โลกไอทีในองค์กรกำลังเผชิญความท้าทายใหม่ในช่วงเวลาไม่ถึงสามปีที่ผ่านมา จากความก้าวหน้าของอุปกรณ์เคลื่อนที่ทั้งแท็บเล็ต สมาร์ตโฟน รวมไปถึงราคาที่ถูกลงอย่างมากของคอมพิวเตอร์พีซี ทำให้คนในองค์กรมักสะดวกใจกับการใช้คอมพิวเตอร์ส่วนตัวเพื่อทำงานกันมากขึ้น หรือที่เรียกแนวทางนี้เป็นภาษาอังกฤษว่า Bring Your Own Device (BYOD)

หมายเหตุ บทความชุดการจัดการความปลอดภัยสำหรับองค์กร ได้รับการสนับสนุนโดย CAT Cyfence ผู้ให้บริการความปลอดภัยครบวงจรสำหรับธุรกิจทุกระดับ

การที่พนักงานมีความสุขกับการทำงานและได้ทำงานบนอุปกรณ์ที่ตัวเองถนัดอาจช่วยเพิ่มประสิทธิภาพการทำงาน สร้างภาพลักษณ์ที่เปิดกว้างให้กับองค์กร องค์กรจำนวนมากในไทยอาจจะมีแนวทางเปิดกว้างให้พนักงานใช้เครื่องคอมพิวเตอร์ของตัวเองมาทำงานกันเป็นเรื่องปกติ

แต่ความท้าทายขององค์กรที่ต้องการรักษาความปลอดภัยสูงสุดในปัจจุบันคือ อุปกรณ์ที่หลากหลายทำให้ฝ่ายไอทีสามารถเข้าควบคุมอุปกรณ์เหล่านี้ได้ยาก ทำให้องค์กรมีความเสี่ยงความปลอดภัยหลายอย่าง ตั้งแต่ถูกขโมยข้อมูล พนักงานอาจจะทำรหัสผ่านในองค์กรหลุดออกไปภายนอก และเอกสารที่ใช้ภายในรั่วไหล รวมไปถึงการตรวจสอบการใช้งานที่ทำได้ยาก

ความเสี่ยงเช่นนี้นอกจากจะเป็นความเสี่ยงต่อองค์กรเองที่อาจจะถูกบุกรุกจากภายนอก ขณะเดียวกันองค์กรก็อาจจะกลายเป็นเหยื่อของการใช้เครือข่ายขององค์กรเพื่อก่ออาชญากรรมตาม พรบ. คอมพิวเตอร์ฯ

จากการที่พรบ. คอมพิวเตอร์ฯ กำหนดความผิดผ่านระบบคอมพิวเตอร์ไว้หลายอย่าง องค์กรต้องรับความเสี่ยงจากการให้บริการพนักงานเพิ่มขึ้น ในแง่ของกฎหมายองค์กรมีความรับผิดชอบสำคัญคือการเก็บล็อกให้บริการอินเทอร์เน็ต ในยุคที่คอมพิวเตอร์สำหรับการทำงานยังคงเป็นคอมพิวเตอร์ตั้งโต๊ะมีผู้รับผิดชอบแน่นอน เรื่องเหล่านี้อาจจะไม่ใช่ปัญหาใหญ่นัก แต่ในยุคอุปกรณ์เคลื่อนที่ พนักงานแต่ละคนอาจจะมีอุปกรณ์เป็นจำนวนมาก หากไม่มีการตรวจสอบที่ดี ว่าพนักงานคนใดเป็นผู้ใช้อุปกรณ์ชิ้นใด รวมถึงเข้าใช้งานอะไรบ้าง ก็จะสร้างความเสี่ยงให้องค์กรต้องรับผิดในฐานผู้ให้บริการอินเทอร์เน็ต

ระบบไอทีสมัยใหม่ที่ต้องการการควบคุมที่ใกล้เคียงกับการควมคุมคอมพิวเตอร์พีซีขององค์กรเอง แต่ยังเปิดโอกาสให้พนักงานสามารถเลือกใช้อุปกรณ์เองได้จึงต้องเลือก ซอฟต์แวร์ที่ใช้ควบคุมอุปกรณ์เคลื่อนที่เหล่านี้เรียกว่า Mobile Device Management (MDM)

MDM จะช่วยให้ฝ่ายไอทีสามารถเข้าควบคุมอุปกรณ์ของพนักงานให้เป็นไปตามมาตรฐานความปลอดภัยของฝ่ายไอที ผู้บริหารฝ่ายไอทีสามารถเข้าตรวจสอบความปลอดภัยของอุปกรณ์ที่พนักงานใช้งานได้แม้เป็นเครื่องของพนักงานเอง กระบวนการตรวจสอบความปลอดภัยจะทำได้แม้พนักงานใช้อุปกรณ์ที่หลากหลาย

สำหรับการเข้าถึงข้อมูลที่มีความสำคัญสูง MDM หลายตัวมีความสามารถในการแบ่งส่วนข้อมูล (compartmentalization) เพื่อแบ่งส่วนข้อมูลที่สำคัญออกจากข้อมูลส่วนตัวของพนักงานอื่นๆ กำหนดรหัสเพิ่มเติมเพื่อให้พนักงานยังใช้งานอุปกรณ์ได้เหมือนเป็นอุปกรณ์ของตัวเองปกติ แต่ข้อมูลสำคัญขององค์กรถูกเข้ารหัสแยกเอาไว้และต้องใช้รหัสเฉพาะแยกจากรหัสเครื่องในการเข้าดูข้อมูลเหล่านั้น

สำหรับการใช้งานอินเทอร์เน็ต ทุกวันนี้พรบ. คอมพิวเตอร์ฯ กำหนดให้องค์กรต้องเก็บล็อกอย่างครบถ้วนตามกฎหมายกำหนด ไม่เช่นนั้นจะมีความผิดและอาจถูกปรับได้เป็นมูลค่าสูง รวมถึงเสียชื่อเสียงหากถูกปรับ เมื่อมีอุปกรณ์เป็นจำนวนมาก องค์กรต่างๆ จำเป็นต้องมีระบบการจัดการการเก็บล็อกที่ดี สามารถติดตามได้ว่าพนักงานคนใดใช้บริการขององค์กรไปทำอะไรบ้าง เช่น หากพนักงานใช้อินเทอร์เน็ตไปโพสข้อความที่ผิดตามพรบ. คอมพิวเตอร์ฯ

ขณะความปลอดภัยกลายเป็นประเด็นสำคัญขององค์กร ความเปิดกว้างขององค์กรก็กลายเป็นเรื่องสำคัญไม่แพ้กัน การจัดการเพื่อตอบสนองความต้องการทั้งสองฝั่งได้กลายเป็นความท้าทายใหม่ องค์กรต้องรักษาเครือข่ายให้กระบวนการตรวจสอบภายในเป็นไปตามกฎหมายขณะเดียวกันก็ต้องระวังไม่ให้ข้อมูลในองค์กรกลายเป็นเหยื่อของอาชญากรด้วยเช่นกัน