An ninh mạng gần đây đã trở thành tâm điểm chú ý của toàn cầu nói chung và Việt Nam nói riêng. Nó không chỉ được dùng để mô tả những rủi ro mà doanh nghiệp phải đối mặt mà còn phản ánh những phương pháp mà doanh nghiệp triển khai để đảm bảo an toàn thông tin trên không gian mạng.
Mặc dù bảo mật CNTT và bảo mật thông tin đã được mọi người biết đến trong hơn hai thập kỷ, nhưng điểm mới là rủi ro này hiện được coi là rủi ro kinh doanh chính đối với doanh nghiệp, thay vì chỉ là lỗi kỹ thuật như trước.
Trước tác động lớn và thực chất của rủi ro liên quan đến an ninh mạng, Hội đồng quản trị và Ban lãnh đạo cấp cao của nhiều công ty đã liệt nó là một vấn đề quan trọng cần được giải quyết khẩn cấp.
Cuộc khảo sát thường niên do Viện Nghiên cứu Quản lý rủi ro doanh nghiệp Đại học Bang North Carolina (Mỹ) và Công ty Tư vấn Protiviti đồng thực hiện chứng tỏ các mối đe dọa mạng và bảo mật/ quyền riêng tư thông tin là hai rủi ro hàng đầu đối với các nhà điều hành doanh nghiệp.
Báo cáo khảo sát nhu cầu và năng lực kiểm toán nội bộ năm 2016 của Protiviti Consulting cũng cho thấy 73% bộ phận kiểm toán nội bộ của công ty kết hợp đánh giá rủi ro an ninh mạng vào kế hoạch kiểm toán hàng năm của họ, nhưng chỉ 18% trong số họ tin rằng Ban giám đốc có tham gia thảo luận về rủi ro liên quan đến Internet.
 |
| Ảnh minh họa |
Theo quan điểm này, mặc dù nhận thức rủi ro tổng thể của doanh nghiệp đã được cải thiện nhưng vẫn cần nỗ lực hơn nữa để Ban lãnh đạo cấp cao hiểu và tham gia sâu hơn vào công tác an ninh mạng. Thách thức quan trọng hơn là làm thế nào để quản lý cấp cao có thể đảm bảo rằng an ninh mạng được bảo vệ hoàn toàn? Các công ty có thể thực hiện đánh giá ra sao để hiểu tình trạng an ninh mạng của họ?
“Chúng tôi có thể thực hiện những đánh giá nào để đánh giá công bằng và đầy đủ các hoạt động an ninh mạng hiện tại của mình?” - đây là vấn đề an ninh mạng trị giá hàng triệuUSD được hầu hết các giám đốc điều hành và giám đốc CNTT/ giám đốc thông tin chia sẻ.
Chúng ta có thể chia đánh giá an ninh mạng thành ba loại, mỗi loại đều có trọng tâm riêng để phát hiện ra những sơ hở trong thực tiễn và khó khăn khi triển khai tương ứng.
An ninh mạng là một rủi ro CNTT hay một rủi ro kinh doanh? Hay là cả hai?
An ninh mạng thường được coi là một rủi ro CNTT và đây là vấn đề mà các bộ phận CNTT có thể giải quyết một mình. Nếu không hiểu mối liên hệ giữa an ninh mạng với rủi ro CNTT và rủi ro kinh doanh, các công ty có thể tập trung vào những mối đe dọa an ninh mạng sai.
Trong các bối cảnh kinh doanh khác nhau, mọi mối đe dọa an ninh mạng có thể có hoặc không gây ra những vấn đề lớn về tài chính, danh tiếng và pháp luật.
Do đó, nếu chỉ coi các mối đe dọa mạng là rủi ro CNTT và chỉ dựa vào đánh giá từ dưới lên, thì các công ty có thể nhận được xếp hạng ưu tiên sai cho các rủi ro an ninh mạng. Điều này sẽ ngăn bộ phận kỹ thuật tập trung vào những rủi ro quan trọng nhất đối với công ty, hoặc không kịp thời xử lý vấn đề dẫn đến hậu quả nghiệm trọng.
Các công ty có thể kết hợp đánh giá rủi ro kinh doanh từ trên xuống với cách tiếp cận từ dưới lên để hỗ trợ thiết lập hệ thống an ninh mạng mạnh mẽ hơn. Mức độ ưu tiên của các rủi ro an ninh mạng cần được điều chỉnh theo nhu cầu kinh doanh, mức độ ưu tiên và mối quan tâm của doanh nghiệp, thay vì đánh giá kỹ thuật thuần túy.
Đánh giá từ trên xuống có thể truyền đạt các ưu tiên của sự chú ý cấp cao, trong khi cách tiếp cận từ dưới lên có thể thông báo cho cấp trên về khả năng xảy ra sai sót trong kiểm soát. Đây là lựa chọn quan trọng để đảm bảo an toàn thông tin cho doanh nghiệp Việt trên không gian mạng.
Bích Hạnh
.svg){kind=icon}
