Chuyển đổi số đang thay đổi hoạt động sản xuất kinh doanh của mọi tổ chức, thông qua các công nghệ mới giúp mở ra lợi thế cạnh tranh, mang lại sự hiệu quả, linh hoạt và nâng cao trải nghiệm của khách hàng. Với tình hình các mối đe dọa về an ninh thông tin ngày càng gia tăng, việc Chuyển đổi số sẽ không thể thành công nếu thiếu một chiến lược bảo mật phù hợp.
Các xu hướng công nghệ trong chuyển đổi số và các rủi ro về an toàn thông tin
Đại dịch Covid-19 bùng phát đã thúc đẩy xu hướng chuyển đổi số của các doanh nghiệp, chuyển dịch nhiều hoạt động lên môi trường trực tuyến và kích hoạt chế độ làm việc từ xa của các nhân viên trên nhiều loại thiết bị thuộc sở hữu cá nhân (BYOD), bao gồm máy tính xách tay, điện thoại thông minh và máy tính bảng với các kết nối đa dạng như mạng WiFi gia đình, WiFi công cộng, mạng 4G.
Tuy nhiên, điều này cũng làm tăng rủi ro đối với an toàn thông tin của doanh nghiệp. Ví dụ tại Việt Nam trong năm 2020, đã phát hiện 23 phần mềm độc hại liên quan đến COVID-19, nếu nhân viên khi làm việc từ xa kích vào những tập tin chứa mã độc này sẽ khiến tin tặc dễ dàng chiếm được quyền điều khiển máy tính, dẫn đến nhiều nguy cơ như truy cập trái phép vào các cuộc họp trực tuyến, lộ lọt dữ liệu, lộ thông tin đăng nhập từ xa vào mạng của tổ chức/doanh nghiệp, nguy cơ lừa đảo qua thư điện tử hoặc website giả mạo tăng cao.
Đối với hệ thống CNTT, việc triển khai các sáng kiến số nhanh chóng trên nền tảng điện toán đám mây cũng như xuất hiện nhiều loại thiết bị và cảm biến kết nối các hệ thống sản xuất với các ứng dụng CNTT đã làm gia tăng số lượng dữ liệu, ứng dụng và người dùng của doanh nghiệp và tạo ra nhiều lỗ hổng bảo mật.
Ví dụ, các thiết bị được kết nối trong doanh nghiệp sử dụng công nghệ IoT có thể bao gồm hệ thống HVAC, robot tự động, hệ thống chiếu sáng, bộ điều nhiệt,… giúp tăng hiệu quả sản xuất, kinh doanh, nhưng cũng bổ sung hàng trăm thiết bị không an toàn vào mạng nếu các nhà cung cấp thiết bị không đảm bảo cập nhật kịp thời các lỗ hổng an ninh.
Hệ thống CNTT của các doanh nghiệp Việt Nam cũng đã bị nhiều cuộc tấn công DDoS, ransomware và các sự cố xảy ra liên quan đến các vấn đề bảo mật dữ liệu, quản trị người dùng. Ví dụ, theo báo cáo về mã độc tống tiền (ransomware) do VirusTotal và Google thực hiện, mã độc tống tiền tại Việt Nam trong 7 tháng đầu năm 2021 đã tăng gần 200% so với cùng thời điểm năm 2020.
Vì vậy, doanh nghiệp cần xây dựng một kiến trúc CNTT mục tiêu bao gồm tất cả hệ thống các sáng kiến số sẽ được phát triển trong lộ trình, thiết lập các yêu cầu về vận hành và an toàn thông tin ở nhiều cấp độ cho tất cả các hệ thống để đảm bảo doanh nghiệp vừa tận dụng được tối đa lợi ích của chuyển đổi số mà vẫn giảm thiểu mức độ rủi ro của việc mất mát dữ liệu và vi phạm tuân thủ.
Chiến lược an toàn thông tin song hành với quá trình Chuyển đổi số
An toàn thông tin sẽ luôn là một yếu tố cần đánh giá trong quá trình lên ý tưởng, thiết kế và thực hiện các sáng kiến số để đảm bảo quá trình Chuyển đổi số thành công và an toàn.
Dưới đây là một số gợi ý giúp doanh nghiệp có thể thực hiện quá trình này hiệu quả:
Điều chỉnh các chiến lược an toàn thông tin phù hợp với mục tiêu kinh doanh
Nếu xây dựng chiến lược an toàn thông tin với các yêu cầu, quy định áp đặt cho mọi bộ phận, đảm bảo an ninh tối đa, không có bất kì sự cố gì xảy ra, chiến lược này sẽ cứng nhắc và nhiều lúc cản trở sự linh hoạt và phát triển trong các hoạt động sản xuất kinh doanh. Vì vậy, chiến lược cần xem xét các yêu cầu an ninh thông tin với các mục tiêu của doanh nghiệp và đảm bảo sự cân bằng phù hợp giữa giảm thiểu rủi ro và cho phép đổi mới kinh doanh.
Trước tiên, giám đốc CNTT (CIO) hoặc giám đốc an ninh thông tin (CISO) cần hiểu chiến lược kinh doanh, các mục tiêu và các mối quan tâm khác của các giám đốc ở các bộ phận khác như bán hàng, sản xuất,… Thông qua các cuộc thảo luận, CISO có thể hiểu rõ được các lĩnh vực cung cấp nhiều giá trị nhất cho doanh nghiệp và các rủi ro để ưu tiên thực hiện các biện pháp bảo mật phù hợp nhất.
Ở cấp độ thấp hơn, đội ngũ bảo mật thông tin cũng phải có mối quan hệ chặt chẽ với các nhóm kinh doanh và sản xuất để tham gia phát triển dự án ngay từ ban đầu. Ví dụ: nếu doanh nghiệp quyết định phát triển ứng dụng dành cho thiết bị di động hoặc triển khai nền tảng xã hội mới cho khách hàng, thì nhóm bảo mật phải biết về các kế hoạch này và thiết kế các tính năng bảo mật vào giai đoạn phát triển.
Cân bằng giữa rủi ro bảo mật với năng suất và sự tiện lợi
Khi nói đến bảo mật, nhiều tổ chức phải đối mặt với một tình huống khó xử: mặc dù họ muốn an toàn hơn, nhưng cũng cần phải duy trì hiệu quả. Các quy trình an toàn thông tin có xu hướng làm nhân viên mất nhiều thời gian hơn để có thể truy cập các công cụ và dữ liệu phục vụ công việc.
Ví dụ xác thực người dùng và xác thực đa yếu tố (MFA) là các biện pháp bảo mật hiệu quả để ngăn chặn những kẻ tấn công truy cập trực tiếp vào các ứng dụng và dữ liệu. Tuy nhiên, để giảm ảnh hưởng đến năng suất lao động của nhân viên, đội ngũ bảo mật có thể áp dụng công nghệ SSO và cấu hình xác thực MFA 1 lần đối với các hệ thống không yêu cầu mức độ bảo mật quá cao, để giúp người dùng có thể truy cập vào các ứng dụng khác nhau chỉ với một lần xác thực duy nhất.
Để thực hiện được các biện pháp cân bằng này, doanh nghiệp cần đánh giá rủi ro và bảo mật của hệ thống, hiểu rõ nguy cơ và thực hiện các giải pháp đối với cơ sở hạ tầng và ứng dụng.
Xây dựng văn hóa an ninh thông tin
Con người luôn là tài sản quan trọng của tổ chức nhưng đồng thời cũng là lỗ hổng bảo mật dễ bị tấn công nhất. Một báo cáo điều tra về vi phạm dữ liệu của Verizon cho thấy nhân viên có quyền truy cập hợp pháp là nguyên nhân phổ biến gây ra vi phạm về an ninh thông tin (1).
Các nhân viên này có thể bị tấn công thông qua vi-rút, các kỹ thuật tấn công mạng xã hội hoặc do lỗi bất cẩn đã gián tiếp làm rò rỉ thông tin. Vì vậy, các doanh nghiệp cần xây dựng văn hóa an ninh thông tin trong toàn bộ công ty để đảm bảo nhân viên không chỉ hiểu tầm quan trọng của an ninh thông tin mà còn tích cực tham gia bảo vệ doanh nghiệp trước các cuộc tấn công mạng.
Để triển khai, doanh nghiệp cần xây dựng nhận thức và kiến thức của người dùng về bảo mật thông tin cho toàn bộ các cấp nhân viên, thiết lập các chính sách bảo mật rõ ràng, có các cơ chế khen thưởng xử phạt rõ ràng đối với các sự cố an toàn thông tin.
Sử dụng dịch vụ tư vấn và vận hành an ninh thông tin
Khi doanh nghiệp thực hiện chuyển đổi số, số lượng dịch vụ, ứng dụng và dữ liệu sẽ tăng lên nhanh chóng trong khi đội ngũ CNTT hiện tại chưa có đủ khả năng và kinh nghiệm để thiết kế, vận hành, quản trị hệ thống và giải quyết các sự cố bảo mật có thể xảy ra.
Vì vậy, doanh nghiệp cần lựa chọn thêm dịch vụ đánh giá an toàn thông tin và tư vấn về quản trị, vận hành an ninh an toàn dữ liệu trong các gói tư vấn chuyển đổi số cũng như các dịch vụ vận hành hệ thống bảo mật của các công ty an ninh thông tin chuyên nghiệp để đảm bảo khả năng bảo mật ngay từ lúc thiết kế hệ thống và giúp phát hiện, ngăn chặn, ứng phó các mối đe dọa an ninh thông tin có thể xảy ra khi vận hành.
Chuyển đổi số là một quá trình kết hợp giữa nhiều yếu tố, từ chiến lược, quy trình, văn hóa, công nghệ,… mang lại những chuyển biến đột phá cho doanh nghiệp nhưng cũng đầy thách thức và rủi ro trong khâu an ninh mạng có thể làm ảnh hưởng đến uy tín và giá trị của doanh nghiệp.
Vì vậy, sự tư vấn đầy đủ về an toàn thông tin từ những nhà cung cấp dịch vụ tư vấn chuyên nghiệp và sự phối hợp gắn kết giữa bộ phận bảo mật với các bộ phận khác trong suốt quá trình thực hiện chuyển đổi số sẽ phù hợp với DN để xây dựng hệ thống an toàn lâu dài, vận hành ổn định trong nhiều năm tiếp theo.
Nguồn tham khảo
(1) Bộ TT&TT. 2021 Hacker liên tục lợi dụng dịch Covid-19: Đã có 23 phần mềm độc hại tại Việt Nam
(2) Bộ TT&TT. 2021 Google: Mã độc tống tiền ransomware tăng 200% tại Việt Nam
(3) Verizon. 2021 DBIR Master’s Guide
