Trong thời đại ngày nay, có lẽ không có công ty hay tổ chức nào không nhận thức được tầm quan trọng của an toàn thông tin (cyber security) và đầu tư vào hệ thống an toàn thông tin nhằm đảm bảo tính bảo mật dữ liệu cho hệ thống và thông tin tổ chức. Buổi thỉnh giảng trong khuôn khổ môn học Nhập môn Khoa học Dữ liệu của chương trình Thạc sĩ Chính sách công khóa 2023 (MPP2023) tại Trường Chính sách Công và Quản lý Fulbright (FSPPM) do TS. Trịnh Ngọc Minh, giảng viên Đại học Quốc gia TP. HCM, chuyên gia về an toàn thông tin của CISCO tại Việt Nam và hiện là Giám đốc Phát triển Công nghệ của Tập đoàn HPT trình bày đã mang đến những kiến thức cơ bản, dễ tiếp cận về quản trị an toàn thông tin từ một chuyên gia có 15 năm kinh nghiệm trong lĩnh vực an toàn thông tin.

Theo TS. Trịnh Ngọc Minh, có ba câu hỏi quan trọng mà các công ty hay tổ chức cần trả lời được đó là: Mức độ an toàn thông tin của công ty bạn như thế nào? Khi đã biết được cấp độ đó, công ty cần phải làm gì? Bây giờ công ty nên chọn giải pháp nào?

 Hiểu một cách đơn giản, an toàn thông tin là một cuộc tranh đấu giữa hai bên: bên tấn công và bên bảo vệ. Bên tấn công được gọi là thành công nếu tìm được một con đường để xâm nhập vào hệ thống mạng của công ty/tổ chức, trong khi bên bảo vệ thành công nếu chặn được tất cả mọi con đường mà người khác có thể xâm nhập vào hệ thống.

Bên tấn công (attacker) thường là người có suy nghĩ sáng tạo, tìm ra những tính năng của hệ thống nằm ngoài ý định của nhà sản xuất, nắm vững một kỹ thuật nào đó và rất kiên nhẫn (xoay xở mọi cách để tìm lỗi). Trong khi đó, bên phòng thủ (defender) phải rất kỷ luật, làm đúng những gì được yêu cầu nhưng bên cạnh đó, luôn rà soát việc quản trị, xử lý và kiểm soát hệ thống quản lý an toàn thông tin (ISMS), vận hành an ninh hàng ngày để hệ thống hoạt động trơn tru; bên phòng thủ thường là một đội để bổ trợ cho nhau, hợp tác cùng nhau. 

Theo TS. Trịnh Ngọc Minh, nếu như chúng ta có một cách tiếp cận bài bản về an toàn thông tin thì chúng ta sẽ luôn luôn nhận thức được tầm quan trọng của an toàn thông tin, đạt được hiệu quả về chi phí và lúc đó bài toán về an toàn thông tin là bài toán của tất cả mọi người trong công ty/tổ chức chứ không chỉ là việc của phòng IT: mỗi nhân viên trong công ty đều biết mình cần phải làm gì, việc họ làm sẽ có lợi ích gì cho an toàn thông tin của công ty và nếu họ không làm thì sẽ chịu hình phạt như thế nào. 

Một trong những cách tiếp cận về an toàn thông tin tốt nhất mà TS. Trịnh Ngọc Minh giới thiệu đó là ISO27000 - tiêu chuẩn quốc tế về thông tin hoặc quản lý an ninh. Theo đó, an toàn thông tin là một quá trình (phải xác định được điểm đầu và điểm cuối và xây dựng một lộ trình để đi đến điểm cuối). Công việc của công ty/tổ chức là liệt kê được tất cả những rủi ro đối với an toàn thông tin và quản trị từ rủi ro này đến rủi ro khác cho đến khi hoàn thành. Đồng thời, đầu tư cho an toàn thông tin là một khoản đầu tư phải có lãi, có hiệu quả; do đó phải “cân đo đong đếm” được thiệt hại nếu không đầu tư vào an toàn thông tin. 

Tựu trung lại, quản trị an toàn thông tin đòi hỏi chúng ta phải phân tích rủi ro: mỗi công ty/tổ chức có mức độ rủi ro khác nhau, do đó mỗi công ty phải tự quản trị rủi ro theo cách của mình chứ không thể bắt chước các công ty khác. Tiếp theo đó, chúng ta phải chấp nhận rủi ro: không thể có an toàn thông tin 100%, nhưng mức độ sơ hở như thế nào là có thể chấp nhận được? Do vậy, chúng ta phải định nghĩa được mức độ chấp nhận rủi ro của công ty mình từ cách tiếp cận đảm bảo hiệu quả về chi phí (cost-effective). Sau khi đã phân tích rủi ro và chấp nhận rủi ro, công ty/tổ chức phải xây dựng được các baseline: xác định được các yêu cầu tối thiểu cần phải có, thông qua đó có thể định nghĩa được thế nào là một sự cố về an toàn thông tin. Tiếp theo là triển khai các biện pháp: mua sản phẩm, tuyển người, đào tạo, xây dựng chính sách... nhằm đảm bảo an toàn thông tin cho công ty/tổ chức. Bước cuối cùng là vận hành an toàn thông tin: vận hành hàng ngày, giải quyết sự cố kịp thời, thỏa mãn các baseline...

Tóm lại, an toàn thông tin là một bài toán cost-effective, do vậy bất kỳ doanh nghiệp hay tổ chức nào, từ nhà nước đến tư nhân, cũng nên tiếp cận an toàn thông tin từ góc độ hiệu quả về mặt chi phí, TS. Trịnh Ngọc Minh kết luận.

• Thúy Hằng