Rủi ro gia tăng, doanh nghiệp tìm cách tiếp cận mới để bảo vệ dữ liệu

Theo Thùy Lê/baokiemtoannhanuoc.vn

Đại dịch đã làm tăng thêm hàng loạt thách thức cho các DN, trong đó bao gồm cả những rủi ro nội bộ về rò rỉ thông tin quan trọng khi các nhân viên phải làm việc tại nhà và thực hiện truy cập dữ liệu qua các thiết bị mới chưa được kiểm soát.

Quản lý rủi ro nội bộ - mối quan tâm lớn của doanh nghiệp

Theo khảo sát của Forrester Consulting (công ty cung cấp dịch vụ tư vấn dựa trên nghiên cứu độc lập của Hoa Kỳ) được thực hiện với 202 chuyên gia bảo mật, quản lý rủi ro nội bộ là mối quan tâm lớn đối với 74% doanh nghiệp và có tới 82% lãnh đạo doanh nghiệp đã ra quyết định tập trung nhiều hơn vào việc bảo vệ dữ liệu công ty.

66% DN bị rò rỉ dữ liệu do nhân viên trong công ty gây ra với tần suất hằng tháng. Nguồn: Forrester Consulting
66% DN bị rò rỉ dữ liệu do nhân viên trong công ty gây ra với tần suất hằng tháng. Nguồn: Forrester Consulting

Đồng thời, 76% lãnh đạo doanh nghiệp đồng ý rằng một chương trình phòng ngừa rủi ro nội bộ chuyên dụng sẽ cải thiện tình hình an ninh của họ và việc khuyến khích nhân viên tham gia chương trình này là một yếu tố quan trọng.

Cũng theo Forrester, 74% doanh nghiệp nói rằng họ có nhiều lo ngại về rủi ro dữ liệu nội bộ hơn so với trước khi đại dịch bùng phát. Trên thực tế, ưu tiên hàng đầu của 82% chuyên gia bảo mật thời điểm này là bảo vệ tốt hơn các dữ liệu nhạy cảm/quan trọng của công ty và khách hàng.

Rò rỉ dữ liệu nội bộ vẫn đang ở mức cao khi các chiến lược ngăn chặn rò rỉ dữ liệu không hiệu quả. Thậm chí, 66% người được hỏi nói rằng họ gặp phải tình trạng rò rỉ dữ liệu do người trong công ty ít nhất hằng tháng, nếu không muốn nói là thường xuyên hơn. Hơn nữa, 71% đồng ý rằng cách tiếp cận truyền thống để ngăn chặn rò rỉ dữ liệu gần như không hoạt động.

Mặc dù các công ty đang định hướng lại sự tập trung vào rủi ro nội bộ nhưng họ vẫn gặp nhiều rào cản. Cụ thể, các công ty đang sa lầy vào quá nhiều công cụ (75%), quản lý xác thực sai/quá nhiều cảnh báo bảo mật (71%) và sự phức tạp của việc tạo lập cũng như triển khai chính sách (67%)... Những rào cản này ngăn cấm rất nhiều nỗ lực giảm thiểu rủi ro nội bộ của DN, thậm chí còn gây ra các rủi ro lớn hơn.

Thay đổi chiến lược tiếp cận rủi ro

Để giải quyết rủi ro ngày càng gia tăng, các tổ chức đang tìm cách tiếp cận mới nhằm bảo vệ dữ liệu, bao gồm việc chống lại các vi phạm thông qua quản lý rủi ro dữ liệu nội bộ. Trong đó, động lực thúc đẩy sự thay đổi trong chiến lược quản lý rủi ro nội bộ bao gồm: lực lượng lao động, đối tác, công cụ và việc chuyển sang chương trình Zero Trust - cách tiếp cận “không bao giờ tin tưởng, luôn luôn xác minh”.

Tiếp cận rủi ro nội bộ theo cách toàn diện sẽ chuyển DN từ việc phản ứng với các mối đe dọa sang chủ động xác định rủi ro, từ đó giúp các chuyên gia bảo mật tập trung vào những rủi ro thực sự cần chú ý, thay vì bị phân tâm bởi quá nhiều cảnh báo. Khung bảo mật Zero Trust yêu cầu doanh nghiệp thiết kế bảo mật từ trong ra ngoài, tức là phải thay đổi trong tư duy tổng thể về bảo mật và rủi ro cũng như tăng cường tập trung vào rủi ro nội bộ.

Theo nghiên cứu của Forrester, hầu hết nhân viên trong DN sử dụng dữ liệu và quyền truy cập hệ thống như một phần của công việc hằng ngày của họ nên rất khó để tìm ra những người có nguy cơ gây ra mối đe dọa. Hơn nữa, việc chuyển sang làm việc từ xa càng làm phức tạp thêm điều này. Vì vậy, có tới 72% DN cho biết họ sẽ tạo ra một đội riêng biệt tập trung vào việc tìm kiếm và giải quyết rủi ro nội bộ trong 12 tháng tới.

Ngoài ra, 76% lãnh đạo DN đồng ý rằng, xây dựng chương trình xử lý rủi ro nội bộ chuyên dụng sẽ cải thiện khả năng bảo vệ dữ liệu tổng thể của DN. Tuy nhiên, những người tiếp nhận - nhân viên trong DN lại phàn nàn rằng các chính sách bảo mật cản trở năng suất và sự cộng tác của họ (51%) hoặc chặn họ sử dụng dữ liệu trong chính sách (41%). Những sự thất vọng này đã khiến nhiều nhân viên không chấp nhận các biện pháp bảo mật.

Để giải quyết vấn đề này, các chương trình bảo mật cần ghi nhận các nhân viên trong DN như những nhân tố bảo mật để hỗ trợ việc sử dụng máy tính và xử lý dữ liệu an toàn. Theo đó, DN cần nâng cao nhận thức về bảo mật của nhân viên để nắm bắt quan điểm của họ. Đồng thời, các công ty cần tin tưởng nhân viên khi họ thực hiện công việc và sử dụng công nghệ để trao quyền thay vì biến nhân viên thành nạn nhân.