Vì sao cần nâng cao nhận thức cá nhân trong an toàn thông tin?

Công nghệ bảo mật có thể ngày càng hiện đại, nhưng con người vẫn luôn là mắt xích rủi ro nhất. Không phải vì chúng ta kém hiểu biết, mà vì chúng ta bận rộn, tin người, và đôi khi chỉ muốn làm mọi thứ nhanh hơn một chút.

Dù tổ chức có đầu tư bao nhiêu vào tường lửa, mã hóa hay phần mềm diệt virus, chỉ cần một nhân viên nhấp vào email lừa đảo, sử dụng mật khẩu yếu, hay vô tình chia sẻ dữ liệu nhạy cảm, toàn bộ hệ thống có thể bị đe dọa. Đó là lý do vì sao nâng cao nhận thức cá nhân trở thành yếu tố cốt lõi trong việc quản lý rủi ro con người – hay còn gọi là Human Risk Management (HRM). Đây là cách tiếp cận mới giúp tổ chức không chỉ huấn luyện nhân viên biết về an ninh mạng, mà còn thay đổi hành vi thực tế để giảm thiểu rủi ro hiệu quả hơn.

Vì sao cần nâng cao nhận thức cá nhân trong an toàn thông tin?

Theo Báo cáo Điều tra Vi phạm Dữ liệu 2024 của Verizon, hơn 70% các vụ tấn công mạng liên quan đến yếu tố con người. Điều này cho thấy công nghệ chỉ là một phần, còn hành vi của nhân viên mới là “cửa ngõ” chính mà tin tặc khai thác.

Một số nguyên nhân khiến việc nâng cao nhận thức cá nhân trở nên cấp thiết:

• Sự gia tăng của các mối đe dọa mạng: Hacker ngày càng tinh vi trong việc lừa đảo (phishing, social engineering). 
• Làm việc từ xa & hybrid: Giám sát giảm, nguy cơ vi phạm tăng. 
• Áp lực tuân thủ: Các quy định như tiêu chuẩn ISO 27001, NIST hay PCI DSS yêu cầu đào tạo nhân sự rõ ràng. 
• Đa văn hóa doanh nghiệp: Nhân viên ở nhiều quốc gia có nhận thức bảo mật khác nhau. 
• Rủi ro danh tiếng: Một sai sót nhỏ trong rò rỉ dữ liệu hệ thống có thể gây tổn hại hình ảnh thương hiệu.

Chính vì vậy, nâng cao nhận thức cá nhân giúp quản lý rủi ro con người trong an ninh mạng hiệu quả hơn.

Hiểu đúng về “rủi ro con người” trong an ninh mạng

Rủi ro con người là khả năng hành động của cá nhân – dù cố ý hay vô tình – dẫn đến sự cố an ninh. Một số ví dụ điển hình bao gồm:

• Click nhầm vào email giả mạo (phishing) 
• Dùng lại mật khẩu yếu 
• Gửi nhầm tài liệu nhạy cảm ra ngoài 
• Vi phạm chính sách sử dụng dữ liệu 
• Rủi ro từ các “bẫy công nghệ” như các công cụ AI hiện nay: AI chatbox, Google Veo 3, Sora AI…

Những rủi ro này khác nhau giữa các phòng ban. Một nhân viên tài chính dễ bị nhắm vào hơn so với nhân viên kỹ thuật. Vì vậy, nâng cao nhận thức cá nhân không thể áp dụng “một kiểu cho tất cả”, mà cần phân nhóm, đo lường và huấn luyện có mục tiêu.

Chương trình HRM có khác gì với đào tạo nhận thức cá nhân theo kiểu truyền thống?

Trước đây, nhiều tổ chức chỉ tổ chức khóa học an ninh mạng 1 lần/năm, xem như hoàn thành yêu cầu tuân thủ. Nhưng mô hình này không giúp thay đổi hành vi thực tế. Đó là lý do Human Risk Management (HRM) ra đời. 

HRM là cách tiếp cận chiến lược dựa trên dữ liệu để xác định, đo được và giảm thiểu rủi ro đến từ hành vi con người trong an ninh mạng. Khác với security awareness training truyền thống chỉ dừng ở việc “nhắc nhở hoặc cảnh báo”, HRM có cách tiếp cận xa hơn, giúp tổ chức thật sự đo được, quản lý được và giảm rủi ro mạng như một chỉ số vận hành có thể quản trị được.

Human Risk Management (HRM) – Quản lý rủi ro con người đến từ KnowBe4 mang đến hướng tiếp cận mới:

• Theo dõi hành vi thật, không chỉ điểm danh học. 
• Phân tích dữ liệu từ email, mô phỏng phishing, cảnh báo DLP. 
• Cá nhân hóa đào tạo dựa trên vai trò nhân viên và mức rủi ro. 
• Huấn luyện liên tục thay vì học theo đợt. 
• Đo lường hiệu quả rõ ràng thông qua chỉ số rủi ro.

Nhờ vậy, thay vì chỉ “biết”, nhân viên thực sự hành động an toàn hơn trong công việc hàng ngày.

Các bước triển khai chi tiết chương trình HRM dựa trên nâng cao nhận thức cá nhân

Các 5 bước chính trong chương trình quản lý rủi ro con người (HRM):

1) Đánh giá hành vi

Human Risk Management bắt đầu từ khả năng quan sát hành vi thực tế. Vì vậy đội bảo mật cần dữ liệu để biết ai đang là nguồn rủi ro thực: ai hay nhấp vào email phishing, ai dùng mật khẩu yếu, hoặc ai thường xuyên tạo ra tín hiệu cảnh báo.

Nguồn dữ liệu thu thập được điển hình gồm:

• Kết quả các chiến dịch giả lập lừa đảo phishing 
• Báo cáo tái sử dụng thông tin đăng nhập, mật khẩu kém 
• Cảnh báo DLP (ví dụ: gửi file nhạy cảm ra ngoài) 
• Shadow IT/vi phạm chính sách bảo mật 
• Dữ liệu từ internal audit/IR

Tất cả input này hợp nhất thành Human risk scoring theo từng cá nhân/team và được theo dõi theo thời gian.

2) Phân tầng và ưu tiên rủi ro

Sau khi nhìn rõ rủi ro, tổ chức cần phân nhóm người dùng theo vai trò – mức truy cập – hành vi. Không phải ai cũng mang rủi ro ngang nhau.

• Nhân viên admin liên tục không hoàn thành bài kiểm tra phishing test => ưu tiên xử lý cực cao 
• Nhân viên marketing mới vừa gia nhập công ty => chủ yếu chỉ cần được hướng dẫn và hỗ trợ thêm

3) Can thiệp có mục tiêu

HRM hiệu quả không phải là các khóa đào tạo chung chung được gửi đại trà. Mà là những can thiệp chính xác – đúng ngữ cảnh – hướng trực tiếp vào thay đổi hành vi chứ không dừng lại ở nhận thức đúng:

Ví dụ:

• Microlearning theo vai trò 
• Nhắc nhở/hướng dẫn theo thời gian thực khi phát hiện hành vi rủi ro 
• “Nhắc nhẹ” (nudge) ngay trong luồng công việc (email/Slack) 
• Game hoá trải nghiệm học để tăng khả năng ghi nhớ và duy trì 
• Coaching 1:1 từ quản lý trực tiếp

4) Theo dõi và phản hồi liên tục

Rủi ro liên quan đến con người không phải vấn đề xử lý một lần là giải quyết xong. Vai trò thay đổi, kỹ thuật tấn công thay đổi và bối cảnh mối đe dọa cũng biến động theo từng quý.

Các chương trình HRM hiện đại phải liên tục cập nhật điểm rủi ro và có dashboard theo dõi xu hướng tăng/giảm. Các chỉ số KPI tiêu biểu gồm:

• Giảm tỷ lệ click vào mô phỏng phishing 
• Giảm các vi phạm chính sách hoặc cảnh báo DLP 
• Tăng tỷ lệ báo cáo các email đáng ngờ 
• Cải thiện thiết lập mật khẩu bảo mật cao

Những chỉ số này chứng minh giá trị của HRM bằng dữ liệu định lượng rõ ràng và phù hợp với ngôn ngữ doanh nghiệp.

5) Hợp tác của các bộ phận phòng ban

HRM không phải là một dự án chỉ thuộc riêng bộ phận CNTT. Nó cần sự thống nhất từ nhân sự, Tuân thủ, Pháp lý và Ban lãnh đạo điều hành.

• Tích hợp quản lý rủi ro con người vào quy trình tuyển dụng và quy trình đánh giá hiệu suất tiêu chuẩn 
•  Đảm bảo tuân thủ và điều chỉnh phù hợp với yêu cầu của các cơ quan quản lý 
• Bảo trợ hành vi và văn hoá từ trên xuống 

Mối quan tâm về lợi ích của việc nâng cao nhận thức cá nhân

Doanh nghiệp áp dụng mô hình HRM và đầu tư vào nâng cao nhận thức cá nhân sẽ đạt được:

• Giảm đáng kể sự cố do lỗi con người 
• Có cái nhìn rõ ràng về ai là người mang rủi ro và vì sao 
• Tiết kiệm ngân sách đào tạo, nhờ tập trung vào người cần thiết 
• Tăng khả năng tuân thủ với các tiêu chuẩn bảo mật quốc tế 
• Xây dựng văn hóa an toàn thông tin bền vững

Nói cách khác, nâng cao nhận thức cá nhân giúp quản lý rủi ro con người hiệu quả hơn, tạo nên hàng rào bảo vệ mạnh mẽ ngay từ bên trong tổ chức.

Đọc thêm: Xây dựng phòng tuyến vững chắc từ đào tạo nhận thức bảo mật

Kết luận

Công nghệ không thể thay thế vai trò của con người trong an ninh mạng. Muốn bảo vệ hệ thống hiệu quả, doanh nghiệp cần nâng cao nhận thức cá nhân cho từng nhân viên – giúp họ hiểu, hành động và duy trì thói quen an toàn kỹ thuật số.

Quản lý rủi ro con người không chỉ là trách nhiệm của bộ phận IT, mà là nỗ lực chung của toàn tổ chức. Và khi mỗi cá nhân trở thành “lá chắn”, bảo vệ hệ thống sẽ không còn là nỗi lo dai dẳng mà là văn hóa bền vững của doanh nghiệp.