Gửi bình luận
Viện Chiến lược Phát triển Kinh tế số
Do tầm quan trọng và tính phức tạp, quản lý rủi ro là một cái bẫy đối với nhiều doanh nghiệp. Sau đây là những cách để doanh nghiệp không vô tình rơi vào khủng hoảng bảo mật.
Quản lý rủi ro là điều cần thiết để xây dựng và duy trì hệ thống bảo mật doanh nghiệp. Tuy nhiên, nhiều lãnh đạo an ninh (CISO) vẫn tiếp tục rơi vào những cái bẫy phổ biến làm suy yếu nỗ lực của họ.
Bất kể quy mô, sứ mệnh hay phạm vi của doanh nghiệp, quản lý rủi ro đóng vai trò nền tảng trong thế trận bảo mật tổng thể của doanh nghiệp. Ngay cả một sai lầm có vẻ đơn giản cũng có thể dẫn đến hậu quả nghiêm trọng.
Sau đây là những sai lầm về quản lý rủi ro mà doanh nghiệp thường mắc phải và cách tránh chúng.
Thiếu mục tiêu xác định
Sai lầm đầu tiên trong quản lý rủi ro là không tạo ra được mục tiêu chương trình được xác định rõ ràng.
Nhiều lãnh đạo an ninh (CISO) thường phải đối mặt với vô số vấn đề liên tục và hỏang hoạn hàng ngày. Do đó, họ không bao giờ rời khỏi chế độ chữa cháy đủ lâu để phát triển, chứ đừng nói đến việc thực hiện thành công, một chiến lược bảo mật thông tin rộng hơn.
Khi bị vướng vào cách tiếp cận phản ứng và hoạt động, chiến lược doanh nghiệp sẽ bị ảnh hưởng và các biện pháp kiểm soát bảo mật doanh nghiệp phải vật lộn để theo kịp và vượt ra khỏi bối cảnh bị đe dọa hiện tại. Với mục tiêu lỗi thời hoặc không được xác định rõ ràng, các khoản đầu tư chiến lược hạn chế và thiếu kế hoạch chiến lược sáng tạo, gây bất lợi cho tổ chức và cuối cùng làm tăng rủi ro an ninh thông tin và an ninh mạng.
Cách tốt nhất để CISO thoát khỏi tình trạng bế tắc và quay trở lại vị trí lãnh đạo chiến lược với cách tiếp cận bảo mật chủ động là triển khai các quy trình rủi ro hoạt động thường xuyên. Các thành viên chủ chốt trong bộ phận nên hạn chế thời gian cho các nhiệm vụ thường xuyên mà nhân viên cấp dưới có thể xử lý.
Đánh giá rủi ro và bảo mật quá mức
Nhiều CISO xây dựng các chương trình bảo mật và rủi ro theo hướng kiểm soát quá mức có thể dẫn đến việc tiến hành đánh giá rủi ro gần như liên tục, luôn cố gắng tìm ra các vấn đề mới để giảm thiểu.
Mặc dù việc tiến hành đánh giá rủi ro ban đầu có thể hữu ích trong việc giảm thiểu rủi ro, nhưng về lâu dài, nó sẽ trở nên không hiệu quả, tạo ra một chu kỳ không ngừng nghỉ dẫn đến chi phí không cân xứng và bỏ lỡ các cơ hội mà nguồn lực có thể được đầu tư tốt hơn ở nơi khác.
Việc CISO muốn giải quyết mọi rủi ro có thể xảy ra là điều bình thường, thường là dưới áp lực từ lãnh đạo cao hơn. Điều này dẫn đến việc xây dựng các chương trình rủi ro được “khóa cứng”, trong đó cách tiếp cận duy nhất là ưu tiên đánh giá rủi ro.
Tư duy phản ứng như vậy có thể làm lu mờ nhu cầu về một cách tiếp cận chiến lược hơn, xem xét đến tác động có thể xảy ra đối với con người, sản phẩm và tài chính của rủi ro. Và cũng có những khía cạnh tâm lý có thể khiến cá nhân hoặc nhóm đánh giá rủi ro kém.
Cách tiếp cận đúng đắn đối với quản lý rủi ro là tiếp cận toàn diện, duy trì mức rủi ro phù hợp mà không cần thực hiện công tác giảm thiểu liên tục để có thể phân bổ lại nguồn lực dựa trên những lĩnh vực nào cần được chú ý nhiều hơn.
Cũng cần tối ưu hóa sắp xếp các biện pháp kiểm soát rủi ro để giảm số lượng biện pháp kiểm soát cần thiết, tự động hóa các hoạt động để giảm công việc bảo trì và hành chính, đồng thời cải thiện trải nghiệm của khách hàng bằng các phương pháp phòng ngừa gian lận.
Không thiết lập được văn hóa an ninh thực sự
Văn hóa là sự kết hợp của niềm tin, giá trị và hành vi, do đó, văn hóa an ninh mạng chủ yếu do con người trong tổ chức thúc đẩy. Cách tốt nhất để xây dựng một nền văn hóa như vậy là thể hiện nó trong thực tế, không chỉ trong những tuyên bố sứ mệnh tham vọng hay bài thuyết trình hoa mỹ.
Một doanh nghiệp tuân thủ đúng niềm tin về an ninh, chia sẻ đúng các giá trị về an ninh và khuyến khích các hành vi an ninh đúng đắn có thể xây dựng được văn hóa an ninh mạng phù hợp cho toàn doanh nghiệp. Nếu không có văn hóa phù hợp, chiến lược an ninh tốt nhất cũng sẽ thất bại.
Văn hóa an ninh mạng chủ yếu do con người tạo ra, nên nó phải được thể hiện bởi những người cấp cao nhất trong hệ thống phân cấp của tổ chức. Nói cách khác, đó không phải là trách nhiệm của tổ chức an ninh, mà là của toàn bộ ban lãnh đạo cấp cao và hội đồng quản trị. Mọi người trong tổ chức đều có trách nhiệm thúc đẩy văn hóa an ninh mạng.
Quá tự tin vào hệ thống bảo mật của mình
Sai lầm nữa là CISO nghĩ rằng đã nắm được quyền kiểm soát hoàn toàn, dựa vào kế hoạch bảo mật và tin tưởng vào những chứng chỉ trong ngành để bảo vệ doanh nghiệp khỏi các mối đe dọa mạng. Tuy nhiên, an ninh mạng rất phức tạp và không ngừng phát triển, luôn có những kẻ tấn công mới, phương pháp tiếp cận mới hoặc khởi động lại các cuộc tấn công cũ với hình thức mới. Vì vậy, luôn cảnh giác và chuẩn bị là cách duy nhất để thực sự quản lý rủi ro.
An ninh mạng cần thay đổi theo thời gian. Nếu không thường xuyên cải thiện và xác minh môi trường kiểm soát của mình, doanh nghiệp sẽ không được bảo vệ. Bối cảnh mối đe dọa luôn thay đổi và các giải pháp bảo mật có thể được coi là mạnh khi mới triển khai sẽ trở nên yếu hơn theo thời gian.
Trên thực tế, câu trả lời duy nhất cho câu hỏi “chúng ta có an toàn không” phải luôn là “không”.
Tâm lý hộp kiểm tra
Lãnh đạo thường tập trung vào việc đảm bảo tuân thủ các quy định và tiêu chuẩn, thay vì đánh giá và quản lý rủi ro thực tế.
Điều này xuất phát từ quan điểm tuân thủ đồng nghĩa với bảo mật, và dẫn đến tâm lý hộp kiểm tra (checkbox) với việc tổ chức tập trung vào các yêu cầu theo quy định và bỏ qua việc đánh giá và giảm thiểu các mối đe dọa trong thế giới thực. Kết quả là, các lỗ hổng có thể vẫn tồn tại, dẫn đến vi phạm và mất dữ liệu có thể được ngăn ngừa bằng cách sử dụng phương pháp tiếp cận chiến lược hơn dựa trên rủi ro.
Không thiết lập được số liệu và mô hình quản trị hiệu quả
Các chuyên gia khuyên lãnh đạo CISO nên cân bằng các công cụ bảo mật của họ với những mô hình đo lường và quản trị liên tục.
Số liệu và mô hình quản trị hiệu quả sẽ giúp đảm bảo các chính sách bảo mật luôn phù hợp với yêu cầu của quy định, thông lệ tốt nhất của ngành và nhu cầu cụ thể của tổ chức. Khả năng hiển thị rõ ràng và liên tục cho phép các phòng ban xác định các cấu hình sai trong cơ sở hạ tầng trước khi chúng có thể dẫn đến vi phạm. Nếu không có số liệu và quản trị tốt, việc đo lường thành công của các sáng kiến bảo mật và duy trì các chính sách hiệu quả, cập nhật sẽ trở nên khó khăn.
Không tạo được kế hoạch phục hồi hoạt động hiệu quả
Kế hoạch phục hồi hoạt động sẽ xem xét bức tranh toàn cảnh, bao gồm toàn bộ hệ sinh thái của doanh nghiệp và chỉ ra cách duy trì hoạt động kinh doanh trong các sự kiện gián đoạn. Bằng cách ưu tiên phục hồi hoạt động, lãnh đạo có thể cân bằng nhu cầu bảo vệ chống lại rủi ro bảo mật quan trọng với việc quản lý liên tục của doanh nghiệp.
Với kế hoạch được thiết lập cẩn thận, tổ chức có thể hạn chế sự gián đoạn, phục hồi nhanh hơn và giảm tác động đến lợi nhuận của họ nếu bị vi phạm. Nếu không có kế hoạch phục hồi hoạt động, toàn bộ hệ sinh thái của tổ chức, bao gồm nhà cung cấp, đối tác đều có rủi ro.
