PDPA Thailand

466

PDPA Thailand
PDPA Thailand
PDPA Cyber Security

**ตัดก่อนตาย เตือนก่อนวายวอด**

สโลแกนยังคงเป็นจริงเสมอเมื่อเราเทียบกับเหตุการณ์ Data Breach ที่เกิดขึ้น
ทุกท่านคงพอจะได้ทราบข่าวว่า มีหลายองค์กรมีการประมวลผล ข้อมูลส่วนบุคคลเป็นจำนวนมาก และเพิ่มขึ้นอย่างมีนัยสำคัญ ซึ่งภัยคุกคามที่ตามเหมือน “เงา” ตามตัว โดยเฉพาะ Data Breach 
เหตุการณ์ Data Breach ไม่เพียงแค่ทำให้องค์กรสูญเสียข้อมูลที่มีค่า แต่ยังนำไปสู่การเสียค่าปรับมหาศาลที่อาจสูงกว่าค่าใช้จ่ายในการปรับปรุงระบบความมั่นคงปลอดภัยถึง 100 เท่า เมื่อข้อมูลของลูกค้าหรือองค์กรถูกโจรกรรมหรือรั่วไหล องค์กรอาจต้องเผชิญกับค่าปรับและบทลงโทษที่รุนแรง โดยเฉพาะในกรณีที่องค์กรไม่ได้ปฏิบัติตามข้อกำหนดด้านความปลอดภัยตามกฎหมายและมาตรฐานสากล เช่น กฎหมาย PDPA และ พ.ร.บ.ไซเบอร์ เป็นต้น
อ่านข่าว – โทษทางปกครอง PDPA ปรับจริง 7 ล้าน “ภาคเอกชน” เหตุทำข้อมูลส่วนบุคคล “รั่ว” >> คลิก
 
ก้าวแรกของการป้องกันที่สำคัญ
**การสร้าง Security Baseline**
การสร้าง Cyber Security Baseline หรือพื้นฐานความปลอดภัยทางไซเบอร์ เป็นขั้นตอนแรกที่สำคัญในการป้องกันเหตุการณ์ Data Breach
การจะทำการทำให้ Security Baseline มีความแข็งแกร่งได้นั้นต้องเกิดจาก “Risk Base Thinking” หรือ การออกแบบความปลอดภัยบนพื้นฐานความเสี่ยงที่มีอยู่ในองค์กร  
3 ขั้นตอนที่ทำให้องค์กรมีความปลอดภัยอย่างต่อเนื่อง
  • Step ที่ 1 **การสำรวจและประเมินความเสี่ยง (Risk Assessment)** ตรวจสอบและประเมินความเสี่ยงที่อาจเกิดขึ้นต่อระบบและข้อมูลอย่างสม่ำเสมอ
  • Step ที่ 2 **การประเมินมาตรการที่มีอยู่ (As-Is) และที่ควรจะมี (To-Be) เพื่อการจัดการความเสี่ยง โดยมาตรการต่าง ๆ นั้นควรครอบคลุม ทั้งมาตรการเชิงองค์กร มาตรการเชิงกายภาพ และมาตรการเชิงเทคนิค พร้อมต้องได้รับการสนับสนุนอย่าง “จริงจัง” จากผู้บริหารขององค์กร เช่น ให้ทรัพยากรในการจัดการความเสี่ยง
  • Step ที่ 3 **การทดสอบความปลอดภัย (Security Assessment)** เมื่อมีมาตรการและต้องมั่นใจว่า มาตรการที่มีอยู่มีประสิทธิภาพหรือใช้ได้จริง องค์กรต้องมีการทดสอบอย่างสม่ำเสมอ ตั้งแต่ความตระหนักรู้ของคนในองค์กร ไปจนถึงเทคโนโลยีที่มาช่วยเป็นปราการด่านสำคัญในการปกป้องข้อมูล
 
จากข้อมูลที่กล่าวมาข้างต้น ลองทบทวนอีกครั้งว่า วันนี้องค์กรของท่านมีเครื่องมือเพื่อป้องกันการเกิด Data Breach และลดความเสี่ยงที่อาจเกิดขึ้นกับองค์กรที่เพียงพอแล้วหรือยัง เลยอยากชวนคิดด้วย Checklist ง่าย ๆ ต่อไปนี้
Security Checklist สำรวจความมั่นคงปลอดภัยข้อมูลองค์กร
1. **ระบบควบคุมการเข้าถึง (Access Control)** 
    • ระบบมีการกำหนดสิทธิการเข้าถึงตามความจำเป็นหรือไม่? 
    • มีการตรวจสอบบันทึกการเข้าถึงอย่างสม่ำเสมอหรือไม่?
    • เมื่อพนักงานลาออกแล้ว (ทั้งแบบตามรอบ/ออกทันที) มีการบริหารจัดการสิทธิเข้าถึงอย่างไร?
2. **การจัดการข้อมูล (Data Management)** 
    • ข้อมูลสำคัญได้รับการเข้ารหัสหรือไม่? 
    • มีมาตรการป้องกันข้อมูลสูญหายหรือไม่?
    • มีมาตรการสำรองข้อมูลอย่างไร? 
    • มีพิมพ์เขียว หรือ Blueprint เกี่ยวกับการจัดการข้อมูลและมาตรการความปลอดภัยที่เหมาะสมมากน้อยเพียงใด
3. **การฝึกอบรมบุคลากร (Employee Training)** 
    • พนักงานได้รับการฝึกอบรมเกี่ยวกับภัยไซเบอร์และวิธีป้องกันอย่างต่อเนื่องหรือไม่?
4. **การสำรวจและประเมินความเสี่ยง (Risk Assessment)** 
    • มีการประเมินความเสี่ยงด้านไซเบอร์อย่างสม่ำเสมอหรือไม่?
สุดท้ายนี้ ผมเชื่ออย่างสุดหัวใจว่าทุกองค์กรไม่อยากโดนปรับ 100 เท่า ซึ่งจะดีกว่าไหมถ้ามาเริ่ม **ตัดก่อนตาย เตือนก่อนวายวอด** ตั้งแต่วันนี้โดย Checklist ง่ายๆ เพื่อเกิดการ “ตระหนักอย่างไม่ตระหนก” เมื่อภัยมาเยือนถึงองค์กรท่าน
pdpa guru
dpo in action อบรม pdpa dpo
DPO ภาครัฐ PDPA
หลักสูตร PDPA in Action
DPAC อบรม PDPA Internal Audit
PDPA Guru Google Forms EP8
DPOinActionรุ่น19 1200x300
DPO in Action TU - 1200x300
Advanced PDPA in Action สำหรับภาคเอกชน
Banner DPAC 1200x300
dpo รวม