2025-12-02
ดร.พงษ์ศักดิ์ วงศ์เลิศคุณากร
เมื่อ Access Control ไม่ได้ดูแลแค่พื้นที่ แต่ปกป้องข้อมูลขององค์กร
ดร.พงษ์ศักดิ์ วงศ์เลิศคุณากร
- ที่ปรึกษาด้านสถานที่ทำงาน
- ปริญญาเอก (Ph.D.) สาขาการจัดการจากสถาบันบัณฑิตพัฒนบริหารศาสตร์
- ปริญญาโท (M.S.) สาขาวิทยาการคอมพิวเตอร์และสารสนเทศจาก มหาวิทยาลัยเพนซิลเวเนีย
- ปริญญาตรี (B.Eng.) สาขาวิศวกรรมคอมพิวเตอร์จาก จุฬาลงกรณ์มหาวิทยาลัย
หลายองค์กรยังมอง Access Control เป็นแค่ “กันคนเข้าอาคาร” แต่จริง ๆ แล้วมันคือ กำแพงชั้นแรกของ Data Privacy เพราะข้อมูลจำนวนมาก ไม่ได้อยู่ใน Cloud แต่อยู่ใน “ห้องจริง ๆ”
ทำไมความเป็นส่วนตัวของข้อมูลถึงต้องขึ้นอยู่กับการควบคุมการเข้าถึง
ตัวอย่างพื้นที่ที่มีข้อมูลสำคัญที่สุดในบริษัท
- ห้อง HR (เงินเดือน/สัญญาจ้างงาน)
- ห้อง IT Backup
- ห้องประชุมผู้บริหาร
- ห้องเซิร์ฟเวอร์, ห้องกฎหมาย
หากใครก็ตามสามารถเดินเข้าไปในพื้นที่เหล่านี้ได้อย่างอิสระ การปกป้องข้อมูลก็เป็นไปไม่ได้
เหตุการณ์จริงที่แสดงให้เห็นถึงความเสี่ยง
1. ผู้เยี่ยมชมทำข้อมูลกลยุทธ์ภายในรั่วไหล
ผู้เยี่ยมชมที่รออยู่ในห้องประชุมได้ถ่ายภาพแผนภาพบนไวท์บอร์ดซึ่งร่างการออกแบบระบบที่กำลังจะเกิดขึ้น คู่แข่งได้ใช้ข้อมูลนี้เพื่อยื่นข้อเสนอที่เหนือกว่า
2. พนักงานทำความสะอาดเข้าถึงห้องประชุมผู้บริหาร
พนักงานทำความสะอาดเข้าถึงบันทึกการวางแผนทางการเงินระดับสูงที่ถูกทิ้งไว้บนโต๊ะโดยไม่ได้ตั้งใจ สิ่งนี้ทำให้เกิดความตื่นตระหนกภายในและบังคับให้บริษัทต้องใช้มาตรการควบคุมโซนควบคุม
3. ผู้รับเหมาเข้าห้องเซิร์ฟเวอร์โดยไม่มีบันทึก
เมื่อเกิดเหตุการณ์ระบบล่มโดยไม่คาดคิด ไม่มีบันทึกว่าใครเข้าถึงห้องเซิร์ฟเวอร์ในวันนั้น เมื่อไม่มีบันทึก การสืบสวนก็แทบจะเป็นไปไม่ได้เลย
ข้อสรุป
การป้องกันข้อมูลเริ่มจากคำถามง่าย ๆ ว่า: “ใครเข้าพื้นที่นี้ได้?” หากตอบไม่ได้ Data Privacy ก็เกิดขึ้นไม่ได้เช่นกัน