Data Security ที่คุณต้องรู้ก่อนบังคับใช้ PDPA
วันที่ 18 ส.ค. 2564
Data Security ที่คุณต้องรู้ก่อนบังคับใช้ PDPA
IT Outsourcing คืออะไร
Personal Data Protection Act (PDPA) คือ พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ฉบับปี พ.ศ. 2562 ซึ่งประกาศบังคับใช้งานแล้วบางส่วน และจะประกาศบังคับใช้เต็มรูปแบบในเร็ว ๆ นี้ PDPA ว่าด้วยเรื่องการคุ้มครองสิทธิการเข้าถึงข้อมูลส่วนบุคคล รวมถึงองค์กรอีกด้วย เนื่องมาจากเทคโนโลยีก้าวหน้าขึ้นทุกวัน ช่องทางสื่อสารต่าง ๆ มีหลากหลายขึ้น ทำให้การละเมิดสิทธิความเป็นส่วนตัวของข้อมูลส่วนบุคคลทำได้ง่ายขึ้น และหลายครั้งการเก็บข้อมมูลโดยรู้เท่าไม่ถึงการณ์ของพนักงานภายในองค์กร ก็อาจจะเป็นการละเมิดสิทธิ PDPA ของพนักงานอย่างไม่ตั้งใจ เพราะองค์กรต่างๆ ต้องมีการเก็บข้อมูล ของลูกค้า พนักงาน และอื่น ๆ อีกมากมาย ฉะนั้นการให้ความสำคัญของ Data Security ในมุมขององค์กร ถือเป็นเรื่องที่ต้องให้ความเข้าใจกับพนักงาน เตรียมตัวตั้งแต่เนิ่น ๆ เพื่อป้องกันความเสียหายที่อาจจะเกิดขึ้น และให้เป็นไปตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลหรือ PDPA มาตรา 37 องค์กรจะต้องมีแนวปฏิบัติที่ดีเพื่อปกป้องรักษาระบบ IT ให้ปลอดภัย โดยมีคำแนะนำสำหรับ Data Security ดังนี้
1. Perimeter protection
บริษัทจะต้องรักษาระบบ IT ให้ปลอดภัยโดยคุ้มครองข้อมูลส่วนบุคคลที่ลูกจ้างเก็บรวมรวมหรือใช้งาน โดยใช้ Firewall ซึ่งเป็นวิธีที่ง่าย firewall เปรียบเสมือนกำแพงความปลอดภัยและเป็นตัวกรอง traffic ทางอินเตอร์เน็ตก่อนที่จะเข้าสู่ระบบคอมพิวเตอร์หรือเครือข่ายภายในบริษัท firewall ที่ดีจะป้องกันองค์กรจากอันตรายจากการเข้าถึงที่ไม่ได้รับอนุญาตทางอินเตอร์เน็ตได้
2. Identity
Data Security ที่สำคัญอีกอย่างคือ การระบุตัวตน (identity) เพื่อการจำกัดการเข้าถึงข้อมูลสำคัญ และอนุญาตให้บุคคลที่มีหน้าที่ดูแลรับผิดชอบในการเข้าถึงข้อมูลนั้นได้ ดังนั้นพนักงานในองค์กรจะต้องได้รับอนุญาตในการเข้าใช้งานก่อน จึงจะเข้าถึงข้อมูลดังกล่าวได้ เพื่อเป็นการป้องกันการเข้าถึงข้อมูลและนำไปใช้ได้อย่างถูกต้อง
3. Access
แนวปฏิบัติที่ดีสำหรับการรักษาความมั่นคงปลอดภัยของข้อมูลต่อมาคือ การเข้าถึงข้อมูลไม่ควรให้ใช้ account ร่วมกัน โดยแต่ละคนควรมี account, username, password ที่แยกออกจากกัน เพื่อให้สามารถติดตามหาสาเหตุจาก log ได้ในกรณีที่ข้อมูลถูกละเมิดนั้นเองค่ะ
4. Password
องค์กรควรมีนโยบายให้พนักงานตั้ง password ที่คาดเดาได้ยาก อาจจะใช้วิธีโดยให้ password ประกอบด้วยตัวอักษร ตัวเลข และสัญลักษณ์ เพื่อป้องกันไม่ให้มีการเข้าถึงโดยไม่ได้รับอนุญาตและให้ปลอดภัยจากการใช้โปรแกรมเดาสุ่ม password (brute force attacks) องค์กรควรจำกัดอัตราการล็อคอินที่ไม่สำเร็จ ซึ่งถ้าพยายามล็อคอินเกินจำนวนที่กำหนด account ก็จะโดนล็อค เพื่อหาข้อผิดพลาดในการใช้งาน พนักงานจะต้องร้องขอไปที่ฝ่ายทีเกี่ยวข้อง เพื่อแจ้งสาเหตุและปลดล็อคการใช้งานต่อไป เป็นการป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตเบื้องต้นที่มีประสิทธิภาพ
5. Endpoint security
เป็นการรักษาความปลอดภัยแบบภาพรวม โดยใช้วิธีการรักษาความปลอดภัยเบื้องต้นอย่างการใช้โปรแกรมแอนตี้ไวรัส องค์กรควรใช้โปรแกรมสแกนเครือข่ายเพื่อตรวจหามัลแวร์และประเมินผลเป็นประจำ นอกจากการใช้โปรแกรมแล้ว สิ่งสำคัญที่ควรทำคือการวิเคราะห์การแจ้งเตือนและแก้ปัญหาการถูกบุกรุกข้อมูล ซึ่งในบางครั้ง เราอาจไม่สนใจการแจ้งเตือนจากโปรแกรมแอนตี้ไวรัส และเมื่อรู้อีกทีว่าข้อมูลรั่วไหลก็สายไปแล้ว การรักษาความปลอดภัยแบบภาพรวมจะช่วยป้องกันความเสียหายต่อองค์กรที่อาจจะเกิดขึ้นได้
6. Patch management
การจัดการ Patch คือ การอัพเดทซอฟต์แวร์ในองค์กรให้ทันสมัยอยู่เสมอ สามารถปรับปรุงการรักษาความปลอดภัยขององค์กรของคุณได้อย่างมาก เพื่อป้องกันช่องโหว่ของระบบที่อาจจะเกิดขึ้นได้ หรือหากซอฟต์แวร์ยังเป็นเวอร์ชั่นเก่า ก็ให้ตรวจสอบและประเมินว่าซอฟต์แวร์ที่ใช้อยู่มีความปลอดภัยเพียงพอหรือไม่
7. Backup management
องค์ประกอบความมั่นคงปลอดภัยของข้อมูล (CIA) ได้แก่ Confidential คือ สิทธิและการเข้าถึงข้อมูล, Integrity คือ ความถูกต้องของข้อมูล และ Availability คือ ความพร้อมใช้งานข้อมูล เมื่อข้อมูลได้รับผลกระทบหรือถูกบุกรุก ข้อมูลสำคัญต่างๆ ขององค์กรอาจจะสูญหาย การจัดการ Backup management อย่างเป็นรูปแบบ จะช่วยลดความเสียหายเมื่อมีการโจมตี จาก มัลแวร์หรือแฮกเกอร์ ได้มากทีเดียว
8. ให้ความรู้พนักงานด้าน Data Security
นโยบายรักษาข้อมูลส่วนบุคคลอีกวิธี ที่ช่วยให้องค์กรทำงานได้อย่างมีประสิทธิภาพด้าน Data Security คือ การฝึกอบรมให้ความรู้ความเข้าใจ แก่พนักงานในองค์กร ให้รู้ถึงสิทธิการเข้าถึงข้อมูลต่าง ๆ ที่ควรจะทำได้ รู้วิธีรับมือกับปัญหาทาง cyber security อย่างสม่ำเสมอ พนักงานในองค์กรอาจมีความรู้จำกัดเกี่ยวกับภัยคุกคามทางไซเบอร์ ซึ่งข้อผิดพลาดของมนุษย์อาจทำให้ข้อมูลส่วนบุคคลรั่วไหลได้ เช่น การส่งอีเมล์ที่มีข้อมูลส่วนบุคคลไปที่ผู้รับผิดคน หรือเปิดอีเมลไวรัส ดังนั้น พนักงานทุกระดับจะต้องรู้หน้าที่ มีความรับผิดชอบและควรเรียนรู้ แยกแยะความแตกต่างของภัยคุกคามแต่ละประเภทได้เบื้องต้น เพื่อป้องกันความเสียหายต่อข้อมูลขององค์กรที่จะเกิดขึ้นได้
9. Data minimization
การจัดเก็บข้อมูลเท่าที่จำเป็น เพื่อเป็นการปฏิบัติตามกฎหมาย PDPA องค์กรจะต้องเก็บรวบรวมข้อมูลส่วนบุคคลให้ถูกต้องแม่นยำและไม่เกินระยะเวลาที่ขอความยินยอมไว้ และอาจจะใช้วิธีป้องกันเพิ่มเติมอย่าง การเข้ารหัสข้อมูล (Data encryption) ทั้ง data at rest และ data in transit จะช่วยป้องกันข้อมูลให้ปลอดภัยจากอาชญากรรมไซเบอร์ ซึ่งในบางองค์กรอาจเก็บรวบรวมข้อมูลส่วนบุคคลจำนวนมากที่ไม่จำเป็นต้องใช้แล้ว จะต้องมีการจัดการอย่างเป็นรูปแบบที่แน่นอน เพื่อให้ข้อมูลที่ไม่ใช้แล้ว สามารถลบข้อมูลและไม่เกิดความเสียหาย การจัดให้ Data Security ด้าน IT ที่มั่นคงปลอดภัยนับว่าเป็นภารกิจที่ท้าทายอย่างยิ่ง และหากองค์กร สามารถวางแบบแผนและรูปแบบการทำงานได้อย่างมีประสิทธิภาพ จะช่วยให้องค์กรของคุณมีความพร้อม คุณจะปฏิบัติได้อย่างถูกต้อง เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล หรือ PDPA ประกาศใช้อย่างเต็มรูปแบบค่ะ
โดย GeniusSoft ให้บริการในการเป็นที่ปรึกษาด้าน Data Security & PDPA Compliance Solutions ซึ่งสามารถให้คำปรึกษา กำหนดกรอบนโยบาย ขั้นตอนการเตรียมพร้อมต่างๆ รวมไปถึงข้อแนะนำเกี่ยวกับ DPO การจัด Workshop Training และแนวปฏิบัติองค์กรด้าน PDPA ได้อย่างครบวงจร ให้สอดคล้องและรองรับกับมาตรฐานสากลอย่าง ISO/IEC 27701:2019 หรือ NIST Framework (ETDA) เพื่อการปฏิบัติตามกฎหมาย PDPA ได้อย่างถูกต้อง และเพื่อสร้างความเชื่อมั่นในองค์กรไม่เพียงแค่กับพนักงานในองค์กร แต่รวมถึงลูกค้าของคุณอีกด้วย หากลูกค้าสนใจสามารถสอบถามข้อมูลเพิ่มเติมได้ที่…..
Contact Us