Mặc dù doanh nghiệp liên tục đầu tư vào các giải pháp công nghệ hiện đại, sự cố an ninh vẫn có thể xảy ra bất cứ lúc nào. Theo Gartner 2025 SecureBehavior and Culture Program, chưa đến 10% doanh nghiệp có chiến lược bài bản để xây dựng văn hoá bảo mật bền vững. 

Cũng theo báo cáo có hơn 70% doanh nghiệp toàn cầu hiện vẫn chỉ dừng ở các chương trình đào tạo nhân viên mang tính hình thức. Con số này cho thấy các doanh nghiệp chưa thật sự quan tâm đến việc xây dựng văn hoá bảo mật chủ động cho nhân viên – “mắt xích” yếu nhất, khó kiểm soát nhất trong chuỗi bảo mật hiện nay.  

Hành vi người dùng vẫn là lỗ hổng lớn nhất trong hệ thống bảo mật  

Khảo sát của Gartner đã chỉ ra một số điểm nhấn quan trọng cho doanh nghiệp trong việc xây dựng văn hoá bảo mật hiện tại trên thế giới. Cụ thể có 63% doanh nghiệp trên toàn cầu vẫn áp dụng mô hình “Traditional Awareness Program” – tập trung vào đào tạo qua video, email cảnh báo và mô phỏng phishing.

Những hình thức này tuy phổ biến, nhưng thường chỉ mang tính đối phó, khó tạo ra thay đổi hành vi thực sự. Trong khi đó, chỉ 19% doanh nghiệp đã chuyển sang mô hình “Enhanced for Engagement” – lồng ghép yếu tố trải nghiệm, giải thưởng hoặc mô hình nội bộ để duy trì thói quen bảo mật. 

 Nguồn Gartner: https://www.gartner.com/peer-community/topic/secure-behavior-strategies-2025-ctb  

Điều đáng nói là các chương trình hành vi này đang bị giới hạn bởi năng lực tổ chức. 67% doanh nghiệp được hỏi thừa nhận họ thiếu nguồn lực cả về ngân sách lẫn nhân sự chuyên biệt để triển khai chương trình hành vi bảo mật – yếu tố được Gartner xác định là “rào cản chiến lược số một” trong việc hình thành văn hoá bảo mật bền vững.  

Song song đó, việc đo lường hiệu quả hành vi cũng đang bị xem nhẹ. Chỉ khoảng 57% doanh nghiệp theo dõi thời gian xử lý các sự cố do con người gây ra, và 53% theo dõi tỷ lệ sự cố có yếu tố con người trong tổng thể sự cố an ninh. Nghĩa là gần một nửa số doanh nghiệp vẫn chưa thể đo lường chính xác mức độ rủi ro đến từ yếu tố hành vi.

Đặc biệt, 13% doanh nghiệp thừa nhận họ không có bất kỳ hệ thống đo lường nào cho loại sự cố này – một lỗ hổng nghiêm trọng trong bối cảnh tội phạm mạng ngày càng tinh vi và có khả năng khai thác hành vi vi phạm nhỏ nhất trong quy trình nội bộ. 

Tuy nhiên, dữ liệu của Gartner cũng cho thấy những tín hiệu tích cực. 63% doanh nghiệp cho biết họ đã cải thiện khả năng truyền thông nội bộ về an ninh thông tin, trong đó nhiều tổ chức đã tích hợp cảnh báo, hướng dẫn bảo mật vào các nền tảng như Slack, Teams hay Workplace. Dù vậy, chỉ 33% doanh nghiệp thu thập phản hồi định kỳ của nhân viên về chính sách an ninh – một tỷ lệ thấp cho thấy hầu hết doanh nghiệp vẫn tiếp cận bảo mật theo hướng “áp đặt từ trên xuống”, thay vì tương tác hai chiều để xây dựng văn hoá chủ động.  

Doanh nghiệp Việt đang xây dựng hành vi bảo mật như thế nào  

Báo cáo VSEC Threat Intelligence (05/2025) được ông Phan Hoàng Giáp – DCEO VSEC công bố tại phiên thảo luận “Cyber Showdown: Active Defense in the AI Era” trong khuôn khổ sự kiện CIO Summit 2025 đã hé lộ một thực tế đáng lo ngại: trên toàn cầu có tới 21,9 tỷ tài khoản bị lộ lọt, trong đó 4,7 triệu là tài khoản nhân viên nội bộ.

Tại Việt Nam, chỉ trong tháng 5/2025 đã ghi nhận 450 tài khoản, hơn 500 thiết bị bị rò rỉ và 36 nạn nhân từ các vụ tấn công ransomware. Những con số này phản ánh rõ một thực tế: “điểm yếu lớn nhất trong hệ thống bảo mật không phải là công nghệ, mà là con người” – như đại diện VSEC nhận định. 

Theo ông Phan Hoàng Giáp, để hình thành một văn hoá bảo mật bền vững, doanh nghiệp cần dựa trên ba trụ cột then chốt: con người – quy trình – công nghệ. Trong đó, con người giữ vai trò trung tâm, bởi mọi công cụ và chính sách chỉ thực sự hiệu quả khi được vận hành bởi những cá nhân có nhận thức và hành vi an toàn.

Văn hoá bảo mật vì thế không chỉ dừng lại ở việc đào tạo nhận thức hay các buổi huấn luyện định kỳ; nó là cách doanh nghiệp thiết kế, triển khai và giám sát hệ thống, đặc biệt là AI, một cách có trách nhiệm. 

Ông Phan Hoàng Giáp, CTO VSEC trong phiên thảo luận “Cyber Showdown: Active Defense in the AI Era” tại sự kiện CIO Summit tháng 10/2025 cùng các CxO trong lĩnh vực BFSI, Sản xuất, … 

Riêng với việc áp dụng AI trong bảo mật của doanh nghiệp, một số chia sẻ của CXO cho rằng chương trình đào tạo an toàn thông tin hiện nay cần được mở rộng phạm vi, vượt ra khỏi các chủ đề truyền thống như phishing hay social engineering, để bao gồm cả việc sử dụng AI một cách có trách nhiệm và minh bạch.  

Đây là bước tiến tất yếu khi AI ngày càng gắn bó chặt chẽ với hoạt động vận hành và ra quyết định trong doanh nghiệp. Mỗi nhân viên cần được nhìn nhận như một “firewall sống” – người chủ động nhận biết rủi ro, đặt câu hỏi đúng, và hành động có trách nhiệm trong môi trường số.  

Xây dựng văn hóa bảo mật cho doanh nghiệp trong kỷ nguyên số 

An toàn tài sản số không chỉ là vấn đề nội bộ doanh nghiệp mà đã trở thành vấn đề an ninh quốc gia, đòi hỏi sự can thiệp và định hướng từ Chính phủ. Khi Công ước Hà Nội về chống tội phạm mạng chính thức được mở ký trong ngày 25-26/10 vừa qua đã trở thành một khung pháp lý toàn cầu về chống tội phạm mạng. 

Đối với doanh nghiệp, đặc biệt trong lĩnh vực tài chính, y tế, logistic,… đây không chỉ là việc tuân thủ công ước, mà là bước chuyển chiến lược để đảm bảo một môi trường số an toàn. Lễ mở ký Công ước Hà Nội là “cửa sổ cơ hội” cho những doanh nghiệp chủ động.

Khi khung pháp lý được hình thành, những tổ chức đã chuẩn hoá hệ thống, xây dựng văn hoá bảo mật và đào tạo nâng cao năng lực đội ngũ sẽ không chỉ dễ dàng tuân thủ, mà còn tạo ra lợi thế cạnh tranh về uy tín và niềm tin 

Dưới đây là một số gợi ý cho các doanh nghiệp từ phiên thảo luận “Cyber Showdown: Active Defense in the AI Era” tại CIO Summit như nên chuyển từ mô hình “đào tạo nhận thức” sang “trải nghiệm bảo mật”, đưa an toàn thông tin trở thành một phần trong quy trình làm việc và vận hành. 4 hành động chiến lược được khuyến nghị mà doanh nghiệp Việt có thể áp dụng ngay. 

• Ban lãnh đạo phải là người dẫn đầu: Khi ban lãnh đạo trực tiếp thể hiện cam kết – từ việc tuân thủ quy trình đến truyền thông nội bộ, thông điệp về an toàn thông tin sẽ lan tỏa mạnh mẽ trong toàn tổ chức. 
• Gắn bảo mật vào công việc hàng ngày: Thay vì những buổi đào tạo rời rạc, doanh nghiệp nên lồng ghép các nội dung bảo mật vào hoạt động hàng ngày sẽ giúp nhân viên tiếp cận dễ dàng, hiểu rõ hơn và chủ động áp dụng các chính sách bảo mật trong công việc. 
• Thu thập và lắng nghe phản hồi của nhân viên:  Xây dựng và điều chỉnh chính sách bảo mật phù hợp. 
• Hợp tác với chuyên gia hoặc đơn vị đào tạo ATTT: Doanh nghiệp có thể hợp tác với các đơn vị cung cấp các dịch vụ đào tạo an toàn thông tin uy tín như VSEC. Việc này không chỉ giúp rút ngắn thời gian triển khai, mà còn đảm bảo quy trình phù hợp tiêu chuẩn quốc tế.