Security Awareness#

• เป้าหมาย: behavior change ระยะสั้น
• กลุ่มเป้าหมาย: ทุกคน
• คำถามตอบ: “อะไร” — อะไรคือ phishing, อะไรคือ password ที่ดี
• ระยะเวลา: short, frequent, repetitive
• ตัวอย่าง: poster, email tip ประจำเดือน, simulated phishing

Security Training#

• เป้าหมาย: ทักษะที่ใช้งานจริง
• กลุ่มเป้าหมาย: role-specific (system admin, developer, HR)
• คำถามตอบ: “ยังไง” — ทำยังไงในสถานการณ์นั้นๆ
• ระยะเวลา: intermediate length, focused
• ตัวอย่าง: secure coding workshop, incident response drill

Security Education#

• เป้าหมาย: ความเชี่ยวชาญลึก
• กลุ่มเป้าหมาย: security professionals
• คำถามตอบ: “ทำไม” — เข้าใจ root cause และ underlying principles
• ระยะเวลา: long-term, comprehensive
• ตัวอย่าง: ปริญญา cybersecurity, CISA, CISSP certification

ในมุมบ้านดิจิทัล#

• ป้ายเตือน “ระวังไฟ” = awareness
• คู่มือวิธีใช้เครื่องดับเพลิง = training
• หลักสูตรวิศวกรดับเพลิง = education

ข้อสอบ trap: “IT security engineer ที่เรียน threat hunting — ระดับไหน?”

หลอก: Awareness จริง: Education ทักษะลึกของ security professional

Tone From the Top#

เคยทำงานในบริษัทที่ผู้บริหารพูดเรื่อง security ทุกวัน แต่ไม่เคยเข้า training session เลย พนักงานเห็นแบบนี้แล้วรู้สึกทันทีว่า “ผู้บริหารไม่ได้เอาจริงนี่หว่า” security culture ไม่เกิดแน่นอน

อีกบริษัทนึง CEO เข้าทุก training session นั่งฟังตั้งแต่ต้นจนจบ ตอบ phishing simulation อย่างจริงจัง security culture เกิดเองโดยไม่ต้องบังคับเลย

หลักของ ISACA: Tone from the top ถ้าผู้บริหารไม่เป็นแบบอย่าง training ทุกแบบที่ออกแบบมาก็เสียเปล่า

ข้อสอบ trap: “ผู้บริหารไม่เข้า security training session — finding ของ auditor?”

หลอก: minor administrative issue จริง: Significant control weakness ขาด executive example บั่นทอนทั้งโครงการ

Security Culture = บรรยากาศในบ้าน#

ในมุมบ้าน บ้านที่ทุกคนล็อคประตูเป็น habit ไม่ใช่ rule ตำรวจไม่ต้องมาตรวจทุกวันก็ปลอดภัย

Security culture ทำงานแบบเดียวกัน เมื่อ “ระวัง” กลายเป็น default behavior ของพนักงานทุกคน controls ทำงานได้โดยไม่ต้องบังคับ

เงื่อนไขที่ทำให้ culture เกิด:

• Executive buy-in (visible)
• Business goal alignment — security = enable business ไม่ใช่ขัดขวาง
• Clear responsibilities — ทุกคนรู้ว่าของตัวเองคืออะไร
• Penalty for non-compliance — มีจริง ไม่ใช่แค่ในกระดาษ
• Recognition — คนที่รายงาน suspicious activity ได้รับ credit

ปัญหา: Training เดียวกันสำหรับทุกคน#

หลายบริษัท deploy security training แบบเดียวให้ทุกคน CEO, accountant, แม่บ้าน, system admin เนื้อหาเดียวกัน นาน 30 นาที ปีละครั้ง

ผลคือ:

• CEO เบื่อ (เนื้อหาง่ายไป)
• System admin เบื่อ (ตื้นไป)
• แม่บ้านงง (เทคนิคไป)
• Accountant อาจได้ประโยชน์ แต่ก็ไม่พอกับ social engineering ที่ตัวเองเจออยู่ทุกวัน

นี่ไม่ใช่ training ครับ นี่คือ checkbox compliance ชัดๆ

Target Groups#

CRM แนะนำกลุ่มเป้าหมาย:

• Executive management — strategic awareness, business risk perspective
• IS security personnel — technical education ระดับลึก
• System administrators — in-depth technical + policy
• System users — awareness + social engineering + reporting procedures
• Operational staff — high social engineering risk (call center, reception, helpdesk)

แต่ละกลุ่มเจอภัยต่างกัน training ต้องต่างกันด้วย

Operational Staff = High Risk Group#

Helpdesk, reception, call center กลุ่มเหล่านี้รับโทรศัพท์ทุกวันจาก “พนักงานที่ลืม password” หรือ “vendor ที่ต้องการเข้าระบบด่วน”

ทุก call เป็น opportunity ของ social engineering กลุ่มนี้ต้อง training เข้มข้นกว่ากลุ่มอื่นเยอะมาก

ขั้นตอน Implementation#

CRM แนะนำขั้นตอน:

1. Define scope
2. Select trainers
3. Identify target audience
4. Motivate management + employees
5. Administer
6. Maintain
7. Evaluate

ขั้นที่หลายองค์กรพลาดสุดคือ maintain และ evaluate deploy ครั้งเดียวแล้วถือว่าจบ

Simulated Phishing — ซ้อมหนีไฟ#

วิธีวัดผลที่ดีที่สุดคือ simulated phishing campaign

วิธีทำ:

1. ส่ง phishing email จำลองให้พนักงาน (ที่บริษัทออกแบบเอง)
2. วัดอัตราคนคลิก / คนกรอก credential / คนรายงาน
3. ส่งคนที่คลิกเข้า training ทันที (immediate feedback)
4. รัน campaign ใหม่ — วัดอัตราที่เปลี่ยนไป
5. ทำต่อเนื่องเป็นรอบ

ในมุมบ้าน เหมือนซ้อมหนีไฟด้วยการกดสัญญาณเตือนจริงๆ เพื่อเห็นว่าคนตอบสนองยังไง แล้วเรียนรู้จากที่ผิดพลาด ก่อนเหตุจริงจะมา

Behavior Change Measurement#

หลักของ auditor: training program ต้องวัดผลที่ behavior change ไม่ใช่แค่ “completion rate”

Metric ที่ดี:

• อัตราคน click phishing simulation (ลดลงตามเวลา)
• อัตราคนรายงาน suspicious email (สูงขึ้นตามเวลา)
• จำนวน security incident จากพฤติกรรมพนักงาน
• Compliance rate ของ password change, software update

Metric ที่ไม่ดี (แต่หลายบริษัทใช้):

• จำนวนคนที่ “เสร็จ” training
• คะแนนสอบ multiple choice หลัง training
• จำนวนชั่วโมง training ต่อคน

ข้อสอบ trap: “องค์กรมี annual 30-min online security training — auditor concern?”

หลอก: ระยะเวลาสั้นไป จริง: ไม่มี evidence ของ behavior change measurement checkbox training ≠ effective control

อีก trap: “Training วัดผลด้วย multiple-choice quiz เท่านั้น — limitation?”

หลอก: quiz ง่ายไป จริง: วัด knowledge retention ไม่ได้วัด actual behavior change

ข้อกำหนด PDPA#

PDPA (Personal Data Protection Act) ของไทย กำหนดว่า:

• พนักงานที่จัดการข้อมูลส่วนบุคคลต้องเข้าใจหน้าที่ของตัวเอง
• องค์กรต้องมี evidence ของ training

“เคย train ครั้งเดียวปี 2022” ไม่ใช่ defensible position ในการสอบสวน PDPA หรอกครับ

Compliance + Effective ต่างกัน#

Compliance training:

• มีเอกสารว่า train แล้ว
• ผ่านได้

Effective training:

• เปลี่ยนพฤติกรรมจริง
• ลด incident จริง

ทั้งสองอย่างต้องมี แต่ compliance อย่างเดียวไม่เพียงพอ