สร้าง Cybersecurity Awareness อย่างไรให้ผ่าน พ.ร.บ. ไซเบอร์

Cybersecurity Awareness

เนื้อหาในบทความ

ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ปี 2562 มีข้อกำหนดเอาว่าองค์กรจะต้องทำ Security Awareness ในองค์กร ดังที่ปรากฏในข้อที่ 7 ว่า ต้องมีเป้าหมายและแนวทางอย่างน้อยเป็นการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

พ.ร.บ. ไซเบอร์

ถ้าว่าด้วยเรื่องการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับคนในองค์กรแล้ว ถ้าเรามาดูประกาศที่เกี่ยวเนื่องกัน สำหรับประกาศจากคณะกรรมการการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นประกาศเกี่ยวกับแนวปฏิบัติและกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยไซเบอร์นั่นเอง ซึ่งเป็นกรอบสำหรับหน่วยงานภาครัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญสารสนเทศ โดยแนวปฏิบัตินี้จะสอดคล้องกับ NIST-Cybersecurity นั่นเอง

สำหรับ NIST-Cybersecurity จะมีแนวปฏิบัติ 5 ด้าน โดย Cybersecurity Awareness จะอยู่ในด้านของการ Protect หรือป้องกัน หากเรามาดูรายละเอียดของกรอบมาตรฐานนี้ได้กำหนดไว้ทุกกลุ่มจะต้องรับรู้หน้าที่รับผิดชอบ (Roles & Responsibilities) ของตนเองว่ามีความสำคัญและมีหน้าที่รับผิดชอบอะไรบ้าง ดังนี้

1. ต้องมีแผนงานในการสร้างความตระหนักรู้ให้กับบุคลากรในองค์กร ได้แก่

  • กลุ่มพนักงานใหม่พนักงานที่ทำงานอยู่ประจำ
  • กลุ่มผู้บริหาร
  • กลุ่มเจ้าหน้าที่สนับสนุนโครงสร้างพื้นฐานสำคัญทางสาระสนเทศหรือทางกลุ่มแอดมิน
  • กลุ่มผู้รับเหมาหรือ Vendor

2. ต้องตระหนักรู้ทางด้านกฎหมายเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์

3. ต้องรู้เท่าทันภัยคุกคามไซเบอร์ที่จะมีผลกระทบต่อองค์กร

4. ต้องมีการทบทวนแผนในการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ในทุก ๆ ปี


การสร้าง Cybersecurity Awareness ที่มีประสิทธิภาพในองค์กรควรมีแนวทางปฏิบัติดังนี้

  1. เราจะต้องตั้งเป้าหมายการสื่อสารก่อนว่าเราจะมีการสื่อสารให้กับคนกลุ่มไหนบ้าง ใครต้องรับรู้เรื่องอะไรบ้าง
  2. เราต้องมีการวางแผนกลยุทธ์ Content ว่ามีหัวข้ออะไรบ้างที่คนแต่ละกลุ่มจะต้องรับรู้
  3. จะต้องมีช่องทางที่มีประสิทธิภาพในการสื่อสารข้อความต่าง ๆ ไปถึงให้ตรงกลุ่มและมีประสิทธิภาพมากที่สุด
  4. จะต้องมีการวัดผลความรู้ความเข้าใจในแต่ละกลุ่ม ว่าเขาได้รับรู้ไปมากน้อยขนาดไหน
  5. นำข้อมูลจากการวัดผลมาวิเคราะห์ว่ามีช่องว่าง (Gab) ไหนที่เราจะต้องเพิ่มเติมอีกหรือเปล่า 

แนวปฏิบัติในแต่ละขั้นตอน

การตั้งเป้าหมาย

เราจะต้องมีการกำหนดวัตถุประสงค์ของหัวข้อว่าอยากจะให้ทุกคนในองค์กรรับรู้ในข้อมูลในเรื่องใดบ้าง โดยมี 3 เรื่องหลัก ๆ ดังนี้

  1. เรื่อง Cybersecurity Literacy ความสามารถในการป้องกันภัยไซเบอร์ 
  2. เรื่อง Information Security ความสามารถในการปกป้องข้อมูลขององค์กรโดยเฉพาะข้อมูลความลับไม่ให้รั่วไหล
  3. เรื่องเกี่ยวกับกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ต่าง ๆ รวมถึง Control และ Procedure ขององค์กรที่ได้กำหนดไว้

การวางแผนกลยุทธ์ Content

เมื่อได้หัวข้อหลัก ๆ แล้ว ก็จะมากำหนดหรือว่าในเนื้อหาในหัวข้อต่าง ๆ ในกลุ่มคนแต่ละกลุ่มจะต้องรับรู้เรื่องใดบ้าง 

1. กลุ่มพนักงานและพนักงานเข้าใหม่ เป็นกลุ่มคนที่ใหญ่ที่สุดที่ควรจะมีความรู้พื้นฐานอย่างน้อย 2 หัวข้อหลัก ๆ 

  • เรื่อง Cyber Threat คือเรื่องภัยคุกคามทางด้านไซเบอร์ต่าง ๆ ไม่ว่าจะเป็นเรื่อง Phishing Email, Ransomware หรือการหลอกลวงผ่านในรูปแบบ Social Engineering
  • เรื่องการใช้งานอินเทอร์เน็ตให้มีความปลอดภัย หรือ Cyber hygiene เช่นเรื่องการบริหารการจัดการรหัสผ่านให้มีความปลอดภัย, การรักษาข้อมูลความลับขององค์กร หรือ การแบ่งระดับความสำคัญของข้อมูลขององค์กร, การใช้งานอุปกรณ์พกพาให้มีความปลอดภัยรวมถึงการใช้งานโซเชียลเน็ตเวิร์กต่าง ๆ

2. กลุ่มผู้บริหาร นอกจากความรู้พื้นฐานเหมือนกับพนักงานทั่วไปที่จำเป็นที่ต้องรับรู้แล้ว สิ่งที่กลุ่มนี้จะต้องรับรู้ก็คือ Roles & Responsibility ความรับผิดชอบของกลุ่มนี้ และ Compliance ที่กลุ่มผู้บริหารจะต้องคอยผักดันให้องค์กรสามารถปฏิบัติตามข้อกำหนดต่าง ๆ ได้

3. กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบที่สามารถเข้าถึงระบบสาระสนเทศส่วนใหญ่ในองค์กรได้ สิ่งที่กลุ่มนี้จำเป็นจะต้องรับรู้ต้องมีข้อกฎหมายเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับกลุ่มผู้ดูแลระบบก็จะต้องรู้เกี่ยวกับความปลอดภัยในการทำงานในแต่ละวันหรือ Secure Day to Day Operation สำหรับกลุ่มผู้พัฒนาแอพพลิเคชั่นจะต้องรู้กับ Secure Development Life-Cycle รวมถึงจะต้องรับรู้เกี่ยวกับเรื่อง Cyber Incident Response และจะต้องมีการทำ Cyber Exercise

การกำหนดช่องทาง

การกำหนดช่องทางที่สามารถให้ความรู้คนในแต่ละกลุ่ม สามารถเข้าถึงคนในแต่ละกลุ่มให้ได้มากที่สุด

1. กิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้อง

  • กลุ่มพนักงานทั่วไป พนักงานเข้าใหม่และกลุ่มผู้บริหาร เป็นกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ ซึ่งสามารถเข้าถึงกลุ่มคนจำนวนหนึ่งอาจจะไม่สามารถเข้าถึงได้ทุกคนในองค์กรเพราะว่าอาจจะจำกัดด้วยเวลาในการทำงาน
  • กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบสามารถจัดกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ได้เช่นกัน สำหรับเนื้อหาที่สอดคล้องกับคนกลุ่มนี้ แต่อาจจะเข้าถึงได้ครบทุกคนเพราะว่าจำนวนน้อยในองค์กร และการจัดอบรมเป็นระยะเวลาสั้น ๆ ได้ 2 ถึง 3 ชั่วโมง

2. กิจกรรม E-Learning

แต่จะเห็นได้ว่ายังเหลือคนอีกกลุ่มใหญ่ที่กิจกรรมเหล่านี้ไม่สามารถเข้าถึง ด้วยเหตุผลทางด้านเวลาหรือเหตุผลอื่น ดังนั้นสิ่งที่อาจจะเข้ามาเติมเต็มได้ก็คือ E-Learning ซึ่งตัวผู้เรียนเองสามารถบริหารจัดการเวลาตัวเองได้สามารถเข้ามาเรียนรู้ช่วงเวลาไหนที่ไหนก็ได้เหมะสำหรับกลุ่มคนที่เป็นพนักงานทั่วไปที่มีจำนวนมากในองค์กร

3. กิจกรรม Cyber Exercise

ควรจะมีการทำ Phishing Simulation เพื่อจะวัดผล หาความเสี่ยงหากเกิดภัยคุกคามในรูปแบบ Phishing Email ซึ่งนอกจากจะทำให้เกิดข้อมูลรั่วไหลแล้วอาจจะทำให้เกิดพวกไวรัสต่าง ๆ มาโจมตีผ่านช่องทางอีเมลได้ ดังนั้นในการวัดผลด้วยการทดสอบนี้ เพื่อไม่ให้เกิดผลกระทบจากการโจมตีด้วย Phishing Email นั่นเอง

4. กิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน

เพื่อความสม่ำเสมอเราควรจะมีอีเมลประชาสัมพันธ์ประจำเดือนในการสื่อสารกับทุกคนในองค์กร โดยเนื้อหาที่สื่อความในแต่ละเดือนจะเป็นเรื่องเกี่ยวกับ Cybersecurity เป็นการสร้างให้คนในองค์กรมีความตระหนักรู้อย่างสม่ำเสมอนั่นเอง

การวัดผลและการวิเคราะห์

จะมีการวัดผลอยู่สามแกน 

  • Knowledge : คือความรู้ความเข้าใจสิ่งที่เราจะวัดแต่ละวัดได้จากแบบทดสอบในการอบรมต่าง ๆ หรือทำแบบสำรวจออนไลน์ (Online Assessment) ให้พนักงานในองค์กรตอบคำถามเกี่ยวกับความรู้ความเข้าใจทางด้านไซเบอร์
  • Engage : คือการเข้าร่วมกิจกรรมต่าง ๆ วัดได้จากกิจกรรมถามตอบในกิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน หรือการแสดงความคิดเห็นต่าง ๆ ว่ามีมากน้อยแค่ไหนหรือมีการทำ Survey วัดผลความพึงพอใจไม่ว่าจะเป็นการอบรมหรือการสื่อความต่าง ๆ ในแต่ละเดือน 
  • Behavior : คือวัดผลจากพฤติกรรมในการทดสอบ Phishing Simulation หรือจะดู Log File การใช้งานของพนักงานในองค์กรเช่น จำนวน Login Failed หรือการเข้าใช้เว็บไซต์ที่สุ่มเสี่ยงมีมากน้อยขนาดไหน

MEASUREMENT & ANALYSIS Cybersecurity Awareness

ซึ่งข้อมูลนี้สามารถนำมาวิเคาะห์แล้วก็สามารถจัดเนื้อหาในการสื่อสารให้กับทุกกลุ่มได้อย่างมีประสิทธิภาพ


ประโยชน์ของ Cybersecurity Awareness ที่มีต่อองค์กร

  1. ทำให้ทุกคนในองค์กรเห็นความสำคัญในเรื่องภัยคุกคามทางด้านไซเบอร์ว่ามีผลกระทบอะไรกับองค์กร
  2. สามารถต่อยอดพัฒนาให้เกิดตัว Cybersecurity Culture ในองค์กรได้ ให้ทุกคนมี Mindset เดียวกันคือ Security First
  3. ลดผลกระทบจากภัยคุกคามทางไซเบอร์ต่าง ๆ และลดผลกระทบจากข้อมูลที่เป็นข้อมูลสำคัญที่อาจจะรั่วไหลสู่ภายนอก
  4. สามารถมั่นใจได้ว่าเราสามารถปฏิบัติตามข้อบังคับของกฎหมายได้
  5. สามารถเก็บรวบรวมข้อมูลต่าง ๆ มาประเมินความเสี่ยงจากการทำกิจกรรม Cybersecurity Awareness ในองค์กรและนี่ก็เป็นความจำเป็น แนวทางการปฏิบัติ และประโยชน์ของการทำ Cybersecurity Awareness องค์กร

บทความที่เกี่ยวข้อง

Phishing attacks

2023 Phishing Attack : เปิดโปงกลยุทธ์ฟิชชิงปี 2023 รู้ทันภัยก่อนตกเป็นเหยื่อ

อีเมลหลอกลวง ลิงก์แปลกปลอม ไฟล์แนบที่น่าสงสัย หากคุณกำลังได้รับสิ่งเหล่านี้ พึ่งระวังไว้ได้ว่า คุณอาจจะกำลังตกเป็นเหยื่อของการโจมตีทางไซเบอร์แบบหนึ่งที่เรียกว่า “ฟิชชิง (Phishing Attack)” หนึ่งในภัยภัยคุกคามไซเบอร์ที่สร้างความเสียหายมหาศาลแก่องค์กรและธุรกิจ ตามรายงาน ปี 2022 ของศูนย์รับเรื่องร้องเรียนอาชญากรรมทางอินเทอร์เน็ต (Internet Crime Complaint Centre : IC3) ของ FBI ได้รับเรื่องร้องเรียนจากบุคคลและธุรกิจต่าง ๆ  เกี่ยวกับการโจมตีทางไซเบอร์ในจำนวนที่มากเป็นประวัติการณ์ โดยมีจำนวนสูงถึง

อ่านต่อ »

10 สิ่งที่ทำให้ Cybersecurity Awareness ในองค์กรไม่มีประสิทธิภาพ​

ทำไม Cybersecurity Awareness จึงเป็นสิ่งสำคัญสำหรับองค์กร การตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ หรือ Cybersecurity Awareness ในองค์กรมีความสำคัญเนื่องจากช่วยปกป้องบุคคลและองค์กรจากภัยคุกคามทางไซเบอร์ เช่น มัลแวร์ การโจมตีแบบฟิชชิง และข้อมูลรั่วไหล ซึ่งภัยคุกคามเหล่านี้อาจส่งผลร้ายแรง รวมถึงการสูญเสียทางการเงิน ความเสียหายต่อชื่อเสียง และการสูญเสียข้อมูลส่วนบุคคลหรือข้อมูลธุรกิจที่ละเอียดอ่อน องค์กรสามารถลดความเสี่ยงที่จะตกเป็นเหยื่อของภัยคุกคามเหล่านี้ได้ด้วยการตระหนักรู้และปฏิบัติตามแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่ดี ซึ่งหากองค์กรมีการวางแผนการตระหนักถึงความปลอดภัยในโลกไซเบอร์ที่มีประสิทธิภาพต้องระมัดระวังไม่ทำ 10 สิ่งดังต่อไปนี้ 10 สิ่งที่ทำให้ Cybersecurity Awareness

อ่านต่อ »

PDPA Awareness for employees Webinar

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »