เรื่องของ Cyber Security ที่หลายองค์กรมักมองข้าม ?!
ถ้ากล่าวถึงปัญหาหรือ Pain-Point ที่พบเจอจากลูกค้าหลายองค์กร เมื่อได้มีโอกาสเข้าไปให้บริการและพูดคุยด้าน Cyber Security Solution พบว่าหลายองค์กรมักมองข้ามเรื่องนี้ไป เรียกได้ว่าเป็นเรื่องง่ายๆใกล้ตัว แต่เป็นปัจจัยหลักที่อาจขัดขวางการพัฒนาระบบ Security ได้เลยถ้าขาดสิ่งนี้ไป นั่นคือ “ Security Awareness ”
คิดภาพว่าถ้าบ้านของเรา ล้อมรั้วแน่นหนา ล็อคประตูหลายชั้น ติดกล้องวงจรปิด ปลอดภัยสุดๆ แต่กลับเป็นคนในบ้านซะเองที่เป็นโจร หรืออาจจะเผลอพาโจรเข้าบ้านโดยไม่รู้ตัว แท้จริงแล้วมีหลาย Security Solution ที่สามารถป้องกัน Insider Threat แบบนี้ได้บ้าง แต่ก็ครอบคลุมไม่ได้ทั้งหมด
ยกตัวอย่าง Insider Threat ที่เกิดจากความไม่ตั้งใจ ความประมาท รู้เท่าไม่ถึงการณ์ เช่น “Phishing Email” พนักงานในองค์กรอาจตกเป็นเหยื่อการหลอกลวงรูปแบบ Email ให้เข้าไปกรอกข้อมูลส่วนตัว, กรอกข้อมูล username, password การเข้าสู่ระบบภายใน หรือหลอกให้กด malicious link ที่แฝงด้วย malware ถึงแม้องค์กรจะมีระบบ Phishing Email Protection กรองให้หรือมีระบบ Authentication Verification อยู่ก็ตาม แต่ถ้าพนักงานเป็นคน verify เองแล้วให้ข้อมูลเอง ก็มีสิทธิ์ทำให้องค์กรถูกโจมตีได้
ถ้ายกตัวอย่างในระดับ Personal ก็คือปัญหา Call-Center หลอกลวงให้กดทำธุรกรรมทางบัญชี ซึ่งพบเจอข่าวบ่อยๆในปัจจุบัน
ส่วน Insider Threat ที่เกิดจากความตั้งใจ เช่น อาจมีพนักงานไม่หวังดีพยายามนำข้อมูล Confidential รั่วไหลออกไปนอกองค์กร ด้วยการถ่ายรูปทางโทรศัพท์ หรือจดข้อมูลลงกระดาษ หรือแม้กระทั่งจดจำออกไปถ่ายทอดเอง ซึ่งถือเป็นช่องโหว่ของระบบ Security
ปัญหา Insider Threat เหล่านี้คงยากที่จะป้องกันด้วยความสามารถของ Technology เพียงอย่างเดียว ควรเริ่มต้นจากการสร้าง Security Awareness ให้พนักงานทุกคนในองค์กร ได้เป็นหนึ่งในผู้ที่มีหน้าที่รักษาความปลอดภัยของข้อมูลในองค์กร ไม่ใช่เป็นหน้าที่ของทีม IT Security ฝ่ายเดียว
• สร้างความตระหนักถึงระดับความสำคัญของข้อมูลแต่ละประเภท
ฐานข้อมูลขนาดใหญ่ในองค์กร มีหลากหลายรูปแบบ และมีลำดับชั้นความสำคัญที่แตกต่างกัน เช่น ข้อมูลระดับ Confidential คือเป็นความลับขององค์กร ห้ามเผยแพร่สู่ภายนอกเด็ดขาด หรือข้อมูลระดับ Public คือเป็นข้อมูลทั่วไป สามารถเผยแพร่สู่สาธารณะได้ ดังนั้นถ้าพนักงานในองค์กร สามารถแบ่งแยกความสำคัญหรือลำดับชั้นความลับของข้อมูลได้ ก็สามารถนำข้อมูลมาใช้ในการทำงานได้อย่างถูกต้องและปลอดภัย
• สร้างการรับรู้วิธีทำงานอย่างระมัดระวังเพื่อรักษาความปลอดภัยของข้อมูล
องค์กรอาจกำหนด procedures หรือข้อปฏิบัติในการจัดการข้อมูลตามระดับความสำคัญได้ เรียกว่าการสร้าง Data Governance Framework เช่น ข้อมูล Confidential ห้ามไม่ให้มีการ share to outside company domain
หรืออาจเป็นการให้ความรู้แก่พนักงานในเรื่องทั่วไป เช่น ไม่ควรใช้ Removable Drive ในการ share หรือถ่ายโอนข้อมูล, เมื่อทำงานจากข้างนอก office อย่างร้านกาแฟ ไม่ควรใช้ public free Wi-Fi ในการเข้าสู่ระบบหรือเข้าถึงข้อมูลในองค์กร, ไม่ควรจด username / password ลงบนกระดาษแปะไว้ที่โต๊ะ เป็นต้น
• สร้างความรู้ความเข้าใจ เพื่อรับมือกับรูปแบบการโจมตีทาง Cyber
ในยุคปัจจุบัน สถานการณ์ภัยคุกคามนั้นมีการเปลี่ยนแปลงอยู่ตลอดเวลา ในทุกๆ วันเราจะได้รับรายงานเกี่ยวกับภัยคุกคามจากภายนอก (External Threats) รูปแบบใหม่ หรือความเสี่ยงของช่องโหว่ (Vulnerability) ใน software ใหม่ๆ ที่อาจเป็นอันตรายต่อองค์กร
ทางองค์กรสามารถจัดเป็นรูปแบบการอบรม Security Awareness ให้เหมาะสมกับพื้นฐานความรู้ของพนักงาน หรือสร้างสถานการณ์จำลอง ทดสอบพนักงานจากเหตุการณ์ที่เกิดขึ้นในโลกความเป็นจริง เช่น การทดสอบส่ง Phishing Email แล้วดูว่าพนักงานจะปฏิบัติอย่างไร เพื่อให้พนักงานเกิดความคุ้นเคยหากมีเหตุการณ์เกิดขึ้นจริง และทำให้ทางองค์กรสามารถประเมินได้ว่าพนักงานมีใครตกเป็นเหยื่อมากน้อยแค่ไหน รวมถึงสามารถวางแผนออกแบบเนื้องหาในการอบรม Security Awareness ต่อไปได้
จัดกิจกรรมประชาสัมพันธ์เพื่อให้ความรู้และฝึกฝนทักษะ เช่น กระจายบทความหรือจดหมายข่าว นำเสนอเรื่องราวด้านการรักษาความมั่นคงปลอดภัยของข้อมูล ด้วยช่องทาง Email หรือการจัด Event Webinar อย่างสม่ำเสมอ ทุกองค์กรควรสร้างความร่วมมือให้พนักงานทุกคน มีบทบาทในการรักษาความมั่นคงปลอดภัยด้วยการรู้เท่าทันกลวิธี ถือเป็นอาวุธด่านแรกที่จะช่วยรักษาข้อมูลสำคัญขององค์กรไม่ให้ตกเป็นภัยคุกคามทาง Cyber
- 3
โฆษณา
- ดาวน์โหลดแอปพลิเคชัน
- © 2024 Blockdit
