7 เทคนิคที่ช่วยให้ Security Awareness Training มีความน่าสนใจ
Security Awareness Training เป็นสิ่งสำคัญสำหรับทุกองค์กรในการปูพื้นฐานความและสร้างความตระหนักด้าน Cyber Security ให้แก่พนักงาน อย่างไรก็ตาม หลายองค์กรอาจประสบปัญหาการอบรมไม่มีประสิทธิผล ไม่ว่าจะเป็น เกิดความรู้สึกเบื่อหน่าย ไม่มีส่วนร่วมในการอบรม หรือเลวร้ายที่สุดคือไม่สนใจฟัง ทางเว็บ CSO Online จึงได้ออกคำแนะนำ 7 ประการเพื่อให้ Security Awareness Training มีความน่าสนใจและได้ประสิทธิภาพมากยิ่งขึ้น1. จัดอบรมเล็กๆ
จำไว้เสมอว่าคุณไม่ใช่สตีฟ จ็อบส์ที่สามารถดึงความสนใจของผู้ฟังทั้งหอประชุมได้ คุณควรแยกจัดอบรมเป็นกลุ่มเล็กๆ เพื่อให้เกิดการปฏิสัมพันธ์ เรียกความสนใจได้ง่าย รวมไปถึงช่วยให้คุณจัดเตรียมเนื้อหาสำหรับอบรมให้เหมาะสมกับคนแต่ละกลุ่มได้ อย่างมีประสิทธิภาพ
2. อบรมเป็นระยะเวลาสั้นๆ
พนักงานส่วนใหญ่มักมีสมาธิในการอบรมสั้น เนื่องจากมีงานอื่นที่ตนต้องรับผิดชอบให้กังวล การอบรมจึงควรระมัดระวังเรื่องเวลาและนำเสนอเฉพาะเนื้อหาเน้นๆ พยายามหลีกเลี่ยงการอบรมนานกว่า 15 – 20 นาที และการลงรายละเอียดเกินไป คุณสามารถตอบข้อสงสัยหรือลงรายละเอียดเฉพาะรายบุคคลหลังจบเซสชันอบรมได้
3. เน้นเจาะจงเป็นเรื่องๆ
ความมั่นคงปลอดภัยเป็นหัวข้อที่ใหญ่ อย่าพยายามที่จะอธิบายทุกสิ่งทุกอย่างให้กับคนที่ไม่อยู่ในสายอาชีพในที เดียว ควรโฟกัสเฉพาะนโยบายหรือภัยคุกคามเฉพาะเรื่องที่เกี่ยวข้องกับการทำงานของ ผู้ฟังจริงๆ นอกจากนี้ แต่ละเซสชันควรพุ่งเป้าที่หัวข้อเดียวหรือคำถามเดียวเพื่อให้ครอบคลุมหัวข้อ นั้นได้อย่างชัดเจน
4. ทำให้การอบรมกลายเป็นกิจวัตรประจำวัน
การอบรมไม่ใช่แค่จบในห้อง แล้วอีก 364 วันที่เหลือกลายเป็นพนักงานไม่ใส่ใจ คุณต้องทำให้ความมั่นคงปลอดภัยกลายเป็นส่วนหนึ่งการทำงานของพวกเขา การจัดอบรมด้านความมั่นคงปลอดภัยเป็นประจำช่วยให้คุณค่อยๆ สร้างความตระหนัก และลงลึกในรายละเอียดทีละเรื่องได้ รวมไปถึงช่วยกระตุ้นให้พนักงานเกิดความตื่นตัวด้านความมั่นคงปลอดภัยอยู่ เสมอ
5. อัปเดตเนื้อหาให้สดใหม่อยู่เสมอ
สิ่งที่น่าเบื่อที่สุดของการอบรมคือ การพูดเรื่องเดิมซ้ำๆ ถ้าคุณต้องการจัดอบรมเนื้อหาที่เคยพูดไปแล้ว ต้องมั่นใจว่าคุณมีตัวอย่างใหม่ๆ และอัปเดตสถิติล่าสุดอยู่เสมอ โดยเฉพาะอย่างยิ่งการยกตัวอย่างเหตุการณ์ที่เพิ่งเกิดขึ้นในปัจจุบันจะช่วย ให้ผู้ฟังมีความสนใจและอยากรู้อยากเห็นมากยิ่งขึ้น
6. นำไปปฏิบัติ ไม่ใช่แค่เล่าให้ฟัง
การอบรมแทนที่จะเป็นการพูดหรือให้ความรู้เฉยๆ คุณควรทำให้พนักงานมีส่วนร่วมและรู้สึกว่าสามารถนำความรู้ไปใช้ได้จริง เช่น การให้พนักงานไปตั้งค่าอุปกรณ์ตามที่กำหนดเพื่อให้มั่นคงปลอดภัยยิ่งขึ้น หรือการให้พวกเขาแจ้งผู้ดูแลระบบเมื่อพบอีเมลที่ผิดปกติ เป็นต้น
7. ผู้บริหารต้องมีส่วนร่วม
การอบรมไม่ใช่แค่จัดทำให้ระดับพนักงานเท่านั้น แต่คุณควรกำหนดเซสชันพิเศษสำหรับทีมผู้บริหารด้วยเช่นกัน โดยเน้นหัวข้อที่เรื่อง Spear Phishing และ Business Email Compromise ถ้าพวกเขาไม่สนใจหรือคิดว่าตัวเองยุ่งพออยู่แล้ว ให้พยายามเตือนเขาถึงผลกระทบถ้าแฮ็คเกอร์สามารถเอารหัสผ่านหรือขโมยข้อมูล ออกไปได้
ที่มา: http://www.csoonline.com/article/3154760/social-engineering/7-tips-for-better-security-awareness-training-sessions.html
ไม่มีความคิดเห็น:
แสดงความคิดเห็น