งานวิจัยใหม่ชี้ให้เห็นว่าภายในปี 2025 จะมีชาวอเมริกันที่ทำงานระยะไกลประมาณ 32.6 ล้านคน คิดเป็น 22% ของแรงงานทั้งหมด แต่ด้วยการเพิ่มขึ้นอย่างมากของรูปแบบการทำงานดังกล่าว นายจ้างจะมั่นใจได้อย่างไรว่าข้อมูลของพวกเขาจะยังคงปลอดภัย
ผู้เชี่ยวชาญจาก Indusface บริษัทผู้ให้บริการแอปพลิเคชันด้านการรักษาความปลอดภัย ได้ให้คำแนะนำเกี่ยวกับวิธีปกป้องข้อมูลของบริษัทเพื่อช่วยให้นายจ้างมั่นใจว่าข้อมูลของพวกเขาจะปลอดภัยในการทำงานระยะไกลไว้ดังนี้
- จัดหาอุปกรณ์ของบริษัท
แม้จะดูเป็นเรื่องธรรมดา แต่การจัดหาแล็ปท็อปและโทรศัพท์ของบริษัทให้กับพนักงานเท่าที่เป็นไปได้จะช่วยให้ธุรกิจสามารถจัดการและรักษาความปลอดภัยอุปกรณ์ที่ใช้เข้าถึงข้อมูลของบริษัทได้อย่างเต็มที่ นอกจากนี้ขอแนะนำว่าอุปกรณ์ทั้งหมดของคุณควรได้รับการอัปเดตและเข้ารหัสตามมาตรฐาน SSL
หากไม่สามารถจัดหาอุปกรณ์ให้กับพนักงานได้ อย่างน้อยที่สุดนายจ้างก็ควรตรวจสอบให้แน่ใจว่าพนักงานมีสิทธิ์เข้าถึงทุกสิ่งที่จำเป็นสำหรับการรักษาความปลอดภัยของอุปกรณ์ของตนเอง เช่น ซอฟต์แวร์แอนตี้มัลแวร์ที่บริษัทจัดหาให้
- สแกนและทดสอบเจาะระบบแอปพลิเคชันต่าง ๆ
การทดสอบเจาะระบบ (Penetration test) ถือเป็นหนึ่งในวิธีที่ดีที่สุดในการป้องกันการรั่วไหลของข้อมูล เนื่องจากเป็นการจำลองการโจมตีระบบในสถานการณ์จริง ซึ่งจะชี้ให้เห็นถึงช่องโหว่ที่อาจถูกแฮกเกอร์โจมตีได้ ที่สำคัญคือต้องตรวจสอบการโจมตีจากช่องโหว่การยกระดับสิทธิ์ ซึ่งผู้โจมตีจะเริ่มเข้าถึงระบบหรือแอปพลิเคชันด้วยสิทธิ์ที่จำกัด จากนั้นจึงเพิ่มระดับสิทธิ์การเข้าถึงของตนเพื่อเข้าถึงข้อมูลระดับสูงที่มีความละเอียดอ่อนมากขึ้น
การสร้างกลไกป้องกันการโจมตีเหล่านี้จะช่วยให้มั่นใจว่าแม้จะเกิดการละเมิดข้อมูลประจำตัวของพนักงานระยะไกล แต่การเข้าถึงแอปพลิเคชันที่สำคัญจะถูกจำกัดไว้เฉพาะผู้ใช้งานหลักเท่านั้น
- ใช้งาน VPN ครอบคลุมทั้งองค์กร
ในปี 2023 การรั่วไหลของข้อมูลสร้างความเสียหายให้กับธุรกิจเฉลี่ยมากถึง 4.45 ล้านดอลลาร์สหรัฐ ดังนั้นการลงทุนในเครื่องมือที่สามารถป้องกันช่องโหว่นดังกล่าวจึงมีความสำคัญอย่างยิ่ง
เพื่อป้องกันความเสี่ยงที่มากับการเข้าถึงข้อมูลทำงานผ่านเครือข่ายที่ไม่ปลอดภัยจากบ้านและที่สาธารณะ บริษัทควรสนับสนุนให้พนักงานทุกคนใช้งานเครือข่ายส่วนตัวเสมือน (VPN) ซอฟต์แวร์นี้ใช้งานง่ายและสามารถปกป้องข้อมูลที่อาจตกเป็นเป้าหมายของการโจมตีบนเครือข่ายแบบเปิดได้
- ติดตั้ง Web Application Firewall (WAF)
นอกเหนือจากการใช้งาน VPN เพื่อปกป้องการเชื่อมต่อและการรับส่งข้อมูลของคุณแล้ว การใช้ระบบ WAF เพื่อป้องกันเว็บแอปพลิเคชันจากการโจมตีก็เป็นสิ่งที่ควรทำเช่นกัน นายจ้างควรติดตั้ง WAF ที่ใช้ AI/ML ซึ่งสามารถตรวจจับความผิดปกติและบล็อกคำขอที่ไม่ถูกต้อง แม้ว่าจะเป็นการร้องขอผ่านข้อมูลประจำตัวของพนักงานที่ถูกละเมิดก็ตาม
- ใช้ซอฟต์แวร์เข้ารหัส
ซอฟต์แวร์เข้ารหัสสามารถสร้างความสบายใจมากขึ้นเมื่อพิจารณาถึงความเสี่ยงของการรั่วไหลของข้อมูลจากการทำงานระยะไกล เนื่องจากการเข้ารหัสไฟล์ที่ละเอียดอ่อนหมายความว่า แม้จะมีคนขโมยไปได้พวกเขาก็จะไม่สามารถเข้าถึงข้อมูลหรือเนื้อหาได้
นายจ้างควรสร้างนโยบายด้านความปลอดภัยเพื่อให้แน่ใจว่าพนักงานทุกคนโดยเฉพาะพนักงานระยะไกลทราบถึงวิธีการเข้ารหัสไฟล์และเข้าใจว่าเมื่อใดที่จำเป็นต้องทำ นอกจากนั้นยังควรมีการตรวจสอบเป็นประจำเพื่อให้มั่นใจว่ามีการปฏิบัติตามนโยบายดังกล่าว
- การจัดการรหัสผ่านที่เข้มงวด
การสร้างระบบการจัดการรหัสผ่านที่แข็งแกร่งทั่วทั้งองค์กรเป็นส่วนสำคัญในการลดความเสี่ยงต่อการรั่วไหลของข้อมูล เนื่องจากงานวิจัยพบว่าแฮกเกอร์มักอาศัยช่องโหว่ของรหัสผ่านที่อ่อนแอเมื่อโจมตีเครื่อง PoS
สิ่งนี้รวมถึงการใช้เครื่องมือสร้างรหัสผ่านอัตโนมัติเพื่อสร้างรหัสผ่านที่ปลอดภัย และการตรวจสอบให้แน่ใจว่ารหัสผ่านมีความเฉพาะและไม่มีการซ้ำกันในบัญชีต่าง ๆ สำหรับข้อมูลที่ละเอียดอ่อนพนักงานควรใช้การยืนยันตัวตนโดยใช้หลายปัจจัย (MFA) ซึ่งจะกำหนดให้ผู้ใช้ต้องยืนยันตัวตนด้วยหลาย ๆ วิธี
- การควบคุมการเข้าถึงอย่างเข้มงวด
เพื่อควบคุมการเข้าถึงข้อมูลที่ละเอียดอ่อนและลดความเสี่ยงของการถูกละเมิดความปลอดภัย นายจ้างควรนำทฤษฎี Least Privilege มาใช้ ซึ่งหมายถึงการกำหนดให้ผู้ใช้งานได้รับสิทธิ์เข้าถึงข้อมูลและทรัพยากรในระบบเฉพาะตามความจำเป็นของงานที่ต้องการทำเท่านั้น
ยิ่งไปกว่านั้นควรมีการลบไฟล์ออกและยกเลิกการเข้าถึงทันทีเมื่อไม่มีความจำเป็นอีกต่อไป เช่น เมื่อพนักงานลาออก หรือบุคคลนั้นไม่มีส่วนเกี่ยวข้องกับโครงการอีกต่อไป
- จัดหาสิ่งที่พนักงานต้องการ
ความเสี่ยงที่สำคัญของการทำงานระยะไกลคือ พนักงานอาจนำเครื่องมือ ระบบ หรือพฤติกรรมที่ไม่ได้รับการอนุมัติจากบริษัทมาใช้เพื่อให้ทำงานได้ง่ายขึ้น โดยอาจรวมถึงการใช้งานแอปพลิเคชันและเครื่องมือที่มีความเสี่ยง การส่งไฟล์ผ่านช่องทางที่ไม่ปลอดภัย หรือการจัดเก็บข้อมูลไว้ในที่ที่ไม่มีการป้องกัน
วิธีที่มีประสิทธิภาพที่สุดในการหลีกเลี่ยงความเสี่ยงนี้คือ การจัดหาเครื่องมือทั้งหมดที่พนักงานระยะไกลอาจต้องการเพื่อทำงานอย่างมีประสิทธิภาพ และทำให้แน่ใจว่าพวกเขาทราบถึงแพลตฟอร์มที่ได้รับการอนุมัติทั้งหมดที่พวกเขามีสิทธิ์เข้าถึง
การตรวจสอบและอนุมัติก่อนการซื้อเว็บแอปและการดาวน์โหลดฟรีควรเป็นส่วนสำคัญของนโยบายด้านความปลอดภัย เพื่อลดความเสี่ยงที่เกิดจากการใช้งาน CMS แบบโอเพนซอร์สและแอปพลิเคชันบนคลาวด์
- เตรียมความพร้อมและฝึกอบรมพนักงานระยะไกลอย่างเต็มที่
ต่อให้พนักงานสามารถนำกลยุทธ์ด้านความปลอดภัยมาใช้อย่างมากมายเท่าใดก็ตาม ความพยายามจะไม่ประสบผลหากพวกเขาไม่เข้าใจถึงขั้นตอนการใช้และเหตุผลว่าทำไมมันถึงสำคัญ
ในปี 2023 มีผู้ได้รับผลกระทบจากการละเมิดข้อมูลมากกว่า 352 ล้านราย เน้นย้ำถึงความสำคัญอย่างยิ่งที่องค์กรต้องให้การฝึกอบรมอย่างครอบคลุมกับพนักงานเกี่ยวกับข้อมูลที่ละเอียดอ่อน วิธีที่ใช้ปกป้องข้อมูลเหล่านั้น และผลลัพธ์ที่อาจเกิดขึ้นหากไม่ปฏิบัติตาม
การฝึกอบรมดังกล่าวนั้นไม่จำเป็นต้องน่าเบื่อ ตัวอย่างเช่น การจำลองอีเมลหลอกลวงเพื่อดึงดูดความสนใจของทีมและให้พวกเขาเห็นถึงอันตรายที่อาจเกิดขึ้นได้จริง การฝึกอบรมและการให้คำแนะนำอย่างสม่ำเสมอจะช่วยให้มั่นใจว่าพนักงานระยะไกลพร้อมที่จะทำทุกวิถีทางในการรักษาข้อมูลของบริษัทให้ปลอดภัย
Leave a Reply