An ninh mạng: Sự trợ giúp của Giám đốc An ninh thông tin (CISO) đối với HĐQT

(Webbaohiem) – Nguy cơ tấn công mạng máy tính hiện đã ở mức buộc Hội đồng quản trị (HĐQT) các doanh nghiệp cần phải có sự quan tâm thỏa đáng, đồng thời xác định xem họ có thể tham gia vào công đoạn nào trong quy trình quản trị rủi ro. Để làm được điều này, cần có sự hỗ trợ về mặt kiến thức cũng như công cụ từ Giám đốc An ninh thông tin (CISO) của doanh nghiệp.

Phần 2:

Sự tham gia của HĐQT

Theo bàLisa Davis, sáng lập viên công ty Vicinage, HĐQT các doanh nghiệp cần hướng tới việc bổ sung Giám đốc An ninh thông tin làm thành viên HĐQT. Bà cũng cho biết có một số quan điểm trái chiều về vấn đề này như: “Ồ, CISO cũng có chữ ‘C’ trong chức danh, nhưng họ không thuộc nhóm C-suite (các nhà điều  hành cấp cao) thực thụ”, hay “Chúng tôi sẽ không bao giờ có bậc 3 dành cho các nhà điều hành cấp cao trong HĐQT”.

Tuy nhiên, Giám đốc An ninh thông tin cũng cần cân bằng giữa khía cạnh kỹ thuật với khía cạnh rủi ro trong vấn đề an ninh mạng.

Ông Dominic Nessi, Giám đốc Thông tin cụm cảng hàng không Los Angeles World Airports (LAWA), cho biết giữaông và HĐQT chưa bao giờ gặp phải trở ngại về vấn đề nói trên: “Tôi nhận thấy các thành viên HĐQT và ban điều hành thường đạt được sự nhất trí nếu chúng ta có được sự cân bằng tốt giữa khía cạnh kỹ thuật với khía cạnh rủi ro”.

Tuy nhiên, phương thức xử lý rủi ro mạng phù hợp phải dựa trên cấu trúc của HĐQT của từng tổ chức, theo ông Nessi. Chẳng hạn LAWA với đặc thù là một tổ chức thuộc chính quyền thành phố Los Angeles, HĐQT chịu trách nhiệm đảm bảo thông tin cho sự an toàn của các chuyến bay. Còn đối với các doanh nghiệp, cách tiếp cận sẽ phải khác hơn.

Ở mức độ tối thiểu, HĐQT cần yêu cầu ban điều hành cung cấp các báo cáo định kỳ hàng năm về cách thức xử lý rủi ro an ninh mạng, ông Nessi bổ sung.

“Và chắc chắn rằng, trong cơ cấu HĐQT cần một thành viên có kiến thức nền tảng về rủi ro mạng/CNTT, hoặc ít nhất là phải có khả năng tiếp cận với các chuyên gia bên ngoài về an ninh mạng”.

Thời điểm hấp dẫn

Theo bà Davis, đây là thời điểm hấp dẫn đối với thị trường đặc thù này.

“Tôi nghĩ vấn đề là ở chỗ trong số rất nhiều CISO, ai sẽ sẵn sàng phục vụ cho HĐQT”.

Ông Nessi cảnh báo rằng nếu các thành viên HĐQT không phản ứng tốt với rủi ro mạng, thì sẽ phải gánh chịu hậu quả.Họ rất cần được đào tạo các kiến thức về rủi ro mạng để có được cách xử lý vấn đề phù hợp.Ông Nessi cũng minh họa trong trường hợp để mất dữ liệu khách hàng hàng loạt tại công ty Target (Hoa Kỳ), “sách lược sợ hãi” không phải là cách ứng phó tốt.

“Thực tế đòi hỏi các thành viên HĐQT cần phải rất am hiểu thì mới có thể duy trì được vị trí của mình. Họ sẽ phải hiểu rõ về rủi ro và phương thức giảm thiểu rủi ro”.

Và xuất phát điểm của rủi ro là từ dữ liệu.

“Các thành viên HĐQT cần biết chính xác rằng mình đang bảo vệ cái gì.Trong lĩnh vực này, họ không chỉ phải bảo vệ mạng máy tính từ bên ngoài mà cần có sự hỗ trợ của các vệ sỹ đối với toàn bộ quy trình quản trị mạng”.

Ông Nessi ủng hộ quan điểm rằng CISO cần có quyền và sự linh hoạt trong việc giám sát bất kỳ mặt hoạt động nào của tổ chức mà có thể tiềm ẩn rủi ro mạng, đồng thời với việc đảm bảo tất cả cán bộ nhân viên trong doanh nghiệp được đào tạo các kiến thức cần thiết về an ninh mạng.

Tuy nhiên, một vấn đề đặt ra đó là ai sẽ là người nhận báo cáo trực tiếp từ CISO? Giám đốc CNTT, Tổng Giám đốc, hay HĐQT?

“Bất kể thuộc vị trí nào trong tổ chức, CISO phải có quyền độc lập rà soát tất cả các lĩnh vực hoạt động của tổ chức, đồng thời có kênh thông tin phù hợp để thông báo trong trường hợp cần thiết” ông Nessi nói.“Khi bạn quan sát mạng máy tính hàng ngày, bạn sẽ chỉ nhận thấy chúng hoạt động bình thường. Bản tính con người là không nhận ra những chức năng không hoạt động hoặc gặp sự cố. Đó là lý do vì sao cần tới một “cặp mắt khác” từ CISO”.

Hết./.

Thảo Phương (theo Cyberrisknetwork)

{fcomment}

BÌNH LUẬN

Please enter your comment!
Please enter your name here