เชื่อว่าหลายองค์กรในขณะนี้ต่างมีความเข้าใจถึงความสำคัญของการบังคับใช้กฎหมาย PDPA ซึ่งหัวใจสำคัญอยู่ที่การจัดการข้อมูลส่วนบุคคล ซึ่งจะเป็นการเสริมความมั่นคงปลอดภัยและความมั่นใจให้แก่ลูกค้า หรือผู้ใช้งาน เพื่อเป็นการส่งท้ายก่อนกฎหมาย PDPA จะมีผลบังคับใช้อย่างเป็นทางการในกลางปีนี้ จึงอยากเชิญชวนองค์กรมาเช็กความพร้อมของระบบไอทีไม่ให้ตกหล่นเครื่องมือสำคัญที่ต้องมีเพื่อให้การดำเนินการตามกฎหมายมีประสิทธิภาพและปลอดภัยสูง นั่นคือ
เครื่องมือค้นหาและจัดประเภทข้อมูล (Data Discovery and Classification)
เพราะแต่ละองค์กรต่างมีการจัดเก็บและเรียกใช้และปรับปรุงข้อมูลมากมายกระจัดกระจายอยู่ในระบบทั้งในองค์กร นอกองค์กร บนคลาวด์ หรือแม้ในปลายทาง หรือเอนด์พอยนต์ อย่างโทรศัพท์มือถือ หรือ BYOD ต่างๆ ดังนั้น การค้นหาและจัดประเภทข้อมูล จึงเป็นก้าวเริ่มต้นที่สำคัญในการวางระบบความปลอดภัยให้ข้อมูล เพราะเราคงไม่สามารถคุ้มครองข้อมูลส่วนบุคคลหรือข้อมูลใดๆ ได้เลยหากไม่รู้ว่าข้อมูลนั้นอยู่ที่ไหน ข้อมูลใดสำคัญหรือไม่สำคัญ และควรกำหนดแนวทางคุ้มครองอย่างไร
การมีเครื่องมือไอทีที่ดีในการจัดทำคลังข้อมูลส่วนบุคคล นับเป็นการสร้างกระบวนการบริหารเชิงรุกไม่ให้มีการนำข้อมูลไปใช้ผิดวัตถุประสงค์หรือผิดกฎหมาย ไม่ว่าจะเป็นการเพิ่มประสิทธิภาพในการค้นหา ระบุตำแหน่งที่จัดเก็บ และคัดแยกประเภทของข้อมูลส่วนบุคคลในระบบ การกำหนดสิทธิในการเข้าถึงผ่านการกำกับดูแลได้จากจุดเดียว สามารถติดตามกิจกรรมที่เกิดขึ้นกับการเรียกหรือใช้งานข้อมูลเหล่านั้นได้ทั้งการตรวจสอบย้อนหลัง หรือป้องปรามโดยการแจ้งเตือนทันทีที่เกิดการละเมิดนโยบายหรือข้อตกลง รวมถึงป้องกันการเข้าถึงข้อมูลด้วยการเข้ารหัส หรือเพิ่มการวิเคราะห์ตรวจประเมินช่องโหว่ตามมาตรฐานความปลอดภัยสากลต่างๆ เช่น DoD STIG, CIS, CVE ซึ่งในตลาดขณะนี้ก็มีโซลูชันให้เลือกใช้ได้อย่างครอบคลุม เช่น IBM Security Guardium
ดังนั้น การบริหารจัดการกับปริมาณข้อมูลส่วนบุคคลที่มีปริมาณมากและเพิ่มขึ้นตลอดเวลา การมีเครื่องมือช่วยบริหารจัดการข้อมูลส่วนบุคคลให้เป็นไปตามกฎระเบียบข้อบังคับอย่างมีประสิทธิภาพ จะสามารถเพิ่มความน่าเชื่อถือให้แก่องค์กร และลดความเสี่ยงของความเสียหายที่อาจเกิดขึ้นได้เป็นอย่างดี
เครื่องมือป้องกันการรั่วไหลของข้อมูล (Breach Management)
แนวทางป้องกันข้อมูลไม่ให้เกิดการรั่วไหลได้อย่างมีประสิทธิภาพ ควรดำเนินการควบคู่กันทั้ง 2 ด้าน ได้แก่ การติดตั้งเครื่องมือหรือแพลตฟอร์มในการจัดการกับระบบจัดเก็บข้อมูล เพื่อรองรับปริมาณข้อมูลที่กำลังเพิ่มขึ้นอย่างรวดเร็วให้สามารถขยายการใช้งานได้ไม่จำกัด และสามารถทำการสำรองและกู้คืนข้อมูล พร้อมกับการตรวจจับภัยคุกคามตัวป่วนอย่างแรนซัมแวร์ได้อย่างมีประสิทธิภาพ ที่สำคัญคือ ควรเป็นแพลตฟอร์มที่รองรับการทำงานร่วมกับโซลูชันจัดเก็บข้อมูลและฐานข้อมูลหลากหลาย รวมถึงคลาวด์ต่างๆ เพื่อการลงทุนที่คุ้มค่าและใช้งานกันไปยาวๆ ดังเช่น แพลตฟอร์ม HPE Cohesity
เครื่องมือการร่วมตรวจจับและตอบสนองต่อภัยคุกคามทางไซเบอร์ (Cross-Layer Detection and Response)
การมีระบบร่วมตรวจจับภัยคุกคามหลายช่องทางที่อยู่บนระบบคอมพิวเตอร์ ไม่ว่าภัยคุกคามที่แฝงตัวมากับอีเมล ระบบเครือข่าย และอุปกรณ์ปลายทาง เช่น เซิร์ฟเวอร์ เครื่องคอมพิวเตอร์ คลาวด์ iOT จะทำให้ให้องค์กรมีมุมมองในเรื่องทิศทางการโจมตีของภัยคุกคามที่หลากหลาย เราสามารถตรวจจับได้อย่างแม่นยำ และรวดเร็วมากยิ่งขึ้น ตัวอย่างเครื่องมือเหล่านี้ได้แก่ Trend Micro Vision One ( Extended Detection & Response) ที่มีความสามารถตรวจจับได้หลายช่องทางและมีความสามารถในการเชื่อมโยงความสัมพันธ์ของภัยคุกคามได้อย่างดีเยี่ยม
นอกจากนี้ ยังมีโซลูชันในการจัดการกับอุปกรณ์ปลายทาง (Endpoint) โดยเฉพาะ BYOD (Bring Your Own Device) ที่มีแนวโน้มการใช้งานที่เพิ่มขึ้นหลายเท่าตัวในทุกๆ ปี ให้มีความครบครันในแบบยูนิฟายด์ เอนด์พอยนต์ (Unified Endpoint Management) โดยทำหน้าที่ตรวจจับหรือปิดกั้นการใช้แอปพลิเคชันหรือบริการที่สุ่มเสี่ยงให้เกิดภัยคุกคามตามมา การควบคุมการใช้งานให้เป็นไปตามระเบียบที่องค์กรกำหนด การปกป้องข้อมูลภายในเครื่องไม่ให้ถูกโจมตีขณะใช้งาน หรือกรณีอุปกรณ์เกิดสูญหายก็สามารถบล็อกการเข้าถึงข้อมูลได้แม้มีรหัสผ่าน ตัวอย่างเช่น โซลูชัน VMware Carbon Black เป็นต้น
เครื่องมือในการจัดการกับฐานข้อมูลคำยินยอม (Consent Management)
ข้อมูลอีกประเภทหนึ่งที่จะเติบโตมากขึ้นหลังการบังคับใช้กฎหมาย PDPA คือ ฐานข้อมูลคำยินยอมที่องค์กรธุรกิจกับลูกค้าจะต้องกระทำต่อกันเพื่อให้เกิดผลคุ้มครองข้อมูลส่วนบุคคล องค์กรจึงต้องมีเครื่องมือที่มาช่วยจัดทำระบบฐานข้อมูลคำยินยอม (Consent) เพื่อกำหนดสิทธิของเจ้าของข้อมูลในการเข้าถึง ทบทวนหรือแก้ไขข้อมูลของตัวเอง มีระบบให้บริการจัดทำ ติดตาม ตรวจสอบ หรือเก็บรวบรวมคำยินยอมต่างๆ ที่เกิดขึ้นตามกระบวนการทำงาน หรือการดำเนินธุรกิจขององค์กรอย่างเป็นทางการ รวมทั้งการขอความยินยอมในการจัดเก็บไฟล์คุกกี้ หรือข้อมูลของผู้ใช้งาน (Cookie Consent) กรณีเข้าชมเว็บไซต์ ซึ่งตามกฎหมาย PDPA ถือว่าเป็นข้อมูลส่วนบุคคลประเภทหนึ่งที่ต้องมีการขอคำยินยอมก่อนใช้ โดยเจ้าของข้อมูลสามารถขอแก้ไข ยกเลิกหรือถอนคำยินยอมเมื่อไหร่ก็ได้ ซึ่งถ้าองค์กรไม่ปฏิบัติให้ถูกต้องก็จะมีบทลงโทษทางกฎหมายเช่นเดียวกัน
ดังนั้น องค์กรใดที่มีความพร้อมในการเดินหน้าระบบคุ้มครองข้อมูลส่วนบุคคลตรงตามการประกาศใช้ PDPA จึงนับเป็นอีกหนึ่งการันตีถึงความเชื่อมั่นและภาพลักษณ์ทางธุรกิจที่ยึดโยงถึงประโยชน์และความมั่นคงปลอดภัยของลูกค้าเป็นสำคัญ