Breaking News
Home / ข่าวไอที / ข้อผิดพลาด 5 ประการที่ทำให้การสร้างความรับรู้เรื่องความปลอดภัยขององค์กร กลายเป็นการสูญเปล่าทางการเงิน

ข้อผิดพลาด 5 ประการที่ทำให้การสร้างความรับรู้เรื่องความปลอดภัยขององค์กร กลายเป็นการสูญเปล่าทางการเงิน

รูปภาพ4.jpg

ธุรกิจจำนวนมากกว่าครึ่งพิจารณาว่าพนักงานของตนเป็นจุดอ่อนในด้านความปลอดภัยทางไซเบอร์ขององค์กร เนื่องจากพฤติกรรมของพวกเขาทำให้ข้อมูลและระบบของบริษัทตกอยู่ในความเสี่ยง ซึ่งนั่นเป็นสาเหตุที่ว่าแพราะเหตุใดบริษัทต่าง ๆ จึงลงทุนอย่างมากเพื่อให้การศึกษาแก่พนักงานในเรื่องทักษะพื้นฐานด้านความปลอดภัยของเทคโนโลยีสารสนเทศ ซึ่งในความเป็นจริงนั้น นักวิเคราะห์ชั้นนำคาดการณ์ว่า ตลาดการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยจะเติบโตจนมีมูลค่าถึง 10 พันล้านดอลลาร์ภายในปี ค.ศ. 2027

แม้เป็นเช่นนี้ บางองค์กรธุรกิจก็ยังมีความคลางแคลงใจเกี่ยวกับการฝึกอบรมพนักงานเรื่องความปลอดภัยทางไซเบอร์ บางองค์กรคิดว่า ไม่ว่าผู้คนจะทราบถึงโอกาสการถูกคุกคามหรือไม่ก็ตาม พวกเขาก็ยังทำผิดพลาดอยู่เสมอนั่นเอง ดังนั้น การลงทุนในคอร์สฝึกอบรมที่ไม่ก่อให้เกิดผลลัพธ์อันพึงประสงค์จะถือเป็นการสูญเปล่าทางการเงินหรือไม่?

นับเป็นเรื่องน่าแปลกใจที่ว่า จุดประสงค์ที่แท้จริงของการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยมิใช่เพื่อสร้างการตระหนักรู้ ทั้งยังมิใช่เป็นเพียงการบอกให้รับทราบถึงการคุกคามและมาตรการต่าง ๆ เท่านั้น หากเป็นการเปลี่ยนพฤติกรรมการใช้งานระบบออนไลน์ของพนักงานด้วย

จากประสบการณ์นานกว่า 20 ปีในการวิจัยเรื่องการคุกคามทางไซเบอร์และการให้บริการด้านความปลอดภัยทางไซเบอร์เพื่อขจัด “ปัจจัยที่เกิดจากมนุษย์” ในด้านความปลอดภัยทางไซเบอร์ ทำให้เราตระหนักถึงหลุมพรางทางการศึกษา 5 รูปแบบที่ทำให้การฝึกอบรมด้านความปลอดภัยทางไซเบอร์นั้นไร้ประสิทธิผล

1. รูปแบบที่ขาดประสิทธิภาพ

การเรียนรู้และการพัฒนาองค์กรอาจเกิดขึ้นได้ในหลายรูปแบบ ทั้งการบรรยายโดยสมาชิกของบริษัท การพูดคุยสัมนาโดยผู้บรรยายจากภายนอก หรือหลักสูตรการเรียนผ่านคอมพิวเตอร์ รูปแบบหลักสูตรการฝึกอบรมที่เหมาะกับองค์กรธุรกิจแห่งหนึ่งอาจไม่ได้ผลกับองค์กรอีกแห่งหนึ่งเสมอไป ดังนั้น บริษัทต่าง ๆ จึงควรเลือกสรรรูปแบบที่ได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพจริงในการบรรลุถึงเป้าหมายของทักษะเฉพาะด้านที่ต้องการ

สำหรับการปฏิบัติของเรา การบรรยายที่น่าเบื่อไม่เหมาะสมกับหลักสูตรการฝึกอบรมซึ่งมุ่งหวังในการยกระดับทักษะด้านความปลอดภัยทางไซเบอร์ของพนักงาน ด้วยวิธีการเรียนรู้ผ่านระบบออนไลน์ คุณจะสามารถผสมผสานรูปแบบเนื้อหาที่หลากหลาย (วีดีโอ บทความ แบบทดสอบ) และเพิ่มเติมองค์ประกอบที่ใช้ในเกมลงในเนื้อหา เพื่อเปลี่ยนบทเรียนจากระเบียบปฏิบัติที่น่าเบื่อไปเป็นสิ่งที่สนุกสนานตื่นเต้นมากกว่า การสร้างปฏิสัมพันธ์ดังกล่าวทำให้หลักสูตรความปลอดภัยทางไซเบอร์มีความน่าสนใจและสร้างการมีส่วนร่วมในหมู่พนักงานได้มากยิ่งขึ้น นอกจากนี้ หลักสูตรออนไลน์ยังช่วยให้พนักงานมีความก้าวหน้าในงานของตนเองและใช้เวลามากขึ้นกับการศึกษาหัวข้อที่มีความซับซ้อนมาก ซึ่งสิ่งนี้แทบจะเป็นไปไม่ได้เลย หากให้พนักงานเข้าฟังหลักสูตรการบรรยายแบบเดิมๆ

2. คุณสมบัติเดียวกันสำหรับงานทุกตำแหน่ง

ยังมีความเชื่อที่ว่า ความรับผิดชอบด้านความปลอดภัยทางไซเบอร์ของบริษัทเป็นงานของทุกคน เนื่องจากพฤติกรรมของทุกคนล้วนส่งผลต่อความปลอดภัยทั้งสิ้น ดังนั้น แนวคิดที่องค์กรธุรกิจต่าง ๆ เชื่อถือกันมาก็คือ การนำเสนอหลักสูตรการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยโดยมีจุดประสงค์ที่จะเปลี่ยนแปลงพนักงานทุกคนให้กลายเป็นมืออาชีพด้ายความปลอดภัยทางไซเบอร์ และทำให้กลายเป็นหลักปฏิบัติสำหรับทุกคนเพื่อสร้างความอุ่นใจขององค์กร

กระนั้น หลักสูตรการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยซึ่งควรจะมีประโยชน์กับพนักงานทุกคน ก็ยังต้องพิจารณาถึงรูปแบบระบบการทำงานและข้อมูลที่ตัวพนักงานจะเข้าถึงด้วย การสอนพนักงานถึงสิ่งต่าง ๆ ที่พวกเขาไม่เคยรับมือมาก่อนเลยในชีวิต (โดยเฉพาะในชีวิตการทำงาน) ไม่ถือว่าคุ้มค่าต่อการลงทุน กล่าวง่าย ๆ ก็คือ เพื่อหลีกเลี่ยงการโจมตีในภาพรวม ทุกคนควรทราบวิธีการระบุเว็บไซต์ที่เป็นอันตรายอย่างชัดเจน ยกตัวอย่างเช่น เว็บไซต์ที่ขอให้ผู้ใช้งานทำการอัพเดตซอฟต์แวร์ สำหรับบุคลากรที่สามารถเข้าถึงข้อมูลที่อ่อนไหวและระบบทางธุรกิจที่มีความสำคัญมาก ควรได้รับการฝึกอบรมหลักสูตรที่เข้มข้นกว่า และสามารถตระหนักรู้ได้ทันทีหากพบเห็นอีเมลปลอมเฉพาะบุคคล

3. ปริมาณข้อมูลที่มากเกินไป

บ่อยครั้งที่หลักสูตรการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยถูกออกแบบมาให้ครอบคลุมหัวข้อสำคัญทั้งหมดในครั้งเดียว อย่างไรก็ดี หลักสูตรรูปแบบนี้แทบจะไม่ช่วยในการเปลี่ยนแปลงพฤติกรรมเลย เนื่องจากผู้เรียนแทบจะไม่สามารถซึมซับเนื้อหาทั้งหมดได้ โดยมีความเชื่อที่ว่ามนุษย์สามารถจดจำเนื้อหาที่เป็นข้อมูลใหม่ได้จำกัดเพียงเจ็ดเรื่อง คุณอาจรู้ได้จากประสบการณ์ของตนเองว่า มันเป็นเรื่องยากที่จะรับรู้ข้อเท็จจริงและกฏเกณฑ์จำนวนมากได้ในคราวเดียว

ผู้เรียนจะจดจำเนื้อหาได้ดีที่สุดเมื่อถูกถ่ายทอดมาในรูปแบบพอดีคำที่พอจะรับได้ โดยมีโอกาสน้อยกว่าที่เนื้อหาจะเกิดการพร่ามัวจนหลอมรวมเป็นข้อมูลก้อนเดียวหรือจางหายไป หากบทเรียนสั้นๆ (ซึ่งจะไม่ใช้เวลาในการทำงานอันมีค่ามากเกินไป) ถูกนำเสนอเป็นหัวข้อเดี่ยวและแจกแจงเป็นประเด็นความสำคัญในจำนวนที่สมเหตุสมผล ก็มีโอกาสมากกว่าที่ผู้คนจะสามารถจดจำได้ว่าพวกเขาควรจะมีปฏิกิริยาต่อการคุกคามนี้อย่างไร

4. การขาดการฝึกฝนและการปฏิบัติซ้ำ

บางครั้งการฝึกอบรมประกอบด้วยเนื้อหาที่น่าสนใจ แต่ผู้เรียนกลับไม่สามารถจดจำได้มากเท่าที่ควร เพียงเพราะขาดการนำไปปฏิบัติซ้ำๆ อย่างไรก็ดี การเปลี่ยนการตระหนักรู้ไปสู่การปฏิบัติจริงก็นับเป็นพื้นฐานที่สำคัญทีเดียว

หลักสูตรการฝึกอบรมด้านความปลอดภัยมักถูกนำเสนอแก่ผู้เรียนที่ขาดแรงบันดาลใจ ผู้ซึ่งฟังคำแนะนำแต่ขาดแรงกระตุ้นในการเรียนรู้และมุ่งมั่นที่จะเก็บไว้ในความทรงจำ ดังนั้น บริษัทต่าง ๆ จึงควรใช้หลักสูตรที่ทำให้หัวข้อต่าง ๆ กลายเป็นเรื่องง่ายต่อการจดจำ โดยเน้นย้ำถึงแง่มุมที่มีความสำคัญหลาย ๆ รอบ ยกตัวอย่างเช่น ในการเน้นย้ำถึงความสำคัญของการตั้งรหัสผ่านที่แน่นหนา หัวข้อนี้ควรถูกเน้นความสำคัญและกล่าวถึงหลาย ๆ ครั้งตลอดหลักสูตร ทั้งในบทเรียนเกี่ยวกับการปกป้องข้อมูลที่มีความอ่อนไหว โซเชียลมีเดีย อีเมล ฯลฯ

5. การขาดการเชื่อมโยงกับชีวิตจริง

วิธีการแก้ไขปัญหาที่พนักงานขาดความตระหนักรู้อาจดูเหมือนชัดเจน นั่นก็คือการสร้างความตระหนักรู้และบอกให้พวกเขารับรู้ถึงกฎระเบียบทั่วไปและนโยบายด้านความปลอดภัยทางไซเบอร์ แต่โชคไม่ดีที่กลยุทธ์นี้แทบจะใช้ไม่ได้ผลเลย เมื่อมีเป้าหมายในการเปลี่ยนแปลงพฤติกรรมของพนักงานให้เหมาะสมยิ่งขึ้น

พนักงานส่วนใหญ่มักไม่มีความรู้ด้านความปลอดภัยหรือแม้แต่ภูมิหลังการทำงานด้านเทคโนโลยีสารสนเทศระดับทั่วไป พวกเขาอาจไม่เข้าใจถึงสิ่งที่ควรปฏิบัติเมื่อคุณเพียงแค่แนะนำให้พวกเขาอัพเดตแอปพลิเคชั่นอยู่เสมอและมีความระมัดระวังในการเปิดไฟล์แนบที่น่าสงสัย ซึ่งในการก้าวข้ามอุปปสรรคทางการสื่อสารนี้ เนื้อหาการเรียนรู้ควรถูกถ่ายทอดผ่านการจำลองสถานการณ์ที่มีโอกาสเกิดขึ้นจริงซึ่งพนักงานต้องเผชิญ เช่น การทำงานกับอีเมลหรือการท่องอินเตอร์เน็ตเพื่อค้นหาเว็บไซต์ในการดาวน์โหลดซีรี่ส์เรื่องโปรด

***

ในการบรรลุผลสำเร็จของเรื่องนี้ หลักสูตรการฝึกอบรมด้านความปลอดภัยจำเป็นต้องดำเนินบนแนวทางที่ไม่เพียงครอบคลุมหัวข้อสำคัญทั้งหมดเท่านั้น หากยังต้องทำให้ง่ายต่อการทำความเข้าใจและจดจำด้วย

ยกตัวอย่างเช่น Donau Chemie Group ลูกค้ารายหนึ่งของเราซึ่งมีความเชี่ยวชาญในการผลิตสารเคมีหลากหลายชนิด ได้จัดให้มีการฝึกอบรมด้านความปลอดภัยทางไซเบอร์ในรูปแบบเดิม ๆ สำหรับพนักงาน ทว่า มันกลับล้มเหลวในการกระตุ้นให้พนักงานที่ไม่ใช่ฝ่ายเทคโนโลยีสารสนเทศเปลี่ยนแปลงพฤติกรรมของตนเองในด้านความปลอดภัย ถึงกระนั้น มันก็ไม่ใช่ปัญหาของบรรดาพนักงานที่เชื่อถือไม่ได้เหล่านั้น หากเมื่อบริษัทใช้หลักสูตรการฝึกอบรมที่เราแนะนำ ซึ่งประกอบด้วยการเรียนรู้แบบอินเตอร์แอ็คทีฟและการจำลองสถานการณ์ สภาวะการเรียนรู้ก็เปลี่ยนไปอย่างสิ้นเชิง ยกตัวอย่างเช่น จำนวนครั้งของการคลิกเข้าสู่ลิงก์ที่จำลองเป็นการโจมตี (ซึ่งอยู่ในรายชื่อการโจมตีสามอันดับแรกที่นำไปสู่การสูญเสียข้อมูล) ปัจจุบันมีน้อยกว่า 2%

เมื่อพนักงานถูกกดดันให้ใช้เวลาหลายชั่วโมงในการฝึกอบรมที่ยาวนานเกี่ยวกับหัวข้อที่ไม่เกี่ยวข้องกับหน้าที่การทำงานของพวกเขาเลย ก็นับเป็นเรื่องยากที่จะมั่นใจได้ว่าพวกเขาจะนำคำแนะนำไปใช้งานจริง อย่างไรก็ดี หากการฝึกอบรมไม่ได้ใช้เวลานานมากและง่ายต่อการทำความเข้าใจ ก็มีโอกาสเกิดข้อผิดพลาดน้อยกว่าและสร้างมาตรฐานความปลอดภัยในภาพรวมได้สูงกว่าด้วย

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

ทำไม  นี้ถึงยังไม่มีอิโมจิรถกระบะให้ใช้นะ? ฟอร์ดเดินหน้าผลักดันไอคอนเอาใจสาวกรถกระบะ ฉลองวันอิโมจิโลก

ทำไม  นี้ถึงยัง …

%d bloggers like this: