‘การ์ทเนอร์’ แนะกลยุทธ์องค์กร ปลุกสำนึก ‘ความเสี่ยงไซเบอร์’

ลีห์ แมคมัลเลน รองประธาน นักวิเคราะห์และ Fellow การ์ทเนอร์ เผยว่า เพื่อให้บรรลุเป้าหมายทางธุรกิจพนักงานถึง 74% ยอมละเมิดนโยบายความปลอดภัยทางไซเบอร์

แต่นั่นไม่ได้หมายความว่าพนักงานมีเจตนาร้ายหรือไม่สนใจในความปลอดภัย เพียงแต่พวกเขาคุ้นชินกับการเลี่ยงมาตรการควบคุมเหมือนกับหาทางลัดในการทำงานประจำวันให้เสร็จไวขึ้นโดยออกแรงน้อยที่สุด 

โดยหนึ่งในสามเหตุผลสำคัญที่แต่ละคนพูดถึงพฤติกรรมประเภทนี้คือ “การขาดสำนึกถึงผลลัพธ์ที่ตามมา” และปัญหานี้จำเป็นต้องแก้ไขในเชิงวัฒนธรรมและการเปลี่ยนแปลงค่านิยมในองค์กร 

ขณะเดียวกัน ผู้บริหารด้านความปลอดภัยต้องปรับวิธีการเข้าถึงพนักงานด้วยการหาวิธีการใหม่ๆ ที่จะทำให้พวกเขารู้สึกถึงความเสี่ยงทางไซเบอร์อย่างเป็นรูปธรรมมากพอ

เพิ่มแรงกดดันเชิง ‘วัฒนธรรม’

เพื่อเลี่ยงพฤติกรรมที่เป็นอันตราย นอกเหนือจากการลงโทษทางตรง โดยปรับไปใช้ “กลไกเชิงวัฒนธรรม” แทน อาทิ เพิ่มแรงกดดันจากเพื่อนร่วมงานในการบีบบังคับ

ตัวอย่างที่น่าสนใจที่สหรัฐใช้ในช่วงสงครามโลกครั้งที่สองกับแคมเปญ "ปากพล่อย พลอยล่มจม” (Loose Lips Sink Ships) ที่กลายเป็นสโลแกนที่มีประสิทธิภาพมากโดยสะท้อนแนวคิดว่าแม้แต่การเปิดเผยข้อมูลเล็กน้อยที่ดูเหมือนไม่สำคัญก็อาจนำไปสู่ความเสียหายใหญ่หลวงได้

เกิดคำถามคือแล้วองค์กรปัจจุบันจะออกแบบ “โปรแกรมพฤติกรรมและวัฒนธรรมด้านความปลอดภัย” ที่มีประสิทธิภาพได้อย่างไร?

ประเด็นนี้ องค์กรต้องทำให้การละเมิดนโยบายความปลอดภัยเป็นเรื่องของ "ความไม่ภักดีต่อองค์กร" โดยเน้นย้ำถึงผลลัพธ์ที่ตามมาส่วนบุคคลของความเสี่ยงทางไซเบอร์ ซึ่งวิธีที่ดีที่สุดเพื่อบรรลุเป้าหมายนี้คือการใช้ภาพที่ทรงพลังและการสื่อสารด้วยประโยคสั้นๆ ที่ส่งผลกระทบสูง หรือใช้ทั้งสองอย่างเพื่อกระตุ้นให้เกิดการตอบสนองทางอารมณ์

ส่วนของการส่งข้อความจำเป็นต้องให้เห็นประจักษ์เท่าที่จะเป็นไปได้ ไม่ว่าจะใช้โปสเตอร์ โฆษณาในจดหมายข่าวถึงพนักงานหรือเว็บพอร์ทัลต่างๆ รวมทั้งการให้ผู้นำอาวุโสพูดคุยถึงความสำคัญของค่านิยมเหล่านี้ที่มีต่อบริษัท

‘ความตระหนักรู้’ เกิดเองไม่ได้

จับการกระทำไว้ด้วยกันอย่างใกล้ชิดกับผลกระทบ : มนุษย์มีแรงจูงใจตามธรรมชาติในการมองหาโอกาสและเลี่ยงอันตราย ทำให้ผลกระทบ เชิงบวกหรือเชิงลบของการตัดสินใจด้านความปลอดภัยทางไซเบอร์ชัดเจนและเป็นเรื่องส่วนตัว ดังนั้นเราควรเน้นที่ผลกระทบมากกว่าผลที่ตามมาเพราะมันเปิดโอกาสให้มีการสื่อสารในเชิงบวก

การเน้นย้ำผลกระทบเชิงบวกและหา Role Models จะเปลี่ยนทัศนคติทางด้านวัฒนธรรมได้อย่างมาก การยกตัวอย่างจริงของคนจะช่วยให้เข้าใจคำแนะนำที่ชัดเจนแก่คนอื่นๆ และทำให้พวกเขาเห็นแบบอย่างด้านความปลอดภัยทางไซเบอร์มากยิ่งขึ้น

ต่อยอดค่านิยมที่มีอยู่เดิมในองค์กร : การปลูกฝังหรือเปลี่ยนความเชื่อในองค์กรเป็นเรื่องง่ายขึ้นเมื่อเชื่อมโยงกับสิ่งที่ผู้คนเชื่ออยู่แล้ว ซึ่งความปลอดภัยมักเป็นค่านิยมหลักขององค์กรในภาคพลังงานและภาคสาธารณูปโภค เช่นเดียวกับความมั่นคงทางการเงินในธนาคารและประกันภัย หรือคุณภาพในการผลิต

ดังนั้นควรเชื่อมโยงค่านิยมเหล่านี้เข้ากับความปลอดภัยทางไซเบอร์อย่างชัดเจนและใช้เป็นตัวขยายผลกระทบทางวัฒนธรรมของการสื่อสาร

การเปลี่ยนแปลงทางวัฒนธรรมต้องใช้ความตั้งใจและความพยายาม เช่นเดียวกับที่ความปลอดภัยทางไซเบอร์ที่ไม่สามารถคาดหวังให้ "ความตระหนักรู้" ทำงานแทนได้

ขยายผลสู่ ‘แรงกดดันทางสังคม’

ขยายผลที่ตามมาด้วยแรงกดดันทางสังคม : พิจารณาการสื่อสารที่เพิ่มแรงกดดันทางสังคมที่มีอยู่เพื่อไม่ให้ก่อความเสียหายแก่ผู้อื่น วิธีนี้ใช้ได้ผลดีในสภาพแวดล้อมที่มีความเสี่ยงสูง เช่น ธนาคาร หรือในสภาพแวดล้อมที่มีวัฒนธรรมความปลอดภัยทางกายภาพเป็นบรรทัดฐาน เช่น โรงพยาบาล โรงงาน หรือเหมืองแร่

ทำให้เป็นเรื่องส่วนบุคคล : ค่านิยมและความเชื่อเกี่ยวกับความเสี่ยงจะเปลี่ยนไปเมื่อคนๆ นั้นสามารถจินตนาการถึงผลที่จะเกิดขึ้นกับตนเองหรือคนที่พวกเขาห่วงใย การให้ความสำคัญกับข้อความที่เกี่ยวกับภัยคุกคามที่เกิดขึ้นจริงจากการโจรกรรมข้อมูลส่วนบุคคล เป็นตัวอย่างที่ทำให้การรับรู้ถึงผลกระทบง่ายขึ้น ภาพที่สร้างความเห็นอกเห็นใจยังช่วยในการสื่อสารประเภทนี้อีกด้วย

ในทำนองเดียวกัน การแสดงให้เห็นถึงความยุ่งยากของการปฏิบัติตามมาตรการควบคุมความปลอดภัยที่ส่งผลให้เกิดปัญหาต่อผู้อื่น ทำให้มันกลายเป็นเรื่องส่วนตัวและใช้แรงกดดันทางสังคม

ทำให้สนุก  : อารมณ์ขันเป็นสิ่งที่จดจำได้ง่าย แม้ว่าการเชื่อมโยงผลลัพธ์ของความเสี่ยงในรูปแบบที่ตลกขบขันอาจเป็นเรื่องท้าทาย แต่เมื่อทำได้ดีแล้ว มันสามารถสร้างความประทับใจได้

การสื่อสารที่ดีและมีผลกระทบมากที่สุด เชื่อมโยงกับผลที่ตามมา ขยายผลด้วยแรงกดดันทางสังคม ต่อยอดจากความเชื่อและค่านิยมที่มีอยู่เดิม เพิ่มความเกี่ยวข้องกับตัวบุคคล และสนุก หากการสื่อสารกับพนักงานสามารถตอบโจทย์ทั้งหมดนี้ได้ องค์กรจะประสบความสำเร็จยิ่งขึ้นในการเปลี่ยนแปลงพฤติกรรมต่างๆ ที่เป็นอันตราย