Bản báo cáo “Quản lý rủi ro CNTT” của Symantec vừa được công bố mới đây đã cho thấy: các tổ chức thừa nhận về tình trạng lỗ hổng an ninh, đều tin rằng họ chưa có những biện pháp kiểm soát hiệu quả, và thể hiện sự không thống nhất về nhận thức rủi ro ngay bên trong bộ phận CNTT nội bộ của họ.
Bản báo cáo “Quản lý rủi ro CNTT” của Symantec (IT Risk Management Report - IRMR) dựa trên các số liệu từ cuộc nghiên cứu điều tra định tính lẫn định lượng được tiến hành trong khoảng thời gian 12 tháng, kết thúc vào tháng 10/2006. Symantec đã thu thập thông tin từ hơn 500 người từ trưởng phòng CNTT tới giám đốc CNTT trong các tổ chức/doanh nghiệp có hoạt động toàn cầu, trong nhiều lĩnh vực hoạt động khác nhau. Các số liệu điều tra trong IRMR cho thấy phần lớn những người được hỏi cho rằng sẽ gặp một vài rắc rối dạng bảo mật hoặc tuân thủ chính sách trong vòng 1 - 5 năm nữa. Cụ thể, 66% trong số người được hỏi cho rằng sẽ gặp lỗi lớn về tuân thủ quy định ít nhất một lần trong chu kỳ 5 năm. Bên cạnh đó, 58% cho rằng mỗi chu kỳ 5 năm, ít nhất có một lần bị mất mát dữ liệu lớn do các vụ việc như sập trung tâm dữ liệu, dữ liệu hỏng, lỗ hổng hệ thống bảo mật.
Quản lý rủi ro CNTT hiệu quả đòi hỏi sự kết hợp hài hòa của kinh nghiệm chuyên sâu và đầu tư trong vấn đề kiểm soát quy trình cũng như kiểm soát công nghệ. Những chương trình quản lý rủi ro CNTT hiệu quả nhất thường sử dụng các công cụ kiểm soát là sự kết hợp các công nghệ được lựa chọn tốt nhất với các quy trình ưu việt nhất. Bản báo cáo IRMR của Symantec cho thấy các chuyên gia tham gia vào cuộc nghiên cứu này thuộc mọi cấp độ trong tổ chức, mọi ngành công nghiệp, mọi quy mô, và có vị trí địa lý khác nhau, đều có quan điểm rằng khả năng tổ chức của họ về kiểm soát công nghệ là hiệu quả hơn so với kiểm soát quy trình.
Những nhận xét trong bản báo cáo cho biết việc xác thực, trao quyền, và truy cập đều thuộc kiểm soát quy trình, được đánh giá có mức độ hiệu quả hơn 75%, đó là trả lời của 68% những người được hỏi. Bản báo cáo còn xác định những vấn đề của kiểm soát quy trình cụ thể trong nhận định, phân loại và quản lý các tài sản CNTT. Chỉ 38% người được hỏi đánh giá tổ chức của họ đạt hiệu quả trrên 75% trong việc thực hiện các kiểm soát quy trình về kiểm kê, phân loại và quản lý tài sản. Những biện pháp kiểm soát này cực kỳ quan trọng trong việc xây dựng một chương trình quản lý rủi ro CNTT giúp thể hiện những ưu tiên của tổ chức. Nếu không đánh giá rủi ro cẩn thận, tất cả các tài sản có thể được đánh đồng về tầm quan trọng, khi đó sẽ có những tài sản được bảo vệ quá mức cần thiết, trong khi chỗ khác lại không đủ so với yêu cầu.
Jon Oltsik, chuyên gia phân tích cao cấp của Bộ phận Chiến lược Doanh nghiệp cho biết: "Các tổ chức đang bắt đầu nhận thấy giá trị của sử dụng biện pháp chủ động, hơn là bị động đối với chiến lược quản lý rủi ro CNTT của họ. Quản lý rủi ro CNTT hiệu quả đòi hỏi các tổ chức phải đánh giá cả công nghệ lẫn các quy trình của họ, cũng như hiểu rõ và nhận thức về những rủi ro khác nhau có thể ảnh hưởng tới hệ thống, và tới toàn thể hoạt động kinh doanh của họ".
Bản báo cáo IRMR của Symantec chỉ ra một sự khác biệt đáng lưu ý trong cách thức mà nhân viên CNTT và nhà phụ trách CNTT nhìn nhận về những rủi ro CNTT trong tổ chức của họ, đặc biệt nhận biết về rủi ro liên quan tới cả rủi ro quy trình kinh doanh lẫn tuân thủ chính sách. Ví dụ, chỉ có 8% nhà phụ trách CNTT đánh giá rủi ro về quy trình kinh doanh là quan trọng đối với hoạt động CNTT của họ so với 22% các giám đốc CNTT đánh giá như vậy; và 23% các nhà phụ trách CNTT đánh giá rủi ro về tuân thủ chính sách là quan trọng đối với hoạt động CNTT của họ so với 16% các giám đốc CNTT cũng cùng ý kiến.
Theo Symantec, cần phải có sự thống nhất giữa tất cả các bộ phận của CNTT và doanh nghiệp để thành công trong đầu tư trong quản lý rủi ro CNTT. Những khác biệt về quan điểm về CNTT nội bộ có thể gây ra những rủi ro như làm việc điều phối không hiệu quả đối với doanh nghiệp lớn. Điều này có thể gây ra đầu tư quá mức - hoặc dưới mức cần thiết - về các công cụ kiểm soát, dẫn tới phung phí nguồn lực và có các chương trình quản lý rủi ro CNTT không hiệu quả.
"Khi mà các tổ chức ngày càng phụ thuộc vào các hệ thống CNTT của họ để kinh doanh, thì rủi ro CNTT trở thành một vấn đề quan trọng đối với các nhà lãnh đạo doanh nghiệp, và nó cần phải được giải quyết như là một phần của chiến lược lớn hơn về quản lý rủi ro kinh doanh", Greg Hughes, phó chủ tịch điều hành, Nhóm Dịch vụ toàn cầu Symantec cho biết.
Các số liệu trong bản báo cáo IRMR của Symantec nhận định một xu hướng liên quan tới các tổ chức có quản lý rủi ro tốt nhất trên thế giới. Trong bản báo cáo, Symantec xác định tổ chức quản lý rủi ro tốt nhất là các tổ chức của 25% người được hỏi đánh giá hiệu quả của tổ chức họ trong triển khai 16 lĩnh vực kiểm soát. Các tổ chức này có nhiều kinh nghiệm hơn về rủi ro quy trình kinh doanh và tuân thủ chính sách, nhưng lại ít kinh nghiệm về những lỗi CNTT.
Một phân tích chi tiết chỉ ra rằng các tổ chức quản lý rủi ro tốt nhất thường có hiệu quả cao trong nhiều dạng kiểm soát, bao gồm cả kiểm soát quy trình, và có một phương thức tiếp cận hiệu quả. Số liệu trong bản báo cáo cũng chỉ ra rằng các doanh nghiệp thực hiện kém chỉ chú trọng vào một số ít các kiểm soát công nghệ mang tính chiến thuật hơn là thực hiện một loạt các dạng kiểm soát khác nhau.
Hoàng Chia