Ngày nay, hàng trăm triệu người làm việc từ xa đang tạo, truy cập, chia sẻ và lưu trữ dữ liệu mọi lúc mọi nơi, và đây là nguyên nhân phát sinh vi phạm dữ liệu và rủi ro ảo mật ngày càng tăng.
Khi thế giới số tiếp tục phát triển, thì số lượng, sự đa dạng và tốc độ của các mối đe dọa và tấn công mạng cũng tăng theo. Thế giới tràn ngập dữ liệu và luôn có ai đó cố gắng biến nó thành tài sản ảo của riêng họ.
Phần mềm độc hại và mã độc tống tiền đang tấn công mọi thứ, từ điện thoại di động cá nhân của chúng ta đến cơ sở hạ tầng quan trọng và chuỗi cung ứng. Cho dù đó là lừa đảo hay đánh cắp, kẻ tấn công cũng ngày càng tinh vi hơn, tận dụng thông tin chi tiết về cuộc sống cá nhân và công việc của mỗi người chúng ta để lừa đảo và dụ dỗ chia sẻ dữ liệu của mình.
Nhưng trong một thế giới mà tất cả mọi người đều là mục tiêu, các doanh nghiệp cũng cần hiểu khả năng tiếp xúc với những rủi ro đến từ ngay bên trong tổ chức của họ. Ngày nay, hàng trăm triệu người làm việc từ xa, tạo, truy cập, chia sẻ và lưu trữ dữ liệu mọi lúc mọi nơi, và vi phạm dữ liệu phát sinh từ chính những hoạt dộng nội bộ đó có thể khiến doanh nghiệp thiệt hại hàng triệu USD hàng năm.
Cuối cùng, việc vi phạm là cố ý hay vô tình không thành vấn đề lớn. Các chương trình ngăn ngừa rủi ro nội bộ nên là một phần trong chiến lược bảo mật của mọi công ty. Để thành công, tổ chức nên dẫn dắt nhân viên của mình với tư cách là đối tác trong nỗ lực và bổ sung cho chương trình của họ các công cụ giúp phát hiện và giảm thiểu rủi ro nội bộ ở bất cứ nơi nào chúng phát sinh.
Dưới đây là những bài học được chia sẻ của một chuyên gia bảo mật từ Microsoft - công ty phần mềm hàng đầu thế giới, người đang quản lý chương trình rủi ro nội bộ của công ty.
1. Ưu tiên sự tin tưởng và quyền riêng tư của nhân viên
Điểm này đến đầu tiên vì một lý do. Trong kinh doanh và trong cuộc sống, niềm tin là chìa khóa cho bất kỳ mối quan hệ hoạt động nào. Các chương trình rủi ro nội bộ tốt nhất nhấn mạnh sự cân bằng giữa quyền riêng tư của nhân viên và bảo mật của công ty. Điều quan trọng là phải đưa ra các chính sách và kiểm soát quyền riêng tư để duy trì và thậm chí tăng cường lòng tin.
Việc thiết lập các công cụ nhằm sàng lọc loại bỏ bừa bãi các hoạt động của nhân viên không chỉ không hiệu quả mà còn phản tác dụng, nó hoàn toàn sai lầm. Đó là sự xâm phạm quyền riêng tư tạo ra sự lo lắng và làm xói mòn mối quan hệ. Tổ chức cần có khả năng phát hiện rủi ro nội bộ, nhưng họ phải thực hiện đúng cách, hành động minh bạch và trong phạm vi được xác định hẹp để thể hiện sự tôn trọng và mở rộng niềm tin đối với nhân viên.
Thiết lập các biện pháp kiểm soát quyền riêng tư để bảo vệ danh tính tại nơi làm việc - ngay cả trong quá trình điều tra, cho mọi người biết bạn cũng đang bảo vệ họ. Sử dụng các công cụ quản lý truy cập dựa trên vị trí công việc cũng giúp đảm bảo rằng đúng người đang xem xét các cảnh báo tuân thủ, ngăn chặn sự nghi ngờ xâm nhập không chính đáng vào tổ chức.
2. Phối hợp giữa các chức năng
Trong khi nhóm bảo mật và CNTT có trách nhiệm về an ninh, rủi ro nội bộ là một vấn đề kinh doanh liên quan đến toàn bộ công ty. Tại Microsoft, chúng tôi đã học được điều này theo thời gian. Điều bắt đầu như một khởi xướng trong bộ phần bảo mật đã phát triển thành một nỗ lực thống nhất giữa các nhóm kinh doanh, bao gồm pháp lý, nhân sự và lãnh đạo cấp cao.
Điều này giúp đảm bảo sự tham gia rộng rãi hơn của toàn tổ chức, đồng thời cung cấp thêm ý tưởng và nguồn lực bổ sung, chẳng hạn như bộ phận pháp lý ưu tiên các quy định mới và hỗ trợ nhân sự cho các chương trình đào tạo và khảo sát. Nhóm quản lý rủi ro nội bộ hoặc thanh tra có thể giúp cuộc trò chuyện diễn ra. Một trong những nhiệm vụ đầu tiên của họ là tạo ra một kế hoạch phản hồi cách chia sẻ thông tin, thời điểm và những gì mỗi nhóm đóng góp, ai đưa ra quyết định và ai chịu trách nhiệm giải trình.
Điều quan trọng là phải chia sẻ mục tiêu với thước đo thành công rõ ràng. Bạn có thể tinh chỉnh quy trình bằng cách định lượng các chỉ số chính, chẳng hạn như số trường hợp được đưa ra, các hành động được thực hiện do kết quả của phát hiện. Nếu có nhiều kết quả không chính xác, bạn có nguy cơ tạo gánh nặng cho nhóm nhân sự và pháp lý của mình bằng các cuộc điều tra tốn kém và không cần thiết.
3. Nhận thức rằng nhân viên là tuyến phòng thủ đầu tiên và cuối cùng
Thu hút nhân viên tham gia đào tạo về tuân thủ và bảo vệ dữ liệu có thể là một thách thức, nhưng điều quan trọng là họ phải biết cách giảm thiểu rủi ro bảo mật và lý do ưu tiên. Các khóa đào tạo nhấn mạnh đến việc quản lý dữ liệu cho thấy tổ chức đang mở rộng lòng tin của mình đối với nhân viên khi họ phục vụ doanh nghiệp.
Đào tạo nhân viên về cách xử lý dữ liệu của tổ chức đúng cách và lặp lại thông điệp đó thường xuyên để thông tin luôn mới. Nó cũng giúp làm cho nó trở nên cá nhân. Hầu hết mọi người ngay lập tức hiểu và tham gia vào cách bảo vệ dữ liệu về sức khỏe và tài chính của chính họ. Việc truyền tải khía cạnh cá nhân vào khóa đào tạo cũng kết nối các dấu chấm về tầm quan trọng của việc bảo vệ dữ liệu đối với doanh nghiệp.
Đào tạo mọi người theo nguyên tắc “See something, say something”, là một khẩu hiệu được sử dụng để khuyến khích mọi người báo cáo hoạt động đáng ngờ hoặc bất thường mà họ có thể chứng kiến, là một khả năng quan trọng đối với chương trình nội bộ. Bằng cách tăng cường giáo dục và đào tạo về bảo mật dữ liệu, doanh nghiệp có thể trao quyền cho nhân viên như tuyến phòng thủ đầu tiên và cuối cùng được bổ sung bằng các công cụ phát hiện.
4. Quản lý rủi ro nội bộ
Gartner định nghĩa quản lý rủi ro nội bộ là “những công cụ và khả năng để đo lường, phát hiện và ngăn chặn hành vi không mong muốn của các tài khoản đáng tin cậy trong tổ chức”. Các công cụ quản lý rủi ro nội bộ đã trở nên chính xác và hiệu quả hơn nhiều trong những năm gần đây.
Công cụ cũ hơn có xu hướng bỏ qua các dấu hiệu tinh vi có thể xác định kẻ xấu đang cố che giấu dấu vết của chúng. Những công cụ này cũng thường có các biện pháp kiểm soát quá nghiêm ngặt làm giảm năng suất và khuyến khích các giải pháp thay thế. Ngày nay, một loại công cụ quản lý rủi ro nội bộ mới đang nổi lên với khả năng bảo mật thích ứng có thể phát hiện nhiều hoạt động rủi ro và giảm thiểu mọi tác động tiềm ẩn trong khi vẫn giữ kín thông tin người dùng.
Khi có hành động như in một tập tin bí mật có thể không thể hiện ý định, thì một chuỗi các hoạt động được kết nối như đổi tên tập tin và sau đó xóa đi sau khi in có thể chỉ ra điều gì đó nghiêm trọng hơn. Bằng cách sử dụng máy học, những công cụ này có thể tách tín hiệu khỏi tiếng ồn và xác định các hành động tinh vi, giảm thông tin sai lệch.
Một chương trình quản lý rủi ro nội bộ thành công tập trung vào con người, quy trình và công nghệ
Quản lý cả rủi ro bên trong và bên ngoài là rất quan trọng đối với an ninh của bất kỳ tổ chức nào. Mỗi công ty đều có những thách thức riêng, nhưng điều khiến việc quản lý rủi ro nội bộ trở nên đặc biệt phức tạp là nhu cầu cân bằng giữa con người, quy trình và công nghệ.
Công cụ mạnh có thể giúp ngăn ngừa, phát hiện và ứng phó với rủi ro nội bộ, nhưng chúng sẽ không giải quyết được nguyên nhân gốc rễ. Đó là lúc chương trình giới thiệu chi tiết, đào tạo bảo mật, bài tập xây dựng nhóm và chương trình cân bằng giữa công việc và cuộc sống sẽ trở nên hữu ích. Xây dựng một môi trường làm việc lành mạnh giúp giảm nguy cơ nhân viên cố ý thực hiện hành vi nguy hiểm. Nhưng cuối cùng, đạt được sự cân bằng giữa con người và công nghệ là điều quan trọng nhất. Quản lý rủi ro phải chủ động và liên tục, đồng thời cần có sự tin tưởng, minh bạch và hợp tác để duy trì hoạt động của cỗ máy đó. Theo triết lý này, con người là ưu tiên hàng đầu, được hỗ trợ bởi công nghệ mạnh mẽ là cách duy nhất để ngăn chặn các sự cố trước khi chúng xảy ra, phát hiện chúng nếu chúng xảy ra và ứng phó với chúng một cách nhanh chóng và hiệu quả.