COMMENTARY
ในปี 2023 กฎระเบียบและกฎหมายความเป็นส่วนตัวของข้อมูลที่สำคัญได้มีการเปิดเผยในระดับรัฐบาลกลาง รัฐ และระดับนานาชาติ คณะกรรมาธิการการค้าแห่งสหพันธรัฐแห่งสหรัฐอเมริกาใช้แนวทางที่ครอบคลุมในการปกป้องสุขภาพ ข้อมูลไบโอเมตริก และข้อมูลเด็ก เจ็ดรัฐของสหรัฐอเมริกาประกาศใช้กฎหมายความเป็นส่วนตัว และคณะกรรมาธิการยุโรปได้รับรอง กรอบความเป็นส่วนตัวของข้อมูลในสหภาพยุโรปและสหรัฐอเมริกา เพื่อควบคุมการไหลของข้อมูลจากสหภาพยุโรปไปยังสหรัฐอเมริกา
เพื่อให้เป็นไปตามมาตรฐานเหล่านี้ องค์กรต่างๆ จะต้อง ประเมินนโยบายความเป็นส่วนตัวของข้อมูล และปรับปรุงความปลอดภัยตามความจำเป็น ซึ่งรวมถึงการตรวจสอบกลยุทธ์การจัดเก็บข้อมูล การรักษาความปลอดภัยการเข้าถึงเครือข่ายภายนอก และการปรับใช้เทคนิคการรักษาความปลอดภัยของชั้นข้อมูล
ทบทวนกลยุทธ์การจัดเก็บข้อมูล
กลยุทธ์การจัดเก็บข้อมูลที่แข็งแกร่งเกี่ยวข้องกับองค์ประกอบหลักสองประการ: การเก็บรักษาข้อมูลและการควบคุมการเข้าถึง องค์กรควรกำหนดนโยบายการเก็บรักษาข้อมูลที่จัดเก็บข้อมูลในระยะเวลาที่สั้นที่สุดเท่าที่จะเป็นไปได้: เก็บรักษาข้อมูลตราบเท่าที่จำเป็นตามกฎหมายเท่านั้น แล้วทิ้งอย่างปลอดภัย
แม้ว่าหลายองค์กรเลือกที่จะเก็บข้อมูลอันมีค่าไว้โดยไม่มีกำหนด แต่สิ่งสำคัญคือต้องพิจารณาว่าข้อมูลใดควรถูกกำจัดเมื่อระยะเวลาการเก็บรักษาสิ้นสุดลง ข้อมูลที่ไม่สำคัญหรือล้าสมัยซึ่งไม่มีจุดประสงค์ควรถูกละทิ้งเพื่อรักษาข้อมูลอย่างมีประสิทธิภาพและลดความยุ่งเหยิงของระบบจัดเก็บข้อมูล
ในการจัดการการเก็บรักษาข้อมูลอย่างมีประสิทธิภาพ ให้ถามตัวเองว่าจำเป็นต้องเก็บข้อมูลเฉพาะเจาะจงหรือไม่ และควรปิดบังข้อมูลเพื่อเพิ่มประสิทธิภาพการรักษาความปลอดภัยหรือไม่ (แม้ว่าจะไม่ได้กำหนดไว้ตามกฎหมายก็ตาม) การตอบคำถามเหล่านี้จะช่วยระบุและกำจัดข้อมูลที่ล้าสมัยหรือซ้ำซ้อน ป้องกันข้อมูลเชิงลึกที่ผิดพลาดซึ่งอาจนำไปสู่การตัดสินใจที่มีอคติ การตรวจสอบข้อมูลที่เก็บไว้เป็นประจำสามารถช่วยให้คุณรักษาหลักปฏิบัติในการเก็บรักษาข้อมูลที่มีความรับผิดชอบได้
การควบคุมวิธีการเข้าถึงข้อมูลและโดยใครก็มีความสำคัญพอๆ กับวิธีการจัดเก็บข้อมูล เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต ให้ใช้แนวทางปฏิบัติที่ดีที่สุดต่อไปนี้:
-
บังคับใช้การควบคุมการเข้าถึงตามบทบาทเพื่อระบุ ตรวจสอบ และอนุญาตผู้ใช้ตามระดับการเข้าถึงขององค์กร
-
ตรวจสอบและบันทึกการเข้าถึงข้อมูล ติดตามว่าใครเข้าถึงข้อมูลใดและเมื่อใด
-
ปฏิบัติตามนโยบายรหัสผ่านที่รัดกุมและรับรองว่าผู้ใช้จะไม่เปิดเผยข้อมูลประจำตัว
-
ใช้การเข้าถึงที่ได้รับสิทธิพิเศษน้อยที่สุดและทันเวลาพอดี
-
เพิกถอนการอนุญาตผู้ใช้โดยอัตโนมัติหลังจากเสร็จสิ้นงาน
องค์กรต้องประเมินกลยุทธ์การจัดเก็บข้อมูลอย่างต่อเนื่องเพื่อรักษาความสมบูรณ์และความปลอดภัยของข้อมูลที่จัดเก็บ การสร้างความสมดุลระหว่างความจำเป็นในการเก็บรักษาข้อมูลด้วยการควบคุมการเข้าถึงที่เข้มงวดจะช่วยปกป้องข้อมูลที่ละเอียดอ่อนและส่งเสริมความไว้วางใจและความน่าเชื่อถือในการจัดการข้อมูล
การเข้าถึงเครือข่ายภายนอกอย่างปลอดภัย
องค์กรต่างๆ มักจำเป็นต้องให้สิทธิ์การเข้าถึงข้อมูลแก่ผลิตภัณฑ์ซอฟต์แวร์ as-a-service (SaaS) ต่างๆ เพื่อปรับปรุงการประมวลผลและการวิเคราะห์ข้อมูลเพื่อการตัดสินใจอย่างมีข้อมูล อย่างไรก็ตาม บางคนอาจลังเลที่จะทำเช่นนั้นเนื่องจากความกังวลเรื่องความปลอดภัยของข้อมูล เพื่อให้เป็นไปตามมาตรฐานความปลอดภัยและการปฏิบัติตามข้อกำหนด องค์กรต่างๆ ต้องการทั้งการควบคุมข้อมูลของตนอย่างสมบูรณ์และวิธีการที่ปลอดภัยในการอนุญาตให้เข้าถึงเครือข่ายของตน
เพื่อแก้ไขปัญหานี้ สถาปัตยกรรมที่เรียกว่า "นำระบบคลาวด์ของคุณเอง" (BYOC) ออกมา BYOC ช่วยให้องค์กรต่างๆ ปรับใช้ชั้นข้อมูลของชุดซอฟต์แวร์ของผู้จำหน่ายภายในสภาพแวดล้อมของตนได้ สิ่งนี้จะขจัดความจำเป็นในการส่งข้อมูลไปยังระบบคลาวด์ของผู้จำหน่ายบุคคลที่สามเพื่อการประมวลผล ช่วยลดพื้นที่การโจมตี และรักษาความปลอดภัยของข้อมูลของคุณภายใต้การควบคุมของคุณเอง ในขณะเดียวกัน ส่วนควบคุมจะจัดการบริการแบ็คเอนด์และดำเนินการภายในสภาพแวดล้อมคลาวด์ของผู้จำหน่าย เพื่อให้บรรลุถึงการรักษาความปลอดภัยระดับสูง บริษัทจึงใช้ Application Programming Interfaces (API) เพื่อสร้างการเชื่อมต่อที่ปลอดภัยกับส่วนข้อมูล BYOC
อย่างไรก็ตาม BYOC นำเสนอความท้าทายบางประการ องค์กรต่างๆ มักจะลังเลที่จะเปิดพอร์ตขาเข้าและทำการเปลี่ยนแปลงการกำหนดค่าเครือข่ายส่วนตัวเสมือน (VPN) การเพียร์ริ่งคลาวด์ส่วนตัวเสมือน (VPC) บริการลิงก์ส่วนตัว และไฟร์วอลล์เพื่อให้ผู้ขายสามารถเข้าถึงส่วนข้อมูล BYOC บนเครือข่ายของตนได้ การเปลี่ยนแปลงดังกล่าวจำเป็นต้องได้รับการตรวจสอบด้านความปลอดภัยอย่างละเอียดและการอนุมัติจากผู้มีส่วนได้ส่วนเสียต่างๆ รวมถึงทีม NetOps และ SecOps ขององค์กร ซึ่งมักจะใช้เวลาหลายสัปดาห์หรือหลายเดือนจึงจะเสร็จสมบูรณ์
เพื่อให้การเข้าถึงเครือข่ายง่ายขึ้น ผู้จำหน่ายจำเป็นต้องเชื่อมต่ออย่างปลอดภัยโดยไม่ต้องให้องค์กรเปลี่ยนการกำหนดค่าเครือข่ายใดๆ เพื่อช่วยให้บรรลุเป้าหมายนี้ พวกเขาจำเป็นต้องกำหนดการเข้าถึงชั้นข้อมูลด้วยนโยบายการตรวจสอบสิทธิ์ที่ชัดเจน รวมถึงการตรวจสอบความถูกต้อง Transport Layer Security (mTLS), ข้อจำกัดโปรโตคอลอินเทอร์เน็ต (IP), OAuth, SAML, OpenID Connect และการตรวจสอบสิทธิ์ JSON Web Token (JWT) และต้องตรวจสอบให้แน่ใจว่าองค์กรต่างๆ จำกัดการเข้าถึงเครือข่ายเฉพาะการรับส่งข้อมูลที่ได้รับอนุญาตจากสภาพแวดล้อมของตน
ใช้เทคนิคการรักษาความปลอดภัยของระนาบข้อมูล
ส่วนข้อมูลจะประมวลผลและส่งต่อแพ็กเก็ตข้อมูลภายในและระหว่างสภาพแวดล้อมคลาวด์ จัดการการส่งต่อแพ็กเก็ต การตัดสินใจกำหนดเส้นทาง และการรับส่งข้อมูลผ่านเครือข่ายได้อย่างมีประสิทธิภาพ เพื่อตอบสนองความต้องการของแอปพลิเคชันระบบคลาวด์ มาตรการรักษาความปลอดภัยที่แข็งแกร่งภายในชั้นข้อมูลมีความจำเป็นเพื่อป้องกันการละเมิดข้อมูลและการเข้าถึงโดยไม่ได้รับอนุญาต การเข้ารหัส ระบบตรวจจับการบุกรุก (IDS) และการตรวจสอบสิทธิ์ระดับแพ็กเก็ต (PLA) เป็นมาตรการรักษาความปลอดภัยหลักสามประการที่ช่วยรักษาความสมบูรณ์ของข้อมูลและการรักษาความลับในเครือข่ายคลาวด์
การเข้ารหัสลับ เป็นมาตรการรักษาความปลอดภัยหลักที่เข้ารหัสข้อมูล ทำให้เฉพาะผู้ที่มีคีย์เข้ารหัสที่ถูกต้องเท่านั้นที่สามารถเข้าถึงได้ การเข้ารหัสข้อมูลจะรักษาความลับในระหว่างการส่งข้อมูลภายในเครือข่ายคลาวด์ และป้องกันการพยายามเข้าถึงโดยไม่ได้รับอนุญาต
IDS จะตรวจสอบการรับส่งข้อมูลเครือข่ายและระบุภัยคุกคามที่อาจเกิดขึ้นโดยการวิเคราะห์รูปแบบและพฤติกรรมในกิจกรรมเครือข่ายและแจ้งเตือนผู้ดูแลระบบทันทีถึงกิจกรรมที่น่าสงสัย ในการดำเนินการนี้ สามารถใช้ลายเซ็นที่กำหนดไว้ล่วงหน้าเพื่อระบุรูปแบบที่ทราบของกิจกรรมที่เป็นอันตรายหรือการตรวจจับความผิดปกติ เพื่อระบุความเบี่ยงเบนไปจากพฤติกรรมเครือข่ายปกติ ช่วยให้ตอบสนองอย่างรวดเร็วเพื่อปกป้องข้อมูล
PLA ใช้การเข้ารหัสคีย์สาธารณะเพื่อลงนามกระแสข้อมูลขนาดใหญ่แบบดิจิทัล ทำให้โหนดในเครือข่ายสามารถตรวจสอบความถูกต้องของแพ็คเก็ตได้ แม้ว่าโหนดเหล่านั้นจะไม่มีการเชื่อมโยงความเชื่อถือที่กำหนดไว้ล่วงหน้ากับผู้ส่งก็ตาม ป้องกันความเสียหายที่อาจเกิดขึ้นกับเครือข่ายโดยการตรวจจับและทิ้งแพ็กเก็ตที่ถูกแก้ไข ล่าช้า หรือซ้ำกันอย่างรวดเร็ว
พบกับความท้าทายด้านความเป็นส่วนตัวของข้อมูล
การปฏิบัติตามการเปลี่ยนแปลงด้านกฎระเบียบจะยังคงมีความสำคัญสูงสุดสำหรับองค์กรในขณะที่กฎระเบียบเหล่านั้นมีการพัฒนา โครงการการ์ทเนอร์ ว่าภายในปี 2025 กฎระเบียบด้านความเป็นส่วนตัวจะขยายให้ครอบคลุมข้อมูลส่วนบุคคลถึง 75% ของประชากรทั่วโลก เพื่อปรับตัวให้เข้ากับภูมิทัศน์ที่เปลี่ยนแปลงไปนี้ องค์กรต่างๆ ต้องใช้มาตรการเชิงรุกเพื่อปรับปรุงความปลอดภัยของข้อมูลของตน การใช้กลยุทธ์การจัดเก็บข้อมูลที่ปลอดภัย การเสริมความแข็งแกร่งให้กับจุดเชื่อมต่อไปยังเครือข่ายภายนอก และการใช้เทคนิคการรักษาความปลอดภัยของชั้นข้อมูลสามารถทำให้พวกเขาปฏิบัติตามข้อกำหนดและพิสูจน์ความพยายามด้านความเป็นส่วนตัวของข้อมูลในอนาคต
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyber-risk/3-strategies-to-future-proof-data-privacy
