Synology สรุปเกณฑ์การรักษาความปลอดภัยทางไซเบอร์ 6 ประการ สำหรับการปฏิบัติตามข้อกำหนดขององค์กร


ในยุคดิจิทัล ความปลอดภัยของข้อมูลถือเป็นประเด็นสำคัญที่องค์กรต่าง ๆ ไม่ควรมองข้าม ด้วยจำนวนการโจมตีของแรนซัมแวร์ที่เพิ่มขึ้น ความท้าทายในการจัดการโฟลว์ข้อมูลข้ามเขตแดน และปัจจัยด้านภูมิรัฐศาสตร์ ธุรกิจจึงต้องเผชิญกับความท้าทายที่มากขึ้นเรื่อย ๆในเรื่องการจัดการและการปกป้องข้อมูล ปรากฏการณ์เหล่านี้ได้เร่งให้เกิดการร่างกฎหมาย และข้อกำหนดที่เกี่ยวข้องจากรัฐบาล และองค์กรต่าง ๆ ที่ทั่วโลก

ตัวอย่างเช่น ไต้หวันได้ผ่านกฎหมายการจัดการด้านความปลอดภัยทางไซเบอร์” ซึ่งระบุให้บริษัทต่าง ๆ ต้องมีระบบการจัดการด้านการรักษาความปลอดภัยของข้อมูล โดยใช้เทคโนโลยี และมาตรการที่เหมาะสม นอกจากนี้หลายบริษัทยังต้องได้รับการรับรอง ISO 27001 ซึ่งเพิ่งเพิ่มมาตรการด้านการควบคุมเมื่อปีที่แล้ว ยิ่งไปกว่านั้น หากธุรกิจไม่ปฏิบัติตามข้อกำหนดด้านกฎระเบียบ พวกเขาอาจเผชิญกับข้อจำกัด บทลงโทษ หรือแม้แต่การกีดกันจากห่วงโซ่อุปทานในอุตสาหกรรมต่าง ๆ ซึ่งทำให้การปฏิบัติตามมาตรฐานไม่ใช่ทางเลือกอีกต่อไป แต่ถือได้ว่าเป็นความจำเป็น

เนื่องจากประเด็นนี้เกี่ยวข้องเป็นอย่างมากกับชื่อเสียง และความสัมพันธ์ขององค์กร Synology คาดว่าการปฏิบัติตามมาตรฐานด้านความปลอดภัยของข้อมูลจะเป็นปัจจัยที่ทวีความสำคัญมากขึ้นในการดำเนินธุรกิจขององค์กร

การขาดวิธีการปรับใช้งานที่ชัดเจนของกฎระเบียบต่าง ๆ ก่อให้เกิดความสับสนสำหรับธุรกิจ จากการที่เราช่วยลูกค้าของเราวางแผนกลยุทธ์การปฏิบัติตามมาตรฐาน อุปสรรคที่มักจะพบคือ การประเมินด้านการปรับใช้งานการปฏิบัติตามมาตรฐานเริ่มต้น ขณะที่เป้าหมายของการปกป้องข้อมูลมีความชัดเจน แต่กฎระเบียบส่วนใหญ่จะมีเพียงทิศทางคร่าว ๆ และต้องการให้บริษัทต่าง ๆ ปฏิบัติตามกฎระเบียบโดยปราศจากคำแนะนำที่เจาะจง

สำหรับตัวอย่างที่มักพบของข้อปฏิบัติตามมาตรฐานที่นิยมระบุ

  1. Sarbanes-Oxley Act (SOX) กฎระเบียบที่ใช้ควบคุมบริษัทจดทะเบียนในสหรัฐอเมริกาเป็นส่วนใหญ่ โดยกำหนดให้มีการปกป้องข้อมูล และรายงานทางการเงิน และการพัฒนาแผน Disaster Recovery สำหรับข้อมูลที่สำคัญ
  2. กฎหมายว่าด้วยการควบคุม และการส่งผ่านข้อมูลทางด้านการประกันสุขภาพ (HIPAA) กฎระเบียบของสหรัฐอเมริกาสำหรับอุตสาหกรรมการดูแลสุขภาพ ช่วยให้มั่นใจได้ถึงความลับของข้อมูลทางการแพทย์ของผู้ป่วย ระบุเวลาที่สามารถเก็บรักษาข้อมูลของผู้ป่วย และต้องมีแผนการสำรองข้อมูลและการกู้คืนข้อมูลจากความเสียหายสำหรับการปกป้องข้อมูล
  3. ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป (GDPR) กฎระเบียบของสหภาพยุโรปที่ระบุให้บริษัทต่าง ๆ ต้องปกป้องข้อมูลส่วนบุคคล อนุญาตให้ปัจเจกบุคคลขอการลบข้อมูล และระบุแผนการสำรองข้อมูลที่ตรงตามสิทธิส่วนบุคคล

เมื่อต้องเผชิญกับกฎหมาย และกฎระเบียบที่ซับซ้อนจำนวนมากโดยไม่มีแนวทางเกี่ยวกับการปรับใช้ที่ชัดเจน บริษัทต่าง ๆ ที่ต้องปฏิบัติตามอาจเริ่มต้นปฏิบัติตามได้ยาก  เริ่มต้นจาก ISO 27001 เพื่อให้ตรงตามมาตรฐานด้านการรักษาความปลอดภัยจำนวนมากพร้อมกัน

เพื่อรับมือกับความท้าทายเหล่านี้ Synology ขอแนะนำให้เริ่มจากการปรับใช้ระบบ ISO 27001 ซึ่งเป็นมาตรฐานสากลที่ช่วยให้องค์กรต่าง ๆ ใช้ระบบการจัดการด้านการรักษาความปลอดภัยของข้อมูล (ISMS) ได้ เนื่องจากข้อกำหนดด้านการรักษาความปลอดภัยมีส่วนที่ตรงกับมาตรฐานอื่น ๆ จำนวนมาก เช่น HIPAA และ GDPR จึงเป็นวิธีที่ดีในการปฏิบัติตามหลายกฎระเบียบพร้อมกัน

แผนภาพต่อไปนี้แสดงตัวอย่างหนึ่งของความคล้ายกันของ ISO 27001 กับมาตรฐานอื่น ๆ ด้วยการเน้นไปที่ความคล้ายกับ HIPAA

ซึ่งหมายความว่า การทำตามมาตรฐาน ISO 27001 ก็จะตรงตามข้อกำหนดด้านการรักษาความปลอดภัยของข้อมูลอื่น ๆ ส่วนใหญ่ของมาตรฐานอื่น ๆ ไปด้วยพร้อมกัน มีเพียงข้อกำหนดเฉพาะอุตสาหกรรมที่ต้องปรับอย่างละเอียดหรือกำหนดเพื่อให้มั่นใจว่าองค์กรของคุณจะปฏิบัติตามมาตรฐานที่เกี่ยวข้อง

จุด Audit หกจุดเพื่อให้เป็นไปตามมาตรการการปกป้องข้อมูล

Synology มีเป้าหมายที่จะทำให้การปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูลเป็นเรื่องง่ายสำหรับองค์กรทุกขนาด เพื่อให้บรรลุเป้าหมายนี้ เราได้ระบุจุด Audit 6จุดต่อไปนี้ หากองค์กรสามารถตอบ “ใช่” ให้กับคำถามต่อไปนี้ จะถือว่าตรงตามข้อกำหนดด้านการปกป้องข้อมูลพื้นฐานสำหรับกฎระเบียบส่วนใหญ่

  1. การสำรองข้อมูลที่สมบูรณ์: มีการสำรองข้อมูลอย่างมีประสิทธิภาพและสม่ำเสมอ เพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลไปยังเวอร์ชันที่ต้องการได้หรือไม่
  2. การตรวจสอบความถูกต้องของการสำรองข้อมูล: ข้อมูลสำรองมีความปลอดภัยอย่างแท้จริงและได้รับการพิสูจน์ว่าสามารถกู้คืนได้หรือไม่
  3. ความไม่เปลี่ยนแปลงของข้อมูล (Data Immutability) : คุณมีสำเนาของข้อมูลที่ไม่สามารถยุ่งเกี่ยวหรือลบตามความต้องการได้หรือไม่
  4. การฝึกซ้อมการกู้คืนข้อมูล: คุณจำลองกลยุทธ์ และขั้นตอนการตอบสนองต่อเหตุการณ์ที่ไม่คาดคิดเป็นประจำหรือไม่
  5. การสำรองข้อมูลสำรอง Offsite: ข้อมูลสำรองได้รับการจัดเก็บในสถานที่ และสื่อต่างกันหรือไม่
  6. การกู้คืนแบบทันที: สามารถกู้คืนข้อมูล และรีสตาร์ท service ภายในกรอบเวลาที่ยอมรับได้ได้หรือไม่

หากขณะนี้ยังไม่สามารถบรรลุจุด Audit เหล่านี้ทั้งหมดได้ ไม่ต้องกังวล ด้วยการใช้โซลูชันที่ทันสมัย เช่น Active Backup Suite ของ Synology จะสามารถบรรลุจุด Audit เหล่านี้โดยอัตโนมัติ ชุดการสำรองข้อมูลนี้จะช่วยให้บุคลากรด้าน IT สร้างกลยุทธ์การปกป้องข้อมูลที่สมบูรณ์ได้ง่ายด้วยการปรับใช้งานการสำรองข้อมูลหลายเวอร์ชันและหลากหลายปลายทาง การดำเนินการนี้ไม่เพียงแต่จะช่วยให้คุณผ่านจุด Audit หลักทั้งหกเท่านั้น แต่ยังไม่มีค่าสิทธิ์การใช้งาน จึงเป็นตัวเลือกที่คุ้มค่าในการปฏิบัติตามกฎระเบียบด้านการรักษาความปลอดภัยของข้อมูล

ทั้งนี้เราได้สรุปวิธีการที่ผลิตภัณฑ์ Synology ดำเนินการดังกล่าวในตารางต่อไปนี้ ซึ่งใช้ข้อกำหนดด้านกฎระเบียบสำหรับ ISO 27001: Control 8.13:

 

ปรับใช้ Active Backup Suite วันนี้

เพื่อปฏิบัติตามมาตรฐานด้านการปกป้องข้อมูล

การปฏิบัติตามกฎหมายด้านการปกป้องข้อมูลถือเป็นสิ่งสำคัญของการดำเนินธุรกิจ และการไม่ปฏิบัติตามอาจนำไปสู่ผลกระทบด้านลบโดยตรงที่ตามมา เราจะใช้ HIPAA เป็นตัวอย่าง หากสถาบันด้านการดูแลสุขภาพหรือองค์กรที่เกี่ยวข้องไม่ปฏิบัติตามข้อกำหนด HIPAA เช่น ไม่สามารถปกป้องข้อมูลทางการแพทย์ของผู้ป่วย หรือไม่สามารถใช้มาตรการด้านการรักษาความปลอดภัยที่เหมาะสม ค่าปรับของการละเมิดแต่ละครั้งอาจสูงถึง 1.5 ล้านดอลลาร์สหรัฐ ไม่เพียงเท่านั้น แต่ยังสามารถสร้างความเสียหายอย่างรุนแรงต่อชื่อเสียงของบริษัทได้อีกด้วย

 

Joanne Weng, Director of International Business Department, Synology

จากการสำรวจของ Synology พบว่าบริษัทมากกว่า 80% ตระหนักถึงกฎหมายด้านการปฏิบัติตามมาตรฐานการปกป้องข้อมูล แต่ยังขาดโซลูชันที่ครอบคลุมและการรักษาความปลอดภัยข้อมูลที่ปรับใช้ได้  Synology Active Backup Suite ช่วยให้บุคลากรด้าน IT เปลี่ยนความคิดเป็นแผนที่ดำเนินการได้เพื่อให้มั่นใจในความปลอดภัยและความสามารถในการกู้คืนข้อมูลของบริษัท พร้อมกับการปฏิบัติตามข้อกำหนดด้านการปกป้องข้อมูลต่างๆ

โดย  Joanne Weng, Director of International Business Department, Synology


เราใช้คุกกี้เพื่อพัฒนาประสิทธิภาพ และประสบการณ์ที่ดีในการใช้เว็บไซต์ของคุณ คุณสามารถศึกษารายละเอียดได้ที่ นโยบายความเป็นส่วนตัว และสามารถจัดการความเป็นส่วนตัวของคุณได้เองโดยคลิกที่ ตั้งค่า

Privacy Preferences

คุณสามารถเลือกการตั้งค่าคุกกี้โดยเปิด/ปิด คุกกี้ในแต่ละประเภทได้ตามความต้องการ ยกเว้น คุกกี้ที่จำเป็น

Allow All
Manage Consent Preferences
  • คุกกี้ที่จำเป็น
    Always Active

    คุกกี้มีความจำเป็นสำหรับการทำงานของเว็บไซต์ เพื่อให้คุณสามารถใช้ได้อย่างเป็นปกติ และเข้าชมเว็บไซต์ คุณไม่สามารถปิดการทำงานของคุกกี้นี้ในระบบเว็บไซต์ของเราได้

  • คุกกี้เพื่อการวิเคราะห์

    คุกกี้ประเภทนี้จะทำการเก็บข้อมูลการใช้งานเว็บไซต์ของคุณ เพื่อเป็นประโยชน์ในการวัดผล ปรับปรุง และพัฒนาประสบการณ์ที่ดีในการใช้งานเว็บไซต์ ถ้าหากท่านไม่ยินยอมให้เราใช้คุกกี้นี้ เราจะไม่สามารถวัดผล ปรังปรุงและพัฒนาเว็บไซต์ได้

Save