เข้าสู่ระบบสมาชิก
บทความเรื่อง “ปกป้องข้อมูลองค์กรด้วยมาตรฐานไอเอสโอ ตอนที่ 1” ได้นำเสนอเรื่องราวเกี่ยวกับ “การจัดการข้อมูลประจำตัว” ได้แก่ ความหมาย ตัวอย่าง คุณสมบัติทั่วไป ซึ่งมีความสำคัญมากสำหรับการป้องกันการเข้าถึงข้อมูลโดยไม่ได้รับอนุญาต ส่วนบทความในตอนที่ 2 จะกล่าวถึงความแตกต่างระหว่าง “การจัดการข้อมูลประจำตัว” กับ “การจัดการการเข้าถึง” และมาตรฐานไอเอสโอที่องค์กรสามารถนำไปใช้เพื่อปกป้องตนเอง ดังต่อไปนี้
โดยทั่วไป ระบบการจัดการข้อมูลประจำตัวทำหน้าที่หลัก 3 อย่าง ได้แก่ การระบุตัวตน การรับรองความถูกต้อง และการอนุญาต ซึ่งช่วยให้บุคลากรที่เหมาะสมสามารถเข้าถึงเครื่องมือที่จำเป็นในการปฏิบัติหน้าที่ที่ได้รับมอบหมายได้ โดยขึ้นอยู่กับหน้าที่การงานซึ่งไม่ให้สิทธิ์เข้าถึงเครื่องมือที่ไม่จำเป็น
ความแตกต่างของการจัดการ “ข้อมูลประจำตัว” กับ การจัดการ “การเข้าถึง”
“การจัดการข้อมูลประจำตัว” และ “การจัดการการเข้าถึง” เป็นคำที่มักใช้แทนกันได้ แต่เป็นแนวคิดที่แตกต่างกัน ความแตกต่างที่สำคัญคือการจัดการข้อมูลประจำตัวเกี่ยวข้องกับบัญชีผู้ใช้ (การรับรองความถูกต้อง/Authentication) ในขณะที่การจัดการการเข้าถึงเกี่ยวข้องกับการอนุญาตและสิทธิพิเศษ (Authorization) เช่น เมื่อผู้ใช้ป้อนข้อมูลรับรองการเข้าสู่ระบบ ระบบจะตรวจสอบข้อมูลประจำตัวของผู้ใช้กับฐานข้อมูลเพื่อยืนยันว่าข้อมูลรับรองที่ป้อนตรงกับข้อมูลที่จัดเก็บไว้ในฐานข้อมูลหรือไม่ (การตรวจสอบสิทธิ์) เมื่อระบุตัวตนของผู้ใช้ได้แล้ว ผู้ใช้จะได้รับสิทธิ์เข้าถึงบัญชีของตนเอง (การอนุญาต)
การจัดการข้อมูลประจำตัวมีประโยชน์อย่างไร
ระบบจัดการข้อมูลประจำตัวเป็นเครื่องมือที่มีค่าสำหรับการปกป้องข้อมูลและทรัพยากรขององค์กรซึ่งช่วยให้เราจัดเก็บข้อมูลผู้ใช้และจัดการสิทธิ์การเข้าถึงของผู้ใช้ได้อย่างปลอดภัยอันเป็นวิธีที่ปลอดภัยและเชื่อถือได้โดยมีประโยชน์ดังต่อไปนี้
– ความปลอดภัยที่เพิ่มขึ้น ช่วยปกป้ององค์กรจากการเข้าถึงโดยไม่ได้รับอนุญาตและการขโมยข้อมูลผู้ใช้
– ประสิทธิภาพที่เพิ่มขึ้น ช่วยให้สามารถจัดการขั้นตอนการเข้าสู่ระบบของผู้ใช้ได้อย่างมีประสิทธิภาพและติดตามกิจกรรมของผู้ใช้ในหลายแพลตฟอร์มโดยใช้ข้อมูลรับรองชุดเดียว ลดเวลาและต้นทุนในการประมวลผลโดยเวิร์กโฟลว์อัตโนมัติของ ระบบนี้ช่วยให้จัดการและดูแลบัญชีผู้ใช้ได้ง่าย ประหยัดเวลาและค่าใช้จ่ายในการดูแลระบบ
– การปฏิบัติตามกฎระเบียบที่ดีขึ้น ทำให้รับรองความสอดคล้องกฎระเบียบ/มาตรฐานได้ง่าย เช่น GDPR และ HIPAA
การใช้ระบบการจัดการข้อมูลประจำตัว
การนำแนวทางการจัดการข้อมูลประจำตัวที่มีประสิทธิภาพมาใช้ไม่ได้รับประกันความปลอดภัยอย่างสมบูรณ์ แต่การนำหลักการต่อไปนี้มาใช้จะทำให้เราลดความเสี่ยงต่อการถูกละเมิดและโจมตีจากผู้ไม่ประสงค์ โดยมีเคล็ดลับบางประการดังนี้
– นำวิธีการตรวจสอบสิทธิ์ที่เข้มงวดมาใช้ เช่น การตรวจสอบสิทธิ์หลายปัจจัยเพื่อลดความเสี่ยงในการเข้าถึงโดยไม่ได้รับอนุญาต
– ตรวจสอบนโยบายการควบคุมการเข้าถึงเป็นประจำ เพื่อให้มั่นใจว่าผู้ใช้ที่ได้รับอนุญาตเท่านั้นที่มีสิทธิ์เข้าถึงข้อมูล
– ตรวจสอบสิทธิ์การเข้าถึงข้อมูลและทรัพยากรอันละเอียดอ่อน เพื่อตรวจจับและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
– อัปเดตบัญชีผู้ใช้บ่อยๆ เพื่อให้มั่นใจว่ายังคงมีความเกี่ยวข้องและถูกต้องอยู่เสมอ
– นำแนวทางการจัดการรหัสผ่านมาใช้เพื่อลดความเสี่ยงของเหตุการณ์ที่เกี่ยวข้องกับความปลอดภัย เช่น การใช้รหัสผ่านซ้ำหรือการขโมยรหัสผ่าน รวมทั้งความสำคัญของการปฏิบัติตามข้อกำหนด
หากกระบวนการจัดการข้อมูลประจำตัวและการเข้าถึงไม่ได้รับการควบคุมอย่างมีประสิทธิภาพ เราอาจไม่ปฏิบัติตามมาตรฐานอุตสาหกรรมหรือระเบียบข้อบังคับของรัฐบาล อย่าลืมว่าโลกกำลังมุ่งหน้าสู่ระเบียบข้อบังคับและมาตรฐานที่เข้มงวดยิ่งขึ้นสำหรับการจัดการข้อมูลประจำตัว เช่น GDPR ของสหภาพยุโรป (ซึ่งต้องได้รับความยินยอมอย่างชัดเจนจากผู้ใช้ในการรวบรวมข้อมูล) และ NIST 800-63 Digital Identity Guidelines ของสหรัฐอเมริกา
มีโปรโตคอลหลายตัวที่รองรับนโยบายการจัดการข้อมูลประจำตัวโดยสามารถรักษาความปลอดภัยข้อมูลและรับรองความสมบูรณ์ของข้อมูลระหว่างการถ่ายโอน โปรโตคอลการจัดการข้อมูลประจำตัวและการเข้าถึงเหล่านี้เรียกกันทั่วไปว่า “Authentication, Authorization, Accounting” (AAA) ซึ่งมอบมาตรฐานความปลอดภัยเพื่อลดความซับซ้อนในการจัดการการเข้าถึง ช่วยให้ปฏิบัติตามข้อกำหนด และสร้างระบบที่เป็นมาตรฐานเดียวกันสำหรับการจัดการการโต้ตอบระหว่างผู้ใช้และระบบ เช่น ISO/IEC 27001 Information security management systems, ISO/IEC 24760-1 IT security and privacy – A framework for identity management, ISO/IEC 27018 Protection of personally identifiable information (PII) in public clouds acting as PII processors
แม้ว่าการปฏิบัติตามมาตรฐานไอเอสโอจะไม่ใช่ข้อกำหนดทางกฎหมาย แต่ก็สอดคล้องกับกฎระเบียบของภาคส่วนต่างๆ การปฏิบัติตามมาตรฐานไอเอสโอสำหรับการรักษาความปลอดภัยข้อมูลจึงสามารถป้องกันไม่ให้องค์กรประสบปัญหาทางกฎหมายเกี่ยวกับประเด็นสำคัญในการจัดการข้อมูลประจำตัว การปฏิบัติตามมาตรฐานดังกล่าวมีพื้นฐานอยู่บนการแบ่งแยกหน้าที่และนโยบาย “ผู้ใช้หนึ่งราย มีรหัสประจำตัวเพียงหนึ่งเดียว” ซึ่งแสดงว่าข้อมูลได้รับการควบคุมอย่างเหมาะสม
การจัดการข้อมูลประจำตัวขั้นสูง
ข้อกำหนดด้านการปฏิบัติตามมาตรฐานและการรักษาความปลอดภัยที่ซับซ้อนทำให้องค์กรต่างๆ ต้องเผชิญกับแรงกดดันมากขึ้นกว่าเดิมในการปกป้องข้อมูลของตน และท้าทายวิธีการแบบเดิมในการจัดการข้อมูลประจำตัวของผู้ใช้ เมื่อครึ่งทศวรรษที่แล้ว รหัสผ่านนั้นใกล้เคียงกับข้อมูลประจำตัวดิจิทัลมาก แต่แนวทางการพิสูจน์ตัวตนสมัยใหม่ต้องการมากกว่าแค่รหัสผ่าน การนำระบบคลาวด์คอมพิวติ้งมาใช้กันอย่างแพร่หลาย ซึ่งมีความยืดหยุ่นและปรับขนาดได้ ทำให้ระบบนี้กลายเป็นทางเลือกที่น่าสนใจสำหรับองค์กรส่วนใหญ่ ส่งผลให้ความปลอดภัยของข้อมูลต้องเพิ่มขึ้นไปอีกขั้น
ปัจจุบัน การเข้าสู่ระบบโดยไม่ต้องใช้รหัสผ่านโดยใช้ระบบไบโอเมตริกซ์หรือการพิสูจน์ตัวตนแบบหลายปัจจัยเป็นอีกทาง เลือกสำหรับการพิสูจน์ตัวตนแบบเดิม แต่แค่นั้นยังไม่เพียงพอ เมื่อพูดถึงการรักษาความปลอดภัยข้อมูลในสภาพแวดล้อมแบบมัลติคลาวด์ ผู้เชี่ยวชาญด้านไอทีมองว่าการเข้ารหัสถือเป็นการควบคุมความปลอดภัยที่สำคัญ ในขณะที่การจัดเก็บข้อมูลประจำตัวบนบล็อคเชนได้กลายมาเป็นโซลูชันที่สามารถบันทึกโดยไม่อาจเปลี่ยนแปลงซึ่งไม่ต้องใช้อำนาจส่วนกลางในการจัดการข้อมูล ในอนาคต ระบบพิสูจน์ตัวตนที่ใช้บล็อคเชนอาจกลายเป็นบรรทัดฐานในการรักษาความปลอดภัยข้อมูลของผู้ใช้ก็เป็นได้
ท่านที่สนใจองค์ความรู้หรือบริการรับรองมาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ สามารถสอบถามข้อมูลเพิ่มเติมได้ที่ฝ่ายรับรองระบบ โทรศัพท์ 026171723 – 36 หรือ Email: [email protected]
ที่มา: https://www.iso.org/information-security/identity-management
1,585 ผู้เข้าชมทั้งหมด
