• (+84) 939 586 168
  • info@unitas.vn
  • (+84) 939 586 168
  • info@unitas.vn
  • Bài viết
  • Khả năng phục hồi không gian mạng: Cân bằng giữa bảo mật và minh bạch
April 15, 2025

Khả năng phục hồi không gian mạng: Cân bằng giữa bảo mật và minh bạch

Khi bối cảnh mối đe dọa mở rộng đáng kể, đặc biệt là trong kỷ nguyên AI này, các yêu cầu đối với doanh nghiệp về việc minh bạch các sự cố bảo mật và tiết lộ các cuộc tấn công và xâm phạm đang gia tăng. Hai thực tế này sẽ thúc đẩy các doanh nghiệp phát triển các chiến lược an ninh mạng theo hướng trở nên có khả năng phục hồi không gian mạng.

Các công ty trong năm 2024 sẽ áp dụng các chiến lược quản lý rủi ro chủ động hơn, không chỉ để cố gắng ngăn chặn các mối đe dọa độc hại và các vụ xâm phạm dữ liệu mà còn để tuân thủ thành công số lượng ngày càng tăng các quy định về an ninh mạng.

Tại sao khả năng phục hồi không gian mạng lại quan trọng ngay Bây Giờ?

Khả năng phục hồi không gian mạng đang trở nên quan trọng hàng đầu đối với nhiều tổ chức trên toàn cầu khi các nhà quản lý và nhà lập pháp tìm cách tăng cường tính minh bạch đối với các sự kiện và sự chuẩn bị về an ninh mạng.

“Họ muốn các giám đốc điều hành doanh nghiệp trình bày rõ liệu và bằng cách nào an ninh mạng là một phần trong chiến lược kinh doanh, quy trình quản trị, kế hoạch tài chính và phân bổ vốn của công ty,” Melissa Hathaway, chủ tịch của Hathaway Global Strategies và chủ tịch Hội đồng Khả năng Phục hồi Không gian Mạng của Commvault, cho biết trong báo cáo 7 Xu hướng Mới nổi về Khả năng Phục hồi Không gian Mạng của chúng tôi.

Quy tắc an ninh mạng của SEC, Chương trình Đánh giá Nhà tư vấn An ninh Thông tin Đăng ký (IRAP) ở Úc, DORA ở EU và thậm chí các quy tắc cấp tiểu bang như Bộ luật, Quy tắc và Quy định của New York (23 NYCRR Phần 500) đang thách thức các công ty áp dụng tính minh bạch.

Dưới đây, chúng ta xem xét các yêu cầu pháp lý hiện hành và mới nổi mà các nhà lãnh đạo an ninh mạng phải nắm vững để đảm bảo các doanh nghiệp mà họ hỗ trợ đạt được cả sự tuân thủ và khả năng phục hồi không gian mạng.

SEC

Quy tắc gần đây của SEC yêu cầu các đối tượng đăng ký phải tiết lộ các sự cố an ninh mạng nghiêm trọng. Tác động của quy tắc này tạo ra nhu cầu cho các nhà lãnh đạo bảo mật và các giám đốc cấp cao phải phối hợp chặt chẽ khi nói đến các sự cố an ninh mạng và việc báo cáo các sự cố đó. Hơn nữa, quy tắc của SEC yêu cầu các công ty phải trình bày rõ cách an ninh mạng và sự giám sát của nó phù hợp với chương trình quản lý rủi ro tổng thể của họ trong các hồ sơ thường niên.

“Cho dù một công ty mất một nhà máy trong một vụ hỏa hoạn – hay hàng triệu tệp trong một sự cố an ninh mạng – nó có thể là thông tin quan trọng đối với các nhà đầu tư,” Chủ tịch SEC Gary Gensler cho biết trong một tuyên bố.

Gần một phần tư năm 2024 đã trôi qua với một số ít hồ sơ 8-K được nộp cho SEC liên quan đến các sự cố mạng, và các công ty có năm tài chính kết thúc vào ngày 31 tháng 12 đang bắt đầu công bố các báo cáo 10-K với ngôn ngữ cập nhật về khả năng phục hồi không gian mạng.

Quy định 23 NYCRR Phần 500

Sở Dịch vụ Tài chính New York (NYDFS) đã tạo ra Bản sửa đổi thứ hai cho Chương 23 của Bộ luật, Quy tắc và Quy định của New York (23 NYCRR Phần 500) để tăng cường và bảo vệ các hệ thống thông tin và tài chính chống lại sự gia tăng về mức độ phổ biến và độ tinh vi của các cuộc tấn công mạng. Luật này yêu cầu các tổ chức tài chính thuộc phạm vi điều chỉnh của NYDFS phải triển khai và duy trì một chương trình an ninh mạng bao gồm các quy trình được thiết kế để bảo vệ dữ liệu nhạy cảm của khách hàng khỏi các mối đe dọa bảo mật và quản lý rủi ro không gian mạng.

Trong số các yêu cầu tuân thủ 23 NYCRR 500 có một số mục tiêu mà các công ty thuộc phạm vi điều chỉnh của NYCRR 500 phải nỗ lực đáp ứng. Bắt đầu, nó yêu cầu các tổ chức phải thiết lập và duy trì một chương trình an ninh mạng được thiết kế để bảo vệ tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống công nghệ thông tin của họ. Chương trình này nên quản lý rủi ro trong một số lĩnh vực hoạt động, bao gồm an ninh thông tin, quản trị dữ liệu, kiểm kê tài sản, vận hành hệ thống, bảo mật hệ thống và mạng, quyền riêng tư dữ liệu khách hàng và hơn thế nữa.

Luật này yêu cầu các công ty phải tiến hành kiểm thử xâm nhập và đánh giá lỗ hổng. Và danh sách các yêu cầu đối với các tổ chức thuộc phạm vi điều chỉnh còn tiếp tục.

DORA 

Các nhà lãnh đạo an ninh mạng và doanh nghiệp cũng đang theo dõi chặt chẽ các thời hạn sắp tới của Đạo luật về Khả năng Phục hồi Hoạt động Kỹ thuật số (DORA).

DORA có hiệu lực vào ngày 16 tháng 1 năm 2023, với thời gian thực hiện là hai năm. Các tổ chức tài chính thuộc phạm vi điều chỉnh dự kiến sẽ tuân thủ quy định này vào ngày 17 tháng 1 năm 2025. Mặc dù luật này tập trung vào các tổ chức ở Liên minh Châu Âu (EU), nhưng các tổ chức bên ngoài EU trong lĩnh vực tài chính và Công nghệ Thông tin Truyền thông cũng phải nỗ lực để phù hợp với DORA nếu họ cung cấp các dịch vụ CNTT quan trọng cho các tổ chức tài chính có trụ sở tại EU.

DORA tạo ra một khuôn khổ pháp lý về khả năng phục hồi hoạt động kỹ thuật số, theo đó tất cả các tổ chức thuộc phạm vi điều chỉnh phải nỗ lực để chống lại, ứng phó và phục hồi sau các gián đoạn và mối đe dọa liên quan đến CNTT. Luật này nhằm mục đích cố gắng ngăn chặn và giảm thiểu các mối đe dọa không gian mạng. DORA bao gồm năm trụ cột chính như sau:

  • Quản lý rủi ro CNTT
  • Báo cáo sự cố liên quan đến CNTT
  • Kiểm tra khả năng phục hồi hoạt động kỹ thuật số
  • Rủi ro của bên thứ ba về CNTT
  • Chia sẻ thông tin

DORA hướng tới việc cải thiện khả năng phục hồi của cơ sở hạ tầng kỹ thuật số quan trọng trước các mối đe dọa và tấn công không gian mạng. Bằng cách tuân thủ các nguyên tắc của DORA, các tổ chức sẽ tiến gần hơn đến việc cải thiện hồ sơ khả năng phục hồi không gian mạng của mình.

Doanh nghiệp trở nên có khả năng phục hồi không gian mạng

Nếu bối cảnh mối đe dọa ngày càng mở rộng vẫn chưa đủ để nhấn mạnh sự cần thiết phải trở nên có khả năng phục hồi không gian mạng, thì hàng loạt các quy định mới đang củng cố thêm quan điểm này. Các doanh nghiệp phải hiểu những gì được yêu cầu ở họ về mặt báo cáo.

Đối với nhiều doanh nghiệp, việc tuân thủ vô số quy định sẽ đòi hỏi kiến thức về an ninh mạng phải vượt ra ngoài phạm vi của Giám đốc An ninh Thông tin (CISO) trong toàn bộ tổ chức. Điều đó có nghĩa là các nhà lãnh đạo bảo mật phải làm việc với các giám đốc cấp cao và hội đồng quản trị hướng tới sự minh bạch và khả năng phục hồi không gian mạng.

Thông tin hãng cung cấp giải pháp

TIN TỨC TRƯỚC Cách phần mềm độc hại được tạo ra: Tin tặc mạng khai thác sức mạnh của AI tạo sinh và các tổ chức nên ứng phó như thế nào? TIN TIẾP THEO Sự khác biệt giữa Public, Private và Hybrid Cloud

Tin tức mới nhất

Tags

Danh mục

Lưu trữ

Post: Khả năng phục hồi không gian mạng: Cân bằng giữa bảo mật và minh bạch

Post: Khả năng phục hồi không gian mạng: Cân bằng giữa bảo mật và minh bạch

Post: Khả năng phục hồi không gian mạng: Cân bằng giữa bảo mật và minh bạch

Unitas Việt Nam

Trụ sở Hồ Chí Minh

  • 97-99-101 Nguyễn Công Trứ, Q.1, TP. Hồ Chí Minh.
  • (+84) 939 586 168
  • info@unitas.vn

Chi nhánh Hà Nội

  • Tầng 5, số 17, Ngõ 167 Tây Sơn, Q. Đống Đa, TP. Hà Nội
  • (+84) 939 586 168
  • info@unitas.vn

Các liên kiết

Bản quyền © 2024 bởi Unitas Việt Nam.