Thứ bảy 21/12/2024 22:50
Hotline: 024.355.63.010
Email: banbientap.dnhn@gmail.com
Kinh doanh

Lý do các nhân viên vi phạm chính sách an ninh mạng

25/01/2022 10:15
Mùa hè năm ngoái, Colonial Pipeline đã trả khoản tiền chuộc gần 5 triệu đô la sau một cuộc tấn công mạng tạo ra sự hoang mang lan rộng về sự sẵn có của xăng trên khắp Đông Nam Hoa Kỳ. Chỉ vài tuần sau, công ty chế biến thịt lớn nhất thế giới đã đồng

Các chính sách bảo mật an ninh mạng là điều các nhà quản trị cần tính đến trong thời đại mới

Các chính sách bảo mật an ninh mạng là điều các nhà quản trị cần tính đến trong thời đại mới. (Ảnh: KBI)

Các cuộc tấn công như thế này ngày càng phổ biến hơn trong nhiều năm và đại dịch Covid-19 chỉ khiến vấn đề trở nên tồi tệ hơn, với việc FBI báo cáo số vụ tấn công mạng tăng 400% trong vài tháng đầu tiên của đại dịch.

Đáp lại, đầu tư vào an ninh mạng đã tăng vọt - nhưng thật không may, những nỗ lực này không phải lúc nào cũng giải quyết được các yếu tố cơ bản tạo ra lỗ hổng bảo mật. Mặc dù các chuyên gia công nghệ thông tin đang nỗ lực hết mình để tạo ra các hệ thống kỹ thuật tốt hơn, thông minh hơn và an toàn hơn, nhưng có một rủi ro mà họ không thể lập trình: con người. Đặc biệt là khi công việc từ xa trở nên phổ biến hơn và do đó quyền truy cập vào các hệ thống an toàn trở nên phân tán hơn, một cú nhấp chuột sai của nhân viên thường có thể đủ để đe dọa toàn bộ hệ sinh thái kỹ thuật số.

Hơn nữa, trong khi một số tổ chức đã bắt đầu bổ sung các nỗ lực tập trung vào công nghệ bằng các sáng kiến an ninh mạng nhắm mục tiêu nhân viên làm vật trung gian tấn công tiềm năng, các chương trình này thường cho rằng nhân viên phá vỡ các giao thức bảo mật do thiếu hiểu biết hoặc có mục đích xấu. Tuy nhiên, nghiên cứu gần đây của chúng tôi cho thấy rằng phần lớn thời gian, việc không tuân thủ thực sự có thể là kết quả của những vi phạm cố ý nhưng không ác ý, phần lớn là do căng thẳng của nhân viên.

Nhiều vi phạm chính sách được thúc đẩy bởi căng thẳng, không phải là mong muốn gây hại

1 nhóm nghiên cứu Hoa Kỳ đã yêu cầu hơn 330 nhân viên từ xa từ nhiều ngành công nghiệp tự báo cáo về mức độ căng thẳng hàng ngày và việc họ tuân thủ các chính sách an ninh mạng trong suốt hai tuần. Ngoài ra, chúng tôi đã thực hiện một loạt các cuộc phỏng vấn sâu với 36 chuyên gia bị buộc phải làm việc từ xa do đại dịch Covid-19 để hiểu rõ hơn về việc quá trình chuyển đổi sang làm việc tại nhà đã ảnh hưởng đến an ninh mạng như thế nào.

Các chuyên gia nhận thấy rằng trong số những nhân viên kể trên, việc tuân thủ các quy ước bảo mật là không liên tục. Trong 10 ngày làm việc mà nhóm này nghiên cứu, 67% người tham gia báo cáo không tuân thủ đầy đủ các chính sách an ninh mạng ít nhất một lần, với tỷ lệ không tuân thủ trung bình là một lần trong số 20 nhiệm vụ công việc.

Nhưng điều gì đã dẫn đến những vi phạm trong giao thức? Khi được hỏi tại sao họ không tuân thủ các chính sách bảo mật, ba câu trả lời hàng đầu của những người tham gia của chúng tôi là “để hoàn thành nhiệm vụ tốt hơn cho công việc của tôi”, “để đạt được thứ tôi cần” và “giúp người khác hoàn thành công việc của họ”. Ba phản hồi này chiếm 85% các trường hợp nhân viên cố ý vi phạm các quy tắc. Ngược lại, các nhân viên cho biết mong muốn gây hại chỉ trong 3% các trường hợp vi phạm chính sách - thực hiện các hành vi vi phạm không ác ý (tức là những vi phạm được thúc đẩy hoàn toàn bởi nhu cầu hoàn thành công việc) phổ biến hơn 28 lần so với những hành vi trả đũa.

Nhóm nghiên cứu cũng nhận thấy rằng mọi người về cơ bản có nhiều khả năng cố ý phá vỡ các giao thức bảo mật hơn vào những ngày họ báo cáo rằng họ gặp nhiều căng thẳng hơn, cho thấy rằng căng thẳng hơn sẽ làm giảm khả năng tuân theo các quy tắc cản trở công việc của họ. Các nguồn căng thẳng phổ biến bao gồm các yêu cầu của gia đình mâu thuẫn với công việc, lo ngại về an ninh công việc và trớ trêu thay, các yêu cầu của chính các chính sách an ninh mạng: Mọi người có nhiều khả năng vi phạm các thủ tục hơn khi họ lo lắng rằng làm theo chúng sẽ cản trở năng suất, đòi hỏi thêm thời gian hoặc năng lượng, có nghĩa là thực hiện công việc của họ theo một cách khác hoặc khiến họ cảm thấy như họ liên tục bị theo dõi.

Tất nhiên, vì dữ liệu của nhóm nghiên cứ được tự báo cáo nên họ không thể đo lường các vi phạm mà nhân viên không biết về việc vi phạm. Do đó, nghiên cứu này ít kết luận hơn khi nói đến sự phổ biến của các vấn đề bảo mật do sự thiếu hiểu biết hoặc lỗi của con người. Nhưng phát hiện cho thấy rằng mặc dù các phương tiện truyền thông tập trung đáng kể vào “mối đe dọa nội gián” do các nhân viên độc hại gây ra, có rất nhiều lý do có chủ đích khiến một nhân viên có thể cố ý không tuân thủ đầy đủ các quy tắc. Dựa trên điều này, chúng tôi đã phát triển ba phương pháp chính cho các nhà quản lý:

Có một nền tảng trung gian giữa sự thiếu hiểu biết và ác ý

Nhiều nhà lãnh đạo cho rằng vi phạm bảo mật của nhân viên là độc hại hoặc không cố ý, và sau đó thiết kế các chính sách bảo mật dựa trên giả định đó. Tuy nhiên, nghiên cứu của chúng tôi cho thấy rằng có một điểm trung gian khá lớn giữa sự thiếu hiểu biết và ác ý, và vì vậy, các nhà quản lý sẽ khôn ngoan trong việc điều chỉnh các chương trình và chính sách đào tạo của họ cho phù hợp.

Cụ thể, thay vì tập trung vào các cuộc tấn công độc hại, các chính sách bảo mật nên thừa nhận thực tế rằng nhiều vi phạm do nhân viên điều khiển xuất phát từ nỗ lực cân bằng giữa bảo mật và năng suất. Điều này có nghĩa là giáo dục nhân viên và người quản lý về mức độ phổ biến của các vi phạm không nguy hiểm và cung cấp hướng dẫn rõ ràng về những gì cần làm nếu việc tuân thủ các thực tiễn bảo mật dường như mâu thuẫn với việc hoàn thành công việc.

Ngoài ra, các tổ chức nên thực hiện các bước để kết hợp nhân viên vào quá trình phát triển và kiểm tra các chính sách bảo mật của người dùng, đồng thời trang bị cho các nhóm những công cụ mà họ cần để thực sự tuân theo các chính sách này. Thông thường, bộ phận công nghệ thông tin phát triển các giao thức trong môi trường chân không, với sự hiểu biết hạn chế về cách những quy tắc này có thể can thiệp vào quy trình làm việc của mọi người hoặc tạo ra các nguồn căng thẳng mới. Đặc biệt là khi việc chuyển sang làm việc từ xa đã thay đổi số lượng người làm việc, các nhà lãnh đạo CNTT nên đảm bảo thu hút sự tham gia của những nhân viên sẽ bị ảnh hưởng bởi các biện pháp bảo mật mới trong quá trình tạo, đánh giá và triển khai.

Thiết kế công việc và An ninh mạng được kết hợp với nhau

Người ta thường coi bảo mật là thứ yếu sau năng suất. Trong thời gian bình thường, đó không nhất thiết là một vấn đề, vì nhân viên có khả năng có đủ nguồn lực để dành đủ năng lượng cho cả hai. Nhưng do vô số căng thẳng của đại dịch khiến việc duy trì năng suất khó khăn hơn, điều đó có nghĩa là bảo mật có xu hướng lùi sâu vào các nhiệm vụ quan trọng thúc đẩy đánh giá hiệu suất, thăng chức và tiền thưởng.

Để giải quyết vấn đề này, các nhà quản lý phải nhận ra rằng thiết kế công việc và an ninh mạng về cơ bản gắn liền với nhau. Thực tế là việc tuân thủ các chính sách an ninh mạng có thể làm tăng thêm khối lượng công việc của nhân viên và do đó, nó cần được xem xét và khuyến khích cùng với các chỉ số hiệu suất khác khi khối lượng công việc được xác định.

Ngoài ra, các nhà quản lý nên làm việc để xác định và giảm thiểu các nguồn căng thẳng cho nhóm của họ, vì làm việc trong điều kiện căng thẳng hơn có thể ảnh hưởng đến sự nhất quán của nhân viên trong việc tuân theo các giao thức bảo mật (chưa kể đến sức khỏe và hiệu quả của họ trên một loạt các chỉ số khác) . Đặc biệt, khi công việc từ xa trở nên phổ biến hơn, các nhà quản lý nên nhận thức được gánh nặng tâm lý đối với nhân viên khi làm việc theo hệ thống giám sát họ. Các hệ thống giám sát có vẻ hợp lý trong văn phòng có thể khiến người ta cảm thấy bị xâm nhập như ở nhà - và ngay cả khi không có sự cố trực tiếp rõ ràng, nghiên cứu của chúng tôi cho thấy rằng căng thẳng cộng thêm có thể gián tiếp khiến mọi người có nhiều khả năng phá vỡ các giao thức bảo mật hơn.

Tin tặc tận dụng lòng vị tha

Hầu hết các nhà quản lý sẽ nói rằng đó là một điều tốt nếu nhân viên của họ muốn giúp đỡ lẫn nhau. Nhưng thật không may, lòng vị tha có thể phải trả giá đắt: Trong nghiên cứu của chúng tôi, khoảng 18% trường hợp vi phạm chính sách được thúc đẩy bởi mong muốn giúp đỡ đồng nghiệp. Đại dịch chỉ làm tăng thêm những thách thức mà tất cả chúng ta phải đối mặt hàng ngày, và do đó đã tạo ra nhiều cơ hội hơn nữa cho những nhân viên có thiện chí “giúp đỡ” đồng nghiệp của họ theo những cách khiến tổ chức của họ dễ bị tổn thương. Tin tặc biết điều này và họ thường cố tình sử dụng các chiến thuật kỹ thuật xã hội để lợi dụng sự sẵn sàng bẻ cong quy tắc của nhân viên nếu họ nghĩ rằng họ đang giúp đỡ ai đó.

Để giải quyết vấn đề này, các nhà quản lý không chỉ phải triển khai các chính sách bảo mật được thiết kế đặc biệt để bảo vệ khỏi các loại tấn công này - họ còn phải làm việc để giảm tác động của các biện pháp này đối với quy trình làm việc của nhân viên và giải thích rõ ràng cơ sở lý luận của chúng, nhằm tăng cường sự tuân thủ của nhân viên.

Ví dụ: khi việc chuyển sang làm việc từ xa đã làm giảm giao tiếp trực tiếp, các trò gian lận trong việc xâm nhập email doanh nghiệp (BEC) thậm chí còn trở nên phổ biến hơn. Đây là những trò gian lận trong đó kẻ tấn công đóng vai trò là người giám sát hoặc đồng nghiệp thân thiết và gửi email cho nhân viên với yêu cầu chuyển tiền khẩn cấp. Áp lực về thời gian và mong muốn giúp đỡ đồng nghiệp có thể khiến nhân viên phá vỡ giao thức và thực hiện những chuyển giao này mà không xác minh đúng yêu cầu. Bảo vệ tổ chức của bạn khỏi các loại tấn công này không chỉ có nghĩa là thiết lập chính sách xác minh cho các giao dịch lớn mà còn phải giáo dục nhân viên về lý do tại sao chính sách lại quan trọng và giảm thiểu mức độ mà nó cản trở công việc hàng ngày.

Đức Nguyễn

Tin bài khác
3 bí quyết kinh doanh từ CEO của Tapestry, công ty sở hữu Coach và Kate Spade

3 bí quyết kinh doanh từ CEO của Tapestry, công ty sở hữu Coach và Kate Spade

Bà Joanne Crevoiserat, CEO của tập đoàn Tapestry, đã chia sẻ ba bí quyết kinh doanh quan trọng: luôn tìm hiểu sâu về khách hàng, đừng ngại thử thách trong sự nghiệp, và tìm nguồn cảm hứng từ thế giới bên ngoài.
Chuyên gia truyền cảm hứng Christian Chua: Phát triển doanh nghiệp cần “học hỏi ngược”

Chuyên gia truyền cảm hứng Christian Chua: Phát triển doanh nghiệp cần “học hỏi ngược”

Tại buổi lễ vinh danh “Top Nhà tuyển dụng yêu thích 2024”, chuyên gia truyền cảm hứng quốc tế Christian Chua chia sẻ về cách tìm kiếm nhân sự tài năng và phương pháp học hỏi ngược để phát triển doanh nghiệp bền vững.
Hugo Boss chuyển mình từ khủng hoảng đến tăng trưởng như thế nào?

Hugo Boss chuyển mình từ khủng hoảng đến tăng trưởng như thế nào?

Hugo Boss bắt đầu chuyển đổi sau một thời kỳ khó khăn với doanh số bán hàng giảm sút. Jochen Eckhold, Phó chủ tịch cấp cao phụ trách nhân sự toàn cầu, giải thích cách nhóm của ông đã giúp chuyển đổi văn hóa công ty từ thận trọng sang tham vọng.
Doanh Nghiệp nào được vinh danh "Top nhà tuyển dụng yêu thích 2024" ?

Doanh Nghiệp nào được vinh danh "Top nhà tuyển dụng yêu thích 2024" ?

CareerViet công bố danh sách “Top Nhà tuyển dụng yêu thích 2024”, vinh danh những công ty có môi trường làm việc lý tưởng và thu hút nhân tài mạnh mẽ.
Thêm đề xuất mới  nhằm hỗ trợ cộng đồng doanh nghiệp nhỏ và vừa

Thêm đề xuất mới nhằm hỗ trợ cộng đồng doanh nghiệp nhỏ và vừa

Bộ Kế hoạch và Đầu tư đang sửa đổi Thông tư 06/2022 nhằm tăng cường hỗ trợ doanh nghiệp nhỏ và vừa (DNNVV), tháo gỡ khó khăn, và thúc đẩy hiệu quả triển khai các chính sách.
Nâng cao quản trị doanh nghiệp: Hướng tới ESG và phát triển bền vững

Nâng cao quản trị doanh nghiệp: Hướng tới ESG và phát triển bền vững

Trong xu hướng toàn cầu hoá như hiện nay, các doanh nghiệp ngày càng đánh giá cao vai trò của quản trị trong việc hướng tới ESG, hướng tới phát triển bền vững.
10 cách giữ chân nhân sự mà người quản lý giỏi cần biết

10 cách giữ chân nhân sự mà người quản lý giỏi cần biết

Trong những nỗi đau của doanh nghiệp thì liên quan đến nhân sự luôn là nỗi đau lớn nhất. Nhân sự nghỉ việc dẫn tới rất nhiều hệ lụy cho doanh nghiệp, vừa giảm năng suất, tinh thần nhân viên khác sa sút lại phải “ cõng” thêm công việc với số lượng lớn hơn…
Green Transition – Liên minh cung cấp giải pháp ESG toàn diện

Green Transition – Liên minh cung cấp giải pháp ESG toàn diện

Chuyển đổi xanh là một thuật ngữ được nhắc đến nhiều hiện nay. Các doanh nghiệp nhỏ và vừa đang đối mặt với áp lực tăng cao trong việc áp dụng các giải pháp chuyển đổi sang nền kinh tế bền vững – phát thải thấp .
Áp lực từ thương mại điện tử: Hàng Việt Nam mất thị phần trên sân nhà?

Áp lực từ thương mại điện tử: Hàng Việt Nam mất thị phần trên sân nhà?

Thương mại điện tử mang đến cơ hội cho nhiều cá nhân, doanh nghiệp…Nhưng nó đang khiến các kênh phân phối truyền thống đối diện với những khó khăn chưa từng có.
Kỹ năng ra quyết định: Chìa khóa thành công của nhà lãnh đạo hiện đại

Kỹ năng ra quyết định: Chìa khóa thành công của nhà lãnh đạo hiện đại

Để phát triển bền vững, nhà lãnh đạo cần rèn kỹ năng ra quyết định nhanh nhạy, hiệu quả. Bài viết dưới đây sẽ giới thiệu các bước quan trọng đưa ra quyết đinh.
"Đầu tư vào quản trị công ty" mang tới nhiều lợi ích cho doanh nghiệp và tăng cường năng lực cạnh tranh

"Đầu tư vào quản trị công ty" mang tới nhiều lợi ích cho doanh nghiệp và tăng cường năng lực cạnh tranh

Sáng 29/11, Báo Đầu tư tổ chức gặp gỡ báo chí trước Diễn đàn thường niên về Quản trị Công ty lần thứ 7 “Đầu tư vào Quản trị Công ty: Chiến lược Thu hút Nhà đầu tư có trách nhiệm trong Xu thế Quốc tế hoá Thị trường”.
Elevation Talks: Xây dựng chiến lược đầu tư dành cho giới siêu giàu

Elevation Talks: Xây dựng chiến lược đầu tư dành cho giới siêu giàu

Giới siêu giàu Việt Nam đang gia tăng nhanh chóng với nhu cầu đầu tư ngày càng đa dạng phong phú. Elevation Talks, chuỗi sự kiện đầu tư độc đáo do BIDV và Dragon Capital phối hợp tổ chức...
Làm việc tại văn phòng có trở lại thành xu hướng trong tương lai?

Làm việc tại văn phòng có trở lại thành xu hướng trong tương lai?

Xu hướng làm việc từ xa, làm việc linh hoạt trở nên khá phổ biến kể từ sau đại dịch Covid 19. Tuy nhiên, sau hơn ba năm triển khai thì mô hình làm việc này đã có những bước ngoặt khi hiện nay có nhiều công ty đã yêu cầu nhân viên quay trở lại làm việc tại văn phòng.
Kinh nghiệm khi đưa doanh nghiệp ra thị trường nước ngoài

Kinh nghiệm khi đưa doanh nghiệp ra thị trường nước ngoài

Jonathan Grubin, nhà sáng lập và CEO của SoPost, một trong những CEO xuất sắc của Vương quốc Anh, đã chia sẻ những yếu tố quan trọng để tăng trưởng quốc tế thành công, đồng thời duy trì văn hóa gắn kết doanh nghiệp.
Taeko Yamamoto - Giám đốc tiếp thị Fujitsu: Tiếp thu di sản là chìa khóa thành công của công ty trên toàn cầu

Taeko Yamamoto - Giám đốc tiếp thị Fujitsu: Tiếp thu di sản là chìa khóa thành công của công ty trên toàn cầu

Khi Fujitsu tìm cách tái định nghĩa vai trò dẫn đầu trong quá trình chuyển đổi bền vững, bà Taeko Yamamoto, Giám đốc tiếp thị của công ty, đã tận dụng di sản Nhật Bản để thúc đẩy sự sáng tạo, đổi mới và hòa nhập.
Đọc nhiều