Security Awareness Program
หลักการและเหตุผล
ในปัจจุบันเทคโนโลยีได้เข้ามามีบทบาทต่าง ๆ ในชีวิตประจำวันของมนุษย์เป็นอย่างมาก ซึ่งนั้นทำให้ภัยคุกคามทางเทคโนโลยีก็เพิ่มมากขึ้นเช่นกัน ดังนั้นองค์กรจึงต้องรับมือต่อภัยคุกคามเหล่านั้นอย่างมีประสิทธิ์ภาพและเป็นรูปธรรม ซึ่งการฝึกอบรมเพื่อสร้างความตระหนักด้านความปลอดภัยทางไซเบอร์ (Security Awareness) นั้นเป็นส่วนหนึ่งในการป้องกันความเสี่ยงขององค์กรในมิติของผู้ใช้คอมพิวเตอร์ในการปฏิบัติในระดับต่าง ๆ ในองค์กรซึ่งอาจจะถูกโจมตีและทำให้องค์กรได้รับความเสียงหายในรูปแบบต่าง ๆ เช่นผลกระทบด้านการเงินหรือชื่อเสียง เป็นต้นฯ
ดังนั้นเพื่อให้การดำเนินการฝึกอบรมความตระหนักด้านความปลอดภัยทางไซเบอร์เกิดประสิทธิ์ภาพและวัดผลได้ทางบริษัท SOSECURE จะได้นำเสนอการซ้อมรับมือการโจมตีทางไซเบอร์ (Cyber Drill) ซึ่งเป็นการจำลองเหตุการณ์เสมือนถูกโจมตีด้วยเทคนิคต่าง ๆ ที่สามารถเกิดขึ้นได้กับผู้งานงานระดับต่าง ๆ และวัดผลระดับความตระหนักของกลุ่มเป้าหมายซึ่งทางบริษัท SOSECURE จะทำการเก็บข้อมูลในสถานะต่าง ๆ และจัดทำผลสรุปให้แก่ผู้บริหารซึ่งสามารถเป็นตัวชี้วัดผลในการจัดฝึกอบรมและระดับความในหนักด้านความปลอดภัยทางไซเบอร์ได้
รูปแบบการให้บริการ
ทางบริษัท SOSECURE จะดำเนินการตามแนวทางตามรูปที่ 1 โดยจะมีการจัดฝึกอบรม Cybersecurity Awareness Training เพื่อให้ผู้เรียนได้ความรู้และแนวปฏิบัติต่าง ๆ จากหลักสูตรจากนั้นทางบริษัท SOSECURE ก็จะทำการจำลองสถานะการณ์และโจมตีกลุ่มเป้าหมายโดยไม่ให้กลุ่มเป้าหมายรู้ตัวและจะทำการเก็บข้อมูลเพื่อทำผลสรุปต่อไป และนำผลการซ้อมมาปรับปรุงและพัฒนาทักษะด้านความตระหนักความปลอดภัยทางไซเบอร์ต่อไป
รูปที่ 1 แนวทางการดำเนินงาน Cybersecurity Awareness Training Program
หัวข้อในการฝึกอบรมความตระหนักความปลอดภัยทางไซเบอร์มีดังนี้
- Information Technology in Daily Life
- Cybersecurity Threat and Trend
- Cybersecurity Law and Regulators
- Thailand’s Computer-related Crime Act 2017
- The Personal Data Protection Law
- Payment Card Industry Data Security Standard
- ISO 27001:2013
- Organization Security Policies
- Cybersecurity Threat
- Identity Theft Techniques
- Privacy Breach
- Social Engineering Threat
- Hacking Techniques
- Smartphone Threat
- Malware Threat
- Wireless Threat
- Social Networking Threat
- Spy Gadget and Tracking Devices
- Internet of Things Threat
- Cybersecurity Threat Countermeasure
- Securing your Personal / Corporate Computer
- Securing your Identity
- Securing Mobile/Smartphone
- Securing Personal Data
- Securing Internet Usage
- Aware of Social Engineering Techniques
- How to response when account/Computer was hacked
และในการดำเนินการซ้อมทางบริษัท SOSECURE จะมีวิธีการดำเนินการในรายละเอียดตามรูปที่ 2 ซึ่งจะประกอบไปด้วย 4 ขั้นตอน
รูปที่ 2 ขั้นตอนการดำเนินงาน
- Planning
เป็นขั้นตอนที่ทางบริษัท SOSECURE จะเข้าไปวางแผนและเลือกเหตุการณ์ที่จะนำไปซ้อมกับกลุ่มเป้าหมายและกำหนดการณ์ต่าง ๆ ในโครงการรวมไปถึงการเซ็นสัญญารักษาความลับและหนังสือยินยอมการซ้อมให้กับทางบริษัท
- Implementation
ทางบริษัทจะดำเนินการติดตั้งและดำเนินการฝึกอบรมและจำลองสถานการณ์ต่าง ๆ เพื่อให้ไม่มีผลกระทบต่อระบบของลูกค้าและวิธีการวัดผลต่าง ๆ
- Drill and Exercise
ทำการสร้างสถานการณ์ตามกำหนดการณ์ที่วางแผนไว้และเก็บข้อมูลต่าง ๆ ที่ใช้ในการทำรายงาน
- Report
นำข้อมูลที่ได้จากการจำลองสถานการณ์ทีทำผลสรุปและนำเสนอและออกรายงานตามวัตถุประสงค์ของโครงการ
และทางบริษัท SOSECURE สามารถสร้างเหตุการณ์จำลองได้ตามรูปที่ 3 ซึ่งเป็นภัยคุกคามที่มีความเกี่ยวข้องกับผู้ใช้งานระบบคอมพิวเตอร์