แนวคิด PDPA for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล
การสร้าง Security Awareness และ PDPA Awareness สำหรับพนักงานจึงเป็นเรื่องที่องค์กรทั้งหลายต้องมีการจัดทำตลอดทุก 6 เดือนหรือ 1 ปี เพื่อให้พนักงานบริษัทที่คุณรักได้รู้จัก เข้าใจ และพร้อมรับมือต่อภัยร้ายทางไซเบอร์ที่อาจบุกรุกเข้ามาล้วงข้อมูลส่วนบุคคลขององค์กรที่จัดเก็บไว้ไปเผยแพร่บน Dark web ซึ่งส่งผลกระทบด้านชื่อเสียงในเรื่องของความปลอดภัย และความน่าเชื่อถือของแต่ละองค์กรได้
ก่อนทำ PDPA for employees ต้องเข้าใจ 3 เสาหลักแห่ง Security Awareness กันก่อน
การสร้างความตระหนักในเรื่องของการรักษาความปลอดภัยด้านไซเบอร์นั้นเป็นเรื่องสำคัญที่องค์กรต้องให้ความใส่ใจดูแล ซึ่งแนวคิดที่จะตอบโจทย์การทำ Security Awareness สำหรับ PDPA นั้นต้องครบคลุมทั้งตัว “เทคโนโลยี” “กระบวนการ” และ “คน”
โดยก่อนที่จะเริ่มทำ Security Awareness และ PDPA Awareness องค์กรต้องมีการประเมินความเสี่ยงด้านความปลอดภัยไซเบอร์ทั้งฮาร์ดแวร์ ซอฟต์แวร์ ระบบเน็ตเวิร์ก และตัวบุคลากร เมื่อทราบถึงความเสี่ยงในการถูกบุกรุกโดยผู้ไม่หวังดีบนโลกไซเบอร์ หลายองค์กรเน้นใช้เทคโนโลยีในการจัดการความเสี่ยงที่เกิดขึ้นเพียงอย่างเดียว ซึ่งการมีเทคโนโลยีที่มีฟีเจอร์หลากหลาย แต่ขาดกระบวนการก็เหมือนแก้ไขปัญหาไม่ครบทุกจุด ส่งผลให้เกิดการแก้ไขปัญหาแบบเรื้อรังที่จะทำให้องค์กรเสียทั้งเงิน และเวลาไม่รู้จบ
ดังนั้นองค์กรต้องใส่ใจในเรื่องของกระบวนการ ด้วยการจัดทำนโยบายคุ้มครองข้อมูลส่วนบุคคล และแนวปฏิบัติการใช้ข้อมูลให้เป็นไปตามกฎหมายและสอดคล้องกับกระบวนการขององค์กร ตั้งแต่การเก็บข้อมูล ใช้ข้อมูล และเปิดเผยข้อมูล และต้องมีแนวทางแก้ไขปัญหาจากความเสี่ยงที่อาจจะเกิดขึ้นประกอบกับการมีเทคโนโลยีจัดการความเสี่ยงที่จะเกิดขึ้น ก็จะยิ่งช่วยให้จัดการบริหารความเสี่ยงได้เป็นอย่างดี
นอกจากเทคโนโลยี และกระบวนการแล้ว การสร้างความตระหนักในเหล่าพนักงานถือเป็นสิ่งสำคัญที่สุดเช่นกัน เนื่องจากส่วนใหญ่ของภัยคุกคามทางไซเบอร์เกิดได้ทั้งจากความตั้งใจ และไม่ตั้งใจของพนักงาน ดังนั้น การเทรนนิ่งให้ความรู้ควบคู่กับการทดลองให้พนักงานได้สัมผัสกับประสบการณ์จริง จะช่วยให้พนักงานมีความรู้ในด้านความปลอดภัยทางไซเบอร์ และสามารถนำความรู้นี้ไปใช้ในชีวิตประจำวันได้อีกด้วย
เรียนรู้จากข้อผิดพลาดของ employees เพราะขาดการทำ PDPA Awareness
หลายคนอาจจะสงสัยว่าทำไมการสร้างความตระหนักทางด้าน Security awareness และ PDPA Awareness ให้แก่พนักงานในองค์กรมีความสำคัญอย่างไร เราจะมาเรียนรู้กันผ่านเคสที่เกิดขึ้นจริงในเมื่อไม่นานมานี้
จากช่วงกลางเดือนกุมภาพันธ์ ปีพ.ศ. 2565 ที่ผ่านมา มีผู้ให้บริการรายใหญ่ชื่อดังเจ้านึง ได้ออกแถลงการณ์เกี่ยวกับ ข้อมูลส่วนบุคคลของลูกค้ารั่วไหลจำนวน 100,000 รายชื่อ ซึ่งข้อมูลส่วนบุคคลที่รั่วไหลไปนั้นได้แก่ข้อมูลส่วนบุคคลทั่วไปอย่าง ชื่อ-นามสกุล, เลขบัตรประชาชน, วัน-เดือน-ปีเกิด และหมายเลขโทรศัพท์ ไปปรากฏใน Dark web โดยมีสาเหตุมาจากการบุกรุกของ Ransomware ในเครื่องคอมพิวเตอร์แบบ PC ของพนักงานขณะปฏิบัติงานที่บ้าน
ซึ่งการแก้ไขปัญหาเรื่องนี้ผู้ให้บริการรายใหญ่เจ้าดังกล่าวได้ทำตามกระบวนที่ทางบริษัทจัดทำให้สอดคล้องกับพ.ร.บ.ที่กำหนดไว้ และยังมีการอัพเดตซอฟต์แวร์รักษาความปลอดภัยให้เป็นรุ่นปัจจุบัน แต่สิ่งที่ต้องแก้ไข และห้ามนิ่งนอนใจอีกเรื่องก็คือ การเทรนนิ่งอบรมพนักงานให้รู้ถึงภัยทางด้านไซเบอร์พร้อมแนวทางป้องกัน และตระหนักถึงความสำคัญของข้อมูลส่วนบุคคลเพื่อให้พนักงานได้นำความรู้มาใช้ในการทำงาน และนำไปใช้ในชีวิตประจำวันได้อีกด้วย
สามารถอ่านเพิ่มเติมเกี่ยวกับเหตุการณ์จริงเต็ม ๆ ที่เรานำมายกตัวอย่างได้ที่ ถอดคำแถลงการณ์ Service Provider ยักษ์ใหญ่ บอกอะไรกับเราบ้างนะ ?! และรู้จัก Ransomware ตัวร้ายที่องค์กรทั้งหลายต้องรู้จักระมัดระวังในบทความ Ransomware ภัยเงียบที่รุนแรงขึ้นทุกวัน! แล้วองค์กรต้องป้องกันอย่างไร
เลือกหลักสูตรเทรนนิ่ง PDPA Awareness for employees แบบไหน ถึงจะตรงใจพนักงานทุกฝ่ายในยุค New Normal
