CISSP
AI Governance เริ่มต้นที่คำถามง่ายๆ “ข้อมูลมาจากไหน?”
ก่อนองค์กรจะใช้ AI ให้เร็วขึ้น อาจต้องตอบให้ได้ก่อนว่า ข้อมูลที่ใช้ฝึกและพัฒนาระบบนั้นตรวจสอบได้จริงหรือไม่
เป็นเวลานานที่งาน Privacy Compliance มักถูกมองผ่านสิ่งที่ผู้ใช้เห็นบนหน้าเว็บไซต์ ไม่ว่าจะเป็น Cookie Banner หน้านโยบายความเป็นส่วนตัว หรือข้อความชี้แจงว่าองค์กรเก็บ ใช้ และแบ่งปันข้อมูลอย่างไร สิ่งเหล่านี้ยังคงสำคัญ เพียงแต่ในยุค Generative AI คำถามเรื่องข้อมูลเริ่มลึกกว่าเดิมมาก องค์กรจึงต้องตอบให้ได้มากกว่า “แจ้งผู้ใช้ครบหรือยัง” และต้องอธิบายได้ว่า ข้อมูลที่นำไปใช้ฝึกหรือพัฒนา AI นั้นมีที่มาอย่างไร ใช้ภายใต้สิทธิ์หรือฐานกฎหมายใด และตรวจสอบย้อนหลังได้แค่ไหน
นี่คือจุดที่ AI Governance เริ่มเข้ามาเชื่อมระหว่างเทคโนโลยี ข้อมูล ความเสี่ยง และความรับผิดชอบขององค์กร เพราะในอดีต ข้อมูลมักถูกมองเป็นทรัพยากรทางธุรกิจ แต่ในยุค AI ข้อมูลแต่ละชุดกำลังกลายเป็น “สินทรัพย์ที่มีความเสี่ยง” อยู่ในตัวเอง
หากได้มาถูกต้อง ก็สามารถสร้างคุณค่าได้มหาศาล แต่หากได้มาโดยไม่มีสิทธิ์ ไม่มีการตรวจสอบ หรือขาด Governance รองรับ ข้อมูลชุดเดียวกันอาจกลายเป็นความเสี่ยงทางกฎหมาย ชื่อเสียง และธุรกิจได้ทันที
ภาพนี้เริ่มเห็นชัดจากกฎหมายความเป็นส่วนตัวและกฎระเบียบด้าน AI ในหลายพื้นที่ ไม่ว่าจะเป็น Texas Data Privacy and Security Act แนวทางของแคลิฟอร์เนีย หรือกฎหมายในฝั่งยุโรป ซึ่งต่างสะท้อนทิศทางเดียวกันว่า การแจ้งผู้ใช้ผ่านหน้าเว็บไซต์เป็นเพียงจุดเริ่มต้น แต่อาจไม่เพียงพอสำหรับการใช้ข้อมูลในระบบ AI สิ่งที่องค์กรต้องตอบให้ได้มากขึ้นคือ ข้อมูลถูกเก็บเท่าที่จำเป็นหรือไม่ ใช้ตรงตามวัตถุประสงค์หรือเปล่า ใครมีสิทธิ์เข้าถึง และมีการประเมินความเสี่ยงก่อนนำข้อมูลไปใช้กับระบบสำคัญหรือยัง
เมื่อมองมาที่ฝั่งยุโรป EU AI Act ยิ่งทำให้ประเด็นนี้ชัดขึ้น โดยเฉพาะระบบ AI ที่อาจส่งผลต่อสิทธิ ความปลอดภัย หรือโอกาสของบุคคล เช่น ระบบชีวมิติ ระบบที่เกี่ยวข้องกับโครงสร้างพื้นฐานสำคัญ การศึกษา หรือการจ้างงาน หนึ่งในหัวใจสำคัญคือเรื่อง “Data Governance”
ข้อมูลที่ใช้ฝึก ตรวจสอบ และทดสอบระบบจึงต้องถูกดูแลอย่างรอบคอบ ตั้งแต่แหล่งที่มา ความเหมาะสมของข้อมูล การลด Bias ไปจนถึงการป้องกันผลลัพธ์ที่อาจนำไปสู่การตัดสินใจที่ไม่เป็นธรรม ในมุมนี้ ข้อมูลที่ใช้กับ AI ไม่ได้เป็นเพียงข้อมูลสำหรับประมวลผล แต่เป็นสิ่งที่องค์กรต้องอธิบายให้ได้ว่า มาจากไหน ใช้ภายใต้สิทธิ์ใด มีคุณภาพเพียงพอหรือไม่ และมีความเสี่ยงอะไรที่ต้องควบคุม ประเด็นนี้ไม่ได้อยู่แค่ในกฎหมายเท่านั้น แต่เริ่มเห็นชัดขึ้นจากคดีและข้อพิพาทเกี่ยวกับ AI ทั่วโลก
คดี AI หลายคดีในช่วงที่ผ่านมาให้บทเรียนสำคัญอย่างน้อย 3 เรื่อง
- การใช้ข้อมูลเพื่อฝึกโมเดลอาจมีข้อถกเถียงเรื่อง Fair Use หรือการใช้งานโดยชอบธรรม แต่การได้มาและการเก็บรักษาข้อมูลยังเป็นอีกประเด็นที่องค์กรต้องอธิบายให้ได้ เช่นในคดี Bartz v. Anthropic ประเด็นไม่ได้อยู่แค่ว่าการนำเนื้อหาจากหนังสือไปใช้พัฒนา AI เข้าข่าย Fair Use หรือไม่ แต่ยังรวมถึงว่า ข้อมูลนั้นได้มาอย่างไร และถูกเก็บรักษาไว้ในคลังข้อมูลด้วยสิทธิ์ที่ถูกต้องหรือเปล่า
- คอนเทนต์ลิขสิทธิ์ เช่น ข่าว บทความ หนังสือ หรืองานสร้างสรรค์ กำลังกลายเป็นพื้นที่ข้อถกเถียงสำคัญระหว่างเจ้าของผลงานและผู้พัฒนา AI คดี New York Times กับ OpenAI และ Microsoft รวมถึงคดีของผู้สร้างสรรค์งานภาพต่อผู้พัฒนาโมเดลสร้างภาพ สะท้อนคำถามเดียวกันว่า AI ควรใช้คอนเทนต์ลิขสิทธิ์เพื่อฝึกโมเดลได้แค่ไหน และหากระบบสร้างผลลัพธ์ที่ใกล้เคียงต้นฉบับ ใครควรเป็นผู้รับผิดชอบ
- ข้อมูลที่หาได้บนอินเทอร์เน็ตไม่ได้แปลว่าสามารถนำไปใช้ต่อได้อย่างไม่มีเงื่อนไข
คดี Clearview AI เป็นตัวอย่างที่ชัดเจนในเรื่องข้อมูลชีวมิติ เมื่อบริษัทถูกกล่าวหาว่าดึงภาพใบหน้าจำนวนมหาศาลจากเว็บสาธารณะไปสร้างฐานข้อมูลสแกนใบหน้าโดยไม่ขอความยินยอม ทำให้องค์กรทั่วโลกต้องกลับมาทบทวนว่า “Public Data” ไม่ได้หมายความว่า “Free to Use”
ทั้งหมดนี้ชี้ไปที่ประเด็นเดียวกัน ในทางเทคนิค การเก็บข้อมูลจำนวนมากอาจทำได้ง่ายขึ้น แต่ในทาง Governance การอธิบายที่มาของข้อมูลให้ครบถ้วนกลับยากขึ้นมาก
ยิ่งองค์กรเริ่มใช้ Generative AI, AI Agent, Machine Learning หรือระบบตัดสินใจอัตโนมัติในกระบวนการทำงานจริง คำถามเรื่องข้อมูลก็จะยิ่งละเอียดขึ้น
- ข้อมูลนี้เป็นข้อมูลส่วนบุคคลหรือไม่
- มีข้อมูลอ่อนไหวปะปนอยู่หรือเปล่า
- ได้รับ consent หรือมีฐานกฎหมายรองรับหรือไม่
- นำไปใช้เกินวัตถุประสงค์เดิมหรือไม่
- มีการจำกัดสิทธิ์เข้าถึงตามบทบาทงานหรือยัง
- มีรอบการทบทวนและทำลายข้อมูลหรือไม่
- และหากโมเดลให้ผลลัพธ์ผิดพลาด องค์กรสามารถย้อนกลับไปตรวจสอบข้อมูลต้นทางได้แค่ไหน
คำถามเหล่านี้ไม่ใช่คำถามของทีม Legal เพียงฝ่ายเดียวอีกต่อไป แต่เป็นคำถามร่วมของ Security, Risk, Compliance, Data, IT และผู้บริหาร
เพราะในโลกของ AI ความเสี่ยงด้านข้อมูลไม่ได้เกิดขึ้นเฉพาะตอนข้อมูลรั่วไหลเท่านั้น แต่อาจเกิดตั้งแต่วันที่องค์กรเก็บข้อมูลผิดวัตถุประสงค์ ใช้ข้อมูลผิดขอบเขต เก็บข้อมูลไว้นานเกินจำเป็น หรือปล่อยให้ข้อมูลถูกนำไปใช้กับระบบ AI โดยไม่มีการประเมินความเสี่ยงที่เหมาะสม
เมื่อมองภาพรวมทั้งหมด โจทย์ขององค์กรในยุค AI จึงขยับจากการใช้ AI ให้เร็วขึ้น ไปสู่การใช้ AI ให้ตรวจสอบได้ ปลอดภัย และรับผิดชอบได้ตลอดวงจรชีวิตของข้อมูล เพราะ AI Governance เริ่มจากความสามารถในการตอบคำถามพื้นฐานให้ได้ว่า ข้อมูลถูกเก็บเข้ามาอย่างไร ถูกจัดประเภทอย่างไร ใครมีสิทธิ์ใช้ ถูกส่งต่อให้ใคร เก็บรักษาไว้นานแค่ไหน และควรถูกลบหรือทำลายเมื่อใด
ในมุมนี้ ข้อมูลไม่ใช่แค่วัตถุดิบของเทคโนโลยีอีกต่อไป แต่เป็นสินทรัพย์ที่ต้องมีเจ้าของ มีสิทธิ์ มีวงจรชีวิต และมีการควบคุมความเสี่ยงอย่างเป็นระบบ คำถามสำคัญจึงไม่ใช่แค่ว่าองค์กรมีนโยบายความเป็นส่วนตัวแล้วหรือยัง แต่คือ เมื่อมีการตรวจสอบจริง องค์กรสามารถแสดงให้เห็นได้หรือไม่ว่า ข้อมูลแต่ละชุดถูกนำมาใช้ด้วยเหตุผลที่เหมาะสม ผ่านการอนุมัติที่ชัดเจน มีผู้รับผิดชอบ และมีหลักฐานรองรับตลอดเส้นทาง
ใครในองค์กรจะเป็นคนตอบเรื่องนี้ได้อย่างมั่นใจ? นี่คือจุดที่ทักษะด้าน Cybersecurity Governance, Risk Management, Compliance และ Data Lifecycle Management กลายเป็นทักษะสำคัญมากขึ้นเรื่อยๆ สำหรับองค์กรที่ต้องการใช้เทคโนโลยีใหม่อย่างมั่นใจ โดยไม่สร้างความเสี่ยงที่มองไม่เห็นไว้ในระบบหลังบ้านของตัวเอง
หลักสูตร CISSP หรือ Certified Information Systems Security Professional ของ ISC2 จึงเป็นอีกทางเลือกที่ช่วยเสริมพื้นฐานด้าน Security Governance, Risk และ Compliance ให้คนทำงานมองโจทย์ความปลอดภัยในยุค AI ได้รอบด้านขึ้น เพราะการใช้ AI อย่างมั่นใจไม่ได้อาศัยเพียงความเข้าใจด้านเทคโนโลยี แต่ยังต้องมองเห็นความเชื่อมโยงระหว่างข้อมูล นโยบาย การควบคุม ความเสี่ยง และผลกระทบต่อธุรกิจ
เมื่อ AI ถูกนำไปใช้ในงานจริง คำถามด้านความปลอดภัยจึงขยายจาก Firewall, Endpoint หรือ Incident Response ไปสู่การจัดชั้นข้อมูล การกำหนดสิทธิ์ การตรวจสอบระบบ การประเมินความเสี่ยง และการวางกรอบให้เทคโนโลยีถูกใช้อย่างเหมาะสมกับเป้าหมายขององค์กรและข้อกำหนดที่เกี่ยวข้อง
CISSP จึงช่วยให้ผู้เรียนมอง Cybersecurity ในระดับที่กว้างและลึกขึ้น ไม่ใช่แค่รู้ว่าระบบควรป้องกันอย่างไร แต่เข้าใจว่าองค์กรควรวางกรอบความปลอดภัยอย่างไร เพื่อให้คน กระบวนการ เทคโนโลยี ข้อมูล และความเสี่ยงเดินไปในทิศทางเดียวกัน
ผู้เรียนจะได้เชื่อมโยงองค์ความรู้ทั้ง 8 ด้านของ CISSP
- ตั้งแต่การบริหารความเสี่ยง
- การดูแลสินทรัพย์ข้อมูล
- การออกแบบความปลอดภัยของระบบและเครือข่าย
- การควบคุมสิทธิ์
- การทดสอบความปลอดภัย
- การปฏิบัติการด้าน Security ไปจนถึงความปลอดภัยในกระบวนการพัฒนาซอฟต์แวร์
ความรู้เหล่านี้ช่วยให้คนทำงานด้าน IT และ Security คุยกับผู้บริหาร, ทีมกฎหมาย, Compliance, Data, Infrastructure และทีมพัฒนาระบบได้ชัดขึ้น เพราะมอง Security เชื่อมกับความเสี่ยงและเป้าหมายขององค์กรด้วย นอกจากการเตรียมตัวสอบใบรับรองระดับสากลแล้ว ประโยชน์ของ CISSP ยังช่วยให้ผู้เรียนนำความรู้กลับไปใช้กับงานจริงได้หลายมิติ เช่น
- วางกรอบบริหารความเสี่ยงด้านความปลอดภัยให้ตรงกับเป้าหมายองค์กร
- เข้าใจการจัดประเภทและดูแลข้อมูลตั้งแต่เริ่มใช้งานจนถึงการทำลาย
- กำหนดสิทธิ์การเข้าถึงข้อมูลและระบบให้เหมาะกับบทบาทงาน
- ประเมินความเสี่ยงของระบบใหม่ เทคโนโลยีใหม่ หรือโครงการ AI ได้รอบด้านขึ้น
- สื่อสารกับผู้บริหารและทีมต่างๆ ได้ชัดเจนขึ้น
- เตรียมพร้อมสู่บทบาทด้าน Governance, Risk, Compliance, Audit และการวางนโยบายความปลอดภัยระดับองค์กร
เมื่อ AI เข้าไปอยู่ในกระบวนการตัดสินใจมากขึ้น ความน่าเชื่อถือขององค์กรจึงไม่ได้วัดจากความสามารถของโมเดลเพียงอย่างเดียว องค์กรยังต้องอธิบายให้ได้ว่า ข้อมูลมาจากไหน ถูกนำไปใช้อย่างไร และมีการควบคุมความเสี่ยงตลอดเส้นทางมากพอหรือไม่ เพราะกรอบคิดด้าน Governance และ Security ที่ดี คือสิ่งที่ช่วยให้องค์กรใช้ AI ได้อย่างมั่นใจ ตรวจสอบได้ และบริหารความเสี่ยงได้ตั้งแต่ต้นทาง
| COURSE | SCHEDULE | LIST PRICE(THB) ไม่รวม VAT7% |
REGISTER |
| CISSP-TH Certified Information Systems Security Professional |
7-9, 13-14 Jul 26 | 35,500 ไม่รวม VAT7% |
 |
Add LINE for Get 5% Discount ontop
LINE ID: @NTC-LINE
