ธุรกิจสมัยใหม่คงหลีกเลี่ยงไม่ได้ที่จะต้องนำธุรกิจขึ้นสู่ระบบออนไลน์ ไม่ว่าจะเป็นการเปิดเว็บประชาสัมพันธ์เล็กๆ น้อยๆ ไปจนถึงธุรกิจที่ให้บริการธุรกรรมออนไลน์ครบวงจร แต่ขณะที่การให้บริการออนไลน์สร้างประโยชน์ให้ธุรกิจได้มากมาย แต่หลายครั้งเมื่อเราใช้ประโยชน์จากบริการออนไลน์ เช่น การประชาสัมพันธ์ผ่านเว็บ หรือการสร้างบัญชีบนบริการเครือข่ายสังคมออนไลน์เพื่อสื่อสารกับลูกค้า หรือเพียงแค่การเชื่อมต่ออินเทอร์เน็ตในองค์กรเพื่อให้พนักงานทำงานได้มีประสิทธิภาพดีขึ้น สิ่งที่ควรคิดถึงทันทีคือความปลอดภัย เพื่อป้องกันไม่ให้บริการเหล่านี้กลับมาเป็นภัยทำให้ธุรกิจเราเสียหายเสียเอง

บทความชุดการจัดการความปลอดภัยสำหรับองค์กร ได้รับการสนับสนุนโดย CAT Cyfence ผู้ให้บริการความปลอดภัยครบวงจรสำหรับธุรกิจทุกระดับ

เมื่อเราจะนำธุรกิจของเราขึ้นสู่โลกออนไลน์ มีหลายสิ่งที่เราควรระมัดระวัง แต่ในบทความนี้เราจะยกมาสิบอย่างสำคัญ

1 ทรัพย์สินออนไลน์ ต้องรักษาไม่ต่างกับทรัพย์สินในโลกจริง

การนำธุรกิจขึ้นสู่โลกออนไลน์พื้นฐานที่สุดคงเป็นการเปิดหน้าเว็บให้ข้อมูล สร้างอีเมล์เพื่อติดต่อลูกค้า และสมัครเว็บเครือข่ายสังคมออนไลน์เพื่อเชื่อมต่อกับลูกค้า แต่สิ่งที่ธุรกิจจำนวนมากไม่ทันคิด คือ สิ่งที่เราสร้างขึ้นเหล่านี้แม้จะสร้างขึ้นมาได้ฟรี หรือใช้เงินเริ่มต้นเพียงเล็กน้อย ค่าจดโดเมนอาจจะเพียงไม่กี่ร้อยบาท อีเมล์อาจจะสร้างได้ฟรีเช่นเดียวกับการเปิดหน้าเพจในเฟซบุ๊ก แต่เมื่อเราลงทุนกับสิ่งเหล่านี้ไปเป็นเวลานาน เมื่อเราประชาสัมพันธ์เว็บของเราจนเป็นที่รู้จัก หน้าเพจมีคนไลค์จำนวนมาก และลูกค้าของเราติดต่อผ่านอีเมล์ สิ่งเหล่านี้จะมีมูลค่าเพิ่มขึ้นจนหลายครั้งเป็นหัวใจสำคัญของธุรกิจ

เมื่อเริ่มทำธุรกิจออนไลน์ควรหาทางรักษาทรัพย์สินเหล่านี้ตั้งแต่แรก การสร้างเว็บควรดูแลให้ชัดเจนว่าใครเป็นผู้ถือความเป็นเจ้าของโดเมน, บัญชีอีเมล์, และบัญชีเฟซบุ๊กหรือทวิตเตอร์ ไม่ควรปล่อยให้ผู้ให้บริการภายนอกถือครองทรัพย์สินเหล่านี้ และแม้จะเป็นบุคลากรภายในองค์กรก็ควรระวังว่าต้องเป็นผู้ที่ไว้ใจได้ บางครั้งอาจจะต้องเสียเวลาเพื่อทำเรื่องจดทะเบียนในฐานะองค์กร เพื่อไม่ให้ธุรกิจเสียหายในกรณีที่มีพนักงานลาออกไป

2 เก็บล็อก ต้องทำตามกฎหมาย

เมื่อเราเปิดให้บริการอินเทอร์เน็ตแก่พนักงาน เรากำลังทำหน้าที่ "ผู้ให้บริการอินเทอร์เน็ต" แก่พนักงานในองค์กร บางครั้งพนักงานหรือบุคคลภายนอกเข้ามาใช้อินเทอร์เน็ตไปทำผิดกฎหมาย หากเราไม่มีหลักฐานเก็บว่าใครเป็นคนทำเมื่อเจ้าหน้าที่ขอหลักฐานมา อาจทำให้องค์กรของเราต้องรับความผิดไปด้วย ความผิดสูงสุดอาจจะถูกปรับถึงห้าแสนบาทตามมาตรา 26 ของพรบ. คอมพิวเตอร์ฯ ที่กำหนดให้เก็บล็อกไว้ 90 วัน

ระบบเก็บล็อกการใช้อินเทอร์เน็ตอาจจะใช้ซอฟต์แวร์ฟรีที่ต้องติดตั้งและบำรุงรักษาด้วยตัวเอง รวมถึงการสำรองข้อมูลล็อกต่างๆ ในกรณีที่คอมพิวเตอร์เสียหาย หรือจะใช้อุปกรณ์เก็บล็อกจากผู้ให้บริการ เช่นบริการ All@Secure ของ CAT cyfence

3 สำรองข้อมูล

การให้บริการลูกค้าผ่านระบบออนไลน์อาจจะช่วยให้เราจัดการธุรกิจได้ง่ายอย่างไม่เคยเป็นมาก่อน แต่ความเสียหายที่อาจจะเกิดขึ้นจากเหตุสุดวิสัย เซิร์ฟเวอร์อาจจะเสียหายอย่างไม่ทราบสาเหตุ ฮาร์ดดิสก์บางตัวอาจจะเสียหายตามอายุการใช้งาน ผู้ให้บริการของเราอาจจะเกิดความผิดพลาดทำข้อมูลของเราเสียหาย แม้ผู้ให้บริการออนไลน์อาจจะมีนโยบายชดเชยในกรณีที่เกิดความเสียหายบ้าง แต่ส่วนมากก็ไม่คุ้มค่ากับความเสียหายที่เกิดขึ้น

ธุรกิจที่ก้าวสู่โลกออนไลน์จึงควรวางแผนสำรองข้อมูลทั้งหมดเอาไว้ หากมีบริการเว็บควรสำรองข้อมูลทั้งโค้ด (Code) และฐานข้อมูลแยกเก็บไว้เป็นระยะ รวมถึงข้อมูลดิจิตอลอื่นๆ ในองค์กร

แนวทางที่สำคัญคือการสำรองข้อมูลควรเป็นระบบแยกจากระบบที่ให้บริการอย่างเด็ดขาด หากธุรกิจมีธุรกรรมไม่มากนักระบบสำรองอาจจะเป็นเพียงฮาร์ดดิสก์ USB สักลูกที่นำมาเก็บข้อมูลทั้งหมดไปเก็บไว้เป็นระยะ แต่หากธุรกิจมีขนาดใหญ่อาจจะต้องใช้ผู้ให้บริการเข้ามาช่วยดูแล และมีระบบสำรองข้อมูลอัตโนมัติที่ทำงานได้ด้วยตัวเอง

4 Wi-Fi ต้องเข้ารหัสเท่านั้น

การใช้งานอินเทอร์เน็ตทุกวันนี้ไม่นิยมการเดินสายเพื่อเชื่อมต่อเครือข่ายกันนัก เพราะต้นทุนการเปิดให้บริการระบบ Wi-Fi มีราคาถูกลง ติดตั้งได้ง่าย และให้ความเร็วใกล้เคียงกับอินเทอร์เน็ตผ่านสาย แต่หากใช้งานอย่างไม่ระวัง Wi-Fi จะกลายเป็นช่องโหว่สำคัญขององค์กร เมื่อเราให้บริการโดยไม่ได้เข้ารหัส หรือเข้ารหัสอย่างหละหลวม

การแฮกเพื่อขโมยข้อมูล เช่น รหัสผ่าน, อีเมล์, บัญชีเฟซบุ๊ก และข้อมูลอื่นๆ ผ่าน Wi-Fi ที่ไม่ได้เข้ารหัสหรือเข้ารหัสหละหลวมสามารถทำได้ง่ายมากในช่วงหลายปีมานี้ ผู้โจมตีอาจจะเป็นเพียงคนที่เข้าถึงเครื่องมือสำหรับแฮกโดยเครื่องมือทำงานได้โดยอัตโนมัติ และขโมยข้อมูลได้จากระยะไกล

การติดตั้ง Wi-Fi ควรติดตั้งอย่างระวัง เลือกการเข้ารหัสที่แข็งแกร่งที่สุดเท่าที่เป็นไปได้ และเลือกใช้รหัสผ่านอย่างระมัดระวัง สร้างรหัสผ่านที่คาดเดาได้ยาก

5 ป้องกันข้อมูลสูญหาย

คนในองค์กรต้องนำข้อมูลเพื่อทำงานนอกสถานที่เป็นเรื่องปกติ แต่หลายครั้งความผิดพลาดเพียงเล็กน้อยก็อาจจะสร้างความเสียหายได้มากกว่าที่เราจะคาดคิด เมื่อพนักงานถือโน้ตบุ๊ก หรือสำเนาไฟล์บางส่วนออกนอกบริษัท บางครั้งอาจเกิดอุบัติเหตุเช่นทำเครื่องสูญหาย ลืมบนรถโดยสาร หรือถูกขโมย

ข้อมูลที่หลุดออกไปนั้นหลายครั้งเป็นข้อมูลสำคัญของลูกค้าหรือของบริษัท การทำข้อมูลหายอาจจะทำให้งานล่าช้าสร้างความเสียหาย แต่อีกหลายครั้งที่ข้อมูลกลับตกไปอยู่ในมือคนร้ายในที่สุดอาจจะยิ่งสร้างความเสียหายได้มากกว่าการที่ข้อมูลหายไปเฉยๆ เสียอีก

ธุรกิจควรระวังว่ามีการนำข้อมูลใดออกไปจากบริษัทบ้าง หากมีพนักงานนำข้อมูลติดตัวก็ควรเตรียมการสำรองข้อมูลไว้เสมอ และอาจจะเพิ่มความปลอดภัยด้วยการเข้ารหัสดิสก์และอุปกรณ์อื่นๆ เพื่อไม่ให้ข้อมูลไปตกอยู่ในมือคนร้ายได้

6 ช่องโหว่ซอฟต์แวร์ ภัยที่ต้องการการดูแล

แม้ว่าความต่อเนื่องของธุรกิจจะเป็นสิ่งสำคัญขององค์กรสมัยใหม่ แต่การใช้งานซอฟต์แวร์ที่ขาดการอัพเดตในโลกยุคนี้มักสร้างความเสียหายได้โดยง่าย แฮกเกอร์ยุคใหม่แข่งกันวิเคราะห์ช่องโหว่ของรายการอัพเดตจากบริษัทผู้ผลิตอย่างรวดเร็วและย้อนมาสร้างเครื่องมือจากช่องโหว่เหล่านั้น

ธุรกิจที่ปลอดภัยต้องดำเนินธุรกิจบนซอฟต์แวร์ที่ไว้ใจได้ ซอฟต์แวร์ทุกตัวที่ใช้งานควรอยู่ในช่วงเวลาที่ได้รับการดูแลจากผู้ผลิต มีการอัพเดตเมื่อเจอช่องโหว่ใหม่ๆ ตลอดเวลา ในองค์กรเองควรมีผู้ดูแลว่าคอมพิวเตอร์ทุกตัวได้รับการอัพเดตเป็นอย่างดี มีการวางแผนยกเลิกใช้ซอฟต์แวร์ที่หยุดอัพเดตไว้ล่วงหน้าเสมอ

ภัยใกล้ตัวที่สุดสำหรับตอนนี้คงเป็นกรณีไมโครซอฟท์เลิกซัพพอร์ต Windows XP องค์กรต่างๆ ควรเร่งทดสอบซอฟต์แวร์สำหรับธุรกิจบนวินโดวส์รุ่นที่ใหม่กว่า เช่น Windows 7 หรือ Windows 8.1 และเร่งย้ายไปก่อนถึงวันหยุดการอัพเดต

หากไม่สามารถอัพเดตได้ ซอฟต์แวร์เหล่านั้นจำเป็นต้องรันอยู่ในระบบที่แยกจากภายนอกอย่างสมบูรณ์ เครื่องที่จำเป็นต้องรัน Windows XP ในอนาคตอาจจะจำเป็นต้องตัดขาดจากอินเทอร์เน็ตและเครือข่ายอื่นๆ อย่างสิ้นเชิง การย้ายข้อมูลเข้าออกทุกครั้งจำเป็นต้องผ่านการตรวจสอบเสมอเพื่อความปลอดภัย

7 ตรวจสอบซอฟต์แวร์และฮาร์ดแวร์ที่ติดตั้งในเครื่อง

ปัญหาความปลอดภัยจำนวนมากเกิดจากคนในองค์กรด้วยกันเองกลายเป็นผู้ร้าย ภัยอย่างหนึ่งที่พบได้ในองค์กรคือการใช้เครื่องบันทึกการพิมพ์ หรือ Keylogger มันอาจจจะเป็นซอฟต์แวร์ฝังอยู่ในเครื่อง หรืออาจจะเป็นฮาร์ดแวร์คั่นกลางระหว่างคีย์บอร์ดและคอมพิวเตอร์ บันทึกทุกอย่างที่เราพิมพ์เพื่อให้พนักงานคนอื่นมา

องค์กรที่ระมัดระวังความปลอดภัยในรูปแบบนี้อาจจะต้องตรวจสอบสม่ำเสมอว่ามีฮาร์ดแวร์แปลกปลอมแฝงมาติดตั้งอยู่หรือไม่ คอมพิวเตอร์สำหรับองค์กรมักมีระบบให้เลือกปิดการทำงานของฮาร์ดแวร์บางส่วน เช่น พอร์ต USB บางพอร์ต หรือตั้งให้ร้องเตือนเมื่อมีการเปิดเครื่อง ควรศึกษาและเลือกใช้งานระบบเหล่านี้

8 ระบบให้สิทธิเข้าถึง

องค์กรขนาดเล็กอาจจะจัดการข้อมูลกันอย่างง่ายๆ เพียงตั้งเซิร์ฟเวอร์แชร์ไฟล์สักเครื่องแล้วเปิดให้พนักงานแชร์เอกสารระหว่างกันอย่างง่ายดาย แต่เมื่อองค์กรใหญ่ขึ้น ระบบจำเป็นต้องมีการจัดการที่ดี ควรมีการกำหนดสิทธิการเข้าถึงข้อมูลอย่างระมัดระวัง

พนักงานที่ไม่มีสิทธิเข้าถึงข้อมูลแต่กลับเข้าถึงข้อมูลได้อาจจะสร้างความเสียหายได้มหาศาล พนักงานที่มุ่งร้ายอาจจะใช้ข้อมูลเพื่อประโยชน์ส่วนตัว เช่น ใช้ข้อมูลภายในของบริษัทเพื่อสร้างกำไรจากการขายหุ้น หรืออาจจะนำข้อมูลลูกค้าไปเปิดเผยจนองค์กรเสียหายและอาจถูกฟ้องร้องเรียกค่าเสียหายในภายหลัง

9 ระบบสำรอง

ภัยพิบัติเกิดขึ้นได้ไม่บ่อยนัก แต่หลายครั้งเมื่อเกิดขึ้นโดยไม่มีการเตรียมตัวกลับสร้างความเสียหายได้มากมาย เหตุการณ์น้ำท่วมในไทยเมื่อหลายปีก่อนอาจจะสร้างความเสียหายข้อมูล เพราะศูนย์ข้อมูลบางศูนย์อยู่ในพื้นที่ประสบภัย แม้จะมีธุรกิจอยู่นอกพื้นที่แต่กลับไม่สามารถให้บริการได้

ความปลอดภัยสำคัญคือการวางระบบสำรองอย่างมีประสิทธิภาพ ระบบสำรองที่ดีต้องมีการยืนยันว่าสามารถทำงานแทนระบบหลักได้ มีการทดสอบอย่างสม่ำเสมอ มีการวางระบบสำรองอย่างสมเหตุสมผลว่าต้องกลับมาให้บริการได้ภายในระยะเวลาเท่าใด

10 นโยบายความปลอดภัยและความตระหนักของพนักงาน

แม้จะมีระบบรักษาความปลอดภัยที่ดีเพียงใด แต่ระบบทั้งหมดก็ยังเป็นเพียงระบบสิ่งอำนวยความสะดวกให้กับผู้ใช้ องค์กรที่ต้องการความปลอดภัยต้องมีการวางนโยบายความปลอดภัยที่เหมาะสม สามารถใช้งานได้จริงกับธุรกิจของตัวเอง และสร้างความตระหนักต่อพนักงานว่าต้องปฎิบัติตามนโยบายนั้นอย่างเคร่งครัด