การรักษามาตรฐานและทำตามกฎหมายด้านไซเบอร์ โดยเฉพาะการรักษาความปลอดภัยของข้อมูลนั้น ถือเป็นสาเหตุโรคไมเกรนของฝ่ายไอทีเป็นอันดับหนึ่ง และปัจจุบันไม่ได้มีแค่ “มาตรฐาน” หรือ “กฎหมายของประเทศนู้นนี้” อย่าง HIPAA หรือ SOX แล้ว แต่เรากำลังจะมีกฎที่บังคับเชิงพฤตินัยครอบคลุมทั่วโลก และปรับโหดสุดๆ อย่าง GDPR ด้วย
ทาง CIO.com จึงสำรวจผู้เชี่ยวชาญด้านความปลอดภัย กฎระเบียบ และมาตรฐานด้านไอทีเพื่อหาว่าปัญหาที่ใหญ่ที่สุดที่องค์กรต่างๆ กำลังเผชิญเกี่ยวกับการปฏิบัติตามมาตรฐานและกฎหมายนั้นคืออะไร รวมทั้งแนวทางในการจัดการทั้งสิ้น 5 อันดับแรกดังต่อไปนี้
BYOD
อุปกรณ์พกพาส่วนตัวทั้งหลาย โดยเฉพาะสมาร์ทโฟนและแท็บเล็ต ต่างเพิ่มช่องโหว่ด้านความปลอดภัยแก่องค์กรเป็นอย่างมาก ซึ่งเราลดความเสี่ยงดังกล่าวได้โดยบังคับใช้นโยบาย BYOD ที่เข้มงวด และมีการควบคุมทางเทคนิครองรับอยู่เบื้องหลัง เช่น การใช้โปรโตคอลจัดการอุปกรณ์พกพาอย่าง Google Mobile Device Management ที่สามารถเข้าถึงบัญชีผู้ใช้ที่ต้องการ หรือลบข้อมูลในอุปกรณ์ผู้ใช้ได้จากระยะไกล นอกจากนี้การบังคับให้ตั้งรหัสผ่านล็อกเครื่องที่มีความยาวมาก เพราะงานวิจัยพิสูจน์แล้วว่ารหัสผ่านยิ่งยาวยิ่งปลอดภัย (ไม่ใช่มานั่งตั้งตัวพิมพ์ใหญ่พิมพ์เล็กตัวเลขสัญลักษณ์บ้าบอคอแตกจนสุดท้ายลืมเอง) รวมทั้งควรเปลี่ยนระบบยืนยันตนจากทาง SMS มาใช้ระบบรหัสผ่านจำกัดเวลาอย่าง Google Authenticator ในฐานะ 2FA เป็นต้น
การจัดการซอฟต์แวร์ (อัพเดตและติดตั้งแพทช์)
ปีที่แล้ว จำนวนช่องโหว่ที่พบในซอฟต์แวร์ทั้งที่จำหน่ายและแบบโอเพ่นซอร์สเพิ่มขึ้นกว่าเท่าตัว จึงเพิ่มแรงกดดันให้องค์กรต้องเข้มงวดในการติดตั้งแพทช์อย่างรวดเร็ว ดังจะเห็นจากความวุ่นวายของการติดตั้งแพทช์ช่องโหว่ที่กระทบกับคนทั่วโลกอย่าง Meltdown และ Spectreเมื่อปลายปีที่ผ่านมา และกรณีข้อมูลรั่วไหลของ Equifax ที่เกิดจากช่องโหว่ของโอเพ่นซอร์สที่บริษัทไม่ยอมลงแพทช์อุดช่องโหว่ภายในเวลาอันรวดเร็ว จนแฮ็กเกอร์ใช้ประโยชน์จากข้อมูลช่องโหว่ที่มีการเปิดเผยต่อสาธารณะแล้วเข้าแฮ็กข้อมูลได้ ดังนั้นสิ่งที่สำคัญที่สุดคือ การติดตามข่าวสารด้านช่องโหว่และติดตั้งแพทช์ให้เร็วที่สุด
GDPR
กับเดดไลน์วันที่ 25 พฤษภาคมนี้ กฎใหม่ได้ครอบคลุมมากกว่าแค่ความปลอดภัยของข้อมูล โดยควบคุมการใช้และเคารพข้อมูลส่วนบุคคลด้วย ซึ่งหลีกเลี่ยงไม่ได้ที่จะเกิดผลกระทบกับทั้งองค์กร และเธิร์ดปาร์ตี้ที่เกี่ยวข้องด้วย โดยบริษัทที่รวบรวมข้อมูล, ขายสินค้าหรือบริการให้แก่คนยุโรป หรือแม้แต่การได้รับ, จัดเก็บ, หรือประมวลผลข้อมูลส่วนตัวของคนในอียูในฐานะลูกค้าของบริษัทก็จำเป็นต้องปฏิบัติตามกฎนี้ทั้งสิ้น ไม่ว่าคุณจะอยู่ประเทศไหนในโลกนี้ก็ตาม สิ่งที่สำคัญมากคือการบันทึกและทำรายงานที่เกี่ยวข้อง โดยเฉพาะการบันทึกกิจกรรมการจัดการเกี่ยวกับข้อมูล ซึ่งมีเว็บมากมายทำแม่แบบรายงานให้คุณโหลดมาประยุกต์ใช้ได้แล้ว
EDI และการจัดการกับคนนอก
หรือการแลกเปลี่ยนข้อมูลกับองค์กรภายนอกนั้น เป็นปัจจัยเสี่ยงต่อการเกิดข้อมูลรั่วไหลมากถึง 63 เปอร์เซ็นต์ อย่างที่ได้ยินข่าวของบริษัทดังไม่ว่าจะเป็น Target (ที่สาเหตุจากผู้ให้บริการระบบ HVAC) และ Home Depot (จากซอฟต์แวร์ PoSบนอุปกรณ์พกพา) รวมไปถึง Phillips (บริการประมวลผลเงินเดือน) ต่างมีต้นตอจากเธิร์ดปาร์ตี้ตัวดีทั้งสิ้น ดังนั้นไม่เพียงเราต้องเข้มงวดด้านความปลอดภัยกับซัพพลายเออร์ข้างนอกเท่านั้น แต่ยังต้องเข้มงวดในการให้ผู้จำหน่ายหรือให้บริการทั้งหลายปฏิบัติให้สอดคล้องกับกฎหมายและมาตรฐานอยู่ตลอดด้วย
IoT
ด้วยอัตราการเติบโตของปริมาณการใช้งานอย่างก้าวกระโดด โดยเฉพาะจำนวนอุปกรณ์เอนด์พอยต์และที่ต้องเชื่อมต่อระหว่างกัน ขณะที่เรื่องของมาตรฐานความปลอดภัยที่เกี่ยวข้องกลับออกมาไล่ตามไม่ทัน จนทำให้เกิดช่องโหว่ใหม่ๆ บนเครือข่ายขององค์กรจำนวนมาก และเป็นปัญหาใหญ่ที่คืบคลานเกือบทุกวงการไม่ว่าจะเป็นด้านสถาบันการเงิน, ร้านค้าปลีก, อาหารและเครื่องดื่ม, อุตสาหกรรม, พลังงาน, น้ำมัน, ยานยนต์, การขนส่ง, ไปจนถึงบริษัทด้านสาธารณูปโภคทั้งหลาย จนความร้ายแรงของอันตรายที่เกิดจากช่องโหว่ในระบบ IoT นั้นมีมากกว่าด้านการเงินหรือชื่อเสียงขององค์กรเสียอีก
ซึ่งอาจไปมีผลต่อการทำร้ายร่างกายของมนุษย์จริงด้วยดังนั้นซีไอโอควรนำทีมทดสอบการเจาะระบบอย่างน้อยปีละครั้งเพื่อให้มั่นใจว่าระบบ IoT ในบริษัทยังสอดคล้องตามมาตรฐานด้านความปลอดภัย และควรเพิ่มความถี่มากขึ้นเมื่อมีการเปลี่ยนแปลงด้านสถาปัตยกรรมของ IoT รวมทั้งควรพิจารณาขังเครือข่ายแยกหรือ Sandbox กลุ่มอุปกรณ์ IoT เท่าที่ทำได้ เพื่อป้องกันการเข้าถึงของแฮ็กเกอร์ด้วย
ที่มา : CIO.com
