Khi nói đến việc giữ an toàn thông tin tài chính, mã hóa nổi bật như một trong những công cụ quan trọng nhất hiện có. Các tổ chức tài chính chủ yếu dựa vào các giao thức mã hóa đạt tiêu chuẩn ngành như AES-256 để bảo vệ dữ liệu nhạy cảm khỏi những con mắt tò mò trong quá trình chuyển đổi. Các con số cũng cho thấy một câu chuyện thuyết phục. Theo báo cáo Vi phạm Dữ liệu mới nhất của Verizon, gần 60% các vụ vi phạm có thể đã được ngăn chặn hoàn toàn nếu việc mã hóa đúng cách được thực hiện. Đối với bất kỳ ai đang làm việc với các hệ thống tài chính, việc làm quen với cách thức hoạt động của các phương pháp mã hóa khác nhau là điều hợp lý. Mã hóa đối xứng xử lý lượng dữ liệu lớn một cách nhanh chóng, đó là lý do vì sao các ngân hàng thường sử dụng nó cho các hoạt động hàng ngày. Ngược lại, mã hóa bất đối xứng cung cấp mức độ bảo vệ cao hơn nhưng đi kèm với cái giá nhất định. Các giao dịch mất nhiều thời gian hơn khi sử dụng phương pháp này, tạo ra sự đánh đổi cổ điển giữa mong muốn có mức bảo mật tối đa và nhu cầu xử lý nhanh để khách hàng không bị thất vọng.
Việc áp dụng các lớp kiểm soát truy cập đa cấp độ thực sự đóng vai trò quan trọng trong việc ngăn chặn những người không được phép tiếp cận và bảo vệ dữ liệu tài chính. Ý tưởng cốt lõi ở đây là kết hợp nhiều bước xác minh và ủy quyền khác nhau để chúng ta có thể xác định rõ danh tính của người dùng trước khi cho phép họ truy cập vào các thông tin nhạy cảm. Chẳng hạn, có thể kể đến kiểm soát truy cập phân quyền theo vai trò (RBAC). Với RBAC, mỗi người chỉ được cấp quyền truy cập tối thiểu cần thiết dựa trên vị trí công việc của họ trong công ty. Điều này giúp giảm thiểu khả năng lạm dụng quyền truy cập một cách vô tình hoặc cố ý, vì mọi người sẽ không có quyền vượt quá nhu cầu công việc của họ. Liên quan đến điều này, các công ty nên thực hiện các cuộc kiểm tra định kỳ để rà soát lại quyền truy cập của từng cá nhân. Những cuộc kiểm toán này giúp phát hiện các vấn đề như việc nâng quyền truy cập bất thường, nơi một người nào đó bất ngờ có quyền truy cập cao hơn rất nhiều so với mức cần thiết. Chúng ta đã quá quen với tình huống nhân viên cấp thấp lại có đặc quyền của quản trị viên chỉ vì không ai bother kiểm tra lại quyền truy cập một cách đúng đắn. Việc kiểm toán định kỳ không chỉ đơn thuần là thủ tục hành chính, mà thực chất đây là một trong những cách hiệu quả nhất để giữ an toàn cho hệ thống đồng thời đảm bảo rằng mỗi người chỉ nhìn thấy những gì họ thực sự cần để thực hiện công việc của mình.
Với việc ngày càng nhiều người mua sắm trực tuyến, việc phát hiện gian lận theo thời gian thực đã trở nên hoàn toàn cần thiết để đảm bảo an toàn tài chính trong các giao dịch. Khi phát hiện gian lận kịp thời, ngân hàng và người bán có thể ngăn chặn những hành vi xấu trước khi chúng gây ra tổn thất lớn. Nghiên cứu cho thấy rằng học máy (machine learning) khá hiệu quả trong việc nhận diện các mẫu đáng ngờ có thể là dấu hiệu của hành vi gian lận, giúp giảm số lượng giao dịch hợp pháp bị báo cáo nhầm trong khi vẫn phát hiện được phần lớn các trường hợp gian lận thực tế. Tuy nhiên, vẫn tồn tại một vấn đề khi cố gắng tích hợp công nghệ phát hiện gian lận mới với các hệ thống thanh toán cũ được xây dựng từ vài thập kỷ trước. Nhiều công ty gặp khó khăn với vấn đề tương thích này. May mắn thay, những phương pháp mới hơn như sử dụng API để kết nối các hệ thống với nhau và xây dựng phần mềm theo dạng các thành phần nhỏ hơn, có thể hoán đổi được đang giúp giải quyết vấn đề này. Những phương pháp này cho phép các doanh nghiệp nâng cấp hệ thống bảo mật mà không cần thay thế toàn bộ cơ sở hạ tầng hiện có, qua đó tiết kiệm thời gian và chi phí trong dài hạn.
Việc duy trì cấu hình đúng cách cho máy tính để bàn và máy chủ vẫn đóng vai trò thiết yếu trong việc bảo vệ dữ liệu tài chính khỏi truy cập trái phép. Các tổ chức tài chính nên tắt các dịch vụ không sử dụng đang chạy nền, thường xuyên cập nhật phần mềm thông qua các bản vá, và áp dụng các tiêu chuẩn bảo mật được thiết kế riêng cho môi trường ngân hàng. Các sự cố thực tế cho thấy cách mà các cấu hình yếu có thể tạo ra những lỗ hổng bảo mật nghiêm trọng. Một sự cố đáng chú ý là trường hợp một ngân hàng để thiết lập máy chủ mở không bảo vệ, khiến tin tặc xâm nhập và đánh cắp hồ sơ khách hàng quan trọng trị giá hàng triệu đô la. Những sai sót như vậy nhấn mạnh lý do tại sao các biện pháp bảo mật nghiêm ngặt là bắt buộc. Khi các tổ chức thiết lập đúng cấu hình ngay từ đầu, họ không chỉ bảo vệ các máy tính đơn lẻ mà còn thực sự củng cố toàn bộ hệ thống an ninh mạng cho mọi hoạt động của tổ chức.
Khung an ninh mạng của NIST đóng vai trò như một lộ trình thiết yếu cho các công ty đang cố gắng nhận diện, quản lý và giảm thiểu các mối đe dọa an ninh mạng. Khi được triển khai đúng cách trong tổ chức, nó làm tăng khả năng chống chịu tổng thể trước các cuộc tấn công, điều này đặc biệt quan trọng đối với các Giám đốc Tài chính (CFO) đang phải đối mặt với công tác quản lý rủi ro hàng ngày. Một phương pháp bảo mật có hệ thống giúp bảo vệ thông tin tài chính nhạy cảm khỏi những mối đe dọa mới liên tục xuất hiện. Tất nhiên, việc triển khai khung này không hề dễ dàng. Nhiều tổ chức gặp khó khăn trong việc phân bổ đủ nguồn lực và hiểu rõ các chi tiết kỹ thuật liên quan. Những trở ngại này thường có thể được khắc phục thông qua các chương trình đào tạo nhân viên đúng đắn và các chiến lược lập kế hoạch dài hạn thông minh được điều chỉnh phù hợp với nhu cầu riêng biệt của từng doanh nghiệp.
Việc nắm vững các quy định của GDPR và CCPA đóng vai trò quan trọng trong việc quản lý và bảo vệ dữ liệu một cách hợp lý. Những luật này yêu cầu các công ty phải thực hiện các biện pháp bảo vệ thông tin cá nhân một cách khá nghiêm ngặt, và việc không tuân thủ có thể dẫn đến các hình phạt tài chính nghiêm trọng. Phạm vi ảnh hưởng của các quy định này không chỉ dừng lại ở các doanh nghiệp địa phương mà còn tác động đến cách thức các công ty hoạt động xuyên biên giới và xử lý việc chuyển dữ liệu giữa các quốc gia, điều này khiến việc tuân thủ trở thành một vấn đề phức tạp. Đối với các giám đốc tài chính, việc tuân thủ các quy định này cần được đặt lên hàng đầu vì các khoản phạt sẽ ảnh hưởng rất lớn đến tình hình tài chính chung của doanh nghiệp. Ngoài ra, việc duy trì vị thế tốt trên các thị trường quốc tế phụ thuộc rất nhiều vào việc chứng minh với khách hàng và đối tác rằng công ty thực sự nghiêm túc trong việc bảo vệ quyền riêng tư dữ liệu.
Ủy ban Chứng khoán và Giao dịch (SEC) có những quy định nghiêm ngặt về thời điểm các công ty phải thông báo cho các nhà đầu tư về các vụ vi phạm an ninh mạng, điều này cho thấy tầm quan trọng của việc doanh nghiệp luôn minh bạch và trung thực về tình hình tài chính của mình. Đối với các giám đốc tài chính, việc làm quen với các quy định này không chỉ đơn thuần là thủ tục giấy tờ — mà thực chất là một phần trách nhiệm của họ nhằm duy trì sự tin tưởng của các cổ đông vào sự ổn định của công ty. Nhìn lại những năm gần đây, có thể thấy rõ xu hướng gia tăng các hình phạt từ SEC đối với các doanh nghiệp không công bố đúng cách các vấn đề bảo mật. Chỉ riêng quý vừa qua, ba tập đoàn lớn đã bị phạt vì chậm trễ trong việc báo cáo các vụ xâm nhập dữ liệu. Các công ty thông minh sẽ chuẩn bị trước bằng cách xây dựng những chiến lược ứng phó vững chắc. Điều này bao gồm việc thiết lập các quy trình rõ ràng để phát hiện sự cố nhanh chóng, thông báo cho các bên liên quan trong vòng vài giờ thay vì vài ngày, và giao tiếp một cách minh bạch trong suốt quá trình xử lý. Khi được xử lý đúng cách, những tình huống như vậy không nhất thiết làm tổn hại nghiêm trọng đến danh tiếng hay lợi nhuận của công ty.
Quản lý rủi ro từ nhà cung cấp là yếu tố quan trọng để đảm bảo an toàn dữ liệu doanh nghiệp trong các chuỗi cung ứng phức tạp. Chúng ta đã chứng kiến nhiều trường hợp vi phạm an ninh thông qua bên thứ ba gây ra hậu quả nghiêm trọng cho các công ty, điều này cho thấy tầm quan trọng của việc kiểm tra kỹ lưỡng. Các doanh nghiệp thường sử dụng các công cụ như khuôn khổ Thu thập Thông tin An ninh (Security Intelligence Gathering) cùng với việc kiểm tra định kỳ các đối tác bên ngoài để đánh giá mức độ an toàn thực tế của họ. Những đánh giá này giúp ngăn chặn các tình huống mà các đối tác bên ngoài có thể làm rò rỉ thông tin nhạy cảm. Đối với các nhà lãnh đạo tài chính quan tâm đến kết quả cuối cùng, việc đầu tư thời gian vào quy trình thẩm định kỹ càng đối với nhà cung cấp không chỉ là một thực hành tốt mà còn là điều cần thiết để bảo vệ trước các mối đe dọa tiềm ẩn trong mối quan hệ với nhà cung cấp. Rốt cuộc, không ai mong muốn danh tiếng công ty bị tổn hại chỉ vì một nhà thầu phụ nào đó có thói quen an ninh mạng kém.
Sự phát triển của công nghệ AI đã hoàn toàn thay đổi cách chúng ta phát hiện các mối đe dọa bên trong mạng lưới, mở ra những khả năng hoàn toàn mới cho an ninh mạng. Các công ty hiện đang sử dụng học máy (machine learning) và nhiều hệ thống AI khác nhau để phát hiện vấn đề trước khi chúng trở thành sự cố nghiêm trọng. Một số nghiên cứu cho thấy các phương pháp ứng dụng AI này thực sự có thể phát hiện mối đe dọa tốt hơn khoảng 80% so với các phương pháp truyền thống, mang lại lợi thế rõ rệt cho các đội ngũ an ninh trong việc bảo vệ hệ thống của họ. Khi tích hợp AI vào các hệ thống bảo mật hiện có, việc đạt được kết quả tốt phụ thuộc vào việc đảm bảo mọi thứ hoạt động trơn tru cùng nhau. Điều này đòi hỏi phải đánh giá mức độ phù hợp của các công cụ AI khác nhau với hạ tầng hiện tại, đồng thời tinh chỉnh chúng để đáp ứng các nhu cầu cụ thể của từng doanh nghiệp. Nhiều tổ chức nhận thấy rằng việc dành thời gian tìm hiểu các yêu cầu đặc thù của họ sẽ dẫn đến kết quả tốt hơn đáng kể trong tương lai.
Công nghệ Blockchain mang đến một điều gì đó thực sự khác biệt khi nói đến việc giữ các giao dịch trung thực và minh bạch. Điều khiến nó nổi bật là một khi thông tin đã được ghi lại, không ai có thể thay đổi nó sau đó, từ đó tạo ra một chuỗi kiểm toán tự động vận hành. Các doanh nghiệp xử lý việc chuyển giao dữ liệu nhạy cảm thấy điều này rất hữu ích. Chẳng hạn như IBM, họ đã thực sự ứng dụng Blockchain vào quy trình kiểm toán của mình và đạt được kết quả bảo mật tốt hơn cùng với giảm thiểu sai sót trong dữ liệu. Tuy nhiên vẫn còn những trở ngại phía trước. Rất nhiều người vẫn cho rằng Blockchain không thể mở rộng đúng cách hoặc rằng nó quá phức tạp để hiểu. Vượt qua những hiểu lầm này sẽ góp phần chứng minh được lợi ích mà Blockchain mang lại cho các cuộc kiểm toán. Chúng ta cần nhiều hơn nữa các hoạt động giáo dục về cách thức hoạt động thực sự của Blockchain và tiếp tục cải tiến công nghệ này để mang lại trải nghiệm thuận lợi hơn cho tất cả các bên liên quan.
Kiến trúc không tin tưởng (zero trust) đã chứng minh vai trò thiết yếu trong việc bảo vệ môi trường làm việc lai (hybrid workplace), đặc biệt kể từ khi các công ty bắt đầu hoạt động trở lại sau các lệnh phong tỏa do đại dịch. Ý tưởng cốt lõi ở đây rất đơn giản nhưng mạnh mẽ: xác minh mọi thứ tại mỗi điểm truy cập thay vì mặc định rằng mạng nội bộ là khu vực an toàn. Các công ty áp dụng phương pháp này đã đạt được kết quả ấn tượng theo các nghiên cứu gần đây, cho thấy số sự cố an ninh giảm khoảng một nửa so với các tổ chức vẫn sử dụng phương pháp truyền thống. Việc triển khai mô hình zero trust đòi hỏi phải lựa chọn đúng công cụ công nghệ. Các hệ thống quản lý danh tính và xác thực đa yếu tố là những yếu tố bắt buộc trong hầu hết các trường hợp triển khai. Điều gì hoạt động hiệu quả nhất phụ thuộc vào loại hình doanh nghiệp đang áp dụng. Một nhà máy sản xuất sẽ cần những biện pháp bảo vệ khác với nhà cung cấp dịch vụ trực tuyến. Việc thực hiện hiệu quả đòi hỏi thời gian và bao gồm việc xác định rõ luồng dữ liệu nhạy cảm di chuyển ở đâu trong tổ chức trước khi xây dựng các biện pháp phòng thủ thực tế chống lại các cuộc tấn công mạng.
Máy tính lượng tử đang phát triển nhanh chóng, và điều này đồng nghĩa với việc các phương pháp mã hóa hiện tại đang đối mặt với nguy cơ bị phá vỡ. Chúng ta thực sự cần bắt đầu nghiên cứu các giải pháp có khả năng chống lại các cuộc tấn công lượng tử. Những chuyên gia an ninh mạng đã cảnh báo trong nhiều năm qua rằng các mối đe dọa từ máy tính lượng tử có thể trở thành vấn đề thực tế trong vòng khoảng mười năm tới. Việc chuẩn bị cho tương lai đòi hỏi phải theo dõi nhiều dự án nghiên cứu đang diễn ra khắp nơi trên thế giới. Chẳng hạn, Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST) đã và đang dẫn đầu trong việc xây dựng các tiêu chuẩn mã hóa mới nhằm bảo vệ thông tin quan trọng ngay cả khi máy tính lượng tử được phát triển đầy đủ. Các công ty muốn đi đầu trong xu thế nên bắt đầu suy tính cách thức quản lý hệ thống mã hóa của họ trong tương lai. Dù sao thì, không ai mong muốn một ngày thức dậy và phát hiện dữ liệu của mình không còn an toàn nữa chỉ vì ai đó đã chế tạo ra một chiếc máy tính tốt hơn.
Đối với các Giám đốc Tài chính (CFO) phải đối mặt với những phức tạp trong hoạt động kinh doanh hiện đại, bảo hiểm an ninh mạng không chỉ đơn thuần là một mục chi phí nữa mà đã trở thành một phần thiết yếu trong chiến lược quản lý rủi ro của họ. Các vụ vi phạm dữ liệu ngày nay thường gây ra chi phí rất lớn, khiến doanh nghiệp phải chi trả hàng triệu USD khi mọi việc được giải quyết xong. Chẳng hạn, theo nghiên cứu của IBM vào năm 2021, chi phí trung bình cho mỗi vụ vi phạm là khoảng 4,24 triệu USD. Bảo hiểm an ninh mạng giúp chi trả những chi phí bất ngờ như phí luật sư, sửa chữa hệ thống bị tổn hại và xử lý các hình phạt từ cơ quan quản lý phát sinh sau một cuộc tấn công. Khi xem xét mức chi tiêu cho bảo hiểm này, các nhà lãnh đạo tài chính cần cân nhắc giữa lợi ích nhận được với các khoản đầu tư khác vào an ninh tổng thể. Mặc dù việc mua bảo hiểm giúp đối phó với các tình huống xấu nhất, các doanh nghiệp thông minh cũng cần phân bổ nguồn lực cho các biện pháp phòng ngừa để tránh rơi vào tình trạng phải sử dụng dịch vụ bảo hiểm ngay từ đầu. Rốt cuộc, ngăn chặn vấn đề trước khi xảy ra vẫn luôn tốt hơn nhiều so với việc phải dọn dẹp hậu quả về sau.
Đào tạo nâng cao nhận thức về an ninh thực sự tạo ra sự khác biệt khi nói đến việc thay đổi hành vi của nhân viên và giảm thiểu các vấn đề về bảo mật. Các công ty triển khai những chương trình này thường ghi nhận sự giảm sút đáng kể về số sự cố, điều này cho thấy việc đầu tư là xứng đáng. Chẳng hạn, theo nghiên cứu của KnowBe4, họ phát hiện ra rằng các nỗ lực lừa đảo qua email giảm khoảng 90% sau khi người dùng trải qua chương trình đào tạo của họ. Các giám đốc tài chính đang đánh giá hiệu quả của những nỗ lực này nên xem xét một số yếu tố, bao gồm tần suất xảy ra sự cố theo thời gian, tốc độ phản ứng của các nhóm khi có sự cố xảy ra, và mức độ tham gia thực sự của nhân viên trong các buổi đào tạo. Một cách khác tốt để đo lường thành công là đơn giản nhìn vào số tiền tiết kiệm được nhờ việc giảm thiểu các vi phạm an ninh thực sự xảy ra trong toàn bộ công ty.
Khi nói đến việc báo cáo các rủi ro an ninh mạng cho hội đồng quản trị, việc minh bạch về các vấn đề này thực sự quan trọng nếu các công ty muốn đưa ra những quyết định dài hạn sáng suốt. Những bản báo cáo tốt sẽ chuyển đổi tất cả các vấn đề kỹ thuật phức tạp đó thành thứ mà ban lãnh đạo có thể thực sự sử dụng được. Một vài lưu ý cơ bản? Hãy dùng ngôn ngữ đơn giản, tập trung trước tiên vào những rủi ro quan trọng nhất, và đừng quên đề xuất các biện pháp cần thực hiện tiếp theo. Chẳng hạn như Microsoft. Họ đã đi đầu trong việc báo cáo lên hội đồng quản trị bằng cách xây dựng các bảng điều khiển trực quan, cho thấy rõ các mối đe dọa an ninh hiện tại và cách công ty đang ứng phó. Cách tiếp cận minh bạch như vậy giúp ban lãnh đạo hành động kịp thời trước khi sự việc trở nên nghiêm trọng, đồng thời cũng cho thấy với các nhà đầu tư và khách hàng rằng công ty thực sự nghiêm túc trong việc bảo vệ tài sản của mình. Sau cùng, chẳng ai muốn đầu tư vào một doanh nghiệp giấu diếm các điểm yếu của mình cả.
Khi các doanh nghiệp đưa phân tích màn hình máy tính vào kế hoạch an ninh mạng của họ, họ thực sự trở nên giỏi hơn trong việc phát hiện sớm các mối đe dọa. Việc theo dõi cách người dùng tương tác với hệ thống và phát hiện các mẫu bất thường trên màn hình giúp phát hiện vấn đề trước khi chúng trở thành các cuộc tấn công toàn diện. Các nhóm an ninh thường dựa vào các công cụ như hệ thống SIEM để thu thập toàn bộ dữ liệu hoạt động màn hình và đánh dấu bất cứ điều gì đáng ngờ. Ví dụ, một số công ty nhận thấy họ có thể phản ứng với các cuộc xâm nhập tiềm ẩn nhanh hơn tới 40% sau khi triển khai phân tích màn hình. Mặc dù không có hệ thống nào là hoàn hảo, nhiều quản trị viên IT cho biết họ cảm thấy tự tin hơn về các lớp phòng thủ của mình khi họ có thể literally nhìn thấy những gì đang xảy ra trên toàn bộ mạng lưới của họ trong thời gian thực.
Câu chuyển tiếp sang phần tiếp theo: Sau khi khám phá cách tiếp cận đa diện để vận hành hóa an ninh thông qua vai trò lãnh đạo của CFO, hãy cùng tìm hiểu các công nghệ mới nổi đang định hình lại các tính năng bảo mật máy tính, đi sâu vào cách AI, blockchain và các đổi mới khác đang làm thay đổi toàn cảnh an ninh số.
EN
AR
BG
HR
CS
DA
NL
FR
DE
EL
HI
IT
JA
KO
NO
PL
PT
RO
RU
ES
SV
TL
IW
ID
SR
SK
VI
HU
TH
TR
FA
AF
MS
SW
UR
BN
HA
KM
MN
UZ
