21 ม.ค. 2564 791 0

PDPA ในมิติความน่าเชื่อถือทางธุรกิจ

PDPA ในมิติความน่าเชื่อถือทางธุรกิจ

โดย วรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด

นับถอยหลังจากนี้ไปเพียง 5 เดือน จนถึงวันที่ 27 พฤษภาคม 2564 จะเป็นวันดีเดย์ของการบังคับใช้ พรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA หลังจากเลื่อนมาหนึ่งปี

อย่างที่เราได้ยินกันว่า Data is a New Oil “ข้อมูลคือขุมพลังงานใหม่ที่สร้างมูลค่าทางเศรษฐกิจอย่างมหาศาล” ยิ่งในโลกยุคดิจิทัลที่ข้อมูลธุรกิจ ข้อมูลส่วนบุคคลทั้งทางตรง ทางอ้อม ข้อมูลอ่อนไหว เป็นสิ่งที่องค์กรอยากเก็บรวบรวมไปวิเคราะห์ด้วยกระบวนการจัดการข้อมูลต่างๆ เพื่อใช้ปรับปรุงพัฒนาผลิตภัณฑ์และบริการเพื่อสร้างโอกาสทางการแข่งขัน กฎหมาย PDPA จึงเป็นเครื่องมือหนึ่งที่ช่วยป้องปรามผู้เก็บรวบรวมและนำข้อมูลเหล่านี้ไปใช้ จะต้องมีแนวทางกำกับดูแลไม่ให้ถูกใช้งานอย่างเลยเถิดจนเจ้าของข้อมูลถูกละเมิดสิทธิ รวมถึงต้องดูแลให้ปลอดจากภัยคุกคาม กฎหมาย PDPA จึงไม่ใช่การ ห้ามไม่ให้ เข้าถึงหรือใช้ข้อมูล แต่ต้องการให้เกิดการ จัดเก็บ และ ใช้ ข้อมูลอย่างถูกต้องและถูกวิธี เพื่อรักษาสมดุลระหว่าง ความเป็นส่วนตัวและความปลอดภัย (Privacy & Security) กับ การขับเคลื่อนธุรกิจบนพื้นฐานของความไว้วางใจ (Business Accelerator & Trust) ซึ่งสิ่งที่ได้รับกลับมา คือ ความมั่นคงของระบบจัดการข้อมูล และความไว้วางใจของลูกค้าที่มีต่อแบรนด์และตัวองค์กรในระยะยาว


3 มุมมองล้อมกรอบข้อมูลให้ปลอดภัย

ไอเอสเอฟ หรือ Information Security Forum เป็นตัวอย่างหนึ่งที่เสนอแนะการสร้างความมั่นคงปลอดภัยของข้อมูลให้ทนทานต่อภัยคุกคามใน 3 มุมมองที่นำมาประยุกต์ให้รับกับกฎหมาย PDPA ได้แก่

1.ความปลอดภัยต่อตัวข้อมูลโดยตรง (Information Security) เพื่อครอบคลุมสิ่งที่เรียกว่า CIA หมายถึง สิทธิในการเข้าถึงข้อมูลเฉพาะผู้ได้รับอนุญาต (Confidential) ข้อมูลที่จัดเก็บ ส่งต่อ และนำไปใช้ ต้องเป็นข้อมูลที่ถูกต้องและไม่ถูกแก้ไขโดยผู้ไม่มีสิทธิ (Integrity) และผู้มีสิทธิต้องเข้าถึงข้อมูลเพื่อใช้งานได้ตลอดเวลา (Availability)

2.ความปลอดภัยจากภัยคุกคามไซเบอร์ (Cyber Security) เป็นการป้องกันความเสี่ยงที่จะส่งผลกระทบต่อ CIA โดยเฉพาะการเชื่อมต่อออนไลน์ด้วยการเพิ่มเครื่องมือไอทีที่มีประสิทธิภาพ อาทิ การเข้ารหัสข้อมูล (Encryption) การระบุตัวตนก่อนเข้าถึงและใช้งาน (Authentication) หรือ กำหนดสิทธิการเข้าถึงข้อมูล (Authorization)

3.การสร้างระบบให้ทนทานต่อการถูกโจมตี (Cyber Resilience) คือ ระบบที่เท่าทันในการป้องกัน รับมือ และแก้ไขผลกระทบที่เกิดขึ้นให้เร็วที่สุด สร้างความเสียหายน้อยที่สุดด้วยแผนรับมือ 5 ขั้นตอน ได้แก่ ระบุความเสี่ยง (Identification) สร้างกลไกป้องกัน (Protection) มีระบบติดตาม (Detection) เตรียมแนวทางรับมือ (Response) และวางมาตรการกู้คืน (Recovery) ให้กลับมาใช้งานได้ทันท่วงที

เสริมแนวป้องกันเชิงรุกแบบ Zero Trust

ด้วยหลักการ Zero Trust ซึ่งไม่ให้ความไว้วางใจในทุกการเชื่อมต่อจนกว่าจะพิสูจน์ตัวตนได้ถูกต้อง เป็นการกระชับพื้นที่ปลอดภัยให้ทุกข้อมูลจากการโจมตีทั้งในและนอกองค์กร โดยเฉพาะการจัดเก็บข้อมูลนอกองค์กร เช่น บนไฮบริดคลาวด์ การเข้าถึงและเรียกใช้ข้อมูลโดยเครื่องเอนด์พอยต์ที่มากขึ้น อาทิ อุปกรณ์มือถือ (Mobile Devices) อุปกรณ์เคลื่อนที่ในองค์กร (Enterprise Mobility Devices) ที่อาจขโมยข้อมูลไปได้ง่ายเพียงแค่จับภาพหน้าจอ อีกแนวทางหนึ่งของความมั่นคงด้านข้อมูลเชิงรุก คือ การสร้างแนวปฎิบัติการทดสอบเจาะระบบแบบ Intelligence-led Penetration Testing ภายใต้สถานการณ์เสมือนจริง เพื่อขยายผลการตรวจจับช่องโหว่ที่ครอบคลุมทั่วทั้งตัวระบบ เทคโนโลยี ผู้ใช้งาน และขั้นตอนในการปฏิบัติงาน

ส่วนที่สำคัญที่สุดในการเริ่มต้นในปกป้องและบริหารจัดการข้อมูลส่วนบุคคลคือ การที่เราต้องรู้ก่อนว่าข้อมูลที่สำคัญเหล่านั้นอยู่ที่ไหน มีการจัดเก็บที่เหมาะสมหรือไม่ ใครดูแลรับผิดชอบ เพื่อที่จะเตรียมตัวในการบริหารจัดการให้ได้อย่างถูกต้องตามกฎระเบียบ และสามารถนำข้อมูลไปใช้งานได้อย่างมีประสิทธิผล

IBM Security Guardium นับเป็นหนึ่งในเครื่องมือที่ช่วยให้องค์กรสามารถช่วยในเรื่องการบริหารจัดการข้อมูลส่วนบุคคลเหล่านั้นได้เป็นอย่างดี โดยตัวเครื่องมือมีความสามารถดังต่อไปนี้

ประเมินและวิเคราะห์หาช่องโหว่ของระบบตามมาตรฐานความปลอดภัยสากล DoD STIG, CIS, CVE

ค้นหา, จัดประเภทและระบุตำแหน่งข้อมูลส่วนบุคคลที่จัดเก็บในระบบ

กำหนดนโยบายเพื่อควบคุมสิทธิการเข้าถึงข้อมูลของสำหรับพนักงานและแอปพลิเคชั่นที่เกียวข้อง

ตรวจสอบย้อนหลังในการเข้าใช้งานข้อมูลส่วนบุคคล

ปกปิดการแสดงผลข้อมูลบางส่วนด้วยการใช้ Data Redaction หรือ ปกป้องการเข้าถึงข้อมูลด้วยการเข้ารหัส Data Encryption

บริการแจ้งเตือนการละเมิดนโยบาย ผ่านระบบ E-mail, SMS, Syslog

นอกจากนี้เมื่อ BYOD (Bring Your Own Device) กลายมาเป็นส่วนหนึ่งของชีวิตการทำงาน การดูแลอุปกรณ์เอนด์พอยต์จากทุกเครือข่ายที่เชื่อมสู่อินเทอร์เน็ต (Unified Endpoint Management) จึงเป็นสิ่งที่องค์กรไม่อาจจะละเลยได้

IBM MaaS 360 with Watson จึงถูกพัฒนาเพื่อเป็นเครื่องมือการบริหารจัดการ Smart Devices ของพนักงาน เช่น การตรวจสอบสิทธิ บล็อกพฤติกรรมเสี่ยง ส่งข้อความเตือน เพิ่มปัจจัยระบุตัวตนให้มากขึ้น หรือใช้เอไอตรวจสอบแบบอัตโนมัติ เพื่อป้องกันการละเมิดสิทธิที่พร้อมเกิดขึ้นตลอดเวลา รวมถึงสามารถป้องกันข้อมูลรั่วไหลเพื่อให้มั่นใจได้ว่าจะไม่มีข้อมูลหลุดรอดไปถึงผู้ที่ไม่มีสิทธิ์ใช้งาน

ด้วยเครื่องมือที่มาตราฐานสากลในการกำกับดูแลความปลอดภัยของข้อมูล การดำเนินการให้เป็นไปตามกฎหมาย PDPA จึงเป็นเรื่องที่สามารถบริหารจัดการกับข้อมูลส่วนบุคคลได้เป็นอย่างดี ทั้งในด้านการบริหารความเสี่ยง ความโปร่งใสในการบริหารจัดการ นำมาซึ่งความน่าเชื่อถือให้กับองค์กร และเมื่อลูกค้าเกิดความเชื่อมั่นในองค์กร ผลที่ตามมาก็คือความมั่นใจในการเลือกใช้สินค้าและบริการอย่างต่อเนื่อง ทำให้ธุรกิจนั้นมีความมั่นคงและยั่งยืนในระยะยาว