Đa dạng hóa hình thức đào tạo để nâng cao năng lực an toàn thông tin mạng

Với sự gia tăng của công việc từ xa hoặc kết hợp (Hybrid Working) do đại dịch COVID-19, các công ty đang nằm trong tầm ngắm của tin tặc hơn bao giờ hết. Việc nâng cao năng lực an toàn thông tin mạng (ATTTM) cho nhân viên đang là một thách thức cho các tổ chức, doanh nghiệp (DN).

Tâm An
05:58 AM 25/11/2021
In bài viết này
Đa dạng hóa hình thức đào tạo để nâng cao năng lực an toàn thông tin mạng

Chia sẻ bài viết này

Việc bảo vệ tài sản thông tin trước các mối đe dọa và tấn công có thể khó khăn hơn khi tất cả hoặc một nửa lực lượng lao động của DN đang làm việc từ xa. Để có thể luôn chủ động trong việc hoạt động và quản lý, đòi hỏi cần phải một mức độ trưởng thành về an ninh mạng mà rất ít công ty đạt được.

Khi McKinsey đánh giá mức độ trưởng thành trong việc quản lý các rủi ro về ATTTM của hơn 100 công ty và tổ chức trong một số lĩnh vực công nghiệp vào đầu năm nay, 70% tổ chức được phát hiện là dễ bị tấn công trước các mối đe dọa.

Trong khi ATTTM phụ thuộc vào nhiều khía cạnh khác nhau, các DN, tổ chức nên nhận ra rằng nhân viên của họ là tuyến phòng thủ đầu tiên và cần phải ưu tiên đầu tư về nhận thức an toàn mạng.

Tuy nhiên, cần phải nhìn vào một thực tế, tìm hiểu về an ninh mạng có lẽ không phải là ưu tiên hàng đầu đối với một nhân viên bình thường, đặc biệt nếu họ chưa bao giờ là nạn nhân của một cuộc tấn công. Hầu hết nhân viên làm việc trong văn phòng hoặc từ xa sử dụng máy tính để thực hiện phần lớn công việc của họ. Nhưng liệu họ biết bao nhiêu về mật khẩu mạnh, phần mềm độc hại, các nỗ lực lừa đảo và hơn thế nữa?

Theo một cuộc khảo sát gần đây của TalentLMS về thực trạng đào tạo an ninh mạng, 61% nhân viên tham gia khóa đào tạo về an ninh mạng đã không đạt yêu cầu trong bài kiểm tra cơ bản.

Ông Victor Kritakis, Giám đốc An ninh thông tin của TalentLMS cho biết: "Việc chỉ đưa ra một chương trình đào tạo về an ninh mạng không đảm bảo đội ngũ nhân viên có đủ kỹ năng hoặc kiến thức cần thiết. Các chương trình như vậy thường là lý thuyết, với các thuật ngữ kỹ thuật khó hiểu, nhàm chán. Đào tạo về an ninh mạng phải tạo được hứng thú học tập cho người tham gia với các tình huống thực hành và sử dụng các ví dụ thực tế".

Mặc dù kết quả khảo sát cho thấy việc đào tạo có tác động tích cực đến một số khía cạnh của thói quen bảo mật không gian mạng của nhân viên, chẳng hạn như bảo vệ máy tính của họ và quản lý mật khẩu chính xác, tuy nhiên những tác động này không nhất quán trên tất cả các lĩnh vực. Điều này đã cho thấy một số "điểm mù" của các chương trình đào tạo về ATTTM, nếu không được giải quyết, sẽ tạo ra các lỗ hổng khiến nhân viên và các DN phải đối mặt với các rủi ro và tấn công mạng.

Đa dạng hóa hình thức đào tạo để nâng cao năng lực an toàn thông tin mạng - Ảnh 1.

Làm việc từ xa đang tạo ra những thách thức về an toàn thông tin mạng cho các DN.

Vậy câu hỏi đặt ra là làm thế nào để các DN, tổ chức có thể thực hiện các khóa đào tạo về ATTTM hiệu quả và thu hút nhân viên tham gia một cách tích cực?

Ba lý do khiến việc đào tạo về ATTTM không hấp dẫn nhân viên

Quá chú trọng vào ngôn ngữ kỹ thuật

Trừ khi đang đào tạo nhân viên công nghệ, thực sự không có lý do gì để khiến người học choáng ngợp bằng những thuật ngữ chuyên ngành khó hiểu. Những nhân viên bình thường phải vật lộn với một ngôn ngữ quá kỹ thuật, có thể dẫn đến việc họ không theo kịp chương trình của khóa đào tạo khi cố gắng ghi nhớ các thuật ngữ phức tạp đó.

Theo ông Victor Kritakis, các tài liệu đào tạo về ATTTM phải được viết theo thuật ngữ dễ hiểu, gần gũi và đơn giản. Một ngôn ngữ đào tạo dễ tiếp cận là bước đầu tiên để bất kỳ hình thức đào tạo nào có thể phổ biến rộng rãi.

Không kết nối với các tình huống thực tế hàng ngày

Một mặt trái khác của việc phụ thuộc quá nhiều vào các thuật ngữ ngành trong quá trình đào tạo là khiến nhân viên bình thường không thể hiểu khóa đào tạo này có liên quan như thế nào đến hoạt động công việc hàng ngày của họ. Khi tài liệu đào tạo quá trừu tượng hoặc không kết hợp với các tình huống thực tế, chúng có thể dễ dàng bị hiểu là thứ mà một nhân viên bình thường không cần phải biết. Những tài liệu đào tạo xa vời thực tế như thế thường sẽ không thể thu hút được nhân viên.

Do đó, việc kết nối với các tình huống thực tế là vô cùng quan trọng trong quá trình đào tạo, đặc biệt trong bối cảnh ngày gia tăng hình thức làm việc từ xa và kết hợp.

Trên thực tế, theo Tanium, 90% công ty phải đối mặt với sự gia tăng các cuộc tấn công mạng do COVID-19, khiến việc đào tạo về ATTTM trở nên quan trọng hơn bao giờ hết.

Cảm giác an toàn sai lầm

Một lý do khác khiến các khóa đào tạo ATTTM của các tổ chức, DN không đạt được hiệu quả như mong muốn: nhân viên tin rằng họ đã biết mọi thứ cần biết.

Theo khảo sát 1.200 nhân viên Mỹ, được thực hiện bởi TalentLMS và công ty quản lý lỗ hổng Kenna Security, cho thấy 74% người được hỏi trả lời sai tất cả 7 câu hỏi về ATTTM cho biết họ cảm thấy an toàn trước các mối đe dọa an ninh mạng.

Hiện tượng này được gọi là hiệu ứng Dunning-Kruger. Theo lý thuyết của hiệu ứng này, những người có rất ít hoặc không có kiến thức về một chủ đề cụ thể thường có xu hướng đánh giá quá cao khả năng của họ trong lĩnh vực đó và cảm thấy tự tin hơn mức họ cần.

Và, trên thực tế, việc nhân viên có tuân thủ các phương pháp bảo mật an toàn hay không phụ thuộc vào việc họ có cảm thấy cần thiết hay không. Do đó, cảm giác an toàn sai lầm này là vấn đề cực kỳ nguy hiểm.

Đa dạng hóa hình thức đào tạo để nâng cao năng lực an toàn thông tin mạng - Ảnh 2.

Ba cách để việc đào tạo trở nên hấp dẫn và hiệu quả hơn

Tập trung vào "làm thế nào" chứ không chỉ tập trung vào "cái gì"

Ông Victor Kritakis cho biết: "Khi nói đến bất kỳ hình thức đào tạo nào, chúng tôi nhận thấy rằng việc phân phối nội dung phù hợp có thể mang lại hiệu quả đột phá cho khóa học".

Việc xây dựng tài liệu đào tạo hấp dẫn và sử dụng ngôn ngữ dễ tiếp cận sẽ không mang lại hiệu quả như mong muốn nếu cung cấp cho nhân viên thông qua các tờ rơi in sẵn mà họ có thể dễ dàng bỏ qua hoặc các tệp PDF dài dòng mà họ sẽ ngại đọc.

Vậy hình thức phân phối nội dung nào là tối ưu? Câu trả lời sẽ khác nhau tùy thuộc vào phong cách học tập của mỗi nhân viên, nhưng nhìn chung, dường như có sự ưu tiên rõ ràng đối với hình thức học tập thông qua hình ảnh và tính tương tác.

Theo nghiên cứu của TalentLMS và Kenna Security khảo sát nhân viên công nghệ trong các ngành, 71% người được hỏi cho biết thích học qua video, trong khi 58% thích học qua hội thảo và hội nghị.

Bổ sung các hoạt động trò chơi hóa và mô phỏng

Cũng theo nghiên cứu của TalentLMS và Kenna Security, khi được hỏi điều gì sẽ làm cho việc đào tạo về ATTTM trở nên hấp dẫn hơn, 52% nhân viên cho biết họ muốn tài liệu được trình bày theo cách đơn giản và ít kỹ thuật hơn, trong khi 50% muốn nó thú vị và mang tính chất giải trí hơn.

Việc kết hợp các yếu tố giải trí sẽ giúp bộ não con người tham gia, lưu trữ và xử lý thông tin tốt hơn, tối đa hóa cơ hội thành công cho chương trình đào tạo ATTTM. Chương trình học có thể sử dụng bất kỳ thứ gì từ câu đố, hình đại diện và bảng xếp hạng hoặc đơn giản là huy hiệu hoặc chứng chỉ để họ có thể chia sẻ với đồng nghiệp sau khi hoàn thành khóa học.

Đặc biệt, việc kết hợp các tình huống thực tế vào tài liệu đào tạo có thể giúp nhân viên cảm thấy những gì họ đang học có liên quan đến cuộc sống hàng ngày sẽ giúp họ hứng thú hơn nhiều. Chẳng hạn như, xây dựng các tình huống sử dụng email lừa đảo thực sự hoặc mô phỏng các mối đe dọa an ninh mạng để kiểm tra cách nhân viên phản ứng với các tình huống đó như thế nào sẽ hiệu quả hơn nhiều so với việc chỉ dạy cho nhân viên những lý thuyết đơn điệu và nhàm chán.

Cung cấp nhiều loại hình đào tạo

Một số nhân viên học hiệu quả hơn bằng cách đọc, một số bằng cách xem video và một số khác học bằng cách thực hành. Mặc dù việc đáp ứng mọi phong cách học tập nghe có vẻ như là một thách thức, nhưng một khóa đào tạo về ATTTM hiệu quả nên cung cấp sự kết hợp của các hình thức phân phối nội dung khác nhau. Ví dụ, ngay cả khi việc chia sẻ nội dung đào tạo chính là video, việc kết hợp các yếu tố khác nhau (phụ đề kết hợp với các tình huống thực hành) có thể giúp thu hút tất cả mọi người tham gia một cách hiệu quả.

Bên cạnh đó, một hình thức khác mà các DN, tổ chức cũng nên xem xét đó là cung cấp các chứng nhận và phần thưởng: Một số nhân viên luôn hướng tới kết quả cụ thể và làm việc hướng tới mục tiêu "hữu hình" thì những hình thức này sẽ là động lực thúc đẩy họ. Bằng cách cung cấp cho nhân viên những ưu đãi khi hoàn thành một khóa học hoặc đạt được một mốc đào tạo nhất định, sẽ tăng khả năng tiếp tục gắn bó và tích cực tham gia trong suốt khóa học.

Trong môi trường làm việc phức tạp ngày nay, việc cung cấp cho nhân viên chương trình đào tạo đầy đủ và hiệu quả về ATTTM là vô cùng quan trọng của một DN, tổ chức. Tuy nhiên, nhân viên cũng cần duy trì sự gắn bó và tham gia một cách tích cực để việc đào tạo thực sự có thể tạo ra sự khác biệt. Bằng cách sử dụng ngôn ngữ dễ tiếp cận, xây dựng các hình thức đào tạo đa dạng và cung cấp các khóa học tương tác kết hợp các tình huống thực tế, các yếu tố trò chơi hóa, có thể giúp các DN nâng cao năng lực an ninh mạng cho nhân viên cũng như cho chính tổ chức của mình./.

Theo Helpnetsecurity, TalentLMS