Ban Giám đốc cần gì trong báo cáo về An toàn thông tin của công ty?

Quá nhiều thông tin về các vụ tấn công của tin tặc trong vòng 5 năm qua khiến cho lãnh đạo các công ty luôn lo ngại về thực tế bảo đảm an toàn thông tin (ATTT) tại công ty của mình. Điều họ muốn biết là: liệu khả năng tồi tệ nhất nào về mất ATTT có thể xảy ra và làm thế nào để ngăn chặn điều đó?

Bởi vậy, các CIO, CISO phải thường xuyên có báo cáo trong các cuộc họp Ban Giám đốc. Chuyên gia Irfan Saif của Deloitte cho rằng, “các câu trả lời rõ ràng của bạn (CIO, CISO) về tình hình ATTT chung trên thị trường và nguy cơ riêng về ATTT mà công ty đang gặp phải cùng các chiến lược phòng chống của công ty sẽ khiến Ban Giám đốc yên tâm và công việc của bạn được xuôn xẻ đúng kế hoạch. Ngược lại, nếu quá tập trung vào công việc chi tiết hàng ngày thì Ban Giám đốc sẽ bị loãng thông tin và không yên tâm với công việc của bạn”

Sau đây là 3 nội dung chính bạn cần báo cáo cho Ban Giám đốc:

1. Tập trung vào 3-4 nguy cơ chính gây mất ATTT trong công ty

Những nguy cơ này có thể gồm: lấy trộm tài sản trí tuệ, rò rỉ dữ liệu nhạy cảm về khách hàng, thông tin tài chính hoặc giả mạo đối tác … Các chỉ số cần nhấn mạnh hàng tháng có thể là: số lượng các lần cố gắng truy cập tấn công vào mạng công ty, doanh thu sụt giảm có liên quan đến việc rò rỉ dữ liệu về khách hàng.

2. Chỉ ra xu hướng tăng, giảm của các nguy cơ chính gây mất ATTT trong công ty

Sau khi nêu xu hướng tăng, giảm, bạn có thể giải thích nguyên nhân gây ra xu hướng đó. Ví dụ, nếu phát hiện số vụ tấn công tăng lên trong những tuần hoặc tháng công ty giới thiệu sản phẩm mới, bạn phải chỉ ra mối liên hệ giữa các sự kiện này. Ban Giám đốc cần biết các xu hướng tấn công mạng có liên hệ mật thiết với tình hình sản xuất, kinh doanh của công ty và bản chất có tính chu kỳ của các hoạt động tấn công mạng.

3. Giải thích cách công ty đang quản lý các nguy cơ mất ATTT trong giới hạn chấp nhận được

Ví dụ, nếu nguy cơ chính là các truy cập phân tán, bất hợp pháp vào các thông tin nhạy cảm của công ty thì bạn cần giải thích về các công nghệ, quy trình đang áp dụng để: giám sát thông tin gửi đi cả trong và ngoài công ty; phát hiện các giao tiếp mạng khả nghi để hạn chế tốc độ truyền dẫn thông tin đến khi xác minh việc giao tiếp mạng này là hợp lệ, an toàn. Nếu nguy cơ chính là các truy cập từ các nhà cung cấp (bên thứ ba) thì bạn cần giải thích các quy trình đánh giá ATTT nghiêm ngặt của công ty quản lý truy cập của bên thứ ba.

Việc báo cáo về ATTT với Ban Giám đốc là công việc khó khăn. Thực tế, một đợt họp điển hình của Ban Giám đốc kéo dài trong 2 ngày chỉ dành cho bạn tối đa 15 phút báo cáo ATTT, kể cả thời gian cho hỏi đáp. Vì vậy, trước khi báo cáo, bạn nên gửi trước nội dung cô đọng nhất bản cáo cáo của mình cho Ban Giám đốc. Cuối cùng, bạn cần thể hiện quan điểm khách quan về những gì công ty đang làm tốt cũng như các nguy cơ chính gây mất ATTT đang diễn ra. Cuộc họp Ban Giám đốc là cơ hội cho CIO, CISO trình bày thông tin thẳng thắn liên quan đến các điều kiện bảo đảm ATTT như nhân sự, tài chính phục vụ cho việc ra quyết định của Ban Giám đốc.

(Nguồn: Deloitte)