Khi đã có hệ thống trang thiết bị và các quy định sử dụng hợp lý, vấn đề cuối cùng là đảm bảo ngƣời dùng hệ thống đó tuân thủ đúng theo các yêu cầu đặt ra.
3.3.3. Xây dựng chính sách nhân sự, nâng cao năng lực quản trị mạng và đào tạo người dùng
Khi doanh nghiệp đã đƣợc đầu tƣ hệ thống hạ tầng và quy trình sử dụng đảm bảo an ninh mạng thì vấn đề cịn lại là chính con ngƣời sử dụng. Việc tn thủ của ngƣời dùng và quản trị viên quyết định tới việc hệ thống có đảm bảo an ninh hay không. Nhƣ các viện dẫn khủng hoảng trong chƣơng 2, hệ thống có trang bị, nhƣng ngƣời dùng đi tắt khơng qua FireWall, nhân viên mở mail kích hoạt vào file gửi kèm có mã độc, hay nhiều vụ khủng
hoảng cho thấy tội phạm mạng thƣờng tấn công xâm nhập qua máy tính, tài khoản của nhân viên để thâm nhập vào hệ thống.
Có thể nói, con ngƣời là yếu tố quan trọng nhất, nhƣng cũng là điểm yếu nhất trong hệ thống. Để đảm bảo an ninh mạng, việc đầu tƣ cho con ngƣời cần tƣơng xứng với việc đầu tƣ trang thiết bị. Phần lớn các sự cố an ninh nghiêm trọng tại các doanh nghiêp/tổ chức xuất phát từ yếu tố con ngƣời.
Yếu tố con ngƣời trong nhóm giải pháp này đầu tiên đƣợc giải quyết nhờ chính sách nhân sự. Cơng ty phải có chính sách nhân sự rõ ràng và đủ năng lực quản trị nguồn nhân lực và nhân tài. Có chế độ đãi ngộ phù hợp và các tiêu chí đánh giá chất lƣợng của nhà lãnh đạo, quản trị, điều hành và nhân viên rõ ràng: bộ tiêu chí đánh giá chất lƣợng cơng việc, đánh giá phẩm chất nhân viên, đánh giá sức khỏe thể chất, sức khỏe tinh thần94. Điều này có tác động lớn tới chất lƣợng các quyết định và cách giải quyết các vấn đề quản trị an ninh mạng, trong đó bao gồm cả quản trị rủi ro an ninh mạng và đối phó khủng hoảng an ninh mạng xảy ra.
Ngồi ra, cơng ty cần có chính sách đào tạo an ninh mạng để phát triển nguồn nhân lực quản trị an ninh mạng chất lƣợng. Cùng với chính sách nâng cao nhận thức về an ninh mạng cho nhà lãnh đạo, các cá nhân có trách nhiệm quản lý, ngƣời sử dụng mạng máy tính và thực hành các phƣơng án ứng phó xử lý sự cố khi bị tấn cơng. Trong đó, cơng tác đào tạo phải đƣợc đảm bảo tiến hành thƣờng xuyên và định kỳ.
Các khố đào tạo cần có gồm:
- Đào tạo nhận thức an ninh mạng dành cho tất cả mọi ngƣời trong cơ quan, tổ chức; - Đào tạo chuyên viên an ninh mạng dành cho đội ngũ quản trị hệ thống, chuyên
viên an ninh mạng;
- Diễn tập ứng phó sự cố an ninh mạng.
Trong đó, các khố học cần phải có các kiến thức nhƣ sau:
- Đào tạo nhận thức an ninh mạng: trang bị những kiến thức không thể thiếu về vấn đề an ninh mạng đối với nhân viên ứng dụng CNTT trong hoạt động hàng ngày thông qua các kiến thức sát thực tế và demo các kịch bản tấn công phổ biến:
o An ninh mạng và các khái niệm,
o Hacker, virus và các hiểm họa trên mạng,
o Các biện pháp bảo vệ máy tính, dữ liệu,
o Phịng chống lừa đảo trực tuyến,
94 Có thể sử dụng các bảng biểu cơng cụ đánh giá theo giáo trình Quản trị rủi ro và an ninh doanh nghiệp, khoa HSB trƣờng Đại học Quốc gia Hà Nội của tác giả PGS.TS. Hồng Đình Phi
o Hệ thống quản lý an ninh thơng tin ISO 27001.