50% doanh nghiệp lớn xem các đối tác bên thứ ba ở bất kỳ quy mô nào là rủi ro an ninh mạng, nhưng chỉ có 14% trong số đó từng bị xâm phạm bảo mật vì đối tác là doanh nghiệp quy mô nhỏ, trong khi 17% đã từng bị xâm phạm vì làm việc với đối tác lớn hơn, theo nghiên cứu của Hiệp hội chứng nhận bảo mật hệ thống thông tin quốc tế (gọi tắt là ISC2)
Nghiên cứu đã khảo sát hơn 700 người ở cả doanh nghiệp nhỏ và lớn để tìm hiểu họ nhận thức như thế nào về rủi ro trong chia sẻ dữ liệu.
Những phát hiện này mâu thuẫn với nhận thức phổ biến rằng các doanh nghiệp nhỏ đóng vai trò là ống dẫn dễ dàng nhất cho các cuộc tấn công mạng vào các doanh nghiệp lớn.
Thực tế là các doanh nghiệp lớn gần như hoàn toàn tin tưởng (94% số người tham gia khảo sát chỉ ra rằng họ tin tưởng và rất tin tưởng) vào các hoạt động an ninh mạng của đối tác kinh doanh nhỏ và 95% có quy trình chuẩn để kiểm tra khả năng an ninh mạng của các nhà cung cấp.
“Nghiên cứu này nhấn mạnh thực tế rằng việc xây dựng một nền văn hóa an ninh mạng mạnh mẽ và học hỏi từ các bài học thực tiễn có thể giúp các tổ chức ở mọi quy mô phát huy tối đa hiệu quả bảo mật của mình”, ông Wesley Simpson, Giám đốc Điều hành của ISC2 phát biểu.
“Đó là một lời nhắc nhở nhẹ nhàng rằng trong bất kỳ mối quan hệ đối tác nào, trách nhiệm bảo vệ các hệ thống và dữ liệu cần phải là nỗ lực hợp tác và các biện pháp an toàn phải được triển khai để duy trì một môi trường cẩn thận và an toàn. Việc đổ lỗi thể hiện sự yếu kém đối với các cuộc tấn công mạng”.
Kiểm soát quản lý truy cập lỏng lẻo
Gần 2/3 (64%) số doanh nghiệp lớn thuê ngoài để làm ít nhất 1/4 (26%) công việc kinh doanh hàng ngày, điều này đòi hỏi họ phải để bên thứ ba truy cập vào dữ liệu của họ. Các chức năng thuê ngoài này có thể bao gồm mọi thứ từ nghiên cứu và phát triển, đến các dịch vụ CNTT và tài khoản phải trả.
Việc truy cập và chia sẻ dữ liệu này là cần thiết vì một doanh nghiệp lớn cần mở rộng quy mô hoạt động của mình, nhưng nghiên cứu của ISC2 chỉ ra rằng quản lý truy cập và giảm thiểu lỗ hổng thường bị bỏ qua.
Đầu tư vào đội an ninh mạng
Báo cáo cũng cho thấy rằng trong khi các doanh nghiệp nhỏ có ít nhân viên hơn, tỷ lệ nhân viên an ninh mạng của họ không thấp hơn so với các doanh nghiệp lớn. Nghiên cứu cho thấy gần một nửa (42%) doanh nghiệp nhỏ, với 250 công nhân trở xuống, sử dụng ít nhất năm nhân viên an ninh mạng chuyên nghiệp.
Để so sánh, 75% doanh nghiệp lớn, với hơn 1.000 nhân viên, có ít nhất 10 nhân viên tập trung vào an ninh mạng. Trong khi nhiều doanh nghiệp lớn có thể có nhiều nhân viên an ninh mạng theo số lượng, một số doanh nghiệp nhỏ có tỷ lệ chuyên gia bảo mật cao hơn làm việc để thực hiện các bài học thực tiễn tốt nhất và bảo vệ dữ liệu và mạng.
Các thực tiễn tốt tương tự bất kể kích thước
Nghiên cứu Bảo mật Hệ sinh thái đối tác cho thấy, trong khi họ có thể có các bộ công cụ khác nhau, các doanh nghiệp nhỏ và doanh nghiệp lớn có cách bảo vệ dữ liệu tương tự bằng cách tập trung vào nhiều thực tiễn tốt nhất về an ninh mạng. Cả hai nhóm người được hỏi đều chỉ ra rằng họ sử dụng ba hoạt động thực tiễn tốt nhất để bảo vệ mạng và dữ liệu của họ, bao gồm: