×
Chuyển đổi kỹ thuật số và vai trò của CISO

An ninh mạng cần phải là trọng tâm của quá trình chuyển đổi kỹ thuật số, nhưng các mô hình tổ chức sẽ phải phát triển. An ninh mạng đang trong quá trình trở thành một thành phần thiết yếu trong hành trình chuyển đổi kỹ thuật số của bất kỳ tổ chức nào.

Không có cách nào để giải quyết vấn đề này, đặc biệt là khi các nhà hoạch định chính sách bắt đầu nhúng tay vào các vấn đề về quyền riêng tư và bảo mật, và các chuẩn mực xã hội đang chuyển sang chủ đề này.

Trên thực tế, các cân nhắc về quyền riêng tư và bảo mật là những thành phần quan trọng của niềm tin kỹ thuật số và phải là trọng tâm của quá trình chuyển đổi kỹ thuật số của bất kỳ ngành nào. Không chỉ đơn thuần là các vấn đề công nghệ, chúng bao gồm nhiều  vấn đề sâu sắc về văn hóa và quản trị của nhiều công ty  .

Bản chất nhất thiết xuyên suốt của các vấn đề bảo mật và quyền riêng tư cần phải được đan cài vào cấu trúc của một tổ chức để quá trình chuyển đổi kỹ thuật số thành công trong dài hạn và điều này sẽ buộc các  mô hình tổ chức hiện tại  phải phát triển.

Tất nhiên, hầu hết các lớp công nghệ mới cho phép chuyển đổi kỹ thuật số cần được bảo vệ khỏi sự can thiệp, xâm nhập hoặc tham nhũng. Điều này đặc biệt xảy ra trong các lĩnh vực công nghiệp đang tìm cách tận dụng những cơ hội to lớn mà phương tiện không người lái mang lại và lĩnh vực hậu cần - trong số những lĩnh vực khác - có thể khó nhận ra trong thời gian mười năm.

 

Các công nghệ mới cũng sẽ tạo ra và cung cấp một lượng lớn dữ liệu  - hầu hết là  dữ liệu nhạy cảm hoặc riêng tư - sẽ cần được thu thập, xử lý và bảo vệ theo cách hợp lý và đạo đức. Điều này hoàn toàn quan trọng, chẳng hạn như trong lĩnh vực bán lẻ, nơi mà xu hướng ngày càng tăng theo hướng cá nhân hóa nâng cao và số hóa hành trình của người tiêu dùng thực sự đang khiến ngành này phát triển theo đúng nghĩa đen.

Các khái niệm về  bảo mật theo thiết kế  và về  quyền riêng tư theo thiết kế  chắc chắn sẽ trở thành đồng minh tốt nhất của tổ chức trong những nỗ lực đổi mới và phải được tất cả những người chơi chuyển đổi kỹ thuật số thực hiện nghiêm túc, đặc biệt là khi bối cảnh pháp lý và xã hội trở nên khó điều hướng hơn.

Khi dữ liệu ngày càng trở thành động lực của chuỗi giá trị kỹ thuật số, nó cần được tất cả các công ty hiểu và coi nó như một tài sản thực sự có giá trị và được bảo vệ như vậy.

Nhưng đây không được coi là một vấn đề kỹ thuật đơn thuần: Nó cần phải được giải quyết trên phạm vi toàn công ty như một vấn đề quản lý và văn hóa đầy đủ và có thể có ý nghĩa tổ chức sâu sắc.

Kêu gọi hành động mới

Không có nghi ngờ gì - theo quan điểm của chúng tôi - rằng các tổ chức đặt bảo mật thông tin và quyền riêng tư làm trọng tâm của quá trình chuyển đổi kỹ thuật số của họ ngay từ đầu có thể đạt được lợi thế cạnh tranh thực sự trong trung và dài hạn.

Trên thực tế, sự ra mắt gần đây của Quy định chung về bảo vệ dữ liệu (GDPR) ở EU đang thay đổi đáng kể bối cảnh khuyến khích cho tất cả các doanh nghiệp đang hoạt động ở châu Âu.

Không mắc sai lầm: GDPR là một phần không thể thiếu của mô hình chuyển đổi kỹ thuật số và minh họa cách các lực lượng bên ngoài - trong trường hợp này là quy định - có thể và sẽ được các chính trị gia áp dụng để cố gắng khôi phục trạng thái cân bằng thị trường - trong trường hợp này, khi đối mặt với sự tàn nhẫn kiếm tiền từ dữ liệu - để bảo vệ lợi ích được nhận thức của người tiêu dùng và công dân.

Các tổ chức hiện có thể bị phạt tới 4% doanh thu toàn cầu do không tuân thủ nhưng có thể phải đối mặt trong ngắn hạn với các phán quyết không mạch lạc và các quy phạm pháp luật thay đổi (vì không ai thực sự biết các cơ quan quản lý sẽ hành động như thế nào trong thực tế). Ngoài ra, các công ty hiện được yêu cầu báo cáo bất kỳ vi phạm dữ liệu liên quan nào cho cơ quan quản lý trong vòng 72 giờ. Điều này sẽ yêu cầu khả năng phát hiện, phân tích và phản ứng, vượt xa phạm vi của các nhóm bảo mật và sẽ buộc nhiều bên liên quan của công ty phải làm việc cùng nhau về những vấn đề đó (bảo mật, CNTT, pháp lý, nhóm DPO, quản lý cấp cao, v.v.). Do đó, GDPR có thể là một bài học đau đớn về lý do tại sao an ninh mạng nhất thiết phải là vấn đề xuyên suốt đối với các tổ chức thuộc mọi quy mô.

Cuối cùng, và có lẽ quan trọng nhất, tôn trọng quyền riêng tư và bảo vệ dữ liệu cá nhân có thể sẽ trở thành một lợi thế cạnh tranh thực sự khi xã hội của chúng ta ngày càng cảnh giác với những vấn đề này.

Sự thay đổi này được minh họa rõ ràng qua các đơn khiếu nại đầu tiên được nộp trong khuôn khổ GDPR. Ví dụ, các nhà hoạt động quyền riêng tư như Max Schrems hoặc French  Quadntic du Net đã bắt đầu lôi kéo các công ty công nghệ nổi tiếng (Facebook, Google, Instagram, v.v.) vào những gì có thể trở thành thủ tục pháp lý kéo dài. Tùy thuộc vào cách các cơ quan quản lý phản ứng, điều này có thể có tác động sâu sắc đến cách các doanh nghiệp dựa trên dữ liệu hoạt động ở châu Âu.

Khi người tiêu dùng và các bên liên quan khác bắt đầu xem xét ngày càng nhiều thái độ của công ty đối với dữ liệu, việc không thừa nhận mối quan tâm của họ về các vấn đề quyền riêng tư này - hoặc tệ hơn, xuất hiện trên các tiêu đề khi vụ bê bối tiếp theo xảy ra - có thể gây hại cho bất kỳ doanh nghiệp nào hơn là tiền phạt của cơ quan quản lý.

Trọng tâm của những vấn đề đó là sự phụ thuộc sâu sắc vào niềm tin kỹ thuật số. Một khi bị phá vỡ, toàn bộ chuỗi giá trị kỹ thuật số sẽ sụp đổ…

Bản thân các nhà đầu tư đang bắt đầu coi niềm tin kỹ thuật số là “nước sốt bí mật” thực sự của quá trình chuyển đổi kỹ thuật số và bảo mật và quyền riêng tư - như những thành phần chính của nó - đang nhanh chóng trở thành những thành phần quan trọng ở trung tâm của bất kỳ khuôn khổ ESG nào.

Càng ngày, bảo mật và quyền riêng tư càng trở nên gắn bó với nhau, nhưng nếu xét từ góc độ quản trị công ty thì không có ý nghĩa gì khi cho phép một tổ chức quyền riêng tư mới dưới quyền DPO phát triển song song - hoặc mâu thuẫn với - các cấu trúc bảo mật hiện có. Hợp lực  là hiển nhiên và cần được tận dụng, và khi các phương pháp bảo mật được coi là không hoạt động hoặc cần được cải thiện, điều này có thể mang lại một cơ hội lý tưởng.

Trên thực tế, nó có thể là sự khởi đầu của một bước tiến lớn xung quanh nhận thức của doanh nghiệp về bảo mật và quyền riêng tư, từ gánh nặng, phiền toái và chi phí, hướng tới trở thành các chức năng quản lý trung tâm.

Nhưng các mô hình tổ chức sẽ phải phát triển để phù hợp với bản chất thực sự xuyên suốt của các vấn đề bảo mật và quyền riêng tư, đồng thời tạo ra một vị trí thích hợp cho các chức năng mới của công ty.

 

Tại điểm nối này, vai trò truyền thống của CISO - bị ảnh hưởng nặng nề bởi sự thiên vị kỹ thuật, định hướng chiến thuật và định hướng theo dự án ở nhiều công ty - có thể trở nên lộ liễu.

Không phải ở sự tồn tại chức năng của nó - bảo mật CNTT là cần thiết hơn bao giờ hết - mà ở sự nổi bật của công ty. Thất bại trong việc đề xuất vai trò của họ ngoài các lĩnh vực chiến thuật và kỹ thuật trong phần tốt nhất của  thập kỷ qua , nhiều CISO có thể thấy mình bị đẩy xuống tổ chức trong khi vai trò CSO và DPO đóng vai trò trung tâm ở trên cùng.

Với những vai trò mới đó sẽ xuất hiện những người mới và một trọng tâm mới, và có lẽ là một cách khác để tiếp cận các vấn đề bảo mật và nói về chúng.

Chúng ta có thể bắt đầu một thập kỷ thú vị cho tất cả các chuyên gia bảo mật.

Related Posts