การสูญหายของข้อมูล การเปลี่ยนแปลงแก้ไขอันมีผลให้ข้อมูลผิดเพี้ยนไปจากต้นฉบับ หรือ แม้แต่การละเมิด/เผยแพร่โดยไม่ได้รับอนุญาต
ล้วนแล้วแต่เป็นสิ่งที่ส่งผลกระทบกับธุรกิจขององค์กร รวมไปถึงชื่อเสียง และความน่าเชื่อถือ ทำให้หลายๆ องค์กร เริ่มให้ความสำคัญกับเรื่อง Data Protection มากขึ้น
การป้องกันข้อมูลนั้นนอกจากจะต้องทำการป้องกันข้อมูลต่าง ๆ ขององค์กรเองแล้ว สำหรับบางธุรกิจอาจครอบคลุมไปถึงข้อมูลของลูกค้าด้วย เช่น ข้อมูลประวัติคนไข้ที่ทางโรงพยาบาลจัดเก็บ, ประวัติการซื้อขายหลักทรัพย์, ข้อมูลประเภท Personnel Information Identification เป็นต้น
การป้องกันข้อมูลมีขอบเขตแค่ไหน
นโยบายที่ดีควรจะครอบคลุมไปถึงในส่วนของการจัดระเบียบของข้อมูล และการใช้งาน ส่วนนี้เป็นส่วนที่หลายๆ องค์กรยังไม่ได้ลงในรายละเอียดนัก แต่ควรที่จะต้องเริ่มคิดวางแผนในการจัดระเบียบตั้งแต่วันนี้ เพราะยิ่งปล่อยให้เวลาผ่านไปจะทำให้ยาก และซับซ้อนขึ้น
การป้องกัน และกำกับดูแล
การป้องกันและกำกับดูแลนั้นเริ่มจากการจัดระเบียบของข้อมูล สิ่งแรกที่จะต้องรู้ คือองค์กรจะใช้ประโยชน์อะไรจากข้อมูลแต่ละประเภทบ้าง ซึ่งจะทำให้เราสามารถทราบถึงวัตถุประสงค์ขององค์กรในการใช้ข้อมูลต่าง ๆ ทำให้ทราบความสำคัญ/Value ของข้อมูลแต่ละประเภท สิ่งที่ต้องทำประกอบกันไป คือ Data Classification หรืออย่างน้อยควรมีการคัดแยกข้อมูลออกเป็นกลุ่มเพื่อให้ทราบว่าควรจะดูแล และจัดเก็บอย่างไรให้เหมาะสม เมื่อข้อมูลถูกจำแนกออกเป็นกลุ่มที่ชัดเจนจะทำให้การกำกับดูแลทำได้ง่ายขึ้น งบประมาณก็จะถูกจัดสรรอย่างเหมาะสม
นอกจากการกำหนดนโยบายสำหรับการป้องกันการรั่วไหลข้อมูลแล้ว สิ่งที่ต้องคำนึงถึงอีกอย่างหนึ่งก็คือการรักษาความปลอดภัยของเครื่องที่ใช้ในการ Process หรือการเข้าถึงข้อมูล ในส่วนนี้เราจะต้องหลีกเลี่ยง/ป้องกัน Security Compromise ที่อาจเกิดขึ้น การทำ Patch Management, Asset Inventory, Endpoint Protection, การตรวจหาจุดอ่อนของ Server/Application (Vulnerability and Penetration Testing) สิ่งเหล่านี้จะต้องมีการทำอย่างต่อเนื่อง และอย่างสม่ำเสมอ
สุดท้ายที่จะขาดไม่ได้ คือการ Response และ Take Action ต่อเหตุการณ์ที่เกิดขึ้นให้ได้อย่างเหมาะสม และควรพึงระวังเรื่อง False Positive Incident ที่มีโอกาสที่เกิดขึ้นได้ การรวบรวมเหตุการณ์ที่เกิดขึ้นนี้ต้องอาศัย Technology- People- Process ทั้งสามอย่างจะต้องมีความสัมพันธ์กัน ขาดสิ่งใดสิ่งหนึ่งไม่ได้ ทุกอย่างจะต้องคำนึงถึง Business Objective เป็นหลัก Security Policy จะต้องมีความสมดุล ไม่เกิดความขัดแย้งในหลักการ