Đảm bảo an toàn an ninh thông tin là một trong những vấn đề hết sức quan trọng trong thời đại số hiện nay. Các tổ chức đã chú trọng đầu tư về an toàn an ninh thông tin rất nhiều cho hệ thống thông tin của mình, tuy nhiên con người là một trong các yếu tố gây mất an ninh an toàn cho hệ thống và là nhân tố khó kiểm soát trong hoạt động đảm bảo an toàn an ninh mạng của tổ chức. Với cách thức tấn công phi kỹ thuật, kẻ tấn công không thực hiện gửi email độc hại cho nhiều người như trước đây mà nhắm mục tiêu vào từng người cụ thể. Nội dung email gửi đi rất thuyết phục, có thể nhắc đúng tên người nhận, hoặc nhắc đến một sự kiện mà người nhận đã tham dự hoặc đề cập đến một người bạn chung... Do đó, mỗi cá nhân phải chủ động ứng phó với những thách thức từ không gian mạng. Để đáp ứng được yêu cầu này, các cá nhân phải thay đổi hành vi của mình cho phù hợp với tình hình mới, việc thay đổi hành vi này phải bắt nguồn từ việc thay đổi nhận thức của bản thân. Tuy nhiên, đào tạo, bồi dưỡng nâng cao nhận thức theo phương thức truyền thống đã dần bộc lộ những điểm yếu không còn phù hợp với tình hình hiện nay. Do đó, công tác đào tạo an toàn an ninh mạng cho nhân sự trong tổ chức cần được thay đổi, áp dụng các phương thức đào tạo mới phù hợp hơn, được thực hiện thường xuyên và hướng đến từng cá nhân.
Giải pháp đào tạo cần được xây dựng, triển khai thông qua hệ thống thông tin. Thực hiện đào tạo theo hình thức trực tuyến để phù hợp với thời gian của từng cá nhân, giúp cá nhân có thể học mọi lúc, mọi nơi. Nhân sự của tổ chức không chỉ cần thay đổi nhận thức mà còn cần thay đổi hành vi, thông qua các cơ hội tiếp cận và thực hành ứng xử với các tình huống về an toàn an ninh mạng.
Cần xây dựng lộ trình đào tạo riêng phù hợp cho từng cá nhân. Không thực hiện đào tạo tập trung, sử dụng cùng một giáo trình có cùng nội dung kiến thức cho nhiều cá nhân có mức độ nhận thức về an toàn an ninh mạng khác nhau. Tránh tình trạng người có nhận thức cao vẫn phải học lại kiến thức đã có, người có nhận thức thấp không nắm bắt được lượng kiến thức nâng cao, gây lãng phí thời gian của mọi người, dẫn đến kết quả đào tạo không đạt hiệu quả cao.
Sử dụng video, các bảng câu hỏi hoặc thông qua mô phỏng các mối đe dọa cho hoạt động đào tạo. Sau khi xem mỗi đoạn video, trả lời mỗi câu hỏi, học viên phải tương tác với hệ thống đào tạo để xác nhận nhận thức đã đạt được. Đồng thời hệ thống cũng đưa ra phản hồi cho lựa chọn đúng hoặc giải thích, nhắc nhở ngay lập tức để học viên điều chỉnh nhận thức và hành vi của mình.
Hệ thống đào tạo cần có cơ sở dữ liệu câu hỏi phong phú, các mẫu mô phỏng tấn công được tổng hợp từ thực tế mà không phải từ phòng thí nghiệm. Khi xuất hiện tấn công theo cách thức mới, sử dụng các mẫu tấn công mới thì mức độ sẵn sàng ứng phó với sự cố an toàn của cá nhân giảm đi, do đó cá nhân cần được bổ sung nhận thức kịp thời. Do đó, hệ thống cần cập nhật kiến thức mới để phục vụ việc đào tạo bổ sung cho học viên. Tổ chức cũng có thể lựa chọn để đưa vào cơ sở dữ liệu đào tạo nội dung riêng, các quy định, chính sách cần đào tạo cho nhân viên của mình.
Hệ thống đào tạo cần có khả năng quản lý tự động và lưu hồ sơ đào tạo cho số lượng lớn tài khoản học viên. Hỗ trợ tích hợp tài khoản của học viên từ hệ thống AD của tổ chức bằng nhiều hình thức khác nhau, giúp giảm thiểu được thời gian tạo tài khoản mới trong trường hợp các tổ chức lớn, con số này có thể từ hàng nghìn đến hàng chục nghìn nhân viên. Hỗ trợ phân quyền xem hồ sơ đào tạo cho các tài khoản trong trường hợp cần bảo vệ thông tin.
Tổ chức cần quản lý được toàn bộ quá trình đào tạo từ kiểm tra nhận thức ban đầu, thực hiện đào tạo và đánh giá được mức độ thay đổi nhận thức, hành vi của học viên sau đào tạo. Trong quá trình đào tạo và đánh giá, cho phép học viên trải nghiệm các cuộc tấn công an toàn an ninh mạng thông qua mô phỏng các cuộc tấn công trong thực tế. Tất cả các hành vi, hoạt động, thao tác phản ứng của học viên trong cuộc giả lập tấn công được hệ thống ghi nhận, theo dõi và thống kê để biết được điểm yếu trong nhận thức an toàn thông tin của học viên. Đánh giá được nhận thức của từng cá nhân, theo mức độ khác nhau từ dễ đến khó, tương ứng với thủ đoạn tinh vi của các đối tượng tấn công, để xây dựng được lộ trình đào tạo cũng như nội dung kiến thức cần thiết bổ sung vào nhận thức còn yếu, thiếu, sai lệch của cá nhân.
Hệ thống nên hiển thị được số liệu thống kê tổng hợp, thể hiện được tình trạng, mức độ nhận thức về an toàn thông tin của toàn bộ nhân sự của tổ chức. Hỗ trợ xuất báo cáo theo nhu cầu của tổ chức.
Đào tạo nâng cao nhận thức của nhân viên với các sự cố an toàn thông tin mang lại khả năng ứng xử khi đối mặt với các sự cố an toàn thông tin của nhân viên đồng thời góp phần bảo vệ tổ chức trước các mối đe dọa trên không gian mạng.
Bộ Tài chính là bộ tổng hợp đa ngành với số lượng công chức, viên chức, người lao động trong ngành rất cao, lên đến hơn 60 nghìn người. Việc đào tạo, bồi dưỡng, nâng cao nhận thức về an toàn an ninh mạng cho nhân sự của Bộ đã được quy định tại Quy chế An toàn thông tin mạng và An ninh mạng của Bộ Tài chính. Các giải pháp mới về đào tạo, nâng cao nhận thức an toàn an ninh mạng cho nhân sự của tổ chức sẽ giúp Bộ Tài chính triển khai hiệu quả công tác này tại Bộ.
