ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ปี 2562 มีข้อกำหนดเอาว่าองค์กรจะต้องทำ Security Awareness ในองค์กร ดังที่ปรากฏในข้อที่ 7 ว่า ต้องมีเป้าหมายและแนวทางอย่างน้อยเป็นการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์
ถ้าว่าด้วยเรื่องการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับคนในองค์กรแล้ว ถ้าเรามาดูประกาศที่เกี่ยวเนื่องกัน สำหรับประกาศจากคณะกรรมการการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นประกาศเกี่ยวกับแนวปฏิบัติและกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยไซเบอร์นั่นเอง ซึ่งเป็นกรอบสำหรับหน่วยงานภาครัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญสารสนเทศ โดยแนวปฏิบัตินี้จะสอดคล้องกับ NIST-Cybersecurity นั่นเอง
สำหรับ NIST-Cybersecurity จะมีแนวปฏิบัติ 5 ด้าน โดย Cybersecurity Awareness จะอยู่ในด้านของการ Protect หรือป้องกัน หากเรามาดูรายละเอียดของกรอบมาตรฐานนี้ได้กำหนดไว้ทุกกลุ่มจะต้องรับรู้หน้าที่รับผิดชอบ (Roles & Responsibilities) ของตนเองว่ามีความสำคัญและมีหน้าที่รับผิดชอบอะไรบ้าง ดังนี้
1. ต้องมีแผนงานในการสร้างความตระหนักรู้ให้กับบุคลากรในองค์กร ได้แก่
- กลุ่มพนักงานใหม่พนักงานที่ทำงานอยู่ประจำ
- กลุ่มผู้บริหาร
- กลุ่มเจ้าหน้าที่สนับสนุนโครงสร้างพื้นฐานสำคัญทางสาระสนเทศหรือทางกลุ่มแอดมิน
- กลุ่มผู้รับเหมาหรือ Vendor
2. ต้องตระหนักรู้ทางด้านกฎหมายเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์
3. ต้องรู้เท่าทันภัยคุกคามไซเบอร์ที่จะมีผลกระทบต่อองค์กร
4. ต้องมีการทบทวนแผนในการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ในทุก ๆ ปี
การสร้าง Cybersecurity Awareness ที่มีประสิทธิภาพในองค์กรควรมีแนวทางปฏิบัติดังนี้
- เราจะต้องตั้งเป้าหมายการสื่อสารก่อนว่าเราจะมีการสื่อสารให้กับคนกลุ่มไหนบ้าง ใครต้องรับรู้เรื่องอะไรบ้าง
- เราต้องมีการวางแผนกลยุทธ์ Content ว่ามีหัวข้ออะไรบ้างที่คนแต่ละกลุ่มจะต้องรับรู้
- จะต้องมีช่องทางที่มีประสิทธิภาพในการสื่อสารข้อความต่าง ๆ ไปถึงให้ตรงกลุ่มและมีประสิทธิภาพมากที่สุด
- จะต้องมีการวัดผลความรู้ความเข้าใจในแต่ละกลุ่ม ว่าเขาได้รับรู้ไปมากน้อยขนาดไหน
- นำข้อมูลจากการวัดผลมาวิเคราะห์ว่ามีช่องว่าง (Gab) ไหนที่เราจะต้องเพิ่มเติมอีกหรือเปล่า
แนวปฏิบัติในแต่ละขั้นตอน
การตั้งเป้าหมาย
เราจะต้องมีการกำหนดวัตถุประสงค์ของหัวข้อว่าอยากจะให้ทุกคนในองค์กรรับรู้ในข้อมูลในเรื่องใดบ้าง โดยมี 3 เรื่องหลัก ๆ ดังนี้
- เรื่อง Cybersecurity Literacy ความสามารถในการป้องกันภัยไซเบอร์
- เรื่อง Information Security ความสามารถในการปกป้องข้อมูลขององค์กรโดยเฉพาะข้อมูลความลับไม่ให้รั่วไหล
- เรื่องเกี่ยวกับกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ต่าง ๆ รวมถึง Control และ Procedure ขององค์กรที่ได้กำหนดไว้
การวางแผนกลยุทธ์ Content
เมื่อได้หัวข้อหลัก ๆ แล้ว ก็จะมากำหนดหรือว่าในเนื้อหาในหัวข้อต่าง ๆ ในกลุ่มคนแต่ละกลุ่มจะต้องรับรู้เรื่องใดบ้าง
1. กลุ่มพนักงานและพนักงานเข้าใหม่ เป็นกลุ่มคนที่ใหญ่ที่สุดที่ควรจะมีความรู้พื้นฐานอย่างน้อย 2 หัวข้อหลัก ๆ
- เรื่อง Cyber Threat คือเรื่องภัยคุกคามทางด้านไซเบอร์ต่าง ๆ ไม่ว่าจะเป็นเรื่อง Phishing Email, Ransomware หรือการหลอกลวงผ่านในรูปแบบ Social Engineering
- เรื่องการใช้งานอินเทอร์เน็ตให้มีความปลอดภัย หรือ Cyber hygiene เช่นเรื่องการบริหารการจัดการรหัสผ่านให้มีความปลอดภัย, การรักษาข้อมูลความลับขององค์กร หรือ การแบ่งระดับความสำคัญของข้อมูลขององค์กร, การใช้งานอุปกรณ์พกพาให้มีความปลอดภัยรวมถึงการใช้งานโซเชียลเน็ตเวิร์กต่าง ๆ
2. กลุ่มผู้บริหาร นอกจากความรู้พื้นฐานเหมือนกับพนักงานทั่วไปที่จำเป็นที่ต้องรับรู้แล้ว สิ่งที่กลุ่มนี้จะต้องรับรู้ก็คือ Roles & Responsibility ความรับผิดชอบของกลุ่มนี้ และ Compliance ที่กลุ่มผู้บริหารจะต้องคอยผักดันให้องค์กรสามารถปฏิบัติตามข้อกำหนดต่าง ๆ ได้
3. กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบที่สามารถเข้าถึงระบบสาระสนเทศส่วนใหญ่ในองค์กรได้ สิ่งที่กลุ่มนี้จำเป็นจะต้องรับรู้ต้องมีข้อกฎหมายเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับกลุ่มผู้ดูแลระบบก็จะต้องรู้เกี่ยวกับความปลอดภัยในการทำงานในแต่ละวันหรือ Secure Day to Day Operation สำหรับกลุ่มผู้พัฒนาแอพพลิเคชั่นจะต้องรู้กับ Secure Development Life-Cycle รวมถึงจะต้องรับรู้เกี่ยวกับเรื่อง Cyber Incident Response และจะต้องมีการทำ Cyber Exercise
การกำหนดช่องทาง
การกำหนดช่องทางที่สามารถให้ความรู้คนในแต่ละกลุ่ม สามารถเข้าถึงคนในแต่ละกลุ่มให้ได้มากที่สุด
1. กิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้อง
- กลุ่มพนักงานทั่วไป พนักงานเข้าใหม่และกลุ่มผู้บริหาร เป็นกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ ซึ่งสามารถเข้าถึงกลุ่มคนจำนวนหนึ่งอาจจะไม่สามารถเข้าถึงได้ทุกคนในองค์กรเพราะว่าอาจจะจำกัดด้วยเวลาในการทำงาน
- กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบสามารถจัดกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ได้เช่นกัน สำหรับเนื้อหาที่สอดคล้องกับคนกลุ่มนี้ แต่อาจจะเข้าถึงได้ครบทุกคนเพราะว่าจำนวนน้อยในองค์กร และการจัดอบรมเป็นระยะเวลาสั้น ๆ ได้ 2 ถึง 3 ชั่วโมง
2. กิจกรรม E-Learning
แต่จะเห็นได้ว่ายังเหลือคนอีกกลุ่มใหญ่ที่กิจกรรมเหล่านี้ไม่สามารถเข้าถึง ด้วยเหตุผลทางด้านเวลาหรือเหตุผลอื่น ดังนั้นสิ่งที่อาจจะเข้ามาเติมเต็มได้ก็คือ E-Learning ซึ่งตัวผู้เรียนเองสามารถบริหารจัดการเวลาตัวเองได้สามารถเข้ามาเรียนรู้ช่วงเวลาไหนที่ไหนก็ได้เหมะสำหรับกลุ่มคนที่เป็นพนักงานทั่วไปที่มีจำนวนมากในองค์กร
3. กิจกรรม Cyber Exercise
ควรจะมีการทำ Phishing Simulation เพื่อจะวัดผล หาความเสี่ยงหากเกิดภัยคุกคามในรูปแบบ Phishing Email ซึ่งนอกจากจะทำให้เกิดข้อมูลรั่วไหลแล้วอาจจะทำให้เกิดพวกไวรัสต่าง ๆ มาโจมตีผ่านช่องทางอีเมลได้ ดังนั้นในการวัดผลด้วยการทดสอบนี้ เพื่อไม่ให้เกิดผลกระทบจากการโจมตีด้วย Phishing Email นั่นเอง
4. กิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน
เพื่อความสม่ำเสมอเราควรจะมีอีเมลประชาสัมพันธ์ประจำเดือนในการสื่อสารกับทุกคนในองค์กร โดยเนื้อหาที่สื่อความในแต่ละเดือนจะเป็นเรื่องเกี่ยวกับ Cybersecurity เป็นการสร้างให้คนในองค์กรมีความตระหนักรู้อย่างสม่ำเสมอนั่นเอง
การวัดผลและการวิเคราะห์
จะมีการวัดผลอยู่สามแกน
- Knowledge : คือความรู้ความเข้าใจสิ่งที่เราจะวัดแต่ละวัดได้จากแบบทดสอบในการอบรมต่าง ๆ หรือทำแบบสำรวจออนไลน์ (Online Assessment) ให้พนักงานในองค์กรตอบคำถามเกี่ยวกับความรู้ความเข้าใจทางด้านไซเบอร์
- Engage : คือการเข้าร่วมกิจกรรมต่าง ๆ วัดได้จากกิจกรรมถามตอบในกิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน หรือการแสดงความคิดเห็นต่าง ๆ ว่ามีมากน้อยแค่ไหนหรือมีการทำ Survey วัดผลความพึงพอใจไม่ว่าจะเป็นการอบรมหรือการสื่อความต่าง ๆ ในแต่ละเดือน
- Behavior : คือวัดผลจากพฤติกรรมในการทดสอบ Phishing Simulation หรือจะดู Log File การใช้งานของพนักงานในองค์กรเช่น จำนวน Login Failed หรือการเข้าใช้เว็บไซต์ที่สุ่มเสี่ยงมีมากน้อยขนาดไหน
ซึ่งข้อมูลนี้สามารถนำมาวิเคาะห์แล้วก็สามารถจัดเนื้อหาในการสื่อสารให้กับทุกกลุ่มได้อย่างมีประสิทธิภาพ
ประโยชน์ของ Cybersecurity Awareness ที่มีต่อองค์กร
- ทำให้ทุกคนในองค์กรเห็นความสำคัญในเรื่องภัยคุกคามทางด้านไซเบอร์ว่ามีผลกระทบอะไรกับองค์กร
- สามารถต่อยอดพัฒนาให้เกิดตัว Cybersecurity Culture ในองค์กรได้ ให้ทุกคนมี Mindset เดียวกันคือ Security First
- ลดผลกระทบจากภัยคุกคามทางไซเบอร์ต่าง ๆ และลดผลกระทบจากข้อมูลที่เป็นข้อมูลสำคัญที่อาจจะรั่วไหลสู่ภายนอก
- สามารถมั่นใจได้ว่าเราสามารถปฏิบัติตามข้อบังคับของกฎหมายได้
- สามารถเก็บรวบรวมข้อมูลต่าง ๆ มาประเมินความเสี่ยงจากการทำกิจกรรม Cybersecurity Awareness ในองค์กรและนี่ก็เป็นความจำเป็น แนวทางการปฏิบัติ และประโยชน์ของการทำ Cybersecurity Awareness องค์กร