จัดอบรม Security Awareness Training อย่างไรให้ปัง ลองทำ 12 ข้อนี้ดู
นอกจากซอฟท์แวร์และฮาร์ดแวร์แล้ว หนึ่งในปัจจัยสำคัญที่ช่วยรักษาความปลอดภัยทาง Cyber ให้กับองค์กรคือ Security Awareness Training หรือการจัดอบรมให้ความรู้ด้าน Cyber Security กับบุคลากรที่เกี่ยวข้อง ซึ่งไม่ใช่แค่ฝ่าย IT แต่รวมถึงพนักงานทุกคน
ผลสำรวจของ Wombat Security Technologies ในปี 2017 ได้บ่งชี้ว่า 30% ของ ของพนักงานในบริษัทไม่รู้จัก Phishing และ 2 ใน 3 ของพนักงานที่ถูกสำรวจไม่รู้จัก Ransomware และไม่กี่ปีก่อนหน้า Enterprise Management Associates (EMA) ได้ทำการสำรวจ พบว่า 56% ของพนักงานไม่เคยเข้าอบรม Security Awareness Training เลย นอกจากนี้ในกลุ่มที่เคยอบรมแล้ว พบว่ามีแค่ 48% เท่านั้นที่สามารถใช้ความรู้ในสถานการณ์จริงได้
อย่างไรก็ตาม หลายคนอาจมองว่าการพูดเรื่องไอที ต้องมีแต่ศัพท์เฉพาะ เข้าใจยาก น่าเบื่อ นี่คือคำแนะนำในการจัดกิจกรรมอบรม Security Awareness Training ให้กับพนักงานที่ทำให้ความรู้เรื่องการโจมตีทางไซเบอร์เป็นเรื่องง่ายและสนุก
1.ให้ความสำคัญกับ Phishing และ Ransomware เป็นอันดับแรก
มีงานวิจัยออกมาแล้วว่า Phishing คือ Cyber Attack หมายเลขหนึ่งในองค์กร Phishing ไม่ได้มาจากการแค่การกดลิงค์หรือตอบเมลเท่านั้น การใช้งานสื่อโซเชียลและการรับโทรศัพท์ ต่างๆ ก็เป็นต้นเหตุของ Phishing ได้เช่นกัน อย่างเช่น อาจมีคนปลอมเป็นเจ้านาย โทรมาบอกว่าให้รีบเช็คและตอบเมลตัวหนึ่งด่วนๆ เป็นต้น เช่นเดียวกับการให้เฝ้าระวังไฟล์แนบ ที่ดูเหมือนจะบังคับให้ผู้รับรู้สึกว่าต้องเปิดดูอย่างหลีกเลี่ยงไม่ได้ เป็นพิเศษ เช่น ‘payment confirmation’ หรือ ‘document sharing’
นอกจากนี้ ยังมี ransomware อีกประเภทที่ไม่ได้ขโมยข้อมูลไป แต่กลับใช้การเข้ารหัสทำให้ end user เปิดไฟล์เข้าไปดูไม่ได้ และต้องเสียเงินให้กับแฮคเกอร์เพื่อเอาการเข้ารหัสออก ข้อมูลพวกนี้ สำคัญและต้องอยู่ในเนื้อหาที่สอน
2.เนื้อหาต้องกระชับ การอบรมต้องเกิดขึ้นเรื่อยๆ และในการอบรมแต่ละครั้ง ควรพูดทีละหัวข้อ
3.เริ่มอบรมตั้งแต่วันแรกที่เข้าทำงาน มีหลายบริษัททำมีกระบวนการเทรนพนักงานแบบกลุ่มย่อยหรือรายบุคคล โดยเฉพาะพนักงานเข้าใหม่ สามารถติดต่อเพื่อทำ training ได้ทันที
4.อัปเดตข้อมูลอย่างต่อเนื่อง Cyber Attack มีการอัปเดตรูปแบบใหม่ๆ ตลอดเวลา นอกจากจะเรียนเรื่องรูปแบบการโจมตีที่เคยมีมาแล้ว จำเป็นต้องหาข้อมูลใหม่ๆ และเติมความรู้อย่างต่อเนื่อง
5.ต้องมีการฝึกแบบจำลองเหตุการณ์จริง แบบเดียวกับการซ้อมรบของทหารอย่างสม่ำเสมอ บรรยายอย่างเดียวไม่เพียงพอ
6.อธิบายให้พนักงานทุกคนเข้าใจถึงความสำคัญของการอบรม และทำให้ทุกคนทราบว่ามันเกี่ยวกับการทำงานของพวกเขาอย่างไร
7.กำชับให้พนักงานทุกคนตั้งพาสเวิร์ดให้รัดกุม – องค์กรต้องทำนโยบายการตั้งพาสเวิร์ดออกมาให้ชัดเจน ไม่ใช้พาสเวิร์ดแบบ weak และไม่ให้พนักงานตั้งพาสเวิร์ดสำหรับงานในองค์กรเป็นพาสเวิร์ดเดียวกับที่ใช้ส่วนตัว
8.เปลี่ยนรูปแบบการอบรมไปตามกลุ่มเป้าหมาย
9.เปลี่ยนทฤษฎีด้านไอที ให้เป็นการเล่าเรื่องที่สนุกพนักงานส่วนใหญ่ไม่มีพื้นความรู้ด้านไอที จะใช้ศัพท์เทคนิคมาพูดอย่างเดียวเข้าใจยาก ควรพูดถึง Cyber Attack ให้ออกมาเป็นเรื่อง “สงครามไซเบอร์” จะทำให้คนฟังติดตามเรื่องไดง่ายกว่า
10.การเวิร์คชอปต้องเป็นแบบ interactive เน้นการมีส่วนร่วมของคนฟัง
11.นอกจากจะอธิบายให้เห็นภาพกว้างแล้ว ควรย่อยข้อมูลแล้วสรุปมาเป็นสเต็ป 1-2-3-4 ว่าหลังจากฟังบรรยายเสร็จแล้ว คนฟังต้องกลับไปทำอะไร
12.ต้องมีการอบรมทางออนไลน์เสริมไปด้วย – Cyber Attack ใหม่ๆ เกิดขึ้นตลอดเวลา เพื่ออัปเดตความรู้ให้เร็วที่สุด การสอนทางออนไลน์ทันทีที่มีหัวข้อใหม่ออกมาก็เป็นเรื่องสำคัญ
ถ้าทำ 12 ข้อนี้ การจัดอบรม Security Awareness Training ก็จะไม่ใช่เรื่องน่าเบื่ออีกต่อไป
__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.monsterconnect.co.th
☎ : 02-392-3608
📱 : [email protected]
Line: @monsterconnect
