สร้างวัฒนธรรมองค์กร ก่อนก้าวสู่มาตรฐาน “ความปลอดภัยทางไซเบอร์
จากเหตุการณ์การโจมตีทางไซเบอร์อันส่งผลต่อ ความปลอดภัยทางไซเบอร์ ที่เกิดขึ้นในช่วงระยะเวลาไม่กี่ปีที่ผ่านมา ไม่เพียงแสดงให้เห็นว่าอาชญากรทางไซเบอร์มีทักษะ ความเชี่ยวชาญ และวิธีการในการโจมตีที่ร้ายกาจ ไม่ว่าจะเป็นการโจมตีด้วยฟิชชิ่ง หรือการใช้แรนซัมแวร์เพื่อขโมยข้อมูลส่วนบุคคล และข้อมูลที่สำคัญขององค์กร ซึ่งถึงแม้จะมีกฎหมาย และมาตรการต่าง ๆ ออกมาเพื่อปกป้อง แต่ก็ไม่มีทีท่าว่าการถูกโจมตีทางไซเบอร์ หรือความเสียหายจากภัยคุกคามทางไซเบอร์จะลดลง
ทั้งนี้ สาเหตุอันดับต้น ๆ ที่ทำให้องค์กรเสี่ยงต่อการโจมตีทางไซเบอร์ คือ พฤติกรรมและการกระทำของมนุษย์ ซึ่งเป็นปัจจัยสำคัญที่ทำให้ผู้คุกคามสามารถเข้าถึงข้อมูลที่สำคัญขององค์กรได้โดยง่าย โดยจากรายงาน 2023 Data Breach Investigations Report ของ Verizon ได้เปิดเผยถึงสถิติที่น่าสนใจว่า กว่า 85% ของเหตุการณ์ข้อมูลรั่วไหลที่เกิดขึ้นกับองค์กรมีสาเหตุมาจากมนุษย์ ซึ่งสอดคล้องกับสิ่งที่เกิดขึ้นหลายครั้ง ที่ข้อมูลขององค์กรรั่วไหล หรือเกิดการโจมตีทางไซเบอร์เพราะความประมาทเลินเล่อ หรือเกิดจากความไม่รู้ของมนุษย์ และด้วยเหตุนี้การสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ในองค์กรจึงเป็นเรื่องสำคัญ โดย บทความจาก MIT Sloan School of Management ได้เปิดเผยแนวทางในการสร้างวัฒนธรรมความปลอดภัยทางไซเบอร์ในองค์กรไว้ ดังนี้
ทำให้ “ความปลอดภัยทางไซเบอร์” เป็นส่วนหนึ่งของโครงสร้างขององค์กร
Cybersecurity Ventures ได้คาดการณ์ว่า ในอีก 5 ปี ข้างหน้า ความเสียหายจากอาชญากรรมทางไซเบอร์จะเพิ่มสูงขึ้น 15% ต่อปี และจะแตะถึง 10.5 ล้านเหรียญดอลลาร์สหรัฐ ในปี 2568 จากข้อมูลนี้แสดงให้เห็นว่าความรุนแรงของภัยคุกคามทางไซเบอร์จะไม่มีทางลดลง ดังนั้นสิ่งที่องค์กรควรจะทำคือ ทำให้การดูแลรักษาความปลอดภัยไซเบอร์กลายเป็นสิ่งหนึ่งที่จำเป็นต้องมีในโครงสร้างขององค์กร ซึ่งจะไม่ใช่แค่เพียงการฝึกอบรมให้คนในองค์กรเพื่อหลีกเลี่ยง Email phishing หรือ สร้างรหัสผ่านให้มีความรัดกุมเท่านั้น แต่ยังควรสร้างความตระหนักให้บุคลากรเข้าใจถึงบทบาท และความรับผิดชอบของตนในการรักษาความปลอดภัยทางไซเบอร์ในองค์กร ดังนี้
ระดับผู้บริหาร
ผู้บริหารทุกฝ่ายควรให้ความสำคัญกับความปลอดภัยทางไซเบอร์ และปฏิบัติตัวเป็นตัวอย่าง เพื่อทำให้ทุกคนในองค์กรเห็นว่าความปลอดภัยทางไซเบอร์เป็นเรื่องสำคัญ และปฏิบัติตามจนกลายเป็นค่านิยมองค์กร
ระดับทีม
องค์กรประกอบด้วยแผนก ฝ่าย และทีมทำงานต่าง ๆ เป็นจำนวนมาก ดังนั้นในระดับทีมควรมีการริเริ่มพูดคุย อภิปราย และถกเถียงกันในทีมเกี่ยวกับความปลอดภัยทางไซเบอร์มากขึ้น ไม่ว่าจะเป็นการพูดคุยปกติ หรือในทีมประชุม เพื่อให้ทุกคนในทีมตระหนักว่าความปลอดภัยทางไซเบอร์เป็นสิ่งสำคัญ
ระดับบุคคล
การสร้างค่านิยมด้านความปลอดภัยทางไซเบอร์ให้กับองค์กรจะสำเร็จหรือไม่ ขึ้นอยู่กับความรู้ความเข้าใจ และการตระหนักรู้ในระดับบุคคล จึงควรมีการปลูกฝังให้บุคลากรมีความรู้เกี่ยวกับความปลอดภัยไซเบอร์ และระมัดระวังภัยคุกคามทุกประเภทที่เป็นไปได้ อีกทั้งยังควรสร้างแรงจูงใจเพื่อให้บุคลากรช่วยกันสอดส่องกิจกรรมที่น่าสงสัยซึ่งอาจนำไปสู่ภัยคุกคามทางไซเบอร์ พร้อมแจ้งให้ชัดเจนว่าเมื่อเกิดเหตุการณ์เหล่านี้ขึ้นจะต้องแจ้งไปยังใคร หรือภาคส่วนใดในองค์กร ด้วยการใช้ภาษาที่เข้าใจง่าย เข้าถึงคนในทุกระดับ แต่สามารถสร้างแรงจูงใจได้ นอกจากนี้การใช้สื่อที่หลากหลายเพื่อสื่อสารกับคนในองค์กรก็สามารถช่วยได้เช่นกัน เพราะแต่ละคนล้วนมีการรับรู้ที่แตกต่างกัน การสื่อสารแบบเดียวอาจไม่ทำให้ทุกคนเข้าใจได้
อีกสิ่งสำคัญที่จะทำให้วัฒนธรรมความปลอดภัยทางไซเบอร์เกิดขึ้นจริงในองค์กรได้นั้น องค์กรยังควรสร้างค่านิยมความเป็นเจ้าของ โดยควรทำให้บุคลากรในทุกระดับชั้นตระหนักว่าตัวเองเป็นเสมือนเจ้าขององค์กร ไม่ใช่แค่เพียงฝ่าย IT หรือผู้บริหาร เพราะองค์กรจะไม่สามารถขับเคลื่อนได้หากไม่ได้รับความร่วมมือจากทุก ๆ คน
ขณะที่ MIT CAMS แนะนำว่า การประเมินการตระหนักรู้ด้านความปลอดภัยทางไซเบอร์ของแต่ละบุคคล อาจเป็นส่วนหนึ่งที่จะช่วยสร้างความกระตือรือร้นให้คนในองค์กรได้ด้วย โดยการประเมินนั้นไม่ใช่เพื่อจับผิด แต่เป็นการประเมินเพื่อให้ทราบว่าบุคลากรนั้น ๆ มีความรู้ความเข้าใจเกี่ยวกับความปลอดภัยทางไซเบอร์มากเพียงใด และนำสิ่งที่ได้ไปปฏิบัติจริงหรือไม่ วิธีนี้จะช่วยให้องค์กรได้รู้ว่าสิ่งที่ทำนั้นสัมฤทธิ์ผลมากแค่ไหน หรือควรปรับปรุงอย่างไร
สุดท้าย หลังจากสร้างค่านิยม และวัฒนธรรมด้านความปลอดภัยทางไซเบอร์ให้องค์กรแล้ว การจำลองเหตุการณ์ภัยคุกคามทางไซเบอร์ เพื่อให้บุคลากรได้รับมือ และแก้ไขปัญหาจริง ก็เป็นสิ่งที่ควรทำ เพราะสิ่งนี้จะช่วยให้เห็นว่าองค์กรพร้อมสำหรับภัยคุกคามทางไซเบอร์หรือไม่ และหากเกิดเหตุการณ์ขึ้นจริง บุคลากรจะสามารถรับมือเพื่อลดความเสียหายได้จริงหรือไม่ อันจะนำไปสู่การแก้ไข และทำให้องค์กรปลอดภัยจากภัยคุกคามทางไซเบอร์ได้อย่างแท้จริง
แนวทางเหล่านี้จะต้องอาศัยความร่วมมือของคนในองค์กร และต้องใช้เวลานานกว่าจะเห็นผล แต่ก็เป็นสิ่งที่องค์กรสามารถเริ่มต้นทำได้ทันที แม้ว่าองค์กรจะยังไม่มีระบบบริหารจัดการความเสี่ยงทางไซเบอร์ เพราะการสร้างให้ผู้คนตระหนักรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ก็เป็นเกราะป้องกันชั้นดีที่ช่วยให้องค์กรปลอดภัยจากภัยคุกคามได้ อย่าปล่อยให้เกิดเหตุการณ์ร้ายแรงก่อนแล้วค่อยเริ่มต้น เพราะถึงตอนนั้นอาจไม่ทันการณ์
Security Pitch เราให้ความสำคัญด้านความปลอดภัยไซเบอร์ และความปลอดภัยในทุกด้าน เพื่อสร้างระบบนิเวศด้านความปลอดภัยที่ไร้รอยต่ออย่างแท้จริง
สอบถามข้อมูลผลิตภัณฑ์ “OneFence”
Tel. : 081-972-2500
Line : @securitypitch
Email : [email protected]
ขอบคุณข้อมูลจาก
