บทความโดย อรรณพ ศิริติกุล ผู้จัดการฝ่ายขาย กลุ่มลูกค้าขนาดใหญ่ Amazon Web Services (AWS)
การรักษาความปลอดภัยด้านไอทีเรียกได้ว่ามีการพัฒนาจากที่ต้องเป็นหน้าที่รับผิดชอบของทีมงานรักษาความปลอดภัยแต่เพียงผู้เดียวสู่การกลายมาเป็นความรับผิดชอบของทั้งองค์กร ทั้งนี้ การรักษาความปลอดภัยต้องได้รับการยกระดับเป็นส่วนหนึ่งของวัฒนธรรมองค์กรโดยมีพนักงานทุกคนช่วยดูแลร่วมกัน รวมถึงการใช้เป็นกรอบการทำงานในเชิงบวกทั้งด้านพฤติกรรม การสร้างเทคโนโลยี และการตัดสินใจ ท้ายที่สุดแล้วแนวทางในเชิงรุกดังกล่าวถ้ามองในแง่ดีแล้วมีความสำคัญต่อการสร้างองค์กรที่ซึ่งความปลอดภัยนั้นช่วยนำพาทั้งธุรกิจให้เดินไปข้างหน้าได้เร็วขึ้นและคงอยู่ได้อย่างปลอดภัย
การสร้างวัฒนธรรมการรักษาความปลอดภัยด้านไอทีเป็นการเตรียมความพร้อมเพื่ออนาคต แต่ในทางปฏิบัตินั้นจะเป็นอย่างไรและแต่ละองค์กรจะแน่ใจได้อย่างไรว่าพวกเขาปฏิบัติตามหลักการชี้แนะที่มีประสิทธิภาพเพื่อให้พวกเขาดำเนินต่อไปได้ ตอนนี้คุณสามารถทำอะไรได้บ้างเพื่อส่งเสริมวัฒนธรรมการรักษาความปลอดภัยในเชิงบวก?
วัฒนธรรมการรักษาความปลอดภัยด้านไอทีมีลักษณะอย่างไร
วัฒนธรรมการรักษาความปลอดภัยด้านไอทีในเชิงบวกคือวัฒนธรรมองค์กรที่ทีมรักษาความปลอดภัยทำงานร่วมกันกับฝ่ายอื่น ๆ ขององค์กร หากเราคิดว่าคนต้องการทำสิ่งที่ถูกต้อง เราก็ควรทำตัวเลือกที่ปลอดภัยให้เป็นตัวเลือกที่ง่ายที่สุด สิ่งนี้ไปไกลยิ่งกว่าการมองแค่เรื่องเทคโนโลยี โดยยังมองไปถึงคนที่ใช้เทคโนโลยีนี้ ตลอดจนถึงวัฒนธรรมขององค์กร
แต่เดิมนั้นองค์กรต่าง ๆ ถือว่าการรักษาความปลอดภัยด้านไอทีเปรียบเสมือนประตูด่านแรกที่ต้องผ่านหรือบางสิ่งที่ถูกล็อกไว้ตอนสิ้นสุดโครงการ การรักษาความปลอดภัยด้านไอทีเคยเป็นความรับผิดชอบของผู้มีหน้าที่รักษาความปลอดภัยตามตำแหน่งงาน แต่ในทางกลับกันแล้ว ธุรกิจที่ประสบความสำเร็จมักจะมองในแง่ดีว่าความปลอดภัยและความยืดหยุ่นด้านไอทีเป็นรากฐานสำคัญของวัฒนธรรมบริษัท โดยถือเป็นข้อกังวลสำหรับผู้บริหารระดับองค์กร ผู้จัดการและพนักงานทุกคน วิธีนี้ช่วยให้มั่นใจได้ว่าการรักษาความปลอดภัยด้านไอทีเป็นหัวใจสำคัญของกระบวนการทางธุรกิจในแต่ละวัน ที่ช่วยเพิ่มความยืดหยุ่นและพัฒนาความสามารถขององค์กรในการตอบสนองหากมีปัญหาเกิดขึ้น
หลักการชี้แนะ
ในการสร้างวัฒนธรรมการรักษาความปลอดภัยธุรกิจต่าง ๆ ต้องปฏิบัติตามหลักการ 10ข้อ โดยเราสรุปประเด็นสำคัญมาให้ 5ข้อดังต่อไปนี้:
1. การสร้างความรู้และความเข้าใจ: ซึ่งหมายถึงการหมั่นเพิ่มทักษะทางเทคโนโลยีที่มีอยู่ให้กับพนักงานของคุณ ทั้งโดยการขอคำแนะนำจากผู้เชี่ยวชาญ ตลอดจนการทำงานเพื่อทำความเข้าใจในนโยบายและกฎระเบียบว่าด้วยเรื่องความปลอดภัยด้านไอที การทำสิ่งเหล่านี้จะช่วยเพิ่มขีดความสามารถของพนักงานทุกคนให้เป็นด่านแรกของความมั่นคงในโปรแกรมรักษาความปลอดภัยด้านไอทีของบริษัท ลดทอนโอกาสที่จะเกิดข้อผิดพลาดได้ง่าย ๆ โดยอาจส่งผลให้เกิดปัญหาด้านความปลอดภัย นอกจากนี้ยังรวมไปถึงการตั้งความคาดหวังเผื่อไว้ทั้งธุรกิจไม่ว่าจะเป็นการกำหนดค่าความปลอดภัยที่นักพัฒนาแอปพลิเคชันควรนำไปดำเนินการ หรือความรับผิดชอบในการแพตช์ (patching) ของเจ้าของผลิตภัณฑ์
2. การรักษามาตรฐานอย่างแข็งขัน: การรักษามาตรฐานด้านการรักษาความปลอดภัยที่ดีอย่างแข็งขันนั้นสำคัญต่อการป้องกันข้อผิดพลาดพื้นฐานต่าง ๆ ที่อาจกลายเป็นภัยคุกคามต่อความปลอดภัยด้านไอที ด้วยเหตุนี้พนักงานจึงต้องเข้าใจถึงอันตรายของการไม่ปฏิบัติเพื่อรักษาความปลอดภัยอย่างเคร่งครัด เช่น การแชร์บัญชีผู้ใช้และรหัสผ่าน ในขณะเดียวกันธุรกิจทั้งหลายจำเป็นต้องตรวจสอบให้แน่ใจว่าระบบการเข้าถึงที่พวกเขามีอยู่นั้นอำนวยต่อการปฏิบัติที่ปลอดภัย ตัวอย่างเช่น บริการของ AWS นำเสนอข้อมูลรับรองตัวตนชั่วคราวที่มีอายุอยู่ได้เพียงไม่กี่นาทีหรือเพียงไม่กี่ชั่วโมง โดยหลังจากนั้นจะไม่อนุญาตให้เข้าถึงระบบได้อีกต่อไป วิธีนี้จะช่วยควบคุมการเข้าถึงบริการได้อย่างรัดกุมและลดทอนความเป็นไปได้ในการเข้าถึงข้อมูลทางธุรกิจที่อาจเกิดขึ้นโดยไม่ได้ตั้งใจ
3. การเรียนรู้จากปัญหาโดยปราศจากกล่าวโทษ: การทำงานกับซอฟต์แวร์ที่เราสร้างขึ้นนั้นมักจะต้องประสบกับปัญหาอยู่เสมอ สิ่งสำคัญที่ต้องทำคือเรียนรู้จากปัญหาเหล่านั้นและลงมือปฏิบัติ การสร้างวัฒนธรรมที่สามารถทำให้การวิเคราะห์หารากสาเหตุของปัญหา (root cause analysis) เสร็จสมบูรณ์ถูกต้องและไร้ซึ่งการกล่าวโทษนั้นช่วยสร้างความสามารถในการเรียนรู้ให้กับองค์กร อย่าไปคาดคั้นว่าคน ๆ นั้นทำความผิดอะไรหรือไม่ แต่กลับกันให้ถามว่าจะทำอะไรเพื่อให้แน่ใจว่าครั้งต่อไปจะได้ตัดสินใจได้อย่างถูกต้อง นอกจากนี้คุณยังต้องการวัฒนธรรมที่ให้คนสามารถแจ้งปัญหาเรื่องความปลอดภัยได้อย่างสบายใจเพราะพวกเขารู้ว่าทีมงานฝ่ายรักษาความปลอดภัยจะคอยให้ความช่วยเหลือเกื้อกูลพวกเขา
4. ให้ความสำคัญกับการร่วมมือกับทีมงานของคุณ: การทำงานร่วมกับนักพัฒนาของคุณจะช่วยให้คุณเข้าใจถึงกระบวนการที่พวกเขาต้องเผชิญในการสร้างและเผยแพร่ซอฟต์แวร์ สิ่งนี้จะช่วยให้ทีมงานฝ่ายรักษาความปลอดภัยเข้าใจว่าพวกเขาจะสามารถช่วยให้นักพัฒนาตัดสินใจเลือกตัวเลือกด้านความปลอดภัยที่ดี หรือให้การสนับสนุนได้อย่างไร เพื่อให้พวกเขาสามารถมุ่งเน้นที่ผลลัพธ์ทางธุรกิจ (business logic) หรือ การกำหนดแนวทางการทำงานของแอปพลิเคชันโดยการอ้างอิงจากกระบวนการทำงานหรือแผนธุรกิจเป็น ตัวอย่างเช่น การบูรณาการแพลตฟอร์มระบบคลาวด์ของคุณเข้ากับผู้ให้บริการข้อมูลประจำตัวองค์กร (corporate identity provider) ของคุณ รวมถึงตรวจสอบให้แน่ใจว่านักพัฒนาสามารถสร้างสิทธิ์ภายใน guardrails ที่เข้าใจได้นั้นจะช่วยขจัดความปลอดภัยที่เป็นเสมือนประตูกั้นออกไปได้ การให้การตรวจสอบอัตโนมัติที่ทำงานในกระบวนการสามารถให้การตอบรับได้แต่เนิ่น ๆ แก่นักพัฒนาเพื่อช่วยพวกเขาสร้างสถานะความมั่นคงปลอดภัย (security posture) ตามที่ต้องการ
5. ตัวชี้วัดและการตรวจสอบ: ความสามารถในการวัดสถานะความมั่นคงปลอดภัยของระบบและการเปิดให้พนักงานเข้าถึงข้อมูลได้นับเป็นวิธีที่ดีในการสื่อสารและทำความเข้าใจว่าส่วนใดขององค์กรสร้างผลงานได้อย่างมีประสิทธิภาพสูง หากคุณสามารถระบุทีมงานที่ทำงานได้ดีหรือสร้างสรรค์โซลูชันที่เป็นนวัตกรรมใหม่ ๆ ได้ คุณก็สามารถขยับขยายการใช้งานของพวกเขาไปทั่วทั้งองค์กรได้ การบอกพนักงานว่าพวกเขาจะถูกวัดผลจากอะไร รวมถึงการให้เครื่องมือเพื่อการวัดผลให้แก่พวกเขานั้นช่วยส่งเสริมวัฒนธรรมแห่งความเป็นเจ้าของ โดยถือเป็นการเสริมกำลังให้กับแนวทางการรักษาความปลอดภัยให้เป็นไปในทางบวก
วัฒนธรรมการรักษาความปลอดภัยด้านไอทีจะช่วยพัฒนาสถานะความมั่นคงปลอดภัยขององค์กรได้อย่างมีนัยสำคัญโดยจะกลายเป็นกรอบการทำงานที่พนักงานทุกคนพึงยึดในการประพฤติ สร้างเทคโนโลยี และตัดสินใจ อย่างไรก็ตามเพื่อให้บรรลุผลสำเร็จ บริษัทต่าง ๆ ต้องใช้แนวทางที่จะนำวิธีดังงกล่าวมาใช้อย่างเป็นระบบ วัฒนธรรมการรักษาความปลอดภัยอิงอยู่บนพื้นฐานของการสร้างความเข้าใจ การรักษามาตรฐาน การวิเคราะห์และการสร้างแบบจำลองภัยคุกคาม (threat modelling) รวมไปถึงพนักงานทุกคนที่ทำงานร่วมกันเป็นทีมหนึ่งทีมเดียวกัน การดำเนินการเช่นนี้จะทำให้องค์กรของคุณพัฒนาสถานะความมั่นคงปลอดภัยทางไอทีได้ โดยนำคุณก้าวไปอยู่เหนือการแข่งขันอีกทั้งยังรักษาข้อมูลของคุณให้ปลอดภัย โปรดคอยติดตามเคล็ดลับการสร้างวัฒนธรรมการรักษาความปลอดภัยได้อีกเร็ว ๆ นี้
ที่ AWS การรักษาความปลอดภัยเป็นสิ่งสำคัญสูงสุดของเรา และเราเชื่อว่าการที่ลูกค้าเข้าใจแนวทางปฏิบัติที่ดีที่สุดในการใช้เทคโนโลยีคลาวด์ได้อย่างปลอดภัยนั้นเป็นเรื่องสำคัญยิ่ง เรามีทีมผู้เชี่ยวชาญด้านการรักษาความปลอดภัยของการใช้คลาวด์มาตรฐานระดับโลกที่คอยตรวจสอบระบบของเราทุกวันตลอด 24 ชั่วโมงเพื่อปกป้องข้อมูลของลูกค้า ลูกค้าจะเป็นเจ้าของและควบคุมข้อมูลของตน รวมถึงกำหนดที่จัดเก็บ วิธีการจัดเก็บ ตลอดจนผู้ที่มีสิทธิ์เข้าถึงข้อมูลเหล่านั้นได้ AWS ทำงานอย่างใกล้ชิดกับลูกค้าในประเทศไทยเพื่อช่วยให้มีหลักปฏิบัติเพื่อความปลอดภัยบนคลาวด์ของตนให้เหมาะสม โดยเริ่มจากการให้ความรู้แก่ลูกค้าเกี่ยวกับรูปแบบความรับผิดชอบร่วมกัน ของการรักษาความปลอดภัย(shared responsibility model) AWS มีหน้าที่ปกป้องโครงสร้างพื้นฐานที่ดำเนินการบริการทั้งหมดบน AWS Cloud ลูกค้ามีหน้าที่รับผิดชอบในการจัดการข้อมูลของตนเอง (รวมถึงวิธีเลือกการเข้ารหัส (encryption)) การจัดประเภทความสำคัญของข้อมูล และใช้เครื่องมือจัดการสิทธิ์การเข้าถึงทรัพยากรและบริการอย่างปลอดภัย (Identity Access Management: IAM) เพื่อคำขออนุญาตใช้สิทธิ์ที่เหมาะสม โปรแกรมการปฏิบัติตามข้อกำหนดของ AWS (AWS Compliance Program) ช่วยให้ลูกค้าเข้าใจการควบคุมที่มีประสิทธิภาพที่ AWS เพื่อรักษาความปลอดภัยและการปฏิบัติตามข้อกำหนดในระบบคลาวด์ สิ่งเหล่านี้จะช่วยให้ลูกค้าในประเทศไทยสามารถมีมาตรฐานความปลอดภัยที่รองรับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 The Personal Data Protection Act B.E. 2562 (2019) (PDPA) ได้อีกด้วย
###
เกี่ยวกับอะเมซอน เว็บ เซอร์วิสเซส
ตลอดระยะเวลา 15 ปี อะเมซอน เว็บ เซอร์วิสเซส (Amazon Web Services: AWS) เป็นบริการคลาวด์ที่ครอบคลุมและกว้างขวางที่สุดในโลก AWS ขยายการให้บริการอย่างต่อเนื่องเพื่อรองรับการทำงานบนคลาวด์ทุกรูปแบบ ซึ่งในปัจจุบันมีบริการอย่างเต็มรูปแบบกว่า 200 รายการ สำหรับการคำนวณ การจัดเก็บข้อมูล ฐานข้อมูล ระบบเครือข่าย การวิเคราะห์ การเรียนรู้ของเครื่อง (Machine Learning: ML) และปัญญาประดิษฐ์ (Artificial Intelligence: AI) อินเตอร์เน็ตในทุกสิ่ง (Internet of Things: IoT) โทรศัพท์มือถือ การรักษาความปลอดภัย ไฮบริด เทคโนโลยีโลกเสมือนจริง (Virtual reality: VR) และการรวมวัตถุเสมือนเข้ากับสภาพแวดล้อมจริง (Augmented reality: AR) สื่อและการพัฒนาแอปพลิเคชัน การใช้งาน และการจัดการจาก 80 Availability Zones (AZs) ใน 25 ภูมิภาค พร้อมประกาศแผนสำหรับ Availability Zones เพิ่มเติมอีก 18 แห่ง และอีกหก AWS Regions ในออสเตรเลีย อินเดีย อินโดนีเซีย สเปน สวิตเซอร์แลนด์ และสหรัฐอาหรับเอมิเรตส์ ลูกค้ากว่าล้านรายรวมไปถึงสตาร์ทอัพที่เติบโตอย่างรวดเร็ว องค์กรขนาดใหญ่ และหน่วยงานภาครัฐ ต่างเชื่อมั่นใน AWS ในการขับเคลื่อนโครงสร้างพื้นฐานของพวกเขาให้มีความคล่องตัวมากขึ้นและมีต้นทุนที่น้อยลง หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ AWS สามารถเข้าไปที่ aws.amazon.com