một bàn tay phía sau cùng hình minh họa một ổ khóa với bảng mạch và đường dây mạng trên nền cảnh quan thành phố

Ai chịu trách nhiệm về an ninh mạng và quyền riêng tư?

#KingstonCognate giới thiệu Bill Mew

Hình ảnh Bill Mew

Bill Mew là một nhà dẫn dắt dư luận chủ chốt, nhà vận động đạo đức số và doanh nhân. Là một nhà dẫn dắt dư luận chủ chốt, Bill tập trung vào việc tạo ra sự cân bằng giữa ‘sự bảo vệ có ý nghĩa’, trong đó ông đã được xếp hạng là nhân vật có ảnh hưởng đứng đầu toàn cầu về quyền riêng tư dữ liệu, và ‘sự tối đa hóa giá trị kinh tế và xã hội', trong đó ông cũng là một trong những người có ảnh hưởng hàng đầu trong nhiều lĩnh vực, từ an ninh mạng và chuyển đổi số đến công nghệ chính phủ và thành phố thông minh hơn. Ông cũng xuất hiện hàng tuần trên tivi/đài phát thanh (BBC, RT, v.v.) với tư cách một chuyên gia về những chủ đề này - có nhiều thời gian lên sóng hơn các nhà công nghệ khác tại Vương quốc Anh.

Là một doanh nhân, Bill là nhà sáng lập và CEO của CrisisTeam.co.uk, nơi ông làm việc với một đội ngũ tinh hoa gồm các chuyên gia về phản ứng sự cố, luật an ninh mạng, quản lý danh tiếng và ảnh hưởng xã hội để giúp khách hàng giảm thiểu tác động của các cuộc tấn công mạng.

Đây là trách nhiệm của TẤT CẢ chúng ta – cả tập thể và cá nhân

Trong nhiều tổ chức, có một quan điểm phổ biến cho rằng an ninh mạng là nhiệm vụ của riêng Giám đốc an ninh thông tin (CISO), còn quyền riêng tư là vấn đề của riêng bộ phận tuân thủ. Chỉ khi nào tất cả mọi người đều xem an ninh mạng và quyền riêng tư là trách nhiệm chung của mình, thì dữ liệu của chúng ta sẽ mới được bảo mật. Nếu xảy ra sự cố, tất cả chúng ta đều sẽ phải chịu trách nhiệm pháp lý – cả tập thể và cá nhân.

Trong các tổ chức như vậy, ban lãnh đạo cấp cao vẫn chưa coi trọng vấn đề an ninh mạng và quyền riêng tư dữ liệu. Họ thường tin rằng đây là những nhiệm vụ có thể giao phó cho CISO hoặc DPO (Giám đốc bảo vệ dữ liệu) là xong. Nếu ban lãnh đạo cấp cao tiếp tục nhìn nhận vấn đề theo cách này, thì sẽ không có gì là ngạc nhiên khi thái độ đó lan truyền trong toàn bộ tổ chức và nhân viên ở tất cả các cấp, khiến họ cũng không coi trọng những vấn đề này.

3 điều mà mọi tổ chức cần cân nhắc:

một bàn tay kéo một quân cờ domino ngăn những quân cờ đổ xuống làm sập cả phần còn lại

1. Nếu trưởng phòng mua hàng của bạn chọn những thiết bị không được mã hóa

Nếu các quyết định mua USB, ổ SSD hoặc thiết bị IOT không mã hóa là chỉ dựa trên yếu tố giá cả, mà không xem xét liệu chúng có an toàn hay có trang bị mã hóa phần cứng hay không, thì những thiết bị không được mã hóa đó sẽ tạo ra lỗ hổng mạng. Điều này khiến toàn bộ tổ chức có nguy cơ bị vi phạm dữ liệu.

2. Nếu nhân viên sử dụng lại mật khẩu hoặc sử dụng đường tắt để bỏ qua các biện pháp bảo mật

Nếu nhân viên không tuân thủ các quy tắc an ninh mạng cơ bản và bất cẩn với mật khẩu hoặc tệp đính kèm email, họ đang khiến cho an ninh của toàn bộ tổ chức bị gặp rủi ro. Tội phạm mạng luôn chủ động nhắm vào các mật khẩu yếu hoặc đã biết và sử dụng các chiến thuật lừa đảo để xâm nhập, làm tổn hại đến tính bảo mật của nạn nhân. Đây là một số thủ đoạn tấn công phổ biến nhất trong các sự cố mạng.

3. Nếu vị Giám đốc thông tin mạo hiểm với việc sử dụng dữ liệu cá nhân

GDPR quy định rằng chỉ được phép thu thập dữ liệu cá nhân khi có sự chấp thuận cho mục đích đã nêu rõ từ trước. Nếu bạn thu thập hoặc chia sẻ dữ liệu bất hợp pháp thì bạn đang khiến mọi người có nguy cơ bị phạt nặng và bị kiện tụng.

Ai sẽ chịu trách nhiệm nếu những điều này xảy ra? Tổ chức và CẢ chúng ta!

cận cảnh cả đội chụm tay lại cùng nhau

Mỗi người trong chúng ta đều cần phải coi trọng vấn đề an ninh mạng và quyền riêng tư dữ liệu

Nếu bạn thấy rằng tổ chức của mình đang sử dụng USB không được mã hóa, ổ SSD hoặc thiết bị IoT không an toàn, bạn cần phải lên tiếng. Nếu bạn nhận thấy đồng nghiệp của mình không tuân thủ các quy trình an ninh mạng, bạn cần phải lên tiếng. Nếu bạn chứng kiến một thành viên của bộ phận tiếp thị sử dụng dữ liệu khách hàng một cách không phù hợp, bạn cần phải lên tiếng.

Thay đổi văn hóa bảo mật chính là chìa khóa

Nếu chúng ta muốn thay đổi thái độ và khiến mọi người trong toàn tổ chức coi trọng vấn đề an ninh mạng và quyền riêng tư dữ liệu, từ ban quản lý cấp cao đến nhân viên cấp dưới, thì chúng ta cần phải thay đổi tư duy văn hóa.

Làm như vậy sẽ mang lại nhiều lợi ích cho tổ chức. Có bằng chứng rõ ràng chỉ ra rằng khách hàng sẽ vui vẻ hợp tác kinh doanh với các tổ chức mà họ cho là sẽ quan tâm đến dữ liệu của họ. Ngược lại, họ sẽ ngần ngại hợp tác với những tổ chức không làm như vậy. Do vậy, mối quan tâm hàng đầu của chúng ta là giữ lòng tin của khách hàng và tránh mọi loại sự cố an ninh mạng có thể làm xói mòn lòng tin đó.

cận cảnh các khối gỗ có chữ FINE (TIỀN PHẠT) và một cái búa gỗ

Ngoài ra, có rất nhiều yếu tố răn đe để khiến các tổ chức nghiêm túc chấp hành bảo vệ dữ liệu. Đối với những bên mới vi phạm, luật GDPR quy định mức phạt tối đa là 20 triệu Euro hoặc 4% doanh thu toàn cầu hàng năm – tùy theo mức nào là lớn hơn – cho MỖI sự cố. Chi phí để khắc phục một sự cố có thể lên tới hàng triệu Euro. Ngoài ra, nếu đó là một cuộc tấn công bằng phần mềm tống tiền, bọn tội phạm mạng có thể đòi một khoản tiền chuộc cũng lên đến hàng triệu Euro. Bạn cũng có thể phải đối mặt với vấn đề kiện tụng từ những người bị xâm phạm dữ liệu.

Như thể những biện pháp trừng phạt này đối với một tổ chức là chưa đủ, ngày càng có nhiều biện pháp trừng phạt đối với cá nhân. Mới đây, có một vụ kiện ở Mỹ về sự cố mạng mà lần đầu tiên, các thành viên hội đồng quản trị và một vị CISO – từng người đều bị chỉ đích danh là bị cáo. Một báo cáo của công ty phân tích Gartner đã dự đoán rằng các CEO có thể sẽ sớm phải chịu trách nhiệm cá nhân cho các cuộc tấn công mạng.

Với tư cách là công dân và là khách hàng, chúng ta muốn các tổ chức bảo vệ an toàn cho dữ liệu của chúng ta. Đồng thời, khi chúng ta chịu trách nhiệm về dữ liệu của người khác, thì cũng cần duy trì các mức tiêu chuẩn tương tự. Chúng ta – cả tập thể và cá nhân – cần ý thức rằng tất cả chúng ta đều có thể phải chịu trách nhiệm. Tuy nhiên, chúng ta cũng nên tự có động lực tập trung bảo vệ dữ liệu vì đó là điều đúng đắn cần làm.

Hỏi Chuyên gia

Kingston có thể mang đến cho bạn một ý kiến độc lập để xem cấu hình mà bạn hiện đang sử dụng hoặc dự định sử dụng có phù hợp cho tổ chức của bạn hay không.

SSD tự mã hóa

Chúng tôi đưa ra lời khuyên về những lợi ích mà SSD sẽ mang đến cho môi trường lưu trữ cụ thể của bạn và SSD nào là phù hợp nhất cho lực lượng lao động di động của bạn để bảo đảm rằng bạn làm việc một cách bảo mật trên đường di chuyển.

Hỏi Chuyên gia về SSD

USB mã hóa

Chúng tôi đưa ra lời khuyên về những lợi ích mà việc sử dụng USB mã hóa mang lại cho tổ chức của bạn và ổ nào phù hợp nhất với nhu cầu kinh doanh của bạn.

Hỏi Chuyên gia về USB

Tìm hiểu thêm về dòng giải pháp lưu trữ mã hóa của Kingston

Bài viết liên quan

Để biết thêm thông tin chi tiết về hoạt động kinh doanh của chúng tôi trong tình hình Covid-19, vui lòng truy cập tại đây.