การรักษาความปลอดภัยของข้อมูล กับการอำนวยความสะดวกในการทำงานนอกสถานที่ จะเดินกันคนละครึ่งทางอย่างเหมาะสมได้อย่างไร

12 ก.พ. 2563

การทำงานนอกสถานที่ เช่น ขณะเดินทาง หรือทำงานจากบ้านนั้น กลายเป็นเรื่องที่พบเห็นได้ทั่วไปในยุคที่สภาพแวดล้อมการทำงานเปลี่ยนแปลงอย่างรวดเร็วเช่นนี้

ถึงจะมีความก้าวหน้าด้านเทคโนโลยีและโซลูชันอุปกรณ์พกพามากเพียงใด หลายองค์กรก็ยังรู้สึกลำบากใจในการปล่อยให้มีการเข้าถึงข้อมูลของตัวเองจากทุกที่ทุกเวลาโดยที่ยังมั่นใจในความปลอดภัยอยู่

จริงๆ แล้วเรามีเทคโนโลยีและเทคนิควิธีการอยู่หลากหลายรูปแบบที่ช่วยส่งเสริมการทำงานนอกสถานที่ของพนักงาน ซึ่งยุทธศาสตร์การสนับสนุนการทำงานผ่านอุปกรณ์พกพาที่เหมาะสมนั้นควรคำนึงถึงหลักสำคัญ 2 ประการได้แก่ ด้านประสิทธิภาพ และด้านความปลอดภัย

การจัดระเบียบข้อมูลให้เข้าถึงได้อย่างมีประสิทธิภาพ
ไม่ว่าจะอยู่ในสำนักงาน หรือเชื่อมต่อจากภายนอกก็ตาม พนักงานก็ควรที่จะสามารถค้นหาข้อมูลสำคัญที่ต้องการได้อย่างรวดเร็ว ง่ายดาย และอยู่ในรูปที่นำไปใช้ได้อย่างมีประสิทธิภาพ

ซึ่งการปรับปรุงประสิทธิภาพการเข้าถึงข้อมูลนั้นจำเป็นต้องได้รับความร่วมมือจากทั้งองค์กร ไม่สามารถใช้แค่ซอฟต์แวร์หรือการเปลี่ยนรูปแบบของกลไกทางไอทีอย่างใดอย่างหนึ่งได้ โดยเริ่มจากการมองภาพรวมของข้อมูลที่จำเป็นต่อธุรกิจ และทำความเข้าใจเกี่ยวกับตำแหน่งที่ข้อมูลถูกจัดเก็บเอาไว้, รูปแบบของข้อมูล, การนำเสนอให้ผู้ใช้เห็น, การประมวลผลข้อมูล, และรูปแบบการประมวลผลในอุดมคติที่ต้องการ การทำความเข้าใจเหล่านี้จะช่วยให้จัดลำดับความสำคัญของเครื่องมือและยุทธศาสตร์ต่างๆ ที่จะทำให้กระบวนการที่ต้องการนั้นสามารถถูกนำมาใช้งานได้อย่างเป็นรูปธรรม

การรักษาความปลอดภัยข้อมูล
แน่นอนว่าการเปิดให้สามารถเข้าถึงข้อมูลได้จากทุกที่ทุกเวลานั้นย่อมทำให้เกิดความเสี่ยง และความลำบากในการควบคุมด้านความปลอดภัยตามไปด้วย เราจะแน่ใจได้อย่างไรว่าจะไม่มีบุคคลไม่พึงประสงค์เข้ามาใช้ช่องทางเดียวกันกับที่พนักงานที่อยู่ภายนอกใช้เข้าถึงข้อมูลของบริษัท

อุปกรณ์พกพาส่วนตัวนั้นอาจสูญหายหรือโดนขโมยได้ นอกจากนี้เจ้าหน้าที่ฝ่ายไอทีของบริษัทก็ไม่สามารถตามไปตรวจสอบและปกป้องการใช้งานผ่านคอมพิวเตอร์สาธารณะอย่างในโรงแรมและห้องสมุดได้อีกด้วย

แม้จะมีการใช้วีพีเอ็นหรือ Virtual Private Network ไปจนถึงระบบความปลอดภัยอื่นๆ ที่องค์กรมีอยู่ ก็ยังไม่สามารถเชื่อมั่นได้เต็มที่ว่าจะปลอดภัยจากการโจมตีโดยสิ้นเชิง ดูได้จากกรณีอย่างการแฮ็กเครือข่ายของสนามบินที่เคยเกิดขึ้นมาแล้ว1 ที่แม้การล็อกอินเข้าวีพีเอ็นของสนามบินจะใช้การยืนยันตนแบบสองตัวแปรที่ผู้เชี่ยวชาญมองว่าเป็นวิธีที่ปลอดภัยมากในปัจจุบัน แต่ด้วยการใช้มัลแวร์ที่ดูดข้อมูลจากแบบฟอร์มออนไลน์ (ที่บันทึกข้อความที่พิมพ์ลงในหน้าต่างที่มีช่องแบบฟอร์ม) ร่วมกับเทคโนโลยีการแคปภาพหน้าจอก็ทำให้แฮกเกอร์สามารถทราบข้อมูลทั้งสองตัวแปร จนนำไปใช้เข้าถึงระบบในที่สุดได้ เป็นต้น

ตัวอย่างข้างต้นไม่ได้หมายความว่าระบบยืนยันตนแบบหลายตัวแปรนั้นไม่ปลอดภัย แต่เนื่องระบบยืนยันตนลักษณะนี้มีหลากหลายรูปแบบ ขอแค่ให้มีการกรอกข้อมูลอื่นที่ผู้ใช้ทราบนอกจากรหัสผ่านปกติเพื่อเข้าถึงระบบเท่านั้น ซึ่งข้อมูลหรือสิ่งที่ผู้ใช้ทราบ / มีอยู่กับตัวนั้นสามารถเลือกใช้ได้หลากหลายไม่ว่าจะเป็นการ์ดสำหรับรูดหรือสแกนหรือจะเป็นการกดยืนยันเพิ่มเติมจากโทรศัพท์หรืออุปกรณ์ส่วนตัวเครื่องอื่น เช่น การที่ระบบส่งข้อความสั้น, อีเมล, หรือโทรศัพท์เข้ามาให้ผู้ใช้ทราบและยืนยันการล็อกอินซ้ำอีกครั้งหนึ่ง

อย่างกรณีระบบในสนามบินนี้ มีการพัฒนามัลแวร์ขึ้นเป็นพิเศษเพื่อใช้แฮกกระบวนการล็อกอินแบบสองตัวแปรโดยเฉพาะ ดังนั้นถ้าเราจะก้าวหนีอาชญากรให้ได้ ก็อาจจะต้องมองการยืนยันตนที่แข็งแกร่งขึ้นไปอีกเช่น แบบสามตัวแปร ที่ต้องการข้อมูลนอกเหนือจากสิ่งที่ผู้ใช้รู้และสิ่งที่มีอยู่ อาจจะเป็นสิ่งที่ผู้ใช้ “เป็น” หรือลักษณะเฉพาะ เช่น ไบโอเมตริกอย่างลายนิ้วมือ หรือการสแกนม่านตา

ทั้งหมดที่กล่าวมาข้างต้นนี้ต้องการชี้ให้เห็นถึงความสำคัญในการให้ความรู้แก่ผู้ใช้ในการเชื่อมต่อจากระยะไกลผ่านอุปกรณ์พกพาอย่างมีความรับผิดชอบ (ไม่ว่าจะเป็นอุปกรณ์ส่วนตัวตามนโยบาย Bring-Your-Own-Device หรืออุปกรณ์ที่บริษัทจัดหาไว้ให้ใช้) และคอยอัปเดตแอนติไวรัสบนอุปกรณ์ให้ทันสมัยอยู่เสมอนอกจากนี้การใช้โซลูชันจัดการอุปกรณ์พกพาหรือ MDM ก็ช่วยให้ฝ่ายไอทีสามารถควบคุมการใช้งานได้อย่างครอบคลุม ไม่ว่าจะเป็นการบังคับให้ใช้รหัสพิน, การเข้ารหัสข้อมูล, บังคับให้อัปเดตซอฟต์แวร์, รวมไปถึงการสั่งติดตั้งแอปพลิเคชันอย่างปลอดภัยสำหรับแอปที่บริษัทมองว่าจำเป็นต้องติดตั้งบนทุกอุปกรณ์ที่เข้าถึงเครือข่าย ซึ่งทั้ง MDM และมาตรการความปลอดภัยอื่นๆ ที่นำมาใช้ก็ควรสอดคล้องกับนโยบายการจัดการข้อมูลขององค์กรด้วย

การจัดการดูแลทิศทางการเคลื่อนที่ของข้อมูลทั่วทั้งองค์กรนั้นเป็นสิ่งจำเป็นและต้องการมากกว่าแค่การเปิดช่องทางการเชื่อมต่อกับพนักงานที่ทำงานจากภายนอกสำนักงาน ข้อสำคัญคือเราต้องมีกระบวนการจัดการข้อมูลที่มีการออกแบบให้ได้ประสิทธิภาพครอบคลุมทั่วทั้งองค์กรไปพร้อมกับการให้ความสำคัญกับการปกป้องความปลอดภัยของข้อมูลในสภาพแวดล้อมที่เป็นอิสระมากขึ้นอย่างในยุคปัจจุบัน