ไทย
ค้นหา

คลังความรู้

DPO ทำหน้าที่อะไร?

ถึงแม้ว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล จะเลื่อนไป ปี ในบางมาตรา แต่เรื่องความปลอดภัย (Security) ไม่ได้ถูกเลื่อนออกไป 

การเป็น DPO ที่ดีนั้นควรจะมีความรู้ทั้งด้าน IT และ Legal หน้าที่หลัก ๆ เขามีดังนี้ 

1. สร้างและพัฒนากระบวนการตามมาตรฐานที่เกี่ยวกับการรักษาข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เช่น ISO/IEC 29100:2011, ISO/IEC 27701:2019, NIST Privacy Framework เป็นต้น  

2. สร้างกระบวนการตรวจสอบ ทบทวนและปรับปรุงกระบวนการประเมินความเสี่ยง (Risk Management) ขององค์กรอย่างเป็นประจำ

3. จัดฝึกอบรมพนักงานให้มีความเข้าใจในเรื่องความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล 

อีกทั้งตำแหน่งนี้จะต้องสามารถประสานงานคนภายในองค์กร เจ้าของข้อมูลส่วนบุคคลและคณะกรรมการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดี นั้นจึงทำให้ตอนนี้ตลาดแรงงานจึงมีความต้องการคนที่ความสามารถแบบนี้เป็นอย่างมาก

ISO 27701 คืออะไร???

ISO/IEC 27701:2019 มาตรฐานที่ต่อยอดมาจาก ISO/IEC 27001;2013 โดยจะให้ความสำคัญในด้าน Privacy ยิ่งขั้น

โดยมีการเพิ่มข้อกำหนดสำหรับระบบบริหารจัดการข้อมูลส่วนบุคคล (Privacy Information Management System: PIMS) ซึ่งก็จะสอดคล้องกับความต้องการของกฎหมายและข้อบังคับในปัจจุบันอย่าง GDPR หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

มาตรฐานนี้ถูกออกแบบมาเพื่อเป็นกรอบการทำงานทั้งสำหรับ Personally Identifiable Information (PII) Controllers และ PII Processors ซึ่งช่วยให้บริหารจัดการมาตรการควบคุมด้านความเป็นส่วนบุคคลได้อย่างมีประสิทธิภาพ และลดความเสี่ยงอันเนื่องมาจากการละเมิดความเป็นส่วนบุคคล

อย่างไรก็ตามองค์กรที่ต้องการรับรองมาตรฐานดังกล่าว จะต้องได้การรับการรับรองมาตรฐาน ISO/IEC 27001:2013 เสียก่อนและต้องได้รับการรับรองในขอเบเขตที่เกี่ยวกับระบบที่เก็บข้อมูลส่วนบุคคลด้วย ดังนั้นมาตรฐานนี้ก็น่าจะเป็นนิยมอย่างสูงเหมือนกับ ISO ด้าน Security อื่น ๆ ในอนาคต

ฺBuild ระบบ Security Analytics รับมือภัยคุกคาม

เดี๋ยวนี้ภัยคุกคามในระบบ IT มีความหลากหลายและซับซ้อนมากยิ่งขึ้นในแต่ละวัน องค์กรหลาย ๆ แห่งจึงตัดสินใจนำเอา Solutions เข้ามาใช้ช่วยวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยและตรวจจับภัยคุกคาม

Solutions แบบหนึ่งที่องค์กรนิยมนำมาใช้ คือ ระบบ SIEM ซึ่งในตลาดนั้นมีอยู่หลายยี่ห้อมาก บางยี่ห้อก็อยู่ในการจัดอันดับของ Gartner และมีการผสมผสานระบบ Security Intelligence, รวมถึงการนำ AI และ Machine Learning มาประยุกต์ใช้งานด้านการวิเคราะห์ข้อมูลด้านความมั่นคงปลอดภัยอีกด้วย

จุดเด่นหลักๆ ของ SIEM ที่เราควรนำมาพิจารณา มีดังนี้

1. ควรจะรองรับการประมวลผลข้อมูลด้านความมั่นคงปลอดภัยได้อย่างมีประสิทธิภาพ 

2. มีระบบตรวจจับค้นหาภัยคุกคามได้ด้วย Built-in Analytics และสามารถเชื่อมโยงความสัมพันธ์โดยใช้ AI เพื่อช่วยลดระยะเวลาในการวิเคราะห์

3. มีการจัดการข้อมูลที่ดี และบริหารจัดการได้ง่ายสำหรับผู้ใช้งาน

อีกประเด็นที่องค์กรควรจะพิจารณาควบคู่กันไป ก็คือความชำนาญของทีมงานบริหารจัดการ เพราะยิ่งถ้าเราใช้เทคโนโลยีเข้ามาช่วยมากเท่าไร คนของเราก็ควรจะมีความสามารถที่ดูแลมันได้ดีด้วย

ดังนั้นคนกลุ่มนี้จึงควรมีประสบการณ์ด้าน Security หรือผ่านการอบรมหลักสูตรที่เกี่ยวข้อง เช่น Incident Response, Forensics, Ethical Hacking เป็นต้น

ความมั่นคงปลอดภัยสำหรับองค์กร

ช่วงนี้หลาย ๆ องค์กรทำงานอยู่ที่บ้าน (WFH) ซึ่งก็มีประเด็นด้าน Security ที่ควรจะพิจารณาในหลาย ๆ เรื่อง

PROUD มีคำแนะนำให้ธุรกิจองค์กรพิจารณาในด้าน Security โดยเฉพาะอย่างยิ่งสำหรับธุรกิจที่จะต้องเตรียมรับมือกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่กำลังจะเริ่มบังคับใช้ ดังนี้

  1. ความปลอดภัยของอุปกรณ์ การเลือกใช้งานอุปกรณ์จากผู้ผลิตที่ไว้วางใจได้ซึ่งมีกระบวนการในการรักษาความมั่นคงปลอดภัยและการตรวจสอบที่ดีนั้นก็จะช่วยลดความเสี่ยงจากการโจมตีได้ รวมไปถึงอุปกรณ์ที่มีการรับผิดชอบจากผู้ผลิตทั้งส่วน MA หรือ Patch ก็จะช่วยได้เช่นกัน ส่วนองค์กรอาจจะต้องมองถึงการทำ Hardenning Guideline ที่เหมาะสมเพิ่มเติมด้วย
  2. ความปลอดภัยส่วนบุคคล มีข้อมูลทีชี้ให้เห็นถึงการที่ข้อมูลรั่วไหลจากรหัสผ่านที่ถูกขโมยและมีเว็บไซต์ปลอมเพื่อหลอกให้ผู้ใช้งานทำการกรอกข้อมูลมากขึ้นในทุก ๆ ปี ดังนั้นการใช้ระบบยืนยันตัวตนแบบ Multi-Factor Authentication หรือ Biometrics จึงเป็นทางเลือกที่ดีสำหรับองค์กรในการ Implement
  3. ความปลอดภัยของเครือข่าย ระบบเครือข่ายเองนั้นอาจตกเป็นเป้าของการโจมตีได้ ดังนั้นการเลือกวางระบบเครือข่ายด้วยอุปกรณ์และการออกแบบที่เหมาะสมนั้นก็จะสามารถช่วยในประเด็นนี้ได้ 
  4. ความปลอดภัยด้านข้อมูล การปกป้องข้อมูลไม่ให้รั่วไหลหรือเข้าถึงจากบุคคลที่ไม่เกี่ยวข้องได้นั้น จะช่วยลดความเสี่ยงและความเสียหายที่ธุรกิจจะต้องเผชิญลงได้ บางองค์กรก็จะใช้ DLP Tools หรือ Endpoint Solutions เข้ามาช่วย
ข้อมูลใน Facebook หลุด!!!

มีข่าวจากเชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้พบข้อมูลโปรไฟล์ผู้ใช้งาน Facebook กว่า 267 ล้าน Records ได้ Leak ออกมา

 

โดยข้อมูลถูกขายใน Dark Web ตามที่มา https://www.bleepingcomputer.com/news/security/267-million-facebook-profiles-sold-for-600-on-the-dark-web/

ซึ่งทำให้มีผู้คาดการณ์ผู้ๆม่ประสงคืดีอาจจะใช้ข้อมูลดังกล่าวโจมตีด้านอื่นๆ อย่างต่อเนื่องต่อไป

ยังไงช่วงนี้มี Mail แปลกๆ มาก็ระวังกันหน่อยนะครับ เราอาจจะเป็นหนึ่งในข้อมูลที่ถูกซื้อขายกันอยู่

Privacy Enhanced Technology : PET

หลาย ๆ องค์กรเริ่มที่เข้าสู่กระบวนการ Implement PDPA อย่างเต็มรูปแบบ และนับถอยหลังจนถึงวันที่ 27 พฤษภาคม 2563

สิ่งที่หลีกเลี่ยงไม่ได้แน่นอน หลังจากเราเริ่มสร้างเอกสารต่าง ๆ ไม่ว่าจะเป็น Privacy Policy, Data Breach Notification Procedures หรืออื่น ๆ นั้นคือการเอาเครื่องมือด้าน Privacy ต่าง ๆ

เข้ามาช่วยในการทำงานให้มีประสิทธิภาพและอัตโนมัติมากยิ่งขึ้น เช่น

- Data Mapping and Discovery

- Consent Management

- Cookie Management

- Data Masking/Encrpytion

- Right Management System

- SecureCode Training

เป็นต้น ในตลาดมีหลายยี่ห้อมากที่เป็นที่นิยม ซึ่งส่วนใหญ่จะเป็น Tools ของต่างประเทศ อย่างไรก็ตาม การที่องค์กรจะเลือกเครื่องมือมาใช้ก็คงต้องคิดทั้งในเรื่องค่าใช้จ่าย คนที่มาดูแล รวมไปถึงความเหมาะสมสำหรับธุรกิจของตัวเองด้วย เพราะการแค่ซื้อของคงไม่ตอบโจทย์ทั้งหมดในการปกป้อง Privacy และ Security ได้ 

อย่าลืมว่าสิ่งที่เราต้องให้ความสำคัญที่สุดในเรื่องนี้คือ ทรัพยากรบุคคล ดังนั้นนอกจากการซื้อเครื่องมือแล้ว เราก็ควรสร้างจิตสำนึก ความตระหนักรู้ในด้าน Privacy and Security ใ้แก่พนักงานภายในองค์กรเราด้วย

 

IT Audit for PDPA

ในปัจจุบัน องค์กรหลาย ๆ ที่เริ่มเข้าสู่กระบวนการปฎิบัติเพื่อให้สอดคล้องกับพรบ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

หน่วยงานที่จะต้องปรับตัวเพื่อให้เป็นไปตามกระบวนการนั้นก็คือ IT Audit โดยปกติถ้าเป็นองค์กรขนาดใหญ่ ก็จะมีส่วนงานนี้เป็นข้งตนเอง แต่ยางองค์กรก็นิยมจะ Outsource ในส่วนการบริการนี้ให้กับที่ปรึกษาภายนอกทำแทน โดย IT Domain ที่จะต้องพิจารณาตอนตรวจเพื่อให้สอดคล้องกับ PDPA นั้นหลักๆ มีอยู่ 3 ส่วน

- Technical Layer

- IT Management

- IT Controls

Technical Layer ก็จะพิจารณาตั้งแต่ Infrastructure, Application Systems, Database, Operating Systems, Network ต่างๆ 

IT Management ก็จะพิจารณาหลายๆ ส่วน เช่น Evaluate, Direct and Monitor (EDM), Align, Plan and Organise (APO), Build, Acquire and Implement (BAI), Delivery, Service and Support (DSS), Monitor, Evaluate and Assess (MEA)

IT Controls ก็จะดูจาก Application Controls, General Controls ต่างๆ รวมไปถึง Change Management ด้วย

ดังนั้นหน่วยงานนี้จึงเป็นกลไกหลักที่สำคัญ ที่เป็นผู้บอกว่าที่เราทำมานั้น มีจุดไหนที่ควรปรับปรุงหรือความสอดคล้องบ้าง เพราะหลายๆ ที่ไม่ได้แค่ต้องการความสอดคล้อตาม พรบ. เท่านั้น

เขายังจะมองไปที่การได้การรับรองมาตรฐาน ISO 27701 (IMS: Privacy Information Management Systems) ด้วย ซึ่งเป็นมาตรฐานทางด้านนี้โดยตรง

Work from Home ให้ Secure

หลาย ๆ องค์กรเริ่มออกนโยบายให้พนักงานสามารถทำงานจากที่บ้านได้ในช่วงที่ COVID-19 กำลังระบาดหนัก เพื่อเป็นการควบคุม Social Distances หลีกเลี่ยงการพบปะผู้คนและตอบสนองนโยบายรัฐ

ดังนั้นการทำงานจากที่บ้านอาจจะจำเป็นที่ต้องมีการลงโปรแกรมบางอย่างในการช่วยงาน เช่น WebEx, Zoom, MicrosoftTeam เป็นต้น ดังนั้นจึงควรมีการ Updated อุปกรณ์ ระบบปฏิบัติการ และซอฟต์แวร์แอปพลิเคชันต่างๆ ให้เป็นเวอร์ชันล่าสุด รวมไปถึง Patch ด้านความมั่นคงปลอดภัย ในบางครั้งการทำงานบางระบบจำเป็นต้องใช้ Virtual Private Network (VPN) เพื่อให้มั่นใจว่าข้อมูลทั้งหมดที่รับส่งระหว่างพนักงานที่ทำงานที่บ้านและเครือข่ายภายในออฟฟิสจะถูกเข้ารหัสและได้รับการปกป้อง 

อีกทั้งการทำงานในลักษณะนี้ การรับส่ง Email กลายเป็นช่องทางสื่อสารหลัก ดังนั้นโอกาสที่ผู้ใช้งานทั่วไปจะพบเจอ Phishing Email มากขึ้น จึงควรจะมีการทำ Security Awareness ที่มากขึ้นตามมาด้วย

การใช้งาน Cloud Storage ก็เป็นส่วนหนึ่งที่ควรจะเป็นจุดที่ควรระวังและควรมีการป้องกันอย่างดี อย่างน้อยพนักงานจำเป็นต้องพิสูจน์ตัวตนก่อนและการมีระบบ 2-Factor Authentication ก็เป็นสิ่งที่ช่วยยกระดับการรักษาความมั่นคงปลอดภัยให้สูงยิ่งขึ้น

นี้คือสิ่งงง่ายๆ ที่ช่วยให้การทำงาน WFH มีความ Sucre มากขึ้น และเจ้าของกิจการจะได้รู้สึกมั่นใจระดับหนึ่งว่าข้อมูลเราไม่รั่วไหลหรืออย่างน้อยก็เป็นการฝึก Business Continuity Plan สำหรับองค์กรไปในตัว

PDPA เราควรเริ่มได้หรือยัง???

 

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act: PDPA) จะเริ่มมีผลบังคับใช้ในวันที่ 27 พฤษภาคม 2563 นี้

PDPA เป็นกฎหมายที่ทั้งบุคคลและนิติบุคคล ภาครัฐหรือรัฐวิสาหกิจที่จะต้องปฏิบัติตาม (ยกเว้นองค์กรที่เข้าข่ายตามมาตรา 4)  โดยมีวัตถุประสงค์เพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งหมายถึง ข้อมูลใดๆ ที่ทำให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าจะทางตรงหรือทางอ้อม ครอบคลุมไปถึงข้อมูลลูกค้า พนักงาน หรืออื่นที่เกี่ยวข้องด้วย

ประเด็นสำคัญของ PDPA คือ การเก็บ ใช้ เปิดเผย และถ่ายโอนข้อมูลส่วนบุคคลต้องได้รับความยินยอม ยกเว้นจะมีเหตุอื่นที่ได้รับอนุญาตตามกฎหมาย ซึ่งความยินยอมนั้นต้องให้โดยอิสระ เฉพาะเจาะจง และชัดแจ้ง อีกทั้งเจ้าของข้อมูลสามารถถอนความยินยอมได้ และเมื่อไหร่ก็ตามที่เกิดเหตุละเมิดข้อมูลส่วนบุคคล จะต้องแจ้งเหตุให้เจ้าของข้อมูลทราบภายใน 72 ชั่วโมง

องค์กรเหล่านั้นจึงจำเป็นต้องจัดให้มีมาตรการการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคลที่เหมาะสม รวมไปถึงจัดทำและเก็บรักษาบันทึกรายการกิจกรรมการประมวลผลข้อมูลส่วนบุคคลต่างๆ หากฝ่าฝืนจะมีโทษปรับสูงสุด 5 ล้านบาท จำคุกสูงสุด 1 ปี และต้องจ่ายค่าเสียหายตามจริง ในขณะที่กรรมการของนิติบุคคลอาจต้องรับผิดชอบต่อเหตุการณ์ที่เกิดขึ้นด้วย

ดังนั้นองค์กรควรเริ่มพิจารณาตนเองว่าทำหน้าที่อะไร Data Controller, Data Proccessor มีกระบวนการจัดเก็บข้อมูลอย่างไร จัดเก็บอย่างถูกต้องและขออนุญาตหรือไม่ รวมไปถึงตรวจสอบรูปแบบการรักษาความมั่นคงปลอดภัย และระบบแจ้งเตือนเมื่อเกิดเหตุละเมิดให้เหมาะสม

เหลือเวลาอีกไม่นานแล้ว เราควรจะเริ่มได้หรือยัง? ต้องถามองค์กรท่านดู

Work From Home: COVID-19

อย่างที่ทราบกัน ตอนนี้โรคระบาด COVID-19 กำลังกระจายตัวในประเทศไทยอย่างน่าตกใจ จนในกรุงเทพฯ จะเป็นเมืองร้าง ปราศจากคนเดินทางไปไหนมาไหน

 

หลายๆที่ องค์กรเริ่มมีมาตรการค่อยๆ ออกมาเรื่อยๆ เพื่อป้องกันเหตุที่ไม่พึงประสงค์ รวมไปถึงในมุมของการ Work From Home ซึ่งเป็นจุดเริ่มที่ดีในการควบคุมโรคระบาดและตอบโจทย์ภาครัฐในแง่การการบริหารจัดการตามาตรฐานสากล สิ่งที่สำคัญที่สุดคือชีวิตประชาชนที่คงต้องปรับเปลี่ยนจากการทำงานแบบปกติเป็นการทำงานแบบ Virtual มากขึ้น เช่น

1. ทำงานที่่บ้านผ่านการประชุมทางไกล

2. คุยกับลูกค้าผ่านทางไลน์หรือ Web Chat 

3. การแชร์เอกสารผ่านทางระบบ Cloud

4. การเดินทางที่ต้องระมัดระวัง Social Distance

5. หลีกเลี่ยงพื้นที่ชุมนุมคนจำนวนมาก

เป็นต้น

สิ่งที่สำคัญที่สุด คือใช้เวลาช่วงนี้ดูแลครบครัวและตัวเองให้มีสุขภาพแข็งแรง พร้อมรับสถานการร์ทั้งที่แย่และทั้งที่ดีในอนาคต

เราจะผ่านมันไปด้วยกัน!!!!