7 Phương pháp anninh mạng end-to-end của Huawei
7.4 Vấn đề về con người
Rất nhiều công ty cho rằng nhân lực của họ là tài sản quan trọng nhất, điều này rất đúng. Tuy nhiên, về mặt an ninh, đây lại là một điểm yếu lớn nhất. Cách thức tuyển dụng, đào tạo và động viên nhân viên cũng như quản lý cách làm việc của nhân viên thường quyết định sự khác biệt giữa thành công và thất bại - không chỉ vấn đề về an ninh mạng mà còn là cách thực hiện chiến lược chung của cả công ty.
Khung quản lý nguồn nhân lực phục vụ công tác bảo mật không gian mạng dựa trên nền tảng của một hệ thống hợp pháp và các quy định pháp luật của một quốc gia. Những yêu cầu về an ninh mạng trong quản lý Nhân lực nhằm đảm bảo rằng nhân viên của chúng tôi đủ điều kiện về nền tảng, cách ứng xử của nhân viên phù hợp với các quy định pháp luật, chính sách và quy trình thủ tục cũng như các yêu cầu về đạo đức kinh doanh của Huawei, đảm bảo nhân viên của chúng tơi có đủ trình độ, kỹ năng và kinh nghiệm để đảm nhận các nhiệm vụ của mình. Dưới đây là chi tiết mơ hình chung của chúng tơi:
Hình 3: Đưa an ninh mạng vào các quy trình Nhân lực
nâng cao nhận thức và năng lực của nhân viên nhằm tránh được các rủi ro do khả năng của nhân viên và công ty
Yêu cầu về pháp luật trong các tình hình khác nhau
Yêu cầu về khách hàng Yêu cầu về an ninh mạng Các chính sách an ninh mạng và BCG
Tích hợp an ninh mạng vào quản lý nhân lực
Cơ chế giám sát Giáo dục nhận thức Nhận biết vị trí quan trọng Hiệu chỉnh vị trí quan trọng
Cải thiện năng lực vị trí quan trọng Tất cả nhân viên Nhân viên trong vị trí an ninh Nhân viên ở các vị trí chung
Sau khi thơi việc:”làm sạch” tài sản và giấy phép Trong quá trình công tác: “làm sạch”hành vi Trước khi công tác: “làm sạch”nền tảng Phổ biến giáo dục nhận thức Tiến hành các hoạt động công khai Đánh giá tác động giáo dục Nhận biết vị trí an ninh Xác định trách nhiệm an ninh Hiệu chỉnh nèn tảng an ninh trước khi công
tác Kiểm nghiệm an ninh thường xuyên khi công
tác Làm sạch tài sản và cho phép an ninh sau khi thôi việc
Ký giấy cam kết
Thiết lập ma trận cải thiện năng lực
Phát triển các khóa đào tạo Tỏ chức học tập và kiểm tra Tỏ chức các hoạt đọng theo chủ đề Hệ thống giải trình an ninh mạng
Kênh báo cáo
Tích hợp an ninh mạng vào quản lý nhân lực
Đối với vấn đề giáo dục nhận thức cho nhân viên, Huawei đang xây dựng mơi trường văn hóa và giáo dục an ninh mạng trong công ty nhằm nhận thức được tầm quan trọng của an ninh mạng. Để làm được điều đó, Huawei tổ chức các hoạt động nhận thức an ninh mạng để cải thiện và nâng cao hiểu biết về an ninh mạng cho nhân viên.
Trong năm 2012, Huawei đã tổ chức các hội thảo dành cho các nhà quản lý gồm hơn 6.000 nhà quản lý thảo luận về các vấn đề an ninh mạng. Mục đích là nhằm nuôi dưỡng một môi trường thông qua tổ chức giáo dục và tìm hiểu về an ninh mạng trong cơng ty. Huawei cũng đã tổ chức khóa đào tạo nhận thức về an ninh mạng cho tồn thể nhân viên trong cơng ty và tổ chức cho họ tìm hiểu về các yêu cầu an ninh mạng, tham gia và được kiểm tra, ký cam kết đã hiểu những trách nhiệm của mình về an ninh mạng. Hơn 150.000 nhân viên cơng ty trên tồn cầu đã tham gia vào hoạt động này, và đã đạt được các mục tiêu đề ra về giáo dục nhận thức an ninh mạng cho nhân viên cơng ty. Ngồi ra, các phòng kinh doanh cũng thực hiện các hoạt động đào tạo kiến thức về an ninh mạng và kỹ năng cũng như giáo dục nhận thức khác cho nhân viên công ty dựa trên những yêu cầu kinh doanh của riêng mình, hơn nữa các phịng này cũng đã nghiên cứu về những trường hợp an ninh mạng riêng đối với lĩnh vực kinh doanh của mình.
Chúng tôi cũng thường xuyên phân phát các ấn bản định kỳ về an ninh mạng thông qua cơ sở cơng khai nội bộ. Ngồi ra, chúng tơi áp dụng các phương pháp khác, như dán áp phích quảng cáo và thẻ nhằm công khai nội dung giáo dục an ninh mạng. Các phòng kinh doanh tổ chức thực hiện các hoạt động công khai an ninh mạng theo yêu cầu và các đặc điểm kinh doanh của mình, như khuyến khích các bài viết về an ninh mạng và ghi nhận những bài báo đó bằng hình thức tặng thưởng, lựa chọn slogan an ninh mạng, các nghiên cứu tình huống, v.v. Mọi hoạt động đều nhằm giúp việc giáo dục nhận thức an ninh mạng được ghi nhớ vào lịch trình cơng việc hàng ngày của nhân viên.
Huawei xem việc đào tạo vấn đề an ninh mạng là một chiến dịch dài hạn. Mặt khác, chúng tôi đã đưa các yêu cầu về an ninh mạng vào Hướng dẫn về Đạo đức kinh doanh (BCG) dành cho nhân viên Huawei nhằm phổ biến các yêu cầu an ninh mạng tới toàn thể nhân viên công ty thông qua các hoạt động tìm hiểu BCG hàng năm, kiểm tra và ký cam kết để giúp họ nâng cao nhận thức về an ninh mạng. Mặt khác, chúng tôi cũng tiếp tục tiến hành nghiên cứu đào tạo an ninh mạng và các nghiên cứu tình huống, phổ biến các yêu cầu hành vi và kiến thức về an ninh mạng, nhằm tiếp tục tăng nhận thức về an ninh mạng của nhân viên cơng ty.
Xét về khía cạnh rủi ro, một số vai trò gây ra mối đe dọa về an ninh trong nội bộ lớn hơn những rủi ro khác. Huawei nhận biết các vị trí quan trọng về an ninh mạng trong mỗi lĩnh vực kinh doanh và xác định rõ ràng các vị trí có thể tạo ra cơ hội can thiệp hoặc thực hiện hoạt động cố ý phá hoại thông qua thiết kế, xây dựng , triển khai và hỗ trợ sản phẩm mà chúng tôi cung cấp tới khách hàng.
Đối với nhân viên đảm nhận các vị trí quan trọng về an ninh mạng, Huawei đã yêu cầu như sau:
Trước khi tuyển dụng nhân viên vào công ty, chúng tôi sẽ tiến hành xem xét lý lịch một cách chặt chẽ đảm bảo nhân viên tiềm năng có q trình cơng tác, lịch sử cơng tác phù hợp với các yêu cầu của khách hàng đối với vị trí đó.
Chúng tơi sử dụng một mẫu chi tiết và thống nhất với các yêu cầu về an ninh mạng được xây dựng trong quy trình “đánh giá trình độ chun mơn” khi tìm kiếm và lựa chọn ứng viên. Kiểm tra lý lịch khi tuyển dụng được áp dụng đối với tuyển dụng bên ngoài và phân bổ nhân viên hiện có trong nội bộ.
Khi các nhân viên được nhận vào làm việc, chúng tơi áp dụng các tiêu chí đánh giá trình độ chun mơn và chứng nhận cơng việc để hướng dẫn họ nâng cao nhận thức của mình và cải thiện các kỹ năng liên quan, đồng thời chúng tôi cũng thực hiện kiểm tra an ninh thường xuyên.
Đối với các hành vi của nhân viên đảm nhận các vị trí quan trọng về an ninh mạng, chúng tôi tiến hành xem xét đạo đức liên quan đến an ninh mạng nhằm kiểm tra xem họ có vi phạm luật pháp khơng, nhờ đó đảm bảo các hành vi của nhân viên đó phù hợp và đúng đắn.
Khi nhân viên thôi việc, hoặc khi nhân viên thôi giữ chức vụ quan trọng, chúng tôi sử dụng các điểm kiểm sốt trong quy trình kiểm tra khi chấm dứt công việc nhằm hướng dẫn Nguồn nhân lực và nhân sự về an ninh mạng xóa bỏ hoặc thay đổi đặc quyền và bỏ đi tài sản của nhân viên, khi cần thiết. Kiểm tra khi thôi việc được áp dụng đối với việc tái phân bổ nhân viên trong nội bộ và khi từ chức.
Phát triển kỹ năng và kiến thức của nhân viên để họ có thể hồn thành vai trị của mình một cách hiệu quả là một thành phần cốt lõi trong văn hóa dựa trên hiệu quả của Huawei. Chúng tơi phát triển kế hoạch nâng cao năng lực an ninh cụ thể và các khóa cơ bản nhằm nâng cao năng lực an ninh mạng của nhân viên thông qua các cơ chế học hỏi mang tính hệ thống của chúng tôi. Huawei hướng tới mục tiêu nâng cao hiểu biết và kỹ năng về an ninh mạng cho nhân viên giữ vị trí quan trọng để giảm thiểu những hành vi không tuân thủ của nhân viên. Đồng thời, chúng tôi cũng chỉ đạo nhân viên chủ động học hỏi để bổ sung thêm vào vốn kiến thức được đào tạo thụ động. Ngồi ra, đối với năng lực cần có đối với những vị trí quan trọng về an ninh mạng ở những phòng ban kinh doanh khác nhau, chúng tơi đã phát triển các khóa theo yêu cầu và các đợt kiểm tra. Chúng tơi tổ chức các khóa học và các đợt kiểm tra hàng năm cho nhân viên nhằm thúc đẩy họ học tập một cách chủ động và có trách nhiệm. Nhiều hoạt động nâng cao năng lực hướng tới thực hành được thực hiện nhằm nâng cao hiểu biết và kỹ năng của nhân viên giữ những vị trí quan trọng. Ví dụ, chúng tơi tổ chức các bài giảng về an ninh mạng, các diễn đàn về an ninh mạng và kho dữ liệu về các tình huống an ninh mạng. Nhằm đánh giá sự cải thiện năng lực của nhân viên, chúng tôi đã áp dụng mơ hình Kirkpatrick6và sử dụng các phương pháp như điều tra về sự thỏa mãn đối với khóa đào tạo và các bài kiểm tra nhằm đánh giá hiệu quả của việc nâng cao năng lực.
Huawei đã áp dụng hệ thống trách nhiệm an ninh mạng nghiêm ngặt vốn thực hiện các cơ chế giải trình chính thức. Chúng tơi u cầu mỗi nhân viên phải giải trình về những việc mình làm và hậu quả của những hành động đó, khơng chỉ xét trên khía cạnh cơng nghệ mà gồm cả luật pháp. Nhân viên của chúng tôi biết rằng khi xảy ra vấn đề an ninh mạng, khách hàng, cơng ty và từng cá nhân có thể bị ảnh hưởng khá nghiêm trọng. Vì vậy, dù hành vi là vô ý hay cố ý, chúng tơi cũng thực hiện quy trình chính thức dựa trên bối cảnh và hậu quả thực tế. Chúng tôi cũng đã xác định bảy loại vi phạm và năm kịch bản kinh doanh theo tình trạng an ninh mạng ở những quốc gia và khu vực khác nhau, gồm Châu Âu và Mỹ. Dựa vào đó, chúng tơi đã cơng khai Hệ thống giải trình về Vi phạm an ninh mạng, chúng tôi đã nêu rõ hậu quả đối với mỗi cá nhân khi vi phạm an ninh mạng.
Điểm khởi đầu của chúng tôi là nhân viên, nhân viên của hầu hết các công ty đến để thực hiện công việc quy mô lớn. Tuy nhiên, nhân viên có thể chứng kiến các đồng nghiệp khác làm những việc mà khiến họ khơng thoải mái, có thể do đơn giản là họ làm sai, hoặc do về mặt đạo đức họ nghĩ đó là sai, hoặc họ không chắc, nhưng muốn ai đó biết về đạo đức. Cũng giống như các tổ chức khác, chúng tôi cũng nhận biết các tình huống đó và cung cấp kênh cảnh báo vi phạm nhằm báo cáo tình huống vi phạm nghi ngờ thơng qua quy trình Hướng dẫn Đạo đức Kinh doanh (BCG).