Tương Lai Của An Ninh Mạng (Cyber Security) Và Tuân Thủ (Compliance) Trong Kỷ Nguyên Số: Góc Nhìn Chuyên Sâu Từ Các Chuyên Gia

Trong bối cảnh kỹ thuật số hóa ngày càng sâu rộng, các thách thức về an ninh mạng và tuân thủ quy định đã trở thành những ưu tiên hàng đầu đối với mọi tổ chức. Tập đầu tiên của podcast “Continuous Compliance” của Commvault đã mang đến một cuộc thảo luận đầy ý nghĩa giữa bà Danielle Sheer, Giám đốc Tin cậy (Chief Trust Officer) của Commvault, và ông Howard Holton, Giám đốc Vận hành (COO) của GigaOm. Cuộc đối thoại này đã cung cấp những phân tích sâu sắc về sự phát triển của tuân thủ, các lỗ hổng trong cơ sở hạ tầng trọng yếu, và những hệ lụy từ việc mất dữ liệu cùng các rủi ro an ninh mạng.

Sự dịch chuyển trong nhận thức về tuân thủ: Từ “thủ tục” đến “chiến lược cốt lõi”

Trong một thời gian dài, tuân thủ (compliance) thường bị coi là một chức năng hành chính “hậu trường”, chỉ là một mục cần đánh dấu trong danh sách các công việc phải hoàn thành. Tuy nhiên, lối tư duy này đã dẫn đến việc cơ sở hạ tầng trọng yếu (critical infrastructure) trở nên cực kỳ dễ bị tổn thương do thiếu sự quan tâm đúng mức đến các tiêu chuẩn kiến trúc phù hợp. Bà Danielle Sheer đã nhấn mạnh tầm quan trọng của việc coi tuân thủ là một khía cạnh thiết yếu của an ninh và tính toàn vẹn của tổ chức.

Để minh họa, bà đã đưa ra một sự so sánh sắc bén giữa tuân thủ trong lĩnh vực vật lý và kỹ thuật số. Bà chỉ ra rằng, trong khi một sự cố vật lý như thịt bị nhiễm độc có thể dẫn đến hậu quả nghiêm trọng và tức thì, thì một thất bại kỹ thuật số như vi phạm dữ liệu (data breach) ảnh hưởng đến hàng trăm triệu người lại không gây ra mức độ tác động hay chế tài tương đương.

Sự chênh lệch này, cùng với thái độ thiếu khẩn trương trong việc giải quyết các vấn đề an ninh kỹ thuật số, đã nhấn mạnh sự cần thiết của các hình phạt nghiêm khắc hơn và khung pháp lý chặt chẽ hơn để buộc các tổ chức phải thực sự coi trọng tuân thủ. Ông Howard Holton đề xuất một cách tiếp cận mang tính cách mạng: “CEO phải đối mặt với hình phạt nặng nhất, chủ tịch hội đồng quản trị thứ hai. Điều đó sẽ thay đổi mọi thứ ngay lập tức.”

Quy định chung về bảo vệ dữ liệu của Liên minh Châu Âu (GDPR) được xem là một mô hình để Hoa Kỳ học hỏi. GDPR đã có tác động đáng kể đến việc tuân thủ, với số tiền phạt trong năm đầu tiên cao hơn toàn bộ lịch sử của HIPAA (Luật Trách nhiệm Giải trình và Cung cấp Bảo hiểm Y tế) tại Hoa Kỳ. Thành công của GDPR càng củng cố tầm quan trọng của sự can thiệp từ chính phủ liên bang để tạo ra một khung pháp lý thống nhất cho an ninh mạng.

Vai trò của Giám đốc an ninh mạng(CISO)

Vai trò của Giám đốc An ninh Thông tin (CISO) ngày càng trở nên quan trọng trong việc thu hẹp khoảng cách giữa chuyên môn kỹ thuật và quyết định điều hành. Bà Danielle và ông Howard nhấn mạnh rằng CISO nên là một vị trí cấp hội đồng quản trị, với sự giao tiếp thường xuyên và minh bạch với hội đồng quản trị.

Bà Danielle khẳng định: “Nếu CISO của bạn không trình diện trước hội đồng quản trị ít nhất hàng quý, bạn không có một CISO đúng nghĩa. Và nếu bạn không để CISO của mình nói chuyện với hội đồng quản trị ít nhất hàng quý và thực sự cung cấp thông tin hữu ích, minh bạch nhất có thể, bạn không có một chương trình an ninh đúng nghĩa.”

Ông Howard cũng đề xuất một cơ cấu hội đồng quản trị cân bằng, với 60% là những người có bằng MBA (quản trị kinh doanh) và 40% là các nhà công nghệ. Sự cân bằng này sẽ giúp các thành viên hội đồng quản trị hiểu rõ hơn và giải quyết hiệu quả hơn các thách thức an ninh mạng.

Vai trò của CISO trong ứng phó sự cố (incident response) và lập kế hoạch chiến lược cũng vô cùng quan trọng. Ông Howard nhận định: “Cách tốt nhất để tạo ra sự thay đổi là có một CISO thông minh trong tổ chức của bạn khi bạn trải qua một cuộc tấn công ransomware. Mọi người sẽ tự động nghĩ, ‘Ôi trời, lẽ ra chúng ta nên nghe lời,’ và đây là những gì chúng ta sẽ làm.” Điều này làm nổi bật tầm quan trọng của việc chủ động lắng nghe và hành động theo lời khuyên của CISO trước khi một sự cố nghiêm trọng xảy ra.

Tiềm năng của AI trong quản lý thông tin và tuân thủ: Cơ hội và thách thức

Trí tuệ nhân tạo (AI) có tiềm năng làm thay đổi đáng kể các ngành công nghiệp, nhưng tiềm năng này phụ thuộc vào chất lượng và mức độ trưởng thành của các phương pháp quản lý dữ liệu của một tổ chức.

Ông Howard nhấn mạnh: “AI tăng tốc mọi thứ một cách điên rồ đến mức không có gì có thể tăng tốc tiềm năng như cách AI có thể tăng tốc tiềm năng.”

Các công ty có quản lý dữ liệu trưởng thành và dữ liệu chất lượng cao sẽ có lợi thế tiên phong trong bối cảnh do AI định hình. Ông cảnh báo: “Nếu chất lượng dữ liệu của bạn không đạt yêu cầu và sự trưởng thành của tổ chức bạn về dữ liệu không có, nó có thể khiến bạn phải trả giá bằng mọi thứ.” Điều này ngụ ý rằng, dù AI mang lại cơ hội to lớn, nhưng nó cũng phóng đại những điểm yếu hiện có trong quản lý dữ liệu, biến chúng thành rủi ro nghiêm trọng.

Các kết luận quan trọng cho doanh nghiệp và chuyên gia

Từ cuộc thảo luận trên, chúng ta có thể rút ra những bài học then chốt, mang lại giá trị thực tiễn cho các tổ chức và chuyên gia trong lĩnh vực an ninh mạng và CNTT:

Tuân thủ là chức năng trọng yếu: Tuân thủ phải được coi là một khía cạnh then chốt của an ninh và tính toàn vẹn của tổ chức, chứ không chỉ là một nhiệm vụ hành chính. Việc thiếu các tiêu chuẩn phù hợp trong phát triển và triển khai phần mềm đã dẫn đến những rủi ro bảo mật đáng kể cho cơ sở hạ tầng.
Cần có các chế tài nghiêm khắc hơn: Sự khác biệt trong hình phạt giữa các lỗi tuân thủ vật lý và kỹ thuật số nhấn mạnh sự cần thiết của việc thực thi các tiêu chuẩn an ninh kỹ thuật số nghiêm ngặt và nhất quán hơn. Các hình phạt nặng đối với CEO và thành viên hội đồng quản trị có thể thúc đẩy sự thay đổi đáng kể và nhanh chóng trong văn hóa bảo mật của doanh nghiệp.
Nâng cao vị thế của CISO: Vai trò của CISO cần được nâng tầm lên cấp độ hội đồng quản trị, với sự giao tiếp thường xuyên và minh bạch. Một cơ cấu hội đồng quản trị cân bằng, bao gồm cả các nhà công nghệ, có thể giúp giải quyết các thách thức an ninh mạng hiệu quả hơn, đảm bảo rằng rủi ro kỹ thuật được hiểu rõ ở cấp chiến lược.
Tiêu chuẩn hóa cấp liên bang: Sự phức tạp của các quy định theo từng bang cản trở việc tuân thủ an ninh mạng hiệu quả. Sự can thiệp của chính phủ liên bang là cần thiết để tạo ra một khung pháp lý thống nhất và tiêu chuẩn hóa, giúp doanh nghiệp dễ dàng hơn trong việc tuân thủ và nâng cao hiệu quả bảo mật quốc gia.
AI và chất lượng dữ liệu: AI có tiềm năng tăng tốc đáng kinh ngạc các khả năng của tổ chức, nhưng tiềm năng này phụ thuộc hoàn toàn vào chất lượng và mức độ trưởng thành của các phương pháp quản lý dữ liệu. Các công ty có dữ liệu chất lượng cao không chỉ có lợi thế đáng kể trong việc khai thác AI mà còn giảm thiểu rủi ro từ việc dữ liệu kém chất lượng bị AI “phóng đại”.

Bạn có thể xem lại buổi Podcast về chủ đề trên tại đây.

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks …. Với kinh nghiệm và sự am hiểu sâu sắc, Unitas cam kết mang đến cho khách hàng những sản phẩm chất lượng cùng dịch vụ hỗ trợ chuyên nghiệp. Hãy lựa chọn Unitas để đảm bảo bạn nhận được giải pháp tối ưu và đáng tin cậy nhất cho nhu cầu của mình.

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!