เช็คความพร้อมระบบไอที ก่อน ‘PDPA' บังคับใช้

เชื่อว่าหลายองค์กรในขณะนี้ต่างมีความเข้าใจถึงความสำคัญของการบังคับใช้พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ “PDPA” ซึ่งหัวใจสำคัญอยู่ที่ "การจัดการข้อมูลส่วนบุคคล" ซึ่งจะเป็นการเสริมความมั่นคงปลอดภัยและความมั่นใจให้กับลูกค้าหรือผู้ใช้งาน

วรเทพ ว่องธนาการ ผู้จัดการฝ่ายสนับสนุนด้านโซลูชั่น บริษัท ยิบอินซอย จำกัด กล่าวว่า เพื่อเป็นการส่งท้ายก่อนกฎหมายจะมีผลบังคับใช้อย่างเป็นทางการในกลางปีนี้ ขอเชิญชวนองค์กรมาเช็คความพร้อมของระบบไอทีไม่ให้ตกหล่น รวมถึงเครื่องมือสำคัญที่ต้องมีเพื่อให้การดำเนินการตามกฎหมายมีประสิทธิภาพและปลอดภัย

ประการแรก “เครื่องมือค้นหาและจัดประเภทข้อมูล (Data Discovery and Classification)” เนื่องจากแต่ละองค์กรต่างมีการจัดเก็บและเรียกใช้และปรับปรุงข้อมูลจำนวนมากกระจัดกระจายอยู่ในระบบทั้งในองค์กร นอกองค์กร บนคลาวด์ หรือแม้ในปลายทาง หรือ เอนด์พอยต์ ดังนั้น การค้นหาและจัดประเภทข้อมูล จึงเป็นก้าวเริ่มต้นที่สำคัญในการวางระบบความปลอดภัยให้ข้อมูล

“เราคงไม่สามารถคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลใดๆ ได้เลยหากไม่รู้ว่าข้อมูลนั้นอยู่ที่ไหน ข้อมูลใดสำคัญ หรือไม่สำคัญ และควรกำหนดแนวทางคุ้มครองอย่างไร”

เขากล่าวว่า การมีเครื่องมือไอทีที่ดีในการจัดทำคลังข้อมูลส่วนบุคคล นับเป็นการสร้างกระบวนการบริหารเชิงรุกไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์หรือผิดกฎหมาย ไม่ว่าจะเป็นการเพิ่มประสิทธิภาพในการค้นหา ระบุตำแหน่งที่จัดเก็บ และคัดแยกประเภทของข้อมูลส่วนบุคคลในระบบ

นอกจากนี้ การกำหนดสิทธิในการเข้าถึงผ่านการกำกับดูแลได้จากจุดเดียว สามารถติดตามกิจกรรมที่เกิดขึ้นกับการเรียกหรือใช้งานข้อมูลเหล่านั้นได้ทั้งการตรวจสอบย้อนหลัง หรือป้องปรามโดยการแจ้งเตือนทันทีที่เกิดการละเมิดนโยบายหรือข้อตกลง รวมถึงป้องกันการเข้าถึงข้อมูลด้วยการเข้ารหัส หรือเพิ่มการวิเคราะห์ตรวจประเมินช่องโหว่ตามมาตรฐานความปลอดภัยสากลต่างๆ เช่น DoD STIG, CIS, CVE

สกัดข้อมูลรั่วไหล

ที่สำคัญ “เครื่องมือป้องกันการรั่วไหลของข้อมูล (Breach Management)” แนวทางป้องกันข้อมูลไม่ให้เกิดการรั่วไหลได้อย่างมีประสิทธิภาพ ควรดำเนินการควบคู่กันทั้งสองด้าน ได้แก่ การติดตั้งเครื่องมือหรือแพลตฟอร์มใน การจัดการกับระบบจัดเก็บข้อมูล เพื่อรองรับปริมาณข้อมูลที่กำลังเพิ่มขึ้นอย่างรวดเร็วให้สามารถขยายการใช้งานได้ไม่จำกัด และสามารถทำการสำรองและกู้คืนข้อมูล

พร้อมกันนี้ สามารถตรวจจับภัยคุกคามตัวป่วนอย่างแรนซั่มแวร์ได้อย่างมีประสิทธิภาพ ที่สำคัญควรเป็นแพลตฟอร์มที่รองรับการทำงานร่วมกับโซลูชั่นจัดเก็บข้อมูลและฐานข้อมูลหลากหลาย รวมถึงคลาวด์ต่างๆ เพื่อการลงทุนที่คุ้มค่าและใช้งานกันไประยะยาว

นอกจากนี้ “เครื่องมือการร่วมตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cross-Layer Detection and Response)” การมีระบบร่วมตรวจจับภัยคุกคามหลายช่องทางที่อยู่บนระบบคอมพิวเตอร์ ไม่ว่าภัยคุกคามที่แฝงตัวมากับ อีเมล์ ระบบเครือข่าย และ อุปกรณ์ปลายทาง เช่น เซิร์ฟเวอร์ เครื่องคอมพิวเตอร์ คลาวด์ ไอโอที จะทำให้ให้องค์กรมีมุมมองในเรื่องทิศทางการโจมตีของภัยคุกคามที่หลากหลาย สามารถตรวจจับได้อย่างแม่นยำ และรวดเร็วมากยิ่งขึ้น

ขณะเดียวกัน โซลูชั่นในการจัดการกับอุปกรณ์ปลายทาง (Endpoint) โดยเฉพาะบีวายโอดีที่มีแนวโน้มการใช้งานเพิ่มขึ้นหลายเท่าตัวในทุกๆ ปี ให้มีความครบครันในแบบยูนิฟายด์ เอนด์พอยต์ จะทำให้สามารถตรวจจับหรือปิดกั้นการใช้แอพพลิเคชั่นหรือบริการที่สุ่มเสี่ยงให้เกิดภัยคุกคามตามมา

จัดการ 'ข้อมูลคำยินยอม'

สุดท้าย “เครื่องมือในการจัดการกับฐานข้อมูลคำยินยอม (Consent Management)” ข้อมูลอีกประเภทหนึ่งที่จะเติบโตมากขึ้นหลังการบังคับใช้กฎหมาย คือ ฐานข้อมูลคำยินยอมที่องค์กรธุรกิจกับลูกค้าจะต้องกระทำต่อกันเพื่อให้เกิดผลคุ้มครองข้อมูลส่วนบุคคล

องค์กรจึงต้องมีเครื่องมือที่มาช่วยจัดทำระบบฐานข้อมูลคำยินยอม(Consent) เพื่อกำหนดสิทธิของเจ้าของข้อมูลในการเข้าถึง ทบทวนหรือแก้ไขข้อมูลของตัวเอง มีระบบให้บริการจัดทำ ติดตาม ตรวจสอบ หรือเก็บรวบรวมคำยินยอมต่างๆ ที่เกิดขึ้นตามกระบวนการทำงาน หรือการดำเนินธุรกิจขององค์กรอย่างเป็นทางการ

รวมทั้งการขอความยินยอมในการจัดเก็บไฟล์คุกกี้ หรือ ข้อมูลของผู้ใช้งาน (Cookie Consent) กรณีเข้าชมเว็บไซต์ ซึ่งตามกฎหมายถือว่าเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ต้องมีการขอคำยินยอมก่อนใช้ โดยเจ้าของข้อมูลสามารถขอแก้ไข ยกเลิกหรือถอนคำยินยอมเมื่อไหร่ก็ได้ หากองค์กรไม่ปฏิบัติให้ถูกต้องก็จะมีบทลงโทษทางกฎหมายเช่นเดียวกัน

“องค์กรใดที่มีความพร้อม นับเป็นอีกหนึ่งการันตีถึงความเชื่อมั่นและภาพลักษณ์ทางธุรกิจที่ยึดโยงถึงประโยชน์และความมั่นคงปลอดภัยของลูกค้าเป็นสำคัญ”