Nhiều tổ chức chưa cố gắng đủ để bảo mật dữ liệu

Ảnh minh họa

Khảo sát Thực trạng An toàn Thông tin (GSISS) năm 2018 của PwC cho thấy, chỉ 51% lãnh đạo kiểm kê dữ liệu cá nhân của nhân viên và khách hàng một cách chính xác, 53% tiến hành kiểm tra việc tuân thủ của bên thứ ba tham gia xử lý dữ liệu khách hàng và nhân viên, 48% cho rằng công nghệ chứng thực tiên tiến có thể giúp giảm lừa đảo; 46% có dự định tăng đầu tư trong lĩnh vực này trong năm 2018.

Bên cạnh đó, chỉ 31% người trả lời khảo sát cho biết hội đồng quản trị của DN trực tiếp tham gia vào quá trình đánh giá các rủi ro an ninh và bảo mật hiện nay. 32% người tham gia khảo sát đã bắt đầu thực hiện đánh giá GDPR (Quy định chung về Bảo vệ Dữ liệu) trong năm 2017.

Chưa đến một nửa người tham gia khảo sát (49%) cho biết, tổ chức của họ giới hạn việc thu thập, lưu giữ và truy cập thông tin cá nhân ở mức tối thiểu, đủ để phục vụ mục đích sử dụng hợp pháp khi thu thập thông tin đó. Chỉ 51% người trả lời khảo sát có một bản kiểm kê chính xác việc thu thập, chuyển và lưu trữ dữ liệu cá nhân của nhân viên và khách hàng. Và cũng chỉ có 53% yêu cầu nhân viên hoàn thành các khóa tập huấn về chính sách và các thông lệ bảo mật.

Đối với trường hợp dữ liệu cá nhân của nhân viên và khách hàng được xử lý bởi một bên thứ ba, chỉ có 46% số DN kiểm tra tuân thủ để đảm bảo các đơn vị đủ khả năng để bảo vệ những dữ liệu này, 46% số người trả lời cho rằng, tổ chức của họ có yêu cầu đơn vị thứ ba tuân thủ với những quy tắc bảo mật mà tổ chức đưa ra.

Chưa đầy 31% phản hồi cho biết hội đồng quản trị DN đang trực tiếp tham gia để đánh giá về các rủi ro an ninh và bảo mật hiện tại. Với những tổ chức có doanh thu trên 25 tỷ USD, con số phản hồi có cao hơn, đạt 36%.

Nhưng, các lãnh đạo cấp cao cũng đã nhận ra những rủi ro ngày một tăng từ việc thiếu bảo mật an ninh mạng. Trong Khảo sát các CEO Toàn cầu lần thứ 21, các mối nguy từ an ninh mạng lần thứ 3 đứng trong top 5 những mối nguy lớn, khi mà 40% CEO vô cùng quan ngại về điều này, tăng từ con số 25% so với năm trước đó.

Có đến 87% CEO toàn cầu cho biết, họ đang đầu tư vào an ninh mạng để xây dựng lòng tin cho khách hàng. 81% phản hồi rằng họ đang tạo ra sự minh bạch trong việc sử dụng và lưu trữ dữ liệu. Tuy nhiên, chỉ chưa đến phân nửa cho rằng họ đang thực hiện điều này “ở quy mô/ mức độ lớn”. Đáng lo ngại hơn, gần một phần ba CEO từ châu Phi và xấp xỉ một phần tư CEO từ Bắc Mỹ (22%) cho biết họ “hoàn toàn không” xây dựng tính minh bạch trong việc sử dụng và lưu trữ dữ liệu.

Ông Paul O’Rourke, Lãnh đạo Bảo mật và An ninh mạng của PwC tại châu Á – Thái Bình Dương, cho rằng: “Các tổ chức dù lớn hay nhỏ nên tăng cường sự tham gia của hội đồng quản trị DN trong việc giám sát an ninh mạng và quản lý rủi ro bảo mật. Nếu thiếu sự hiểu biết nhất định về những rủi ro này, hội đồng quản trị sẽ không thể thực hiện nghĩa vụ giám sát để bảo vệ dữ liệu và những vấn đề bảo mật khác”.

Quy định chung về Bảo vệ Dữ liệu (General Data Protection Regulation – GDPR) áp dụng cho bất kỳ tổ chức nào kinh doanh tại khu vực Liên minh Châu Âu, và sẽ có hiệu lực vào tháng 5/2018. Một số người thực hiện khảo sát GSISS năm 2018 của PwC cho biết họ đã bắt đầu chuẩn bị cho GDPR từ nửa đầu 2017, một năm trước thời điểm bắt đầu áp dụng quy định này. Tính chung toàn cầu, khoảng một phần ba (32%) DN đã bắt đầu đánh giá GDPR và con số này cao nhất tại châu Á (37%).

Chỉ thị về An ninh Mạng và Hệ thống Thông tin của Liên minh Châu Âu (gọi tắt là Chỉ thị NIS) với mục tiêu thúc đẩy khả năng phản ứng linh hoạt an ninh mạng (cyber resilience) cũng sẽ bắt đầu có hiệu lực vào tháng 5/2018. Các DN được các quốc gia thành viên xác định là đơn vị hoạt động trong các lĩnh vực dịch vụ thiết yếu (cơ sở hạ tầng quan trọng), cũng như các nhà cung cấp dịch vụ kỹ thuật số (công cụ tìm kiếm, dịch vụ điện toán đám mây và thị trường trực tuyến) sẽ đối mặt với những yêu cầu mới về an ninh và báo cáo sự cố với các cơ quan chức năng. Tương tự với GDPR, các công ty có thể đối mặt với những hậu quả nghiêm trọng nếu không tuân thủ.

Ông Grant Waterfall, Lãnh đạo Bảo mật và An ninh Mạng của PwC tại châu Âu, Trung Đông và châu Phi, cho biết: “Các CEO nên nhìn nhận GDPR và Chỉ thị NIS là cơ hội chiến lược thay vì chỉ là các quy định tuân thủ và cần áp dụng ngay vào kinh doanh để đạt được sự thành công trong một thế giới dữ liệu như hiện tại. Ngoài ra, các DN nên tiếp cận với các nhà lập pháp và xây dựng các mối quan hệ và đường dây thông tin liên lạc trước khi đến thời hạn tuân thủ.”

Linh Linh