ปลุกสำนึกพนักงานให้เห็นความสำคัญ #ความเสี่ยงไซเบอร์ มากขึ้น
โดย Leigh McMullen
รองประธาน นักวิเคราะห์และ Gartner Fellow ที่การ์ทเนอร์
งานด้านความปลอดภัยส่วนใหญ่มุ่งเน้นสร้างความตระหนักรู้ให้แก่พนักงานเรื่องความเสี่ยงและการลดความเสี่ยงไซเบอร์ แต่แนวทางนี้ยังไม่ค่อยได้ผลกับการหยุดพฤติกรรมอันตรายต่าง ๆ
จากการสำรวจของการ์ทเนอร์ พบว่า 93% ของพนักงานรู้ดีว่าตนเองกำลังเพิ่มความเสี่ยงให้องค์กรจากพฤติกรรมบางอย่าง นอกจากนี้เพื่อให้บรรลุเป้าหมายทางธุรกิจพนักงานถึง 74% ยอมละเมิดนโยบาย #ความปลอดภัยทางไซเบอร์
ซึ่งนั่นไม่ได้หมายความว่าพนักงานมีเจตนาร้ายหรือไม่สนใจในความปลอดภัย แต่พวกเขาเพียงคุ้นชินกับการเลี่ยงมาตรการควบคุมเหมือนกับหาทางลัดในการทำงานประจำวันให้เสร็จไวขึ้นโดยออกแรงน้อยที่สุด หนึ่งในสามเหตุผลสำคัญที่แต่ละคนพูดถึงพฤติกรรมประเภทนี้คือการขาดสำนึกถึงผลลัพธ์ที่ตามมา
ปัญหานี้จำเป็นต้องแก้ไขในเชิงวัฒนธรรมและการเปลี่ยนแปลงค่านิยมในองค์กร ผู้บริหารด้านความปลอดภัยต้องปรับวิธีการเข้าถึงพนักงานด้วยการหาวิธีการใหม่ ๆ ที่จะทำให้พวกเขารู้สึกถึงความเสี่ยงทางไซเบอร์อย่างเป็นรูปธรรมมากพอ เพื่อเลี่ยงพฤติกรรมที่เป็นอันตราย นอกเหนือจากการลงโทษทางตรง โดยปรับไปใช้กลไกเชิงวัฒนธรรมแทน อาทิ เพิ่มแรงกดดันจากเพื่อนร่วมงานในการบีบบังคับ
ตัวอย่างที่น่าสนใจที่สหรัฐฯ ใช้ในช่วงสงครามโลกครั้งที่สองกับแคมเปญ "ปากพล่อย พลอยล่มจม” (Loose Lips Sink Ships) ที่กลายเป็นสโลแกนที่มีประสิทธิภาพมากโดยสะท้อนแนวคิดว่าแม้แต่การเปิดเผยข้อมูลเล็กน้อยที่ดูเหมือนไม่สำคัญก็อาจนำไปสู่ความเสียหายใหญ่หลวงได้ เพราะเชื่อมโยงระหว่างการกระทำและผลลัพธ์เข้าไว้ด้วยกัน ในช่วงเวลาที่ผลลัพธ์เหล่านั้นอาจเกิดขึ้นกับตัวเอง คนที่เรารักอาจอยู่บนเรือลำนั้น
ลองเปรียบเทียบกับองค์กรในปัจจุบัน คุณจะออกแบบโปรแกรมพฤติกรรมและวัฒนธรรมด้านความปลอดภัยที่มีประสิทธิภาพได้อย่างไร?
องค์กรต้องทำให้การละเมิดนโยบายความปลอดภัยเป็นเรื่องของ "ความไม่ภักดีต่อองค์กร" โดยเน้นย้ำถึงผลลัพธ์ที่ตามมาส่วนบุคคลของความเสี่ยงทางไซเบอร์ ซึ่งวิธีที่ดีที่สุดเพื่อบรรลุเป้าหมายนี้คือการใช้ภาพที่ทรงพลังและการสื่อสารด้วยประโยคสั้น ๆ ที่ส่งผลกระทบสูง หรือใช้ทั้งสองอย่างเพื่อกระตุ้นให้เกิดการตอบสนองทางอารมณ์
การส่งข้อความจำเป็นต้องให้เห็นประจักษ์เท่าที่จะเป็นไปได้ ไม่ว่าจะใช้โปสเตอร์ โฆษณาในจดหมายข่าวถึงพนักงานหรือเว็บพอร์ทัลต่าง ๆ รวมทั้งการให้ผู้นำอาวุโสพูดคุยถึงความสำคัญของค่านิยมเหล่านี้ที่มีต่อบริษัท
จับการกระทำไว้ด้วยกันอย่างใกล้ชิดกับผลกระทบ
มนุษย์มีแรงจูงใจตามธรรมชาติในการมองหาโอกาสและเลี่ยงอันตราย ทำให้ผลกระทบ เชิงบวกหรือเชิงลบของการตัดสินใจด้านความปลอดภัยทางไซเบอร์ชัดเจนและเป็นเรื่องส่วนตัว ดังนั้นเราควรเน้นที่ผลกระทบมากกว่าผลที่ตามมาเพราะมันเปิดโอกาสให้มีการสื่อสารในเชิงบวก
การเน้นย้ำผลกระทบเชิงบวกและหา Role Models จะเปลี่ยนทัศนคติทางด้านวัฒนธรรมได้อย่างมาก การยกตัวอย่างจริงของคนจะช่วยให้เข้าใจคำแนะนำที่ชัดเจนแก่คนอื่น ๆ และทำให้พวกเขาเห็นแบบอย่างด้านความปลอดภัยทางไซเบอร์มากยิ่งขึ้น
ต่อยอดค่านิยมที่มีอยู่เดิมในองค์กร
การปลูกฝังหรือเปลี่ยนความเชื่อในองค์กรเป็นเรื่องง่ายขึ้นเมื่อเชื่อมโยงกับสิ่งที่ผู้คนเชื่ออยู่แล้ว ซึ่งความปลอดภัยมักเป็นค่านิยมหลักขององค์กรในภาคพลังงานและภาคสาธารณูปโภค เช่นเดียวกับความมั่นคงทางการเงินในธนาคารและประกันภัย หรือคุณภาพในการผลิต ดังนั้นควรเชื่อมโยงค่านิยมเหล่านี้เข้ากับความปลอดภัยทางไซเบอร์อย่างชัดเจนและใช้เป็นตัวขยายผลกระทบทางวัฒนธรรมของการสื่อสาร
การเปลี่ยนแปลงทางวัฒนธรรมต้องใช้ความตั้งใจและความพยายาม เช่นเดียวกับที่ความปลอดภัยทางไซเบอร์ที่ไม่สามารถคาดหวังให้ "ความตระหนักรู้" ทำงานแทนเราได้ เราไม่สามารถประกาศ "ความปลอดภัย" เพียงอย่างเดียวได้เพราะการเชื่อมโยงของเรื่องนี้ต้องถูกสร้างขึ้นเพื่อพนักงาน
ขยายผลที่ตามมาด้วยแรงกดดันทางสังคม
พิจารณาการสื่อสารที่เพิ่มแรงกดดันทางสังคมที่มีอยู่เพื่อไม่ให้ก่อความเสียหายแก่ผู้อื่น วิธีนี้ใช้ได้ผลดีในสภาพแวดล้อมที่มีความเสี่ยงสูง เช่น ธนาคาร หรือในสภาพแวดล้อมที่มีวัฒนธรรมความปลอดภัยทางกายภาพเป็นบรรทัดฐาน (เช่น โรงพยาบาล โรงงาน หรือเหมืองแร่)
ตัวอย่างเช่น ธนาคารในออสเตรเลียที่ทำให้การละเมิดข้อมูลและการรักษาความลับเป็นเคสการเรียนรู้จริงให้แก่พนักงาน โดยอบรมให้พวกเขารู้ว่าคู่สมรสที่ใช้ความรุนแรงในครอบครัวอาจใช้ธนาคารเป็นเครื่องมือเพื่อขอทราบรายละเอียดที่อยู่อาศัยของคู่สมรสที่แยกกันอยู่ที่อาจมีผลร้ายแรงถึงชีวิต
ในสภาพแวดล้อมที่มีความเสี่ยงน้อยเป็นธรรมชาติและมีความตระหนักรู้ทางวัฒนธรรมเกี่ยวกับความปลอดภัยโดยทั่วไป การสื่อสารเกี่ยวกับบุคคลจริง ๆ สามารถสร้างผลกระทบได้อย่างมาก การมุ่งเน้นไปที่ตัวบุคคลที่ทำสิ่งที่ถูกต้องให้เป็นแบบอย่างเป็นวิธีที่มีประสิทธิภาพ และสิ่งนี้เสริมสร้างแรงกดดันทางสังคม รวมทั้งเป็นตัวอย่างให้ผู้อื่นปฏิบัติตาม
ทำให้เป็นเรื่องส่วนบุคคล
ค่านิยมและความเชื่อเกี่ยวกับความเสี่ยงจะเปลี่ยนไปเมื่อคน ๆ นั้นสามารถจินตนาการถึงผลที่จะเกิดขึ้นกับตนเองหรือคนที่พวกเขาห่วงใย การให้ความสำคัญกับข้อความที่เกี่ยวกับภัยคุกคามที่เกิดขึ้นจริงจากการโจรกรรมข้อมูลส่วนบุคคล เป็นตัวอย่างที่ทำให้การรับรู้ถึงผลกระทบง่ายขึ้น ภาพที่สร้างความเห็นอกเห็นใจยังช่วยในการสื่อสารประเภทนี้อีกด้วย
ในทำนองเดียวกัน การแสดงให้เห็นถึงความยุ่งยากของการปฏิบัติตามมาตรการควบคุมความปลอดภัยที่ส่งผลให้เกิดปัญหาต่อผู้อื่น ทำให้มันกลายเป็นเรื่องส่วนตัวและใช้แรงกดดันทางสังคม
ทำให้สนุก
อารมณ์ขันเป็นสิ่งที่จดจำได้ง่าย แม้ว่าการเชื่อมโยงผลลัพธ์ของความเสี่ยงในรูปแบบที่ตลกขบขันอาจเป็นเรื่องท้าทาย แต่เมื่อทำได้ดีแล้ว มันสามารถสร้างความประทับใจได้
ตัวอย่างเช่น โรงเรียนเอกชนในออสเตรเลียได้นำความกลัวแบบดั้งเดิมที่ว่าพฤติกรรมการฝ่าฝืนกฎจะส่งผลเสียต่อนักเรียนในระยะยาวมาใช้ โดยสร้างโปสเตอร์ของนักเรียนในชุดเครื่องแบบ พร้อมกล่องอาหารกลางวันและกองใบแจ้งหนี้บัตรเครดิต พร้อมสโลแกนว่า "การโจรกรรมข้อมูลส่วนบุคคลจะอยู่ในประวัติของคุณอย่างถาวร"
การสื่อสารที่ดีและมีผลกระทบมากที่สุดเชื่อมโยงกับผลที่ตามมา ขยายผลด้วยแรงกดดันทางสังคม ต่อยอดจากความเชื่อและค่านิยมที่มีอยู่เดิม เพิ่มความเกี่ยวข้องกับตัวบุคคล และสนุก หากการสื่อสารกับพนักงานสามารถตอบโจทย์ทั้งหมดนี้ได้ องค์กรจะประสบความสำเร็จยิ่งขึ้นในการเปลี่ยนแปลงพฤติกรรมเป็นอันตรายต่าง ๆ เหล่านั้น
เกี่ยวกับผู้เขียน
Leigh McMullen รองประธานอาวุโส นักวิเคราะห์ และ Gartner Fellow ที่การ์ทเนอร์ ให้ความสำคัญด้านความเป็นผู้นำและกลยุทธ์ด้านความปลอดภัยทางไซเบอร์
เกี่ยวกับการ์ทเนอร์
บริษัท การ์ทเนอร์ (Gartner, Inc.) (NYSE: IT) คือบริษัทวิจัยและให้คำปรึกษาชั้นนำของโลก มอบข้อมูลเชิงลึก คำแนะนำ และเครื่องมือต่าง ๆ แก่ผู้บริหารองค์กรธุรกิจ เพื่อรองรับการดำเนินภารกิจสำคัญที่มีอยู่ในปัจจุบันและสร้างองค์กรให้ประสบความสำเร็จในอนาคต ดูข้อมูลเพิ่มเติมเกี่ยวกับแนวทางของการ์ทเนอร์ในการช่วยให้ผู้บริหารตัดสินใจอย่างถูกต้องเพื่อขับเคลื่อนอนาคตของธุรกิจได้ที่ gartner.com
How to get employees to take cyber risk more seriously
distinguished VP, analyst & Gartner Fellow at Gartner
Security has long focused on making employees aware of cyber risks and mitigating actions to take, yet this approach hasn’t been particularly effective in stopping dangerous behaviours.
According to a Gartner survey, 93% of employees knowingly carry out actions that increase risk to the organisation. In addition, 74% of employees would violate a cybersecurity policy to achieve a business objective.
It’s not that employees are malicious or careless; they’ve simply become used to bypassing controls like any other daily work expediency to finish activities faster and with minimal effort. One of the top three reasons cited by individuals for these types of behaviours is a lack of consequences.
This problem needs to be attacked culturally and by changing values. Security leaders must adapt how they’re reaching employees by finding new ways to make cyber risk feel real enough for them to avoid dangerous behaviours, other than direct punishment. Leveraging cultural levers like peer pressure is useful in enforcing it.
A great example is the famous “loose lips sink ships” campaign the US used during World War II. It became a very effective slogan that made war gossip unpatriotic because it tied action and consequence together, at a time when those consequences could be very personal: a loved one could be on that ship.
Contrast this with organisations today. How do you create a security behaviour and culture program that’s just as effective?
Organisations need to make violating security policies “unpatriotic” by highlighting the personal consequences of cyber risk. The best way to achieve this is to use powerful imagery and deliver a high-impact sentence or two in communications that evokes an emotional response.
Messaging also needs to remain as visible as possible — posters; ads in employee newsletters or portals; or having senior leaders discuss why a given set of values are important to the company.
Tie actions closely to impacts
Humans are naturally motivated to seek opportunity and avoid danger. Make the impacts – positive or negative – of cybersecurity decisions clear and personal. Focus on impact rather than consequences because it opens up the possibility of positive communications.
Highlighting positive impacts and role models will go far in changing cultural attitudes. Adding a real-person example also serves as a clear instruction to others and showcases them even more as a cybersecurity role model.
Springboard off existing corporate values
It’s easier to cultivate or change a belief when it's tied to things people already believe. Safety is often a core corporate value in energy and utilities sectors, just as financial security is in banking and insurance, or quality is in manufacturing. Tie these values unequivocally to cybersecurity and use them to amplify the cultural impact of messaging.
Changing culture takes intention and work. Much like how cybersecurity can’t expect “awareness” to do the work for us, we can’t simply proclaim “safety.” The connection needs to be made for the workforce.
Amplify consequences with perceived social pressure
Consider communications that play on built-in social pressure not to cause harm to others. This works well in high-risk environments like banks, or in environments where a physical safety culture is already the norm (e.g., hospitals, manufacturing or mining).
An Australian bank, for example, made data and confidentiality breaches real for its people by training employees that abusive domestic partners could use the bank to get the residential details of an estranged partner with potentially lethal consequences.
In environments with less inherent risk and built-in cultural awareness of safety in general, making the messages about a real person can have great impact. Highlighting the people who do the right thing as role models is effective. This reinforces the social pressure, as well as sets an example for others to follow.
Make it personal
Values and beliefs around risk change when the person can imagine the consequences happening to them or someone they care about. Focusing messaging on the very real threat that identity theft poses to all, for example, makes internalising the consequences easier. Empathetic imagery also helps in these kinds of messages.
Similarly, playing off the hassle of complying with security controls demonstrates how it leads to problems for others, makes it personal and applies social pressure.
Make it fun
Humour is inherently memorable. Though it can be challenging to connect risk outcomes in a humorous way, it can leave a lasting impression when done well.
An Australian private school, for example, played on the old age fear that rule-breaking behaviours will have lasting damage for students, creating a poster of a student in uniform, with lunchbox and a stack of credit card bills, with the slogan: “Identity theft will stay on your permanent record.”
The best and most impactful messaging connects consequences, amplifies them with social pressure, springboards off existing beliefs and values, is personally relatable, and ideally fun. If all of these boxes can be ticked in communications with employees, organisations will be more successful in changing dangerous behaviours.
About the author
Leigh McMullen is a distinguished VP, analyst & Gartner Fellow at Gartner, focused on cybersecurity leadership and strategy.
About Gartner
Gartner, Inc. (NYSE: IT) delivers actionable, objective insight that drives smarter decisions and stronger performance on an organization’s mission-critical priorities. To learn more, visit gartner.com
ไม่มีความคิดเห็น:
แสดงความคิดเห็น