3 เหตุผลทำไมถึงต้องประเมินความเสี่ยงด้านความมั่นคงปลอดภัยบบน Cloud โดยเร็วที่สุด

จากช่วง COVID-19 ที่ทำให้องค์กรเกือบทั้งหมดต้องเปลี่ยนวิถีการทำงานไปสู่รูปแบบของความปกติใหม่หรือ New Normal โดยเฉพาะอย่างยิ่งการทำงานแบบ Work from Home และเพื่อให้การทำงานจากภายนอกสถานที่มีความสะดวกและมีประสิทธิภาพ พนักงานสามารถเข้าถึงบริการและข้อมูลของบริษัทจากที่ไหนก็ได้ หลายองค์กรจัดหันไปใช้ระบบ Cloud มากขึ้น

อย่างไรก็ตาม จากสถานการณ์ที่เหมือนบังคับให้องค์กรต้องรีบทำ Cloud Transformation โดยไม่ได้เตรียมการมาเป็นอย่างดี ย่อมทำให้ขาดความเข้าใจด้านภัยคุกคามและการรักษาความมั่นคงปลอดภัยบน Cloud ซึ่งใช้โมเดล “การรับผิดชอบร่วมกัน (Shared Responsibility)” ส่งผลให้ระบบ Cloud ของตนตกอยู่ในความเสี่ยง ทั้งอันเนื่องมาจากอาชญากรไซเบอร์ที่มุ่งเน้นโจมตีระบบ Cloud ตามความนิยมที่เพิ่มมากขึ้น และจากความผิดพลาดในการตั้งค่า (Misconfiguration) โดยตัวผู้ดูแลระบบเอง ส่งให้เกิดเหตุรายงานข้อมูลรั่วหรือถูกขโมยดังที่ปรากฎในข่าวเรื่อยมา ดังที่ Gartner คาดการณ์ว่า ร้อยละ 95 ของปัญหาด้านความมั่นคงปลอดภัยบน Cloud มีสาเหตุมาจากความผิดพลาดของผู้ใช้เอง

ดังนั้นแล้ว เพื่อให้มั่นใจว่าระบบ Cloud ที่ใช้งานอยู่มีการปิดช่องโหว่ด้านความมั่นคงปลอดภัยและข้อมูลสำคัญขององค์กรได้รับการปกป้อง องค์กรที่ใช้บริการระบบ Cloud จึงควรทำการประเมินความเสี่ยงด้านความมั่นคงปลอดภัยอย่างถี่ถ้วน เนื่องจาก

1. เราไม่สามารถทราบได้ว่าอะไรจะเกิดขึ้นถ้าเราไม่ทราบว่ามีอะไรอยู่บน Cloud – หลายองค์กรทั่วโลก แม้แต่องค์กรชั้นนำ อาจจะไม่ได้ตระหนักว่าองค์กรของตนมีข้อมูลอะไรบ้างที่อยู่บนแพลตฟอร์มระบบ Cloud ถ้าเราไม่ทราบว่าเราจะสูญเสียอะไรไป ก็เป็นไปไม่ได้ที่จะวางมาตรการควบคุมให้สอดคล้องกับความจำเป็นที่จะต้องปกป้องสิ่งเหล่านั้น

2. ปฏิบัติตามมาตรฐานและข้อบังคับ – พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ประกาศบังคับใช้แล้ว ในขณะที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลของไทยแม้จะเลื่อนออกไป แต่ก็จะเริ่มบังคับใช้เร็วๆ นี้ (พฤษภาคมปีหน้า) ซึ่งกฎหมายทั้ง 2 ฉบับนี้ต่างมีเนื้อหาให้แต่ละองค์กรต้องมีมาตรการควบคุมสำหรับรักษาความมั่นคงปลอดภัยและปกป้องข้อมูลบน Cloud

3. ป้องกันข้อมูลรั่วจากภายใน – เราอาจจะเชื่อมั่นในลูกน้องของเราเสมือนเป็นคนในครอบครัวเดียวกัน แต่นั่นก็ไม่ได้หมายความว่าพวกเขาเหล่านั้นจะต้องเข้าถึงข้อมูลสำคัญขององค์กรได้ทั้งหมด การประเมินความเสี่ยงที่มีการตรวจสอบโมเดลการพิสูจน์ตัวตนจะช่วยให้เราสามารถระบุได้ว่าใครมีสิทธิ์เข้าถึงข้อมูลไหน และทำอะไรกับข้อมูลเหล่านั้นได้บ้าง

ที่มา: https://cloudcomputing-news.net/news/2020/apr/30/three-reasons-to-perform-your-cloud-security-risk-assessment-asap/