ป้องกันการรั่วไหลของข้อมูลพนักงานหรือผู้มาติดต่อองค์กรอย่างไร เพื่อลดเสี่ยงผิดกฎหมาย PDPA

กฎหมาย PDPA หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ถูกกำหนดขึ้นเพื่อคุ้มครองข้อมูลส่วนบุคคล ซึ่งแน่นอนว่าย่อมเกี่ยวข้องกับหลายๆ องค์กรที่เก็บข้อมูลลูกค้า แต่อีกมุมหนึ่งยังรวมถึงข้อมูลของพนักงาน บุคคลภายในองค์กร รวมถึงผู้ที่มาติดต่อด้วย และหากคุณมีการเก็บข้อมูลบุคคลเหล่านี้ไว้ ก็เลี่ยงไม่ได้ที่ต้องปฏิบัติตาม PDPA อย่างเคร่งครัด เพื่อลดเสี่ยงทำผิดกฎหมาย นอกจากการทำตามข้อกำหนดกฎหมาย คุณยังสามารถหาตัวช่วยมาป้องกันข้อมูลรั่วไหลได้อีกขั้น และเราจะพาไปทำความรู้จักตัวช่วยอย่าง DLP (Data Loss Prevention) หรือ ระบบป้องกันข้อมูลองค์กรรั่วไหล รายละเอียดจะเป็นอย่างไรไปติดตามพร้อมๆ กันเลย

 

การป้องกันข้อมูลพนักงานหรือผู้มาติดต่อองค์กรรั่วไหลด้วย DLP

DLP (Data Loss Prevention) คือ ส่วนหนึ่งของระบบรักษาความปลอดภัยของข้อมูล เพื่อลดความเสี่ยงให้กับองค์กร กรณีที่มีการถูกโจรกรรมจากบุคคลภายนอกและจากคนภายในองค์กรเอง

โดยสามารถปรับรูปแบบการทำงานของระบบได้ตามขนาดขององค์กรและข้อมูล ทำให้ได้ระบบที่ทำงานได้อย่างมีประสิทธิภาพและเหมาะสมกับองค์กรมากที่สุด

ระบบ DLP จะช่วยควบคุมข้อมูลทั้งหมดที่ถูกจัดเก็บในระบบ มีการวิเคราะห์และคัดแยกประเภทความสำคัญของข้อมูล จัดลำดับความสำคัญ จำแนกสิทธิ์พร้อมควบคุมการเข้าถึงและส่งข้อมูลของแต่ละบุคคล

โดยจะตรวจจับและป้องกันการรั่วไหลของข้อมูลสำคัญจากช่องทางต่างๆ เช่น e-mail, website และ USB Port ซึ่งอาจเกิดขึ้นจากบุคคลภายในองค์กรทั้งโดยตั้งใจและไม่ตั้งใจ นอกจากนี้ยังช่วยป้องกันโจรกรรมจากภายนอกที่อาจใช้การรีโมทระยะไกล เช่น TeamViewer, RDP, RAdmin, AnyDesk

นอกจากนี้ DLP ยังสามารถตรวจสอบช่องทางการถ่ายโอนข้อมูล รวมถึงรายงานเหตุการณ์ความเคลื่อนไหวต่างๆ ที่เกี่ยวกับข้อมูลให้ผู้รับผิดชอบทราบ

ดังนั้นไม่ว่าข้อมูลที่ถูกจัดเก็บและจัดการในระบบของ PLD จะเป็นข้อมูลองค์กร ข้อมูลพนักงาน ข้อมูลลูกค้า หรือผู้ที่มาติดต่อ ก็สามารถตรวจจับ ป้องกัน และแจ้งเตือนทุกความเคลื่อนไหวที่เกิดขึ้นกับข้อมูลนั้นได้ทันท่วงที

 

ทำอย่างไรจึงใช้ DLP ป้องกันข้อมูลและลดเสี่ยงผิดกฎหมาย PDPA ได้อย่างมีประสิทธิภาพ

1. กำหนดขอบเขตการทำงานของระบบ DLP

ก่อนเริ่มต้นใช้งาน DLP ผู้ที่เกี่ยวข้องควรทำความเข้าใจการทำงานของระบบ เพื่อออกแบบโครงสร้างระบบ พร้อมระบุและจัดลำดับความสำคัญและความเสี่ยงของข้อมูลต่างๆ ที่มีอยู่ทั้งหมด เพื่อให้รู้ว่ามีข้อมูลส่วนใดที่ต้องป้องกันการรั่วไหล และจะป้องกันอย่างไรบ้าง

2. ต้องมีการสื่อสารมาตรการป้องกันข้อมูลรั่วไหลกับบุคคลภายในอย่างชัดเจน

การใช้ตัวช่วยเข้ามาช่วยดูแลปกป้องข้อมูลของพนักงานและผู้มาติดต่อไม่ให้รั่วไหลหรือเสี่ยงต่อการถูกละเมิด องค์กรควรมีแนวทางและมาตรการแจ้งให้พนักงานทราบ ทั้งผู้ที่เกี่ยวข้องกับการดูแลข้อมูลโดยตรง และพนักงานทั่วไปที่มีข้อมูลตนเองอยู่ในฐานข้อมูลองค์กร และได้มีการติดต่อกับบุคคลภายนอก เพื่อให้ทราบแนวทางปฏิบัติและได้รับความร่วมมืออย่างถูกต้อง

3. กำหนดสิทธิ์การเข้าถึงข้อมูล

จากการกำหนดขอบเขตและความสำคัญของข้อมูล จะทำให้ทราบได้ว่าใครควรเกี่ยวข้องกับข้อมูลส่วนไหน และมีสิทธิ์ทำอะไรกับข้อมูลนั้นบ้าง ซึ่งหากใครที่ไม่มีสิทธิ์เข้าถึงข้อมูลที่เป็นความลับ ที่เป็นข้อมูลเฉพาะ หรือหากข้อมูลถูกคัดลอก แก้ไข หรือลบ หรือมีการส่งออกสู่ภายนอก ระบบ DLP จะแจ้งเตือนให้ผู้ดูแลทราบ เพื่อจัดการและป้องกันการรั่วไหลได้ทันท่วงที

 

ข้อมูลส่วนบุคคลมีความสำคัญทั้งกับตัวบุคคลและองค์กร ดังนั้นการเก็บรักษาจึงต้องดำเนินการอย่างรอบคอบและปลอดภัย เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นทุกวิถีทาง ทั้งจากผู้ไม่หวังดี หรือจากบุคคลภายในที่อาจพลาดกระทำการละเมิดข้อมูลนั้นๆ โดยไม่ตั้งใจ

Tag

Copyright ©2022  dharmniti.co.th All rights reserved.

Log in with your credentials

Forgot your details?