Audit Questions: Data Lifecycle Security

Stage	Key Questions
1. Data Collection	Is consent taken for data collection? (ได้รับความยินยอมในการเก็บข้อมูลแล้วหรือไม่?) Will data be used for lawful purpose? (ข้อมูลจะถูกนำไปใช้ตามกฎหมายหรือไม่?) Is data classification & labelling done? (มีการจัดประเภทและติดฉลากข้อมูลหรือไม่?) Are you collecting more data than necessary? (เก็บข้อมูลมากเกินความจำเป็นหรือไม่?) If new data creation, are you following regulatory protocols? (หากมีการสร้างข้อมูลใหม่ ได้ปฏิบัติตามข้อกำหนดหรือไม่?) Are access rights defined? (ได้กำหนดสิทธิ์การเข้าถึงแล้วหรือไม่?)
2. Data Use	Are RBAC / Identity management controls in place? (มีการควบคุมสิทธิ์ตามบทบาทหรือไม่?) Is data encrypted? (ข้อมูลถูกเข้ารหัสหรือไม่?) Is the principle of least privilege followed? (ใช้หลักสิทธิ์ขั้นต่ำหรือไม่?) Are you monitoring and logging data? (มีการบันทึกการใช้งานข้อมูลหรือไม่?) Are logical controls in place? (มีการควบคุมเชิงตรรกะหรือไม่?) Are application controls in place? (มีการควบคุมระดับแอปพลิเคชันหรือไม่?)
3. Data Storage	Is data encrypted? (ข้อมูลถูกเข้ารหัสหรือไม่?) Is data stored in a secured environment? (ข้อมูลอยู่ในระบบที่ปลอดภัยหรือไม่?) Adequate access controls in place? (มีการควบคุมการเข้าถึงเพียงพอหรือไม่?) Is data availability addressed using backups? (มีระบบสำรองข้อมูลหรือไม่?) Are you protecting assets that store data? (ปกป้องทรัพยากรที่เก็บข้อมูลไว้หรือไม่?) Are data leakage controls in place? (มีการควบคุมการรั่วไหลหรือไม่?)
4. Data Sharing	Is data shared with authorised party? (แบ่งปันข้อมูลกับผู้ที่ได้รับอนุญาตหรือไม่?) Who is accountable for data security? (ใครรับผิดชอบความปลอดภัยข้อมูล?) Are data leakage controls in place? (มีการควบคุมการรั่วไหลหรือไม่?) Is data encrypted to maintain integrity? (เข้ารหัสเพื่อรักษาความครบถ้วนหรือไม่?) Are regulatory concerns addressed such as cross-border data transfer? (พิจารณาการโอนข้ามประเทศหรือไม่?) In cloud setups, are all adequate controls deployed? (มีมาตรการเพียงพอสำหรับคลาวด์หรือไม่?)
5. Data Archival	Is the criteria for data archival clearly defined? (มีเกณฑ์การเก็บถาวรชัดเจนหรือไม่?) Is data retention policy ready? (มีนโยบายการเก็บรักษาหรือไม่?) Does archival storage have adequate controls? (มีการควบคุมข้อมูลถาวรหรือไม่?) Are access controls defined to protect archived data? (ควบคุมสิทธิ์ข้อมูลถาวรหรือไม่?) Is backup necessary? (จำเป็นต้องสำรองหรือไม่?) Is data encryption implemented? (มีการเข้ารหัสหรือไม่?) Are access controls in place? (มีการควบคุมการเข้าถึงหรือไม่?)
6. Data Disposal	Is data disposal policy clearly defined? (มีนโยบายทำลายข้อมูลหรือไม่?) Are there tools for securely and permanently removing data? (มีเครื่องมือทำลายข้อมูลถาวรหรือไม่?) Are data leakage controls in place? (มีการควบคุมการรั่วไหลหรือไม่?) Are you adhering all compliance standards? (ปฏิบัติตามมาตรฐานหรือไม่?) Do you maintain artefacts of data destruction? (มีหลักฐานการทำลายข้อมูลหรือไม่?)

Original Article: https://www.linkedin.com/sP0J0wky1rf5TpmO_cKfI

Cybersecurity สำหรับ SME: ทำไมต้องเริ่มวันนี้ ถ้าไม่อยากเสียอนาคตทางธุรกิจ?

ธุรกิจขนาดเล็กและกลาง (SMEs) คือฟันเฟืองสำคัญของระบบเศรษฐกิจ แต่ขณะเดียวกันก็เผชิญความท้าทายใหญ่ในการจัดการความเสี่ยงด้านข้อมูลและความมั่นคงปลอดภัยไซเบอร์ เนื่องจากทรัพยากรจำกัดทั้งด้านงบประมาณและบุคลากรโดยเฉพาะผู้เชี่ยวชาญด้านไซเบอร์ หลายกิจการเข้าใจผิดว่าตนเล็กเกินไปที่จะเป็นเป้าหมาย หรือคิดว่าการใช้บริการ Cloud เพียงพอแล้ว แต่ความจริงเหตุการณ์โจมตีไซเบอร์ การรั่วไหลของข้อมูล หรือปัญหาการปฏิบัติตามกฎหมายสามารถสร้างความเสียหายร้ายแรงให้ SME ถึงขั้นปิดกิจการได้ แม้อาจไม่เป็นข่าวใหญ่เหมือนองค์กรใหญ่ก็ตาม

อย่างไรก็ตาม จุดแข็งของ SME คือความคล่องตัวและการตัดสินใจที่รวดเร็ว ซึ่งสามารถนำมาใช้สร้างระบบรักษาความมั่นคงปลอดภัยที่ยืดหยุ่นและทรงพลังได้ หากใช้แนวทางที่เหมาะสม หนึ่งในแนวทางที่แนะนำคือ Adaptive SME Security ซึ่งเป็นโมเดล 5 ขั้นตอนที่ช่วยให้ SME บริหารจัดการความเสี่ยงได้อย่างเป็นระบบ และสอดคล้องกับกลยุทธ์ธุรกิจอย่างแท้จริง

Adaptive SME Security: แนวทาง 5 ขั้นตอน

ขั้นที่ 1: Lead from the front – ผู้นำต้องเห็นความสำคัญก่อน

การสร้างความมั่นคงปลอดภัยต้องเริ่มจากความเข้าใจและการสนับสนุนของผู้บริหาร เพราะข้อมูลคือหัวใจของธุรกิจ หากผู้บริหารไม่เห็นความสำคัญ โครงการด้านความมั่นคงปลอดภัยก็มีโอกาสล้มเหลวได้ง่าย จุดสำคัญของขั้นนี้คือการแสดงให้เห็นว่าเรื่องนี้ไม่ใช่แค่เทคนิค แต่เป็นประเด็นเชิงกลยุทธ์ที่ปกป้องรายได้ แบรนด์ ความเชื่อมั่นของลูกค้า และตำแหน่งทางการตลาด

Asset Taxonomy

Asset Class	Group	Examples
Hardware	Computer Hardware	- Servers - Desktops - Laptops - Storage
	Computer Peripheral	- Printers - Scanners
	Electronic Device	- Computer protection tools (e.g. theft protection equipment) - Electric devices:   - IoT   - CCTV   - Access control   - Biometrics   - Shredders   - UPS   - Power stabilizer
Telecommunications	Infrastructure Device	- Firewalls - Routers - Load balancers - Switches
	Cloud Device	- Virtual Firewalls - Cloud-based Load balancers - Switches, IAM, IPS, VPN, Wi-Fi (in cloud environments)
Software	Firmware	- BIOS - EFI - Embedded networking firmware
	Commercial off-the-shelf	- Operating systems - Office software - OSI network drivers - Database engines - Backup software - Storage management software
	Custom Developed	- All in-house developed applications
Information	Physical Information	- Printed documents (e.g., Policies, Procedures) - DVDs, CDs - Backup tapes
	Digital Information	- Audio/visual files - Documents (e.g., Policies, Procedures, Standards) - Databases - Configuration files - Password files - Source code - Audit logs
People	Internal Resources	- Employees (e.g., Security Admin, System Admin) - Contractors
	External Resources	- Third-party vendors - Consultants
Facilities	Business	- Offices - Data centers - Manufacturing plants - Warehouses
	Logistics	- Storage units - Warehousing hubs

Vulnerability Assessments & Penetration Test (VA/PT) - Timetable

System/Application Priority Table

Priority	Frequency	System/Applications
1	Before going live	- Newly developed web applications or API endpoint which have access to, store, or process confidential data - Newly internet exposed network infrastructure - Internet exposed network infrastructure after significant upgrades or modifications
2	Every 6 month	- Internet exposed web applications or API endpoints without active blocking Web Application Firewalls (WAF) - Internet exposed web applications or API endpoints with active development and deployment cycles resulting in constant significant changes
3	Annually	- Internet exposed network infrastructure (e.g., Firewalls, VPNs, File Transfer Servers, Load Balancers) - Internet exposed web applications and API endpoints which are protected by active WAF - Internal web applications and API endpoint which have access to sensitive data
4	Bi-Annually	- Internal network infrastructure (e.g., switches, wireless access points)
5	Not Required	- End-user devices (e.g., Laptops, workstations) - Internal Printer

Remediation Timelines by CVSS Score and System Type

System Type	Common Vulnerability Scoring System (CVSS) V.3.1
	Critical (≥9.0)	High (7.0 – 8.9)	Medium (4.0–6.9)	Low (≤3.9)
New system	Before going live	Before going live	45 days after going live	90 days after going live
Internet Facing	7 days	15 days	30 days	90 days
Non-Internet Facing	30 days	45 days	90 days	120 days

การจัดการอุบัติการณ์ด้าน IT (IT Incident Management)

ในยุคดิจิทัลที่ระบบเทคโนโลยีสารสนเทศ (IT) กลายเป็นหัวใจสำคัญของการดำเนินธุรกิจ ความผิดพลาดหรือเหตุการณ์ผิดปกติด้าน IT (IT Incident) อาจส่งผลกระทบอย่างร้ายแรงต่อการดำเนินงาน ชื่อเสียง หรือความเชื่อมั่นของลูกค้า การจัดการอุบัติการณ์ด้าน IT (IT Incident Management) จึงเป็นกระบวนการที่จำเป็นสำหรับธุรกิจทุกประเภท เพื่อให้สามารถตอบสนองต่อเหตุการณ์ได้อย่างมีประสิทธิภาพและลดผลกระทบให้น้อยที่สุด

เคยเขียนเรื่อง Incident Management (Why & How) เอาไว้ วันนี้มาเขียนเป็นเวอร์ชั่นภาษาไทยอีกครั้ง (หลายท่านที่หลงเข้ามาอาจไม่สันทัดในภาษาอังกฤษ) แต่จะไม่ละเอียดเท่านะ อันนั้นจะเขียนตาม NIST ;)))

การบริหารจัดการผู้ให้บริการภายนอก (vendor management)

 การบริหารจัดการผู้ให้บริการภายนอก (Vendor Management) มีความสำคัญอย่างยิ่งในยุคปัจจุบันที่องค์กรต้องพึ่งพาบุคคลภายนอกในการให้บริการต่าง ๆ เพื่อสนับสนุนการดำเนินงาน ดังนั้น การบริหารจัดการผู้ให้บริการภายนอกจึงต้องมีกระบวนการที่ชัดเจน เพื่อให้มั่นใจว่าผู้ให้บริการสามารถปฏิบัติตามข้อกำหนด นโยบาย และมาตรฐานขององค์กร อีกทั้งยังช่วยลดความเสี่ยงด้านการรั่วไหลของข้อมูลหรือการละเมิดความมั่นคงปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ 

กระบวนการบริหารจัดการผู้ให้บริการภายนอก แบ่ง ๆ คร่าว ๆ ได้เป็น 5 ขั้นตอน ดังนี้

1. การประเมินผู้ให้บริการภายนอก

การประเมินผู้ให้บริการภายนอกมีวัตถุประสงค์เพื่อให้มั่นใจว่าองค์กรสามารถเลือกผู้ให้บริการที่มีความเหมาะสมทั้งด้านความรู้ ความเชี่ยวชาญ และการดำเนินงานตามมาตรฐานความมั่นคงปลอดภัย เช่น ISO 27001, PCI-DSS, หรือ SOC2 การประเมินนี้ยังช่วยลดความเสี่ยงที่อาจเกิดจากการทำงานร่วมกับผู้ให้บริการที่ไม่มีคุณภาพ อาทิ การรั่วไหลของข้อมูลหรือการละเมิดข้อกำหนดขององค์กร

ตัวอย่างการประชุมทบทวนฝ่ายบริหาร (Management Review)

 การประชุม Management Review มีบทบาทสำคัญในการประเมินและทวนสอบประสิทธิผลของระบบบริหารงานด้านคุณภาพและความปลอดภัยอาหาร โดยผู้บริหารระดับสูงต้องเข้าร่วมอย่างน้อยปีละ 1 ครั้ง เพื่อพิจารณาประสิทธิภาพขององค์กรตามมาตรฐานและวัตถุประสงค์ที่กำหนดไว้   ในบริบทตามมาตรฐาน ISO/IEC 27001 มุ่งเน้นไปที่การกำกับดูแล และติดตามประสิทธิภาพของระบบบริหารจัดการความมั่นคงปลอดภัยสารสนเทศ (ISMS) เพื่อให้มั่นใจว่าองค์กรสามารถปกป้องข้อมูลสำคัญได้อย่างเหมาะสม รวมถึงสอดคล้องกับข้อกำหนดของมาตรฐานและเป้าหมายด้านความปลอดภัยสารสนเทศ

วาระการประชุมและตัวอย่าง

1. สถานะการดำเนินงานจากการประชุมครั้งก่อน
   ตัวอย่าง: ในการประชุมครั้งก่อน มีข้อเสนอให้ปรับปรุงนโยบายการจัดการรหัสผ่านให้มีความเข้มงวดมากขึ้น เช่น การบังคับใช้ MFA (Multi-Factor Authentication) ภายใน 6 เดือน
   การติดตาม: ในการประชุมนี้ รายงานผลว่าได้ดำเนินการติดตั้ง MFA สำเร็จแล้วใน 80% ของระบบ โดยส่วนที่เหลือกำลังอยู่ระหว่างการทดสอบการใช้งาน

2. การเปลี่ยนแปลงภายนอกและภายใน
   ตัวอย่าง: พบว่ามีการเปลี่ยนแปลงกฎหมายคุ้มครองข้อมูลส่วนบุคคล (PDPA) ที่ส่งผลต่อการจัดเก็บและประมวลผลข้อมูล
   การพิจารณา: ทบทวนและปรับเปลี่ยนนโยบายการจัดเก็บข้อมูลส่วนบุคคลให้สอดคล้องกับกฎหมายใหม่

3. ผลการทวนสอบและปรับปรุงระบบควบคุมความปลอดภัย (Security Controls)
   ตัวอย่าง: มีการอัปเกรดระบบไฟร์วอลล์เพื่อป้องกันการโจมตีจากภายนอก เช่น การโจมตีแบบ DDoS
   การรายงาน: ผลการติดตั้งไฟร์วอลล์ใหม่ลดการโจมตีได้ถึง 90%

หยุดเข้าใจผิด! #ISO27001 ไม่ใช่เรื่องของไอทีเท่านั้น !!!

แทบทุกหน่วยงานที่มีโอกาสเข้าไปแลกเปลี่ยนเกี่ยวกับมาตรฐานการจัดการความมั่นคงปลอดภัยสารสนเทศ หรือ ISO27001 จะเข้าใจว่า "มันเป็นเรื่องของ IT"

ไม่ใช่แบบนั้นดิ!

ISO27001 ไม่ได้โฟกัสแค่เรื่องไอที แต่มันเกี่ยวกับ “ข้อมูล” ในทุกๆ รูปแบบ ไม่ว่าข้อมูลนั้นจะถูกเก็บไว้ที่ไหนหรือในลักษณะใด เช่น:

• ข้อมูลในระบบไอที: พวกไฟล์ดิจิทัล, ฐานข้อมูล, หรือแอปพลิเคชัน
• ข้อมูลบนกระดาษ: เอกสาร, สัญญา หรือแบบฟอร์มต่างๆ
• ข้อมูลในตู้เอกสาร: เช่น แฟ้มที่ถูกล็อกไว้อย่างดีในตู้
• ข้อมูลในอุปกรณ์: เช่น ซอฟต์แวร์ที่อยู่ในเครื่องจักรหรืออุปกรณ์เฉพาะ ปัจจุบันเริ่มเยอะขึ้นเรื่อย ๆ 
• ข้อมูลที่อยู่ในบุคคล: ความรู้เฉพาะที่บางคนในองค์กรเท่านั้นที่รู้

แล้วทำไมไอทีถึงถูกพูดถึงเยอะใน ISO27001?

ก็เพราะในยุคนี้ ข้อมูลส่วนใหญ่ถูกจัดเก็บ, ส่งต่อ, ประมวลผล, ทำให้แสดงผล ในระบบไอที เช่น เซิร์ฟเวอร์, คลาวด์ หรือระบบต่างๆ การปกป้องข้อมูลในระบบเหล่านี้จากภัยคุกคาม เช่น การแฮ็ก การสูญหายของข้อมูล หรือไวรัส ในระบบไอทีจึงเป็นเรื่องสำคัญมาก

 

แต่...ISO27001 ไม่ได้หยุดอยู่แค่ไอที!

ISO27001 ให้ความสำคัญกับ “ความมั่นคงปลอดภัยของข้อมูล (Information Security)” โดยมองในภาพกว้างครอบคลุมข้อมูลทุกประเภท และเน้น 3 หลักการสำคัญที่ช่วยปกป้องข้อมูล:

1. Confidentiality (ความลับ): ป้องกันไม่ให้ข้อมูลตกไปอยู่ในมือคนที่ไม่ควรเข้าถึง
2. Integrity (ความถูกต้อง): ทำให้มั่นใจว่าข้อมูลจะไม่ถูกแก้ไขหรือเปลี่ยนแปลงโดยไม่ได้รับอนุญาต
3. Availability (ความพร้อมใช้งาน): ทำให้ข้อมูลพร้อมใช้งานเมื่อจำเป็น

ตัวอย่างง่ายๆ ที่เกี่ยวข้องกับความมั่นคงปลอดภัย

• เอกสารสำคัญในตู้เอกสารที่ถูกล็อกไว้ นั่นคือการปกป้อง Confidentiality
• ข้อมูลในระบบไอทีที่มีการตรวจสอบสิทธิ์ก่อนแก้ไขไฟล์ นั่นคือการรักษา Integrity
• ซอฟต์แวร์ในเครื่องจักรที่ต้องมีระบบสำรองข้อมูล หากเกิดปัญหา นั่นคือการรับรอง Availability

สรุปง่ายๆ ISO27001 ไม่ใช่แค่เรื่องของไอที แต่มันคือเรื่องของ "ข้อมูล" และการปกป้องข้อมูลนั้นให้มั่นคงปลอดภัย ไม่ว่าจะอยู่ในคอมพิวเตอร์, กระดาษ, ตู้เอกสาร หรือแม้แต่ในหัวของพนักงาน ถ้าคิดว่า ISO27001 คือเรื่องของไอทีอย่างเดียว นั่นเป็นความเข้าใจผิด เพราะเป้าหมายที่แท้จริงของมันคือการปกป้องข้อมูลในทุกมิติอย่างรอบด้าน

Why Employees Stay: 9 Powerful Reasons That Go Beyond Paychecks

In an era where job-hopping is increasingly common, retaining great employees is one of the biggest challenges businesses face. The secret to retention, however, goes far beyond just offering a competitive salary.

The visual above captures it perfectly: Employees stay when they feel valued, challenged, and supported. Let’s explore what that really means.

1. Paid Well

Let’s start with the obvious—money matters. Fair compensation reflects respect for an employee’s time, skills, and contributions. Underpaying your team not only drives them away but also devalues their work. Pay is the baseline of retention.

2. Challenged

People don’t want to be bored. They want to grow. When employees are given tasks that push their abilities and encourage growth, they feel engaged and motivated. The right amount of challenge leads to innovation—and loyalty.

3. Recognised

Recognition doesn’t need to be grand. A simple "thank you" or public praise in a team meeting can make a big impact. Employees who feel seen and appreciated for their efforts are more likely to go the extra mile—and stay for the long run.

4. Trusted

Micromanagement kills morale. Trust builds it. Giving employees ownership over their work and decisions fosters confidence and loyalty. When people feel trusted, they take pride in what they do—and in where they work.

5. Supported

Support comes in many forms: career guidance, tools, mentorship, mental health resources, or just knowing that someone’s got your back. A supportive environment breeds confidence and resilience, especially during tough times.

6. Included

Inclusion isn’t just a buzzword—it’s a necessity. Employees who feel like they belong, who are welcomed and heard, are significantly more likely to be engaged. Inclusion fuels innovation and builds strong, diverse teams.

7. Promoted

Nobody wants to feel stuck. Employees who see a clear path for advancement are more likely to invest in their current role. Growth opportunities—promotions, new responsibilities, or training—signal a future worth staying for.

8. Inspired

People want purpose. They want to feel like their work matters. Inspiring leadership, meaningful missions, and a shared vision all contribute to a sense of passion and commitment. Inspired employees aren’t just present—they’re energized.

9. Appreciated

Appreciation is powerful and often overlooked. It’s not just about recognition for achievements—it’s about showing gratitude for effort, attitude, and presence. A culture of appreciation fosters loyalty, satisfaction, and stronger teams.

---

Final Thoughts: It's About Culture, Not Perks

Employee retention isn’t solved with free snacks or ping-pong tables. It’s about creating a culture where people feel respected, empowered, and excited to show up each day.

If you’re a leader or HR professional, take this list seriously. Use it as a guide for shaping policies, management training, and your overall workplace culture.

Because when employees feel all nine of these things?

"They stay. And they thrive."

อีก 1 เหตุผลที่เราต้องมี Data Security ให้ครบ Lifecycle

อีก 1 เหตุผลที่เราต้องมี Data Security ให้ครบ Lifecycle เพราะถ้าหลุดจริง 512 Gb ข้อมูลไม่น้อยเลย 

ปล. จากข้อมูลในข่าวถือว่าโรงพยาบาลมีการจัดการที่ดีเลยถ้ามีการดำเนินการจริง แต่อาจจะไม่ได้หลุดจากเครื่องของโรงพยาบาล แต่เป็นเครื่องของเจ้าหน้าที่ก็ได้นะ Root cause analysis และหาทางแก้ไขปรับปรุงกันต่อไป ;)))