มาตรการที่พึงมีเพื่อป้องกันเหตุข้อมูลรั่วไหล
ข้อมูลรั่วไหล
เป็นความเสี่ยงสำคัญที่ทุกองค์กรจำเป็นต้องบริหารจัดการเพื่อให้อยู่ในระดับที่ยอมรับได้และสอดคล้องตามกฎหมายหรือข้อกำหนดต่างๆ
ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่ง ปัจจัยในปัจจุบันเอื้อต่อการเกิดข้อมูลรั่วไหลได้ง่ายขึ้น
เพราะข้อมูลถูกจัดเก็บ ใช้งาน และส่งผ่านระบบหรือเครือข่ายต่างๆ อาทิ Internet,
Cloud Computing, ฯลฯ ซึ่งผลกระทบในกรณีข้อมูลเกิดการรั่วไหล ไม่เพียงเป็นความเสียหายทางตัวเงินเท่านั้น
แต่ยังรวมถึงชื่อเสียงและความน่าเชื่อถือขององค์กร ซึ่งประเมินค่าไม่ได้อีกด้วย
แม้ว่าจะไม่มีหนทางใดที่สามารถป้องกันการรั่วไหลของข้อมูลได้อย่างสมบูรณ์แบบ
แต่ก็ยังมีมาตรการต่างๆ ที่สามารถนำมาใช้เพื่อบริหารจัดการให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้
สมเหตุสมผลกับมูลค่าความเสียหายที่อาจจะเกิดขึ้น
อย่างน้อยทุกองค์กรควรจะพิจารณาจัดให้มีมาตรการ
9
อย่าง ดังต่อไปนี้
มาตรการที่
1 : ต้องรู้ว่าอะไรคือข้อมูลสำคัญ และจัดทำทะเบียนข้อมูล
o ก่อนที่เราจะดูแลและปกป้องอะไรเราต้องรู้ก่อนว่าเรามีข้อมูลอะไร
อยู่ที่ไหน แบบไหน อย่างไรบ้าง
มาตรการที่
2 :
ต้องกำหนดและประกาศใช้งานนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ
o ต้องมีการกำหนดกรอบ นโยบายหรือแนวปฏิบัติเพื่อให้เกิดความชัดเจนในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ
มาตรการที่
3 :
ต้องกำหนดบทบาทหน้าที่ในการดูและและปกป้องข้อมูล
o ต้องกำหนดบทบาทและหน้าที่ความรับผิดชอบให้กับผู้ที่เกี่ยวข้องทุกคน
มาตรการที่
4 : ต้องให้ความรู้และสร้างความตระหนักทางด้านความมั่นคงปลอดภัยสารสนเทศ
o ความตระหนักรู้และความรู้ด้านความมั่นคงปลอดภัยเป็นพื้นฐานที่สำคัญของความมั่นคงปลอดภัย
มาตรการที่
5 : การเปลี่ยนแปลงต่างๆ ต้องได้รับการควบคุมและบริหารจัดการอย่างเหมาะสม
o ก่อนการเปลี่ยนแปลง ระหว่างการเปลี่ยนแปลง
และหลังการเปลี่ยนแปลงต้องบริหารจัดการให้มีความมั่นคงปลอดภัย
ต้องมีการวิเคราะห์ผลกระทบ มีแนวทางกู้คืนหรือแนวทางสร้างความต่อเนื่องทางธุรกิจ
มาตรการที่
6 :
ต้องกำหนดกระบวนการบริหารจัดการเหตุอุบัติการณ์หรือเหตุละเมิดด้านความมั่นคงปลอดภัย
o ต้องรายงานเหตุผิดปกติ เหตุน่าสงสัย จุดอ่อนและช่องโหว่อย่างรวดเร็ว
และต้องมีกระบวนการหรือวิธีการบริหารจัดการเหตุการณ์ต่างๆอย่างทันท่วงที
มาตรการที่
7 : ต้องปฏิบัติตามกฎ ระเบียบ ประกาศและกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด
o ต้องรู้ว่ามีกฎ ระเบียบ ประกาศหรือกฎหมายอะไรบ้างที่ต้องปฏิบัติตาม
และได้ปฏิบัติตามแล้วหรือยัง
มาตรการที่
8 : ต้องตรวจสอบและทดสอบด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอ
o ต้องหมั่นทบทวน
ตรวจสอบและทบสอบมาตรการป้องกันด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอตามรอบระยะเวลาหรือความเสี่ยงของระบบต่างๆ
มาตรการที่
9 : ต้องเรียนรู้และปรับปรุงมาตรการด้านความมั่นคงปลอดภัยสารสนเทศอยู่เสมอ
o ต้องไม่หยุดนิ่ง ต้องเรียนรู้
ต้องพัฒนามาตรการด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอตลอดเวลา
Content Cr: DestinationOne Counselor
Photo Cr: Dreamstime