Trang chủ / Tin tức

Văn hóa an ninh mạng – yếu tố không thể thiếu trong doanh nghiệp hiện đại

27/02/2024

Tại sao an ninh mạng quan trọng

Trong thời đại số hóa và công nghệ thông tin hiện nay, không có cá nhân hay tổ chức nào phản đối việc siết chặt an ninh mạng trong doanh nghiệp. Lý do rất đơn giản: các tổ chức ngày càng nhận thức rõ hơn về bản chất không ngừng thay đổi của các mối đe dọa xung quanh họ, đặc biệt khi các vụ rò rỉ dữ liệu, tấn công ransomware và tội phạm kỹ thuật số khác ngày càng gia tăng trong những năm gần đây.

Thống kê cho thấy, chỉ riêng trong quý 3 năm 2024, các cuộc tấn công mạng đã tăng 75% trên toàn cầu, và thậm chí tăng tới 114% tại Thụy Sĩ so với cùng kỳ năm 2023. Tần suất các cuộc tấn công mạng đã lên đến mức báo động – cứ khoảng 11 giây lại có một nạn nhân bị tấn công. Điều đáng lo ngại là không một doanh nghiệp nào có thể tự cho mình đứng ngoài cuộc – bất kể quy mô, ngành nghề, số lượng tài sản hay nhân viên.

Với việc ứng dụng ngày càng nhiều công nghệ mới như phần mềm tiên tiến, điện toán đám mây và Internet vạn vật (IoT), các tổ chức vô tình tạo ra một bề mặt tấn công lớn cho tin tặc. Câu hỏi đặt ra là làm thế nào để đối phó với thách thức này và bảo vệ tài sản của doanh nghiệp?

Mặc dù việc triển khai một hệ thống an ninh mạng vững chắc là yếu tố cực kỳ quan trọng để bảo vệ tổ chức khỏi các mối đe dọa và lỗ hổng từ bên ngoài và bên trong, thì việc các doanh nghiệp chuyển sự chú ý sang những nhân tố ít được quan tâm hơn trong phương trình an ninh mạng — chính là con người — cũng quan trọng không kém. Dữ liệu là tài sản quý giá nhất của mọi doanh nghiệp, và khác với các tài sản vật lý như thiết bị, tòa nhà hay thậm chí con người, dữ liệu rất khó thay thế. Hầu hết các tổ chức phải mất nhiều năm để thu thập dữ liệu, và nhiều doanh nghiệp có thể phá sản khi mất đi nguồn tài sản này.

Lợi ích và lợi thế cạnh tranh từ an ninh mạng

Một chiến lược an ninh mạng hiệu quả không chỉ là một biện pháp phòng thủ mà còn là cơ hội để tạo ra lợi thế cạnh tranh đáng kể. Dưới đây là những lợi ích chính mà an ninh mạng mang lại:

Bảo vệ danh tiếng và thương hiệu: Khi khách hàng biết rằng doanh nghiệp đầu tư nghiêm túc vào việc bảo vệ dữ liệu, họ sẽ tin tưởng và trung thành hơn với thương hiệu. Ngược lại, các vụ vi phạm dữ liệu có thể gây tổn hại nghiêm trọng đến uy tín doanh nghiệp mà có khi phải mất nhiều năm mới khôi phục được.
Tạo niềm tin cho khách hàng: Khách hàng không muốn giao dịch với một công ty mà họ biết đã từng bị vi phạm dữ liệu. Sự quan tâm đúng mức đến an ninh mạng sẽ chỉ làm tăng uy tín thương hiệu và chi phí đào tạo an ninh sẽ được hoàn lại trong thời gian ngắn.
Thu hút cơ hội kinh doanh mới: Danh tiếng tốt về an ninh mạng sẽ thu hút các dự án kinh doanh mới từ những khách hàng cảm thấy an toàn khi làm việc với một công ty đã đầu tư vào bảo mật cho nhân viên, sản phẩm, giải pháp và đối tác của họ.
Giảm thiểu chi phí khắc phục sự cố: Chi phí trung bình của một vụ vi phạm dữ liệu là rất lớn, bao gồm không chỉ thiệt hại tài chính trực tiếp mà còn cả việc mất khách hàng, dự án kinh doanh và tăng tính dễ bị tổn thương trước các cuộc tấn công trong tương lai.
Tạo lợi thế cạnh tranh: Khi người tiêu dùng ngày càng quan tâm đến quyền riêng tư và bảo mật dữ liệu của họ, các công ty có thể sử dụng phương pháp tiếp cận mạnh mẽ đối với an ninh mạng như một điểm bán hàng độc đáo.

Nói một cách đơn giản, văn hóa an ninh mạng trong tổ chức là sự tương tác an toàn của nhân viên với các mối đe dọa kỹ thuật số xung quanh họ, cùng với việc tạo ra một môi trường thúc đẩy và lan tỏa các nguyên tắc an ninh mạng. Để xây dựng một nền văn hóa an ninh mạng bền vững và hiệu quả, doanh nghiệp cần phải đầu tư thời gian và nguồn lực một cách hợp lý.

Tại sao an ninh mạng cần được tích hợp vào nguồn nhân lực và văn hóa doanh nghiệp

Trong khi nhiều doanh nghiệp đầu tư mạnh vào các giải pháp công nghệ bảo mật, họ thường bỏ qua một sự thật quan trọng: 90% các cuộc tấn công mạng xuất phát từ lỗi con người. Không phải máy tính hay ứng dụng nhấp vào các email lừa đảo, mà chính là con người – đó là lý do tại sao các khoản đầu tư cho an ninh mạng cần được tập trung vào đây.

Con người đóng vai trò then chốt trong việc bảo vệ doanh nghiệp vì họ:

Là tuyến phòng thủ đầu tiên trước các mối đe dọa
Có quyền truy cập hàng ngày vào máy tính, mạng lưới và hệ thống của tổ chức
Đóng vai trò quan trọng trong việc xây dựng khả năng phục hồi trước các mối đe dọa

van hoa an ninh mang 2

Văn hóa an ninh mạng – Không chỉ là chính sách và quy trình

Văn hóa an ninh mạng trong môi trường làm việc không chỉ đơn thuần là áp đặt các chính sách mà không có lời giải thích thích hợp, hoặc yêu cầu nhân viên thay đổi mật khẩu thường xuyên. Nhân viên không cố ý đặt tổ chức của họ vào tình trạng rủi ro, họ chỉ cần được đào tạo và hướng dẫn để tránh các loại tội phạm mạng khác nhau.

Đó là lý do tại sao các tổ chức cần làm việc để xây dựng văn hóa bảo mật của họ. Điều này bao gồm việc dành nhiều thời gian hơn để giải thích và nâng cao nhận thức của nhân viên về các rủi ro mạng có thể xảy ra và hậu quả của chúng, thực thi các quy trình bảo mật an toàn sẽ dễ dàng hòa nhập với thói quen làm việc hàng ngày của họ, và chỉ cho họ thấy hành vi của họ có thể giúp hoặc cản trở toàn bộ cấu trúc của tổ chức, từ giải pháp và sản phẩm của họ đến các nhà cung cấp bên thứ ba.

Ba cấp độ của văn hóa an ninh mạng

Để định nghĩa “văn hóa”, điều quan trọng là phân biệt giữa các cấp độ mà nó thể hiện. Những cấp độ này dao động từ những biểu hiện hữu hình mà người ta có thể nhìn thấy và cảm nhận, đến những giả định cơ bản sâu sắc, vô thức có thể được định nghĩa là bản chất của văn hóa. Giữa hai cấp độ này là những niềm tin khác nhau mà các thành viên của văn hóa sử dụng để đại diện cho văn hóa đối với chính họ và người khác.

Hiện vật (Artifacts): Là những thứ trực tiếp nhìn thấy được, có thể quan sát, thấy và cảm nhận trong tổ chức, như cấu trúc và quy trình. Cấp độ đầu tiên này phản ánh “cách chúng tôi làm mọi thứ ở đây”.
Ví dụ, một tài liệu chính sách bảo mật thông tin là một hiện vật chính thức xác định cách xử lý bảo mật thông tin trong tổ chức của bạn.
Từ các hiện vật hữu hình, bạn có thể kết luận nhiều về văn hóa, đặc biệt là văn hóa an ninh mạng. Hãy dành vài phút để tìm hiểu các hiện vật hữu hình trong chương trình an ninh mạng của công ty bạn. Có khó khăn để tìm thấy không? Bạn đã biết tất cả các tài liệu và nơi tìm chúng chưa? Tất cả nhân viên có biết về chúng không? Nếu không, có lẽ chưa có văn hóa an ninh mạng được thiết lập trong tổ chức của bạn.
Giá trị được công bố (Espoused values): Là các tuyên bố chính thức của tổ chức liên quan đến chiến lược, mục tiêu, giá trị, niềm tin và nguyên tắc. Một tuyên bố như vậy có thể là cam kết tôn trọng quyền riêng tư của người dùng đối với dữ liệu của họ. Các nguồn giá trị, niềm tin và nguyên tắc khác là tuyên bố tầm nhìn hoặc sứ mệnh.
Giả định cơ bản (Underlying assumptions): Các giả định ngầm được chia sẻ là lớp ẩn của bất kỳ văn hóa tổ chức nào. Chúng là lý do tại sao các nền văn hóa không thể thay đổi chỉ bằng cách tạo ra và xuất bản một tài liệu chính sách mới. Những giả định này được xây dựng theo thời gian và phản ánh kinh nghiệm và kiến thức tích lũy của một tổ chức về cách thành công.
Ví dụ, trong một thị trường mà hiệu quả và thời gian đưa sản phẩm ra thị trường nhanh chóng là rất quan trọng, nhân viên xây dựng chiến lược để thành công trên thị trường này. Theo thời gian, những chiến lược này trở nên gắn liền với tổ chức đến mức chúng trở thành vô thức và ẩn giấu. Bởi vì chúng là một phần không thể thiếu của thành công trong quá khứ của công ty, nên rất khó để làm việc chống lại chúng nếu, ví dụ, môi trường bên ngoài thay đổi như khi giới thiệu GDPR vào năm 2018.

Hiểu được ba cấp độ này giúp chúng ta nhận ra rằng việc xây dựng văn hóa an ninh mạng đòi hỏi nhiều hơn là chỉ ban hành các chính sách và quy trình. Nó đòi hỏi một sự thay đổi sâu sắc trong những giả định cơ bản của mọi người về tầm quan trọng của an ninh mạng và vai trò của họ trong việc duy trì nó.

Những thách thức trong việc xây dựng văn hóa an ninh mạng

Mặc dù tầm quan trọng của văn hóa an ninh mạng đã được chứng minh rõ ràng, nhưng việc xây dựng và duy trì một nền văn hóa như vậy không phải là không có thách thức. Dưới đây là một số rào cản chính mà các tổ chức thường gặp phải:

1. Thiếu sự tham gia của nhân viên

Mặc dù nhiều tổ chức tập trung vào việc phát triển nhận thức về an ninh mạng, không phải tất cả các cá nhân đều hiểu vai trò của họ trong văn hóa bảo mật của tổ chức. Nhận thức thường cao trong các đội ngũ IT và bảo mật, nhưng họ chỉ là một phần nhỏ trong bức tranh tổng thể.

Theo một báo cáo được công bố bởi CompTIA, 50% nhân viên chưa bao giờ được đào tạo chính thức về an ninh mạng, vì vậy không có gì ngạc nhiên khi 96% trong số họ vẫn lưu mật khẩu trên các thiết bị của họ để “truy cập dễ dàng”.

Nhưng khi đào tạo bảo mật tiêu chuẩn thường có nghĩa là một video hướng dẫn nhàm chán hoặc một bài thuyết trình PowerPoint buồn tẻ, chúng ta không thể thực sự trách nhân viên vì thiếu nhận thức. Đào tạo bảo mật cần phải hơn cả một yêu cầu hàng năm đơn thuần. Nó cần phải là một trải nghiệm tương tác và hấp dẫn sẽ củng cố vai trò của họ trong tư thế bảo mật của tổ chức.

2. Thiếu sự tham gia của ban lãnh đạo

Khi nói về nhân viên, tâm trí chúng ta ngay lập tức nghĩ đến “người lao động”, nhưng khi suy nghĩ về mặt văn hóa an ninh mạng, chúng ta cần phải bao gồm cả quản lý và lãnh đạo điều hành. Tất cả họ đều đóng một vai trò tập thể trong khả năng phục hồi an ninh mạng của một tổ chức.

Vì lãnh đạo và quản lý thường bị loại trừ, việc thiếu sự tham gia từ phía họ là một trở ngại khác cho một tổ chức cần một nền văn hóa an ninh mạng lành mạnh.

Vì lý do đó, đào tạo bảo mật mang nhân viên, quản lý và điều hành lại với nhau là điều cần thiết để mở ra đối thoại. Chia sẻ kinh nghiệm của họ và khám phá các mối đe dọa khác nhau mà họ gặp phải trong các vai trò tương ứng của họ sẽ cung cấp đầu vào tốt hơn cho nhận thức về an ninh mạng trên các cấp độ khác nhau của tổ chức.

3. Cân bằng giữa bảo mật và năng suất

Một thách thức lớn khác là tìm ra sự cân bằng phù hợp giữa các biện pháp bảo mật nghiêm ngặt và việc duy trì năng suất của nhân viên. Các chính sách bảo mật quá nghiêm ngặt có thể làm chậm quy trình công việc, khiến nhân viên tìm cách đi tắt hoặc bỏ qua các biện pháp bảo mật để hoàn thành công việc của họ.

Như Michel Sahli, một chuyên gia bảo mật đã nói: “Biện pháp bảo mật tốt nhất là loại bạn không nhìn thấy và cho phép nhân viên làm việc hiệu quả.” Việc tạo ra các giải pháp bảo mật vừa hiệu quả vừa thân thiện với người dùng là một thách thức liên tục.

4. Thay đổi thói quen đã ăn sâu

Con người thường có xu hướng chống lại sự thay đổi, đặc biệt khi nó liên quan đến việc thay đổi thói quen làm việc hàng ngày đã trở nên quen thuộc. Việc thuyết phục nhân viên từ bỏ những thực hành không an toàn nhưng tiện lợi (như sử dụng mật khẩu đơn giản hoặc chia sẻ thông tin đăng nhập) có thể rất khó khăn.

5. Duy trì nhận thức liên tục

An ninh mạng không phải là một nỗ lực một lần mà là một quá trình liên tục. Các mối đe dọa không ngừng phát triển, và duy trì mức độ cảnh giác cao trong toàn bộ tổ chức theo thời gian là một thách thức đáng kể. Nhân viên có thể trở nên tự mãn hoặc quá tải với thông tin bảo mật, dẫn đến “mệt mỏi về bảo mật” – một hiện tượng khiến họ bỏ qua hoặc không quan tâm đến các mối đe dọa tiềm ẩn.

van hoa an ninh mang 2 — An ninh mạng không phải là một nỗ lực một lần mà là một quá trình liên tục

Làm thế nào để xây dựng và thực hiện văn hóa an ninh mạng hiệu quả

Việc có một nền văn hóa an ninh mạng bền vững không chỉ là một sự kiện một lần – đó là một chu kỳ sẽ tạo ra lợi nhuận mãi mãi.

Khoản đầu tư này chắc chắn sẽ mang lại lợi ích: Một nền văn hóa an ninh mạng trao quyền cho các tổ chức hướng dẫn hành vi của nhân viên khi tương tác với tài sản thông tin, từ đó giúp họ hiểu và tránh các hoạt động có thể gây nguy hiểm cho tổ chức và tài sản của họ.

Dưới đây là năm lời khuyên thiết thực về cách xây dựng văn hóa an ninh mạng:

1. Giành được sự ủng hộ từ ban lãnh đạo cao cấp

Sự cam kết của đội ngũ lãnh đạo là rất quan trọng để thiết lập thành công một nền văn hóa an ninh mạng và mang lại sự thay đổi thực sự. Cụ thể hơn: một đội ngũ lãnh đạo chủ động quản lý và thúc đẩy an ninh mạng và đưa bảo mật vào văn hóa của toàn công ty.

Có sáu nguyên tắc quản lý an ninh mạng mà ban lãnh đạo cần thực hiện:

Xem an ninh mạng như một phần của quản lý rủi ro toàn công ty: Các giám đốc điều hành phải đại diện cho an ninh mạng trong toàn bộ tổ chức, đảm bảo rằng nó được tích hợp liền mạch vào các chiến lược quản lý rủi ro rộng hơn.
Hiểu tác động pháp lý của các rủi ro mạng: Nhận thức về những hậu quả pháp lý của các sự cố mạng là rất quan trọng. Đội ngũ lãnh đạo nên được trang bị kiến thức về các hậu quả pháp lý tiềm ẩn để xây dựng một chiến lược phòng thủ toàn diện.
Đảm bảo tiếp cận chuyên môn về an ninh mạng và trao đổi thường xuyên: Bảo vệ công ty đòi hỏi một khoản đầu tư đáng kể vào chuyên môn. Điều này bao gồm không chỉ tài trợ mà còn dành thời gian, đảm bảo có sẵn nhân sự có kỹ năng và công nghệ cập nhật.
Triển khai khuôn khổ và nguồn lực phù hợp cho quản lý rủi ro mạng: Lãnh đạo phải áp dụng một khuôn khổ có cấu trúc tốt được điều chỉnh cho các mối đe dọa và lỗ hổng cụ thể của công ty.
Phân tích rủi ro và xác định mức độ chấp nhận rủi ro dựa trên mục tiêu và chiến lược kinh doanh: Mỗi công ty có ngưỡng độc đáo khi nói đến rủi ro. Lãnh đạo phải xác định những ranh giới này, đảm bảo rằng các chiến lược an ninh mạng phù hợp với các mục tiêu kinh doanh rộng hơn.
Thúc đẩy hợp tác toàn công ty và trao đổi các thực hành tốt nhất: An ninh mạng phát triển mạnh trên sự hợp tác. Khuyến khích hợp tác tích cực cả trong và ngoài tổ chức là điều cần thiết.

2. Giới thiệu các chính sách an ninh mạng rõ ràng thúc đẩy trách nhiệm giải trình

Một nơi làm việc với các chính sách và thủ tục bảo mật nghiêm ngặt luôn an toàn, hiệu quả và năng suất hơn – với điều kiện mỗi nhân viên hiểu và thực hiện chúng hàng ngày. Điều này có thể được khuyến khích bằng cách thúc đẩy trách nhiệm giải trình.

Chính sách cần bao gồm các yêu cầu bảo mật sau:

Không được phép sử dụng phần cứng, phần mềm, phương tiện dữ liệu và dữ liệu không do người sử dụng lao động cung cấp (ví dụ: thiết bị lưu trữ dữ liệu USB bên ngoài)
Không được phép sử dụng phần mềm hoặc dữ liệu thuộc sở hữu của tổ chức trên các thiết bị CNTT không do bên thứ ba hoặc nhà cung cấp được phê duyệt cung cấp (ví dụ: sử dụng trên các thiết bị cá nhân)
Không được phép sử dụng phần mềm hoặc dữ liệu thuộc sở hữu của công ty trên phương tiện lưu trữ (ví dụ: dịch vụ tập tin hoặc đám mây) không được phê duyệt

Ngoài ra, chính sách bảo mật cần giải quyết các câu hỏi sau:

Mục đích: Chính sách bao gồm những chủ đề nào? Có bao gồm hành vi mong đợi khi sử dụng máy tính và thiết bị di động không?
Bối cảnh: Chính sách bảo mật có bao gồm nội dung về công nghệ và thực tiễn mới không?
Độ nghiêm ngặt: Chính sách có cấ

Tin tức, Xu hướng