“You can’t manage what you don’t measure.” — Câu nói kinh điển trong quản trị cũng đúng hoàn toàn với an ninh mạng. Một chương trình đào tạo nhận thức ATTT chỉ có giá trị khi doanh nghiệp trả lời được ba câu hỏi: Nhân viên thực sự nhận biết được mối đe dọa ở mức nào? Mức độ rủi ro đang giảm hay tăng qua từng đợt đào tạo? Và bằng chứng nào để chứng minh điều đó với cơ quan chức năng?
EC-Council AWARE giải quyết trọn vẹn cả ba câu hỏi thông qua hai tính năng cốt lõi: CheckAPhish — công cụ đo lường rủi ro hành vi người dùng, và Advanced Reporting — hệ thống báo cáo tự động biến dữ liệu thô thành insight cho lãnh đạo và hồ sơ tuân thủ pháp luật.
Tại sao đo lường là mắt xích quyết định?
Nhiều doanh nghiệp triển khai đào tạo ATTT theo kiểu “tổ chức một buổi training rồi xong” — không biết nhân viên có nhớ gì không, không biết hành vi có thay đổi không, và khi cơ quan chức năng hỏi thì chỉ có một bản danh sách điểm danh. Cách làm này vừa không hiệu quả về mặt bảo mật, vừa không đáp ứng yêu cầu ngày càng khắt khe của pháp luật.
Luật An ninh Mạng 2025 (hiệu lực 01/07/2026) yêu cầu doanh nghiệp không chỉ tổ chức đào tạo mà phải chứng minh được hiệu quả — nhân sự đã được nâng cao nhận thức, năng lực tự chủ an ninh mạng đã được cải thiện, và hệ thống quản trị nội bộ về ATTT hoạt động thực chất. Một tờ giấy điểm danh không thể đáp ứng yêu cầu này.
AWARE biến “đào tạo” từ sự kiện một lần thành quy trình liên tục, đo lường được và cải tiến không ngừng — chính xác những gì luật pháp và thực tiễn bảo mật đòi hỏi.
CheckAPhish: Đo lường rủi ro ở cấp độ hành vi
CheckAPhish không chỉ là công cụ báo cáo phishing — nó là hệ thống đo lường rủi ro con người (human risk measurement) tích hợp trong AWARE.
Cách CheckAPhish hoạt động
Khi doanh nghiệp triển khai phishing simulation qua AWARE, CheckAPhish theo dõi và ghi nhận toàn bộ chuỗi hành vi của từng nhân viên: email có được mở không, link có được click không, thông tin đăng nhập có được nhập không, và quan trọng nhất — email đáng ngờ có được báo cáo đúng quy trình không.
Plugin CheckAPhish được cài trực tiếp vào Outlook hoặc Gmail, cho phép nhân viên báo cáo email nghi ngờ phishing chỉ bằng một click. Mỗi lần nhân viên sử dụng nút Report, hệ thống ghi nhận đây là hành vi an ninh tích cực — chính xác hành vi mà doanh nghiệp muốn xây dựng.
Phiên bản nâng cao CheckAPhish+ còn cho phép quản trị viên quét hàng loạt mailbox, tự động phát hiện và phân loại email phishing thực trong hộp thư nhân viên — không chỉ email simulation mà cả email lừa đảo thật đang lẩn khuất. Kết quả quét trở thành một lớp dữ liệu bổ sung để đánh giá mức độ phơi nhiễm rủi ro thực tế của tổ chức.
Chỉ số rủi ro theo nhóm người dùng
CheckAPhish tổng hợp dữ liệu hành vi thành bản đồ rủi ro theo nhiều chiều: phòng ban nào có tỷ lệ click cao nhất, cấp bậc nào dễ bị tấn công nhất, nhóm nào cải thiện nhanh nhất và nhóm nào “trì trệ” cần can thiệp đặc biệt.
Hãy hình dung kịch bản: sau đợt phishing simulation quý 2, CheckAPhish cho thấy phòng Kinh doanh có tỷ lệ click 22% — cao gấp ba lần mức trung bình công ty (7%). CISO lập tức biết cần ưu tiên đào tạo bổ sung cho nhóm này trước đợt simulation quý 3, thay vì đào tạo lại toàn bộ công ty một cách dàn trải. Đây là ví dụ điển hình của quản lý rủi ro dựa trên dữ liệu — không phải cảm tính.
Advanced Reporting: Từ dữ liệu thô đến insight cho lãnh đạo
AWARE được thiết kế với triết lý “You can’t manage what you don’t measure” — hệ thống báo cáo nâng cao là trung tâm của triết lý đó.
Dashboard thời gian thực
Dashboard trung tâm hiển thị trạng thái chương trình đào tạo theo thời gian thực: bao nhiêu nhân viên đã hoàn thành khóa học, bao nhiêu đang quá hạn, tiến độ phishing simulation hiện tại, và xu hướng rủi ro theo từng quý. CISO mở dashboard và trong vài giây nắm được bức tranh toàn cảnh — không cần chờ ai tổng hợp báo cáo thủ công.
Các loại báo cáo chính
Báo cáo hoàn thành đào tạo — Ai đã hoàn thành khóa nào, điểm số bao nhiêu, hoàn thành đúng hạn hay quá hạn. Phân theo phòng ban, chi nhánh, cấp bậc. Đây là bằng chứng cơ bản nhất cho thấy doanh nghiệp đã thực hiện nghĩa vụ đào tạo ATTT.
Báo cáo kết quả phishing simulation — Tỷ lệ email được mở, tỷ lệ click link, tỷ lệ nhập thông tin đăng nhập, tỷ lệ báo cáo email đáng ngờ. So sánh giữa các đợt simulation cho thấy xu hướng cải thiện — chỉ số quan trọng nhất để chứng minh chương trình đang phát huy hiệu quả.
Báo cáo rủi ro theo nhóm người dùng — Tổng hợp từ CheckAPhish, phân loại rủi ro theo phòng ban, vị trí công tác, khu vực địa lý. Giúp CISO xác định “điểm nóng” cần ưu tiên và phân bổ nguồn lực đào tạo hợp lý.
Báo cáo tuân thủ — Tổng hợp tất cả dữ liệu trên thành một báo cáo duy nhất phục vụ kiểm toán: chương trình đào tạo đã triển khai, số người tham gia, kết quả đánh giá, hành động khắc phục cho nhóm rủi ro cao — sẵn sàng xuất trình khi cơ quan chức năng yêu cầu.
Báo cáo tự động theo lịch
AWARE cho phép lên lịch gửi báo cáo tự động — hàng tuần, hàng tháng hoặc hàng quý — đến CISO, trưởng phòng CNTT, Giám đốc Nhân sự hoặc bất kỳ ai cần nắm thông tin. Báo cáo được gửi đúng hẹn mà không cần admin can thiệp, đảm bảo ban lãnh đạo luôn có dữ liệu cập nhật để ra quyết định.
Tùy chỉnh báo cáo theo nhu cầu
Ngoài các template báo cáo sẵn có, doanh nghiệp có thể tạo báo cáo tùy chỉnh — chọn chỉ số cần theo dõi, khoảng thời gian so sánh, nhóm đối tượng phân tích. Điều này đặc biệt hữu ích khi doanh nghiệp cần báo cáo theo định dạng riêng cho hội đồng quản trị, đối tác, hoặc cơ quan quản lý ngành.
Chứng minh tuân thủ Luật An ninh Mạng 2025
Luật An ninh Mạng 2025 tăng cường yêu cầu doanh nghiệp trong ba lĩnh vực mà AWARE đo lường trực tiếp:
Đào tạo, tập huấn nhân sự: Luật yêu cầu tổ chức giáo dục, bồi dưỡng, tập huấn kiến thức an ninh mạng. Báo cáo hoàn thành đào tạo từ AWARE chứng minh doanh nghiệp đã thực hiện — không chỉ “có tổ chức” mà có dữ liệu chi tiết từng người, từng khóa, từng điểm số.
Nâng cao năng lực tự chủ (Điều 37): Xu hướng giảm dần tỷ lệ click phishing qua các đợt simulation là bằng chứng mạnh nhất rằng năng lực nhận biết mối đe dọa của nhân sự đang được nâng cao — đúng tinh thần “năng lực tự chủ” mà Luật hướng đến.
Phương án ứng phó sự cố: Tỷ lệ báo cáo email đáng ngờ (phishing report rate) từ CheckAPhish cho thấy nhân viên không chỉ nhận biết mà còn hành động đúng — báo cáo thay vì bỏ qua. Đây là chỉ số phản ánh trực tiếp năng lực ứng phó ở tuyến đầu.
Khi cơ quan chức năng đến kiểm tra hoặc khi doanh nghiệp chuẩn bị cho đánh giá ISO 27001, chỉ cần xuất báo cáo từ AWARE — toàn bộ câu chuyện tuân thủ được kể bằng dữ liệu: “Chúng tôi đã đào tạo bao nhiêu người, kiểm tra thực tế ra sao, kết quả cải thiện thế nào, và đang tiếp tục làm gì.”
Từ dữ liệu đến hành động: Vòng lặp cải tiến liên tục
Giá trị thực sự của CheckAPhish và Advanced Reporting không nằm ở bản thân các con số — mà ở khả năng chuyển đổi dữ liệu thành hành động cải thiện cụ thể:
Đợt simulation Q1 cho thấy phòng Kế toán có tỷ lệ click 25% → AWARE tự động đăng ký nhân viên phòng này vào khóa đào tạo bổ sung về nhận biết BEC (Business Email Compromise) → Đợt simulation Q2 cho thấy tỷ lệ click phòng Kế toán giảm xuống 9% → Báo cáo ghi nhận cải thiện 64% → CISO trình bày kết quả cho ban lãnh đạo với dữ liệu cụ thể → Ban lãnh đạo phê duyệt tiếp tục chương trình cho năm tiếp theo.
Đây chính là chu trình PDCA (Plan-Do-Check-Act) mà cả ISO 27001 và tinh thần cải tiến liên tục của Luật An ninh Mạng 2025 đều hướng tới — và AWARE tự động hóa toàn bộ chu trình này.
Lời khuyên triển khai báo cáo hiệu quả
Xác định KPI từ đầu: Trước khi chạy simulation đầu tiên, thống nhất với ban lãnh đạo về các chỉ số sẽ theo dõi: tỷ lệ click mục tiêu dưới 5% sau 12 tháng, tỷ lệ hoàn thành đào tạo trên 95%, tỷ lệ báo cáo phishing trên 60%.
Chạy baseline trước khi đào tạo: Đợt simulation đầu tiên nên chạy trước khi có bất kỳ đào tạo nào — để có điểm so sánh. Không có baseline thì không có cách nào chứng minh “cải thiện”.
Báo cáo cho đúng đối tượng: CISO cần dữ liệu chi tiết kỹ thuật, ban lãnh đạo cần tóm tắt với xu hướng rõ ràng, cơ quan kiểm tra cần hồ sơ tuân thủ có cấu trúc. AWARE cho phép tạo báo cáo khác nhau cho từng đối tượng.
Không “đánh bóng” số liệu: Nếu tỷ lệ click vẫn cao sau vài đợt, đó là dữ liệu quý — cho thấy cần thay đổi cách tiếp cận đào tạo, không phải che giấu kết quả. Sự trung thực trong báo cáo xây dựng niềm tin với ban lãnh đạo lâu dài.
Kết luận
Trong bối cảnh Luật An ninh Mạng 2025 sắp có hiệu lực và tấn công lừa đảo trực tuyến tiếp tục gây thiệt hại hàng nghìn tỷ đồng mỗi năm tại Việt Nam, doanh nghiệp cần một giải pháp vừa đào tạo hiệu quả, vừa đo lường chính xác, vừa tạo hồ sơ tuân thủ sẵn sàng. CheckAPhish và Advanced Reporting trong EC-Council AWARE cung cấp chính xác điều đó — biến chương trình nhận thức ATTT từ hoạt động hình thức thành quy trình quản lý rủi ro dựa trên dữ liệu.
Bởi vì khi cơ quan chức năng hỏi “Doanh nghiệp đã làm gì để nâng cao nhận thức an ninh mạng?”, câu trả lời tốt nhất không phải lời nói — mà là dữ liệu.
Đăng ký trải nghiệm EC-Council AWARE ngay tại Security365 qua link https://cyber.security365.vn/aware — đội ngũ Security365 hỗ trợ thiết lập dashboard, cấu hình báo cáo tự động, và đồng hành cùng doanh nghiệp trong việc xây dựng chương trình đào tạo nhận thức ATTT có đo lường, có minh chứng, và đáp ứng đầy đủ yêu cầu pháp lý.
Security365 