Security Awareness#

• เป้าหมาย: behavior change ระยะสั้น
• กลุ่มเป้าหมาย: ทุกคน
• คำถามตอบ: “อะไร” — อะไรคือ phishing, อะไรคือ password ที่ดี
• ระยะเวลา: short, frequent, repetitive
• ตัวอย่าง: poster, email tip ประจำเดือน, simulated phishing

Security Training#

• เป้าหมาย: ทักษะที่ใช้งานจริง
• กลุ่มเป้าหมาย: role-specific (system admin, developer, HR)
• คำถามตอบ: “ยังไง” — ทำยังไงในสถานการณ์นั้นๆ
• ระยะเวลา: intermediate length, focused
• ตัวอย่าง: secure coding workshop, incident response drill

Security Education#

• เป้าหมาย: ความเชี่ยวชาญลึก
• กลุ่มเป้าหมาย: security professionals
• คำถามตอบ: “ทำไม” — เข้าใจ root cause และ underlying principles
• ระยะเวลา: long-term, comprehensive
• ตัวอย่าง: ปริญญา cybersecurity, CISA, CISSP certification

ในมุมบ้านดิจิทัล#

• ป้ายเตือน “ระวังไฟ” = awareness
• คู่มือวิธีใช้เครื่องดับเพลิง = training
• หลักสูตรวิศวกรดับเพลิง = education

สรุปตาราง 3 ระดับ + วิธีวัดผล#

CRM (Fig 5.54) เพิ่มมิติ testing method ที่เป็น exam-bait คือระดับไหนวัดด้วยวิธีไหน เพราะ method ต้อง match กับ cognitive level ที่ต้องการ:

จุดที่หลายคนพลาดคือเอา training material แต่วัดด้วย True/False quiz แบบนี้ก็แค่วัด awareness ไม่ได้วัดว่า user ทำเป็นจริงไหม method ต้อง match level ครับ

ข้อสอบ trap: “IT security engineer ที่เรียน threat hunting — ระดับไหน?”

• หลอก: Awareness
• จริง: Education ทักษะลึกของ security professional

Tone From the Top#

ลองเทียบ 2 scenario ที่เห็นได้ทั่วไปครับ

บริษัท A — ผู้บริหารพูดเรื่อง security ทุกวันในที่ประชุม แต่ไม่เคยโผล่หน้าเข้า training session เลย พนักงานเห็นแบบนี้ความรู้สึกเดียวที่เกิดคือ “ผู้บริหารไม่ได้เอาจริงนี่หว่า” security culture ไม่เกิดแน่นอน

บริษัท B — CEO เข้าทุก training session นั่งฟังตั้งแต่ต้นจนจบ ตอบ phishing simulation อย่างจริงจัง security culture เกิดเองโดยไม่ต้องบังคับ

หลักของ ISACA: Tone from the top ถ้าผู้บริหารไม่เป็นแบบอย่าง training ทุกแบบที่ออกแบบมาก็เสียเปล่า

ข้อสอบ trap: “ผู้บริหารไม่เข้า security training session — finding ของ auditor?”

• หลอก: minor administrative issue
• จริง: Significant control weakness ขาด executive example บั่นทอนทั้งโครงการ

Security Culture = บรรยากาศในบ้าน#

ในมุมบ้าน บ้านที่ทุกคนล็อคประตูเป็น habit ไม่ใช่ rule ตำรวจไม่ต้องมาตรวจทุกวันก็ปลอดภัย

Security culture ทำงานแบบเดียวกัน เมื่อ “ระวัง” กลายเป็น default behavior ของพนักงานทุกคน controls ทำงานได้โดยไม่ต้องบังคับ

เงื่อนไขที่ทำให้ culture เกิด:

• Executive buy-in (visible)
• Business goal alignment — security = enable business ไม่ใช่ขัดขวาง
• Clear responsibilities — ทุกคนรู้ว่าของตัวเองคืออะไร
• Penalty for non-compliance — มีจริง ไม่ใช่แค่ในกระดาษ
• Recognition — คนที่รายงาน suspicious activity ได้รับ credit

ปัญหา: Training เดียวกันสำหรับทุกคน#

หลายบริษัท deploy security training แบบเดียวให้ทุกคน CEO, accountant, แม่บ้าน, system admin เนื้อหาเดียวกัน นาน 30 นาที ปีละครั้ง

ผลคือ:

• CEO เบื่อ (เนื้อหาง่ายไป)
• System admin เบื่อ (ตื้นไป)
• แม่บ้านงง (เทคนิคไป)
• Accountant อาจได้ประโยชน์ แต่ก็ไม่พอกับ social engineering ที่ตัวเองเจออยู่ทุกวัน

นี่ไม่ใช่ training ครับ นี่คือ checkbox compliance ชัดๆ

Target Groups#

CRM แนะนำกลุ่มเป้าหมาย:

• Executive management — strategic awareness, business risk perspective
• IS security personnel — technical education ระดับลึก
• System administrators — in-depth technical + policy
• System users — awareness + social engineering + reporting procedures
• Operational staff — high social engineering risk (call center, reception, helpdesk)

แต่ละกลุ่มเจอภัยต่างกัน training ต้องต่างกันด้วย

Operational Staff = High Risk Group#

Helpdesk, reception, call center กลุ่มเหล่านี้รับโทรศัพท์ทุกวันจาก “พนักงานที่ลืม password” หรือ “vendor ที่ต้องการเข้าระบบด่วน”

ทุก call เป็น opportunity ของ social engineering กลุ่มนี้ต้อง training เข้มข้นกว่ากลุ่มอื่นเยอะมาก

10 แหล่งข้อมูลที่ใช้ทำ Needs Assessment#

คำถามคือ — แล้วจะรู้ได้ยังไงว่ากลุ่มไหนต้อง train อะไร? CRM ไล่ 10 แหล่งข้อมูลที่ training designer ควรเก็บก่อนวาง curriculum ครับ ถ้าข้ามขั้นนี้ก็คือ “เดา” — แล้ว training จะตอบไม่ตรงปัญหาจริง

จุดที่ exam ออกบ่อยคือ audit findings และ incident analysis — สอง source นี้คือ “หลักฐาน” ว่า training program ปัจจุบันมี gap ตรงไหน ถ้า auditor ถามว่า “needs assessment ใช้ข้อมูลอะไรเป็นหลัก” คำตอบที่ดีที่สุดมักวนอยู่ที่สองตัวนี้ก่อน

มุม practical — บริษัทไทยส่วนมากเก็บ source 1-3 พอเป็นพิธี แต่ source 6-9 (access database, audit findings, threat analysis, incident analysis) มักไม่ได้เอามา feed เข้า training design เลย ผลคือ training generic ปีต่อปี ไม่ตอบ context จริง

ขั้นตอน Implementation#

CRM แนะนำขั้นตอน:

1. Define scope
2. Select trainers
3. Identify target audience
4. Motivate management + employees
5. Administer
6. Maintain
7. Evaluate

ขั้นที่หลายองค์กรพลาดสุดคือ maintain และ evaluate deploy ครั้งเดียวแล้วถือว่าจบ

Simulated Phishing — ซ้อมหนีไฟ#

วิธีวัดผลที่ดีที่สุดคือ simulated phishing campaign

วิธีทำ:

1. ส่ง phishing email จำลองให้พนักงาน (ที่บริษัทออกแบบเอง)
2. วัดอัตราคนคลิก / คนกรอก credential / คนรายงาน
3. ส่งคนที่คลิกเข้า training ทันที (immediate feedback)
4. รัน campaign ใหม่ — วัดอัตราที่เปลี่ยนไป
5. ทำต่อเนื่องเป็นรอบ

ในมุมบ้าน เหมือนซ้อมหนีไฟด้วยการกดสัญญาณเตือนจริงๆ เพื่อเห็นว่าคนตอบสนองยังไง แล้วเรียนรู้จากที่ผิดพลาด ก่อนเหตุจริงจะมา

Behavior Change Measurement#

หลักของ auditor: training program ต้องวัดผลที่ behavior change ไม่ใช่แค่ “completion rate”

Metric ที่ดี:

• อัตราคน click phishing simulation (ลดลงตามเวลา)
• อัตราคนรายงาน suspicious email (สูงขึ้นตามเวลา)
• จำนวน security incident จากพฤติกรรมพนักงาน
• Compliance rate ของ password change, software update

Metric ที่ไม่ดี (แต่หลายบริษัทใช้):

• จำนวนคนที่ “เสร็จ” training
• คะแนนสอบ multiple choice หลัง training
• จำนวนชั่วโมง training ต่อคน

ข้อสอบ trap: “องค์กรมี annual 30-min online security training — auditor concern?”

• หลอก: ระยะเวลาสั้นไป
• จริง: ไม่มี evidence ของ behavior change measurement checkbox training ≠ effective control

อีก trap: “Training วัดผลด้วย MCQ (Multiple-Choice Question) quiz เท่านั้น — limitation?”

• หลอก: quiz ง่ายไป
• จริง: วัด knowledge retention ไม่ได้วัด actual behavior change

6 วิธี Evaluation ที่ CRM แนะนำ#

ขยายเรื่อง evaluation ต่อ CRM ไล่ 6 วิธีหลักที่ใช้วัดผล awareness program วิธีเดียวไม่พอ ต้องผสมกันถึงได้ภาพครบ:

1. Questionnaires วัด knowledge ก่อน-หลัง training (pre/post test) เห็นว่าเนื้อหาเข้าหัวจริงไหม
2. Surveys / polls / tests anonymous opinion survey + quiz เห็นว่า user รู้สึกยังไงกับ program ไม่ใช่แค่ “รู้” แต่ “ยอมรับ” ไหม
3. Cost-trend tracking cost ที่เกิดจาก security incident ลดลงตามเวลาไหม นี่คือ outcome metric ที่ผู้บริหารชอบที่สุด เพราะแปลงเป็นเงินได้
4. Incident monitoring incident count + severity trend ถ้า training effective จริง ทั้งจำนวนและความรุนแรงควรลดลง
5. Focus groups qualitative depth คือ user รู้สึกยังไงตอนเจอ phishing จริง training ช่วยตัดสินใจยังไง ตัวเลขตอบไม่ได้แต่ focus group ตอบได้
6. Unit reviews review ที่ระดับ department dashboard ไหนแย่ ก็ส่ง training เพิ่มเฉพาะ unit นั้น

วิธีที่ 1-2 วัด knowledge วิธีที่ 3-4 วัด outcome วิธีที่ 5-6 วัด perception + context การมีครบ 3 มิติคือ evaluation framework ที่ defensible เวลา auditor ถามว่า “รู้ได้ยังไงว่า program ของคุณ effective”

ที่ exam ชอบลวงคือชี้ว่า “completion rate” หรือ “training hours per employee” คือ evaluation method ทั้งสองตัวนี้คือ input metric ไม่ใช่ outcome ครับ vendor ไหนเสนอ dashboard ที่มีแค่ 2 ตัวนี้ = red flag

ข้อกำหนด PDPA#

PDPA (Personal Data Protection Act / พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล) ของไทย กำหนดว่า:

• พนักงานที่จัดการข้อมูลส่วนบุคคลต้องเข้าใจหน้าที่ของตัวเอง
• องค์กรต้องมี evidence ของ training

“เคย train ครั้งเดียวปี 2022” ไม่ใช่ defensible position ในการสอบสวน PDPA หรอกครับ

Compliance + Effective ต่างกัน#

Compliance training:

• มีเอกสารว่า train แล้ว
• ผ่านได้

Effective training:

• เปลี่ยนพฤติกรรมจริง
• ลด incident จริง

ทั้งสองอย่างต้องมี แต่ compliance อย่างเดียวไม่เพียงพอ