Đây là đề xuất của nhóm nghiên cứu đến từ Khoa Kinh doanh và Quản trị Đại học RMIT, gồm Tiến sĩ Phạm Công Hiệp, Giáo sư Mathews Nkhoma và Thạc sĩ Nguyễn Nhật Minh.
Sự tuân thủ của nhân viên rất quan trọng với đảm bảo an ninh mạng
Tiến sĩ Công Hiệp, Trưởng nhóm nghiên cứu của Đại học RMIT lý giải, sự tuân thủ của nhân viên là rất quan trọng với vấn đề đảm bảo an ninh mạng vì thực tế nhiều khảo sát đã chỉ ra rằng phần lớn các sự cố an ninh mạng là do nhân viên trực tiếp hoặc gián tiếp gây ra.
Nghiên cứu của nhóm chuyên gia RMIT chỉ ra rằng việc xây dựng và triển khai một chiến lược marketing xã hội trong nội bộ sẽ có tác động điều chỉnh nhận thức của nhân viên hướng tới trách nhiệm cộng đồng, đồng thời thôi thúc họ hành xử theo cách có lợi cho cả tổ chức và bản thân họ.
“Cụ thể với an ninh mạng, điều này có nghĩa rằng nhân viên sẽ tham gia tích cực hơn vào việc cùng nhau tạo ra một môi trường mạng an toàn và bảo mật”, Tiến sĩ Hiệp cho biết.
Đối với các tổ chức chưa biết nên bắt đầu xây dựng một chiến lược marketing xã hội như vậy từ đâu, nhóm nghiên cứu khuyến nghị sử dụng mô hình 7P thông dụng. Theo họ, mô hình đơn giản này sẽ giúp tổ chức xác định các yếu tố cần thiết để xây dựng khuôn khổ các hoạt động có thể triển khai.
Khuyến khích tuân thủ an ninh mạng bằng mô hình 7P
Bảy yếu tố “P” được nhóm chuyên gia RMIT khuyến nghị thực hiện gồm có: Product - Sản phẩm); Promotion - Khuyến khích; Price - Chi phí tuân thủ; Place - Địa điểm; Process - Quy trình; People - Con người; và Physical evidence - Bằng chứng.
Cụ thể, sản phẩm mà chiến lược marketing hướng đến chính là sự tham gia của nhân viên vào xây dựng môi trường mạng an toàn và bảo mật. Nhân viên được kỳ vọng sẽ hiểu rõ về nhiệm vụ bảo mật, có khả năng thực hiện các biện pháp an ninh mạng một cách nhất quán, và giảm thiểu lãng phí công sức và thời gian.
Để khuyến khích sự tham gia của nhân viên, nội dung cần được thiết kế riêng cho từng phòng ban và liên quan trực tiếp đến lợi ích của họ. Thêm nữa, các chính sách cần rõ ràng, hướng dẫn cần đơn giản và dễ thực hiện. Nội dung nên được thiết kế trực quan và có tính tương tác, và mạng xã hội có thể là một kênh hữu ích tăng cường hiệu quả cho thông điệp.
“Các tổ chức nên để người dùng luyện tập các yêu cầu bảo mật trên những tình huống thực tế và phù hợp với tính chất công việc của mỗi phòng ban, vì hầu hết nhân viên chỉ thực hiện các biện pháp bảo mật nếu chúng ảnh hưởng trực tiếp đến công việc của họ”, Tiến sĩ Hiệp lưu ý.
Cũng theo nhóm chuyên gia RMIT, hầu hết nhân viên đều hiểu chi phí là công sức và thời gian họ bỏ ra để tham gia vào quá trình bảo mật, cũng như mất năng suất làm việc. Song chi phí tài chính (chẳng hạn để xử lý rò rỉ dữ liệu hay trả phí dịch vụ pháp lý) và tổn hại về danh tiếng mà tổ chức phải gánh chịu khi bị tấn công mạng vẫn chưa được hiểu rõ ràng, và vì vậy cũng cần được phổ biến đến người dùng.
Địa điểm của hành vi tuân thủ hay không tuân thủ bảo mật chủ yếu xảy ra trên các kênh kỹ thuật số. Việc xác định và quản lý các kênh này rất quan trọng, để từ đó tổ chức có thể xây dựng các biện pháp đối phó cần thiết và đào tạo nhận thức cho nhân viên, đồng thời đảm bảo sẵn sàng hỗ trợ trong mọi tình huống.
Về quy trình, nhóm chuyên gia cho rằng, đây là yếu tố có thể vừa là động lực thúc đẩy vừa là rào cản trong an ninh mạng. Nếu quy trình quá phức tạp có thể khiến người dùng mất động lực hoặc gặp khó khăn khi tuân thủ, nhưng nếu quá đơn giản thì có thể không đủ sức chống đỡ những cuộc tấn công từ bên ngoài.
“Nhân viên và cấp quản lý có thể phối hợp cùng xây dựng quy trình. Nên xây dựng các thủ tục tích hợp, tăng khả năng tương tác cá nhân, và giúp người dùng tự điều hướng các quy trình an ninh mạng bằng đào tạo trực tuyến, sổ tay hướng dẫn, bộ phận trợ giúp ảo…”, nhóm nghiên cứu đề xuất.
Nhận định con người là yếu tố tạo ra hoặc phá vỡ hệ thống an ninh mạng, các chuyên gia khuyến nghị, để nâng cao sự tham gia của mọi người, tổ chức cần cung cấp hỗ trợ CNTT hiệu quả để có thể giảm gián đoạn công việc và tăng sự hài lòng của nhân viên.
Yếu tố cần thiết cuối cùng là những bằng chứng giúp nhắc nhở về nguy cơ và hậu quả của việc thiếu bảo mật thông tin. Những bằng chứng cụ thể nên được đặt quanh khu vực làm việc của nhân viên và đóng vai trò như những lời nhắc nhở về rủi ro và hậu quả của việc không tuân thủ bảo mật, cũng như trách nhiệm của mỗi nhân viên.
“Đảm bảo tuân thủ với các chính sách bảo mật đòi hỏi nhiều nỗ lực gắn kết với nhân viên. Marketing xã hội trong nội bộ, cụ thể là với mô hình 7P, chính là một phương thức đơn giản để làm được điều này”, Tiến sĩ Hiệp nhấn mạnh.