ปกป้องข้อมูลองค์กรด้วยมาตรฐานไอเอสโอ ตอนที่ 1

ปัจจุบัน องค์กรมักจะพบการละเมิดความปลอดภัยได้มากขึ้น เช่น การโจมตี SolarWinds  และการโจมตี T-Mobile  ซึ่งเตือนใจเราว่าอาจมีใครขโมยข้อมูลประจำตัวองค์กรของเราและใช้ข้อมูลนี้เพื่อเข้าถึงทรัพย์สินสำคัญโดยไม่ได้รับอนุญาต  ทำให้ทรัพยากรที่สำคัญของธุรกิจอาจตกอยู่ในอันตรายได้หากไม่มีการปกป้องเกี่ยวกับการเข้าถึง และการละเมิดข้อมูลก็เกิดขึ้นแทบทุกวันพร้อมกันมากมายหลายมากแห่งเสียด้วย

การจัดการข้อมูลประจำตัวเป็นสิ่งที่ต้องรู้
การจัดการข้อมูลประจำตัวคือกระบวนการจัดการข้อมูลประจำตัวของผู้ใช้และสิทธิ์การเข้าถึงในลักษณะรวมศูนย์ ซึ่งเกี่ยวข้องกับการบันทึกและควบคุมข้อมูลประจำตัวภายในองค์กรและการบังคับใช้หลักการกำกับดูแลข้อมูลประจำตัว กล่าวง่ายๆ คือ ข้อมูลประจำตัวออนไลน์ของเราก็คือโปรไฟล์ที่ระบุตัวตนของเราเมื่อใช้เครือข่าย ในขณะที่การเข้าถึงของเราหมายถึงสิทธิ์ที่เรามีเมื่อเราเข้าสู่ระบบแล้ว เมื่อรวมทั้งสองอย่างเข้าด้วยกันแล้ว ถือว่าเป็นส่วนสำคัญในการโต้ตอบกับเทคโนโลยีของเรา ซึ่งทำให้คอมพิวเตอร์รู้ว่านี่ไม่ใช่คนอื่นที่พยายามเข้าสู่ระบบแต่คือเราซึ่งเป็นเจ้าของข้อมูลนี้เอง

ปฏิบัติการจัดการข้อมูลประจำตัว
การจัดการข้อมูลประจำตัวและการเข้าถึง หรือ IAM (Identity and Access Management) อนุญาตให้เฉพาะผู้ใช้ที่ระบุในองค์กรเท่านั้นที่สามารถเข้าถึงและจัดการข้อมูลที่ละเอียดอ่อนได้ ต่อไปนี้คือตัวอย่างบางส่วนของการจัดการข้อมูลประจำตัวในการดำเนินการ

• การสร้างและการบำรุงรักษาข้อมูลประจำตัว การสร้างเวิร์กโฟลว์อัตโนมัติสำหรับสถานการณ์ต่างๆ เช่น การจ้างงานใหม่หรือการเปลี่ยนบทบาท IAM จะรวมวงจรชีวิตการจัดการข้อมูลประจำตัวและการเข้าถึงของพนักงานในบริษัทไว้ที่ศูนย์กลาง ซึ่งจะช่วยปรับปรุงเวลาในการประมวลผลสำหรับการเข้าถึงและการเปลี่ยนแปลงข้อมูลประจำตัว และลดข้อผิดพลาด
• การจัดการสิทธิ์ สิทธิ์ตลอดวงจรชีวิตจะถูกกำหนดให้กับบุคคลและบทบาทของบุคคลเหล่านั้น ตัวอย่างเช่น ผู้ปฏิบัติงานการผลิตสามารถดูขั้นตอนการทำงานออนไลน์ได้ แต่ไม่ได้รับอนุญาตให้แก้ไข ในทางกลับกัน หัวหน้างานจะมีอำนาจไม่เพียงแค่ดูเท่านั้น แต่ยังสามารถแก้ไขไฟล์หรือสร้างไฟล์ใหม่ได้อีกด้วย
• การพิสูจน์ตัวตน ข้อมูลประจำตัวเป็นหัวใจสำคัญของการกระทำในชีวิตประจำวันของพลเมือง เมื่อรัฐได้นำทะเบียนราษฎร์มาใช้  IAM จะช่วยให้รัฐบาลสามารถให้สิทธิ์แก่บุคคลในการเข้าถึงข้อมูลของตน (ใบสูติบัตร ใบขับขี่ เป็นต้น) และพิสูจน์ตัวตนได้
• การควบคุมการเข้าถึงตามบทบาท ระบบการจัดการข้อมูลประจำตัวและการเข้าถึงจำนวนหนึ่งใช้การควบคุมการเข้าถึงตามบทบาท หรือ RBAC (Role-Based Access Control) ภายใต้แนวทางนี้ จะมีบทบาทงานที่กำหนดไว้ล่วงหน้าพร้อมชุดสิทธิ์การเข้าถึงที่เฉพาะเจาะจง

คุณสมบัติทั่วไปของการจัดการข้อมูลประจำตัว
ซอฟต์แวร์การจัดการข้อมูลประจำตัวมีรูปแบบต่างๆ มากมายในตลาด และไม่มีคำจำกัดความอย่างเป็นทางการว่าซอฟต์แวร์เหล่านี้ต้องมีและต้องไม่มีอะไรบ้าง อย่างไรก็ตาม คุณสมบัติที่สำคัญบางประการที่โดดเด่นมีดังต่อไปนี้

• การลงชื่อเข้าใช้ครั้งเดียว (SSO) วิธีนี้ผู้ใช้สามารถเข้าถึงแอปพลิเคชันและบริการต่างๆ จากตำแหน่งเดียวได้ โดยไม่ต้องมีชื่อผู้ใช้และรหัสผ่านที่แตกต่างกัน
• การพิสูจน์ตัวตนแบบสองปัจจัย (Two-factor authentication) วิธีนี้เกี่ยวข้องกับการยืนยันตัวตนของบุคคล ไม่ใช่แค่ด้วยชื่อผู้ใช้และรหัสผ่านเท่านั้น แต่ยังรวมถึงข้อมูลอื่นๆ เช่น PIN หรือโทเค็นด้วย

คุณสมบัติอื่นๆ ของการจัดการข้อมูลประจำตัวอาจรวมถึงการจัดเตรียมบัญชีผู้ใช้โดยอัตโนมัติ การจัดการรหัสผ่าน เวิร์กโฟลว์ และบริการการปฏิบัติตามข้อกำหนดและการตรวจสอบ ในช่วงไม่กี่ปีที่ผ่านมา เทคโนโลยีการจัดการข้อมูลประจำตัวรุ่นใหม่ได้ถือกำเนิดขึ้น โดยเน้นที่ความสะดวกในการใช้งานนอกเหนือจากความปลอดภัย ตัวอย่างบางส่วน ได้แก่ การพิสูจน์ตัวตนด้วยข้อมูลชีวภาพ (เช่น ลายนิ้วมือหรือการจดจำใบหน้า) การพิสูจน์ตัวตนแบบหลายปัจจัย (ต้องมีปัจจัยการยืนยันหลายปัจจัย) และการรวมข้อมูลประจำตัว โดยที่ความรับผิดชอบในการพิสูจน์ตัวตนของบุคคลหรือหน่วยงานจะถูกมอบหมายให้กับบุคคลภายนอกที่เชื่อถือได้

SSO เป็นส่วนสำคัญของการจัดการข้อมูลประจำตัวแบบรวม คุณสมบัติหลักเหล่านี้ของการจัดการข้อมูลประจำตัวนั้นพบได้ในระบบการจัดการข้อมูลประจำตัว (IMS) เกือบทั้งหมดในปัจจุบัน IMS เป็นแพลตฟอร์มออนไลน์ที่ช่วยให้องค์กรต่างๆ จัดการข้อมูลประจำตัวต่างๆ ในลักษณะที่ปลอดภัยและมีประสิทธิภาพ โดยบูรณาการเข้ากับระบบอื่นๆ ภายในองค์กร เช่น ระบบทรัพยากรบุคคล แพลตฟอร์มอีคอมเมิร์ซ และซอฟต์แวร์บัญชี

ในยุคดิจิทัลเช่นนี้ การจัดการข้อมูลประจำตัวมีความสำคัญอย่างยิ่งสำหรับการปกป้องทรัพยากรทางธุรกิจที่สำคัญและป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต องค์กรต่างๆ สามารถกำหนดมาตรการรักษาความปลอดภัยที่เข้มแข็ง ปรับปรุงกระบวนการ และรับรองความสอดคล้องตามมาตรฐานสากลได้โดยการนำโซลูชัน IAM ที่มีประสิทธิภาพมาใช้ในขณะที่เทคโนโลยียังคงพัฒนาอย่างต่อเนื่อง ธุรกิจต่างๆ จึงจำเป็นต้องก้าวทันการจัดการข้อมูลประจำตัวล่าสุดและแนวทางปฏิบัติที่ดีที่สุดเพื่อปกป้องทรัพย์สินที่มีค่าของตน เช่น การนำมาตรฐานสากลไปใช้ในการจัดการ  แต่ก่อนที่จะกล่าวถึงมาตรฐานไอเอสโอที่เกี่ยวข้อง มีเรื่องที่น่ารู้ว่าการจัดการข้อมูลประจำตัวทำงานอย่างไรซึ่งจะกล่าวถึงในบทความครั้งต่อไป

ท่านที่สนใจองค์ความรู้หรือบริการรับรองมาตรฐานระบบการจัดการความมั่นคงปลอดภัยด้านสารสนเทศ สามารถสอบถามข้อมูลเพิ่มเติมได้ที่ฝ่ายรับรองระบบ โทรศัพท์ 026171723 – 36  หรือ Email: [email protected]

ที่มา:  https://www.iso.org/information-security/identity-management

 1,547 ผู้เข้าชมทั้งหมด