Vì sao có ít hành động bảo vệ tài sản thông tin trọng yếu?
Các nhà quản lý và lãnh đạo hiểu rằng, nền kinh tế toàn cầu vẫn chưa đủ khả năng tự bảo vệ trước các cuộc tấn công mạng, mặc dù trong mấy năm gần đây, thế giới đã tiêu tốn hàng chục tỷ USD mỗi năm trong cuộc đấu tranh này. Chỉ riêng nguy cơ gây mất niềm tin trong nền kinh tế số sẽ có thể làm giảm giá trị tiềm năng lên tới 3.000 tỷ USD vào năm 2020. Hầu hết các cơ quan, tổ chức đã và đang áp dụng các mô hình bảo đảm an toàn thông tin (ATTT) tập trung vào yếu tố công nghệ nên khó mở rộng, hạn chế sự đổi mới và không bảo vệ đủ mức cần thiết. Các cơ quan, tổ chức cần phát triển giải pháp ở mức sâu hơn đối với các nguy cơ phải đối mặt, triển khai biện pháp bảo vệ khác nhau cho các tài sản thông tin, nhất là những thông tin trọng yếu, xây dựng sự ATTT ở môi trường rộng hơn môi trường CNTT, sử dụng phân tích dữ liệu để đánh giá các mối đe dọa đang nổi lên, cải thiện tốc độ phản ứng với sự cố ATTT …
Tầm quan trọng của ATTT có thể thấy rất rõ khi chúng ta theo dõi thông tin về sự gia tăng xuất hiện sự cố mất ATTT trên báo chí hàng ngày. Vậy tại sao vẫn nhiều sự cố xảy ra? Câu trả lời rất đơn giản: Hiểu vấn đề khác rất nhiều với việc thực hiện các biện pháp hiệu quả để bảo đảm ATTT. Hàng loạt vấn đề thuộc về sự quan liêu, hành chính trong tổ chức làm phức tạp hóa việc triển khai các mô hình vận hành đảm bảo ATTT theo hướng bám sát nghiệp vụ của tổ chức và định hướng quản lý theo nguy cơ. Chỉ có sự ủng hộ liên tục của các cấp quản lý mới có thể đảm bảo cho việc triển khai xuôn xẻ và đạt mục đích cuối cùng làm giảm thiểu nguy cơ mất ATTT.
4 nguyên nhân trong tổ chức ngăn cản việc đảm bảo ATTT
Có một số yếu tố khiến cho khả năng bảo đảm ATTT khó thực hiện trong các tổ chức quy mô lớn.
Thứ nhất, để duy trì sức mạnh cạnh tranh, các nhà lãnh đạo phải chấp nhận nguy cơ nhất định về mất ATTT. Điều đó nghĩa là, công ty buộc phải thực hiện quy trình thỏa hiệp phức tạp giữa chấp nhận nguy cơ mất ATTT với những đòi hỏi cao về chất lượng, tốc độ, giá cả … về sản phẩm, dịch vụ từ khách hàng.
Thứ hai, phạm vi các vấn đề đảm bảo ATTT quá rộng và điều đó ngăn cản việc chấp nhận các chiến lược giảm thiểu nguy cơ mất ATTT. ATTT “động” đến mọi quy trình và chức năng nghiệp vụ, không chỉ trong vận hành mà còn ở khâu chăm sóc khách hàng, marketing, phát triển sản phẩm, quản lý nhân sự, quan hệ công chúng.
Thứ ba, khó định lượng các nguy cơ mất ATTT. Không có một bảng thông số cụ thể đánh giá nguy cơ mất ATTT nên khó thuyết phục các nhà quản lý, lãnh đạo về tính khẩn cấp, cần thiết trong việc ra quyết định đầu tư bảo đảm ATTT.
Cuối cùng là rất khó thay đổi hành vi của người sử dụng. Đối với nhiều cơ quan, tổ chức, điểm yếu lớn nhất không phải thuộc về công ty mà là từ khách hàng. Làm thế nào để ngăn được người dùng “click” nhầm vào liên kết nguy hiểm khiến cho máy tính của họ bị nhiễm mã độc? Làm thế nào để khiến người dùng chấm dứt việc trao đổi những thông tin cực kỳ nhạy cảm trên các kênh dịch vụ khách hàng không đủ an toàn? …
Lãnh đạo phải ở tuyến đầu
Bảo đảm ATTT là vấn đề của cấp lãnh đạo doanh nghiệp và tổ chức. Tại Diễn đàn kinh tế thế giới (WEF), hãng tư vấn McKinsey đã thực hiện phỏng vấn hơn 200 nhà lãnh đạo đến từ 60 công ty trong nhóm 500 công ty lớn nhất thế giới về vấn đề ATTT. Kết quả cho thấy, thời gian bỏ ra và mối quan tâm của các nhà lãnh đạo về ATTT là yếu tố quan trọng nhất đảm bảo cho sự trưởng thành về năng lực quản lý ATTT của công ty. Mức độ quan tâm của các nhà lãnh đạo khác nhau khá nhiều. Ở một số công ty, cứ vài tuần, giám đốc ATTT (CISO) lại gặp gỡ, trao đổi với CEO. Ở các công ty khác, CISO chẳng bao giờ gặp CEO. Trong thực tế, CISO có thể báo cáo cho giám đốc công nghệ (CTO) – người sẽ báo cáo cho giám đốc thông tin (CIO). Tiếp theo, CIO lại báo cáo cho giám đốc tài chính (CFO).
Vậy, các nhà lãnh đạo cao cấp cần làm gì? Sau đây là 4 hành động phổ biến nhất của các nhà lãnh đạo ở các công ty có nhiều tiến bộ nhất trong việc đảm bảo ATTT
1. Tích cực tham gia vào quá trình ra quyết định.
CEO và nhóm lãnh đạo cao cấp phải cung cấp thông tin đầu vào ở mức tổng quan của tổ chức đối với các vấn đề như mất mát sở hữu trí tuệ, tiết lộ thông tin khách hàng và làm gián đoạn hoạt động nghiệp vụ. Tiếp theo, trưởng các bộ phận nghiệp vụ và các nhóm quản lý của mình phải tham gia với các nhà quản lý về ATTT để giúp phân loại ưu tiên các tài sản thông tin và đưa ra sự thỏa hiệp giữa việc giảm nguy cơ mất ATTT với sự ảnh hưởng tới hoạt động nghiệp vụ.
2. Đưa việc xem xét tác động của ATTT vào mọi chức năng hoạt động của tổ chức
Các lãnh đạo ở các công ty hàng đầu bảo đảm rằng, các nhà quản lý nghiệp vụ phải kết hợp các yếu tố ATTT trong các sản phẩm, khách hàng … còn các nhà quản lý phòng ban chức năng chịu trách nhiệm xử lý các vấn đề ATTT trong nguồn nhân lực và các quyết định mua sắm. Ngoài ra, họ bảo đảm rằng việc công bố các ưu tiên về ATTT luôn có trong chương trình quan hệ công chúng của công ty.
3. Thúc đẩy sự thay đổi hành vi của người dùng.Vì các lãnh đạo cao cấp thường xuyên tiếp xúc với dữ liệu nhạy cảm, họ có cơ hội thay đổi và mô hình hóa hành vi của chính mình và truyền cho cấp quản lý bên dưới. Điều này bắt đầu với những bước đơn giản như hãy cân nhắc kỹ hơn trước khi chuyển tiếp tài liệu từ tài khoản email công ty sang email cá nhân. Ngoài ra, lãnh đạo cấp cao nên tăng cường giao tiếp trên mạng và có hỗ trợ cần thiết cho nhân viên tuyến đầu nắm vững kiến thức và kỹ năng giúp họ bảo vệ những tài sản thông tin quan trọng.
4. Đảm bảo có sự quản trị và báo cáo hiệu quả.
Cho dù các chính sách và biện pháp kiểm soát ATTT có hợp lý thế nào đi nữa, vẫn có các nhà quản lý tìm cách “lách” luật. Tất nhiên, quản lý cấp cao cần chắc chắn rằng, các chính sách và biện pháp kiểm soát là phù hợp với các hoạt động nghiệp vụ của các phòng ban. Nếu làm được như vậy, các nhà quản lý cấp cao cần thúc đẩy thực hiện chính sách, báo cáo thường xuyên về mức độ tiến bộ của các chương trình bảo đảm ATTT.
Với sự phổ biến của môi trường số hóa, công nghệ kết nối mở, vấn nạn tin tặc khiến cho ATTT trở thành vấn đề có tính nghiệp vụ và xã hội quan trọng. Nếu không có biện pháp đối phó đúng đắn, nó sẽ làm chậm nhịp độ phát triển của công nghệ và đổi mới hoạt động nghiệp vụ trong những năm tới. Đó là lý do vì sao các công ty phải có tiến bộ nhanh chóng trong bảo đảm ATTT và chỉ có tập trung liên tục, hỗ trợ của cấp lãnh đạo cao nhất mới có thể khắc phục những cản trở từ tổ chức.
(Theo McKinsey.com)