ข้อแนะนำสำหรับ Security Awareness Training
ข้อแนะนำสำหรับ Security Awareness Training
การสร้างการตระหนักรู้ด้านความมั่นคงปลอดภัยในการใช้ทรัพยากรสารสนเทศภายในองค์กร (Security Awareness Training) ช่วยให้องค์กรมีความพร้อมและสามารถปรับตัวให้เข้ากับการเปลี่ยนแปลง ทั้งยังลดโอกาสที่จะถูกโจมตีทางไซเบอร์ในรูปแบบต่างๆ ได้มากขึ้น
เนื่องด้วยสถานการณ์ด้านความปลอดภัยที่เปลี่ยนแปลงไปอย่างรวดเร็ว อาจเป็นเรื่องยากที่จะก้าวให้ทันกับข่าวของภัยคุกคามที่เกิดขึ้นล่าสุดสำหรับผู้ที่อยู่แนวหน้าซึ่งเกี่ยวข้องกับการสร้างความมั่นคงปลอดภัยทางไซเบอร์ขององค์กร และมันก็ยังเป็นเรื่องที่ยากยิ่งกว่า สำหรับพนักงานที่ไม่ได้มีส่วนร่วมโดยตรงในการรักษาความปลอดภัยในโลกไซเบอร์ ในการที่จะทำให้พวกเขาต้องระมัดระวังมากยิ่งขึ้นกับสิ่งต่างๆ ที่เกี่ยวข้องกับมัลแวร์เรียกค่าไถ่ (Ransomware), การหลอกลวงในรูปแบบ Phishing และการละเมิดข้อมูล (Data Breach)
และนี่คือข้อกังวลด้านความปลอดภัยบนโลกไซเบอร์ที่สำคัญทั้ง 4 ข้อ ซึ่งเป็นการลงความเห็นจากผู้เชี่ยวชาญด้าน IT หลังจากที่ได้มีการสำรวจเมื่อเร็วๆ นี้ โดยพบว่า พวกเขามีข้อกังวลที่เกี่ยวข้องกับการละเมิดข้อมูลที่เป็นความลับ (Confidential Data) โดยเน้นว่า 68% เป็นข้อกังวลหลัก ตามด้วยการโจมตีในรูปแบบ Phishing (68%), การโจมตีโดยการปลอมอีเมลของผู้บริหารระดับสูงในองค์กรหรือที่เรียกว่า CEO Fraud (68%) และการโจมตีในรูปแบบของ Ransomware (62%)
วิธีการโจมตีทั้งหมดนี้อาจจะมีความเกี่ยวข้องกับการหาประโยชน์จากพนักงานภายในบริษัท ดังนั้น การฝึกอบรมจึงถือเป็นอีกหนึ่งวิธีในการลดความเสี่ยงของพนักงานในการเปิดไฟล์แนบอีเมล์ (Email Attachment) ที่เป็นอันตรายโดยไม่ตั้งใจ หรือแม้แต่การตกเป็นเหยื่อของการโจมตีโดยอาศัยช่องโหว่จากพฤติกรรมของผู้ใช้ หรือเราที่เรียกกันว่า Social Engineering
Security Awareness Training คืออะไร?
การฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยในการใช้ทรัพยากรสารสนเทศภายในองค์กร หรือ Security Awareness Training นั้น เป็นการให้ความรู้แก่พนักงานเกี่ยวกับภัยคุกคามทางไซเบอร์ในรูปแบบต่างๆ ที่อาจเกิดขึ้น เพื่อให้พวกเขาสามารถหลีกเลี่ยงการโจมตีเหล่านั้น ได้
แต่ทั้งนี้ก็ไม่ได้มีการรับประกันว่าเหล่าพนักงานที่ผ่านการอบรมมาแล้วจะไม่ทำพลาด แต่ด้วยการสร้างความตระหนักรู้ถึงวิธีการทั่วไปและวิธีการที่เกิดขึ้นใหม่ที่เหล่าแฮ็กเกอร์จะพยายามนำมาใช้หรือสืบข้อมูล จึงช่วยให้พวกเขาคำนึงถึงความมั่นคงและปลอดภัยทางไซเบอร์ (Cyber Security) เป็นอันดับแรกเสมอ
การฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัย (Security Awareness Training) ควรมุ่งเน้นไปที่สาระสำคัญ 3 ประการ ประการแรกก็คือ เราควรนำเทคโนโลยีสารสนเทศและอุปกรณ์ต่างๆ (Devices) มาใช้ในธุรกิจอย่างไร; ประการที่สองคือ สิ่งที่ดูเหมือนว่าจะเป็นภัยคุกคามด้านความปลอดภัย; และประการที่สามคือ วิธีการโต้ตอบต่อกิจกรรมที่น่าสงสัยและการโจมตีทางไซเบอร์ จากเหตุการณ์ที่เกิดขึ้นจริง
องค์กรส่วนใหญ่ควรจะมีนโยบายขององค์กรที่เกี่ยวกับวิธีการใช้อุปกรณ์ (Devices) ไม่ว่าจะเป็นอุปกรณ์ขององค์กรหรืออุปกรณ์ส่วนบุคคล นอกจากนี้ Shadow IT หรืออุปกรณ์และแอพพลิเคชั่นธุรกิจที่พนักงานนำมาใช้งานโดยไม่ได้รับอนุญาติหรือไม่ได้แจ้งให้ทางฝ่าย IT ทราบนั้น ก็ยังก่อให้เกิดปัญหาทางด้านความปลอดภัยที่อาจจะทำให้ธุรกิจมีความเสี่ยงได้ ดังนั้น จึงถือได้ว่าเป็นเรื่องสำคัญที่จะต้องมีการกำหนดและสนับสนุนความต้องการอย่างสม่ำเสมอ ในสิ่งที่พนักงานสามารถนำไปใช้งานได้และข้อจำกัดต่างๆ โดยเฉพาะอย่างยิ่ง ในขณะที่พวกเขาทำการเชื่อมต่อกับเครือข่ายขององค์กร
การช่วยให้พนักงานทันต่อเหตุการณ์อยู่เสมอในเรื่องของสิ่งที่ดูเหมือนว่าจะเป็นภัยคุกคามด้านความปลอดภัยนั้น เป็นสิ่งสำคัญอีกประการหนึ่งสำหรับการฝึกอบรม Security Awareness Training เพราะเรื่องนี้สามารถนำมาใช้ประโยชน์ได้กับทุกๆ เรื่อง ตั้งแต่พื้นฐานของสิ่งที่ต้องระวังสำหรับ Phishing Email ไปจนถึงแนวคิดของเทคโนโลยีที่ดีที่สุดเกี่ยวกับสภาพแวดล้อมที่มั่นคงปลอดภัยบนโลกไซเบอร์
สุดท้ายแล้ว มันเป็นเรื่องสำคัญที่จะต้องไม่ลืมว่า อะไรคือสิ่งที่จะต้องทำในกรณีที่ได้รับอีเมลที่น่าสงสัย ยกตัวอย่างเช่น ขั้นตอนการรายงานและบุคคลที่สามารถให้ความช่วยเหลือในเรื่องนี้ รวมไปถึง สิ่งที่ควรทำในกรณีที่มีการโจมตีทางไซเบอร์ (Cyber Attack) ซึ่งนี่ก็อาจจะเป็นช่วงเวลาที่เหมาะสมที่จะแสดงให้เห็นถึงแผนการกู้คืนความเสียหายขององค์กรเพื่อปรับปรุงวิธีการที่องค์กรจะตอบสนอง และเพื่อทำให้มั่นใจว่าพนักงานทุกคนยินดีที่จะให้ความร่วมมือ
ข้อดีและข้อเสียของการฝึกอบรม Security Awareness Training
จากรายงานพบว่า 56% ของผู้เชี่ยวชาญด้านความปลอดภัยพูดเป็นเสียงเดียวกันว่า พนักงานเป็นสาเหตุอันดับหนึ่งของการรั่วไหลของข้อมูล ซึ่งก็นับว่าเป็นรายงานที่มีประโยชน์อย่างมาก ที่จะช่วยในการพัฒนาพนักงานให้ตระหนักถึงภัยคุกคามทางไซเบอร์
การฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยอย่างสม่ำเสมอจะช่วยให้การรักษาความปลอดภัยทางไซเบอร์ (Cyber Security) ถูกหล่อหลอมจนกลายเป็นส่วนหนึ่งในวัฒนธรรมขององค์กร นอกจากนี้ การมีจิตสำนึกต่อส่วนรวมก็ยังเป็นเครื่องมือที่ทรงพลังและมีความสำคัญอย่างมากสำหรับองค์กรธุรกิจที่มีการ เข้า-ออก ของพนักงานในอัตราที่สูง
หากพนักงานมีความระมัดระวังเกี่ยวกับอีเมลที่พวกเขาได้รับ หรือแม้แต่รหัสผ่านที่พวกเขาตั้งขึ้นมา ตลอดจนวิธีการแบ่งปันข้อมูลทั้งภายในและภายนอกองค์กร ความเสี่ยงที่จะเกิดจากความผิดพลาดอย่างไร้เหตุผลที่จะส่งผลกระทบร้ายแรงต่อธุรกิจก็จะลดลงอย่างมาก
ข้อดีอย่างหนึ่งที่เห็นได้ชัดเลยก็คือ การฝึกอบรมเป็นประจำจะช่วยให้มีการปฏิบัติตามข้อกำหนดเพิ่มขึ้น หากมีการละเมิดข้อมูลเกิดขึ้นควรแสดงให้เห็นว่าคุณมีการฝึกอบรมอย่างเพียงพอและมีผลบังคับใช้ ซึ่งจะกลายเป็นส่วนสำคัญในการนำมาพิจารณาความผิดพลาดที่เกิดขึ้นกับธุรกิจ
อย่างไรก็ตาม องค์กรก็ยังสามารถพบกับความเสี่ยงได้อยู่เสมอ เพราะการให้ความสำคัญกับการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยที่มากเกินไปนั้น อาจจะทำให้พนักงานรู้สึกเบื่อหน่ายกับเรื่องภัยคุกคามที่อาจเกิดขึ้นได้ ไม่ต่างกันกับสัญญาณเตือนไฟไหม้ที่เกิดขึ้นถี่จนเกินไป นั่นเอง
การฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัย (Security Awareness Training) บางรูปแบบอาจมีค่าใช้จ่ายที่ค่อนข้างสูง โดยเฉพาะการฝึกอบรมภาคปฏิบัติและการฝึกอบรมในห้องเรียน ซึ่งมักจะมีประสิทธิภาพมากกว่าหลักสูตรออนไลน์หรือการบรรยายสรุปสั้นๆ จากองค์กร แต่ค่าใช้จ่ายในการฝึกอบรม Security Awareness Training นั้น ควรจะมีความสมดุลกับต้นทุนทางการเงินและชื่อเสียง (Reputational Cost) ในระยะยาวที่เกี่ยวข้องกับการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ
อย่างไรก็ตาม การฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยจะไม่เกิดประโยชน์ หากพนักงานมีเจตนาที่จะทำในสิ่งที่เป็นอันตราย แต่ความจริงก็คือ พวกเขาจะไม่สามารถปฏิเสธได้เลยว่า พวกเขาไม่มีความรู้เกี่ยวกับนโยบายและขั้นตอนการปฏิบัติ หากองค์กรมีการเน้นย้ำเป็นประจำในเรื่องของการฝึกอบรม
วิธีการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัย
ส่วนใหญ่แล้ว การฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยจะเป็นการเน้นให้เห็นถึงพฤติกรรมที่ไม่ดีที่พนักงานอาจจะกำลังทำอยู่ พร้อมทั้งสร้างความตระหนักรู้ถึงผลที่จะตามมา เรามี 4 วิธีหลักๆ ที่องค์กรจะสามารถนำไปปรับใช้ในการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัย สำหรับปรับปรุงบางส่วนของช่องโหว่ (Vulnerability) ด้วยวิธีง่ายๆ เหล่านี้ :
วิธีการสอนในรูปแบบของห้องเรียน (Classroom-Style)
เป็นวิธีการที่พนักงานจะรวมตัวกันทั้งภายในห้องหรือภายนอกห้องก็ได้ เพื่อเข้าร่วมการฝึกอบรมโดยเฉพาะ โดยเรื่องนี้สามารถยกให้เป็นหน้าที่ของสมาชิกด้าน IT หรือทีมรักษาความปลอดภัย (Security Team) หรืออาจจะเป็นการว่าจ้างบริษัทฝึกอบรมจากภายนอกองค์กรก็สามารถทำได้เช่นกัน
การฝึกอบรมจากหลักสูตรออนไลน์ (Online Course)
เป็นวิธีการที่สามารถนำมาใช้ได้กับพนักงานทั้งที่เป็นพนักงานมาใหม่และพนักงานประจำ ซึ่งหลักสูตรออนไลน์หรือวิดีโอการฝึกอบรมในรูปแบบที่ว่านี้ มักจะนำมาใช้สำหรับการฝึกอบรมเพื่อการปฏิบัติตามกฎระเบียบที่เกี่ยวกับความปลอดภัยจากอัคคีภัยและอื่นๆ อีกมากมาย นอกจากนี้ยังสามารถนำมาใช้ได้อย่างง่ายดาย เพื่อสร้างการตระหนักรู้ถึงความปลอดภัย แม้ว่าจะไม่มีการรับประกันว่าพนักงานมีส่วนร่วมอย่างไรในการทำหลักสูตรออนไลน์ แต่พวกเขาก็สามารถเรียนรู้ได้ในทันทีสำหรับผู้ที่มาใหม่ และยังสามารถทำแบบทดสอบในตอนท้ายได้อย่างครบถ้วน เพื่อทดสอบความเข้าใจในเรื่องนี้
Internal Test ก็เป็นอีกหนึ่งวิธีที่ได้รับความนิยมมากขึ้น โดยบริษัทต่างๆ จะส่งการโจมตีแบบฟิชชิ่งไปยังพนักงานของพวกเขาเอง ซึ่งผู้ที่ทำหน้าที่รักษาความปลอดภัย (Security Staff) สามารถกำหนดผู้ที่จะตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่งได้ และยังสามารถใช้สิ่งเหล่านี้เพื่อการฝึกอบรมเพิ่มเติมได้หากจำเป็น และเมื่อเร็วๆ นี้ ผู้มีอำนาจในท้องถิ่นของ Bristol ก็ยังส่งการโจมตีแบบฟิชชิ่งเป็นระยะๆ ให้กับเพื่อนร่วมงานของพวกเขา เพื่อส่งผู้ที่คลิกไปที่ลิงค์ไปยังไซต์ฝึกอบรมที่ได้ทำการระบุไว้แล้ว
การแจ้งเตือนเป็นประจำ (Frequent Reminders)
การแจ้งเตือนเป็นประจำเช่น โปสเตอร์ที่สามารถติดไว้ในที่ที่มองเห็นได้ชัดในสำนักงานพร้อมกับประกาศด้านสุขภาพและความปลอดภัย, หรืออีเมลของบริษัทที่สร้างขึ้นเฉพาะ ซึ่งทั้งสองอย่างนี้สามารถนำมาใช้เพื่อให้ครอบคลุมเนื้อหาสาระ ทั้งในส่วนของลักษณะของอีเมลที่น่าสงสัย, วิธีการตรวจสอบลิงค์และความสำคัญของรหัสผ่านที่ปลอดภัย
กุญแจสำคัญในการฝึกอบรมเรืองการตระหนักรู้ (Awareness Training)
ในทุกๆ รูปแบบก็คือ การทำอย่างสม่ำเสมอ ซึ่งผลการวิจัยระดับโลกจาก Vanson Bourne พบว่าในขณะนี้มีองค์กรเพียง 11% ที่ทำการฝึกอบรมพนักงานของพวกเขาอย่างต่อเนื่องเกี่ยวกับวิธีการโจมตีทางไซเบอร์ และมีองค์กรจำนวน 52% ที่ทำการฝึกซ้อมเป็นรายไตรมาสหรือเพียงปีละครั้งเท่านั้น
และนั่นก็หมายความว่า การฝึกอบรมประจำปีอาจส่งผลให้สมาชิกใหม่ของทีมสามารถทำพลาดซ้ำๆ ได้นานกว่า 11 เดือน โดยที่ไม่มีการฝึกอบรมด้านความปลอดภัยใดๆ เพิ่มเติม นับว่าเป็นการเพิ่มความเสี่ยงให้กับองค์กรของพวกเขาได้อย่างมหาศาล ซึ่งอาจจะเป็นการคลิกอีเมลที่เป็นอันตรายโดยไม่ได้ตั้งใจหรืออาจจะเป็นอะไรที่แย่กว่านั้น
เนื่องจากการโจมตีมีวิวัฒนาการอย่างรวดเร็ว นั่นจึงเป็นการเน้นย้ำว่าการฝึกอบรมอย่างต่อเนื่องเป็นวิธีที่ดีที่สุด รวมถึงการปลูกฝังความตระหนักรู้ด้านภัยคุกคามทางไซเบอร์ให้เข้าไปเป็นส่วนหนึ่งของวัฒนธรรมองค์กร ก็จะช่วยให้พนักงานทันต่อเหตุการณ์กับสิ่งที่ต้องระวัง ได้มากยิ่งขึ้น
ใครที่ควรจะเป็นผู้ริเริ่มในเรื่องนี้?
การฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัยจะช่วยลดโอกาสที่พนักงานจะตกเป็นเหยื่อของการโจมตีทางไซเบอร์ (Cyberattack) ว่าแต่ พนักงานคนใดที่จะมารับผิดชอบในการจัดการฝึกอบรมได้บ้าง? ซึ่งก็เป็นที่รู้กันดีว่าการดำเนินการดังกล่าวนี้อยู่ตกในความรับผิดชอบของหลายๆ ฝ่าย ทั้งในส่วนของผู้บริหารเทคโนโลยีสารสนเทศระดับสูง (CIO), ผู้จัดการฝ่ายไอที หรือแม้กระทั่งฝ่ายทรัพยากรมนุษย์ ที่สามารถทำหน้าที่นี้ได้
ตามที่หลายๆ คนเข้าใจก็คือ ผู้จัดการฝ่ายไอทีนั้นมักจะมีความกระตือรือร้นมากที่สุดเกี่ยวกับการฝึกอบรมเพื่อสร้างความตระหนักรู้ด้านความปลอดภัย เนื่องจากพวกเขามีความรอบรู้และเชี่ยวชาญเกี่ยวกับภัยคุกคามทางไซเบอร์ในรูปแบบต่างๆ หรืออย่างน้อยก็เป็นส่วนหนึ่งของความรับผิดชอบในกรณีที่มีการละเมิดเกิดขึ้น ซึ่งโดยทั่วไปแล้วพวกเขาก็มักจะเป็นคนผลักดันให้มีการฝึกอบรม แต่ในองค์กรส่วนใหญ่พวกเขามักจะถูกลดความสำคัญลงโดย CIO ซึ่งเป็นคนที่จับตาดูงบประมาณด้าน IT ที่มีแต่จะการขยายตัวอยู่ตลอดเวลา
ในส่วนของผู้จัดการฝ่ายธุรกิจอาวุโสนั้น พวกเขาอาจรู้สึกต่อต้านกับการฝึกอบรมดังกล่าว นั่นเป็นเพราะว่าตารางเวลาทำงานของพนักงานของพวกเขาจะต้องหยุดชะงักลง แม้ว่าการฝึกอบรมจะขัดขวางช่วงเวลาทำงานอยู่บ้างในระยะแรกๆ แต่ถ้ามองกันในระยะยาวแล้ว การขจัดภัยคุกคามด้านความปลอดภัยจะช่วยเพิ่มความมั่นใจเกี่ยวกับการเพิ่มผลผลิต (Productivity) ในระดับที่สูงขึ้น ดังนั้น ผู้จัดการฝ่ายธุรกิจก็มักจะไม่มีบทบาทสำคัญอะไรในการผลักดันให้มีการฝึกอบรมดังกล่าว
เพื่อความปลอดภัยแล้ว มันเป็นเรื่องที่ควรจะได้รับความสนใจตั้งแต่ระดับพนักงาน และจะต้องได้รับการจัดการโดยคณะกรรมการ ซึ่งในปัจจุบัน CIO มีอำนาจหน้าที่ในการดูแลรับผิดชอบทุกอย่างที่เกี่ยวข้องกับเทคโนโลยีสารสนเทศภายในองค์กร ไปจนถึงการทำให้สมาชิก C-suite ตระหนักถึงปัญหาด้านความปลอดภัยและความเสี่ยงด้านการปฏิบัติตามกฎระเบียบ ด้วยการทำหน้าที่เป็นสะพานเชื่อมระหว่างผู้จัดการฝ่ายไอทีและผู้ที่อยู่ในตำแหน่งด้านบนสุด ดังนั้น CIO จึงสามารถมั่นใจได้ว่าคณะกรรมการบริษัทจะให้ความสำคัญกับความปลอดภัยอย่างจริงจัง ซึ่งจะเป็นการเพิ่มความแข็งแกร่งให้กับโครงการฝึกอบรมด้านความปลอดภัยภายในองค์กร
โดยทั่วไป CIO จะเป็นผู้รับผิดชอบในการนำเสนอโปรแกรม Security Awareness ให้กับคณะกรรมการ เพื่อนำไปฝึกอบรมให้กับพนักงานทุกระดับชั้นในองค์กร ทั้งนี้ก็เพื่อที่จะช่วยให้พวกเขามีความเข้าใจและตื่นตัวในเรื่องของความปลอดภัย แต่เพื่อให้เรื่องนี้ประสบความสำเร็จทุกคนในองค์กรจะต้องให้การยอมรับ เพื่อให้โครงการนี้ดำเนินต่อไปได้
ที่มา: https://bit.ly/39gGM2t
