ข่าวสาร

บทบาทกรรมการกับการกำกับดูแล Data Security & Privacy

ในโลกธุรกิจวันนี้ ข้อมูลคือสินทรัพย์ที่มีมูลค่ามหาศาล ไม่ว่าจะเป็นข้อมูลลูกค้า ข้อมูลพนักงาน หรือข้อมูลเชิงกลยุทธ์ขององค์กร ล้วนเป็นปัจจัยที่สร้างความได้เปรียบในการแข่งขัน แต่ในขณะเดียวกัน ข้อมูลเหล่านี้ก็เป็นจุดอ่อนที่อาจนำมาซึ่งความเสียหายร้ายแรงได้เช่นกัน หากการบริหารจัดการไม่รัดกุมเพียงพอ

สำหรับกรรมการบริษัท บทบาทในเรื่องนี้จึงไม่ใช่แค่การรับทราบรายงานแล้วผ่านไป แต่ต้องทำหน้าที่เป็น
"ผู้ตั้งคำถาม" ที่คอยตรวจสอบว่าองค์กรมีการบริหารข้อมูลอย่างปลอดภัย โปร่งใส และรับผิดชอบจริงหรือไม่

สามมิติที่กรรมการควรให้ความสำคัญ

มิติแรก คือการกำกับดูแลเชิงนโยบาย กรรมการควรพิจารณาว่านโยบายด้านความปลอดภัยของข้อมูลและความเป็นส่วนตัวขององค์กรมีความชัดเจนแค่ไหน สอดคล้องกับทิศทางธุรกิจหรือไม่ งบประมาณที่จัดสรรให้เหมาะสมกับระดับความเสี่ยงที่แท้จริงหรือเปล่า ยกตัวอย่างเช่น บริษัทที่เก็บข้อมูลบัตรเครดิตลูกค้าหลายแสนราย ย่อมต้องลงทุนด้านระบบรักษาความปลอดภัยมากกว่าบริษัทที่ไม่ได้เก็บข้อมูลอ่อนไหวประเภทนี้ นอกจากนี้ องค์กรควรมีตัวชี้วัดที่จับต้องได้ เช่น เมื่อเกิดเหตุข้อมูลรั่วไหล ทีมงานสามารถตอบสนองได้ภายในกี่ชั่วโมง หรือในรอบปีที่ผ่านมามีเหตุการณ์ที่ข้อมูลส่วนบุคคลถูกเข้าถึงโดยไม่ได้รับอนุญาตกี่ครั้ง

มิติที่สอง คือการบริหารความเสี่ยงและการปฏิบัติตามกฎหมาย กรรมการควรทบทวนรายงานจากหน่วยตรวจสอบภายในอย่างจริงจัง หากพบข้อบกพร่อง เช่น พนักงานที่ลาออกไปแล้วยังสามารถเข้าถึงระบบได้อยู่ หรือยังไม่มีการเข้ารหัสข้อมูลสำคัญ ฝ่ายบริหารได้ดำเนินการแก้ไขหรือยัง ที่สำคัญ องค์กรมีแผนรับมือเหตุฉุกเฉินที่พร้อมใช้งานจริงหรือไม่ ลองนึกภาพว่าหากวันนี้มีข่าวว่าข้อมูลลูกค้าของบริษัทรั่วไหลออกไป ใครจะเป็นคนแถลงข่าว ใครจะติดต่อลูกค้าที่ได้รับผลกระทบ และจะดำเนินการอย่างไรภายใน 72 ชั่วโมงตามที่กฎหมายกำหนด

มิติที่สาม คือวัฒนธรรมองค์กร ประเด็นนี้มักถูกมองข้าม แต่กลับเป็นรากฐานสำคัญที่สุด พนักงานทุกระดับตระหนักหรือไม่ว่าข้อมูลประเภทใดห้ามส่งผ่านช่องทางที่ไม่ปลอดภัย เช่น การส่งไฟล์ข้อมูลลูกค้าผ่าน LINE ส่วนตัว หรือการเปิดไฟล์แนบจากอีเมลที่ไม่รู้จักโดยไม่ระวัง ผู้บริหารระดับสูงให้ความสำคัญกับเรื่องนี้มากน้อยเพียงใด เพราะหากผู้บริหารเองยังขอให้ IT "เปิดช่องพิเศษ" ให้เข้าถึงข้อมูลได้สะดวกโดยไม่ผ่านขั้นตอนปกติ ก็ยากที่จะคาดหวังให้พนักงานปฏิบัติตามกฎอย่างเคร่งครัด

หัวใจสำคัญไม่ใช่ความเชี่ยวชาญด้านเทคนิค แต่คือการตั้งคำถามที่ถูกต้อง

กรรมการอาจไม่ได้คลุกคลีกับรายละเอียดทางเทคนิคในแต่ละวัน แต่สิ่งที่ทำได้และมีคุณค่าอย่างยิ่งคือการมองภาพรวมและตั้งคำถามที่ช่วยให้ฝ่ายบริหารต้องกลับไปทบทวน องค์กรที่มีระบบควบคุมภายในที่แข็งแรงและพร้อมรับมือกับภัยคุกคามที่เปลี่ยนแปลงอยู่ตลอดเวลา ย่อมเกิดจากการกำกับดูแลที่ไม่ปล่อยผ่าน เพราะหากเกิดเหตุข้อมูลรั่วไหล ความเสียหายไม่ได้จำกัดอยู่แค่ตัวเลขทางการเงิน แต่รวมถึงชื่อเสียงและความเชื่อมั่นที่สั่งสมมายาวนาน ซึ่งเป็นสิ่งที่กู้คืนได้ยากกว่ามาก

บริษัท ตรวจสอบภายในธรรมนิติ จำกัด ให้บริการงานตรวจสอบ ครอบคลุมทั้งงานตรวจสอบภายใน (Internal Audit)
การประเมินระบบควบคุมภายใน งานตรวจสอบด้าน IT รวมถึงบริการสอบทานมาตรการต่อต้านการทุจริต (CAC)
หากองค์กรของท่านต้องการผู้เชี่ยวชาญที่จะช่วยยกระดับระบบการควบคุมภายในให้แข็งแกร่งและพร้อมรับมือกับความเสี่ยงยุคใหม่ สามารถติดต่อเราได้ที่ โทร. 02-596-0500 หรือเยี่ยมชมเว็บไซต์ www.dir.co.th

ผู้เขียน: ฝ่ายตรวจสอบเทคโนโลยีสารสนเทศ