและความแข็งแรงสอดคล้องกับความเสี่ยงและสภาพแวดล้อมของสถานที่
4. แผนอพยพ/แผนฉุกเฉิน คอนโดฯ ที่ดีจะต้องมีการกำหนดแผนอพยพหรือแผนเพื่อรับมือในกรณีเกิดเหตุฉุกเฉิน มีระบบไฟฟ้าสำรอง แผนผังเส้นทางหนีไฟ และมีการจัดซ้อมอพยพประจำปี
5. ระบบตรวจจับ/เฝ้าระวัง ระบบเหล่านี้จะต้องช่วยป้องกันและเตือนภัยได้อย่างมีประสิทธิภาพ อาทิเช่น ระบบตรวจจับควัน ระบบตรวจจับความร้อน เป็นต้น
6. ระบบดับเพลิง คอนโดฯ นั้นจะต้องมีการติดตั้งระบบดับเพลิงที่ได้มาตรฐาน พร้อมมีการทดสอบและฝึกอบรมการใช้งานอย่างเหมาะสม เช่น ระบบสปริงเกอร์ ถังดับเพลิง เป็นต้น
7. ระบบกล้อง CCTV คุณควรจะต้องสังเกตตำแหน่งที่ติดตั้งกล้องว่าครอบคลุมบริเวณสำคัญ และมีจำนวนพอเพียงหรือไม่ คุณภาพของกล้องที่ใช้ ความละเอียดของภาพที่ได้ และการเก็บบันทึกภาพ เป็นต้น
8. การควบคุมการเข้าถึง/ระบบคีย์การ์ด การเข้าออกตัวอาคารจะต้องได้รับการบริหารจัดการอย่างเหมาะสม โดยจะต้องมีการตรวจพิสูจน์ตัวตนก่อนเข้าสถานที่เสมอ ผู้ติดต่อก็จะต้องมีการบันทึกและแลกบัตร รวมถึงจะต้องสามารถตรวจย้อนหลังได้ด้วย
9. พนักงานรักษาความปลอดภัย พนักงานจะต้องได้รับการตรวจประวัติและความประพฤติย้อนหลังก่อนเริ่มงาน และจะต้องได้รับการอบรมเพื่อให้มีความตระหนักด้านความมั่นคงปลอดภัยอยู่เสมอ และสามารถตอบสนองได้อย่างเหมาะสมเมื่อพบเหตุการณ์ผิดปกติ
10. สัญญาการให้บริการ คุณควรจะขอดูรายละเอียดของสัญญาการให้บริการอย่างรอบคอบ โดยดูว่าการให้บริการและซ่อมบำรุงต่างๆ นั้น ครอบคลุมเรื่องใดบ้าง และมีรอบระยะเวลาอย่างไร มีอุปกรณ์หรือระบบสำรองใดๆ บ้าง และสามารถตรวจประเมินการให้บริการของคอนโดฯ ได้หรือไม่ ด้วยวิธีใด

Content Cr: DestinationOne Counselor

Photo Cr: en.Wikipedia.org

9 คำแนะนำเพื่อการใช้งานอีเมล์ขององค์กรอย่างมั่นคงปลอดภัย

9 คำแนะนำเพื่อการใช้งานอีเมล์ขององค์กรอย่างมั่นคงปลอดภัย

อีเมล์ คือ ช่องทางการสื่อสารที่สำคัญที่สุดในโลกธุรกิจปัจจุบันอย่างไม่สามารถปฏิเสธได้ จึงไม่น่าแปลกใจที่เป้าหมายยอดฮิตของการโจมตีบนโลกไซเบอร์ก็คือการซุ่มแฮ็กหรือโจรกรรมข้อมูลจากอีเมล์

ข้อมูลที่แลกเปลี่ยนกันผ่านอีเมล์นั้น มีตั้งแต่เรื่องสำคัญมากอย่างเรื่องความลับทางการค้า ข้อมูลทางการเงิน ไปจนถึงเรื่องพูดคุยสัพเพเหระถามไถ่สารทุกข์สุขดิบ องค์กรจึงจำเป็นต้องกวดขันรอบคอบเกี่ยวกับความมั่นคงปลอดภัยของการใช้งานอีเมล์เป็นอย่างยิ่ง ซึ่งจากประสบการณ์ที่ผมได้ให้คำปรึกษากับหน่วยงานมาหลากหลาย ผมได้รวบรวมเอาคำแนะนำที่เป็นประโยชน์สำหรับองค์กรโดยทั่วไป ที่ทุกแห่งสามารถนำไปประยุกต์ใช้ได้จริงมาฝากทุกท่าน ดังนี้..

9 คำแนะนำเพื่อการใช้งานอีเมล์ขององค์กรอย่างมั่นคงปลอดภัย

1. องค์กรต้องมีการอบรมหรือให้ความรู้เรื่องการใช้งานอีเมล์กับพนักงานทุกคนอย่างเหมาะสม
2. องค์กรควรจะกำหนดให้พนักงานลบอีเมล์เก่าๆ ที่ไม่จำเป็นหรือไม่เกี่ยวข้องกับการทำงานปัจจุบันอีกต่อไปออกจากระบบ เพื่อจำกัดปริมาณข้อมูลที่อาจจะรั่วไหลในกรณีถูกแฮ็ก โดยอีเมล์เก่าที่พนักงานคิดว่ายังมีความสำคัญอยู่นั้น ยังคงสามารถเก็บรักษาต่อไปได้ด้วยการ Back Up เก็บไว้ในสื่อบันทึกประเภทอื่น
3. องค์กรจะต้องกำหนดให้พนักงานทำการเข้ารหัสข้อมูลสำคัญทุกครั้งเมื่อจำเป็นต้องมีการส่งผ่านระบบอีเมล์
4. องค์กรจะต้องกำหนดแนวทางการสร้างและเก็บรักษารหัสผ่านอีเมล์อย่างมั่นคงปลอดภัย และจะต้องบังคับใช้กับพนักงานทุกคนอย่างเข้มงวด
5. องค์กรจะต้องกำหนดแนวทางในการใช้งานอีเมล์นอกสำนักงานอย่างมั่นคงปลอดภัย และจะต้องบังคับใช้กับพนักงานทุกคนอย่างเข้มงวด
6. องค์กรจะต้องห้ามพนักงานโพสต์หรือเผยแพร่อีเมล์แอดเดรสบนพื้นที่สาธารณะโดยไม่จำเป็น เพราะหากแฮ็กเกอร์พบอีเมล์แอดเดรสนั้นเข้า อาจจะถือโอกาสเลือกโจมตีได้
7. องค์กรจะต้องสร้างความตระหนักรู้ให้พนักงานรู้เท่าทันอีเมล์หลอกลวงต่างๆ อาทิ อีเมล์ที่หลอกให้รีเซ็ทรหัสผ่านใหม่ หรือให้แก้ไขข้อมูลโน่นนี่ โดยเฉพาะอย่างยิ่งอีเมล์ที่มาจากผู้ส่งที่ไม่รู้จักหรือคลุมเครือ
8. องค์กรจะต้องกำหนดให้พนักงานใช้อีเมล์ขององค์กรเฉพาะที่เกี่ยวข้องกับเรื่องงานเท่านั้น โดยจะต้องไม่นำไปใช้เพื่อการติดต่อในเรื่องส่วนตัวโดยเด็ดขาด
9. องค์กรจะต้องลงทุนและเลือกใช้เครื่องมือที่เหมาะสมในการปกป้องระบบอีเมล์ให้ปลอดภัยจาก Malware ต่างๆ

Content Cr: DestinationOne Counselor

Photo Cr: TheNextPics