Những điều bạn có thể và không thể thực hiện
An ninh mạng của các doanh nghiệp thường bắt đầu với đội ngũ đáng tin cậy. Sau đây là những cách để đảm bảo thành viên hiện tại trong đội hay sau này không che đậy bí mật.
Thành viên trong đội an ninh mạng là yếu tố phòng thủ chủ yếu cho tài sản trong hệ thống của công ty. Do đó, cần xác nhận được nhân viên hiện tại và ứng cử viên tiềm năng sau này có che đây bí mật nào mà có thể gây nguy hiểm cho hệ thống và dữ liệu của công ty hay không.
Tuy nhiên, tiến hành một cuộc kiểm tra lý lịch kỹ lưỡng không dễ dàng và đơn giản. Ngay cả khi cá nhân được kiểm tra chấp nhận hợp tác cho việc điều tra này, vẫn có luật lệ được tạo ra để bảo vệ nhân viên và ứng cử viên khỏi những hoạt động theo dõi, tìm hiểu không hợp pháp và luật bảo vệ lao động gây khó khăn trong việc đào sâu vào lý lịch cá nhân. Dù vậy, bằng việc yêu cầu đúng câu hỏi và sử dụng một vài công cụ, chúng ta có thể phát hiện được nếu ai đó có khả năng và động cơ gây hại cho doanh nghiệp.
Những điều cần rút ra trong quá trình phỏng vấn
Sau đây là những câu hỏi cần có câu trả lời trong cuộc phỏng vấn
Những hành động gây ảnh hưởng đến hệ thống bảo mật
Mục đích của các cuộc điều tra lí lịch rất đơn giản, đó là đánh giá độ tin cậy của một cá nhân. Sự liêm chính của đối tượng phải vững chắc mới được giao cho quyền truy cập vào phương tiện, hệ thống và thông tin tối mật của công ty.
Một cách tốt để bắt đầu quá trình phỏng vấn là hỏi một cá nhân nếu anh/cô ấy đã từng vô tình hay cố ý gây ảnh hưởng đến hệ thống, dữ liệu của công ty nào đó hay chưa. “Nếu một ứng viên hay nhân viên không hoàn toàn thú nhận, hay phơi bày sự việc chỉ khi được chất vấn, thì điều đó cũng tao nghi vấn đến sự phán đoán và độ tin cậy của họ” – Jim Onusko, giám đốc về giải pháp chiến lược liên bang cho công ty LexisNexis Risk Solutions và nguyên quyền giám đốc trong văn phòng quản trị nhân sự của Mỹ. “Điều này đặc biệt đúng nếu như họ có chủ ý che đậy thông tin gây bất lợi trong cuộc phỏng vấn hoặc không tuân thủ yêu cầu của việc đưa bản báo cáo”- ông nói thêm.
Thể hiện kỹ năng hành xử
Một điều cho thấy được độ tin cậy của một cá nhân là nằm ở kỹ năng hành xử cần có để gia nhập vào đội an ninh. “Cho dù làm việc cá nhân hay làm việc theo đội, nhân viên cần phải thể hiện hành vi phù hợp với văn hóa và mong muốn của tổ chức, nếu không một ngày họ cũng sẽ trở thành gánh nặng, làm tiêu tốn tài nguyên, và tước bỏ động lực làm việc của mọi người trong đội” – Lise Stewart giải thích, giám đốc tại công ty cố vấn về tài chính và kinh doanh EisnerAmper. Do đó, khi kiểm tra lí lịch của một ứng viên, cần tim hiểu về đánh giá của đồng nghiệp hiện tại hay trong quá khứ.
Theo qui luật may rủi, những người có mối quan hệ tốt với quản lý và đồng nghiệp là một người giao tiếp tốt, tận tâm với công việc, và quan tâm nhiều hơn đến an ninh của công ty hơn là những người thui thủi một mình hay những người hay phàn nàn. “Một lỗi thường xuyên mắc phải khi tuyển nhân sự công nghệ cao, là dồn hết sự tập trung vào kỹ năng kỹ thuật.”-Stewart nói tiếp. “Thực tế thì, chúng tôi sa thải một nhân viên hầu hết do hành vi của họ, hơn là kỹ năng kỹ thuật của họ, do hầu hết các kỹ năng có thể được dạy”.
Cách tiếp cận trong việc giải quyết thử thách trong an ninh
Ryan Schonfeld, CEO của công ty quản lý và giám sát an ninh mạng RAS Watch, nhấn mạnh tầm quan trọng trong việc mở một cuộc thảo luận nghiêm túc với thành viên trong đội. “Hãy dành thời gian để tìm hiểu làm thế nào họ tiếp cận với thử thách an ninh trong quá khứ - liệu họ sử dụng cách truyền thống, hay họ cố gắng hướng đến một giải pháp hiện đại.” “Nếu như bạn sử dụng cách tiếp cận này khỉ phỏng vấn ai đó, bạn sẽ hiểu rõ họ, không phải chỉ những thứ học đưa vào đơn xin việc.
Những thứ không được hỏi một ứng viên an ninh mạng
Bởi vì một thành viên trong đội kỹ thuật đòi hỏi lòng tin tuyệt đối, sẽ rất khó khăn khi mà luật pháp hạn chế câu hỏi từ nhà tuyển dụng, đặc biệt những điều liên quan đến quyền con người của ứng viên. “Bạn không được hỏi về lối sống, tuổi, tình trạng hôn nhân, tình trạng sức khỏe bệnh tật, tôn giáo và nhiều thứ khác”-Bà Steward cảnh báo.
Một lỗi thường mắc phải trong mùa dịch COVID-19, là khi hỏi các bà mẹ dự định làm việc ở nhà rằng việc trông con sẽ như thế nào vào ngày làm việc. “Các nhà tuyển dụng có thể quan tâm … (nope) về môi trường làm việc tại gia của ứng viên, chất vấn về kế hoạch chăm con là vượt ranh giới và có thể bị coi là phân biệt”-Steward giải thích. “Một cách hỏi tốt hơn để tìm hiều có thể là : “Bạn có hình dung được bất kì trở ngại nào để hoàn thành công việc trong khung giờ được chỉ định không?””
Thi hành một cuộc kiểm tra lý lịch hiệu quả và được sự đồng thuận từ ứng viên
Nhà tuyển dụng phải cẩn thận hoàn thành các qui trình hợp lệ trước khi thực thi một cuộc kiểm tra lý lịch lên nhân viên hoặc ứng cử viên của công ty. Ví dụ, một tổ chức phải phổ biến rằng họ có thể sử dụng báo cáo tín dụng từ người dùng và các thông tin lý lịch khác để quyết định kết quả của buổi phỏng vấn. Việc phổ biến trên phải được chuyển thành tài liệu và được đưa ra cho đối tượng phỏng vấn dưới dạng văn bản độc lập - văn bản này không phụ thuộc vào đơn tuyển dụng-. Kết luận, tất cả công ty phải tuân theo Fair Credit Reporting Act FCRA (luật báo cáo tín dụng công bằng) và điều kiện của US Equal Employment Opportunity Commission EEOC (Ủy ban cơ hội việc làm bình đẳng), và các luật khác từ các bang.
Trong quá trình kiểm tra lý lịch, công ty phải nhắm đến độ chính xác tối đa. “Điều này có nghĩa kiểm tra hết tất cả tài liệu công khai, như lý lịch tư pháp, xác nhận công việc của cá nhân với nhà tuyển dụng của công ty cũ, xác thực bằng đại học”-Davia Garcia giải thích, CEO của công ty kiểm tra lý lích nhân sự tuyển dụng ScoutLogic. Trong khi đó, nhiều tổ chức kiểm tra phương tiện truyền thông xã hội để tìm hiểu thêm về thành viên hiện tại trong đội hoặc trong tương lai. “Một chính sách thống nhất để chỉ dẫn cho quá trình này rất quan trong, để những việc điều tra được kiểm soát và thực hiện hiệu quả”-Schonfeld nói.
Công nghệ kiểm tra dữ liệu sinh trắc học, như dấu vân tay, võng mạc, scan bàn tay, khuôn diện mặt và nhận dạng giọng nói có thể được áp dụng nếu đối tượng đồng ý. Những phương pháp bảo mật nghiêm ngặt này có thể kết hợp với password hay các phương thức xác thực khác để hạn chế quyền truy cập đến một cấp độ nào đó trong hệ thống và dữ liệu của công ty.
6 bước để hoàn thành việc kiểm tra lý lịch
Joseph Ferdinando, người sáng lập BuildingSecurity, một công ty bảo mật chuyên về bảo vệ nhân viên, hệ thống và thiết bị. Ông đã phát hiện ra 6 bước kiểm tra lý lịch hiệu quả
1/Xác minh thông tin ứng viên: Kiểm tra thông tin ứng viên đưa vào đơn xin việc thông qua các tài liệu chứng minh khác từ ứng viên
2/Xác thực danh tính: Kiểm tra danh tính có được trình bày chính xác hay không, dẫn chứng có thể thông qua giấy khai sinh, bằng lái xe, hộ chiếu, và các tài liệu khác
3/Kiểm tra lý lịch tư pháp: Kiểm tra xem nếu ứng viên có làm điều gì sai trái trong quá khứ
4/Xác thực địa chỉ: Người khai báo địa chỉ giả có thể đang cố che giấu điều gì đó. Cần kiểm tra rõ và xác nhận rằng địa chỉ được khai là nhà mà ứng viên đang cư ngụ, không phải của bạn hay người thân
5/Xác minh kết quả học tập: Kiểm tra độ chính xác của bằng cấp và điểm số
6/Kiểm tra cơ sở dữ liệu: Quét dữ liệu trong một quốc gia hay dữ liệu toàn cầu có thể truy ra các hoạt động lừa đảo, tội phạm của cá nhân. Việc này cũng có thể tìm ra nếu cá nhân có liên quan đến tổ chức tội phạm nào đó.
Onusko tin rằng chỉ có thể trông cây vào CISOs (Giám đốc an ninh thông tin) để đảm bảo rằng đội của họ đáng tin cậy và trung thành với công ty. “Trong thời đại kỹ thuật số, sử dụng công nghệ và giải pháp mới nhất để đảm bảo việc xác thực danh tính, phát hiện thông tin giả và nhận diện hành vi đáng ngờ là yếu tố quan trọng”-Ông nói.