5 sai lầm khiến doanh nghiệp lãng phí tiền bạc cho bảo mật

CAO KIẾN NAM| 30/03/2019 07:11

KHPTO - Hơn một nửa doanh nghiệp xem con người là mắt xích yếu nhất trong bảo mật mạng, vì họ có thể khiến hệ thống dữ liệu của công ty gặp phải rủi ro. Chính vì vậy, đào tạo nhận thức, kỹ năng bảo mật an ninh mạng cho nhân viên công ty được cho là là điều cần thiết. Tuy nhiên, một số doanh nghiệp chưa đánh giá cao việc này, bởi ngay cả nhân viên hiểu được các mối đe dọa tiềm ẩn từ mạng Internet thì vẫn có thể mắc phải những sai lầm.

Vì vậy, một câu hỏi đặt ra là liệu có quá lãng phí khi đầu tư vào các khóa học mà biết chắc kết quả không như kỳ vọng?

Theo một số chuyên gia bảo mật, mục đích thực sự của việc đào tạo này không phải để nâng cao nhận thức hay thông báo cho nhân viên về các mối đe dọa, về những biện pháp ngăn chặn, mà là thay đổi hành vi của họ khi sử dụng Internet.

Với hơn 20 năm kinh nghiệm nghiên cứu các mối đe dọa mạng và cung cấp dịch vụ để loại bỏ sự chi phối của “yếu tố con người” trong an ninh mạng, ông Maxim Frolov - phó giám đốc kinh doanh toàn cầu của Kaspersky Lab đã đưa ra 5 yếu tố có thể khiến việc đào tạo an ninh mạng không hiệu quả.

1. Lựa chọn mô hình đào tạo không phù hợp

Phương pháp đào tạo trong doanh nghiệp có thể chia ra nhiều hình thức khác nhau, như bài chia sẻ từ nội bộ nhân viên, diễn giả bên ngoài hay một khóa học trực tuyến. Tuy nhiên, hình thức đào tạo phù hợp với doanh nghiệp này chưa chắc có thể áp dụng cho doanh nghiệp khác. Vì vậy, các doanh nghiệp nên lựa chọn hình thức phù hợp để đạt hiệu quả đào tạo cho từng kỹ năng cụ thể.

Trên thực tế, một bài giảng tẻ nhạt sẽ không phù hợp để cải thiện kỹ năng an ninh mạng cho nhân viên. Bằng cách dạy trực tuyến, doanh nghiệp có thể kết hợp nhiều nội dung (video, văn bản, bài kiểm tra) và trò chơi để biến một bài học nhàm chán trở nên thú vị hơn. Những tương tác như vậy khiến việc học an ninh mạng hấp dẫn. Ngoài ra, khóa học trực tuyến sẽ giúp nhân viên học với tiến độ phù hợp với bản thân và dành nhiều thời gian hơn cho các chủ đề phức tạp. Điều này thường khó thực hiện nếu tổ chức khóa đào tạo theo cách truyền thống.

2. Trình độ đào tạo giống nhau cho tất cả các vị trí

Trách nhiệm đảm bảo an ninh mạng chia đều cho tất cả thành viên của công ty, bởi hành động của mỗi nhân viên đều có thể ảnh hưởng đến bảo mật mạng của doanh nghiệp. Vì vậy, để hoàn toàn yên tâm, các doanh nghiệp nên đẩy mạnh đào tạo, nâng cao nhận thức bảo mật của nhân viên với mục tiêu biến mỗi cá nhân trở thành những chuyên gia an ninh mạng.

Mỗi chương trình đào tạo nâng cao nhận thức bảo mật sẽ hữu ích cho từng bộ phận nhân viên nhất định, phụ thuộc vào hệ thống và thông tin họ truy cập. Đào tạo cho nhân viên những điều mà họ không bao giờ áp dụng trong cuộc sống (đặc biệt là trong công việc) sẽ là một sự lãng phí. Chẳng hạn, để tránh các cuộc tấn công mạng, nhân viên nên biết cách xác định trang web độc hại, những trang yêu cầu cập nhật phần mềm. Những nhân viên có quyền truy cập vào thông tin bảo mật và các hệ thống quan trọng trong công ty nên được dự những khóa học nâng cao, nhận biết email giả.

3. Truyền tải quá nhiều thông tin

Thông thường, chương trình đào tạo nâng cao nhận thức bảo mật sẽ gồm nhiều chủ đề quan trọng. Tuy nhiên, cách thiết kế này hầu như không giúp thay đổi hành vi, bởi không phải mọi cả thông tin đều được tiếp nhận.

Nhân viên sẽ dễ dàng tiếp thu các bài giảng được chia sẻ theo từng chủ đề riêng, cách xử lý cụ thể cho từng trường hợp và bài giảng được truyền tải một cách cô đọng, súc tích về bảo mật an toàn thông tin.

4. Thiếu thực hành

Đôi khi nội dung đào tạo rất bổ ích nhưng lại không được ghi nhớ chỉ vì thiếu sự thực hành. Các khóa đào tạo bảo mật thường không mang nhiều hứng thú cho học viên, họ tham dự nhưng không có nhiều động lực để học và ghi nhớ.

Do đó, doanh nghiệp nên triển khai các khóa học với những chủ đề dễ nhớ, nhấn mạnh nhiều lần các vấn đề quan trọng, như tầm quan trọng của việc thiết lập mật khẩu mạnh và an toàn. Chủ đề này cần được đề cập nhiều lần trong các bài học về bảo vệ thông tin nhạy cảm, phương tiện truyền thông xã hội, email...

5. Thiếu tính thực tiễn vào đời sống

Doanh nghiệp nên tăng cường nhận thức thông tin đến nhân viên các quy tắc và chính sách an ninh mạng nói chung.

Cụ thể, doanh nghiệp nên nâng cao đào tạo đối với những nhân viên thiếu nhận biết về các quy tắc và chính sách an ninh mạng của công ty. Tuy nhiên, việc đào tạo này sẽ khó có thể thực khi chỉ muốn tăng nhận thức nhân viên thay vì thay đổi hành vi của nhân viên.

Đa số nhân viên không có nền tảng kiến thức bảo mật nói riêng và công nghệ Thông tin nói chung. Họ có thể không hiểu họ nên làm gì nếu chúng ta chỉ khuyên họ thường xuyên cập nhật ứng dụng và cẩn thận khi mở file đính kèm đáng ngờ. Để vượt qua rào cản này, doanh nghiệp nên bổ sung các tình huống mà nhân viên có thể gặp phải vào nội dung đào tạo, như cách làm việc với email hoặc cách chọn trang web khi họ muốn tải dữ liệu...

Đơn cử, Công ty Donau Chemie Group (doanh nghiệp chuyên sản xuất các vật liệu hóa học) đã tiến hành đào tạo về an ninh mạng cho nhân viên. Tuy nhiên, chương trình đã thất bại khi họ cố gắng thay đổi hành vi những nhân viên không có kiến thức nền về CNTT. Cho đến khi họ thực hiện chương trình đào tạo được đề xuất bởi Kaspersky Lab với việc cung cấp kiến thức và tăng cường tương tác, thì tình hình đã được thay đổi.

“Khi nhân viên bị buộc phải dành hàng giờ cho các khóa đào tạo, về chủ đề không liên quan đến công việc của họ thì khó có thể đảm bảo họ thực hiện đúng theo muc tiêu đặt ra. Tuy nhiên, nếu thời gian đào tạo không quá lâu và đủ dễ hiểu, thì nhiều khả năng nhân viên sẽ ít phạm sai lầm hơn và về tổng thể, công tác bảo mật được thực hiện tốt hơn”, ông Maxim Frolov, chia sẻ.

(0) Bình luận
Nổi bật
Đừng bỏ lỡ
5 sai lầm khiến doanh nghiệp lãng phí tiền bạc cho bảo mật
POWERED BY ONECMS - A PRODUCT OF NEKO