7 ขั้นตอนสร้าง Security Awareness ให้พนักงานองค์กรอย่างมีประสิทธิภาพ

หลายครั้งเราอาจะพูดถึงการสร้าง Security Awareness ให้องค์กรด้วยการให้ความรู้และสื่อสารเพียงอย่างเดียว แต่ในความเป็นจริงแล้วสิ่งเหล่านั้นยังไม่เพียงพอ มันยังรวมถึงการบริหารจัดการบุคคลหรือกลุ่มบุคคลให้ได้รับข้อมูล โครงการ และสร้างแผนการกระจายข้อมูลที่เกี่ยวข้องตรงกับปัญหาไปยังพนักงานในองค์กรเพื่อให้เข้าใจว่าพวกเขาคือส่วนหนึ่งในความมั่นคงปลอดภัยขององค์กร นอกจากนี้พนักงานต้องทราบถึงรูปแบบของภัยคุกคามและต้องสามารถตอบสนองกับภัยคุกคามตามนโยบายขององค์กรที่ถูกจัดวางไว้ได้อย่างเหมาะสมด้วย วันนี้เราจึงสรุปบทความที่กล่าวถึงขั้นตอนปฏิบัติเพื่อสร้างการตระหนักรู้ให้กับพนักงานในองค์กรมาให้ติดตามกัน

Credit: ShutterStock.com

การสร้างให้พนักงานในองค์กรมีบทบาทที่ทำให้องค์กรเกิดความมั่นคงปลอดภัย เราจะต้องใช้เครื่องมือที่ทำให้พนักงานมีความทันสมัยต่อเหตุการณ์และต้องทำให้เกิดความรู้สึกในเชิงบวก โดยสิ่งที่พึงกระทำคือมีการเชิญตัวแทนจากทีมความมั่นคงปลอดภัยมาเพื่อให้ความรู้ความเข้าใจเกี่ยวกับโปรแกรมด้านความมั่นคงปลอดภัยตั้งแต่วันแรกของการปฐมนิเทศน์พนักงานใหม่ ซึ่งในเนื้อหาควรจะประกอบด้วยนโยบายด้านความมั่นคงปลอดภัยและภัยคุกคามที่อาจเกิดในองค์กรทั่วๆไป พร้อมกับชี้แจงถึงบทบาทของพนักงานต่อความมั่นคงปลอดภัยในองค์กรด้วย

ขั้นตอนที่จะทำให้พนักงานรู้สึกมีส่วมร่วมในด้านความมั่นคงปลอดภัยอย่างแท้จริงคือการเปิดช่องทางให้พนักงานสามารถสื่อสารและซักถามข้อสงสัยเกี่ยวกับความมั่นคงปลอดภัย โดยสามารถปฏิบัติได้ดังนี้

  1. มีการจัดกิจกรรมเพื่อฝึกฝนทักษะ เช่น กระจายบทความหรือจดหมายข่าว จัดแข่งขัน ทำการทดสอบ Phishing กับพนักงาน การใช้งานอีเมลและมีการนำเสนอเรื่องราวด้านความมั่นคงปลอดภัยตลอดทั้งปี
  2. สร้างการสื่อสารระหว่างพนักงานกับทีมงานด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับเหตุการณ์นั้นผ่านทางกระดานความคิดเห็น โดยทีมงานผู้เชี่ยวชาญต้องสามารถตอบคำถามกับพนักงานได้อย่างเข้าใจและตรงจุดไปยังอีเมลของพนักงานได้โดยตรง ซึ่งคำถามหรือรายงานข้อมูลจากพนักงานเหล่านี้จะช่วยให้ทีมงานความมั่นคงปลอดภัยได้รับข้อมูลที่เกิดขึ้นจริงและเห็นภาพภัยคุกคามภายในองค์กรอย่างถูกต้องและชัดเจน
  3. ทดสอบพนักงานจากเหตุการณ์ที่เกิดขึ้นในโลกความเป็นจริงในสภาพแวดล้อมที่ผู้เชี่ยวชาญกำหนดไว้ เช่น ส่งอีเมล Phishing ที่เหมือนกับเหตุการณ์จริงและดูว่าพนักงานจะปฏิบัติอย่างไร เพื่อให้พนักงานเกิดความคุ้นเคยหากมีเหตุการณ์เกิดขึ้นจริง ขั้นตอนนี้ทีมงานความมั่นคงปลอดภัยจะได้รับมาตรวัดด้าน Awareness เพื่อใช้คุยกับทีมงาน พนักงาน หรือบอร์ดบริหาร รวมถึงยกระดับไปสู่การทดสอบความมั่นคงปลอดภัยแบบเชิงกายภาพและเชิงตรรกะ
  4. ทางทีมงานเองควรจะฟังเสียงตอบรับจากพนักงานด้วย เช่น ออกสำรวจเพื่อหาว่าจริงๆ แล้วอะไรคือความมั่นคงปลอดภัยที่พนักงานกังวลทั้งที่ทำงานและที่บ้าน อักทั้งพวกเขาหวังจะเห็นหรือฟังอะไรจากทีมงานความมั่นคงปลอดภัย ซึ่งข้อมูลนี้เองจะทำให้ทีมงานด้านความมั่นคงปลอดภัยเข้าใจพนักงานที่ร่วมกิจกรรมที่จัดขึ้น อีกทั้งใช้ข้อมูลเหล่านี้ไปจัดกิจกรรมให้ตรงกับความสนใจของพนักงานมากขึ้นในครั้งต่อไป
  5. การจัดอบรมด้านความมั่นคงปลอดภัยต้องออกแบบเนื้อหาให้เหมาะสมกับพื้นฐานความรู้ของพนักงานด้วย โดยอย่าคิดว่าพนักงานทุกคนไม่รู้มาก่อนเพราะมันอาจจะทำให้ไม่ได้รับความสนใจจากพนักงานที่เข้าร่วมกลุ่มนั้น
  6. ให้โอกาสพนักงานรู้สึกว่ามีส่วนร่วมเมื่อพบเหตุการณ์ไม่ปกติ เช่น ให้ส่งรายงานของเหตุการณ์เหล่านั้นมาได้โดยส่งความเอกสารข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่จำเป็นในการจัดทำรายงาน
  7. จัดตั้งตัวแทนด้านความมั่นคงปลอดภัยของแต่ละฝ่ายเพื่อเกิดการทำงานเป็นทีมและก่อตั้งเครือข่ายในการรายงานเหตุการณ์ภัยคุกคามตามลำดับชั้น อีกทั้งช่วยเข้าถึงความแตกต่างของวัฒนธรรมของแต่ละฝ่ายได้ด้วย ซึ่งแม้ว่าทีมความมั่นคงปลอดภัยจะมีไม่มากนักแต่การมีหูมีตาจากพนักงานทุกคนในองค์กรย่อมจะช่วยให้ทีมงานได้รับข้อมูลและแก้ไขปัญหาได้อย่างตรงจุดอย่างทันท่วงที

ที่มา : https://www.securitymagazine.com/articles/88538-how-to-tailor-security-awareness-training-to-employees-needs



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Check Point เผยแนวโน้มการโจมตีทางไซเบอร์ในปี 2020

เมื่อวันพุธที่ผ่านมานี้เราได้มีโอกาสเข้าร่วมการแถลงข่าวของ Check Point ผู้เชี่ยวชาญในโซลูชันด้านความมั่นคงปลอดภัยซึ่งได้มาเล่าถึงแนวโน้มด้านการโจมตีในปี 2020 เราจึงขอสรุปมาให้ติดตามกันครับ

TechTalk Webinar: ตรวจสอบพฤติกรรมการเข้าถึงของผู้ใช้งานบน Active Directory และไฟล์แชร์ ให้ตรงตามมาตรฐานการรักษาความปลอดภัยได้อย่างไร โดย Quest Software

TechTalkThai ขอเรียนเชิญ IT Manager, IT Security Manager, IT Security Engineer, IT Compliance Officer และผู้ดูแลระบบ IT เข้าร่วมฟัง TechTalk Webinar ในหัวข้อเรื่อง "ตรวจสอบพฤติกรรมการเข้าถึงของผู้ใช้งานบน Active Directory และไฟล์แชร์ ให้ตรงตามมาตรฐานการรักษาความปลอดภัยได้อย่างไร โดย Quest Software" เพื่อทำความรู้จักกับเทคโนโลยีในการตรวจสอบการเข้าถึงสองระบบสำคัญอย่าง Microsoft AD และ File Sharing ตอบโจทย์ด้าน Security และ Compliance โดยเฉพาะ ในวันศุกร์ที่ 24 มกราคม 2020 เวลา 14.00 – 15.30 น. โดยมีกำหนดการและวิธีการลงทะเบียนดังนี้