สอบบัญชี

ในยุค Digital Transformation สิ่งที่องค์กรต้องมี เมื่อนำระบบ Cloud มาใช้

บางท่านอาจจะพอได้ยินมาบ้างแล้วว่า ยุคนี้นับเป็นยุค Digital Transformation ของวงการธุรกิจ ที่หลายๆองค์กรมีการนำเทคโนโลยีดิจิทัลใหม่ ๆ มาปรับใช้ในการดำเนินธุรกิจ ตลอดจนขั้นตอนการทำงาน การให้บริการกับลูกค้า และวัฒนธรรมขององค์กร ให้ตามทันโลกเศรษฐกิจ และไม่โดน Digital Disruption หรือสภาวะที่ธุรกิจถูกทำให้หยุดชะงักในยุคที่เทคโนโลยีดิจิทัลพัฒนาไปอย่างรวดเร็ว และการแพร่ระบาดของไวรัสโควิด-19 ที่มีในปัจจุบันยังไม่หายไปไหน ทำให้มีการทำงานแค่ภายในออฟฟิศน้อยลง ยิ่งทำให้มีความจำเป็นที่ต้องใช้เทคโนโลยีมากขึ้นเพื่อให้การทำงานจากภายนอกสถานที่มีความสะดวกและมีประสิทธิภาพ

จากในอดีตธุรกิจส่วนใหญ่มักจะใช้การบันทึกข้อมูลทั้งหมดลงบนกระดาษ เมื่อถึงยุคที่คอมพิวเตอร์เข้ามามีบทบาท ก็เปลี่ยนไปบันทึกข้อมูลลงบนโปรแกรมรูปแบบ Spreadsheets และมาจนถึงปัจจุบันหลายองค์กรเร่งลงทุนและหันมาใช้บริการซอฟต์แวร์บนระบบ Cloud ในกระบวนการทางธุรกิจต่าง ๆ ให้สามารถเข้าถึงโปรแกรมผ่านอินเทอร์เน็ตได้ทุกที่ ทุกเวลา และหลายอุปกรณ์

ซึ่งองค์กรที่มีการนำเทคโนโลยีระบบ Cloud มาใช้ ต้องให้ความสำคัญในด้านความปลอดภัยของข้อมูลเป็นอย่างมาก เพื่อรับมือกับภัยคุกคามที่จะมีเพิ่มขึ้นในอนาคต จากคาดการณ์ของ Gartner บริษัทผู้วิจัยและให้คำปรึกษาระดับโลก ได้ระบุว่ากว่า 95% ของเหตุการณ์ข้อมูลรั่วไหลในระบบ Cloud ล้วนมีสาเหตุมาจากความผิดพลาดในการกำหนดตั้งค่าต่าง ๆ หรือการหละหลวมของผู้ดูแลระบบและผู้ใช้งาน และตามรายงานของ Fugue บริษัทซอฟต์แวร์ในสหรัฐอเมริกาได้ระบุว่า อาชญากรทางไซเบอร์นั้นอาจใช้เวลาเพียง 10 นาที เท่านั้น ในการตรวจหาความหละหลวมหรือข้อผิดพลาดต่าง ๆ ภายในองค์กรที่ใช้ระบบ Cloud แต่กลับมีองค์กรเพียง 10% ที่สามารถรับมือและแก้ไขปัญหาดังกล่าวได้ทันในเวลาที่เท่ากัน ดังนั้น องค์กรที่มีการนำระบบ Cloud มาใช้ ไม่ว่าจะ private cloud, public cloud และ hybrid cloud ก็ควรต้องมีสิ่งเหล่านี้

1. มีการกำหนดนโยบายความมั่นคงปลอดภัยทางไซเบอร์ (Cybersecurity) ขององค์กร

องค์กรควรมีการกำหนดนโยบายด้านการใช้งานระบบ Cloud ที่ชัดเจนและเหมาะสมกับองค์กร และอิงตามมาตรฐานและข้อบังคับ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ประกาศบังคับใช้แล้ว และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลจะมีการประกาศบังคับใช้ในวันที่ 1 มิถุนายน 2565 นี้ ซึ่งกฎหมายทั้ง 2 ฉบับนี้ต่างมีเนื้อหาให้แต่ละองค์กรต้องมีมาตรการควบคุมสำหรับรักษาความมั่นคงปลอดภัยและปกป้องข้อมูลบน Cloud เช่น การจัดลำดับความสำคัญของข้อมูล การแชร์ข้อมูลระหว่างแผนก ข้อหนดในการเปิดสิทธิ์ในการเข้าถึงข้อมูลให้กับพนักงานภายในและจากภายนอก การล็อกอินเข้าสู่ระบบ Cloud ของบริษัทจาก Network ที่กำหนดต่าง ๆ เป็นต้น เพื่อให้พนักงานมีแนวทางในการปฏิบัติตามที่ชัดเจนและถูกต้อง หากผู้ใช้งานหรือพนักงานในองค์กรไม่มีความรู้ทางด้านความปลอดภัยทางไซเบอร์ทําให้ไม่ระมัดระวังในการใช้งานระบบ จนอาจจะทําให้ข้อมูลรั่วไหลได้

2. มีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลบนระบบ (Limit permissions)

องค์กรหรือผู้ดูแลระบบ (Admin) ควรมีการควบคุมหรือดูแลการกำหนดสิทธิ์ในการเข้าถึงข้อมูลต่าง ๆ บนระบบ Cloud ให้เป็นไปอย่างเหมาะสม ข้อมูลที่สำคัญเปิดสิทธิ์ให้เข้าถึงได้เฉพาะผู้ที่มีส่วนเกี่ยวข้องเท่านั้น ซึ่งถือเป็นสิ่งที่สำคัญที่สุด ยิ่งมีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลรัดกุมมากขึ้นเท่าไหร่ ก็ยิ่งเป็นผลดีต่อองค์กรมากขึ้นเท่านั้น

3. มีการเข้ารหัสข้อมูล (Data Encryption)

การเข้ารหัสข้อมูลนี้ถือเป็นสิ่งสำคัญในการควบคุมการเข้าถึงข้อมูล เพราะถึงแม้ข้อมูลเหล่านี้จะตกไปอยู่ในมือของผู้ไม่หวังดีก็ยังมีรหัสที่คอยปกป้องการเข้าถึงได้อีกชั้นหนึ่ง และต้องใช้รหัสการเข้าถึงที่ถูกต้องเท่านั้น ซึ่งการเข้ารหัสข้อมูล เป็นอีกหนึ่งวิธีการที่จะช่วยลดปัญหาการรั่วไหลของข้อมูลจากในระบบ cloud ได้ โดยเฉพาะอย่างยิ่งกับข้อมูลที่สำคัญและเป็นความลับขององค์กร เช่น ไฟล์ข้อมูลการเงิน ไฟล์ฐานข้อมูลลูกค้า เป็นต้น
       

4. มีการควบคุมการยืนยันตัวตนเข้าสู่ระบบ (Authentication) อย่างมีประสิทธิภาพ

องค์กรหรือผู้ดูแลระบบ (Admin) ควรเพิ่มความปลอดภัยในการล็อกอินเข้าสู่ระบบ Cloud ด้วยการยืนยันตัวตนในรูปแบบอื่น ๆ และมากกว่า 1 ขั้นตอน จึงเป็นสิ่งจำเป็นมากขึ้น เช่น การเปิดใช้งาน Multi-Factor Authentication หรือ Two-Step Verification ต่าง ๆ เป็นต้น

5. มีการติดตามและตรวจสอบการใช้งาน (Monitor) อย่างสม่ำเสมอ

องค์กรที่ใช้บริการระบบ Cloud จะได้เห็นว่า แพลตฟอร์มของผู้ให้บริการ Cloud มักจะมีหน้า Admin Console สำหรับตั้งค่าและจัดการผู้ใช้ ที่แสดงข้อมูลและกิจกรรมต่าง ๆ ของผู้ใช้งานทั้งหมดอยู่เสมอ ซึ่งเป็นหน้าที่ของผู้ดูแลระบบ (Admin) ที่จะต้องคอยตรวจสอบและวิเคราะห์ความผิดปกติต่าง ๆ ที่เกิดขึ้นในระบบ เช่น การสร้างไฟล์ การกำหนดสิทธิ์ในการเข้าถึงข้อมูล รวมถึงการดาวน์โหลดข้อมูลออกจาก Cloud โดยการตรวจพบกิจกรรมต้องสงสัยหรือผู้ที่ไม่ปฏิบัติตามกฎขององค์กรนี้ก็จะช่วยป้องกันความเสียหายจากเหตุการณ์ไม่คาดฝันได้เป็นอย่างดี

จากที่กล่าวมาผู้อ่านคงทราบกันแล้วว่า ในยุค Digital Transformation ที่องค์กรมีการใช้บริการระบบ Cloud ในการดำเนินธุรกิจมากขึ้น ต้องมีการควบคุมดูแลที่มีประสิทธิภาพอยู่เสมอ ซึ่งเป็นสิ่งสำคัญต่อการรักษาข้อมูลให้ปลอดภัยในยุคนี้ หากมีการควบคุมที่ดีและหมั่นตรวจสอบดูแลอย่างสม่ำเสมอ จะช่วยป้องกันและลดความเสี่ยงที่ข้อมูลที่สำคัญขององค์กรเกิดการรั่วไหลไปสู่ภายนอก และผู้เขียนหวังว่าบทความนี้จะทำให้คุณได้รับความเข้าใจและได้ประโยชน์จากการอ่านไม่มากก็น้อย

ผู้เขียน : ชฎาพา สุขสมัย บริษัท สอบบัญชีธรรมนิติ จำกัด

แหล่งข้อมูลอ้างอิง : https://www.cyfence.com/article/learn-how-to-prevent-data-leaks-on-cloud-organizations/