Kaspersky Security Awareness – Chương trình đào tạo dành cho mọi cấp độ trong tổ chức

Kaspersky Security Awareness – Chương trình đào tạo được thiết kế dưới dạng trò chơi dành cho mọi cấp độ trong tổ chức

Giải pháp xây dựng an toàn mạng hiệu quả trên toàn tổ chức

Hơn 80% sự cố về mạng xảy ra do lỗi của con người. Các doanh nghiệp phải bỏ ra chi phí rất lớn để phục hồi sau những sự cố do lỗi của nhân viên – nhưng các chương trình đào tạo truyền thống chưa đủ hiệu quả để ngăn chặn những vấn đề này và thường không tạo được hành vi và động lực như mong muốn.

Lỗi vô ý của nhân viên là nguyên nhân dẫn đến hầu hết sự cố an ninh mạng trong các tổ chức ngày nay:

• Theo báo cáo của IBM vào năm 2015, tỉ lệ sự cố nội bộ xảy ra do lỗi của con người là hơn 95%
• Tại 75% tổ chức lớn và 31% doanh nghiệp nhỏ ở Vương quốc Anh đã xảy ra sự cố bảo mật do lỗi của nhân viên vào năm 2015
• Tác động về tài chính trung bình của một sự cố xảy ra do hành vi bất cẩn của nhân viên là 865.000 USD một sự cố
• Phí tổn trung bình do tấn công lừa đảo lên đến 400 USD/nhân viên/năm (không bao gồm các loại mối đe dọa trên mạng khác)

• Theo báo cáo, bảo hiểm cho các sự cố xảy ra do lỗi, sai sót và sự bất cẩn của con người chỉ được bao trả 25% giá trị hợp đồng bảo hiểm không gian mạng (trong khi các nguy cơ do tội phạm mạng bên ngoài chiếm 84% giá trị hợp đồng bảo hiểm và nguy cơ do cá nhân ác ý hoặc vi phạm trong nội bộ chiếm đến 75% trường hợp)

Phân tích đã cho thấy phần lớn chương trình Nhận thức về An ninh mạng hiện nay vẫn chưa đạt hiệu quả:

• Đọc các tài liệu về chính sách và hướng dẫn là một việc nhàm chán, quá lý thuyết, quá hoài nghi, tức là chỉ nêu ra những mối đe dọa và những việc nên tránh, mà không nêu ví dụ về hành vi an toàn;
• Các chương trình không tạo được động lực học tập (chỉ 22% người tham gia tin rằng họ có thể là mục tiêu của tội phạm mạng);
• Các nhân viên không coi bộ phận Bảo mật CNTT là đối tác mà luôn tìm cách tránh né;

• Thiếu số liệu đo lường mức độ nhận thức, ngoài việc “bao nhiêu người đã được đào tạo”.

Lợi ích và Thế mạnh của Chương trình

Kaspersky Lab đã phát hành một dòng sản phẩm đào tạo dùng trên máy tính sử dụng những kỹ thuật học tập hiện đại và áp dụng cho mọi cấp độ trong cấu trúc của một tổ chức. Hiệu quả của chương trình đào tạo này đã được chứng minh.

Chúng tôi thiết kế chương trình Kaspersky Security Awareness nhằm đáp ứng một cách lý tưởng mọi mục tiêu và ưu tiên của các Doanh nghiệp:

• Xây dựng hành vi chứ không chỉ cung cấp kiến thức: áp dụng phương thức học tập thông qua trò chơi, thực nghiệm, cuộc tấn công mô phỏng, v.v. qua đó xây dựng xu hướng hành vi rõ rệt và mang lại hiệu quả lâu dài;
• Tạo dựng hành vi cụ thể ở mỗi cấp độ của tổ chức: Quản lý cấp cao, Quản lý chuyên trách/cấp trung. Nhân viên bình thường; cân nhắc nhu cầu, thời gian và hạn chế về hình thức đào tạo ở từng cấp độ;
• Dễ dàng đánh giá và quản lý do sử dụng trên máy tính. Đội ngũ Bảo mật CNTT hoặc Nhân sự có thể tổ chức đào tạo. Kaspersky Lab cung cấp phương thức triển khai được chứng minh hiệu quả, phương pháp thực hiện tốt nhất cũng như các kênh hỗ trợ cả về phương thức và kỹ thuật;

• Dựa trên nền tảng an ninh mạng cũng như năng lực nghiên cứu & phát triển mạnh mẽ của Kaspersky Lab.

Hỗ trợ mang tính Chiến lược thông qua

Đào tạo bằng KIPS

Đào tạo bằng KIPS là phương thức nhắm đến các chuyên gia về hệ thống tại doanh nghiệp, nhân sự về CNTT và các quản lý chuyên trách, cũng như nâng cao nhận thức của họ về những rủi ro và vấn đề an ninh trong vận hành hệ thống máy tính hóa hiện đại.

Mô phỏng Tương tác Tình huống bảo vệ của Kaspersky (Kaspersky Interactive Protection Simulation, KIPS) là một bài tập đặt các nhóm trong bối cảnh mô phỏng một doanh nghiệp phải đối mặt với nhiều mối đe dọa bất ngờ trên mạng, đồng thời phải tìm cách tối đa hóa lợi nhuận và duy trì niềm tin của khách hàng. Mục tiêu của họ là xây dựng một chiến lược phòng thủ trên mạng bằng cách lựa chọn trong những biện pháp kiểm soát chủ động và phản ứng tốt nhất được cho sẵn.

Mỗi phản ứng của nhóm trước từng biến cố xảy ra sẽ làm thay đổi kịch bản, từ đó lợi nhuận mà công ty thu được hay để mất cũng sẽ khác đi. Nhằm cân đối những ưu tiên về kỹ thuật, kinh doanh và bảo mật với phí tổn từ một cuộc tấn công mạng mang tính thực tế cao, các nhóm phải phân tích dữ liệu và đưa ra những quyết định chiến lược dựa trên thông tin không chắc chắn và nguồn lực hạn chế. Các kịch bản mang tính thực tế cao vì đều dựa trên các sự kiện có thật.

KIPS là môt chương trình nâng cao nhận thức mang tính linh hoạt cao, được tiến hành thông qua phương pháp thực nghiệm:

• Vui, hấp dẫn và nhanh chóng (2 giờ)
• Hoạt động theo nhóm giúp xây dựng tinh thần hợp tác
• Tính cạnh tranh thúc đẩy kỹ năng chủ động & phân tích
• Trò chơi giúp hiểu rõ các biện pháp an ninh mạng

“Nhờ bài tập này, những quyết định mang tính chiến lược đầu tiên và cơ bản nhất bạn đưa ra, như kiểm toán và đào tạo bảo mật, đổi mật khẩu và quản lý bản vá lỗi, sẽ có tác dụng đáng kể khi bạn phải xử lý sự cố sau này.”

Mark Jenkins · Ngày 16/12/2015 · ICT Qatar

Mỗi kịch bản tập trung vào những mối đe dọa tương ứng, cho phép người tham gia khám phá và phân tích những lỗi sai thường gặp trong việc xây dựng quy trình an ninh mạng và xử lý sự cố trong từng ngành.

Các trò chơi về Quản lý An toàn mạng giúp Đưa ra các Quyết định Kinh doanh Đảm bảo An toàn mạng

Hội thảo mang tính tương tác cao này (kết hợp nội dung trên máy tính và nội dung có người hướng dẫn) giúp các quản lý chuyên trách củng cố nhận thức về tầm quan trọng của an ninh mạng trong công việc của họ và cung cấp cho các quản lý năng lực, kiến thức và thái độ cần thiết để duy trì môi trường làm việc an toàn trong bộ phận.

Các tổ chức đang từng bước tìm cách giải quyết các mối đe dọa trên mạng. Họ thiết lập các cấu trúc bảo mật CNTT và các chương trình đào tạo tuân thủ. Nhưng như vậy liệu có đủ?

• Kiến thức thu được sau đào tạo có thực sự định hướng hành vi cho nhân viên? Hay có nguyên nhân nào khác?
• Có nên hy sinh hiệu quả kinh doanh để đạt hiệu quả bảo mật?
• Các cán bộ bảo mật có cảm thấy lực lượng của họ quá mỏng để có thể đưa thông tin đến được từng người trong cuộc chiến bảo vệ an toàn mạng hay không?

Những thách thức này chỉ có thể giải quyết bằng cách tăng cường sự tham gia của cấp quản lý chuyên trách trong việc đảm bảo an toàn mạng cho tổ chức mà không hy sinh hiệu quả kinh doanh. Chỉ có họ mới tương tác hằng ngày với nhân viên và đưa

ra các quyết định kinh doanh. Câu trả lời nằm ở việc biến an toàn mạng trở thành yếu tố bắt buộc cần cân nhắc khi đưa ra các quyết định trong công việc hằng ngày.

Các trò chơi về Quản lý An ninh mạng của Kaspersky giúp các quản lý có được năng lực, kiến thức và thái độ cần thiết để duy trì môi trường làm việc an toàn trong bộ phận:

• Hiểu rõ: Ứng dụng các biện pháp an ninh mạng trong bộ phận dưới hình thức nhóm hành động quan trọng nhưng không phức tạp
• Giám sát: Quan sát quy trình công việc hằng ngày ở khía cạnh an toàn mạng
• Ra quyết định Đảm bảo An toàn mạng: Đưa việc cân nhắc các yếu tố an ninh mạng trở thành một phần thiết yếu trong các quy trình kinh doanh
• Củng cố và Truyền cảm hứng: Lãnh đạo theo hướng có ảnh hưởng và đưa ra lời khuyên hữu ích cho nhân viên

Có thể cấp phép dưới dạng giải pháp “Đào tạo cán bộ đào tạo” cho trung tâm đào tạo của doanh nghiệp, mang lại những lợi ích chính sau đây trong quá trình triển khai:

• Truyền đạt dễ dàng – cán bộ đào tạo về nhận thức không cần phải là chuyên gia về bảo mật;
• Lên lịch dễ dàng – các phiên đào tạo ngắn dạng mô-đun có thể được tiến hành thuận tiện với lịch làm việc của nhân viên

Nền tảng Đào tạo Kỹ năng cho Nhân viên nhằm Xây dựng Kỹ năng Làm sạch Không gian mạng

Xây dựng kỹ năng và kiến thức là việc quan trọng, vì thế nhân viên cần có một nền tảng kỹ năng trực tuyến để giải quyết những kịch bản và tình huống điển hình, tăng cường hiểu biết về những mối đe dọa tiềm ẩn cùng cách xử lý các mối đe dọa đó. Phương pháp học tập trực tuyến cho phép nhân viên thực hành và học qua một cổng thông tin học tập tương tác.

Mô-đun Đào tạo Tương tác:

• Vui và ngắn gọn
• Thông qua các bài tập, mang lại hiệu quả dây chuyền
• Tự động đăng ký học để củng cố kỹ năng
• Hơn 20 mô-đun bao quát mọi lĩnh vực bảo mật

Kiểm tra Kiến thức

• Bao gồm các bài kiểm tra định trước hoặc ngẫu nhiên, câu hỏi do khách hàng đặt, với độ dài có thể tùy chỉnh
• Bao quát nhiều lĩnh vực bảo mật
• Thư viện câu hỏi lớn và mang tính ngẫu nhiên loại bỏ khả năng gian lận

Mô phỏng Tấn công Lừa đảo

• 3 loại tấn công lừa đảo với độ khó khác nhau, tất cả đều dựa trên tình huống có thật
• Những chi tiết giúp truyền đạt kiến thức xuất hiện mỗi khi nhân viên mở email lừa đảo
• Mẫu mô phỏng có thể tùy chỉnh
• Tự động chỉ định mô-đun đào tạo đối với những nhân viên không vượt qua cuộc tấn công mô phỏng

Báo cáo & Phân tích

• Cung cấp số liệu thống kê về toàn bộ tổ chức hay của từng bộ phận, địa điểm, vị trí cũng như từng cá nhân
• Theo dõi cấp độ kỹ năng và sự thay đổi cấp độ kỹ năng của nhân viên
• Hỗ trợ xuất dữ liệu ra nhiều định dạng hay sang hệ thống quản lý học tập (LMS) của khách hàng

Đánh giá Văn hóa An toàn mạng

Đánh giá Văn hóa An toàn mạng phân tích những hành vi và thái độ thực tế hằng ngày đối với an ninh mạng tại mọi cấp độ trong doanh nghiệp, cho thấy nhân viên trong tổ chức bạn nhận thức như thế nào về các lĩnh vực khác nhau của an ninh mạng.

Kết quả đánh giá có thể được dùng để tìm hiểu những điểm mất cân bằng và những lĩnh vực cần tập trung, để chứng minh và điều chỉnh mức độ ưu tiên trong hoạt động bên trong và bên ngoài bộ phận Bảo mật, trong đó có nhận thức và đào tạo, PR nội bộ và chia sẻ thông tin, những nguyên tắc cộng tác trong khi làm việc tại doanh nghiệp.

Văn hóa An toàn mạng bao gồm nhiều lĩnh vực, những lĩnh vực này sẽ được đánh giá và đo lường một cách tổng thể trên toàn tổ chức. Kết quả đánh giá là cơ sở để thảo luận về vai trò và vị trí của an ninh mạng trong việc góp phần mang lại hiệu quả kinh doanh:

• Quan niệm về An toàn mạng (nhận thức về bảo mật & chính sách),
• Quản lý Rủi ro (hướng dẫn, phản hồi, cải thiện)
• Cam kết (thái độ và hành vi của mọi người đối với bảo mật)
• Tác động đến Doanh nghiệp (sự cân bằng giữa bảo mật và hiệu quả kinh doanh).

Cần lưu ý rằng báo cáo về văn hóa an toàn mạng không phải một hình thức đánh giá mức độ hoàn thiện về bảo mật kỹ thuật trong doanh nghiệp hay tính hiệu quả đo lường của bộ phận bảo mật.

Báo cáo về Văn hóa An toàn mạng cho thấy cách những nhân viên bình thường nhìn nhận/ cảm nhận về bảo mật mạng; những gì họ nghĩ về văn hóa, thói quen, lễ nghi, cách làm hằng ngày đối với những phương diện liên quan đến bảo mật mạng; nhận thức cá nhân của họ về những mặt khác nhau trong văn hóa bảo vệ công ty trước các mối đe dọa trên mạng. Nhận thức này là kết quả của nhiều phương pháp và đơn vị trong công ty, không chỉ nhờ hoạt động của bộ phận bảo mật hay quản lý rủi ro.

Đánh giá được tiến hành dưới hình thức khảo sát trên nền tảng điện toán đám mây. Mỗi nhân viên mất khoảng 15 phút để hoàn thành khảo sát và sẽ mất trung bình 2 tuần để toàn bộ nhân viên hoàn thành khảo sát.

Sau khảo sát, khách hàng sẽ nhận được báo cáo tổng hợp.

Phương thức Triển khai: Khởi động Nhanh và Hiệu quả Tích lũy

Dưới đây là một trình tự đào tạo đề xuất cho nhân viên với các Sản phẩm Kaspersky Security Awareness (khách hàng cũng được cung cấp “Hướng dẫn Cách thực hiện Tốt nhất”). Chúng tôi hướng dẫn chi tiết và hỗ trợ về phương pháp cho khách hàng nhằm đảm bảo các sản phẩm đào tạo đều có thể dễ dàng triển khai và quản lý, cũng như mang lại giá trị đúng với tiềm năng.

Các sản phẩm Đào tạo trong Kaspersky Security Awareness

Phần đào tạo Mô phỏng Tương tác Tình huống bảo vệ là một phần trong danh mục đào tạo của Kaspersky Security Awareness, dựa trên phương pháp Văn hóa An toàn mạng. Phát triển Văn hóa An toàn mạng qua một bộ nội dung đào tạo nhận thức thông qua trò chơi, dành cho mọi cấp độ trong cấu trúc của tổ chức, được các đội ngũ Bảo mật và Nhân sự quản lý.

Toàn diện, Đơn giản và Dễ thực hiện

• Các sự cố bảo mật đa dạng
• Môi trường quen thuộc
• Quy trình đào tạo lôi cuốn
• Bài tập mang tính thực tiễn cao
• Ngôn từ phù hợp với nhân viên không chuyên về CNTT