🟢 #SECTION 5 | Ransomwware - Training and Awareness | #ITTalks1102

📌 TEKPost
📌 Evernote


#IT_Talks_1102

#Ransomware_Stories



Ransomware – Nỗi ám ảnh không của riêng ai

Các cuộc tấn công ransomware vào các doanh nghiệp Việt Nam gần đây đã gia tăng một cách nhanh chóng, cả về quy mô, mức độ nguy hiểm và số lượng. Đã đến lúc (tuy có hơi muộn một chút) các doanh nghiệp Việt cần phải nghiêm túc xem xét các cuộc tấn công ransomware thực sự là một mối đe dọa nguy hiểm có thể dẫn đến những rủi ro cực kỳ lớn đối với quá trình hoạt động kinh doanh của mình. Chỉ có như vậy, doanh nghiệp mới có được sự chuẩn bị tốt nhất có thể cho những tình huống xấu nhất khi bị tấn công tống tiền và đe dọa tiết lộ dữ liệu thông qua tấn công bằng ransomware. Dĩ nhiên, ngoài việc đầu tư là mua sắm và triển khai các giải pháp bảo mật và phát hiện tấn công hay những phần mềm bảo mật thiết bị đầu cuối được quản lý tập trung, triển khai một chiến lược bảo mật toàn diện, liên tục đào tạo và nâng cao nhận thức cho tất cả nhân viên của mình, doanh nghiệp cũng sẽ cần phải xác định, đánh giá và ưu tiên khắc phục các lỗ hổng trong các hệ thống thông tin của mình càng nhiều càng tốt và phát triển được một năng lực sẵn sàng ứng phó với các sự cố nói chung và một cuộc tấn công bằng ransomware nói riêng.

IT Café Talks 1102 – Ransomware Stories, được tổ chức như một hoạt động định kỳ hàng tháng – là một cơ hội để:

- Giới thiệu khái quát và giải đáp những thắc mắc thường gặp về khía cạnh bảo mật hệ thống thông tin trong quá trình vận hành của một doanh nghiệp,

- Trình bày những chiến lược phòng – chống – khôi phục và tăng cường bảo mật để đảm bảo sự an toàn cho dữ liệu và thông tin của các cá nhân lẫn tổ chức,

- Gặp gỡ và trao đổi những kinh nghiệm hoàn toàn thực tế từ trải nghiệm của toàn bộ những thành viên tham gia.

Và Section 5 – Ransomware: Training and Awareness – sẽ diễn ra tại Thủ Đức với thông tin chi tiết như sau:

- Thời gian: 9:00 sáng ngày 20/7/2024,

- Địa điểm: Café Ẩn, số 41, đường 30, phường Linh Đông,

- Tổ chức: Mr. Văn Công Hinh (Công ty BQT),

- Trình bày: Ms. Nguyễn Xuân Thảo Vy (Chuyên gia Nhân sự từ HPT) và Mr. Nguyễn Thế Hùng (ITM từ Frasers Law Company – Chuyên gia tư vấn doanh nghiệp), cùng một số anh chị em hiện đang quản lý và vận hành các chức năng IT trong các doanh nghiệp Việt Nam và nước ngoài khác,

- Chi phí: chương trình hoàn toàn miễn phí, anh chị em chỉ phải tự chi trả phần nước uống của mình.

- Đăng ký: link đăng ký sẽ được gắn kèm ở phần comment.

Đối tượng mục tiêu của chuỗi IT Talks – Ransomware Stories bao gồm:

- Anh chị em IT đang làm việc tại các doanh nghiệp,

- Những cá nhân muốn tìm hiểu về ransomware và cách tự bảo vệ những dữ liệu cá nhân của mình,

- Anh chị em từ các chức năng khác của doanh nghiệp như Quản lý Rủi ro, Pháp lý, Nhân sự, Đào tạo, v.v…

- Các chủ doanh nghiệp hoặc đang đóng vai trò điều hành doanh nghiệp.

(Hãy cùng bắt đầu bằng những nguyên nhân gây lãng phí tài nguyên của doanh nghiệp xuất phát từ việc thiếu hiệu quả của các chương trình đào tạo và nâng cao nhận thức).

Rất nhiều doanh nghiệp, kể cả những doanh nghiệp lớn, đã xây dựng và triển khai những chương trình đào tạo và nâng cao nhận thức về hệ thống thông tin và bảo mật thông tin cho đội ngũ nhân viên của mình. Tuy nhiên, các chương trình này thực sự chưa đạt được hiệu quả như đã được kỳ vọng và gây ra một sự lãng phí ghê gớm đối với các nguồn lực hạn chế của doanh nghiệp. Nguyên nhân vì đâu?

1. Tài liệu và ngôn ngữ không phù hợp: Hầu hết các chương trình đào tạo và nâng cao của nhận thức về thông tin và bảo mật thông tin trong các doanh nghiệp đều được thực hiện bởi các … chuyên gia về công nghệ. Chính vì lý do này mà các tài liệu đào tạo phần lớn sử dụng những thuật ngữ mang tính chuyên môn kỹ thuật và rất khó hiểu đối với người dùng không phải là dân kỹ thuật. Điều này đã dẫn đến việc người được đào tạo không hoặc chỉ nắm được rất ít những kiến thức phổ thông và cần thiết để bảo vệ được những thông tin và hệ thống thông tin, kể cả của cá nhân và thuộc sở hữu của doanh nghiệp.

2. Mục tiêu của các chương trình đào tạo không được xác định một cách cụ thể và rõ ràng hoặc thậm chí, mục tiêu được xác định sai: Mục đích sau cùng của các chương trình đào tạo về bảo mật cho toàn bộ đội ngũ nhân viên sẽ phải là đảm bảo được sự an toàn cho thông tin và các hệ thống thông tin của doanh nghiệp, bất kể điều kiện môi trường thay đổi như thế nào. Sự an toàn có thể là giữ bí mật, đảm bảo tính chính xác, không bị sửa đổi trái phép, hoặc đảm bảo thông tin và hệ thống thông tin luôn sẵn sàng khi được cần đến bởi người dùng hợp pháp. Vì vậy, mục tiêu của các chương trình đào tạo và nâng cao nhận thức về bảo mật thông tin nên xoay quanh các yếu tố này, thay vì chỉ để hoàn thành các yêu cầu đào tạo từ cấp trên hoặc theo kế hoạch đào tạo đã được phân bổ.

3. Không thể đo lường hoặc đo lường sai hiệu quả đào tạo: Chính vì mục tiêu không rõ ràng hoặc xác định sai mục tiêu đã dẫn đến việc hiệu quả của chương trình đào tạo đã bị hiểu sai và đo lường sai. Vì mục đích tối hậu là đảm bảo sự an toàn cho thông tin và hệ thống thông tin, hiệu quả của các chương trình nâng cao nhận thức phải được đo lường trên cơ sở lượng kiến thức đã đào tạo sẽ được áp dụng vào công việc thực tế như thế nào. Việc không thể đo lường tính hiệu quả của đào tạo sẽ khiến cho những nỗ lực bảo mật thông tin của doanh nghiệp bị lãng phí và thậm chí, hoàn toàn không có tác dụng gì trong việc bảo vệ hệ thống thông tin của doanh nghiệp.

4. Hình thức và phương pháp đào tạo cứng nhắc, lạc hậu và nhàm chán: Cùng với sự phát triển của công nghệ thông tin, đào tạo và nâng cao nhận thức cho người dùng hiện không còn chỉ giới hạn trong các buổi đào tạo trực tiếp trong các phòng học như trước kia. Rất nhiều hình thức phổ biến thông tin đơn giản và hiệu quả khác có thể được sử dụng cho mục đích nâng cao nhận thức, ví dụ: các hình nền định kỳ theo một chủ đề nhất định, các hình ảnh, biểu đồ trực quan cùng những thông tin ngắn gọn và súc tích được gửi qua email, các buổi thảo luận nhóm nhỏ trong một khoảng thời gian ngắn, các đoạn phim ngắn vui nhộn nói về cách bảo vệ thông tin và hệ thống thông tin, v.v… Do đó, tùy theo từng đối tượng tiếp nhận thông tin đào tạo, các nhà tổ chức chương trình đào tạo nên áp dụng những hình thức đào tạo thích hợp để chương trình thực sự có hiệu quả.

5. Thiếu tính liên tục và sự duy trì: Rất nhiều doanh nghiệp mắc phải sai lầm khi coi các chương trình đào tạo và nâng cao nhận thức là các dự án một-lần và không có các hoạt động lặp lại, củng cố và cập nhật thêm các kiến thức mới. Sự tiến bộ của AI, mức độ tinh vi của các cuộc tấn công an ninh mạng, sự phát triển mạnh mẽ của các tổ chức tội phạm mạng ngày nay bắt buộc các tổ chức và doanh nghiệp phải liên tục cập nhật những kiến thức mới về các lỗ hổng bảo mật, các hình thức tấn công và phương pháp phòng ngừa mới, đồng thời phải duy trì được các chiến lược bảo mật thông tin phù hợp và nhất quán với chiến lược kinh doanh cũng như các luật lệ và quy định mới được ban hành và áp dụng bởi các cơ quan có thẩm quyền.

6. Thiếu sự cộng tác và hợp tác của các bộ phận: Một xu hướng cố hữu tự nhiên trong hầu hết các tổ chức là tất cả các bộ phận đều muốn ưu tiên nhiều hơn cho những mục tiêu riêng của mình, và thông tin được chia sẻ hạn chế hoặc chỉ trong nội bộ các cấp quản lý và lãnh đạo. Do đó, trải qua một quá trình hoạt động kinh doanh càng lâu thì các bộ phận trở nên tách biệt nhau trong các ranh giới ảo, dẫn đến sự hợp tác và cộng tác với nhau vì một mục tiêu chung của toàn doanh nghiệp trở nên rời rạc, lỏng lẻo và bị lệch pha theo nhiều hướng khác nhau. Trong khi đó, bản chất của chương trình đào tạo và nâng cao nhận thức bảo mật cho doanh nghiệp là sự chia sẻ thông tin và cộng tác trên quy mô toàn-doanh-nghiệp cùng hướng đến mục đích sau cùng là đảm bảo sự an toàn cho thông tin và hệ thống thông tin có ý nghĩa quan trọng đối với hoạt động kinh doanh của doanh nghiệp. Vì vậy, sự gắn kết thông qua hợp tác và cộng tác đóng một vai trò tối quan trọng trong một chương trình đào tạo và nâng cao nhận thức về bảo mật hiệu quả.

7. Cam kết lâu dài của đội ngũ lãnh đạo cho chương trình đào tạo: cuối cùng, nhưng không kém phần quan trọng, chính là sự cam kết về nguồn lực, thời gian, sự ủng hộ và quan tâm của đội ngũ lãnh đạo của doanh nghiệp dành cho chương trình. Sự thiếu cam kết này có thể dẫn đến việc chương trình không được liên tục và cập nhật, sự cộng tác và hợp tác của các bộ phận không được định hướng và thúc đẩy, hoặc nghiêm trọng hơn, kéo theo sự vô cảm của đội ngũ và không coi trọng việc học tập và tiếp thu thêm kiến thức về bảo mật thông tin. "Đến sếp còn thờ ơ thì việc gì tôi phải quan tâm đến bảo mật thông tin?"

Để một chiến lược bảo mật thông tin thực sự có hiệu quả và các giải pháp thực sự bảo vệ được thông tin và hệ thống thông tin của mình, doanh nghiệp không có cách nào khác ngoài việc không ngừng nâng cao nhận thức về an toàn thông tin cho TOÀN BỘ đội ngũ của mình, khuyến khích và thúc đẩy sự cộng tác và chia sẻ thông tin trên quy mô toàn-doanh-nghiệp, đồng thời liên tục cập nhật và làm mới và phổ biến cơ sở kiến thức về tất cả những yếu tố có liên quan đến bảo mật, kể cả cho những cộng đồng có liên quan bên ngoài như đối tác kinh doanh, nhà cung cấp, nhà thầu, hoặc người dùng bên ngoài.