IT security awareness training

เวลาพูดถึง IT security คนมักหมายถึงเทคโนโลยีสารสนเทศด้านความปลอดภัยต่างๆ ไม่ว่าจะเป็น Firewall, แอนตี้ไวรัส, การสแกนช่องโหว่, ระบบเข้าออกประตู และกล้องวงจรปิดเป็นต้น บางบริษัทซื้อ Firewall ตัวละเป็นล้าน พอไปดูกฎที่ตั้งไว้ กลับเหมือนใช้ freeware ก็ทำงานได้เหมือนกัน บางบริษัทลงทุนเทคโนโลยีมากมาย ปรากฎว่าโดน Ransomware เคยเจอที่บริษัทหนึ่ง ฝ่ายบัญชีถูกหลอกให้โอนเงินค่าของไปบัญชีของผู้ร้าย

ทำไมเทคโนโลยีอย่างเดียวไม่สามารถป้องกันเราจากภัยร้ายด้าน IT security ได้ ที่เป็นอย่างนี้เพราะการที่จะปลอดภัย จะต้องมีทั้ง People, Process , Technology

ด้านเทคโนโลยี ท่านคงทราบอยู่แล้วโดยส่วนมาก ส่วน Process เป็นเรื่องของขั้นตอนต่างๆ เช่น มีระบบ patch หรือไม่ ขั่นตอนการแก้ไข ซอฟแวร์ hardware ต่างๆ ขั้นตอนในการตรวจสอบและยืนยัน รวมทั้งที่สำคัญมากๆ คือ Policy ที่เป็นหัวใจหนึ่งของ IT security

แต่ที่ต้องการเน้นในบทความนี้คือด้าน People คือคนที่ใช้งานระบบ IT ที่ต้องเข้าใจว่าความเสี่ยงต่างๆ มีอะไรบ้าง จะปกป้องตัวเองจากความเสี่ยงได้อย่างไร มีความรู้เรื่อง Phishing และมีความเข้าใจ Policy ของบริษัท ดังนั้นแต่ละบริษัทควรจัดการอบรมเรื่อง Security Awareness ให้กับพนักงาน มีการทดสอบความรู้ และมีการเผยแพร่ Security Policy ของบริษัทให้พนักงานรับทราบ เพื่อให้พนักงานสามารถป้องกันตัวเองได้ทั่งจากการใช้งานภายในบริษัท และการใช้นอกบริษัทด้วย ซึ่งปัจจุบันมีเครื่องมือที่ช่วยในการจัดการนี้เช่น ซอฟแวร์ของ Knowbe4