Tám trong số 10 giám đốc điều hành được khảo sát thừa nhận rằng công ty của họ đã bị xâm nhập bởi các cuộc tấn công mạng trong hai năm qua, theo một nghiên cứu mới của KPMG. Tuy nhiên, ít hơn một nửa trong số 403 CIO, CISOs và CTO của công ty được khảo sát nói rằng họ đã đầu tư vào an ninh thông tin trong năm qua.

"Chúng tôi vẫn đang nhìn thấy các công ty tiếp cận hoặc phản ứng thụ động đối với an ninh mạng, trong khi thực tế mạng phải là một vấn đề kinh doanh hàng đầu đối với toàn công ty," Greg Bell, lãnh đạo của KPMG cho biết. Ông nói với CIO.com sau khi xuất bản báo cáo của mình trong tháng bảy.

Quan điểm cho rằng các công ty đang bị hack đang không có sự đầu tư thỏa đáng cho an ninh mạng có thể mang lại sự thiếu logic cho đến khi bạn hiểu rằng hầu hết các CIO đang được yêu cầu ưu tiên đổi mới để giảm nhẹ rủi ro. Các công ty đang phải vật lộn với biến đổi kỹ thuật số để chạy đua trong việc tìm Pokemon Go của mình. CEO tập trung vào việc phát triển kinh doanh để làm giảm rủi ro. Cuối cùng, an ninh mạng không trở thành yếu tố bắt buộc mà đáng lẽ ra nó nên được coi như vây.

Thiếu sự giám sát các nguy cơ

Thiếu đầu tư vào an ninh mạng có nghĩa là chi tiêu ít hơn vào biện pháp để bảo vệ các công ty từ các mối đe dọa đang nổi lên, bao gồm các mã độc được gửi vào email của các công ty, trong đó tin tặc chiếm quyền điều khiển mạng doanh nghiệp và yêu cầu công ty trả tiền để chúng từ bỏ quyền điều khiển. Trong một cuộc khảo sát tháng Sáu, hãng bảo mật Malwarebytes thấy rằng 41% các doanh nghiệp Hoa Kỳ đã gặp phải 1 tới 5 cuộc tấn công bằng mã độc trong 12 tháng trước đó. Các cuộc tấn công như vậy đe dọa có tác động tàn phá đối với các thương hiệu công ty và cuối cùng đẩy họ xuống dưới đáy.

Bell chỉ ra sự thiếu giám sát hoặc quản trị xuất hiện khi CIO phân bổ ngân sách của họ. Các CIO mà được giao nhiệm vụ đầu tư vào công nghệ để phát triển doanh nghiệp đang tập trung vào việc thuê tài năng kỹ thuật số mới và thực hiện các giải pháp mới để thúc đẩy sự đổi mới và phát triển doanh nghiệp. Nhưng hầu hết các đội an ninh mạng không thể theo kịp với tốc độ thay đổi quy trình công nghệ và kinh doanh. Đội an ninh cơ sở hạ tầng không muốn thay đổi, điều àm cho phép họ thiết lập hệ thống tốt hơn và phát hiện những điều bất thường.

"Sự cần thiết trong việc di chuyển nhanh là rất quan trọng vì vậy các công ty cần phải nhanh nhẹn hơn và nắm lấy một trong số những công nghệ mới và đột phá hơn và tìm kiếm thêm nhiều dịch vụ giá trị gia tăng cho sản phẩm của họ", Bell nói. "Vấn đề là hầu hết các đội an ninh mạng không thể sắp xếp giá trị của họ trước điều này. Đó là một thách thức mà hầu hết các khách hàng của chúng tôi đã phải vật lộn với trong vài năm qua. "

Bell nói rằng an ninh mạng theo truyền thống được liên kết với cơ sở hạ tầng CNTT, nhưng ông gợi ý rằng các công ty nên liên kết nó với sự đổi mới. Một cách lý tưởng nhất, CIO, giám đốc kỹ thuật số và các đối tác CISO của họ sẽ làm việc để lập ra lớp bảo vệ khi mà các giải pháp mới được đưa ra chứ chưa được tích hợp vào các sản phẩm. Ông nói rằng KPMG đã cố gắng đưa ra mô hình này với một vài khách hàng và đạt được kết quả vững chắc.

Một số ngành tập trung an ninh nhiều hơn những ngành khác

Bell, người khảo sát khách hàng trong các ngành ô tô, ngân hàng, công nghệ và các lĩnh vực bán lẻ, phát hiện một thông tin thú vị khác. Hóa ra 89% các giám đốc điều hành mạng bán lẻ báo cáo các vi phạm trong vòng 24 tháng qua, theo sau là ngành ô tô với 85%, so với 76% của các công ty ngân hàng và công nghệ.

Trong khi những khác biệt này là hầu như không rõ rệt, Bell nóir ằng nghiên cứu của ông phát hiện ra một "đường cong nhận thức trong an ninh mạng" giữa các lĩnh vực như dịch vụ tài chính và các công ty công nghệ cao và các nhà sản xuất và bán lẻ ô tô. Điều này có phần đáng báo động với sự 'chú trọng vào mua sắm điện thoại di động và hàng hóa các cá nhân của các nhà bán lẻ và các nhà sản xuất ô tô ẻ tập trung vào việc chế tạo những chiếc xe thông minh mà ngày càng dựa vào các công nghệ hỗ trợ lái xe tự động.

Bell thấy rằng các ngân hàng và các công ty công nghệ là tập trung tương đối vào trò chơi của mình đối với việc tăng cường đầu tư an ninh mạng, với tương ứng là 66% và 62%, báo cáo rằng họ đã đầu tư vào an ninh thông tin. So sánh với 45% của các nhà bán lẻ và 32% của các nhà sản xuất ô tô mà tuyên bố đã đầu tư vào an ninh mạng.

Trong các công ty được khảo sát, 69% báo cáo có một nhà lãnh đạo an ninh mạng, chẳng hạn như một CISO. Mặc dù vậy vẫn có một khoảng cách tồn tại giữa sự quan tâm của dịch vụ tài chính và các công ty công nghệ dành cho an ninh mạng và những gì các đồng nghiệp của họ trong ngành bán lẻ và ô tô đã làm. Ví dụ, 85% các ngân hàng và các công ty công nghệ cho biết họ đã có một CISO hoặc một số vị trí khác tương tự so với 58% và 45% của các công ty bán lẻ và nhà sản xuất ô tô- những người đã nói rằng họ có một nhà lãnh đạo không gian mạng.

Matt Comyns, lãnh đạo thực hành an ninh mạng toàn cầu cho nhà điều hành tuyển dụng Russell Reynolds Associates, nói rằng một số doanh nghiệp cố gắng thuê các CISO ở trình độ trung bình, hoặc thuê các nhà lãnh đạo an ninh mạng nhưng không tiết lộ thông tin này, vì họ phủ nhận thông tin các mối đe dọa mà tin tặc đặt ra đối với các tổ chức của mình. Tâm lý tập thể, Comyns nói, là một trong những sự hoài nghi trong việc nghĩ là các hacker sẽ tìm thấy dữ liệu của mình có đủ giá trị để ăn cắp. Comyns nói.

"Tôi vẫn bước vào cửa của các công ty mà đang tìm kiếm một CISO người nói rằng :" Ai muốn theo chúng tôi, chúng tôi không phải là Target, chúng tôi không phải là Sony? " Comyns nói. "Tôi không chắc đó là câu hỏi đúng."

Hương Linh

Lược dịch theo CIO.com