ในปัจจุบันเราจะพบว่าบุคคลที่ร่ำรวยระดับบิลเลียนแนร์ (พันล้านดอลลาร์สหรัฐ) หรือ ระดับหมื่นล้านบาท หรือในระดับ Top 10 ของโลกนั้น ส่วนใหญ่เป็นเจ้าของบริษัทด้านเทคโนโลยีและข้อมูลทั้งสิ้น ซึ่งหากเทียบกับช่วงระยะเวลา 20 ปีที่ผ่านมานั้น ส่วนใหญ่จะเป็นธุรกิจเกี่ยวกับน้ำมัน หรือพลังงานเป็นหลัก จึงสามารถกล่าวได้ว่า ณ ปัจจุบัน “ข้อมูล” มีค่าไม่ต่างกับน้ำมัน หรือที่เรียกว่า “Data is a New Oil” ซึ่งในปัจจุบันข้อมูลกลายเป็นตัวกลางในการขับเคลื่อนธุรกิจ เศษฐกิจด้านดิจิทัลและนวัตกรรมต่าง ๆ ของโลก ทำให้เกิดรายได้มหาศาลชนิดที่สามารถเรียกได้ว่า “เปลี่ยนชีวิตในช่วงข้ามคืนกันเลยทีเดียว” ทำให้เศรษฐีหรือมหาเศรษฐี ถูกสร้างขึ้นเป็นรายวันหรือรายชั่วโมงเลยก็ว่าได้
ในปัจจุบันข้อมูลต่าง ๆ เป็นสิ่งที่ทุกองค์กรต้องการ โดยมีการนำข้อมูลไปใช้งานไม่ว่าจะเป็นการจัดเก็บ ประมวลผล หรือเผยแพร่ ซึ่ง ข้อมูลส่วนบุคคลก็เป็นอีกหนึ่งข้อมูลที่มีการนำมาใช้งานกันอย่างมากมาย ไม่ว่าจะเป็นข้อมูลส่วนบุคคล ข้อมูลด้านความคิด ความต้องการด้านต่างๆ หรือ ข้อมูลที่มีอ่อนไหวของบุคคลนั้น ๆ ยิ่งองค์กรมีการใช้งานข้อมูลเหล่านี้มากเพียงใดก็มีโอกาสสร้างมูลค่าและรายได้ให้กับองค์กรอย่างมหาศาลเท่านั้น โดยส่วนใหญ่จะพบว่าข้อมูลถูกนำไปใช้ในการวิเคราะห์ความต้องการของคน เพื่อที่องค์กรจะสร้างบริการต่าง ๆ ขึ้นมาเพื่อตอบสนองต่อความต้องการต่าง ๆ ของคนเรามากขึ้น
เมื่อข้อมูลต่างเป็นที่ต้องการในการใช้งานมากขึ้นในปัจจุบัน โดยเฉพาะข้อมูลส่วนบุคคลและข้อมูลอ่อนไหว ทำให้องค์กรต่าง ๆ จำเป็นต้องมีการลงทุนในระบบโครงสร้างพื้นฐานสารสนเทศไม่ว่าจะเป็นระบบเครือข่าย ระบบสนับสนุน สำหรับจัดเก็บข้อมูลสำคัญต่าง ๆ ที่องค์กรมีอยู่ ซึ่งในอนาคตข้อมูลจะมีเพิ่มมากขึ้น ทำให้องค์กรต่าง ๆ ที่เก็บข้อมูลอยู่นั้นจำเป็นต้องรู้ว่าข้อมูลที่เก็บอยู่ มีความสำคัญและจัดข้อมูลต่าง ๆนั้นจัดอยู่ในข้อมูลประเภทใดและมีข้อกำหนดหรือข้อบังคับทางด้านกฎหมายอย่างไรที่มีส่งผลกระทบต่อการเก็บรวบรวม การประมวลผลและการเผยแพร่ข้อมูลหรือไม่
ดังนั้นสิ่งที่ทำให้องค์กรจำเป็นต้องตระหนักคือ “ภัยคุกคามด้านความมั่นคงปลอดภัยสารสนเทศ” ที่เกิดขึ้นนั้น มีที่มาอย่างไร มาจากช่องทางใด มีวิธีการโจมตีอย่างไรและเกิดขึ้นที่ใดได้บ้าง เพื่อนำมาเป็นองค์ประกอบที่สำคัญในการประเมินความเสี่ยง เพื่อจัดหาวิธีการ มาตรการและหรือกระบวนการในการป้องกันภัยคุกคามที่จะเกิดขึ้น ซึ่งนอกเหนือจากภัยคุกคามที่จะเกิดขึ้นจากผู้ไม่ประสงค์ดีแล้ว องค์กรยังจำเป็นต้องเรียนรู้เกี่ยวกับข้อกำหนด นโยบาย ระเบียบ ข้อบังคับต่าง ๆ ทางด้านกฎหมาย เช่น พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พระราชบัญญัติการรักษาความมั่นคงปลอดภัยไซเบอร์ หรือกฎหมายคุ้มครองข้อมูลส่วนบุคคลของยุโรปหรือ GDPR (General Data Protection Regulation) อีกด้วย
โดยก่อนหน้าที่จะมีการประกาศ กฎระเบียบ ข้อบังคับและกฎหมาย ออกมานั้น ทั่วโลกมีการละเมิดการใช้งานหรือการเปิดเผยข้อมูลต่าง ๆ มากมายโดยไม่ได้รับอนุญาต รวมถึงข้อมูลส่วนบุคคลและข้อมูลอ่อนไหว ซึ่งเหตุการณ์ส่วนใหญ่เกิดจากการโจรกรรมจากผู้ไม่ประสงค์ดีจากภายนอก โดยบางครั้งองค์กรปราศจากการเฝ้าระวัง ตรวจจับ การแก้ไขและแจ้งเตือนที่มีประสิทธิภาพที่ดีเพียงพอ ต่อเหตุการณ์ละเมิดเหล่านั้น ทำให้เจ้าของข้อมูลส่วนบุคคลต่าง ๆ นั้นต้องเผชิญกับความเสี่ยงต่อการสูญเสียข้อมูลส่วนบุคคล ซึ่งอาจสร้างความเสียหายต่อ ชื่อเสียง ทรัพย์สิน และชีวิตของเจ้าของข้อมูลได้ ซึ่งบางเหตุการณ์อาจส่งผลกระทบต่อระบบโครงสร้างพื้นฐานต่าง ๆ ที่มีความสำคัญกับประเทศ
การที่มีข้อกำหนดทางกฎหมายและการบังคับใช้งานทั่วโลกนั้น ทำให้การเป็นการกระตุ้นความรับผิดชอบขององค์กรต่อการใช้งานข้อมูลส่วนบุคคลหรือข้อมูลอื่น ๆ เพราะด้วยกฎหมายมีมาตรการกำหนดให้องค์กรนั้นต้องปฏิบัติตาม หากไม่ปฏิบัติตามก็จะมีบทลงโทษ ทั้งในส่วนที่เป็นบทลงโทษทางอาญา แพ่ง หรือบทปรับ ตามแต่กฎหมายของแต่ละประเทศ ทำให้องค์กรเกิดความตระหนักในการหามาตรการ แนวทางปฏิบัติ เครื่องมือ ระบบสารสนเทศ หรือมาตรฐาน ที่เกี่ยวข้องเพื่อมาประยุกต์ใช้กับองค์กร เพื่อช่วยลดความเสี่ยงต่อภัยคุกคามของข้อมูลส่วนบุคคล รวมถึงเพื่อเพิ่มความน่าเชื่อถือ ความเชื่อมั่น ความไว้วางใจ ของพนักงาน ลูกค้าและหรือผู้มีส่วนเกี่ยวข้อง ต่อการปกป้องข้อมูลสารสนเทศขององค์กร
ดังนั้นเพื่อให้มีความมั่นคงปลอดภัยต่อข้อมูลสารสนเทศ องค์กรจำเป็นต้องทราบถึง ภัยคุกคาม (Threat) ช่องโหว่ของระบบสารสนเทศและข้อมูล (Vulnerability) และความเสี่ยง (Risk) ด้านความมั่นคงปลอดภัยที่จะเกิดขึ้นต่อองค์กร เพื่อหาวิธีป้องกันจากการถูกโจมตีด้านต่าง ๆ และควรพิจารณาการป้องกันความปลอดภัยของข้อมูลสารสนเทศ ทั้งใน ด้านการรักษาความลับ (Confidentiality) ด้านความถูกต้องครบถ้วนสมบูรณ์ (Integrity) และความพร้อมใช้งาน (Availability) หรือที่เรียกสั้น ๆ ว่า “CIA” นั่นเอง
สิ่งสำคัญที่ช่วยให้เกิดความมั่นคงปลอดภัยสารสนเทศนั้นประกอบด้วย 1. คน (People) 2. กระบวนการ (Process) 3. เทคโนโลยี (Technology) ซึ่งเป็นองค์ประกอบที่สำคัญที่องค์กรควรพิจารณาถึงความพร้อมในแต่ละด้าน ยกตัวอย่างเช่น บุคลากรในองค์กรนั้นมีความรู้ ความสามารถ หรือความเข้าใจ ในด้านการปกป้องข้อมูลส่วนบุคคลมากน้อยเพียงใด หรือองค์กรมีนโยบาย แนวทางปฏิบัติ ต่อการเก็บรวมรวม การประมวลผล และการเผยแพร่ ของข้อมูลส่วนบุคคลอย่างไร รวมถึงองค์กรมีการใช้เครื่องมือใดในการช่วยเหลือ เฝ้าระวัง ตรวจจับ และป้องกันการรั่วไหลของข้อมูล ซึ่งการกระทำเหล่านี้เพื่อช่วยให้มั่นใจว่าองค์กร จะมีความพร้อมต่อภัยคุกคามที่จะเกิดขึ้นในอนาคต
ซึ่งบทความนี้เป็นเพียงบทนำ เกริ่นให้คุณผู้อ่านมองเห็นถึงความสำคัญและวิธีการบริหารจัดการข้อมูลและความมั่นคงปลอดภัยข้อมูลที่องค์กรจำเป็นต้องสร้างให้เกิดขึ้นและมีประสิทธิภาพมากขึ้นหากไม่อยากเผชิญต่อการถูกโจรกรรมและการละเมิดการใช้งานข้อมูลส่วนบุคคล โดยในบทความต่อ ๆ ไป จะอธิบายถึงหลักการและวิธีการป้องกันและเทคนิคต่าง ๆ รวมถึงข้อกำหนดทางด้านกฎหมาย ที่จำเป็นต่อองค์กร ……..
Tag: Data Privacy Security PDPA Compliance CIA PPT
