ไทยเบฟมีกรอบการทำงานและกระบวนการที่ออกแบบมาให้ครอบคลุมการบ่งชี้ ประเมิน ติดตาม และจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ภายในองค์กร นอกจากนี้ยังปรับใช้การวางแผนเชิงกลยุทธ์
นโยบาย ขั้นตอน และมาตรการทางเทคโนโลยีเพื่อปกป้องข้อมูลขององค์กรจากภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น กรอบการทำงานนี้ยังสอดคล้องกับแนวทางมาตรฐานสากล เช่น IS0 27001 และกรอบการทำงานความปลอดภัยทางไซเบอร์ของ NIST ซึ่งเป็นหลักปฏิบัติที่ดีในการบริหารความเสี่ยงทางไซเบอร์ นำไปสู่การปรับปรุงความปลอดภัยขององค์กรและช่วยให้การป้องกัน การตรวจจับ และการตอบสนองต่อการโจมตีมีประสิทธิภาพ ส่งผลให้องค์กรสามารถดำเนินงานต่อไปได้โดยปราศจากอุปสรรค
นอกจากนี้ ไทยเบฟตระหนักดีว่าข้อมูลส่วนบุคคลอาจรั่วไหลไปสู่บุคคลภายนอก การใช้ข้อมูลอย่างผิดกฎหมาย หรือการโจมตี
ทางไซเบอร์อาจส่งผลให้เกิดการดำเนินคดีทางกฎหมาย รวมถึง
การจ่ายเงินชดเชยแก่ผู้เสียหาย ตลอดจนส่งผลต่อภาพลักษณ์
และความเชื่อมั่นของผู้มีส่วนได้ส่วนเสียรวมทั้งลูกค้าขององค์กร
ดังนั้น องค์กรจึงจัดการข้อมูลส่วนบุคคลของผู้มีส่วนได้ส่วนเสียทั้งหมดด้วยความระมัดระวังโดยให้เป็นไปตามพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Act: PDPA) และนโยบายของบริษัท เพื่อหลีกเลี่ยงการละเมิดสิทธิมนุษยชน
บทลงโทษทางกฎหมาย และความเสี่ยงต่อชื่อเสียงขององค์กร
ไทยเบฟมีโครงสร้างการกำกับดูแลและกำหนดกลยุทธ์ความปลอดภัยด้านเทคโนโลยีสารสนเทศ โดยกรรมการผู้อำนวยการใหญ่เป็นผู้นำ
ในการวางแผนกลยุทธ์ระยะสั้นและระยะยาวเพื่อเสนอต่อ
คณะกรรมการบริษัท ส่วนกรรมการบริหารผู้ดำรงตำแหน่ง Chief Information and Security Officer (CI&SO) และเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer) มีหน้าที่รับผิดชอบ
ในเรื่องความพร้อมในการใช้ข้อมูลอย่างปลอดภัย ความถูกต้อง
ครบถ้วนของข้อมูล รวมถึงการรักษาข้อมูลที่เป็นความลับของลูกค้า
คู่ค้าทางธุรกิจ พนักงานและองค์กรเพื่อป้องกันการทำงานผิดพลาดของระบบเทคโนโลยีสารสนเทศและภัยคุกคามทางไซเบอร์ที่ร้ายแรง
คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์ที่นำโดยกรรมการ
ผู้อำนวยการใหญ่ของไทยเบฟก่อตั้งขึ้นเพื่อกำกับดูแลการปฏิบัติงานด้านการรักษาความปลอดภัยทางไซเบอร์ภายในองค์กรและสื่อสาร
กับคณะกรรมการบริหารความยั่งยืนและความเสี่ยง (SRMC)
อย่างสม่ำเสมอเนื่องจากองค์กรถือว่าภัยคุกคามด้านความปลอดภัยทางไซเบอร์เป็นหนึ่งในความเสี่ยงเชิงกลยุทธ์ขององค์กร
คณะกรรมการรักษาความมั่นคงปลอดภัยไซเบอร์มีหน้าที่จับตาดู
ภัยคุกคามความปลอดภัยทางไซเบอร์ รวมถึงพัฒนาแผน กลยุทธ์ และแนวปฏิบัติในการจัดการภัยคุกคามเหล่านั้น โดยจะต้องปฏิบัติ
ตามนโยบายการบริหารความเสี่ยงของกลุ่มไทยเบฟซึ่งอยู่ภายใต้
การกำกับดูแลของ SRMC เพื่อรับประกันว่าภัยคุกคามทางไซเบอร์
ทุกเหตุการณ์จะถูกดำเนินการติดตาม ตรวจสอบ บรรเทาและเยียวยาอย่างเหมาะสม นอกจากนั้น คณะกรรมการรักษาความมั่นคง
ความปลอดภัยไซเบอร์ยังต้องรายงานผลการดำเนินงานและ
ความคืบหน้าต่อ SRMC และคณะกรรมการบริหารอย่างสม่ำเสมอ
อีกด้วย
ไทยเบฟกำหนดนโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศ
มาตั้งแต่ปี 2563 เพื่อกำหนดทิศทาง หลักการ และกรอบการทำงานด้านการบริหารจัดการความปลอดภัยของเทคโนโลยีสารสนเทศ
รวมถึงสร้างความรู้ความเข้าใจในเชิงรุก เพื่อส่งเสริมให้พนักงานปฏิบัติตามนโยบาย ขั้นตอนการปฏิบัติงานรวมถึงกฎหมายที่เกี่ยวข้องกับความปลอดภัยของเทคโนโลยีสารสนเทศ
นโยบายความปลอดภัยด้านเทคโนโลยีสารสนเทศ
ไทยเบฟตระหนักและเคารพในสิทธิความเป็นส่วนตัวและพยายามอย่างเต็มที่เพื่อปกป้องข้อมูลส่วนบุคคลของพนักงานไทยเบฟและ
ผู้มีส่วนได้ส่วนเสียทั้งหมดรวมถึงผู้จัดหาสินค้าและวัตถุดิบ ผู้บริโภค และลูกค้า ในปี 2565 ไทยเบฟกำหนดนโยบายการคุ้มครองข้อมูล
ส่วนบุคคลเพื่อป้องกันการใช้ข้อมูลอย่างไม่เหมาะสมและเพื่อให้มั่นใจว่าข้อมูลของผู้มีส่วนได้ส่วนเสียได้รับการคุ้มครองความปลอดภัย
ตามกฎหมายคุ้มครองข้อมูลส่วนบุคคลของทุกประเทศที่บริษัทในกลุ่มไทยเบฟดำเนินธุรกิจอยู่ ตลอดจนมาตรฐานสากลในด้านการคุ้มครองข้อมูลส่วนบุคคลอื่น ๆ ที่เกี่ยวข้อง
นโยบายคุ้มครองข้อมูลส่วนบุคคลy
- ติดตามกระแสเทคโนโลยีรักษาความปลอดภัยทางไซเบอร์ล่าสุด เช่น AI และ Machine Learning เพื่อพัฒนาความปลอดภัย
ทางไซเบอร์และเทคโนโลยีสารสนเทศ รวมถึงการปกป้อง
ข้อมูลส่วนบุคคลของไทยเบฟให้ดียิ่งขึ้น
- พัฒนาระบบป้องกันภัยคุกคามทางไซเบอร์ทางด้านเทคโนโลยี
การปฏิบัติงาน (Operational Technology: OT) ที่เชื่อถือได้เพื่อใช้ในโครงสร้างพื้นฐานที่สำคัญ รวมถึงระบบควบคุมอุตสาหกรรมในโรงงานผลิตและระบบต่าง ๆ ของไทยเบฟ โดยมุ่งเน้นที่ความพร้อมใช้งาน ความถูกต้องสมบูรณ์ของข้อมูล และการรักษาความลับ เพื่อหลีกเลี่ยงไม่ให้เกิดการหยุดชะงักระหว่างดำเนินการผลิต
- เพิ่มขีดความสามารถการป้องกันความปลอดภัยทางไซเบอร์ในห่วงโซ่อุปทานของไทยเบฟด้วยการประเมินและยกระดับมาตรฐานความปลอดภัยทางไซเบอร์ของคู่ค้าและพันธมิตรทางการค้า
- ตรวจสอบให้มั่นใจว่าระบบรักษาความปลอดภัยทางไซเบอร์และ
การปกป้องข้อมูลส่วนบุคคลของกลุ่มไทยเบฟเป็นไปตามมาตรฐานกฎระเบียบในระดับสากลและระดับท้องถิ่น รวมถึงการ
ได้รับการรับรองจากบุคคลที่สามอย่างสม่ำเสมอ
- ตระหนักถึงการรักษาความปลอดภัยที่ยึดตัวคนเป็นศูนย์กลาง (Human-Centric Security) และให้ความสำคัญกับความเสี่ยง
อันเกิดจากมนุษย์ที่ส่งผลกระทบต่อความปลอดภัยทางไซเบอร์ โดยการลงทุนในโครงการฝึกอบรม รวมถึงการสร้างความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูลส่วนบุคคล เพื่อให้ความรู้แก่พนักงานเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยและภัยคุกคามที่อาจเกิดขึ้น รวมถึงลดความเสี่ยงที่เกิดจากความผิดพลาดของมนุษย์
- ปกป้องและตรวจสอบอุปกรณ์ที่เกี่ยวข้องกับระบบเครือข่าย Internet of Things (IoT) เป็นประจำ และจัดให้มีการควบคุม
ความปลอดภัยที่มีประสิทธิภาพ
จำนวนการถูกละเมิด
ความปลอดภัยของข้อมูล |
0 |
0 |
จำนวนลูกค้า และพนักงานทั้งหมด
ที่ได้รับผลกระทบจากการละเมิด |
0 |
0 |
ในปี 2566 ติดไวรัสคอมพิวเตอร์
|
การละเมิดข้อมูลส่วนบุคคล
|
การทำงานด้านความปลอดภัยทางไซเบอร์อย่างต่อเนื่องถือเป็น
กระบวนการสำคัญที่องค์กรในยุคที่เทคโนโลยีและการใช้เครือข่ายออนไลน์มีบทบาทสำคัญในการทำธุรกิจทุกด้าน การควบคุมและปกป้องอุปกรณ์และข้อมูลทางไซเบอร์มีส่วนช่วยปกป้องความลับ
และความปลอดภัยขององค์กร สิ่งสำคัญคือต้องขับเคลื่อนความตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ด้วยการฝึกอบรมเพื่อให้พนักงานทุกคนเข้าใจถึงความสำคัญของความปลอดภัยทางไซเบอร์และดำเนินการร่วมกันเพื่อรักษาความปลอดภัยของข้อมูลและระบบขององค์กร ตลอดปีงบประมาณ 2566 ทีมงานรักษาความปลอดภัยด้านไอทีทำงานอย่างเต็มกำลังในการเสริมสร้างความปลอดภัยให้กับระบบเทคโนโลยีสารสนเทศและเครือข่ายทั้งหมดของไทยเบฟ
ไทยเบฟขยายขอบเขตการรับรองมาตรฐาน ISO/IEC 27001
เพื่อเสริมสร้างระบบรักษาความปลอดภัยให้ที่ทำงานทุกแห่งที่ให้บริการเครือข่ายคอมพิวเตอร์และศูนย์บริการข้อมูลของไทยเบฟ
ไทยเบฟใช้กลยุทธ์การรักษาความปลอดภัยของ Zero Trust
โดยถือว่าความพยายามในการเข้าถึงเครือข่ายหรือโครงสร้างพื้นฐานด้านไอทีทุกครั้งเป็นภัยคุกคามและไม่ไว้วางใจใครก็ตามไม่ว่าจะเป็นบุคลากรภายในหรือภายนอกเครือข่ายเว้นแต่จะได้รับการตรวจสอบยืนยันตัวตนด้วยการรับรองความถูกต้อง ทั้งนี้องค์กรใช้วิธี
ตรวจสอบสิทธิ์แบบสองปัจจัยหรือ 2FA การตรวจสอบสิทธิ์ในการ
เข้าถึงข้อมูลอีกด้วย
ในปีงบประมาณ 2566 ไทยเบฟเริ่มต้นการจำลองสถานการณ์
การโจมตีทางไซเบอร์กับพนักงานในองค์กรเป็นประจำเพื่อประเมิน
และปรับปรุงความเข้าใจของพนักงานเกี่ยวกับภัยคุกคามที่หลอกลวงผ่านช่องทางการใช้งานอินเทอร์เน็ตของพนักงานเนื่องจากการจำลองสถานการณ์ที่สมจริงช่วยประเมินได้ว่าพนักงานสามารถระบุและ
ตอบสนองต่อความพยายามโจมตีทางไซเบอร์ได้ดีเพียงใด
โดยไทยเบฟมั่นใจว่าจะสามารถลดความเสี่ยงในการตกเป็นเหยื่อ
การโจมตีทางไซเบอร์ของพนักงานได้
ในปีงบประมาณ 2566 ไทยเบฟดำเนินโครงการฝึกอบรมพนักงาน
ภาคบังคับ ซึ่งเป็นส่วนหนึ่งของแนวทางเชิงรุก โดยมีวัตถุประสงค์เพื่อให้มั่นใจว่าพนักงานมีความรู้ความเข้าใจแนวทางปฏิบัติด้าน
ความปลอดภัยทางไซเบอร์และความเป็นส่วนตัวของข้อมูล รวมถึงความพร้อมที่จะจัดการลดความเสี่ยงที่อาจเกิดขึ้น โดยพนักงาน
ต้องสอบผ่านด้วยคะแนนไม่ต่ำกว่า 90% ทั้งนี้ในปีงบประมาณ 2566
ไทยเบฟเข้าถึงกลุ่มเป้าหมายครบ 100% โดยมีบุคลากรกว่า
15,000 คนที่ได้รับการฝึกอบรมด้านการป้องกันความปลอดภัย
ทางไซเบอร์และความเป็นส่วนตัวของข้อมูล
ไทยเบฟได้พัฒนากลยุทธ์ในการรักษาความมั่นคงปลอดภัย
ทางไซเบอร์ที่แข็งแกร่งมาใช้ในองค์กร ซึ่งไม่เพียงแต่สามารถระบุ
และจัดการกับจุดอ่อนเท่านั้น แต่ยังช่วยเสริมสร้างความแข็งแกร่ง
ในการรักษาความปลอดภัยต่อภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่อง องค์กรยังใช้การประเมินช่องโหว่ของระบบเซิร์ฟเวอร์และเครือข่ายโดยบุคคลที่สามที่เป็นอีกหนึ่งในวิธีการระบุและแก้ไขข้อบกพร่อง
ด้านความปลอดภัยในระบบเครือข่ายและแอปพลิเคชันที่มีประสิทธิภาพสูงสุด รวมถึงการเสริมสร้างความแข็งแกร่งให้กับกระบวนการป้องกันด้วยการประเมินความเสี่ยงโดยการทดสอบ
การเจาะระบบเพื่อค้นหาจุดอ่อนที่เข้าถึงระบบขององค์กรอย่างสม่ำเสมอ ซึ่งกระบวนการประเมินและความพยายามในการแก้ไขเชิงรุกเหล่านี้ ถือเป็นองค์ประกอบที่สำคัญของการรักษาความปลอดภัย
ทางไซเบอร์ที่ครอบคลุม นอกจากนี้องค์กรยังจัดให้มีการตรวจสอบระบบเทคโนโลยีสารสนเทศและเครือข่ายจากผู้ตรวจสอบภายนอก
และผู้ตรวจสอบภายในอย่างสม่ำเสมอเพื่อให้เกิดความมั่นใจใน
ความปลอดภัยและความสามารถกลับคืนสู่สภาพการดำเนินงานปกติได้ในระดับสูงสุด
ไทยเบฟติดตั้งระบบเฝ้าระวังเครือข่ายเชิงรุกสำหรับอาคารสำนักงานเพื่อให้มั่นใจว่าระบบทั้งหมดสามารถทำงานได้อย่างต่อเนื่อง
การบริการมีความปลอดภัย และสามารถตรวจพบปัญหาก่อน
จะส่งผลกระทบต่อผู้ใช้ นอกจากนี้ บริษัทยังดูแลรักษาและปรับปรุงข้อมูลเฟิร์มแวร์ของอุปกรณ์ทั้งหมดในเครือข่ายให้ทันสมัยอย่างสม่ำเสมอ รวมถึงการใช้ Web Application Firewall (WAF)
ซึ่งเป็นหนึ่งในเทคโนโลยีความปลอดภัยที่มีประสิทธิภาพที่ถูกนำมาใช้เพื่อปกป้องเว็บแอปพลิเคชันจากภัยคุกคามบนระบบออนไลน์
และเพื่อป้องกันการหาประโยชน์จากจุดอ่อนและการโจมตีทางไซเบอร์
การปกป้องความเป็นส่วนตัวของข้อมูลส่วนบุคคลของผู้มีส่วนได้
ส่วนเสียเป็นสิ่งสำคัญในการรักษาความไว้วางใจและการปฏิบัติตาม
กฎระเบียบขององค์กรด้านความเป็นส่วนตัว ดังนั้นในปีงบประมาณ 2566 ฝ่ายกฎหมายของไทยเบฟจึงจัดทำคู่มือเพื่อช่วยสร้างความมั่นใจ
ว่านโยบายและกฎระเบียบด้านการคุ้มครองความเป็นส่วนตัวของข้อมูลจะถูกรับรู้และปฏิบัติตามอย่างสม่ำเสมอครอบคลุมกับทุกบริษัทในเครือไทยเบฟ ภาษาที่ใช้ในคู่มือเป็นภาษาที่เข้าใจง่ายทำให้ผู้อ่านสามารถนำนโยบายไปปฏิบัติตรงกันทั่วทั้งองค์กร ท้้งนี้ คู่มือนี้ปรากฏ
ในเว็บไซต์ภายในของบริษัทที่พนักงานไทยเบฟสามารถเข้าไป
เรียนรู้ได้ตลอดเวลา
ไทยเบฟจัดให้มีช่องทางการสื่อสารเรื่องความเป็นส่วนตัวของข้อมูลส่วนบุคคลสำหรับการสอบถามและร้องเรียนของผู้มีส่วนได้ส่วนเสีย โดยต้องมีการติดตามและสรุปผลจากฝ่ายบริหารระดับสูงทุกกรณี
การละเมิดข้อมูลส่วนบุคคล |
0 |
0% |
การขอแก้ไขข้อมูลส่วนบุคคล (แก้ไข/ลบ) |
822 |
88% |
กรณีที่ไม่เกี่ยวข้องกับข้อมูล
ส่วนบุคคล |
111 |
12% |
สรุป |
933 |
100% |
ไทยเบฟใช้บริการโครงสร้างพื้นฐานและเครือข่ายของศูนย์ข้อมูล
STT BANGKOK ซึ่งเป็นระบบที่ผ่านการรับรองมาตรฐาน LEED
ในระดับ Gold จากสภา U.S. Green Building Council แห่งสหรัฐอเมริกา โดยที่การรับรองตามมาตรฐาน LEED เป็นระบบ
การให้คะแนนที่ได้รับการยอมรับทั่วโลกเรื่องการออกแบบ
การก่อสร้าง การดำเนินงาน และการบำรุงรักษาอาคารและชุมชน
ที่เป็นมิตรกับสิ่งแวดล้อม