TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Security Awareness Training เป็นสิ่งสำคัญสำหรับทุกองค์กรในการปูพื้นฐานความและสร้างความตระหนักด้าน Cyber Security ให้แก่พนักงาน อย่างไรก็ตาม หลายองค์กรอาจประสบปัญหาการอบรมไม่มีประสิทธิผล ไม่ว่าจะเป็น เกิดความรู้สึกเบื่อหน่าย ไม่มีส่วนร่วมในการอบรม หรือเลวร้ายที่สุดคือไม่สนใจฟัง ทางเว็บ CSO Online จึงได้ออกคำแนะนำ 7 ประการเพื่อให้ Security Awareness Training มีความน่าสนใจและได้ประสิทธิภาพมากยิ่งขึ้น
1. จัดอบรมเล็กๆ
จำไว้เสมอว่าคุณไม่ใช่สตีฟ จ็อบส์ที่สามารถดึงความสนใจของผู้ฟังทั้งหอประชุมได้ คุณควรแยกจัดอบรมเป็นกลุ่มเล็กๆ เพื่อให้เกิดการปฏิสัมพันธ์ เรียกความสนใจได้ง่าย รวมไปถึงช่วยให้คุณจัดเตรียมเนื้อหาสำหรับอบรมให้เหมาะสมกับคนแต่ละกลุ่มได้อย่างมีประสิทธิภาพ
2. อบรมเป็นระยะเวลาสั้นๆ
พนักงานส่วนใหญ่มักมีสมาธิในการอบรมสั้น เนื่องจากมีงานอื่นที่ตนต้องรับผิดชอบให้กังวล การอบรมจึงควรระมัดระวังเรื่องเวลาและนำเสนอเฉพาะเนื้อหาเน้นๆ พยายามหลีกเลี่ยงการอบรมนานกว่า 15 – 20 นาที และการลงรายละเอียดเกินไป คุณสามารถตอบข้อสงสัยหรือลงรายละเอียดเฉพาะรายบุคคลหลังจบเซสชันอบรมได้
3. เน้นเจาะจงเป็นเรื่องๆ
ความมั่นคงปลอดภัยเป็นหัวข้อที่ใหญ่ อย่าพยายามที่จะอธิบายทุกสิ่งทุกอย่างให้กับคนที่ไม่อยู่ในสายอาชีพในทีเดียว ควรโฟกัสเฉพาะนโยบายหรือภัยคุกคามเฉพาะเรื่องที่เกี่ยวข้องกับการทำงานของผู้ฟังจริงๆ นอกจากนี้ แต่ละเซสชันควรพุ่งเป้าที่หัวข้อเดียวหรือคำถามเดียวเพื่อให้ครอบคลุมหัวข้อนั้นได้อย่างชัดเจน
4. ทำให้การอบรมกลายเป็นกิจวัตรประจำวัน
การอบรมไม่ใช่แค่จบในห้อง แล้วอีก 364 วันที่เหลือกลายเป็นพนักงานไม่ใส่ใจ คุณต้องทำให้ความมั่นคงปลอดภัยกลายเป็นส่วนหนึ่งการทำงานของพวกเขา การจัดอบรมด้านความมั่นคงปลอดภัยเป็นประจำช่วยให้คุณค่อยๆ สร้างความตระหนัก และลงลึกในรายละเอียดทีละเรื่องได้ รวมไปถึงช่วยกระตุ้นให้พนักงานเกิดความตื่นตัวด้านความมั่นคงปลอดภัยอยู่เสมอ
5. อัปเดตเนื้อหาให้สดใหม่อยู่เสมอ
สิ่งที่น่าเบื่อที่สุดของการอบรมคือ การพูดเรื่องเดิมซ้ำๆ ถ้าคุณต้องการจัดอบรมเนื้อหาที่เคยพูดไปแล้ว ต้องมั่นใจว่าคุณมีตัวอย่างใหม่ๆ และอัปเดตสถิติล่าสุดอยู่เสมอ โดยเฉพาะอย่างยิ่งการยกตัวอย่างเหตุการณ์ที่เพิ่งเกิดขึ้นในปัจจุบันจะช่วยให้ผู้ฟังมีความสนใจและอยากรู้อยากเห็นมากยิ่งขึ้น
6. นำไปปฏิบัติ ไม่ใช่แค่เล่าให้ฟัง
การอบรมแทนที่จะเป็นการพูดหรือให้ความรู้เฉยๆ คุณควรทำให้พนักงานมีส่วนร่วมและรู้สึกว่าสามารถนำความรู้ไปใช้ได้จริง เช่น การให้พนักงานไปตั้งค่าอุปกรณ์ตามที่กำหนดเพื่อให้มั่นคงปลอดภัยยิ่งขึ้น หรือการให้พวกเขาแจ้งผู้ดูแลระบบเมื่อพบอีเมลที่ผิดปกติ เป็นต้น
7. ผู้บริหารต้องมีส่วนร่วม
การอบรมไม่ใช่แค่จัดทำให้ระดับพนักงานเท่านั้น แต่คุณควรกำหนดเซสชันพิเศษสำหรับทีมผู้บริหารด้วยเช่นกัน โดยเน้นหัวข้อที่เรื่อง Spear Phishing และ Business Email Compromise ถ้าพวกเขาไม่สนใจหรือคิดว่าตัวเองยุ่งพออยู่แล้ว ให้พยายามเตือนเขาถึงผลกระทบถ้าแฮ็คเกอร์สามารถเอารหัสผ่านหรือขโมยข้อมูลออกไปได้
สรุปคีย์เวิร์ดสำหรับ Security Awareness Training นะครับ “เล็ก-สั้น-กระชับ-เป็นประจำ-ใช้ได้จริง-ทีละหัวข้อ” เพียงแค่นี้ก็ช่วยให้การสร้างความตระหนักมีประสิทธิภาพมากขึ้นแล้ว
