ทำไมผู้นำด้านไอทีต้องเริ่มพิจารณาองค์ประกอบด้านมนุษย์ในการรักษาความปลอดภัยทางไซเบอร์

01 พ.ย. 2564
 

หลายๆ ธุรกิจกำลังใช้งบประมาณจำนวนมากเกินไปกับเทคโนโลยี และใช้งบประมาณไม่เพียงพอต่อทรัพย์สินด้านความปลอดภัยที่ดีที่สุดซึ่งก็คนของพวกเขานั่นเอง

การป้องกันต่อภัยคุกคามด้านความปลอดภัยที่ดีที่สุดของคุณคืออะไร การยืนยันตัวตนสองขั้นตอน ? Firewall รุ่นใหม่ ? VPN ที่แข็งแกร่งและเข้าถึงง่าย ?

ที่จริงแล้วปัจจัยเหล่านั้นก็ไม่ใช่ไม่ถูกต้องเลย ถึงแม้ว่าปัจจัยเหล่านั้นจะเป็นเครื่องมือที่ช่วยปกป้องข้อมูลสำคัญของธุรกิจที่ยอดเยี่ยม แต่การป้องกันที่ดีสุดของคุณยังคงเป็นด่านหน้าซึ่งก็คือผู้ใช้ปลายทาง (End-user) นั่นเอง เมื่อคุณวางแผนกลยุทธ์โครงสร้างความปลอดภัยด้านข้อมูลโดยรวม คุณจำเป็นต้องพิจารณาองค์ประกอบด้านความปลอดภัยของมนุษย์ด้วย ก่อนที่มันจะกลายเป็นความรับผิดชอบที่ใหญ่ที่สุดของคุณ ในบทความนี้เราจะกล่าวถึงความสำคัญของการมีส่วนร่วมจากพนักงานของคุณต่อกลยุทธ์ด้านความปลอดภัยและการสร้างประสิทธิภาพ

ในโลกของการทำงานปัจจุบันนี้ เรามีการพูดถึงเครื่องมือด้านความปลอดภัยที่ใหม่ล่าสุดและดีที่สุดกันบ่อยครั้ง โดยทั่วไปแล้วผู้จัดการฝ่ายไอทีจะได้รับงบประมาณค่อนข้างมากสำหรับการใช้เครื่องมือเหล่านี้เพื่อเสริมสร้างความปลอดภัย ด้วยปริมาณการรั่วไหลของข้อมูลระดับสูงในสื่อ ปัญหาด้านความปลอดภัยได้กลายเป็นเรื่องเร่งด่วนสำหรับธุรกิจจำนวนมาก ซึ่งการเฝ้าระวังนี้เป็นสิ่งที่ดี แต่จากที่เราเห็นแล้ว หลายๆ ธุรกิจยังไม่ได้ใช้งบประมาณให้เกิดประสิทธิภาพสูงสุด

หากคุณลองย้อนกลับไปมองสาเหตุของการรั่วไหลของข้อมูลจะพบว่ามันไม่ใช่วิธีแปลกใหม่อะไรเลย ที่จริงแล้วผู้โจมตีนั้นใช้ประโยชน์จากช่องโหว่ที่มีมายาวนานแล้วซึ่งบริษัทต่างๆ ไม่ได้แก้ไขอย่างมีประสิทธิภาพหรือปัญหาที่ไม่ได้ถูกแก้ไขด้วยการฝึกอบรม End-user และการโจมตีเหล่านี้ก็มีความซับซ้อนมากขึ้น

ที่ริโก้ เราลงทุนอย่างมหาศาลกับการฝึกอบรม End-user เพื่อช่วยป้องกันจากฟิชชิ่งและภัยคุกคามทางวิศวกรรมสังคม (Social Engineering Threats) และเราก็ได้เห็นผลลัพธ์ที่คุ้มค่านั้นแล้ว การโจมตีที่เกิดขึ้นบ่อยในปัจจุบันนี้มาจากสายที่อ้างว่าโทรศัพท์มาจาก Microsoft และต้องการตรวจสอบการทำงานของคอมพิวเตอร์พนักงานโดยอ้างว่าตรวจพบไวรัส แน่นอนว่าหากพนักงานอนุญาตให้มิจฉาชีพเข้าถึงคอมพิวเตอร์ของพวกเขาได้ มิจฉาชีพก็คงจะแทรกซึมเข้ามาในระบบเน็ตเวิร์กได้ อย่างไรก็ตามการโจมตีนี้ล้มเหลวเช่นเดียวการพยายามฉ้อโกงด้านการเงินและอีเมลฟิชชิ่งที่เลียนแบบการติดต่อจากเว็บไซต์ที่ถูกต้อง แม้กระทั่งการสร้างเว็บไซต์ปลอมที่เหมือนกันกับเว็บไซต์ดั้งเดิม

ล่าสุดเราสามารถป้องกันภัยคุกคามเหล่านี้และอื่นๆ ได้มากมาย ไม่ใช่เพราะเครื่องมือพิเศษหรือเทคโนโลยีใหม่ล่าสุดต่างๆ แต่เป็นเพราะการให้การอบรมและความรู้อย่างเข้มข้นกับ End-user

หลายๆ ธุรกิจกำลังใช้งบประมาณจำนวนมากเกินไปกับเทคโนโลยี และใช้งบประมาณไม่เพียงพอต่อทรัพย์สินด้านความปลอดภัยที่ดีที่สุดซึ่งก็คนของพวกเขานั่นเอง

ความปลอดภัยเป็นความรับผิดชอบของทุกคน

End-user เป็นด่านหน้าในการป้องกันเน็ตเวิร์กของคุณ คุณอาจจะลงทุนเป็นล้านสำหรับเทคโนโลยี แต่หากคุณไม่สามารถป้องกันอีเมลฟิชชิ่งธรรมดาๆ การเตรียมพร้อมของคุณทั้งหมดก็ไม่มีความหมายอะไรเลย

การพูดคุยเรื่องความปลอดภัยกับ End-user อาจเป็นเรื่องยาก แต่ก็เป็นสิ่งที่ทำได้และสำคัญอย่างยิ่ง เราขอแนะนำแนวทางสามประการโดยเริ่มจากการตระหนักรู้ง่ายๆ คือ การให้ความรู้พนักงานเกี่ยวกับความท้าทายด้านความปลอดภัยที่พวกเขาอาจเผชิญ คุณจำเป็นต้องสื่อสารอย่างชัดเจนกับพนักงานของคุณทั้งหมดไม่ว่าจะเป็นผู้ที่มีความรู้ด้านไอทีหรือไม่ก็ตามเกี่ยวกับมาตรการรักษาความปลอดภัยที่เหมาะสมและภัยคุกคามที่เกิดขึ้นใหม่

จากนั้นคุณต้องกระตุ้นความเป็นเจ้าของ แสดงให้พนักงานเห็นว่าพวกเขาก็เป็นผู้คุมเกมนี้เหมือนกัน ความปลอดภัยนั้นเป็นความรับผิดชอบของทุกคน และการใช้มาตรการ QA ที่มีประสิทธิภาพภายในองค์กรของคุณจะสามารถช่วยให้ทุกคนปฏิบัติตามได้ สุดท้ายคือการให้อำนาจ ให้เครื่องมือที่พวกเขาจำเป็นต้องใช้เพื่อปกป้องตนเองและบริษัท การจัดโปรแกรมการฝึกอบรมและการให้ความรู้ที่รัดกุมเพื่อสอนผู้ใช้ให้รู้จักวิธีใช้เทคโนโลยีและเครื่องมืออย่างมีประสิทธิภาพเป็นสิ่งสำคัญอย่างไม่น่าเชื่อสำหรับการรายงานปัญหาที่อาจเกิดขึ้น ท้ายที่สุดแล้วพนักงานควรเข้าใจว่าพวกเขาเป็นแนวป้องกันแรกที่คุณมี

การรักษาความปลอดภัยของ End-user เป็นความท้าทายอย่างยิ่ง ความผิดพลาดของมนุษย์คือสิ่งที่เกิดขึ้นได้อยู่แล้ว บางคนอาจทำผิดพลาดได้โดยเฉพาะอย่างยิ่งเมื่อการโจมตีมีความซับซ้อนและหลอกลวงมากขึ้น เหตุผลที่ฟิชชิ่งและ Social Engineering เป็นที่แพร่หลายก็เพราะว่าพวกมันใช้ได้ผล แต่เมื่อคุณไม่สามารถกำจัดความผิดพลาดที่เกิดจากมนุษย์ออกไปได้ทั้งหมด การอบรมและการให้ความรู้ End-user อย่างหนักแน่นยังคงเป็นประโยชน์สำหรับการป้องกันของคุณ นอกจากนี้การอบรมและการให้ความรู้แก่พนักงานก็ควรเป็นส่วนหนึ่งของแผนการรับมือที่ไม่เพียงแต่จำกัดจุดโจมตีที่อาจเกิดขึ้นเท่านั้น แต่ยังเพื่อลดความเสียหายเมื่อมีการโจมตีเกิดขึ้น

ดังนั้นแล้วเมื่อคุณวางแผนการใช้งบประมาณด้านความปลอดภัย ลองถามตัวเองว่าคุณลงทุนกับพนักงานที่อยู่แนวหน้าในการปกป้องเครือข่ายของคุณทุกวันเพียงพอแล้วหรือไม่

 

ที่มา: https://www.ricoh-usa.com/en/insights/articles/why-it-leaders-must-start-considering-the-human-element-of-security


News & Events

Keep up to date