Khái niệm văn hóa bảo mật đang ngày càng phổ biến trong các tổ chức, thường xuất hiện trong các cuộc trò chuyện giữa những chuyên gia về an ninh và trên các phương tiện truyền thông đại chúng. Tuy nhiên định nghĩa của thuật ngữ này chưa thực sự rõ ràng và còn thiếu những hướng dẫn cụ thể về cách bắt đầu xây dựng một văn hóa bảo mật tích cực. Các tổ chức chỉ mới chớm những ý tưởng mơ hồ về mức độ văn hóa bảo mật mà họ cần và cách thức thực hiện nó. Bài viết này cung cấp cái nhìn tổng quan về cách bắt đầu xây dựng văn hóa bảo mật tích cực trong tổ chức của bạn.

Bạn biết không, sự thay đổi văn hóa không xảy ra chỉ sau một đêm, bởi điều này đòi hỏi sự tập trung và kiên nhẫn. Và một khi văn hóa an toàn thông tin được thiết lập vững chắc, thì công tác duy trì sẽ dễ dàng hơn, các nhân viên mới sẽ hòa nhập và gắn bó với nó nhanh hơn.

Chúng ta thường có thói quen học hỏi các hành vi từ môi trường xung quanh. Khi bắt đầu làm việc ở một công ty mới, chúng ta sẽ bắt chước các hành vi của đồng nghiệp mà chúng ta thấy. Ví dụ, nếu mọi người trong tổ chức luôn khóa máy tính trước khi rời khỏi bàn làm việc, những người mới thường sẽ học thói quen này mà không cần phải nghĩ nhiều, vì họ thấy rằng đó là thói quen mọi người ở đây thực hiện.

Định nghĩa về văn hoá bảo mật

Đối với nhiều tổ chức, việc định nghĩa văn hoá bảo mật không dễ dàng vì đây là một khía cạnh trừu tượng, khó để hiểu một cách chính xác. Nếu không hiểu sâu về văn hóa bảo mật là gì và không biết mục tiêu cuối cùng mà chúng ta muốn đạt được, khả năng thất bại là rất cao. KnowBe4 định nghĩa văn hóa bảo mật như sau:

“Văn hóa bảo mật là tập hợp các ý tưởng, thói quen và hành vi xã hội của một nhóm người ảnh hưởng đến việc thực hiện an ninh của họ.”

Khi được định nghĩa như vậy, khái niệm về văn hóa bảo mật trở nên ít phức tạp hơn. Một cách tổng quát, văn hóa bảo mật có thể được mô tả như “Những hành động mọi người thực hiện khi họ không được giám sát”.

Hãy nhớ định nghĩa đơn giản này khi làm việc để thay đổi văn hóa bảo mật của tổ chức bạn. In ra và dán nó lên màn hình hoặc viết nó ra và để ở nơi nào đó mà bạn có thể thấy được. Điều này giúp bạn nhớ mục tiêu của mình và giữ tập trung vào nó trong quá trình làm việc để thay đổi văn hóa bảo mật của tổ chức.

Giới thiệu về 07 khía cạnh của văn hóa bảo mật

Trong bài nghiên cứu được công bố vào năm 2019 bởi KnowBe4 Research có tên “07 Khía Cạnh Của Văn Hóa Bảo Mật”, các tác giả xác định 07 khía cạnh của văn hóa bảo mật và giải thích cách chúng được sử dụng để đo lường văn hóa bảo mật của một tổ chức:

• Thái độ của nhân viên đối với bảo mật và chính sách bảo mật
• Hành vi của nhân viên
• Các quá trình nhận thức liên quan đến bảo mật
• Chất lượng của sự giao tiếp
• Tuân thủ các chính sách bảo mật
• Các quy tắc không bằng văn bản hoặc quy ước của tổ chức
• Trách nhiệm cá nhân

Khi bắt đầu cải thiện văn hóa bảo mật của tổ chức, việc chọn ra những hành vi cụ thể để tập trung là rất quan trọng. Tuy nhiên, bạn nên chọn các hành vi mà bao quát một hoặc hai khía cạnh thay vì cố gắng đảm bảo tất cả các khía cạnh đều được cải thiện cùng một lúc. Lưu ý là các khía cạnh này không đứng độc lập. Điều chỉnh và cải thiện ở một khía cạnh có thể ảnh hưởng đến các khía cạnh khác.

Nguyên tắc ABCs của việc thay đổi văn hóa bảo mật

Nguyên tắc ABC là một khái niệm quan trọng khi bạn xem xét cách thay đổi văn hóa bảo mật. ABC là viết tắt cho:

A – Awareness (Nhận thức)

B – Behavior (Hành vi)

C – Culture (Văn hoá)

Nguyên tắc ABCs

Nguyên tắc này đơn giản nhưng quan trọng. Nhận thức có thể ảnh hưởng đến hành vi, và thay đổi hành vi có thể dẫn đến thay đổi văn hóa. Nhưng việc thay đổi hành vi của từng cá nhân không dẫn đến thay đổi văn hóa của tổ chức, mà cần sự thay đổi hành vi của một nhóm người có thể dẫn đến sự thay đổi tổng thể trong văn hóa của tổ chức đó.

Đọc thêm: Đào tạo nhận thức An toàn thông tin là gì?

07 bước cải thiện văn hoá bảo mật cho tổ chức

Bước đầu trên hành trình thay đổi thường gặp nhiều khó khăn nhất. Nhiều người được giao nhiệm vụ cải thiện văn hóa bảo mật cho tổ chức lại không được đào tạo chính thức về cách thay đổi hành vi của con người. Dưới đây là bảy bước cơ bản trong chu trình cải thiện.

Bước 1: Chọn Một Hoặc Hai Hành Vi Bạn Muốn Thay Đổi

Để cải thiện văn hóa bảo mật của tổ chức, bạn cần hiểu rõ về các rủi ro mà tổ chức đang đối mặt. Sau đó chọn những hành vi quan trọng nhất để thay đổi dựa trên mức độ ảnh hưởng của chúng đối với rủi ro. Các báo cáo về an ninh thông tin như Báo cáo Điều tra Xâm nhập Dữ liệu của Verizon (Data Breach Investigations Report – DBIR) có thể giúp bạn xác định các mối đe dọa hiện tại.

Khi bạn xem xét cải thiện văn hóa bảo mật của tổ chức, quan trọng là đánh giá mức độ quan trọng của các mối đe dọa khác nhau. Ví dụ, lừa đảo chuyển khoản có phải là mối đe dọa quan trọng không? Ransomware có đang là vấn đề chính? Các mối đe dọa về vật lý có đang tăng lên không? Chọn một hoặc hai hành vi để dành sự tập trung và có từ ba đến sáu tháng để thực hiện những thay đổi đó, không thay đổi quá nhiều cùng lúc. Sau khi bạn đã thực hiện một hoặc hai chu kỳ, bạn có thể điều chỉnh tốc độ dựa trên sự thích nghi của tổ chức với những thay đổi.

Một cuộc khảo sát văn hóa bảo mật sẽ giúp xác định điều gì cần cải thiện trong tổ chức và cũng có thể giúp bạn quyết định xem nên tập trung vào hành vi nào. Thay đổi trong một khía cạnh có thể ảnh hưởng đến các khía cạnh khác. Ví dụ, nếu nhân viên có thái độ tiêu cực đối với các chính sách bảo mật, điều này có thể dẫn đến rủi ro nhiễm ransomware do họ không tuân thủ. Vì vậy điều cần tập trung là cải thiện thái độ của họ. Đây chỉ là một ví dụ, nhưng nó minh họa cách chúng liên kết với nhau.

Đọc thêm: Ransomware là gì? Những điều cần biết về Ransomware

Mặc dù việc thu hút sự ủng hộ từ các quản lý cấp cao xuất hiện ở những bước sau, nhưng đây là một giai đoạn quan trọng để các lãnh đạo hiểu và ủng hộ cho việc tạo ra một môi trường làm việc an toàn. Bạn cần thông báo cho họ về việc cải thiện văn hóa bảo mật và giải thích tại sao điều đó lại quan trọng. Điều này sẽ giúp bạn có được sự đồng tình của họ và đưa họ tham gia vào quá trình cải thiện văn hóa bảo mật trong tổ chức.

Bước 2: Lên Kế Hoạch Thay Đổi Hành Vi Toàn Bộ Tổ Chức

Hành vi có thể được ảnh hưởng trực tiếp thông qua các phương tiện chính thống, chẳng hạn như trong trường hợp tạo hoặc thay đổi chính sách. Hoặc có thể được thực hiện một cách không chính thống, thường thông qua việc tổ chức các hoạt động, sự kiện hoặc các chiến dịch.

Ví dụ, trong một tổ chức, việc mở cửa sau để cho nhân viên ra ngoài hút thuốc đã trở thành một thói quen lâu năm. Để thay đổi hành vi này, có thể có hai cách:

• Cập nhật chính sách nội bộ, nêu rõ rằng việc để cửa sau mở khi hút thuốc là không được phép.
• Nếu có nhân viên ra ngoài hút thuốc và đóng cửa lại, thảo luận với những người xung quanh về sự nguy hiểm của việc để cửa mở khi hút thuốc, sau đó đi vào bằng lối khác hoặc sử dụng thẻ để vào lại văn phòng, những người khác có thể bắt chước và thay đổi thói quen.

Mỗi cách thức đều có ưu điểm và nhược điểm riêng, tuy nhiên cả hai đều tác động đến hành vi của các nhân viên khác.

Thay đổi hành vi trong lĩnh vực bảo mật thông tin có thể được xem giống như triển khai một dự án công nghệ. Hãy xem xét tất cả yếu tố như thời gian và tài nguyên cần thiết cho việc thay đổi. Ngoài ra, hãy tìm hiểu về các nguy cơ có thể xảy ra và cách để giảm thiểu chúng. Đối với những người không làm việc trong lĩnh vực kỹ thuật, bạn vẫn có thể sử dụng các kỹ thuật và công cụ quản lý dự án từ các lĩnh vực khác để hỗ trợ việc thay đổi hành vi và cải thiện văn hóa bảo mật.

Khi lập kế hoạch, điều quan trọng là xác định những người có thể hỗ trợ để thúc đẩy sự thay đổi, ngay cả khi họ không thuộc bộ phận của bạn. Họ có thể hỗ trợ rất nhiều trong việc thực hiện các kế hoạch bằng cách áp dụng và phổ biến cho những người trong tầm ảnh hưởng của họ. Sự cộng tác này giúp bạn thực hiện các thay đổi nhanh và hiệu quả hơn mà không tốn quá nhiều công sức.

Bước 3: Thu Hút Sự Ủng Hộ Từ Lãnh Đạo

Để thu hút sự quan tâm và hỗ trợ từ lãnh đạo, bạn cần chuẩn bị một bản tóm tắt riêng biệt. Nội dung của bản tóm tắt nên tập trung vào lý do cần thay đổi, nguy cơ cho tổ chức nếu không thực hiện thay đổi, những ai tham gia vào kế hoạch, tài nguyên cần thiết và lịch trình dự kiến.

Bạn không cần đi vào quá chi tiết, nhưng hãy sẵn sàng cung cấp thông tin mà họ cần để đưa ra quyết định, và nếu có thể, thu thập những cam kết từ họ để đưa ra các thay đổi hành vi cho toàn tổ chức. Bắt đầu bằng những thay đổi nhỏ, dễ cam kết, ví dụ như yêu cầu họ khóa máy tính khi rời khỏi chỗ làm việc. Khi tiến hành qua nhiều giai đoạn và chứng minh được tính hiệu quả, lãnh đạo sẽ dễ dàng cam kết cho các thay đổi lớn hơn.

Khi đề xuất với các nhà lãnh đạo cấp cao, bạn có thể tham khảo cách tiếp cận như sau:

“Một trong những mối đe dọa lớn nhất trong ngành của chúng ta hiện nay là ransomware (mã độc tống tiền). Vì số tiền trung bình phải trả để chuộc lại dữ liệu là $570,000 và chi phí phục hồi dữ liệu có thể cao hơn rất nhiều so với con số đó, tôi muốn tập trung vào việc giúp mọi người nhận biết và báo cáo những email lừa đảo (phishing), bởi đây thường là cách ransomware xâm nhập vào hệ thống. Đội an ninh sẽ làm việc sát sao để ngăn chặn chúng trước khi xảy ra hậu quả nghiêm trọng. Sự cam kết của sếp khi đề cập đến điều này trong cuộc họp toàn bộ nhân viên trong tương lai sẽ giúp đỡ đội nhóm rất nhiều. Tôi sẽ cung cấp chi tiết sau. Cảm ơn sự hỗ trợ của sếp.”

Đây là một cách trình bày đơn giản, ngắn gọn, dễ hiểu và không đòi hỏi cam kết quá nặng nề từ phía lãnh đạo, đủ để trình bày khi đi thang máy. Trong tổ chức, nhân viên thường sẽ nhận thức và điều chỉnh hành vi, thái độ giống với cách mà lãnh đạo thể hiện. Do đó, bằng cách khuyến khích và thúc đẩy các hành vi bảo mật thông qua các hoạt động được chấp nhận ở các lãnh đạo cấp cao có thể giúp xây dựng văn hóa bảo mật trong tổ chức hiệu quả hơn.

Bước 4: Truyền Thông Mạnh Mẽ

Bước 04 giải thích tại sao chúng ta cần thay đổi hành vi của những người trong tổ chức.

Hãy tưởng tượng việc khóa máy tính khi rời khỏi bàn làm việc chỉ trong vài phút. Mặc dù có vẻ không quá phức tạp, nhưng thay vì người đó đơn giản chỉ cần đứng lên, đi vào phòng nghỉ và lấy cà phê, bây giờ chúng ta đang yêu cầu họ phải khóa máy khi họ ra khỏi chỗ làm, và rất có thể phải nhập mật khẩu để mở khóa khi họ trở lại. Nếu họ không hiểu tại sao việc này quan trọng hoặc không liên quan đến công việc của họ, nó có thể gây ra sự bất mãn và khó chịu.

Đó là lý do tại sao việc truyền đạt thông tin đóng một vai trò quan trọng trong sự thành công của việc thay đổi hành vi và cải thiện văn hóa bảo mật. Có thể thông báo cho mọi người về những thay đổi sắp tới bằng cách gửi email cho nhân viên với một thông điệp. Hoặc nếu có thể, hãy yêu cầu một nhà quản lý cấp cao gửi nó! Ví dụ:

“Nhóm bảo mật an ninh đã phát hiện rằng tội phạm mạng đang sử dụng chiêu thức kỹ thuật xã hội để xâm nhập vào các văn phòng. Họ thường giả làm nhân viên vệ sinh, người bảo trì hoặc ứng viên xin việc để tiếp cận các máy tính chưa khóa màn hình và cài đặt virus. Điều này có thể dẫn đến việc đánh cắp dữ liệu và trộm danh tính cá nhân.

Để đối phó với tình huống này cũng như đảm bảo bảo mật thông tin của bạn và đồng nghiệp, chúng tôi đã thiết lập một chính sách mới: Trước khi rời khỏi máy tính của mình (dù chỉ trong một phút), bạn cần phải khóa máy tính. Xin vui lòng hỗ trợ chúng tôi trong việc bảo vệ tất cả mọi người.”

Trong một số tình huống, việc truyền thông trực tiếp có thể phù hợp hơn.

Hãy kêu gọi những nhân viên quan tâm đến vấn đề bảo mật thông tin ở Bước 02 tham gia. Những người này thường có mối nhiều quan hệ mật thiết hơn, và họ cũng có nhiều điểm chung nên sẽ dễ dàng truyền đạt thông điệp và khiến nó trở nên liên quan hơn đối với người khác. 

Bước 5: Thực Hiện Kế Hoạch

Hãy xác định mục tiêu rõ ràng cho kế hoạch của bạn và mô tả cụ thể kết quả thành công. Đặt thời hạn và lên lịch cho việc tuyên truyền và thực hiện từng phần của kế hoạch. Có thể khi thực hiện cần có sự linh hoạt, nhưng hãy tập trung vào mục tiêu và theo dõi tiến trình thực hiện mỗi khi có thể.

Hãy chuẩn bị tâm thế cho việc một số người sẽ gặp khó khăn trong việc chấp nhận những thay đổi. Chúng ta thường có xu hướng giữ thói quen cũ. Có thể sẽ có những lúc bạn phát hiện rằng: một phần của kế hoạch đang ảnh hưởng không tốt đến nhân viên. Trong trường hợp đó, hãy điều chỉnh và ghi nhớ những vấn đề đó khi lên kế hoạch cho giai đoạn tiếp theo. Tìm cách làm nổi bật những gì đang diễn ra tốt và những người đang đóng góp tích cực vào những thay đổi này.

Bước 6: Đo Lường Kết Quả

Sau khi hoàn thành kế hoạch, thực hiện một cuộc khảo sát văn hóa bảo mật mới để đo lường kết quả đã đạt được và xác định những khía cạnh cần phải cải thiện thêm. Đồng thời dùng những thông tin này để tìm ra những phương pháp đã hoạt động hiệu quả trong tổ chức của bạn để có thể áp dụng chúng trong tương lai.

Ví dụ về chiến dịch đánh giá văn hóa của KnowBe4

Tạo một bản báo cáo kết quả sau khi hoàn thành kế hoạch. Báo cáo này không cần quá chi tiết, nhưng có thể củng cố sự hiệu quả và dễ dàng nhận nhiều cam kết hơn trong tương lai từ các nhà lãnh đạo. Lưu ý rằng báo cáo đầy đủ thông tin về tình trạng trước – sau và những thay đổi đã xảy ra một cách rõ ràng. Ví dụ:

“Nhóm bảo mật an ninh vừa hoàn thành giai đoạn 01 của chiến dịch cải thiện văn hóa và nhận thấy rằng nhân viên đã cải thiện 20% về thái độ của họ đối với các chính sách bảo mật, dẫn đến việc họ tuân thủ các chính sách cải thiện 15%. Ngoài ra, số lượng phiếu yêu cầu hỗ trợ liên quan đến việc dọn dẹp virus giảm đi 20% và việc báo cáo các email lừa đảo đã tăng lên 32%. Điều này giúp chúng tôi hiểu rõ hơn về những mối đe dọa tiềm ẩn để có thể chuẩn bị phòng thủ tốt hơn. Chúng tôi mong chờ giai đoạn cải thiện văn hóa tiếp theo và sẽ thảo luận với sếp trong tương lai gần.”

Bước 7: Xác Định Chiến Lược Phát Triển Văn Hoá Bảo Mật

Sau khi đã đạt được các mục tiêu được đề ra, bạn cần xem xét tiếp các rủi ro và quyết định liệu nên tiếp tục theo đuổi mục tiêu cũ hay chuyển sang mục tiêu khác trong giai đoạn tiếp theo của kế hoạch.

Sau khi hoàn thành một giai đoạn, đánh giá những gì đã hoạt động tốt và những gì chưa hoạt động tốt. Điều này giúp bạn điều chỉnh mục tiêu cho giai đoạn tiếp theo để cải thiện khả năng thành công. Hãy kết nối với những người bạn nhận thấy có thay đổi tích cực để thu thập ý kiến phản hồi cũng như đề xuất về các hành vi có thể thực hiện trong tương lai. Họ có thể cung cấp những thông tin giá trị mà bạn có thể không biết từ các phòng ban khác.

Nếu bạn quyết định thay đổi mục tiêu, đừng quên tiếp tục củng cố những hành vi bạn đã khuyến khích để chúng không bị bỏ qua. Một hành động riêng biệt thường không đủ để tạo ra sự khác biệt, mà cần sự kết hợp và điều chỉnh liên tục để thực sự làm nên sự thay đổi.

Kết luận

Cải thiện văn hóa bảo mật có thể hơi phức tạp, đặc biệt là trong giai đoạn đầu. Tuy nhiên, hãy tin rằng văn hoá bảo mật của tổ chức bạn sẽ có chuyển biến tích cực và mang lại những giá trị lâu dài cho tổ chức. Hãy đi từng bước một và đừng cố gắng thay đổi quá nhiều và quá nhanh, sẽ gây nên tác dụng ngược. Việc giao tiếp có thể giúp sự thay đổi diễn ra nhanh hơn, đặc biệt nếu bạn giải thích được tại sao bảo mật là quan trọng đối với tổ chức.

Những gì bạn đọc được về bảo mật và văn hóa bảo mật có thể áp dụng trong cả cuộc sống cá nhân của bạn. Đừng chần chừ, hãy bắt đầu sớm để thấy rõ sự cải thiện trong bảo mật của bạn và tổ chức.

Để được tư vấn thêm thông tin về sản phẩm ĐÀO TẠO NHẬN THỨC AN TOÀN THÔNG TIN của KnowBe4, hãy liên hệ ngay Mi2 theo thông tin liên hệ:

Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) 

🌎 Website: www.mi2.com.vn 

📩 Email: [email protected]

Văn Phòng Hà Nội

Add: 7th Floor, Sannam Building, 78 Duy Tan Str., Dich Vong Hau Ward, Cau Giay Dist., Hanoi, Vietnam.

Tel: +84-24-3938 0390 |  Fax: +84-24-3775 9550

Văn phòng Hồ Chí Minh

Add: 5th &6th Floor, Nam Viet Building, 307D Nguyen Van Troi Str., Ward 1, Tan Binh Dist., Ho Chi Minh City, Vietnam.

Tel: +84-28-3845 1542  |  Fax: +84-28-3844 6448