Giám đốc Dịch vụ an toàn thông tin PwC Việt Nam Phó Đức Giang.

Nhiều vấn đề rủi ro công nghệ không mới, nhưng do tính cạnh tranh tăng cao, dẫn tới việc nhanh chóng đưa ra các sáng kiến số sẽ làm tăng rủi ro vượt khỏi khuôn khổ vấn đề công nghệ. Vì vậy, các cấp lãnh đạo doanh nghiệp muốn có niềm tin rằng, rủi ro đã được xem xét toàn diện và nằm trong ngưỡng chấp nhận được.

Khi niềm tin của khách hàng vào các doanh nghiệp suy yếu dần, các lãnh đạo đều cho rằng sẽ không còn nhiều cơ hội sửa chữa khi sẩy chân trong môi trường số. Tình hình có thể kiểm soát được khi các tổ chức biết tận dụng tốt nguồn dữ liệu bên trong và bên ngoài để chủ động ứng phó rủi ro, tương tác kịp thời với các bộ phận quản lý rủi ro và có niềm tin rằng rủi ro được kiểm soát khi tham gia vào quá trình chuyển đổi số.

Làm cách nào các bộ phận quản lý rủi ro hỗ trợ doanh nghiệp thành công trong chuyển đổi số? Chỉ khi các bộ phận quản lý rủi ro, tuân thủ và kiểm toán nội bộ am hiểu đầy đủ về chuyển đổi số sẽ góp phần hỗ trợ các lãnh đạo đưa ra các quyết định xử lý rủi ro thông minh hơn khi tổ chức tham gia chuyển đổi số. 

Các bộ phận quản lý rủi ro có thể tham mưu về các vấn đề chuyển đổi số mà không làm giảm đi tốc độ kinh doanh của doanh nghiệp. Thực tế, các bộ phận quản lý rủi ro sẽ đóng vai trò đối tác hỗ trợ các bộ phận kinh doanh khác đạt được các mục tiêu chuyển đổi số. Các tổ chức với các bộ phận quản lý rủi ro “năng động” sẽ thu được rất nhiều lợi ích, trong đó có thể kể đến:

Tiến bước nhanh hơn trong hành trình số. Thực nghiệm cho thấy rằng, khi các bộ phận quản lý rủi ro đủ linh hoạt (agile) và đồng hành (align) với chiến lược số của tổ chức, họ sẽ biết các ưu tiên và khẩu vị rủi ro của tổ chức, họ sẽ tham gia vào chuỗi chuyển đổi sớm hơn, từ đó thúc đẩy tiến trình số hóa thay vì là yếu tố gây cản trở.

Ngoài ra, các doanh nghiệp sẽ tự tin hơn khi tiếp nhận rủi ro phù hợp với chiến lược chung. Nhờ các bộ phận quản lý rủi ro có dữ liệu tốt và chủ động xử lý nên các lãnh đạo được cung cấp đủ thông tin chi tiết để ra quyết định. Tổ chức có các bộ phận quản lý rủi ro năng động thường xuyên xem xét khẩu vị rủi ro định kỳ nhằm điều chỉnh khi đưa ra các quyết định triển khai các ý tưởng số.

Kết quả mang lại sẽ giúp quản lý hiệu quả hơn các rủi ro chuyển đổi số, đặc biệt rủi ro an ninh mạng, quản trị dữ liệu và vận hành, lĩnh vực mà theo khảo sát của PwC thu thập từ 3.000 lãnh đạo doanh nghiệp toàn cầu xem là 3 loại rủi ro khó lường nhất liên quan trực tiếp tới các ý tưởng số. Khi các bộ phận quản lý rủi ro hoạt động tốt, các tổ chức sẽ quản lý rủi ro tốt hơn.

Bên cạnh các yếu tố quan trọng như tham gia đầy đủ vào kế hoạch chuyển đổi số; nâng cao năng lực chuyên môn để đồng hành trên lộ trình số hóa; thích nghi với các công nghệ mới nổi; đối phó với rủi ro kịp thời và thúc đẩy môi trường làm việc cộng tác để cung cấp các góc nhìn rủi ro hợp nhất, thì một trong yếu tố khác biệt của bộ phận quản lý rủi ro là cần chủ động gắn kết với các lãnh đạo ra quyết định về các sáng kiến chuyển đổi số then chốt.

Khảo sát về mức độ tham gia của Hội đồng Quản trị vào chiến lược quản trị rủi ro an ninh mạng và riêng tư.

Các bộ phận quản lý rủi ro sẽ chủ động khuyến nghị các kiểm soát phù hợp, đánh giá các rủi ro an ninh mạng mới và cùng thảo luận về các chính sách kiểm soát. Họ sẽ trình bày quan điểm rủi ro theo cách dễ hiểu và thống nhất với sự hỗ trợ của các dashboard cung cấp số liệu và các cảnh báo kịp thời cho lãnh đạo ra quyết định.

Trong khi nhiều tổ chức có hoặc không có các lộ trình chuyển đổi số chính thức, họ vẫn còn thiếu cách đo lường mức độ tiến triển và rủi ro nói chung. Các bộ phận quản lý rủi ro cần xây dựng bộ Chỉ số Rủi ro chính (KRI) để hỗ trợ các lãnh đạo ra quyết định phù hợp. Điều này thực tế hoàn toàn không dễ dàng. Theo khảo sát của PwC, mặc dù phần lớn các lãnh đạo đều trả lời rằng chiến lược an toàn bảo mật (80%) và riêng tư (83%) đều đã được truyền thông tới Hội đồng Quản trị, nhưng chỉ 27% trong số 3.000 lãnh đạo doanh nghiệp cho rằng họ thấy yên tâm khi Hội đồng Quản trị nhận được báo cáo về các chỉ số quản lý rủi ro an ninh mạng và riêng tư.

Các tiêu chí đo lường hữu ích có thể đạt được tùy thuộc vào nhiều nhân tố (quá trình triển khai, tính hiệu quả, mức độ ảnh hưởng), bao gồm tình trạng của doanh nghiệp đang ở đâu trong hành trình chuyển đổi số và mức độ trưởng thành về an ninh mạng như thế nào cũng như cách các kiểm soát an toàn bảo mật đã được triển khai ra sao. Các tổ chức nên bắt tay vào xây dựng các tiêu chí đo lường ngay từ bây giờ và tạo lập một kế hoạch để dần bổ sung các tiêu chí đo lường phức tạp hơn theo thời gian.

Cần lưu ý rằng, Hội đồng Quản trị sẽ mong muốn nhận được các chỉ số đo lường mức độ ảnh hưởng tới kinh doanh từ các hoạt động an toàn bảo mật, chẳng hạn chi phí để xử lý một sự cố an ninh mạng hoặc ảnh hưởng của an ninh mạng tới vấn đề rủi ro tổng thể của doanh nghiệp (rủi ro bên thứ ba, rủi ro tuân thủ luật lệ…). Bên cạnh đó, tương tác của lãnh đạo phụ trách an toàn bảo mật cũng cần được cải thiện với ban lãnh đạo công ty. PwC nhận diện 5 yếu tố quan trọng mà lãnh đạo an toàn bảo mật nên lưu ý:

Thứ nhất, tăng cường mối quan hệ với ban lãnh đạo công ty và thể hiện rằng bộ phận phụ trách an toàn thông tin am hiểu mối liên quan giữa các phòng ban nghiệp vụ trong tổ chức.

Thứ hai, thận trọng khi chuẩn bị các tài liệu chuyên môn gửi tới ban lãnh đạo công ty. Cần thể hiện ngắn gọn, súc tích và chuyển hóa các vấn đề kỹ thuật phức tạp thành một hai trang đơn giản và đúng trọng tâm cần báo cáo.

Thứ ba, hiểu biết về đối tượng tiếp nhận thông tin để trao đổi và trình bày các vấn đề rủi ro an ninh mạng một cách phù hợp. Hầu hết các lãnh đạo chủ chốt không có kiến thức chuyên sâu về an ninh mạng, nhưng họ có khả năng nắm bắt các rủi ro tổng thể rất cao. Vì vậy, các lãnh đạo phụ trách an toàn bảo mật cần thể hiện vấn đề dưới góc nhìn giám sát rủi ro của ban điều hành công ty.

Thứ tư, cần có chiến lược quản lý thời gian hiệu quả khi tập trung nêu bật các mục tiêu chính, trước tiên bao gồm mong muốn cần sự hỗ trợ và nắm bắt trước phản ứng của ban lãnh đạo công ty. Nên thể hiện và liên kết các vấn đề rủi ro an ninh mạng với các vấn đề lớn của doanh nghiệp.

Thứ năm, cần tập trung vào thông điệp muốn trình bày và hạn chế sử dụng các thuật ngữ chuyên ngành. Tốt nhất, nên nhờ một cấp quản lý kinh doanh xem trước nội dung báo cáo hoặc đề xuất để kiểm chứng mức độ phù hợp về nội dung và điều chỉnh linh hoạt hơn.

Việc tập trung vào việc đẩy mạnh khả năng phục hồi sau khi xảy ra rủi ro cũng là vấn đề đáng lưu tâm của các bộ phận quản lý rủi ro an ninh mạng. Bằng cách áp dụng các phương pháp và thông lệ thực hành tốt, các bộ phận quản lý rủi ro sẽ hỗ trợ tổ chức vận hành bền vững hơn thông qua các kiểm soát liên tục giám sát hạ tầng công nghệ để tăng cường tính sẵn sàng, phục hồi hệ thống và đảm bảo tính toàn vẹn dữ liệu. Điều này sẽ hỗ trợ tiết kiệm chi phí khi hoạt động vận hành của tổ chức bị ảnh hưởng nghiêm trọng và gián đoạn trong thời gian dài, hoặc tính toàn vẹn của dữ liệu bị xâm phạm gây ảnh hưởng tới khả năng ra quyết định của cấp lãnh đạo. 

Các tổ chức sẽ xử lý rủi ro thông minh hơn khi bộ phận quản lý rủi ro liên kết với chiến lược số tổng thể của doanh nghiệp, phản ứng linh hoạt và liên tục cung cấp đầy đủ thông tin chi tiết cần thiết cho cấp ra quyết định. Tổ chức có năng lực số càng tiến bộ thì càng cần có các bộ phận quản lý rủi ro phối hợp và hỗ trợ kịp thời.

Các tổ chức với các bộ phận quản lý rủi ro “năng động” sẽ có các biện pháp xử lý rủi ro hiệu quả, hỗ trợ doanh nghiệp tiếp nhận rủi ro một cách tự tin, nhanh hơn và an toàn hơn trong hành trình chuyển đổi số và nhận về nhiều giá trị hơn từ các khoản đầu tư số. Các bộ phận quản lý rủi ro trong doanh nghiệp không chỉ mang lại giá trị cụ thể hơn, mà còn đóng vai trò sống còn cho sự thành công chuyển đổi số của tổ chức.