5 phút đọc 22 thg 1 2020
People walking in line on road with one person walking off

Làm thế nào các giám đốc bảo mật thông tin thế hệ tiếp theo có thể trở thành những tác nhân thay đổi

Tác giả Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

5 phút đọc 22 thg 1 2020

Những giám đốc bảo mật thông tin (CISO) đang theo đuổi một vai trò mới, xây dựng các mối quan hệ đa chức năng mạnh mẽ hơn để hỗ trợ cho quá trình đổi mới và chuyển đổi.

Làm thế nào để các giám đốc bảo mật thông tin (CISO) giành được niềm tin của hội đồng quản trị, đảm bảo các nguồn lực cần thiết để bảo vệ doanh nghiệp và đảm nhận một vị trí chiến lược hơn trong doanh nghiệp? Một nghiên cứu mới của EY cho thấy các CISO được xác định đóng vai trò then chốt trong việc thúc đẩy các giá trị thay đổi. Để đạt được điều đó, các CISO này đang theo đuổi một mối quan hệ mới với các đồng nghiệp của họ.

Các CISO biết rõ rằng khi đối mặt trước mối đe dọa an ninh mạng đang gia tăng, trách nhiệm cơ bản của họ là đảm bảo sự an toàn và bảo mật cho doanh nghiệp. Và năm nay, chương trình Khảo sát Bảo mật Thông tin Toàn cầu do EY tổ chức (EY Global Information Security Survey - GISS) với sự tham gia của gần 1.300 tổ chức trên toàn thế giới cho rằng các cuộc tấn công đang trở nên thường xuyên hơn: 59% các tổ chức nói rằng họ đã trở thành mục tiêu thường xuyên hơn trong 12 tháng qua so với năm trước.

Tuy nhiên, GISS cũng tiết lộ rằng các CISO tin rằng vai trò của họ bây giờ cần phải mở rộng. Họ hy vọng sẽ thay đổi để trở nên phù hợp hơn với hoạt động nghiệp vụ của doanh nghiệp, tập trung vào việc xây dựng các mối quan hệ bên ngoài lĩnh vực CNTT và tham gia vào việc xây dựng chiến lược liên quan đến hoạt động thương mại của doanh nghiệp - bao gồm chuyển đổi số.

CISO sáng tạo

Các CISO thế hệ kế tiếp - những người hiện đang chỉ là thiểu số - đã tạo ra vai trò đó cho chính họ. Ví dụ, 29% các tổ chức được khảo sát cho rằng các CISO tham gia làm việc với hội đồng quản trị thường xuyên hơn và xác nhận rằng chủ đề an ninh mạng được thảo luận trong các chương trình nghị sự hàng quý. Họ đang gây dựng các mối quan hệ mới với các phòng ban khác trong toàn doanh nghiệp điều mà các CISO truyền thống ít khi thực hiện. Nhiều bộ phận bảo mật đã xây dựng mối quan hệ tin cậy với các phòng chức năng như CNTT và quản lý rủi ro, những đồng nghiệp gần nhất của họ trong tổ chức. Tuy nhiên GISS cũng cho thấy một số CISO đang tiến xa hơn: 26% số người được hỏi mô tả mối quan hệ của họ với phòng marketing như là một mối tin cậy lẫn nhau hoặc tín nhiệm cao, nhận được mức độ tham vấn tốt, và 36% CISO được khảo sát khẳng định mối quan hệ tốt của họ với nhóm nghiên cứu và phát triển.

Xây dựng sự tin cậy với các bộ phận nghiệp vụ khác

36%

trong số những người được hỏi mô tả mối quan hệ của họ với phòng Nghiên cứu & Phát triển là sự tin tưởng lẫn nhau hay mức tín nhiệm và mức độ tham vấn cao.

Việc phá vỡ các rào cản truyền thống này là rất quan trọng để các CISO đóng góp theo cách gia tăng giá trị và đáp ứng yêu cầu của doanh nghiệp. Kết quả khảo sát của GISS năm nay cho thấy tại nhiều tổ chức, các CISO và nhóm của họ vẫn được xem là chỉ hoạt động mang tính đối phó và để đảm bảo tuân thủ, thay vì được coi là một tác nhân quan trọng trong việc thực hiện các mục tiêu tăng trưởng của doanh nghiệp. Giờ đây, nhiều CISO phải xem xét làm thế nào họ có thể nâng cao tiếng nói và được xem là những người đổi mới: chỉ 7% số người tham gia khảo sát nói rằng các nhà quản lý điều hành doanh nghiệp sẽ mô tả vai trò của an ninh mạng như là "một tác nhân tạo ra sự thay đổi đáng tin cậy."

Các nhà lãnh đạo an ninh bảo mật là những nhà đổi mới

7%

trong số những người được hỏi xem an ninh mạng là tác nhân tạo ra sự thay đổi đáng tin cậy.

Phần thưởng của các CISO là gì? Đó là cơ hội để hỗ trợ doanh nghiệp trong việc theo đuổi các mục tiêu kinh doanh.Ví dụ, tương đối ít các bộ phận bảo mật hiện đang tham gia ngay từ đầu vào việc ra mắt các sản phẩm và dịch vụ mới. Chỉ có 36% số người được khảo sát nói rằng nhóm an ninh mạng được tham gia vào các sáng kiến như vậy ở giai đoạn lập kế hoạch. Một số lượng lớn không được tham vấn cho đến sau khi các sản phẩm và dịch vụ đã được thiết kế; trong một số trường hợp, họ không được hỏi một ý kiến nào cả.

Từ quan điểm bảo mật, điều này bỏ lỡ một bước đi khôn ngoan. Nó ngăn cản các tổ chức làm việc với tư duy “Bảo mật  từ trong thiết kế” – Security by Design và buộc họ phải trang bị thêm các biện pháp bảo vệ. Rộng hơn nữa, điều đó có nghĩa là các CISO không thể hiện được hết tiềm năng của mình là trở thành tác nhân thay đổi quan trọng, cho phép các doanh nghiệp của họ theo đuổi chiến lược chuyển đổi công nghệ số một cách tự tin.

An ninh mạng vẫn chỉ là suy nghĩ muộn màng:

36%

trong số những người được khảo sát cho biết an ninh mạng được đưa vào từ giai đoạn lập kế hoạch của các sản phẩm và dịch vụ mới.

Việc tham gia quá muộn màng của các CISO cũng ảnh hưởng đến khả năng đảm bảo nguồn lực mà họ cần để bảo vệ tổ chức của họ đúng cách. Nhiều bộ phận an ninh bảo mật xác nhận rằng việc mua sắm hoặc chứng minh ngân sách cần có để bảo vệ doanh nghiệp là một thách thức hàng đầu trong năm nay; điều này có thể phản ánh sự thất vọng lẫn nhau ở cấp độ ban giám đốc với các yêu cầu lặp đi lặp lại đối với việc chi tiêu đảm bảo an ninh mạng và các bộ phận bảo mật chứng tỏ cho hội đồng quản trị thấy rằng họ đang hoạt động theo như yêu cầu.

Định hình lại cuộc đối thoại

Các CISO đang phản ứng bằng cách thay đổi lại cách thức trình bày để các yêu cầu về ngân sách được phê duyệt. Trong khi hầu hết các CISO tiếp tục giải thích việc tăng chi tiêu để giảm thiểu rủi ro hoặc đảm bảo nhu cầu tuân thủ, thì 9% hiện cho rằng điều này sẽ hỗ trợ các sáng kiến kinh doanh mới. Sự thay đổi hướng tới hoạt động kinh doanh này sẽ gia tăng trong những năm tới: 40% số người được GISS hỏi đang tập trung vào việc tăng chi tiêu phục vụ đảm bảo an ninh mạng trong các lĩnh vực kinh doanh có những cơ hội tăng trưởng và chuyển đổi.

Thay đổi cách thức giao tiếp trong lĩnh vực này sẽ ngày càng quan trọng đối với các CISO, những người đang tìm kiếm một mức độ tham gia khác vào hoạt động kinh doanh của doanh nghiệp. Ví dụ, bản báo cáo cho hội đồng quản trị chính là một cơ hội quan trọng để thay đổi cách trình bày. Trong báo cáo GISS gần đây nhất, 25% các CISO tự tin là họ có thể định lượng yêu cầu tài chính và tính hiệu quả của những chi tiêu trong việc xác định rủi ro; trong khi đó 75% số người còn lại lo lắng rằng họ không thể trình bày rõ kết quả của mình với hội đồng quản trị.

Định lượng tính hiệu quả của chi tiêu an ninh mạng

25%

các CISO tự tin rằng có thể định lượng tính hiệu quả chi tiêu của họ bằng các con số tài chính.

Tương tự như vậy, chỉ một số ít các CISO có thể thể hiện hiệu suất làm việc của nhóm bảo mật với ban giám đốc bằng cách sử dụng các số liệu phù hợp với các mục tiêu kinh doanh mà các giám đốc điều hành có thể hiểu được. CISO vẫn đang cung cấp các báo cáo trạng thái hoặc bản phân tích rút kinh nghiệm sau các sự cố hoặc vi phạm bảo mật đã xảy ra – cách thức chỉ có thể làm gia tăng và trầm trọng thêm sự thiếu gắn kết giữa ban giám đốc và bộ phận an ninh mạng.

Thách thức hiện tại cho các CISO là đánh giá vị trí của họ trong các doanh nghiệp và tìm ra cách thích nghi. Công việc hàng ngày của các CISO - giữ cho doanh nghiệp an toàn - vẫn tiếp tục, nhưng các CISO của ngày mai cũng sẽ là một nhà tư tưởng chiến lược và tác nhân thay đổi. Mối quan hệ chặt chẽ hơn với các phòng chức năng khác trong toàn doanh nghiệp sẽ giúp bộ phận bảo mật tham gia sớm hơn vào các sáng kiến mới và trong quá trình chuyển đổi. Sự gắn kết chặt chẽ hơn với hội đồng quản trị, được xây dựng trên nền tảng hai bên nói cùng một ngôn ngữ, sẽ nâng cao vị thế của các CISO và định vị họ là những người tạo ra sự đổi mới.

Đây là một sự thay đổi sẽ làm cho công việc trong ngày đơn giản hơn. Các CISO tham gia vào các sáng kiến mới từ ngay từ ban đầu có cơ hội triển khai văn hóa “Bảo mật từ trong thiết kế” - thay vì phải đấu tranh để đưa thêm các biện pháp bảo vệ thụ động. Và những người có mối quan hệ chặt chẽ với hội đồng quản trị sẽ thấy dễ dàng hơn trong việc tiếp cận các nguồn lực ngân sách tài chính họ cần. Việc tái định vị CISO như một tác nhân của sự đổi mới là một giải pháp đôi bên cùng có lợi.

Tóm lược

Khảo sát Bảo mật Thông tin Toàn cầu của EY cho thấy một nhóm các CISO không còn bằng lòng chỉ phản ứng lại các mối đe dọa bảo mật nữa; thay vào đó họ cố gắng để chủ động, trở thành những người tạo ra sự đổi mới và là tác nhân chuyển đổi cho doanh nghiệp.

Về bài viết này

Tác giả Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.