คุณทราบไหมว่าการรั่วไหลของข้อมูลสำคัญในบริษัท ส่งผลเสียให้กับบริษัทมากน้อยแค่ไหน พนักงานตัวเล็กๆ ในบริษัท จะไปทำให้ข้อมูลองค์กรรั่วไหลได้อย่างไร
คุณทราบไหมคะว่า การรั่วไหลของข้อมูลสำคัญในบริษัท ส่งผลเสียให้กับบริษัทมากน้อยแค่ไหน คุณอาจจะบอกว่า อ้าว...แล้วเกี่ยวกับฉันด้วยหรือ ? คุณเป็นเพียงพนักงานตัวเล็กๆ ในบริษัท จะไปทำให้ข้อมูลองค์กรรั่วไหลได้อย่างไร |
. |
. |
ข้อมูลจากบริษัท ซิสโก้ ซีสเต็มส์ เผยผลศึกษาการรักษาความปลอดภัยข้อมูลจากทั่วโลก สำรวจพนักงานและผู้เชี่ยวชาญด้านไอทีกว่า 2,000 คนใน 10 ประเทศ ระบุ 800 คนอยู่ในออสเตรเลีย จีน อินเดีย และญี่ปุ่น เผยเป็นตัวแทน วิถีปฏิบัติในแถบเอเชียแปซิฟิก พบพนักงานเป็นสาเหตุใหญ่ทำให้เกิดความเสี่ยงหลากหลายรูปแบบ ชี้พฤติกรรมเสี่ยงแตกต่างไปตามแต่ละประเทศและวัฒนธรรม |
. |
นายแพทริก ปีเตอร์สัน รองประธานฝ่ายเทคโนโลยี หน่วยธุรกิจไอรอนพอร์ต ซิสเต็มส์ บริษัท ซิสโก้ ซีสเต็มส์ เปิดเผยว่า "การสำรวจนี้ขึ้นมาเพื่อทำความเข้าใจถึงพฤติกรรมของคน ไม่ใช่เรื่องของเทคโนโลยีอย่างเดียว การรักษาความปลอดภัย มักเป็นเรื่องที่ผู้ใช้ระบบจะทำเป็นเรื่องท้ายสุด |
. |
ดังนั้นองค์กรธุรกิจทุกขนาดและพนักงานทุกคนจำเป็นต้องเข้าใจผลกระทบจากพฤติกรรมเสี่ยงเหล่านี้ รวมถึงเข้าใจความสำคัญของข้อมูลทั้งสำหรับตัวบุคคลและองค์กรธุรกิจ |
. |
ทั้งนี้ความเข้าใจในพฤติกรรมดังกล่าวจะช่วยให้หน่วยงานไอทีและพนักงานเข้าใจกันมากขึ้น และช่วยให้องค์กรให้ความรู้กับพนักงานและสร้างความตื่นตัวได้อย่างตรงจุด รวมถึงบริหารจัดการความเสี่ยงได้ถูกทาง ซึ่งการปฏิบัติเพื่อรักษาความปลอดภัยข้อมูลจะได้ผลมากขึ้น เมื่อผู้ใช้ระบบรู้ว่าสิ่งที่ตนเองทำไปนั้นจะมีผลเสียหายอย่างไร" |
. |
โดยพฤติกรรมอันหลากหลายที่ค้นพบในการศึกษานี้ มี 10 พฤติกรรมที่ควรพิจารณามากที่สุดดังนี้ |
1.การแก้ไขระบบป้องกันในคอมพิวเตอร์: พนักงาน 1 ใน 5 คนจะแก้ไขระบบป้องกันบนอุปกรณ์ที่ใช้ในการทำงาน เพื่อที่จะสามารถล่วงละเมิดนโยบายที่ฝ่ายไอทีติดตั้งไว้ ทำให้สามารถเข้าเว็บไซต์ที่บริษัทไม่อนุญาตได้ |
. |
2.การใช้งานแอพลิเคชั่นที่ไม่ได้รับอนุญาต: ผู้เชี่ยวชาญด้านไอที 7 ใน 10 คนเชื่อว่าการใช้งานโปรแกรมที่ไม่ได้รับอนุญาตมีผลกับการทำให้ข้อมูลองค์กรรั่วไหลอย่างไม่ตั้งใจ ซึ่งความเชื่อดังกล่าวเป็นเรื่องที่พบเป็นปกติในสหรัฐอเมริกา (74%) บราซิล (75%) และอินเดีย (79%) |
. |
3.การใช้งานระบบเครือข่ายหรืออุปกรณ์ที่ไม่ได้รับอนุญาต: 2 ใน 5 ของผู้เชี่ยวชาญและผู้ดูแลระบบไอทีต้องพบกับปัญหาพนักงานเชื่อมต่อเข้าไปยังระบบเครือข่ายหรืออุปกรณ์ที่ไม่ได้รับอนุญาต พฤติกรรมนี้เกิดขึ้นอย่างแพร่หลายในประเทศจีน ซึ่งพนักงานสองในสามคนที่ตอบแบบสำรวจยืนยันประเด็นดังกล่าว และ 14% ยืนยันว่าเหตุการณ์เช่นนี้เกิดขึ้นทุกเดือน ทว่าพฤติกรรมเดียวกันกลับพบเห็นเพียงเล็กน้อยในประเทศญี่ปุ่นและเยอรมัน |
. |
4.การแลกเปลี่ยนข้อมูลที่อ่อนไหวขององค์กร: 1 ใน 4 ของพนักงาน (24%) ยอมรับว่าได้แลกเปลี่ยนข้อมูลที่อ่อนไหวขององค์กรกับบุคคลอื่นที่ไม่ใช่พนักงาน เช่น เพื่อน บุคคลในครอบครัว หรือบางครั้งกับคนแปลกหน้า โดยเหตุผลส่วนใหญ่คือ ต้องการแลกเปลี่ยนความคิดกับใครบางคน และต้องการคนช่วยตอกย้ำว่าถูกต้อง ท้ายที่สุดคือไม่คิดว่าการกระทำดังกล่าวจะเป็นเรื่องผิดปกติ |
. |
5.การแลกเปลี่ยนอุปกรณ์ขององค์กร: เกือบครึ่งของพนักงานที่ทำแบบสำรวจ (44%) ได้แลกเปลี่ยนการใช้อุปกรณ์ในการทำงานซึ่งกันและกัน รวมถึงแลกเปลี่ยนกับบุคคลอื่นที่ไม่ใช่พนักงานโดยไม่มีการปรึกษาหัวหน้างาน |
. |
6.ความไม่ชัดเจนของการใช้งานอุปกรณ์ส่วนตัวกับการทำงาน: 2 ใน 3 ของพนักงานยอมรับว่าได้ใช้งานเครื่องคอมพิวเตอร์สำหรับการทำงานไปกับเรื่องส่วนตัวด้วย เช่น การดาวน์โหลดเพลง การชอปปิ้ง การทำธุรกรรมการเงิน รวมถึงการพนันออนไลน์และดูภาพลามก นอกจากนี้ครึ่งหนึ่งของพนักงานใช้อีเมล์ส่วนตัวถึงลูกค้าหรือเพื่อนร่วมงาน |
. |
7.ขาดการป้องกันตัวอุปกรณ์: 1 ใน 3 ของพนักงานเปิดเครื่องคอมพิวเตอร์ที่ยังคงล็อกอินอยู่ในระบบทิ้งไว้เมื่อไม่อยู่ที่โต๊ะ หรือเปิดเครื่องไว้ข้ามคืน เปิดโอกาสให้ผู้ไม่พึงประสงค์สามารถเข้าถึงข้อมูลองค์กรในระดับชั้นความลับ รวมถึงข้อมูลส่วนบุคคลทำให้ข้อมูลรั่วไหลหรือสูญหายได้ |
. |
8.การเก็บชื่อผู้ใช้และพาสเวิร์ดไว้ในที่ที่เปิดเผย : 1 ใน 5 ของพนักงานเก็บชื่อผู้ใช้และรหัสลับไว้บนเครื่องคอมพิวเตอร์ หรือเขียนวางทิ้งไว้บนโต๊ะ บ้างเก็บในตู้ที่ไม่ได้ล็อค รวมถึงติดไว้บนคอมพิวเตอร์ การกระทำดังกล่าวมีความเสี่องต่อทั้งข้อมูลส่วนบุคคลและข้อมูลด้านการเงิน ทั้งนี้ พบว่าพฤติกรรมดังกล่าวพนักงานกระทำไปโดยไม่ได้ตั้งใจ ทว่านับวันความเสี่ยงที่เกิดจากพฤติกรรมลักษณะนี้จะยิ่งมีมากขึ้น |
. |
9.อุปกรณ์จัดเก็บข้อมูลสูญหาย: เกือบ 1 ใน 4 ของพนักงาน (22%) จัดเก็บข้อมูลองค์กรไว้ในอุปกรณ์จัดเก็บข้อมูลที่เคลื่อนย้ายได้และนำออกไปนอกสำนักงาน พฤติกรรมดังกล่าวเป็นเรื่องปกติในประเทศจีน (41%) ซึ่งมีข่าวเมื่อไม่นานมานี้ที่แสดงให้เห็นถึงความเสี่ยงที่เกิดขึ้นเมื่ออุปกรณ์เหล่านี้ถูกขโมยหรือสูญหายไป อาทิ ข่าวโรงพยาบาลในฮ่องกง และข่าวของกระทรวงการป้องกันประเทศในประเทศอังกฤษ เป็นต้น |
. |
10.การปล่อยให้มีคนภายนอกเดินตามพนักงานเข้าไปในสำนักงานโดยไม่มีการตรวจสอบ และการอนุญาตให้ผู้ที่ไม่ใช่พนักงานเข้ามาในสำนักงานโดยไม่ได้ปรึกษาหัวหน้า: มากกว่า 1 ใน 5 ของพนักงานในประเทศเยอรมัน (22%) อนุญาตให้ผู้ที่ไม่ใช่พนักงานเข้ามาในสำนักงานโดยไม่ได้ขออนุญาตหัวหน้าของตน ผลเฉลี่ยอยู่ที่ 13% และ 18% ของพนักงานอนุญาตให้บุคคลที่ไม่รู้จักเดินตามหลังเข้ามาและรุกล้ำเข้าไปใช้อุปกรณ์สำนักงานโดยไม่ได้รับอนุญาต |
. |
"สิ่งเหล่านี้เกิดขึ้นจริงแล้วในปัจจุบัน เราต้องเริ่มทำความเข้าใจลักษณะของความเสี่ยงเพื่อที่จะปกป้องข้อมูลของเราอย่างได้ผล จากนั้นจึงเอาเทคโนโลยี นโยบาย การสร้างความตื่นตัว และการให้การศึกษามาปรับใช้ให้เหมาะสม" นายปีเตอร์สันกล่าว |