5 Thói Quen Số An Toàn Mà Mọi Nhân Viên Cần Biết
URL: https://training.aware.com.vn/blog/5-thoi-quen-so-an-toan-ma-moi-nhan-vien-can-biet Danh mục: Nhận thức
Bạn không cần là chuyên gia bảo mật để bảo vệ bản thân và tổ chức khỏi các mối đe dọa mạng. Phần lớn các cuộc tấn công thành công không khai thác lỗ hổng kỹ thuật phức tạp — chúng khai thác những thói quen nhỏ, lặp đi lặp lại mỗi ngày mà chúng ta không để ý.
Tin tốt là: thói quen có thể thay đổi. Và năm thói quen dưới đây, nếu được thực hành đều đặn, có thể loại bỏ phần lớn rủi ro mà một nhân viên bình thường đang vô tình tạo ra cho tổ chức của mình.
Thói quen 1: Dừng lại 3 giây trước khi click bất kỳ đường link nào
Ba giây. Đó là tất cả những gì cần thiết để tránh phần lớn các cú bẫy phishing.
Trước khi click vào bất kỳ đường link nào trong email, tin nhắn hay mạng xã hội, hãy di chuột lên trên link đó (hover) để xem URL thật sự đang trỏ về đâu. Câu hỏi cần tự hỏi: tên miền có đúng không? Có ký tự lạ thay thế không — chữ o thành số 0, chữ l thành số 1? Đường link có khớp với nội dung email không?
Nếu có bất kỳ điều gì trông "hơi lạ", hãy vào thẳng trình duyệt và gõ địa chỉ website chính thức thay vì click. Mười giây thêm này có thể ngăn chặn một sự cố bảo mật nghiêm trọng.
Thói quen này đặc biệt quan trọng với các email giả mạo ngân hàng, cổng thanh toán, hoặc các dịch vụ nội bộ của công ty — những nơi kẻ tấn công thường nhắm đến nhất.
Thói quen 2: Dùng mật khẩu riêng biệt cho từng tài khoản quan trọng
Sử dụng cùng một mật khẩu cho nhiều tài khoản là một trong những sai lầm phổ biến và nguy hiểm nhất trong môi trường số. Khi một dịch vụ bất kỳ bị rò rỉ dữ liệu — điều xảy ra thường xuyên hơn bạn nghĩ — kẻ tấn công sẽ lập tức thử mật khẩu đó trên email, tài khoản ngân hàng, hệ thống nội bộ công ty. Kỹ thuật này có tên là credential stuffing và tỷ lệ thành công đáng báo động.
Giải pháp thực tế không phải là ghi nhớ hàng chục mật khẩu phức tạp. Hãy dùng một trình quản lý mật khẩu (password manager) uy tín như Bitwarden hoặc 1Password. Bạn chỉ cần nhớ một mật khẩu chính, phần mềm sẽ tạo và lưu trữ các mật khẩu mạnh, độc nhất cho từng tài khoản.
Và luôn bật xác thực hai yếu tố (2FA) cho những tài khoản quan trọng: email công ty, hệ thống nội bộ, ngân hàng. Dù mật khẩu bị lộ, kẻ tấn công vẫn không thể đăng nhập nếu không có bước xác thực thứ hai.
Thói quen 3: Không dùng WiFi công cộng để xử lý công việc — hoặc luôn bật VPN
Làm việc tại quán cà phê, sân bay, hay khách sạn đã trở thành chuyện bình thường trong thời đại hybrid work. Nhưng mạng WiFi công cộng là một trong những môi trường kém an toàn nhất để xử lý thông tin công việc.
Kẻ tấn công có thể dễ dàng thiết lập một điểm phát WiFi giả với tên nghe quen thuộc như "Airport_Free_WiFi" hay "CafeXYZ_Guest" — và mọi dữ liệu bạn gửi đi trên mạng đó đều có thể bị đọc. Đây gọi là tấn công man-in-the-middle.
Quy tắc đơn giản: nếu bắt buộc phải dùng WiFi công cộng, hãy luôn kết nối VPN do công ty cấp trước khi mở bất kỳ ứng dụng công việc nào. Nếu không có VPN, hãy dùng dữ liệu di động cá nhân thay thế. Đây là thói quen nhỏ nhưng tạo ra sự khác biệt lớn, đặc biệt khi bạn xử lý email, tài liệu nội bộ hoặc thông tin khách hàng.
Thói quen 4: Xác minh lại mọi yêu cầu bất thường — dù đến từ cấp trên
Đây là thói quen khó hình thành nhất — không phải vì kỹ thuật, mà vì tâm lý.
Khi nhận được email từ "Giám đốc" yêu cầu chuyển tiền gấp, cung cấp thông tin đăng nhập, hoặc xử lý một tài liệu bất thường ngoài giờ làm việc — bản năng đầu tiên của nhiều người là thực hiện ngay để không làm mất lòng cấp trên. Chính tâm lý này là nền tảng của tấn công Business Email Compromise (BEC), gây thiệt hại hàng tỷ đô la mỗi năm trên toàn cầu.
Quy tắc vàng: mọi yêu cầu liên quan đến tiền, thông tin đăng nhập, hoặc dữ liệu nhạy cảm — dù đến từ ai — đều cần được xác minh qua một kênh khác. Gọi điện trực tiếp. Nhắn tin qua ứng dụng nội bộ. Hỏi trực tiếp khi gặp mặt. Không bao giờ chỉ dựa vào email để xác nhận những yêu cầu có mức độ rủi ro cao.
Một tổ chức lành mạnh sẽ không bao giờ phạt nhân viên vì dừng lại xác minh. Nhưng có thể mất nhiều triệu đồng vì không ai dừng lại.
Thói quen 5: Báo cáo ngay khi thấy bất thường — đừng chờ "chắc chắn"
Rào cản cuối cùng và thường bị bỏ qua nhất: nhiều nhân viên phát hiện điều đáng ngờ nhưng không báo cáo vì "không chắc có phải tấn công không", "sợ làm phiền bộ phận IT", hoặc "nhỡ mình nhầm thì mất mặt".
Tư duy này vô tình để kẻ tấn công có thêm thời gian hoạt động bên trong hệ thống. Thiệt hại từ một vụ tấn công bị phát hiện sau 30 ngày lớn hơn gấp nhiều lần so với bị phát hiện trong 24 giờ đầu.
Hãy nhớ: báo cáo sớm một mối nghi ngờ sai còn tốt hơn gấp trăm lần so với không báo cáo một mối đe dọa thật. Đội ngũ bảo mật không kỳ vọng bạn chắc chắn 100% — họ chỉ cần biết để điều tra. Chỉ cần một email, một tin nhắn nội bộ: "Tôi thấy cái này hơi lạ, nhờ các bạn kiểm tra giúp."
Văn hóa báo cáo sớm là một trong những chỉ số quan trọng nhất phản ánh mức độ trưởng thành về bảo mật của một tổ chức.
Năm thói quen, một mục tiêu
Dừng lại trước khi click. Dùng mật khẩu riêng biệt. Cẩn thận với WiFi công cộng. Xác minh mọi yêu cầu bất thường. Báo cáo ngay khi nghi ngờ.
Không có thói quen nào trong số này đòi hỏi kiến thức kỹ thuật. Chúng chỉ đòi hỏi sự nhận thức — và nhận thức có thể được đào tạo, đo lường và cải thiện theo thời gian.
Khi toàn bộ nhân viên trong một tổ chức cùng thực hành những thói quen này, bức tường phòng thủ tập thể trở nên cực kỳ khó vượt qua — dù kẻ tấn công có tinh vi đến đâu.
👉 Đọc tiếp: Tại sao con người là mắt xích yếu nhất trong an ninh mạng?
👉 Tìm hiểu thêm: Vì sao đào tạo an ninh mạng 1 lần/năm là không đủ?
👉 Bạn muốn biết tổ chức mình đang ở đâu? Hãy sử dụng công cụ đánh giá an ninh mạng tại https://aware.com.vn/cong-cu/
