Đảm bảo ATTT giúp tăng hiệu quả quản trị, giảm thiểu rủi ro

"Bản chất của việc đảm bảo an toàn thông tin (ATTT) là giúp bảo vệ dữ liệu được an toàn, bí mật, không bị lộ, lọt, sửa đổi và không bị ngăn chặn khi truy cập..."

Quan điểm trên là của ông Vũ Thế Hải, Trưởng phòng SOC, Công ty VSEC - Chuyên cung cấp dịch vụ ATTT tại Việt Nam và quan trọng hơn ông Hải cho rằng, các tổ chức, doanh nghiệp (DN) nếu biết cách sử dụng các dịch vụ ATTT có chất lượng và đúng cách sẽ góp phần tối ưu hiệu quả đầu tư, gia tăng giá trị tăng trưởng.

Theo ông Hải, hiện nay khi một tổ chức, DN đang trên đà phát triển thì dữ liệu sẽ dần nhiều lên. Cùng với đó là nguồn dữ liệu khách hàng cũng đa dạng, phong phú, do đó nhiệm vụ bảo vệ ATTT, an toàn dữ liệu không thể lơ là, xem nhẹ, mất cảnh giác.

"Nếu tổ chức, DN lơ là, mất cảnh giác, để xảy ra sự cố mất ATTT, những hậu quả, thiệt hại sẽ vô cùng to lớn, ảnh hưởng trực tiếp đến đến sự phát triển ngay trong hiện tại và tương lai", ông Hải đưa ra cảnh báo.

Dẫn chứng về những thiệt hại, hậu quả của việc để xảy ra sự cố mất ATTT, ông Hải nêu ra con số cụ thể trong báo cáo năm 2021 của Tập đoàn công nghệ máy tính đa quốc gia IBM đã công bố, chi phí thiệt hại cho một vụ rò rỉ dữ liệu ước tính thiệt hại khoảng 2,71 triệu USD và sẽ mất khoảng 271 ngày để phát hiện, cô lập, khắc phục sự cố.

Do đó, theo ông Hải, đây chính là sự "huỷ diệt" tàn khốc, khó lường về hậu quả, cho nên chúng ta cần chủ động ứng phó, tập trung vào việc quản lý, quản trị ATTT; phải trở thành nhiệm vụ, hoạt động chính, được quan tâm thường xuyên trong các tổ chức, đơn vị, DN.

Không chỉ vạch rõ bản chất nguy hiểm nếu để xảy ra sự cố mất ATTT, ông Hải cho rằng, Việt Nam hiện nay, bài toán lớn chúng ta đang phải thường xuyên đối mặt chính là làm thế nào để đầu tư nguồn vốn hiệu quả nhất cho vấn đề ATTT, đồng thời cần thực hiện việc đảm bảo ATTT đáp ứng các yếu tố, tiêu chuẩn pháp lý đúng đắn ở trong nước và quốc tế.

"Đáng mừng hiện nay, Việt Nam đã ban hành các tiêu chuẩn, quy định pháp lý rõ ràng về ATTT. Cụ thể, điển hình là: Ngân hàng nhà nước đã ban hành tiêu chuẩn về đảm bảo ATTT cho các tổ chức tín dụng; Bộ TT&TT ban hành bộ hướng dẫn, bộ tiêu chuẩn ATTT theo mô hình 04 lớp…", ông Hải nhấn mạnh.

Tuy nhiên, theo ông Hải, trong bối cảnh hiện nay, việc đảm bảo nguồn lực cho ATTT đang là vấn đề lo ngại, bởi lẽ đó các tổ chức, DN chưa tập trung nguồn lực phân bổ ưu tiên cho đảm bảo ATTT (nhất là về tài chính vẫn chưa nhiều, tỷ trọng chi phí ngân sách cho ATTT rất thấp).

Bên cạnh đó, tình trạng chung hiện hữu chính là các cấp lãnh đạo ở các tổ chức, DN vẫn chưa quan tâm nhiều cho lĩnh vực này, có chăng cũng chỉ xem đây ngành, lĩnh vực khá mới mẻ nên chưa mặn mà.

Vì đặc thù ATTT mang tính chất là quản trị rủi ro, chúng ta không thể khẳng định hoàn toàn 100% cơ sở, căn cứ để xác lập, thu nhận con số hiệu quả cao, cố định. "Nhưng không vì thế mà chúng ta xem nhẹ", ông Hải nhấn mạnh.

Cũng theo ông Hải, việc thiếu hụt nhân sự sẽ dẫn đến hậu quả: Người làm về ATTT sẽ không thể là những người làm chuyên sâu vì nhiều tổ chức sẽ không đủ quy mô lớn để xây dựng đội ngũ ATTT chuyên biệt (chủ yếu kiêm nhiệm vừa làm CNTT phụ trách ATTT).

"Chính thực tế này đang ảnh hưởng tới năng lực ATTT, kìm hãm sự phát triển ATTT và không tạo ra hiệu quả mong muốn, tối đa mục tiêu", ông Hải nhấn mạnh.

Các tổ chức, DN nên có ít nhất một chuyên gia chuyên về ATTT

Đưa ra giải pháp tăng cường hiệu quả việc sử dụng các dịch vụ ATTT hiện nay ông Hải cho biết, VSEC là một đơn vị chuyên cung cấp dịch vụ ATTT, hiện đang cung cấp cho gần 50% các ngân hàng sử dụng các sản phẩm, giải pháp ATTT và bước đầu thu nhiều kết quả tích cực, uy tín lớn.

Hiện nay, VSEC đang cung cấp nhiều dịch vụ: Chuyên gia ATTT, hướng tới dịch vụ sử dụng một lần (tư vấn, quản trị các tiêu chuẩn...); săn tìm lỗ hổng ATTT (phát triển từ các dịch vụ truyền thống kiểm thử xâm nhập (pentest); tư vấn quản trị (SIEM) định kỳ.

Chưa dừng lại, VSEC cung cấp dịch vụ: Tư vấn quản trị, đào tạo, diễn tập và tuân thủ ATTT; ứng cứu và phục hồi sự cố; đánh giá thiệt hại, mức độ bị xâm phạm ATTT…

Ngoài ra, VSEC còn ra đời, hình thành Trung tâm giám sát ATTT thế hệ mới. Thông qua trong tâm này, các tổ chức, DN sẽ được VSEC hỗ trợ việc: Giám sát ATTT đối với hệ thống máy tính, thiết bị mạng, thiết bị bảo mật; cung cấp tri thức ATTT thông qua dịch vụ giám sát mối đe dọa từ bên ngoài và dịch vụ tích hợp, cung cấp tri thức ATTT); quản trị các mối đe dọa lỗ hổng; bảo vệ ATTT đầu cuối.

Đưa ra lời khuyên để giúp các tổ chức, DN nâng cao hiệu quả việc sử dụng các dịch vụ ATTT, ông Hải cho rằng các tổ chức, DN cần tăng cường, ưu tiên lựa chọn, sử dụng sản phẩm, dịch vụ ATTT do bên thứ ba cung cấp, vì khi làm tốt điều này sẽ giảm chi phí đầu tư, nâng cao vấn đề chất lượng.

"Bên thứ ba có thể cung cấp cùng một dịch vụ, cùng chất lượng như thế so với dịch vụ nội bộ và có chi phí rẻ hơn hoặc là với cùng một chi phí như thế nhưng chất lượng sẽ cao hơn", ông Hải nhấn mạnh.

Ông Hải cũng nhấn mạnh đến bài toán tổng thể khi đầu tư chi phí, các tổ chức, DN cần phải ưu tiên và chỉ nên mua các dịch vụ mà đối tác bên ngoài có năng lực, khả năng cung cấp tốt. Quan trọng hơn nữa, khi đã mua các sản phẩm ATTT về, các tổ chức, DN khi sử dụng cần đảm bảo, đáp ứng yêu cầu về năng lực quản lý, quản trị và tối ưu vận hành dịch vụ đó.

Đặc biệt, trong trường hợp các tổ chức, DN mới chưa có bộ phận ATTT chuyên biệt, cách ứng phó an toàn nhất về ATTT là nên mua các dịch vụ đạt tiêu chuẩn hóa đã được kiểm thử, tin dùng.

Giải thích rõ về lợi ích của quan điểm này theo ông Hải, nếu khi chúng ta mua, dùng các dịch vụ được công nhận, kiểm định đạt tiêu chuẩn hóa về chất lượng, các lợi thế đi kèm chính là chúng ta biết các thông số của dịch vụ luôn rõ ràng và chúng ta có thể so sánh giá với các sản phẩm cùng loại trên thị trường đang bán.

"Hơn nữa, về phía nhân lực, người sử dụng dịch vụ, tổ chức, DN cần cố gắng bố trí có ít nhất một chuyên gia chuyên về ATTT có khả năng, kiến thức, hiểu biết để sử dụng thông thạo dịch vụ ATTT cho đơn vị của mình", ông Hải nhấn mạnh./.