ปลุกสำนึกพนักงานให้เห็นความสำคัญ ความเสี่ยงไซเบอร์มากขึ้น

วันที่ 11 เมษายน 2568 - 22:59 น.

---

งานด้านความปลอดภัยส่วนใหญ่มุ่งเน้นสร้างความตระหนักรู้ให้แก่พนักงานเรื่องความเสี่ยงและการลดความเสี่ยงไซเบอร์ แต่แนวทางนี้ยังไม่ค่อยได้ผลกับการหยุดพฤติกรรมอันตรายต่าง ๆ 

จากการสำรวจของการ์ทเนอร์ พบว่า 93% ของพนักงานรู้ดีว่าตนเองกำลังเพิ่มความเสี่ยงให้องค์กรจากพฤติกรรมบางอย่าง นอกจากนี้เพื่อให้บรรลุเป้าหมายทางธุรกิจพนักงานถึง 74% ยอมละเมิดนโยบายความปลอดภัยทางไซเบอร์

ซึ่งนั่นไม่ได้หมายความว่าพนักงานมีเจตนาร้ายหรือไม่สนใจในความปลอดภัย แต่พวกเขาเพียงคุ้นชินกับการเลี่ยงมาตรการควบคุมเหมือนกับหาทางลัดในการทำงานประจำวันให้เสร็จไวขึ้นโดยออกแรงน้อยที่สุด หนึ่งในสามเหตุผลสำคัญที่แต่ละคนพูดถึงพฤติกรรมประเภทนี้คือการขาดสำนึกถึงผลลัพธ์ที่ตามมา

ปัญหานี้จำเป็นต้องแก้ไขในเชิงวัฒนธรรมและการเปลี่ยนแปลงค่านิยมในองค์กร ผู้บริหารด้านความปลอดภัยต้องปรับวิธีการเข้าถึงพนักงานด้วยการหาวิธีการใหม่ ๆ ที่จะทำให้พวกเขารู้สึกถึงความเสี่ยงทางไซเบอร์อย่างเป็นรูปธรรมมากพอ เพื่อเลี่ยงพฤติกรรมที่เป็นอันตราย นอกเหนือจากการลงโทษทางตรง โดยปรับไปใช้กลไกเชิงวัฒนธรรมแทน อาทิ เพิ่มแรงกดดันจากเพื่อนร่วมงานในการบีบบังคับ 

ตัวอย่างที่น่าสนใจที่สหรัฐฯ ใช้ในช่วงสงครามโลกครั้งที่สองกับแคมเปญ "ปากพล่อย พลอยล่มจม” (Loose Lips Sink Ships) ที่กลายเป็นสโลแกนที่มีประสิทธิภาพมากโดยสะท้อนแนวคิดว่าแม้แต่การเปิดเผยข้อมูลเล็กน้อยที่ดูเหมือนไม่สำคัญก็อาจนำไปสู่ความเสียหายใหญ่หลวงได้ เพราะเชื่อมโยงระหว่างการกระทำและผลลัพธ์เข้าไว้ด้วยกัน ในช่วงเวลาที่ผลลัพธ์เหล่านั้นอาจเกิดขึ้นกับตัวเอง คนที่เรารักอาจอยู่บนเรือลำนั้น

ลองเปรียบเทียบกับองค์กรในปัจจุบัน คุณจะออกแบบโปรแกรมพฤติกรรมและวัฒนธรรมด้านความปลอดภัยที่มีประสิทธิภาพได้อย่างไร?

องค์กรต้องทำให้การละเมิดนโยบายความปลอดภัยเป็นเรื่องของ "ความไม่ภักดีต่อองค์กร" โดยเน้นย้ำถึงผลลัพธ์ที่ตามมาส่วนบุคคลของความเสี่ยงทางไซเบอร์ ซึ่งวิธีที่ดีที่สุดเพื่อบรรลุเป้าหมายนี้คือการใช้ภาพที่ทรงพลังและการสื่อสารด้วยประโยคสั้น ๆ ที่ส่งผลกระทบสูง หรือใช้ทั้งสองอย่างเพื่อกระตุ้นให้เกิดการตอบสนองทางอารมณ์

การส่งข้อความจำเป็นต้องให้เห็นประจักษ์เท่าที่จะเป็นไปได้ ไม่ว่าจะใช้โปสเตอร์ โฆษณาในจดหมายข่าวถึงพนักงานหรือเว็บพอร์ทัลต่าง ๆ รวมทั้งการให้ผู้นำอาวุโสพูดคุยถึงความสำคัญของค่านิยมเหล่านี้ที่มีต่อบริษัท

จับการกระทำไว้ด้วยกันอย่างใกล้ชิดกับผลกระทบ

มนุษย์มีแรงจูงใจตามธรรมชาติในการมองหาโอกาสและเลี่ยงอันตราย ทำให้ผลกระทบ เชิงบวกหรือเชิงลบของการตัดสินใจด้านความปลอดภัยทางไซเบอร์ชัดเจนและเป็นเรื่องส่วนตัว ดังนั้นเราควรเน้นที่ผลกระทบมากกว่าผลที่ตามมาเพราะมันเปิดโอกาสให้มีการสื่อสารในเชิงบวก

การเน้นย้ำผลกระทบเชิงบวกและหา Role Models จะเปลี่ยนทัศนคติทางด้านวัฒนธรรมได้อย่างมาก การยกตัวอย่างจริงของคนจะช่วยให้เข้าใจคำแนะนำที่ชัดเจนแก่คนอื่น ๆ และทำให้พวกเขาเห็นแบบอย่างด้านความปลอดภัยทางไซเบอร์มากยิ่งขึ้น

ต่อยอดค่านิยมที่มีอยู่เดิมในองค์กร

การปลูกฝังหรือเปลี่ยนความเชื่อในองค์กรเป็นเรื่องง่ายขึ้นเมื่อเชื่อมโยงกับสิ่งที่ผู้คนเชื่ออยู่แล้ว ซึ่งความปลอดภัยมักเป็นค่านิยมหลักขององค์กรในภาคพลังงานและภาคสาธารณูปโภค เช่นเดียวกับความมั่นคงทางการเงินในธนาคารและประกันภัย หรือคุณภาพในการผลิต ดังนั้นควรเชื่อมโยงค่านิยมเหล่านี้เข้ากับความปลอดภัยทางไซเบอร์อย่างชัดเจนและใช้เป็นตัวขยายผลกระทบทางวัฒนธรรมของการสื่อสาร

การเปลี่ยนแปลงทางวัฒนธรรมต้องใช้ความตั้งใจและความพยายาม เช่นเดียวกับที่ความปลอดภัยทางไซเบอร์ที่ไม่สามารถคาดหวังให้ "ความตระหนักรู้" ทำงานแทนเราได้ เราไม่สามารถประกาศ "ความปลอดภัย" เพียงอย่างเดียวได้เพราะการเชื่อมโยงของเรื่องนี้ต้องถูกสร้างขึ้นเพื่อพนักงาน

ขยายผลที่ตามมาด้วยแรงกดดันทางสังคม

พิจารณาการสื่อสารที่เพิ่มแรงกดดันทางสังคมที่มีอยู่เพื่อไม่ให้ก่อความเสียหายแก่ผู้อื่น วิธีนี้ใช้ได้ผลดีในสภาพแวดล้อมที่มีความเสี่ยงสูง เช่น ธนาคาร หรือในสภาพแวดล้อมที่มีวัฒนธรรมความปลอดภัยทางกายภาพเป็นบรรทัดฐาน (เช่น โรงพยาบาล โรงงาน หรือเหมืองแร่)

ตัวอย่างเช่น ธนาคารในออสเตรเลียที่ทำให้การละเมิดข้อมูลและการรักษาความลับเป็นเคสการเรียนรู้จริงให้แก่พนักงาน โดยอบรมให้พวกเขารู้ว่าคู่สมรสที่ใช้ความรุนแรงในครอบครัวอาจใช้ธนาคารเป็นเครื่องมือเพื่อขอทราบรายละเอียดที่อยู่อาศัยของคู่สมรสที่แยกกันอยู่ที่อาจมีผลร้ายแรงถึงชีวิต

ในสภาพแวดล้อมที่มีความเสี่ยงน้อยเป็นธรรมชาติและมีความตระหนักรู้ทางวัฒนธรรมเกี่ยวกับความปลอดภัยโดยทั่วไป การสื่อสารเกี่ยวกับบุคคลจริง ๆ สามารถสร้างผลกระทบได้อย่างมาก การมุ่งเน้นไปที่ตัวบุคคลที่ทำสิ่งที่ถูกต้องให้เป็นแบบอย่างเป็นวิธีที่มีประสิทธิภาพ และสิ่งนี้เสริมสร้างแรงกดดันทางสังคม รวมทั้งเป็นตัวอย่างให้ผู้อื่นปฏิบัติตาม

ทำให้เป็นเรื่องส่วนบุคคล

ค่านิยมและความเชื่อเกี่ยวกับความเสี่ยงจะเปลี่ยนไปเมื่อคน ๆ นั้นสามารถจินตนาการถึงผลที่จะเกิดขึ้นกับตนเองหรือคนที่พวกเขาห่วงใย การให้ความสำคัญกับข้อความที่เกี่ยวกับภัยคุกคามที่เกิดขึ้นจริงจากการโจรกรรมข้อมูลส่วนบุคคล เป็นตัวอย่างที่ทำให้การรับรู้ถึงผลกระทบง่ายขึ้น ภาพที่สร้างความเห็นอกเห็นใจยังช่วยในการสื่อสารประเภทนี้อีกด้วย

ในทำนองเดียวกัน การแสดงให้เห็นถึงความยุ่งยากของการปฏิบัติตามมาตรการควบคุมความปลอดภัยที่ส่งผลให้เกิดปัญหาต่อผู้อื่น ทำให้มันกลายเป็นเรื่องส่วนตัวและใช้แรงกดดันทางสังคม

ทำให้สนุก 

อารมณ์ขันเป็นสิ่งที่จดจำได้ง่าย แม้ว่าการเชื่อมโยงผลลัพธ์ของความเสี่ยงในรูปแบบที่ตลกขบขันอาจเป็นเรื่องท้าทาย แต่เมื่อทำได้ดีแล้ว มันสามารถสร้างความประทับใจได้

ตัวอย่างเช่น โรงเรียนเอกชนในออสเตรเลียได้นำความกลัวแบบดั้งเดิมที่ว่าพฤติกรรมการฝ่าฝืนกฎจะส่งผลเสียต่อนักเรียนในระยะยาวมาใช้ โดยสร้างโปสเตอร์ของนักเรียนในชุดเครื่องแบบ พร้อมกล่องอาหารกลางวันและกองใบแจ้งหนี้บัตรเครดิต พร้อมสโลแกนว่า "การโจรกรรมข้อมูลส่วนบุคคลจะอยู่ในประวัติของคุณอย่างถาวร"

การสื่อสารที่ดีและมีผลกระทบมากที่สุดเชื่อมโยงกับผลที่ตามมา ขยายผลด้วยแรงกดดันทางสังคม ต่อยอดจากความเชื่อและค่านิยมที่มีอยู่เดิม เพิ่มความเกี่ยวข้องกับตัวบุคคล และสนุก หากการสื่อสารกับพนักงานสามารถตอบโจทย์ทั้งหมดนี้ได้ องค์กรจะประสบความสำเร็จยิ่งขึ้นในการเปลี่ยนแปลงพฤติกรรมเป็นอันตรายต่าง ๆ เหล่านั้น

โดย Leigh McMullen  รองประธาน นักวิเคราะห์และ Gartner Fellow ที่การ์ทเนอร์