7 ขั้นตอนสร้าง Security Awareness ให้พนักงานองค์กรอย่างมีประสิทธิภาพ

หลายครั้งเราอาจะพูดถึงการสร้าง Security Awareness ให้องค์กรด้วยการให้ความรู้และสื่อสารเพียงอย่างเดียว แต่ในความเป็นจริงแล้วสิ่งเหล่านั้นยังไม่เพียงพอ มันยังรวมถึงการบริหารจัดการบุคคลหรือกลุ่มบุคคลให้ได้รับข้อมูล โครงการ และสร้างแผนการกระจายข้อมูลที่เกี่ยวข้องตรงกับปัญหาไปยังพนักงานในองค์กรเพื่อให้เข้าใจว่าพวกเขาคือส่วนหนึ่งในความมั่นคงปลอดภัยขององค์กร นอกจากนี้พนักงานต้องทราบถึงรูปแบบของภัยคุกคามและต้องสามารถตอบสนองกับภัยคุกคามตามนโยบายขององค์กรที่ถูกจัดวางไว้ได้อย่างเหมาะสมด้วย วันนี้เราจึงสรุปบทความที่กล่าวถึงขั้นตอนปฏิบัติเพื่อสร้างการตระหนักรู้ให้กับพนักงานในองค์กรมาให้ติดตามกัน

การสร้างให้พนักงานในองค์กรมีบทบาทที่ทำให้องค์กรเกิดความมั่นคงปลอดภัย เราจะต้องใช้เครื่องมือที่ทำให้พนักงานมีความทันสมัยต่อเหตุการณ์และต้องทำให้เกิดความรู้สึกในเชิงบวก โดยสิ่งที่พึงกระทำคือมีการเชิญตัวแทนจากทีมความมั่นคงปลอดภัยมาเพื่อให้ความรู้ความเข้าใจเกี่ยวกับโปรแกรมด้านความมั่นคงปลอดภัยตั้งแต่วันแรกของการปฐมนิเทศน์พนักงานใหม่ ซึ่งในเนื้อหาควรจะประกอบด้วยนโยบายด้านความมั่นคงปลอดภัยและภัยคุกคามที่อาจเกิดในองค์กรทั่วๆไป พร้อมกับชี้แจงถึงบทบาทของพนักงานต่อความมั่นคงปลอดภัยในองค์กรด้วย

ขั้นตอนที่จะทำให้พนักงานรู้สึกมีส่วมร่วมในด้านความมั่นคงปลอดภัยอย่างแท้จริงคือการเปิดช่องทางให้พนักงานสามารถสื่อสารและซักถามข้อสงสัยเกี่ยวกับความมั่นคงปลอดภัย โดยสามารถปฏิบัติได้ดังนี้

1. มีการจัดกิจกรรมเพื่อฝึกฝนทักษะ เช่น กระจายบทความหรือจดหมายข่าว จัดแข่งขัน ทำการทดสอบ Phishing กับพนักงาน การใช้งานอีเมลและมีการนำเสนอเรื่องราวด้านความมั่นคงปลอดภัยตลอดทั้งปี
2. สร้างการสื่อสารระหว่างพนักงานกับทีมงานด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับเหตุการณ์นั้นผ่านทางกระดานความคิดเห็น โดยทีมงานผู้เชี่ยวชาญต้องสามารถตอบคำถามกับพนักงานได้อย่างเข้าใจและตรงจุดไปยังอีเมลของพนักงานได้โดยตรง ซึ่งคำถามหรือรายงานข้อมูลจากพนักงานเหล่านี้จะช่วยให้ทีมงานความมั่นคงปลอดภัยได้รับข้อมูลที่เกิดขึ้นจริงและเห็นภาพภัยคุกคามภายในองค์กรอย่างถูกต้องและชัดเจน
3. ทดสอบพนักงานจากเหตุการณ์ที่เกิดขึ้นในโลกความเป็นจริงในสภาพแวดล้อมที่ผู้เชี่ยวชาญกำหนดไว้ เช่น ส่งอีเมล Phishing ที่เหมือนกับเหตุการณ์จริงและดูว่าพนักงานจะปฏิบัติอย่างไร เพื่อให้พนักงานเกิดความคุ้นเคยหากมีเหตุการณ์เกิดขึ้นจริง ขั้นตอนนี้ทีมงานความมั่นคงปลอดภัยจะได้รับมาตรวัดด้าน Awareness เพื่อใช้คุยกับทีมงาน พนักงาน หรือบอร์ดบริหาร รวมถึงยกระดับไปสู่การทดสอบความมั่นคงปลอดภัยแบบเชิงกายภาพและเชิงตรรกะ
4. ทางทีมงานเองควรจะฟังเสียงตอบรับจากพนักงานด้วย เช่น ออกสำรวจเพื่อหาว่าจริงๆ แล้วอะไรคือความมั่นคงปลอดภัยที่พนักงานกังวลทั้งที่ทำงานและที่บ้าน อักทั้งพวกเขาหวังจะเห็นหรือฟังอะไรจากทีมงานความมั่นคงปลอดภัย ซึ่งข้อมูลนี้เองจะทำให้ทีมงานด้านความมั่นคงปลอดภัยเข้าใจพนักงานที่ร่วมกิจกรรมที่จัดขึ้น อีกทั้งใช้ข้อมูลเหล่านี้ไปจัดกิจกรรมให้ตรงกับความสนใจของพนักงานมากขึ้นในครั้งต่อไป
5. การจัดอบรมด้านความมั่นคงปลอดภัยต้องออกแบบเนื้อหาให้เหมาะสมกับพื้นฐานความรู้ของพนักงานด้วย โดยอย่าคิดว่าพนักงานทุกคนไม่รู้มาก่อนเพราะมันอาจจะทำให้ไม่ได้รับความสนใจจากพนักงานที่เข้าร่วมกลุ่มนั้น
6. ให้โอกาสพนักงานรู้สึกว่ามีส่วนร่วมเมื่อพบเหตุการณ์ไม่ปกติ เช่น ให้ส่งรายงานของเหตุการณ์เหล่านั้นมาได้โดยส่งความเอกสารข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่จำเป็นในการจัดทำรายงาน
7. จัดตั้งตัวแทนด้านความมั่นคงปลอดภัยของแต่ละฝ่ายเพื่อเกิดการทำงานเป็นทีมและก่อตั้งเครือข่ายในการรายงานเหตุการณ์ภัยคุกคามตามลำดับชั้น อีกทั้งช่วยเข้าถึงความแตกต่างของวัฒนธรรมของแต่ละฝ่ายได้ด้วย ซึ่งแม้ว่าทีมความมั่นคงปลอดภัยจะมีไม่มากนักแต่การมีหูมีตาจากพนักงานทุกคนในองค์กรย่อมจะช่วยให้ทีมงานได้รับข้อมูลและแก้ไขปัญหาได้อย่างตรงจุดอย่างทันท่วงที

ที่มา : https://www.securitymagazine.com/articles/88538-how-to-tailor-security-awareness-training-to-employees-needs