Trong hai năm qua, mọi DN đều phải thích ứng với sự gián đoạn. Một số DN tiên phong đã triển khai công nghệ dựa trên đám mây hỗ trợ làm việc từ xa và giữ cho kênh tiếp cận thị trường theo sát khách hàng. Tuy nhiên, dường như an ninh mạng không phải là vấn đề được DN chú trọng trong quá trình ra quyết định chuyển đổi. Kết quả là, các lỗ hổng bảo mật mới có thêm nhiều cơ hội xâm nhập và tiếp tục đe dọa DN.
Theo đó, 77% người trả lời GISS năm nay cảnh báo rằng họ đã thấy sự gia tăng về số lượng các cuộc tấn công gây rối, nhất là mã độc tống tiền trong 12 tháng qua. Đáng tiếc, các Giám đốc phụ trách an ninh thông tin (CISO) không thực sự thuyết phục được ban lãnh đạo DN về điều này và có tới 56% thừa nhận rằng nhóm an ninh mạng của họ không được tham khảo ý kiến, hoặc được tham vấn quá muộn khi ban lãnh đạo đưa ra các quyết định đầu tư vào công nghệ.
Thậm chí, nhiều CISO nhận thấy cảnh báo của họ bị lãnh đạo DN bỏ qua. Trong GISS năm nay, 43% nói rằng họ chưa bao giờ lo lắng như bây giờ về khả năng quản lý các mối đe dọa mạng. Theo đó, nghiên cứu của EY đã chỉ ra 3 thách thức cản trở CISO và nhóm của họ:
Thiếu hụt tài chính nghiêm trọng: Bất chấp mối đe dọa tấn công mạng ngày càng tăng, ngân sách an ninh mạng vẫn thấp so với chi tiêu tổng thể cho công nghệ. Ngoài ra, các quy trình phân bổ ngân sách phần lớn không linh hoạt.
Ngoài ra, 37% nói rằng chi phí an ninh mạng được chia sẻ trong toàn tổ chức, nhưng chỉ 15% làm như vậy một cách linh hoạt, tùy thuộc vào cách sử dụng tài nguyên. 39% người tham gia GISS cho rằng chi phí an ninh mạng không được tính đủ vào chi phí đầu tư chiến lược và 44% nói rằng họ đã buộc phải cắt giảm chi phí bằng cách tập trung vào kiến trúc và hệ thống kế thừa của họ.
Sự phức tạp và gia tăng của các quy định: 49% CISO đánh giá việc đảm bảo tuân thủ là phần căng thẳng nhất trong công việc của họ và có tới 57% dự đoán rằng các quy định về an ninh mạng sẽ trở nên không đồng nhất, tốn nhiều thời gian và trở nên hỗn loạn trong những năm tới.
Trong GISS năm ngoái, 46% người được hỏi cho rằng tuân thủ thúc đẩy các hành vi đúng đắn trong ND của họ. Năm 2021, con số này đã giảm xuống còn 35%, đồng thời, chỉ 18% người được hỏi đánh giá các quy định là phương pháp hiệu quả để nhóm an ninh áp dụng và trình bày với hội đồng quản trị, cũng như có thêm ngân sách (năm 2020 là 29%).
Thiếu sự gắn kết trong mối quan hệ giữa an ninh mạng với các chức năng khác: Theo GISS, các nhà lãnh đạo DN đang bỏ qua nhóm an ninh mạng trong các cuộc thảo luận quan trọng và 58% CISO nói rằng tổ chức của họ đôi khi triển khai công nghệ mới mà không có sự đánh giá hoặc giám sát an ninh mạng phù hợp.
Nghiêm trọng hơn, GISS năm nay cho thấy có tới 41% số người được hỏi mô tả mối quan hệ của nhóm an ninh mạng với chức năng tiếp thị là tiêu cực. Đồng thời, 28% nói rằng mối quan hệ của họ với chủ DN là kém. Kết quả là, chỉ 19% số người được hỏi tin rằng các nhóm an ninh mạng đang được tham vấn ở giai đoạn lập kế hoạch cho các sáng kiến kinh doanh mới (năm 2020 là 36%).
Thiết lập lại vai trò của an ninh mạng trong chiến lược phát triển công nghệ
Các chuyên gia của EY nhấn mạnh, CISO và nhóm của họ nên đóng một vai trò chiến lược và thương mại hơn trong DN. Theo đó, CISO cần định vị lại vai trò của mình và đảm bảo rằng ban lãnh đạo DN hiểu biết đúng đắn về giá trị của việc đầu tư vào an ninh mạng, từ đó công nhận đó là một phần không thể thiếu của hành trình chuyển đổi.
Để làm được điều này, trước tiên CISO phải tìm cách tăng cường sự tham gia của mình với các bên liên quan, đảm bảo sự phù hợp của an ninh mạng với các mục tiêu kinh doanh cốt lõi. Đồng thời, đánh giá mức độ hài lòng của các đối tác kinh doanh đối với việc thực hiện và cung cấp các dịch vụ an ninh.
Bên cạnh đó, các nhóm an ninh mạng cần những cá nhân có kỹ năng và kỹ thuật tiên tiến để phát hiện ra các mối đe dọa mới xuất hiện và tìm ra lỗ hổng trong phòng thủ, cũng như khả năng xây dựng mối quan hệ giữa các bộ phận. Đây là một yêu cầu khó, vì vậy, trước mắt, CISO có thể xây dựng một nhóm cân bằng thông qua sự kết hợp giữa nhiều bộ phận và tiếp xúc nhiều hơn với các chức năng như tiếp thị, đổi mới hoặc phòng ban liên quan khác.
Nghiên cứu của EY cũng đưa ra đề xuất về việc các CISO và nhóm an ninh mạng cần thay đổi toàn diện, bao gồm: Tập trung vào báo cáo và trách nhiệm giải trình, lập ngân sách và phân bổ nguồn lực, nâng cao tiêu chuẩn và thử nghiệm, nâng cao bảo mật và quyền riêng tư với các thử nghiệm liên tục.
Nếu các CISO có thể đặt mình vào vị trí trung tâm của 4 vấn đề quan trọng này, họ sẽ nâng cao vài trò và chức năng của mình ngay từ khi các khoản đầu tư chiến lược của DN bắt đầu được lên kế hoạch./.
THÙY LÊ