Hãy tưởng tượng bạn đang tham gia một khóa huấn luyện về bảo mật ở công ty. Nghe thì có vẻ nhàm chán, nhưng khoan đã! Thay vì những bài giảng dài dằng dặc hay những slide trình chiếu đầy chữ, bạn sẽ được bước vào một căn phòng bí ẩn. Nghe hấp dẫn chưa nào?
Căn phòng này trông thì bình thường như bao văn phòng khác, nhưng thực chất là một "escape room". Nó giống như những căn phòng thoát hiểm mà bạn hay gặp trong các game vậy.
Nhiệm vụ của bạn là hóa thân thành những tên tội phạm xảo quyệt để đột nhập vào một công ty và truy tìm các thông tin mật.
Càng quan sát kỹ, bạn sẽ càng thấy nhiều thứ để khai thác. Có thể là mật khẩu nằm chỏng chơ trên bàn làm việc, hay một cuộc họp video ai đó chưa thoát. Xung quanh bạn toàn là những manh mối giúp bạn hạ gục công ty này.
Mục đích của trò chơi này là giúp bạn hiểu rõ hơn về tầm quan trọng của an ninh ngoài đời thực bằng cách nhìn nhận mọi thứ qua con mắt của kẻ xấu.
Khi trải nghiệm xong, chắc chắn bạn sẽ nhớ ghi nhớ những điều quan trọng như: khóa máy tính, không chép lại mật khẩu trên giấy, hay phải tiêu hủy các tài liệu quan trọng. Tất cả đều để bảo vệ công ty khỏi những kẻ xấu!
Kim Burton là người đứng đầu bộ phận tin cậy và tuân thủ (Trust and Compliance) tại Tessian. Đây là một loại hình hoạt động mà chị ta đã áp dụng để đảm bảo rằng nhân viên của công ty sẽ có những ghi nhớ sâu đậm về bảo mật.
Kiểu đào tạo này hiện cần thiết hơn bao giờ hết. Dạo này, chắc bạn cũng nghe nhiều về các vụ lộ thông tin, dữ liệu cá nhân bị đánh cắp đúng không? Thật ra, nguyên nhân chính yếu đằng sau những vụ việc rùm beng này lại không đến từ những virus tinh vi ghê gớm gì đâu.
Báo cáo về rò rỉ dữ liệu mới nhất từ Verizon cho thấy 74% các rò rỉ dữ liệu liên quan đến yếu tố con người như các tấn công phi kỹ thuật (social engineering). Hơn nữa, nghe có vẻ khó tin nhưng sự thật là nhiều công ty vẫn chưa trang bị cho nhân viên kiến thức bảo mật đầy đủ.
Dữ liệu mới từ Hornetsecurity cho thấy có đến 1/3 công ty chẳng đào tạo gì cho nhân viên làm việc từ xa, dù đây là xu hướng thời hậu Covid. Còn những công ty chịu khó đào tạo thì cũng chỉ làm qua loa mỗi năm một lần.
Lisa Plaggemier là giám đốc điều hành của Liên minh An ninh mạng Quốc gia (National Cyber Security Alliance) và có nhiều kinh nghiệm trong các chương trình nâng cao nhận thức về an ninh. Bà khẳng định kiểu đào tạo "đánh trống bỏ dùi" này chẳng hiệu quả chút nào. Thay vào đó, chúng ta cần những buổi đào tạo súc tích và thường xuyên hơn.
"Ngắn gọn nhưng thường xuyên. Tránh kiểu đào tạo vô nghĩa mỗi năm một lần", bà nói.
Đừng chỉ làm cho có lệ
Tăng tần suất đào tạo chỉ là một trong nhiều yếu tố để nâng cao hiệu quả của chương trình huấn luyện nhận thức an ninh mạng. Vậy trong bối cảnh các mối đe dọa đang thay đổi từng ngày, đâu mới là một chương trình thực sự hiệu quả?
"Tại Liên minh An ninh mạng Quốc gia, nhiều hành vi mà chúng tôi muốn thay đổi có tính chất tương tự nhau. Do đó, các lời khuyên của chúng tôi cũng giống nhau, chẳng hạn như sử dụng xác thực đa yếu tố (MFA) hay báo cáo các email lừa đảo. Tuy nhiên, chúng tôi truyền tải những thông điệp này thông qua nhiều cách thức khác nhau theo thời gian. Những thông điệp này sử dụng nhiều cách tiếp cận đa dạng, ví dụ như kể chuyện từ góc nhìn của nạn nhân, từ góc nhìn của người bảo vệ, hay tận dụng các sự kiện thời sự đang diễn ra." - ông Plaggemier cho biết.
Hấp dẫn, kịp thời, thu hút và dễ nhớ. Nghe thì có vẻ đơn giản, phải không? Nhưng thực tế lại không dễ dàng như vậy. Theo Tiến sĩ Jason Nurse, giám đốc khoa học và nghiên cứu tại CybSafe kiêm phó giáo sư về an ninh mạng tại Đại học Kent, vấn đề then chốt cản trở nhiều công ty chính là thái độ.
"Nhiều chương trình nâng cao nhận thức an ninh mạng vẫn thất bại vì người tổ chức chỉ xem đó như một nghĩa vụ bắt buộc phải hoàn thành. Các tổ chức thường chỉ tập trung vào việc tuân thủ và đáp ứng các yêu cầu cơ bản, dẫn đến các khóa đào tạo thiếu chiều sâu và không thu hút người học." - ông Nurse cho biết.
Để kiến thức ở lại lâu hơn
Làm thế nào để có thể xây dựng một chương trình giúp mọi người không chỉ nhớ mà còn áp dụng được vào thực tế? Theo ông Nurse, có một cách là truyền tải nội dung qua kênh giao tiếp phù hợp với người học.
Nghiên cứu của CybSafe đầu năm nay cho thấy 79% nhân viên dễ dàng tiếp thu các lời khuyên về an ninh mạng hơn nếu chúng được gửi qua các ứng dụng quen thuộc như Slack hay Teams. Hơn nữa, 90% người được hỏi cho rằng việc nhận các lời nhắc nhở ngắn gọn như vậy là cực kỳ hữu ích.
Nhắc nhở thường xuyên sẽ giúp mọi người nhớ kiến thức lâu hơn. Nghiên cứu chỉ ra rằng những người nhận thông tin về an ninh mạng hàng ngày hoặc hàng tuần có khả năng ghi nhớ nội dung cao gấp đôi so với những người chỉ nhận thông tin hàng tháng, hàng quý hoặc hàng năm. Điều này cũng giống như việc học ngoại ngữ vậy – "mưa dầm thấm lâu".
"Việc trang bị kiến thức cơ bản về vệ sinh mạng thông qua các khóa đào tạo thường xuyên và hấp dẫn là điều cần thiết. Nhưng chúng ta cũng phải giúp nhân viên bằng cách trình bày thương phương thức mà họ muốn. Đào tạo không chỉ dừng lại ở việc truyền đạt thông tin. Nó còn phải hướng dẫn mọi người cách hành xử an toàn trong các hoạt động hàng ngày của họ. Hơn nữa, chương trình đào tạo cần đảm bảo mọi người biết nơi để tìm kiếm sự trợ giúp khi cần." - ông Nurse nói.
Một cách khác để nhân viên nhớ lâu hơn là cá nhân hóa nội dung cho các vai trò khác nhau.
Phương pháp huấn luyện chung chung cho tất cả chỉ "đáp ứng ở mức tối thiểu cho việc tuân thủ quy định về an ninh mạng. Sau khi đã đáp ứng các nghĩa vụ đó, mỗi cá nhân nên được tham gia huấn luyện phù hợp với vai trò và rủi ro cụ thể mà họ có thể gặp phải trong công việc." - trích lời ông Plaggemier.
Chuyên gia Burton của Tessian bật mí, nhiều tổ chức hay mắc sai lầm khi đào tạo chung chung, chẳng để ý gì đến văn hóa và bức tranh tổng thể của chính mình.
"Các chương trình thường bỏ qua trải nghiệm tổng thể của nhân viên, chẳng hạn như văn hóa hiện tại của tổ chức, sự quan tâm từ lãnh đạo và môi trường mà nhân viên dành phần lớn thời gian và công sức của họ. Nhiều chương trình còn bỏ qua nhân viên không thuộc bộ phận kỹ thuật và thiếu sự hướng dẫn để áp dụng kiến thức đã học vào thực tế."
Ông Nurse nói thêm: "Không có một cách duy nhất để huấn luyện mọi người về an ninh mạng. Chỉ có cách phù hợp nhất cho tổ chức, phòng ban hoặc nhóm của bạn."
Hiểu rõ đối tượng
Để mọi người thật sự ghi nhớ những kiến thức bảo mật, điều quan trọng không kém là phải hiểu rõ đối tượng nhắm tới là ai. Giống như một diễn viên hài độc thoại, bạn cần phải hiểu người nghe muốn gì, thích gì thì họ mới để tâm đến những gì bạn trình bày.
Chị Burton chia sẻ:
"Bước đầu tiên là đặt mình vào vị trí của người khác. Người hướng dẫn cần phải hiểu rõ những người mà họ đang đào tạo. Việc lặp lại kiến thức trong một khoảng thời gian dài, đồng thời giới thiệu nội dung theo nhiều cách khác nhau cũng sẽ giúp mọi người ghi nhớ tốt hơn. Và cuối cùng, đừng quên tạo không khí vui vẻ! Các tổ chức thường lo sợ sự khác biệt nên mọi thứ trở nên nhàm chán và mọi người không còn hứng thú tham gia. Tuy nhiên, mọi người thường có xu hướng ghi nhớ những nội dung độc đáo. Khác biệt ở đây là tốt! Hãy hài hước, sáng tạo và tạo ra niềm vui!"
Ngoài phòng thoát hiểm, chị Burton còn tổ chức cả cuộc thi kể chuyện ma. Nhân viên sẽ viết những câu chuyện Halloween rùng rợn về cách họ sẽ tấn công công ty. Chị ấy cũng tạo ra những tình huống giả định, đặt mọi người vào vị trí chuyên gia phân tích an ninh của công ty để họ đánh giá mức độ an toàn của các đối tác cung cấp bên ngoài.
Với chị Burton chương trình hiệu quả nhất sẽ đề cập những rủi ro chính mà doanh nghiệp quan tâm. Nó cũng phải được điều chỉnh cho phù hợp với đối tượng và các khái niệm được trình bày theo nhiều cách khác nhau tùy theo thời điểm. Nội dung cũng phải dễ ghi nhớ nhờ cách truyền tải độc đáo, hài hước hoặc trải nghiệm sáng tạo.
"Yếu tố then chốt luôn là, và sẽ luôn là, tập trung vào con người."
Biến những buổi đào tạo nhàm chán thành những trải nghiệm đáng nhớ
Phần lớn các sự cố an ninh đều bắt nguồn từ lỗi của con người. Rõ ràng là cần phải tìm cách giúp nhân viên "thấm" được vấn đề an ninh mạng.
Kim Burton, chuyên gia về an ninh tại Tessian, có vài bí kíp hay ho để giúp chương trình huấn luyện an ninh "dễ vào" hơn. Cùng nghía thử qua xem sao, nhất là khi bạn cần xây dựng chương trình như vậy cho công ty của mình.
- Hiểu người, hiểu cảnh: Con người ta quên nhanh lắm, thế nên phải biết cách "đánh" vào trí nhớ của họ. Tìm hiểu xem họ tiếp thu thông tin kiểu gì, có động lực gì, rồi từ đó thiết kế chương trình cho phù hợp.
- Tiếp cận toàn diện: Phải hiểu rõ nhân viên của bạn. Áp lực công việc, văn hóa công ty, trình độ chuyên môn, thậm chí cả "danh tiếng" của đội ngũ an ninh hay IT... tất cả đều quan trọng. Sếp lớn có ủng hộ an ninh mạng không? Việc này cũng nên được xem xét kỹ lưỡng.
- Kể chuyện: Đừng biến việc đào tạo về an ninh mạng thành những bài giảng khô khan, hãy kể chuyện! Chia sẻ những câu chuyện có thật, những tình huống dở khóc dở cười từ chính công ty bạn, hay thậm chí là từ chính trải nghiệm của bạn. Khi thấy hình ảnh của mình trong những câu chuyện, nhân viên sẽ dễ dàng tiếp thu hơn. Mục tiêu là mỗi cá nhân đều hiểu được vai trò của mình trong việc đảm bảo an ninh cho cả tổ chức.
- Chơi trò chơi: Học mà chơi, chơi mà học. Hãy trò chơi hóa các khóa học an ninh mạng, và đừng chỉ dừng lại ở bảng xếp hạng. Tận dụng sự hiểu biết của bạn về văn hóa công ty và tâm lý nhân viên để tạo ra những thử thách hấp dẫn. Bạn có thể tạo ra những câu đố hóc búa, khuyến khích sự tò mò, khơi gợi niềm vui khám phá tri thức, và đừng quên ghi nhận sự tiến bộ của mọi người.
- Xây dựng lòng tin: Hãy biến đội ngũ an ninh mạng thành những người bạn đồng hành đáng tin cậy. Mọi người có thể thoải mái tìm đến bạn để trao đổi thông tin, giãi bày những băn khoăn, thậm chí là những sai lầm liên quan đến an ninh mạng. Bằng cách xây dựng mối quan hệ thân thiết, bạn sẽ tạo ra một môi trường cởi mở, nơi mọi người sẵn sàng học hỏi và cùng nhau bảo vệ tổ chức.
Theo Dark Reading.