7 Security Awareness สำหรับพนักงานองค์กร
เพื่อเพิ่มศักยภาพด้าน Cyber Security ให้กับองค์กร
การสร้าง Security Awareness ให้องค์กรไม่ได้มาจากการให้ความรู้จากการสื่อสารเพียงอย่างเดียวเท่านั้น แต่ยังรวมถึงการบริหารจัดการบุคคล เพื่อให้ได้รับข้อมูลอย่างถูกต้องด้วย โดยองค์กรควรมีการสร้างแผนการกระจายข้อมูลที่เกี่ยวข้องตรงกับปัญหาไปยังพนักงานในองค์กร เพื่อให้เข้าใจว่าพวกเขาคือส่วนหนึ่งในความมั่นคงปลอดภัยขององค์กรด้วย นอกจากนี้พนักงานต้องทราบถึงรูปแบบของภัยคุกคามต่างๆ และต้องสามารถตอบสนองกับภัยคุกคามตามนโยบายขององค์กรที่ถูกจัดวางไว้ได้อย่างเหมาะสม
โดยขั้นตอนที่ทำให้พนักงานมีส่วมร่วมในด้านความมั่นคงปลอดภัยสามารถปฏิบัติได้ดังนี้
1. จัดกิจกรรมเพื่อฝึกฝนทักษะ เช่น จัดแข่งขันด้าน Cybersecurity ทำการทดสอบ Phishing กับพนักงาน การใช้งานอีเมล หรือมีการนำเสนอเรื่องราวด้านความมั่นคงปลอดภัยอยู่ตลอดเวลา
2. สร้างการสื่อสารระหว่างพนักงานกับทีมงานด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับเหตุการณ์นั้น โดยทีมงานผู้เชี่ยวชาญต้องสามารถตอบคำถามกับพนักงานได้อย่างเข้าใจ ซึ่งคำถาม หรือข้อสงสัยจากพนักงานเหล่านี้จะช่วยให้ทีมงานความมั่นคงปลอดภัยได้รับข้อมูลที่เกิดขึ้นจริง เพื่อที่จะได้ตอบสนองภัยคุกคามภายในองค์กรอย่างถูกต้องและชัดเจน
3. ทดสอบพนักงานจากเหตุการณ์ที่เกิดขึ้นในโลกความเป็นจริงในสภาพแวดล้อมที่ผู้เชี่ยวชาญกำหนดไว้ เช่น ส่งอีเมล Phishing ที่เหมือนกับเหตุการณ์จริงและดูว่าพนักงานจะปฏิบัติอย่างไร เพื่อให้พนักงานเกิดความคุ้นเคยหากมีเหตุการณ์เกิดขึ้นจริง ขั้นตอนนี้ทีมงานความมั่นคงปลอดภัยจะได้รับมาตรวัดด้าน Awareness เพื่อใช้คุยกับทีมงาน พนักงาน หรือบอร์ดบริหาร เพื่อยกระดับไปสู่การทดสอบความมั่นคงปลอดภัยที่ดีขึ้นได้อีกด้วย
4. ควรมีทีมงานเพื่อรับฟังปัญหาจากพนักงาน เช่น ออกสำรวจเพื่อหาว่าจริงๆ แล้วอะไรคือความมั่นคงปลอดภัยที่พนักงานกังวลทั้งที่ทำงาน และที่บ้าน เพื่อให้ทีมงานด้านความมั่นคงปลอดภัยเข้าใจพนักงานที่ร่วมกิจกรรมที่จัดขึ้น อีกทั้งใช้ข้อมูลเหล่านี้ไปจัดกิจกรรมให้ตรงกับความสนใจของพนักงานมากขึ้นในครั้งต่อไป
5. การจัดอบรมด้านความมั่นคงปลอดภัย ซึ่งควรออกแบบเนื้อหาให้เหมาะสมกับพื้นฐานความรู้ของพนักงานด้วย โดยพนักงานทุกคนจะต้องไม่รู้เนื้อหามาก่อน เพราะอาจจะทำให้ไม่ได้รับความสนใจจากพนักงานที่เข้าร่วม
6. ให้โอกาสพนักงานรู้สึกว่ามีส่วนร่วมเมื่อพบเหตุการณ์ไม่ปกติ เช่น ให้ส่งรายงานของเหตุการณ์เหล่านั้นมาได้โดยส่งความเอกสารข้อมูลที่เกี่ยวข้องกับเหตุการณ์ที่จำเป็นในการจัดทำรายงาน
7. จัดตั้งตัวแทนด้านความมั่นคงปลอดภัยของแต่ละฝ่ายเพื่อเกิดการทำงานเป็นทีม และก่อตั้งเครือข่ายในการรายงานเหตุการณ์ภัยคุกคามตามลำดับชั้น แม้ว่าบางองค์กร จะมีทีมความมั่นคงปลอดภัยไม่มากนัก แต่การมีหูมีตาจากพนักงานทุกคนในองค์กรย่อมจะช่วยให้ทีมงานได้รับข้อมูล และแก้ไขปัญหาได้อย่างรวดเร็ว และตรงจุดมากขึ้น