หลายท่านคงเห็นความสำคัญของการทำ PDPA Security Awareness กันไปบ้างแล้วในรูปแบบของ 3 สิ่งแห่งการป้องกันภัยจากไซเบอร์อย่าง Technology ระบบที่ช่วยดูแลรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลที่ทางองค์กรเก็บไว้, Process กระบวนการรวมตั้งแต่ แบบแผน นโยบาย วิธีป้องกันภัยอันตรายจากไซเบอร์ และการรับมือกับความเสี่ยงเมื่อมีผู้บุกรุกทางไซเบอร์ รวมถึง People พนักงานในองค์กรต้องเข้าใจในเรื่องภัยของไซเบอร์ และเห็นความสำคัญของข้อมูลส่วนบุคคลเพื่อรักษาทรัพยากรอันล้ำค่าของบริษัทที่สั่งสมน้ำพักน้ำแรงของทุกฝ่ายในบริษัทอย่างข้อมูลส่วนบุคคล
ซึ่งทั้ง 3 สิ่งที่กล่าวมานี้ หากทางองค์กรปฏิบัติได้รัดกุมในทุกด้าน ก็จะเป็นการสร้างภูมิคุ้มกันให้แก่องค์กร นำไปสู่การเพิ่มความน่าเชื่อถือ และยกระดับความปลอดภัยในด้านการรักษาข้อมูลส่วนบุคคลขององค์กรได้
เมื่อเข้าใจคอนเซ็ปต์ของการตระหนักรู้ทางด้านข้อมูลส่วนบุคคล และภัยอันตรายจากไซเบอร์แล้ว ต่อไปเราจะมาดูข้อดี และข้อเสียของการสร้างความตระหนักรู้ในข้อมูลส่วนบุคคล และภัยอันตรายจากไซเบอร์เพื่อที่จะช่วยให้องค์กรที่กำลังอ่านได้มีการจัดทำเพื่อประโยชน์ขององค์กรในระยะยาว ซึ่งจะมีอะไรบ้างนั้นติดตามกันได้ในบทความนี้
ข้อดีของ PDPA Security Awareness
• องค์กรช่วยรับผิดชอบต่อสังคมด้วยการปฏิบัติถูกต้องตามกฎหมาย
อย่างที่หลายคนทราบกันดีถึงข้อบังคับของกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ที่สรุปได้ใจความว่า “องค์กรที่เป็นผู้ควบคุมข้อมูลส่วนบุคคล ต้องมีการอบรมlสร้างความตระหนักในข้อมูลส่วนบุคคลให้แก่พนักงานทุกภาคส่วนในบริษัท” และกฎหมายพ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ปี 2562 ที่ระบุไว้ด้วยว่า
“ต้องมีเป้าหมายและแนวทางอย่างน้อยเป็นการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์”
ดังนั้นองค์กรในประเทศไทยต้องมีการทำทั้งข้อมูลส่วนบุคคล และความปลอดภัยด้านไซเบอร์ควบคู่กันไปเพื่อรองรับกฎหมายทั้งสองฉบับตามที่กล่าวไว้ในข้างต้น
ศึกษาเกี่ยวกับข้อกฎหมายเพิ่มเติมได้ที่ สร้าง Cybersecurity Awareness อย่างไรให้ผ่าน พ.ร.บ. ไซเบอร์ และ 3 ขั้นตอนทำ PDPA ครบวงจร พร้อมคำแนะนำสำหรับองค์กร
• ช่วยเพิ่มความน่าเชื่อถือในทุกภาคส่วนให้แก่องค์กร
ข้อมูลส่วนบุคคลถือว่าเป็นทรัพยากรล้ำค่าของทางองค์กร และผู้ให้ข้อมูลส่วนบุคคล เพราะถ้าหลุดรั่วออกไปถึงมือผู้ไม่หวังดีอาจก่อให้เกิดผลกระทบมากมาย ส่งผลให้มีความผิดตามกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ที่จะมีผลบังคับใช้ในช่วงเดือนมิถุนายน
นอกจากนี้หากองค์กรมีการป้องกันภัยจากไซเบอร์ตามหลัก 3 อย่างอาทิ เทคโนโลยี กระบวนการ และคน ย่อมส่งผลให้องค์กรได้รับความน่าเชื่อถือ และความไว้วางใจจากคนในองค์กร ลูกค้า และความน่าเชื่อถือนี้นำไปสู่การได้รับความเชื่อมั่นจากคู่ค้าธุรกิจทั้งจากในประเทศ และต่างประเทศอีกด้วย
• ปฏิบัติตามมาตรฐานสากล ISO/IEC 27701
หลาย ๆ องค์กรน่าจะรู้จักกับมาตรฐาน ISO (International Organization for Standardization) ที่เป็นมาตรฐานที่ใช้วัดคุณภาพของแต่ละธุรกิจ สินค้า และองค์กรต่าง ๆ ซึ่งมีข้อมาตรฐานที่มีความสอดคล้องกับกฎหมาย PDPA (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ได้แก่ ISO/IEC 27701 ที่ได้ระบุแนวทางในการปฏิบัติสำหรับองค์กรในการดูแลปกป้องข้อมูลส่วนบุคคล
โดย 1 ในแนวทางที่สำคัญในการทำให้สอดรับกับมาตรฐาน ISO/IEC 27701 ก็คือการเทรนนิ่ง จัดอบรมให้พนักงานได้มีความรู้ควบคู่กับการประยุกต์เรื่องข้อมูลส่วนบุคคล และความปลอดภัยทางไซเบอร์นำมาใช้ในการทำงานจริง ซึ่งมาตรฐานนี้นอกจากจะช่วยองค์กรวางแผนรับมือกับความเสี่ยงจากการโดนบุกรุกทางไซเบอร์แล้ว ยังช่วยเพิ่มความน่าเชื่อถือขององค์กร และเป็นเครื่องหมายการันตีว่าองค์กรนี้ได้รับมาตรฐานที่เป็นที่ยอมรับกันทั่วโลก
• ลดความเสี่ยงตกเป็นเหยื่อแฮกเกอร์จากภัยคุกคามทางไซเบอร์
การเทรนนิ่งสร้างความตระหนักภัยจากไซเบอร์ในพนักงานองค์กรนั้น ถือเป็นเรื่องที่สำคัญอย่างมากในการป้องกันการตกเป็นเหยื่อแฮกเกอร์จากภัยคุกคามทางไซเบอร์ นอกจากตัวพนักงานจะมีภูมิคุ้มกันในตัวเองแล้ว ทางองค์กรยังได้รับภูมิคุ้มกันหมู่ป้องกันการคุกคามทางด้านไซเบอร์อีกด้วย นำไปสู่ความปลอดภัยของข้อมูลส่วนบุคคล และเพิ่มความน่าเชื่อถือให้แก่องค์กรมากขึ้น
• ลดความเสี่ยงข้อมูลถูกโจรกรรมจากแฮกเกอร์
ด้วยปัจจุบันเราอยู่ในยุคสังคมดิจิทัลที่มีการโยกย้ายข้อมูลบางส่วนไปไว้บนโลกออนไลน์เพื่อความสะดวกสบายมากในการนำมาใช้งาน แต่ก็ต้องแลกมากับความเสี่ยงที่จะโดนโจรกรรมจากแฮคเกอร์ ซึ่งนอกจากโปรแกรม แพลตฟอร์มเทคโนโลยีรักษาความปลอดภัยทางไซเบอร์ กระบวนการจัดเก็บ รักษา ปกป้องข้อมูลส่วนบุคคล และแผนบริหารความเสี่ยงรับมือในกรณีที่เกิดข้อมูลรั่วไหลแล้ว
การจัดเทรนนิ่งเกี่ยวกับข้อมูลส่วนบุคคล และความปลอดภัยทางไซเบอร์ให้แก่พนักงานในองค์กรอย่างต่อเนื่องทุกปีก็จะช่วยลดความเสี่ยงที่มาจากทั้งประมาท หรือตั้งใจ ดังนั้นถ้าองค์กรไม่มีการทำสิ่งนี้ อาจเกิดเหตุการณ์ข้อมูลส่วนบุคคลรั่วไหล ซึ่งนำไปสู่การสูญเสียเงิน เวลา และความน่าเชื่อถือทั้งในระยะสั้นและระยะยาวได้
• สร้างความตระหนักให้สังคมรู้จักภัยทางไซเบอร์ และรักในข้อมูลส่วนบุคคลมากยิ่งขึ้น และพร้อมส่งต่อสิ่งดี ๆ แก่คนรอบข้าง
การทำเทรนนิ่งเรื่องความปลอดภัยทางไซเบอร์ และการตระหนักรู้ในข้อมูลส่วนบุคคลนั้น นอกจากจะได้ภูมิคุ้มกันภัยอันตรายจากไซเบอร์ และเห็นคุณค่าของข้อมูลส่วนบุคคลแล้วนั้น ผู้ที่ได้รับการอบรมยังสามารถนำความรู้ที่ได้มาปรับใช้ชีวิตประจำวัน และบอกต่อสิ่งนี้ให้แก่คนรอบข้าง นับว่าเป็นการสร้างภูมิคุ้มกันหมู่ในสังคม และช่วยยกระดับสังคมไทยให้กลายเป็นสังคมดิจิทัลที่ปลอดภัย และช่วยกันลดภัยคุกคามจากไซเบอร์ให้มีจำนวนลดลงได้อีกด้วย
ข้อเสียของ PDPA Security Awareness
• HR เสียเวลาในการจัดอบรมเทรนนิ่ง และพนักงานบางคนรู้สึกกระทบเวลางานที่ทำอยู่
เวลาที่มีการเทรนนิ่ง หลายคนอาจจะคิดว่าต้องใช้เวลาในการอบรมเทรนทั้งวัน ซึ่งอาจจะส่งผลต่อพนักงานบางคนที่ไม่สะดวกเนื่องจากไม่มีเวลาว่าง ปัจจุบันเริ่มมีการปรับการอบรมเป็นแบบ online ให้สามารถเข้าร่วมได้ ไม่ว่าจะอยู่ที่ไหนก็ตาม แต่จะดีกว่าไหม ถ้าพนักงานทุกคนสามารถเข้าอบรมด้านความปลอดภัยทางไซเบอร์ และการตระหนักรู้ในข้อมูลส่วนบุคคลได้ทุกเวลาที่ตนสะดวก และนำความรู้ที่ได้เรียนไปปรับใช้ได้จริง ซึ่ง SECAP แพลตฟอร์มแบบ E-Learning ของไทย ที่ไม่ว่าอยู่ไหน เวลาใดก็เรียนได้ แถมบทเรียนสั้น กระชับ เข้าใจง่าย ใช้งานได้จริง บอกได้เลยว่า SECAP นี้สามารถตอบโจทย์การทำเทรนนิ่งยุคดิจิทัลได้เป็นอย่างดีเลยทีเดียว
• บางคนอาจจะไม่เข้าใจ เพราะเป็นเรื่องของกฎหมาย
หลาย ๆ คนอาจจะยังไม่รู้เกี่ยวกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และพ.ร.บ.ไซเบอร์ฯ 2562 มากนัก และมองว่าเป็นเรื่องที่ยากเพราะเกี่ยวกับกฎหมายที่มีคำศัพท์เฉพาะตัว แถมยังกังวลอีกว่าความรู้ที่อบรมไปจะนำมาใช้จริงได้หรือไม่ ซึ่งข้อเสียนี้จะหมดไปกับการเรียนรู้แบบใหม่ที่ได้ทดลองจริง พร้อมแบบทดสอบที่สามารถวัดผลได้ว่าตัวผู้เรียนเข้าใจเกี่ยวกับความปลอดภัยทางไซเบอร์ และการตระหนักรู้ในข้อมูลส่วนบุคคลจริง ด้วยแพลตฟอร์มเรียนรู้แบบ e-learning จาก SECAP ที่ออกแบบมาเพื่อให้ผู้เรียนได้รับความรู้ควบคู่กับการทดลองอยู่ในสถานการณ์รับมือกับภัยคุกคามจริงจาก Phishing Email Simulation แถมข้อมูลที่ได้ยังสามารถนำมาใช้กับสถานการณ์ปัจจุบันจากบทเรียนสั้น ๆ ของทางแพลตฟอร์มอีกด้วย
สรุป PDPA Security Awareness
