Bộ phận an ninh mạng không phải là một nhóm văn phòng hỗ trợ chưa từng được nhìn thấy và chưa bao giờ được nghe đến. Để thực sự bảo vệ công ty, an ninh mạng chạm đến mọi ngóc ngách của doanh nghiệp và bắt đầu từ cấp cao nhất.
Tại hội nghị ảo của ISACA vào ngày 22 tháng 2 năm 2024, tôi đã chủ trì một phiên họp về cách CISO có thể “tấn công vào tư duy của hội đồng quản trị” để điều chỉnh an ninh mạng với quản trị tốt hơn. Nếu không có sự tham gia cơ bản từ hội đồng quản trị, các doanh nghiệp sẽ dễ bị tấn công mạng với những hậu quả tàn khốc. Nếu an ninh mạng không phải là ưu tiên hàng đầu thì sẽ có ít nguồn lực hơn được phân bổ cho các nhóm mạng, khiến dân cư thưa thớt và kéo dài về thời gian. Sự bảo vệ tổng thể yếu hơn này lại mở ra khu vực tấn công cho tội phạm mạng – nhiều tin tặc thậm chí không muốn lộ diện mà xâm nhập vào hệ thống và thu thập dữ liệu mà không bị phát hiện trong nhiều năm. Ít tài nguyên hơn có nghĩa là các nhóm mạng ít chủ động hơn và phản ứng nhiều hơn, khi yếu tố quan trọng dẫn đến thành công là đi trước những kẻ tấn công một bước.
Hội đồng quản trị không phải chịu trách nhiệm khi xảy ra vi phạm; họ phải chịu trách nhiệm khi không đặt câu hỏi hoặc không hiểu đầy đủ hoặc không kiểm tra câu trả lời. Đó là lý do tại sao nhiệm vụ đầu tiên của CISO phải là đảm bảo đặt đúng câu hỏi.
Nhằm mục đích làm rõ về an ninh mạng
Các tổ chức cần phải rõ ràng về định nghĩa của họ về an ninh mạng. Khi công nghệ phát triển, các thuật ngữ chúng ta sử dụng và cách chúng ta hiểu chúng cũng thay đổi, khi ‘bảo mật CNTT’ dần dần trở thành ‘bảo mật thông tin’, sau đó là ‘an ninh mạng’ và giờ đây được gói gọn trong tầm nhìn rộng hơn về ‘niềm tin’. Các thành viên hội đồng quản trị cần có hiểu biết về tất cả các lĩnh vực kinh doanh cũng như các cơ hội và mối đe dọa trên mạng có thể ảnh hưởng đến doanh nghiệp như thế nào, thay vì chỉ có kiến thức về một lĩnh vực cụ thể. Nếu không có điều này, mọi người có thể đưa ra những giả định mà không hiểu đúng ý nghĩa của nó. Nếu an ninh mạng không được hiểu rõ ở cấp độ cao nhất, nó có thể bị loại bỏ hoặc bị hiểu sai. Công việc của CISO là chuyển các vấn đề an ninh mạng thành các thuật ngữ kinh doanh để làm cho vấn đề đó được các thành viên hội đồng quản trị biết đến, dễ hiểu và hữu hình.
Giúp các thành viên hội đồng quản trị thoải mái đặt câu hỏi ngay cả khi họ không có câu trả lời
Hội đồng không ‘làm’ – họ ‘chỉ đạo’. Các câu hỏi mà các thành viên hội đồng đưa ra thảo luận có liên quan quan trọng đến doanh nghiệp và họ không nên né tránh vấn đề an ninh mạng vì không có câu trả lời hoặc giải pháp phù hợp. Họ không được mong đợi. Miễn là hội đồng quản trị đặt câu hỏi phù hợp, các chuyên gia mạng sẽ có câu trả lời – điều quan trọng là sự tò mò và tìm hiểu kỹ ‘tại sao’ và ‘cái gì’ thay vì ‘như thế nào’. Nếu những điều này được giải quyết, doanh nghiệp sẽ ở vị thế tốt nhất.
Các thành viên hội đồng quản trị quan tâm đến hoạt động giám sát, rủi ro và văn hóa của tổ chức và phải tách biệt việc quản trị khỏi trách nhiệm quản lý. An ninh mạng không phải là trách nhiệm mới của hội đồng quản trị mà là chủ đề phải được cân nhắc khi thực hiện các nhiệm vụ cốt lõi.
Ví dụ, hội đồng quản trị phải thúc đẩy các điều kiện để doanh nghiệp thành công. Vì điều này, họ có nghĩa vụ quan tâm đến việc đảm bảo quản lý an ninh mạng phù hợp. Họ cũng phải ngăn chặn tổn thất và giảm thiểu các điều kiện, từ đó đảm bảo rằng rủi ro mạng được quản lý theo khẩu vị rủi ro đã được phê duyệt. Hội đồng quản trị phải đưa ra định hướng chiến lược mang lại giá trị và do đó, các chính sách và thủ tục quản lý rủi ro mạng cần phải được triển khai. Cuối cùng, hội đồng quản trị không được can thiệp vào các quyết định quản lý hoặc các vấn đề hoạt động và do đó phải tập trung vào các câu hỏi liên quan đến mạng mà họ có thể hỏi đội ngũ quản lý.
Chứng minh rằng con người, chứ không phải công nghệ, mới là trung tâm của an ninh mạng
Khi nói đến an ninh mạng, điều quan trọng là phải suy nghĩ như kẻ thù và tự bảo vệ mình bằng chính công nghệ mà tin tặc sử dụng. Trong thời đại kỹ thuật số, công nghệ đã trở nên dân chủ hóa với khả năng tiếp cận rộng rãi và do đó, đầu tư vào mạng cần phải tập trung vào công nghệ cũng như quy trình và con người. Đầu tư vào mạng không bao giờ nên là sự lựa chọn giữa công nghệ hoặc con người, mà là cả hai – vấn đề không phải là con người tự bảo vệ mình khỏi công nghệ mà là sử dụng công nghệ để chống lại việc sử dụng nó một cách bất chính của người khác.
Nói chung, trách nhiệm về an ninh mạng có tính chất đan xen – sự đan xen giữa trách nhiệm hàng ngày của hội đồng quản trị và mối quan tâm rộng hơn của họ về giám sát kinh doanh, văn hóa và rủi ro. Hội đồng quản trị có thể không chịu trách nhiệm trực tiếp khi xảy ra vi phạm. Nhưng họ phải chịu trách nhiệm nếu không hỏi đúng câu hỏi hoặc không dành thời gian để hiểu đúng những gì được mong đợi ở họ.
Bruno Soares là chủ tịch chi nhánh Lisbon của ISACA.