Các doanh nghiệp nhỏ gây ra rủi ro như thế nào cho chuỗi cung ứng về an ninh mạng?

Anh Học| 28/06/2019 15:42
Theo dõi ICTVietnam trên

50% doanh nghiệp lớn xem các đối tác bên thứ ba ở bất kỳ quy mô nào là rủi ro an ninh mạng, nhưng chỉ có 14% trong số đó từng bị xâm phạm bảo mật vì đối tác là doanh nghiệp quy mô nhỏ, trong khi 17% đã từng bị xâm phạm vì làm việc với đối tác lớn hơn, theo nghiên cứu của Hiệp hội chứng nhận bảo mật hệ thống thông tin quốc tế (gọi tắt là ISC2)

Kết quả hình ảnh cho How much risk small businesses really pose to supply chain cybersecurity?

Nghiên cứu đã khảo sát hơn 700 người ở cả doanh nghiệp nhỏ và lớn để tìm hiểu họ nhận thức như thế nào về rủi ro trong chia sẻ dữ liệu.

Những phát hiện này mâu thuẫn với nhận thức phổ biến rằng các doanh nghiệp nhỏ đóng vai trò là ống dẫn dễ dàng nhất cho các cuộc tấn công mạng vào các doanh nghiệp lớn.

Thực tế là các doanh nghiệp lớn gần như hoàn toàn tin tưởng (94% số người tham gia khảo sát chỉ ra rằng họ tin tưởng và rất tin tưởng) vào các hoạt động an ninh mạng của đối tác kinh doanh nhỏ và 95% có quy trình chuẩn để kiểm tra khả năng an ninh mạng của các nhà cung cấp.

 “Nghiên cứu này nhấn mạnh thực tế rằng việc xây dựng một nền văn hóa an ninh mạng mạnh mẽ và học hỏi từ các bài học thực tiễn có thể giúp các tổ chức ở mọi quy mô phát huy tối đa hiệu quả bảo mật của mình”, ông Wesley Simpson, Giám đốc Điều hành của ISC2 phát biểu.

“Đó là một lời nhắc nhở nhẹ nhàng rằng trong bất kỳ mối quan hệ đối tác nào, trách nhiệm bảo vệ các hệ thống và dữ liệu cần phải là nỗ lực hợp tác và các biện pháp an toàn phải được triển khai để duy trì một môi trường cẩn thận và an toàn. Việc đổ lỗi thể hiện sự yếu kém đối với các cuộc tấn công mạng”.

Kiểm soát quản lý truy cập lỏng lẻo

Gần 2/3 (64%) số doanh nghiệp lớn thuê ngoài để làm ít nhất 1/4 (26%) công việc kinh doanh hàng ngày, điều này đòi hỏi họ phải để bên thứ ba truy cập vào dữ liệu của họ. Các chức năng thuê ngoài này có thể bao gồm mọi thứ từ nghiên cứu và phát triển, đến các dịch vụ CNTT và tài khoản phải trả.

Việc truy cập và chia sẻ dữ liệu này là cần thiết vì một doanh nghiệp lớn cần mở rộng quy mô hoạt động của mình, nhưng nghiên cứu của ISC2 chỉ ra rằng quản lý truy cập và giảm thiểu lỗ hổng thường bị bỏ qua.

  • 34% doanh nghiệp lớn cho biết họ rất ngạc nhiên bởi nhà cung cấp bên thứ ba được cấp quyền truy cập rất rộng vào mạng và dữ liệu của họ.
  • 39% doanh nghiệp nhỏ bày tỏ sự ngạc nhiên tương tự về quyền truy cập mà họ được cấp khi cung cấp dịch vụ cho các đối tác doanh nghiệp lớn.
  • Tệ hơn nữa, 35% doanh nghiệp lớn cũng thừa nhận rằng khi được bên thứ ba cảnh báo về các chính sách truy cập dữ liệu không an toàn, các doanh nghiệp lớn vẫn không làm gì để thay đổi thực tiễn.
  • Hơn một nửa (55%) số người được hỏi cho biết họ vẫn có quyền truy cập vào mạng hoặc dữ liệu của khách hàng sau khi hoàn thành dự án hoặc hợp đồng.
  • 54% doanh nghiệp nhỏ đã bị bất ngờ bởi hoạt động an ninh không phù hợp của các khách hàng là doanh nghiệp lớn. 53% trong số họ đã thông báo về các lỗ hổng bảo mật mà họ đã phát hiện trong các mạng doanh nghiệp lớn mà họ có quyền truy cập.

Đầu tư vào đội an ninh mạng

Báo cáo cũng cho thấy rằng trong khi các doanh nghiệp nhỏ có ít nhân viên hơn, tỷ lệ nhân viên an ninh mạng của họ không thấp hơn so với các doanh nghiệp lớn. Nghiên cứu cho thấy gần một nửa (42%) doanh nghiệp nhỏ, với 250 công nhân trở xuống, sử dụng ít nhất năm nhân viên an ninh mạng chuyên nghiệp.

Để so sánh, 75% doanh nghiệp lớn, với hơn 1.000 nhân viên, có ít nhất 10 nhân viên tập trung vào an ninh mạng. Trong khi nhiều doanh nghiệp lớn có thể có nhiều nhân viên an ninh mạng theo số lượng, một số doanh nghiệp nhỏ có tỷ lệ chuyên gia bảo mật cao hơn làm việc để thực hiện các bài học thực tiễn tốt nhất và bảo vệ dữ liệu và mạng.

Các thực tiễn tốt tương tự bất kể kích thước

Nghiên cứu Bảo mật Hệ sinh thái đối tác cho thấy, trong khi họ có thể có các bộ công cụ khác nhau, các doanh nghiệp nhỏ và doanh nghiệp lớn có cách bảo vệ dữ liệu tương tự bằng cách tập trung vào nhiều thực tiễn tốt nhất về an ninh mạng. Cả hai nhóm người được hỏi đều chỉ ra rằng họ sử dụng ba hoạt động thực tiễn tốt nhất để bảo vệ mạng và dữ liệu của họ, bao gồm:

  • Quét tự động thường xuyên với các chương trình chống vi-rút và chống phần mềm độc hại
  • Chặn truy cập vào các địa chỉ IP độc hại đã biết thông qua bức tường lửa
  • Bộ lọc email mạnh mẽ để ngăn chặn lừa đảo

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Các doanh nghiệp nhỏ gây ra rủi ro như thế nào cho chuỗi cung ứng về an ninh mạng?
POWERED BY ONECMS - A PRODUCT OF NEKO