บทความ

>

Work From Home ให้ปลอดภัย รอดพ้นจากภัยไซเบอร์ (ตอนที่ 2)

Work From Home ให้ปลอดภัย รอดพ้นจากภัยไซเบอร์ (ตอนที่ 2)

HIGHLIGHT :

  • Work From Home ให้ปลอดภัย...รอดพ้นจากภัยไซเบอร์ ตอนที่ 2 (จบ) จะกล่าวถึงอีก 7 เรื่องที่เป็นความเสี่ยงจากการทำงานที่บ้านและแนะนำแนวทางปฏิบัติเพื่อป้องกันความเสี่ยงเหล่านั้น ที่บุคลากรควรปฏิบัติให้เป็นประจำสม่ำเสมอ เพื่อทำให้การทำงานที่บ้าน สามารถสร้างผลงานและความสำเร็จให้กับองค์กรได้ตามเป้าหมาย

เวลาในการอ่าน 5 นาที


ในบทความตอนที่แล้ว ได้กล่าวถึงการรักษาความปลอดภัยของการทำงานที่บ้าน และอุปกรณ์ที่ใช้ ไปแล้ว 5 เรื่อง ในบทความนี้จะกล่าวถึงเรื่องต่างๆ ที่ควรให้ความใส่ใจและระมัดระวังอีก 7 เรื่อง ดังนี้ (เป็นการถอดความจากการบรรยายของคุณ Rebecca Herold, CDPSE, FIP, CISSP, CIPP/US, CIPT, CIPM, CISM, CISA, FLMI, Ponemon Institute Fellow CEO The Privacy Professor®, CEO Privacy & Security Brainiacs ในหัวข้อ Security & Privacy Compliance in Work from Home Situations เมื่อวันที่ 6 สิงหาคม 2563 จัดโดย ISACA https://www.isaca.org/why-isaca/about-us  ติดตามคุณรีเบคก้าได้ที่ Twitter ID: http://twitter.com/PrivacyProf)

6. การสำรองข้อมูลและการกู้คืนจากภัยพิบัติ

  • แผนสำรองและกู้คืนระบบ ต้องระบุรวมถึงพนักงานที่ทำงานที่บ้านและอุปกรณ์คอมพิวเตอร์ที่ใช้นอกสำนักงาน กำหนดวิธีปฏิบัติให้พนักงานงานเข้าใจ และตระหนักถึงการปฏิบัติตามนโยบายการสำรองข้อมูลและการกู้คืน และในกรณีที่เกิดเหตุอุปกรณ์คอมพิวเตอร์ขัดข้องหรือเข้าใช้อินเตอร์เนตไม่ได้ บริษัทต้องดำเนินการแก้ไขกู้คืนให้พนักงานสามารถเข้าใช้งานได้ในเวลาที่รวดเร็ว โดยกรณีอินเตอร์เนตบ้านล่ม บริษัทควรจัดหา Internet router หรือ Online connection solution หรือ Mobile router เพื่อป้องกันการใช้ Internet wi-fi ที่ไม่ปลอดภัย ซึ่งมีให้บริการหลายเจ้า
  • การฝึกอบรมพนักงานให้เข้าใจแผนการสำรองข้อมูลและกู้คืนในกรณีทำงานที่บ้าน สื่อและสถานที่ในการสำรองข้อมูลต้องเป็นไปตามข้อกำหนด ไม่จัดเก็บข้อมูลองค์กรบน Cloud ส่วนตัว
  • การสำรองข้อมูลสำคัญในช่องทางส่วนกลางขององค์กรเพื่อให้สามารถกู้คืนได้ ห้ามเก็บข้อมูลสำคัญที่เดียวในคอมพิวเตอร์ส่วนตัว ซึ่งเสี่ยงต่อการโจมตีจากแฮ๊คเกอร์ หรือ ransomware

เคล็ดลับ!

จัดประชุมและบันทึกการประชุมออนไลน์ ให้คำแนะนำและตอบคำถามเกี่ยวกับการสำรองข้อมูลจากสถานที่นอกสำนักงาน เปิดช่องทางให้สอบถาม มีสรุปคำถามคำตอบ และคลิปสั้นๆเพื่อเตือนถึงความสำคัญของการสำรองข้อมูลให้พนักงานสามารถเข้าดูได้และปฏิบัติได้ถูกต้อง

7. ความเสี่ยงจากการประชุมออนไลน์

การประชุมออนไลน์มีความเสี่ยงต่อความปลอดภัยและความเป็นส่วนตัวของข้อมูล อาจจะทำให้เกิดความเสี่ยงในการเข้าถึงข้อมูลและไฟล์ที่เป็นความลับโดยไม่ได้รับอนุญาต การรับฟังแผนธุรกิจ ข้อมูลลูกค้าและข้อมูลที่ละเอียดอ่อนอื่น ๆ การแพร่กระจายของมัลแวร์ การประชาสัมพันธ์ที่ไม่ดีพอ อันเป็นผลมาจากการเกิดเหตุข้อผิดพลาด และการไม่ปฏิบัติตามกฎหมาย

สิ่งที่ควรระวัง

  • การเข้าถึงคอมพิวเตอร์ของพนักงานที่ปฏิบัติงานที่บ้าน และเคลื่อนที่ ระมัดระวังไม่แปะรหัสผ่านเข้าระบบบนตู้เย็น ผนังตู้ แล้วประชุมออนไลน์ เปิดกล้องเห็นรหัสดังกล่าว
  • การเข้าถึงเครือข่าย wi-fi ของพนักงานที่บ้าน และเคลื่อนที่
  • แชร์ไฟล์ที่เป็นอันตราย (Malicious)
  • การดู / เข้าถึง ข้อมูลธุรกิจที่ละเอียดอ่อน
  • มีผู้บุกรุกเข้ามาในการประชุม

เคล็ดลับ!

จัดทำรายการอนุมัติเครื่องมือและการตั้งค่าที่เหมาะสมที่เกี่ยวข้องกับการประชุมออนไลน์ให้กับพนักงานทุกคน

8. ความเสี่ยงออนไลน์อื่น ๆ

  • โซเชียลมีเดีย ให้ระมัดระวังบัญชีโซเชียลมีเดียที่ไม่ได้ใช้งาน ไม่ได้อัพเดทข้อมูลนาน ควรจัดการลบทิ้ง เพราะอาจเป็นช่องทางที่แฮ๊กเกอร์จะคอยสอดส่องหากพบบัญชีโซเชียลมีเดียที่ไม่มีการใช้งาน อาจจะพยายามทำความเสียหาย เช่น  อาจจะโพสต์ข้อมูลไม่ดี พยายามล่มเว็บไซค์ หรือ ยึดเว็บไซด์
  • บัญชีที่ไม่มีผู้ดูแล เปิดแล้วไม่ได้ใช้งาน อาจเป็นช่องโหว่ให้ถูกโจมตีได้                  
  • การใช้งานโดยไม่ได้รับอนุญาตจากคนที่เข้าพื้นที่หรืออุปกรณ์ที่ทำงานที่บ้าน
  • เข้าเว็บไซต์ที่เป็นอันตราย ที่อาจถูกเจาะระบบได้
  • แอปพลิเคชั่นที่ดาวน์โหลดมาในอุปกรณ์ส่วนตัว ที่นำมาใช้ในการทำงาน แต่ไม่เคยใช้ หรือใช้น้อยมาก ควรลบทิ้ง และหมั่นทบทวนแอปที่ใช้งานเป็นประจำสม่ำเสมอ

ควรกำหนดนโยบายความปลอดภัยการทำงานที่บ้านและวิธีปฏิบัติ ให้ครอบคลุมความเสี่ยงข้างต้น และฝึกอบรมพนักงานให้รู้เข้าใจปฏิบัติตามได้ถูกต้อง

เคล็ดลับ! ห้ามใช้รหัสผ่านธุรกิจบนเว็บไซต์โซเชียลมีเดีย หรือ บนอุปกรณ์ภายในบ้านหรือ ใช้ร่วมกับครอบครัวหรือเพื่อน

9. การแชร์ไฟล์และการส่งข้อความ

ตามปกตินโยบายการรักษาความปลอดภัยขององค์กร จะกำหนดถึงวิธีปฏิบัติในการแชร์ไฟล์และการส่งข้อความไว้แล้ว ซึ่งองค์กรควรทบทวนให้ครอบคลุมถึงการทำงานที่บ้านด้วย เช่น

  • Email ธุรกิจไม่ควรใช้ในเครื่องคอมพิวเตอร์ส่วนตัว โดยเฉพาะเครื่องนั้นใช้ร่วมกันกับครอบครัวหรือคนในบ้าน และไม่ควรนำไปใช้เรื่องส่วนตัว ไม่ว่าจะเป็นออนไลน์ช้อปปิ้ง หรือ บัญชีโซเชี่ยลมีเดีย ไม่ส่งข้อมูลสำคัญเป็น Text ที่ไม่มีการเข้ารหัส ควรใช้ช่องทางที่ปลอดภัย
  • FTP: File Transfer Protocol ที่ปลอดภัย
  • การใช้บริการคลาวด์ที่ปลอดภัย แยกส่วนตัวและธุรกิจออกจากกัน ห้ามไม่ให้ใช้เครื่องของธุรกิจที่เก็บข้อมูลเข้าใช้งานคลาวด์ส่วนตัว ไม่ใช้ Automatic Authentication บนคลาวด์ ผ่าน gmail
  • ไม่แชร์ข้อมูลธุรกิจผ่าน text massage หรือ แชท
  • ฝึกอบรมพนักงานให้เข้าใจในการแชร์ข้อมูล / ไฟล์ที่เหมาะสม ปลอดภัย เพื่อป้องกันการรั่วไหลข้อมูล การใช้บริการคลาวด์ที่ไม่ปลอดภัย ความเสี่ยงในการแพร่กระจายมัลแวร์

เคล็ดลับ!

ค้นหาการแลกเปลี่ยนไฟล์ที่ไม่ปลอดภัยโดยใช้เครื่องมือเช่น DLP, IDS, IPS, Firewall สอบทาน log ปิดใช้งานการถ่ายโอนไฟล์ในแพลตฟอร์มการประชุมออนไลน์เพื่อหยุดมัลแวร์และการทำให้การประชุมขัดข้อง

10. ความปลอดภัยของสภาพแวดล้อมในพื้นที่ทำงานที่บ้าน

กำหนดนโยบายความปลอดภัยการทำงานที่บ้าน โดยคำนึงถึง

  • ความปลอดภัยทางกายภาพ
  • การสอดแนมทางดิจิทัล อาจเห็นภาพในการประชุมออนไลน์ เช่น ข้อมูลที่เขียนบนกระดาน
  • ความเป็นส่วนตัว อาจจะนำข้อมูลในบ้านไปใช้ทำให้เกิดความเสียหาย
  • Social engineering การหลอกลวงโดยใช้จิตวิทยาให้เหยื่อเปิดเผยข้อมูล
  • การลักลอบใช้บัญชี
  • ขั้นตอนการเริ่มทำงานและออกจากงานในกรณีทำงานที่บ้าน

เคล็ดลับ!

  • ใช้หน้าจอสีเขียวหรือหน้าจอที่ไม่แสดงสถานที่จริง เพื่อความเป็นส่วนตัวและป้องกันไม่ให้เห็นรายละเอียดห้องประชุม ไม่เห็นภาพเกี่ยวกับสถานที่อยู่ซึ่งอาจจะค้นได้จากสภาพแวดล้อมที่เห็นบนจอประชุมออนไลน์ หน้าต่าง ระเบียงบ้าน
  • กำหนดหรืออัปเดตนโยบายและการดำเนินการเพื่อรักษาความปลอดภัยและความเป็นส่วนตัวของ IoT ซึ่งรวมถึงการใช้งานนอกสำนักงานและอุปกรณ์ IoT ส่วนตัว

11. การลบทำลายอย่างปลอดภัย

กำหนดนโยบายการทำงานที่บ้านเกี่ยวกับการลบทำลายข้อมูลอย่างปลอดภัย ไม่ว่าจะเป็นข้อมูลในอุปกรณ์จัดเก็บข้อมูล คอมพิวเตอร์ อุปกรณ์ IoT สำเนาเอกสาร ซึ่งรวมถึงการกำกับดูแลการลบทำลาย

สื่งที่เคยพบ อาจจะมีการขายกระดาษซึ่งเป็นสำเนาเอกสารที่เป็นความลับ หรือ ข้อมูลส่วนบุคคล โดยไม่ได้ระมัดระวังไม่ได้นำเอกสารลับหรือข้อมูลอ่อนไหวไปทำลายผ่านเครื่องย่อยอกสาร ในต่างประเทศมีเคสที่ซื้อ Hard Drive จากอีเบย์ในราคาไม่กี่เหรียญ แต่พบข้อมูลสำคัญสัญญาจัดซื้อของทหาร น่าซ่า ข้อมูลบัตรเครดิต เลขประจำตัวประกันสังคม ซึ่งมีโอกาสเกิดขึ้นเพราะตอนที่จะทิ้งอุปกรณ์คอมพิวเตอร์ อุปกรณ์จัดเก็บข้อมูล กระดาษสำเนาเอกสารที่สำคัญ ไม่ได้มีการทำลายข้อมูลความลับ ซึ่งเรื่องนี้เป็นประเด็นที่มีความเสียหายกับองค์กรและผิดกฎหมายข้อมูลส่วนบุคคล มีบทลงโทษรุนแรง

เคล็ดลับ!

ฝึกอบรมพนักงานให้ตระหนักถึงความสำคัญของการลบทำลายข้อมูลอย่างปลอดภัย รับรู้เข้าใจสามารถปฏิบัติได้ถูกต้อง โดยมีหน่วยงาน IT Support ช่วยให้คำแนะนำที่ถูกต้องในการลบทำลายข้อมูลในเครื่องคอมพิวเตอร์และอุปกรณ์จัดเก็บข้อมูล องค์กรอาจพิจารณาจัดเตรียมเครื่องทำลายเอกสารให้กับพนักงานที่ทำงานที่บ้าน หรือรายชื่อเครื่องทำลายเอกสารที่ได้รับอนุมัติให้ซื้อได้

12. การบริหารความเสี่ยงการทำงานนอกสำนักงานและที่บ้าน

1. กำหนดความเสี่ยงเป็นระดับสูง
2. กำหนดนโยบายและขั้นตอนการปฏิบัติ
3. ต้องฝึกอบรมเป็นประจำ
4. มีการแจ้งเตือนเพื่อสร้างความรู้ความเข้าใจต่อเนื่อง
5. ประเมินความเสี่ยงและทบทวนสม่ำเสมอ
6. การกำกับดูแลคู่ค้า / ซัพพลายเชน ซึ่งมีความเสี่ยงจากการทำงานที่บ้านเช่นกัน
7. มีการตรวจสอบโดยฝ่ายตรวจสอบภายใน
8. พิจารณาซื้อประกัน Cyber Liability Insurance ซึ่งจะช่วยกระจายความเสี่ยงได้

เทคโนโลยีมีส่วนสำคัญอย่างยิ่งที่ช่วยให้การทำงานที่บ้านได้รับความสะดวก สามารถปฏิบัติหน้าที่ได้อย่างมีประสิทธิภาพ และสร้างความปลอดภัยให้กับสังคมโดยรวม แต่ในขณะเดียวกันก็จะต้องมีการดูแลอุปกรณ์ เครื่องมือสื่อสารให้มีความปลอดภัยควบคู่กันไปด้วย ซึ่งพนักงานจะต้องใส่ใจและให้ความสำคัญเป็นอย่างยิ่ง เพื่อให้การทำงานที่บ้านยังคงเป็นทางเลือกที่ดี มีความยืดหยุ่นต่อการเปลี่ยนแปลงของโลกในปัจจุบัน


ถอดความโดย วิภา ลี้ตระกูลนำชัย CIA CISA

หรือแชร์บทความ

แท็กที่เกี่ยวข้อง :

ทักษะและการพัฒนา

บทความก่อนหน้า

Work From Home ให้ปลอดภัย รอดพ้นจากภัยไซเบอร์ (ตอนที่ 1)

บทความถัดไป

สมการสร้างคุณค่าทางธุรกิจ (ตอนที่ 4)