บลูบิค (Bluebik) แนะธุรกิจเร่งอุดช่องโหว่ระบบจัดการข้อมูล เพิ่มความปลอดภัยในการคุ้มครองข้อมูลและป้องกันการโจรกรรมทางไซเบอร์ รวมถึงปรับกระบวนการให้สอดคล้องตามพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลที่จะบังคับใช้ในอีก 5 เดือนข้างหน้า โดยองค์กรต้องเริ่มที่การประเมินจุดอ่อนการเก็บข้อมูลภายใน พร้อมชี้แนวทางจัดการข้อมูลเพื่อแก้ไขปัญหา ซึ่งประกอบด้วย 5 ขั้นตอน ได้แก่ 1. จัดทำโครงสร้างข้อมูล (Data Mapping) 2. จัดลำดับความสำคัญของข้อมูล (Prioritization) 3. พัฒนาระบบควบคุมการเข้าถึงข้อมูล (Access Control System) 4. กำหนดค่าและทดสอบระบบ (Configuration and Testing) และ 5. ผลักดันสู่การปฏิบัติจริง (Implementation)
นางฉันทชา สุวรรณจิตร์ ประธานเจ้าหน้าที่ฝ่ายปฏิบัติการ Chief Operation Officer (COO) บริษัท บลูบิค กรุ๊ป จำกัด (Bluebik) บริษัทที่ปรึกษาด้านกลยุทธ์ และการจัดการนวัตกรรมและเทคโนโลยี เปิดเผยว่า ปัจจุบัน ข้อมูลลูกค้าได้กลายเป็นสินทรัพย์สำคัญขององค์กร โดยเฉพาะสำหรับการทำการตลาดแบบ Personalized Marketing ที่ให้ธุรกิจสามารถนำเสนอสินค้าและบริการได้ตรงความต้องการ ตอบโจทย์ปัญหาของผู้บริโภค จนนำไปสู่การสร้างยอดขายเพิ่มขึ้น ดังนั้น องค์กรจึงต้องให้ความสำคัญมากขึ้นกับการรักษาความปลอดภัยของข้อมูล (Data Security) เพื่อป้องกันความเสี่ยงข้อมูลภายในองค์กรรั่วไหล การถูกโจรกรรมข้อมูล รวมถึงการต้องปรับกระบวนการให้สอดคล้องกับระเบียบข้อบังคับต่างๆ ของภาครัฐ เช่น พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล หรือ Personal Data Protection Act (PDPA) ที่กำลังจะมีผลบังคับใช้ในวันที่ 27 พ.ค. 2564
"ในปัจจุบันหลายองค์กรต่างตระหนักถึงความสำคัญของการดูแลความปลอดภัยของข้อมูล แต่ยังไม่แน่ใจว่าควรต้องเริ่มดำเนินการอย่างไร ทั้งนี้ ในการกำหนดแนวทางว่าควรบริหารจัดการจากการข้อมูลอย่างไร ควรเริ่มจากการประเมินความพร้อม หรือ ช่องโหว่ด้านการจัดการข้อมูล เพื่อที่จะได้วางแนวทางได้อย่างตรงจุด" นางฉันทชา กล่าว
ทั้งนี้ การประเมินความพร้อมหรือช่องโหว่การบริหารจัดการข้อมูลขององค์กร ควรเริ่มด้วยการศึกษาและวิเคราะห์เพื่อระบุแหล่งที่มาข้อมูล โครงสร้างการจัดเก็บข้อมูล การเข้าถึง การไหลของข้อมูล จากนั้นประเมินความเสี่ยงและวิเคราะห์ช่องโหว่ของมาตรการที่องค์กรดำเนินการอยู่ในปัจจุบัน และกำหนดมาตรการที่ต้องมีในการบริหารจัดการเพื่อคุ้มครองข้อมูลส่วนบุคคลตามที่กฎหมายกำหนด ซึ่งมาตรการ รวมถึงกระบวนการบริหารจัดการข้อมูล องค์กรควรพิจารณาตั้งแต่ขั้นตอนการขอความยินยอมจากเจ้าของข้อมูล (Consent) ซึ่งต้องแจ้งอย่างเป็นลายลักษณ์อักษร พร้อมชี้แจงวัตถุประสงค์การเก็บ/การประมวลข้อมูล รายละเอียด ระยะเวลา และสิทธิของเจ้าของข้อมูล
"การประเมินประสิทธิภาพของกระบวนการในการบริหารจัดการข้อมูลเป็นสิ่งที่องค์กรส่วนใหญ่ละเลย โดยองค์กรจำนวนมากมักให้ความสำคัญและพุ่งเป้าไปที่การนำเทคโนโลยีเข้ามาใช้ ซึ่งแท้จริงแล้วเทคโนโลยีมีส่วนช่วยเพียง 10% เท่านั้น และหากขาดการประเมินความพร้อมในการบริหารจัดการข้อมูล ก่อนการนำเทคโนโลยีเข้ามาใช้อาจประสบปัญหาว่าเทคโนโลยีดังกล่าวอาจไม่ได้เหมาะสมหรือตอบโจทย์ความต้องการที่แท้จริงขององค์กรในด้านการบริหารจัดการข้อมูล" นางฉันทชา เสริม
หลังดำเนินการประเมินช่องโหว่การบริหารจัดการข้อมูล ขั้นตอนถัดมาคือการกำหนดแนวทางการจัดการข้อมูลเพื่อแก้ไขปัญหา ในปัจจุบันกระบวนการทำงานของธุรกิจส่วนใหญ่อยู่บนช่องทางออนไลน์และระบบเทคโนโลยีสารสนเทศ ทำให้มีข้อมูลปริมาณมากไหลเวียนภายในองค์กร โดยข้อมูลดังกล่าวอยู่กระจัดกระจาย ไม่ได้รวมอยู่ในที่เดียวกัน หรืออาจจะไม่ได้จัดเก็บรวบรวมอย่างเป็นระบบ ส่งผลไม่สามารถระบุได้อย่างชัดเจนว่าแหล่งข้อมูล (Source of Data) จัดเก็บอยู่ตรงไหนบ้าง ทำให้การป้องกันความเสี่ยงกรณีข้อมูลรั่วไหลหรือสูญหายเป็นเรื่องยากสำหรับองค์กร เนื่องจากอาจเกิดปัญหาที่ส่วนใดของการเก็บข้อมูลก็ได้
ด้วยเหตุนี้ หากต้องการอุดช่องโหว่ความเสี่ยงและเพิ่มความปลอดภัยในการดูแลข้อมูล จึงต้องปรับการจัดการข้อมูล ซึ่งประกอบด้วย 5 ขั้นตอนหลัก ดังนี้
"คงต้องบอกว่า การปรับโครงสร้างระบบเพื่อรักษาความปลอดภัยของข้อมูล เป็นสิ่งที่องค์กรต้องให้ความสำคัญและดำเนินการอย่างต่อเนื่อง อย่างไรก็ตาม สถานการณ์การระบาดของโควิด-19 ที่กลับมาน่ากังวลอีกครั้งเมื่อไม่นานนี้ ทำให้องค์กรตระหนักเรื่องนี้น้อยลง แตกต่างจากในช่วงแรกๆ ที่องค์กรต่างตื่นตัวเรื่องการปรับกระบวนการและการจัดการข้อมูลเพื่อให้สอดรับกับ PDPA ที่กำลังจะบังคับใช้ในปี 2564" นางฉันทชา กล่าว
ทั้งนี้ จากประสบการณ์ของบลูบิค ในการให้คำปรึกษาแนะนำองค์กรเกี่ยวกับแนวทางการปรับกระบวนการธุรกิจให้สอดรับกับ PDPA มองว่า องค์กรควรให้ความสำคัญกับเรื่องข้อมูล โดยไม่มองข้าม 3 ประเด็น ได้แก่ 1. การให้ความรู้ความเข้าใจเรื่อง PDPA กับบุคลากรในองค์กร เพื่อให้พร้อมสำหรับการปฏิบัติงานจริง 2. การกำหนดกระบวนการทำงานให้มีความชัดเจน ตั้งแต่การวางนโยบายและแผนกลยุทธ์การนำข้อมูลไปใช้งาน พร้อมระบุความชัดเจนของสิทธิ์ หน้าที่ และความรับผิดชอบ รวมไปถึงขั้นตอนการตรวจสอบหากเกิดกรณีข้อมูลรั่วไหล และ 3. การเลือกใช้เทคโนโลยีให้เหมาะสมกับขนาดและระบบข้อมูลขององค์กร รวมถึงควรปรับเทคโนโลยีให้ทันสมัย เอื้อต่อการรักษาความปลอดภัยของข้อมูล ซึ่งการเตรียมความพร้อมอย่างรอบด้าน ทั้งเรื่องโครงสร้างข้อมูล บุคลากร กระบวนการ และเทคโนโลยีจะช่วยให้องค์กรประสบความสำเร็จในการอุดช่องโหว่ความเสี่ยง และรักษาความปลอดภัยของข้อมูลได้อย่างมีประสิทธิภาพ นางฉันทชา ทิ้งท้าย