ชั้นที่ 5: ความปลอดภัยของข้อมูล

21 พ.ย. 2566

ข้อมูลเปรียบเสมือนค่าเงินที่มีมูลค่าที่สุดในองค์กรของคุณ และด้วยภัยคุกคามที่เราพบเจอกันอยู่ทุกวันนี้นั้นมีมากมายและหลากหลายรูปแบบ ผู้นำธุรกิจจึงต้องให้ความสำคัญกับการปกป้องข้อมูลเป็นลำดับต้นๆ และหาวิธีควบคุมเพื่อดูแลข้อมูลเหล่านี้

ภัยคุกคามอาจมาจากทั้งภายในและภายนอก ซึ่งอาจรวมถึงการโจมตีทางไซเบอร์ แรนซัมแวร์ ภัยคุกคามจากบุคคลภายใน ความล้มเหลวของเทคโนโลยี ภัยพิบัติทางธรรมชาติ อีเมลล่อลวง และความผิดพลาดของมนุษย์เองก็ตาม องค์กรที่รู้จักปรับตัวตามสถานการณ์ จึงจำเป็นต้องมีกลยุทธ์เพื่อป้องกันการรั่วไหลของข้อมูล และกลยุทธ์เพื่อลดความเสียหายในกรณีที่เกิดการโจมตีขึ้นแล้ว

การเข้ารหัสข้อมูล

ดังที่กล่าวไว้ในหัวข้อก่อนหน้าแล้วว่า ควรนำการเข้ารหัสข้อมูลมาใช้กับเอกสาร ไฟล์ และข้อความ รวมถึงการสื่อสารผ่านเครือข่ายทุกรูปแบบ โดยริโก้ยืนยันว่าอุปกรณ์ ซอฟต์แวร์ และโซลูชันจัดเก็บข้อมูลทุกรูปแบบของริโก้มีการเข้ารหัสตั้งแต่ต้นทางถึงปลายทาง

ถึงแม้ว่าความปลอดภัยของข้อมูลจะเป็นความสำคัญที่สุดสำหรับพนักงานทุกคน แต่คุณก็ไม่สามารถวางใจให้พวกเขาทราบว่าข้อมูลได้รับการเข้ารหัสเมื่อใดหรืออย่างไร การจัดทำนโยบายการเข้ารหัสข้อมูลสำหรับองค์กรของคุณ คุณจำเป็นต้องรู้ก่อนว่า ข้อมูลทั้งหมดจัดเก็บอยู่ที่ใด มีข้อมูลใดบ้างที่เป็นความลับหรือมีคุณค่า (ซึ่งอาจเป็นเป้าหมายของแฮกเกอร์ ) และข้อมูลเหล่านี้อาจก่อให้เกิดความเสี่ยงใดต่อองค์กรได้บ้าง ซึ่งการจัดการข้อมูลที่ไม่มีการจัดระเบียบให้เรียบร้อย และจัดทำแบบประเมินผลกระทบด้านการป้องกันข้อมูลจะช่วยให้คุณพัฒนากลยุทธ์ด้านความปลอดภัยของข้อมูลแบบองค์รวมได้

Cloud Hosting

การนำข้อมูลและโครงสร้างที่กระจัดกระจายไปตามที่ต่างๆ มารวมกันในระบบคลาวด์ระบบเดียว ทำให้สามารถบริหารจัดการและควบคุมได้แบบองค์รวม ตั้งแต่ต้นทางถึงปลายทาง เป็นการปิดช่องโหว่ด้านความปลอดภัย และทำให้การบริหารจัดการมารวมกันที่ศูนย์กลางและถูกต้องยิ่งขึ้น  โมเดลระบบคลาวด์แบบสาธารณะ แบบส่วนตัว และแบบไฮบริดช่วยตอบโจทย์ด้านความปลอดภัยในหลายระดับที่ต่างกัน เพื่อตอบสนองความต้องการของแต่ละองค์กร

Microsoft 365 และ Azure เป็นแพลตฟอร์มระบบคลาวด์ชั้นนำของอุตสาหกรรมนี้ เพราะมีฟังก์ชันด้านความปลอดภัยหลายชั้น อีกทั้งยังมีส่วนเสริมและส่วนขยายอีกมากมาย ตั้งแต่การควบคุมข้อมูลทั้งหมดในแหล่งเดียว ไปจนถึงการแชร์ไฟล์อย่างปลอดภัย การยืนยันตัวตนผู้ใช้งาน และการจัดการตัวตนของผู้ใช้แต่ละราย

การป้องกันแรนซัมแวร์

สำหรับประเด็นเรื่องแรนซัมแวร์ มีสองหัวข้อสำคัญที่เกี่ยวข้อง คือ การป้องกันและการยับยั้ง โซลูชันป้องกันแรนซัมแวร์ทำหน้าที่ตรวจจับเอกลักษณ์และพฤติกรรมของแรนซัมแวร์ และหยุดมันไม่ให้ผ่านขอบเขตของเครือข่ายไปได้ ในขณะที่การยับยั้งแรนซัมแวร์นั้น ช่วยหยุดการระบาดของการเข้ารหัสที่มีวัตถุประสงค์ร้าย หากมันเจาะผ่านการป้องกันเข้ามาได้ ซอฟต์แวร์นี้มุ่งเน้นที่ผลลัพธ์ของแรนซัมแวร์ และการเข้ารหัสที่ไม่ปลอดภัยแบบทันทีทันใด โดยจะหยุดการเข้ารหัสตั้งแต่แหล่งกำเนิดหรือต้นทางของไฟล์ ทำการแยกไฟล์นั้นออกมาและจำกัดการใช้ เพื่อป้องกันการแพร่ระบาด

การยับยั้งแรนซัมแวร์เป็นด่านป้องกันสุดท้ายที่สำคัญในโครงสร้างความปลอดภัยของบริษัท โดยจะช่วยเติมเต็มช่องโหว่ที่อันตรายระหว่างอุปกรณ์ต่างๆ รวมถึงการส่งไฟล์ ซึ่งเป็นจุดที่องค์กรต่างๆ มักขาดการป้องกันไป

การสำรองข้อมูลเพื่อความปลอดภัยและการกู้คืนข้อมูล

ส่วนประกอบสำคัญสำหรับความปลอดภัยของข้อมูล คือ การวางแผนสำหรับเหตุการณ์ที่คาดไม่ถึง ไม่ว่าจะเป็นการโจมตีทางไซเบอร์หรือความผิดปกติของระบบ ดังนั้น คุณจำเป็นต้องมั่นใจว่าคุณสามารถกู้ข้อมูลกลับมาได้อย่างรวดเร็วและครบถ้วน เพื่อให้ทำงานได้ต่อเนื่อง

โซลูชันสำรองข้อมูลที่ปลอดภัยและป้องกันการล้มเหลวได้ดีที่สุด คือ การผสมกสานระหว่างเทคโนโลยีระบบคลาวด์ขั้นสูงและการบริหารจัดการโดยผู้เชี่ยวชาญ จึงเป็นเหตุผลที่หลายองค์กรเลือกใช้บริการจากผู้ให้บริการภายนอก ไม่ว่าจะเป็นการตั้งค่าเริ่มต้น การทดสอบระบบทั่วไป และการกู้คืนข้อมูล ทำให้คุณวางใจได้ว่าข้อมูลของคุณจะปลอดภัยและเข้าถึงได้ไม่ว่าจะอยู่ในสถานการณ์ใดก็ตาม

การประเมินผลการปฏิบัติตาม

บริษัทใดก็ตามที่ต้องปฏิบัติตามกฎ PCI DSS, HIPAA, FINRA, FERPA, GDPR, CCPA, หรือ FFIEC หรือต้องปฏิบัติตามข้อบังคับของโครงสร้าง HITRUST หรือนโยบายด้านความปลอดภัยขององค์กร ควรที่จะมีการพิจารณาบริการด้านไอทีจากผู้เชี่ยวชาญโดยพิจารณาการปฏิบัติตามกฎระเบียบเป็นศูนย์กลาง
บริการประเภทนี้ เป็นตัวช่วยเหลือลูกค้าให้สามารถปฏิบัติตามข้อบังคับต่างๆ ของสหภาพ รัฐ และอุตสาหกรรมได้ ซึ่งประกอบไปด้วย Federal Rules of Civil Procedure (FRCP), กฎหมายการประชุมสาธารณะ พระราชบัญญัติเรื่องอิสระด้านข้อมูล “กฎหมายเพื่อความโปร่งใส” มาตราที่ 17A-4 และ NASD 3010 พระราชบัญญัติเรื่องผู้ให้คำปรึกษาการลงทุน ประจำปี พ.ศ. 2483, Sarbanes-Oxley Act ประจำปี พ.ศ. 2545 (SOX), HIPAA (กฎหมายเรื่องการย้ายและการตรวจสอบความรับผิดชอบของการประกันสุขภาพ) และ GLBA (Gramm-Leach Bliley Act)
มาตรการที่ใช้การปฏิบัติตามเป็นศูนย์กลางประกอบไปด้วย

  • การบันทึกภาพข้อมูล การติดแท็ก  และการเก็บข้อมูลอีเมลและไฟล์แนบแบบถาวรโดยอัตโนมัติ
  • การรักษารูปแบบดั้งเดิมของอีเมล
  • การสุ่มตัวอย่างข้อมูลที่มีการร้องขออย่างรวดเร็วไปยังหน่วยงานที่กำกับดูแล
  • การนำผู้ใช้ออกจากระบบแบบอัตโนมัติ
  • การจัดการอุปกรณ์เคลื่อนที่
  • การแบ่งแยกหน้าที่
  • การแยกระบบสำหรับข้อมูลที่ละเอียดอ่อน
  • เชื่อมโยงสิทธิการเข้าถึงและการตรวจสอบข้อมูลประจำตัวผู้ใช้

Layer 5 Data security

ที่มา:  RICOH USA  

 


News & Events

Keep up to date