Con người là yếu tố quan trọng nhất trong việc đảm bảo an ninh thông tin ở các doanh nghiệp, trong đó CSO có vai trò rất lớn trong việc làm cho mọi người trong cơ quan của mình nhận ra được vai trò này.
Nhận thức về an ninh thông tin còn kém
Hội nghị Giám đốc an ninh thông tin (CSO) do Tập đoàn Dữ liệu Quốc tế IDG kết hợp với VNCERT và Sở TT&TT TP HCM vừa được tổ chức vào ngày 11/12 tại TPHCM. Tại phần toạ đàm, ông Vũ Quốc Khánh, Giám đốc VNCERT, Bộ TT&TT đã thẳng thắn chỉ ra rằng, nhận thức về an ninh thông tin ở Việt Nam hiện nay là còn quá kém. Đơn cử mới vài ngày gần đây, đã có rất nhiều các website của những cơ quan lớn trong nước bị hacker xâm nhập rất dễ dàng.
Một ví dụ thực tế nữa được ông Khánh đưa ra về sự nhận thức yếu kém này chính là từ một vật rất nhỏ bé và quen thuộc, đó chính là chiếc USB. “Nếu như ở nước ngoài, trong một cuộc hội thảo có ai đó cầm USB lên xin diễn giả sao chép bài phát biểu hay tài liệu thì ngay lập tức, vị diễn giả sẽ trả lời rằng anh để lại email tôi sẽ chuyển cho. Còn ở Việt Nam thì việc đó là rất dễ dàng, diễn giả sẵn sàng sao chép cho người lên xin mà không quan tâm đến sự an toàn cho máy tính của mình”, ông Khánh nói.
Ông Ngô Anh Tuấn, Giám đốc của BKIS Telecom, BKIS Internet Security cũng đồng quan điểm khi cho rằng, công tác an ninh bảo mật thông tin ở các doanh nghiệp Việt Nam vẫn chưa được coi trọng. Cụ thể khi một doanh nghiệp nào đó thuê các công ty thuộc lĩnh vực CNTT viết các website, phần mềm, thiết kế hệ thống đều không đặt ra đầu bài là phải đảm bảo về an ninh. Còn đơn vị thực hiện cũng không biết về an ninh, hoặc biết thì họ cũng không làm vì không được trả chi phí cho việc làm đó.
Trả lời câu hỏi của ông Lê Thanh Tâm, Tổng Giám đốc IDG Đông Nam Á, khi có nhận định cho rằng các website của bất kỳ tổ chức nào ở Việt Nam cũng đều có thể bị hacker xâm nhập. Ông Tuấn cũng cho rằng khả năng đó có thể xảy ra rất cao.
Nhiều ý kiến của những người đang nắm giữ vai trò lãnh đạo an ninh thông tin ở các doanh nghiệp tham gia Hội nghị cũng đồng tình với các quan điểm trên và đều khẳng định, hiện trạng an ninh thông tin ở Việt Nam vẫn còn rất yếu, trong đó nhận thức của các doanh nghiệp vẫn chưa cao và đa số không chú trọng đến lĩnh vực này.
Yếu tố con người và tầm quan trọng của CSO
Tại Hội nghị, cả ông Tạ Quang Tiến, Phó chủ tịch Hiệp hội an toàn thông tin Việt Nam, ông Võ Văn Khang, Phó Tổng Giám đốc Ngân hàng Việt Á, ông Võ Việt Anh, Phó Giám đốc CNTT, Công ty CP chứng khoán Sài Gòn và ông Đỗ Ngọc Duy Trác, Trưởng phòng nghiệp vụ, VNCERT, Bộ TT&TT, đều nhận định yếu tố để phát triển an ninh thông tin ở các doanh nghiệp đầu tiên không phải là hạ tầng kỹ thuật, mà quan trọng nhất chính là con người.
Các CSO thảo luận về vai trò của chính mình.
Con người ở đây không phải chỉ những người làm về CNTT trong doanh nghiệp, mà là tất cả mọi người ở tất cả các bộ phận trong công ty. Phải làm sao để tất cả những người đó họ nhận thức được rằng an ninh thông tin là rất quan trọng và nó nắm vai trò quyết định sự thành công cũng như sự phát triển của công ty mình. Và để làm được điều đó thì vai trò được đặt nặng lên vai những người giữ chức vụ CSO trong các doanh nghiệp.
Các chuyên gia trên đều cho rằng người CSO này phải có kiến thức và nhận thức tầm quan trọng về lĩnh vực này trước, rồi mới tiến hành thuyết phục được những người khác trong công ty và quan trọng là phải có tính sáng tạo. Trong đó yếu tố tầm nhìn rất quan trọng bởi an ninh thông tin không phải ngày một ngày hai mà một người để làm được việc này phải có tầm nhìn tới tương lai 3 – 5 năm sau đó.
Các lãnh đạo và các chuyên gia dự hội nghị này đều đưa ra nhận định, muốn phát triển an ninh thông tin ở các doanh nghiệp hiện nay, tất cả đều phải tập trung vào việc thay đổi nhận thức của con người và CSO là một yếu tố góp phần quyết định nên sự thành công đó, bởi “CSO không phải là người đi làm những việc như xử lý sự cố mà là một người đưa ra các kế hoạch về an ninh để kêu gọi mọi người thực hiện, xác định được rủi ro và bao quát được mọi vấn đề” như ông Thomas Parenty, Giám đốc điều hành, Parenty Consulting LTD phát biểu.
CSO là người giữ trọng trách trong việc hoạch định chính sách và tổ chức thực thi các biện pháp nhằm đảm bảo cho hệ thống thông tin được toàn vẹn, bảo mật và luôn sẵn sàng phục vụ cho tổ chức, doanh nghiệp. CSO có vai trò lãnh đạo (định hướng, xây dựng chiến lược và các chương trình bảo mật, an toàn thông tin); phân tích và thiết kế; tổ chức, điều hành bảo mật; nghiên cứu, tìm hiểu các lỗ hổng bảo mật, theo dõi, kiểm tra, phản hồi, đánh giá và báo cáo hoạt động; nâng cao nhận thức về bảo mật; quản trị người dùng.