Xem nhanh
Người ta thường cho rằng an ninh mạng là một quá trình chứ không phải kết quả. Nhưng trong kinh doanh, an ninh mạng thường được triển khai theo từng phần hoặc từng dự án với thời gian biểu, mục tiêu và kết quả trong một khoảng thời gian nhất định.
Cách một tổ chức doanh nghiệp triển khai các dự án như vậy sẽ giúp họ nhìn ra được những điểm cần cải thiện trong quy trình vận hành cũng như về mặt quản lý, từ đó có thể tăng tốc độ triển khai hoạt động bảo vệ an ninh mạng.
Trong ngành công nghiệp nặng, việc triển khai dự án cho các hệ thống điều khiển công nghiệp cũng không hề đơn giản. Đặc biệt đối với việc lắp đặt hệ thống bảo vệ cho máy tính điều khiển tuabin điện hoặc băng tải ô tô, chúng ta cần phải xem xét nhiều yếu tố, như đảm bảo rằng quá trình thực hiện dự án không ảnh hưởng đến quá trình sản xuất, hay hoạt động bảo mật đáp ứng các tiêu chuẩn và quy định cần thiết.
Trong một số trường hợp việc triển khai các dự án này có thể mất đến vài năm. Qua trao đổi với một số khách hàng, tôi nhận thấy có thể mất đến hai năm chỉ để soạn thảo tài liệu dự án và mua phần mềm. Trong khi các cuộc tấn công mạng đang nhắm vào gần một nửa các tổ chức công nghiệp và ngày càng trở nên tinh vi, các doanh nghiệp không nên để quá trình này tiếp tục kéo dài. Dưới đây là một số gợi ý về quản lý và quy trình giúp các tổ chức, doanh nghiệp tránh được điều đó.
1. Phân công trách nhiệm rõ ràng giữa các bộ phận
Tốc độ thực hiện dự án phụ thuộc nhiều vào người chịu trách nhiệm chính cho dự án và sự phối hợp giữa các bộ phận tham gia. Do đó, điều quan trọng là phải xác định được bộ phận nào đề xuất dự án và bộ phận nào sẽ phê duyệt và triển khai các hạng mục. Ví dụ: một dự án có thể được khởi xướng bởi bộ phận kỹ thuật OT, trong khi việc triển khai được thực hiện bởi bộ phận bảo mật công nghệ thông tin.
Cũng có trường hợp bộ phận bảo mật công nghệ thông tin sẵn sàng triển khai dự án nào đó nhưng lại không có ngân sách. Trong khi bộ phận kỹ thuật OT có ngân sách nhưng hoạt động này nằm ngoài khoản chi ưu tiên của họ. Nếu không có sự cân đối ngân sách giữa các bộ phận, việc tranh chấp về mặt ngân sách và tranh cãi giữa các bộ phận có thể kéo dài hàng tháng. Do đó, cần có sự phân công trách nhiệm rõ ràng, quy trình ra quyết định mượt mà và xây dựng các tiêu chí thích hợp để giải quyết vấn đề này.
2. Tối ưu hóa quy trình phê duyệt:
Một dự án đi từ khâu ra quyết định đến triển khai hoạt động nhanh hay chậm sẽ phụ thuộc vào sự hiệu quả trong hoạt động quản lý của công ty. Có một khái niệm trong hệ thống điện toán được gọi là độ trễ, dùng để xác định tốc độ của bộ xử lý mạng. Nó thể hiện mức độ chậm trễ khi bộ xử lý thực hiện một lệnh. Các quy trình càng rõ ràng – như phát triển các tiêu chuẩn, thiết kế và phê duyệt dự án ở tất cả các cấp bậc, thí điểm, lập ngân sách, và thu mua – thì độ trễ càng thấp.
Một quy trình phê duyệt không có kết cấu mạch lạc sẽ ảnh hưởng đến độ trễ. Một dự án có càng nhiều nhóm tham gia, càng cần nhiều thời gian để nhận được tất cả các phê duyệt cần thiết. Theo một khảo sát mà chúng tôi đã thực hiện gần đây, điều này, cùng sự chậm trễ trong việc phê duyệt từ cấp quản lý cao nhất là những trở ngại khi các tổ chức doanh nghiệp thực hiện dự án an ninh mạng.
Để triển khai quy trình phê duyệt, cần có deadline rõ ràng, cũng như xác định những hạng mục cần được thống nhất, với ai và ở giai đoạn nào. Trong nhiều trường hợp, nhiều nhà quản lý cấp cao – từ CIO đến CFO – sẽ tham gia vào quá trình phê duyệt. Họ có thể cần thêm thời gian để nhận định vấn đề và đi sâu vào chi tiết hoạt động trước khi đưa ra quyết định.
Thời gian kéo dài cũng bắt nguồn từ thực tế là các dự án an ninh mạng không phải lúc nào cũng chứng minh được tỷ suất hoàn vốn (ROI) nhanh chóng và rõ ràng, chẳng hạn như trong tự động hóa. Việc không thấy được những lợi ích tức thời thường dẫn đến khó khăn trong việc đưa ra quyết định phê duyệt dự án. Điều này cần được khắc phục bằng cách trình bày các lợi thế và ROI dài hạn một cách rõ ràng ngay từ đầu, để quy trình phê duyệt được sắp xếp một cách hợp lý.
3. Trình bày với cấp lãnh đạo theo góc nhìn của họ
Trong một số trường hợp lãnh đạo cấp cao của một công ty sẽ không tham gia vào quá trình thảo luận về vấn đề an ninh mạng, do đó họ sẽ không nhìn thấy được giá trị của việc đầu tư vào các dự án này. Điều này có thể là do sự khác biệt về góc nhìn trong cách trình bày của các bộ phận OT và ban quản lý. Những người làm việc trong bộ phận OT thường sẽ đưa vào quá nhiều chi tiết kỹ thuật khi trình bày một dự án. Mặt khác, họ ít quan tâm đến các mục tiêu kinh doanh mà dự án mang lại, những rủi ro mà dự án có thể giải quyết và dự án sẽ giúp tiết kiệm ngân sách ra sao.
Kỹ năng giao tiếp ở cùng góc nhìn với cấp lãnh đạo nên, và cần được phát triển. Tại Hội nghị An ninh mạng Công nghiệp Kaspersky (Kaspersky Industrial Cybersecurity Conference) diễn ra vào năm 2019, Patrick Miller, Managing Partner tại Archer International, một công ty dịch vụ bảo vệ cơ sở hạ tầng trọng yếu đã có một bài phát biểu về vấn đề này. Ông đã chỉ ra rất rõ rằng cách tiếp cận dựa trên rủi ro là then chốt khi trình bày một dự án với hội đồng quản trị. Thay vì nói với lãnh đạo về việc giám sát mạng giúp tổ chức phát hiện các cuộc tấn công ở giai đoạn đầu, hãy cho họ biết tổ chức có thể mất những gì nếu không giám sát an ninh mạng. Tập trung vào những vấn đề quan trọng, đó là tiền bạc, lòng tin của khách hàng và đối tác, xếp hạng tín nhiệm và lợi thế của đối thủ cạnh tranh.
4. Tuân thủ các yêu cầu thiết yếu về bảo vệ an ninh mạng
Thông thường, một sáng kiến an ninh mạng xuất phát từ dưới lên trên (nhân viên đưa ra các vấn đề mà mình phụ trách, dựa vào đó, lãnh đạo đưa ra chiến lược/kế hoạch thực hiện). Tuy nhiên, cũng có trường hợp cấp lãnh đạo sẽ là người quyết định đầu tư vào bảo mật để đảm bảo tuân thủ quy định. Xu hướng này thể hiện trong một nghiên cứu thị trường được chúng tôi thực hiện vào năm ngoái. 55% nhân viên công ty cho rằng đầu tư vào bảo mật thông tin công nghiệp là quy định bắt buộc theo pháp luật.
Mặc dù một dự án như vậy vẫn tốt hơn là không có, nhưng sẽ hiệu quả hơn nếu yêu cầu kinh doanh và nhu cầu bảo mật công nghệ thông tin được đồng bộ với nhau. Điều quan trọng là các bộ phận OT, bộ phận công nghệ thông tin và bảo mật thông tin cũng như cấp quản lý và hội đồng quản trị cần đối thoại và cùng nỗ lực để đạt được tiếng nói chung. Các chuyên gia từ công ty tư vấn Oliver Wyman gọi những nỗ lực chung như vậy là sự thay đổi văn hóa cơ bản cần thiết để thu hẹp khoảng cách trong bảo mật ngành công nghiệp.
5. Nâng cao kiến thức chuyên môn cho tổ chức
Một trở ngại khác trong việc triển khai các dự án an toàn thông tin là thiếu kiến thức chuyên môn. Việc phát triển, thực hiện và vận hành dự án, đặc biệt là các dự án lớn phức tạp như SIEM, đòi hỏi các quy trình và cách thức triển khai đặc biệt. Trong một nền công nghiệp đang phát triển, những thứ này không có sẵn cho tất cả các chuyên gia và khó có thể được phát triển trong một sớm một chiều.
Do đó, cùng với việc tối ưu hóa quy trình ra quyết định và phê duyệt, các công ty cần liên tục thúc đẩy việc đào tạo nhân viên. Điều này đồng nghĩa với việc cung cấp cho cả bộ phận công nghệ thông tin và OT những thông tin cập nhật mới nhất về các mối đe dọa, cũng như tiến hành đào tạo chuyên ngành về các giải pháp cho nhân viên. Điều này sẽ giúp các bộ phận hiểu rõ hơn về những ưu tiên và lĩnh vực trách nhiệm của nhau để giao tiếp hiệu quả hơn, từ đó dễ dàng đàm phán hơn trong các dự án.
An ninh trong ngành công nghiệp thường đi theo một con đường phát triển tự nhiên. Trừ khi một công ty công nghiệp gặp phải sự cố nghiêm trọng thì rất ít tổ chức tìm cách xúc tiến hoặc đẩy nhanh việc thực hiện bảo mật ICS. Tất nhiên, vẫn có ngoại lệ – một công ty dầu khí đã triển khai việc bảo vệ các tài sản công nghiệp của mình chỉ trong 18 tháng.
Điều này thường đòi hỏi sự tham gia mạnh mẽ của cấp lãnh đạo và nguồn lực rất lớn – trong trường hợp của công ty này là 30.000 nhân viên. Đối với tất cả các công ty khác, công tác này nên là một quá trình chuyển hóa hơn là một cuộc cách mạng. Các bước được liệt kê ở trên sẽ giúp việc triển khai an ninh mạng trong các tổ chức công nghiệp tiến triển với tốc độ dễ chịu. Từng bước một, tiến trình sẽ trở nên dễ dàng và nhanh chóng hơn.
Dần dần, thị trường sẽ phát triển phù hợp và sẵn sàng để hỗ trợ quá trình này, bằng cách làm rõ ROI và lợi ích của các dự án bảo mật, thông báo rủi ro kinh doanh rõ ràng, cung cấp kiến thức chuyên môn và sáng kiến giáo dục cụ thể. Điều này cần được kết hợp với việc cải tiến liên tục các phương pháp bảo vệ. Tuy nhiên, ở giai đoạn này, điều quan trọng là các công ty phải hiểu được những trở ngại của họ là gì, để có thể vượt qua chúng.
Bài viết của ông Alexander Moiseev, Giám đốc Kinh doanh của Kaspersky