จัดอบรม Security Awareness Training อย่างไรให้ปัง ลองทำ 12 ข้อนี้ดู

จัดอบรม Security Awareness Training อย่างไรให้ปัง ลองทำ 12 ข้อนี้ดู

นอกจากซอฟท์แวร์และฮาร์ดแวร์แล้ว หนึ่งในปัจจัยสำคัญที่ช่วยรักษาความปลอดภัยทาง Cyber ให้กับองค์กรคือ Security Awareness Training  หรือการจัดอบรมให้ความรู้ด้าน Cyber Security กับบุคลากรที่เกี่ยวข้อง ซึ่งไม่ใช่แค่ฝ่าย IT แต่รวมถึงพนักงานทุกคน

ผลสำรวจของ Wombat Security Technologies ในปี 2017 ได้บ่งชี้ว่า 30% ของ ของพนักงานในบริษัทไม่รู้จัก Phishing และ 2 ใน 3 ของพนักงานที่ถูกสำรวจไม่รู้จัก Ransomware  และไม่กี่ปีก่อนหน้า  Enterprise Management Associates (EMA) ได้ทำการสำรวจ พบว่า 56% ของพนักงานไม่เคยเข้าอบรม Security Awareness Training เลย นอกจากนี้ในกลุ่มที่เคยอบรมแล้ว พบว่ามีแค่ 48% เท่านั้นที่สามารถใช้ความรู้ในสถานการณ์จริงได้

 

อย่างไรก็ตาม หลายคนอาจมองว่าการพูดเรื่องไอที ต้องมีแต่ศัพท์เฉพาะ เข้าใจยาก น่าเบื่อ นี่คือคำแนะนำในการจัดกิจกรรมอบรม Security Awareness Training ให้กับพนักงานที่ทำให้ความรู้เรื่องการโจมตีทางไซเบอร์เป็นเรื่องง่ายและสนุก

1.ให้ความสำคัญกับ Phishing และ Ransomware เป็นอันดับแรก

มีงานวิจัยออกมาแล้วว่า Phishing คือ Cyber Attack หมายเลขหนึ่งในองค์กร Phishing ไม่ได้มาจากการแค่การกดลิงค์หรือตอบเมลเท่านั้น การใช้งานสื่อโซเชียลและการรับโทรศัพท์ ต่างๆ ก็เป็นต้นเหตุของ Phishing ได้เช่นกัน อย่างเช่น อาจมีคนปลอมเป็นเจ้านาย โทรมาบอกว่าให้รีบเช็คและตอบเมลตัวหนึ่งด่วนๆ เป็นต้น เช่นเดียวกับการให้เฝ้าระวังไฟล์แนบ ที่ดูเหมือนจะบังคับให้ผู้รับรู้สึกว่าต้องเปิดดูอย่างหลีกเลี่ยงไม่ได้ เป็นพิเศษ เช่น ‘payment confirmation’ หรือ ‘document sharing’

นอกจากนี้ ยังมี ransomware อีกประเภทที่ไม่ได้ขโมยข้อมูลไป แต่กลับใช้การเข้ารหัสทำให้ end user เปิดไฟล์เข้าไปดูไม่ได้ และต้องเสียเงินให้กับแฮคเกอร์เพื่อเอาการเข้ารหัสออก ข้อมูลพวกนี้ สำคัญและต้องอยู่ในเนื้อหาที่สอน

 

2.เนื้อหาต้องกระชับ การอบรมต้องเกิดขึ้นเรื่อยๆ และในการอบรมแต่ละครั้ง ควรพูดทีละหัวข้อ

 

3.เริ่มอบรมตั้งแต่วันแรกที่เข้าทำงาน มีหลายบริษัททำมีกระบวนการเทรนพนักงานแบบกลุ่มย่อยหรือรายบุคคล โดยเฉพาะพนักงานเข้าใหม่ สามารถติดต่อเพื่อทำ training ได้ทันที

 

4.อัปเดตข้อมูลอย่างต่อเนื่อง Cyber Attack มีการอัปเดตรูปแบบใหม่ๆ ตลอดเวลา นอกจากจะเรียนเรื่องรูปแบบการโจมตีที่เคยมีมาแล้ว จำเป็นต้องหาข้อมูลใหม่ๆ และเติมความรู้อย่างต่อเนื่อง

5.ต้องมีการฝึกแบบจำลองเหตุการณ์จริง แบบเดียวกับการซ้อมรบของทหารอย่างสม่ำเสมอ บรรยายอย่างเดียวไม่เพียงพอ

 

 6.อธิบายให้พนักงานทุกคนเข้าใจถึงความสำคัญของการอบรม และทำให้ทุกคนทราบว่ามันเกี่ยวกับการทำงานของพวกเขาอย่างไร

 

7.กำชับให้พนักงานทุกคนตั้งพาสเวิร์ดให้รัดกุมองค์กรต้องทำนโยบายการตั้งพาสเวิร์ดออกมาให้ชัดเจน ไม่ใช้พาสเวิร์ดแบบ weak และไม่ให้พนักงานตั้งพาสเวิร์ดสำหรับงานในองค์กรเป็นพาสเวิร์ดเดียวกับที่ใช้ส่วนตัว

 

 8.เปลี่ยนรูปแบบการอบรมไปตามกลุ่มเป้าหมาย

 

 9.เปลี่ยนทฤษฎีด้านไอที ให้เป็นการเล่าเรื่องที่สนุกพนักงานส่วนใหญ่ไม่มีพื้นความรู้ด้านไอที จะใช้ศัพท์เทคนิคมาพูดอย่างเดียวเข้าใจยาก ควรพูดถึง Cyber Attack ให้ออกมาเป็นเรื่อง “สงครามไซเบอร์” จะทำให้คนฟังติดตามเรื่องไดง่ายกว่า

 

 10.การเวิร์คชอปต้องเป็นแบบ interactive เน้นการมีส่วนร่วมของคนฟัง

 

11.นอกจากจะอธิบายให้เห็นภาพกว้างแล้ว ควรย่อยข้อมูลแล้วสรุปมาเป็นสเต็ป 1-2-3-4 ว่าหลังจากฟังบรรยายเสร็จแล้ว คนฟังต้องกลับไปทำอะไร

 

12.ต้องมีการอบรมทางออนไลน์เสริมไปด้วย – Cyber Attack ใหม่ๆ เกิดขึ้นตลอดเวลา เพื่ออัปเดตความรู้ให้เร็วที่สุด การสอนทางออนไลน์ทันทีที่มีหัวข้อใหม่ออกมาก็เป็นเรื่องสำคัญ

 

ถ้าทำ 12 ข้อนี้ การจัดอบรม Security Awareness Training ก็จะไม่ใช่เรื่องน่าเบื่ออีกต่อไป

__________________________
ถ้าท่านใดสนใจทดสอบ ติดต่อสอบถามรายละเอียดได้ที่
💻 : www.monsterconnect.co.th
☎ : 02-392-3608
📱 : Sales@monsterconnect.co.th

Tanakorn Siritorn
No Comments

Post a Comment

Comment
Name
Email
Website

This site uses Akismet to reduce spam. Learn how your comment data is processed.