Wednesday, December 18, 2024

หยุดเข้าใจผิด! #ISO27001 ไม่ใช่เรื่องของไอทีเท่านั้น !!!

แทบทุกหน่วยงานที่มีโอกาสเข้าไปแลกเปลี่ยนเกี่ยวกับมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISO27001 จะเข้าใจว่า "มันเป็นเรื่องของ IT"

ไม่ใช่แบบนั้นดิ!


ISO27001 ไม่ได้โฟกัสแค่เรื่องไอที แต่มันเกี่ยวกับ “ข้อมูล” ในทุกๆ รูปแบบ ไม่ว่าข้อมูลนั้นจะถูกเก็บไว้ที่ไหนหรือในลักษณะใด เช่น:

  • ข้อมูลในระบบไอที: พวกไฟล์ดิจิทัล, ฐานข้อมูล, หรือแอปพลิเคชัน
  • ข้อมูลบนกระดาษ: เอกสาร, สัญญา หรือแบบฟอร์มต่างๆ
  • ข้อมูลในตู้เอกสาร: เช่น แฟ้มที่ถูกล็อกไว้อย่างดีในตู้
  • ข้อมูลในอุปกรณ์: เช่น ซอฟต์แวร์ที่อยู่ในเครื่องจักรหรืออุปกรณ์เฉพาะ ปัจจุบันเริ่มเยอะขึ้นเรื่อย ๆ 
  • ข้อมูลที่อยู่ในบุคคล: ความรู้เฉพาะที่บางคนในองค์กรเท่านั้นที่รู้

แล้วทำไมไอทีถึงถูกพูดถึงเยอะใน ISO27001?


ก็เพราะในยุคนี้ ข้อมูลส่วนใหญ่ถูกจัดเก็บ, ส่งต่อ, ประมวลผล, ทำให้แสดงผล ในระบบไอที เช่น เซิร์ฟเวอร์, คลาวด์ หรือระบบต่างๆ การปกป้องข้อมูลในระบบเหล่านี้จากภัยคุกคาม เช่น การแฮ็ก การสูญหายของข้อมูล หรือไวรัส ในระบบไอทีจึงเป็นเรื่องสำคัญมาก

 

แต่...ISO27001 ไม่ได้หยุดอยู่แค่ไอที!


ISO27001 ให้ความสำคัญกับ “ความมั่นคงปลอดภัยของข้อมูล (Information Security)” โดยมองในมุมกว้างครอบคลุมข้อมูลทุกประเภท และเน้น 3 หลักการสำคัญที่ช่วยปกป้องข้อมูล:

  1. Confidentiality (ความลับ): ป้องกันไม่ให้ข้อมูลตกไปอยู่ในมือคนที่ไม่ควรเข้าถึง
  2. Integrity (ความถูกต้อง): ทำให้มั่นใจว่าข้อมูลจะไม่ถูกแก้ไขหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
  3. Availability (ความพร้อมใช้งาน): ทำให้ข้อมูลพร้อมใช้งานเมื่อจำเป็น

ตัวอย่างง่ายๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย
  • เอกสารสำคัญในตู้เอกสารที่ถูกล็อกไว้ นั่นคือการปกป้อง Confidentiality
  • ข้อมูลในระบบไอทีที่มีการตรวจสอบสิทธิ์ก่อนแก้ไขไฟล์ นั่นคือการรักษา Integrity
  • ซอฟต์แวร์ในเครื่องจักรที่ต้องมีระบบสำรองข้อมูล หากเกิดปัญหา นั่นคือการรับรอง Availability

สรุปง่ายๆ ISO27001 ไม่ใช่แค่เรื่องของไอที แต่มันคือเรื่องของ "ข้อมูล" และการปกป้องข้อมูลนั้นให้มั่นคงปลอดภัย ไม่ว่าจะอยู่ในคอมพิวเตอร์, กระดาษ, ตู้เอกสาร หรือแม้แต่ในหัวของพนักงาน ถ้าคิดว่า ISO27001 คือเรื่องของไอทีอย่างเดียว นั่นเป็นความเข้าใจผิด เพราะเป้าหมายที่แท้จริงของมันคือการปกป้องข้อมูลในทุกมิติอย่างรอบด้าน

Monday, October 14, 2024

อีก 1 เหตุผลที่เราต้องมี Data Security ให้ครบ Lifecycle


อีก 1 เหตุผลที่เราต้องมี Data Security ให้ครบ Lifecycle เพราะถ้าหลุดจริง 512 Gb ข้อมูลไม่น้อยเลย 

ปล. จากข้อมูลในข่าวถือว่าโรงพยาบาลมีการจัดการที่ดีเลยถ้ามีการดำเนินการจริง แต่อาจจะไม่ได้หลุดจากเครื่องของโรงพยาบาล แต่เป็นเครื่องของเจ้าหน้าที่ก็ได้นะ Root cause analysis และหาทางแก้ไขปรับปรุงกันต่อไป ;)))

Sunday, September 29, 2024

NIST Updates Password Security Guidelines

The National Institute of Standards and Technology (NIST) has released new guidelines for password security, marking a significant shift from traditional practices. Key changes include:

  • Password Complexity: NIST no longer recommends complex requirements like mixing characters. Instead, they emphasize longer passwords, suggesting a minimum of 8 characters and allowing up to 64 characters for passphrases.
  • Periodic Changes: Mandatory periodic password changes are discouraged. Passwords should only be changed when there’s evidence of compromise.
  • Weak Passwords: Organizations should block commonly used or compromised passwords and avoid password hints or knowledge-based questions.
  • Multi-Factor Authentication: NIST strongly encourages the use of multi-factor authentication (MFA) for added security.
---
NIST Special Publication 800-63B. (n.d.). https://pages.nist.gov/800-63-4/sp800-63b.html#passwordver
Baran, G. (2024, September 27). NIST recommends new rules for password security. Cyber Security News. https://cybersecuritynews.com/nist-rules-password-security/#google_vignette

Sunday, September 15, 2024

แนวทางการจัดทำแผนฉุกเฉินด้านไอที (IT Contingency Plan) เพื่อรับมือกับเหตุการณ์วิกฤต

การจัดการความต่อเนื่องทางธุรกิจ (Business Continuity Management: BCM) เป็นกระบวนการที่องค์กรต้องจัดเตรียมเพื่อให้สามารถดำเนินกิจการได้อย่างต่อเนื่องในกรณีที่เกิดเหตุการณ์ไม่คาดคิด เช่น การหยุดชะงักของระบบเทคโนโลยีสารสนเทศ (IT), ภัยธรรมชาติ, หรือการโจมตีทางไซเบอร์ ในส่วนของการจัดการความต่อเนื่องทางธุรกิจที่เกี่ยวข้องกับระบบ IT จำเป็นต้องมีการวางแผนฉุกเฉินที่มีความครอบคลุมเพื่อให้การให้บริการไม่สะดุด และลดความเสี่ยงที่จะส่งผลกระทบต่อธุรกิจหลักขององค์กร

อ่านมาถึงตรงนี้หลายคนน่าจะนึกในใจว่า "รู้แหละว่าสำคัญ แต่จะเริ่มยังไง?" ... ขอเสนอ 6 ขั้นตอนในการจัดทำแผนให้เป็นระบบครับ ;)))

Wednesday, August 28, 2024

Compliance (Why & How)

Compliance in business is a critical component of ensuring that organizations operate within the boundaries of laws, regulations, and ethical standards. It involves adhering to statutory and regulatory laws, rules, and standards applicable to a business, thereby safeguarding the organization from legal and financial liabilities. This article explores the importance of compliance, the consequences of non-compliance, and how businesses can effectively implement compliance programs.

Why Compliance is Important

Compliance is essential for several reasons:

  1. Legal Protection: Adhering to compliance requirements helps organizations avoid fines, penalties, and lawsuits. Non-compliance can lead to severe legal repercussions, including financial losses and damage to the company's reputation
  2. Reputation Management: Companies that consistently comply with regulations are seen as trustworthy and reliable. This can enhance their reputation among customers, partners, and investors, leading to increased business opportunities

Tuesday, August 27, 2024

Endpoint Attacks and Countermeasures

Endpoint security is a critical aspect of safeguarding information systems. An endpoint refers to any device that connects to a network, such as laptops, desktops, mobile devices, or servers. These endpoints are often targeted by attackers due to their accessibility and the critical data they hold. This article outlines the basic concepts of endpoint attacks, the tactics and tools used by attackers, and countermeasures to protect against these threats.

1. User-Initiated Actions

Attack Tactics: Attackers exploit user trust and curiosity through phishing emails, social engineering, and malicious downloads. They impersonate legitimate entities to lure users into clicking malicious links or attachments, leading to malware installation or data breaches.

Countermeasures:

  • Implement robust email filtering and anti-phishing solutions.
  • Educate users on security best practices.
  • Use security software that scans downloads for malicious content.
  • Restrict administrative privileges to minimize damage from user-initiated actions.

Wednesday, August 21, 2024

บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด ถูกปรับเป็นเงิน 7 ล้านบาท


บริษัท เจไอบี คอมพิวเตอร์ กรุ๊ป จำกัด ถูกคณะกรรมการผู้เชี่ยวชาญ คณะที่ 2 (เรื่องร้องเรียนเกี่ยวกับเทคโนโลยีดิจิทัล และอื่น ๆ) มีคำสั่งตัดสินให้รับโทษปรับทางปกครองภายใต้พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) ปรับเป็นเงิน 7 ล้านบาท เนื่องจากข้อมูลส่วนบุคคลของลูกค้ารั่วไหล

Tuesday, July 30, 2024

การส่งหรือโอนข้อมูลส่วนบุคคลไปยังต่างประเทศ (PII Cross-border Transfer)

"การส่งและรับข้อมูลส่วนบุคคลในลักษณะที่เป็นเพียงสื่อกลาง (intermediary) ในการส่งผ่านข้อมูล (data transit) ระหว่างระบบคอบผิวเตอร์หรือระบบเครือข่าย หรือการเก็บพักขัอมูล (data storage) ในรูปแบบชั่วคราวหรือถาวรที่ไม่มีบุคคลภายนอกเข้าถึงข้อมูลส่วนบุคคลนั้น ไม่ถือว่าเป็นการส่งหรือโอนข้อมูลส่วนบุคคล"
--

สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (PDPC)