ภาพมืออยู่ด้านหลังกุญแจพร้อมแผงวงจรและสายเครือข่าย รวมทั้งภาพทิวทัศน์ในเมืองเป็นพื้นหลัง

ใครเป็นคนรับผิดชอบเรื่องการรักษาความปลอดภัยและความเป็นส่วนตัวของระบบคอมพิวเตอร์

ม.ค. 2021
By Bill Mew
หน้าแรกของบล็อก

#KingstonCognate ขอแนะนำให้รู้จักกับ Bill Mew

ภาพของ Bill Mew

Bill Mew คือผู้นำนักคิดคนสำคัญ นักรณรงค์ด้านจริยธรรมในการใช้ระบบดิจิตอลและผู้ประกอบการ

ในฐานะผู้นำทางความคิดที่สำคัญ Bill ให้ความสำคัญกับสมดุลระหว่าง ‘แนวทางการปกป้องอย่างมีคุณค่า’ โดยเขาได้รับการยกย่องให้เป็นผู้มีอิทธิพลระดับโลกด้านมาตรการความเป็นส่วนตัวของข้อมูล และ ‘การขยายขีดความสามารถในเชิงมูลค่าทางเศรษฐกิจและสังคม’ โดยเขายังเป็นผู้มีบทบาทสำคัญในการส่งเสริมมาตรการรักษาความปลอดภัยทางคอมพิวเตอร์ การปรับเปลี่ยนสู่ยุคดิจิตอล ระบบ GovTech และเมืองที่อัจฉริยะยิ่งขึ้น เขายังเคยปรากฏตัวเป็นประจำทุกสัปดาห์ในรายการโทรทัศน์และวิทยุต่าง ๆ (BBC, RT ฯลฯ) ในฐานะผู้เชี่ยวชาญในด้านเหล่านี้ ถือได้ว่าเป็นบุคคลที่ออกสื่อมากกว่านักเทคโนโลยีคนอื่น ๆ ในสหราชอาณาจักร

ในฐานะผู้ประกอบการ Bill ยังเป็นผู้ก่อตั้งและ CEO ของ CrisisTeam.co.uk โดยทำงานร่วมกับทีมงานผู้เชี่ยวชาญด้านการจัดการสถานการณ์ กฎหมายเกี่ยวกับระบบคอมพิวเตอร์ การดูแลชื่อเสียงและภาพลักษณ์เพื่อให้ลูกค้าสามารถลดผลกระทบที่เกิดขึ้นจากการโจมตีผ่านระบบคอมพิวเตอร์

เราทุกคนต้องรับผิดชอบร่วมกันและเป็นการเฉพาะรายบุคคล

ในองค์กรหลาย ๆ แห่งหลายคนเข้าใจว่าการรักษาความปลอดภัยของระบบคอมพิวเตอร์คือหน้าที่ของ CISO เท่านั้น และความเป็นส่วนตัวคือสิ่งที่ฝ่ายควบคุมมาตรฐานเท่านั้นต้องรับผิดชอบ หากไม่มีการรับผิดชอบร่วมกันด้านการรักษาความปลอดภัยและความเป็นส่วนตัวของระบบคอมพิวเตอร์ ข้อมูลของเราก็จะไม่มีวันปลอดภัยและหากมีความผิดพลาดเกิดขึ้น เราก็จะต้องรับผิดชอบร่วมกันและแยกเป็นรายบุคคลด้วย

ในองค์กรเหล่านี้ ฝ่ายบริหารระดับสูงมักพลาดในการใส่ใจด้านมาตรการรักษาความปลอดภัยและความเป็นส่วนตัวของข้อมูลอย่างจริงจัง หลายครั้งคนเหล่านี้เชื่อว่านี่เป็นหน้าที่ที่สามารถมอบหมายให้แก่ CISO หรือ DPO (หัวหน้าฝ่ายปกป้องข้อมูล) ทำให้บุคลากรอื่น ๆ มองข้ามในเรื่องนี้ หากฝ่ายบริหารระดับสูงยังมีทัศนคติเช่นนี้ ก็ไม่น่าแปลกใจที่ความคิดแบบนี้จะฝังลึกอยู่ในองค์กรทั้งหมดถึงพนักงานในทุกระดับ ทำให้ทุกคนไม่ใส่ใจในเรื่องนี้อย่างจริงจังไปด้วย

3 สิ่งที่องค์กรต่าง ๆ ควรพิจารณา:

มือกำลังดึงโดมิโนชิ้นหนึ่งเพื่อไม่ให้โดมิโนที่เหลือล้มลงมา

1. หากผู้จัดการฝ่ายจัดซื้อของคุณเลือกใช้อุปกรณ์ที่ไม่มีการเข้ารหัส

หากมีการจัดซื้อไดร์ฟ USB, SSD หรือ IoT แบบไม่เข้ารหัสโดยพิจารณาจากราคาเป็นเกณฑ์สำคัญมากกว่าด้านความปลอดภัยหรือฟังก์ชั่นการเข้ารหัสเชิงฮาร์ดแวร์ อุปกรณ์ที่ไม่มีการเข้ารหัสเหล่านี้ก็อาจทำให้เกิดช่องโหว่ในระบบคอมพิวเตอร์ขึ้น และทำให้หน่วยงานทั้งหมดสุ่มเสี่ยงต่อการละเมิดข้อมูล

2. หากพนักงานมีการเวียนใช้รหัสผ่านหรือใช้ทางลัดเพื่อข้ามระบบความปลอดภัย

หากพนักงานไม่ปฏิบัติตามมาตรการรักษาความปลอดภัยระบบคอมพิวเตอร์ขั้นพื้นฐานและไม่ใส่ใจเกี่ยวกับรหัสผ่านหรือเอกสารแนบอีเมล พวกเขากำลังทำให้หน่วยงานทั้งหมดอยู่ในภาวะเสี่ยง อาชญากรคอมพิวเตอร์มักมองหาจุดอ่อนหรือรหัสผ่านที่เดาได้ใช้ โดยอาศัยการแอบอ้างแบบต่าง ๆ เพื่อเจาะระบบรักษาความปลอดภัยของเป้าหมาย ต่อไปนี้เป็นหนึ่งในการคุกคามที่พบได้บ่อยต่อระบบคอมพิวเตอร์

3. หาก CMO มีการใช้งานข้อมูลส่วนตัวอย่างไม่ระมัดระวัง

GDPR กำหนดให้มีการรวบรวมข้อมูลส่วนบุคคลเมื่อได้รับความยินยอมภายใต้วัตถุประสงค์ที่แจงเท่านั้น หากคุณมีการแสวงหาหรือแชร์ข้อมูลที่ขัดต่อกฎหมาย คุณกำลังทำให้ตนเองเสี่ยงต่อการถูกปรับหรือฟ้องร้อง

ภาพมือของทีมงานระยะใกล้ที่วางทับกัน

ใครบ้างที่จะต้องรับผิดชอบหากเกิดกรณีเหล่านี้ขึ้น

หน่วยงานเองและบุคลากรด้วย!

เราทุกคนจะต้องจริงจังเกี่ยวกับมาตรการรักษาความปลอดภัยของระบบคอมพิวเตอร์และความเป็นส่วนตัวของข้อมูล

หากคุณพบว่าหน่วยงานมีการใช้ไดร์ฟ USB, SSD หรืออุปกรณ์ IoT ที่ไม่มีการเข้ารหัส คุณจะต้องแจ้งเหตุดังกล่าว หากพบว่าเพื่อนร่วมงานไม่ได้ใช้ระบบคอมพิวเตอร์อย่างเหมาะสม ให้แจ้งเหตุดังกล่าว หากพบเห็นทีมงานฝ่ายการตลาดใช้ข้อมูลลูกค้าอย่างไม่เหมาะสม คุณจะต้องแจ้งเหตุดังกล่าว

การปรับเปลี่ยนวัฒนธรรมองค์กรคือสิ่งสำคัญ

หากเราต้องการปรับเปลี่ยนทัศนคติของตนเองและทำให้ทุกคนใส่ใจด้านการรักษาความปลอดภัยของระบบคอมพิวเตอร์และความเป็นส่วนตัวของข้อมูลในทุก ๆ ด้าน สิ่งสำคัญคือการปรับวัฒนธรรมองค์กรอย่างจริงจัง

มีสิ่งจูงใจมากมายที่องค์กรสามารถจัดให้แก่บุคลากรของตน มีข้อพิสูจน์ที่ชัดเจนว่า ลูกค้าจะพร้อมร่วมธุรกิจกับหน่วยงานที่ใส่ใจข้อมูลของพวกเขา และจะหลีกเลี่ยงหน่วยงานที่ละเลยในด้านนี้ การรักษาความเชื่อมั่นของลูกค้าและหลีกเลี่ยงสถานการณ์ด้านการรักษาความปลอดภัยของระบบคอมพิวเตอร์ที่จะกระทบต่อความเชื่อมั่นนี้คือสิ่งที่เราจะต้องให้ความสำคัญในระดับสูงสุด

ภาพบล็อคไม้ระยะใกล้พร้อมข้อความ FINE และค้อนเล็ก ๆ

นอกจากนี้ยังมีข้อจำกัดหลายประการที่ทำให้หน่วยงานต่าง ๆ ไม่ใส่ใจด้านการปกป้องข้อมูล เช่น GDPR กำหนดค่าปรับสูงสุดไว้ที่ €20 ล้านหรอ 4% ของรายได้รวมทั่วโลกต่อไป (พิจารณาจำนวนที่มากกว่า) สำหรับทุกเหตุที่เกิดขึ้นแยกเป็นกรณีไป ค่าใช้จ่ายในการแก้ไขปัญหาที่เกิดขึ้นอาจเป็นจำนวนมหาศาล และการโจมตีจากแรนซัมแวร์ก็อาจทำให้อาชญากรคอมพิวเตอร์มีข้อต่อรองในการเรียกเงินเป็นจำนวนมาก คุณอาจถูกฟ้องร้องจากบุคคลที่ถูกละเมิดข้อมูลด้วยเช่นกัน

นอกจากนี้ยังมีการกำหนดบทลงโทษใหม่ ๆ สำหรับบุคคลอย่างตอเนื่องนอกเหนือจากที่กำหนดไว้ภายในองค์กร กรณีเมื่อเร็ว ๆ นี้ในสหรัฐฯ ถือเป็นกรณีความปลอดภัยของระบบคอมพิวเตอร์รูปแบบใหม่ที่คณะกรรมการบริษัทและ CISO ถูกฟ้องคดีแยกเฉพาะเป็นรายบุคคล รายงานจากนักวิเคราะห์ของ Gartner คาดการณ์ว่าต่อไป CEO เองก็อาจถูกฟ้องคดีเป็นรายบุคคลเช่นกันสำหรับคดีเกี่ยวกับระบบคอมพิวเตอร์

ในฐานะประชาชนทั่วไปและลูกค้า เราจึงคาดหวังให้หน่วยงานมีการปกป้องข้อมูลของเรา และเมื่อเรามีความรับผิดชอบต่อข้อมูลของบุคคลอื่นเหล่านี้ มาตรฐานในการดำเนินงานของเราก็จะสูงขึ้นไปเรื่อย ๆ เราควรมีความใส่ใจทั้งร่วมกันและเป็นรายบุคคล โดยระลึกไว้เสมอว่าทุกคนอาจต้องรับผิดชอบต่อเหตุที่เกิดขึ้นทั้งสิ้น เราทุกคนควรมีความตั้งใจจริงในการปกป้องข้อมูล เพราะว่านี่คือสิ่งที่ถูกต้อง

#KingstonIsWithYou

Ask an Expert

Kingston ให้โอกาสแก่คุณในการแสดงความเห็นโดยอิสระเกี่ยวกับโครงร่างการทำงานของคุณในปัจจุบันหรือแผนการใช้งานในอนาคตที่เหมาะสมสำหรับหน่วยงานของคุณ

SSD แบบเข้ารหัสได้เอง

เรามีคำแนะนำเกี่ยวกับข้อดีต่าง ๆ ของ SSD สำหรับระบบจัดเก็บข้อมูลของคุณ และ SSD ที่เหมาะกับการทำงานแบบพกพามากที่สุดเพื่อให้คุณทำงานได้อย่างปลอดภัยแม้ขณะกำลังเดินทาง

ถามผู้เชี่ยวชาญระบบ SSD

ไดร์ฟ USB เข้ารหัส

เรามีคำแนะนำเกี่ยวกับข้อดีในการใช้ไดร์ฟ USB เข้ารหัสสำหรับหน่วยงานของคุณ และไดร์ฟประเภทที่เหมาะกับความต้องการทางธุรกิจของคุณมากที่สุด

ถามผู้เชี่ยวชาญระบบ USB

บทความที่เกี่ยวข้อง

หน้าแรกของบล็อก