หนึ่งใน “กับดัก” ทางความคิดที่อันตรายที่สุดของผู้บริหารเมื่อย้ายระบบขึ้น Microsoft 365 คือการเข้าใจว่า “Microsoft ดูแลให้ทุกอย่างแล้ว ข้อมูลไม่มีวันหาย” ในความเป็นจริง แม้ Microsoft จะมีระบบโครงสร้างพื้นฐานที่ยอดเยี่ยมระดับโลก แต่ในข้อกำหนดการใช้งาน (Service Agreement) มีหลักการหนึ่งที่ระบุไว้อย่างชัดเจนคือ Shared Responsibility Model หรือ แบบจำลองความรับผิดชอบร่วมกัน ซึ่งระบุว่า “ข้อมูลเป็นหน้าที่ของคุณ ไม่ใช่ของ Microsoft”
1. Shared Responsibility Model คืออะไร? (The Concept)
เพื่อให้เห็นภาพง่ายขึ้น ให้เปรียบเทียบกับการเช่า “ตู้นิรภัยในธนาคาร”
- หน้าที่ของธนาคาร (Microsoft): ดูแลความปลอดภัยของอาคาร, ระบบไฟ, ระบบล็อกตู้, ป้องกันไม่ให้ใครมาทุบตู้ (นั่นคือ Infrastructure, Uptime และ Physical Security)
- หน้าที่ของคุณ (ลูกค้า): ดูแลสิ่งที่อยู่ “ข้างในตู้” ถ้าคุณเอาของปลอมมาใส่ หรือเผลอทำกุญแจหาย หรือให้กุญแจคนผิดไปจนของถูกขโมย นั่นคือความรับผิดชอบของคุณ
ตารางเปรียบเทียบความรับผิดชอบใน Microsoft 365
| รายการ | Microsoft ดูแล (Global Provider) | คุณดูแล (The Customer) |
| โครงสร้างพื้นฐาน (Hardware/Data Center) | ✅ | |
| ความพร้อมใช้งานของบริการ (Uptime) | ✅ | |
| การจัดการข้อมูล (Data & Content) | ✅ | |
| การจัดการบัญชีและสิทธิ์เข้าถึง (Identity/Access) | ✅ | |
| อุปกรณ์ที่ใช้เข้าถึง (Devices/Endpoints) | ✅ | |
| การสำรองข้อมูลตามระเบียบองค์กร (Backup) | ✅ |
2. 5 เหตุผลสำคัญที่ “ระบบสำรองข้อมูลมาตรฐาน” ของ Microsoft ไม่พอ
ทำไมการพึ่งพาแค่ถังขยะ (Recycle Bin) ของ Microsoft 365 ถึงมีความเสี่ยงสูง?
1. นโยบายการเก็บรักษาที่จำกัด (Retention Gaps)
โดยเฉลี่ย Microsoft จะเก็บข้อมูลที่ถูกลบไว้เพียง 30-90 วัน หากพนักงานลบไฟล์สำคัญทิ้งและบริษัทมารู้ตัวในเดือนที่ 4 ข้อมูลนั้นจะ “หายไปตลอดกาล” โดยที่ Microsoft ไม่สามารถกู้คืนให้ได้
2. การโจมตีจากภายใน (Insider Threats)
หากพนักงานที่กำลังจะลาออกเกิดความไม่พอใจ และทำการลบข้อมูลสำคัญใน OneDrive หรืออีเมลทิ้งก่อนจากไป หากไม่มีระบบสำรองข้อมูลแยกต่างหาก (Third-party Backup) องค์กรจะได้รับความเสียหายอย่างหนัก
3. ภัยคุกคามจากภายนอก (Ransomware)
แฮกเกอร์ในปัจจุบันเก่งพอที่จะเจาะเข้าไปลบ Version History หรือล้างถังขยะในระบบ Cloud ได้ หากคุณไม่มี “สำเนาที่แยกขาดจากระบบหลัก” (Offsite Backup) คุณจะไม่มีทางเลือกอื่นนอกจากยอมจ่ายค่าไถ่
4. ความผิดพลาดจากการตั้งค่า (Configuration Errors)
หาก Admin เผลอตั้งค่า Sync ข้อมูลผิดพลาด หรือสั่งลบ User ผิดคน ระบบ Cloud จะทำการ “ซิงค์ความผิดพลาด” นั้นไปทุกเครื่องทันที ข้อมูลที่ถูกลบอย่างถูกต้องตามคำสั่งจะถือว่าเป็นการลบโดยสมบูรณ์
5. ข้อกำหนดทางกฎหมาย (Legal & Compliance)
หลายอุตสาหกรรมมีกฎหมายบังคับให้ต้องเก็บข้อมูลย้อนหลัง 5-10 ปี ซึ่งระบบมาตรฐานของ Microsoft 365 (โดยเฉพาะ License เริ่มต้น) ไม่ได้ออกแบบมาเพื่อการเก็บข้อมูลยาวนานขนาดนั้นในราคาที่คุ้มค่า
3. บทวิเคราะห์จากผู้เชี่ยวชาญ กลยุทธ์ “Cloud-to-Cloud Backup”
ผู้เชี่ยวชาญด้านไอทีมองว่าการมี Cloud-to-Cloud Backup คือ “ประกันภัย” ของธุรกิจยุคใหม่
“การสำรองข้อมูลแยกออกมาอีกชั้น ไม่ใช่การไม่ไว้ใจ Microsoft แต่เป็นการป้องกันความผิดพลาดที่เกิดจากมนุษย์ (Human Error) ซึ่งเป็นสาเหตุอันดับ 1 ของข้อมูลสูญหาย การมี Backup ที่แยก Account กัน และแยกที่เก็บข้อมูลกัน จะช่วยให้ธุรกิจฟื้นตัวได้ (Cyber Resilience) แม้ในสถานการณ์ที่เลวร้ายที่สุด”
4. คู่มือการบริหารจัดการ สิ่งที่ผู้บริหารต้องสั่งการ
เพื่อให้องค์กรปลอดภัยตามหลัก Shared Responsibility Model ฝ่ายบริหารควรมีนโยบายดังนี้:
- ประเมินมูลค่าข้อมูล: ให้ฝ่ายไอทีสรุปว่าหากข้อมูลอีเมลหรือไฟล์งานหายไป 1 ปี จะกระทบเงินในกระเป๋าเท่าไหร่
- เลือกระบบ Backup ภายนอก: ลงทุนในซอฟต์แวร์ Backup (เช่น Veeam, SkyKick, หรือ Acronis) ที่ทำการคัดลอกข้อมูลจาก M365 ไปเก็บที่อื่นอัตโนมัติทุกวัน
- ตรวจสอบสิทธิ์ Admin: ใช้หลักการ Least Privilege ให้สิทธิ์ Admin เฉพาะเท่าที่จำเป็น เพื่อลดความเสี่ยงจากการตั้งค่าผิดพลาด
บทสรุป
Shared Responsibility Model คือเครื่องเตือนใจว่า ในโลกของ Cloud “คุณคือเจ้าของข้อมูล และคุณคือผู้รับผิดชอบความปลอดภัยของมัน” การใช้ Microsoft 365 ร่วมกับการมีระบบสำรองข้อมูลแยก (Third-party Backup) คือมาตรฐานทองคำที่จะช่วยให้ธุรกิจของคุณเติบโตได้อย่างมั่นคงและไร้กังวล
พร้อมปกป้องธุรกิจและชีวิตดิจิทัลของคุณให้ปลอดภัยแล้วหรือยัง?