การปกป้ององค์กรในโลกของการทำงานยุคใหม่

11 เม.ย. 2567

เมื่อการละเมิดข้อมูล (Data Breach) เป็นคำนิยมที่พูดกันอย่างแพร่หลาย สิ่งนี้เป็นเรื่องสำคัญมากต่อการวางแผนกลยุทธ์เรื่องการรักษาความปลอดภัยของข้อมูล

องค์กรของคุณเคยถูกละเมิดข้อมูลที่สำคัญหรือไม่?

หากยังไม่เคย ถือเป็นเรื่องที่น่ายินดี

แนวโน้มเรื่องการละเมิดข้อมูลมีการเพิ่มขึ้นในทุกๆปี โดยปี พ.ศ. 2558 เป็นปีที่ต้องจดจำในเรื่องการอาชญากรรมทางไซเบอร์ มีการรายงานเรื่องการละเมิดข้อมูลมากกว่า 700 ครั้ง ในการสำรวจของผู้เชี่ยวชาญทางด้าน IT ครั้งล่าสุด พบว่ามีผู้ประสบเหตุด้านความปลอดภัยของข้อมูลถึง 90%"

อ้างอิงจากข้อมูลตัวเลขนี้ ไม่แปลกใจเลยที่ความปลอดภัยถือเป็นปัญหาใหญ่สำหรับองค์กรขนาดใหญ่ซึ่งมีการใช้งบประมาณหลายล้านในการลงทุนเกี่ยวกับเรื่องการประเมินความปลอดภัยและปรับปรุงเครือข่ายขนาดใหญ่อย่างต่อเนื่อง

การดำเนินการเช่นนี้ไม่ใช่เรื่องที่ผิดหรือเรื่องที่แย่ แน่นอนว่าการประเมินความปลอดภัยและค้นหาจุดที่เกิดความเสี่ยงจะดีสำหรับการวางแผนรับมือกับปัญหาที่จะเกิดขึ้น อย่างไรก็ตาม มีความเชื่อว่ามีวิธีการที่ดีกว่าในการเสริมสร้างความปลอดภัยให้กับข้อมูลโดยเริ่มจากข้อมูลของคุณเอง

ประเมินที่ความเสี่ยง ไม่ใช่ที่ความปลอดภัย

แทนที่จะวางแผนกลยุทธ์จากผลการประเมินด้านความปลอดภัย องค์กรควรจะทำการประเมินเรื่องความเสี่ยงให้รอบด้านก่อนวางแผนกลยุทธ์ แม้การประเมินความปลอดภัยจะเป็นขั้นตอนที่สำคัญก็ตาม เรายังต้องการข้อมูลให้มากพอในการกำหนดกลยุทธ์

ขั้นตอนการประเมินสามารถช่วยค้นหาสาเหตุของการละเมิดข้อมูลและช่องโหว่ที่ทำให้การละเมิดเกิดขึ้นซึ่งเป็นข้อมูลที่สำคัญมาก อย่างไรก็ตามหลายองค์กรอาจมองข้ามขั้นตอนที่สำคัญนี้ไป ยกตัวอย่างเช่น การละเมิดข้อมูลทางการเงินและข้อมูลส่วนตัวจากฐานข้อมูลลูกค้าซึ่งจะมีผลกระทบรุนแรงมากกว่าการละเมิดข้อมูลความลับของบริษัท เช่น แผนการออกสินค้าใหม่ เป็นต้น

การประเมินความเสี่ยงช่วยให้องค์กรสามารถจัดประเภทของข้อมูล ทั้งข้อมูลที่สำคัญและไม่สำคัญ การประเมินควรประกอบด้วยการวิเคราะห์ข้อมูลเชิงปริมาณโดยการกำหนดค่าให้ข้อมูลนั้นๆ และผลการทบที่จะเกิดขึ้นเมื่อข้อมูลนั้นถูกละเมิด ดังนั้นการประเมินความเสี่ยงจึงเป็นสิ่งที่จำเป็นต่อการประเมินด้านความปลอดภัย

การปกป้องสิ่งที่สำคัญ

การใช้วิธีนี้มีประโยชน์ต่อองค์กรอยู่หลายประการ ประการแรกคือการช่วยให้องค์กรสามารถปรับแต่งโซลูชันด้านความปลอดภัยให้เหมาะสมกับความต้องการโดยไม่ต้องใช้งบประมาณมากจนเกินไป

ผู้ให้บริการส่วนใหญ่มักจะให้บริการแพ็กเกจแบบเหมา (one-size-fits-all) (หรือแพ็กเกจแบบลำดับขั้นที่มีฟีเจอร์ให้ใช้มากขึ้นเมื่อคุณยินดีจ่ายเงินเพิ่มขึ้น) ซึ่งจะช่วยคุ้มครองเครือข่ายขององค์กรได้อย่างทั่วถึง"
ด้วยการประเมินความเสี่ยง องค์กรจะสามารถทำความเข้าใจจุดเปราะบางและความสำคัญของข้อมูลในแต่ละส่วนทำให้พวกเขาสามารถเลือกโซลูชันด้านความปลอดภัยที่เหมาะสมกับความต้องการได้

ในส่วนของประเด็นถัดมา: การประเมินความเสี่ยงเป็นวิธีที่ดีที่สุดที่ช่วยปกป้องข้อมูลทางธุรกิจที่สำคัญของคุณ หากไม่ทราบว่าข้อมูลใดมีความสำคัญและข้อมูลใดไม่สำคัญ ผู้ดูแลระบบ IT ก็จะปกป้องเครือข่ายให้ทั่วถึงได้อย่างยากลำบาก

ด้วยการแยกแยะข้อมูล องค์กรจะสามารถโยกย้ายทรัพยากรเพื่อใช้ในการปกป้องข้อมูลที่สำคัญได้มากยิ่งขึ้น ดังนั้นถึงแม้ว่าพวกเขาจะกลายเป็นเหยื่อของการละเมิดข้อมูล แต่ข้อมูลสำคัญของพวกเขาจะยังถูกเก็บรักษาไว้อย่างปลอดภัย

ข้อสรุปก็คือวิธีการดังกล่าว จะมีขอบเขตความสามารถที่กว้างขวางมากกว่าการประเมินด้านความปลอดภัย สิ่งนี้มีความสำคัญสำหรับองค์กรที่มีพนักงานจำนวนหลักสิบจนถึงหลายแสนคน พนักงานแต่ละคนมีขอบเขตหน้าที่การทำงานของตนเองซึ่งจะไม่ใช่การทำงานเพียงเพื่อธุรกิจโดยรวมเท่านั้น

ด้วยเหตุนี้ จึงอยากแนะนำให้องค์กรเชิญพาร์ทเนอร์ที่มีความเชี่ยวชาญจากภายนอกเข้ามาเพื่อดำเนินการประเมินความเสี่ยงแทนที่จะดำเนินการด้วยตนเอง เนื่องจากแต่ละแผนกมักจะมีโครงสร้างพื้นฐานที่ไม่เอื้ออำนวยต่อการประเมินความเสี่ยงมากนัก และองค์กรมักจะมีปัญหาการเมืองภายในบริษัทด้วย

ดังนั้นมุมมองจากบุคคลภายนอกจึงมีความจำเป็นเพื่อทำให้เกิดความเข้าใจภาพรวมของธุรกิจและวิธีการที่ดีที่สุดในการปกป้ององค์กรจากการคุกคามภายนอกผ่านการสร้างกลยุทธ์ด้านความปลอดภัยของข้อมูล

Protect your organization

ที่มา:  RICOH USA  

 


News & Events

Keep up to date