Các doanh nghiệp đang kết nối với bộ phận an ninh mạng của họ như thế nào? Các doanh nghiệp đang kết nối với bộ phận an ninh mạng của họ như thế nào?

Tác giả Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.

4 phút đọc 16 thg 1 2020

Các lãnh đạo về an toàn thông tin và hội đồng quản trị/các lãnh đạo cao nhất của một tổ chức không phải lúc nào cũng tham gia đầy đủ vào việc đối mặt với các rủi ro có tính hệ thống bởi các mối đe dọa an ninh mạng gây ra.

Theo một nghiên cứu mới đây của EY, gần hai phần ba các công ty không có sự tham gia của bộ phận an ninh mạng ở giai đoạn đầu khi họ tập trung vào các dự án chuyển đổi - đổi mới hệ thống công nghệ hỗ trợ kinh doanh. Những phát hiện từ Khảo sát An toàn Thông tin Toàn cầu mới nhất của EY (GISS) cho thấy chỉ 36% các bộ phận an ninh mạng được yêu cầu tham gia ngay từ đầu trong các dự án chuyển đổi như vậy.

Các vấn đề nghiêm trọng đe dọa nhiều tổ chức, làm suy yếu những nỗ lực khai thác công nghệ số hóa và công nghệ mới nổi của họ, dường như xuất phát từ sự thiếu gắn kết, chia sẻ hiểu biết và nhận thức rủi ro giữa ban lãnh đạo công ty, các phòng ban chức năng khác của doanh nghiệp và bộ phận an ninh mạng. Nếu không thu hẹp khoảng cách này, các bộ phận an ninh mạng sẽ tiếp tục gặp khó khăn trong việc bảo vệ các tài nguyên, tham gia hỗ trợ và xác định các yêu cầu cần thiết để bảo vệ tổ chức của mình.

Ngay ở thời điểm hiện tại, trong khi nhiều tổ chức nói rằng bộ phận an ninh mạng của họ có mối quan hệ chặt chẽ với các bộ phận chức năng khác liên quan mật thiết như công nghệ thông tin, kiểm toán, quản trị rủi ro, và pháp lý, thì họ vẫn lo ngại về việc thiếu kết nối với các bộ phận khác của doanh nghiệp. Ví dụ, 74% các doanh nghiệp cho rằng mối quan hệ giữa bộ phận an ninh mạng và marketing chỉ dừng lại ở mức độ trung bình, tệ hơn nữa là không tin tưởng lẫn nhau hoặc không tồn tại sự liên kết nào; 64% các doanh nghiệp cho rằng điều tương tự cũng diễn ra giữa bộ phận an ninh mạng và bộ phận nghiên cứu và phát triển; 59% doanh nghiệp cho rằng điều này tương tự đối với các bộ phận kinh doanh. Các bộ phận an ninh mạng thậm chí còn mất điểm trong mối quan hệ với bộ phận tài chính, nơi có quyền quyết định đến ngân sách hoạt động của họ, trong đó có đến 57% công ty nói rằng ngân sách cho an ninh bảo mật bị sụt giảm.

Những phát hiện đặc biệt quan ngại trong khảo sát GISS năm nay, sau khi đã phỏng vấn gần 1.300 doanh nghiệp trên toàn thế giới, cảnh báo rằng các mối đe dọa đang ngày càng gia tăng về mức độ. Khảo sát này tiết lộ rằng 59% các công ty đã phải chịu đựng sự gia tăng số lượng các cuộc tấn công mang tính phá hoại trong 12 tháng qua. Trong số đó, hơn một nửa số công ty đã bị ảnh hưởng bởi các cuộc tấn công với số lượng tăng từ 10% trở lên.

Sự gia tăng các cuộc tấn công là lý do tại sao các CEO hiện nay coi an ninh mạng là một trong những rủi ro cấp bách nhất mà họ gặp phải. Nghiên cứu của EY năm 2019 Mệnh lệnh đối với CEO tiết lộ rằng các CEO tin các mối đe dọa an ninh mạng quốc gia và doanh nghiệp là những mối đe dọa lớn nhất đối với nền kinh tế thế giới trong 10 năm tới.

Tuy nhiên, khảo sát năm nay cho thấy có một khoảng cách giữa mong muốn và thực tiễn. Nhiều tổ chức đang thất bại trong việc phối hợp chặt chẽ các bộ phận của họ với bộ phận an ninh mạng.

Đâu là điểm cần cải thiện

Trong khi hầu hết các công ty nói rằng hội đồng quản trị tối thiểu có một vài thành viên tham gia vào việc xây dựng và phê duyệt chiến lược, hoạch định phương hướng và ngân sách cho các chương trình an ninh mạng, trên thực tế chỉ có một số rất ít thành viên thực sự tham gia vào công việc này.

Một vấn đề đối với nhiều hội đồng quản trị là họ không thực sự được trang bị đầy đủ kiến thức để hiểu những rủi ro mà tổ chức của họ gặp phải hoặc các biện pháp giúp giảm thiểu những rủi ro đó. Ưu tiên hiện nay đối với các CISO phải là giúp các lãnh đạo cấp cao của doanh nghiệp hiểu rõ hơn về an ninh mạng.

Họ sẽ là những người sẵn lòng tiến lên phía trước: hội đồng quản trị luôn mong muốn cải thiện vấn đề an ninh mạng, với gần một nửa trong số họ đang thiếu hụt kiến thức về an ninh mạng và đang thực hiện từng bước để cải thiện điều đó. Chỉ 25% các tổ chức được hỏi cho rằng họ có thể định lượng rủi ro trong lĩnh vực tài chính - kinh doanh. Trong khi đó, những phát hiện ban đầu từ Khảo sát rủi ro toàn cầu về Hội đồng quản trị của EY (GBRS) cho thấy chỉ 20% các hội đồng quản trị tin tưởng vào các biện pháp giảm thiểu tấn công mạng vào tổ chức của họ.

Khảo sát rủi ro toàn cầu về Hội đồng quản trị của EY

20%

các hội đồng quản trị tin tưởng vào các biện pháp giảm thiểu tấn công mạng vào tổ chức của họ.

Sự bất lực của bộ phận an ninh mạng và đội ngũ lãnh đạo trong việc truyền đạt một cách hiệu quả về tầm quan trọng và giá trị của bảo mật, cùng với sự thiếu chặt chẽ trong các mối quan hệ, đã giải thích cho sự thất bại toàn diện về sự tham gia của bộ phận an ninh mạng ngay tại giai đoạn đầu trong việc xây dựng các sáng kiến kinh doanh mới, các công nghệ hỗ trợ kinh doanh. Bất kỳ chuyên gia bảo mật nào cũng sẽ xác nhận rằng việc không tham gia xây dựng chương trình bảo mật và khả năng phục hồi trong các sáng kiến ngay từ đầu, giống như việc không thiết kế các trang bị an toàn cho ô tô trước khi cho phép vận hành trên đường, là nguyên nhân dẫn đến thất bại.

Trong bối cảnh này, sự mất kết nối giữa bộ phận an ninh mạng và các lãnh đạo cấp cao của doanh nghiệp có khả năng gây thiệt hại lớn. Nhiều hội đồng quản trị và các cấp lãnh đạo không đánh giá đầy đủ giá trị của các chương trình an ninh mạng hoặc chưa nghiên cứu chi tiết yêu cầu của họ. Quan trọng nhất, họ không coi an ninh mạng là một yêu cầu chiến lược phải được xem xét trong các giai đoạn lập kế hoạch của bất kỳ sáng kiến mới nào. Do đó, các CISO, những người thất bại trong việc xây dựng mối quan hệ bền vững hơn với hội đồng quản trị và các cấp quản lý, vẫn sẽ tiếp tục đấu tranh vì vai trò cấp thiết của mình, sẵn sàng đối thoại với cố vấn chiến lược để có thể giúp các lãnh đạo doanh nghiệp đưa ra quyết định quan trọng về sự đánh đổi trong việc giảm thiểu rủi ro.

Vai trò mới cho CISO? Làm thế nào để bộ phận an ninh mạng có thể giải quyết các vấn đề này? Thách thức được đặt ra càng cụ thể thì giá trị mang lại sẽ càng lớn. Ví dụ, chỉ có 7% các công ty tự tin rằng họ có thể định lượng về mặt tài chính những tác động của sự cố an ninh mạng. Nâng cao tầm quan trọng của các vấn đề an ninh mạng ở cấp độ hội đồng quản trị cũng rất quan trọng. Gần một phần ba các công ty (32%) nói rằng an ninh mạng chỉ là một nội dung nhỏ trong chương trình nghị sự diễn ra hàng năm - hoặc thậm chí không được đưa vào. Và tại nhiều công ty, vấn đề này chỉ được đưa vào chương trình nghị sự dựa trên tình hình thực tế.

These data show that CISOs need to rethink their roles as they seek to protect their organizations from cybersecurity risk. While they will continue to need strong technical skills and expertise, their ability to forge stronger relationships at board level and with other functions is becoming more and more important.

Các tổ chức trong mọi ngành hiện đang phải đối mặt với những thách thức của sự gián đoạn hoạt động kinh doanh và sự xuất hiện nhanh chóng của các cơ hội lớn, và chính CISO là người có cơ hội tuyệt vời để trở thành tác nhân của sự đổi mới. Những CISO nâng cao năng lực, củng cố vị trí của họ ở trung tâm của doanh nghiệp và đưa ra những cách thức ưu tiên để giảm thiểu rủi ro, sẽ trở thành những yếu tố chính thúc đẩy chiến lược chuyển đổi của doanh nghiệp.

Tóm lược

Nghiên cứu mới của EY cho thấy không phải tất cả các hội đồng quản trị/các cấp lãnh đạo ở các công ty đều hiểu biết về rủi ro về an ninh mạng mà doanh nghiệp của họ gặp phải. Kết quả là, nhiều công ty đã thất bại trong việc đối mặt với vấn đề an ninh mạng. Các CISO đều phải chia sẻ trách nhiệm: giờ đây, họ cần phải suy nghĩ lại về vai trò của mình để giải quyết vấn đề này.

Về bài viết này

Tác giả Kris Lovejoy

EY Global Advisory Cybersecurity Leader

Cybersecurity guru. Married mother of four. Enjoys diving, hiking and refinishing furniture. Lives in McLean, VA.