Những điều các CEO cần làm để bảo vệ DN trước rủi ro tấn công mạng
An toàn thông tin - Ngày đăng : 06:08, 04/10/2022
An ninh mạng (ANM) thường được coi là một vấn đề CNTT và được giao cho các chuyên gia công nghệ. Tuy nhiên, khi mối đe dọa gia tăng, các DN không nên chỉ nhìn nhận đây là vấn đề kỹ thuật, mà là vấn đề của chiến lược, văn hóa và hợp tác. Điều này đòi hỏi các nhà lãnh đạo DN phải đi đầu trong việc quản lý rủi ro ANM trong DN của họ, để nền kinh tế số nói chung được bảo vệ an toàn.
Điều đó đặc biệt quan trọng vì tốc độ số hóa đang tăng nhanh. Theo DataReportal, một công ty nghiên cứu, hơn 5 tỷ người trên thế giới sử dụng Internet, có nghĩa là hơn 63% dân số toàn cầu hiện đang trực tuyến. Số hóa cũng là một phần không thể thiếu trong quá trình chuyển đổi kinh doanh. Theo Statista, một công ty nghiên cứu khác, chi tiêu toàn cầu cho chuyển đổi số sẽ đạt 2,8 nghìn tỷ USD vào năm 2025.
Không có gì ngạc nhiên khi “tấn công mạng” và “gian lận hoặc đánh cắp dữ liệu” là một trong năm rủi ro hàng đầu được Diễn đàn Kinh tế Thế giới (WEF) đưa vào Báo cáo rủi ro toàn cầu (Global Risks Report) năm 2018.
Mới đây, vụ tấn công mạng vào hãng viễn thông lớn thứ hai đất nước Optus đã ảnh hưởng đến 40% dân số nước Úc. Chính phủ Úc đã tăng mức độ chỉ trích lên Optus và yêu cầu công ty đẩy nhanh tiến độ xử lý, thông báo đến 10.200 khách hàng có thông tin cá nhân bị ảnh hưởng. Đây là một trong những vụ tấn công mạng lớn nhất của Úc cho đến nay.
Tần suất và mức độ nghiêm trọng của các cuộc tấn công mạng trong vài năm qua đã làm thay đổi nhận thức của các nhà lãnh đạo về các mối đe dọa mạng. Theo Báo cáo rủi ro toàn cầu năm 2022 của WEF, “lỗi ANM” tiếp tục được coi là một mối đe dọa nghiêm trọng trong ngắn hạn và trung hạn đối với thế giới.
Theo Forbes, phát hiện mới từ công ty Venafi cho thấy 64% DN nghi ngờ họ đã bị nhắm mục tiêu hoặc bị ảnh hưởng bởi các cuộc tấn công có quy mô quốc gia. Ngoài ra, 77% tin rằng chúng ta đang ở trong tình trạng chiến tranh mạng vĩnh viễn.
Dù vậy, khoảng trống về nhận thức trong rủi ro không gian mạng thực sự là có thật. Báo cáo Triển vọng ANM toàn cầu năm 2022 của WEF chỉ ra rằng trong khi 85% các nhà lãnh đạo CNTT đồng ý rằng khả năng phục hồi trên mạng là ưu tiên kinh doanh của họ, thì việc giành được sự ủng hộ của các nhà hoạch định chiến lược, ưu tiên đối phó với các rủi ro ANM trước nhiều rủi ro khác, vẫn là một thách thức nổi bật.
WEF cho rằng các DN cần thu hẹp khoảng cách này nếu muốn thành công trong việc xây dựng các tổ chức có khả năng chống chịu trên mạng. Điều này sẽ đòi hỏi sự thay đổi tư duy của các CEO, hội đồng quản trị (HĐQT) và các giám đốc điều hành cao cấp khác. Đó không phải là câu hỏi “nếu”, khi nói đến các cuộc tấn công mạng, mà là câu hỏi “khi nào”. Xét cho cùng, trong một môi trường không thể tránh khỏi các cuộc tấn công mạng, việc chuẩn bị giải pháp bảo vệ ANM vô cùng quan trọng.
Dưới đây là năm điều mà lãnh đạo cấp cao trong các tổ chức nên ưu tiên để nâng cao khả năng phục hồi trên không gian mạng cho DN.
Công nhận ANM là một ưu tiên kinh doanh chiến lược
Theo WEF, giám đốc điều hành cấp cao của một tập đoàn công nghiệp lớn tại châu Á, tham gia vào khoảng 10 thương vụ DN hàng năm, cho biết các nhóm ANM là những người cuối cùng (nếu có), thực hiện thẩm định các mục tiêu của tổ chức.
Tình huống tương tự cũng tồn tại với các nhà đầu tư, những người hiếm khi thực hiện thẩm định ANM trước khi đầu tư. Vào năm 2019, WEF đã xuất bản một báo cáo mang tên “Khuyến khích đổi mới có trách nhiệm và an toàn: Các nguyên tắc và hướng dẫn cho các nhà đầu tư”, nhằm giúp giải quyết vấn đề này. Bài học rút ra là rủi ro ANM là rủi ro kinh doanh và cần được hiểu rõ, ưu tiên và đưa vào các quyết định chiến lược và hoạt động quan trọng.
Quản trị ANM là nhiệm vụ bắt buộc của hội đồng quản trị
Trong hầu hết các tổ chức, giám đốc an ninh thông tin (CISO) đảm nhận trách nhiệm về ANM. Tuy nhiên, giống như các vấn đề chiến lược khác, HĐQT và lãnh đạo cấp cao cần ra ý kiến, phát triển các cơ chế quản lý rủi ro mạng và chịu trách nhiệm về khả năng phục hồi trên không gian mạng của DN.
Năm ngoái, WEF đã làm việc với Hiệp hội các Giám đốc DN quốc gia, Liên minh An ninh Internet, PwC và các đối tác toàn cầu, phát triển một bộ 6 nguyên tắc đồng thuận nhằm giúp các giám đốc hiểu về tình hình ANM hiện tại của tổ chức mình, thực hiện giám sát và thiết lập các mục tiêu trong tương lai.
Ngoài ra, Ủy ban chứng khoán và giao dịch Mỹ gần đây đã đề xuất các quy tắc mới, yêu cầu tiết lộ về quản trị ANM của một công ty ở cấp HĐQT và cấp quản lý. Sau khi được hoàn thiện, các quy tắc này sẽ nêu bật vai trò của HĐQT trong việc thực hiện giám sát hiệu quả việc quản lý rủi ro mạng, đảm bảo rủi ro mạng không thể thiếu trong chiến lược kinh doanh tổng thể.
Nuôi dưỡng nền văn hóa về khả năng phục hồi trên không gian mạng
Quản lý rủi ro mạng hiệu quả đòi hỏi phải giải quyết ba yếu tố chính: công nghệ, quy trình và con người. Cái cuối cùng được cho là mắt xích yếu nhất trong chuỗi. Theo Cybint, một công ty giáo dục và đào tạo về ANM, 95% các vụ vi phạm ANM là do lỗi của con người.
Để thay đổi văn hóa, lãnh đạo cấp cao phải thiết lập quan điểm và đưa ra các cơ chế thúc đẩy trách nhiệm giải trình về khả năng phục hồi trên không gian mạng ở mọi cấp độ trong tổ chức. Sự cởi mở và giao tiếp về chiến lược, thực hành và kiến thức về khả năng chống chịu trên không gian mạng có thể giúp khơi dậy ý thức làm chủ trong nhân viên.
Cuối cùng là tầm quan trọng của việc đào tạo liên tục để nâng cao nhận thức của nhân viên về các khái niệm và thực tiễn khả năng chống chịu trên không gian mạng.
Xây dựng lực lượng lao động ANM chất lượng
Theo Nghiên cứu lực lượng lao động ANM (ISC) năm 2021, tình trạng thiếu hụt nhân tài ANM rất nghiêm trọng trên toàn cầu. Khi được hỏi liệu nhân sự của DN có các kỹ năng cần thiết để phản ứng và phục hồi sau một cuộc tấn công mạng hay không, một nửa số người được hỏi trong Triển vọng ANM toàn cầu 2022 của WEF cho biết họ cảm thấy “khó đáp ứng do sự thiếu hụt kỹ năng trong nhóm của họ”. Chưa đến ¼ các công ty có từ 5.000 - 50.000 nhân viên “có con người và kỹ năng cần thiết”.
Do khan hiếm nhân sự tài năng, lãnh đạo cấp cao cần đầu tư vào việc tuyển dụng và nuôi dưỡng các tài năng hiện có trong tổ chức. Ngoài ra, cần đưa ra các giải pháp sáng tạo để các nhân tài hiện có chuyển đổi sang lĩnh vực ANM và phát triển sự nghiệp. Các tổ chức như Salesforce, Fortinet, Global Cyber Alliance và WEF đã thành lập Trung tâm học tập ANM, cung cấp các mô-đun miễn phí và định hướng nghề nghiệp giúp mọi người có lộ trình hướng tới những vị trí được săn đón này.
Khuyến khích hợp tác công tư
Tội phạm mạng cũng hoạt động như một DN và chúng cộng tác bằng cách chia sẻ thông tin về các kỹ thuật và công cụ tấn công. Để vượt qua các mối đe dọa mạng, cần có nhiều sự hợp tác hơn nữa giữa các tổ chức công - tư trong hệ sinh thái rộng lớn.
Tuy nhiên, vẫn còn những rào cản hợp tác đáng kể. Ví dụ, các hạn chế về quy định và ranh giới pháp lý thường ngăn cản việc chia sẻ thông tin. Các nhà lãnh đạo cấp cao phải khuyến khích sự hợp tác trong các vấn đề ANM và giải quyết các rào cản hạn chế sự trao đổi giữa các công ty trong ngành, các cơ quan mạng quốc gia và cơ quan thực thi pháp luật. Những mối quan hệ đối tác này không chỉ giúp tăng cường sự sẵn sàng mà còn rất hữu ích khi đối mặt với một cuộc khủng hoảng.
Tất cả những điều này sẽ khiến ANM không chỉ là một vấn đề kỹ thuật, mà là một vấn đề về chiến lược, văn hóa và hợp tác./.