CĐS là quá trình cải thiện hoặc nâng cấp hiệu quả hoạt động, năng suất của một tổ chức, DN bằng cách tận dụng các ứng dụng, dịch vụ và công nghệ tiên tiến.
Theo một báo cáo của Deloitte Insights năm 2020 cho biết, bộ phận CNTT dành trung bình hơn 50% ngân sách cho việc bảo trì và chỉ có 19% phân bổ cho việc đổi mới hệ thống. Điều này tạo ra những hạn chế nhất định cho các DN trong bối cảnh các công nghệ đang ngày càng phát triển mạnh mẽ và an toàn thông tin (ATTT) đang là vấn đề cấp bách đối với mọi tổ chức, DN khi thực hiện CĐS.
Cần cân bằng tốc độ, bảo mật và đổi mới trong CĐS
Thực hiện một chiến lược CĐS đối với bất kỳ tổ chức, DN nào đều không hề đơn giản, vì nó đòi hỏi cần phải xem xét lại toàn bộ văn hóa DN, trải nghiệm khách hàng và quy trình kinh doanh. Nếu các chức năng này không phù hợp với nhau, DN có thể sẽ phải gánh chịu những rủi ro về ATTT gia tăng.
Khi bối cảnh kinh doanh chuyển sang các hình thức trực tuyến, làm việc từ xa và kết hợp do tác động của đại dịch COVID-19, đồng nghĩa với việc bề mặt tấn công của tổ chức, DN sẽ ngày càng mở rộng. Dữ liệu quan trọng được trải rộng trên nhiều môi trường và dịch vụ đám mây; khả năng tiếp xúc với các vectơ tấn công cao hơn. Đối với các nhóm bảo mật, việc quản lý quá nhiều công cụ bảo mật và lượng lớn dữ liệu mới với việc thiếu tài nguyên và nhân lực sẽ là một thách thức lớn.
Ngoài ra, thực tế những thách thức bảo mật không chỉ đơn giản có vậy, vấn đề ATTT còn liên quan đến rất nhiều bên, chẳng hạn như quản lý rủi ro của bên thứ ba, vì các bên thứ ba như nhà cung cấp đám mây và nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS) là chìa khóa để đảm bảo quá trình CĐS thành công.
Theo một khảo sát về CĐS và rủi ro không gian mạng của Viện Ponemon - Viện nghiên cứu thực nghiệm về các vấn đề quan trọng ảnh hưởng đến bảo mật tài sản thông tin và cơ sở hạ tầng CNTT cho thấy, 58% người trả lời cho biết tổ chức, DN của họ thiếu chương trình quản lý ATTT của bên thứ ba mặc dù rủi ro có xu hướng ngày càng gia tăng.
Rõ ràng, sự mất cân bằng trong việc đầu tư vào CĐS và bảo mật đang đặt ra những thách thức lớn cho chính các DN trong quá trình số hóa hệ thống hoạt động cũng như tối ưu quá trình sản xuất kinh doanh của chính họ. Đặc biệt trong bối cảnh có nhiều trường hợp chiến lược bảo mật chưa theo kịp tốc độ và sự đổi mới của quá trình CĐS của DN.
Từ thực tế này đòi hỏi phải cần có sự cân bằng giữa tốc độ, đổi mới và bảo mật trong quá trình thực hiện CĐS.
Tìm kiếm sự cân bằng phù hợp giữa bảo mật và đổi mới là một vấn đề phức tạp cần giải quyết đối với bất kỳ tổ chức nào bắt tay vào CĐS. Để làm đúng, các tổ chức, DN nên xây dựng kế hoạch và tích hợp ATTT vào chiến lược CĐS của đơn vị mình ngay từ đầu.
Với vô số các mối đe dọa và lỗ hổng bảo mật, tài sản trí tuệ, dữ liệu khách hàng và thông tin nhạy cảm của công ty sẽ ngày càng gặp nhiều rủi ro. Khi bối cảnh mối đe dọa ngày càng mở rộng, nắm bắt các rủi ro bảo mật của quá trình CĐS là vấn đề quan trọng cần được ưu tiên và quan tâm.
Theo báo cáo của Viện Ponemon, 82% Giám đốc bảo mật CNTT và C-suite thừa nhận rằng họ đã trải qua ít nhất một lần vi phạm dữ liệu trong quá trình CĐS.
Với những số liệu thống kê này, chúng ta phải chấp nhận rằng vi phạm bảo mật, ATTT chắc chắn sẽ xảy ra, vấn đề chỉ là khi nào sẽ xảy ra. Để giảm thiểu hậu quả, toàn bộ tổ chức - bao gồm nhóm bảo mật, bộ phận CNTT, giám đốc điều hành và các bên liên quan chính - phải đặt vai trò của ATTT lên làm vấn đề ưu tiên trong lộ trình CĐS của DN.
Các chiến lược giải quyết vấn đề bảo mật CĐS
Theo phân tích của Security Intelligence, việc tìm kiếm sự cân bằng giữa bảo mật và đổi mới thường bao gồm ba bước: xác định rủi ro, tạo chiến lược bảo mật và đầu tư vào công nghệ và kỹ năng.
Theo đó, nhận biết và xác định rủi ro phải được thực hiện trên tất cả các bộ phận. Đặc biệt, trong bối cảnh có một số rủi ro nhất định thường không được các nhóm bảo mật chú ý. Đồng thời, bảo mật IoT là một yếu tố rủi ro cần được ưu tiên trong chiến lược ATTT của tổ chức và DN.
Khi đề ra chiến lược bảo mật, các DN cần đảm bảo rằng những phương pháp ATTT cơ bản phải được tích hợp sẵn. Các quy trình bảo mật phức tạp hơn, chẳng hạn như quản lý nhà cung cấp, có thể được kết hợp và điều chỉnh trong quá trình thực hiện, vì những quy trình này có thể làm chậm và ảnh hướng đến quá trình CĐS của một DN.
Bảo vệ DN khỏi những kẻ tấn công và các mối đe dọa đòi hỏi các DN phải đầu tư vào công nghệ và kỹ năng. Khi các nhóm bảo mật, bộ phận tài chính và C-suite thống nhất được với nhau về chiến lược và ngân sách quá trình thực hiện mới có thể thành công.
Một số phương pháp bảo mật hiệu quả cho quá trình CĐS
Bảo mật shift-left
Đối với bất kỳ dự án đã lên kế hoạch nào, việc thực hiện bảo mật sớm theo một cách nào đó có thể thu được lợi ích lâu dài đáng kể. Bằng cách thực hiện bảo mật shift-left, DN có thể tham gia sớm hơn trong quy trình.
Shift-left là một nguyên tắc phát triển, nêu rõ rằng bảo mật sẽ di chuyển từ bên phải (hoặc kết thúc) của vòng đời lập trình phần mềm (SDLC) sang bên trái (bắt đầu). Nói cách khác, bảo mật nên được thiết kế và tích hợp vào tất cả các giai đoạn trong quá trình phát triển. Sự thay đổi mới này đòi hỏi các nhà phát triển phải có quyền sở hữu an ninh và hiểu về các nguyên tắc bảo mật.
Thường xuyên đánh giá rủi ro bảo mật đám mây
Biết DN của mình đang đứng ở đâu từ góc độ bảo mật là điều rất quan trọng để giảm thiểu rủi ro trong tương lai. Với việc thường xuyên đánh giá rủi ro, DN có thể xác định sớm được nơi dữ liệu được tiếp xúc, khả năng chấp nhận rủi ro, từ đó có thể đưa ra những quyết định hành động để giải quyết vấn đề kịp thời và hiệu quả.
Lựa chọn giải pháp bảo mật phù hợp
Các công cụ và giải pháp để bảo vệ DN phải phù hợp với hiện tại nhưng cũng cần đảm bảo phù hợp với xu hướng tương lai. Đó mới là những giải pháp mang tính hữu ích và lâu dài.
Theo đó, các giải pháp bảo mật phải luôn phù hợp với chiến lược kinh doanh và bảo mật của DN. Hãy nhớ rằng, không có bất gì giải pháp nào là "viên đạn bạc" cho mọi thứ bạn cần. Do đó, tìm kiếm các công cụ và giải pháp phù hợp là một phần quan trọng của việc đầu tư của bất kỳ một DN, tổ chức nào.
Dịch vụ bảo mật được quản lý
Không phải mọi tổ chức đều có kỹ năng và chuyên môn để cân bằng giữa bảo mật và đổi mới, và trên thực tế, hầu hết các DN và tổ chức đều chưa cân bằng được các yếu tố này. Khoảng cách về kỹ năng sẽ không biến mất nhanh chóng, vì vậy việc hợp tác với một công ty cung cấp dịch vụ bảo mật được quản lý có kinh nghiệm là một trong những cách tốt nhất để quản lý việc phát hiện, ngăn chặn và ứng phó với các mối đe dọa khi DN thực hiện lộ trình CĐS của mình.
Trên thực tế, sự cân bằng giữa tốc độ, bảo mật và đổi mới có thể đạt được dựa vào việc điều chỉnh hợp lý chiến lược ATTT mạng mạnh mẽ với các mục tiêu CĐS phù hợp. Khi chiến lược được thực hiện đúng, có giải pháp bảo mật phù hợp, có thể đẩy nhanh tiến độ, thời gian của lộ trình CĐS. Và ưu tiên vấn đề bảo mật sẽ là một đòn bẩy cho quá trình CĐS của mọi tổ chức, DN./.
