การลงทุนเรื่องของความปลอดภัยทางไซเบอร์ขององค์กรธุรกิจ จะไม่ประสบความสำเร็จหากไม่สามารถทำให้เรื่องของ “ช่องว่างระหว่างวัย” (Generation Gap) ของบุคลากรภายในมีสัดส่วนที่เหมาะสม…
highlight
- องค์กรธุรกิจกว่า 50% คิดว่า พนักงาน ถือจุดอ่อนในเรื่องของการความพยาามในการสร้างความปลอดภัยทางไซเบอร์ขององค์กรเนื่องจากพฤติกรรมทำให้ข้อมูล และระบบของบริษัทตกอยู่ในความเสี่ยง
- ความต้องการสร้างความตระหนักรู้ส่งผลให้ ตลาดการฝึกอบรมเพื่อสร้างความรู้ด้านความปลอดภัยจะเติบโตจนมีมูลค่าถึง 10 พันล้านดอลลาร์ ภายในปี ค.ศ. 2027 เพื่อพัฒนาด้านความปลอดภัยทางไซเบอร์ และขจัดความแตกต่างในเรื่องของความรู้
ข้อผิดพลาด 5 ประการ ของ “ช่องว่างระหว่างวัย” ที่ทำให้การลงทุนสูญเปล่า
เมื่อพูดถึง “ช่องว่างระหว่างวัย” ถือเป็นหนึ่งในสาเหตุของการเกิดความขัดแย้งขึ้นในทุก ๆ สังคม เริ่มตั้งแต่ครอบครัวไปจนถึงที่ทำงาน รวมถึงการดำเนินชีวิต แม้ถือเป็นเรื่องปกติ เพราะการที่คนหลายรุ่น หลายวัย หลายความคิด ต้องมาทำงานร่วมกัน
ย่อมก่อให้เกิดความขัดแย้งก็ต้องเกิดขึ้นเป็นธรรมดา การอยู่ร่วมกันในสังคม ระบบความคิด ค่านิยม ทัศนคติ เป้าหมายชีวิต รสนิยม ซึ่งปัจจัยทั้งหลายเหล่านี้ล้วนเป็นตัวสร้างความแตกต่างด้วยกันหมดทั้งสิ้น ไม่เว้นแต่ในเรื่องของความรู้และความเข้าใจในเรื่องของการใช้เทคโนโลยี แม้ว่าองค์กรของคุณจะลงทุนเทคโนโลยีที่ทันสมัยแค่ไหน
ก็ไม่ได้หมายความว่าจะสามารถใช้ได้เต็มศักยภาพ เพราะการเปลี่ยนให้คนในช่วงอายุที่หลากหลายให้สามารถใช้ได้เทคโนโลยีได้เท่ากันเป็นเรื่องที่ยาก และช่องระหว่างระหว่างวัยนี้ยังถือเป็นปัจจัยเสี่ยงที่จะทำให้เกิดความเสี่ยงในเรื่องภัยของคุกคามทางไซเบอร์อีกด้วย และอาจจะทำให้กลายเป็นการสูญเปล่าทางการเงินขององค์กรอีกด้วย
วันนี้ธุรกิจมากกว่า 50% พิจารณาว่าพนักงานของตนเป็นจุดอ่อนในด้านความปลอดภัยทางไซเบอร์ขององค์กร เนื่องจากพฤติกรรมของพวกเขาทำให้ข้อมูล และระบบของบริษัทตกอยู่ในความเสี่ยง ซึ่งนั่นเป็นสาเหตุที่ว่าแพราะเหตุใดบริษัทต่าง ๆ
จึงลงทุนอย่างมากเพื่อให้การศึกษาแก่พนักงานในเรื่องทักษะพื้นฐานด้านความปลอดภัยของเทคโนโลยีสารสนเทศ ซึ่งในความเป็นจริงนั้น นักวิเคราะห์ชั้นนำคาดการณ์ว่า ตลาดการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยจะเติบโตจนมีมูลค่าถึง 10 พันล้านดอลลาร์ภายในปี ค.ศ. 2027
แม้เป็นเช่นนี้ บางองค์กรธุรกิจก็ยังมีความคลางแคลงใจเกี่ยวกับการฝึกอบรมพนักงานเรื่องความปลอดภัยทางไซเบอร์ บางองค์กรคิดว่า ไม่ว่าผู้คนจะทราบถึงโอกาสการถูกคุกคามหรือไม่ก็ตาม พวกเขาก็ยังทำผิดพลาดอยู่เสมอนั่นเอง ดังนั้น การลงทุนในคอร์สฝึกอบรมที่ไม่ก่อให้เกิดผลลัพธ์อันพึงประสงค์จะถือเป็นการสูญเปล่าทางการเงินหรือไม่?
นับเป็นเรื่องน่าแปลกใจที่ว่า จุดประสงค์ที่แท้จริงของการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยมิใช่เพื่อสร้างการตระหนักรู้ ทั้งยังมิใช่เป็นเพียงการบอกให้รับทราบถึงการคุกคามและมาตรการต่าง ๆ เท่านั้น หากเป็นการเปลี่ยนพฤติกรรมการใช้งานระบบออนไลน์ของพนักงานด้วย
อย่างไรก็ดี จากผลวิจัยเรื่องการคุกคามทางไซเบอร์ และการให้บริการด้านความปลอดภัยทางไซเบอร์เพื่อขจัด “ปัจจัยที่เกิดจากมนุษย์” ในด้านความปลอดภัยทางไซเบอร์ ที่ทางผู้เขียนได้ข้อมูลมากจาก Kaspersky Lab ระบุว่ามีอยู่ 5 รูปแบบที่ทำให้การฝึกอบรมด้านความปลอดภัยทางไซเบอร์นั้นไร้ประสิทธิผล!!
รูปแบบที่ขาดประสิทธิภาพ
การเรียนรู้ และการพัฒนาองค์กรอาจเกิดขึ้นได้ในหลายรูปแบบ ทั้งการบรรยายโดยสมาชิกของบริษัท การพูดคุยสัมนาโดยผู้บรรยายจากภายนอก หรือหลักสูตรการเรียนผ่านคอมพิวเตอร์ รูปแบบหลักสูตรการฝึกอบรมที่เหมาะกับองค์กรธุรกิจแห่งหนึ่งอาจไม่ได้ผลกับองค์กรอีกแห่งหนึ่งเสมอไป
ดังนั้น บริษัทต่าง ๆ จึงควรเลือกสรรรูปแบบที่ได้รับการพิสูจน์แล้วว่ามีประสิทธิภาพจริงในการบรรลุถึงเป้าหมายของทักษะเฉพาะด้านที่ต้องการ วันนี้รูปแบบของการบรรยายที่น่าเบื่อไม่เหมาะสมกับหลักสูตรการฝึกอบรมซึ่งมุ่งหวังในการยกระดับทักษะด้านความปลอดภัยทางไซเบอร์ของพนักงาน ด้วยวิธีการเรียนรู้ผ่านระบบออนไลน์
จะสามารถผสมผสานรูปแบบเนื้อหาที่หลากหลาย (วีดีโอ บทความ แบบทดสอบ) และเพิ่มเติมองค์ประกอบที่ใช้ในเกมลงในเนื้อหา เพื่อเปลี่ยนบทเรียนจากระเบียบปฏิบัติที่น่าเบื่อไปเป็นสิ่งที่สนุกสนานตื่นเต้นมากกว่า การสร้างปฏิสัมพันธ์ดังกล่าวทำให้หลักสูตรความปลอดภัยทางไซเบอร์มีความน่าสนใจ และสร้างการมีส่วนร่วม
ในหมู่พนักงานได้มากยิ่งขึ้น นอกจากนี้ หลักสูตรออนไลน์ยังช่วยให้พนักงานมีความก้าวหน้าในงานของตนเองและใช้เวลามากขึ้นกับการศึกษาหัวข้อที่มีความซับซ้อนมาก ซึ่งสิ่งนี้แทบจะเป็นไปไม่ได้เลย หากให้พนักงานเข้าฟังหลักสูตรการบรรยายแบบเดิม ๆ
คุณสมบัติเดียวกันสำหรับงานทุกตำแหน่ง
ยังมีความเชื่อที่ว่า ความรับผิดชอบด้านความปลอดภัยทางไซเบอร์ของบริษัทเป็นงานของทุกคน เนื่องจากพฤติกรรมของทุกคนล้วนส่งผลต่อความปลอดภัยทั้งสิ้น ดังนั้น แนวคิดที่องค์กรธุรกิจต่าง ๆ เชื่อถือกันมาก็คือ การนำเสนอหลักสูตรการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัย
โดยมีจุดประสงค์ที่จะเปลี่ยนแปลงพนักงานทุกคนให้กลายเป็นมืออาชีพด้ายความปลอดภัยทางไซเบอร์ และทำให้กลายเป็นหลักปฏิบัติสำหรับทุกคนเพื่อสร้างความอุ่นใจขององค์กร แม้ว่าจะมีหลักสูตรการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยซึ่งควรจะมีประโยชน์กับพนักงานทุกคน ก็ยังต้องพิจารณาถึงรูปแบบระบบการทำงาน
และข้อมูลที่ตัวพนักงานจะเข้าถึงด้วย การสอนพนักงานถึงสิ่งต่าง ๆ ที่พวกเขาไม่เคยรับมือมาก่อนเลยในชีวิต (โดยเฉพาะในชีวิตการทำงาน) ไม่ถือว่าคุ้มค่าต่อการลงทุน กล่าวง่าย ๆ ก็คือ เพื่อหลีกเลี่ยงการโจมตีในภาพรวม ทุกคนควรทราบวิธีการระบุเว็บไซต์ที่เป็นอันตรายอย่างชัดเจน
ยกตัวอย่างเช่น เว็บไซต์ที่ขอให้ผู้ใช้งานทำการอัพเดตซอฟต์แวร์ สำหรับบุคลากรที่สามารถเข้าถึงข้อมูลที่อ่อนไหว และระบบทางธุรกิจที่มีความสำคัญมาก ควรได้รับการฝึกอบรมหลักสูตรที่เข้มข้นกว่า และสามารถตระหนักรู้ได้ทันทีหากพบเห็นอีเมลปลอมเฉพาะบุคคล
ปริมาณข้อมูลที่มากเกินไป
บ่อยครั้งที่หลักสูตรการฝึกอบรมเพื่อสร้างการตระหนักรู้ด้านความปลอดภัยถูกออกแบบมาให้ครอบคลุมหัวข้อสำคัญทั้งหมดในครั้งเดียว อย่างไรก็ดี หลักสูตรรูปแบบนี้แทบจะไม่ช่วยในการเปลี่ยนแปลงพฤติกรรมเลย เนื่องจากผู้เรียนแทบจะไม่สามารถซึมซับเนื้อหาทั้งหมดได้
โดยมีความเชื่อที่ว่ามนุษย์สามารถจดจำเนื้อหาที่เป็นข้อมูลใหม่ได้จำกัดเพียงเจ็ดเรื่อง คุณอาจรู้ได้จากประสบการณ์ของตนเองว่า มันเป็นเรื่องยากที่จะรับรู้ข้อเท็จจริงและกฏเกณฑ์จำนวนมากได้ในคราวเดียว ผู้เรียนจะจดจำเนื้อหาได้ดีที่สุดเมื่อถูกถ่ายทอดมาในรูปแบบพอดีคำที่พอจะรับได้
โดยมีโอกาสน้อยกว่าที่เนื้อหาจะเกิดการพร่ามัวจนหลอมรวมเป็นข้อมูลก้อนเดียวหรือจางหายไป หากบทเรียนสั้นๆ (ซึ่งจะไม่ใช้เวลาในการทำงานอันมีค่ามากเกินไป) ถูกนำเสนอเป็นหัวข้อเดี่ยว และแจกแจงเป็นประเด็นความสำคัญในจำนวนที่สมเหตุสมผล ก็มีโอกาสมากกว่าที่ผู้คนจะสามารถจดจำได้ว่าควรจะมีปฏิกิริยาต่อการคุกคามนี้อย่างไร
การขาดการฝึกฝน และการปฏิบัติซ้ำ
บางครั้งการฝึกอบรมประกอบด้วยเนื้อหาที่น่าสนใจ แต่ผู้เรียนกลับไม่สามารถจดจำได้มากเท่าที่ควร เพียงเพราะขาดการนำไปปฏิบัติซ้ำ ๆ อย่างไรก็ดี การเปลี่ยนการตระหนักรู้ไปสู่การปฏิบัติจริงก็นับเป็นพื้นฐานที่สำคัญทีเดียว วันนี้หลักสูตรการฝึกอบรมด้านความปลอดภัยมักถูกนำเสนอแก่ผู้เรียนที่ขาดแรงบันดาลใจ
ผู้ซึ่งฟังคำแนะนำแต่ขาดแรงกระตุ้นในการเรียนรู้และมุ่งมั่นที่จะเก็บไว้ในความทรงจำ ดังนั้น บริษัทต่าง ๆ จึงควรใช้หลักสูตรที่ทำให้หัวข้อต่าง ๆ กลายเป็นเรื่องง่ายต่อการจดจำ โดยเน้นย้ำถึงแง่มุมที่มีความสำคัญหลาย ๆ รอบ
ยกตัวอย่างเช่น ในการเน้นย้ำถึงความสำคัญของการตั้งรหัสผ่านที่แน่นหนา หัวข้อนี้ควรถูกเน้นความสำคัญและกล่าวถึงหลาย ๆ ครั้งตลอดหลักสูตร ทั้งในบทเรียนเกี่ยวกับการปกป้องข้อมูลที่มีความอ่อนไหวจาก โซเชียลมีเดีย อีเมล ฯลฯ
การขาดการเชื่อมโยงกับชีวิตจริง
วิธีการแก้ไขปัญหาที่พนักงานขาดความตระหนักรู้อาจดูเหมือนชัดเจน นั่นก็คือการสร้างความตระหนักรู้และบอกให้พวกเขารับรู้ถึงกฎระเบียบทั่วไปและนโยบายด้านความปลอดภัยทางไซเบอร์ แต่โชคไม่ดีที่กลยุทธ์นี้แทบจะใช้ไม่ได้ผลเลย เมื่อมีเป้าหมายในการเปลี่ยนแปลงพฤติกรรมของพนักงานให้เหมาะสมยิ่งขึ้น
โดยพนักงานส่วนใหญ่มักไม่มีความรู้ด้านความปลอดภัยหรือแม้แต่ภูมิหลังการทำงานด้านเทคโนโลยีสารสนเทศระดับทั่วไป พวกเขาอาจไม่เข้าใจถึงสิ่งที่ควรปฏิบัติเมื่อคุณเพียงแค่แนะนำให้พวกเขาอัพเดตแอปพลิเคชั่นอยู่เสมอ และมีความระมัดระวังในการเปิดไฟล์แนบที่น่าสงสัย
ซึ่งในการก้าวข้ามอุปปสรรคทางการสื่อสารนี้ เนื้อหาการเรียนรู้ควรถูกถ่ายทอดผ่านการจำลองสถานการณ์ที่มีโอกาสเกิดขึ้นจริงซึ่งพนักงานต้องเผชิญ เช่น การทำงานกับอีเมลหรือการท่องอินเตอร์เน็ตเพื่อค้นหาเว็บไซต์ในการดาวน์โหลดซีรี่ส์เรื่องโปรด
วางแผนการฝึกอบรมอย่างมีระบบ
หลักสูตรการฝึกอบรมด้านความปลอดภัยจำเป็นต้องดำเนินบนแนวทางที่ไม่เพียงครอบคลุมหัวข้อสำคัญทั้งหมดเท่านั้น หากยังต้องทำให้ง่ายต่อการทำความเข้าใจและจดจำด้วย ยกตัวอย่างเช่น Donau Chemie Group ลูกค้ารายหนึ่งของเราซึ่งมีความเชี่ยวชาญในการผลิตสารเคมีหลากหลายชนิด
ได้จัดให้มีการฝึกอบรมด้านความปลอดภัยทางไซเบอร์ในรูปแบบเดิม ๆ สำหรับพนักงาน ทว่า มันกลับล้มเหลวในการกระตุ้นให้พนักงานที่ไม่ใช่ฝ่ายเทคโนโลยีสารสนเทศเปลี่ยนแปลงพฤติกรรมของตนเองในด้านความปลอดภัย ถึงกระนั้น มันก็ไม่ใช่ปัญหาของบรรดาพนักงานที่เชื่อถือไม่ได้เหล่านั้น
หากเมื่อบริษัทใช้หลักสูตรการฝึกอบรมที่เราแนะนำ ซึ่งประกอบด้วยการเรียนรู้แบบอินเตอร์แอ็คทีฟ และการจำลองสถานการณ์ สภาวะการเรียนรู้ก็เปลี่ยนไปอย่างสิ้นเชิง ยกตัวอย่างเช่น จำนวนครั้งของการคลิกเข้าสู่ลิงก์ที่จำลองเป็นการโจมตี (ซึ่งอยู่ในรายชื่อการโจมตี 3 อันดับแรกที่นำไปสู่การสูญเสียข้อมูล) ปัจจุบันมีน้อยกว่า 2%
เมื่อพนักงานถูกกดดันให้ใช้เวลาหลายชั่วโมงในการฝึกอบรมที่ยาวนานเกี่ยวกับหัวข้อที่ไม่เกี่ยวข้องกับหน้าที่การทำงานของพวกเขาเลย ก็นับเป็นเรื่องยากที่จะมั่นใจได้ว่าพวกเขาจะนำคำแนะนำไปใช้งานจริง
อย่างไรก็ดี หากการฝึกอบรมไม่ได้ใช้เวลานานมาก และง่ายต่อการทำความเข้าใจ ก็มีโอกาสเกิดข้อผิดพลาดน้อยกว่าและสร้างมาตรฐานความปลอดภัยในภาพรวมได้สูงกว่าด้วย
ส่วนขยาย
* บทความนี้เรียบเรียงขึ้นเพื่อการวิเคราะห์ในแง่มุมที่น่าสนใจ
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการและผู้สื่อข่าว)
*** ขอขอบคุณภาพบางส่วนจาก www.pexels.com
สามารถกดติดตามข่าวสารและบทความทางด้านเทคโนโลยีของเราได้ที่
