Bảy yếu tố “P” được các chuyên gia RMIT khuyến nghị thực hiện như sau:
1. Product – Sản phẩm
Sản phẩm mà chiến lược marketing hướng đến chính là sự tham gia của nhân viên vào xây dựng môi trường mạng an toàn và bảo mật. Nhân viên được kỳ vọng sẽ hiểu rõ về nhiệm vụ bảo mật, có khả năng thực hiện các biện pháp an ninh mạng một cách nhất quán, và giảm thiểu lãng phí công sức và thời gian.
2. Promotion – Khuyến khích
Để khuyến khích sự tham gia của nhân viên, nội dung cần được thiết kế riêng cho từng phòng ban và liên quan trực tiếp đến lợi ích của họ. Thêm nữa, các chính sách cần rõ ràng, hướng dẫn cần đơn giản và dễ thực hiện. Nội dung nên được thiết kế trực quan và có tính tương tác, và mạng xã hội có thể là một kênh hữu ích tăng cường hiệu quả cho thông điệp.
Tiến sĩ Hiệp lưu ý rằng: “Các tổ chức nên để người dùng luyện tập các yêu cầu bảo mật trên những tình huống thực tế và phù hợp với tính chất công việc của mỗi phòng ban, vì hầu hết nhân viên chỉ thực hiện các biện pháp bảo mật nếu chúng ảnh hưởng trực tiếp đến công việc của họ”.
3. Price – Chi phí tuân thủ
Theo chuyên gia RMIT, hầu hết nhân viên đều hiểu chi phí là công sức và thời gian họ bỏ ra để tham gia vào quá trình bảo mật, cũng như mất năng suất làm việc. Song chi phí tài chính (chẳng hạn để xử lý rò rỉ dữ liệu hay trả phí dịch vụ pháp lý) và tổn hại về danh tiếng mà tổ chức phải gánh chịu khi bị tấn công mạng vẫn chưa được hiểu rõ ràng, và vì vậy cũng cần được phổ biến đến người dùng.
4. Place – Địa điểm
Địa điểm của hành vi tuân thủ (hay không tuân thủ) bảo mật chủ yếu xảy ra trên các kênh kỹ thuật số. Việc xác định và quản lý các kênh này rất quan trọng, để từ đó tổ chức có thể xây dựng các biện pháp đối phó cần thiết và đào tạo nhận thức cho nhân viên, đồng thời đảm bảo sẵn sàng hỗ trợ trong mọi tình huống.
5. Process – Quy trình
Quy trình có thể vừa là động lực thúc đẩy vừa là rào cản trong an ninh mạng. Nếu quy trình quá phức tạp có thể khiến người dùng mất động lực hoặc gặp khó khăn khi tuân thủ, nhưng nếu quá đơn giản thì có thể không đủ sức chống đỡ những cuộc tấn công từ bên ngoài.
“Nhân viên và cấp quản lý có thể phối hợp cùng xây dựng quy trình. Nên xây dựng các thủ tục tích hợp, tăng khả năng tương tác cá nhân, và giúp người dùng tự điều hướng các quy trình an ninh mạng bằng đào tạo trực tuyến, sổ tay hướng dẫn, bộ phận trợ giúp ảo, v.v.”, Tiến sĩ Hiệp đề xuất.
6. People – Con người
Con người được coi là yếu tố tạo ra hoặc phá vỡ hệ thống an ninh mạng. Để nâng cao sự tham gia của mọi người, Tiến sĩ Hiệp và đồng nghiệp cho rằng tổ chức cần cung cấp hỗ trợ công nghệ thông tin hiệu quả để có thể giảm gián đoạn công việc và tăng sự hài lòng của nhân viên.
7. Physical evidence – Bằng chứng
Yếu tố cần thiết cuối cùng là những bằng chứng giúp nhắc nhở về nguy cơ và hậu quả của việc thiếu bảo mật thông tin. Những bằng chứng cụ thể nên được đặt quanh khu vực làm việc của nhân viên và đóng vai trò như những lời nhắc nhở về rủi ro và hậu quả của việc không tuân thủ bảo mật, cũng như trách nhiệm của mỗi nhân viên.
“Đảm bảo tuân thủ với các chính sách bảo mật đòi hỏi nhiều nỗ lực gắn kết với nhân viên. Marketing xã hội trong nội bộ, cụ thể là với mô hình 7P, chính là một phương thức đơn giản để làm được điều này”, Tiến sĩ Hiệp kết luận.
Bài: Hoàng Minh Ngọc