กรุงเทพฯ--13 ก.ค.--พีซี แอนด์ แอสโซซิเอทส์
ท่านเคยคิดไหมว่า Email ที่ท่านใช้อยู่ วันหนึ่งอาจจะทำความเสียหายให้กับองค์กรของท่าน
บทความโดย คุณ ทวิพงศ์ อโนทัยสินทวี
ที่ปรึกษาทางด้าน Solution บริษัท อีเอ็มซี อินฟอร์เมชั่น ซิสเต็มส์ (ประเทศไทย) จำกัด
ในยามนี้ถ้าหากจะถามใครต่อใครหลายๆคนว่ากิจกรรมตอนเช้าที่ที่ทำงานคืออะไรผมเชื่อว่าการเปิด และเช็ค Email เป็นกิจกรรมของใครหลายๆคน จึงปฏิเสธไม่ได้ว่า Email เข้ามามีส่วนร่วมในวิถีการทำงานของเราๆท่านๆ ในมุมมองขององค์กร หรือบริษัทต่างๆ Email ถูกนำมาใช้เป็นเครื่องมือมาตรฐานสำหรับติดต่อสื่อสาร แลกเปลี่ยนข้อมูลในการดำเนินธุรกิจ ด้วยเหตุผลที่ว่า Email มีการใช้งานที่ง่าย, เพิ่มศักยภาพในการติดต่อสื่อสารได้อย่างเหลือเชื่อโดยไม่มีข้อจำกัดด้านระยะทาง IDC เคยประเมินว่าภายในปี 2006 ที่จะถึงนี้จะมีการรับส่ง Email กันถึง 35 ล้านล้านฉบับต่อวัน !!!!
แล้วเคยคิดไหมครับว่าสักวันหนึ่งองค์กรของเราอาจจะได้รับความเสียหาย โดยมีต้นเหตุมาจาก Email ที่เราใช้ๆกันอยู่ ลองคิดดูนะครับถ้ามีใครสักคนในองค์กรกับบุคคลภายนอกลักลอบติดต่อ หรือรับส่งข้อมูลที่เกี่ยวข้องกับผลประโยชน์, ความมั่นคง, ข้อมูลภายใน หรือข้อมูลในทางลับต่างๆขององค์กร และหลังจากได้รับข้อมูลแล้วเค้าเหล่านั้นก็ทำการลบจดหมายที่อาจจะเป็นหลักฐานสำคัญออกจากระบบไป สุดท้ายเมื่อความเสียหายบังเกิดขึ้นเราจะย้อนกลับไปค้นหาหลักฐานเหล่านั้นกลับมาได้อย่างไรในเมื่อจดหมายเหล่านั้นถูกทำลายทิ้งเสียแล้ว
เหตุการณ์ที่ยกตัวอย่างมาไม่ใช้เรื่องที่แต่งขึ้น แต่อยากจะบอกว่าเป็นเรื่องที่เกิดขึ้นจริงในต่างประเทศ และอาจจะเกิดขึ้นกับองค์กรของคุณแล้วโดยที่คุณไม่รู้ตัว เหตุการณ์เหล่านี้กดดันให้องค์กรทางภาครัฐ และเอกชน โดยเฉพาะในสหรัฐอเมริกาต้องออกกฏเกณฑ์ และกฏหมายต่างๆเพื่อควบคุมระบบ Email ขององค์กรต่างๆภายในสหรัฐฯ รวมถึงองค์กรต่างประเทศที่ต้องทำธุรกิจกับสหรัฐฯ ยกตัวอย่างเช่น
SEC 17a-4 ซึ่งเป็นข้อกำหนดหนึ่งของตลาดหลักทรัพย์สหรัฐฯที่กำหนดให้บริษัทโบรคเกอร์ต่างๆจัดเก็บข้อมูลที่เกี่ยวข้องกับการสื่อสารทั้งภายใน และภายนอกรวมถึงข้อมูลบนระบบ Email เป็นระยะเวลา 3 ปี โดยข้อมูลที่เก็บไว้จะต้องอยู่บนสื่อ หรือมีเดียที่ไม่อนุญาติให้ทำการแก้ไขเปลี่ยนแปลงใดๆทั้งสิ้น
NASD 3110 ของ National Association of Securities Dealers (NASD) ที่อ้างถึง SEC 17a-4 เพื่อนำมาใช้กับองค์กรที่เป็นสมาชิกของ NASD
Sarbanes-Oxley Act (SOX) ซึ่งกำหนดให้บริษัทมหาชนที่มีหุ้นกระจายอยู่ในตลาดหลักทรัพย์จะต้องจัดเก็บข้อมูลที่เกี่ยวข้องกับกิจกรรมอันก่อให้เกิดรายรับ และรายจ่ายซึ่งจำเป็นกับการตรวจสอบ โดยรวมถึงข้อมูลของระบบ Email ไว้ไม่น้อยกว่า 7 ปี
HIPAA (Health Insurance Portability and Accountability Act of 1996) มีกฏหมายข้อหนึ่งที่เกี่ยวข้องกับการจัดเก็บ Email ที่มีข้อมูลทางการแพทย์ต่างๆเอาไว้ไม่น้อยกว่า 6 ปี ซึ่งบังคับใช้กับองค์กรต่างๆที่ข้องเกี่ยวกับกิจกรรมทางการแพทย์ไม่ว่าจะเป็น โรงพยาบาล, คลินิก, บริษัทผลิตจัดจำหน่ายยา และบริษัทประกันชีวิต เป็นต้น
Telecommunications CFR Title 47, Part 42 ซึ่งเป็นกฏหมายที่ครอบคลุม และใช้กับองค์กรที่ให้บริการด้านการสื่อสาร โดยให้จัดเก็บ Email ที่เกี่ยวข้องกับหลักฐานค่าใช้จ่าย และการชำระเงินของลูกค้า รวมถึงข้อมูลการดำเนินธุรกิจเพื่อประโยชน์ในการตรวจสอบโดยผู้ตรวจสอบ (Auditor)ในภายหลัง
การที่จะให้ระบบ Email ภายในองค์กรปฏิบัติตามกฏเกณฑ์ต่างๆที่กล่าวมานั้นเป็นความรับผิดชอบของเจ้าหน้าที่ด้านกฏหมาย และผู้บริหารในระดับต่างๆที่ต้องกำหนดนโยบายออกมาเพื่อให้สอดรับกับกฏเกณฑ์ที่กล่าวมา แต่หน่วยงานที่จะทำให้ระบบตรวจสอบเหล่านี้เกิดขึ้น และนำมาปฏิบัติได้อย่างจริงจังคงหนีไม่พ้นหน่วยงาน IT (Information Technology) ซึ่งเทคนิคที่นำมาใช้มักจะเกี่ยวข้องกับการทำ Email Archiving ซึ่งจะถูกนำมาใช้ในการทำสำเนาจดหมายที่มีการรับส่งกันในระบบไว้อีกชุด โดยการ Archive ควรจะเป็นแบบ Real Time เพื่อสร้างความมั่นใจว่าจดหมายทุกฉบับที่รับส่งมีการทำสำเนาไว้ และจะต้องไม่อนุญาติให้มีการแก้ไขจดหมายที่ Archive ไว้เพื่อประโยชน์ในการตรวจสอบภายหลัง
คุณสมบัติของระบบ Email Archiving ที่พึงจะต้องมีเพื่อรองรับกฏเกณฑ์ควรจะมีดังนี้
Email Record Capture จะทำหน้าที่ในการตรวจสอบ และทำสำเนาจดหมายที่มีการรับส่งบนระบบ Email ไปยัง Email Archiving Server แบบ Real Time ทำให้มั่นใจได้ว่าจดหมายทุกฉบับจะมีการส่งไปยังระบบ Archive ก่อนเสมอ
Email record archiving and retention หลังจากได้รับจดหมายที่ถูกส่งมายัง Email Archiving Server แล้วระบบ Archive จะทำการกลั่นกรอง และเลือกเฉพาะจดหมายฉบับที่ต้องการจะจัดเก็บไว้เท่านั้นเช่นจดหมายที่ถูกส่งออกโดยผู้บริหาร หรือส่งมาให้ผู้บริหาร, จดหมายของผู้ใช้ในแผนกด้านการเงิน หรือจดหมายที่มีข้อความเกี่ยวข้องกับข้อมูลทางด้านสถานะการเงินเป็นต้น หลังจากนั้นระบบ Archive จะถูกจัดเก็บไว้ในช่วงเวลา (Retention Period) ที่ต้องการเช่น 3 ปี, 7ปี เป็นต้น ตามแต่กฏเกณฑ์ที่ถูกบังคับใช้
Record Storage จดหมายที่ถูก Archive เก็บไว้จะต้องมั่นใจได้ว่าไม่สามารถทำการเปลี่ยนแปลงแก้ไขโดยบุคคลหนึ่งบุคคลใดได้ไม่ว่าจะเป็นการเปลี่ยนแปลงผ่านทางตัวโปรแกรมระบบ Archive หรือจะเป็นการทำลายทิ้งโดยเข้าไปลบจากสื่อที่จัดเก็บระบบจดหมายที่ Archive ไว้โดยตรง ดังนั้นระบบ Archive ที่ใช้จะต้องรองรับการป้องกันเหตุการณ์เหล่านี้ และจะต้องไม่ละเลยถึงสื่อที่นำมาใช้จัดเก็บ และบันทึกจดหมายเหล่านี้ด้วยที่จะต้องรองรับการบันทึกข้อมูลโดยไม่อนุญาติให้ทำการเปลี่ยนแปลงข้อมูลที่บันทึกไปแล้วได้ซึ่งสื่อเหล่านี้มักจะใช้เทคโนโลยีแบบ Write Once Read Many (WORM) หรือ Non-Rewriteable เป็นต้น
Access and retrieval ระบบ Archive ที่ดีจะต้องตระเตรียมเครื่องมือที่จะช่วยในการสืบค้นจดหมาย และนำจดหมายฉบับที่ต้องการคืนกลับมาได้อย่างสะดวก ซึ่งระบบการสืบค้นควรจะทำได้ทั้งกับข้อความที่อยู่ในจดหมาย และเอกสารแนบ (Attachment) รวมถึงควรจะมีระบบรักษาความปลอดภัย และกำหนดการเข้าถึงระบบ Archive ให้เหมาะสม
Auditing ระบบ Archive จะต้องมีกลไกในการเก็บประวัติ และเหตุการณ์ต่างๆที่เกิดขึ้นเมื่อมีการเปลี่ยนแปลงแก้ไขค่าต่างๆ
Supervision สำหรับองค์กรบางองค์กรการ Archive Email เพื่อตรวจสอบภายหลังอาจจะไม่เพียงพอ ยกตัวอย่างเช่นบริษัทโบรคเกอร์ที่อาจต้องการตรวจสอบ และตรวจจับจดหมายที่มีการรับส่ง และมีข้อความ หรือข้อมูลเกี่ยวข้องกับการลงทุน, การเงิน และช้อมูลวงในของบริษัทต่างๆ และถูกส่งออกไปให้กับบุคคลภายนอก ซึ่งต้องการระบบ Archive ที่สามารถแจ้งเตือนให้ผู้ดูแลระบบทำการตรวจสอบจดหมายฉบับนั้นๆทันทีก่อนที่จะเกิดปัญหา หรือความเสียหาย
ทั้งหมดนี้คงพอทำให้เรามองเห็นถึงแนวโน้มการใช้งาน Email ที่เราจะต้องเตรียมองค์กรของเราเพื่อมุ่งไปสู่การเป็นองค์กรที่มีธรรมาภิบาล (Good Governance) โปร่งใส, ตรวจสอบได้กับทั้งคู่ค้า, ลูกค้า และสังคมของเรา
สำหรับสื่อมวลชน : สอบถามข้อมูลเพิ่มเติม กรุณาติดต่อ :
Khoo Yin
Senior Marcom Specialist
EMC South Asia
Tel: +65-6427-1741
Fax: +65-6333-6878
Email: khoo_yin@emc.com
Local PR agency contact
เมธาวี เฉลิมธนศักดิ์
บริษัท พีซี แอนด์ แอสโซซิเอทส์ คอนซัลติ้ง จำกัด
โทร : 0-2971-3711
โทรสาร : 0-2521-9030
Email : maythavee@pc-a.co.th--จบ--