178 Dharmniti Building 6-7th Floor, Soi Permsap (Prachachuen 20), Prachachuen Road, Bangsue, Bangkok, 10800 Thailand

Audit News

ในยุค Digital Transformation สิ่งที่องค์กรต้องมี เมื่อนำระบบ Cloud มาใช้

Written by

ในยุค Digital Transformation สิ่งที่องค์กรต้องมี เมื่อนำระบบ Cloud มาใช้

บางท่านอาจจะพอได้ยินมาบ้างแล้วว่า ยุคนี้นับเป็นยุค Digital Transformation ของวงการธุรกิจ ที่หลายๆองค์กรมีการนำเทคโนโลยีดิจิทัลใหม่ ๆ มาปรับใช้ในการดำเนินธุรกิจ ตลอดจนขั้นตอนการทำงาน การให้บริการกับลูกค้า และวัฒนธรรมขององค์กร ให้ตามทันโลกเศรษฐกิจ และไม่โดน Digital Disruption หรือสภาวะที่ธุรกิจถูกทำให้หยุดชะงักในยุคที่เทคโนโลยีดิจิทัลพัฒนาไปอย่างรวดเร็ว และการแพร่ระบาดของไวรัสโควิด-19 ที่มีในปัจจุบันยังไม่หายไปไหน ทำให้มีการทำงานแค่ภายในออฟฟิศน้อยลง ยิ่งทำให้มีความจำเป็นที่ต้องใช้เทคโนโลยีมากขึ้นเพื่อให้การทำงานจากภายนอกสถานที่มีความสะดวกและมีประสิทธิภาพ

จากในอดีตธุรกิจส่วนใหญ่มักจะใช้การบันทึกข้อมูลทั้งหมดลงบนกระดาษ เมื่อถึงยุคที่คอมพิวเตอร์เข้ามามีบทบาท ก็เปลี่ยนไปบันทึกข้อมูลลงบนโปรแกรมรูปแบบ Spreadsheets และมาจนถึงปัจจุบันหลายองค์กรเร่งลงทุนและหันมาใช้บริการซอฟต์แวร์บนระบบ Cloud ในกระบวนการทางธุรกิจต่าง ๆ ให้สามารถเข้าถึงโปรแกรมผ่านอินเทอร์เน็ตได้ทุกที่ ทุกเวลา และหลายอุปกรณ์

ซึ่งองค์กรที่มีการนำเทคโนโลยีระบบ Cloud มาใช้ ต้องให้ความสำคัญในด้านความปลอดภัยของข้อมูลเป็นอย่างมาก เพื่อรับมือกับภัยคุกคามที่จะมีเพิ่มขึ้นในอนาคต จากคาดการณ์ของ Gartner บริษัทผู้วิจัยและให้คำปรึกษาระดับโลก ได้ระบุว่ากว่า 95% ของเหตุการณ์ข้อมูลรั่วไหลในระบบ Cloud ล้วนมีสาเหตุมาจากความผิดพลาดในการกำหนดตั้งค่าต่าง ๆ หรือการหละหลวมของผู้ดูแลระบบและผู้ใช้งาน และตามรายงานของ Fugue บริษัทซอฟต์แวร์ในสหรัฐอเมริกาได้ระบุว่า อาชญากรทางไซเบอร์นั้นอาจใช้เวลาเพียง 10 นาที เท่านั้น ในการตรวจหาความหละหลวมหรือข้อผิดพลาดต่าง ๆ ภายในองค์กรที่ใช้ระบบ Cloud แต่กลับมีองค์กรเพียง 10% ที่สามารถรับมือและแก้ไขปัญหาดังกล่าวได้ทันในเวลาที่เท่ากัน ดังนั้น องค์กรที่มีการนำระบบ Cloud มาใช้ ไม่ว่าจะ private cloud, public cloud และ hybrid cloud ก็ควรต้องมีสิ่งเหล่านี้


1. มีการกำหนดนโยบายความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) ขององค์กร

องค์กรควรมีการกำหนดนโยบายด้านการใช้งานระบบ Cloud ที่ชัดเจนและเหมาะสมกับองค์กร และอิงตามมาตรฐานและข้อบังคับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ประกาศบังคับใช้แล้ว และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจะมีการประกาศบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ซึ่งกฎหมายทั้ง 2 ฉบับนี้ต่างมีเนื้อหาให้แต่ละองค์กรต้องมีมาตรการควบคุมสำหรับรักษาความมั่นคงปลอดภัยและปกป้องข้อมูลบน Cloud เช่น การจัดลำดับความสำคัญของข้อมูล การแชร์ข้อมูลระหว่างแผนก ข้อหนดในการเปิดสิทธิ์ในการเข้าถึงข้อมูลให้กับพนักงานภายในและจากภายนอก การล็อกอินเข้าสู่ระบบ Cloud ของบริษัทจาก Network ที่กำหนดต่าง ๆ เป็นต้น เพื่อให้พนักงานมีแนวทางในการปฏิบัติตามที่ชัดเจนและถูกต้อง หากผู้ใช้งานหรือพนักงานในองค์กรไม่มีความรู้ทางด้านความปลอดภัยทางไซเบอร์ทําให้ไม่ระมัดระวังในการใช้งานระบบ จนอาจจะทําให้ข้อมูลรั่วไหลได้


2. มีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลบนระบบ (Limit permissions)

องค์กรหรือผู้ดูแลระบบ (Admin) ควรมีการควบคุมหรือดูแลการกำหนดสิทธิ์ในการเข้าถึงข้อมูลต่าง ๆ บนระบบ Cloud ให้เป็นไปอย่างเหมาะสม ข้อมูลที่สำคัญเปิดสิทธิ์ให้เข้าถึงได้เฉพาะผู้ที่มีส่วนเกี่ยวข้องเท่านั้น ซึ่งถือเป็นสิ่งที่สำคัญที่สุด ยิ่งมีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลรัดกุมมากขึ้นเท่าไหร่ ก็ยิ่งเป็นผลดีต่อองค์กรมากขึ้นเท่านั้น


3. มีการเข้ารหัสข้อมูล (Data Encryption)

การเข้ารหัสข้อมูลนี้ถือเป็นสิ่งสำคัญในการควบคุมการเข้าถึงข้อมูล เพราะถึงแม้ข้อมูลเหล่านี้จะตกไปอยู่ในมือของผู้ไม่หวังดีก็ยังมีรหัสที่คอยปกป้องการเข้าถึงได้อีกชั้นหนึ่ง และต้องใช้รหัสการเข้าถึงที่ถูกต้องเท่านั้น ซึ่งการเข้ารหัสข้อมูล เป็นอีกหนึ่งวิธีการที่จะช่วยลดปัญหาการรั่วไหลของข้อมูลจากในระบบ cloud ได้ โดยเฉพาะอย่างยิ่งกับข้อมูลที่สำคัญและเป็นความลับขององค์กร เช่น ไฟล์ข้อมูลการเงิน ไฟล์ฐานข้อมูลลูกค้า เป็นต้น
       

                                                                         


4. มีการควบคุมการยืนยันตัวตนเข้าสู่ระบบ (Authentication) อย่างมีประสิทธิภาพ

องค์กรหรือผู้ดูแลระบบ (Admin) ควรเพิ่มความปลอดภัยในการล็อกอินเข้าสู่ระบบ Cloud ด้วยการยืนยันตัวตนในรูปแบบอื่น ๆ และมากกว่า 1 ขั้นตอน จึงเป็นสิ่งจำเป็นมากขึ้น เช่น การเปิดใช้งาน Multi-Factor Authentication หรือ Two-Step Verification ต่าง ๆ เป็นต้น


5. มีการติดตามและตรวจสอบการใช้งาน (Monitor) อย่างสม่ำเสมอ

องค์กรที่ใช้บริการระบบ Cloud จะได้เห็นว่า แพลตฟอร์มของผู้ให้บริการ Cloud มักจะมีหน้า Admin Console สำหรับตั้งค่าและจัดการผู้ใช้ ที่แสดงข้อมูลและกิจกรรมต่าง ๆ ของผู้ใช้งานทั้งหมดอยู่เสมอ ซึ่งเป็นหน้าที่ของผู้ดูแลระบบ (Admin) ที่จะต้องคอยตรวจสอบและวิเคราะห์ความผิดปกติต่าง ๆ ที่เกิดขึ้นในระบบ เช่น การสร้างไฟล์ การกำหนดสิทธิ์ในการเข้าถึงข้อมูล รวมถึงการดาวน์โหลดข้อมูลออกจาก Cloud โดยการตรวจพบกิจกรรมต้องสงสัยหรือผู้ที่ไม่ปฏิบัติตามกฎขององค์กรนี้ก็จะช่วยป้องกันความเสียหายจากเหตุการณ์ไม่คาดฝันได้เป็นอย่างดี

จากที่กล่าวมาผู้อ่านคงทราบกันแล้วว่า ในยุค Digital Transformation ที่องค์กรมีการใช้บริการระบบ Cloud ในการดำเนินธุรกิจมากขึ้น ต้องมีการควบคุมดูแลที่มีประสิทธิภาพอยู่เสมอ ซึ่งเป็นสิ่งสำคัญต่อการรักษาข้อมูลให้ปลอดภัยในยุคนี้ หากมีการควบคุมที่ดีและหมั่นตรวจสอบดูแลอย่างสม่ำเสมอ จะช่วยป้องกันและลดความเสี่ยงที่ข้อมูลที่สำคัญขององค์กรเกิดการรั่วไหลไปสู่ภายนอก และผู้เขียนหวังว่าบทความนี้จะทำให้คุณได้รับความเข้าใจและได้ประโยชน์จากการอ่านไม่มากก็น้อย

ผู้เขียน : ชฎาพา สุขสมัย บริษัท สอบบัญชีธรรมนิติ จำกัด

แหล่งข้อมูลอ้างอิง : https://www.cyfence.com/article/learn-how-to-prevent-data-leaks-on-cloud-organizations/ 

 

 

 

 

Transparency Report

Read our 2024 Transparency Report

transparency