Kiểm toán an ninh mạng: Biến thách thức thành cơ hội

Để đi sâu kiểm toán an ninh mạng thì các tổ chức phải đầu tư vào đào tạo, trang bị cho các kiểm toán viên nội bộ và nhóm an ninh mạng kiến thức về các công nghệ mới nổi, những rủi ro và khuôn khổ tuân thủ. Các giải pháp công nghệ tiên tiến cũng cần được đầu tư hợp lý, chẳng hạn như triển khai hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) để phân tích mối đe dọa theo thời gian thực, phần mềm tuân thủ tự động để giám sát và nền tảng trực quan hóa dữ liệu để lập báo cáo kiểm toán.

Những thách thức đối với an ninh mạng năm 2025

Theo Viện Kiểm toán nội bộ Hoa Kỳ (IIA), kiểm toán an ninh mạng là các đánh giá có hệ thống về chính sách, biện pháp kiểm soát và thực hành bảo mật thông tin của một tổ chức. Mục tiêu chính là xác định các lỗ hổng, đảm bảo tuân thủ các quy định và đánh giá khả năng của các biện pháp an ninh mạng. Do đó, khi các mối đe dọa mạng phát triển, phạm vi và độ sâu của các cuộc kiểm toán cũng phải thay đổi.

Các yêu cầu và chuẩn mực IIA nêu ra gần đây đều nhấn mạnh cách tiếp cận chủ động và toàn diện hơn đối với các cuộc kiểm toán an ninh mạng. Điều này phản ánh mức độ quan tâm của các nhà lãnh đạo đối với an ninh mạng không còn là vấn đề kỹ thuật mà đã trở thành một trọng tâm của kinh doanh với những tác động đến danh tiếng, sự ổn định tài chính và tuân thủ quy định.

Các chuyên gia của IIA đã phân tích nhiều thách thức nổi bật đối với vấn đề an ninh mạng năm 2025. Cụ thể, mức độ phức tạp ngày càng gia tăng đòi hỏi các cuộc kiểm toán phải mở rộng phạm vi, bao gồm các mối đe dọa mới nổi như phần mềm tống tiền, lỗ hổng chuỗi cung ứng và các mối đe dọa nội bộ. Cuộc tấn công Colonial Pipeline là một chứng minh rõ ràng cho việc chỉ một sự cố phần mềm tống tiền có thể phá vỡ cơ sở hạ tầng quan trọng, gây thiệt hại hàng triệu USD và làm xói mòn lòng tin của khách hàng. Việc giải quyết những sự cố phức tạp như vậy đòi hỏi chuyên môn kỹ thuật sâu và hiểu biết sâu sắc hơn về an ninh mạng.

Nhiều tổ chức gặp khó khăn trong việc phân bổ đủ nguồn lực cả về tài chính và con người để đáp ứng các tiêu chuẩn kiểm toán an ninh mạng ngày càng nâng cao. Đặc biệt, các doanh nghiệp, tổ chức nhỏ gặp khó khăn trong việc cân bằng giữa việc tuân thủ với các nhu cầu hoạt động hằng ngày. Theo nghiên cứu của Gartner, chi tiêu trên toàn thế giới cho an ninh thông tin và quản lý rủi ro dự kiến sẽ vượt quá 200 tỷ USD vào năm 2025, đây là áp lực tài chính lớn đối với các doanh nghiệp.

Bên cạnh đó, các yêu cầu về an ninh mạng đòi hỏi sự liên kết chặt chẽ hơn với chiến lược kinh doanh tổng thể. Trong khi đó, để đạt được sự tích hợp này, tổ chức phải thay đổi về văn hóa và phá vỡ sự phân tách giữa công nghệ thông tin, kiểm toán nội bộ và lãnh đạo điều hành. Thực tế, nhiều tổ chức vẫn xếp an ninh mạng là một chức năng thuần túy về mặt kỹ thuật, không phải là ưu tiên chiến lược.

Biến thách thức thành cơ hội

Theo các chuyên gia của IIA, các tổ chức cần thúc đẩy nhận thức về an ninh mạng và tăng mức độ ưu tiên an ninh mạng ở mọi cấp độ. Bằng cách đưa nhận thức về an ninh mạng vào văn hóa doanh nghiệp thông qua đào tạo thường xuyên, có sự tham gia của lãnh đạo, các doanh nghiệp có thể thúc đẩy quản lý rủi ro chủ động và trao quyền cho nhân viên hành động như tuyến phòng thủ đầu tiên chống lại các mối đe dọa mạng. Chẳng hạn, các công ty như IBM và Google đã triển khai thành công các chương trình như vậy, giúp giảm đáng kể các sự cố liên quan đến lỗi của con người gây ra.

Đồng thời, các doanh nghiệp tiến hành đổi mới trong thực hành an ninh mạng. Việc tuân thủ các quy định, yêu cầu mới có thể giúp lãnh đạo đổi mới trong các chiến lược và công nghệ. Các tổ chức có thể đầu tư vào các công cụ tiên tiến như trí tuệ nhân tạo (AI) để mô hình hóa mối đe dọa, máy học (ML) để phát hiện bất thường và blockchain để xác minh dữ liệu an toàn. Các nền tảng do AI điều khiển sử dụng ML để phát hiện và phản hồi các mối đe dọa theo thời gian thực, cho phép giảm thiểu mối đe dọa nhanh hơn và chính xác hơn.

Việc tích hợp an ninh mạng với chiến lược kinh doanh là một yêu cầu cấp thiết đối với các doanh nghiệp, bởi các sáng kiến chuyển đổi kỹ thuật số an toàn có thể nâng cao trải nghiệm của khách hàng trong khi vẫn bảo vệ dữ liệu quan trọng. Bằng cách tận dụng an ninh mạng như một công cụ thúc đẩy đổi mới, các tổ chức có thể cải thiện hiệu quả hoạt động và mở ra các nguồn doanh thu mới.

Kiểm toán đóng vai trò quan trọng trong suốt quá trình cải thiện hệ thống và đảm bảo an ninh mạng cho tổ chức. Theo đó, các hoạt động kiểm toán an ninh mạng sẽ đánh giá hiện trạng của tổ chức so với các tiêu chuẩn, yêu cầu, quy định mới; sử dụng các khuôn khổ chi tiết như ISO 27001 hoặc NIST Cybersecurity Framework để xác định các lỗ hổng và xây dựng lộ trình ưu tiên để tuân thủ; nghiên cứu tình huống từ các tổ chức đã triển khai thành công các khuôn khổ này để cung cấp những hiểu biết có giá trị.

Kiểm toán viên nội bộ có thể hợp tác với các cố vấn an ninh mạng bên ngoài hoặc các nhà cung cấp dịch vụ để nâng cao năng lực. Các chuyên gia bên ngoài thực hiện các đánh giá độc lập, cung cấp thông tin chuyên sâu và hỗ trợ việc triển khai các biện pháp thực hành tốt nhất phù hợp với nhu cầu của tổ chức. Điều này đặc biệt có lợi cho các doanh nghiệp vừa và nhỏ với ít nhân lực, trình độ chuyên môn còn hạn chế.

Đặc biệt, các nhóm công nghệ thông tin, kiểm toán nội bộ và ban lãnh đạo cần tăng cường trao đổi thông tin, có thể thành lập Ủy ban chỉ đạo an ninh mạng để đảm bảo các chiến lược gắn kết và phù hợp với các mục tiêu của tổ chức. Các cuộc họp liên phòng ban thường xuyên và những tình huống giả định đi kèm kế hoạch/phương án giải quyết tạo điều kiện cho sự phối hợp và hiểu biết tốt hơn.

Cam kết của ban lãnh đạo trong việc ưu tiên an ninh mạng sẽ như một mục tiêu chiến lược, biến các cuộc kiểm toán an ninh mạng từ hoạt động kiểm tra, giám sát trở thành một công cụ mạnh mẽ cho sự đổi mới, xây dựng lòng tin và tạo cơ hội tăng trưởng dài hạn. Thông qua việc đầu tư vào con người, quy trình và công nghệ, các doanh nghiệp có thể chuyển đổi năng lực an ninh mạng của mình và đảm bảo lợi thế cạnh tranh trong bối cảnh ngày càng số hóa./.