สวัสดีผู้อ่านบทความทุกท่านครับ หลายท่านอาจรู้สึกว่าสิ่งที่พบในชีวิตประจำวันต่าง ๆ รอบตัวเรา อาจจะไม่ได้ตอบโจทย์กับการใช้งานจริงของท่านเลย ไม่ว่าจะเป็น ป้ายรถเมล์ ทางเดินเท้าที่ไม่ได้ปลอดภัย หรือสะพานลอยที่ไม่ได้ตอบโจทย์ต่อผู้ใช้ที่เป็นผู้สูงอายุและผู้พิการ ด้วยสิ่งเหล่านี้จึงทำให้เกิดการออกแบบที่ตอบโจทย์ต่อผู้ใช้งานมากขึ้น หรือพูดง่าย ๆ ว่าเป็นการคำนึงถึงการใช้งาน และแสดงถึงความใส่ใจในรายละเอียดของผู้อื่น โดยนำสิ่งเหล่านี้มาสร้างเป็นชิ้นงานจนเกิดประโยชน์สูงสุดนั่นเองครับ
ผู้เขียนเชื่อว่าผู้อ่านบางท่านอาจเคยได้ยินคำว่า Human-centric design หรือการใช้มนุษย์เป็นศูนย์กลางในการออกแบบต่าง ๆ ทั้งทางด้านสถาปัตยกรรม การออกแบบภายใน การดีไซน์ต่าง ๆ เพื่อให้เข้ากับมนุษย์ โดยไม่ต้องมีการปรับตัวเข้าหาไอเดีย หรือสิ่งออกแบบที่ได้สร้างขึ้นมา เพื่อแก้ปัญหาการใช้ของผู้ใช้งาน หากกล่าวถึงในเชิงของสถาปัตยกรรม อาจแบ่งแขนงการออกแบบโดนมีมนุษย์เป็นศูนย์กลางโดยแบ่งเป็น 5 ขั้นตอน ดังนี้
- Discover: การค้นหาข้อมูล ความต้องการของมนุษย์ ว่าต้องการอะไร และสิ่งนั้นจะตอบโจทย์กับการใช้งานได้อย่างไร
- Define: กำหนดสิ่งที่จำเป็นในการใช้งาน การออกแบบ เพื่อให้สอดคล้องและตอบรับความต้องการของผู้ใช้
- Design: ออกแบบ ดีไซน์สิ่งของ หรือสร้างไอเดียต่าง ๆ ให้สอดคล้องกับความต้องการ
- Prototype & Test: สร้างตัวต้นแบบขึ้นมา และทดสอบการใช้งานจริงกับผู้ใช้ รวมถึงดำเนินการปรับชิ้นงานให้มีประสิทธิภาพมากขึ้น
- Plan & Implement: เริ่มต้นแผนงานการสร้างจริง และดำเนินการใช้จริง
จากขั้นตอนทั้ง 5 แบบจะช่วยตอบสนองความต้องการที่แตกต่างกันของแต่ละบุคคล ทั้งด้านสังคม สิ่งแวดล้อมของผู้ใช้งาน หรือสภาพเศรษฐกิจต่าง ๆ ให้สอดคล้องและตอบรับมากขึ้น
ด้วยความที่งานทางด้าน Cybersecurity นั้น มีความซับซ้อน เข้าใจยาก User บางคนพบว่าเข้าใจยาก ยุ่งยาก ต้องจัดการปัญหาด้านไซเบอร์ตลอดเวลา จึงมีการนำหลักการการใช้ Human-centric design มาปรับใช้กับด้าน Cybersecurity ให้มากขึ้น โดยอ้างอิงจากหลักการการออกแบบโดยยึดมนุษย์เป็นศูนย์กลาง โดยจะเรียกในชื่อว่า Human-centric security design หรือย่อว่า HCSD
หลักการการออกแบบ HCSD ก็อ้างอิงมาจากการดีไซน์ของ Human-centric design เลย โดยยึดจากปัญหาที่เกิดขึ้นจริงกับผู้ใช้งาน เช่น
- ทักษะการใช้งานอุปกรณ์หรือเทคโนโลยีที่มีจำกัด
- ไม่เข้าใจ features หรือ ระบบใหม่ ๆ ที่พัฒนาเข้ามา
- ปัญหาในการจัดการงานด้าน technical
- การเกิดข้อผิดพลาดในการใช้งาน เป็นต้น
การออกแบบโดยยึดหลักของ HCSD เป็นหนึ่งในแนวทาง ที่หลายองค์กรเริ่มมีการปรับใช้ และดำเนินงานในตัวบริษัทจริงมากขึ้น องค์กรบางองค์กรที่มีการอบรมบุคลากรด้านความปลอดภัยทางไซเบอร์อย่างสม่ำเสมอ และปรับใช้ตามหลัก HCSD เพื่อให้สอดคล้องกับความต้องการของผู้ใช้งานจริง จากผลสำรวจเมื่อปี 2017 โดยมหาวิทยาลัยแคลิฟอร์เนีย พบว่า บุคลากรมีโอกาสที่จะรายงานพฤติกรรมเสี่ยงทางด้านไซเบอร์ ซึ่งเกิดขึ้นหลังจากได้รับการอบรมความปลอดภัยด้านไซเบอร์ มากขึ้นถึง 30% และอีกครั้งในปี 2018 โดยองค์กร NIST พบว่า บริษัทที่มีการออกแบบโดยยึดหลักของ HCSD มีไม่ถึง 30% ที่พบปัญหาข้อมูลรั่วไหล
อีกข้อดีหนึ่งของการออกแบบโดยยึดหลักของ HCSD จะช่วยในเรื่องของความเป็นมิตรกับ user เนื่องจากการดีไซน์ต่าง ๆ ต้องการให้ตอบโจทย์ของผู้ใช้งานจริงมากที่สุด หละหลวมเกินไป ปัญหาเหล่านี้จึงมีการออกแบบ HCSD ขึ้นมา เพื่อช่วยในการแก้ปัญหาเบื้องต้น โดยนำมาปรับใช้งานจริงกับงานด้าน cybersecurity อาจเทียบได้ตามตัวอย่างด้านล่าง
- Implement: เริ่มต้นการควบคุมการใช้งานโดยยึดตามหลัก Security Baseline หรือ identify พฤติกรรมการใช้งานเบื้องต้น
- Assess: สำรวจพฤติกรรมการใช้งาน เช่น ภัยคุกคามที่ถูกโจมตีมากที่สุด หรือกระทบกับบุคลากรมากที่สุด
- Adapt: นำการควบคุมตามนโยบายการใช้งาน ปรับให้สอดคล้องกับปัญหาที่เกิดขึ้นจากบุคลากร และทดสอบการใช้งานกับบุคลากร
- Report and benchmark: ทำการร่างรายงานขึ้นมา เป็นแผนการดำเนินงานหากเกิดภัยคุกคาม หรือ security postures และสร้างเป็น security benchmark ภายในองค์กร โดยหากมีเหตุการณ์อื่นที่เคยเกิดขึ้น ก็จะย้อนกลับไปเริ่มต้น process ที่การ assess ที่ตัวบุคลากร.
โดยหลักการด้านบน ประเมินจากการใช้งานจริงแล้ว หากระบบมีการควบคุมที่ยุ่งยากเกินไป ผู้ใช้ก็จะรู้สึกเบื่อหน่าย แต่ถ้าระบบออกแบบหละหลวมเกินไป ก็ไม่ปลอดภัยกับระบบชององค์กรเอง เพราะฉะนั้น การหาจุดสมดุลระหว่างการใช้งานจริง กับความปลอดภัยในการใช้ จึงเป็นหนึ่งในความท้าทายที่ยังคงเกิดขึ้นเสมอมา กับการทำงานด้าน Cybersecurity นอกเหนือจากนี้ ความท้าทายอีกเรื่องคือการออกแบบระบบให้ถูกตามจริต หรือหลักจิตวิทยาของผู้ใช้ และระบบที่ดำเนินการใช้งานจริงภายในองค์กร อาจเปลี่ยนลักษณะการทำงานภายในองค์กรมากเกินไป จนผู้ใช้ไม่สามารถปรับตัวตามทันได้ ความเสี่ยงในการปรับรูปแบบการใช้งาน จึงเกิดขึ้นกับมนุษย์เป็นส่วนใหญ่ เพราะด้วยการออกแบบที่ยึดตามมนุษย์ หรือผู้ใช้งานจริงเป็นหลักด้วย
แม้ว่าการออกแบบ HCSD อาจมีความซับซ้อนกับการออกแบบให้ถูกใจผู้ใช้งาน แต่ก็เป็นหนึ่งในกลยุทธ์ ที่รองรับโดย Gartner หนึ่งในบริษัทชื่อดังว่าเป็นกลยุทธ์ทีมีแนวโน้มว่าองค์กรจะนำมาปรับใช้งานจริงมากขึ้น โดย Gartner สรุปไว้คร่าว ๆ 2 ส่วนคือ
ส่วนแรก ภายในปี 2025 อ้างอิงจากผลสำรวจของบุคลากรด้านความปลอดภัยในช่วงปี 2022 ที่ผ่านมา คาดการณ์ว่า ภายในองค์กรมีแนวโน้ม การเกิดเหตุการณ์ความไม่ปลอดภัยด้านไซเบอร์ หรือ Security Incidents จะเกิดขึ้น ซึ่งจะเกิดขึ้นจากบุคลากรภายในองค์กรเองเป็นส่วนใหญ่ โดยผลวิจัยกล่าวว่าสูงถึง 90% ที่บุคลากรปล่อยปละละเลยพฤติกรรมการใช้งานด้านไซเบอร์ ดังนั้นแล้ว เพื่อลดอัตราการเกิดความไม่ปลอดภัยทางด้านไซเบอร์จากบุคลากร ก็ต้องอาศัยการออกแบบระบบความปลอดภัยให้สอดคล้องกับบุคลากรมากขึ้น เพื่อประคับประคอง และลดความเสียหายที่อาจเกิดขึ้นจากภัยคุกคามทางไซเบอร์ได้
ส่วนที่สอง Gartner วิเคราะห์ว่าภายในปี 2027 จะมีบริษัท โดยเฉพาะผู้บริหารด้านการออกแบบความปลอดภัยหรือ CISO นำแนวคิดนี้ไปใช้งานจริง โดยประเมินตัวเลขไว้สูงถึง 50% ซึ่งในขณะนี้ ได้เริ่มมีบริษัทเริ่มต้นการสร้างทีมที่ทำงานด้านออกแบบระบบ HCSD โดยเฉพาะแล้ว
อ้างอิง
- https://gdd.toolkitme.com/human-centered-design/
- https://thematter.co/brandedcontent/ayda-human-centred-design/123448
- https://community.nasscom.in/index.php/communities/cyber-security-privacy/how-human-centric-design-reshaping-cybersecurity
- https://intellectualpoint.com/the-importance-of-human-centered-security-design/
