Được biết PricewaterhouseCooper (PwC) cùng với tạp chí CIO thực hiện bản báo cáo thường niên về bảo mật thông tin DN toàn cầu. Ông có thể chia sẻ với độc giả tạp chí Thế Giới Vi Tính một số điểm chính trong báo cáo đó?
Cuộc khảo sát tình trạng bảo mật thông tin (BMTT) toàn cầu năm 2008 được công ty PwC, tạp chí CIO và tạp chí CSO phối hợp thực hiện trực tuyến từ 25/3 đến 26/6/2008. Có 39% người trả lời là ở Bắc Mỹ, 27% ở châu Âu, 17% ở châu Á, 15% ở Nam Mỹ và 2% ở Trung Đông và Nam Phi. Xác suất sai sót là 1%.
Ông Henri Hoàng |
• 44% DN có kế hoạch tăng đầu tư vào vấn đề BMTT trong năm tới.
• 28% nhà điều hành trong lĩnh vực sản xuất hàng tiêu dùng và bán lẻ cho rằng sự đầu tư của họ vào BMTT đáp ứng rất hạn chế hoặc không đáp ứng được mục tiêu kinh doanh, so với con số 14% nhà điều hành trong ngành dịch vụ tài chính.
• Chỉ có 24% các nhà điều hành thấy được giá trị kinh tế của dữ liệu như là một phần kết quả đạt được từ các chính sách BMTT.
Chúng tôi đã đưa kết quả cuộc khảo sát lên trang http://www.pwc.com/giss2008. Có thể độc giả sẽ ngạc nhiên với một số vấn đề nổi bật.
Theo báo cáo, châu Á có vẻ phải đối mặt với nhiều rủi ro ngày càng tăng do đánh mất khả năng BMTT. Ông có giải thích hay bình luận gì về vấn đề này?
Mặc dù cuộc khảo sát cho thấy các công ty có xu hướng nhìn nhận vấn đề BMTT tốt hơn so với các năm trước, nhưng hàng ngày vẫn có nhiều công ty bị các hacker tấn công.
BMTT không chỉ là sử dụng các công nghệ bảo mật mà còn đòi hỏi phải biết kết hợp giữa nguồn nhân lực, các quy trình và các công cụ bảo mật. Sẽ khó đặt ra một khuôn mẫu BMTT (security framework) và kiểm soát hiệu quả, bởi điều đó đòi hỏi ban lãnh đạo phải hỗ trợ để vượt qua hạn chế của nguồn tài chính và nhân lực, đặc biệt trong tình hình khủng hoảng kinh tế toàn cầu.
Quy chế bảo vệ quyền riêng tư ảnh hưởng thế nào đến an ninh của một DN? Vấn đề này đang được PwC tư vấn cho các DN ra sao?
Như đã nêu trong báo cáo, quy chế bảo vệ quyền riêng tư chưa được xác lập rõ ở các công ty châu Á. Thách thức trong bảo mật dữ liệu riêng tư là bảo đảm chia sẻ dữ liệu và thông tin trong khi vẫn bảo vệ an toàn thông tin nhận dạng cá nhân (PII). BMTT cá nhân là một phần trọng yếu trong chiến lược bảo mật dữ liệu.
Có 2 loại thông tin riêng tư: (1) thông tin cá nhân (số thẻ tín dụng, tình trạng sức khỏe cá nhân, tình trạng tài chính...) và (2) thông tin DN (tình hình tài chính, danh sách khách hàng, kế hoạch marketing, tài sản trí tuệ như bằng sáng chế, phương pháp luận...). Rò rỉ bất cứ thông tin riêng tư nào trên đây đều có thể dẫn đến tổn thất tài chính do mất đi danh tiếng và uy tín, tư cách pháp nhân (bị nhân viên và khách hàng kiện tụng).
Để đối phó hiệu quả với nguy cơ này, trước hết, DN phải biết sẽ có những rủi ro gì và tác động tiểm ẩn gì nếu xảy ra rò rỉ thông tin riêng tư. Khi đó, DN phải nhận dạng và phân loại dữ liệu thông tin theo từng cấp độ, như tuyệt mật, nhạy cảm hay đại chúng, sau đó đưa ra cách kiểm soát, BMTT thích hợp đối với từng cấp độ dữ liệu thông tin. DN phải đảm bảo đào tạo nhân viên thích hợp với những vấn đề liên quan đến BMTT. Nên xây dựng và thử nghiệm các quy trình về bảo mật, như theo dõi và báo cáo sự cố. Những DN có website nên đảm bảo website được cấu hình đúng đắn và an toàn bằng cách mời chuyên gia bảo mật bên ngoài thực hiện kiểm tra xâm nhập thường xuyên, định kỳ.
Qua báo cáo, ông có nhận định gì về các xu hướng liên quan đến BMTT của DN?
Những lỗ hổng chưa được nhận dạng cũng như nguồn gốc đặc thù của các sự cố an ninh tiếp tục gây ra những thử thách cho DN. Để bảo vệ thông tin và dữ liệu một cách hiệu quả, DN phải có khả năng nhận dạng các rủi ro trong BMTT thông qua công tác rà soát rủi ro định kỳ và toàn diện; áp dụng những công nghệ hiện đại để theo dõi và phát hiện tấn công của các hacker; lập các quy trình và kiểm soát BMTT thích hợp để ngăn chặn tấn công.
Chức danh CSO hoặc CISO (giám đốc an ninh thông tin) đã rất quen thuộc tại một số khu vực, nhưng lại hoàn toàn mới mẻ tại châu Á. Vậy vai trò của CSO và CISO quan trọng như thế nào đối với một tổ chức? Ai là người phù hợp để chịu trách nhiệm cao nhất trong vấn đề BMTT của một tổ chức, CIO hay CSO/CISO?
Vì BMTT đang trở nên cực kỳ quan trọng đối với DN, nên cần chỉ định một người có trình độ và kinh nghiệm đảm nhiệm giám sát vấn đề bảo mật thông tin và dữ liệu, những tài sản lớn nhất của DN.
Khó có thể nói rằng người nào phù hợp với vai trò đó. Tuy nhiên, trách nhiệm về BMTT cần phải được chia sẻ giữa các nhân viên trong DN, từ nhân viên tiếp tân tới các thành viên ban lãnh đạo.
Đối với các DN lớn hơn, BMTT và dữ liệu DN cần phải phân công cho một người được chỉ định. Báo cáo về BMTT DN toàn cầu cho thấy CISO thường báo cáo cho nhiều nhà điều hành cấp cao. Tại các công ty lớn, một trong những nhà điều hành cấp cao này chính là CIO.
Các nguyên nhân dẫn đến mất an toàn thông tin
* Không có lựa chọn trong năm 2007 |
Thu Nga