Breaking News

7 ขั้นตอนสร้าง Security Awareness ให้พนักงานองค์กรอย่างมีประสิทธิภาพ

หลายครั้งเราอาจะพูดถึงการสร้าง Security Awareness ให้องค์กรด้วยการให้ความรู้และสื่อสารเพียงอย่างเดียว แต่ในความเป็นจริงแล้วสิ่งเหล่านั้นยังไม่เพียงพอ มันยังรวมถึงการบริหารจัดการบุคคลหรือกลุ่มบุคคลให้ได้รับข้อมูล โครงการ และสร้างแผนการกระจายข้อมูลที่เกี่ยวข้องตรงกับปัญหาไปยังพนักงานในองค์กรเพื่อให้เข้าใจว่าพวกเขาคือส่วนหนึ่งในความมั่นคงปลอดภัยขององค์กร นอกจากนี้พนักงานต้องทราบถึงรูปแบบของภัยคุกคามและต้องสามารถตอบสนองกับภัยคุกคามตามนโยบายขององค์กรที่ถูกจัดวางไว้ได้อย่างเหมาะสมด้วย วันนี้เราจึงสรุปบทความที่กล่าวถึงขั้นตอนปฏิบัติเพื่อสร้างการตระหนักรู้ให้กับพนักงานในองค์กรมาให้ติดตามกัน

Credit: ShutterStock.com

การสร้างให้พนักงานในองค์กรมีบทบาทที่ทำให้องค์กรเกิดความมั่นคงปลอดภัย เราจะต้องใช้เครื่องมือที่ทำให้พนักงานมีความทันสมัยต่อเหตุการณ์และต้องทำให้เกิดความรู้สึกในเชิงบวก โดยสิ่งที่พึงกระทำคือมีการเชิญตัวแทนจากทีมความมั่นคงปลอดภัยมาเพื่อให้ความรู้ความเข้าใจเกี่ยวกับโปรแกรมด้านความมั่นคงปลอดภัยตั้งแต่วันแรกของการปฐมนิเทศน์พนักงานใหม่ ซึ่งในเนื้อหาควรจะประกอบด้วยนโยบายด้านความมั่นคงปลอดภัยและภัยคุกคามที่อาจเกิดในองค์กรทั่วๆไป พร้อมกับชี้แจงถึงบทบาทของพนักงานต่อความมั่นคงปลอดภัยในองค์กรด้วย

ขั้นตอนที่จะทำให้พนักงานรู้สึกมีส่วมร่วมในด้านความมั่นคงปลอดภัยอย่างแท้จริงคือการเปิดช่องทางให้พนักงานสามารถสื่อสารและซักถามข้อสงสัยเกี่ยวกับความมั่นคงปลอดภัย โดยสามารถปฏิบัติได้ดังนี้

  1. มีการจัดกิจกรรมเพื่อฝึกฝนทักษะ เช่น กระจายบทความหรือจดหมายข่าว จัดแข่งขัน ทำการทดสอบ Phishing กับพนักงาน การใช้งานอีเมลและมีการนำเสนอเรื่องราวด้านความมั่นคงปลอดภัยตลอดทั้งปี
  2. สร้างการสื่อสารระหว่างพนักงานกับทีมงานด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับเหตุการณ์นั้นผ่านทางกระดานความคิดเห็น โดยทีมงานผู้เชี่ยวชาญต้องสามารถตอบคำถามกับพนักงานได้อย่างเข้าใจและตรงจุดไปยังอีเมลของพนักงานได้โดยตรง ซึ่งคำถามหรือรายงานข้อมูลจากพนักงานเหล่านี้จะช่วยให้ทีมงานความมั่นคงปลอดภัยได้รับข้อมูลที่เกิดขึ้นจริงและเห็นภาพภัยคุกคามภายในองค์กรอย่างถูกต้องและชัดเจน
  3. ทดสอบพนักงานจากเหตุการณ์ที่เกิดขึ้นในโลกความเป็นจริงในสภาพแวดล้อมที่ผู้เชี่ยวชาญกำหนดไว้ เช่น ส่งอีเมล Phishing ที่เหมือนกับเหตุการณ์จริงและดูว่าพนักงานจะปฏิบัติอย่างไร เพื่อให้พนักงานเกิดความคุ้นเคยหากมีเหตุการณ์เกิดขึ้นจริง ขั้นตอนนี้ทีมงานความมั่นคงปลอดภัยจะได้รับมาตรวัดด้าน Awareness เพื่อใช้คุยกับทีมงาน พนักงาน หรือบอร์ดบริหาร รวมถึงยกระดับไปสู่การทดสอบความมั่นคงปลอดภัยแบบเชิงกายภาพและเชิงตรรกะ
  4. ทางทีมงานเองควรจะฟังเสียงตอบรับจากพนักงานด้วย เช่น ออกสำรวจเพื่อหาว่าจริงๆ แล้วอะไรคือความมั่นคงปลอดภัยที่พนักงานกังวลทั้งที่ทำงานและที่บ้าน อักทั้งพวกเขาหวังจะเห็นหรือฟังอะไรจากทีมงานความมั่นคงปลอดภัย ซึ่งข้อมูลนี้เองจะทำให้ทีมงานด้านความมั่นคงปลอดภัยเข้าใจพนักงานที่ร่วมกิจกรรมที่จัดขึ้น อีกทั้งใช้ข้อมูลเหล่านี้ไปจัดกิจกรรมให้ตรงกับความสนใจของพนักงานมากขึ้นในครั้งต่อไป
  5. การจัดอบรมด้านความมั่นคงปลอดภัยต้องออกแบบเนื้อหาให้เหมาะสมกับพื้นฐานความรู้ของพนักงานด้วย โดยอย่าคิดว่าพนักงานทุกคนไม่รู้มาก่อนเพราะมันอาจจะทำให้ไม่ได้รับความสนใจจากพนักงานที่เข้าร่วมกลุ่มนั้น
  6. ให้โอกาสพนักงานรู้สึกว่ามีส่วนร่วมเมื่อพบเหตุการณ์ไม่ปกติ เช่น ให้ส่งรายงานของเหตุการณ์เหล่านั้นมาได้โดยส่งความเอกสารข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่จำเป็นในการจัดทำรายงาน
  7. จัดตั้งตัวแทนด้านความมั่นคงปลอดภัยของแต่ละฝ่ายเพื่อเกิดการทำงานเป็นทีมและก่อตั้งเครือข่ายในการรายงานเหตุการณ์ภัยคุกคามตามลำดับชั้น อีกทั้งช่วยเข้าถึงความแตกต่างของวัฒนธรรมของแต่ละฝ่ายได้ด้วย ซึ่งแม้ว่าทีมความมั่นคงปลอดภัยจะมีไม่มากนักแต่การมีหูมีตาจากพนักงานทุกคนในองค์กรย่อมจะช่วยให้ทีมงานได้รับข้อมูลและแก้ไขปัญหาได้อย่างตรงจุดอย่างทันท่วงที

ที่มา : https://www.securitymagazine.com/articles/88538-how-to-tailor-security-awareness-training-to-employees-needs


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

ISO ออกมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management

ISO ประกาศมาตรฐานใหม่ ISO/IEC 27701:2019 Privacy Information Management ซึ่งเป็นส่วนต่อขยายจาก ISO/IEC 27001 และ ISO/IEC 27002 สำหรับเป็นแนวทางให้องค์กรสามารถบริหารจัดการข้อมูลส่วนบุคคลได้อย่างมั่นคงปลอดภัย นำไปประยุกต์ใช้ให้สอดคล้องกับ …

ETDA จัดแข่งขัน Thailand CTF Competition 2019 เฟ้นหาตัวแทนไปแข่งขันระดับโลก

สำนักงานพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (ETDA) ประกาศจัดการแข่งขัน Thailand CTF Competition 2019 เพื่อเฟ้นหาสุดยอดฝีมือด้านความมั่นคงปลอดภัยไซเบอร์ไปแข่งขันในงาน Security Contest 2019 (SECCON 2019) ระดับโลก นิสิตและนักศึกษาระดับอุดมศึกษา …