fbpx

สร้าง Cybersecurity Awareness อย่างไรให้ผ่าน พ.ร.บ. ไซเบอร์

Cybersecurity Awareness

เนื้อหาในบทความ

ตาม พ.ร.บ. การรักษาความมั่นคงปลอดภัยไซเบอร์ ปี 2562 มีข้อกำหนดเอาว่าองค์กรจะต้องทำ Security Awareness ในองค์กร ดังที่ปรากฏในข้อที่ 7 ว่า ต้องมีเป้าหมายและแนวทางอย่างน้อยเป็นการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์

พ.ร.บ. ไซเบอร์

ถ้าว่าด้วยเรื่องการสร้างความตระหนักและความรู้ด้านการรักษาความมั่นคงปลอดภัยไซเบอร์ให้กับคนในองค์กรแล้ว ถ้าเรามาดูประกาศที่เกี่ยวเนื่องกัน สำหรับประกาศจากคณะกรรมการการกำกับดูแลความมั่นคงปลอดภัยไซเบอร์ซึ่งเป็นประกาศเกี่ยวกับแนวปฏิบัติและกรอบมาตรฐานในการรักษาความมั่นคงปลอดภัยไซเบอร์นั่นเอง ซึ่งเป็นกรอบสำหรับหน่วยงานภาครัฐและหน่วยงานโครงสร้างพื้นฐานสำคัญสารสนเทศ โดยแนวปฏิบัตินี้จะสอดคล้องกับ NIST-Cybersecurity นั่นเอง

สำหรับ NIST-Cybersecurity จะมีแนวปฏิบัติ 5 ด้าน โดย Cybersecurity Awareness จะอยู่ในด้านของการ Protect หรือป้องกัน หากเรามาดูรายละเอียดของกรอบมาตรฐานนี้ได้กำหนดไว้ทุกกลุ่มจะต้องรับรู้หน้าที่รับผิดชอบ (Roles & Responsibilities) ของตนเองว่ามีความสำคัญและมีหน้าที่รับผิดชอบอะไรบ้าง ดังนี้

1. ต้องมีแผนงานในการสร้างความตระหนักรู้ให้กับบุคลากรในองค์กร ได้แก่

  • กลุ่มพนักงานใหม่พนักงานที่ทำงานอยู่ประจำ
  • กลุ่มผู้บริหาร
  • กลุ่มเจ้าหน้าที่สนับสนุนโครงสร้างพื้นฐานสำคัญทางสาระสนเทศหรือทางกลุ่มแอดมิน
  • กลุ่มผู้รับเหมาหรือ Vendor

2. ต้องตระหนักรู้ทางด้านกฎหมายเกี่ยวกับความมั่นคงปลอดภัยไซเบอร์

3. ต้องรู้เท่าทันภัยคุกคามไซเบอร์ที่จะมีผลกระทบต่อองค์กร

4. ต้องมีการทบทวนแผนในการสร้างความตระหนักรู้ด้านความมั่นคงปลอดภัยไซเบอร์ในทุก ๆ ปี


การสร้าง Cybersecurity Awareness ที่มีประสิทธิภาพในองค์กรควรมีแนวทางปฏิบัติดังนี้

  1. เราจะต้องตั้งเป้าหมายการสื่อสารก่อนว่าเราจะมีการสื่อสารให้กับคนกลุ่มไหนบ้าง ใครต้องรับรู้เรื่องอะไรบ้าง
  2. เราต้องมีการวางแผนกลยุทธ์ Content ว่ามีหัวข้ออะไรบ้างที่คนแต่ละกลุ่มจะต้องรับรู้
  3. จะต้องมีช่องทางที่มีประสิทธิภาพในการสื่อสารข้อความต่าง ๆ ไปถึงให้ตรงกลุ่มและมีประสิทธิภาพมากที่สุด
  4. จะต้องมีการวัดผลความรู้ความเข้าใจในแต่ละกลุ่ม ว่าเขาได้รับรู้ไปมากน้อยขนาดไหน
  5. นำข้อมูลจากการวัดผลมาวิเคราะห์ว่ามีช่องว่าง (Gab) ไหนที่เราจะต้องเพิ่มเติมอีกหรือเปล่า 

แนวปฏิบัติในแต่ละขั้นตอน

การตั้งเป้าหมาย

เราจะต้องมีการกำหนดวัตถุประสงค์ของหัวข้อว่าอยากจะให้ทุกคนในองค์กรรับรู้ในข้อมูลในเรื่องใดบ้าง โดยมี 3 เรื่องหลัก ๆ ดังนี้

  1. เรื่อง Cybersecurity Literacy ความสามารถในการป้องกันภัยไซเบอร์ 
  2. เรื่อง Information Security ความสามารถในการปกป้องข้อมูลขององค์กรโดยเฉพาะข้อมูลความลับไม่ให้รั่วไหล
  3. เรื่องเกี่ยวกับกฎหมายการรักษาความมั่นคงปลอดภัยไซเบอร์ต่าง ๆ รวมถึง Control และ Procedure ขององค์กรที่ได้กำหนดไว้

การวางแผนกลยุทธ์ Content

เมื่อได้หัวข้อหลัก ๆ แล้ว ก็จะมากำหนดหรือว่าในเนื้อหาในหัวข้อต่าง ๆ ในกลุ่มคนแต่ละกลุ่มจะต้องรับรู้เรื่องใดบ้าง 

1. กลุ่มพนักงานและพนักงานเข้าใหม่ เป็นกลุ่มคนที่ใหญ่ที่สุดที่ควรจะมีความรู้พื้นฐานอย่างน้อย 2 หัวข้อหลัก ๆ 

  • เรื่อง Cyber Threat คือเรื่องภัยคุกคามทางด้านไซเบอร์ต่าง ๆ ไม่ว่าจะเป็นเรื่อง Phishing Email, Ransomware หรือการหลอกลวงผ่านในรูปแบบ Social Engineering
  • เรื่องการใช้งานอินเทอร์เน็ตให้มีความปลอดภัย หรือ Cyber hygiene เช่นเรื่องการบริหารการจัดการรหัสผ่านให้มีความปลอดภัย, การรักษาข้อมูลความลับขององค์กร หรือ การแบ่งระดับความสำคัญของข้อมูลขององค์กร, การใช้งานอุปกรณ์พกพาให้มีความปลอดภัยรวมถึงการใช้งานโซเชียลเน็ตเวิร์กต่าง ๆ

2. กลุ่มผู้บริหาร นอกจากความรู้พื้นฐานเหมือนกับพนักงานทั่วไปที่จำเป็นที่ต้องรับรู้แล้ว สิ่งที่กลุ่มนี้จะต้องรับรู้ก็คือ Roles & Responsibility ความรับผิดชอบของกลุ่มนี้ และ Compliance ที่กลุ่มผู้บริหารจะต้องคอยผักดันให้องค์กรสามารถปฏิบัติตามข้อกำหนดต่าง ๆ ได้

3. กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบที่สามารถเข้าถึงระบบสาระสนเทศส่วนใหญ่ในองค์กรได้ สิ่งที่กลุ่มนี้จำเป็นจะต้องรับรู้ต้องมีข้อกฎหมายเกี่ยวกับการรักษาความมั่นคงปลอดภัยไซเบอร์ สำหรับกลุ่มผู้ดูแลระบบก็จะต้องรู้เกี่ยวกับความปลอดภัยในการทำงานในแต่ละวันหรือ Secure Day to Day Operation สำหรับกลุ่มผู้พัฒนาแอพพลิเคชั่นจะต้องรู้กับ Secure Development Life-Cycle รวมถึงจะต้องรับรู้เกี่ยวกับเรื่อง Cyber Incident Response และจะต้องมีการทำ Cyber Exercise

การกำหนดช่องทาง

การกำหนดช่องทางที่สามารถให้ความรู้คนในแต่ละกลุ่ม สามารถเข้าถึงคนในแต่ละกลุ่มให้ได้มากที่สุด

1. กิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้อง

  • กลุ่มพนักงานทั่วไป พนักงานเข้าใหม่และกลุ่มผู้บริหาร เป็นกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ ซึ่งสามารถเข้าถึงกลุ่มคนจำนวนหนึ่งอาจจะไม่สามารถเข้าถึงได้ทุกคนในองค์กรเพราะว่าอาจจะจำกัดด้วยเวลาในการทำงาน
  • กลุ่ม High Privileged (PID) หรือกลุ่มผู้ดูแลระบบสามารถจัดกิจกรรมอบรมออนไลน์หรือเป็นการอบรมในห้องให้กับคนกลุ่มนี้ได้เช่นกัน สำหรับเนื้อหาที่สอดคล้องกับคนกลุ่มนี้ แต่อาจจะเข้าถึงได้ครบทุกคนเพราะว่าจำนวนน้อยในองค์กร และการจัดอบรมเป็นระยะเวลาสั้น ๆ ได้ 2 ถึง 3 ชั่วโมง

2. กิจกรรม E-Learning

แต่จะเห็นได้ว่ายังเหลือคนอีกกลุ่มใหญ่ที่กิจกรรมเหล่านี้ไม่สามารถเข้าถึง ด้วยเหตุผลทางด้านเวลาหรือเหตุผลอื่น ดังนั้นสิ่งที่อาจจะเข้ามาเติมเต็มได้ก็คือ E-Learning ซึ่งตัวผู้เรียนเองสามารถบริหารจัดการเวลาตัวเองได้สามารถเข้ามาเรียนรู้ช่วงเวลาไหนที่ไหนก็ได้เหมะสำหรับกลุ่มคนที่เป็นพนักงานทั่วไปที่มีจำนวนมากในองค์กร

3. กิจกรรม Cyber Exercise

ควรจะมีการทำ Phishing Simulation เพื่อจะวัดผล หาความเสี่ยงหากเกิดภัยคุกคามในรูปแบบ Phishing Email ซึ่งนอกจากจะทำให้เกิดข้อมูลรั่วไหลแล้วอาจจะทำให้เกิดพวกไวรัสต่าง ๆ มาโจมตีผ่านช่องทางอีเมลได้ ดังนั้นในการวัดผลด้วยการทดสอบนี้ เพื่อไม่ให้เกิดผลกระทบจากการโจมตีด้วย Phishing Email นั่นเอง

4. กิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน

เพื่อความสม่ำเสมอเราควรจะมีอีเมลประชาสัมพันธ์ประจำเดือนในการสื่อสารกับทุกคนในองค์กร โดยเนื้อหาที่สื่อความในแต่ละเดือนจะเป็นเรื่องเกี่ยวกับ Cybersecurity เป็นการสร้างให้คนในองค์กรมีความตระหนักรู้อย่างสม่ำเสมอนั่นเอง

การวัดผลและการวิเคราะห์

จะมีการวัดผลอยู่สามแกน 

  • Knowledge : คือความรู้ความเข้าใจสิ่งที่เราจะวัดแต่ละวัดได้จากแบบทดสอบในการอบรมต่าง ๆ หรือทำแบบสำรวจออนไลน์ (Online Assessment) ให้พนักงานในองค์กรตอบคำถามเกี่ยวกับความรู้ความเข้าใจทางด้านไซเบอร์
  • Engage : คือการเข้าร่วมกิจกรรมต่าง ๆ วัดได้จากกิจกรรมถามตอบในกิจกรรมอีเมลประชาสัมพันธ์ประจำเดือน หรือการแสดงความคิดเห็นต่าง ๆ ว่ามีมากน้อยแค่ไหนหรือมีการทำ Survey วัดผลความพึงพอใจไม่ว่าจะเป็นการอบรมหรือการสื่อความต่าง ๆ ในแต่ละเดือน 
  • Behavior : คือวัดผลจากพฤติกรรมในการทดสอบ Phishing Simulation หรือจะดู Log File การใช้งานของพนักงานในองค์กรเช่น จำนวน Login Failed หรือการเข้าใช้เว็บไซต์ที่สุ่มเสี่ยงมีมากน้อยขนาดไหน

MEASUREMENT & ANALYSIS Cybersecurity Awareness

ซึ่งข้อมูลนี้สามารถนำมาวิเคาะห์แล้วก็สามารถจัดเนื้อหาในการสื่อสารให้กับทุกกลุ่มได้อย่างมีประสิทธิภาพ


ประโยชน์ของ Cybersecurity Awareness ที่มีต่อองค์กร

  1. ทำให้ทุกคนในองค์กรเห็นความสำคัญในเรื่องภัยคุกคามทางด้านไซเบอร์ว่ามีผลกระทบอะไรกับองค์กร
  2. สามารถต่อยอดพัฒนาให้เกิดตัว Cybersecurity Culture ในองค์กรได้ ให้ทุกคนมี Mindset เดียวกันคือ Security First
  3. ลดผลกระทบจากภัยคุกคามทางไซเบอร์ต่าง ๆ และลดผลกระทบจากข้อมูลที่เป็นข้อมูลสำคัญที่อาจจะรั่วไหลสู่ภายนอก
  4. สามารถมั่นใจได้ว่าเราสามารถปฏิบัติตามข้อบังคับของกฎหมายได้
  5. สามารถเก็บรวบรวมข้อมูลต่าง ๆ มาประเมินความเสี่ยงจากการทำกิจกรรม Cybersecurity Awareness ในองค์กรและนี่ก็เป็นความจำเป็น แนวทางการปฏิบัติ และประโยชน์ของการทำ Cybersecurity Awareness องค์กร

บทความที่เกี่ยวข้อง

PDPA Awareness for employees Webinar

WEBINAR PDPA Awareness for employees สร้างความตระหนักรู้ด้านความปลอดภัยข้อมูล และ PDPA ให้กับพนักงานในองค์กรอย่างมีประสิทธิภาพ on demand WATCH NOW Brought to you by : รู้หรือไม่ครับว่า พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล ปี 2562 กำหนดให้องค์กรต้องมี การสร้างความตระหนักรู้ให้กำคนในองค์กรด้วย การปฏิบัติตาม

อ่านต่อ »

PDPA awareness Training ทำเอง หรือจ้างดีกว่า ?

เมื่อคุณเกิดความเข้าใจเกี่ยวกับการทำ PDPA Awareness ในระดับหนึ่งแล้ว ตอนนี้คุณอาจกำลังวางแผน จัดทำ PDPA awareness training ให้กับพนักงานในองค์กรของคุณ แต่อย่างที่เราบอกไปในบทความ “สร้าง PDPA Awareness ในองค์กรอย่างไรให้ปัง” ว่าการทำ PDPA Awareness ให้ได้ผลและมีประสิทธิภาพสูงสุด ต้องใช้เวลาและการย้ำเตือนอย่างสม่ำเสมอ เพื่อให้พนักงานตระหนักถึง ความเสี่ยงต่อข้อมูลส่วนบุคคล และเกิดการเปลี่ยนแปลงพฤติกรรมการเก็บ ใช้ เปิดเผยข้อมูลส่วนบุคคลให้

อ่านต่อ »

ทำ PDPA Awareness ในองค์กรอย่างไรให้ปัง

เมื่อพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลเริ่มบังคับใช้และกำหนดให้องค์กรที่มีกิจกรรมเก็บรวบรวม ใช้ และเปิดเผยข้อมูลส่วนบุคคลของคนไทย ต้องมีมาตรการรักษาความปลอดภัยของข้อมูลส่วนบุคคล (Data Security) ซึ่งก็คือการ ทำ PDPA Awareness สำหรับพนักงานในองค์กร การสร้างความตระหนักรู้ด้านกฎหมาย PDPA เป็นเรื่องสำคัญที่องค์กรจำเป็นต้องทำ และมุ่งเน้นสื่อสารให้พนักงานทราบถึง บทบาทหน้าที่ด้านความปลอดภัยที่องค์กรต้องปฏิบัติตามกฎหมาย รวมไปถึงความเสี่ยงและผลกระทบที่อาจ เกิดขึ้นกับข้อมูลส่วนบุคคลที่องค์กรเก็บรวบรวมไว้ อ่านข้อกฎหมายที่เกี่ยวข้องกับการสร้างความตระหนักรู้ทางด้านข้อมูลส่วนบุคคลในองค์กรเพิ่มเติมที่ ประกาศกระทรวงดิจิทัลเพื่อเศรษฐกิจและสังคม เรื่อง มาตรฐานการรักษาความมั่นคงปลอดภัยของข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๓  

อ่านต่อ »

PDPA Awareness for employees คืออะไร?

แนวคิด PDPA  for employees คือการสร้างความตระหนักรู้ด้านกฎหมาย พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล (PDPA Awareness) และ ความตระหนักรู้ด้านภัยไซเบอร์ (Cyber Security Awareness) ให้พนักงานในองค์กรของเรา ปัจจุบันหลากหลายองค์กรมีการจัดเก็บข้อมูลส่วนบุคคลในรูปแบบดิจิทัลไฟล์อยู่ในเครื่องคอมพิวเตอร์หรือในระบบคลาวน์ออนไลน์ทั้งข้อมูลที่ได้รับมาจากพนักงานภายใน หรือภายนอกจากลูกค้า หรือคู่ค้าธุรกิจ ดังนั้นต้องมีการรักษาความปลอดภัยในทุกกระบวนการจัดเก็บ และใช้ข้อมูลส่วนบุคคล การสร้าง Security Awareness และ PDPA Awareness

อ่านต่อ »

ทำ PDPA Security Awareness มีข้อดี ข้อเสียอะไรบ้าง ?!

หลายท่านคงเห็นความสำคัญของการทำ PDPA Security Awareness กันไปบ้างแล้วในรูปแบบของ 3 สิ่งแห่งการป้องกันภัยจากไซเบอร์อย่าง Technology ระบบที่ช่วยดูแลรักษาความปลอดภัยให้กับข้อมูลส่วนบุคคลที่ทางองค์กรเก็บไว้, Process กระบวนการรวมตั้งแต่ แบบแผน นโยบาย วิธีป้องกันภัยอันตรายจากไซเบอร์ และการรับมือกับความเสี่ยงเมื่อมีผู้บุกรุกทางไซเบอร์ รวมถึง People พนักงานในองค์กรต้องเข้าใจในเรื่องภัยของไซเบอร์ และเห็นความสำคัญของข้อมูลส่วนบุคคลเพื่อรักษาทรัพยากรอันล้ำค่าของบริษัทที่สั่งสมน้ำพักน้ำแรงของทุกฝ่ายในบริษัทอย่างข้อมูลส่วนบุคคล ซึ่งทั้ง 3 สิ่งที่กล่าวมานี้ หากทางองค์กรปฏิบัติได้รัดกุมในทุกด้าน ก็จะเป็นการสร้างภูมิคุ้มกันให้แก่องค์กร นำไปสู่การเพิ่มความน่าเชื่อถือ

อ่านต่อ »

รู้จัก PDPA Awareness และ Security Awareness

ในปีพ.ศ. 2565 นี้ สังคมไทยกำลังก้าวเข้าสู่สังคมแห่งความปลอดภัยทางด้านไซเบอร์มากขึ้น ด้วยการบังคับใช้กฎหมาย PDPA (พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล) ควบคู่กับกฎหมายไซเบอร์ที่มีมาก่อนหน้านี้อย่าง พ.ร.บ การรักษาความมั่นคงปลอดภัยไซเบอร์ พ.ศ. 2562 ซึ่งกฎหมายทั้งสองก่อให้เกิด PDPA Awareness และ Security Awareness ซึ่งจะมีความสำคัญต่อองค์กรอย่างไรนั้น วันนี้เราจะพาทุกท่านมาหาคำตอบกันในบทความนี้ กฎหมายด้านไซเบอร์ที่เกี่ยวข้อง ก่อนที่จะเริ่มรู้จักการสร้างความตระหนักในข้อมูลส่วนบุคคล และความปลอดภัยทางไซเบอร์ทุกคนต้องรู้จักกฎหมายที่เกี่ยวข้องกับทั้งสองก่อน ซึ่งได้แก่ กฎหมาย

อ่านต่อ »