• Thứ Năm, 15/01/2009 09:52 (GMT+7)

    An toàn thông tin toàn cầu 2008: Châu Á đối mặt với nhiều rủi ro

    Công ty PricewaterhouseCooper (PwC) mới đây đã công bố báo cáo thường niên về tình hình bảo mật thông tin doanh nghiệp (DN) trên toàn cầu thông qua việc khảo sát hơn 7.000 giám đốc điều hành (CEO), giám đốc tài chính (CFO), giám đốc thông tin (CIO), giám đốc an toàn thông tin (CSO). TGVT đã phỏng vấn ông Henri Hoàng, giám đốc dịch vụ nâng cao hiệu quả thông tin của PwC về những kết quả từ cuộc khảo sát.

    Được biết PricewaterhouseCooper (PwC) cùng với tạp chí CIO thực hiện bản báo cáo thường niên về bảo mật thông tin DN toàn cầu. Ông có thể chia sẻ với độc giả tạp chí Thế Giới Vi Tính một số điểm chính trong báo cáo đó?

    Cuộc khảo sát tình trạng bảo mật thông tin (BMTT) toàn cầu năm 2008 được công ty PwC, tạp chí CIO và tạp chí CSO phối hợp thực hiện trực tuyến từ 25/3 đến 26/6/2008. Có 39% người trả lời là ở Bắc Mỹ, 27% ở châu Âu, 17% ở châu Á, 15% ở Nam Mỹ và 2% ở Trung Đông và Nam Phi. Xác suất sai sót là 1%.

    Ông Henri Hoàng
    Một trong những điểm chính trong báo cáo là những vấn đề bảo mật và quyền riêng tư được coi là ưu tiên, quan trọng hàng đầu đối với nhóm quản lý cấp cao trong các lĩnh vực hoạt động kinh doanh. Chúng tôi đưa ra một vài số liệu nhấn mạnh trong các báo cáo:

    • 44% DN có kế hoạch tăng đầu tư vào vấn đề BMTT trong năm tới.

    • 28% nhà điều hành trong lĩnh vực sản xuất hàng tiêu dùng và bán lẻ cho rằng sự đầu tư của họ vào BMTT đáp ứng rất hạn chế hoặc không đáp ứng được mục tiêu kinh doanh, so với con số 14% nhà điều hành trong ngành dịch vụ tài chính.

    • Chỉ có 24% các nhà điều hành thấy được giá trị kinh tế của dữ liệu như là một phần kết quả đạt được từ các chính sách BMTT.

    Chúng tôi đã đưa kết quả cuộc khảo sát lên trang http://www.pwc.com/giss2008. Có thể độc giả sẽ ngạc nhiên với một số vấn đề nổi bật.

    Theo báo cáo, châu Á có vẻ phải đối mặt với nhiều rủi ro ngày càng tăng do đánh mất khả năng BMTT. Ông có giải thích hay bình luận gì về vấn đề này?

    Mặc dù cuộc khảo sát cho thấy các công ty có xu hướng nhìn nhận vấn đề BMTT tốt hơn so với các năm trước, nhưng hàng ngày vẫn có nhiều công ty bị các hacker tấn công.

    BMTT không chỉ là sử dụng các công nghệ bảo mật mà còn đòi hỏi phải biết kết hợp giữa nguồn nhân lực, các quy trình và các công cụ bảo mật. Sẽ khó đặt ra một khuôn mẫu BMTT (security framework) và kiểm soát hiệu quả, bởi điều đó đòi hỏi ban lãnh đạo phải hỗ trợ để vượt qua hạn chế của nguồn tài chính và nhân lực, đặc biệt trong tình hình khủng hoảng kinh tế toàn cầu.

    Ngoài ra, quy chế bảo vệ quyền riêng tư tại châu Á (do những người tham gia trả lời phản hồi) vẫn đang lạc hậu so với các khu vực khác. Vấn đề quyền riêng tư không được chú ý tới có thể do các lý do sau: các công ty không ý thức được điều này; các công ty có xu hướng không ưu tiên vấn đề này bằng các vấn đề khác; luật về quyền riêng tư không bắt buộc phải thực thi nghiêm ngặt(chỉ đòi hỏi chính phủ phải quan tâm và cân nhắc mà thôi). Trong khi đó, tại một số nước thuộc Bắc Mỹ, chính phủ quy định nghiêm ngặt về quyền riêng tư và đòi hỏi các công ty phải tuân thủ. Các luật định chính thức của chính phủ có thể thông qua khuôn mẫu bảo mật (security framework) và những cách thức bảo mật tốt, do đó giảm thiểu rủi ro liên quan đến BMTT và quyền riêng tư.

    Quy chế bảo vệ quyền riêng tư ảnh hưởng thế nào đến an ninh của một DN? Vấn đề này đang được PwC tư vấn cho các DN ra sao?

    Như đã nêu trong báo cáo, quy chế bảo vệ quyền riêng tư chưa được xác lập rõ ở các công ty châu Á. Thách thức trong bảo mật dữ liệu riêng tư là bảo đảm chia sẻ dữ liệu và thông tin trong khi vẫn bảo vệ an toàn thông tin nhận dạng cá nhân (PII). BMTT cá nhân là một phần trọng yếu trong chiến lược bảo mật dữ liệu.

    Có 2 loại thông tin riêng tư: (1) thông tin cá nhân (số thẻ tín dụng, tình trạng sức khỏe cá nhân, tình trạng tài chính...) và (2) thông tin DN (tình hình tài chính, danh sách khách hàng, kế hoạch marketing, tài sản trí tuệ như bằng sáng chế, phương pháp luận...). Rò rỉ bất cứ thông tin riêng tư nào trên đây đều có thể dẫn đến tổn thất tài chính do mất đi danh tiếng và uy tín, tư cách pháp nhân (bị nhân viên và khách hàng kiện tụng).

    Để đối phó hiệu quả với nguy cơ này, trước hết, DN phải biết sẽ có những rủi ro gì và tác động tiểm ẩn gì nếu xảy ra rò rỉ thông tin riêng tư. Khi đó, DN phải nhận dạng và phân loại dữ liệu thông tin theo từng cấp độ, như tuyệt mật, nhạy cảm hay đại chúng, sau đó đưa ra cách kiểm soát, BMTT thích hợp đối với từng cấp độ dữ liệu thông tin. DN phải đảm bảo đào tạo nhân viên thích hợp với những vấn đề liên quan đến BMTT. Nên xây dựng và thử nghiệm các quy trình về bảo mật, như theo dõi và báo cáo sự cố. Những DN có website nên đảm bảo website được cấu hình đúng đắn và an toàn bằng cách mời chuyên gia bảo mật bên ngoài thực hiện kiểm tra xâm nhập thường xuyên, định kỳ.

    Qua báo cáo, ông có nhận định gì về các xu hướng liên quan đến BMTT của DN?

    Những lỗ hổng chưa được nhận dạng cũng như nguồn gốc đặc thù của các sự cố an ninh tiếp tục gây ra những thử thách cho DN. Để bảo vệ thông tin và dữ liệu một cách hiệu quả, DN phải có khả năng nhận dạng các rủi ro trong BMTT thông qua công tác rà soát rủi ro định kỳ và toàn diện; áp dụng những công nghệ hiện đại để theo dõi và phát hiện tấn công của các hacker; lập các quy trình và kiểm soát BMTT thích hợp để ngăn chặn tấn công.


    Chức danh CSO hoặc CISO (giám đốc an ninh thông tin) đã rất quen thuộc tại một số khu vực, nhưng lại hoàn toàn mới mẻ tại châu Á. Vậy vai trò của CSO và CISO quan trọng như thế nào đối với một tổ chức? Ai là người phù hợp để chịu trách nhiệm cao nhất trong vấn đề BMTT của một tổ chức, CIO hay CSO/CISO?


    Vì BMTT đang trở nên cực kỳ quan trọng đối với DN, nên cần chỉ định một người có trình độ và kinh nghiệm đảm nhiệm giám sát vấn đề bảo mật thông tin và dữ liệu, những tài sản lớn nhất của DN.

    Khó có thể nói rằng người nào phù hợp với vai trò đó. Tuy nhiên, trách nhiệm về BMTT cần phải được chia sẻ giữa các nhân viên trong DN, từ nhân viên tiếp tân tới các thành viên ban lãnh đạo.

    Đối với các DN lớn hơn, BMTT và dữ liệu DN cần phải phân công cho một người được chỉ định. Báo cáo về BMTT DN toàn cầu cho thấy CISO thường báo cáo cho nhiều nhà điều hành cấp cao. Tại các công ty lớn, một trong những nhà điều hành cấp cao này chính là CIO.

    Các nguyên nhân dẫn đến mất an toàn thông tin

    Nguồn gốc sự cố 2007 2008
    Chưa biết * 42%
    Nhân viên 48% 34%
    Tin tặc 41% 28%
    Nhân viên đã nghỉ việc 21% 16%
    Đối tác kinh doanh 19% 15%
    Khách hàng 9% 8%
    Khác 20% 8%
    Khủng bố/Chính phủ nước ngoài 6% 4%

    * Không có lựa chọn trong năm 2007

    Thu Nga

    ID: B0901_56