An ninh mạng: Làm sao để ứng phó với cơn bão rủi ro?

Trong năm qua, hầu hết mọi doanh nghiệp đều phải thích ứng với nhiều hình thái gián đoạn trong hoạt động kinh doanh. Chỉ trong thời gian ngắn, một số tổ chức tiến bộ đã chủ động triển khai các giải pháp công nghệ hướng tới khách hàng, các công cụ đám mây để hỗ trợ làm việc từ xa và duy trì các kênh tiếp cận thị trường.

Tuy nhiên, việc thay đổi nhanh cũng đi kèm với một số hệ luỵ. Nhiều doanh nghiệp đã bỏ qua vấn đề an ninh mạng trong quá trình ra quyết định, dù chỉ ở mức độ giám sát, với mong muốn triển khai giải pháp càng nhanh càng tốt. Kết quả là, khi chưa kịp vá các lỗ hổng bảo mật cũ, doanh nghiệp đã phải đối mặt với các lỗ hổng bảo mật mới, đe dọa các hoạt động của doanh nghiệp.

Rủi ro mới phát sinh từ chuyển đổi tức thời

Tại thời điểm thực hiện bài viết, các CISOs và bộ phận an ninh mạng nhiều khả năng chưa thể đánh giá trọn vẹn những tác động lâu dài của các công nghệ mới trên hệ thống phòng thủ của họ. Các doanh nghiệp vẫn bất chấp và tiếp tục sử dụng các công nghệ này.

Ông Richard Watson, Giám đốc Dịch vụ tư vấn Rủi ro An ninh mạng khu vực Châu Á - Thái Bình Dương của EY cho biết: “Tính khẩn cấp của cuộc khủng hoảng đã khiến cho vấn đề bảo mật thông tin trên không gian mạng bị bỏ qua khi tổ chức buộc phải kích hoạt các hệ thống chưa từng có tiền lệ. Trong khi đó, không phải tổ chức nào cũng nhận thức được việc họ cần phải quay lại giải quyết những vấn đề còn tồn đọng.”

Những rủi ro tiềm tàng khi phớt lờ những vấn đề này là rất nghiêm trọng và ngày càng trở nên cấp thiết. Hơn 3/4 người trả lời GISS trong năm nay (tương đương 77%) đưa ra cảnh báo về việc số lượng các cuộc tấn công phá hoại như ransomware có xu hướng gia tăng trong 12 tháng qua. Chỉ một năm trước đó, con số này là 59%.

Các CISOs đang rất nỗ lực để tiếng nói của họ trong một tổ chức được lắng nghe một cách chủ động. 56% số người được hỏi thừa nhận rằng lãnh đạo ít khi tham khảo ý kiến của bộ phận an ninh mạng, hoặc nếu có, cũng rất “sát nút”, trong khâu ra quyết định chiến lược khẩn cấp. Trong khi đó, một số người còn cho rằng việc trao đổi giữa lãnh đạo và bộ phận bảo đảm an toàn thông tin mạng chỉ cần được thực hiện khi một lỗ hổng trong hệ thống phòng thủ xuất hiện, đẩy tổ chức vào tình huống có thể bị các tội phạm mạng lợi dụng để tấn công.

Những quan ngại về tương lai an toàn thông tin là mạng hoàn toàn có cơ sở. Ông Richard Watson cho biết: “Chúng tôi rất nỗ lực để an ninh mạng trở thành một thành tố mang tính thúc đẩy chủ động. Nhưng trên thực tế, vẫn có những tổ chức chỉ làm việc với đội ngũ an ninh mạng ngay trước khi các dự án được thực thi”.

Trường hợp xấu nhất là những cảnh báo của các CISOs bị phớt lờ. 43% số người được hỏi thừa nhận rằng họ chưa bao giờ họ cảm thấy lo ngại về khả năng quản lý các mối đe dọa trên không gian mạng như bây giờ. Tuy nhiên, những vấn đề này đều có thể được giải quyết.

TikTok – Bảo mật chuyên biệt, tốc độ tiên quyết

Roland Cloutier, Giám đốc An ninh Toàn cầu (CSO) của nền tảng giải trí và video dạng ngắn TikTok, tham gia sâu vào việc ra quyết định chiến lược hàng tuần. Ông cho biết: “Chiến lược có thể đến từ yêu cầu phát triển người dùng, phát triển một phương thức kiếm tiền mới, cho tới các sản phẩm âm nhạc. Tất cả đều liên quan đến xây dựng và phân phối công nghệ mới. Tôi tập trung vào việc tìm hiểu ý nghĩa của các cả các mối đe dọa hiện hữu lẫn chưa được nhận diện, sau đó gia tăng yếu tố tốc độ, bảo mật và quyền riêng tư theo vào quá trình phát triển sản phẩm. Tiếp theo, tôi sẽ thông báo những điều này tới tổ chức, giải thích rõ các phương thức mà chúng tôi sử dụng để hiện thực hoá các thay đổi với tốc độ tương xứng với tốc độ lan truyền của internet và văn hóa. Chính những điều này khiến cho công việc của tôi mỗi ngày đều rất thú vị.”

Tội phạm mạng ngày càng trở nên tinh vi hơn

Tội phạm mạng đã áp dụng nhiều chiêu thức mới trong năm qua: hoặc sử dụng các chiến dịch lừa đảo chứa phần mềm độc hại nhắm vào các doanh nghiệp, hoặc bằng cách nhúng mã cửa hậu vào các phần mềm thương mai để khai thác thông tin của khách hàng khi thực hiện giao dịch.

Các tin tặc đóng cửa Đường ống Colonial của Hoa Kỳ vào tháng 5 năm 2021 đã sử dụng dịch vụ cung cấp mã độc (ransomware-as-a-service) mà người khác có thể truy cập thông qua dark web, gây ra rủi ro cho các tổ chức quan trọng trong toàn bộ nền kinh tế và xã hội nói chung. Cũng vào khoảng thời gian này vào năm 2020, những nỗ lực thâm nhập liên tiếp vào SolarWinds của một số cá nhân đã phá vỡ hàng rào phòng thủ an ninh mạng thông qua một cuộc tấn công vào chuỗi cung ứng đầy tinh vi, ít được biết đến bởi các đội bảo mật.

Những kẻ tấn công thường nhắm vào một khu vực đang trên đà tăng trưởng với những thủ đoạn ngày càng khó đoán. Cứ ba người được hỏi thì chỉ có một người tự tin rằng họ có thể thiết lập một chuỗi cung ứng đủ kiên cố, nhưng không quên nhấn mạnh tầm quan trọng của việc hợp tác chặt chẽ với bộ phận mua hàng và vận hành. Dưới 47% chuyên gia công nghệ trả lời rằng họ am hiểu và có thể dự đoán trước các chiến lược của kẻ tấn công - một vấn đề đã được minh họa bằng các sự cố mà trong đó tội phạm mạng xâm nhập vào phần mềm sẽ được bán lại cho khách hàng.  

Tuy nhiên, nhu cầu chuyển đổi nhanh chóng vẫn chưa bị bỏ lỡ. Tại thời điểm viết bài, nhiều tiến bộ đáng kể trong việc ứng phó với COVID-19 đã được xác lập, nhưng cuộc khủng hoảng sẽ đi qua một số giai đoạn trước khi các doanh nghiệp trở lại “bình thường” –bất kể điều đó có thể là gì.

Ví dụ, các nhà tuyển dụng đang tìm cách hỗ trợ các mô hình làm việc linh hoạt, kết hợp giữa trực tuyến và ngoại tuyến, tạo đà cho tăng trưởng cho nền kinh tế đang phục hồi. Trong một nghiên cứu gần đây của EY mang tên Work Reimagined 2021, 54% người tham gia đã trả lời rằng nếu doanh nghiệp không có hoặc không ủng hộ cơ chế làm việc linh hoạt, họ sẽ cân nhắc nghỉ việc. Các CISOs cũng chú ý một điều, đó là gần một nửa số nhân viên (tương đương 48%) muốn đầu tư vào công nghệ mới phục vụ làm việc tại nhà. Điều này có thể làm gia tăng khả năng bị tấn công nếu doanh nghiệp không thể giải quyết vấn đề về thiết kế các chương trình bảo mật chuyên biệt.

Mọi con mắt đều đổ dồn về các CISOs

Bây giờ là thời điểm vàng đối với CISOs. Nếu CISOs có thể hỗ trợ chuyển đổi kỹ thuật số từ giai đoạn lập kế hoạch, thời điểm mà, theo nghiên cứu CEO Imperative 2021của EY, 68% các giám đốc điều hành (CEO) tập trung lên kế hoạch đầu tư vào dữ liệu và công nghệ lớn cho năm tiếp theo, họ sẽ trở thành nhân tố thúc đẩy mang tính chiến lược trong quá trình phát triển. Ngược lại, chỉ cần thiếu tích cực trong giai đoạn này, các mối nguy về an ninh mạng ngày càng tăng sẽ gián tiếp làm lung lay vị thế của CISO trên bàn thảo luận.  

Các nhà lãnh đạo cấp cao đã bắt đầu tỏ ra quan ngại về khả năng bảo vệ tổ chức của bộ phận an ninh mạng. Hơn một nửa (55%) số người được hỏi trả lời rằng phòng an ninh mạng đang chịu sự giám sát chặt chẽ hơn bao giờ hết. 4/10 (39%) tổ chức đưa vấn đề an toàn thông tin không gian mạng vào chương trình nghị sự hàng quý của công ty, tăng so với mức 29% của năm 2020.

Tuy nhiên, một báo cáo khác của EY mang tên Rủi ro Hội đồngQuản trị Toàn cầu năm 2021 đã chỉ ra rằng chỉ có 9% thành viên hội đồng quản trị tự tin rằng các biện pháp giảm thiểu rủi ro an toàn thông tin mạng được đề xuất có thể bảo vệ tổ chức khỏi các cuộc tấn công mạng lớn - giảm 20% so với chỉ số của năm ngoái.

Cơ hội trong khủng hoảng

Các CISOs vừa có khả năng kiểm soát, giảm thiểu rủi ro, vừa hỗ trợ doanh nghiệp phát triển và hoàn thành các kỳ vọng công nghệ sẽ có triển vọng tươi sáng. Phần lớn các ý kiến đều công nhận chính các cuộc khủng hoảng sẽ tạo cơ hội cho bộ phận an ninh mạng nâng cao năng lực và vị thế của họ trong tổ chức.

Dave Burg khuyến khích các CISOs tận dụng sự nổi tiếng của chính. “Tôi biết nhiều nhân viên an ninh mạng được coi là siêu sao, và chúng tôi muốn họ được thúc đẩy, đóng vai trò tiên phong trong quá trình đổi mới”.

Vậy các CISOs đã sẵn sàng để nắm bắt cơ hội, trở thành người tạo đà cho tăng trưởng hay chưa? Liệu họ có thể tạo ra khả năng phục hồi trước các cuộc khủng hoảng tiếp theo hay không? Câu trả lời là có – nhưng chỉ trong trường hợp họ có thể giải quyết ba thách thức quan trọng sau đây:

1. Thứ nhất, tổ chức an ninh mạng hiện vẫn chưa nhận được khoản đầu tư xứng đáng, vào thời điểm họ cần tài trợ và sự hỗ trợ linh hoạt hơn baogiờ hết.
2. Thứ hai, sự phân mảnh trong quy định đang trở thành vấn đề nhức nhối, làm phát sinh thêm nhiều bài toán mới, trong đó bao gồm các vấn đề về nguồn lực.
3. Thứ ba, mối quan hệ giữa bộ phận an ninh mạng với các bộ phận khác có chiều hướng xấu đi, chính vào thời điểm cần kết nối mạnh hơn.
   

Hoạt động an ninh mạng chưa được đầu tư thoả đáng

Bất chấp sự gia tăng của các mối đe dọa đánh cắp thông tin, ngân sách cho an ninh mạng vẫn ở mức thấp trong tổng chi tiêu cho CNTT. Dữ liệu khảo sát cũng cho thấy quy trình phân bổ ngân sách phần lớn chưa linh hoạt, chưa thích ứng kịp thời với những biến động của đại dịch cũng như các thay đổi trong tương lai.

Ngân sách thiếu đồng bộ với nhu cầu

Để tạo ra báo cáo này, EY đã thực hiện phỏng vấn sâu với các lãnh đạo trong lĩnh vực an ninh mạng và khảo sát đối với 1.010 chuyên gia an ninh mạng cấp cao. Đối tượng trả lời khảo sát đều là những doanh nghiệp đạt doanh thu trung bình khoảng 11 tỷ đô la (tính riêng năm ngoái), nhưng chi tiêu trung bình cho an ninh mạng mỗi năm chỉ vào khoảng 5,28 triệu đô la, tương đương 0,05% tổng số doanh thu.

Bức tranh an ninh thông tin thay đổi theo từng lĩnh vực. Năm ngoái, các doanh nghiệp hoạt động trong lĩnh vực dịch vụ tài chính - loại hình kinh doanh có điều kiện, công nghệ, truyền thông và giải trí, và viễn thông (TMT) tham gia khảo sát chi trung bình 9,43 triệu đô la và 9,62 triệu đô la cho an ninh mạng. Trong khi đó, các công ty trong lĩnh vực năng lượng chỉ chi ở mức trung bình 2,17 triệu đô la. Sự khác biệt cũng đến từ quy mô công ty. Tuy nhiên, điều đáng ngạc nhiên là các doanh nghiệp nhỏ có phần hào phóng hơn khi đầu tư cho an ninh mạng, với tỷ trọng đầu tư trên tổng doanh thu lớn hơn nhiều so với các công ty lớn.

Vấn đề nằm ở cách thức lên kế hoạch và phân bổ ngân sách Khoảng 6/10 (61%) người được hỏi cho biết ngân sách cho bảo mật được gộp vào các chi phí chung của công ty, vị dụ, nằm trong một phần ngân sách của CNTT. 19% người khảo sát trả lời rằng chi phí này là cố định và được xác định theo chu kỳ. Hơn một phần ba số người tham gia khảo sát cho biết chi phí cho an ninh mạng được chia sẻ trên toàn tổ chức, nhưng chỉ có 15% số tổ chức được khảo sát làm vậy một cách linh động, phụ thuộc vào cách sử dụng nguồn vốn.

Nói cách khác, rất ít tổ chức xác định ngân sách cho bảo mật là một loại chi phí biến động và là chi phí dự phòng trong kinh doanh. Trên thực tế, nỗ lực tăng cường sức hưởng của các CISOs có thể bị cản trở trong bối cảnh sáng kiến kinh doanh liên tục được đề xuất.

Cắt giảm chi phí làm gia tăng các điểm yếu

CISOs nhận thức sâu sắc về các lỗ hổng mà tổ chức phải đối mặt do tình trạng ngân sách thiếu hụt và kém linh hoạt.

4/10 (39%) người được hỏi nhấn mạnh rằng chi phí an ninh mạng không được tính toán đầy đủ và hoàn thiện trong chi phí đầu tư chiến lược, chẳng hạn như chuyển đổi chuỗi cung ứng CNTT. Hơn một phần ba (36%) nói rằng chỉ còn là vấn đề thời gian cho đến khi tổ chức bị tội phạm mạng tấn công, điều mà họ có thể tránh được nếu đầu tư thích đáng hơn cho phòng thủ an ninh mạng.

Xem xét khía cạnh các tổ chức vội vã chuyển đổi hoạt động và tập trung đầu tư cho tăng trưởng để ứng phó với các hình thái gián đoạn, các vấn đề về an toàn thông tin sẽ ngày càng trở nên nghiêm trọng và cấp thiết. Bốn trong số 10 người được hỏi (39%) cảnh báo ngân sách của tổ chức của họ đang thấp hơn mức cần thiết để ứng phó với các thách thức mới đã phát sinh trong 12 tháng qua.

Hạn chế ngân sách cũng tác động lớn đến khâu đưa ra quyết định của CISOs, buộc họ phải cắt giảm một số hoạt động chiến lược đã được đưa vào kế hoạch phòng khủng hoảng. Hơn một nửa lãnh đạo tham gia khảo sát (56%) cho biết ngân sách hạn chế khiến các yêu cầu an ninh mạng phải được sắp xếp lại. Phần còn lại nói rằng họ buộc phải đưa ra lựa chọn chỉ tập trung vào những kiến trúc và hệ thống truyền thống để cắt giảm chi phí.

Tuy nhiên, một số ít tổ chức có cách tiếp cận chiến lược hơn đối với nguồn vốn được cấp cho an ninh mạng. Remo Marini, Giám đốc An ninh Của Tập đoàn Assicurazioni Generali, một trong những công ty bảo hiểm hàng đầu thế giới, cho biết doanh nghiệp có cách tiếp cận dựa trên rủi ro đối với quỹ đầu tư cho an ninh mạng. "Chúng tôi xây dựng mối liên hệ trực tiếp giữa đầu tư vào bảo mật, giá trị kinh doanh và giảm thiểu rủi ro. Ngân sách của chúng tôi phản ánh việc lên kế hoạch một cách tỉ mỉ, bắt đầu từ định nghĩa chiến lược của chúng tôi, thường là với thời gian ba năm, và thu thập đầu vào từ tất cả các bên liên quan trong và ngoài tổ chức."

2. Quy định không nhất quán khiến các CISOs ngày càng đau đầu

Môi trường tuân thủ toàn cầu đang trở nên phức tạp hơn, với thẩm quyền hoạt động ở cấp khu vực và quốc gia trên toàn thế giới. Các tổ chức trong một số lĩnh vực- đặc biệt là dịch vụ tài chính - cũng có các quy định quản lý cụ thể của ngành.

Mike Maddison, Trưởng nhóm tư vấn an ninh mạng của EY khu vực EMEIA tin rằng vấn đề quy định phải được lưu tâm nhiều hơn. "Nếu bạn là một tổ chức quốc tế, cách bạn quản lý các quy định chồng chéo - và đôi khi mâu thuẫn lẫn nhau- sẽ là một thách thức, đặc biệt là khi các thông tin trở nên ngày càng sẵn có và phổ biến ở mọi quốc gia."

Sự cạn kiệt về thời gian và tài nguyên

CISOs không muốn mất nhiều thời gian để chạy theo các quy định. Gần một nửa số người tham gia khảo sát (49%) thừa nhận việc đảm bảo tuân thủ quy định là phần căng thẳng nhất trong công việc của họ. Cư 10 người thì có tới 6 người (57%) dự đoán rằng quy định sẽ khó mà trở nên không đồng nhất trong thời gian ngắn, thậm chí có thể sẽ trở nên rối rắm hỗn loạn hơn, làm tiêu tốn nhiều thời gian hơn. Bởi vậy, việc các CISOs tỏ ra quyết liệt hơn khi đấu tranh nhằm duy trì nguồn lực dành cho họ là điều dễ hiểu.

Marini, Giám đốc An ninh của Assicurazioni nhận định, "Khi các cơ quan quản lý trong nước và quốc tế tập trung vào mục tiêu tuân thủ, các quy định cũng vì vậy mà dày đặc hơn, gây khó khăn cho doanh nghiệp và tổ chức, đặc biệt là các tập đoàn toàn cầu. Nếu có một khuôn khổ và được chuẩn hóa, bộ phận an ninh sẽ làm việc hiệu quả hơn".

Ở Mỹ, Bộ Tư pháp ít nhất đã nâng mức độ ưu tiên phòng ngừa và chống lại các cuộc tấn công ransomware ngang bằng với mức độ ưu tiên cho vấn đề khủng bố, đồng thời phối hợp điều tra thông qua một lực lượng đặc nhiệm ở Washington. Tại thời điểm viết bài, đội ngũ nghiên cứu không đi sâu tìm hiểu các nguồn lực hỗ trợ cho các tổ chức tư nhân là nạn nhân của các cuộc tấn công mạng.

Tuân thủ quy định: Từ bạn thành thù

CISOs đã có cái nhìn khác về vấn đề tuân thủ, đồng nghĩa với việc mối quan hệ giữa họ và cơ quan quản lý đáng lo ngại hơn. Tại thời điểm tham gia GISS năm ngoái, các CISOs vẫn giữ cái nhìn tích cực về vai trò tuân thủ. Tuy nhiên, câu chuyện này năm nay đã đi theo chiều hướng khác. Họ cảm thấy phân tâm bởi quy định ngày càng phân mảnh và phức tạp. Những thay đổi liên tục và thiếu đồng nhất này không còn biện minh được cho vấn đề ngân sách theo cách mà nó đã làm. Việc tuân thủ đã trở thành kẻ thù của họ. 

Mặt khác, niềm tin vào vai trò của quy định trong hỗ trợ cải thiện các tiêu chuẩn an ninh mạng trong tổ chức ngày càng thuyên giảm.

Trong bản khảo sát GISS năm ngoái, 46% số người được hỏi cho rằng việc tuân thủ quy định đã thúc đẩy doanh nghiệp của họ nhận thức và hành động đúng đắn về vai trò của an ninh mạng. Năm 2021, con số này giảm xuống còn 35%. Đồng thời, chỉ có 1/5 số người được hỏi (tương đương 18%) thừa nhận họ dễ dàng đề xuất xin ngân sách bổ sung với hội đồng quản trị nhờ bám vào quy định. Con số này giảm từ 29% vào năm 2020.

Tuy các giám đốc điều hành cấp cao phần nào đã phản ứng nhanh nhạy hơn với các yêu cầu tăng chi tiêu an ninh mạng nhằm mục đích chuyển đổi phục vụ kinh doanh, nhìn chung, họ không còn bị tác động mạnh bởi các cảnh báo về gánh nặng tuân thủ.

Tuy nhiên, không phải lãnh đạo an ninh mạng nào cũng có cái nhìn bi quan về quy định. Roland Cloutier tại TikTok cho biết quy định đang chiếm "ít nhất 50 hoặc 60%" thời gian của ông, nhưng về cơ bản, ông vẫn đáp ứng được. "Các chương trình an ninh chiến lược của chúng tôi dựa trên yêu cầu thế hệ mới, xoay quanh quy định và mục tiêu bảo vệ người tiêu dùng. Đó là một nhiệm vụ đúng đắn và tối thượng, làm nền tảng để chúng tôi xây dựng sản phẩm có tính sẵn sàng cao cho tương lai. Chúng tôi là người sẽ tạo ra những mô hình, thiết kế đi đầu trong bảo vệ sự an toàn, bảo mật và quyền riêng tư của người dùng trên toàn thế giới."

3. Mối quan hệ của bộ phận an ninh mạng với các trưởng bộ phận khác đang xấu đi

Để việc quản lý rủi ro an ninh mạng gắn liền với chuyển đổi chiến lược, các CISOs cần đưa ra tư vấn ở giai đoạn đầu của quá trình ra quyết định đầu tư. Nhưng mối quan hệ giữa bộ phận an ninh mạng và các bộ phận khác trong doanh nghiệp đang thiếu đi tính tích cực và gắn kết cần thiết làm tiền đề cho các cuộc tham vấn nêu trên.

Lãnh đạo doanh nghiệp loại trừ CISO khỏi các cuộc thảo luận

Từ lâu, các CISOs đã quan ngại về mối quan hệ không bền chặt giữa bộ phận mình và các bộ phận chức năng khác. Vấn đề này đã trở nên hiện hữu hơn trong năm nay. Khảo sát cho thấy, các lãnh đạo doanh nghiệp đang giảm bớt sự tham gia của an ninh mạng trong các cuộc thảo luận quan trọng. Cứ 10 người được hỏi thì có 6 người (58%) trả lời rằng tổ chức của họ đôi khi triển khai công nghệ mới mà họ không có đủ thời gian để đánh giá hoặc giám sát quy trình an toàn, an ninh thông tin.

Dan Higgins, Lãnh đạo Công nghệ Tư vấn Toàn cầu của EY, bày tỏ lo ngại về việc các CISOs tham gia muộn trong quá trình triển khai dữ liệu và giải pháp công nghệ mới. "Các CISOs phải có chỗ đứng đóng trong giai đoạn lập chiến lược chuyển đổi số, cũng là giai đoạn sẽ quyết định khả năng chủ động phòng tránh và giải quyết những rủi ro liên quan đến an toàn thông tin của doanh nghiệp", ông nói.

Chính cấp cao nhất của doanh nghiệp nên là người tạo nên xu hướng này. Theo Khảo sát CEO Imperative Study 2021 của EY, các CEOs không còn xem an ninh mạng là mối quan tâm hàng đầu của họ như đã từng trong năm 2020. Thay vào đó, trọng tâm của họ năm nay là thách thức xung quanh việc áp dụng công nghệ mới.

"Trong môi trường biến đổi không ngừng do tác động của đại dịch COVID, nhiều tổ chức bắt đầu đặt câu hỏi về kỹ năng của bộ phận an ninh mạng", Mike Maddison nhận định. "Liệu bộ phân an ninh mạng được coi là người ngăn chặn hay là người đưa ra giải pháp hiệu quả? Những ngoài nghi này dẫn đến kết quả là các bộ phận khác trong tổ chức đã tự triển khai nhiều hoạt động mà không cần đến sự tư vấn hay can thiệp của bộ phận an ninh mạng.”

Các mối quan hệ lung lay ở nơi cần vững chắc

Trong những tháng tới, tình hình sẽ trở nên nghiêm trọng hơn đối với các bộ phận chức năng sẽ tiến hành triển khai và mở rộng quy mô của việc ứng dụng công nghệ mới dựa trên nền tảng đám mây, làm xuất hiện nguy cơ tiềm ẩn vể việc bị hacker xâm nhập và lây nhiễm ransomware.

Nếu năm ngoái, chỉ có 36% người được hỏi nhìn nhận mối quan hệ giữa họ với các bộ phận kinh doanh tiếp thị là tiêu cực, con số này đã lên tới 41% trong năm nay. Về quan hệ đối với chủ doanh nghiệp, con số thiếu tích cực trong năm nay là 28%, so với 23% của năm trước đó.

Kết quả là, so với con số 36% số người được hỏi trong năm 2020 khẳng định bộ phận an ninh mạng được tham gia tư vấn ở giai đoạn lập kế hoạch cho các sáng kiến kinh doanh mới, con số này chỉ còn 19% trong năm nay.

Mối quan hệ giữa an ninh mạng với bộ phận kinh doanh, phát triển sản phẩm và tiếp thị thường căng thẳng, đối lập với sự gắn kết giữa an ninh mạng với bộ phận rủi ro, pháp lý và CNTT. Về cơ bản, việc CISO không tham gia vào chu kỳ lập kế hoạch có mối quan hệ tốt đẹp hơn với các phòng ban khác là một vấn đề đáng lưu tâm. Chính lúc cần an ninh mạng nhất để đảm bảo hỗ trợ tăng trưởng, họ lại bị đứng ngoài.

Giao tiếp không thông suốt

Quá trình trao đổi và thực thi các biện pháp phòng thủ an ninh mạng thường bị cản trở bởi giao tiếp kém hiêu quả trong giữa các bộ phận. Các CISOs cho biết họ phải vật lộn để giúp các đồng nghiệp khác diễn đạt nhu cầu tư vấn an ninh mạng bằng thuật ngữ kinh doanh. Hơn nữa, doanh nghiệp dù nhận ra thế mạnh vốn có của an ninh mạng, ví như kiểm soát rủi ro, không phải lúc nào họ cũng xem an ninh mạng là đối tác chiến lược.

"Tôi đã thấy được sự thay đổi tích cực trong tư duy của các thành viên hội đồng quản trị. Đó là việc họ nhận thức được rủi ro an ninh mạng", Darren Kane, Giám đốc An ninh tại NBN Co (Úc), một trong những người tham gia phỏng vấn chuyên sâu cho báo cáo này cho hay. "Tuy vậy, các CISOs vẫn cần nỗ lực hơn nữa để phá vỡ các rào cản trong giao tiếp bằng cách giảm bớt các ngôn ngữ kỹ thuật khi thảo luận với hội đồng quản trị, giúp họ hiểu rõ hơn về rủi ro tiềm ẩn trong kinh doanh."

Ít hơn một nửa số người được hỏi (44%) tự tin rằng bộ phận của họ nói cùng một loại ngôn ngữ với các bộ phận khác, và chỉ 26% tin rằng các nhà lãnh đạo cấp cao cũng sử dụng thuật ngữ kỹ thuật để mô tả chức năng. Chỉ một phần tư (25%) nghĩ rằng các nhà lãnh đạo doanh nghiệp cấp cao sẽ mô tả yêu cầu an ninh mạng theo tư duy kinh doanh.

Những người được hỏi thừa nhận, phần còn lại của tổ chức có xu hướng mô tả bộ phận an ninh mạng là lực lượng bảo vệ doanh nghiệp cũng như phản ứng nhanh trước các cuộc khủng hoảng. Dù rằng đây là những nhiệm vụ thiết yếu, bộ phận này cần tự mình cân bằng khả năng truyền tải, thuyết phục và xây dựng niềm tin để củng cố chỗ đứng của họ trên nhiều phương diện chiến lược khác.

Các CISOs nên ứng phó với những thách thức cốt lõi được nêu trong báo cáo GISS năm nay như thế nào? Đội ngũ này nên thể hiện vai trò chiến lược và nòng cốt trong hoạt động thương mại chung của tổ chức, cụ thể ở công tác cải tổ đội ngũ với tư cách là những người hỗ trợ chuyển đổi.

Luận về vấn đề này, ông Errol Gardner, Phó Chủ tịch - Dịch vụ Tư vấn toàn cầu của EY cho biết: “Các CISO phải nằm ở vị trí trung tâm trong nỗ lực chuyển đổi và tạo ra giá trị lâu dài của tổ chức. Các CEOs đang trên đà hiện thực hóa tầm nhìn và tận dụng công nghệ để chuyển đổi doanh nghiệp, họ sẽ không thể nhắm mắt làm ngơ trước những rủi ro không gian mạng có thể gây ra.”

“Trong lúc đó, các CISOs cần đảm bảo rằng các CEOs sẽ hiểu đúng về giá trị mà đầu tư cho an ninh mạng mang lại cũng như họ sẽ công nhận đó là một phần tất yếu của quá trình chuyển đổi. Đầu tư xây dựng mối quan hệ chiến lược giữa CISOs, CEOs và các lãnh đạo cấp cao khác (C-suite), sẽ giúp đảm bảo rằng các chương trình chuyển đổi không chỉ thành công mà còn được thực hiện một cách an toàn cho tổ chức và mọi thành viên.”

Tuy nhiên, khả năng các nhà điều hành an ninh mạng có thể gây ảnh hưởng và được ủng hộ nhiệt liệt trong tổ chức chưa hoàn toàn chắc chắn. Theo Nghiên cứu rủi ro toàn cầu năm 2021 của EY, tám trong mười thành viên hội đồng tin rằng vấn đề quản trị rủi ro được cải thiện có ý nghĩa quan trọng đối với bảo vệ và xây dựng giá trị cho tổ chức. Dù vậy, chúng tôi cho rằng những đóng góp của CISOs sẽ ít được công nhận ở quy mô rộng vào thời điểm hiện tại.

Chúng tôi cũng lưu ý rằng, những yếu tố kể trên đồng nhất với các điểm được đề cập trong báo cáo năm 2020, mặc dù sẽ có một vài điểm cải thiện cơ bản. Nếu có bất cứ thay đổi gì, các sự kiện trong thời kỳ khủng hoảng sẽ chỉ nhấn mạnh thêm tính cấp thiết và quan trọng của các hành động này.

1. Tiếp cận “sự thật nền tảng” – đánh giá lại mối liên kết trong nội bộ doanh nghiệp

Các nhóm an ninh mạng vốn mạnh ở khâu đánh giá năng lực, xác định rủi ro và xây dựng lộ trình cho tương lai.

CISOs nên tập trung cải thiện các yếu điểm từng tồn tại. Cụ thể là: tăng cường mối liên kết của mình với các bên liên quan, đảm bảo kế hoạch và hành động thống nhất với các mục tiêu kinh doanh cốt lõi và thường xuyên đánh giá mức độ hài lòng của các đối tác đối với việc thực hiện và cung cấp các dịch vụ bảo mật, an toàn thông tin.

Khi mối quan hệ với các đối tác có chiều hướng xấu đi trong những năm gần đây, các CISOs ít được tiếp cận với mục tiêu, viễn cảnh cần thiết để thiết lập nên những hoạt động đồng bộ với các bộ phận khác, từ đó theo đuổi chiến lược phù hợp với doanh nghiệp.

2. Rà soát hồ sơ nhân tài – mà không đặt kì vọng quá mức

Để đối phó với những thách thức về tổ chức đã được đề cập trong khảo sát, cũng như tính chất phức tạp của các cuộc tấn công cấp cao trong thời gian gần đây, các CISOs sẽ cần sự hỗ trợ của chuyên gia, những tài năng xuất chúng.

Thách thức đặc ra ở đây là kỹ năng cần thiết cho công việc phòng ngừa rủi ro, đảm bảo an ninh thông tin ngày càng được mở rộng theo nhiều hướng. Không có cái gọi là hồ sơ an ninh mạng “tiêu chuẩn”. CISOs cần những cá nhân có kỹ năng cao, đầu óc nhạy bén, cũng như khả năng xây dựng những mối quan hệ giữa các bộ phận. Họ cần những người giàu nhiêt huyết với đổi mới và tăng trưởng - những người cũng có thể phát hiện ra các mối đe dọa mới xuất hiện và tìm ra lỗ hổng trong phòng thủ.

Dưới đây, chúng tôi phác thảo chân dung, năng lực của một số nhân tài ngành an ninh mạng nổi lên trong những năm gần đây, bất chấp sự thay đổi không ngừng của ngành này. Mỗi hồ sơ năng lực đảm nhận lĩnh vực trọng tâm cụ thể, có kỹ năng mềm và trình độ chuyên môn riêng biệt, đóng vai trò quan trọng trong việc đáp ứng nhu cầu thay đổi của doanh nghiệp.

Tuy nhiên, để tìm ra một cá nhân sở hữu tất cả những phẩm chất này giống như việc săn kỳ lân vậy. Bởi vậy, cách tiếp cận tốt hơn cả là tập hợp một nhóm kết hợp các phẩm chất này, với ý thức rằng mỗi bộ phận hay cá nhân đều có điểm mạnh và điểm yếu riêng.

Chân dung chuyên gia, lãnh đạo an ninh mạng ngày nay

Đối với xây dựng quan hệ nội bộ, CISOs cần đảm bảo rằng cấp dưới của họ giao tiếp thường xuyên hơn với các bộ phận như tiếp thị, đổi mới và các đơn vị kinh doanh khác. Ông Darren Kane nhận định: “Nhóm an ninh mạng nổi tiếng là chỉ ngồi lỳ trong tầng hầm của một tòa nhà văn phòng. Nhưng với nguy cơ hệ thống bị tấn công, dữ liệu bị đánh cắp hiện được coi là một trong những rủi ro hàng đầu của bất kỳ doanh nghiệp nào, các nhóm đội ngũ an ninh mạng nên ra ngoài và tiếp xúc nhiều hơn với các bộ phận khác của doanh nghiệp.”

3. Dịch chuyển chủ động – kim chỉ nam của các bên liên quan

Các CISOs đã quen thuộc với nguyên tắc “dịch chuyển sang trái” (shifting left), nghĩa là cố gắng đánh giá và chú ý tới vấn đề an ninh mạng sớm hơn trong vòng đời chuyển đổi và phát triển sản phẩm.

Tuy nhiên, những thách thức của COVID-19 cho thấy rằng việc dịch chuyển sang trái không còn là tất cả những gì cần thiết nữa. Đề xuất của chúng tôi với các CISO là họ nên chuyển dịch cả về bốn phía - bắc, đông, nam và tây. Trên thực tế, điều này có nghĩa là điều hướng bốn nhóm liên quan chính.

Để giải quyết các mối quan tâm của cấp quản lý, chuyển trọng tâm lên "phía bắc," có nghĩa là tập trung vào báo cáo và trách nhiệm giải trình, cũng như lập ngân sách và phân bổ tài nguyên nguồn lực. Chuyển trọng tâm sang “phía đông” là hướng tới các cơ quan quản lý, ưu tiên chứng nhận và chứng thực, tuân thủ quy định. Chuyển dịch về “phía nam” là nâng cao cải thiện các tiêu chuẩn và thử nghiệm. Và chuyển hướng về “phía tây” là liên quan đến việc tập trung vào bảo mật và quyền riêng tư từ mức thiết kế, cùng với các chứng nhận và kiểm thử liên tục.

Nếu có thể đặt mình vào vị trí trung tâm của bốn trụ cột này, CISOs sẽ có thể đưa bộ phận của mình lên một tầm ảnh hưởng chiến lược mới.