สร้าง Cybersecurity Awareness อย่างไรให้ผ่าน พ.ร.บ. ไซเบอร์

Cybersecurity Awareness

เนื้อหาในบทความ

ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ปี 2562 มีข้อกำหนดเอาว่าองค์กรจะต้องทำ Security Awareness ในองค์กร ดังที่ปรากฏในข้อที่ 7 ว่า ต้องมีเป้าหมายและแนวทางอย่างน้อยเป็นการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

พ.ร.บ. ไซเบอร์

ถ้าว่าด้วยเรื่องการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับคนในองค์กรแล้ว ถ้าเรามาดูประกาศที่เกี่ยวเนื่องกัน สำหรับประกาศจากคณะกรรมการการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นประกาศเกี่ยวกับแนวปฏิบัติและกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยไซเบอร์นั่นเอง ซึ่งเป็นกรอบสำหรับหน่วยงานภาครัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญสารสนเทศ โดยแนวปฏิบัตินี้จะสอดคล้องกับ NIST-Cybersecurity นั่นเอง

สำหรับ NIST-Cybersecurity จะมีแนวปฏิบัติ 5 ด้าน โดย Cybersecurity Awareness จะอยู่ในด้านของการ Protect หรือป้องกัน หากเรามาดูรายละเอียดของกรอบมาตรฐานนี้ได้กำหนดไว้ทุกกลุ่มจะต้องรับรู้หน้าที่รับผิดชอบ (Roles & Responsibilities) ของตนเองว่ามีความสำคัญและมีหน้าที่รับผิดชอบอะไรบ้าง ดังนี้

1. ต้องมีแผนงานในการสร้างความตระหนักรู้ให้กับบุคลากรในองค์กร ได้แก่

  • กลุ่มพนักงานใหม่พนักงานที่ทำงานอยู่ประจำ
  • กลุ่มผู้บริหาร
  • กลุ่มเจ้าหน้าที่สนับสนุนโครงสร้างพื้นฐานสำคัญทางสาระสนเทศหรือทางกลุ่มแอดมิน
  • กลุ่มผู้รับเหมาหรือ Vendor

2. ต้องตระหนักรู้ทางด้านกฎหมายเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์

3. ต้องรู้เท่าทันภัยคุกคามไซเบอร์ที่จะมีผลกระทบต่อองค์กร

4. ต้องมีการทบทวนแผนในการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ในทุก ๆ ปี

การสร้าง Cybersecurity Awareness ที่มีประสิทธิภาพในองค์กรควรมีแนวทางปฏิบัติดังนี้

  1. เราจะต้องตั้งเป้าหมายการสื่อสารก่อนว่าเราจะมีการสื่อสารให้กับคนกลุ่มไหนบ้าง ใครต้องรับรู้เรื่องอะไรบ้าง
  2. เราต้องมีการวางแผนกลยุทธ์ Content ว่ามีหัวข้ออะไรบ้างที่คนแต่ละกลุ่มจะต้องรับรู้
  3. จะต้องมีช่องทางที่มีประสิทธิภาพในการสื่อสารข้อความต่าง ๆ ไปถึงให้ตรงกลุ่มและมีประสิทธิภาพมากที่สุด
  4. จะต้องมีการวัดผลความรู้ความเข้าใจในแต่ละกลุ่ม ว่าเขาได้รับรู้ไปมากน้อยขนาดไหน
  5. นำข้อมูลจากการวัดผลมาวิเคราะห์ว่ามีช่องว่าง (Gab) ไหนที่เราจะต้องเพิ่มเติมอีกหรือเปล่า 

แนวปฏิบัติในแต่ละขั้นตอน

การตั้งเป้าหมาย

เราจะต้องมีการกำหนดวัตถุประสงค์ของหัวข้อว่าอยากจะให้ทุกคนในองค์กรรับรู้ในข้อมูลในเรื่องใดบ้าง โดยมี 3 เรื่องหลัก ๆ ดังนี้

  1. เรื่อง Cybersecurity Literacy ความสามารถในการป้องกันภัยไซเบอร์ 
  2. เรื่อง Information Security ความสามารถในการปกป้องข้อมูลขององค์กรโดยเฉพาะข้อมูลความลับไม่ให้รั่วไหล
  3. เรื่องเกี่ยวกับกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ต่าง ๆ รวมถึง Control และ Procedure ขององค์กรที่ได้กำหนดไว้

การวางแผนกลยุทธ์ Content

เมื่อได้หัวข้อหลัก ๆ แล้ว ก็จะมากำหนดหรือว่าในเนื้อหาในหัวข้อต่าง ๆ ในกลุ่มคนแต่ละกลุ่มจะต้องรับรู้เรื่องใดบ้าง 

1. กลุ่มพนักงานและพนักงานเข้าใหม่ เป็นกลุ่มคนที่ใหญ่ที่สุดที่ควรจะมีความรู้พื้นฐานอย่างน้อย 2 หัวข้อหลัก ๆ 

  • เรื่อง Cyber Threat คือเรื่องภัยคุกคามทางด้านไซเบอร์ต่าง ๆ ไม่ว่าจะเป็นเรื่อง Phishing Email, Ransomware หรือการหลอกลวงผ่านในรูปแบบ Social Engineering
  • เรื่องการใช้งานอินเทอร์เน็ตให้มีความปลอดภัย หรือ Cyber hygiene เช่นเรื่องการบริหารการจัดการรหัสผ่านให้มีความปลอดภัย, การรักษาข้อมูลความลับขององค์กร หรือ การแบ่งระดับความสำคัญของข้อมูลขององค์กร, การใช้งานอุปกรณ์พกพาให้มีความปลอดภัยรวมถึงการใช้งานโซเชียลเน็ตเวิร์กต่าง ๆ

2. กลุ่มผู้บริหาร นอกจากความรู้พื้นฐานเหมือนกับพนักงานทั่วไปที่จำเป็นที่ต้องรับรู้แล้ว สิ่งที่กลุ่มนี้จะต้องรับรู้ก็คือ Roles & Responsibility ความรับผิดชอบของกลุ่มนี้ และ Compliance ที่กลุ่มผู้บริหารจะต้องคอยผักดันให้องค์กรสามารถปฏิบัติตามข้อกำหนดต่าง ๆ ได้

3. กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบที่สามารถเข้าถึงระบบสาระสนเทศส่วนใหญ่ในองค์กรได้ สิ่งที่กลุ่มนี้จำเป็นจะต้องรับรู้ต้องมีข้อกฎหมายเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับกลุ่มผู้ดูแลระบบก็จะต้องรู้เกี่ยวกับความปลอดภัยในการทำงานในแต่ละวันหรือ Secure Day to Day Operation สำหรับกลุ่มผู้พัฒนาแอพพลิเคชั่นจะต้องรู้กับ Secure Development Life-Cycle รวมถึงจะต้องรับรู้เกี่ยวกับเรื่อง Cyber Incident Response และจะต้องมีการทำ Cyber Exercise

การกำหนดช่องทาง

การกำหนดช่องทางที่สามารถให้ความรู้คนในแต่ละกลุ่ม สามารถเข้าถึงคนในแต่ละกลุ่มให้ได้มากที่สุด

1. กิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้อง

  • กลุ่มพนักงานทั่วไป พนักงานเข้าใหม่และกลุ่มผู้บริหาร เป็นกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ ซึ่งสามารถเข้าถึงกลุ่มคนจำนวนหนึ่งอาจจะไม่สามารถเข้าถึงได้ทุกคนในองค์กรเพราะว่าอาจจะจำกัดด้วยเวลาในการทำงาน
  • กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบสามารถจัดกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ได้เช่นกัน สำหรับเนื้อหาที่สอดคล้องกับคนกลุ่มนี้ แต่อาจจะเข้าถึงได้ครบทุกคนเพราะว่าจำนวนน้อยในองค์กร และการจัดอบรมเป็นระยะเวลาสั้น ๆ ได้ 2 ถึง 3 ชั่วโมง

2. กิจกรรม E-Learning

แต่จะเห็นได้ว่ายังเหลือคนอีกกลุ่มใหญ่ที่กิจกรรมเหล่านี้ไม่สามารถเข้าถึง ด้วยเหตุผลทางด้านเวลาหรือเหตุผลอื่น ดังนั้นสิ่งที่อาจจะเข้ามาเติมเต็มได้ก็คือ E-Learning ซึ่งตัวผู้เรียนเองสามารถบริหารจัดการเวลาตัวเองได้สามารถเข้ามาเรียนรู้ช่วงเวลาไหนที่ไหนก็ได้เหมะสำหรับกลุ่มคนที่เป็นพนักงานทั่วไปที่มีจำนวนมากในองค์กร

3. กิจกรรม Cyber Exercise

ควรจะมีการทำ Phishing Simulation เพื่อจะวัดผล หาความเสี่ยงหากเกิดภัยคุกคามในรูปแบบ Phishing Email ซึ่งนอกจากจะทำให้เกิดข้อมูลรั่วไหลแล้วอาจจะทำให้เกิดพวกไวรัสต่าง ๆ มาโจมตีผ่านช่องทางอีเมลได้ ดังนั้นในการวัดผลด้วยการทดสอบนี้ เพื่อไม่ให้เกิดผลกระทบจากการโจมตีด้วย Phishing Email นั่นเอง

4. กิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน

เพื่อความสม่ำเสมอเราควรจะมีอีเมลประชาสัมพันธ์ประจำเดือนในการสื่อสารกับทุกคนในองค์กร โดยเนื้อหาที่สื่อความในแต่ละเดือนจะเป็นเรื่องเกี่ยวกับ Cybersecurity เป็นการสร้างให้คนในองค์กรมีความตระหนักรู้อย่างสม่ำเสมอนั่นเอง

การวัดผลและการวิเคราะห์

จะมีการวัดผลอยู่สามแกน 

  • Knowledge : คือความรู้ความเข้าใจสิ่งที่เราจะวัดแต่ละวัดได้จากแบบทดสอบในการอบรมต่าง ๆ หรือทำแบบสำรวจออนไลน์ (Online Assessment) ให้พนักงานในองค์กรตอบคำถามเกี่ยวกับความรู้ความเข้าใจทางด้านไซเบอร์
  • Engage : คือการเข้าร่วมกิจกรรมต่าง ๆ วัดได้จากกิจกรรมถามตอบในกิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน หรือการแสดงความคิดเห็นต่าง ๆ ว่ามีมากน้อยแค่ไหนหรือมีการทำ Survey วัดผลความพึงพอใจไม่ว่าจะเป็นการอบรมหรือการสื่อความต่าง ๆ ในแต่ละเดือน 
  • Behavior : คือวัดผลจากพฤติกรรมในการทดสอบ Phishing Simulation หรือจะดู Log File การใช้งานของพนักงานในองค์กรเช่น จำนวน Login Failed หรือการเข้าใช้เว็บไซต์ที่สุ่มเสี่ยงมีมากน้อยขนาดไหน

MEASUREMENT & ANALYSIS Cybersecurity Awareness

ซึ่งข้อมูลนี้สามารถนำมาวิเคาะห์แล้วก็สามารถจัดเนื้อหาในการสื่อสารให้กับทุกกลุ่มได้อย่างมีประสิทธิภาพ

ประโยชน์ของ Cybersecurity Awareness ที่มีต่อองค์กร

  1. ทำให้ทุกคนในองค์กรเห็นความสำคัญในเรื่องภัยคุกคามทางด้านไซเบอร์ว่ามีผลกระทบอะไรกับองค์กร
  2. สามารถต่อยอดพัฒนาให้เกิดตัว Cybersecurity Culture ในองค์กรได้ ให้ทุกคนมี Mindset เดียวกันคือ Security First
  3. ลดผลกระทบจากภัยคุกคามทางไซเบอร์ต่าง ๆ และลดผลกระทบจากข้อมูลที่เป็นข้อมูลสำคัญที่อาจจะรั่วไหลสู่ภายนอก
  4. สามารถมั่นใจได้ว่าเราสามารถปฏิบัติตามข้อบังคับของกฎหมายได้
  5. สามารถเก็บรวบรวมข้อมูลต่าง ๆ มาประเมินความเสี่ยงจากการทำกิจกรรม Cybersecurity Awareness ในองค์กรและนี่ก็เป็นความจำเป็น แนวทางการปฏิบัติ และประโยชน์ของการทำ Cybersecurity Awareness องค์กร

บทความที่เกี่ยวข้อง

Phishing attacks

2023 Phishing Attack : เปิดโปงกลยุทธ์ฟิชชิงปี 2023 รู้ทันภัยก่อนตกเป็นเหยื่อ

August 17, 2023 No Comments

อีเมลหลอกลวง ลิงก์แปลกปลอม ไฟล์แนบที่น่าสงสัย หากคุณกำลังได้รับสิ่งเหล่านี้ พึ่งระวังไว้ได้ว่า คุณอาจจะกำลังตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบหนึ่งที่เรียกว่า “ฟิชชิง (Phishing Attack)” หนึ่งในภัยภัยคุกคามไซเบอร์ที่สร้างความเสียหายมหาศาลแก่องค์กรและธุรกิจ ตามรายงาน ปี 2022 ของศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Centre : IC3) ของ FBI ได้รับเรื่องร้องเรียนจากบุคคลและธุรกิจต่าง ๆ  เกี่ยวกับการโจมตีทางไซเบอร์ในจำนวนที่มากเป็นประวัติการณ์ โดยมีจำนวนสูงถึง

อ่านต่อ »

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

January 5, 2023 No Comments

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness

อ่านต่อ »

PDPA Awareness for employees Webinar

April 19, 2022 No Comments

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

March 26, 2022 No Comments

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

March 25, 2022 No Comments

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

March 24, 2022 No Comments

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »