GeneralSecurity News

An Information Security Survival Guide

អង្គភាពភាគច្រើន មើលឃើញសន្តិសុខព័ត៌មានគឺជាមុខងារមួយដែលត្រូវបានបំពេញដោយបុគ្គលពីរបីនាក់ ឬក៏នាយកដ្ឋានមួយ។ ប៉ុន្តែជាមួយនឹងកំហុសឆ្គងដែលបង្កើតឡើងដោយមនុស្សនៅតែបន្តជាកត្តាមួយដែលបណ្តាលឲ្យមានការលួចទិន្នន័យ (data breaches) វាបានក្លាយជាការសំខាន់ណាស់ក្នុងការបង្កើតវប្បធម៌សហគ្រាសមួយដែលត្រូវមើលថា សន្តិសុខព័ត៌មានគឺជាគឺការទទួលខុសត្រូវរួមគ្នា (share responsibility) នៅក្នុងចំណោមបុគ្គលិកទាំងអស់។

ការលួចទិន្នន័យអាចបណ្តាលឲ្យមានការបាត់បង់ផ្នែកហិរញ្ញវត្ថុ ផ្លូវច្បាប់ និងខូចខាតទៅដល់កេរ្តឈ្មោះអាជីវកម្ម។ នៅពេលដែលការការពារទិន្នន័យគឺជាអាទិភាព និងធ្វើបានល្អនោះ វានឹងផ្តល់ឲ្យនូវប្រតិបត្តិការមួយដែលត្រឹមត្រូវ បង្កើនអតិថិជន និងបង្កើតទំនុកចិត្តពីម្ចាស់ភាគហ៊ុន ព្រមជាមួយនឹងហានិភ័យទាបបំផុតនៃការក្លែងបន្លំ និងការលួចទិន្នន័យ។ យន្តការមួយនៃការកាត់បន្ថយនូវហានិភ័យគឺការបង្កើតនូវកម្មវិធីបណ្តុះបណ្តាលជាប្រចាំទៅដល់បុគ្គលិកទាំងអស់។

បើតាមការស្ទាបស្ទង់មតិសន្តិសុខព័ត៌មាន Shred-it’s 2016 Security Tracker UK បានឲ្យដឹងថាក្រុមហ៊ុននានារបស់ UK មិនបានដាក់ការបណ្តុះបណ្តាលធ្វើជាអាទិភាពឡើយនៅក្នុងការប្រយុទ្ធប្រឆាំងការក្លែងបន្លំ និងការលួចទិន្នន័យ ។ ៨៧ភាគរយនៃម្ចាស់អាជីវកម្មខ្នាតតូច និងច្រើនជាង ៥៨ភាគរយ នៃថ្នាក់ដឹកនាំ C-Suites បាននិយាយថា ខ្លួនគ្រាន់តែបានធ្វើការបណ្តុះបណ្តាលបុគ្គលិករបស់ខ្លួនពាក់ព័ន្ធទៅលើគោលនយោបាយសន្តិសុខព័ត៌មានរបស់ក្រុមហ៊ុនតែប៉ុណ្ណោះហើយក្នុងមួយឆ្នាំម្តង ឬតិចជាងនេះ។ បន្ថែមទៅលើនេះផងដែរ ៦៦ភាគរយនៃអាជីវកម្មខ្នាតតូចរបស់ UK និង១៣ភាគរយនៃថ្នាក់ដឹកនាំ C-Suite បានផ្តល់ការបណ្តុះបណ្តាលនេះតាមការរៀបចំភ្លាមៗ (adhoc) ឬមិនតែម្តង។

អ្នកជំនាញការបានស្នើដែលថា បុគ្គលិកប្រហែលជាភ្លេចអស់ ៥០ភាគរយ នៃមេរៀនដែលបានរៀនក្នុងរយៈពេល ១ម៉ោង, ៧០ភាគរយក្នុងរយៈពេល ២៤ម៉ោង និងជាមធ្យមភាគ ៩០ភាគរយក្នុងរយៈពេល ១សប្តាហ៍។ នៅពេលដែលអ្នកគិតត្រង់ចំនុចនេះ វាកាន់តែបង្ហាញយើងច្បាស់ថា ការបណ្តុះបណ្តាលក្នុងរយៈពេលមួយឆ្នាំម្តង ឬតាមលក្ខណៈចាំបាច់ភា្លមៗ (adhoc) គឺមិនគ្រប់គ្រាន់ឡើយដើម្បីប្រាកដថាបុគ្គលិកយល់បានច្បាស់អំពីការទទួលខុសត្រូវរបស់ខ្លួន។

ការបណ្តុះបណ្តាលដ៏ត្រឹមត្រូវនឹងផ្តល់ឲ្យបុគ្គលិកនូវចំណេះដឹង និងជំនាញដើម្បីការពារអង្គភាពរបស់អ្នកចេញពីហានិភ័យធ្ងន់ធ្ងរ ដូចជា theft, fraud, data loss និង reputation damage ។ បើសិនជាយើងអាចធ្វើបានដូច្នេះ វានឹងផ្តល់ឲ្យយើងឈរនៅក្នុងទីតាំងមួយដ៏ប្រសើរក្នុងការការពារអតិថិជន, បុគ្គលិក, និងទិន្នន័យអាជីវកម្ម។ បន្ថែមជាមួយគ្នានោះ ជាមួយនឹងការបំពេញតាមអនុលោមភាពដែលដាក់ចេញដោយរដ្ឋាភិបាល វានឹងធ្វើការបណ្តុះបណ្តាលនេះ រឹតតែមានសារៈសំខាន់ ។

ខាងក្រោមនេះគឺជាយន្តការមួយចំនួនដែលអាចជួយធ្វើឲ្យប្រសើរឡើងនូវការយល់ដឹងរបស់បុគ្គលិកស្តីអំពីគោលនយោបាយសន្តិសុខព័ត៌មាននិងការអនុវត្តល្អៗ។

១. ការតាំងចិត្តឲ្យមានវប្បធម៌សន្តិសុខព័ត៌មាន (Commit to a Culture of Information Security)
នៅពេលដែលថ្នាក់ដឹកនាំបង្ហាញឲ្យឃើញនូវការតាំងចិត្តខ្ពស់ទៅលើសន្តិសុខព័ត៌មាន នោះបុគ្គលិកទាំងអស់នឹងទៅតាម។ បើសិនជាថ្នាក់គ្រប់គ្រងមិនបានយកចិត្ត ទុកដាក់ទៅលើគោលនយោបាយនោះទេ បុគ្គលិកគឺមិនយកចិត្តទុកដាក់ផងដែរ។ ដើម្បីជម្រុញការចូលរួមពីគ្រប់ផ្នែកនៅក្នុងអាជីវកម្ម សូមពិចារណាក្នុងការចាត់តាំងបុគ្គលិកដែលយកចេញពីនាយកដ្ឋាននានាទៅចូលរួមក្នុងគណៈកម្មការដែលផ្តោតទៅលើការធ្វើឲ្យប្រសើរឡើងផ្នែកសន្តិសុខព័ត៌មាន។

២. ការធ្វើសារចុះសារឡើងគឺជាកូនសោរ ​(Repetition and Frequency is Key)
ការបណ្តុះបណ្តាលសារចុះសារឡើងឲ្យបានញឹកញាប់គឺជាកូនសោរនៃភាពជោគជ័យរបស់កម្មវិធីបណ្តុះបណ្តាលនោះ ដែលវានឹងជួយឲ្យអាជីវកម្មរបស់អ្នកស្ថិតក្នុង សភាពមួយអាចគ្រប់គ្រងបាន, ការរក្សាទុកព័ត៌មានច្បាស់លាស់ និងកំទេចចោលនូវទិន្នន័យ។ ការបណ្តុះបណ្តាលគួរតែធ្វើឲ្យពេញមួយឆ្នាំ ហើយរួមមានប្រធានបទផ្សេងៗគ្នា។

៣. បិទផ្ទាំងយល់ដឹងអំពីសន្តិសុខព័ត៌មាន (Out of Sight, Out of Mind)
សូមបិទផ្ទាំងយល់ដឹងសំខាន់ៗអំពីសន្តិសុខព័ត៌មាននៅក្នុងការិយាល័យរបស់អ្នក ដើម្បីរំលឹកដល់បុគ្គលិកអំពីការទទួលខុសត្រូវរបស់ខ្លួននៅក្នុងការការពារព័ត៌មានសំខាន់ៗ​ (confidential) ។

៤.​​ ទៅដល់ទីណាដែលបុគ្គលិកអ្នកទៅ ​(Go Where Your Employees Are)
មានបុគ្គលិកជាច្រើនគឺកំពុងធ្វើការនៅខាងក្រៅការិយាល័យរបស់ខ្លួន ។ ការបណ្តុះបណ្តាលគួរតែផ្តោតទៅលើការទ្រទ្រង់ព័ត៌មានសំខាន់ៗទាំងក្នុងការិយាល័យ និងពីចម្ងាយ ។ សូមប្រាកដដែរថា internal newsletters, intranet news feeds, employee និង corporate social media accounts ផ្តល់នូវការរំលឹកដល់បុគ្គលិកអំពីទម្រង់ផ្សេងៗគ្នានៃសន្តិសុខព័ត៌មាន។

៤. បង្កប់វា ​(Embed It)
សូមបង្កប់នូវការអនុវត្តល្អអំពីសន្តិសុខព័ត៌មានទៅក្នុងសកម្មភាពសាមញ្ញធម្មតារាល់ថ្ងៃ ដូចជាការអនុវត្តនូវគោលការណ៍ “កាត់ឯកសារចោលទាំងអស់ (Shred-it all)” សម្រាប់រាល់ឯកសារទាំងឡាយណាក៏ដោយ ត្រូវតែកិនចោលនៅពេលដែលមិនត្រូវការ និងគោលនយោបាយ “តុស្អាត (Clean Desk)” ដែលជម្រុញឲ្យបុគ្គលិកទាំងអស់សំអាតតុធ្វើការរបស់ខ្លួន និងចាក់សោរទូរផងដែរនៅពេលបញ្ចប់ការងារ៕

Show More

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Check Also
Close
Back to top button