มาตรการที่พึงมีเพื่อป้องกันเหตุข้อมูลรั่วไหล

มาตรการที่พึงมีเพื่อป้องกันเหตุข้อมูลรั่วไหล

ข้อมูลรั่วไหล เป็นความเสี่ยงสำคัญที่ทุกองค์กรจำเป็นต้องบริหารจัดการเพื่อให้อยู่ในระดับที่ยอมรับได้และสอดคล้องตามกฎหมายหรือข้อกำหนดต่างๆ ที่เกี่ยวข้อง โดยเฉพาะอย่างยิ่ง ปัจจัยในปัจจุบันเอื้อต่อการเกิดข้อมูลรั่วไหลได้ง่ายขึ้น เพราะข้อมูลถูกจัดเก็บ ใช้งาน และส่งผ่านระบบหรือเครือข่ายต่างๆ อาทิ Internet, Cloud Computing, ฯลฯ ซึ่งผลกระทบในกรณีข้อมูลเกิดการรั่วไหล ไม่เพียงเป็นความเสียหายทางตัวเงินเท่านั้น แต่ยังรวมถึงชื่อเสียงและความน่าเชื่อถือขององค์กร ซึ่งประเมินค่าไม่ได้อีกด้วย

แม้ว่าจะไม่มีหนทางใดที่สามารถป้องกันการรั่วไหลของข้อมูลได้อย่างสมบูรณ์แบบ แต่ก็ยังมีมาตรการต่างๆ ที่สามารถนำมาใช้เพื่อบริหารจัดการให้ความเสี่ยงอยู่ในระดับที่ยอมรับได้ สมเหตุสมผลกับมูลค่าความเสียหายที่อาจจะเกิดขึ้น

อย่างน้อยทุกองค์กรควรจะพิจารณาจัดให้มีมาตรการ 9 อย่าง ดังต่อไปนี้

มาตรการที่ 1 :  ต้องรู้ว่าอะไรคือข้อมูลสำคัญ และจัดทำทะเบียนข้อมูล 

     o ก่อนที่เราจะดูแลและปกป้องอะไรเราต้องรู้ก่อนว่าเรามีข้อมูลอะไร อยู่ที่ไหน แบบไหน อย่างไรบ้าง

มาตรการที่ 2 :  ต้องกำหนดและประกาศใช้งานนโยบายด้านความมั่นคงปลอดภัยสารสนเทศ

     o ต้องมีการกำหนดกรอบ นโยบายหรือแนวปฏิบัติเพื่อให้เกิดความชัดเจนในการบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ

มาตรการที่ 3  :  ต้องกำหนดบทบาทหน้าที่ในการดูและและปกป้องข้อมูล

     o ต้องกำหนดบทบาทและหน้าที่ความรับผิดชอบให้กับผู้ที่เกี่ยวข้องทุกคน

มาตรการที่ 4 :  ต้องให้ความรู้และสร้างความตระหนักทางด้านความมั่นคงปลอดภัยสารสนเทศ

     o ความตระหนักรู้และความรู้ด้านความมั่นคงปลอดภัยเป็นพื้นฐานที่สำคัญของความมั่นคงปลอดภัย

มาตรการที่ 5 : การเปลี่ยนแปลงต่างๆ ต้องได้รับการควบคุมและบริหารจัดการอย่างเหมาะสม

     o ก่อนการเปลี่ยนแปลง ระหว่างการเปลี่ยนแปลง และหลังการเปลี่ยนแปลงต้องบริหารจัดการให้มีความมั่นคงปลอดภัย ต้องมีการวิเคราะห์ผลกระทบ มีแนวทางกู้คืนหรือแนวทางสร้างความต่อเนื่องทางธุรกิจ

มาตรการที่ 6 : ต้องกำหนดกระบวนการบริหารจัดการเหตุอุบัติการณ์หรือเหตุละเมิดด้านความมั่นคงปลอดภัย

     o ต้องรายงานเหตุผิดปกติ เหตุน่าสงสัย จุดอ่อนและช่องโหว่อย่างรวดเร็ว และต้องมีกระบวนการหรือวิธีการบริหารจัดการเหตุการณ์ต่างๆอย่างทันท่วงที

มาตรการที่ 7 : ต้องปฏิบัติตามกฎ ระเบียบ ประกาศและกฎหมายที่เกี่ยวข้องอย่างเคร่งครัด

     o ต้องรู้ว่ามีกฎ ระเบียบ ประกาศหรือกฎหมายอะไรบ้างที่ต้องปฏิบัติตาม และได้ปฏิบัติตามแล้วหรือยัง

มาตรการที่ 8 : ต้องตรวจสอบและทดสอบด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอ

     o ต้องหมั่นทบทวน ตรวจสอบและทบสอบมาตรการป้องกันด้านความมั่นคงปลอดภัยสารสนเทศอย่างสม่ำเสมอตามรอบระยะเวลาหรือความเสี่ยงของระบบต่างๆ

มาตรการที่ 9 : ต้องเรียนรู้และปรับปรุงมาตรการด้านความมั่นคงปลอดภัยสารสนเทศอยู่เสมอ

     o ต้องไม่หยุดนิ่ง ต้องเรียนรู้ ต้องพัฒนามาตรการด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอตลอดเวลา

Content Cr: DestinationOne Counselor

Photo Cr: Dreamstime