An ninh mạng: Sự trợ giúp của Giám đốc An ninh thông tin (CISO) đối với HĐQT

(Webbaohiem) – Nguy cơ tấn công mạng máy tính hiện đã ở mức buộc Hội đồng quản trị (HĐQT) các doanh nghiệp cần phải có sự quan tâm thỏa đáng, đồng thời xác định xem họ có thể tham gia vào công đoạn nào trong quy trình quản trị rủi ro. Để làm được điều này, cần có sự hỗ trợ về mặt kiến thức cũng như công cụ từ Giám đốc An ninh thông tin (CISO) của doanh nghiệp.

 Phần 1

“Các doanh nghiệp Hoa Kỳ hiện nay đã nhận ra rằng rủi ro mạng máy tính chính là rủi ro kinh doanh”, theo bà Lisa Davis, sáng lập viên công ty Vicinage (công ty mới được thành lập với mục tiêu kết nối các Giám đốc An ninh thông tin với HĐQT trong vai trò tư vấn).

Trên thực tế, quyền điều hành doanh nghiệp thuộc về ban điều hành.Tuy nhiên trong trường hợp có sự cố xảy ra, các thành viên HĐQT vẫn có thể phải gánh chịu trách nhiệm trước những khủng hoảng tài chính của doanh nghiệp.Đó là nhận định của ông Luis A. Aguilar, ủy viên Sở giao dịch chứng khoán Hoa Kỳ (SEC) trong bài phát biểu hồi tháng trước với chủ đề thức tỉnh HĐQT doanh nghiệp về các trách nhiệm an ninh mạng.

“Từ trước tới nay, chức năng của HĐQT tập trung chủ yếu vào việc chỉ đạo các mặt hoạt động của ban điều hành. Nhưng từ khi cuộc khủng hoảng tài chính toàn cầu xảy ra, người ta đã quan tâm nhiều hơn tới việc HĐQT cần phải làm gì đối với lĩnh vực quản trị rủi ro”, ông Aguilar nói trong một bài phát biểu tại Sở giao dịch chứng khoán Hoa Kỳ. “Mặc dù chịu trách nhiệm chính về quản trị rủi ro vẫn là ban điều hành, song HĐQT phải có trách nhiệm giám sát và đảm bảo việc xây dựng các chương trình quản trị rủi ro phù hợp tại doanh nghiệp, đồng thời giám sát ban điều hành trong việc thực thi các chương trình đó”.

Theo kết quả một khảo sát do công ty kế toán Eisner Amper thực hiện gần đây, các thành viên HĐQT đều nhận thức được rằng an ninh mạng là một trong những mối quan tâm của mình, tuy nhiên mới chỉ ít người trong số họ có những hành động cụ thể nhằm giải quyết vấn đề này. Nghiên cứu cũng cho biết số lượng người quan tâm tới rủi ro mạng tăng 10% mỗi năm, nhưng phản ứng của HĐQT trong lĩnh vực này còn khá lúng túng.

“Không có gì ngạc nhiên khi kết quả nghiên cứu cho thấy mối quan ngại về rủi ro an ninh mạng/CNTT đang ngày càng tăng. Tuy nhiên nếu kết hợp với các chỉ số khác, sẽ có nhiều câu hỏi được đặt ra đối với các tổ chức về sự trang bị các yếu tố cần thiết để ứng phó với thực trạng này. Chẳng hạn, đa số người được khảo sát đều thể hiện mức độ tự tin rất thấp về các kiến thức đối với rủi ro mạng và các rủi ro khác có liên quan”.

Nghiên cứu cũng cho biết: “mức độ nhận thức của các Tổng Giám đốc và Giám đốc Tài chính các doanh nghiệp về an ninh mạng – nhất là trong lĩnh vực truyền thông – khiến chúng ta không khỏi lo ngại về khả năng đối phó của các doanh nghiệp trong trường hợp rủi ro xảy ra. Theo quan sát, nhiều nhà quản lý cấp cao (và cả thành viên HĐQT) sẵn sàng thừa nhận sự thiếu các kiến thức cập nhật về truyền thông và mạng máy tính – hai lĩnh vực mà nếu chỉ có sự hiểu biết chung chung thì người quản lý sẽ không thể đưa ra được các quyết định hoạt động cũng như quyết định chiến lược có hiệu quả”.

Nhu cầu đang tăng lên    

Mặc dù mới chỉ thành lập công ty Vicinage một tháng trước đây nhưng Lisa Davis cho rằng bà “chưa bao giờ nhận thấy nhu cầu về Giám đốc An ninh thông tin tại doanh nghiệp lớn như hiện nay”.

Bà Davis nói: “Đây là thời điểm cần thiết và có thể là rất vô giá. Đây là một loại rủi ro quan trọng song con người còn chưa hiểu biết về nó”.

Trong bài phát biểu của mình, ông Aguilar bình luận: “Rõ ràng là HĐQT tại các doanh nghiệp phải thật sự có trách nhiệm trong việc đảm bảo rằng ban điều hành đã tiến hành những giải pháp quản trị rủi ro có hiệu quả. HĐQT vốn có chức năng giám sát ban điều hành đối với mọi loại rủi ro, bao gồm rủi ro tín dụng, rủi ro thanh khoản và rủi ro hoạt động. Và hẳn nhiên rủi ro mạng cũng không thể là ngoại lệ”.

Theo ông Dominic Nessi, Giám đốc Thông tin cụm cảng hàng không Los Angeles World Airports (LAWA), nhiều HĐQT các doanh nghiệp “không nhận biết được các mối nguy hiểm tiềm tàng của rủi ro mạng máy tính đối với tổ chức và thậm chí đối với bản thân mình”.

HĐQT cần hiểu rằng rủi ro từ việccác thông tin cá nhân bị tiết lộ còn đem lại hậu quả nghiêm trọng hơn rủi ro tài chính.Rất khó có thể lượng hóa được các rủi ro liên quan đến danh tiếng của tổ chức.

Ông Nessi nói: “nhiều công ty không đưa rủi ro mạng vào nội dung chương trình quản trị rủi ro tổng thể, cho tới khi họ được đào tạo về vấn đề này. Bởi lẽ thật khó để xác định mức độ phân nhánh của nguy cơ an ninh mạng đối với doanh nghiệp”.

Hết Phần 1

Mời các bạn đón đọc tiếp Phần 2.

Thảo Phương (theo Cyberrisknetwork)

{fcomment}

BÌNH LUẬN

Please enter your comment!
Please enter your name here