10.ภัยที่เกิดขึ้นจากตัวของเราเอง(Negligence Information Security)

จุดอ่อนที่อ่อนที่สุดในระบบ ก็คือ ตัวของเราเอง หรือ "P" = "People" ใน PPT (People,Process and Technology) Concept การโจมตีระบบส่วนใหญ่ในปัจจุบันเน้นการใช้เทคนิค "Social Engineering" เพื่อหลอกเหยื่อให้หลงเข้าใจผิดในเรื่องที่แฮกเกอร์ปลอมแปลงแต่งขึ้นตามวัตถุประสงค์ที่จะให้เหยื่อทำตามในสิ่งที่แฮกเกอร์ได้กำหนดไว้ล่วงหน้า เช่น ให้เหยื่อเปิดไฟล์มัลแวร์ที่เป็นโปรแกรมม้าโทรจัน เป็นต้น

เราสามารถสรุปสาเหตุที่เหยื่อถูกโจมตีไว้ 10 สาเหตุหลักได้ดังนี้

10.1 ความไม่เข้าใจในเรื่องความปลอดภัยข้อมูลอย่างเพียงพอ (No or Not Enough Information Security Awareness)

10.2 ความไม่ตระหนัก และ ไม่เข้าใจเรื่องการบริหารความเสี่ยงและการประเมินความเสี่ยง (No Risk Management Awareness)

10.3 ความไม่เข้าใจในหลัก "GRC" (Governance Risk and Compliance) (No GRC Awareness)

10.4 การไม่มีแนวนโยบายและแนวทางปฏิบัติที่เกี่ยวกับความปลอดภัยข้อมูลในองค์กร (No Information Security Policy and Guideline)

10.5 ความไม่ใส่ใจปฏิบัติตามแนวนโยบายและแนวทางปฏิบัติที่เกี่ยวกับความปลอดภัยข้อมูล เนื่องจากองค์กรไม่มีการฝึกอบรม "Security Awareness Training" และไม่มีเอกสาร "Acceptable Use Policy" (No Policy Enforcement)

10.6 ผู้บริหารระดับสูงขององค์กรไม่ให้ความสำคัญเรื่องความปลอดภัยข้อมูลอย่างเพียงพอ หรือไม่จริงจังในการผลักดันเรื่องความปลอดภัยข้อมูล (Top Management Security Awareness Ignorance)

10.7 ไม่มีการนำ "Best Practices" ต่างๆ เช่น CobiT หรือ ITIL มาประยุกต์ใช้ในองค์กร ในการปรับปรุง Process ภายใน (No Best Practices Implementation)

10.8 การไม่ปฏิบัติตามมาตรฐานด้านความปลอดภัยข้อมูล เช่น ISO/IEC 27001 เป็นต้น (No Information Security Standard)

10.9 ความไม่เข้าใจในเรื่องการควบคุมภายใน (Internal Control) และการตรวจสอบระบบสารสนเทศ (IT Audit) (No IT audit and control awareness)

10.10 การที่เราไม่มีความรู้มากเพียงพอเท่าทันกับการโจมตีแบบใหม่ๆของแฮกเกอร์ (No new/update Information Security Knowledge) เนื่องจากไม่ได้ Update ข้อมูลใหม่ๆ จากการอ่าน Magazine หรือ การเข้าฟังงานสัมมนา ตลอดจนขาดการฝึกอบรมความรู้เรื่องความปลอดภัยข้อมูลอย่างสม่ำเสมอ