Cảnh báo khoảng cách giữa hạ tầng CNTT và bảo mật có thể gây nguy hiểm cho doanh nghiệp trong kỉ nguyên số

Jane Frankland, một người có nhiều năm trong lĩnh vực an ninh mạng và là người ủng hộ mạnh mẽ cho phụ nữ trong lĩnh vực công nghệ, gần đây đã tham gia cùng Darren Thomson trên podcast STRIVE để thảo luận về khoảng cách cấp thiết và ngày càng lớn giữa các đội ngũ CNTT và bảo mật. Với hơn 28 năm kinh nghiệm chuyên sâu trong lĩnh vực này, Jane mang đến một góc nhìn độc đáo, kết hợp nền tảng vềkiến thức và thiết kế với chuyên môn sâu rộng về an ninh mạng. Những phân tích của cô không chỉ cung cấp thông tin quý giá mà còn đưa ra các giải pháp thực tiễn cho các tổ chức đang tìm cách nâng cao tư thế bảo mật của mình trong bối cảnh mối đe dọa ngày càng tinh vi.

Mâu thuẫn tiềm tàng: Tại sao CNTT và bảo mật thường xung đột?

Jane và Darren đã đi sâu vào vấn đề tồn tại từ lâu về khoảng cách giữa các đội ngũ CNTT và bảo mật. Mặc dù cả Giám đốc Thông tin (CIO) và Giám đốc An ninh Thông tin (CISO) đều có chung mục tiêu là hỗ trợ hoạt động kinh doanh, nhưng mục tiêu của họ thường xuyên xung đột, tạo ra một môi trường làm việc căng thẳng và kém hiệu quả.

CIO (Chief Information Officer) thường tập trung vào đổi mới, chuyển đổi số, và thúc đẩy tổ chức tiến lên với các công nghệ và quy trình mới nhất. Họ là những người tiên phong, không ngừng tìm kiếm cách để cải thiện hiệu quả hoạt động và tạo ra lợi thế cạnh tranh thông qua công nghệ. Ngược lại, CISO (Cheif of Infomation Security Officer) được giao nhiệm vụ giảm thiểu rủi ro, duy trì tuân thủ các quy định, và bảo vệ tài sản thông tin quan trọng. Điều này đôi khi có thể bị coi là một rào cản đối với các mục tiêu đổi mới của CIO, dẫn đến sự bất đồng và xung đột lợi ích.

Chính sự xung đột này có thể khiến CISO bị coi là “người cản trở” (disabler), thay vì “người tạo điều kiện” (enabler) cho sự phát triển của doanh nghiệp. Jane chia sẻ rằng khoảng cách này đã tồn tại trong nhiều năm và đang ngày càng trở nên tồi tệ hơn. Cô lưu ý rằng các CISO đôi khi bị CIO miễn nhiệm vì, trong quá trình thực hiện nhiệm vụ của mình, họ làm chậm sứ mệnh của CIO. Thực trạng này nhấn mạnh nhu cầu cấp thiết về sự gắn kết và hợp tác tốt hơn giữa hai vai trò quan trọng này.

Chiến lược đột phá: Lấp đầy khoảng cách giữa CNTT và bảo mật

Để khắc phục những mâu thuẫn này và thúc đẩy sự hợp tác hiệu quả hơn, Jane đề xuất một số chiến lược then chốt:

Dự án hợp tác toàn diện: Thay vì chỉ tham gia vào giai đoạn cuối, hãy đưa cả CIO và CISO vào các sáng kiến ngay từ đầu, chẳng hạn như lập kế hoạch phục hồi sau sự cố mạng (cyber recovery planning) và vá lỗi hệ thống (system patching). Việc này đảm bảo an ninh được tích hợp vào dự án từ giai đoạn đầu, thay vì chỉ là một yếu tố “nghĩ sau”, giúp tiết kiệm thời gian, chi phí và giảm thiểu rủi ro.
Đồng bộ hóa khuyến khích và chỉ số hiệu suất chính (KPIs): Khi cả hai đội ngũ cùng hướng tới những mục tiêu chung, nó sẽ khuyến khích sự hợp tác và thúc đẩy một cách tiếp cận gắn kết, hiệu quả hơn đối với an ninh. Điều này có thể bao gồm việc liên kết các khoản thưởng, đánh giá hiệu suất với các chỉ số an ninh và đổi mới tích hợp.
Hiểu rõ hoạt động kinh doanh: CISO cần có sự hiểu biết sâu sắc về hoạt động kinh doanh của tổ chức và xây dựng mối quan hệ vững chắc với các bên liên quan khác. Điều này giúp họ phục vụ doanh nghiệp tốt hơn và tránh bị coi là người cản trở. Jane nhấn mạnh tầm quan trọng của việc CISO có khả năng truyền đạt giá trị của an ninh cho các bên liên quan không chuyên về kỹ thuật một cách rõ ràng và thuyết phục.
Xác định ngưỡng chấp nhận rủi ro: Các tổ chức nên xác định rõ ràng ngưỡng chấp nhận rủi ro của mình ở cấp độ hội đồng quản trị. Điều này cung cấp một khuôn khổ rõ ràng để cả CIO và CISO làm việc, và đảm bảo rằng đổi mới và an ninh được đồng bộ hóa. Một chiến lược rủi ro rõ ràng sẽ giúp đưa ra quyết định nhanh chóng và hiệu quả hơn.

Vượt qua thử thách về văn hóa và tổ chức trong an ninh mạng

Jane cũng chia sẻ một số giai thoại làm nổi bật những thách thức về văn hóa và tổ chức trong an ninh mạng. Cô đề cập rằng khoảng cách giữa đội ngũ hạ tầng CNTT và đội ngũ an ninh đã là một vấn đề tồn tại lâu dài. Các mục tiêu đối lập của CIO và CISO có thể tạo ra một môi trường “độc hại” nơi an ninh bị coi là rào cản đối với sự tiến bộ.

Để giải quyết những thách thức này, Jane ủng hộ một sự thay đổi văn hóa sâu rộng. Điều này liên quan đến việc nhúng an ninh vào mọi ngóc ngách của tổ chức, thay vì chỉ dựa vào công nghệ. Cô nhấn mạnh tầm quan trọng của sự đồng điệu của lãnh đạo và nhu cầu CIO và CISO phải thống nhất quan điểm ở cấp độ hội đồng quản trị. An ninh cần được xem xét như một phần không thể thiếu của mọi quy trình kinh doanh.

Vấn đề cấp thiết trong ngành CNTT hiện nay và vai trò của đội an ninh

Trong bối cảnh công nghệ phát triển như vũ bão, ngành CNTT đang đối mặt với nhiều thách thức cấp thiết, mà an ninh mạng đóng vai trò trung tâm trong hầu hết các vấn đề này:

Tấn công mạng ngày càng tinh vi và phức tạp: Từ ransomware đến tấn công chuỗi cung ứng, các mối đe dọa đang trở nên khó lường hơn bao giờ hết. Sự thiếu gắn kết giữa CNTT và bảo mật có thể tạo ra những lỗ hổng nghiêm trọng, biến doanh nghiệp thành mục tiêu dễ dàng.
Thiếu hụt nhân lực an ninh mạng: Nhu cầu về các chuyên gia an ninh mạng đang tăng cao, nhưng nguồn cung lại khan hiếm. Việc không giải quyết được khoảng cách giữa CNTT và bảo mật có thể làm trầm trọng thêm vấn đề này, khi các chuyên gia an ninh cảm thấy bị cô lập hoặc không được đánh giá cao.
Sự phức tạp của quy định và tuân thủ (Compliance): Với các quy định như GDPR, CCPA, và sắp tới là các luật về bảo vệ dữ liệu cá nhân tại Việt Nam, việc tuân thủ trở thành một gánh nặng lớn. Sự hợp tác kém hiệu quả giữa CNTT và bảo mật có thể dẫn đến việc không tuân thủ, gây ra những hậu quả pháp lý và tài chính nghiêm trọng.
Áp lực chuyển đổi sốvà đám mây: Khi các tổ chức di chuyển sang điện toán đám mây và áp dụng các công nghệ mới như AI, IoT, việc bảo mật trở nên phức tạp hơn rất nhiều. An ninh cần được tích hợp từ đầu trong quá trình thiết kế và triển khai, chứ không phải là một bước thêm vào sau cùng.
Văn hóa an ninh yếu kém trong doanh nghiệp: Ngay cả những công nghệ bảo mật tiên tiến nhất cũng không thể hiệu quả nếu không có một văn hóa an ninh vững chắc. Mọi nhân viên, từ cấp lãnh đạo đến nhân viên thông thường, đều cần hiểu rõ vai trò của mình trong việc bảo vệ dữ liệu và hệ thống.

Lộ trình dể thu hẹp khoảng cách: Hướng tới một tương lai kỹ thuật sốan toàn hơn

Cuộc trò chuyện giữa Jane và Darren trên podcast STRIVE mang đến những hướng dẫn thực tế cho các tổ chức muốn cải thiện sự đồng bộ giữa các chức năng và lãnh đạo CNTT và an ninh. Bằng cách thúc đẩy sự hợp tác, hướng tới các mục tiêu chung, và nhúng an ninh vào mọi khía cạnh của tổ chức, các doanh nghiệp có thể tạo ra một môi trường an toàn và đổi mới hơn.

Sự ủng hộ của Jane đối với việc tăng cường kiến thức an ninh mạng và tính hòa nhập càng nhấn mạnh tầm quan trọng của một cách tiếp cận toàn diện đối với an ninh mạng. Trong bối cảnh các mối đe dọa đang phát triển không ngừng, việc thu hẹp khoảng cách giữa CNTT và bảo mật không chỉ là một mục tiêu chiến lược mà còn là một yêu cầu cấp thiết để bảo vệ sự tồn tại và phát triển bền vững của doanh nghiệp trong kỷ nguyên số.

Xem toàn bộ Podcast về những chia sẻ của diễn giả tại đây.

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!