คลังเก็บป้ายกำกับ: GDPR

[Video Webinar] Data Security – Protect Data Where it Lives โดย McAfee

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย Exclusive Networks | McAfee Webinar เรื่อง “Data Security – Protect Data Where it Lives” เพื่อแชร์แนวทางการปกป้องข้อมูลล่าสุดในยุคที่ข้อมูลกระจายตัวอยู่ทุกหนทุกแห่ง พร้อมแนวทางปฏิบัติให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

ผู้บรรยาย: คุณณัฐพงษ์ ฟองสินธุ์ Assistant Support Manager และคุณปาณชัย เพิ่มพูนพัฒนสุข Solution Consultant จาก Exclusive Networks

ภายใน Webinar นี้ท่านจะได้เรียนรู้เกี่ยวกับความสำคัญในการรักษาความมั่นคงปลอดภัยทั้งข้อมูลความลับทางธุรกิจและข้อมูลส่วนบุคคล พร้อมอ้างอิงถึงกฎระเบียบข้อบังคับที่เกี่ยวข้อง เช่น GDPR และ PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) รวมไปถึงผลกระทบต่อธุรกิจเมื่อเกิดเหตุข้อมูลรั่วไหลหรือถูกขโมย นอกจากนี้ยังมีการแนะนำวิธีการวางมาตรการควบคุมเพื่อป้องกันข้อมูลรั่วไหลผ่านช่องทางต่างๆ เช่น Cloud, Network และ Endpoint ภายใต้สถานการณ์ปัจจุบันที่ธุรกิจต้องปรับตัวให้พนักงานสามารถทำงานจากภายนอกสถานที่หรือ Work from Home ได้

หัวข้อการบรรยายประกอบด้วย

  • การกระจายตัวของข้อมูลในยุคดิจิทัล
  • ปัจจัยและความเสี่ยงที่เกิดขึ้นจากเหตุ Data Breach และความสำคัญของกฎหมายที่เกี่ยวข้อง (GDPR/PDPA)
  • แนวทางการจำแนกข้อมูลและการกำหนดนโยบายการใช้ข้อมูลให้สอดคล้องกับกฎระเบียบข้อบังคับต่างๆ
  • แนะนำโซลูชัน Data Protection จาก McAfee สำหรับการปกป้องข้อมูลสำคัญที่กระจายตัวอยู่ในทุกๆ ที่
  • ตัวอย่างและสาธิตการทำงานของ McAfee Data Protection

from:https://www.techtalkthai.com/video-webinar-data-security-protect-data-where-it-lives-with-mcafee/

EU รายงานว่า ยังไม่สามารถบังคับใช้กฎ GDPR อย่างครอบคลุมในช่วง 2 ปีแรกนี้

จากรายงานที่ตีแผ่ออกมาล่าสุดเกี่ยวกับการประเมินของ EU เกี่ยวกับผลกระทบของ GDPR ในช่วงสองปีแรกที่บังคับใช้ พบว่ากฎหมายใหม่นี้ได้ยกระดับความตระหนักเกี่ยวกับการจัดการข้อมูลส่วนตัวแก่สาธารณะพอสมควร

แม้ถือว่าประสบความสำเร็จในการสร้างความปลอดภัยมากขึ้น แต่ก็ยังไม่ได้ผลเพียงพอตามที่ทาง EU คาดหวังไว้แต่แรก อันเนื่องมาจากการกระจายตัวของตลาดในยุโรป รวมทั้งทรัพยากรที่ไม่เพียงพอที่จะจัดตัวแทนคอยตรวจสอบ

ทั้งนี้รายงานระบุว่า EU จำเป็นต้องมีการพัฒนากฎระเบียบและการบังคับใช้ในหลายด้านสำหรับอนาคต แม้จะมีข้อมูลทางสถิติว่า ประชากรในสหภาพยุโรปกว่า 2 ใน 3 ต่างตื่นตัวและรู้ว่ามีกฎหมาย GDPR และมีหน่วยงานปกป้องความปลอดภัยข้อมูลในประเทศตัวเอง

โดยเฉพาะการผลักดันให้กฎหมายในท้องถิ่นสอดคล้องกับกฎของอียู อย่างไรก็ตาม ก็มีประเทศอื่นที่อยู่ภายนอกอียู อย่างเช่นนิวซีแลนด์และออสเตรเลีย ที่เริ่มพิจารณาที่จะออกกฎหมายในรูปแบบของตัวเองมาบังคับใช้ หลังจากที่เห็นความสำเร็จของกฎหมาย GDPR ด้วย

ที่มา : ITProportal

from:https://www.enterpriseitpro.net/eu-report-finds-gdpr-enforcement-inadequate/

VDO และไฟล์พรีเซนต์ เรื่อง PDPA & Cyber Security Law รวมถึงวิธีที่องค์กรต้องรับมือ

สำหรับผู้ที่ไม่ได้ฟังเรื่องราวดีๆ จากงานสัมมนา VSO Seminar ของทาง Enterprise ITPro ในหัวข้อเรื่อง PDPA & Cyber Security Law and The Affected – รวมถึงวิธีการสำคัญที่องค์กรต้องรับมือ บรรยายโดย อ.สุรชาติ พงศ์สุธนะ, คอลัมนิสต์จาก Enterprise ITPro และ ผู้จัดการฝ่ายตรวจสอบภายใน-ระบบสารสนเทศ (IT Audit) จาก TU Group

สามารถรับชม VDO ย้อนหลังได้ที่นี่ 

– จุดเริ่มต้นของ พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ 2550 สู่กฏหมายใหม่ พรบ.มั่นคงไซเบอร์ 2562
– กฏหมาย GDPR ของยุโรป 2561 อันเป็นต้นตอของ พรบ. ข้อมูลส่วนบุคคล 2562
– กรณีตัวอย่างของบริษัทที่เกิดการรั่วไหลข้อมูลในปี 2562 และการจัดการที่เกิดขึ้น
– กฏหมายทั้งสองฉบับนี้กระทบหรือเกี่ยวโยงถึงชีวิตความเป็นอยู่ของประชาชนคนไทยและผู้ที่อาศัยหรือทำธุรกิจในประเทศไทยอย่างไร?
– องค์กรต้องเตรียมความพร้อมอย่างไรให้ปฏิบัติตามกฏหมาย?

ส่วนผู้ที่ต้องการไฟล์พรีเซนเทชั่น สามารถดาวน์โหลดได้ที่นี่ https://bit.ly/2D0QQkd

from:https://www.enterpriseitpro.net/pdpa-cyber-security-law-slide/

Exclusive Networks | McAfee Webinar: Data Security – Protect Data Where it Lives

Exclusive Networks ร่วมกับ McAfee ขอเรียนเชิญผู้บริหารและผู้ปฏิบัติงาน IT Security เข้าร่วมสัมมนาออนไลน์เรื่อง “Data Security – Protect Data Where it Lives” เพื่อแชร์แนวทางการปกป้องข้อมูลล่าสุดในยุคที่ข้อมูลกระจายตัวอยู่ทุกหนทุกแห่ง พร้อมแนวทางปฏิบัติให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ในวันศุกร์ที่ 26 มิถุนายน 2020 เวลา 14:00 น. ผ่าน Live Webinar ฟรี

รายละเอียดการบรรยาย

หัวข้อ: Data Security – Protect Data Where it Lives
ผู้บรรยาย: คุณณัฐพงษ์ ฟองสินธุ์ Assistant Support Manager และคุณปาณชัย เพิ่มพูนพัฒนสุข Solution Consultant จาก Exclusive Networks
วันเวลา: วันศุกร์ที่ 26 มิถุนายน 2020 เวลา 14:00 – 15:30 น.
ช่องทางการบรรยาย: Online Web Conference
จำนวนผู้เข้าร่วมสูงสุด: 500 คน
ภาษา: ไทย
ลิงค์ลงทะเบียน: https://zoom.us/webinar/register/WN_q4iEwwCjQpe3tkOOfz7yNg

ภายใน Webinar นี้ท่านจะได้เรียนรู้เกี่ยวกับความสำคัญในการรักษาความมั่นคงปลอดภัยทั้งข้อมูลความลับทางธุรกิจและข้อมูลส่วนบุคคล พร้อมอ้างอิงถึงกฎระเบียบข้อบังคับที่เกี่ยวข้อง เช่น GDPR และ PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) รวมไปถึงผลกระทบต่อธุรกิจเมื่อเกิดเหตุข้อมูลรั่วไหลหรือถูกขโมย นอกจากนี้ยังมีการแนะนำวิธีการวางมาตรการควบคุมเพื่อป้องกันข้อมูลรั่วไหลผ่านช่องทางต่างๆ เช่น Cloud, Network และ Endpoint ภายใต้สถานการณ์ปัจจุบันที่ธุรกิจต้องปรับตัวให้พนักงานสามารถทำงานจากภายนอกสถานที่หรือ Work from Home ได้

หัวข้อการบรรยายประกอบด้วย

  • การกระจายตัวของข้อมูลในยุคดิจิทัล
  • ปัจจัยและความเสี่ยงที่เกิดขึ้นจากเหตุ Data Breach และความสำคัญของกฎหมายที่เกี่ยวข้อง (GDPR/PDPA)
  • แนวทางการจำแนกข้อมูลและการกำหนดนโยบายการใช้ข้อมูลให้สอดคล้องกับกฎระเบียบข้อบังคับต่างๆ
  • แนะนำโซลูชัน Data Protection จาก McAfee สำหรับการปกป้องข้อมูลสำคัญที่กระจายตัวอยู่ในทุกๆ ที่
  • ตัวอย่างและสาธิตการทำงานของ McAfee Data Protection

กด Interested หรือ Going เพื่อติดตามอัปเดตและรับการแจ้งเตือนบน Facebook Event: https://www.facebook.com/events/957207961383860/

from:https://www.techtalkthai.com/exclusive-networks-mcafee-webinar-data-security-protect-data-where-it-lives/

ทีมกฏหมายอ้าง GDPR ยื่นฟ้อง EasyJet เรียกร้อง 1.8 หมื่นล้านปอนด์ เซ่นเหตุ Data Breach

ต้องใช้คำว่าถึงคราวเคราะห์หนักก็ว่าได้ สำหรับบริษัทสายการบิน EasyJet ของสหราชอาณาจักร ที่เมื่อไม่กี่วันก่อนได้ออกมาแจ้งเหตุถูกแฮ็กซึ่งกระทบกับข้อมูลลูกค้ากว่า 9 ล้านราย ในวันนี้มีข่าวออกมาว่ามีบริษัทกฏหมายได้อ้างถึง GDPR ยื่นฟ้องค่าเสียหายเป็นเงิน 2,000 ปอนด์ต่อบุคคลหรือราว 18,000,000,000 ปอนด์

credit : PGMBM

ในหน้ารายละเอียดของบริษัทกฏหมาย PGMBM  ได้เปิดให้เหยื่อที่ได้รับผลกระทบเรียกร้องค่าชดเชยได้ ทั้งนี้กล่าวว่า “EasyJet เพิ่งประกาศเหตุข้อมูลลูกค้า 9 ล้านรายรั่วไหลเมื่อวันที่ 19 พฤษภาคม ทั้งๆ ที่รู้และแจ้งหน่วยงานกำกับดูแลด้านข้อมูลมาตั้งแต่เดือนมกราคมแล้ว ซึ่งบริษัทรอมาถึง 4 เดือนเพิ่งจะแจ้งผู้เสียหาย โดยข้อมูลส่วนบุคคล เช่น อีเมล ชื่อ-สกุล และข้อมูลการท่องเที่ยวต่างๆ อาจนำไปสู่ความเสี่ยงด้านความมั่นคงปลอดภัยที่คุกคามความเป็นส่วนตัว ดังนั้นตาม Article ที่ 82 ของ GDPR คุณมีสิทธิ (ผู้เสียหาย) ที่จะเรียกร้องค่าเสียหายต่อข้อมูลได้

ยังไม่รู้ว่าสุดท้ายแล้วคดีความครั้งนี้จะจบลงอย่างไร แต่ที่แน่ๆ กฏหมายด้านข้อมูลนั้นดุดันรุนแรงแค่ไหนก็พิจารณากันครับ แม้ว่าในบ้านเราจะเลื่อนออกไปก็ตาม

ที่มา :  https://www.zdnet.com/article/easyjet-faces-18-billion-class-action-lawsuit-over-data-breach/

from:https://www.techtalkthai.com/law-firm-class-action-claims-easyjet-data-breach-with-gdpr-fines/

PDPA | กฎหมายคุ้มครองข้อมูลส่วนบุคคลเพื่อชาวเน็ต… ที่ถูกเลื่อนออกไปอีก 1 ปี

ในที่สุดเราก็กำลังจะมีกฎหมายที่มุ่งคุ้มครองข้อมูลส่วนบุคคลของพวกเราอย่าง พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) ประกาศใช้ไปเมื่อเดือน พ.ค. 2562 และจะเริ่มมีผลบังคับใช้ตั้งแต่วันที่ 27 พ.ค. 63 นี้เป็นต้นไป แต่ทว่าล่าสุด ! ดันเกิดการชงเรื่องเข้าสู่ ครม. ที่มีมติไปแล้วเรียบร้อย ประกาศเลื่อนการบังคับปรับโทษสำหรับผู้ละเมิดกฎหมายนี้ออกไปก่อน หลังเชื่อว่าหน่วยงานจำนวนมากยังไม่พร้อมโดยเฉพาะจากสถานการณ์ Covid-19 งานนี้ไม่แน่ใจว่าใครได้ประโยชน์บ้าง แต่ที่ปฏิเสธไม่ได้เลยคือชาวเน็ตอย่างพวกเราอาจเสียประโยชน์จากการคุ้มครองสิทธิ์ไปเต็ม ๆ จนถึงเดือน พ.ค. ปี 64 เป็นอย่างน้อยเลยล่ะ

ทวนความจำชาวเน็ต… พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA) สำคัญมากมั้ย ? สำหรับโลกยุค 5G | Thailand 4.0

อันดับแรกต้องทวนความเข้าใจที่อาจจะยังเข้าใจผิดกันอยู่ไม่น้อยว่ากฎหมายนี้อาจเป็นแค่อีก 1 เครื่องมือของรัฐบาลในยุคดิจิทัล ที่ใช้ควบคุมจัดการประชาชนกันไปตามระเบียบ แต่จริง ๆ แล้วไม่ใช่เลย กฎหมายฉบับนี้จะแตกต่างออกไปโดยสิ้นเชิงจากฉบับก่อน ๆ ไม่ว่าจะเป็น พ.ร.บ.คอมพิวเตอร์ ฯ หรือ พ.ร.บ.ความมั่นคงไซเบอร์ เพราะ 2 ฉบับนี้ เกี่ยวข้องโดยตรงในการควบคุมพฤติกรรมของชาวเน็ตให้เป็นระเบียบเรียบร้อยจริง แต่สำหรับ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (Personal Data Protection Act B.E. 2562 เรียกสั้น ๆ ว่า PDPA) นั้น ถูกออกแบบมาด้วยหลักการและเหตุผลเช่นเดียวกับกฎหมายสากลหลายฉบับอย่าง General Data Protection Regulation (GDPR) ของยุโรป หรือ Privacy Shield | CCPA ของฝั่งสหรัฐอเมริกา ที่มุ่งคุ้มครองและรักษาสิทธิในความเป็นส่วนตัวทางข้อมูลของบุคคลอย่างแท้จริง

เราอยู่ในโลกที่การเคลื่อนไหวของข้อมูลนั้น เกิดขึ้นอย่างฉับพลันทันใดกว่าที่เคยมีมาโดยเฉพาะหากพิจารณาให้สัมพันธ์กันกับเทคโนโลยี 5G นั้น ยิ่งชัดเจนว่า 5G เป็นนวัตกรรมทางพลวัตรที่ทำให้เทคโนโลยีต่าง ๆ (รวมถึงการจัดเก็บและการเดินทางของข้อมูล) ย้ายจากจุดที่ 1 ไปยังจุดที่ 2 ได้แบบทันทีที่มันเกิดขึ้น ณ จุดที่ 1 หรือเรียกอีกแบบว่า Real-time Synchronization หากเพื่อน ๆ ลองนึกภาพการสื่อสารระหว่างหุ่นยนต์ตัวที่ 1 กับตัวที่ 2 เป็นตัวเปรียบเทียบล่ะก็ ในยุค 3G นั้นการสื่อสารเร็วขึ้นกว่าตลอด 50 ปีที่ผ่านมา แต่ปรากฎว่า 4G นั้นทำให้หุ่นยนต์ทั้ง 2 สามารถสื่อสารกันได้รวดเร็วเทียบเท่าหรือมากกว่ามนุษย์ ส่วน 5G น่ะหรอ มันคือการที่หุ่นยนต์ตัวที่ 2 รับรู้ความคิดของหุ่นยนต์ตัวที่ 1 ได้ทันที ณ จุดเวลาที่หุ่นยนต์ตัวที่ 1 รับสารมาเลยล่ะ 😯

ซึ่งแน่นอนว่าในยุค Thailand 4.0 แถวบ้านเราก็เช่นกัน ที่ข้อมูลปริมาณมหาศาลถูก จัดเก็บ-ประมวลผล-นำไปใช้ ได้อย่างอิสระเกินไปมาสักพักหนึ่งแล้ว ซึ่งแน่นอนว่าข้อดีอาจเป็นการที่พวกเราได้เข้าถึงสินค้าและบริการที่ต้องตรงตามความต้องการของเราได้มากขึ้น แต่บางทีก็แม่นยำเกินไป เหมือนรู้จักความต้องการของเราดีกว่าตัวเรา ชนิดที่ยังไม่ทันไปเสิร์จหาอะไรใน Google แต่ดันได้เห็นสิ่งที่คิดอยู่ในใจโผล่มาอีกทีเป็นโฆษณาบน Facebook | Instagram อะไรแบบนี้นี่แหละที่มันน่ากลัวล่ะ มันคือการละเมิดสิทธิส่วนบุคคลประเภทหนึ่งที่ชัดเจนมากขึ้นเรื่อย ๆ สิทธิส่วนบุคคลทางด้านข้อมูลของพวกเรายังไงล่ะ PDPA จึงถูกสรรค์สร้างขึ้นเพื่อคุ้มครองพื้นที่ส่วนตัวบนโลกดิจิทัลของคนไทยทุกคนนั่นเอง

ความยินยอม และ การคุ้มครองสิทธิ์ ฯ คือใจความสำคัญดูแลพื้นที่ส่วนบุคคลบนโลกดิจิทัล

สำหรับนิยามของข้อมูลส่วนบุคคลนั้น เพื่อให้เป็นประโยชน์ต่อการตีความในกระบวนการบังคับใช้กฎหมาย PDPA กำหนดนิยามเอาไว้กว้างมาก ๆ ว่า “ข้อมูลเกี่ยวกับบุคคลซึ่งทาให้สามารถระบุตัวบุคคลนั้นได้ ไม่ว่าทางตรงหรือทางอ้อม… “ สำหรับทางตรงนั้นชัดเจนอยู่แล้วว่าข้อมูลใด ๆ ที่ระบุตัวบุคคลได้ เช่น ชื่อ – นามสกุล | เบอร์โทรศัพท์ | Email | Line ID | เลขประจำตัวประชาชน และรวมไปถึงข้อมูลประเภทที่มีความอ่อนไหวอย่าง ความคิดเห็นทางการเมือง หรือ รสนิยมทางเพศ อีกด้วย

ส่วนข้อมูลประเภทที่อาจระบุตัวตนได้โดยทางอ้อม ก็เช่น Cookies ID | EMEI หรือ Device ID ใด ๆ ที่สามารถเชื่อมต่อ Server ได้เพื่อระบุตัวอุปกรณ์แม้ไม่เปิดเผยชื่อ – นามสกุลผู้ใช้เลยก็ตาม เพราะอุปกรณ์พวกนี้นี่แหละคือข้อมูลที่มากพอ สำหรับผู้ให้บริการการตลาดดิจิทัล ให้สามารถเรียนรู้รสนิยมความชอบหรือไม่ชอบอะไรของผู้ถืออุปกรณ์ได้อย่างชัดเจนโดยไม่ต้องสนใจชื่อของเขาเลยนั่นเอง 💡 ตรงนี้จึงเป็นที่มาให้ PDPA มุ่งบังคับให้หน่วยงานและธุรกิจ จัดการคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภคกันอย่างเคร่งครัดมากขึ้นโดยอาศัย 2 หลักการสำคัญคือ ความยินยอม และการจัดการคุ้มครองสิทธิของเจ้าของข้อมูลนั่นเอง

  • การขอความยินยอม (Consent) | กฎหมายฉบับนี้กำหนดหลักการเอาไว้สอดคล้องกับหลักสากลว่า “ผู้ควบคุมข้อมูลส่วนบุคคลจะกระทำการเก็บ รวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลไม่ได้ หากเจ้าของข้อมูลส่วนบุคคลไม่ได้ให้ความยินยอมไว้ก่อนหรือในขณะนั้น… ” หมายความว่า การจะจัดเก็บ และนำข้อมูลของผู้บริโภค | ลูกค้า | ผู้ใช้บริการ ไปใช้ต่อหรือเผยแพร่เพื่อประโยชน์ทางธุรกิจนั้น ต้องได้รับความยินยอม (Consent) เสมอ และความยินยอมนั้นต้องเกิดขึ้นโดยเจ้าของข้อมูลมีอิสระในการตัดสินใจโดยสมบูรณ์ คือไม่เป็นเงื่อนไขในการให้บริการ ห้ามบังคับหลอกกันนั่นเอง !
  • การคุ้มครองสิทธิของเจ้าของข้อมูล (Data Subject Rights) | เจ้าของข้อมูล คือ ผู้บริโภค ผู้ใช้บริการ ลูกค้า หรือพวกเราทุกคนที่จะถูกเก็บข้อมูลไปใช้เนี่ยแหละ มีสิทธิ์ต่าง ๆ ตามกฎหมายนี้อย่างเช่น สิทธิในการคัดค้านการเก็บข้อมูล หรือสิทธิในการขอเพิกถอนความยินยอม (Opt-out) หรือก็คือการกด Unsubscribe หรือแม้แต่การบ่นกับ Call Center ที่โทรมาขายประกันว่าไม่ต้องการให้ติดต่อเราอีกต่อไป นี่แหละคือการคุ้มครองสิทธิ์ตามใจความเรื่องนี้อย่างเป็นทางการอีกรูปแบบหนึ่งที่ผู้ประกอบการจะต้องจัดการดูแลให้เหมาะสมยิ่งขึ้น

จะเห็นว่า PDPA นี่แหละ สำคัญต่อพวกเรามาก ๆ ในฐานะผู้บริโภค และผู้เป็นเจ้าของข้อมูลหรือรสนิยมทั้งหลายของเราเอง ทั้ง ๆ ที่อยู่ใน Big Data | Database ขนาดมหึมาของหน่วยงานหรือองค์กรธุรกิจทั้งหลายนั่นเอง ซึ่งตัวอย่างที่เข้าใจได้ชัดเจนที่สุดน่าจะเป็นจากกรณี ธนาคารพาณิชย์ของบ้านเราที่ DroidSans ได้ทำการ Preview App กับนโยบายการจัดการข้อมูลส่วนบุคคล เอาไว้ว่า

ต่อไปนี้ธนาคารจะไม่สามารถบังคับขอข้อมูลของเรา รวมถึงเรามีสิทธิ์ที่จะยกเลิกเพิกถอน ไม่ให้ใช้ข้อมูลส่วนตัวของเราได้อีกต่อไป หมดปัญหาการโดนโทรมาขายประกันซ้ำๆ และที่สำคัญถ้าโทรมา เรามีสิทธิ์ที่จะรับรู้ถึงที่มาและขอให้ลบข้อมูลของเราออกจากระบบได้ มิฉะนั้นทางธนาคารต้นทางจะมีความรับผิดตามกฎหมายทันที

ประกาศ พ.ค. 62 – จ่อบังคับใช้ พ.ค. 63 – สุดท้ายเลื่อนไป พ.ค. 64 | สาเหตุ “หน่วยงานและองค์กรปรับตัวไม่ทัน” ส่วนผู้บริโภครับกรรม ถูกละเลยสิทธิต่อไปอีก 1 ปีเต็ม

หากพิจารณาจากผลประโยชน์จากกฎหมายฉบับนี้ที่ผู้บริโภค หรือ ชาวเน็ตอย่างเรา ๆ ควรจะได้รับนั้น จะเห็นว่า PDPA เป็นกฎหมายที่ดีมาก ๆ ถูกออกแบบมาช่วยรักษาสิทธิและพื้นที่ส่วนบุคคลทางข้อมูลของทุก ๆ คน แต่เมื่อมองจากฝั่งของหน่วยงานและองค์กรธุรกิจต่าง ๆ นั้นแตกต่างออกไปมาก เพราะองค์กรเหล่านี้มองว่า ต้องปรับตัวทั้งในแง่ของนโยบายการจัดการข้อมูลรวมถึงคิดค้นระบบเพื่อรองรับการบริหารสิทธิต่าง ๆ ให้ได้อย่างสมบูรณ์ตาม PDPA ซึ่งแน่นอนว่าต้องใช้เวลาและต้นทุนประมาณหนึ่ง ซึ่งล่าสุดปรากฎว่ามีการชงเรื่องโดยกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม ไปยังที่ประชุม ครม. ครั้งที่ผ่านมาให้ขยายเวลาการบังคับใช้กฎหมายนี้ในส่วนโทษออกไปก่อนเพราะสาเหตุหลัก ๆ คือ หน่วยงานและธุรกิจทั้งหลายนั้นปรับตัวกันไม่ทันโดยเฉพาะอย่างยิ่งเกิดสถานการณ์ Covid-19 ขึ้นมาอีก

แน่นอนว่าชาวเน็ตอย่างพวกเราในฐานะเจ้าของข้อมูลย่อมเสียประโยชน์เต็ม ๆ การจากเลื่อนกฎหมายนี้ออกไปอีก ครั้นจะให้มองอย่างเห็นใจองค์กรธุรกิจสำหรับการเตรียมตัว กฎหมายนี้ก็ประกาศใช้ตั้งแต่ 27 พ.ค. 62 ก่อนจะมีผลบังคับใช้ 27 พ.ค. ปี 63 นี้เป็นต้นไป เท่ากับว่าทุกภาคส่วนไม่ว่าจะเป็นหน่วยงานหรือองค์กรไหน ๆ ก็มีเวลาเตรียมตัวให้สอดรับกับกฎหมายนี้มานานถึง 1 ปีเต็มแล้ว หรือหากมองจากสถานการณ์ Covid-19 ที่อาจเป็นสาเหตุเพิ่มเติมยิ่งแล้วไปใหญ่เพราะ Covid-19 ถูกมองเป็นเหมือนตัวเร่งระดับ 10 ที่ทำให้องค์กรทั้งหลายใช้ Digital Technology กับผู้บริโภคกันอย่างจุใจมากกว่าที่เคยเสียอีกซึ่งแปลว่า พื้นที่ส่วนบุคคลของเราทุกคนยิ่งสมควรได้รับการดูแล ลองคิดดูว่าถ้าเกิดกรณีแบบ Zoom ที่ทำข้อมูลผู้ใช้งานหลุดไปสู่ตลาดมืด ขึ้นมา นี่เป็นตัวอย่างที่ชัดเจนมากว่าถ้าเกิดในประเทศไทยก็คงไม่มีปัญหาอะไรมากนักไปอีกเป็นปีเลยล่ะ

อย่างไรก็ตามสุดท้ายได้มีประกาศขยายเวลาการบังคับใช้ PDPA ออกมาแล้วในรูปแบบของพระราชกฤษฎีกา (พ.ร.ฎ.) ซึ่งไม่ใช่เป็นการเลื่อนกฎหมายเสียทีเดียว แต่เป็นการกำหนดละเว้นโทษให้กับหน่วยงานและองค์กรทั้งหลายไปจนวันที่ 31 พ.ค. 2564 หรือเข้าใจง่าย ๆ ก็คือ PDPA กำลังจะมีผลบังคับใช้เพื่อคุ้มครองพวกเราแล้ว 🙂 แต่องค์กรธุรกิจทั้งหลายยังไม่ต้องรับโทษตามกฎหมายนี้แต่อย่างใด หากมีการกระทำผิดเกิดขึ้นในช่วงเวลานี้นั่นเอง 🙄 ซึ่งหากมองในแง่ดีก็อาจพอสรุปได้ว่า อย่างน้อยกฎหมายคุ้มครองข้อมูลส่วนบุคคลนั้นก็มีผลบังคับใช้แล้วทันที ในส่วนของหลักการและเจตนารมณ์ให้องค์กรปฏิบัติตามระเบียบและนโยบายตามกฎหมายนั่นเอง แต่ก็ไม่อาจปฏิเสธได้เลยว่า “สิทธิในข้อมูลส่วนบุคคลของพวกเรา อาจถูกละเลยไปอีก 1 ปีเป็นอย่างน้อย”

 

รายละเอียดของกฎหมายฉบับเต็มได้ที่: พระราชบัญญัติคุ้มครอข้อมูลส่วนบุคคล – พ.ศ. 2562

รายละเอียดของประกาศขยายเวลาบังคับใช้กฎหมาย: พระราชกฤษฎีกากำหนดหน่วยงานและกิจการที่ผู้ควบคุมข้อมูลส่วนบุคคลไม่อยู่ภายใต้บังคับแห่งพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 – พ.ศ. 2563

from:https://droidsans.com/pdpa-privacy-law-postponed-until-2021/

แนะนำเทคโนโลยีไมโครซอฟท์ ที่ให้องค์กรปฏิบัติตามกฎคุ้มครองข้อมูลส่วนบุคคลได้อย่างมั่นใจ

ใกล้เข้ามาทุกทีกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ว่าด้วยการกำหนดกฎข้อบังคับว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิใดบ้างเหนือข้อมูลนั้นๆ วางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดหน้าที่ที่องค์กรผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลจะต้องกระทำเพื่อรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงในกรณีที่เกิดเหตุข้อมูลรั่วไหลขึ้นอีกด้วย

โดยกฎหมายฉบับนี้ มีต้นแบบมาจากกฎหมายการคุ้มครอง ‘สิทธิของข้อมูลส่วนบุคคล’ หรือ General Data Protection Regulation (GDPR) ของสหภาพยุโรป ซึ่งเป็นกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่มีบทลงโทษค่าปรับในอัตราที่สูงมาก ดังจะเห็นจากข่าวที่องค์กรระดับโลกหลายแห่งปล่อยปละละเลยทำให้มีการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าถูกปรับเป็นตัวเงินหลายร้อยล้านบาท

No Description

แม้กฎหมายของเราจะไม่มีโทษปรับที่รุนแรงเหมือน GDPR แต่หากเกิดความเสียหายขึ้น ความเสียหายในแง่ของชื่อเสียง ความเชื่อมั่นของลูกค้า เวลา และค่าใช้จ่ายในการแก้ไข อาจมากกว่าค่าปรับหลายเท่า ดังนั้นการป้องกันด้วยการปรับกระบวนการทำงานต่างๆ และนำเทคโนโลยีมาใช้เพื่อเพิ่มมาตรการการรักษาความปลอดภัยและควบคุมการเข้าถึงข้อมูลส่วนบุคคล จึงเป็นสิ่งที่ดีกว่า

เพื่อช่วยองค์กรในการปฏิบัติตามกฎหมายฉบับนี้ ไมโครซอฟท์จึงได้พัฒนาชุดเครื่องมือที่ช่วยให้องค์กรที่ใช้งาน Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลทั้งในรูปแบบของ Structured และ Unstructured ได้อย่างสมบูรณ์แบบ โดย Microsoft 365 มีความสามารถหลักๆ ครอบคลุมการปฏิบัติตาม พ.ร.บ. 3 ด้าน ได้แก่

  1. การระบุตัวตน และกำหนดสิทธิ์การเข้าถึงข้อมูล (Identity and Access Management)
  2. การปกป้องและคุ้มครองข้อมูล (Information Protection)
  3. การป้องกันการถูกโจมตีจากภัยคุกคามทางไซเบอร์ (Threat Protection)

No Description

โดยมีหลากหลายเครื่องมือ ที่สามารถนำมาประยุกต์ใช้ รวมถึงมีขั้นตอนปฏิบัติที่ช่วยทำให้ผู้ใช้ Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ง่ายยิ่งขึ้น 7 ขั้นตอนหลักและเครื่องมือต่างๆ ประกอบด้วย

1. ค้นหาข้อมูลส่วนบุคคลที่กระจายอยู่ในองค์กร

ด้วย Advanced eDiscovery ระบบจะสามารถสแกนหาข้อมูลส่วนบุคคลที่กระจายอยู่ในระบบไอทีส่วนต่างๆ ขององค์กรไม่ว่าจะอยู่ใน File Server ซอฟต์แวร์ที่ใช้อยู่ในองค์กร, Office 365 รวมถึงแอปพลิเคชันบนระบบคลาวด์

ระบบสามารถทำ Classify หรือแบ่งประเภทเอกสาร เพื่อระบุว่าข้อมูลที่พบในไฟล์ต่างๆ นั้นเป็นข้อมูลส่วนบุคคลหรือไม่ รวมทั้งกำหนดระดับความสำคัญของข้อมูล ไม่ว่าจะเป็น วันเดือนปีเกิด เลขบัตรประชาชนของคนไทย เลขบัตรเครดิต และดำเนินการกำหนด Label ให้ไฟล์ๆ นั้น ว่ามีสิทธิการใช้งานระดับใดอัตโนมัติ

เครื่องมือที่จำเป็นต้องใช้ : Advanced eDiscovery, Cloud App Security, Advanced Data Governance, Azure Information Protection

No Description

2. Encryption ปกป้องข้อมูลที่พบด้วยการเข้ารหัสและกำหนดนโยบายรักษาความปลอดภัย

หลังจากค้นหาข้อมูลส่วนบุคคลต่างๆ พบแล้ว สิ่งที่ต้องทำต่อไปคือ ใช้ Advanced Information Protection (AIP) ในการกำหนดนโยบายรักษาความปลอดภัยด้วยการเข้ารหัส (Encryption) ทั้งข้อมูลที่อยู่ในระบบ เครื่องคอมพิวเตอร์ของผู้ใช้ Office 365 รวมถึงหากไฟล์ที่ถูกระบุว่ามีข้อมูลส่วนบุคคลอยู่ภายในถูกย้ายไปยังแอปพลิเคชันบนระบบคลาวด์ของผู้ให้บริการอื่นๆ ก็จะถูกเข้ารหัสก่อนเช่นกัน

ด้วยการทำงานร่วมกับ Intune โซลูชันบริหารจัดการการนำอุปกรณ์โมบายมาใช้งานในองค์กร ทำให้การกำหนดนโยบายการเข้ารหัสข้อมูลดังกล่าวยังครอบคลุมถึงข้อมูลที่ถูกเก็บอยู่ในอุปกรณ์โมบายต่างๆ อีกทั้งยังสามารถกำหนดสิทธิเพิ่มเติมได้ว่า สามารถแชร์ข้อมูลดังกล่าวไปยังแอปพลิเคชันใดในอุปกรณ์โมบายได้บ้าง ไม่ว่าจะเป็นการแชร์ไฟล์เอกสารไปยัง Line หรือ Facebook Messenger เป็นต้น ถือเป็นการรักษาความปลอดภัยและป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention) ให้แก่ข้อมูลส่วนบุคคลได้เป็นอย่างดี

หรือหากอุปกรณ์โมบายที่มีไฟล์ที่มีข้อมูลส่วนบุคคลเก็บอยู่เกิดสูญหายหรือถูกขโมย ระบบก็สามารถสั่งลบข้อมูลในอุปกรณ์จากระยะไกลได้

เครื่องมือที่จำเป็นต้องใช้ : Cloud App Security, Intune, BitLocker, Azure Information Protection, Windows Information Protection

3. การกำหนดสิทธิการเข้าถึงข้อมูล

เป็นกระบวนการในการควบคุมการเข้าถึงข้อมูลของผู้ใช้ เพราะเพียงแค่การล็อกอินเข้าสู่ระบบด้วย Username และ Password ในปัจจุบันนั้นไม่เพียงพออีกต่อไป การระบุตัวตนผู้ใช้ผ่านอินเทอร์เน็ตหรือระบบคลาวด์อย่างมีประสิทธิภาพนั้น ควรใช้ระบบ Multi Factor Authentication โดยมีกระบวนการล็อกอินด้วยวิธีอื่นๆ อย่างน้อยอีกหนึ่งชั้น ไม่ว่าจะเป็นใช้ระบบไบโอเมตริก รหัส PIN, การใช้รหัส OTP (One Time Password) รวมถึงการเปรียบเทียบอุปกรณ์และพฤติกรรมการล็อกอิน เป็นต้น

เครื่องมือที่จำเป็นต้องใช้ : Azure Active Directory Premium, Multi-Factor Authentication, Intune

No Description

4. ติดตามการใช้งานข้อมูลและแอปพลิเคชันบนระบบคลาวด์ของผู้ใช้

Microsoft 365 มีชุดเครื่องมือ ที่สามารถ ติดตาม ตรวจสอบ และป้องกัน การใช้งานไฟล์ที่มีข้อมูลส่วนตัวไปใช้งานบนแอปพลิเคชันบนระบบคลาวด์อื่นๆ ที่ไม่ใช่ขององค์กร แต่เพื่อไม่เป็นการละเมิดสิทธิ์ส่วนบุคคล สิ่งที่ผู้ดูแลระบบเห็นจะเป็นแนวโน้มการใช้งานแอปพลิเคชันบนระบบคลาวด์ ซึ่งมีประโยชน์ในการวางแผนกำหนดนโยบายการใช้งานคลาวด์ขององค์กร จะอนุญาต หรืออนุญาตให้ใช้โดยจำกัดสิทธิการใช้งานบางอย่างก็ได้ เช่น ใช้กับอุปกรณ์ใดได้บ้าง ใช้กับไฟล์ที่มีข้อมูลส่วนตัวประเภทใดได้บ้าง

ซึ่งไฟล์ที่มีข้อมูลส่วนบุคคลอยู่ภายใน แต่ถูกนำไปใช้งานบนบริการคลาวด์อื่นๆ นโยบายการปกป้องที่กำหนดไว้ตั้งแต่แรกก็จะติดตามไปด้วย ทำให้ไฟล์ข้อมูลยังคงมีความปลอดภัยแม้จะอยู่นอกระบบขององค์กรก็ตาม

เครื่องมือที่จำเป็นต้องใช้ : Cloud App Security, Azure Information Protection, Azure Active Directory (Conditional Access)

No Description

5. ป้องกันข้อมูลจากการคุกคามและเจาะระบบทางไซเบอร์ก่อนที่จะเกิดความเสียหาย

การปกป้องข้อมูลส่วนบุคคลของ Microsoft 365 ไม่ใช่แค่การแจ้งเตือนผู้ใช้ เมื่อเกิดเหตุการณ์เจาะระบบหรือขโมยข้อมูลขึ้นเท่านั้น แต่ระบบรักษาความปลอดภัยอย่าง Advanced Threat Protection สามารถป้องกันผู้ใช้และองค์กร ก่อนที่จะเกิดการบุกรุก เพื่อป้องกันไม่ให้เกิดความเสียหายจากการถูกเจาะระบบหรือเข้ามาขโมยข้อมูล

เครื่องมือรักษาความปลอดภัยของ Microsoft 365 ประกอบด้วย Advanced Threat Protection ที่จะคอยปกป้องผู้ใช้จากภัยคุกคามใหม่ๆ ในโลกไซเบอร์ ตรวจจับไฟล์อันตรายที่แนบมากับอีเมล หรือลิงก์ต้องสงสัยต่างๆ ตรวจจับพฤติกรรมต้องสงสัยที่อาจเกิดขึ้นในระบบ และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างรวดเร็ว

เบื้องหลังกลไกรักษาความปลอดภัยอันทรงประสิทธิภาพของ Microsoft 365 คือระบบ Threat Intelligent แสนฉลาด ประกอบด้วย AI และ Big Data ที่จะเก็บข้อมูลภัยคุกคามจากทั่วโลก วิเคราะห์แนวโน้มอันตรายใหม่ จับตารูปแบบพฤติกรรมต้องสงสัย ซึ่งผู้ใช้สามารถวางใจได้ว่า ไฟล์ข้อมูลที่เก็บอยู่ใน SharePoint, OneDrive และ Microsoft Teams จะเป็นไฟล์ที่ปลอดภัยแล้วจริงๆ

No Description

6. แนวทางสำหรับองค์กร เพื่อปฏิบัติตามกฎหมาย

ที่ผ่านมา การที่เราจะสามารถปรับกระบวนการบริหารจัดการข้อมูลส่วนบุคคลในระบบไอทีขององค์กรให้เป็นไปตามกฎหมายนั้น มีเครื่องมือช่วยอยู่มากมาย แต่สำหรับองค์กรที่ยังไม่แน่ใจว่าควรเริ่มต้นกระบวนการที่จุดไหนดี Microsoft 365 ก็ยังมี Compliance Manager เครื่องมือที่จะประเมินระดับการปฏิบัติตามกฎหมายขององค์กรและแนะนำแนวทางปฏิบัติให้แก่องค์กรที่ใช้ Microsoft 365 ว่า การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น จะมีขั้นตอนอย่างไรบ้าง และควรตั้งทีมทำงานที่ประกอบด้วยบุคลากรที่มีหน้าที่อะไรบ้าง โดยในปัจจุบันยังคงยึดกรอบปฏิบัติของ GDPR ส่วนกรอบปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของประเทศไทยจะมีตามมาในเร็วๆ นี้

No Description

7. ต้องสามารถจัดการกับคำร้องขอของเจ้าของข้อมูลได้

หนึ่งในข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลก็คือ ให้สิทธิเจ้าของข้อมูลในการขอรับข้อมูลที่เกี่ยวกับตนหรือคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูล ซึ่ง Microsoft 365 ก็มีเครื่องมือที่ช่วยให้องค์กรดึงข้อมูลที่เกี่ยวข้องต่างๆ ทั้งในส่วนของ Structured และ Unstructured data ออกมาได้อย่างรวดเร็ว เพื่อที่จะบริหารจัดการกับคำร้องขอของเจ้าของข้อมูลได้

No Description

ทั้งหมดที่กล่าวไปแล้ว คือความสามารถด้านต่างๆ ของ Microsoft 365 ที่ช่วยให้องค์กรที่อยู่ในฐานะถือครองข้อมูลส่วนบุคคลสามารถปฏิบัติตามข้อกำหนดของกฎหมายได้อย่างครอบคลุม ปกป้องข้อมูลส่วนบุคคลที่อยู่ในระบบ ทั้งการรั่วไหลจากภายในและจากภัยคุกคามภายนอก รวมถึงปรับกระบวนการใช้งานข้อมูลส่วนบุคคลให้เป็นระบบระเบียบ
ง่ายต่อการดูแลและบริหารจัดการ

ขอเชิญท่านเข้าร่วมฟังสัมมนากับเราในหัวข้อนี้ ในวันที่ 24 มีนาคม 2563 เพื่อเข้าใจถึงการเก็บข้อมูลส่วนบุคคล รวมถึงการนำเทคโนโลยีมาใช้เพื่อประโยชน์ในการดูแลเก็บรักษาข้อมูลเหล่านั้น ลงทะเบียนเพื่อสำรองที่นั่งวันนี้ที่ https://aka.ms/PDPA_articleTH

หรือพูดคุยกับทางบริษัทไมโครซอฟท์ (ประเทศไทย) เพิ่มเติมผ่านช่องทาง https://aka.ms/ContactMSFTTH

อ่านข้อมูลเพิ่มเติมได้ที่ https://www.microsoft.com/th-th/trust-center/privacy/gdpr-overview

from:https://www.blognone.com/node/115561

Alcatel-Lucent Enterprise พร้อมช่วยธุรกิจไทย สื่อสารในช่วงวิกฤตได้โดยไม่มีค่าใช้จ่าย พร้อมมั่นใจความปลอดภัยของข้อมูลด้วยมาตรฐาน GPDR และ ISO-27001

ท่ามกลางวิกฤตโรคระบาดในครั้งนี้ ทีมงาน TechTalkThai ได้มีโอกาสพูดคุยกับคุณสาธิต พันธ์ไพศาล ผู้ดำรงตำแหน่ง Country Manager ของ Alcatel-Lucent Enterprise ประจำประเทศไทย ที่ได้มีโอกาสเข้าไปช่วยเหลือให้ธุรกิจองค์กรหลายแห่งในไทย ยังคงทำการสื่อสารเพื่อให้ธุรกิจยังคงดำเนินต่อไปได้แม้จะต้องปรับไปใช้นโยบาย Work from Home โดยยังคงมีความมั่นคงปลอดภัยสูง ตอบโจทย์การทำ PDPA ด้วยมาตรฐาน GPDR (General Data Protection Regulation) และ ISO-27001และไม่มีค่าใช้จ่ายใดๆ เนื่องจาก Alcatel-Lucent Enterprise เปิดให้ใช้งานโซลูชันด้าน Enterprise Collaboration ฟรีโดยไม่จำกัดจำนวนผู้ใช้งานเป็นเวลานานถึง 3 เดือน พร้อมทั้งแบ่งปันบทเรียนและวิสัยทัศน์สำหรับธุรกิจองค์กรในการฝ่าฟันวิกฤตครั้งนี้ไปด้วยกัน

ถึงอยู่ท่ามกลางยามวิกฤต ธุรกิจองค์กรก็ยังมีทางเลือกในการสื่อสารได้อย่างปลอดภัย

ประเด็นแรกที่คุณสาธิตสังเกตได้จากการได้พูดคุยกับเหล่าธุรกิจองค์กรในครั้งนี้ ก็คือหลายองค์กรยังคงใช้ระบบในการสื่อสารภายในระหว่างพนักงานที่ไม่เป็นทางการนัก หลายแห่งมีการใช้งานระบบ Chat ฟรีภายนอกที่ไม่สามารถควบคุมอะไรได้เลย และเมื่อวิกฤตเกิดขึ้น การบริหารจัดการควบคุมช่องทางการสื่อสารให้เป็นระบบเพื่อให้การทำงานยังคงดำเนินต่อไปได้อย่างราบรื่น และยังคงถูกต้องตามข้อกำหนดทางด้าน Compliance หรือการตอบรับต่อกฎหมายต่างๆ นั้นก็กลายเป็นเรื่องรองไป

สิ่งหนึ่งที่ Alcatel-Lucent Enterprise ได้นำเสนอให้กับเหล่าธุรกิจทั่วโลกและธุรกิจไทยด้วยในยามนี้ ก็คือการเปิดให้ธุรกิจองค์กรทุกขนาดสามารถใช้งาน Alcatel-Lucent Enterprise Rainbow ซึ่งเป็นระบบ Enterprise Collaboration ที่มีทั้งความสามารถในการ Chat, Video Conference, File Sharing และ Screen Sharing ได้อย่างครบวงจรโดยไม่มีค่าใช้จ่ายเป็นเวลาถึงสามเดือน โดยห้องแชทแต่ละห้องสามารถมีทีมงานเข้าร่วมได้สูงสุดถึง 300 คนพร้อมกัน เรียกได้ว่าการจัดการด้านการสื่อสารสำหรับธุรกิจองค์กรให้เป็นระบบนั้นสามารถเกิดขึ้นได้แม้จะอยู่ท่ามกลางวิกฤตนี้ก็ตาม

Credit: Alcatel-Lucent Enterprise

การใช้โซลูชันระบบ Enterprise Collaboration นี้จะมีข้อได้เปรียบที่เหนือกว่าการที่ปล่อยให้พนักงานไปใช้ระบบ Chat จากภายนอกกันเองเป็นอย่างมาก เพราะจะทำให้ทุกการติดต่อสื่อสารนั้นมีทีม IT ของบริษัทเข้าไปช่วยสนับสนุนแก้ไขปัญหาได้ ในขณะที่การอัปโหลดส่งไฟล์ที่เกี่ยวข้องกับธุรกิจต่างๆ นั้นก็ยังคงมีความมั่นคงปลอดภัย, มีการเข้ารหัส และเข้าถึงได้เฉพาะคนในองค์กรเท่านั้น อีกทั้งหากบริษัทมีนโยบายที่จะจัดตั้งทีมทำงานฉุกเฉินสำหรับรับมือประเด็นเรื่องใดๆ ก็สามารถสร้างห้องพร้อมดึงผู้ที่เกี่ยวข้องเข้ามาร่วมแก้ไขปัญหาได้อย่างทันท่วงที

แน่นอนว่าสำหรับธุรกิจขนาดเล็ก การหันไปใช้ระบบ Chat ภายนอกนั้นอาจไม่มีความเสี่ยงที่สูงนัก แต่สำหรับธุรกิจองค์กรที่มีพนักงานตั้งแต่หลักหลายร้อยคนไปจนถึงหลักหมื่น การควบคุมการติดต่อสื่อสารให้มีประสิทธิภาพและยังคงมั่นคงปลอดภัยในช่วงเวลานี้ให้ได้ถือเป็นเรื่องสำคัญ เพราะไม่เช่นนั้นแล้วหากจบวิกฤตไป องค์กรก็อาจต้องเผชิญกับประเด็นปัญหาด้านข้อกฎหมาย, การทำ Compliance หรือแม้แต่การที่มีข้อมูลสำคัญของลูกค้าหลุดรั่วออกไปภายนอกแทนได้

สำหรับผู้ที่สนใจใช้ Alcatel-Lucent Enterprise Rainbow ฟรี สามารถกรอกแบบฟอร์มได้ทันทีที่ https://bit.ly/3bdZMOH หรือติดต่อตัวแทนจำหน่ายหรือทีมงานของ Alcatel-Lucent Enterprise ได้โดยตรง

ช่องทางการสื่อสารอย่างเป็นทางการ มีบทบาทสำคัญต่อการจัดการวิกฤตเป็นอย่างมาก

Credit: Alcatel-Lucent Enterprise

ถัดจากเรื่องของเทคโนโลยี ก็คือเรื่องของการประยุกต์นำเทคโนโลยีมาใช้งานที่เหมาะสมหลายธุรกิจองค์กรนั้นไม่ว่าจะเป็นการสื่อสารภายในหรือภายนอกองค์กรนั้น ยังไม่มีการสร้างช่องทางที่เป็นทางการขึ้นมาสำหรับใช้ในการสื่อสารเรื่องราวต่างๆ ไม่ว่าจะเป็นในแง่นโยบายหรือการประกาศฉุกเฉินใดๆ แต่กลับติดนิสัยที่จะใช้ช่องทางซึ่งไม่เป็นทางการอย่างเช่น LINE หรือ Facebook ส่วนตัวในการประกาศ ซึ่งนอกจากจะทำให้ข่าวสารไม่สามารถถูกแพร่กระจายไปยังผู้รับสารที่เหมาะสมได้อย่างครบถ้วนแล้ว ความสับสนในการสื่อสารก็เป็นอีกปัญหาหนึ่งที่พบเห็นได้เช่นกัน

ในยามนี้ธุรกิจองค์กรควรกำหนดให้ชัดว่าช่องทางการสื่อสารที่เป็นทางการของตนเองสำหรับการสื่อสารภายในและการสื่อสารภายนอกควรจะเป็นช่องทางใด และหากผู้รับสารมีข้อสงสัยสามารถติดต่อสอบถามได้อย่างไร เพื่อลดความสับสนให้เหลือน้อยที่สุดนั่นเอง

การสื่อสารที่ดีนี้จะเป็นจุดเริ่มต้นในการรับมือวิกฤตครั้งนี้ได้อย่างมั่นคง เพราะท่ามกลางความเปลี่ยนแปลงที่กำลังเกิดขึ้นอย่างรวดเร็วนี้ การสื่อสารที่ดีและชัดเจนจะเป็นสิ่งเดียวที่จะทำให้ธุรกิจองค์กรยังคงขับเคลื่อนไปในทิศทางเดียวกันได้นั่นเอง

เปลี่ยนวัฒนธรรมการสื่อสาร เพื่อรับมือกับวิกฤตให้คล่องตัวยิ่งขึ้น

ในการรับมือกับวิกฤตครั้งนี้ การนำบทเรียนจากการรับมือภัยพิบัติครั้งก่อนๆ มาใช้ก็ถือเป็นอีกสิ่งที่ควรทำ ซึ่งแน่นอนว่าการแก้ไขปัญหาอย่างเร่งด่วนซึ่งไม่เคยพบเจอมาก่อนอย่างนี้ การอาศัยความร่วมมือจากหลายภาคส่วนหรือหลายทีมงานภายในธุรกิจองค์กรก็ถือเป็นหัวใจสำคัญ เดิมทีหลายองค์กรนั้นยังคงมีการสื่อสารในแบบ Silo คือพูดคุยกันเฉพาะในแผนกหรือทีมงานเดียวกัน แต่การแก้ไขปัญหานั้นองค์กรจะต้องทำลายกำแพงของคำว่าแผนกหรือทีมลง และสร้างการเชื่อมต่อพูดคุยระหว่างแผนกหรือทีมขึ้นมาให้ได้ เพื่อให้เกิดกระบวนการการทำงานข้ามทีมที่จะช่วยให้การแก้ไขปัญหาใดๆ นั้นรวดเร็วยิ่งขึ้นกว่าเดิม

วางแผนรับมือวิกฤตในระยะยาว ด้วยการนำเทคโนโลยีอย่าง AI และ IoT เข้ามาช่วยเสริม

การแก้ไขปัญหาระยะสั้นก็สำคัญ แต่สำหรับธุรกิจองค์กรที่ต้องมีความมั่นคงนั้น แผนการรับมือกับปัญหาในระยะยาวเองก็สำคัญไม่แพ้กัน โดยสำหรับการรับมือกับปัญหาในระยะสั้นนี้ การมีเวลาเพื่อกลับมาทบทวนบทเรียนที่ได้รับจากการแก้ไขปัญหาก็จะทำให้ธุรกิจองค์กรมีแผนการรับมือกับปัญหาที่มีประสิทธิภาพมากยิ่งขึ้นได้ในอนาคต และเป็นสิ่งที่ไม่ควรละเลย

Credit: Alcatel-Lucent Enterprise

ในขณะเดียวกัน การมองหาเทคโนโลยีใหม่ๆ เพื่อนำมาใช้แก้ไขปัญหาในระยะยาวก็เป็นอีกหนทางหนึ่งที่น่าสนใจ เพราะจากกระแสข่าวและการวิเคราะห์นั้น วิกฤตครั้งนี้จะคงอยู่กับเราอีกหลายเดือนหรืออาจจะเป็นปี ดังนั้นการนำเทคโนโลยีอย่าง AI หรือ IoT เข้ามาช่วยให้พนักงานสามารถทำงานได้อย่างมีประสิทธิภาพมากขึ้น และลดโอกาสการแพร่เชื้อถึงกันนั้นก็จะทำให้ธุรกิจก้าวเดินต่อไปได้อย่างมั่นคง โดยตัวอย่างของการประยุกต์ใช้งานเทคโนโลยีมีดังนี้

  • ระบบ AI สำหรับยืนยันตัวตนด้วยใบหน้าและเปิดประตูโดยอัตโนมัติ ลดการสัมผัสประตูและการตอกบัตรลง
  • ระบบ IoT สำหรับอุปกรณ์จ่ายน้ำยาล้างมือ เพื่อให้ผู้ล้างมือสามารถล้างมือได้โดยไม่ต้องสัมผัส และมีการแจ้งเตือนให้เติมน้ำยาล้างมืออยู่เสมอให้เพียงพอต่อการใช้งาน
  • ระบบ AI สำหรับทำหน้าที่ Chatbot ช่วยให้ธุรกิจยังคงตอบรับต่อลูกค้ารายใหม่ๆ ได้อย่างต่อเนื่องแม้จะมีนโยบาย Work from Home หรือการผลัดเวรมาทำงาน
  • ระบบกล้องวงจรปิดผสาน AI ที่ช่วยให้สอดส่องพฤติกรรมผิดปกติที่เกิดขึ้นได้ง่ายขึ้น หรือวิเคราะห์อุณหภูมิของคนเพื่อคัดกรองผู้ป่วยได้ง่ายขึ้น
  • ระบบ Digital Signage แบบไร้การสัมผัส เพื่อให้จัดการงานต่างๆ ได้โดยลดการพบปะกันของมนุษย์ให้น้อยลง
  • และอื่นๆ อีกมากมาย

แน่นอนว่าการนำเทคโนโลยีเหล่านี้มาใช้จะต้องอาศัยระบบ IT Infrastructure ที่เหมาะสม ซึ่ง Alcatel-Lucent Enterprise เองก็พร้อมที่จะช่วยเหลือทุกธุรกิจองค์กรในประเด็นนี้ด้วยเช่นเดียวกัน

ทดลองใช้งาน Alcatel-Lucent Rainbow ฟรี 3 เดือน!

ปัจจุบันนี้บริการ Alcatel-Lucent Rainbow™ ได้เปิดให้ภาคธุรกิจองค์กรสามารถใช้งานได้ฟรีนานถึง 3 เดือน เพื่อรับมือกับการทำงานจากบ้านหรือ Work from Home ช่วยให้ธุรกิจสามารถฝ่าฟันภัย COVID-19 ได้อย่างมั่นคง ผู้ที่สนใจกรุณาเยี่ยมชมและลงทะเบียนที่ https://bit.ly/3bdZMOH เพื่อรับสิทธิ์ใช้งานได้ทันที

ประวัติของคุณสาธิต พันธ์ไพศาล

ปัจจุบันคุณสาธิต พันธ์ไพศาลรับผิดชอบงานด้านการบริหารจัดการทั่วไปใน Alcatel-Lucent Enterprise ประจำประเทศไทย และมีบทบาทหลักในการผลักดันตลาดทางด้าน IP Communications และ Network Solutions สำหรับธุรกิจองค์กรให้แก่ Alcatel-Lucent Enterprise ในประเทศไทย

คุณสาธิตมีประสบการณ์ในอุตสาหกรรมทางด้าน ICT เป็นเวลายาวนานเกือบ 30 ปีทั้งภายในองค์กรระดับประเทศและระดับนานาชาติภายใต้บทบาทที่หลากหลาย ตั้งแต่การเป็นผู้เชี่ยวชาญด้านระบบเครือข่าย, ที่ปรึกษาระบบ IT, ผู้บริหารโครงการ, ผู้พัฒนาธุรกิจ และผู้ดูแลช่องทางการขายสินค้า

คุณสาธิตจบการศึกษาปริญญาโททางด้าน Computer and Engineering Managment จากมหาวิทยาลัยอัสสัมชัญ และได้รับเกียรตินิยมทางด้านวิศวกรรมจากสถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง

เกี่ยวกับ Alcatel Lucent Enterprise

ALE ช่วยให้คุณสามารถเชื่อมต่อกับชุมชนของคุณได้ด้วยการนำเสนอเทคโนโลยีที่ทำงานได้เป็นอย่างดี ทั้งสำหรับผู้คน, สาธารณชน และองค์กรของคุณ ด้วยการเป็นธุรกิจที่ครอบคลุมทั่วโลกและให้ความสำคัญกับความต้องการที่แตกต่างกันไปในแต่ละพื้นที่ เราได้นำเสนอระบบเครือข่ายและการสื่อสารที่มั่นคงปลอดภัยซึ่งออกแบบมาเพื่อให้นำไปใช้เพื่อให้บริการสื่อสารโต้ตอบภายในชุมชนโดยเฉพาะ ทำให้ประชาชนสามารถสื่อสารกันได้อย่างปลอดภัย และโต้ตอบกันได้ด้วยประสบการณ์ที่ดี ในขณะที่เจ้าหน้าที่ก็สามารถเชื่อมต่อและทำงานได้อย่างมีประสิทธิภาพ ให้บริการสาธารณะได้อย่างมั่นคง รวมถึงตัวแทนเจ้าหน้าที่ภาครัฐเองก็สามารถเชื่อมต่อเพื่อริเริ่มนวัตกรรมใหม่ๆ, สื่อสารทำงานระหว่างกันอย่างมีประสิทธิภาพ และควบคุมค่าใช้จ่ายได้เป็นอย่างดี เป้าหมายของเราคือการเชื่อมต่อทุกสิ่งอย่างเข้าด้วยกันเพื่อสร้างประสบการณ์การใช้งานเทคโนโลยีที่ลูกค้าของเราต้องการ ทั้งภายในที่ทำงาน, บน Cloud หรือทั้งสองแห่งรวมกัน เราสามารถนำเสนอระบบเครือข่ายและการสื่อสารที่ใช้งานได้จริงสำหรับบุคลากร, กระบวนการ และลูกค้าของคุณ

ด้วยนวัตกรรมและความทุ่มเทเพื่อให้ลูกค้าประสบความสำเร็จมาตั้งแต่อดีตนั้น ก็ได้ทำให้ ALE ภายใต้แบรนด์ Alcatel-Lucent Enterprise นี้กลายเป็นผู้ให้บริการหลักทางด้านระบบเครือข่าย, การสื่อสาร และบริการสำหรับองค์กรให้แก่ลูกค้าทั่วโลกกว่า 830,000 ราย ALE นั้นมีสาขากระจายอยู่ทั่วโลก และให้ความสำคัญกับทุกภูมิภาคด้วยพนักงานมากกว่า 2,200 คนและพันธมิตรมากกว่า 2,900 รายใน 50 ประเทศทั่วโลก ที่ผ่านมา ALE ประสบความสำเร็จได้จากการช่วยให้องค์กรของคุณสามารถทำ Digital Transformation ในรูปแบบที่เหมาะสมกับธุรกิจของคุณได้ ด้วยการผสานรวมระบบ, ติดตั้งระบบวิเคราะห์ข้อมูล และนำเทคโนโลยี Mobile และ Internet of Things เข้ามาช่วยสร้างนวัตกรรมโมเดลทางธุรกิจรูปแบบใหม่ ซึ่งจะกลายเป็นรากฐานที่สำคัญสำหรับนวัตกรรมที่จะมาต่อยอดในอนาคตเพิ่มเติม https://www.al-enterprise.com

from:https://www.techtalkthai.com/alcatel-lucent-enterprise-offer-free-secure-collaboration-services-for-thai-businesses/

[Guest Post] 7 ขั้นตอนการรักษาความปลอดภัยของข้อมูลส่วนบุคคล และเทคโนโลยีที่จะช่วยให้องค์กรปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้อย่างมั่นใจ

ใกล้เข้ามาทุกทีกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 กฎหมายที่ว่าด้วยการกำหนดกฎข้อบังคับว่าเจ้าของข้อมูลส่วนบุคคลมีสิทธิใดบ้างเหนือข้อมูลนั้นๆ วางแนวทางการคุ้มครองข้อมูลส่วนบุคคลไม่ให้ถูกนำไปใช้ในทางที่ละเมิดสิทธิของเจ้าของข้อมูล พร้อมกำหนดหน้าที่ที่องค์กรผู้ควบคุมข้อมูล และผู้ประมวลผลข้อมูลจะต้องกระทำเพื่อรักษาความมั่นคงปลอดภัยของข้อมูล รวมถึงในกรณีที่เกิดเหตุข้อมูลรั่วไหลขึ้นอีกด้วย

โดยกฎหมายฉบับนี้ มีต้นแบบมาจากกฎหมายการคุ้มครอง ‘สิทธิของข้อมูลส่วนบุคคล’ หรือ General Data Protection Regulation (GDPR) ของสหภาพยุโรป ซึ่งเป็นกฎหมายการคุ้มครองข้อมูลส่วนบุคคลที่มีบทลงโทษค่าปรับในอัตราที่สูงมาก ดังจะเห็นจากข่าวที่องค์กรระดับโลกหลายแห่งปล่อยปละละเลยทำให้มีการรั่วไหลของข้อมูลส่วนบุคคลของลูกค้าถูกปรับเป็นตัวเงินหลายร้อยล้านบาท

แม้กฎหมายของเราจะไม่มีโทษปรับที่รุนแรงเหมือน GDPR แต่หากเกิดความเสียหายขึ้น ความเสียหายในแง่ของชื่อเสียง ความเชื่อมั่นของลูกค้า เวลา และค่าใช้จ่ายในการแก้ไข อาจมากกว่าค่าปรับหลายเท่า ดังนั้นการป้องกันด้วยการปรับกระบวนการทำงานต่างๆ และนำเทคโนโลยีมาใช้เพื่อเพิ่มมาตรการการรักษาความปลอดภัยและควบคุมการเข้าถึงข้อมูลส่วนบุคคล จึงเป็นสิ่งที่ดีกว่า

เพื่อช่วยองค์กรในการปฏิบัติตามกฎหมายฉบับนี้ ไมโครซอฟท์จึงได้พัฒนาชุดเครื่องมือที่ช่วยให้องค์กรที่ใช้งาน Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลทั้งในรูปแบบของ Structured และ Unstructured ได้อย่างสมบูรณ์แบบ โดย Microsoft 365 มีความสามารถหลักๆ ครอบคลุมการปฏิบัติตาม พ.ร.บ. 3 ด้าน ได้แก่

  1. การระบุตัวตน และกำหนดสิทธิ์การเข้าถึงข้อมูล (Identity and Access Management)
  2. การปกป้องและคุ้มครองข้อมูล (Information Protection)
  3. การป้องกันการถูกโจมตีจากภัยคุกคามทางไซเบอร์ (Threat Protection)

โดยมีหลากหลายเครื่องมือ ที่สามารถนำมาประยุกต์ใช้ รวมถึงมีขั้นตอนปฏิบัติที่ช่วยทำให้ผู้ใช้ Microsoft 365 สามารถปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลได้ง่ายยิ่งขึ้น 7 ขั้นตอนหลักและเครื่องมือต่างๆ ประกอบด้วย

1. ค้นหาข้อมูลส่วนบุคคลที่กระจายอยู่ในองค์กร

ด้วย Advanced eDiscovery ระบบจะสามารถสแกนหาข้อมูลส่วนบุคคลที่กระจายอยู่ในระบบไอทีส่วนต่างๆ ขององค์กรไม่ว่าจะอยู่ใน File Server ซอฟต์แวร์ที่ใช้อยู่ในองค์กร, Office 365 รวมถึงแอปพลิเคชันบนระบบคลาวด์

ระบบสามารถทำ Classify หรือแบ่งประเภทเอกสาร เพื่อระบุว่าข้อมูลที่พบในไฟล์ต่างๆ นั้นเป็นข้อมูลส่วนบุคคลหรือไม่ รวมทั้งกำหนดระดับความสำคัญของข้อมูล ไม่ว่าจะเป็น วันเดือนปีเกิด เลขบัตรประชาชนของคนไทย เลขบัตรเครดิต และดำเนินการกำหนด Label ให้ไฟล์ๆ นั้น ว่ามีสิทธิการใช้งานระดับใดอัตโนมัติ

เครื่องมือที่จำเป็นต้องใช้ : Advanced eDiscovery, Cloud App Security, Advanced Data Governance, Azure Information Protection

2. Encryption ปกป้องข้อมูลที่พบด้วยการเข้ารหัสและกำหนดนโยบายรักษาความปลอดภัย

หลังจากค้นหาข้อมูลส่วนบุคคลต่างๆ พบแล้ว สิ่งที่ต้องทำต่อไปคือ ใช้ Advanced Information Protection (AIP) ในการกำหนดนโยบายรักษาความปลอดภัยด้วยการเข้ารหัส (Encryption) ทั้งข้อมูลที่อยู่ในระบบ เครื่องคอมพิวเตอร์ของผู้ใช้ Office 365 รวมถึงหากไฟล์ที่ถูกระบุว่ามีข้อมูลส่วนบุคคลอยู่ภายในถูกย้ายไปยังแอปพลิเคชันบนระบบคลาวด์ของผู้ให้บริการอื่นๆ ก็จะถูกเข้ารหัสก่อนเช่นกัน

ด้วยการทำงานร่วมกับ Intune โซลูชันบริหารจัดการการนำอุปกรณ์โมบายมาใช้งานในองค์กร ทำให้การกำหนดนโยบายการเข้ารหัสข้อมูลดังกล่าวยังครอบคลุมถึงข้อมูลที่ถูกเก็บอยู่ในอุปกรณ์โมบายต่างๆ อีกทั้งยังสามารถกำหนดสิทธิเพิ่มเติมได้ว่า สามารถแชร์ข้อมูลดังกล่าวไปยังแอปพลิเคชันใดในอุปกรณ์โมบายได้บ้าง ไม่ว่าจะเป็นการแชร์ไฟล์เอกสารไปยัง Line หรือ Facebook Messenger เป็นต้น ถือเป็นการรักษาความปลอดภัยและป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention) ให้แก่ข้อมูลส่วนบุคคลได้เป็นอย่างดี

หรือหากอุปกรณ์โมบายที่มีไฟล์ที่มีข้อมูลส่วนบุคคลเก็บอยู่เกิดสูญหายหรือถูกขโมย ระบบก็สามารถสั่งลบข้อมูลในอุปกรณ์จากระยะไกลได้

เครื่องมือที่จำเป็นต้องใช้ : Cloud App Security, Intune, BitLocker, Azure Information Protection, Windows Information Protection

3. การกำหนดสิทธิการเข้าถึงข้อมูล

เป็นกระบวนการในการควบคุมการเข้าถึงข้อมูลของผู้ใช้ เพราะเพียงแค่การล็อกอินเข้าสู่ระบบด้วย Username และ Password ในปัจจุบันนั้นไม่เพียงพออีกต่อไป การระบุตัวตนผู้ใช้ผ่านอินเทอร์เน็ตหรือระบบคลาวด์อย่างมีประสิทธิภาพนั้น ควรใช้ระบบ Multi Factor Authentication โดยมีกระบวนการล็อกอินด้วยวิธีอื่นๆ อย่างน้อยอีกหนึ่งชั้น ไม่ว่าจะเป็นใช้ระบบไบโอเมตริก รหัส PIN, การใช้รหัส OTP (One Time Password) รวมถึงการเปรียบเทียบอุปกรณ์และพฤติกรรมการล็อกอิน เป็นต้น

เครื่องมือที่จำเป็นต้องใช้ : Azure Active Directory Premium, Multi-Factor Authentication, Intune

4. ติดตามการใช้งานข้อมูลและแอปพลิเคชันบนระบบคลาวด์ของผู้ใช้

Microsoft 365 มีชุดเครื่องมือ ที่สามารถ ติดตาม ตรวจสอบ และป้องกัน การใช้งานไฟล์ที่มีข้อมูลส่วนตัวไปใช้งานบนแอปพลิเคชันบนระบบคลาวด์อื่นๆ ที่ไม่ใช่ขององค์กร แต่เพื่อไม่เป็นการละเมิดสิทธิ์ส่วนบุคคล สิ่งที่ผู้ดูแลระบบเห็นจะเป็นแนวโน้มการใช้งานแอปพลิเคชันบนระบบคลาวด์ ซึ่งมีประโยชน์ในการวางแผนกำหนดนโยบายการใช้งานคลาวด์ขององค์กร จะอนุญาต หรืออนุญาตให้ใช้โดยจำกัดสิทธิการใช้งานบางอย่างก็ได้ เช่น ใช้กับอุปกรณ์ใดได้บ้าง ใช้กับไฟล์ที่มีข้อมูลส่วนตัวประเภทใดได้บ้าง

ซึ่งไฟล์ที่มีข้อมูลส่วนบุคคลอยู่ภายใน แต่ถูกนำไปใช้งานบนบริการคลาวด์อื่นๆ นโยบายการปกป้องที่กำหนดไว้ตั้งแต่แรกก็จะติดตามไปด้วย ทำให้ไฟล์ข้อมูลยังคงมีความปลอดภัยแม้จะอยู่นอกระบบขององค์กรก็ตาม

เครื่องมือที่จำเป็นต้องใช้ : Cloud App Security, Azure Information Protection, Azure Active Directory (Conditional Access)

5. ป้องกันข้อมูลจากการคุกคามและเจาะระบบทางไซเบอร์ก่อนที่จะเกิดความเสียหาย

การปกป้องข้อมูลส่วนบุคคลของ Microsoft 365 ไม่ใช่แค่การแจ้งเตือนผู้ใช้ เมื่อเกิดเหตุการณ์เจาะระบบหรือขโมยข้อมูลขึ้นเท่านั้น แต่ระบบรักษาความปลอดภัยอย่าง Advanced Threat Protection สามารถป้องกันผู้ใช้และองค์กร ก่อนที่จะเกิดการบุกรุก เพื่อป้องกันไม่ให้เกิดความเสียหายจากการถูกเจาะระบบหรือเข้ามาขโมยข้อมูล

เครื่องมือรักษาความปลอดภัยของ Microsoft 365 ประกอบด้วย Advanced Threat Protection ที่จะคอยปกป้องผู้ใช้จากภัยคุกคามใหม่ๆ ในโลกไซเบอร์ ตรวจจับไฟล์อันตรายที่แนบมากับอีเมล หรือลิงก์ต้องสงสัยต่างๆ ตรวจจับพฤติกรรมต้องสงสัยที่อาจเกิดขึ้นในระบบ และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างรวดเร็ว

เบื้องหลังกลไกรักษาความปลอดภัยอันทรงประสิทธิภาพของ Microsoft 365 คือระบบ Threat Intelligent แสนฉลาด ประกอบด้วย AI และ Big Data ที่จะเก็บข้อมูลภัยคุกคามจากทั่วโลก วิเคราะห์แนวโน้มอันตรายใหม่ จับตารูปแบบพฤติกรรมต้องสงสัย ซึ่งผู้ใช้สามารถวางใจได้ว่า ไฟล์ข้อมูลที่เก็บอยู่ใน SharePoint, OneDrive และ Microsoft Teams จะเป็นไฟล์ที่ปลอดภัยแล้วจริงๆ

6. แนวทางสำหรับองค์กร เพื่อปฏิบัติตามกฎหมาย

ที่ผ่านมา การที่เราจะสามารถปรับกระบวนการบริหารจัดการข้อมูลส่วนบุคคลในระบบไอทีขององค์กรให้เป็นไปตามกฎหมายนั้น มีเครื่องมือช่วยอยู่มากมาย แต่สำหรับองค์กรที่ยังไม่แน่ใจว่าควรเริ่มต้นกระบวนการที่จุดไหนดี Microsoft 365 ก็ยังมี Compliance Manager เครื่องมือที่จะประเมินระดับการปฏิบัติตามกฎหมายขององค์กรและแนะนำแนวทางปฏิบัติให้แก่องค์กรที่ใช้ Microsoft 365 ว่า การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น จะมีขั้นตอนอย่างไรบ้าง และควรตั้งทีมทำงานที่ประกอบด้วยบุคลากรที่มีหน้าที่อะไรบ้าง โดยในปัจจุบันยังคงยึดกรอบปฏิบัติของ GDPR ส่วนกรอบปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของประเทศไทยจะมีตามมาในเร็วๆ นี้

7. ต้องสามารถจัดการกับคำร้องขอของเจ้าของข้อมูลได้

หนึ่งในข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลก็คือ ให้สิทธิเจ้าของข้อมูลในการขอรับข้อมูลที่เกี่ยวกับตนหรือคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูล ซึ่ง Microsoft 365 ก็มีเครื่องมือที่ช่วยให้องค์กรดึงข้อมูลที่เกี่ยวข้องต่างๆ ทั้งในส่วนของ Structured และ Unstructured data ออกมาได้อย่างรวดเร็ว เพื่อที่จะบริหารจัดการกับคำร้องขอของเจ้าของข้อมูลได้

ทั้งหมดที่กล่าวไปแล้ว คือความสามารถด้านต่างๆ ของ Microsoft 365 ที่ช่วยให้องค์กรที่อยู่ในฐานะถือครองข้อมูลส่วนบุคคลสามารถปฏิบัติตามข้อกำหนดของกฎหมายได้อย่างครอบคลุม ปกป้องข้อมูลส่วนบุคคลที่อยู่ในระบบ ทั้งการรั่วไหลจากภายในและจากภัยคุกคามภายนอก รวมถึงปรับกระบวนการใช้งานข้อมูลส่วนบุคคลให้เป็นระบบระเบียบ
ง่ายต่อการดูแลและบริหารจัดการ

พูดคุยกับทางบริษัทไมโครซอฟท์ (ประเทศไทย) เพิ่มเติมผ่านช่องทาง https://aka.ms/ContactMSFTTH

อ่านข้อมูลเพิ่มเติมได้ที่ https://www.microsoft.com/th-th/trust-center/privacy/gdpr-overview

from:https://www.techtalkthai.com/7-security-practices-for-pdpa-with-microsoft-365/

[Guest Post] Microsoft Azure Security & Privacy

สำหรับบทความนี้จะพาทุกท่านไปทำความรู้จักกับเรื่องราวของ Security และ Privacy ใน Microsoft Azure กันครับ โดยสืบเนื่องจากช่วงเวลาที่ผ่านมาได้มี พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ออกมาและมีผลบังคับใช้แล้วเมื่อวันที่ 28 พฤษภาคม ที่ผ่านมา นอกจาก พ.ร.บ. ดังกล่าวนี้แล้วยังมีอีก พ.ร.บ. หนึ่งเรียกว่า “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” ซึ่งจะมีผลบังคับใช้ในเดือน พฤษภาคม พ.ศ. 2563 โดย พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ดังกล่าวนี้จะช่วยคุ้มครองข้อมูลส่วนตัวของเราอย่างเหมาะสมและให้มีความปลอดภัยมากขึ้น และยังมุ่งเน้นไปที่องค์กร, หน่วยงาน, หรือนิติบุคคลให้มีมาตราฐานในการจัดการข้อมูลส่วนบุคคลอย่างเหมาะสมและมีความปลอดภัยเพียงพอเมื่อมีความจำเป็นต้องขอใช้ข้อมูลส่วนบุคคล

สำหรับในต่างประเทศนั้น ทางสหภาพยุโรป (European Union หรือ EU) ได้ออกกฏหมายที่เรียกว่า “General Data Protection Regulation” หรือเรียกสั้นๆ ว่า “GDPR” ซึ่งเป็นกฏหมายคุ้มครองข้อมูลส่วนบุคคล โดยมีผลบังคับใช้เมื่อ 25 พฤษภาคม พ.ศ. 2561 ที่ผ่านมา ซึ่งบังคับใช้กับประเทศต่างๆ ที่เป็นสมาชิกใน EU และในกรณีที่บริษัทหรือองค์กรในประเทศไทยที่มีการติดต่อรับและส่งข้อมูลส่วนบุคคลกับประเทศที่เป็นสมาชิก EU ก็จะต้องมีมาตราการการคุ้มครองข้อมูลส่วนบุคคลที่เหมาะสมและปลอดภัยด้วย เพราะนั่นหมายถึงความน่าเชื่อถือในมาตราการการคุ้มครองข้อมูลส่วนบุคคลขององค์กรในประเทศไทย ที่มีการทำธุรกิจและการค้ากับประเทศเหล่านั้น จึงเป็นประเด็นที่สำคัญที่ทำให้ประเทศไทยต้องมีกฏหมายหรือ พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์และพ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลออกมาบังคับใช้ เพื่อสร้างความมั่นใจในเรื่องของความปลอดภัยของข้อมูล

รายละเอียดเพิ่มเติมเกี่ยกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล สามารถศึกษเพิ่มเติมได้ที่นี่ครับ http://www.ratchakitcha.soc.go.th/DATA/PDF/2562/A/069/T_0052.PDF

สำหรับ Microsoft Azure นั้นได้เตรียมเซอร์วิสต่างๆ ที่จะช่วยทำให้องค์กรที่ใช้บริการ Microsoft Azure มั่นใจในเรื่องของ Security และ Privacy ของข้อมูลและรองรับกับ General Data Protection Regulation (GDPR) และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลที่เกริ่นไว้ในช้างต้น ดังนั้นเมื่อองค์กรหรือหน่วยงานใดที่ใช้งาน Microsoft Azure ก็จะต้องทำการวางแผนและดำเนินการจัดเตรียมและสร้างความปลอดภัยสำหรับผู้ใช้งาน, การเข้าถึงข้อมูล, และข้อมูลครับ

เอาล่ะครับ มาดูกันครับว่า Microsoft Azure ได้เตรียมเซอร์วิสและฟีเจอร์ต่างๆ เอาไว้สำหรับให้องค์กรได้ใช้งานเพื่อรองรับกับ General Data Protection Regulation (GDPR) และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลครับ

Azure Policy

เป็นเซอร์วิสที่ทำงานร่วมกับ Azure Resource Manager (ARM) เพื่อช่วยองค์กรในการสร้างและบังคับใช้งาน Policy กับ Resources ต่างๆ (Azure Virtual Machines, Azure Storages, และอื่นๆ) ตัวอย่างเช่น องค์กรสามารถสร้างและบังคับใช้งาน Azure Policy เพื่อจัดการ Resources ต่างๆ เช่น ทำการเข้ารหัส (Encryption) Disks ของ Azure Virtual Machines เพื่อป้องกันข้อมูลรั่วไหลออกจากองค์กร และเป็นไปตามนโยบายหรือข้อกำหนดที่องค์กรได้วางแผนและกำหนดไว้ครับ และสำหรับ Azure Policy ถือว่าส่วนประกอบหนึ่งสำหรับการทำ Governance ใน Microsoft Azure ครับ

Azure Blueprints

เป็นเซอร์วิสที่จะเข้ามาช่วยองค์กรในเรื่องของการออกแบบแผนผัง (Blueprint) เพื่อทำการสร้างกลุ่มของ Resources ต่างๆ (Azure Virtual Machine, Azure Storage, Azure Virtual Network, และอื่นๆ) ใน Microsoft Azure โดยกลุ่มของ Resources ต่างๆ ที่ถูกสร้างขึ้นมานั้นก็จะถูกกำหนดค่าต่างๆ ตามข้อกำหนดหรือความต้องการขององค์กร เช่น ARM Template, Azure Policy, สิทธิในการการเข้าถึง (RBAC), และอื่นๆ โดยอัตโนมัติ ซึ่งทำให้องค์กรมีความมั่นใจว่า Resources ต่างๆ ที่ได้สร้างขึ้นมานั้นไปเป็นตามมาตราฐานและนโยบายที่องค์กรกำหนดไว้ และสามารถนำเอา Blueprints ที่ได้ทำการออกแบบเรียบร้อย มาทำการรียูสใช้งานเพื่อทำการสร้างกลุ่มของ Resources ต่างๆ ในโอกาสต่อไปครับ

ผมขออนุญาตยกตัวอย่าง การสร้าง Azure Blueprints ใน Microsoft Azure ให้ทุกท่านได้ดูกันครับ โดยเริ่มจาก Azure Portal ทำการ Search หา Azure Blueprints เมื่อพบแล้วให้ทำการคลิ๊กเลยครับ ก็จะปรากฎหน้าตาดังรูปด้านล่างครับ

จากนั้นให้คลิ๊กที่ Create ครับ ก็จะเข้าสู่ขั้นตอนต่อมาคือการสร้าง Azure Blueprints ดังรูปด้านล่างครับ

และโดยดีฟลอต์ทาง Microsoft ได้เตรียมตัวอย่างของ Blueprints มาให้ทดลองใช้งานเยอะเลยครับ เช่น Blueprints ที่เกี่ยวกับมาตราฐานต่างๆ หรือจะสร้างขึ้นมาใหม่เองก็ได้ครับ ดังรูปด้านล่าง

ผมลองทำการเลือก Blueprint ซักหนึ่งอัน โดยทำการคลิ๊กจากตัวอย่างข้างต้นครับ ก็จะเข้าสู่หน้าจอ ดังรูปด้านล่างครับ

โดยเราสามารถทำการกำหนดได้ว่า Blueprint ดังกล่าวจะนำไปใช้งานกับ Management Group และ Subscription ใดครับ รวมถึงกำหนดค่าต่างๆ เช่น Azure Policy, RBAC, Resource Group, และอื่นๆ ดังรูปครับ

และเมื่อกำหนดทุกอย่างเสร็จเรียบร้อยแล้วก็ทำการ Save และจากนั้นก็จะทำการ Publish Blueprint ดังกล่าวต่อไปครับ

หลังจากนั้น ถ้าในเวลาต่อมาองค์กรมีความต้องการที่จะสร้างกลุ่มของ Resources ต่างๆ ให้ไปเป็นตามสิ่งที่ได้ทำการออกแบบและกำหนดค่าต่างๆ ใน Blueprint ก็สามารถดำเนินการได้ครับ โดยในส่วน Resources ต่างๆ ที่สร้างขึ้นมานั้นก็จะเป็นไปที่ได้ออกแบบไว้และเป็นไปตามความต้องการขององค์กรครับ ซึ่งจากขั้นตอนข้างต้นเป็นเพียงแค่ตัวอย่างของ Azure Blueprints ที่ผมอยากให้ทุกท่านเห็นภาพและเข้าใจว่า Azure Blueprints มีบทบาทหรือหน้าที่อะไร และจะเข้ามาช่วยองค์กรต่างๆ ที่ใช้งาน Microsoft Azure ได้อย่างไรครับ สำหรับรายละเอียดเพิ่มเติมเกี่ยวกับ Azure Blueprints นั้น สามารถศึกษาเพิ่มเติมได้ท้ายบทความครับ ดังนั้น Azure Blueprints นั้นถือเป็นส่วนหนึ่งของ Azure Governance เช่นเดียวกันกับ Azure Policy ครับ

Compliance Manager

เป็นเครื่องมือที่ถูกออกแบบมาเพื่อช่วยองค์กรในการติดตาม (Track) สถานะของขององค์กรที่ใช้งาน Microsoft Cloud Services เช่น Office 365, Microsoft Azure, และ Dynamic 365 ว่าที่ผ่านมาการใช้งานเซอร์วิสต่างๆ เป็นไปตามกฏข้อบังคับ (Regulations) หรือมาตราฐาน (Standards) เช่น GDPR หรือไม่ โดยองค์กรจะเห็นข้อมูลเกี่ยวกับความเสี่ยงที่ทาง Compliance Manager ได้ทำการประเมิน (Assessments) รวมถึงคำแนะนำ (Recommendation) ที่องค์กรสามารถนำไปปรับปรุงเพื่อทำให้เซอร์วิสต่างๆ ที่ใช้งานใน Microsoft Cloud Services เป็นไปตามกฏข้อบังคับหรือมาตราฐานต่างๆ ผ่านทาง Dashboard View ของ Compliance Manager

Azure Active Directory (Azure AD)

เป็นเซอร์วิสที่มีความสำคัญมากที่สุดตัวหนึ่งสำหรับการใช้งาน Microsoft Azure โดย Azure Active Directory (Azure AD) มีหน้าที่ในการบริหารและจัดการในเรื่องของ Identity (Identity Management) ต่างๆ ของผู้ใช้งาน และทำการตรวจสอบ (Authenticate) ผู้ใช้งานก่อนที่จะเข้าถึง Resources, ข้อมูลและแอพพิเคชั่นต่างๆ ใน Microsoft Azure

ในอันที่จริงแล้ว Azure Active Directory (Azure AD) ยังมีฟีเจอร์ต่างๆ อีกเยอะแยะมากมายครับ แต่มีฟีเจอร์หนึ่งที่เข้ามาช่วยเสริมในเรื่องของความปลอดภัย ฟีเจอร์นี้มีชื่อว่า “Multi-Factor Authentication (MFA)” ซึ่งจะช่วยทำการให้กระบวนการตรวจสอบผู้ใช้งาน (Authentication) มีความแข็งแรงและปลอดภัยมากขึ้นกว่าเดิมที่ใช้เพียงแค่ Username และ Password ครับ

ฟีเจอร์ต่อมาใน Azure Active Directory (Azure AD) ที่จะเข้ามาช่วยในเรื่องของความปลอดภัย คือ “Azure AD Privileged Identity Management (PIM)” จะเป็นฟีเจอร์ที่จะมาช่วยองค์กรในการจัดการ, ควบคุม, และรายงานการเข้าถึง Resources ต่างๆ ของผู้ใช้งาน และมีความสามารถหนึ่งของ PIM ที่เรียกว่า “Just-In-Time Administration” ทำให้องค์กรสามารถทำการกำหนดสิทธิในการเข้าถึงข้อมูลให้กับผู้ใช้งาน แบบ On-Demand ได้ ทำให้เกิดความปลอดภัยมากขึ้นในการกำหนดสิทธการเข้าถึงข้อมูลให้กับผู้ใช้งาน เมื่อถึงเวลาที่ต้องการเท่านั้น

Role-Based Access Control (RBAC)

เป็นฟีเจอร์ที่จะมาช่วยในเรื่องของการกำหนดสิทธิสำหรับผู้ใช้งานในการเข้าถึง Resources และข้อมูลต่างๆ ใน Microsoft Azure โดยดีฟอลต์ Microsoft Azure ได้เตรียม Built-In Roles ของ RBAC มาให้หลาย Roles ซึ่งสามารถนำไปประยุกต์ใช้งานได้เลยหรือจะทำการสร้างและกำหนด Roles เองตามความต้องการขององค์กรก็สามารถทำได้ครับ และสำหรับ Role-Based Access Control (RBAC) ก็เป็นส่วนหนึ่งในเรื่องของ Azure Governance เช่นเดียวกับ Azure Blueprints และ Azure Policy ครับ

Azure Information Protection (AIP)

เป็นเซอร์วิสที่จะมาช่วยในการป้องกัน (Protect) เอกสาร (Documents) และ อีเมล์ (Emails) โดยใช้การกำหนดประเภทหรือกลุ่มของข้อมูล (Classification) ในองค์กร เช่น Confidential, Official, Public, เป็นต้น และ Labeling จะเป็นการนำเอา Classification ที่กำหนดมาใช้งานกับข้อมูล

Azure Data Encryption

สำหรับในเรื่องของการเข้ารหัสข้อมูลใน Microsoft Azure นั้นมีหลากหลายรูปแบบให้เลือกใช้ตามความต้องการขององค์กร เช่น การเข้ารหัส Disks (OS และ Data Disks) ใน Azure Virtual Machine โดยใช้ฟีเจอร์ที่ชื่อว่า “Azure Disk Encryption” ซึ่งรองรับ Azure Virtual Machines ทั้ง Windows และ Linux ครับ

สำหรับข้อมูลต่างๆ ที่จัดเก็บอยู่ใน Azure Storage โดยดีฟอลต์ก็จะมีการเข้ารหัส (Encryption) ข้อมูลที่เก็บอยู่ใน Azure Storage ครับ

Azure Key Vault

เป็นเซอร์วิสที่ทำการป้องกัน (Protect) Encryption Keys, Certificates, และ Passwords ที่มาใช้ในการเข้ารหัสเพื่อปกป้องข้อมูล เช่น Disks ของ Azure Virtual Machines (Azure VMs), ข้อมูลที่เก็บอยู่ใน Azure Storage, และอื่นๆ โดย Encryption Keys, Certificates และ Passwords ดังกล่าวจะถูกเก็บอยู่ใน Azure Key Vault ซึ่งถูกป้องกันโดย Hardware Security Modules (HSMs)

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับรื่องราวของ General Data Protection Regulation (GDPR) และ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้นและอื่นๆ เช่น เอกสารข้อมูล, Azure Blueprints (ที่ได้อธิบายไว้ในตอนต้น), และอื่นๆ สามารถเข้าไปที่นี่ได้เลยครับ

https://servicetrust.officeppe.com/ViewPage/GDPRBlueprint?command=Download&downloadType=Document&downloadId=abe94a89-72e1-4c21-a0af-e01472e65a68&docTab=d67046f0-4994-11e8-b5cc-896bfb7494a6_PaaS

ประวัติผู้เขียน

from:https://www.techtalkthai.com/microsoft-azure-security-and-privacy/