บลูบิค (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์
นางฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติ
ทั้งนี้ การประเมินความพร้อมหรือช่
หลังดำเนินการประเมินช่องโหว่การบริหารจัดการข้อมูล ขั้นตอนถัดมาคือการกำหนดแนวทางการจัดการข้อมูลเพื่อแก้ไขปัญหา ในปัจจุบันกระบวนการทำงานของธุรกิจส่วนใหญ่อยู่บนช่องทางออนไลน์และระบบเทคโนโลยีสารสนเทศ ทำให้มีข้อมูลปริมาณมากไหลเวียนภายในองค์กร โดยข้อมูลดังกล่าวอยู่กระจัดกระจาย ไม่ได้รวมอยู่ในที่เดียวกัน หรืออาจจะไม่ได้จัดเก็บรวบรวมอย่างเป็นระบบ ส่งผลไม่สามารถระบุได้อย่างชัดเจนว่าแหล่งข้อมูล (Source of Data) จัดเก็บอยู่ตรงไหนบ้าง ทำให้การป้องกันความเสี่ยงกรณีข้อมูลรั่วไหลหรือสูญหายเป็นเรื่องยากสำหรับองค์กร เนื่องจากอาจเกิดปัญหาที่ส่วนใดของการเก็บข้อมูลก็ได้
ปรับการจัดการข้อมูลด้วย 5 ขั้นตอน
- จัดทำData Mapping ซึ่งเป็นการจัดโครงสร้างข้อมูล เพื่อตรวจสอบว่าองค์กรมีข้อมูลอะไร และข้อมูลถูกเก็บไว้ที่ใดบ้าง โดยจะแสดงถึงแหล่งข้อมูลต้นทางปลายทาง ความสัมพันธ์ของข้อมูล และการไหลเวียนของข้อมูล ทำให้องค์กรนำข้อมูลไปใช้งานได้ง่ายขึ้น และหากเกิดปัญหาข้อมูลรั่วไหลหรือถูกขอให้ลบข้อมูล จะช่วยให้ระบุตำแหน่งข้อมูลได้อย่างรวดเร็ว
- จัดลำดับความสำคัญของข้อมูล (Prioritization)เป็นการนำข้อมูลที่จัดให้เป็นระบบแล้ว มาจัดลำดับความสำคัญตามระดับความอ่อนไหวของข้อมูล (Sensitivity Level) ซึ่งข้อมูลที่มีความอ่อนไหวหมายถึงข้อมูลที่เสี่ยงสร้างความเสียหายต่อบุคคลหรือองค์กรหากมีการเปิดเผยข้อมูลนั้น โดยการจัดลำดับความสำคัญของข้อมูลจะช่วยให้องค์กรสามารถออกแบบนโยบาย แนวทางจัดการข้อมูล และวางแผนการดำเนินงานได้อย่างเหมาะสมในอนาคต
- พัฒนาระบบควบคุมการเข้าถึงข้อมูล (Access Control System)เพื่อช่วยสร้างความปลอดภัยรัดกุมในการจัดการข้อมูล โดยระบบที่องค์กรควรพัฒนาเพิ่ม เช่น ระบบการให้สิทธิ์เข้าถึงข้อมูลและการยืนยันตัวตน การเข้ารหัสข้อมูลเพื่อรักษาความปลอดภัย (Encryption) รวมถึงการทำข้อมูลให้เป็นนิรนาม (Anonymization) ซึ่งหมายถึง การทำให้ข้อมูลส่วนบุคคลไม่สามารถระบุตัวตนของบุคคลได้เพื่อคุ้มครองข้อมูลส่วนบุคคล เป็นต้น
- กำหนดค่าและทดสอบระบบ (Configuration and Testing)โดยควรเริ่มจากการกำหนดมาตรฐานการตั้งค่าระบบปฏิบัติการ ระบบฐานข้อมูล และอุปกรณ์อื่นๆ ภายในเครือข่าย เพื่อเพิ่มความปลอดภัยอีกขั้นในการเข้าถึงข้อมูล รวมถึงต้องจัดเก็บการเปลี่ยนแปลงการตั้งค่า และตรวจสอบการตั้งค่าอย่างสม่ำเสมอเพื่อป้องกันความเสี่ยงที่อาจเกิดขึ้นกับระบบการจัดเก็บข้อมูล
- ผลักดันสู่การปฏิบัติจริง (Implementation)ทางองค์กรควรมีทีมงานเฉพาะกิจในการวางแผนและบริหารจัดการ เพื่อผลักดันการให้แผนการจัดการข้อมูลเป็นไปอย่างมีประสิทธิภาพและถูกต้องตามกฎหมาย โดยคณะทำงานควรเป็นมาจากตัวแทนที่เหมาะสมจากแต่ละฝ่ายงานที่เกี่ยวข้อง
ทั้งนี้ บลูบิค มองแนวทางการปรับธุรกิจให้สอดรับกับ PDPA ว่า องค์กรควรให้ความสำคัญกับเรื่
- การให้ความรู้ความเข้าใจเรื่อง PDPA กับบุคลากรในองค์กร เพื่อให้พร้อมสำหรับการปฏิบัติ
งานจริง - การกำหนดกระบวนการทำงานให้มี
ความชัดเจน ตั้งแต่การวางนโยบายและแผนกลยุ ทธ์การนำข้อมูลไปใช้งาน พร้อมระบุความชัดเจนของสิทธิ์ หน้าที่ และความรับผิดชอบ รวมไปถึงขั้ นตอนการตรวจสอบหากเกิดกรณีข้อมู ลรั่วไหล และ - การเลือกใช้เทคโนโลยีให้
เหมาะสมกับขนาดและระบบข้อมู ลขององค์กร รวมถึงควรปรับเทคโนโลยีให้ทั นสมัย เอื้อต่อการรักษาความปลอดภั ยของข้อมูล ซึ่งการเตรียมความพร้อมอย่ างรอบด้าน ทั้งเรื่องโครงสร้างข้อมูล บุคลากร กระบวนการ และเทคโนโลยีจะช่วยให้องค์ กรประสบความสำเร็จในการอุดช่ องโหว่ความเสี่ยง และรักษาความปลอดภัยของข้อมู ลได้อย่างมีประสิทธิภาพ
