Có hai thách thức lớn mà các tổ chức phải đối mặt khi cam kết thiết lập một môi trường an toàn nhằm bảo vệ hệ thống và dữ liệu của họ, cũng như dữ liệu của nhân viên, khách hàng, đó là đảm bảo hệ thống của tổ chức luôn có các lớp bảo mật và công nghệ phù hợp để giữ an toàn cho dữ liệu và ngăn chặn , cũng như đảm bảo các hoạt động của nhân viên an toàn và có hiểu biết về việc bảo vệ các hệ thống thông tin và dữ liệu, tránh đặt chúng vào rủi ro.
Nhìn chung, con người là yếu tố lớn nhất gây cản trở nỗ lực của các tổ chức nhằm xây dựng và duy trì một nền văn hóa bảo mật mạnh mẽ. Vì vậy, các tổ chức nên áp dụng các kỹ thuật khoa học và nghiên cứu hành vi đã được thử nghiệm qua thời gian để xây dựng văn hóa bảo mật dựa trên các nguyên tắc thiết kế hành vi.
Thiết kế hành vi, một lĩnh vực khoa học do Tiến sĩ BJ Fogg của Đại học Stanford tiên phong nghiên cứu, là một cách suy nghĩ có hệ thống về hành vi của con người và cách mọi người đưa ra quyết định. Ông mô tả nó là “một cách tiếp cận mới để hiểu hành vi của con người và cách thiết kế để thay đổi hành vi”.
Theo Mô hình Fogg về thiết kế hành vi, hành vi xảy ra là do sự kết hợp của ba yếu tố: Động lực, Khả năng và Lời nhắc. Nói cách khác, để thay đổi hành vi của một con người, cần phải có ba yếu tố:
- Động lực: để thay đổi hành vi của một người, thì chính bản thân họ phải muốn thay đổi vì họ nhận ra được lợi ích khi làm như vậy.
- Khả năng: con người phải có kiến thức và công cụ cần thiết để thay đổi thành công hành vi. Hành vi đó phải đủ dễ dàng thực hiện để hoàn thành tùy theo mức độ động lực hiện tại của người đó.
- Lời nhắc: để thông báo hoặc nhắc nhở mọi người biết về sự cần thiết của hành vi và giúp ghi nhớ sự nhận biết đó.
Chúng ta sẽ cùng xem xét từng thành phần này và cách chúng có thể được áp dụng để xây dựng văn hóa bảo mật.
Nếu muốn con người thay đổi hành vi thì cần cho họ lý do để làm như vậy. Mô hình Fogg về thiết kế hành vi nêu bật ba yếu tố động lực cốt lõi: Cảm giác, Dự đoán và Sự sở hữu. Mỗi yếu tố đều có hai mặt đối lập: niềm vui/đau đớn, hy vọng/sợ hãi, chấp nhận/từ chối. Những động lực cốt lõi này áp dụng cho tất cả mọi người và là trung tâm của trải nghiệm con người, cụ thể:
- Khai thác cảm xúc của mọi người bằng cách sử dụng nội dung trực quan, hấp dẫn với sự hài hước và các kỹ thuật dựa trên câu chuyện, đồng thời kích hoạt cảm giác tích cực.
- Sợ hãi cũng có thể là một động lực mạnh mẽ, quá nhiều sự sợ hãi cũng có thể dẫn đến sự thờ ơ và cần được củng cố bằng quan niệm rằng nó đơn giản để bảo vệ.
- Sử dụng sức mạnh của sự lãnh đạo hoặc người nổi tiếng để kể chuyện và gợi cảm giác thân thuộc.
- Cá nhân hóa bằng cách cung cấp thông tin về cách bảo vệ trẻ em hoặc thành viên gia đình.
Lưu ý: Sự hài hước là một kỹ thuật tốt để thu hút sự chú ý của mọi người, gợi lên những cảm xúc tích cực và giúp ghi nhớ. Tuy nhiên, nó phải được áp dụng cẩn thận và phù hợp với văn hóa của từng khu vực, nếu không có thể bị phản tác dụng. Ngoài ra, nó không nên được sử dụng quá nhiều, vì có thể khiến mọi người không coi trọng thông điệp cốt lõi.
.jpg)
Ngày nay, các cuộc ngày càng phổ biến khi tội phạm mạng sử dụng các thủ thuật ngày càng tinh vi để khiến mọi người nhấp vào những đường dẫn có chứa mã độc hoặc thông tin độc hại.
Nhân viên của một công ty có thể có động lực để tránh những cuộc tấn công này, bởi vì xét cho cùng, họ không muốn là người phải chịu trách nhiệm khi dữ liệu quan trọng bị rủi ro. Nhưng chỉ có động lực thôi là không đủ, họ cũng phải có khả năng tránh những cuộc tấn công này. Để làm được điều đó phải dựa trên kiến thức, công cụ, thói quen và bản năng cần thiết để thực hiện các hành vi mong muốn.
BJ Fogg chỉ ra rằng đào tạo con người là một công việc khó khăn và hầu hết mọi người đều ngại học hỏi những điều mới. Cung cấp cho họ một công cụ hoặc tài nguyên sẽ giúp thực hiện hành vi dễ dàng hơn. Một ví dụ tuyệt vời là trình quản lý mật khẩu giúp đơn giản hóa sự phức tạp của việc phải nhớ nhiều mật khẩu khác nhau.
Chúng ta đang sống trong một thế giới phức tạp, bận rộn và lộn xộn với quá nhiều mối quan tâm. Chúng ta không thể nào nhớ hết được vô số thứ mà chúng ta cần biết để thực hiện công việc hàng ngày của mình. Khi đó, động lực và khả năng thôi là không đủ để đảm bảo thay đổi hành vi của con người, chúng ta cần thêm lời nhắc.
Lời nhắc có mục đích nhắc nhở và bảo mọi người “thực hiện ngay”. Một ví dụ điển hình là cảnh báo độ mạnh của mật khẩu nhắc nhở mọi người nghĩ ra những mật khẩu tốt hơn khi họ tạo chúng.
Hay như khi một email đáng ngờ vượt qua tường lửa của người dùng, một cửa sổ bật lên có thể hiển thị trong hộp thư đến của nhân viên với nội dung: “Bạn có thực sự muốn nhấp vào đó không?” Lời nhắc đơn giản khiến mọi người tạm dừng và cho họ thời gian để xem xét các lựa chọn cũng như ưu/nhược điểm của việc thực hiện hoặc không thực hiện một số hành động nhất định.
Các nhà lãnh đạo bảo mật ngày càng nhận ra vấn đề con người mới là nguyên nhân gốc rễ quan trọng nhất trong tất cả các cuộc tấn công mạng. Đó là lý do tại sao nhận thức về bảo mật là ưu tiên bảo mật hàng đầu. Tuy nhiên, việc chuyển nhận thức thành hành vi an toàn không phải là một công việc dễ dàng. Các tổ chức nên tìm hiểu và áp dụng các nguyên tắc thiết kế hành vi để tác động tích cực và thay đổi văn hóa bảo mật. Khi có thể kết hợp ba yếu tố động lực, khả năng và lời nhắc, thì việc thay đổi hành vi có nhiều khả năng xảy ra hơn là chỉ truyền bá nội dung nâng cao nhận thức và hy vọng đạt được kết quả.
Hoàng Thu Phương (Viện Khoa học - Công nghệ mật mã, Ban Cơ yếu Chính phủ)
13:00 | 06/12/2022
10:00 | 21/02/2023
10:00 | 21/12/2022
13:00 | 28/08/2024
Ngày nay, tin tức về các vụ vi phạm dữ liệu cá nhân trên không gian mạng không còn là vấn đề mới, ít gặp. Vậy làm thế nào để dữ liệu cá nhân của bạn không bị rơi vào tay kẻ xấu? Dưới đây là 6 cách để bảo vệ thông tin cá nhân khi trực tuyến.
14:00 | 23/05/2024
Trình duyệt Chrome đang được rất nhiều người tin dùng bởi độ ổn định và khả năng bảo mật. Tuy nhiên, sự phổ biến này cũng khiến nó trở thành mục tiêu của tin tặc.
11:00 | 13/05/2024
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Nhằm trang bị cho người dân “vũ khí” chống lừa đảo trên không gian mạng, Cục An toàn thông tin (Bộ TT&TT) triển khai chiến dịch quốc gia với 5 nhóm kỹ năng thiết yếu, từ nhận biết dấu hiệu lừa đảo đến xử lý tình huống khi bị tấn công.
10:00 | 18/10/2024
