การท่องเว็บผ่าน Browser ทั่วไปอาจทำให้เราไปดาวน์โหลดเจ้ามัลแวร์ตัวร้ายได้โดยไม่รู้ตัว ACIS เลยทำ Step ง่าย ๆ ให้ทราบขั้นตอนการโจมตีของมัลแวร์ว่าเป็นอย่างไร จะได้ระวังและป้องกันตัวเองจากภัยไซเบอร์เหล่านี้โดยวิธีป้องกันอย่างง่าย ๆ จากมัลแวร์ประเภทนี้ คือ “การ Block เว็บไซต์” ที่ไม่ควรเข้าใช้งาน เพื่อช่วยป้องกันความเสียหายที่จะเกิดขึ้นต่อข้อมูลที่สำคัญขององค์กรและของเรา แต่ถ้าเป็นทางด้านเทคนิคก็อาจจะมีการนำ Solutions เข้ามาช่วย เช่น Web Malware Protection หรือการทำ Host Intrusion Prevention System (HIPS) เป็นต้น ปัญหานี้ไม่ใช่เรื่องเล่นๆ อีกต่อไป เพราะพนักงานในองค์กรส่วนใหญ่อาจไม่ทราบถึงเหตุผลขององค์กรที่จะต้องมีการ Block บางเว็บไซต์ ซึ่งส่งผลต่อการตอบสนองในการทำงานบางอย่าง ดังนั้น ACIS จึงมีบริการ Cybersecurity Awareness Campaign เพื่อช่วยแนะนำให้พนักงานได้ทราบนโยบายความมั่นคงปลอดภัยขององค์กร ทั้งยังสร้างความตระหนักเรื่องการใช้งานอินเทอร์เน็ตที่เหมาะสม และเข้าใจเรื่องการระวังภัยจากมัลแวร์ได้เป็นอย่างดี สนใจการทำ Cybersecurity Awareness Campaign ในบริษัทเพื่อสร้างการรับรู้ให้พนักงาน “ตระหนัก แต่ไม่ตระหนก” ต่อการใช้งานอินเทอร์เน็ต […]
Read moreISO ได้มีการประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 (Privacy Information Management System : PIMS) ซึ่งเป็นส่วนเพิ่มเติมจาก ISO/IEC 27001:2013 (Information Security Management System : ISMS) ทั้งนี้ได้จัดทำขึ้นเพื่อเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมีประสิทธิภาพอย่างมั่นคงปลอดภัย และนำไปประยุกต์ใช้เพื่อให้สอดคล้องกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้ด้วย ซึ่ง ISO/IEC 27701: 2019 (Privacy Information Management System : PIMS) หรือระบบบริหารจัดการข้อมูลส่วนบุคคล จะมีอะไรที่เพิ่มเติมบ้าง ไปดูกันเลย ISO 27001 จะเน้นไปที่เรื่องของการรักษาความมั่งคงปลอดภัยสำหรับสารสนเทศเป็นหลัก แต่ในส่วนของ ISO 27701 นั้นจะเพิ่มเติมมุมมองในเรื่องของ “Privacy” เข้ามา ไม่ว่าจะเป็น – ในส่วนของ Clause 5.2 Context of […]
Read moreภายใต้สถานการณ์ที่เชื้อ COVID19 กำลังแพร่ระบาดอยู่ในขณะนี้ การปรับตัวให้การทำงานมาอยู่ในรูปแบบของ Work From Home ถือเป็นกลยุทธ์สำคัญของการทำงานแบบ Digital Workplace อีกรูปแบบหนึ่ง แม้จะทำให้พนักงานมีอิสระในการทำงาน และสามารถทำให้บริษัทเดินหน้าทำงานได้อย่างต่อเนื่องก็จริง แต่การทำงานนอกสถานที่แบบนี้ ก็มีความเสี่ยงที่อาจจะเกิดขึ้นได้เช่นกัน โดยเฉพาะความเสี่ยงในด้าน Cyber Security ซึ่งรูปแบบความเสี่ยงด้านไซเบอร์มีอยู่มากมาย โดยในช่วงไม่กี่ปีที่ผ่านมา เรามักจะได้ยินข่าวคราวเกี่ยวกับเหตุการณ์ด้านความมั่นคงปลอดภัยเกิดขึ้นบ่อย ๆ ไม่เว้นแม้แต่ในประเทศไทยเองก็ตาม ดังนั้น เราจะพบว่าหลายๆ องค์กรเริ่มหาแนวทางการป้องกันในรูปแบบต่าง ๆ เพื่อมาช่วยป้องกันข้อมูล ซึ่งถือว่าเป็นทรัพยากรอันมีค่าในองค์กร นอกจากนี้ยังเป็นการสนับสนุนให้การทำงานแบบ Work From Home ให้มีความมั่นคงปลอดภัยได้อีกด้วย และนี่คือตัวอย่างความเสี่ยงที่อาจเป็นอุปสรรคต่อหน่วยงานของคุณในสถานการณ์ที่ต้อง Work From Home แบบนี้ 1. การเผยแพร่ข้อมูลโดยไม่ได้ตั้งใจ แม้หลายๆกรณีการโจรกรรมข้อมูลส่วนใหญ่อาชญากรไซเบอร์อาจเป็นสาเหตุหลัก แต่จากข่าวที่เกี่ยวกับข้อมูลรั่วไหลหลายๆครั้งกลับเกิดจากความประมาทเลินเล่อของพนักงานในองค์กรเองที่ส่งข้อมูลออกไปภายนอกโดยไม่ได้ตั้งใจ 2. Ransomware การโจมตีเหล่านี้ยังคงอยู่และมีแนวโน้มเพิ่มขึ้นเรื่อย ๆ หน่วยงานที่เป็นธุรกิจขนาดเล็กถึงขนาดกลาง มักตกเป็นเหยื่อของการเรียกค่าไถ่ข้อมูลที่มักเป็นข้อมูลสำคัญของบริษัท และเชื่อหรือไม่ การโจมตี ส่วนใหญ่มักเกิดจากการถูกหลอกลวงแบบฟิชชิ่ง 3. การตั้งรหัสผ่านไม่ปลอดภัยพอ จากการศึกษาเกี่ยวกับข้อมูลการล็อกอิน […]
Read moreจากก่อนหน้านั้นเราเคยเล่าว่า DPO ที่ดี และมีประสิทธิภาพควรทำอะไรบ้าง ซึ่งดูเหมือนจะยากแต่ก็ไม่ยาก เหมือนจะง่ายก็ไม่ง่าย เพราะงาน DPO ก้ำกึ่งงานที่จะต้องมีความรู้ IT และกฎหมาย อีกทั้งต้องมี Soft Skill ที่ต้องติดต่อประสานงานทั้ง 1. เจ้าของข้อมูล (Data Subject) ถ้ามีการร้องขอให้ดำเนินการบางอย่างกับข้อมูลส่วนบุคคล หรือเกิดความสงสัยในประเด็นต่าง ๆ 2. คนในองค์กร ที่เมื่อไรมีคำถาม/ข้อสงสัย คงต้องมาคุยขอความเห็นหรือความรู้ คำแนะนำจาก DPO 3. สำนักงานคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล ซึ่งอย่าลืมตามมาตราที่ระบุใน พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มีกำหนดไว้อยู่ ไม่ว่าเมื่อเกิดเหตุข้อมูลรั่วไหล ต้องแจ้งให้คณะฯ รับทราบ เป็นต้น รวมถึงการวิเคราะห์ความเสี่ยงที่เกิดจากเหตุนั้น ๆ และแนวทางแก้ไขบรรเทาเหตุ ดูแล้ววุ่นวาย ยุ่งยากมาก ๆ นี่ยังไม่นับรวมที่องค์กรจะต้องมีการรวบรวมบันทึก Log ต่าง ๆ ที่เกิดขึ้นไม่ว่าจะเป็น Data Subject Request Form หรือเอกสารอื่น ๆ […]
Read moreในวันที่ 27 พ.ค. 2563 นี้ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคลจะมีผลบังคับใช้ทั้งฉบับ ดังนั้นองค์กรเล็กหรือใหญต้องมีการเตรียมความพร้อมให้ดี โดยเฉพาะการเฟ้นหา Data Protection Officer (“DPO”) หรือที่เรียกง่ายๆ ว่า “เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล” ให้เข้ามามีบทบาทในการกำกับดูแลภายในองค์กร เนื่องจากหน้าที่นี้มีความสำคัญต่อองค์กรที่เก็บข้อมูลส่วนบุคคลไว้เป็นจำนวนมาก จึงมีบางท่านที่เริ่มสนใจ และตั้งคำถามว่า การเป็น DPO ที่ดี และทำงานได้อย่างมีประสิทธิภาพนั้น ควรทำอย่างไร? ทาง ACIS มีเคล็ดลับดีๆ มาฝาก ดังนี้เลยครับ 1. ควรมีการจัดฝึกอบรมพนักงานให้ “ตระหนัก” ในเรื่องความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล และติดตามผลการฝึกอบรมอย่างสม่ำเสมอ เพื่อให้องค์กรเป็น “Privacy Sustainable” อย่างยั่งยืน 2. ควรมีการสร้างและพัฒนากระบวนการตามมาตรฐานที่เกี่ยวกับการรักษาข้อมูลส่วนบุคคลเพื่อให้สอดคล้องกับพ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล เช่น ISO/IEC 27701:2019, NIST Privacy Framework เป็นต้น 3. ควรมีการตรวจสอบ ทบทวนและปรับปรุงกระบวนการประเมินความเสี่ยงขององค์กร โดยใช้หลักการ Risk Assessment อย่างเป็นประจำและมีการปฏิบัติตามแผนการแก้ไขความเสี่ยง (Risk […]
Read moreAuthor By: Prinya Hom-anek, ACIS/Cybertron Cybersecurity Research LABACIS Professional Center Co., Ltd. & Cybertron Co., Ltd. ปัจจุบันวิวัฒนาการของโลกอยู่ในยุคคลื่นลูกที่ 4 ที่หมายถึง อุตสาหกรรมยุคดิจิทัล (Industry 4.0) รัฐบาลไทยเองก็ได้ประกาศนโยบายไทยแลนด์ 4.0 เพื่อก้าวไปสู่ยุคดิจิทัลเช่นกัน ซึ่งวันนี้เราผ่านจากยุคอินเทอร์เน็ตมาสู่ยุคไซเบอร์ที่ไม่ใช่เพียงแค่อินเทอร์เน็ตเท่านั้น แต่ยังมีเทคโนโลยีต่างๆ วิ่งอยู่บนเครือข่ายอินเทอร์เน็ต นั่นก็คือ Social, Mobile, Cloud, Big Data (S-M-C-I) จากนี้ไป IT (Information Technology) แยกออกจากกัน โดย Information ขยายความสำคัญมากขึ้นซึ่งหมายรวมไปถึง Information Governance หรือ Data Governance เป็นการบริหารจัดการข้อมูลเพื่อให้เกิดธรรมาภิบาลสอดคล้องกับยุคไซเบอร์ การขับเคลื่อนธุรกิจในยุคไซเบอร์ทำให้องค์กรต้องตระหนักถึง Digital Transformation ซึ่งไม่ได้หมายถึงการลงทุนหรือนำเทคโนโลยีเข้ามาเป็นเครื่องมือเพียงเท่านั้น แต่ยังรวมไปถึงการปรับกระบวนทัศน์ทางความคิด (Mindset) […]
Read moreเพื่อธุรกิจขนาดเล็ก( Payment Card Industry Data Security Standard for Small Merchant Level 2,3 และ 4) เพิ่มมาตรฐานความปลอดภัยในการรับชำระค่าสินค้าและบริการด้วยบัตรอิเล็กทรอนิกส์ ที่ถูกกำหนดโดย 5 ค่ายยักษ์ใหญ่บัตรเครดิต คือ Visa, MasterCard, American Express, Discover และ JCB ที่กำหนดให้องค์กรที่รับชำระเงินด้วยบัตรเดบิต และบัตรเครดิต ต้องมีมาตรฐาน PCI DSS เพื่อช่วยให้องค์กร บริษัท และร้านค้าต่าง ๆ สามารถควบคุมมาตรฐานในการเก็บรักษา ประมวลผล และรับส่งข้อมูลบัตรได้อย่างมั่นคงปลอดภัย ให้สามารถป้องกันการฉ้อโกงซึ่งเกิดจากการทำธุรกรรมผ่านบัตรชำระเงิน ประโยชน์ที่ธุรกิจจะได้รับ หากมี PCI DSS อัตราค่าบริการ บริการตรวจประเมินมาตรฐาน PCI DSS โดยผู้ตรวจสอบอิสระ สำหรับธุระกิจขนาดย่อม เริ่มต้นที่ 70,000 บาท / ปี สิ่งที่ท่านจะได้รับ […]
Read more
Author By: Prinya Hom-anek, ACIS/Cybertron Cybersecurity Research LABACIS Professional Center Co., Ltd. & Cybertron Co., Ltd. “ด้านมืดของการนําเทคโนโลยี Big Data และ AI มาใช้เปลี่ยน พฤติกรรมมนุษย์ในยุคแห่งข้อมูลภิวัฒน์” เมื่อโลกกําลังเข้าสู่ยุคดิจิทัลอย่างเต็มตัว ทําให้ “Digital Economy” นั้น กลายเป็นคําที่ล้าสมัยไปเสียแล้ว มิสเตอร์ ดอน แท็ปสก็อตต์ ได้แต่ง หนังสือ “Digital Economy” ไว้ตั้งแต่ปี พ.ศ. 2538 จนสํานักพิมพ์เพิ่ง ออกหนังสือเล่มใหม่ฉลองครบรอบยี่สิบปีเมื่อไม่นานมานี้ ดังนั้น “Digital Economy” จึงไม่ใช่คําใหม่แต่อย่างใด ในปัจจุบันและอนาคต เรากําลัง พูดถึง Buzzword คําใหม่ที่กําลังมาแรงนั่นคือ “Data Economy” หรือ “Data-Driven Economy” […]
Read more