ควรสื่อสารอย่างไรในการจัดอบรม Security Awareness Training 

ควรสื่อสารอย่างไรในการจัดอบรม Security Awareness Training 

หลายคนอาจนึกไม่ถึงว่า ในการโจมตีทางไซเบอร์ จุดที่มิจฉาชีพนิยมใช้โจมตีมากที่สุด กลับไม่ใช่ระบบ IT แต่เป็น end user หรือผู้ใช้งานทั่วไป ที่มีความรู้เรื่องไอทีไม่มากนัก end user มีความเสี่ยงสูงที่จะตกเป็นเหยื่อของการโจมตีแบบ social engineering  ที่เรียกว่า Phishing

 

วิธีแก้คือฝ่าย IT ต้องจัดอบรมสม่ำเสมอ และวิธีที่ได้ผลดีที่สุดคือการ “จำลอง” Phishing มาให้พนักงานทั่วๆไปหาวิธีรับมือ ถึงอย่างนั้นการทำเช่นนี้ก็ส่งผลให้ฝ่าย IT มีปัญหากับแผนกอื่นๆ เพราะพวกเขาคิดว่าฝ่าย IT กำลัง “แกล้ง” พนักงานให้เสียเวลาไปฟรีๆ

 

 

ถึงอย่างนั้น การอบรม Security Awareness Training  เป็นสิ่งที่ขาดไม่ได้ และนี่คือคำแนะนำสำหรับฝ่าย IT ในการสื่อสารกับแผนกอื่นๆ และพนักงานทั่วไปเรื่องการจัดการอบรมเรื่องความปลอดภับทางไซเบอร์

 

1. กันไว้ดีกว่าแก้ – อธิบายให้แผนกอื่นๆ เข้าใจว่าทำไมต้องจัดอบรม อาจยกเคสของบริษัทอื่นๆ ที่เคยถูก cyberattack ผ่านทาง phishing แสดงให้เห็นว่าถ้าไม่มีการจัดอบรม ความเสียหายที่เกิดขึ้นจะรุนแรงแค่ไหน เช่นกรณีของห้าง Target และ บริษัท Sony การชี้แจงข้อมูลจะทำให้คนอื่นๆ ที่เกี่ยวกับการอนุมัติการจัดอบรมเห็นความสำคัญ และเห็นภาพเดียวกับแผนก IT ข่าวดีก็คือ จากเคส cyberattack ของบริษัทชั้นนำต่างๆ ณ ปัจจุบัน ทำให้บอร์ดบริหารองค์กรต่างๆ เห็นความสำคัญของ Security Awareness Training ขึ้นมากกว่าเดิม
2. ทุกองค์กรมีสิทธิถูก phishing ได้หมด – หนึ่งในความเข้าใจผิดที่สำคัญคือมิจฉาชีพจะทำการ phishing เฉพาะองค์กรขนาดใหญ่เท่านั้น แต่เมื่อดูผลการสำรวจก็จะพบว่า องค์กรขนาดเล็กและกลาง (SME) คือเป้าหมายแรกที่มิจฉาชีพโจมตี เพราะผู้ประกอบการ SME มักจะขาดความรู้เรื่อง cyber security นอกจากนี้ SME ยังมีงบประมาณน้อยกว่าบริษัทใหญ่ ทำให้โอกาสที่ผู้บริหารจะจัดสรรงบมาทำ Security Awareness Training เกิดขึ้นได้น้อยไปด้วย
3. ให้ข้อมูลกับทุกคนว่า- สมัยนี้มิจฉาชีพจะปล่อย Ransomware ถ้า Ransomware เข้าไปอยู่ในเครื่องของ end user คนใด ก็จะเข้าไปปิดกั้นไม่ให้ user คนนั้นเข้าไปเปิดไฟล์หรือแบ็คอัพไฟล์นั้นๆ ได้ เพราะไฟล์เหล่านั้นได้ถูกแฮคเกอร์เข้ารหัสไว้หมดแล้ว และจะต้องจ่ายเงินจำนวนมหาศาลให้แฮคเกอร์ในการที่จะได้ไฟล์คืนมา จำนวนเงินที่ต้องจ่ายค่าไถ่ให้แฮคเกอร์แพงกว่าการจัดอบรมอยู่มาก
4. ชี้จุดอ่อน – หัวใจสำคัญในการจัดอบรมคือการทำให้พนักงานทุกคนตระหนักว่าเรื่องยังมีสิ่งที่พวกเขาไม่รู้เกี่ยวกับเรื่อง IT และการจัดอบรมนี้จะช่วยปิดจุดอ่อนได้อย่างไร ไม่ได้จัดขึ้นเพื่อตำหนิหรือโทษฝ่ายใดฝ่ายหนึ่ง

 

นี่คือ 4 ประเด็นสำคัญในการสื่อสารกับคนอื่นๆ เพื่อให้เขาเห็นความสำคัญของ  Security Awareness Training

______________________________________
สนใจ Solution Security ติดต่อมาสิ
☎ : 02-392-3608
📱 : [email protected]
Line ID : @monsterconnect