วันจันทร์ที่ 30 ตุลาคม พ.ศ. 2560

HR ครับ..ข้อมูล Payroll ของท่านปลอดภัยดีแล้วหรือยัง?

            สัปดาห์ที่แล้วผมได้มีเวลานิ่ง ๆ ทบทวนเรื่องราวที่ผ่านมาย้อนหลังกลับไปสักประมาณสิบกว่าปีที่แล้ว สมัยนั้นผมยังทำงานเป็นผู้จัดการฝ่ายบุคคลในบริษัทแห่งหนึ่งซึ่งเกิดปัญหาเกี่ยวกับ Payroll ในแบบที่คาดไม่ถึงมาก่อน ก็เลยอยากจะเอามาเล่าสู่กันฟังเผื่อว่าจะเป็นประโยชน์และทำให้ HR ที่ต้องดูแล Payroll ได้เกิดไอเดียที่จะป้องกันปัญหาทำนองนี้เอาไว้ด้วยนะครับ

            ผมเชื่อว่าทุกวันนี้ในบริษัทส่วนใหญ่ก็มักจะนำข้อมูลพนักงานซึ่งรวมถึงข้อมูลเงินเดือน (ที่เราเรียกกันทับศัพท์ว่า “Payroll”) เข้าไปเก็บไว้ในระบบ HRIS (Human Resource Information System) ของบริษัทกันใช่ไหมครับ ซึ่งก็มักจะเก็บไว้ใน Server ของบริษัทแล้วก็จะมีพนักงานของฝ่าย IT (Information Technology หรือเรียกง่าย ๆ ว่าฝ่ายคอมพิวเตอร์) ดูแลฐานข้อมูลพนักงานนี้อยู่ซึ่งในบริษัทที่ผมเคยทำงานด้วยก็ทำอย่างงี้แหละ

            แต่ปัญหาที่เกิดขึ้นก็คือ...

            อยู่มาวันหนึ่งเจ้าหน้าที่ของฝ่าย IT ถูกแจ้งเลิกจ้างเพราะทำความผิดร้ายแรงซึ่งผลจากการสอบสวนของคณะกรรมการก็มีหลักฐานชัดเจน และทางบริษัทก็ให้เขาเขียนใบลาออกไปเพื่อจะได้ไม่เสียประวัติโดยเขาก็ยอมเขียนใบลาออกไป (เพราะดีกว่าถูกเลิกจ้าง)

          ปรากฎว่าหลังจากที่เขาลาออกไปได้สัปดาห์เดียวก็มีอีเมล์ลึกลับส่งเข้ามาถึงพนักงานทุกคนในบริษัท โดยในอีเมล์นั้นมีไฟล์ข้อมูลชื่อ-ตำแหน่ง-หน่วยงาน และที่สำคัญคือ “เงินเดือน” ของพนักงานทุกคนในบริษัทตั้งแต่กรรมการผู้จัดการยันคนขับรถ โดยอีเมล์นั้นก็ส่งมาสักประมาณเจ็ดโมงเช้าเสียด้วย

            แหม..เล่นส่งอีเมล์มาป่วนหัวใจให้เต้นแรงพร้อมไก่ขันเลยก็ว่าได้ครับ 555

            แต่โชคดีว่าปกติผมเป็นคนไปทำงานเช้าน่ะครับประมาณหกโมงครึ่งถึงเจ็ดโมงผมก็ถึงที่ทำงานแล้ว พอเปิดอีเมล์เท่านั้นแหละก็รีบโทรหาผู้จัดการฝ่าย IT ให้ตามไล่ลบอีเมล์แทบไม่ทัน แต่ถึงกระนั้นก็ยังหลุดไปได้เป็นบางแอคเคาน์เพราะพนักงานที่มาทำงานเช้าไม่ได้มีแต่ผมคนเดียวนี่ครับ

            ในสมัยนั้นยังไม่มีพรบ.คอมพิวเตอร์เหมือนทุกวันนี้เพราะพอจะไปแจ้งความที่สถานีตำรวจให้ดำเนินคดีกับพนักงานคนดังกล่าว (ที่พ้นสภาพพนักงานไปแล้ว) ในข้อหาลักทรัพย์ (หมายถึงข้อมูลเงินเดือนที่พนักงาน Hack ออกไปตอนไหนก็ไม่รู้) ทางตำรวจก็บอกว่าไม่เข้าข่ายลักทรัพย์เพราะเขาก๊อปปี้ข้อมูลไปดูเหมือนกับการลักทรัพย์ก็จริง แต่ตัวไฟล์ยังคงอยู่ที่ Server ของบริษัท ถ้าเป็นการลักทรัพย์นั้นก็ต้องหมายถึงเขาเอาทรัพย์นั้นไปจากบริษัทและบริษัทต้องไม่มีทรัพย์นั้นอยู่..เฮ้อ..สรุปว่าแจ้งความไม่ได้ก็แล้วกันครับเพราะตำรวจบอกว่าไม่เข้าข่ายลักทรัพย์

            จากวันนั้นถึงวันนี้ที่เราเรียกว่ายุค 4.0 ที่บริษัทส่วนใหญ่คงจะนำข้อมูลด้าน HR ซึ่งแน่นอนว่าจะรวมเรื่องของ Payroll เข้าไปในฐานข้อมูลของบริษัทอยู่แล้วแหละ ผมก็เลยอยากจะแชร์ประสบการณ์ที่เคยพบเจอมาข้างต้นให้ HR ได้ทบทวนเกี่ยวกับการรักษาความปลอดภัยของข้อมูลเงินเดือนให้รัดกุมไม่ให้เกิดปัญหาอย่างที่ผมเจอมาในอดีต

          ส่วนจะป้องกันและรักษาความลับความปลอดภัยของข้อมูลด้าน HR กันแค่ไหนยังไงก็คงเป็นเรื่องของแต่ละแห่งที่จะไปพิจารณาหาหนทางกันเอาเองนะครับ


……………………………