Trong một thế giới số hóa ngày càng phức tạp, các cuộc tấn công mạng không còn là mối đe dọa tiềm ẩn mà đã trở thành hiện thực không thể tránh khỏi. Ông Robert Trần, Phó Tổng Giám đốc Công ty TNHH Dịch vụ An toàn thông tin EY Việt Nam, đã nhấn mạnh rằng việc đầu tư vào công nghệ bảo mật mà thiếu đi kế hoạch ứng phó sự cố và đào tạo nhân viên liên tục là một sai lầm nghiêm trọng. Theo ông, các Hội đồng quản trị (HĐQT) cần nhìn nhận an ninh mạng không chỉ là vấn đề kỹ thuật mà là một phần cốt lõi trong chiến lược kinh doanh và quản trị rủi ro của doanh nghiệp.
Bài học từ sân bay Seattle: Khả năng phục hồi là chìa khóa
Một ví dụ điển hình là sự cố tấn công ransomware vào hệ thống IT của sân bay Seattle vào tháng 8 năm 2024. Mặc dù hệ thống bị tê liệt hoàn toàn và hacker yêu cầu khoản tiền chuộc 6 triệu USD, sân bay vẫn duy trì hoạt động nhờ vào kế hoạch ứng phó sự cố được luyện tập kỹ lưỡng và lực lượng nhân sự sẵn sàng. Chuyến bay của gia đình ông Robert chỉ bị chậm 30 phút, cho thấy tầm quan trọng của khả năng phục hồi an ninh mạng trong việc duy trì hoạt động liên tục.
An ninh mạng: Trách nhiệm của Hội đồng quản trị
Ông Robert Trần nhấn mạnh rằng an ninh mạng không còn là vấn đề của bộ phận IT mà là rủi ro kinh doanh cần được HĐQT quản lý chặt chẽ. Việc xem nhẹ an ninh mạng có thể dẫn đến hậu quả tài chính nghiêm trọng, như trường hợp một doanh nghiệp bảo hiểm y tế bị thiệt hại 3,1 tỷ USD do tấn công ransomware, mặc dù đã trả 22 triệu USD tiền chuộc. Ông cũng chỉ ra rằng các quy định mới, như Quy tắc An ninh mạng của SEC, yêu cầu HĐQT phải chịu trách nhiệm trực tiếp trong việc hiểu và quản lý rủi ro mạng.
Khuyến nghị cho Hội đồng quản trị
Để đảm bảo an ninh mạng hiệu quả, ông Robert Trần đưa ra bảy khuyến nghị cho HĐQT:
- Chấp nhận an ninh mạng là trách nhiệm của HĐQT.
- Đầu tư vào an ninh mạng và đào tạo con người.
- Xây dựng văn hóa đảm bảo an ninh mạng trong toàn tổ chức.
- Thu hẹp khoảng cách giữa HĐQT và Giám đốc An ninh Thông tin (CISO).
- Tại Việt Nam, cần đưa CISO vào bàn chiến lược hoặc làm cố vấn cho HĐQT.
- Định nghĩa lại vai trò của CISO từ kỹ thuật sang chiến lược.
- Cần sự dẫn dắt của các cơ quan quản lý trong việc thiết lập tiêu chuẩn an ninh mạng.
Kết luận
An ninh mạng không còn là một lựa chọn mà là một yêu cầu bắt buộc đối với mọi doanh nghiệp. Việc tích hợp an ninh mạng vào chiến lược kinh doanh và quản trị rủi ro là điều cần thiết để đảm bảo sự phát triển bền vững và uy tín của doanh nghiệp trong kỷ nguyên số.
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ công nghệ cao, Trí tuệ nhân tạo (AI), An ninh mạng, bảo mật & an toàn thông tin. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Cybersecurity: From Potential Risk to Inevitable Reality
In an increasingly complex digital world, cyberattacks are no longer potential threats but inevitable realities. Mr. Robert Trần, Deputy General Director of EY Vietnam Information Security Services Co., Ltd., emphasized that investing in security technology without incident response plans and continuous employee training is a grave mistake. According to him, Boards of Directors (BoD) must view cybersecurity not merely as a technical issue but as a core component of business strategy and risk management.
Lesson from Seattle Airport: Resilience is Key
A prime example is the ransomware attack on Seattle Airport’s IT system in August 2024. Despite the system being completely paralyzed and hackers demanding a $6 million ransom, the airport maintained operations thanks to well-rehearsed incident response plans and a prepared workforce. Mr. Robert’s family’s flight was only delayed by 30 minutes, highlighting the importance of cybersecurity resilience in maintaining continuous operations.
Cybersecurity: A Board-Level Responsibility
Mr. Robert Trần stressed that cybersecurity is no longer an IT department issue but a business risk that BoDs must manage closely. Underestimating cybersecurity can lead to severe financial consequences, such as a healthcare insurance company suffering a $3.1 billion loss due to a ransomware attack, even after paying a $22 million ransom. He also pointed out that new regulations, like the SEC’s Cybersecurity Rule, require BoDs to be directly responsible for understanding and managing cyber risks.
Recommendations for Boards of Directors
To ensure effective cybersecurity, Mr. Robert Trần offers seven recommendations for BoDs:
- Accept cybersecurity as a BoD responsibility.
- Invest in cybersecurity and human resource training.
- Foster a culture of cybersecurity awareness throughout the organization.
- Bridge the gap between BoD and Chief Information Security Officer (CISO).
- In Vietnam, include CISOs in strategic discussions or as advisors to the BoD.
- Redefine the CISO role from technical to strategic.
- Require regulatory bodies to lead in establishing cybersecurity standards.
Conclusion
Cybersecurity is no longer optional but a mandatory requirement for all businesses. Integrating cybersecurity into business strategy and risk management is essential to ensure sustainable development and corporate reputation in the digital age.
Vina Aspire is a consulting company providing high-tech solutions and services in Artificial Intelligence (AI), Cybersecurity, and Information Security. Our team comprises skilled experts, experienced collaborators, and reputable investors and partners both domestically and internationally.
For inquiries, please contact Vina Aspire at:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Vina Aspire – Securely Trusted
