Security Awareness#

• เป้าหมาย: behavior change ระยะสั้น
• กลุ่มเป้าหมาย: ทุกคน
• คำถามตอบ: “อะไร” — อะไรคือ phishing, อะไรคือ password ที่ดี
• ระยะเวลา: short, frequent, repetitive
• ตัวอย่าง: poster, email tip ประจำเดือน, simulated phishing

Security Training#

• เป้าหมาย: ทักษะที่ใช้งานจริง
• กลุ่มเป้าหมาย: role-specific (system admin, developer, HR)
• คำถามตอบ: “ยังไง” — ทำยังไงในสถานการณ์นั้นๆ
• ระยะเวลา: intermediate length, focused
• ตัวอย่าง: secure coding workshop, incident response drill

Security Education#

• เป้าหมาย: ความเชี่ยวชาญลึก
• กลุ่มเป้าหมาย: security professionals
• คำถามตอบ: “ทำไม” — เข้าใจ root cause และ underlying principles
• ระยะเวลา: long-term, comprehensive
• ตัวอย่าง: ปริญญา cybersecurity, CISA, CISSP certification

ในมุมบ้านดิจิทัล#

• ป้ายเตือน “ระวังไฟ” = awareness
• คู่มือวิธีใช้เครื่องดับเพลิง = training
• หลักสูตรวิศวกรดับเพลิง = education

ข้อสอบ trap: “IT security engineer ที่เรียน threat hunting — ระดับไหน?”

หลอก: Awareness จริง: Education — ทักษะลึกของ security professional

Tone From the Top#

ผมเคยทำงานในบริษัทที่ผู้บริหารพูดเรื่อง security ทุกวันแต่ไม่เคยเข้า training session — พนักงานเห็นแบบนี้และรู้สึกทันทีว่า “ผู้บริหารไม่ได้เอาจริง” — security culture ไม่เกิด

อีกบริษัท CEO เข้าทุก training session นั่งฟังตั้งแต่ต้นจนจบ ตอบ phishing simulation อย่างจริงจัง — security culture เกิดเองโดยไม่ต้องบังคับ

หลักของ ISACA: Tone from the top — ถ้าผู้บริหารไม่เป็นแบบอย่าง training ทุกแบบที่ออกแบบเสียเปล่า

ข้อสอบ trap: “ผู้บริหารไม่เข้า security training session — finding ของ auditor?”

หลอก: minor administrative issue จริง: Significant control weakness — ขาด executive example บั่นทอนทั้งโครงการ

Security Culture = บรรยากาศในบ้าน#

ในมุมบ้าน — บ้านที่ทุกคนล็อคประตูเป็น habit ไม่ใช่ rule — ตำรวจไม่ต้องมาตรวจทุกวัน

Security culture ทำงานแบบเดียวกัน — เมื่อ “ระวัง” กลายเป็น default behavior ของพนักงานทุกคน — controls ทำงานได้โดยไม่ต้องบังคับ

เงื่อนไขที่ทำให้ culture เกิด:

• Executive buy-in (visible)
• Business goal alignment — security = enable business ไม่ใช่ขัดขวาง
• Clear responsibilities — ทุกคนรู้ว่าของตัวเองคืออะไร
• Penalty for non-compliance — มีจริง ไม่ใช่แค่ในกระดาษ
• Recognition — คนที่รายงาน suspicious activity ได้รับ credit

ปัญหา: Training เดียวกันสำหรับทุกคน#

หลายบริษัท deploy security training แบบเดียวให้ทุกคน — CEO, accountant, แม่บ้าน, system admin — เนื้อหาเดียวกัน นาน 30 นาที ปีละครั้ง

ผลคือ:

• CEO เบื่อ (เนื้อหาง่ายไป)
• System admin เบื่อ (ตื้นไป)
• แม่บ้านงง (เทคนิคไป)
• Accountant อาจได้ประโยชน์ — แต่ก็ไม่เพียงพอกับ social engineering ที่ตัวเองเจอ

นี่ไม่ใช่ training — นี่คือ checkbox compliance

Target Groups#

CRM แนะนำกลุ่มเป้าหมาย:

• Executive management — strategic awareness, business risk perspective
• IS security personnel — technical education ระดับลึก
• System administrators — in-depth technical + policy
• System users — awareness + social engineering + reporting procedures
• Operational staff — high social engineering risk (call center, reception, helpdesk)

แต่ละกลุ่มเจอภัยต่างกัน — training ต้องต่างกัน

Operational Staff = High Risk Group#

Helpdesk, reception, call center — กลุ่มเหล่านี้รับโทรศัพท์ทุกวันจาก “พนักงานที่ลืม password” หรือ “vendor ที่ต้องการเข้าระบบด่วน”

ทุก call เป็น opportunity ของ social engineering — กลุ่มนี้ต้อง training เข้มข้นกว่ากลุ่มอื่นมาก

ขั้นตอน Implementation#

CRM แนะนำขั้นตอน:

1. Define scope
2. Select trainers
3. Identify target audience
4. Motivate management + employees
5. Administer
6. Maintain
7. Evaluate

ขั้นที่หลายองค์กรพลาดสุดคือ maintain และ evaluate — deploy ครั้งเดียวแล้วถือว่าจบ

Simulated Phishing — ซ้อมหนีไฟ#

วิธีวัดผลที่ดีที่สุด — simulated phishing campaign

วิธีทำ:

1. ส่ง phishing email จำลองให้พนักงาน (ที่บริษัทออกแบบเอง)
2. วัดอัตราคนคลิก / คนกรอก credential / คนรายงาน
3. ส่งคนที่คลิกเข้า training ทันที (immediate feedback)
4. รัน campaign ใหม่ — วัดอัตราที่เปลี่ยนไป
5. ทำต่อเนื่องเป็นรอบ

ในมุมบ้าน — เหมือนซ้อมหนีไฟด้วยการกดสัญญาณเตือนจริงๆ — เพื่อเห็นว่าคนตอบสนองยังไง และเรียนรู้จากที่ผิดพลาด ก่อนเหตุจริง

Behavior Change Measurement#

หลักของ auditor — training program ต้องวัดผลที่ behavior change ไม่ใช่แค่ “completion rate”

Metric ที่ดี:

• อัตราคน click phishing simulation (ลดลงตามเวลา)
• อัตราคนรายงาน suspicious email (สูงขึ้นตามเวลา)
• จำนวน security incident จากพฤติกรรมพนักงาน
• Compliance rate ของ password change, software update

Metric ที่ไม่ดี (แต่หลายบริษัทใช้):

• จำนวนคนที่ “เสร็จ” training
• คะแนนสอบ multiple choice หลัง training
• จำนวนชั่วโมง training ต่อคน

ข้อสอบ trap: “องค์กรมี annual 30-min online security training — auditor concern?”

หลอก: ระยะเวลาสั้นไป จริง: ไม่มี evidence ของ behavior change measurement — checkbox training ≠ effective control

อีก trap: “Training วัดผลด้วย multiple-choice quiz เท่านั้น — limitation?”

หลอก: quiz ง่ายไป จริง: วัด knowledge retention ไม่ได้วัด actual behavior change

ข้อกำหนด PDPA#

PDPA (Personal Data Protection Act) ของไทย กำหนดว่า:

• พนักงานที่จัดการข้อมูลส่วนบุคคลต้องเข้าใจหน้าที่ของตัวเอง
• องค์กรต้องมี evidence ของ training

“เคย train ครั้งเดียวปี 2022” ไม่ใช่ defensible position ในการสอบสวน PDPA

Compliance + Effective ต่างกัน#

Compliance training:

• มีเอกสารว่า train แล้ว
• ผ่านได้

Effective training:

• เปลี่ยนพฤติกรรมจริง
• ลด incident จริง

ทั้งสองอย่างต้องมี — แต่ compliance ไม่เพียงพอ