Bàn quản trị rủi ro công nghệ thông tin Cơng nghệ thơng tin (CNTT) góp ph ần giúp doanh nghiệp thuận lợi quản trị, kinh doanh, kèm v ới nguy rủi ro không bảo mật tốt Do đó, quản trị rủi ro CNTT vấn đề mà nhiều doanh nghiệp cần quan tâm Những học đắt giá rủi ro CNTT - Sự cố Công ty Comair: Comair, công ty c Delta Air Lines, g ặp phải cố CNTT dẫn đến rủi ro lớn, hệ thống phân bổ phi hành đoàn hãng trục trặc Theo quy định quản lý an tồn hàng kh ơng, nhân viên phi hành đồn khơng làm q số định vòng 24 tiếng Hệ thống phân bổ lịch cho phi hành đoàn đảm bảo hệ thống hãng hàng khơng phải tn thủ xác quy định hệ thống khơng ho ạt động, chuyến bay không đư ợc phép tiến hành Vào thời điểm tháng 12/2004, tháng cao điểm hàng khơng Hoa Kỳ người dân nghỉ giáng sinh đơng Thời gian đó, thời tiết xấu bất thường khiến nhiều hãng hàng huỷ điều chỉnh lịch bay Đã có đến 91% chuyến bay bị hỗn huỷ Khơng Comair bi ết hệ thống phân lịch cho phi hành đoàn (mua từ nhà cung cấp bên ngoài) xử lý tối đa 32.000 thay đổi tháng Vào 10 gi tối ngày giáng sinh, Comair nhập thêm thay đổi làm số thay đổi vượt ngưỡng giới hạn, hệ thống đột ngột treo Sau đó, nhân viên k ỹ thuật Comair nhận họ khởi động lại hệ thống cách đơn giản Cách nạp lại toàn liệu từ đầu Và đội ngũ kỹ thuật hoàn thành nhiệm vụ khởi động lại hệ thống đêm 25/12, Comair khơng th ể ghép đội ngũ phi hành đồn với máy bay họ Đến tận 29/12, hãng hàng khơng khốn khổ quay lại hoạt động bình thường Trong ngày trời, gần hai trăm ngàn hành khách b ị bỏ rơi Comair lang thang sân bay kh ắp Hoa Kỳ khơng thể đặt vé hãng khác (vì họ kín chỗ) Phóng viên đài truyền hình liên tục đưa tin cố làm công chúng giận Hai tuần sau cố, quan quản lý nhà nước mở điều tra tuần sau đó, chủ tịch Randy Rademacher Comair phải từ chức Ngồi thiệt hại uy tín, thiệt hại tài trực tiếp Comair vụ khoảng 20 triệu đô la - gần lợi nhuận hãng quý trước Trên thực tế, công ty lập kế hoạch lại trì hỗn việc thay hệ thống phân lịch cho phi hành đoàn nhiều lần trước cố xảy Tất trì hỗn có lý đư ợc xem hợp lý mặt kinh doanh H ệ thống vận hành nhiều năm xác suất khả hệ thống gặp lỗi bất thường đến mức chạy tiếp thấp Khó có có th ể dự đốn việc hệ thống gặp lỗi vào lúc gây hậu khủng khiếp xảy Nhưng có điều quan trọng khác cần xét đến cố ngồi định trì hỗn nâng cấp, việc Comair khơng có k ế hoạch khả thi để khơi phục nhanh chóng quy trình kinh doanh c ốt yếu Lãnh đạo hãng hàng khơng khơng thể lập kế hoạch dự phịng cho cố nghiêm trọng Khi phần mềm bị lỗi, hệ thống dự phịng để thay thế, khơng có nhà cung cấp dịch vụ bên ngồi để gọi khơng có k ế hoạch vận hành thủ công triển khai th ời gian đợi khắc phục cố Nói cách khác, khơng cố máy tính mà hiểu biết lãnh đạo Comair tác động rủi ro CNTT hoạt động kinh doanh Việc đảm bảo rủi ro - dù rủi ro CNTT hay mảng khác - quản trị đắn giảm tới mức chấp nhận trách nhiệm lãnh đạo cấp cao Có lẽ mà chủ tịch CIO Comair phải sau cố nói Nguy rủi ro không bảo mật tốt Sự cố Comair liên quan đ ến rủi ro tính sẵn sàng Còn trư ờng hợp sau, liên quan đến khả thay đổi nhanh chóng với rủi ro chi phí kiểm sốt - Sự cố Cơng ty Tektronix: Thời gian trước đây, nhà lãnh đ ạo Tektronix, cơng ty sản xuất điện tử có quy mô 1,8 tỷ USD, phát thoái vốn đầu tư đơn vị kinh doanh Các quy trình tài s ản xuất đơn vị kinh doanh gặp rắc rối với phụ thuộc lẫn - khơng tài liệu hóa - hệ thống cốt yếu Việc tách đơn vị kinh doanh khỏi hệ thống họ giống dỡ tường chịu lực khỏi nhà - điều khơng thể thực không cấu trúc lại cách Đơn vị tách buộc phải dựng riêng tất hệ thống Tektronix v ới liệu nhạy cảm đó, chưa kể đến việc tìm nhân để bảo trì hệ thống Những khó khăn khơng xuất đột ngột mà từ từ len lỏi vào Tektronix thời gian dài Trong hàng chục năm, phận CNTT họ mở rộng hệ thống, xây dựng hệ thống độc lập viết phần mềm để liên kết chúng Mỗi “giải pháp” đánh đổi vô thức khả linh hoạt dài hạn với lợi ích trước mắt Những vấn đề rắc rối không nảy sinh mà tích tụ Các lãnh đạo cấp cao Tektronix biết hệ thống CNTT họ có vấn đề Những thay đổi tốn nhiều thời gian để triển khai so với kế hoạch mong muốn lãnh đạo Cực kỳ khó khăn để nắm tình hình chung khách hàng, sản phẩm đơn đặt hàng Các giám đ ốc nghiệp vụ phàn nàn hỗ trợ CNTT ngày giám đ ốc CNTT biết hệ thống ngày khó bảo trì Các nhân viên h ỗ trợ phải vất vả để giải bất cập hệ thống nên công ty xu ất thành ngữ “chỉ năm gọi giải xong” Dù khó chịu việc ngày trở nên phổ biến nhiều công ty (chứ không riêng Tektronix) Khi lãnh đ ạo Tektronix nhận thấy rủi ro thật không nỗi bực dọc vặt vãnh hàng ngày, họ tâm xây dựng lại hệ thống Họ đầu tư 50 tri ệu USD bỏ năm để làm lại toàn sở hạ tầng hệ thống ứng dụng CNTT Tektronix Comair nh ững trường hợp đặc biệt nghiêm trọng trường hợp gặp Chúng ta có th ể kể nhiều cố CNTT lĩnh vực khác nhau, buộc lãnh đạo cấp cao doanh nghiệp phải xem xét nghiêm túc rủi ro CNTT: - Giữa năm 2005, công chúng đư ợc biết hệ thống xử lý giao dịch thẻ tín dụng tin học hố CardSystems Solutions, Inc - hệ thống xử lý 40 triệu thẻ - bị truy cập bất hợp pháp Vài tuần sau đó, hai khách hàng CardSystems Solutions Visa MasterCard ch ấm dứt quan hệ với họ - Năm 1996, thất bại việc triển khai hệ thống ERP SAP FoxMeyer, công ty phân phối dược phẩm quy mô tỷ USD, dẫn đến phá sản công ty Các cổ đông công ty đưa đơn ki ện SAP (nhà cung cấp phần mềm) Accenture (nhà tích h ợp hệ thống dự án) để địi cơng ty bồi thường 500 triệu USD Vụ án giải xong năm 2005 - Tháng 12/2003, C ục Thuế Vương quốc Anh đưa vào hoạt động hệ thống quản lý thuế Thời gian kiểm thử hệ thống bị rút từ 20 tuần xuống tuần dự án bị trễ tiến độ Sau người ta phát hệ thống tính sai thuế tỷ bảng trước lỗi xử lý xong Những nguyên nhân dẫn đến rủi ro CNTT Qua ví dụ trên, có th ể tạm kết luận rủi ro CNTT rủi ro liên quan đến việc sử dụng, vận hành CNTT doanh nghi ệp, bao gồm thành phần sau: - Rủi ro bảo mật: nguy truy c ập trái phép, thay đ ổi thông tin; - Rủi ro tính sẵn sàng: nguy khơng truy c ập liệu hay gián đoạn quy trình kinh doanh; - Rủi ro hiệu năng: nguy chậm trễ trình truy cập liệu hay vận hành quy trình kinh doanh; - Rủi ro tính khơng linh hoạt hệ thống CNTT: nguy không th ực thực chậm yêu cầu thay đổi hoạt động kinh doanh Rủi ro CNTT cấu phần rủi ro hoạt động (Operational Risk) khơng đóng vai trò m ột mảng đặc trưng quản trị rủi ro hoạt động, quản trị rủi ro CNTT lên phận tương đối độc lập lý sau: - CNTT có vai trị thiết yếu với hoạt động kinh doanh Trong lĩnh v ực tài chính, tồn hoạt động kinh doanh thực thông qua hệ thống CNTT - Rủi ro CNTT thay đổi nhanh, tương ứng với tốc độ phát triển cơng nghệ Ví dụ hành vi lừa đảo trực tuyến yêu cầu biện pháp ngăn ngừa CNTT quan qu ản lý nhà nước đặt xuất năm gần Các phương pháp lu ận khung quản trị rủi ro CNTT Việc xác định, đo lường, phân tích quản trị rủi ro CNTT địi h ỏi kiến thức kỹ chuyên ngành Vi ệc gắn kết kiến thức quy trình CNTT (trong có qu ản trị rủi ro CNTT) với mục tiêu doanh nghiệp thách thức lớn Các phương pháp luận khung quản trị rủi ro CNTT phổ biến bao gồm: Tài liệu SP 800-30 NIST; quy trình Operationally Critical, Threat, Asset and Vulnerability Evaluation (OCTAVE) Vi ện Công nghệ Phần mềm trường đại học Carnegie Mellon phát tri ển; Risk IT - khung quản trị rủi ro toàn diện dựa COBIT (do hiệp hội phi lợi nhuận ISACA phát triển), quy trình đánh giá r ủi ro Facilitated Risk Assessment Process (FRAP) Thomas Peltier sáng t ạo; quy trình Consultative, Objective and Bi-functional Risk Analysis (COBRA) cơng ty C & A Systems Security Ltd.được sáng tạo Tuy bao quát h ầu hết khung quản trị rủi ro CNTT khó xác định rủi ro tính khơng linh hoạt hệ thống Nhiều quản trị rủi ro CNTT bị thu hẹp phạm vi thành quản trị rủi ro an tồn thơng tin Hơn th ế nữa, việc thực đầy đủ bước quy trình quản trị rủi ro CNTT không đ ảm bảo khả quản trị tốt rủi ro mà đơi ch ỉ có ý nghĩa “chạy trốn rủi ro” Vì thế, để đảm bảo bao quát đầy đủ cấu phần rủi ro CNTT, cần thực yêu cầu quan trọng sau: - Xây dựng tảng cấu trúc tốt CNTT, sở hạ tầng kỹ thuật kỹ thuật ứng dụng với đội ngũ nhân lực quy trình hỗ trợ hiểu rõ, quản lý tốt không phức tạp mức cần thiết tối thiểu Nguồn gốc lớn rủi ro CNTT phức tạp tảng CNTT Sự phức tạp có nhiều hình thái khác nhau, bao gồm nhiều loại phần cứng khác nhau, nhiều loại ứng dụng tích hợp theo cách khơng dự đốn cơng nghệ q cũ đến mức người hiểu hệ thống Sự phức tạp không xuất mà tăng dần theo thời gian, đội ngũ cán CNTT cố gắng đáp ứng yêu cầu nhiều phận khác Mỗi lần phận CNTT phải chấp nhận ngoại lệ so với tiêu chuẩn, phải mua hệ thống không phù hợp với công nghệ tổ chức hay lựa chọn cách làm tắt để đáp ứng nhu cầu khẩn cấp kinh doanh, tảng CNTT trở nên phức tạp thêm chút Một tảng có cấu trúc tốt dễ bảo trì hơn, dễ kiểm sốt dễ khơi phục có cố Việc xác định thông tin t thể dễ dàng nến yếu tố chủ chốt lưu giữ địa Và tài sản CNTT mối liên kết chúng với quy trình kinh doanh đư ợc hiểu rõ ràng hơn, việc thay đổi hoạt động kinh doanh thực nhanh chóng đơn gi ản Việc khắc phục tính phức tạp tảng CNTT thực dễ dàng Rất doanh nghiệp thay tồn tảng CNTT công ty Tektronix t ừng làm Thay vào đó, doanh nghi ệp cần đảm bảo cán quản lý tảng CNTT có đủ kỹ cần thiết, đảm bảo quy trình có đ ủ cơng đoạn, biện pháp kiểm tra, giám sát Trong bao g ồm kế hoạch trì hoạt động kinh doanh liên tục để nhà quản lý phản ứng phù hợp trư ờng hợp hệ thống gặp cố hay ngừng hoạt động Từ bắt tay vào nâng cấp quy trình quản trị CNTT (và văn hóa doanh nghi ệp) để dự án lớn CNTT giúp nâng cao khả quản trị, giảm bớt mức độ phức tạp tảng CNTT - Quy trình quản trị rủi ro thiết kế tốt thực thi đắn đảm bảo cung cấp nhìn tổng thể mức doanh nghiệp tất loại rủi ro để lãnh đạo doanh nghiệp xác định mức độ ưu tiên, đầu tư hợp lý cho quản trị rủi ro, đồng thời cho phép lãnh đ ạo cấp bên quản trị độc lập hầu hết rủi ro lĩnh vực họ Xác định phân loại mức độ ưu tiên rủi ro công việc khó khăn Nghịch lý chủ yếu việc quản trị rủi ro CNTT chỗ người có khả đưa định mức doanh nghiệp lựa chọn đánh đổi rủi ro lại có khả hiểu xác định rủi ro cụ thể thấp Các nhân viên vận hành gần với việc triển khai chương trình CNTT nên s ẽ biết rõ/cảnh giác với điểm yếu cụ thể Lãnh đạo cấp cao tách biệt với hoạt động vụ hàng ngày nên thường cảm nhận rủi ro CNTT qua tác động yếu tố bên ngồi thứ khơng xác định Các giám đốc thường nằm mức độ trung gian, chịu trách nhiệm trực tiếp rủi ro tác nghiệp CNTT nên họ coi trọng rủi ro tác nghiệp/chiến thuật rủi ro từ bên Những khác biệt nhận thức dẫn đến khác biệt hành động, thế, khơng nguồn gốc khơng trí sách quản trị rủi ro mà cịn trở thành nguồn sinh rủi ro Sự lệch pha diễn theo hai cách hai làm tăng rủi ro Kiểu lệch pha thứ nằm nội đội ngũ CNTT, tạo lỗ hổng cách phát triển, triển khai quản trị hệ thống/quy trình Nh ững khoảng trống gây cố hệ thống, giảm chất lượng dịch vụ hay tạo cố an toàn thông tin Nh ững khoảng trống thường xuất hiện phận khác nhau, lãnh đạo phận chịu trách nhiệm an ninh, tuân th ủ, hoạt động kinh doanh liên t ục Kiểu lệch pha thứ hai phận CNTT với phần cịn lại doanh nghiệp Chương trình qu ản trị rủi ro CNTT có th ể khơng phản ánh nhu cầu doanh nghiệp làm giảm tính linh hoạt (thực chất lại làm tăng mức độ rủi ro) Kiểu lệch pha dẫn đến chương trình “bảo mật/rủi ro vị bảo mật” đầu tư mức không đầu tư đầy đủ cho lĩnh vực khác quan trọng (cho doanh nghiệp) Một quy trình quản trị rủi ro thiết kế tốt (và cần phải) giải nghịch lý Các sách mạnh với phương thức cụ thể, rõ ràng để xác định đánh giá rủi ro cho phép qu ản lý cấp thấp xác định đánh giá r ủi ro lĩnh vực công việc họ (với trợ giúp chuyên gia v ề rủi ro), đồng thời đem đến cho lãnh đạo cấp cao nhìn tổng thể rủi ro hữu để giúp họ đưa định phân bổ nguồn lực hợp lý Ngồi ra, quy trình quản trị rủi ro tạo cảm giác trật tự có kiểm sốt mơi trường làm việc doanh nghiệp Nó làm giảm tính bất định làm cho doanh nghiệp cơng chúng nhìn nhận cách tốt Hơn nữa, lãnh đạo doanh nghiệp đưa định CNTT hiệu họ thấy rủi ro hiệu mà định đem lại - Mơi trường văn hóa "hiểu biết rủi ro" doanh nghiệp, người có hiểu biết phù hợp rủi ro trao đổi rủi ro cách cởi mở, không bị lo sợ "Hiểu biết rủi ro" hoàn toàn đ ối lập với chối bỏ rủi ro Các doanh nghiệp "hiểu biết rủi ro" chấp nhận nhiều rủi ro mức độ rủi ro họ không cao Họ thông minh lựa chọn loại rủi ro lựa chọn phương pháp qu ản trị rủi ro Văn hóa "hiểu biết rủi ro" đòi hỏi người ưu tiên rủi ro doanh nghiệp rủi ro cá nhân/đơn vị mình, địi hỏi người chia sẻ thơng tin rủi ro giúp đỡ người khác xử lý rủi ro họ, họ chấp nhận rủi ro cao dù có kh ả thất bại Việc động lực, sách tr ị tổ chức đề cao thái độ chối bỏ rủi ro so với cách làm lựa chọn rủi ro có hiểu biết có hại cho phát triển họ Vai trò quan trọng lãnh đạo việc quản trị rủi ro CNTT xây dựng văn hóa "hiểu biết rủi ro" Nhân viên tất cấp cần hiểu định, hành vi họ làm tăng hay giảm rủi ro cho doanh nghi ệp Họ phải hiểu đâu nguy (ví d ụ máy chủ đạt tới giới hạn lực xử lý hay nhà thầu khơng có thái độ hợp tác), làm để ngăn chặn chúng báo cáo đến người có trách nhiệm xử lý Họ cần hiểu sách quy đ ịnh áp dụng quy định lại cần thiết/quan trọng Nhưng “hiểu biết rủi ro” khơng dừng Vì rủi ro cao thường rủi ro mà doanh nghiệp chưa gặp phải nên điều quan trọng mà lãnh đạo cần làm khuyến khích nhân viên tất cấp phát biểu tự loại rủi ro Một cách dễ hiểu: văn hóa “hiểu biết rủi ro” mơi trư ờng nhân viên có th ể thoải mái thảo luận rủi ro yêu cầu trợ giúp Nếu nhân viên không cảm thấy thoải mái làm điều đó, có hai nguy xấu xảy Nhân viên có th ể che giấu rủi ro họ hy vọng khơng xảy ra/lặp lại tương lai ho ặc họ trở nên sợ hãi rủi ro trở thành người gác cửa khó tính, tạo nên rủi ro giấu mặt người khác chọn cách tránh né họ thay làm việc với họ Điều quan trọng mà nhà quản lý cần để tạo nên môi trường cởi mở rủi ro thực hành hai việc sau: nhân viên tìm đ ến lãnh đạo nói “tơi có vấn đề” nhà quản lý cần khuyến khích họ mơ tả cụ thể vấn đề/rủi ro, nhân viên báo cáo c ụ thể rủi ro mà họ gặp phải nhà quản lý cần đảm bảo họ trợ giúp  ... bỏ rủi ro Các doanh nghiệp "hiểu biết rủi ro" chấp nhận nhiều rủi ro mức độ rủi ro họ không cao Họ thông minh lựa chọn loại rủi ro lựa chọn phương pháp qu ản trị rủi ro Văn hóa "hiểu biết rủi ro" ... vi thành quản trị rủi ro an tồn thơng tin Hơn th ế nữa, việc thực đầy đủ bước quy trình quản trị rủi ro CNTT không đ ảm bảo khả quản trị tốt rủi ro mà đơi ch ỉ có ý nghĩa “chạy trốn rủi ro? ?? Vì... ận khung quản trị rủi ro CNTT Việc xác định, đo lường, phân tích quản trị rủi ro CNTT đòi h ỏi kiến thức kỹ chuyên ngành Vi ệc gắn kết kiến thức quy trình CNTT (trong có qu ản trị rủi ro CNTT)