ใครเป็นคนรับผิดชอบเรื่องการรักษาความปลอดภัยและความเป็นส่วนตัวของระบบคอมพิวเตอร์

เราทุกคนต้องรับผิดชอบร่วมกันและเป็นการเฉพาะรายบุคคล

ในองค์กรหลาย ๆ แห่งหลายคนเข้าใจว่าการรักษาความปลอดภัยของระบบคอมพิวเตอร์คือหน้าที่ของ CISO เท่านั้น และความเป็นส่วนตัวคือสิ่งที่ฝ่ายควบคุมมาตรฐานเท่านั้นต้องรับผิดชอบ หากไม่มีการรับผิดชอบร่วมกันด้านการรักษาความปลอดภัยและความเป็นส่วนตัวของระบบคอมพิวเตอร์ ข้อมูลของเราก็จะไม่มีวันปลอดภัยและหากมีความผิดพลาดเกิดขึ้น เราก็จะต้องรับผิดชอบร่วมกันและแยกเป็นรายบุคคลด้วย

ในองค์กรเหล่านี้ ฝ่ายบริหารระดับสูงมักพลาดในการใส่ใจด้านมาตรการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลอย่างจริงจัง หลายครั้งคนเหล่านี้เชื่อว่านี่เป็นหน้าที่ที่สามารถมอบหมายให้แก่ CISO หรือ DPO (หัวหน้าฝ่ายปกป้องข้อมูล) ทำให้บุคลากรอื่น ๆ มองข้ามในเรื่องนี้ หากฝ่ายบริหารระดับสูงยังมีทัศนคติเช่นนี้ ก็ไม่น่าแปลกใจที่ความคิดแบบนี้จะฝังลึกอยู่ในองค์กรทั้งหมดถึงพนักงานในทุกระดับ ทำให้ทุกคนไม่ใส่ใจในเรื่องนี้อย่างจริงจังไปด้วย

3 สิ่งที่องค์กรต่าง ๆ ควรพิจารณา:

1. หากผู้จัดการฝ่ายจัดซื้อของคุณเลือกใช้อุปกรณ์ที่ไม่มีการเข้ารหัส

หากมีการจัดซื้อไดร์ฟ USB, SSD หรือ IoT แบบไม่เข้ารหัสโดยพิจารณาจากราคาเป็นเกณฑ์สำคัญมากกว่าด้านความปลอดภัยหรือฟังก์ชั่นการเข้ารหัสเชิงฮาร์ดแวร์ อุปกรณ์ที่ไม่มีการเข้ารหัสเหล่านี้ก็อาจทำให้เกิดช่องโหว่ในระบบคอมพิวเตอร์ขึ้น และทำให้หน่วยงานทั้งหมดสุ่มเสี่ยงต่อการละเมิดข้อมูล

2. หากพนักงานมีการเวียนใช้รหัสผ่านหรือใช้ทางลัดเพื่อข้ามระบบความปลอดภัย

หากพนักงานไม่ปฏิบัติตามมาตรการรักษาความปลอดภัยระบบคอมพิวเตอร์ขั้นพื้นฐานและไม่ใส่ใจเกี่ยวกับรหัสผ่านหรือเอกสารแนบอีเมล พวกเขากำลังทำให้หน่วยงานทั้งหมดอยู่ในภาวะเสี่ยง อาชญากรคอมพิวเตอร์มักมองหาจุดอ่อนหรือรหัสผ่านที่เดาได้ใช้ โดยอาศัยการแอบอ้างแบบต่าง ๆ เพื่อเจาะระบบรักษาความปลอดภัยของเป้าหมาย ต่อไปนี้เป็นหนึ่งในการคุกคามที่พบได้บ่อยต่อระบบคอมพิวเตอร์

3. หาก CMO มีการใช้งานข้อมูลส่วนตัวอย่างไม่ระมัดระวัง

GDPR กำหนดให้มีการรวบรวมข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมภายใต้วัตถุประสงค์ที่แจงเท่านั้น หากคุณมีการแสวงหาหรือแชร์ข้อมูลที่ขัดต่อกฎหมาย คุณกำลังทำให้ตนเองเสี่ยงต่อการถูกปรับหรือฟ้องร้อง

เราทุกคนจะต้องจริงจังเกี่ยวกับมาตรการรักษาความปลอดภัยของระบบคอมพิวเตอร์และความเป็นส่วนตัวของข้อมูล

หากคุณพบว่าหน่วยงานมีการใช้ไดร์ฟ USB, SSD หรืออุปกรณ์ IoT ที่ไม่มีการเข้ารหัส คุณจะต้องแจ้งเหตุดังกล่าว หากพบว่าเพื่อนร่วมงานไม่ได้ใช้ระบบคอมพิวเตอร์อย่างเหมาะสม ให้แจ้งเหตุดังกล่าว หากพบเห็นทีมงานฝ่ายการตลาดใช้ข้อมูลลูกค้าอย่างไม่เหมาะสม คุณจะต้องแจ้งเหตุดังกล่าว

การปรับเปลี่ยนวัฒนธรรมองค์กรคือสิ่งสำคัญ

หากเราต้องการปรับเปลี่ยนทัศนคติของตนเองและทำให้ทุกคนใส่ใจด้านการรักษาความปลอดภัยของระบบคอมพิวเตอร์และความเป็นส่วนตัวของข้อมูลในทุก ๆ ด้าน สิ่งสำคัญคือการปรับวัฒนธรรมองค์กรอย่างจริงจัง

มีสิ่งจูงใจมากมายที่องค์กรสามารถจัดให้แก่บุคลากรของตน มีข้อพิสูจน์ที่ชัดเจนว่า ลูกค้าจะพร้อมร่วมธุรกิจกับหน่วยงานที่ใส่ใจข้อมูลของพวกเขา และจะหลีกเลี่ยงหน่วยงานที่ละเลยในด้านนี้ การรักษาความเชื่อมั่นของลูกค้าและหลีกเลี่ยงสถานการณ์ด้านการรักษาความปลอดภัยของระบบคอมพิวเตอร์ที่จะกระทบต่อความเชื่อมั่นนี้คือสิ่งที่เราจะต้องให้ความสำคัญในระดับสูงสุด

นอกจากนี้ยังมีข้อจำกัดหลายประการที่ทำให้หน่วยงานต่าง ๆ ไม่ใส่ใจด้านการปกป้องข้อมูล เช่น GDPR กำหนดค่าปรับสูงสุดไว้ที่ €20 ล้านหรอ 4% ของรายได้รวมทั่วโลกต่อไป (พิจารณาจำนวนที่มากกว่า) สำหรับทุกเหตุที่เกิดขึ้นแยกเป็นกรณีไป ค่าใช้จ่ายในการแก้ไขปัญหาที่เกิดขึ้นอาจเป็นจำนวนมหาศาล และการโจมตีจากแรนซัมแวร์ก็อาจทำให้อาชญากรคอมพิวเตอร์มีข้อต่อรองในการเรียกเงินเป็นจำนวนมาก คุณอาจถูกฟ้องร้องจากบุคคลที่ถูกละเมิดข้อมูลด้วยเช่นกัน

นอกจากนี้ยังมีการกำหนดบทลงโทษใหม่ ๆ สำหรับบุคคลอย่างตอเนื่องนอกเหนือจากที่กำหนดไว้ภายในองค์กร กรณีเมื่อเร็ว ๆ นี้ในสหรัฐฯ ถือเป็นกรณีความปลอดภัยของระบบคอมพิวเตอร์รูปแบบใหม่ที่คณะกรรมการบริษัทและ CISO ถูกฟ้องคดีแยกเฉพาะเป็นรายบุคคล รายงานจากนักวิเคราะห์ของ Gartner คาดการณ์ว่าต่อไป CEO เองก็อาจถูกฟ้องคดีเป็นรายบุคคลเช่นกันสำหรับคดีเกี่ยวกับระบบคอมพิวเตอร์

ในฐานะประชาชนทั่วไปและลูกค้า เราจึงคาดหวังให้หน่วยงานมีการปกป้องข้อมูลของเรา และเมื่อเรามีความรับผิดชอบต่อข้อมูลของบุคคลอื่นเหล่านี้ มาตรฐานในการดำเนินงานของเราก็จะสูงขึ้นไปเรื่อย ๆ เราควรมีความใส่ใจทั้งร่วมกันและเป็นรายบุคคล โดยระลึกไว้เสมอว่าทุกคนอาจต้องรับผิดชอบต่อเหตุที่เกิดขึ้นทั้งสิ้น เราทุกคนควรมีความตั้งใจจริงในการปกป้องข้อมูล เพราะว่านี่คือสิ่งที่ถูกต้อง

#KingstonIsWithYou