Các nhân tố con người và bảo mật thông tin: Cá nhân, văn hóa và môi trường bảo mật – Phần VI


Một số nhà nghiên cứu chỉ ra rằng, văn hóa tổ chức có thể được nhìn nhận và được hiểu theo ba cách khác nhau: như là một biến số bên trong từ trong nơi làm việc; như là một biến số bên ngoài được mang vào nơi làm việc, hoặc như là một biểu tượng nguồn gốc, có nghĩa là văn hóa là cái gì đó mà một tổ chức có hay tượng trưng cho tổ chức đó (Smirchich, 1983). Theo Thompson & Luthans (1990), văn hóa được hiểu rõ nhất qua sự gắn kết ba quan điểm này với nhau, nhấn mạnh rằng văn hóa không phải là một cấu trúc ổn định, mà đúng hơn là một cấu trúc không ngừng phát triển.

Sức mạnh văn hóa của một tổ chức được nhìn thấy thông qua sự hòa nhập xã hội của các thành viên mới (Van Mannen & Schein, 1979). Sự hòa nhập xã hội là một quá trình diễn ra không ngừng xuyên suốt sự gắn kết của một cá nhân với một tổ chức, bởi khi một tổ chức thay đổi và phát triển, các cá nhân cần phải thích nghi với những thay đổi mới. Các cá nhân chủ yếu nhận thấy quá trình hòa nhập xã hội khi họ lần đầu tiên gia nhập vào công ty hay chuyển sang bộ phận hay nhóm đội khác (Feldman & Brett, 1983). Về bản chất, sự xã hội hóa có thể được coi là một hình thức hòa nhập tổ chức (Ivancevich et al., 2000). Cụ thể là, xã hội hóa “là chiến lược nhằm đạt được sự hòa hợp giữa các mục tiêu của tổ chức và cá nhân… và là một quá trình quan trọng và mạnh mẽ đối với việc truyền tải văn hóa tổ chức (Ivancevich et al., 2000, p.605).

Những tổ chức có nền văn hóa mạnh mẽ được cho là hoạt động theo một loạt những giá trị và tiêu chí cố kết (George & Jones, 1996). Những giá trị và tiêu chuẩn này thống nhất các thành viên trong đội lại với nhau và tạo ra sự cam kết từ người lao động nhằm đạt được các mục tiêu của tổ chức (George & Jones, 1996). Ở những nền văn hóa yếu, sự chỉ dẫn và hướng dẫn tối thiểu được đưa ra cho người lao động, và trong những môi trường này, chính cơ cấu chính thức của tổ chức là cái dẫn dắt hành vi, chứ không phải là các giá trị và các tiêu chí (George & Jones, 1996). Peters & Waterman (1982) cho rằng các nền văn hóa mạnh có thể tạo ra sự thực thi cao, và họ ghi nhận rằng những tổ chức thành công có nền văn hóa mạnh mẽ đều có ba điểm chung.

Thứ nhất, các tổ chức có nền văn hóa mạnh mẽ đều khuyến khích nhân viên của họ chấp nhận rủi ro và đánh giá cao sự tự chủ và tư tưởng kinh doanh táo bạo. Thứ hai, những tổ chức này đều hiểu rõ nhiệm vụ tổ chức của họ; họ có khả năng tập trung vào hoạt động cốt lõi của họ và không ngừng duy trì và phát triển nó. Thứ ba, các tổ chức này đều thiết lập các giá trị và các tiêu chí thúc đẩy các nhân viên của họ. Họ cho rằng hiệu suất có thể đạt được thông qua mọi người và hết sức tận tụy đầu tư vào nguồn nhân lực của họ (Peters & Waterman, 1982).

Một số nhà nghiên cứu cho rằng một nền văn hóa mạnh không nhất thiết dẫn tới sự thực hiện tốt (Thompson & McHugh, 1995). Ví dụ, văn hóa ngầm được trải nghiệm bởi người lao động có thể không phải là thứ văn hóa được nhà quản lý bày tỏ rõ ràng. Điều đó chứng tỏ rằng những nền văn hóa mạnh đôi khi có thể cản trở một tổ chức tiến lên khi các thành viên có thể không mấy hứng thú với sự thay đổi (Thompson & McHugh, 1995). Văn hóa chắc chắn không phải là hiện tượng thống nhất và trong một nền văn hóa cũng có thể tồn tại các tiểu văn hóa (Hampden-Turner, 1990).

Có thể thấy các tiểu văn hóa khác nhau về cấp độ, chức năng và vai trò trong một tổ chức, dẫn tới sự khác nhau về thái độ, niềm tin và các giá trị giữa các thành viên của một tổ chức (Hampden-Turner, 1990). Martin và Siehl (1983) kể ra ba loại tiểu văn hóa: tiểu văn hóa đề cao (enhancing subculture), tiểu văn hóa trực gia (orthogonal subculture), và tiêu văn hóa chống đối (counter subculture). Tiểu văn hóa đề cao thường là loại tiểu văn hóa mạnh nhất và xuất hiện khi các quy tắc, niềm tin và các giá trị tương hợp với nền văn hóa tổng thể hay văn hóa chủ đạo của tổ chức đó. Trong tiểu văn hóa trực giao, mặc dù các quy tắc cơ bản của văn hóa tổ chức đó được chấp nhận, song một số quy tắc lại chỉ thuộc về nhóm đặc biệt đó (Martin & Siehl, 1983). Trong văn hóa chống đối, các quy tắc xung đột trực tiếp với nền văn hóa đơn nhất của tổ chức (Martin & Siehl, 1983). Các tiểu văn hóa bên trong một tổ chức có thể gây phiền hà và có thể ảnh hưởng tiêu cực đến việc thực hiện công việc khi các tiêu văn hóa có những ưu tiên và những vấn đề cần quan tâm khác nhau (Furnham & Gunter, 1993).

Phần lớn nghiên cứu được thực hiện trong lĩnh vực văn hóa tổ chức đều ủng hộ quan niệm cho rằng sự nhận thức về môi trường làm việc và văn hóa tổ chức có mối quan hệ quan trọng và có ý nghĩa với cách hoạt động của tổ chức. Những điều này bao gồm sự hài lòng về công việc, sự cam kết, động lực, sức khỏe, sự giao tiếp, sự thực thi và các hành vi bảo mật (Ruighaver et al., 2007; Parker et al., 2003; DeCotiis & Summers, 1987; Muchinsky, 1977). Bảo mật không chỉ là vấn đề áp dụng công nghệ mới nhất; bảo mật có hiệu quả được ghi sâu bên trong văn hóa doanh nghiệp (Ruighaver et al., 2007).

3.2/ Tám chiều cảnh của khuôn khổ văn hóa tổ chức khi áp dụng vào bảo mật thông tin

Ruighaver et al., (2007) lý giải rằng trong một tổ chức, việc bảo vệ thông tin chủ yếu là vấn đề quản lý và cách mà nhà quản lý giải quyết vấn đề bảo mật thông tin phản ánh trực tiếp văn hóa của tổ chức. Có thể hiểu được văn hóa bảo mật qua việc sử dụng khuôn khổ văn hóa của tổ chức đó. Khuôn khổ này được đưa ra bởi Deter, Schroeder và Mauriel (2000), và văn hóa được chia thành tám chiều cạnh.

Tám chiều cạnh đó là: cơ sở của sự đúng đắn và hợp lý; tính chất thời gian và tầm nhìn; động lực; sự ổn định đối lập với sự thay đổi; đổi mới hay phát triển cá nhân; định hướng theo công việc, nhiệm vụ, các đồng nghiệp; sự cô lập đối lập với sự cộng tác hay hợp tác; kiểm soát, phối hợp và trách nhiệm; và sự định hướng và chú trọng bên trong hay bên ngoài (Ruighaver et al., 2007).

3.2.1/ Cơ sở của sự đúng đắn và hợp lý

Cơ sở của sự đúng đắn và hợp lý là thành tố đầu tiên của khuôn khổ văn hóa tổ chức, và nó hàm ý về sự đúng đắn trong các niềm tin và các hành động bảo mật. Ví dụ, nhà quản lý có khuyến khích những hành động và chính sách bảo mật thích hợp, cả trong những gì được nhà quản lý tuyên bố, và trong những gì mà các hành động và các hành vi được thấy trong môi trường làm việc đó không? Nếu nhà quản lý có các chính sách bảo mật chặt chẽ tại chỗ, và thể hiện những chính sách này vào các hoạt động thường nhật, điều này có nghĩa là người lao động có nhiều khả năng cũng tiếp nhận các ý niệm bảo mật tương tự (Ruighaver et al., 2007).

3.2.2/ Tính chất thời gian và tầm nhìn

Tính chất thời gian và tầm nhận thức bao hàm cách mà một tổ chức lên kế hoạch cho tương lai của họ. Ví dụ, một số tổ chức có các mục tiêu dài hạn và các kế hoạch chiến lược tại chỗ, khi hướng tới nhiều năm về sau. Các tổ chức khác hoạt động bằng cách đáp ứng các mục tiêu ngắn hạn và trước mắt. Việc lên kế hoạch dài hạn cho phép một tổ chức thực hiện sự cam kết mạnh mẽ đó với việc bảo mật. Chẳng hạn như, họ có thể dành dụm tiền để có thể chuyên dùng vào việc nâng cao và cải thiện bảo mật thông tin; điều này làm gia tăng cơ hội là luôn có sẵn một mức kinh phí thích hợp. Việc lên kế hoạch dài hạn này có nghĩa là bảo mật và là có thể vẫn là ưu tiên tối cao (Ruighaver et al., 2007).

3.2.3/ Động lực

Người lao động cần được thúc đẩy chấp nhận các hành vi và thông lệ bảo mật, và nhà quản lý cần có khả năng hiểu được điều gì thúc đẩy nhân viên của họ. Ví dụ, các cá nhân có hưởng ứng với những khuyến khích bên trong hay bên ngoài không, phần thưởng có tốt hơn so với trừng phạt không, hay ngược lại? Điều này cho thấy rằng động lực xuất hiện khi người lao động chịu trách nhiệm cá nhân về bảo mật. Sự tham dự của yếu tố xã hội là tầm nhận thức cũng cho thấy làm gia tăng động lực bảo mật. Điều này xuất hiện khi các thành viên nhân viên thuộc các lĩnh vực khác nhau của tổ chức thảo luận về các vấn đề bảo mật chung và tích cực tham gia vào quá trình đưa ra quyết định (Koh, Ruighaver, Maynard & Ahmad, 2005).

(còn tiếp) 

Người dịch: Thái Hà

Nguồn: www.dtic.mil

TN 2014 – 20, 21, 22, 23, 24, 25, 26

Advertisements

Các nhân tố con người và bảo mật thông tin: Cá nhân, văn hóa và môi trường bảo mật – Phần V


2.9/ Ảnh hưởng của việc hình dung rủi ro

Cách mà theo đó rủi ro được mô tả hay được hình dung cũng có thể ảnh hưởng tới nhận thức rủi ro của các cá nhân. Ví dụ như, khi một rủi ro được nói rõ nhấn mạnh tới những tổn thất có thể có, chiến lược chấp nhận rủi ro là khá phổ biến, trong khi đó chiến lược không chấp nhận rủi ro có nhiều khả năng được thực hiện hơn khi rủi ro được mô tả liên quan tới những lợi ích có thể có (Kahneman & Tversky, 1979). Điều này dựa trên lý thuyết triển vọng với ý niệm cho rằng mọi người có nguyên tắc mang tính chủ quan về các tổn thất và lợi ích (Schneier, 2003).

Hiệu quả củ việc hình dung về rủi ro được chứng minh rõ ràng trong một nghiên cứu của McNeil, Pauker, Sox và Tversky (1982). Những người tham gia vào nghiên cứu này được yêu cầu hình dung là họ mắc ung thư phổi, và sau đó được cung cấp các liệu pháp điều trị. Khi những người tham gia được thông tin cho biết về các khả năng được vạch ra dưới dạng khả năng có thể chết (32%) hơn là khả năng có thể sống sót (68%), thì tỷ lệ phần trăm những người chọn cách điều trị giảm từ 44% xuống chỉ còn 18% (Slovic, 1986). Điều này mang những hàm ý quan trọng đối với việc bảo mật thông tin, vì nó cho thấy mọi người có thể bị tác động mạnh mẽ bởi cách mà theo đó rủi ro được thông báo. Chẳng hạn như, điều này ám chỉ là mọi người có thể có nhiều khả năng đi theo các hướng dẫn bảo mật thông tin nếu hậu quả được mô tả nhấn mạnh đến những lợi ích có thể có. Điều này sẽ được đề cập chi tiết hơn trong phần thông tin rủi ro tiếp theo.

2.10/ Tính cách và kiểu nhận thức

Những khác biệt cá nhân liên quan đến những yếu tố như tính cách và kiểu nhận thức cũng có thể ảnh hưởng tới nhận thức (và xu hướng chấp nhận) rủi ro (Lion & Meertens, 2005). O’Neil (2004) cho rằng, có thể phân loại mọi người dựa trên cách họ giải quyết rủi ro, từ những người không thích rủi ro cho tới những người tìm kiếm rủi ro. Những khác biệt này có thể ảnh hưởng tới cách mà mọi người nhận biết về thông tin xung quanh họ, điều đó, đến lượt nó, có khả năng ảnh hưởng tới hành vi của họ. Một nghiên cứu của Lion & Meertens (2001) khảo sát về lượng thông tin mà những người tham gia tìm kiếm liên quan tới một loại thuốc, và thấy rằng có những khác biệt đáng kể giữa những người chấp nhận rủi ro và những người tránh rủi ro.

Những người tìm kiếm cảm giác, tức là những người tìm kiếm rủi ro, thường sẽ chấp nhận rủi ro nhằm duy trì sự kích thích sinh lý học, và có nhiều khả năng tập trung vào những phần thưởng gắn với hành vi mạo hiểm hơn (Horvath & Zuckerman, 1993). Ngược lại, những ai sợ mạo hiểm hơn hay có ý thức chấp hành hơn có nhiều khả năng tập trung vào những tổn thất gắn với việc chấp nhận rủi ro, và họ thường “ngoan” hơn, và ít có khả năng bỏ qua các thủ tục bảo mật (Lion & Meertens, 2005). Tuy nhiên, đây là những giả định mang nặng tính lý thuyết trái ngược với những đặc điểm vững chắc được chứng minh về mặt kinh nghiệm.

2.11/ Ảnh hưởng của các nhân tố xã hội

Các quy tắc nhóm cũng có thể ảnh hưởng tới hành vi bảo mật của các cá nhân. Mọi người thường đi theo các quy tắc nhóm, và bởi vậy, nếu nhóm đó coi bảo mật thông tin là vấn đề quan trọng và nghiêm túc, thì có nhiều khả năng là các cá nhân trong nhóm đó sẽ tôn trọng và tuân theo các chính sách bảo mật. Ngược lại, nếu việc chấp nhận rủi ro được chấp nhận trong nhóm, khi đó có khả năng là các rủi ro lớn hơn sẽ được chấp nhận.

Các quy tắc nhóm cũng có thể tác động tới hành vi lập mật khẩu của các cá nhân. Ví dụ như, theo McIlwraith (2006), việc chia sẻ mật khẩu có thể được coi là biểu hiện của sự tin tưởng vào đồng nghiệp, và vì vậy, việc từ chối cho mật khẩu có thể bị coi là biểu hiện mọi người không tin tưởng các đồng nghiệp của mình. Nếu những tiêu chí như vậy có trong một tổ chức, thì cần phải giáo dục nhiều hơn nhằm thay đổi những hành vi này.

Ngoài ra, một tác động nữa của xã hội được biết đến là hiệu ứng người ngoài cuộc có thể ảnh hưởng tới cách mà theo đó mọi người đối phó lại, tức là nhận thức về rủi ro. Hiệu ứng này dựa trên ý niệm cho rằng khi số người hiện diện tăng lên, mọi người sẽ chuyển trách nhiệm của họ, sao cho khả năng phải thực hiện bất kỳ hành động đối phó nào đó của bản thân giảm xuống. Do đó, trong các nhóm lớn, các cá nhân có thể cảm thấy ít phải chịu trách nhiệm cá nhân hơn về vấn đề bảo mật. Các nhân tố xã hội và nhóm này có liên quan chặt chẽ với văn hóa của tổ chức – một vấn đề sẽ được định nghĩa và giải thích một cách cặn kẽ ngay sau đây.

3/ Văn hóa bảo mật của tổ chức

Không thể đánh giá văn hóa bảo mật một cách riêng rẽ với toàn bộ văn hóa bên trong môi trường làm việc; điều này là bởi văn hóa của một tổ chức/cơ quan có ảnh hưởng mạnh mẽ tới sự an toàn của tổ chức (Ruighaver, Maynard & Chang, 2007). Bởi vậy, để hiểu được văn hóa bảo mật, điều quan trọng đầu tiên là phải nắm vững tài liệu rộng hơn về văn hóa tổ chức.

3.1/ Các định nghĩa và lý thuyết về văn hóa tổ chức

Khái niệm văn hóa được hiểu không rõ ràng; trên thực tế không có hai lý thuyết hay hai nhà nghiên cứu định nghĩa theo cùng một cách (Ivanchevich, Olekalns & Matterson, 2000). Văn hóa được định nghĩa khác nhau, được đo lường khác nhau và được đánh giá khác nhau (Schein, 1985). Sự thiếu thống nhất này về cấu trúc văn hóa đã dẫn tới rất nhiều tranh cãi và tranh luận (Needle, 2000).

Chính định nghĩa của Schein về văn hóa là định nghĩa được chấp nhận rộng rãi nhất (Huczynski & Buchanan, 20010). Schein định nghĩa văn hóa tổ chức là:

Mô hình gồm những quy ước cơ bản – được nghĩ ra, được khám phá, hay được triển khai bởi một nhóm nhất định khi nhóm này học cách đối phó với những vấn đề thích ứng với bên ngoài và hòa nhập bên trong – có tác dụng đủ để được coi là có giá trị, và vì vậy, được dạy cho những thành viên mới như là cách thức đúng đắn để nhận biết, suy nghĩ và cảm nhận về những vấn đề này” (Schein, 1985, p9).

Mô hình văn hóa của Schein bao gồm ba cấp độ: đồ tạo tác và các sáng tạo, các giá trị và niềm tin, các quy tắc cơ bản (Schein, 1985). Đồ tạo tác và các sáng tạo gồm cấp độ đầu tiên và tiêu biểu cho những khía cạnh dễ thấy nhất và rõ ràng nhất của một tổ chức. Theo Schein (1985), cấp độ này bao gồm những yếu tố văn hóa có thể thấy được và nghe được và dễ giải thích bởi người lao động, khách hàng và công chúng, bao gồm đồ đạc nội thất và quần áo, biểu tượng, các đồ vật, ngôn ngữ được sử dụng bên trong nơi làm việc, cũng như các khẩu hiệu, các nghi thức và các câu chuyện (Huczynski & Buchanan, 2001; Schein, 1985).

Cấp độ thứ hai của văn hóa bao gồm các giá trị và niềm tin làm cơ sở cho các đồ tạo tác và các sáng tạo (Schein, 1985). Các giá trị là những mong muốn và khát vọng dẫn dắt hành vi; chúng được người quản lý cấp cao nghĩ ra nhằm đưa ra phương hướng và những nguyên tắc chỉ đạo đối với hành vi của người lao động của họ (Huczynski & Buchanan, 2001). Peters & Waterman (1982) nhấn mạnh tầm quan trọng của các giá trị trong một tổ chức, khi lập luận rằng các giá trị gắn kết tất cả các yếu tố khác của văn hóa lại với nhau và là chìa khóa cho sự thực hiện của một tổ chức lớn. Các giá trị chung được cho là cần thiết bởi nếu những người lao động không có chung các giá trị, thì tổ chức đó không thể vận hành một cách hiệu quả (Ivancevich et al., 2000). Tuy nhiên, Buono, Bowditch và Lewis (1985) lại nói rằng, sức mạnh của giá trị là đáng ngờ, phần lớn là bởi nhà quản lý cấp cao tạo ra các giá trị, và kết quả là chúng không nhất thiết ảnh hưởng tới hành vi trên thực tế của người lao động.

Theo Schein (1985), chính cấp độ thứ ba của văn hóa – những quy ước cơ bản – mới thực sự tiêu biểu cho và nắm giữ văn hóa của một tổ chức. Các quy ước cơ bản được giữ kín, khó xác định và vô hình, khiến cho những khái niệm cốt lõi về văn hóa trở nên không chỉ khó hiểu mà còn khó tiếp cận (Schein, 1985). Các quy ước cơ bản này bao gồm “những quy ước mà các cá nhân hiểu về tổ chức và cách mà nó vận hành, chúng liên quan tới những khía cạnh hành vi của con người, bản chất hiện thực của mối quan hệ của tổ chức đó với môi trường của nó” (Huczynski & Buchanan, 2001, p.633). Văn hóa tiến hóa và phát triển dần qua thời gian và điều phức tạp này là nhân tố góp phần vào cuộc tranh luận về những gì mà cấu trúc văn hóa thực sự đại diện cho (Huczynski & Buchanan, 2001).

(còn tiếp) 

Người dịch: Thái Hà

Nguồn: www.dtic.mil

TN 2014 – 20, 21, 22, 23, 24, 25, 26

Các nhân tố con người và bảo mật thông tin: Cá nhân, văn hóa và môi trường bảo mật – Phần IV


2.3/ Mức độ kiểm soát

Cũng có thể thấy là các cá nhân có sự lạc quan phi hiện thực về những rủi ro mà họ nhận thấy là nằm trong sự kiểm soát của họ (Kreuter & Strecher, 1995). Khi một cá nhân có thể nghĩ những hành vi mà họ thực hiện trên máy tính cá nhân của họ là nằm trong tầm kiểm soát của họ, thì các mối đe dọa có thể được coi là ít rủi ro hơn. Do đó, khả năng mà sự không tuân theo các chính sách bảo mật có thể dẫn tới các hậu quả nghiêm trọng cũng có thể được đánh giá không đúng. Điều đó có nghĩa là các cá nhân có thể có nhiều khả năng mắc phải hành vi đầy rủi ro. Thường bắt gặp xu hướng này trong nhận thức của các tài xế về rủi ro xe cộ, trong đó mọi người thường thể hiện cảm giác tự tin quá mức được tạo ra bởi cảm giác kiểm soát được của họ (Slovic, Fischhoff & Lichtensten, 1978).

Sự gia tăng hành vi đầy rủi ro này, nhìn chung, đặc biệt phổ biến ở những cá nhân có năng lực cao hay kỹ năng nhận thức tốt. Do đó, có vẻ như là những ai có kỹ năng trong lĩnh vực bảo mật thông tin có thể đánh giá quá cao khả năng kiểm soát mối đe dọa của họ, và vì vậy họ có thể gặp rủi ro nhiều hơn.

2.4/ Trình độ hiểu biết

Ngược lại, rủi ro cũng có thể bị tác động mạnh mẽ bởi việc các cá nhân thiếu kiến thức hay không được đào tạo về bảo mật thông tin. Thông thường thật khó mà nhận thức thấu đáo về rủi ro và mối đe dọa mà nó đặt ra nếu không hiểu chính xác về các đặc trưng của rủi ro đang được nói đến. Điều này đặc biệt đúng với một số rủi ro bảo mật, vì mọi người có thể cần có kiến thức kỹ thuật để hiểu được sự nghiêm trọng hay những liên quan của các vi phạm bảo mật tiềm ẩn. Thiếu hiểu biết này, việc đưa ra quyết định một cách hữu hiệu và nhận thức rủi ro có thể bị tác động nghiêm trọng (Fischhoff, 2002). Về cơ bản, nhiều người dùng sẽ không hiểu công nghệ cơ bản, và vì vậy, các quyết định của họ có thể không dựa trên sự hiểu biết chính xác về đâu là các biện pháp “an toàn” (Lacohee, Phippen & Furnell, 2006).

Ví dụ, nghiên cứu của Adams & Sasse (1999) nhận thấy là người dùng không hiểu đầy đủ về việc điều gì tạo thành một mật khẩu chắc chắn, và rất ít người dùng hiểu được cách có thể bẻ khóa mật khẩu. Do đó, người dùng thường chọn mật khẩu rất không an toàn, mà không nhận thấy là họ đang làm như vậy. Việc thiếu kiến thức cũng có thể dẫn tới sự thiếu động cơ bảo mật, vì mọi người có thể không hiểu tính nghiêm trọng của rủi ro tiềm ẩn, và sự cần thiết có liên quan của các thủ tục bảo mật. Những nhân tố này nhấn mạnh tới tầm quan trọng của sự nhận thức bảo mật có hiệu quả và thông tin về rủi ro, điều sẽ được bàn cụ thể đến trong phần tiếp theo.

2.5/ Tình trạng cân bằng rủi ro

Cũng có khả năng là hiện tượng được cho là sự cân bằng rủi ro hay bồi thường rủi ro có thể ảnh hưởng tới hành vi của các cá nhân, và làm giảm thiểu khả năng là mọi người sẽ hiểu chính xác tính nghiêm trọng của các rủi ro bảo mật thông tin (Stewart, 2004). Lý thuyết này cho rằng mọi người thường sẽ chấp nhận một mức độ rủi ro cá biệt, và rồi khi tình hình thay đổi, hành vi sẽ thay đổi nhằm giữ mức rủi ro mong muốn (Wilde, 2001). Nói cách khác, nếu thấy tình hình ít rủi ro hơn, khi đó mọi người có thể mạo hiểm hơn, và nếu thấy tình hình nhiều rủi ro hơn, lúc đó mức độ mạo hiểm có thể giảm bớt.

Lý thuyết này đã được chứng minh khi các phanh chống bó bánh được giới thiệu lần đầu tiên trên các xe có động cơ. Việc giới thiệu công nghệ mới này, người ta hy vọng là tỷ lệ tai nạn sẽ giảm. Tuy nhiên, điều này không xảy ra. Lý thuyết giả định là mọi người đã tính tới độ an toàn lái xe đã được gia cố, và vì vậy họ lái xe táo tợn hơn (điều này dẫn tới chấn thương nhiều hơn). Mặc dù có một số tranh cãi về căn cứ vững chắc của lý thuyết này (O’Neill & Williams, 1998), song nó có thể giúp lý giải tại sao những người biết rõ về các thủ tục bảo mật lại luôn không tuân theo các quy tắc bảo mật. Có khả năng là các cá nhân có thể biết được rằng sự bảo vệ đã được cải thiện của bức tường lửa hay các cơ chế bảo mật khác có thể làm giảm bất kỳ mối đe dọa nào, và vì vậy họ có thể thay đổi hành vi của mình, và hành động theo cách thực mạo hiểm hơn. Chẳng hạn như, nếu hệ thống nằm trong khu vực truy cập bị kiểm soát chặt chẽ, mọi người có thể lười bảo vệ máy tính hơn (Mitnick & Simon, 2005).

2.6/ Rủi ro tích lũy

Nhiều rủi ro gắn với bảo mật thông tin là mang tính tích lũy. Điều này có nghĩa là khả năng một sự việc diễn ra vào một ngày nhất định hay một thời điểm nhất định có thể rất nhỏ, song qua thời gian, khả năng này tăng lên (Fischhoff, 2002). Ví dụ, nếu ai đó chọn mật khẩu không an toàn, thì khả năng mà không tuân theo thủ tục này có thể bị khai thác có thể là rất nhỏ vào một ngày đặc biệt, song qua nhiều tuần nhiều tháng, khả năng này tích tụ lại.

Cũng cần phải kể đến rủi ro tích lũy bị gây ra bởi tất cả những người khác nhau thực hiện những rủi ro nhỏ. Chẳng hạn như, rủi ro gắn với việc một cá nhân không tuân theo thủ tục nào đó có thể không cao, song nếu một số cá nhân tạo ra các vi phạm khác nhau, thì rủi ro do tích lũy có thể là đáng kể. Tuy nhiên, các cá nhân thường hết sức mù mờ về rủi ro tích lũy này (Slovic, 2000), và vì vậy, rất có thể là có thể chấp nhận các rủi ro nhỏ, vì có lẽ họ không đánh giá đúng về những hậu quả đầy đủ của chúng.

2.7/ Xu hướng bỏ quên

Hành vi của các cá nhân cũng có thể bị tác động bởi xu hướng bỏ quên. Về cơ bản, mọi người coi việc quên (tức là không hành động) dễ chấp nhận hơn so với hành vi vi phạm (Ritov & Baron, 2002). Nhiều vi phạm bảo mật (chẳng hạn như không thường xuyên thay đổi mật khẩu) có thể bị cho là do quên, và vì vậy những sự không hành động như vậy có thể được cho là dễ chấp nhận hơn so với hành vi rủi ro tương tự là viết mật khẩu ra. Những lỗi hậu hoàn thành được đề cập trước đó là một hình thức của xu hướng bỏ quên. Về cơ bản, vì xu hướng bỏ quên cho thấy là việc không hành động thường được coi là ít đáng ngờ hơn về mặt đạo đức so với việc hành động, nên xu hướng này có thể làm gia tăng sự cố lỗi hậu hoàn thành.

2.8/ Ảnh hưởng của sự quá quen thuộc

Bằng chứng cho thấy là sự hiểu biết rõ về rủi ro cũng có thể ảnh hưởng tới cách mà theo đó rủi ro được nhận biết. Những rủi ro mới và không quen có thể được đánh giá đúng mức, trong khi đó mọi người lại trở nên tự mãn với những rủi ro phổ biến mà họ gặp phải trong thời gian dài. Bởi vậy, những rủi ro quen thuộc có nhiều khả năng bị đánh giá thấp. Nói cách khác, mọi người có thể mạo hiểm hơn khi họ quá quen với nhiệm vụ. Điều này có thể áp dụng với bảo mật thông tin, bởi mọi người có thể trở nên tự mãn với những nhiệm vụ mà họ hoàn thành hàng ngày, chẳng hạn như khóa máy tính khi không sử dụng. Sự tự mãn này khi đó có thể dẫn tới sự gia tăng hành vi chấp nhận mạo hiểm.

Tuy nhiên, cần lưu ý là điều trái ngược đôi khi lại đúng. Một nghiên cứu đã đánh giá sự tuân theo các hướng dẫn an toàn trên các sản phẩm khác nhau, và nhận thấy là những người tham gia có nhiều khả năng đi theo những phòng ngừa hơn khi sử dụng các dòng sản phẩm mang nhãn hiệu mà quen thuộc hơn (Ortiz, Resnick & Kengskool, 2000). Điều này kết nối ngược trở lại với ảnh hưởng của kiến thức của người dùng, vì nghiên cứu chỉ ra rằng mọi người có thể sẽ tiếp tục tuân theo những đề phòng an toàn cần thiết trước rủi ro quen thuộc nếu họ hiểu được lý do của những phòng ngừa đó. Bởi vậy, điều này nhấn mạnh đến tầm quan trọng về kiến thức của người dùng, vấn đề này sẽ được bàn kỹ trong phần sau.

(còn tiếp) 

Người dịch: Thái Hà

Nguồn: www.dtic.mil

TN 2014 – 20, 21, 22, 23, 24, 25, 26

Các nhân tố con người và bảo mật thông tin: Cá nhân, văn hóa và môi trường bảo mật – Phần III


Shneiderman (1998) mở rộng hơn nữa những khuyến nghị này nhằm nâng cao sự tiện dụng và đề xuất 8 “quy tắc vàng” được tham khảo rộng rãi cho việc thiết kế giao diện. Tám quy tắc này tập trung vào việc cố gắng đạt được sự bất biến, cho phép những người dùng thường xuyên sử dụng các đường tắt, đưa ra thông tin phản hồi, thiết kế các hộp thoại dẫn tới đóng chương trình, đưa ra hướng giải quyết những lỗi đơn giản, cho phép dễ dàng hủy các hành động, hỗ trợ điểm kiểm soát bên trong và giảm tải bộ nhớ tạm thời (Furnell, 2005).

Tương tự như vậy, Katsabas, Furnell và Dowland (2005) cũng tập trung vào cách trình bày thông tin bảo mật nhằm cải thiện khả năng sử dụng và, lần lượt, nâng cao tính bảo mật. Họ nói rằng, các thiết lập bảo mật nên dễ dàng cài đặt, và hỗ trợ bảo mật và thông tin phần mềm máy tính cần phù hợp. Cũng cần phải xử lý các lỗi một cách đúng đắn và cho phép người sử dụng thực hiện những thay đổi tùy biến mà không phải chịu nguy cơ gây ra những rắc rối về bảo mật nữa. Quan trọng là, bảo mật không nên làm giảm hiệu suất của máy và phải làm cho người sử dụng cảm thấy an tâm hơn (Furnell, 2005). Hơn nữa, bảo mật nên thích hợp với mọi trình độ của người dùng, nên rõ ràng và dễ sử dụng, và nên tránh biệt ngữ và từ vựng kỹ thuật. Nếu các tính năng bảo mật được thiết kế với những khía cạnh tiện dụng dễ ghi nhớ này, điều này có thể dẫn tới sự tuân thủ bảo mật hơn và, vì vậy, ít xảy ra những sai sót thuộc yếu tố con người.

2/ Nhận thức rủi ro và các xu hướng xử lý thông tin

Khi đưa ra quyết định thuộc về cách xử lý, các cá nhân thường sẽ quyết định dựa trên các đánh giá của họ về những rủi ro gắn với các lựa chọn khác nhau. Vì vậy, cách thức mà theo đó những người sử dụng công nghệ thông tin nhận thức về các mối đe dọa sẽ ảnh hưởng tới các phản ứng về cách xử lý của họ (Huang et al., 2007). Thường là không thực tế để xử lý toàn bộ những thông tin có thể cần thiết để tạo thành một đánh giá hoàn toàn hợp lý về rủi ro. Do đó, mọi người thường thực hiện các đường tắt trong quá trình đưa ra quyết định, bằng cách sử dụng một số xu hướng xử lý thông tin và những giải pháp cảm tính, mang tính thử nghiệm nhằm đơn giản hóa nhiệm vụ (Kahneman, Solvic & Tversky, 1982).

Những xu hướng và giải pháp cảm tính, mang tính thử nghiệm này có thể ảnh hưởng tới nhận thức rủi ro, và bằng chứng cho thấy là mọi người thường có nhận thức không đúng về rủi ro (Lichtenstein, Slovic, Fischhoff, Layman & Combs, 1978). Vì nhận thức rủi ro có thể cản trở việc ra quyết định hợp lý nên việc hiểu được những nhận thức này là hết sức cần thiết. Về cơ bản những cá nhân nào nhận thức chính xác những rủi ro liên quan tới bảo mật thông tin có nhiều khả năng hành động theo một cách thức thích hợp hơn. Do đó, cần phải biết được những yếu tố nào có thể cản trở việc nhận thức chính xác về rủi ro.

Mặc dù có rất nhiều nghiên cứu về nhận thức rủi ro nói chung, song không có nhiều nghiên cứu thực nghiệm khảo sát nhận thức của các cá nhân về rủi ro trong lĩnh vực bảo mật thông tin. Huang và các đồng sự (2007) đã điều tra 602 người về nhận thức của họ về các mối đe dọa khác nhau đối với bảo mật thông tin. Họ kết luận rằng, nhận thức về các rủi ro trong bảo mật thông tin. Họ kết luận rằng, nhận thức về các rủi ro trong bảo mật thông tin có thể được mô tả bằng 6 yếu tố, cụ thể là kiến thức, ảnh hưởng, mức độ nghiêm trọng, tính có thể kiểm soát, khả năng và nhận thức (Huang et al., 2007). Nguy cơ thấy rõ về các mối đe dọa cao hơn nhiều khi có ít kiến thức về rủi ro, tác động có thể có của rủi ro cao, tính nghiêm trọng tiềm ẩn của rủi ro cao, nghĩa là có khả năng xuất hiện rủi ro nhiều hơn.

Một số tác giả khác suy luận nhận thức về rủi ro bảo mật từ nghiên cứu trong các lĩnh vực khác. Chẳng hạn như, Pattison & Anderson (2005) chỉ ra rằng, các nhận thức về rủi ro bảo mật thường bị tác động bởi những yếu tố như tâm trạng của các cá nhân vào thời điểm đó, các báo cáo truyền thông gần đây, các kinh nghiệm trước đây, và kiến thức về các khía cạnh kỹ thuật, như virus chẳng hạn. Một số các yếu tố tâm lý, xã hội và văn hóa cũng có thể ảnh hưởng tới cách thức mọi người nhận thức về rủi ro (Bener, 2000). Nghiên cứu xa hơn nữa phát hiện ra rằng, những khía cạnh như: rủi ro có phải là do cố ý hay không, rủi ro có thể kiểm soát được hay không và những hàm ý rủi ro cũng đều có thể có ảnh hưởng to lớn (Heimer, 1988).

Những yếu tố có xu hướng ảnh hưởng tới nhận thức của các cá nhân về rủi ro bảo mật sẽ được phân tích cụ thể hơn trong phần sau.

2.1/ Sẵn sàng thử nghiệm

Một trong những xu hướng hết sức phổ biến được biết đến là sự sẵn sàng thử nghiệm. Xu hướng này dựa trên tư tưởng cho rằng mọi người thường hay đánh giá tần suất hay khả năng xảy ra của một sự kiện dựa vào việc một sự kiện tương tự có thể dễ dàng xuất hiện trong đầu như thế nào (Slovic, Fischhoff & Lichtenstein, 1979; Tversky & Kahneman, 1973). Sự sẵn sàng thử nghiệm này cũng liên quan chặt chẽ với việc đưa tin của các phương tiện truyền thông về các sự kiện, bởi các sự kiện được công bố rầm rộ cũng đáng nhớ hơn. Tuy nhiên, các nghiên cứu một mực chỉ ra rằng, việc đưa tin của các phương tiện truyền thông về các sự kiện ít hoặc không liên quan đến tần suất của các rủi ro trên thực tế, và vì vậy, điều này làm gia tăng khả năng là mọi người sẽ có nhận thức không đúng về rủi ro (Slovic, Fischhoff & Lichtenstein, 1976; Lichtenstein, Slovic, Fischhoff, Layman & Combs, 1978).

Nhìn chung, tần suất của những rủi ro hết sức phổ biến song lặp đi lặp lại, được tích tụ dần qua thời gian (ví dụ, bệnh tim), – có lẽ ít khi được ghi nhận, và cũng bị đánh giá khá thấp. Trong bảo mật thông tin, những vấn đề thường lặp đi lặp lại hơn bao gồm những yếu tố như nhân viên được đào tạo kém, các thủ tục không đầy đủ và các hệ thống được thiết kế nghèo nàn (McIlwraith, 2006). Ngược lại, những rủi ro khá hiếm song trầm trọng – bất ngờ và gây ấn tượng sâu sắc hơn (ví dụ như: án mạng) – lại bị thổi phồng lên, và cũng được các phương tiện truyền thông đưa tin nhiều hơn. Liên quan tới bảo mật thông tin, những rủi ro có nhiều khả năng bị thổi phồng hơn bao gồm việc xâm nhập vào hệ thống máy tính và gián điệp công nghiệp (McIlwraith, 2006).

Hơn nữa, vì các vi phạm bảo mật ít khi xảy ra, nên sự sẵn sàng thử nghiệm rất có thể dẫn tới việc đánh giá thấp rủi ro. Về cơ bản, có nhiều khả năng là người sử dụng nhớ lại các sự việc khi các thủ tục không đúng hay việc không tuân theo các chính sách bảo mật không dẫn tới các rủi ro, và vì vậy, rủi ro thực sự của việc không tuân theo thủ tục rất có thể không được đánh giá đúng mức (Slovic et al., 1976). Trên thực tế, mỗi lần một cá nhân vi phạm bảo mật mà không có bất kỳ hậu quả nào, thì hành vi đầy rủi ro này có thể được củng cố, có nghĩa là có nhiều khả năng nó sẽ xảy ra trong tương lai.

2.2/ Các xu hướng lạc quan

Liên quan tới điều này là những xu hướng lạc quan dựa vào thực tế là hầu hết mọi người đều không cho rằng cá nhân họ phải gánh chịu rủi ro, mà thay vào đó, họ thường cho rằng các hệ quả xấu có nhiều khả năng xảy ra với những người khác hơn (Gray & Ropeik, 2002). Xu hướng này được chứng minh trong một nghiên cứu, trong đó những người tham gia được yêu cầu đánh giá khả năng các rủi ro khác nhau xảy ra đối với chính họ, với các thành viên gia đình họ và công chúng (Sjoberg, 2000). Đối với tất cả các rủi ro, thì rủi ro xảy ra đối với cá nhân và gia đình cá nhân đó được đánh giá trung bình thấp hơn so với rủi ro xảy ra đói với công chúng (Sjoberg, 2000).

Xu hướng này đặc biệt phổ biến trong bảo mật thông tin, như bằng chứng cho thấy rằng, đa số người sử dụng thường hay cho rằng các tin tặc sẽ không coi trọng thông tin trong máy tính của họ, và vì vậy, người dùng có lẽ không nghĩ bản thân họ là những mục tiêu tiềm tàng (McIlwraith, 2006). Kiểu suy nghĩ này không mấy đếm xỉa tới thực tế là các gián điệp công nghiệp hay các tin tặc có thể nhắm tới bất kỳ cá nhân nào nhằm tiếp cận được với toàn bộ hệ thống (điều này khi đó có thể cho phép tiếp cận xa hơn nữa đối với những khu vực quan trọng hơn của một hệ thống máy tính) (McIlwraith, 2006).

Xu hướng lạc quan này cũng đặc biệt phổ biến trong những tình huống khi mọi người hy vọng nhìn thấy các dấu hiệu cảnh báo nếu họ có thể bị tấn công (Weinstein, 1987). Điều này có thể đúng với các rủi ro bảo mật, và bằng chứng cho thấy là mọi người có thể hay quan niệm sai lầm nếu họ không nhìn thấy các dấu hiệu cảnh báo, họ sẽ không gặp phải những rủi ro sau này (Weinstein, 1987). Xu hướng lạc quan có thể dẫn tới sự gia tăng các rủi ro liên quan tới bảo mật, bởi các cá nhân có thể đánh giá thấp rủi ro, và do đó có thể không tiếp tục cập nhật các bản vá lỗi bảo mật, và có thể không tuân theo các thủ tục bảo mật khác (Mitnick & Simon, 2005). Về cơ bản, mọi người có thể đánh giá không đúng về khả năng có thể xảy ra mà việc hành động hay không hành động của họ có thể dẫn tới sự vi phạm bảo mật.

(còn tiếp) 

Người dịch: Thái Hà

Nguồn: www.dtic.mil

TN 2014 – 20, 21, 22, 23, 24, 25, 26

Các nhân tố con người và bảo mật thông tin: Cá nhân, văn hóa và môi trường bảo mật – Phần II


Hành vi bảo mật cũng có thể được coi là sử dụng nguyên tắc phân loại hai yếu tố là sự chủ ý và sự thành thạo về mặt kỹ thuật (Stanton, Stam, Mastrangelo & Jolton, 2005). Như đã thấy trong Hình 1, có 6 loại hành vi bảo mật, trong đó có hai trong số những hành vi này (chắc chắn về nhận thứcvệ sinh cơ bản) là tích cực, nhằm làm tăng tính bảo mật, và bốn trong số cc1 hành vi đó có thể dẫn tới những vi phạm bảo mật.

Cố ý phá hoại bao gồm những hành vi của những người trong cuộc có hiềm thù, thành thạo kỹ thuật và có ý định phá hoại, trong khi đó sử dụng sai gây hại lại liên quan đến những nhân viên có ý định thâm hiểm song lại thiếu kỹ năng kỹ thuật. Việc sửa chữa chắp vá nguy hiểm bao gồm những hành vi đòi hỏi sự tinh thông về mặt kỹ thuật song không có ý định gây hại. Có lẽ hành vi phổ biến nhất, sẽ được đề cập hết sức kỹ càng trong báo cáo này, là những lỗi ngờ nghệch, trong đó có những cá nhân có kỹ năng kém và không cố ý gây hại thực hiện một hành động không định làm hại cho tổ chức, song có thể dẫn tới sự vi phạm bảo mật.

Trên thực tế, phần lớn các lỗi thuộc yếu tố con người có thể được coi là ngẫu nhiên. Các lỗi vô tình của con người liên quan đến cách thức mà theo đó các cá nhân tương tác với hệ thống, và bằng chứng cho thấy là mọi người có thể gặp phải các vấn đề trong khi tìm kiếm, hiểu và sử dụng các tính năng bảo mật (Furnell, 2005).

Lỗi phổ biến duy nhất của con người có thể dẫn tới các lỗ hổng bảo mật được nói đến là lỗi ngờ nghệch. Những lỗi như vậy xảy ra khi một hành động quen thuộc hay thói quen thường lệ kiểm soát (tức là chi phối) một hành vi không quen, dẫn tới sự thiếu sót hay sai lầm về nhận thức (Norman, 1981). Ví dụ như, các lỗi thiếu kiểm soát có thể được dùng để mô tả mọi việc mọi người thường nhấn nút OK khi họ biết là không nên. Về cơ bản, hành vi nhấp nút OK là quá quen thuộc và phổ biến tới mức mọi người thường làm theo thói quen này mà không xem xét kỹ càng các hậu quả. Những lỗi này đặc biệt phổ biến trong thời kỳ mệt mỏi hay lơ đễnh.

Sự lơ đễnh hay mệt mỏi cũng có thể dẫn tới những sai sót hậu hoàn thành (post-completion errors), trong đó có các cá nhân lơ đễnh thực hiện hành động “dọn dẹp” hay “dọn vệ sinh” nhất thiết phải thực hiện sau khi mục tiêu chính được hoàn thành (Anderson, 2008). Chẳng hạn, từ quan điểm bảo mật thông tin, mục tiêu chính có thể bao gồm việc gửi thư điện tử từ một hệ thống bảo mật. Ngay khi mục tiêu đó được thực hiện xong, việc cần thiết khi đó là hoàn thành hành động cuối cùng là đóng hệ thống. Lỗi hậu hoàn thành có thể bao gồm tình huống khi cá nhân đang được nói đến không hoàn thành nhiệm vụ cuối cùng đó, để mặc hệ thống mở tạo cơ hội cho sự vi phạm bảo mật.

Liên quan tới tình huống đó, một số thủ tục bảo mật phụ thuộc vào trí nhớ của con người, và khi khả năng ghi nhớ có hạn, điều này có thể dẫn tới sự suy giảm bảo mật (Besnard & Arief, 2004; Sasse, Brostoff & Weirich, 2001). Chẳng hạn, người sử dụng thường có một số mật khẩu phải nhớ, và thường là những mật khẩu này phải tuân theo một số điều khoản nghiêm ngặt (ví dụ như, tôn trọng triệt để một độ dài nhất định hay với sự kết hợp nào đó các ký tự), điều này có thể khiến cho việc ghi nhớ chúng trở nên khó khăn hơn. Mọi người nhớ khá tốt những chi tiết có ý nghĩa (bao gồm cả từ), song những mật khẩu có tính bảo mật cao nên là một chuỗi các con số và chữ cái vô nghĩa, vốn là thứ khó nhớ hơn nhiều. Khi mọi người buộc phải nhớ và phải thay đổi thường xuyên nhiều mật khẩu phức tạp, thì khả năng những mật khẩu này được viết ra tăng lên đáng kể (Adams & Saase, 1999).

Liên quan tới điều này, nhiều bản cập nhật chống virus và các bản vá lỗ hổng bảo mật khác đòi hỏi sự can thiệp của con người, và vì vậy, do những hạn chế liên quan tới thời gian hoặc trí nhớ con người, nên những thủ tục đó có thể không được thực hiện, dẫn tới sự suy giảm tính bảo mật.

1.1.1/ Tầm quan trọng của sự tiện dụng

Cũng nên nhấn mạnh tới tầm quan trọng của sự tiện dung, và sự tương tác giữa sự ít tiện dụng và mong muốn của con người thực hiện các biện pháp tắt. Về cơ bản, công nghệ bảo mật thường bao gồm các quá trình phức tạp phản trực giác (counter-intuitive process) hết sức khó hiểu (Schultz, 2005). Những thủ tục phức tạp như vậy có thể bị tránh bất cứ chỗ nào có thể, và do vậy, khả năng vi phạm bảo mật tăng lên (Schultz, 2005). Tương tự như vậy, đặc tính phi mục đích của người sử dụng cho thấy bảo mật là mục tiêu thứ cấp đối với hầu hết mọi người, và vì vậy, mọi người thường không có động lực tuân theo các thủ tục bảo mật phức tạp (Whitten & Tygar, 1998).

Hơn nữa, có sự cân bằng giữa bảo mật và sự tiện dụng, theo đó mọi người cố gắng giảm thiểu nỗ lực về mặt tinh thần, trong khi duy trì việc thực hiện ở mức độ có thể chấp nhận được (Besnard & Arief, 2004). Theo Wilde (2001), có 4 yếu tố động cơ ảnh hưởng tới sự cân bằng giữa bảo mật và sự tiện dụng. Người sử dụng bị tác động bởi những tổn hại và những lợi ích dự kiến gắn với hành vi mạo hiểm, và những tổn hại và những lợi ích dự kiến gắn với hành vi thận trọng (Wilde, 2001). Do đó, nếu những lợi ích tiềm tàng gắn với việc thực hiện một hành vi mạo hiểm là khá cao, hoặc nếu việc tôn trọng triệt để hệ thống bảo mật là hết sức bất tiện, thì khi đó mọi người có khả năng ít tuân theo chính sách đó hơn, và có nhiều khả năng chấp nhận rủi ro hơn (Schneier, 2003). Điều này được ủng hộ bởi Schneier (2003) khi ông chỉ ra rằng việc nhận ra sự thỏa hiệp gắn với bảo mật là hết sức cần thiết. Chẳng hạn như, những vấn đề gắn với an toàn giao thông, về cơ bản, có thể được giải quyết bằng những thay đổi mạnh mẽ như giảm đáng kể về giới hạn tốc độ (Odlyzko, 2003). Tuy nhiên, mọi người không muốn sống với những giới hạn như vậy, và vì vậy, giới hạn tốc độ là sự cân bằng giữa sự tổn hại và lợi ích. Tương tự như vậy, bảo mật công nghệ thông tin có thể được cải thiện đáng kể thông qua việc cắt giảm mạnh mẽ sự truy cập và đặc quyền đặc lợi của người dùng. Tuy nhiên, ít có khả năng là mọi người chịu đựng những hạn chế nghiêm ngặt như vậy, và bởi vậy, cần phải tìm kiếm sự cân bằng thích hợp giữa bảo mật và sự tiện dụng.

Do đó, điều quan trọng là các sản phẩm bảo mật được thiết kế với người sử dụng có hiểu biết (Besnard & Arief, 2004). Điều này có nghĩa là áp dụng các nguyên tắc mó tương tác giữa con người và máy tính vào quá trình thiết kế. Điều đó cũng có nghĩa là việc bảo vệ máy tính cần được chú trọng vào mục tiêu là trở nên đơn giản, nghĩa là quá trình này nên được thực hiện dễ dàng hơn cho người dùng. Bất kỳ khi nào có thể, những khía cạnh cụ thể của việc bảo vệ máy tính hoạt động hàng ngày không nê khó hay mất nhiều thời gian đối với người sử dụng cuối cùng (Besnard & Arief, 2004). Ví dụ như, nhà quản trị hệ thống nên có trách nhiệm giám sát các vấn đề bảo mật và cập nhật bảo vệ chống virus, cùng với bất kỳ mối lo ngại an ninh khác đối với mạng lưới. Nếu nhân viên buộc phải quét các ổ cứng máy tính của họ hay cập nhật máy tính của họ, việc này phải luôn được thực hiện với sự hy sinh công việc và những phận sự chính của họ, và điều này cần được xem xét và đền bù thích đáng (Besnard & Arief, 2004).

Furnell, Jusoh và Katsabas (2006) cũng nhấn mạnh tới tầm quan trọng của việc tạo ra các hệ thống bảo mật tiện dụng. Nghiên cứu của họ nhận thấy rằng cách trình bày các chức năng bảo mật cần được cải thiện nhằm giúp người dùng bảo vệ chính mình khỏi các mối đe dọa bảo mật. Họ kết luận rằng, sự tiện dụng có thể được cải thiện nhờ tập trung vào bốn lĩnh vực rộng lớn: dễ hiểu, nơi lưu trữ, rõ ràng và tiện lợi.

Các chức năng bảo mật cần dễ hiểu. Biệt ngữ và thuật ngữ kỹ thuật có thể gây nhầm lẫn đối với những người dùng mới và không có tư duy kỹ thuật, và có thể dẫn tới sự không tuân theo và các lỗi thuộc yếu tố con người. Do vậy, các lựa chọn và mô tả phải có ý nghĩa đối với người sử dụng. Các tính năng bảo mật cũng cần phải dễ dàng xác định nơi lưu trữ; khi người sử dụng phải tìm kiếm vất vả các cài đặt bảo mật, họ có thể từ bỏ và, vì vậy, có thể phải chịu những mối đe dọa bảo mật hơn. Chỗ nào người sử dụng cuối cùng phải chịu trách nhiệm về bảo mật, tốt nhất là nên rõ ràng, sao cho người sử dụng có thể thấy được phần bảo mật nào đang được ứng dụng, và họ nên được th6ong báo khi bất kỳ sự cập nhật nhay sự bảo vệ nào cần được bổ sung. Cuối cùng, bảo mật nên thuận tiện ở bất kỳ chỗ nào có thể, và nó không nên cản trở công việc hay những trách nhiệm khác. Bằng cách đảm bảo rằng bốn khuyến nghị tiện dụng này được đáp ứng, người sử dụng sẽ ít phải chịu sức ép hơn, và họ có khả năng tuân thủ các yêu cầu và các kỳ vọng bảo mật hơn, và ít có khả năng mắc phải những sai lầm vô tình hơn (Furnell et al., 2006).

(còn tiếp) 

Người dịch: Thái Hà

Nguồn: www.dtic.mil

TN 2014 – 20, 21, 22, 23, 24, 25, 26

Các nhân tố con người và bảo mật thông tin: Cá nhân, văn hóa và môi trường bảo mật – Phần I


Kathryn Parsons, Agata McCormac, Marcus Butavicius & Lael Ferguson

Tóm tắt

Việc ứng dụng các công nghệ bảo mật thông tin không phải luôn dẫn tới việc bảo mật được cải thiện. Các yếu tố con người đóng vai trò quan trọng trong việc bảo vệ máy tính; những yếu tố như sự khác biệt cá nhân, khả năng nhận thức và đặc điểm tính cách có thể ảnh hưởng tới hành vi. Các hành vi bảo mật thông tin cũng bị ảnh hưởng mạnh mẽ bởi nhận thức của cá nhân về rủi ro. Ngoài ra, tất cả những yếu tố này còn bị ảnh hưởng bởi văn hóa tổ chức và môi trường an ninh mà chúng xuất hiện trong đó nữa. Những nhân tố này tương tác với nhau và có thể dẫn tới những hành vi thường gây bất lợi cho việc bảo mật thông tin. Báo cáo này đưa ra các khuyến nghị, chẳng hạn như về cách mà những nhân tố con người và văn hóa này có thể bị tác động dẫn tới những hành vi tích cực hơn và môi trường thông tin an toàn hơn.

Rất nhiều tiến bộ kỹ thuật trong khoa học thông tin không phải luôn tạo ra môi trường an toàn hơn. Vì vậy, bảo mật thông tin không thể được coi hay được mô tả chỉ là một vấn đề mang tính kỹ thuật. Máy tính được vận hành bởi con người và điều này có nghĩa là bảo vệ thông tin cũng là một vấn đề thuộc nhân tố con người. Các nhân tố con người tác động tới cách mà các cá nhân tương tác với công nghệ bảo mật thông tin; chính sự tương tác này thường gây bất lợi cho việc bảo mật.

Rõ ràng là, chỉ mỗi giải pháp kỹ thuật thôi không chắc ngăn chặn được các lỗ hổng bảo mật. Các tổ chức cần phải truyền tải và duy trì một nền văn hóa mà các hành vi bảo mật tích cực được đánh giá cao. Những thách thức tiện dụng gắn với bảo mật thông tin cần phải được hiểu rõ và được giải quyết. Điều này có nghĩa là các chức năng bảo mật cần phải có ý nghĩa, dễ dàng định vị, dễ thấy và tiện dụng. Người lao động cần được giáo dục về tầm quan trọng của nhận thức về tính bảo mật, và điều này nên kết hợp với việc đào tạo hành vi.

Cách mà các cá nhân tương tác với máy tính và cách các quyết định được đưa ra về mặt bảo mật thông tin, chắc chắn, là một vấn đề hết sức sôi nổi và phức tạp. Có nhiều nhân tố cần phải được xem xét. Ví dụ, cần phải thừa nhận ảnh hưởng của những khác biệt cá nhân, các đặc điểm tính các và khả năng nhận thức. Ngoài ra, còn có những xu hướng và những giải pháp mang tính thử nghiệm có thể tác động tới cách các cá nhân nhận thức về rủi ro. Những yếu tố này quan trọng bởi chúng giúp lý giải tại sao các cá nhân đưa ra những quyết định nào đó và tại sao những hành vi cụ thể có thể được tuân theo.

Cả nhận thức rủi ro lẫn những khác biệt cá nhân cũng đều bị tác động bởi môi trường mà chúng xuất hiện. Văn hóa và môi trường chắc chắn có thể có tác động đáng kể tới các giá trị, thái độ và hành vi. Điều đó lý giải tại sao việc hiểu được văn hóa tổ chức và môi trường bảo mật có thể mang lại những hiểu biết hết sức sâu sắc về việc tại sao những hành vi nào đó lại được và không được thực hiện.

Sự lo ngại chủ yếu trong bảo mật thông tin là mối đe dọa của các cuộc tấn công sử dụng kỹ thuật lừa đảo qua mạng (social engineering attacks). Các cuộc tấn công sử dụng kỹ thuật lừa đảo qua mạng được tiến hành nhằm cố lấy được thông tin nhạy cảm, và thông tin này thường được sử dụng một cách hiểm độc gây phương hại cho các cá nhân và các tổ chức. Việc sử dụng kỹ thuật lừa đảo qua mạng tạo ra mối đe dọa thực sự cho tất cả các tổ chức và để giảm thiểu mối đe dọa này, các cá nhân không chỉ phải biết về những cuộc tấn công tiềm tàng, mà còn phải được dạy cách sử dụng những công cụ thích hợp nhằm giảm thiểu khả năng họ trở thành mục tiêu và nạn nhân.

Dựa trên tính phức tạp của các vấn đề yếu tố con người trong bảo mật thông tin, những khuyến nghị được đưa ra sẽ là về việc làm thế nào để thúc đẩy các hành vi bảo mật tích cực thông qua sự nhận thức, giáo dục và đào tạo, kết hợp với những cải thiện trong an ninh vật lý và máy tính.

1/ Giới thiệu

Bảo mật thông tin bao hàm sự bảo vệ đối với sự bí mật, sự vẹn toàn và sự tiếp cận đối với thông tin (Kruger & Kearney, 2006). Bằng chứng cho thấy rằng, bất kể số lượng các kiểm soát kỹ thuật đã có, các tổ chức vẫn phải hứng chịu các vi phạm bảo mật (Schultz, 2005; Besnard & Arief, 2004). Trên thực tế, Điều tra An ninh và Tội phạm Máy tính năm 2007 của CSI báo cáo rằng, mặc dù 98% người dùng có các phần mềm chống virus, song 52% người dùng vẫn bị nhiễm virus (Richardson, 2007). Điều này là bởi việc bảo mật thông tin không chỉ là vấn đề kỹ thuật, mà còn là vấn đề liên quan tới “con người” (Schulz, 2005). Tuy nhiên, cần phải lưu ý rằng, ngay cả phần mềm chống virus được sử dụng theo cách thức tối ưu có thể không ngăn chặn được tất cả các virus, điều này có nghĩa là đây không chỉ là vấn đề “con người” mà còn là vấn đề kỹ thuật. Bất chấp điều này, một số bằng chứng cho thấy là việc người lao động không tuân theo các hướng dẫn bảo vệ thông tin là nguyên nhân gây ra phần lớn các lỗ hổng trong bảo mật thông tin (Chan, Woon & Kankanhalli, 2005). Củng cố phát hiện này, các kết quả của Điều tra An ninh Toàn cầu năm 2007, trong đó phỏng vấn các chuyên gia bảo mật thông tin, chỉ ra rằng 79% người được hỏi nhận thấy sai sót của con người là nguyên nhân gốc rễ trong những thất bại của các hệ thống thông tin (Deloitte, 2007).

Báo cáo này sẽ nêu bật các vấn đề nhân tố con người có khả năng ảnh hưởng tới cách mà các cá nhân tương tác với công nghệ bảo mật thông tin. Điều này sẽ bao gồm cả việc phân tích những nhân tố ảnh hưởng tới khả năng cá nhân nhận thức chính xác rủi ro, và các khía cạnh văn hóa của tổ chức có thể dẫn tới một môi trường mà trong đó các hành vi bảo vệ tích cực được khen thưởng và được duy trì. Tầm quan trọng của việc truyền thông hiệu quả, bao gồm cả việc lên khung thông tin thích hợp về các hành vi bảo mật, cũng sẽ được khảo sát. Hơn nữa, báo cáo này sẽ khảo sát ảnh hưởng của lừa đảo qua mạng trong bối cảnh bảo mật thông tin, bao gồm cả những nhân tố có xu hướng làm gia tăng tính nhạy cảm của một cá nhân, phân tích những nghiên cứu trước đây tập trung vào nghiên cứu về lừa đảo qua mạng, và tổng kết những biện pháp phòng vệ hiệu quả chống lại sự lừa đảo qua mạng. Cuối cùng, các kiến nghị và đề xuất về việc thử nghiệm dựa vào kinh nghiệm nhiều hơn nữa trong lĩnh vực này v2 các kết luận sẽ được đưa ra.

1.1/ Bảo mật thông tin và các loại lỗi của nhân tố con người

Con người luôn bị quy cho là mắt xích yếu nhất trong bảo mật (Schneier, 2000; Huang, Rau & Salvendy, 2007). Sự tập trung quá nhiều vào các khía cạnh kỹ thuật của bảo mật mà không xem xét thích đáng đến cách con người tương tác với hệ thống, rõ ràng, là không đủ. Phần này bao gồm cả những loại lỗi thuộc nhân tố con người có thể dẫn tới vi phạm bảo mật. Một số lý do cho những lỗi này cũng sẽ được đưa ra thảo luận.

Các vi phạm bảo mật thông tin có thể được xếp loại theo một số cách thức khác nhau. Swain & Guttman (1983) phân biệt 5 loại lỗi khác nhau thuộc nhân tố con người, có thể được dùng để lý giải cho những lỗ hổng bảo mật thông tin. Thứ nhất, có những hành vi bị bỏ qua, theo đó mọi người quên thực hiện một hành động cần thiết. Chẳng hạn như, trong lĩnh vực bảo mật thông tin, điều này có thể liên quan tới sự không thường xuyên thay đổi mật khẩu. Thứ hai, sai sót lắm khi là những hành vi phạm phải, trong đó mọi người thực hiện một thủ tục hay một hành động không đúng, chẳng hạn như viết mật khẩu ra. Thứ ba, một số lỗi là do những hành vi không liên quan gây ra, gồm cả việc làm điều gì đó không cần thiết. Thứ tư, các lỗi có thể bắt nguồn từ những hành vi được thực hiện tuần tự, bao gồm việc làm điều gì đó không theo đúng trật tự. Cuối cùng, Swain & Guttman (1983) nói đến lỗi về mặt thời gian, bị gây ra bởi những người không thực hiện nhiệm vụ trong khoảng thời gian quy định.

(còn tiếp) 

Người dịch: Thái Hà

Nguồn: www.dtic.mil

TN 2014 – 20, 21, 22, 23, 24, 25, 26

Định luật Latour


Đại văn hào Shakespear đã từng nói, hoa hồng dù lấy tên là gì chăng nữa đều thơm. Thực tế không chỉ như thế. Một nhãn hiệu tốt đối với việc lập ra một danh tiếng tốt nhất định không phải là điều có thể coi thường. Muốn là hàng hiệu, trước hết bắt đầu từ việc đặt tên nhãn hiệu.

Trong tập đoàn Wahaha, “Wahaha”, “Tương lai” đều rất có tính sáng tạo. Nhờ tên tuổi của nhãn hiệu, gần như đã thắng trước một bàn. Tên gọi “Wahaha” bắt nguồn từ một bài hát nổi tiếng: “Tổ quốc của chúng ta giống như vườn hoa, những bông hoa trong vường hoa thật là tươi đẹp… a ha ha, a ha ha, trên khuôn mặt mỗi người đều nở một nụ cười rạng rỡ”. Tên gọi “Wahaha” này rất dễ truyền bá, quần chúng hóa, rất có sự thân thiện và đầy sức sống. Quần chúng, thân ái, khỏe mạnh, vui vẻ là hàm nghĩa của tên gọi đó. Tất nhiên, cũng không có ít người từ góc độ liên tưởng khi nhìn bề ngoài (tên gọi, vật may mắn), cho rằng Wahaha là nhãn hiệu dành cho trẻ em, không phải của người lớn. Vì thế, tập đoàn Wahaha cho rằng, Wahaha không chỉ là khái niệm hạn hẹp cho trẻ em, mà là một nhãn hiệu thông dụng cho cả trẻ em và người lớn. Trong thực tiễn mở rộng sản phẩm và đưa ra thị trường, Wahaha dường như cũng đang nỗ lực làm mờ nhạt ý nghĩa trẻ em trong tên gọi đó, để thiết lập cho nhãn hiệu của mình một không gian phát triển rộng hơn. Trước mắt, sự mở rộng nhãn hiệu Wahaha rất thành công, vì sự mở rộng đó không hề thoát ly ra khỏi khái niệm hạt nhân của nhãn hiệu.

“Tương lai” là một nhãn hiệu khác của tập đoàn Wahaha. Tên gọi “Tương lai” rất kêu, rất phóng khoáng, thời thượng, ưu việt và vui vẻ. Khi đưa ra sản phẩm, cũng có chủ trương dùng tiếp tên gọi “Wahaha”, nhưng sau cùng lại chọn một tên nhãn hiệu khác. Nhãn hiệu “Tương lai” được đưa ra, đã bù đắp vào chỗ khuyết cho khái niệm của “Wahaha”, chẳng hạn như yếu tố “thời thượng”, “tính ưu việt”, cũng phát triển thêm ý nghĩa nhãn hiệu của tập đoàn, quan trọng hơn nữa là phải khiêu chiến với Coca Cola, dùng tên gọi “Wahaha” rõ ràng không đủ khí thế và thua kém hơn, chỉ nói riêng tên gọi bằng tiếng Trung “Tương lai” rõ ràng không hề kém cạnh với “Ngon miệng” và “Trăm sự” (tên gọi đã dịch ra tiếng Trung của Coca và Pepsi).

Chính vì có sự sáng tạo tốt như vậy với nhãn hiệu, Wahaha mới giành được sự thành công trên thị trường. Carrefour của Pháp là hãng bán lẻ xếp thứ 2 trên thế giới, sự thiết kế logo và tên nhãn hiệu của họ cũng đáng để nhắc tới.

Trong tiếng Pháp, Carrefour có mấy ý nghĩa như: ngã tư, đường phố; sự hội tụ của các kiểu ảnh hưởng, tư tưởng hoặc ý kiến. Một người Pháp lãng mạn đã tìm ra từ này và lấy nó làm tên gọi của công ty. Dễ dàng thấy được là cái tên đó được bao trùm như là mộ tkho chứa đồ bán lẻ, ý nghĩa của từ Carrefour kéo rộng ra là nơi tập hợp đầy đủ các loại đồ vật, mặt hàng. Sự phát triển của ý nghĩa đó thể hiện khái niệm lưu động của mặt hàng thời đại, xác đáng và độc đáo, có nội hàm văn hóa và sức khuếch trương. Sự thiết kế logo của Carrefour cũng rất có tính sáng tạo: bên trái là một mũi tên nhọn màu đỏ hướng về bên trái, bên phải giống như một mũi tên màu xanh lam hướng về bên phải. Trên thực tế, logo này biểu thị chữ cái C đầu tiên của Carrefour, nền là hai màu xanh đỏ trên quốc kỳ nước Pháp. Đường nét trên dưới của chữ C nổi bật lên trạng thái khoa trương, làm cho nó hòa nhập vào trong bối cảnh chung. Đó là sự sáng tạo nhất của người thiết kế, cũng là điểm thành công nhất của sự thiết kế đó. Đồng thời cũng làm cho những người không chú ý đến logo đó sự hiểu nhầm là đang nhìn thấy một bức tranh vỡ vụn và những mảng màu sắc.

Logo đó là một sản phẩm nghệ thuật hoàn mỹ của nước Pháp, một ký hiệu chứa đầy tính tiêu biểu cho văn hóa Pháp, và đã như thế lan rộng khắp.

Carrefour vượt qua các đại dương, đến mở cửa hàng ở Trung Quốc, lấy tên là Gia Lạc Phúc (tên dịch sang tiếng Trung), mang đậm hàm nghĩa văn hóa truyền thống Trung Quốc, tốt đẹp và lâu bền. Chính nhờ sự thân thiết của nhãn hiệu, thêm vào sách lược giá bán rẻ, khiến Gia Lạc Phúc nhanh chóng thâm nhập vào thị trường Trung Quốc.

Cuối những năm 50 của thế kỷ XX, công ty công nghiệp thông tin Tokyo đã bước thêm một bước đi có ý nghĩa quan trọng, từ bỏ tên gọi cũ, sử dụng một tên mới công ty Sony. Ngân hàng của công ty đã phản đối việc này: “Công ty công nghiệp thông tin Tokyo từ khi sáng lập đến nay đã 10 năm, không dễ dàng gì làm cho tên tuổi của mình được người ta biết đến trong ngành thông tin. Một thời gian dài như thế đã qua đi, các vị đột nhiên đề nghị đổi tên một cách hoang đường, thế có nghĩa là sao?” Lãnh đạo của Sony đã trả lời bằng một câu rất đơn giản, như thế sẽ làm cho thế lực của công ty mở rộng ra phạm vi quốc tế, người nước ngoài cảm thấy tên cũ rất nhịu miệng, khó phát âm.

Có thể bạn sẽ thấy hành động đó không thể hiện dũng khí hay bản lĩnh gì, suy cho cùng, đại đa số các công ty nhỏ và vừa đều xem trọng thị trường nước ngoài. Hơn nữa, chỉ là thay đổi một chút về tên gọi – đổi công ty công nghiệp thông tin Tokyo thành công ty Sony cũng chẳng có gì đáng ngạc nhiên như thế.

Tuy là công ty của chúng tôi vẫn rất nhỏ, lại tự coi là Nhật Bản rất to lớn, có một thị trường tiềm lực ngoài, thì chúng tôi sẽ mãi mãi không phát triển thành kiểu công ty mà tôi mong muốn. Tiếng tăm của sản phẩm Nhật Bản trên thế giới là chất lượng thấp, chúng ta phải thay đổi trạng thái này. “Khi kinh tế Nhật Bản mới khởi sắc, ý nghĩa của “Nhật Bản chế tạo” là giá rẻ, tiết kiệm, chất lượng thấp”. Sony không những muốn dựa vào thực lực của mình để đạt được thành công, mà còn muốn thay đổi hình tượng xấu về hàng tiêu dùng chất lượng thấp của Nhật Bản, từ đó giành được sự thán phục cao nhất của quốc tế. Là một công ty nhỏ với số người làm chưa đến 1000 và không có thế lực ở nước ngoài, đây quả là một mục tiêu vô cùng liều lĩnh. Thực tiễn đã chứng minh, những suy nghĩ của Thịnh Điếu Chiến phu đã không sai, thực thi chiến lược đổi tên đã tăng nhanh quá trình quốc tế hóa cho Sony, đồng thời nhanh chóng trở thành người dẫn đầu ngành công nghiệp đồ điện gia dụng trên thế giới.

Tên nhãn hiệu tốt là khởi điểm của sự thành công.

TH: T.Giang – SCDRC

Nguồn tham khảo: Nguyễn Đức Lân (bs) – 99 nguyên tắc giản đơn quyết định trong cuộc sống – NXB TN 2008.