Tuesday, May 21, 2024

DPA or DSA or NDA?


คำถามที่มักถูกถามเกี่ยวกับการรักษาความลับของข้อมูลกรณีที่มีการจ้าง Vendor หรือมีการแลกเปลี่ยนข้อมูลกับหน่วยงานภายนอก มันจะต้องทำอะไร  DPA or DSA or NDA?

  1. กรณีการให้หน่วยงานภายนอกประมวลข้อมูลประเภทลับขึ้นไป แต่ไม่รวมถึงข้อมูลส่วนบุคคล

> กำหนดการรักษาความลับในเอกสารสัญญา/TOR 


  1. กรณีการให้หน่วยงานภายนอกประมวลผลข้อมูลส่วนบุคคล (Controller - Processor)
    > ให้จัดทำข้อตกลงการประมวลผลข้อมูลส่วนบุคคล (DPA) *มาตรา 40 พรบ.คุ้มครองข้อมูลส่วนบุคคล


  1. กรณีที่มีการแลกเปลี่ยนการประมวลผลข้อมูลส่วนบุคคลระหว่างกัน (Controller - Controller)
    > ให้จัดทำข้อตกลงการแลกเปลี่ยนข้อมูลส่วนบุคคล (DSA) *** ไม่ได้มีข้อบังคับตามกฎหมาย แต่ทำไว้ก็ดี


  1. กรณีบุคคลภายนอกที่มีความเสี่ยงในการเข้าถึงข้อมูลประเภทลับขึ้นไป (Vendor, นักศึกษาฝึกงาน, จิตอาสา, ผู้เยี่ยมสำรวจ, ฯลฯ)

> ให้ลงนามข้อตกลงไม่เปิดเผยความลับ (Non-Disclosure Agreement) *บุคลากรภายในจะกำหนดเป็นนโยบาย หรือจะให้เซ็นต์แล้วแต่องค์กรพิจารณา

Risk Management -- การจัดการความเสี่ยง

การจัดการความเสี่ยงภาพรวมไม่ได้มีอะไรเยอะ มันก็มีประมาณนี้แหละ แต่รายละเอียดจะแตกต่างกันไปตามบริบทของหน่วยงาน และด้านที่กำลังประเมิน

Friday, May 17, 2024

Password Guideline --- แนวทางการตั้งค่ารหัสผ่าน

Category

Parameter name

Guidelines

Explain

 Aging

 

 

Minimum password duration

1 Day

The shortest time you must wait before changing your password again.

เวลาสั้นที่สุดที่จะต้องรอก่อนเปลี่ยนรหัสผ่านอีกครั้ง

ทั้งนี้เพื่อป้องกันผู้ใช้ไม่ให้เปลี่ยนรหัสผ่านหลายครั้งในระยะเวลาอันสั้นเพื่อกลับมาใช้รหัสผ่านที่ชื่นชอบ

Maximum password duration

90 Day

The longest time you can use the same password before you need to change it.

เวลาที่ยาวที่สุดที่คุณสามารถใช้รหัสผ่านเดิมได้ก่อนที่ต้องเปลี่ยนใหม่

ทั้งนี้การเปลี่ยนรหัสผ่านเป็นประจำช่วยจำกัดความเสียหายที่อาจเกิดจากการละเมิดรหัสผ่าน

Password history

5

The number of previous passwords the system remembers to prevent you from reusing them.

จำนวนรหัสผ่านก่อนหน้าที่ระบบจะจำเพื่อป้องกันไม่ให้คุณใช้ซ้ำ

ทั้งนี้เพื่อป้องกันไม่ให้ผู้ใช้กลับมาใช้รหัสผ่านเดิมเร็วเกินไป ทำให้เกิดการสร้างรหัสผ่านใหม่และไม่ซ้ำกัน ซึ่งจะทำให้ยากต่อการคาดเดาของผู้ประสงค์ร้าย

Minimum length

12

The fewest characters your password must have.

จำนวนตัวอักษรที่น้อยที่สุดที่รหัสผ่านของคุณต้องมี

ทั้งนี้แม้การใช้จำนวนอักษรที่มากจะทำให้เกิดความปลอดภัยแต่ก็แลกมาด้วยความยากในการจดจำรหัสผ่านนั้น ๆ ความยาว 12 ตัวอักษรเป็นสมดุลที่ดีระหว่างความปลอดภัยและความสะดวกของผู้ใช้ ทำให้รหัสผ่านมีความยาวเพียงพอในการต่อต้านการโจมตีแบบ brute-force

 Complexity

 

 

 

Complexity

Yes (4 Levels)

Requirements for your password to include a mix of uppercase letters, lowercase letters, numbers, and special characters.

ข้อกำหนดให้รหัสผ่านของคุณมีการผสมผสานระหว่างอักษรตัวพิมพ์ใหญ่, อักษรตัวพิมพ์เล็ก, ตัวเลข และอักขระพิเศษ

การกำหนดความซับซ้อนทำให้รหัสผ่านยากต่อการคาดเดาหรือแคร็กโดยใช้วิธีการอัตโนมัติ

Uppercase (A-Z)

Yes

Lowercase (a-z)

Yes

Numbers (0-9)

Yes

Special characters (#, %, etc.)

Yes

 Lockout

 

Logon attempt before lockout

5

The number of times you can try to log in before your account is temporarily locked.

จำนวนครั้งที่คุณสามารถพยายามล็อกอินได้ก่อนที่บัญชีของคุณจะถูกล็อกชั่วคราว

โดยการลดจำนวนครั้งที่อนุญาตให้ล็อกอินก่อนถูกล็อก ช่วยลดโอกาสที่ผู้โจมตีจะคาดเดารหัสผ่านโดยใช้วิธีการลองผิดลองถูก

Lockout duration

30 min

The time your account will be locked if you exceed the allowed number of login attempts.

เวลาที่บัญชีของคุณจะถูกล็อกหากคุณล็อกอินผิดเกินจำนวนครั้งที่อนุญาต

น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป

Reset logon attempts

30 min

The time after which the count of unsuccessful login attempts is reset.

ระยะเวลาที่จำนวนครั้งที่ล็อกอินไม่สำเร็จจะถูกรีเซ็ต

น่าจะเป็นระยะเวลาที่สมเหตุสมผลในการป้องกันการโจมตีแบบ brute-force ในขณะเดียวกันก็ลดความไม่สะดวกให้กับผู้ใช้ทั่วไป

Others

 

Password change at the first logon

Yes

Requires you to change your password the first time you log in.

กำหนดให้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งแรก

เป็นการทำให้มั่นใจว่ารหัสผ่านเริ่มต้น (ซึ่งมักตั้งโดยผู้ดูแลระบบ) จะถูกเปลี่ยนทันทีโดยผู้ใช้ให้เป็นสิ่งที่ผู้ใช้รู้เพียงคนเดียว

Multi Factor Authentication

Required

An additional security step requiring a second form of verification besides your password.

ขั้นตอนการยืนยันตัวตนเพิ่มเติมนอกจากรหัสผ่าน

โดย  MFA จะช่วยเพิ่มระดับความปลอดภัยเพิ่มเติม ทำให้ผู้โจมตียากขึ้นมากกว่าการเข้าถึงโดยใช้รหัสผ่านเพียงอย่างเดียว



Wednesday, May 15, 2024

Internal Control in Hospitals (Challenging & Impact)

Co-writing With AI

In the dynamic and complex healthcare landscape, hospitals face numerous challenges in ensuring efficient operations, safeguarding assets, and maintaining compliance with regulatory requirements. Internal control systems play a pivotal role in addressing these challenges, fostering accountability, and promoting effective risk management practices within healthcare organizations. This article delves into the significance of internal control in hospitals, its components, and its impact on various aspects of hospital operations.

Internal control is a multifaceted process designed to provide reasonable assurance regarding the achievement of an organization's objectives in operational effectiveness and efficiency, reliable financial reporting, and compliance with applicable laws and regulations [1]. In the context of hospitals, internal control systems are essential for maintaining high-quality patient care, ensuring financial integrity, and mitigating risks associated with healthcare delivery.

the CIA Triad

The CIA triad, a foundational concept in IT security, stands for Confidentiality, Integrity, and Availability. It is sometimes referred to as the AIC triad in other contexts.

Monday, May 13, 2024

Risk appetite vs Risk tolerance

ระดับความเสี่ยงที่ยอมรับได้ (risk appetite) เป็นความเสี่ยงที่องค์กรยอมรับได้ในลักษณะของระดับที่เป็นค่าเป้าหมาย (ค่าเดียว) หรือช่วงโดยระดับความเสี่ยงที่ยอมรับได้ ต้องสอดคล้องกับเป้าหมายขององค์กร(ประจำปีที่ระบุในแผนปฏิบัติงานประจำปี)

ระดับเบี่ยงเบนที่ยอมรับได้ (risk tolerance) เป็นช่วงเบี่ยงของระดับความเสี่ยงที่องค์กรยอมรับได้ โดยระดับเบี่ยงเบนที่ยอมรับได้ต้องสอดคล้องกับระดับขององค์กรที่ยอมให้เบี่ยงเบนได้ที่ได้ระบุไว้ (ในแผนปฏิบัติงานประจำปี) ถ้าไม่มีการระบุ ควรเป็นค่าที่ได้ผ่านการอนุมัติแล้ว (เช่น ผ่านการอนุมัติจากคณะกรรมการบริหารองค์กร)

Sunday, May 12, 2024

Intrusion Detection System (IDS) --- ระบบตรวจจับการบุกรุก

 ระบบตรวจจับการบุกรุก (IDS) หรือ Intrusion Detection System เป็นเครื่องมือที่ใช้สำหรับการรักษาความปลอดภัยของระบบคอมพิวเตอร์ โดยตรวจจับและแจ้งเตือนเมื่อมีการบุกรุกหรือสิ่งที่ผิดปกติเกิดขึ้นในระบบ ซึ่ง IDS มีบทบาทสำคัญในการเฝ้าระวังและป้องกันการโจมตีเครือข่าย แม้ว่า IDS จะไม่สามารถป้องกันการโจมตีได้ แต่มีประโยชน์ในการตรวจจับความพยายามของผู้ใช้ที่ได้รับอนุญาตในการเข้าถึงไฟล์หรือใช้โปรแกรมที่ไม่ได้รับอนุญาต.

ระบบ IDS สามารถแบ่งเป็นสองประเภทหลัก:

  1. ระบบตรวจจับการบุกรุกรูปแบบระบบเฝ้าระวัง (Network-based IDS, NIDS): ตรวจจับการบุกรุกในระบบเครือข่าย โดยตรวจสอบการกระทำที่เกิดขึ้นในระบบเครือข่าย และแจ้งเตือนผู้ดูแลระบบเมื่อมีการโจมตีหรือพยายามที่จะบุกรุกเครือข่าย.
  2. ระบบตรวจจับการบุกรุกรูปแบบระบบโฮสต์ (Host-based IDS, HIDS): ตรวจจับการบุกรุกในระบบโฮสต์ โดยตรวจสอบการกระทำที่เกิดขึ้นในเซิร์ฟเวอร์หรือคอมพิวเตอร์เดี่ยว และแจ้งเตือนผู้ดูแลระบบเมื่อมีการโจมตีหรือพยายามที่จะบุกรุกระบบโฮสต์.

ข้อควรระวัง:

  • IDS ไม่สามารถป้องกันไม่ให้ข้อมูลถูกโจมตีได้ แต่เป็นระบบที่คอยแจ้งเตือนภัยเมื่อมีการบุกรุกหรือพยายามที่จะบุกรุกเครือข่าย.
  • การตรวจจับของ IDS อาจไม่สามารถตรวจจับความพยายามของผู้ใช้ที่ได้รับอนุญาตในการเข้าถึงไฟล์หรือใช้โปรแกรมที่ไม่ได้รับอนุญาตได้.

Friday, May 10, 2024

ภัยคุกคาม (Threat)

ภัยคุกคาม (Threat) คือสิ่งที่อาจจะก่อให้เกิดความเสียหายต่อคุณสมบัติของข้อมูลในด้านต่างๆ ภัยคุกคามอาจมีลักษณะเป็นการโจมตี (Attack) หรือการบุกรุกเครือข่าย ซึ่งสามารถทำลายข้อมูล หรือทำให้ระบบไม่สามารถใช้งานได้ นอกจากนี้ การเปิดเผยข้อมูล (Disclosure) การหลอกลวงหรือการให้ข้อมูลที่เป็นเท็จ (Deception) และการควบคุมระบบโดยไม่ได้รับอนุญาต (Usurpation) ก็ถือเป็นส่วนหนึ่งของภัยคุกคาม

Wednesday, April 10, 2024

Who is responsible for developing procedures??? --- หน้าที่ในการเขียนคู่มือการปฏิบัติงานคือใคร !!!

หน้าที่ในการเขียนคู่มือหรือขั้นตอนการปฏิบัติงาน ... คือใคร หรือหน่วยงานใหน??? มักจะเป็นคำถามที่ถูกถามเมื่อเริ่มต้นในการนำระบบมาตรฐานมาใช้ในองค์กร 

บางหน่วยงานคาดหวังให้ทีมคุณภาพเป็นผู้เขียน คุณภาพก็อาจจะบอกว่ามันใช่หน้าที่ของฉัน??? ก่อนอื่นต้องเข้าใจก่อนว่าคู่มือหรือขั้นตอนการปฏิบัติงาน เป็นเอกสารที่ถูกจัดทำเพื่อเป็นแนวทางในการทำงาน เป็นขั้นตอนการปฏิบัติงาน หรือวิธีการที่กำหนดไว้เพื่อใช้ในการปฏิบัติงาน ดังนั้นโดยทั่วไปแล้วคู่มือหรือขั้นตอนการปฏิบัติงานจะถูกจัดทำ หรือเขียนโดยเจ้าของกระบวนการ (Process owner)  เช่น คู่มือการผลิต ก็ควรเป็นของทีมผลิต คู่มือการจัดการความเสี่ยง ก็ควรเป็นของทีมความเสี่ยง คู่มือการตรวจสอบภายในก็ควรเป็นของทีมตรวจสอบภายใน เนื่องจากเจ้าของกระบวนการจะทราบรายละเอียดขั้นตอนการทำงานดีที่สุด