Những rủi ro tiềm ẩn của tự động hóa CNTT

Tự động hóa (TĐH) quy trình kinh doanh tiếp tục là ưu tiên hàng đầu của các doanh nghiệp (DN) và bộ phận công nghệ thông tin (CNTT) của DN khi họ tìm cách cải thiện dịch vụ, cắt giảm chi phí và tăng thêm hiệu quả.

Theo khảo sát "Hiện trạng CIO 2024" của Foundry (một công ty thuộc IDG), các nhà lãnh đạo CNTT (CIO) cho rằng, TĐH quy trình kinh doanh và CNTT là sáng kiến ​​công nghệ số 2 thúc đẩy đầu tư CNTT nhiều nhất tại các tổ chức của họ trong năm nay, chỉ sau quản lý bảo mật. Và TĐH các quy trình CNTT và kinh doanh là cách thức hàng đầu mà các tổ chức CNTT đang định hướng, theo 875 CIO được khảo sát.

Để làm được như vậy, các công ty đang áp dụng các công cụ TĐH như TĐH quy trình bằng robot (RPA) vào các lĩnh vực như quản trị, báo cáo, hỗ trợ khách hàng và trải nghiệm khách hàng, di chuyển dữ liệu, phân tích dữ liệu, v.v...

Theo công ty nghiên cứu Fortune Business Insights, thị trường RPA toàn cầu dự kiến ​​​​sẽ tăng từ 13,86 tỷ USD vào năm 2023 lên 50,5 tỷ USD vào năm 2030, với tốc độ tăng trưởng kép hàng năm là 20% trong giai đoạn này.

Báo cáo vào tháng 10/2023 của Fortune Business Insights cho biết, việc áp dụng RPA đang gia tăng ở các tổ chức thuộc mọi quy mô, và các công ty lớn trên thị trường đang tung ra các nền tảng mới dựa trên trí tuệ nhân tạo (AI), mô hình học máy và đám mây để giúp đáp ứng nhu cầu ngày càng tăng.

Báo cáo cho biết ngày càng có nhiều tổ chức áp dụng RPA để TĐH quy trình kinh doanh, và xử lý các dữ liệu ngày càng phức tạp.

Tuy nhiên, TĐH CNTT có thể đi kèm với một số rủi ro không mong muốn. Sau đây là những nhược điểm phổ biến nhất của các chiến lược TĐH mà các CIO nên lưu ý.

Nghịch lý truy cập dữ liệu

Cung cấp cho nhân viên quyền truy cập an toàn vào các thông tin cần thiết để thực hiện công việc của họ là ưu tiên hàng đầu của các DN. Nhưng đôi khi TĐH có thể cản trở nỗ lực đó.

John Williams, Giám đốc điều hành dữ liệu DN và phân tích nâng cao tại RaceTrac - nhà điều hành các cửa hàng tiện lợi, cho biết: “Trong khi TĐH CNTT nhằm mục đích hợp lý hóa các quy trình và nâng cao hiệu quả, nó có thể vô tình tạo ra rào cản trong việc truy cập dữ liệu chất lượng cao, tin cậy làm nền tảng để đưa ra quyết định kinh doanh sáng suốt”.

Ông nói: “Nghịch lý này nhấn mạnh sự phức tạp của TĐH trong môi trường CNTT, nơi lợi ích của các quy trình hợp lý phải được cân bằng với rủi ro của việc truy cập thông tin bị phân mảnh”.

Williams cho biết, một trong những rủi ro đáng kể của TĐH CNTT là khả năng củng cố hoặc tạo ra các kho dữ liệu mới trong một tổ chức. Ông nói: “Những ngăn chứa này xảy ra khi dữ liệu được phân chia trong các bộ phận hoặc hệ thống khác nhau, khiến các bộ phận khác trong tổ chức gặp khó khăn hoặc không thể truy cập hoặc sử dụng dữ liệu đó một cách hiệu quả”.

Các silo này có thể dẫn đến những thách thức trong hoạt động, bao gồm sự không nhất quán trong xử lý dữ liệu, sự thiếu hiệu quả trong quy trình vận hành và cuối cùng là tác động tiêu cực đến năng suất và quản lý chi phí.

RaceTrac đã triển khai nền tảng dữ liệu thông minh từ Alation để tập trung siêu dữ liệu nằm rải rác trong DN và giúp thông tin có thể được tìm kiếm dễ dàng và dễ hiểu hơn.

Williams cho biết: “Điều này cho phép chúng tôi hợp nhất các nguồn dữ liệu thành một nguồn thật sự duy nhất. Bằng cách đó, chúng tôi có thể đảm bảo tính nhất quán trong tính toán, nâng cao độ tin cậy của báo cáo, và quan trọng là tạo điều kiện thuận lợi cho việc ra quyết định sáng suốt hơn trong toàn tổ chức".

Các mối đe dọa an ninh mạng mới

Những kẻ xấu sẽ tìm kiếm bất kỳ cơ hội nào để khai thác các lỗ hổng, và các sáng kiến ​​TĐH CNTT có thể tạo ra một số đường mới để xâm nhập.

Jason Kichen, Giám đốc an ninh thông tin (CISO) tại Tricentis, nhà cung cấp toàn cầu các sản phẩm kỹ thuật chất lượng, cho biết: “Các quy trình tự động vốn đã được tin cậy, và sự tin cậy này có thể bị kẻ xấu lạm dụng. Một quy trình tự động thường cần phải được cung cấp một tài khoản đáng tin cậy hoặc đặc quyền, thật không may, kẻ xấu có thể lợi dụng điều đó".

Kichen cho biết, khi các tài khoản bị lạm dụng được hưởng đặc quyền, hoạt động đó vốn dĩ đáng tin cậy. “Điều này có nghĩa là nó có thể không bị giám sát chặt chẽ và quá trình TĐH có thể là kênh để những kẻ độc hại đạt được mục đích".

Kevin Miller, Giám đốc công nghệ (CTO) tại công ty phần mềm DN IFS của Mỹ, cho biết: Một trong những rủi ro tiềm ẩn lớn nhất của TĐH CNTT là dữ liệu được sử dụng để đào tạo các hệ thống tự động không được bảo mật. Ông nói: “Tiến thêm một bước nữa, các hệ thống tự động có thể có những lỗ hổng mà kẻ xấu có thể khai thác - ngay cả bản thân việc phát hiện sự bất thường cũng có thể bị tấn công”.

Điều này khiến các công ty dễ bị ảnh hưởng bởi việc tự động lan truyền các mối đe dọa, Miller nói: “Ví dụ, nếu kẻ tấn công giành quyền kiểm soát một quy trình tự động, chúng có thể phát tán mã độc, phần mềm hoặc hoạt động trên toàn hệ thống nhanh hơn nhiều so với trong môi trường không tự động”.

Điều này có thể dẫn đến thiệt hại nhanh hơn và rộng hơn trước khi các nỗ lực phát hiện và khắc phục có thể được bắt đầu, Miller nói. Các công ty phải có khả năng hiển thị đầy đủ và giám sát liên tục các hệ thống để xác định xem liệu sự bất thường có phải do tác nhân xấu gây ra hay không.

Các vấn đề quản lý dữ liệu

Quản lý dữ liệu có thể là một phần quan trọng của TĐH CNTT, nhưng nó có thể không xảy ra với các nhóm khi triển khai các công cụ để TĐH quy trình. Điều này có thể dẫn đến các vấn đề.

Erik Gaston, CIO của công ty bảo mật Tanium cho biết: “Việc sử dụng dữ liệu cũ - dù là theo giây, phút, giờ hay ngày - để TĐH CNTT cũng giống như sử dụng dữ liệu lưu lượng truy cập cũ, không cập nhật để gọi Uber”.

Gaston nói: “Nó sẽ không hiệu quả và đó không phải là một ý tưởng hay. Nếu không có dữ liệu theo thời gian thực, các tổ chức sẽ bị hạn chế về khả năng mở rộng quy mô. Thêm vào yếu tố rủi ro, khi các tổ chức cố gắng TĐH vượt quá khả năng mở rộng của họ, điều đó có thể phá vỡ các quy trình quan trọng.”

Hơn nữa, Gaston cho biết, việc thiếu dữ liệu theo thời gian thực khi TĐH có thể làm tăng thêm các lỗ hổng an ninh mạng. “Khi công nghệ TĐH không sử dụng dữ liệu theo thời gian thực, nó có thể không phát hiện được mối đe dọa nghiêm trọng hoặc zero day, điều này có thể dẫn đến việc vi phạm dữ liệu không được phát hiện đủ lâu để kẻ xấu khai thác lỗ hổng và truy cập trái phép vào hệ thống hoặc dữ liệu." Gaston nói.

Để giải quyết những vấn đề như vậy, Williams của RaceTrac cho biết, nhà điều hành cửa hàng tiện lợi đã áp dụng chiến lược quản trị dữ liệu liên kết nhằm cung cấp phương pháp có cấu trúc để quản lý dữ liệu. Ông nói: “Nền tảng của phương pháp này là đảm bảo rằng tất cả dữ liệu làm nền tảng cho TĐH CNTT đều được kiểm tra kỹ lưỡng, tuân thủ các quy định liên quan và đáp ứng các tiêu chuẩn chất lượng cao nhất”.

Williams cho biết, chiến lược quản trị dữ liệu liên kết đạt được sự cân bằng tinh tế giữa các biện pháp kiểm soát quản trị tập trung và tính linh hoạt của quyền truy cập phi tập trung. Ông nói: “Phương pháp này cho phép giám sát quản trị từ trên xuống, đồng thời trao cho người dùng quyền tự chủ để tự phục vụ”.

Chiến lược này cho phép các tổ chức “khai thác toàn bộ tiềm năng của TĐH CNTT, đảm bảo rằng những nỗ lực của họ được xây dựng trên nền tảng quản trị dữ liệu vững chắc và có khả năng phục hồi khi đối mặt với bối cảnh công nghệ đang phát triển,” Williams nói.

Sự tự mãn

Một rủi ro khác là các nhiệm vụ, một khi được TĐH, có thể sẽ không được bộ phận CNTT xem xét lại.

Kichen của Tricentis cho biết: “Sự tự mãn là một rủi ro rất thực tế khi nói đến TĐH CNTT. Khi một thứ gì đó hoạt động mà không cần nhiều đến sự can thiệp của con người, nó có khả năng dễ bị bỏ qua. Các nhóm CNTT có thể quên hoặc bỏ qua các bước quy trình cơ bản, và cách suy nghĩ này dẫn đến các vấn đề và rủi ro tiềm ẩn có thể dễ dàng phát sinh mà không bị phát hiện và không được giải quyết.”

Một ví dụ là việc đào tạo nguồn nhân lực. Kichen nói: “Khả năng xảy ra sự cố của quy trình là rất cao, và các vấn đề không được phát hiện là rất phổ biến, vì mọi người có xu hướng cho rằng mọi thứ đang hoạt động như dự tính”.

Nếu quá trình TĐH hoạt động và không tạo ra lỗi rõ ràng, nhóm CNTT có thể quên nó. Kichen nói: “Điều này có nghĩa là nó không được xem xét định kỳ để xem liệu các giả định về bảo mật hoặc CNTT trước đó có còn đúng hay không”.

Kichen cho biết, tại thời điểm bắt đầu, những quyết định đó có lẽ là hợp lý. “Nhưng theo thời gian, những giả định cơ bản dẫn đến những quyết định đó sẽ thay đổi,” ông nói. “Nếu nhóm CNTT không có quy trình tương ứng để xem xét định kỳ quá trình TĐH và việc triển khai nó, họ có thể gặp phải những rủi ro nghiêm trọng.”

Việc không giám sát các hệ thống TĐH có thể dẫn đến việc không theo dõi được. Kichen cho biết: “Trong những tháng hoặc năm sắp tới, các nhà cung cấp mới có thể xây dựng một sản phẩm thực sự an toàn và hiệu quả hơn để thực hiện công việc mà nhóm đã TĐH ban đầu. Nếu các nhóm không chú ý đến những tiến bộ này vì quy trình tại chỗ của họ đang hoạt động, thì phải đến khi điều gì đó tồi tệ xảy ra, họ mới bắt đầu suy nghĩ lại về cách tiếp cận của mình và nhận ra rằng bối cảnh công nghệ và nhà cung cấp đã có nhiều bước tiến".

Quản trị không phải là một điều bắt buộc

Nghe có vẻ mâu thuẫn, nhưng CNTT cần giám sát và quản lý tính linh hoạt và quyền tự chủ được kích hoạt bởi TĐH. Nếu không mọi thứ có thể vượt khỏi tầm kiểm soát.

Gaston của Tanium cho biết: “TĐH cùng là một quang phổ, có nghĩa là mỗi tổ chức phải xác định được mức độ chấp nhận rủi ro riêng của mình và có hành động phù hợp. Và mặc dù tính linh hoạt này có thể mang lại lợi ích nhưng nó đòi hỏi phải lập kế hoạch cẩn thận, giám sát thường xuyên và theo thời gian thực cũng như đào tạo liên tục cho nhân viên CNTT để đảm bảo họ có các kỹ năng cần thiết để quản lý và khắc phục sự cố hệ thống tự động.”

Điều quan trọng nữa là phải biết sự phụ thuộc của bất kỳ quy trình công việc nào được TĐH để duy trì độ tin cậy và khả năng phục hồi. Gaston nói: “Điều này đặc biệt quan trọng khi nói đến các hệ thống cũ thường không hoạt động tốt trước sự thay đổi và trở nên dễ hỏng hơn khi TĐH”.

Một giải pháp để kiểm soát việc sử dụng TĐH là tạo ra một chương trình quản trị. Gaston cho biết: “Giống như bất kỳ công nghệ mới nổi nào, các quy định và tiêu chuẩn liên quan đến TĐH tiếp tục xuất hiện, và nhiều tổ chức vẫn chưa xác định được cách áp dụng TĐH theo hướng nào để phù hợp nhất với mục tiêu kinh doanh”.

Gaston cho biết: “Ngay cả khi chúng tôi TĐH bằng cách sử dụng các nền tảng tốt nhất, điều bắt buộc là phải xem xét các quy trình, cũng như đảm bảo có sẵn các biện pháp bảo vệ, sự phụ thuộc và hành động phù hợp. Điều này đảm bảo rằng, bạn có thể xây dựng được một tổ chức hiện đại giúp giảm thiểu rủi ro và chuyển CNTT từ quản trị sang đổi mới".

Phụ thuộc quá nhiều vào TĐH

Có điều gì được coi là phụ thuộc quá nhiều vào TĐH CNTT không? Có thể, nếu nó có nghĩa là sự suy giảm ở các lĩnh vực khác.

Miller cho biết: “Dựa nhiều vào TĐH có thể dẫn đến sự hao hụt kỹ năng của nhân viên CNTT, trong đó kỹ năng xử lý sự cố và can thiệp thủ công có thể suy giảm. Điều này trở thành mối rủi ro đáng kể khi các hệ thống tự động gặp phải các sự cố không mong muốn cần phải giải quyết thủ công".

Miller cho biết, sự phụ thuộc quá mức vào TĐH cũng có thể dẫn đến việc mất đi kiến ​​thức về sự phức tạp của hoạt động hệ thống dành riêng cho DN, khiến việc thích ứng hoặc đổi mới bên ngoài các quy trình tự động trở nên khó khăn hơn.