Đào tạo an ninh mạng: "Lá chắn" giúp giảm sự cố, nhưng nhiều tổ chức vẫn còn khoảng trống

Theo Báo cáo Nghiên cứu Toàn cầu về Nhận thức và Đào tạo An ninh mạng năm 2025 do Fortinet thực hiện, đào tạo nâng cao nhận thức về an ninh mạng không còn đơn thuần là một hoạt động nhằm đáp ứng yêu cầu tuân thủ. Ngày nay, đây được xem là một biện pháp kiểm soát rủi ro có thể đo lường hiệu quả.

Báo cáo được xây dựng dựa trên phản hồi của 1.850 lãnh đạo cấp cao trong lĩnh vực CNTT và an ninh mạng trên toàn thế giới, qua đó cho thấy những thay đổi đáng kể trong cách các tổ chức tiếp cận bảo mật, đồng thời chỉ ra nhiều điểm yếu cần được khắc phục.

AI nâng cao nhận thức, nhưng nhân viên chưa thực sự sẵn sàng

Sự phát triển của trí tuệ nhân tạo đang làm thay đổi cách các tổ chức nhìn nhận về an ninh mạng. Gần 90% tổ chức tham gia khảo sát cho biết việc tin tặc sử dụng AI đã góp phần nâng cao nhận thức của nhân viên về tầm quan trọng của đào tạo an ninh mạng.

Tuy nhiên, nhận thức không đồng nghĩa với khả năng ứng phó. Chỉ khoảng 40% lãnh đạo cho biết nhân viên của họ thực sự được chuẩn bị để nhận diện, phòng tránh và báo cáo các mối đe dọa mạng dựa trên AI.

Trước thực tế này, nhiều tổ chức đã bắt đầu đào tạo nhân viên về cách sử dụng các công cụ AI tạo sinh (GenAI) một cách an toàn, đồng thời giám sát hoặc hạn chế việc chia sẻ dữ liệu nhạy cảm. Hầu hết các tổ chức cũng đang xây dựng hoặc triển khai chính sách bảo mật dành cho AI và các mô hình ngôn ngữ lớn (LLM). Tuy vậy, khoảng cách giữa chính sách và việc thực thi vẫn còn khá lớn.

Sự phát triển của AI đang làm thay đổi cách các tổ chức nhìn nhận về an ninh mạng.

Rủi ro nội bộ ngày càng đáng lo ngại

Các mối đe dọa từ bên ngoài, những vụ vi phạm dữ liệu trong quá khứ hay các sự cố trong ngành vẫn là động lực chính thúc đẩy doanh nghiệp đầu tư vào đào tạo an ninh mạng, với hơn 40% lãnh đạo được hỏi cho biết đây là lý do hàng đầu.

Tuy nhiên, rủi ro nội bộ đang nổi lên như một mối quan tâm ngày càng lớn. Hơn một phần tư các tổ chức hiện nay cho rằng nguy cơ từ bên trong là nguyên nhân khiến họ phải tăng cường đào tạo nhận thức về bảo mật. Đây là mức tăng đáng kể so với năm trước.

Sự thay đổi này cũng phản ánh rõ trong nội dung đào tạo. Bên cạnh các chủ đề quen thuộc như bảo mật dữ liệu và quyền riêng tư, các mối đe dọa liên quan đến AI và việc sử dụng công cụ AI đang được đưa vào chương trình đào tạo ngày càng nhiều.

Đào tạo giúp giảm đáng kể sự cố an ninh mạng

Một trong những kết quả đáng chú ý nhất của báo cáo là hiệu quả rõ rệt của các chương trình đào tạo. Có tới 67% tổ chức ghi nhận số vụ xâm nhập, sự cố hoặc vi phạm an ninh mạng giảm sau khi triển khai đào tạo và nâng cao nhận thức về bảo mật.

Các tổ chức cũng ngày càng chú trọng đo lường hiệu quả đào tạo thông qua nhiều chỉ số như: số lượng sự cố an ninh giảm, phản hồi của nhân viên và kết quả kiểm toán bảo mật.

Ngoài ra, nhiều doanh nghiệp đang chuyển từ mô hình đào tạo một lần sang các chương trình dài hạn, kết hợp giữa đào tạo trực tiếp, học trực tuyến, mô phỏng tình huống tấn công, đánh giá và củng cố kiến thức thường xuyên nhằm thay đổi hành vi của nhân viên và giảm rủi ro theo thời gian.

Số liệu từ khảo sát cho thấy khu vực Châu Á - Thái Bình Dương đang dẫn đầu về tập trung đào tạo AI

Tỷ lệ hoàn thành đào tạo vẫn là điểm yếu

Dù đã có nhiều tiến bộ, phần lớn tổ chức vẫn gặp khó khăn trong việc triển khai đầy đủ các chương trình đào tạo. Chỉ một tỷ lệ nhỏ tổ chức cho biết nhân viên hoàn thành toàn bộ khóa học.

Đáng chú ý, gần 7/10 lãnh đạo thừa nhận nhân viên của họ vẫn thiếu nhận thức đầy đủ về an ninh mạng. Điều này lý giải vì sao khoảng cách giữa đầu tư và kết quả vẫn tồn tại.

Báo cáo khuyến nghị các tổ chức nên áp dụng những cải tiến thực tiễn như: thiết kế các mô-đun đào tạo ngắn và thường xuyên hơn, phân định rõ trách nhiệm hoàn thành khóa học, cập nhật nội dung theo các mối đe dọa mới và tăng cường sự hỗ trợ từ lãnh đạo. Trong bối cảnh AI phát triển nhanh chóng, mô hình đào tạo vi mô (microlearning) cũng được xem là giải pháp hiệu quả để giúp nhân viên cập nhật kiến thức liên tục.

Nhận thức an ninh mạng đang trở thành văn hóa tổ chức

Một xu hướng tích cực được ghi nhận là các lãnh đạo ngày càng coi an ninh mạng là trách nhiệm chung của toàn bộ tổ chức, thay vì chỉ thuộc về bộ phận CNTT hay an ninh thông tin.

Hầu hết lãnh đạo tham gia khảo sát cho biết họ sẵn sàng áp dụng các chính sách nhằm kiểm soát hành vi rủi ro cao của nhân viên, đồng thời kết hợp với đào tạo để giải thích rõ lý do và mục tiêu của các quy định này.

Theo các chuyên gia, đào tạo nhận thức an ninh mạng hiệu quả không chỉ nhằm giúp nhân viên vượt qua bài kiểm tra, mà còn phải tác động tới các quyết định và hành vi hằng ngày tại nơi làm việc.

Hàm ý cho năm 2026 và những năm tiếp theo

Dữ liệu từ báo cáo cho thấy một thực tế rõ ràng: đào tạo nâng cao nhận thức về an ninh mạng có thể giúp giảm thiểu sự cố. Những tổ chức đầu tư bài bản và đo lường hiệu quả đào tạo đã ghi nhận kết quả tích cực.

Kết luận của báo cáo cũng nêu rõ: Các mối đe dọa mới sẽ tiếp tục xuất hiện. Hôm nay là trí tuệ nhân tạo; trong tương lai không xa, có thể là điện toán lượng tử. Do đó, an ninh mạng phải liên tục phát triển và điều đó có nghĩa là nhận thức và đào tạo về an ninh cũng phải liên tục phát triển.

Nội dung đào tạo tốt, phù hợp, hấp dẫn và cập nhật về các mối đe dọa mới nhất là rất cần thiết. Báo cáo khuyến nghị, việc đào tạo cần tập trung vào thay đổi hành vi, không chỉ truyền đạt thông tin, và dạy người dùng cách nhận biết, đánh giá và tự ứng phó với các mối đe dọa.

Với thực trạng 93% nhân viên không hoàn thành khóa đào tạo như báo cáo nêu thực sự là con số đáng quan tâm. Do đó, việc tối đa hóa tỷ lệ hoàn thành bằng cách bắt buộc đào tạo, đưa ra các ưu đãi và áp đặt các hậu quả dựa trên chính sách đối với việc không tuân thủ các quy định của tổ chức, đều có thể giúp tăng cường tư thế an ninh tổng thể.

Các chuyên gia Fortinet khuyến nghị doanh nghiệp cần coi đào tạo nhận thức an ninh mạng là một biện pháp kiểm soát rủi ro cốt lõi, được triển khai liên tục, cập nhật theo bối cảnh đe dọa mới và gắn chặt với thực tiễn hoạt động của tổ chức.