- 24
- มีนาคม
ความปลอดภัยเบื้องต้นที่ผู้ใช้ ERP ต้องรู้ — ไม่ใช่เรื่องของ IT คนเดียว
หลายคนคิดว่าเรื่อง ความปลอดภัยของระบบ เป็นหน้าที่ของทีม IT แต่ในความเป็นจริง ผู้ใช้งานทุกคนคือ "ด่านแรก" ของการรักษาความปลอดภัย ไม่ว่าระบบ ERP จะมี Firewall ดีแค่ไหน ถ้าผู้ใช้แชร์รหัสผ่านหรือคลิกลิงก์ Phishing ระบบก็ถูกเจาะได้ทั้งหมด
ทำไมความปลอดภัยเป็นเรื่องของทุกคน?
ระบบ ERP เก็บข้อมูลที่สำคัญที่สุดขององค์กร ตั้งแต่ข้อมูลงบประมาณ ข้อมูลพัสดุ ข้อมูลบุคลากร ไปจนถึงข้อมูลทางการเงิน ถ้าข้อมูลเหล่านี้รั่วไหลหรือถูกแก้ไขโดยไม่ได้รับอนุญาต ผลเสียจะเกิดกับทั้งองค์กร ไม่ใช่แค่ทีม IT
สถิติจากรายงานด้านความปลอดภัยพบว่า กว่า 80% ของการรั่วไหลข้อมูลเกิดจากพฤติกรรมของผู้ใช้ เช่น รหัสผ่านอ่อนแอ คลิกลิงก์หลอกลวง หรือไม่ล็อกเอาท์เมื่อลุกจากเครื่อง
10 กฎเหล็กด้านความปลอดภัยสำหรับผู้ใช้ ERP
1. ไม่แชร์ Username/Password กับใคร — ไม่มีข้อยกเว้น
แม้จะเป็นเพื่อนร่วมงาน หัวหน้า หรือทีม IT ก็ตาม ระบบ ERP บันทึกทุกการกระทำตาม User ถ้ามีคนใช้บัญชีของคุณทำรายการผิด คุณคือคนที่ต้องรับผิดชอบ ตามบันทึกในระบบ
2. ตั้งรหัสผ่านที่แข็งแรง
รหัสผ่านที่ดีต้องมีคุณสมบัติครบทุกข้อ:
| เกณฑ์ | ตัวอย่างที่ดี | ตัวอย่างที่แย่ |
|---|---|---|
| ความยาว 12 ตัวขึ้นไป | MyErp@2026!Go | erp123 |
| มีทั้งตัวเล็ก + ตัวใหญ่ | SaEreE | saeree |
| มีตัวเลข | ...2026... | ไม่มีตัวเลข |
| มีอักขระพิเศษ | @, !, #, $ | ไม่มี |
| ไม่ใช่ข้อมูลส่วนตัว | ใช้ประโยคที่จำง่าย | somchai1990 |
เคล็ดลับ: ใช้ "ประโยค" แทน "คำ" เช่น FenDee@ERP#2026 จำง่ายแต่เดายาก
3. เปิด MFA/2FA ถ้าระบบรองรับ
การยืนยันตัวตนสองชั้น (2FA) เพิ่มความปลอดภัยอีกระดับ แม้รหัสผ่านจะรั่ว แฮกเกอร์ก็เข้าระบบไม่ได้ถ้าไม่มีรหัสจากมือถือของคุณ วิธีที่ใช้กันทั่วไปคือ:
- OTP ผ่าน SMS — รหัสส่งเข้ามือถือ
- Authenticator App — เช่น Google Authenticator, Microsoft Authenticator
- Email OTP — รหัสส่งเข้าอีเมล
4. ล็อกเอาท์ทุกครั้งที่ลุกจากเครื่อง
แม้จะแค่ไปเข้าห้องน้ำ 5 นาที ก็ควร ล็อกหน้าจอ (Windows: Win+L, Mac: Ctrl+Cmd+Q) เพราะใครก็ได้สามารถเข้ามาทำรายการในระบบด้วยบัญชีของคุณ
5. ระวัง Phishing — ไม่คลิกลิงก์แปลกๆ ใน Email
Phishing คืออีเมลหลอกลวงที่ปลอมตัวเป็นหน่วยงานที่น่าเชื่อถือ เพื่อหลอกให้คุณกรอก username/password สังเกตอย่างไร:
- ตรวจอีเมลผู้ส่ง — domain ถูกต้องหรือไม่ (เช่น @grandlinux.com ไม่ใช่ @grandl1nux.com)
- hover ดูลิงก์ก่อนคลิก — URL ตรงกับเว็บจริงหรือไม่
- ไม่ดาวน์โหลดไฟล์แนบที่ไม่ได้คาดหวัง
- ถ้าไม่แน่ใจ — ถาม IT ก่อนคลิก
6. ไม่ติดตั้งโปรแกรมแปลกๆ ในเครื่อง
ซอฟต์แวร์ที่ไม่ได้รับอนุญาตอาจมี Malware ที่ขโมยข้อมูล หรือ Keylogger ที่บันทึกทุกอย่างที่คุณพิมพ์ รวมถึงรหัสผ่าน ERP ถ้าต้องการโปรแกรมเพิ่ม ให้แจ้ง IT เพื่อตรวจสอบและติดตั้งให้
7. แจ้ง IT ทันทีถ้าสงสัยว่าถูก Hack
สัญญาณที่ต้องระวัง:
- มีรายการในระบบที่คุณไม่ได้ทำ
- ได้รับ OTP โดยไม่ได้ Login
- เข้าระบบไม่ได้ทั้งที่ใช้รหัสผ่านถูกต้อง
- เพื่อนร่วมงานบอกว่าได้อีเมลแปลกๆ จากบัญชีของคุณ
สิ่งที่ต้องทำ: เปลี่ยนรหัสผ่านทันที + แจ้ง IT + ตรวจสอบ Audit Trail
8. ไม่ใช้ WiFi สาธารณะเข้าระบบ ERP
WiFi ตามร้านกาแฟ สนามบิน หรือโรงแรม สามารถถูกดักจับข้อมูลได้ ถ้าจำเป็นต้องใช้งานนอกสำนักงาน ควรใช้ VPN ที่องค์กรจัดให้ หรือใช้ ระบบ Remote Access ที่ปลอดภัย
9. ตรวจสอบ Audit Trail ของตัวเอง
ระบบ ERP ส่วนใหญ่มี Audit Trail ที่บันทึกว่าบัญชีของคุณทำอะไรบ้าง เมื่อไร ควรเข้าไปตรวจสอบเป็นประจำ (อย่างน้อยเดือนละครั้ง) ว่ามีรายการแปลกๆ ที่คุณไม่ได้ทำหรือไม่
10. อัพเดท Browser และระบบปฏิบัติการ
Browser เก่าและ OS เก่ามีช่องโหว่ที่แฮกเกอร์ใช้โจมตีได้ การอัพเดทใช้เวลาแค่ไม่กี่นาที แต่ป้องกันปัญหาใหญ่ได้ ตั้ง Auto-Update ไว้เลยจะดีที่สุด
ทำความเข้าใจ RBAC — สิทธิ์การเข้าถึงตาม Role
RBAC (Role-Based Access Control) คือระบบกำหนดสิทธิ์ตามบทบาท ไม่ใช่ทุกคนจะเห็นข้อมูลเหมือนกัน:
| Role | สิทธิ์ที่ได้ | สิ่งที่ทำไม่ได้ |
|---|---|---|
| ผู้ใช้ทั่วไป (User) | สร้างเอกสาร, ดูรายงานแผนกตัวเอง | อนุมัติเอกสาร, ดูข้อมูลแผนกอื่น, แก้ไข Master Data |
| หัวหน้างาน (Supervisor) | อนุมัติเอกสาร, ดูรายงานภาพรวมแผนก | แก้ไขงบประมาณ, ลบข้อมูล, จัดการ User |
| ผู้จัดการ (Manager) | ดู Dashboard, อนุมัติระดับสูง, ดูรายงานข้ามแผนก | แก้ไขโครงสร้างระบบ, จัดการสิทธิ์ |
| Admin | จัดการ User, กำหนดสิทธิ์, แก้ไข Master Data | ลบ Audit Trail (ไม่มีใครทำได้) |
หลักการสำคัญ: ทุก Role ได้รับสิทธิ์ เท่าที่จำเป็น เท่านั้น (Principle of Least Privilege) ถ้าต้องการสิทธิ์เพิ่ม ต้องขออนุมัติตามขั้นตอน
Audit Trail คืออะไร? ทำไมสำคัญ?
Audit Trail คือ ระบบบันทึกอัตโนมัติ ที่เก็บข้อมูลทุกการกระทำในระบบ ERP:
- ใคร ทำ (Username)
- ทำอะไร (สร้าง/แก้ไข/ลบ/อนุมัติ)
- เมื่อไร (วันที่ + เวลาที่แม่นยำ)
- จากที่ไหน (IP Address)
- ข้อมูลเดิม vs ข้อมูลใหม่ (กรณีแก้ไข)
Audit Trail ลบไม่ได้และแก้ไม่ได้ แม้แต่ Admin ก็ทำไม่ได้ เพราะมีไว้เพื่อความโปร่งใสและตรวจสอบย้อนหลังได้ หน่วยงานตรวจสอบ (เช่น สตง.) สามารถขอดู Audit Trail เพื่อตรวจสอบการทำงานของระบบได้
ลืมรหัสผ่าน — ทำอย่างไร?
ถ้าลืมรหัสผ่าน ให้ทำตามขั้นตอนนี้:
- ลองกดลิงก์ "ลืมรหัสผ่าน" ที่หน้า Login — ระบบจะส่งลิงก์ Reset ไปที่อีเมลที่ลงทะเบียนไว้
- ตรวจกล่อง Spam/Junk — บางครั้งอีเมล Reset อาจเข้ากล่อง Spam
- ถ้ายังเข้าไม่ได้ ติดต่อ Admin/IT — IT จะ Reset รหัสผ่านให้ผ่านระบบ Admin
- ตั้งรหัสผ่านใหม่ทันที — อย่าใช้รหัสเดิมซ้ำ
- อัพเดทในเครื่องมือจำรหัสผ่าน — ถ้าใช้ Password Manager ให้อัพเดทด้วย
สรุป
ความปลอดภัยของระบบ ERP ขึ้นอยู่กับ พฤติกรรมของผู้ใช้ทุกคน ไม่ใช่แค่เทคโนโลยี 10 กฎเหล็กในบทความนี้ไม่ใช่เรื่องยาก แค่ทำจนเป็นนิสัย — ไม่แชร์รหัสผ่าน, เปิด 2FA, ล็อกหน้าจอ, ระวัง Phishing — แค่นี้ก็ช่วยปกป้ององค์กรได้มหาศาล
"ระบบรักษาความปลอดภัยที่ดีที่สุด ก็แพ้รหัสผ่านที่เขียนติดไว้บนโพสต์อิทหน้าจอ — ความปลอดภัยเริ่มที่ตัวคุณ"
บทความที่เกี่ยวข้องจากศูนย์ความรู้
- 10 เทคนิคใช้งานระบบ ERP ให้เร็วขึ้น ผู้ใช้งาน
- วิธีอ่านรายงานใน ERP — เข้าใจตัวเลขในหน้าจอ ผู้ใช้งาน
- FAQ: ปัญหาที่พบบ่อยในการใช้ ERP + วิธีแก้ ผู้ใช้งาน
- องค์กรพร้อมทำ ERP หรือยัง? 10 คำถามที่ต้องตอบ ผู้บริหาร
- 2FA คืออะไร? ทำไมระบบ ERP ต้องมี บทความ
