Hơn 1/3 các công ty không được chuẩn bị để ứng phó với rủi ro vi phạm dữ liệu

Liệu các doanh nghiệp đã sẵn sàng đối phó với những tội phạm mạng ngày càng tinh vi ngày nay và tác động của vi phạm dữ liệu? Nghiên cứu thông tin doanh nghiệp hàng năm của Experian với chủ đề: “Doanh nghiệp của bạn đã sẵn sàng cho Vi phạm dữ liệu lớn hay chưa?” cho thấy rằng tiến trình đã được thực hiện, nhưng các doanh nghiệp cần phải làm tốt hơn nữa. Được tiến hành bởi Viện Ponemon, các phát hiện cho thấy chỉ có 36% doanh nghiệp sẵn sàng ứng phó với vi phạm dữ liệu và mức độ tự tin để kiểm soát các mối đe dọa ngày càng tăng là thấp.

Nghiên cứu đã xác định các lĩnh vực chính để cần thiện:

• Các cam kết của C-Suite (Ban điều hành cấp cao): 49% người tham gia khảo sát nói rằng giám đốc điều hành của họ không nắm được về kế hoạch xử lý vi phạm dữ liệu. Đa số (81%) cảm thấy rằng sự tham gia và giám sát của các giám đốc điều hành cấp cao sẽ giúp kế hoạch phản ứng của họ hiệu quả hơn.

• Quy trình bảo mật: Rào cản lớn nhất để cải thiện quy trình bảo mật là thiếu khả năng truy cập thông tin nhạy cảm của người dùng cuối (63%) trong khi 60% cho rằng đó là sự phổ biến của dịch vụ đám mây. Vấn đề cải trở việc cải thiện chính là việc không đầu tư vào các công nghệ bảo mật với 1/3 số người được hỏi không lên kế hoạch cho bất kỳ khoản đầu tư nào trong năm tới.

• Đào tạo nhân viên: Hơn 1/4 các tổ chức (27%) không có chương trình đào tạo và nhận thức bảo vệ dữ liệu/quyền riêng tư cho nhân viên có quyền truy cập vào những thông tin nhạy cảm hoặc bí mật. Chưa đến một nửa số công ty (47%) giải quyết các cuộc tấn công lừa đảo bằng những biện pháp phù hợp.

• Kế hoạch phản ứng: 42% các chuyên gia được khảo sát nói rằng công ty của họ không có khoảng thời gian định sẵn để xem xét và cập nhật kế hoạch phản ứng với vi phạm dữ liệu của họ và 23% chưa cập nhật kế hoạch của họ kể từ khi nó được đưa vào. Chưa đến một nửa (46%) có các quy trình ứng phó với vi phạm dữ liệu liên quan đến các địa điểm ở nước ngoài.

Michael Bruemmer, phó chủ tịch Data Breach Resolution at Experian cho biết: "Chúng tôi muốn thấy 100% các công ty được chuẩn bị và đào tạo để xử lý bất kỳ loại vi phạm dữ liệu nào cho dù đó là phần mềm độc hại xâm nhập hoặc phần mềm ransomware. Các tổ chức nên thực hiện một tư thế bảo mật mạnh mẽ để luôn cập nhật các mối đe dọa tấn công mới nhất, tham gia vào các thỏa thuận trước khi vi phạm (pre-breach agreements) với các đối tác an ninh và tổ chức một cuộc tập huấn hàng năm với một đội phản ứng chuyên dụng."

Thiếu sự chuẩn bị dẫn đến mức độ tự tin thấp

Các giám đốc điều hành vẫn cảm thấy bị thách thức và lo ngại về việc chuẩn bị đầy đủ cho việc vi phạm dữ liệu. Chỉ 52% đánh giá kế hoạch của họ là rất hiệu quả, chỉ tăng nhẹ so với năm 2017 (49%). Khi nói đến việc phản hồi vi phạm dữ liệu liên quan đến thông tin bí mật kinh doanh và sở hữu trí tuệ, chỉ có 36% cảm thấy sẵn sàng ứng phó. Hơn một nửa (59%) không tự tin rằng họ có thể xử lý ransomware.

Do đó, các doanh nghiệp tiếp tục đấu tranh với việc ngăn chặn sự cố an ninh. Nghiên cứu cho thấy 35% doanh nghiệp có 2 đến 3 vi phạm dữ liệu trong 2 năm qua và khoảng 1 trong số 10 công ty (11%) đã trải qua hơn 5 sự cố vi phạm dữ liệu trong khoảng thời gian này. Trong số những người được hỏi có vi phạm dữ liệu, 43% vi phạm có bản chất toàn cầu. Báo cáo công nhận thêm rằng các doanh nghiệp đang vật lộn để tuân thủ Quy định bảo vệ dữ liệu chung (GDPR) - chỉ có 36% doanh nghiệp tuân theo quy tắc.

Sau khi vi phạm dữ liệu xảy ra, các công ty thậm chí còn cảm thấy không tin tưởng vào việc quản lý hậu quả:

• Chưa đến 1/4 (21%) cảm thấy tự tin vào khả năng của mình để giảm thiểu hậu quả tài chính và uy tín.
• Chỉ 4 trên 10 người được hỏi cho biết rằng họ thực hiện một cách hiệu quả những gì cần phải làm để ngăn chặn việc mất khách hàng và giữ niềm tin và sự tự tin của đối tác kinh doanh sau khi vi phạm.
• 53% công ty không có chính sách bảo hiểm mạng có thể giúp bù đắp chi phí và bồi thường thiệt hại.