Với hơn 16 năm kinh nghiệm trong kinh doanh, quan hệ đối tác và quản lý các hoạt động marketing, ông Nguyễn Văn Giáp hiện là Giám đốc Quốc gia của Lenovo Việt Nam, chịu trách nhiệm về hoạt động kinh doanh tổng thể của Lenovo tại Việt Nam. Quản lý một công ty công nghệ hàng đầu, cùng kinh nghiệm làm việc với khối doanh nghiệp, dưới nhiều vai trò quản lý, người đứng đầu Lenovo Việt Nam nhấn mạnh vai trò của an ninh, bảo mật trong kỷ nguyên 4.0 nhiều rủi ro dữ liệu.
- Ông đánh giá thế nào về vai trò của an ninh bảo mật với doanh nghiệp hiện nay?
- Thông thường, an ninh bảo mật được coi như một chính sách bảo hiểm hơn là một yếu tố tạo điều kiện kinh doanh. Dù không hoàn toàn sai lầm, nhưng quan điểm này có thể là quá hạn hẹp vì coi bảo mật như chi phí kinh doanh. Vì vậy, các doanh nghiệp có thể sẽ đặt nghi vấn về nhu cầu bảo mật, nếu như họ chưa bị tấn công, mất dữ liệu hay các cơ sở vận hành của họ chưa bị xâm nhập.
Tuy nhiên, một tổ chức đã bị hacker tấn công có thể sẽ không còn khả năng tiếp tục mang lại giá trị cho các bên liên quan nếu không ngăn chặn được cuộc tấn công và tăng cường các biện pháp bảo mật trong tình hình mạng doanh nghiệp ngày càng phức tạp.
Theo một báo cáo của Bộ Thông tin và Truyền thông, trong 5 tháng đầu năm nay, Việt Nam ghi nhận kỷ lục hơn 5.400 cuộc tấn công mạng bao gồm các cuộc tấn công mã độc (malware), giả mạo (deface) và lừa đảo (phishing).
Tuy nhiên, chúng ta cũng đang quan sát thấy được quan điểm của các doanh nghiệp, nhà đầu tư và đối tác đang dần thay đổi. Đa số đều bắt đầu nhất trí cho rằng cần nhấn mạnh vào tầm quan trọng của bảo mật như một giá trị mà doanh nghiệp có thể mang lại cho khách hàng.
Với tôi, an ninh bảo mật giống như việc hít thở. Hít thở là chức năng rất quan trọng và căn bản - nhưng nó không nhất thiết cần mang lại sự thích thú và thỏa mãn cho cuộc sống. Giống như hít thở, bản chất của bảo mật là bảo đảm cho tổ chức có thể hoàn thành chức năng nhiệm vụ của mình.
- Các doanh nghiệp gặp khó khăn gì khi triển khai bảo mật?
- Bảo mật cần được nhất quán với chiến lược kinh doanh. Việc điều chỉnh này cần tập trung vào mục tiêu mà tổ chức muốn đạt được trong hoạt động của mình, với khách hàng của mình, với hệ sinh thái rộng lớn hơn, bao gồm các nhà cung cấp, đối tác, và đối với một số tổ chức, bao gồm cả các khuôn khổ pháp lý.
Tuy nhiên, từ quan điểm bảo mật, các tổ chức gặp khó khăn thách thức khi không biết trước liệu một cuộc tấn công có xảy ra hay không, có thể bắt đầu từ đâu và tác động của cuộc tấn công. Do đó, trước đây bảo mật thường được xem như một biện pháp bảo vệ tổ chức.
Hoạt động của một tổ chức sẽ bị hạn chế nếu bảo mật không được tích hợp vào chiến lược. Nếu doanh nghiệp không thể chuyển sang hoạt động trực tuyến nhiều hơn vì lý do bảo mật yếu hoặc thiếu hiểu biết về năng lực của an ninh bảo mật - họ có thể bị các đối thủ cạnh tranh qua mặt.
- Làm thế nào để đánh giá hiệu quả của các giải pháp bảo mật, đặc biệt khi gắn với chiến lược kinh doanh?
- Chúng ta cần thảo luận và xem xét bảo mật qua lăng kính hoàn vốn đầu tư (ROI). Việc này không dễ thực hiện vì chi phí của các giải pháp bảo mật thường được coi là các chi phí chìm. Nếu cuộc tấn công không xảy ra thì sẽ không có hoàn vốn đầu tư. Do đó, rất khó đánh giá ROI của một giải pháp bảo mật.
Khó khăn này có thể bắt đầu được giải quyết bằng cách từ bỏ tư duy chính sách bảo hiểm và chuyển sang ghi nhận giá trị hoàn vốn của việc đảm bảo an toàn cho các bên liên quan.
Bước đi căn bản đầu tiên là xác định các rủi ro thực sự. Ngày nay, ngay cả các doanh nghiệp vừa và nhỏ cũng có lực lượng lao động phân tán, lượng lớn dữ liệu và giao dịch nằm trên đám mây điện toán. Công ty càng lớn, những dữ liệu trên càng tăng, và các rủi ro phát sinh từ đó càng nhiều.
Thay vì cố gắng bảo vệ toàn bộ danh mục rủi ro, các tổ chức cần xem xét lại chiến lược và xác định các giá trị của doanh nghiệp thực sự nằm ở đâu. Chẳng hạn, đối với một doanh nghiệp dược phẩm, đó là quyền sở hữu trí tuệ của các loại thuốc do doanh nghiệp sản xuất, là mối quan hệ của doanh nghiệp với các cơ quan quản lý nhà nước, là cộng đồng khoa học và cổ đông của doanh nghiệp. Đối với một đơn vị vận hành đường ống dẫn năng lượng, đó là năng lực huy động nhiên liệu tới các điểm bán và khả năng thu phí nhiên liệu.
Đảm bảo an toàn 100%, chắc chắn không có rủi ro trên toàn doanh nghiệp đơn giản là nhiệm vụ bất khả thi. Do đó, việc áp dụng phương pháp kinh doanh có chiến lược cho phép các doanh nghiệp kiểm soát được khó khăn thách thức và triển khai bảo mật tại những vị trí có thể hỗ trợ tốt nhất cho sản xuất kinh doanh và mang lại ROI tốt nhất.
- Ông có thể lấy ví dụ về ứng dụng được coi là "không thể thiếu" của bảo mật trong doanh nghiệp, tổ chức ngày nay?
- Ngân hàng di động là một ví dụ tiêu biểu. Cách thức chúng ta tương tác với ngân hàng đã hoàn toàn thay đổi trong 5 năm vừa qua. Các ngân hàng trên khắp thế giới đã nâng cao an ninh bảo mật trong quá trình xây dựng hạ tầng ngân hàng di động, cho phép khách hàng hưởng thụ các dịch vụ ngân hàng rất linh hoạt. Thành công này đạt được nhờ đã xác định rõ các ưu tiên, từ đó thực hiện một số hoạt động như: đầu tư mang tính hữu cơ, nắm bắt chuyên môn và công nghệ.
Ngày nay, các ngân hàng chính là các công ty công nghệ. Họ giới thiệu công nghệ xác thực sinh trắc học mạnh mẽ, và các tổ chức tài chính là những đơn vị đầu tiên triển khai các công nghệ này. Nhờ đó, họ đã thay đổi tận gốc rễ quá trình tư duy.
Trong ví dụ này, chủ đề ROI trong an ninh bảo mật đã trở nên rõ ràng. Bảo đảm bảo mật cho tài sản trí tuệ hoặc chuỗi cung ứng là yếu tố giúp các doanh nghiệp có thể tiếp tục vận hành ổn định. Việc cấp đúng quyền truy nhập và bảo đảm an toàn cho các điểm truy nhập trở nên dễ dàng và có thể quy trách nhiệm giải trình tốt hơn. Các hoạt động này giờ đây đã có thể kiểm soát theo số lượng và nhất quán với chiến lược kinh doanh.
- Doanh nghiệp trong thời đại 4.0 cần lưu ý gì khi áp dụng các giải pháp bảo mật?
- Chuyển trọng tâm từ việc mua công nghệ sang việc định nghĩa hoàn vốn đầu tư đã nêu lên một luận điểm thuyết phục đối với các nhà lãnh đạo có trách nhiệm ra quyết định.
Đó chính là sự khác biệt giữa việc nói rằng một tổ chức có trung tâm dữ liệu gồm các máy chủ nên cần được bảo đảm bảo mật so với việc hiểu rằng trung tâm dữ liệu này chứa thông tin thiết yếu về khách hàng cần được bảo vệ thích hợp để tổ chức đó có thể duy trì vận hành và đảm bảo uy tín. Cam kết và lợi ích của doanh nghiệp là các chủ đề trao đổi đang ngày càng trở nên quan trọng hơn việc tranh cãi xem tình huống có khẩn cấp hay không.
Khi bước vào kỷ nguyên làm việc kết hợp mới, với rủi ro cao hơn về bảo mật, các tổ chức cần xác định rõ vị thế bảo mật của mình sao cho nhất quán với chiến lược kinh doanh. Khi đó, bảo mật sẽ chuyển đổi từ các giải pháp CNTT mang chi phí chìm trở thành nhân tố hỗ trợ kinh doanh. Đó là lúc các nhà lãnh đạo hiểu rõ về những quyết định cần đưa ra và mức độ rủi ro họ sẵn sàng chấp nhận, và triển khai nó mà không gây ảnh hưởng tới hoạt động của tổ chức.
Và khi đó, điểm cân bằng hoàn hảo chính là thay đổi quan điểm an ninh bảo mật từ việc coi là giải pháp công nghệ thông tin với chi phí chìm sẽ trở thành yếu tố tạo giá trị kinh doanh.
Phong Vân