Hầu hết các cuộc thảo luận về an ninh đều miêu tả nhân viên như một gánh nặng. Do đó, các chương trình đào tạo càng củng cố thêm ý tưởng này – với những bài thuyết trình dài dòng hàng năm và những hậu quả đáng báo động được nêu rõ cho bất kỳ sai lầm nào mà nhân viên có thể mắc phải. Cách tiếp cận này gieo rắc nỗi sợ hãi, sự thờ ơ và hầu như không có sự thay đổi hành vi nào. Tuy nhiên, một cách tiếp cận khác hoàn toàn khả thi, chỉ cần đảo ngược lại tiền đề.
Vì sao huấn luyện dựa trên nỗi sợ hãi không hiệu quả?
Theo tiêu chuẩn Báo cáo điều tra vi phạm dữ liệu của Verizon74% các vụ vi phạm dữ liệu đều liên quan đến yếu tố con người. Cho dù đó là một cuộc tấn công kỹ thuật xã hội thành công, một lỗi hoặc sự lạm dụng. Những người chia sẻ số liệu thống kê này thường sử dụng chúng để chỉ ra rằng nhân viên là điểm yếu, tuy nhiên, số liệu thực sự cho thấy hành vi của con người là mục tiêu của các cuộc tấn công – và hành vi của con người cũng là nơi bạn có thể ngăn chặn nó.
Phương pháp huấn luyện dựa trên nỗi sợ hãi coi số liệu thống kê đó như một sự phán xét. Phương pháp huấn luyện dựa trên nhận thức lại coi đó là một cơ hội. Khi mọi người nhận ra họ là tuyến đầu phát hiện vấn đề – chứ không phải là mắt xích yếu – họ sẽ thay đổi tư duy. Họ nhận thấy những điều mà trước đây họ chưa từng để ý. Họ lên tiếng, thay vì âm thầm hy vọng mình sai.
Kiểm soát kỹ thuật không quan trọng bằng kiểm soát tâm lý.
Vượt qua giai đoạn kiểm tra hàng năm
Nếu bạn tiếp cận việc đào tạo an ninh cho nhân viên với tư duy ưu tiên tuân thủ, thì đó chính là vòng luẩn quẩn bạn tự mắc kẹt. Một buổi đào tạo được lên lịch, nhóm của bạn tham dự (hy vọng là vậy), xem video hoặc bài thuyết trình, một mục được đánh dấu trong báo cáo kiểm toán an ninh, và mọi thứ không thay đổi cho đến cùng thời điểm năm sau, khi bạn lại làm lại từ đầu. Đến lúc đó, gần như tất cả thông tin và bối cảnh đã bị nhóm của bạn quên mất trong trí nhớ ngắn hạn. Cứ thế lặp đi lặp lại.
Đây không phải là thất bại của cả nhóm, mà là thất bại về mặt cấu trúc. Trí nhớ con người không suy giảm theo chu kỳ 12 tháng (sẽ thật tuyệt nếu đúng như vậy), rất nhiều thông tin đào tạo quý giá đó không còn tồn tại trong đầu nhóm vào thời điểm họ cần đến nó nhất – lần tiếp theo khi có kẻ xấu nhắm vào tổ chức của bạn.
Các chu kỳ đào tạo tự động đã được chứng minh là vượt trội hơn so với các hội thảo thủ công thường niên vì một lý do duy nhất: chúng luôn chú trọng đến vấn đề an ninh trong suốt cả năm, chứ không chỉ trong thời gian diễn ra hội thảo. Đào tạo nâng cao nhận thức về an ninh Việc triển khai thông qua một nền tảng tự động cho phép bạn tiếp cận mọi người, theo dõi tiến độ và điều chỉnh dựa trên hành vi thực tế - vì vậy, một nhóm thực hành bảo mật tốt khi làm việc tại nhà trong tháng Ba đầy căng thẳng sẽ ít có khả năng mắc lỗi hơn vào tháng Mười Hai.
Mô hình học tập đúng lúc
Việc đào tạo nâng cao nhận thức về an ninh mạng cho nhân viên sẽ hiệu quả nhất khi được thực hiện vào thời điểm tối ưu. Ví dụ, khi một nhân viên nhấp vào liên kết mô phỏng lừa đảo, phản ứng không chỉ đơn thuần là báo cáo rồi bỏ qua. Thay vào đó, đó là cơ hội hoàn hảo để cung cấp cho họ một mô-đun học tập ngắn gọn, tập trung ngay lập tức.
Phương pháp này, còn được gọi là học tập tức thời, cho thấy tỷ lệ ghi nhớ tốt hơn so với đào tạo theo lịch trình. Bài học liên quan trực tiếp đến những gì đã xảy ra. Nhân viên không cảm thấy bị phạt mà thay vào đó học được những điều cần tránh ngay vào đúng thời điểm cần thiết nhất.
Xây dựng văn hóa báo cáo không đổ lỗi
Việc ngay cả những nhân viên được đào tạo bài bản nhất cũng mắc sai lầm là điều không thể tránh khỏi. Sự khác biệt giữa một sự cố nhỏ và một vụ vi phạm nghiêm trọng thường nằm ở tốc độ báo cáo sai sót. Nếu nhân viên sợ bị trả thù, họ sẽ im lặng. Vụ vi phạm sẽ leo thang. Và đến khi ai đó cuối cùng nhận ra, chi phí khắc phục sẽ tốn kém hơn rất nhiều.
Đó là lý do tại sao một quy trình báo cáo rõ ràng, không mang tính trừng phạt là một trong những điều quan trọng nhất mà một tổ chức có thể thiết lập. Nó cho nhân viên thấy rằng việc phát hiện và báo cáo lỗi ngay lập tức là phản ứng đúng đắn – chứ không phải là điều cần che giấu. Nó cũng tạo ra các cảnh báo mà nhân viên an ninh của bạn có thể sử dụng trước khi vi phạm vượt khỏi tầm kiểm soát.
Điều này hoàn toàn cho thấy rủi ro từ các mối đe dọa nội bộ theo một cách mà chúng ta ít khi đề cập đến. Hầu hết các sự cố nội bộ không phải do cố ý. Chúng là những sai lầm – ai đó cài đặt phần mềm trái phép, bị lừa bởi một cuộc tấn công giả mạo, cấu hình sai máy chủ đám mây. Văn hóa báo cáo an toàn giúp phát hiện những sự cố đó trước khi chúng leo thang. Văn hóa đổ lỗi cho phép chúng trốn tránh trách nhiệm.
Biến công việc bảo mật thành một kỹ năng chuyên nghiệp.
Đôi khi, việc ứng dụng yếu tố trò chơi hóa được xem là điều tầm thường, nhưng thực tế nó lại hiệu quả vì nó thay đổi bối cảnh: khóa đào tạo này không phải là thứ được cung cấp cho nhân viên, mà là thứ họ có thể giỏi lên. Bảng xếp hạng, sự công nhận và huy hiệu hoàn thành khóa học kích hoạt động lực cạnh tranh và khao khát thành tựu tương tự như khi mọi người theo đuổi các chứng chỉ chuyên nghiệp.
Khi nhân viên bắt đầu ghi nhận sự tiến bộ trong nhận thức về an ninh mạng hoặc nhận thấy sự thể hiện tốt của nhóm mình trong một cuộc mô phỏng tấn công lừa đảo, thì an ninh mạng không còn là vấn đề của một chuyên gia máy tính nữa, mà là bản sắc của một người chuyên nghiệp. Và đó là nơi văn hóa an ninh mạng thực sự được hình thành – không phải từ những tấm áp phích, tấm lót chuột hay đồ chơi nhồi bông, cũng không phải từ những nhãn dán cảnh báo trong sổ tay nhân viên.
Việc áp dụng xác thực đa yếu tố (MFA), giảm thiểu CNTT ngầm, và thậm chí cả các khía cạnh văn hóa an ninh vật lý như việc xử lý đúng cách các trường hợp xâm nhập trái phép hoặc lợi dụng kẽ hở để vào xe, đều được cải thiện khi nhân viên hiểu rằng đây là những điều kiện tiên quyết để một chuyên gia giỏi hoạt động. Bạn không chỉ thúc đẩy sự tuân thủ; bạn đang thúc đẩy năng lực.
Những tổ chức phản ứng tốt nhất với các sự cố không phải là những tổ chức sở hữu công nghệ bảo mật tuyệt vời nhất, xứng đáng với giải thưởng X-Prize. Đó là những tổ chức mà nhân viên của họ có động lực để làm việc chuyên nghiệp và khi thấy điều gì đó bất thường, họ lập tức tìm kiếm sự hỗ trợ.