การ์ทเนอร์ (Gartner) แนะองค์กร ปลุกสำนึกพนักงานให้เห็นความสำคัญความเสี่ยงไซเบอร์มากขึ้น หลีกเลี่ยงพฤติกรรมคุ้นชิน และใช้ทางลัดในการทำงานที่เพิ่มความเสี่ยง…
Gartner แนะองค์กรปลุกสำนึกพนักงานให้ความสำคัญต่อ “ภัยไซเบอร์” มากขึ้น
Leigh McMullen รองประธาน นักวิเคราะห์ และ Gartner Fellow ของ การ์ทเนอร์
Leigh McMullen รองประธาน นักวิเคราะห์ และ Gartner Fellow ของ การ์ทเนอร์ กล่าวว่า งานด้านความปลอดภัยส่วนใหญ่มุ่งเน้นสร้างความตระหนักรู้ให้แก่พนักงานเรื่อง ความเสี่ยง และการลดความเสี่ยงไซเบอร์ แต่แนวทางนี้ยังไม่ค่อยได้ผลกับการหยุดพฤติกรรมอันตรายต่าง ๆ
โดยจากการสำรวจของการ์ทเนอร์ พบว่า 93% ของพนักงานรู้ดีว่าตนเองกำลังเพิ่มความเสี่ยงให้องค์กรจากพฤติกรรมบางอย่าง นอกจากนี้เพื่อให้บรรลุเป้าหมายทางธุรกิจพนักงานถึง 74% ยอมละเมิดนโยบายความปลอดภัยทางไซเบอร์
ซึ่งนั่นไม่ได้หมายความว่าพนักงานมีเจตนาร้าย หรือไม่สนใจในความปลอดภัย แต่พวกเขาเพียงคุ้นชินกับการเลี่ยงมาตรการควบคุมเหมือนกับหาทางลัดในการทำงานประจำวันให้เสร็จไวขึ้นโดยออกแรงน้อยที่สุด หนึ่งในสามเหตุผลสำคัญที่แต่ละคนพูดถึงพฤติกรรมประเภทนี้คือการขาดสำนึกถึงผลลัพธ์ที่ตามมา
ต้องแก้ไข และเปลี่ยนแปลงค่านิยมในองค์กร
ปัญหานี้จำเป็นต้องแก้ไขในเชิงวัฒนธรรม และการเปลี่ยนแปลงค่านิยมในองค์กร ผู้บริหารด้านความปลอดภัยต้องปรับวิธีการเข้าถึงพนักงานด้วยการหาวิธีการใหม่ ๆ ที่จะทำให้พวกเขารู้สึกถึงความเสี่ยงทางไซเบอร์อย่างเป็นรูปธรรมมากพอ เพื่อเลี่ยงพฤติกรรมที่เป็นอันตราย
นอกเหนือจากการลงโทษทางตรง โดยปรับไปใช้กลไกเชิงวัฒนธรรมแทน อาทิ เพิ่มแรงกดดันจากเพื่อนร่วมงานในการบีบบังคับ ตัวอย่างที่น่าสนใจที่สหรัฐฯ ใช้ในช่วงสงครามโลกครั้งที่สองกับแคมเปญ “ปากพล่อย พลอยล่มจม“ (Loose Lips Sink Ships) ที่กลายเป็นสโลแกนที่มีประสิทธิภาพมาก
โดยสะท้อนแนวคิดว่าแม้แต่การเปิดเผยข้อมูลเล็กน้อยที่ดูเหมือนไม่สำคัญก็อาจนำไปสู่ความเสียหายใหญ่หลวงได้ เพราะเชื่อมโยงระหว่างการกระทำและผลลัพธ์เข้าไว้ด้วยกัน ในช่วงเวลาที่ผลลัพธ์เหล่านั้นอาจเกิดขึ้นกับตัวเอง คนที่เรารักอาจอยู่บนเรือลำนั้น ลองเปรียบเทียบกับองค์กรในปัจจุบัน คุณจะออกแบบโปรแกรมพฤติกรรม และวัฒนธรรมด้านความปลอดภัยที่มีประสิทธิภาพได้อย่างไร?
องค์กรต้องทำให้การละเมิดนโยบายความปลอดภัยเป็นเรื่องของ “ความไม่ภักดีต่อองค์กร“ โดยเน้นย้ำถึงผลลัพธ์ที่ตามมาส่วนบุคคลของความเสี่ยงทางไซเบอร์ ซึ่งวิธีที่ดีที่สุดเพื่อบรรลุเป้าหมายนี้คือการใช้ภาพที่ทรงพลัง และการสื่อสารด้วยประโยคสั้น ๆ ที่ส่งผลกระทบสูง
หรือใช้ทั้ง 2 อย่างเพื่อกระตุ้นให้เกิดการตอบสนองทางอารมณ์ การส่งข้อความจำเป็นต้องให้เห็นประจักษ์เท่าที่จะเป็นไปได้ ไม่ว่าจะใช้โปสเตอร์ โฆษณาในจดหมายข่าวถึงพนักงานหรือเว็บพอร์ทัลต่าง ๆ รวมทั้งการให้ผู้นำอาวุโสพูดคุยถึงความสำคัญของค่านิยมเหล่านี้ที่มีต่อบริษัท
จับการกระทำไว้ด้วยกันอย่างใกล้ชิดกับผลกระทบ
มนุษย์มีแรงจูงใจตามธรรมชาติในการมองหาโอกาส และเลี่ยงอันตราย ทำให้ผลกระทบ เชิงบวก หรือเชิงลบของการตัดสินใจด้านความปลอดภัยทางไซเบอร์ชัดเจน และเป็นเรื่องส่วนตัว ดังนั้นเราควรเน้นที่ผลกระทบมากกว่าผลที่ตามมาเพราะมันเปิดโอกาสให้มีการสื่อสารในเชิงบวก
การเน้นย้ำผลกระทบเชิงบวก และหา Role Models จะเปลี่ยนทัศนคติทางด้านวัฒนธรรมได้อย่างมาก การยกตัวอย่างจริงของคนจะช่วยให้เข้าใจคำแนะนำที่ชัดเจนแก่คนอื่น ๆ และทำให้พวกเขาเห็นแบบอย่างด้านความปลอดภัยทางไซเบอร์มากยิ่งขึ้น
ต่อยอดค่านิยมที่มีอยู่เดิมในองค์กร
การปลูกฝังหรือเปลี่ยนความเชื่อในองค์กรเป็นเรื่องง่ายขึ้นเมื่อเชื่อมโยงกับสิ่งที่ผู้คนเชื่ออยู่แล้ว ซึ่งความปลอดภัยมักเป็นค่านิยมหลักขององค์กรในภาคพลังงานและภาคสาธารณูปโภค เช่นเดียวกับความมั่นคงทางการเงินในธนาคาร และประกันภัย หรือคุณภาพในการผลิต
ดังนั้นควรเชื่อมโยงค่านิยมเหล่านี้เข้ากับความปลอดภัยทางไซเบอร์อย่างชัดเจน และใช้เป็นตัวขยายผลกระทบทางวัฒนธรรมของการสื่อสาร การเปลี่ยนแปลงทางวัฒนธรรมต้องใช้ความตั้งใจ และความพยายาม
เช่นเดียวกับที่ความปลอดภัยทางไซเบอร์ที่ไม่สามารถคาดหวังให้ “ความตระหนักรู้” ทำงานแทนเราได้ เราไม่สามารถประกาศ “ความปลอดภัย“ เพียงอย่างเดียวได้เพราะการเชื่อมโยงของเรื่องนี้ต้องถูกสร้างขึ้นเพื่อพนักงาน
ขยายผลที่ตามมาด้วยแรงกดดันทางสังคม
พิจารณาการสื่อสารที่เพิ่มแรงกดดันทางสังคมที่มีอยู่เพื่อไม่ให้ก่อความเสียหายแก่ผู้อื่น วิธีนี้ใช้ได้ผลดีในสภาพแวดล้อมที่มีความเสี่ยงสูง เช่น ธนาคาร หรือในสภาพแวดล้อมที่มีวัฒนธรรมความปลอดภัยทางกายภาพเป็นบรรทัดฐาน (เช่น โรงพยาบาล โรงงาน หรือเหมืองแร่)
ตัวอย่างเช่น ธนาคารในออสเตรเลียที่ทำให้การละเมิดข้อมูล และการรักษาความลับเป็นเคสการเรียนรู้จริงให้แก่พนักงาน โดยอบรมให้พวกเขารู้ว่าคู่สมรสที่ใช้ความรุนแรงในครอบครัวอาจใช้ธนาคารเป็นเครื่องมือ เพื่อขอทราบรายละเอียดที่อยู่อาศัยของคู่สมรสที่แยกกันอยู่ที่อาจมีผลร้ายแรงถึงชีวิต
ในสภาพแวดล้อมที่มีความเสี่ยงน้อยเป็นธรรมชาติ และมีความตระหนักรู้ทางวัฒนธรรมเกี่ยวกับความปลอดภัยโดยทั่วไป การสื่อสารเกี่ยวกับบุคคลจริง ๆ สามารถสร้างผลกระทบได้อย่างมาก การมุ่งเน้นไปที่ตัวบุคคลที่ทำสิ่งที่ถูกต้องให้เป็นแบบอย่างเป็นวิธีที่มีประสิทธิภาพ และสิ่งนี้เสริมสร้างแรงกดดันทางสังคม รวมทั้งเป็นตัวอย่างให้ผู้อื่นปฏิบัติตาม
ทำให้เป็นเรื่องส่วนบุคคล
ค่านิยมและความเชื่อเกี่ยวกับความเสี่ยงจะเปลี่ยนไปเมื่อคน ๆ นั้นสามารถจินตนาการถึงผลที่จะเกิดขึ้นกับตนเองหรือคนที่พวกเขาห่วงใย การให้ความสำคัญกับข้อความที่เกี่ยวกับภัยคุกคามที่เกิดขึ้นจริงจากการโจรกรรมข้อมูลส่วนบุคคล เป็นตัวอย่างที่ทำให้การรับรู้ถึงผลกระทบง่ายขึ้น
ภาพที่สร้างความเห็นอกเห็นใจยังช่วยในการสื่อสารประเภทนี้อีกด้วย ในทำนองเดียวกัน การแสดงให้เห็นถึงความยุ่งยากของการปฏิบัติตามมาตรการควบคุมความปลอดภัยที่ส่งผลให้เกิดปัญหาต่อผู้อื่น ทำให้มันกลายเป็นเรื่องส่วนตัว และใช้แรงกดดันทางสังคม
ทำให้สนุก
อารมณ์ขันเป็นสิ่งที่จดจำได้ง่าย แม้ว่าการเชื่อมโยงผลลัพธ์ของความเสี่ยงในรูปแบบที่ตลกขบขันอาจเป็นเรื่องท้าทาย แต่เมื่อทำได้ดีแล้ว มันสามารถสร้างความประทับใจได้ ตัวอย่างเช่น โรงเรียนเอกชนในออสเตรเลียได้นำความกลัวแบบดั้งเดิมที่ว่าพฤติกรรมการฝ่าฝืนกฎจะส่งผลเสียต่อนักเรียนในระยะยาวมาใช้
โดยสร้างโปสเตอร์ของนักเรียนในชุดเครื่องแบบ พร้อมกล่องอาหารกลางวัน และกองใบแจ้งหนี้บัตรเครดิต พร้อมสโลแกนว่า “การโจรกรรมข้อมูลส่วนบุคคลจะอยู่ในประวัติของคุณอย่างถาวร“
การสื่อสารที่ดี และมีผลกระทบมากที่สุดเชื่อมโยงกับผลที่ตามมา ขยายผลด้วยแรงกดดันทางสังคม ต่อยอดจากความเชื่อและค่านิยมที่มีอยู่เดิม เพิ่มความเกี่ยวข้องกับตัวบุคคล และสนุก หากการสื่อสารกับพนักงานสามารถตอบโจทย์ทั้งหมดนี้ได้ องค์กรจะประสบความสำเร็จยิ่งขึ้นในการเปลี่ยนแปลงพฤติกรรมเป็นอันตรายต่าง ๆ เหล่านั้น
ส่วนขยาย
* บทความเรื่องนี้น่าจะเป็นประโยชน์สำหรับการวิเคราะห์ในมุมมองที่น่าสนใจ
** เขียน: ชลัมพ์ ศุภวาที (บรรณาธิการ และผู้สื่อข่าว)
*** ขอขอบคุณภาพประกอบบางส่วนจาก N/A
สามารถกดติดตามข่าวสาร และบทความทางด้านเทคโนโลยีของเราได้ที่ www.facebook.com/itday.in.th
 แนะองค์กร ปลุกสำนึกพนักงานให้เห็นความสำคัญความเสี่ยงไซเบอร์มากขึ้น หลีกพฤติกรรมคุ้นชิน และใช้ทางลัดในการทำงาน){kind=link}