มาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่พึ่งมีเพื่อป้องกันข้อมูลสำคัญรั่วไหล

มาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่พึ่งมีเพื่อป้องกันข้อมูลสำคัญรั่วไหล

การรั่วไหลของข้อมูล หรือ ข้อมูลลูกค้ารั่วไหล เป็นความเสี่ยงที่สำคัญที่องค์กรหรือบริษัทต่างๆ ต้องมีการบริหารจัดการให้อยู่ในระดับที่ยอมรับได้และเป็นไปตามข้อกฎหมายที่เกี่ยวข้อง  ในโลกปัจจุบันนั้นการรั่วไหลของข้อมูลเกิดขึ้นได้ตลอดเวลาเนื่องจากข้อมูลส่วนใหญ่อยู่บนอินเทอร์เน็ตหรือบนพื้นที่เก็บข้อมูลแบบคลาวด์ซึ่งง่ายและเอื้อต่อโอกาสที่จะรั่วไหลได้มากกว่าสมัยก่อนที่มีเพียงแค่บนกระดาษหรือเอกสารเท่านั้น  

ความเสี่ยงเรื่องการรั่วไหลข้อมูลนั้นมีผลกระทบมากมายไม่ว่าจะเป็นด้านชื่อเสียงและภาพลักษณ์ ผลกระทบด้านการเงิน และผลกระทบด้านกฎหมาย  ถึงแม้ว่าเราจะไม่สามารถป้องกันภัยคุกคามหรือความเสี่ยงต่างๆ ได้อย่างสมบูรณ์แบบแต่เราสามารถบริหารจัดการความเสี่ยงเหล่านั้นให้อยู่ในระดับที่ยอมรับได้โดยผ่านทางกระบวนการ วิธีการ และเทคโนโลยีที่มีให้เลือกหลากหลาย โดยพิจารณาให้สมเหตุสมผลกับมูลค่าผลกระทบต่างๆ ที่อาจจะเกิดขึ้น

ในบทความนี้ DestinationOne จึงขอนำเสนอ 9 มาตรการด้านความมั่นคงปลอดภัยสารสนเทศที่องค์กรหรือบริษัทต่างๆ ต้องมีเพื่อป้องกันข้อมูลสำคัญรั่วไหล ดังต่อไปนี้..

·         มาตรการที่ 1 :  ต้องรู้ว่าอะไรคือข้อมูลสำคัญ

o   ก่อนที่เราจะดูแลและปกป้องอะไรเราต้องรู้ก่อนว่าเรามีข้อมูลอะไร สำคัญระดับไหน อยู่ที่ไหน แบบไหน อย่างไรบ้าง

·         มาตรการที่ 2 :  ต้องกำหนดและประกาศใช้งานนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ

o   ต้องมีการกำหนดกรอบ นโยบายหรือแนวปฎิบัติเพื่อให้เกิดความชัดเจนในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

·         มาตรการที่ 3  :  ต้องกำหนดบทบาทหน้าที่ในการดูและและปกป้องข้อมูล

o   ต้องกำหนดบทบาทและหน้าที่ความรับผิดชอบให้กับผู้ที่เกี่ยวข้องทุกคน

·         มาตรการที่ 4 :  ต้องให้ความรู้และสร้างความตระหนักทางด้านความมั่นคงปลอดภัยสารสนเทศ

o   ความตระหนักรู้และความรู้ด้านความมั่นคงปลอดภัยเป็นพื้นฐานที่สำคัญของความมั่นคงปลอดภัย

·         มาตรการที่ 5 : การเปลี่ยนแปลงต่างๆ ต้องได้รับการควบคุมและบริหารจัดการอย่างเหมาะสม

o   ก่อนการเปลี่ยนแปลง ระหว่างการเปลี่ยนแปลง และหลังการเปลี่ยนแปลงต้องบริหารจัดการให้มีความมั่นคงปลอดภัย ต้องมีการวิเคราะห์ผลกระทบ มีแนวทางกู้คืนหรือแนวทางสร้างความต่อเนื่องทางธุรกิจ

·         มาตรการที่ 6 : ต้องกำหนดกระบวนการบริหารจัดการเหตุอุบัติการณ์หรือเหตุละเมิดด้านความมั่นคงปลอดภัย

o   ต้องรายงานเหตุผิดปกติ เหตุน่าสงสัย จุดอ่อนและช่องโหว่อย่างรวดเร็ว และต้องมีกระบวนการหรือวิธีการบริหารจัดการเหตุการณ์ต่างๆ อย่างทันท่วงที

·         มาตรการที่ 7 : ต้องปฎิบัติตามกฎ ระเบียบ ประกาศและกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด

o   ต้องรู้ว่ามีกฎ ระเบียบ ประกาศหรือกฎหมายอะไรบ้างที่ต้องปฎิบัติตาม และได้ปฎิบัติตามแล้วหรือยัง

·         มาตรการที่ 8 : ต้องตรวจสอบและทดสอบด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอ

o   ต้องหมั่นทบทวน ตรวจสอบ และทบสอบมาตรการป้องกันด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอตามรอบระยะเวลาหรือความเสี่ยงของระบบต่างๆ

·         มาตรการที่ 9 : ต้องเรียนรู้และปรับปรุงมาตรการด้านความมั่นคงปลอดภัยสารสนเทศอยู่เสมอ

o   ต้องไม่หยุดนิ่ง ต้องเรียนรู้ ต้องพัฒนามาตรการด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอตลอดเวลา

Content Cr: DestinationOne Counselor
Photo Cr: FreeArt.com