E-Signature กับ AIP
โปรแกรม Microsoft 365 (ชื่อเดิม Office 365) ถือเป็นโปรแกรมพื้นฐานที่องค์กรส่วนใหญ่มีไว้ใช้งาน เนื่องจากเป็นโปรแกรมที่รองรับการทำงานด้านเอกสารทุกรูปแบบ ทั้งโปรแกรม Microsoft Word, Microsoft Excel, PowerPoint และ Outlook อีกทั้งยังสามารถเชื่อมต่อกับระบบ Cloud ได้แบบอัตโนมัติ พร้อมบริการที่เกี่ยวข้องอีกมากมาย แน่นอนว่าการใช้งานในระดับองค์กรย่อมมีเรื่องของ ข้อยินยอมปฏิบัติ (Compliance) หรือ ข้อกฏหมายด้านข้อมูลกำกับอยู่ด้วย เพื่อช่วยองค์กรในการปฏิบัติตามกฎหมายการคุ้มครอง ‘สิทธิของข้อมูลส่วนบุคคล’ หรือ General Data Protection Regulation (GDPR) ของสหภาพยุโรป Microsoft จึงได้พัฒนาเครื่องมือที่ช่วยให้องค์กรที่ใช้งาน Microsoft 365 สามารถปฏิบัติตามข้อกำหนดต่าง ๆ ในกฎหมายคุ้มครองข้อมูลส่วนบุคคลทั้งในรูปแบบของ Structured และ Unstructured ได้อย่างสมบูรณ์แบบ โดยครอบคลุมการปฏิบัติตาม พ.ร.บ. 3 ด้าน ได้แก่
- การระบุตัวตน และกำหนดสิทธิ์การเข้าถึงข้อมูล (Identity and Access Management)
- การปกป้องและคุ้มครองข้อมูล (Information Protection)
- การป้องกันการถูกโจมตีจากภัยคุกคามทางไซเบอร์ (Threat Protection)
E-SIGNATURE กับ AIP สำหรับป้องกันการแก้ไขเอกสาร
การใช้งาน E-Signature ร่วมกับ Microsoft 365 (ชื่อเดิม Office 365) อย่าง Power Apps และ Power Automate
- จะช่วยปกป้องอีเมลจากการเข้าถึงที่ไม่ได้รับอนุญาต โดยตัวเลือก AIP
- มีการเพิ่มความปลอดภัยของ Library SharePoint ของคุณ โดยใช้ AIP ในการตั้งค่าสิทธิ์ที่เหมาะสม
- จะช่วยรักษาข้อมูลของคุณให้ปลอดภัยทั้งแบบออนไลน์ และออฟไลน์ ไฟล์ของคุณจะได้รับการปกป้อง ไม่ว่าคุณจะดูไฟล์โดยใช้ Office Online หรือ ดาวน์โหลดไฟล์ลงในคอมพิวเตอร์หรืออุปกรณ์ต่างๆ ของคุณ
- มีการผนวกรวมเข้ากับเอกสาร Office ได้อย่างราบรื่น จะช่วยปกป้องทรัพย์สินทางปัญญาขององค์กรของคุณ
- มีการนำเทมเพลตแบบกำหนดเองไปใช้ ตามความต้องการทางธุรกิจของคุณ นอกเหนือจากการใช้เทมเพลตการป้องกันเริ่มต้น
สรุป คือ เครื่องมือ Azure Information Protection (AIP) ใช้เพื่อตั้งรหัสการเข้าถึงข้อมูล รวมถึงเครื่องมือ Cloud App Security ใช้เพื่อตรวจสอบ ติดตาม และปกป้องข้อมูลที่อยู่ในระบบ Cloud ให้มีความปลอดภัยขั้นสูงมากยิ่งขึ้นนั่นเอง
ทำไม AIP ของ Microsoft จึงเป็นตัวเลือกที่ดี
ผู้ใช้ Microsoft 365 จะมี 7 ขั้นตอนปฏิบัติหลักๆ เพื่อช่วยให้การใช้เครื่องมือต่างๆ ง่ายมากยิ่งขึ้น อีกทั้งยังตรงตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล ประกอบด้วย
- ค้นหาข้อมูลส่วนบุคคลที่กระจายอยู่ในองค์กร
ระบบจะสแกนหาข้อมูลส่วนบุคคลที่กระจายอยู่ในระบบไอทีส่วนต่างๆ ขององค์กร ทั้ง File Server ซอฟต์แวร์, Office 365 รวมถึงแอปพลิเคชันบนระบบคลาวด์ ด้วย Advanced eDiscovery จากนั้นจะทำการแบ่งประเภทเอกสาร (Classify) เพื่อระบุว่าข้อมูลที่พบในไฟล์ต่างๆ นั้นเป็นข้อมูลส่วนบุคคลหรือไม่ พร้อมกำหนดความสำคัญของข้อมูล เช่น วันเดือนปีเกิด เลขบัตรประจำตัวประชาชน เป็นต้น เนื่องจากต้องกำหนด Label อัตโนมัติให้ไฟล์ๆ นั้น ว่ามีสิทธิการใช้งานระดับใด
เครื่องมือที่จำเป็นต้องใช้ : Advanced eDiscovery, Cloud App Security, Advanced Data Governance, Azure Information Protection
- Encryption ปกป้องข้อมูลที่พบด้วยการเข้ารหัส และกำหนดนโยบายรักษาความปลอดภัย
ภายหลังจากการค้นหาข้อมูลส่วนบุคคลต่างๆ พบแล้ว สิ่งที่ต้องดำเนินการขั้นต่อไป คือ ใช้ Azure Information Protection (AIP) ในการกำหนดนโยบายรักษาความปลอดภัยด้วยการเข้ารหัส (Encryption) ทั้งข้อมูลที่อยู่ในระบบเครื่องคอมพิวเตอร์ของผู้ใช้ Office 365 รวมถึงไฟล์ข้อมูลส่วนบุคคลที่ถูกย้ายไปยังแอปพลิเคชันบนระบบคลาวด์ของผู้ให้บริการอื่นๆ ด้วยการทำงานร่วมกับ Intune ทำให้การกำหนดนโยบายการเข้ารหัสข้อมูลดังกล่าวยังครอบคลุมถึงข้อมูลที่ถูกเก็บอยู่ในอุปกรณ์โมบายต่างๆ ด้วย อีกทั้งยังสามารถกำหนดสิทธิเพิ่มเติมได้ว่า สามารถแชร์ข้อมูลดังกล่าวไปยังแอปพลิเคชันใดในอุปกรณ์โมบายใดได้บ้าง เช่น แชร์ไฟล์เอกสารไปยัง Line หรือ Facebook Messenger เป็นต้น ถือเป็นการรักษาความปลอดภัยและป้องกันการรั่วไหลของข้อมูล (Data Loss Prevention) ให้แก่ข้อมูลส่วนบุคคลได้เป็นอย่างดี หรือหากอุปกรณ์โมบายที่มีไฟล์ที่มีข้อมูลส่วนบุคคลเก็บอยู่เกิดสูญหายหรือถูกขโมย ระบบก็สามารถสั่งลบข้อมูลในอุปกรณ์จากระยะไกลได้
เครื่องมือที่จำเป็นต้องใช้ : Cloud App Security, Intune, BitLocker, Azure Information Protection, Windows Information Protection
- การกำหนดสิทธิการเข้าถึงข้อมูล
เมื่อมีการ ล็อกอินเข้าสู่ระบบด้วย Username และ Password ทางไมโครซอฟท์ได้พัฒนากระบวนการในการควบคุมการเข้าถึงข้อมูลของผู้ใช้ โดยมีระบบการล๊อคอินเพิ่มมากขึ้นกว่าหนึ่งขั้น (Multi Factor Authentication) ไม่ว่าจะเป็น ระบบไบโอเมตริก รหัส PIN, การใช้รหัส OTP (One Time Password) รวมถึงการเปรียบเทียบอุปกรณ์และพฤติกรรมการล็อกอิน เป็นต้น
เครื่องมือที่จำเป็นต้องใช้ : Azure Active Directory Premium, Multi-Factor Authentication, Intune
- ติดตามการใช้งานข้อมูล และแอปพลิเคชันบนระบบคลาวด์ของผู้ใช้
Microsoft 365 มีชุดเครื่องมือที่สามารถ ติดตาม ตรวจสอบ และป้องกันการใช้งานบนระบบคลาวน์อื่นๆ ที่ไม่ใช่ขององค์กร ให้กับไฟล์ที่มีข้อมูลส่วนบุคคลได้ ซึ่งมีประโยชน์ในการปกป้องความปลอดภัยของข้อมูลที่มีการใช้งานนอกระบบคลาวด์ขององค์กร ว่าจะอนุญาต หรือไม่อนุญาตให้ใช้ โดยจำกัดสิทธิการใช้งานบางอย่างก็ได้ เช่น ใช้กับอุปกรณ์ใดได้บ้าง ใช้กับไฟล์ที่มีข้อมูลส่วนตัวประเภทใดได้บ้าง ทำให้ไฟล์ข้อมูลยังคงมีความปลอดภัยแม้จะอยู่นอกระบบขององค์กรก็ตาม
เครื่องมือที่จำเป็นต้องใช้ : Cloud App Security, Azure Information Protection, Azure Active Directory (Conditional Access)
- ป้องกันข้อมูลจากการคุกคาม และเจาะระบบทางไซเบอร์ก่อนที่จะเกิดความเสียหาย
ด้วยระบบรักษาความปลอดภัยอย่าง Advanced Threat Protection ของ Microsoft 365 สามารถปกป้องข้อมูลส่วนบุคคลของผู้ใช้ และองค์กร ได้ตั้งแต่ก่อนจะเกิดการบุกรุก เพื่อป้องกันไม่ให้เกิดความเสียหายจากการถูกเจาะระบบ หรือ เข้ามาขโมยข้อมูล และยังแจ้งเตือนผู้ใช้งานเมื่อเกิดเหตุการณ์เจาะระบบ หรือ ขโมยข้อมูลขึ้นด้วยเช่นกัน เครื่องมือรักษาความปลอดภัยนี้ จะช่วยปกป้องผู้ใช้งานจากภัยคุกคามใหม่ๆ ทางโลกไซเบอร์ เช่น ตรวจจับไฟล์อันตรายที่แนบมากับอีเมล หรือ ลิงก์ต้องสงสัยต่างๆ ตรวจจับพฤติกรรมต้องสงสัยที่อาจเกิดขึ้นในระบบ และตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างรวดเร็ว ด้วยกลไกอันทรงประสทิธิภาพของระบบ Threat Intelligent แสนฉลาด ประกอบด้วย AI และ Big Data ที่จะเก็บข้อมูลภัยคุกคามจากทั่วโลก วิเคราะห์แนวโน้มอันตรายใหม่ จับตารูปแบบพฤติกรรมต้องสงสัย ซึ่งผู้ใช้สามารถวางใจได้ว่า ไฟล์ข้อมูลที่เก็บอยู่ใน SharePoint, OneDrive และ Microsoft Teams จะเป็นไฟล์ที่ปลอดภัยจริงๆ
- แนวทางสำหรับองค์กรเพื่อปฏิบัติตามกฎหมาย
ไม่เพียงเท่านั้น Microsoft 365 ยังมี Compliance Manager เครื่องมือที่จะประเมินระดับการปฏิบัติตามกฎหมายขององค์กร และแนะนำแนวทางปฏิบัติให้แก่องค์กรที่ใช้ Microsoft 365 ว่า การปฏิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนั้น จะมีขั้นตอนอย่างไรบ้าง และควรตั้งทีมทำงานที่ประกอบด้วยบุคลากรที่มีหน้าที่อะไรบ้าง โดยในปัจจุบันยังคงยึดกรอบปฏิบัติของ GDPR องค์กรจึงสามารถปรับกระบวนการบริหารจัดการข้อมูลส่วนบุคคลในระบบไอทีขององค์กรให้เป็นไปตามกฎหมายได้เป็นอย่างดี
- ต้องสามารถจัดการกับคำร้องขอของเจ้าของข้อมูลได้
หนึ่งในข้อกำหนดของ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลก็คือ ให้สิทธิเจ้าของข้อมูลในการขอรับข้อมูลที่เกี่ยวกับตนหรือคัดค้านการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลจากผู้ควบคุมข้อมูล ซึ่ง Microsoft 365 ก็มีเครื่องมือที่ช่วยให้องค์กรดึงข้อมูลที่เกี่ยวข้องต่างๆ ทั้งในส่วนของ Structured และ Unstructured data ออกมาได้อย่างรวดเร็ว เพื่อที่จะบริหารจัดการกับคำร้องขอของเจ้าของข้อมูลได้