Empathy Meets IT Security – เส้นทางสู่การปฏิบัติตามอย่างจริงจัง
หลายองค์กรพบว่า นโยบายความปลอดภัยด้าน IT มักถูกมองว่าเป็นอุปสรรค ทำให้พนักงานต่อต้านและไม่ปฏิบัติตาม ส่งผลให้การบังคับใช้ไม่ประสบความสำเร็จและบั่นทอนความร่วมมือระหว่างฝ่าย IT กับธุรกิจ แนวคิดใหม่ที่เรียกว่า Empathetic Policy Engineering จึงถูกเสนอขึ้น เพื่อให้การออกแบบนโยบายความปลอดภัยคำนึงถึงความเป็นจริงของงานและความต้องการของผู้ใช้.
ปัจจัยที่ทำให้ผู้ใช้ละเมิดนโยบาย
การทดลองพบว่าแม้ผู้ใช้จะมีทัศนคติที่ดีต่อความปลอดภัย แต่เมื่อเจอ แรงกดดันจากงานและเวลา พวกเขามักละเมิดนโยบายโดยไม่ได้ตั้งใจ ปัจจัยเช่น เป้าหมายที่ทะเยอทะยาน, ความจำเป็นในการทำงานร่วมกันอย่างราบรื่น, และการขาดทรัพยากรที่เหมาะสม ล้วนทำให้ผู้ใช้เลือกทางที่ง่ายกว่าความปลอดภัย.
วิธีการแก้ไขด้วย Empathetic Policy Engineering
Stakeholder Analysis – วิเคราะห์ผู้มีส่วนได้ส่วนเสียเพื่อเข้าใจความขัดแย้งระหว่างเป้าหมายและทรัพยากร
Design with Users in Mind – ออกแบบนโยบายที่สอดคล้องกับการทำงานจริง โดยให้ผู้ใช้มีส่วนร่วมตั้งแต่ต้น และทดสอบผ่าน pilot project
Respectful Communication – สื่อสารอย่างเท่าเทียม ไม่ใช่การสั่งห้าม แต่ใช้ tactical empathy และการถามเชิง “how” เพื่อสร้างบทสนทนาและหาทางออกที่ยอมรับได้ทั้งสองฝ่าย.
ผลลัพธ์ที่คาดหวัง
หาก CISOs ใช้แนวทางนี้ พวกเขาจะกลายเป็น “สถาปนิกเชิงนโยบายที่มีความเข้าใจมนุษย์” ซึ่งไม่เพียงสร้างนโยบายที่ถูกต้อง แต่ยังทำให้ผู้ใช้ยอมรับและปฏิบัติจริงในชีวิตประจำวัน ส่งผลให้เกิด วัฒนธรรมความปลอดภัยที่ยั่งยืนและมีประสิทธิภาพ.
สรุปสาระสำคัญ
นโยบายความปลอดภัยมักถูกมองว่าเป็นอุปสรรค
ทำให้ผู้ใช้ต่อต้านและละเมิดโดยไม่ได้ตั้งใจ
Empathetic Policy Engineering คือแนวทางใหม่
ออกแบบนโยบายที่สอดคล้องกับความจริงของงานและความต้องการผู้ใช้
สามวิธีหลักในการปรับปรุง
Stakeholder analysis, user-centered design, respectful communication
หากยังใช้วิธีเดิมที่เน้นการบังคับและลงโทษ
จะทำให้ผู้ใช้ต่อต้านและวัฒนธรรมความปลอดภัยล้มเหลว
https://www.csoonline.com/article/4092639/empathy-meets-it-security-the-path-to-active-compliance.html
หลายองค์กรพบว่า นโยบายความปลอดภัยด้าน IT มักถูกมองว่าเป็นอุปสรรค ทำให้พนักงานต่อต้านและไม่ปฏิบัติตาม ส่งผลให้การบังคับใช้ไม่ประสบความสำเร็จและบั่นทอนความร่วมมือระหว่างฝ่าย IT กับธุรกิจ แนวคิดใหม่ที่เรียกว่า Empathetic Policy Engineering จึงถูกเสนอขึ้น เพื่อให้การออกแบบนโยบายความปลอดภัยคำนึงถึงความเป็นจริงของงานและความต้องการของผู้ใช้.
ปัจจัยที่ทำให้ผู้ใช้ละเมิดนโยบาย
การทดลองพบว่าแม้ผู้ใช้จะมีทัศนคติที่ดีต่อความปลอดภัย แต่เมื่อเจอ แรงกดดันจากงานและเวลา พวกเขามักละเมิดนโยบายโดยไม่ได้ตั้งใจ ปัจจัยเช่น เป้าหมายที่ทะเยอทะยาน, ความจำเป็นในการทำงานร่วมกันอย่างราบรื่น, และการขาดทรัพยากรที่เหมาะสม ล้วนทำให้ผู้ใช้เลือกทางที่ง่ายกว่าความปลอดภัย.
วิธีการแก้ไขด้วย Empathetic Policy Engineering
Stakeholder Analysis – วิเคราะห์ผู้มีส่วนได้ส่วนเสียเพื่อเข้าใจความขัดแย้งระหว่างเป้าหมายและทรัพยากร
Design with Users in Mind – ออกแบบนโยบายที่สอดคล้องกับการทำงานจริง โดยให้ผู้ใช้มีส่วนร่วมตั้งแต่ต้น และทดสอบผ่าน pilot project
Respectful Communication – สื่อสารอย่างเท่าเทียม ไม่ใช่การสั่งห้าม แต่ใช้ tactical empathy และการถามเชิง “how” เพื่อสร้างบทสนทนาและหาทางออกที่ยอมรับได้ทั้งสองฝ่าย.
ผลลัพธ์ที่คาดหวัง
หาก CISOs ใช้แนวทางนี้ พวกเขาจะกลายเป็น “สถาปนิกเชิงนโยบายที่มีความเข้าใจมนุษย์” ซึ่งไม่เพียงสร้างนโยบายที่ถูกต้อง แต่ยังทำให้ผู้ใช้ยอมรับและปฏิบัติจริงในชีวิตประจำวัน ส่งผลให้เกิด วัฒนธรรมความปลอดภัยที่ยั่งยืนและมีประสิทธิภาพ.
สรุปสาระสำคัญ
นโยบายความปลอดภัยมักถูกมองว่าเป็นอุปสรรค
ทำให้ผู้ใช้ต่อต้านและละเมิดโดยไม่ได้ตั้งใจ
Empathetic Policy Engineering คือแนวทางใหม่
ออกแบบนโยบายที่สอดคล้องกับความจริงของงานและความต้องการผู้ใช้
สามวิธีหลักในการปรับปรุง
Stakeholder analysis, user-centered design, respectful communication
หากยังใช้วิธีเดิมที่เน้นการบังคับและลงโทษ
จะทำให้ผู้ใช้ต่อต้านและวัฒนธรรมความปลอดภัยล้มเหลว
https://www.csoonline.com/article/4092639/empathy-meets-it-security-the-path-to-active-compliance.html
🤝 Empathy Meets IT Security – เส้นทางสู่การปฏิบัติตามอย่างจริงจัง
หลายองค์กรพบว่า นโยบายความปลอดภัยด้าน IT มักถูกมองว่าเป็นอุปสรรค ทำให้พนักงานต่อต้านและไม่ปฏิบัติตาม ส่งผลให้การบังคับใช้ไม่ประสบความสำเร็จและบั่นทอนความร่วมมือระหว่างฝ่าย IT กับธุรกิจ แนวคิดใหม่ที่เรียกว่า Empathetic Policy Engineering จึงถูกเสนอขึ้น เพื่อให้การออกแบบนโยบายความปลอดภัยคำนึงถึงความเป็นจริงของงานและความต้องการของผู้ใช้.
⚙️ ปัจจัยที่ทำให้ผู้ใช้ละเมิดนโยบาย
การทดลองพบว่าแม้ผู้ใช้จะมีทัศนคติที่ดีต่อความปลอดภัย แต่เมื่อเจอ แรงกดดันจากงานและเวลา พวกเขามักละเมิดนโยบายโดยไม่ได้ตั้งใจ ปัจจัยเช่น เป้าหมายที่ทะเยอทะยาน, ความจำเป็นในการทำงานร่วมกันอย่างราบรื่น, และการขาดทรัพยากรที่เหมาะสม ล้วนทำให้ผู้ใช้เลือกทางที่ง่ายกว่าความปลอดภัย.
🛠️ วิธีการแก้ไขด้วย Empathetic Policy Engineering
💠 Stakeholder Analysis – วิเคราะห์ผู้มีส่วนได้ส่วนเสียเพื่อเข้าใจความขัดแย้งระหว่างเป้าหมายและทรัพยากร
💠 Design with Users in Mind – ออกแบบนโยบายที่สอดคล้องกับการทำงานจริง โดยให้ผู้ใช้มีส่วนร่วมตั้งแต่ต้น และทดสอบผ่าน pilot project
💠 Respectful Communication – สื่อสารอย่างเท่าเทียม ไม่ใช่การสั่งห้าม แต่ใช้ tactical empathy และการถามเชิง “how” เพื่อสร้างบทสนทนาและหาทางออกที่ยอมรับได้ทั้งสองฝ่าย.
🌐 ผลลัพธ์ที่คาดหวัง
หาก CISOs ใช้แนวทางนี้ พวกเขาจะกลายเป็น “สถาปนิกเชิงนโยบายที่มีความเข้าใจมนุษย์” ซึ่งไม่เพียงสร้างนโยบายที่ถูกต้อง แต่ยังทำให้ผู้ใช้ยอมรับและปฏิบัติจริงในชีวิตประจำวัน ส่งผลให้เกิด วัฒนธรรมความปลอดภัยที่ยั่งยืนและมีประสิทธิภาพ.
📌 สรุปสาระสำคัญ
✅ นโยบายความปลอดภัยมักถูกมองว่าเป็นอุปสรรค
➡️ ทำให้ผู้ใช้ต่อต้านและละเมิดโดยไม่ได้ตั้งใจ
✅ Empathetic Policy Engineering คือแนวทางใหม่
➡️ ออกแบบนโยบายที่สอดคล้องกับความจริงของงานและความต้องการผู้ใช้
✅ สามวิธีหลักในการปรับปรุง
➡️ Stakeholder analysis, user-centered design, respectful communication
‼️ หากยังใช้วิธีเดิมที่เน้นการบังคับและลงโทษ
⛔ จะทำให้ผู้ใช้ต่อต้านและวัฒนธรรมความปลอดภัยล้มเหลว
https://www.csoonline.com/article/4092639/empathy-meets-it-security-the-path-to-active-compliance.html
0 ความคิดเห็น
0 การแบ่งปัน
17 มุมมอง
0 รีวิว
English