Chi tiêu cho sản phẩm và dịch vụ bảo mật thông tin trên toàn thế giới liên tục tăng trong nhiều năm qua. Theo Gartner, chi phí này được dự báo sẽ tăng từ 114 tỷ USD trong năm 2018 (tăng 12,4% so với năm 2017) lên hơn 124 tỷ USD trong năm 2019.
Các trưởng bộ phận an ninh mạng trong doanh nghiệp cũng đồng tình với dự đoán này, với 72% cho biết ngân sách của họ sẽ tăng vào năm 2020. Với ngày càng nhiều chi phí được đầu tư vào bảo mật thông tin, hãy xem những khoản tiền này thực sự được định hình như thế nào.
Từ kinh nghiệm của tôi, dù là đối với doanh nghiệp hay cá nhân, về cơ bản có hai cách để quyết định tương lai: Một là dựa vào trực giác và kinh nghiệm trước đây thông qua những tình huống tương tự, hoặc đơn giản là làm theo lựa chọn của người khác. Đây là cách tiếp cận thông thường; Hai là phân tích tình huống bạn gặp phải, chia nó thành các sự việc nhỏ hơn và tính xác suất thay đổi của những sự việc này trong tương lai gần. Đây là cách tiếp cận dựa trên rủi ro.
Bây giờ hãy xem cách các công ty lên kế hoạch chi tiêu cho bảo mật mạng và những gì chúng ta có thể học được từ hai phương pháp này.
Cách tiếp cận thông thường
Cách tiếp cận điển hình nhất để lập ngân sách bảo mật thường dựa trên nhu cầu hiện tại hoặc dựa trên kinh nghiệm trước đó. Điều này đặc biệt phù hợp với các công ty đang phát triển cần nhanh chóng trang bị cho doanh nghiệp các biện pháp và công cụ an ninh mạng cần thiết tối thiểu.
Ở giai đoạn này, việc lập kế hoạch ngân sách thường diễn ra theo nguyên tắc kế thừa, theo đó mức ngân sách hiện tại được duy trì trong một vài chu kỳ với những thay đổi tối thiểu; không có hoạt động xây dựng chiến lược bảo mật mạng hoặc đánh giá rủi ro cụ thể; và ngân sách được chi cho các nhu cầu khẩn cấp.
Cách này có thể cho kết quả tốt nếu không đột ngột xuất hiện nhu cầu kinh doanh mới, như quyết định phát triển mảng kỹ thuật số của doanh nghiệp, triển khai dịch vụ đám mây cho CRM hay kế toán hoặc mở văn phòng chi nhánh mới. Tất cả các quyết định kinh doanh mới này đồng nghĩa với việc ngân sách bảo mật Công nghệ thông tin cũng như bổ nhiệm nhân sự sẽ phải gấp rút tiến hành theo để nâng cao bảo mật, trong khi các nhiệm vụ và hoạt động triển khai trước đó sẽ bị trì hoãn và dồn lại cho sau này.
Không may là nếu làm theo cách này, chi phí dành cho bảo mật mạng của doanh nghiệp có thể tăng đáng kể vì khi có sự cố bất ngờ xảy ra, doanh nghiệp cần giải quyết càng nhanh càng tốt bất kể chi phí là bao nhiêu. Trong khi đó, các tổ chức lớn hơn với cách tiếp cận toàn diện hơn trong quản lý rủi ro có thể giải quyết vấn đề với chi phí bảo mật thông tin nhỏ hơn.
Cách tiếp cận dựa trên rủi ro
Không ngạc nhiên khi năm 2019, chuyên môn quản lý rủi ro được xem là một trong ba kỹ năng hàng đầu dành cho Giám đốc an toàn thông tin. Ở những doanh nghiệp kỳ cựu, khả năng đánh giá rủi ro chính là cốt lõi của quá trình kinh doanh.
Các tổ chức có nhiều kinh nghiệm thì sẽ không cố chữa càng nhiều lỗ hổng càng tốt. Đầu tiên, họ xem xét các rủi ro có thể ảnh hưởng lớn đến kinh doanh – như thời gian doanh nghiệp ngừng hoạt động, sự sẵn có của dịch vụ, khả năng danh tiếng bị ảnh hưởng, mất cơ hội kinh doanh hoặc tất cả các loại tổn thất liên quan trực tiếp đến tiền bạc. Đối với các doanh nghiệp có tư duy này, an ninh mạng không phải là một thông lệ hay một khoản đầu tư được xây dựng dựa trên “sự sợ hãi”, mà sự đầu tư này hoàn toàn hợp lý và hình thành dựa trên tính toán rủi ro.
Các mối đe dọa mạng sẽ không chừa bất cứ doanh nghiệp nào, nhưng mỗi tổ chức có xu hướng đối mặt với từng loại rủi ro an ninh mạng khác nhau. Những công ty thương mại điện tử sẽ dễ bị tấn công DDoS, và hoạt động tấn công vào tài nguyên web của công ty sẽ gây ra thiệt hại lớn, cả về uy tín và tiền bạc. Trong khi đó, các tổ chức tài chính và chính phủ sẽ phải đối mặt với các cuộc tấn công có chủ đích, vì vậy ngân sách của họ nên tập trung vào loại tấn công này.
Ngoài ra, các nhà phát triển phần mềm và nhà cung cấp dịch vụ thậm chí cũng có thể là mục tiêu tấn công hoặc là một trong các bước của tấn công chuỗi cung ứng nhắm vào khách hàng.
Nói cách khác, có rất nhiều nhiều mô hình mối đe dọa tấn công vào từng loại hình kinh doanh khác nhau, mỗi loại ẩn chứa một rủi ro cụ thể và các rủi ro này luôn thay đổi.
Vì rủi ro luôn tiềm ẩn mọi lúc, do đó chuyên môn bảo mật mạng đang trở nên rất quan trọng trong quy trình đánh giá rủi ro. Tại đây, các chuyên gia – bao gồm cả những chuyên gia bên ngoài – được thuê để đánh giá và đưa lời khuyên cho doanh nghiệp để doanh nghiệp đưa ra quyết định sáng suốt hơn.
Cuối cùng, khi đưa ra quyết định mua giải pháp hoặc dịch vụ an ninh mạng dựa trên phương pháp này, doanh nghiệp cần có một quy trình phê duyệt minh bạch với khả năng quản lý cao hơn.
Điều này cho phép công ty tránh được tình huống như một nhân viên bảo mật quyết định chọn giải pháp nào đó chỉ vì họ đã quen với cách làm việc trên nền tảng hiện tại, thay vì chọn một giải pháp cho hiệu quả cao nhất với chi phí tiết kiệm nhất.
Tất nhiên, quá trình đánh giá rủi ro sẽ không giống nhau đối với những công ty khác nhau và quá trình này sẽ liên tục thay đổi. Tuy nhiên, ba nhân tố chính – chuyên gia, đánh giá rủi ro, và quy trình minh bạch – vẫn rất cần thiết để giúp doanh nghiệp lập kế hoạch ngân sách hiệu quả hơn, từ đó đảm bảo công ty sẽ đầu tư vào sản phẩm bảo mật phù hợp nhu cầu kinh doanh của mình.
Bài học rút ra
Nói một cách đơn giản, lập kế hoạch ngân sách bảo mật tương tự như việc lên kế hoạch bảo dưỡng xe, sẽ khác nhau với mỗi chủ xe. Là chủ sở hữu xe hơi, tôi chỉ có thể ước tính tổng tiền trung bình cho các chi phí thường xuyên, như lốp xe, kiểm tra công nghệ và bảo trì khác.
Tuy nhiên, là một người đam mê đua xe, tôi biết rằng tôi cần phải chuẩn bị trước cho mùa giải và đảm bảo rằng tôi sẽ có đủ ngân sách cho tất cả các bộ phận của xe (như lốp xe, phanh, v.v.) – những bộ phận bị hao mòn nhanh hơn nhiều khi chạy trên đường đua. Cách tiếp cận thứ hai đòi hỏi nhiều chuyên môn, thời gian và tâm huyết, nhưng sẽ giúp tiết kiệm được chi phí.
Dưới đây là một vài đề xuất khi sử dụng ngân sách bảo mật Công nghệ thông tin của tổ chức:
- Khi đánh giá rủi ro, doanh nghiệp nên xem xét mối đe dọa nào dễ xảy ra nhất ứng với quy mô ngành và công ty, sau đó lên kế hoạch ngân sách phù hợp. Cập nhật thông tin và báo cáo về mối đe dọa mới nhất giúp việc đánh giá trở nên thuận tiện hơn.
- Cập nhật ý kiến chuyên môn (từ nội bộ, từ bên ngoài hoặc kết hợp cả hai) để đánh giá rủi ro và độ hiệu quả của các giải pháp và dịch vụ an ninh mạng. Kaspersky và một số nhà cung cấp có tổ chức nhiều khóa đào tạo để giúp nâng cao trình độ chuyên môn nội bộ của tổ chức.
- Thuê ngoài thường là lựa chọn tốt nhất cho các tổ chức không có đủ chuyên môn nội bộ hoặc quy trình đánh giá rủi ro. Tại thời điểm này, một thỏa thuận quy định dịch vụ được bảo đảm thực hiện (SLA) và chuyển từ chi phí đầu tư (CapEx) sang chi phí hoạt động (OpEx) là cách để kiểm soát chi tiêu bảo mật.
- Nếu chỉ dựa vào mức chuẩn trong ngành thì sẽ không đủ thông tin để đưa ra quyết định về ngân sách, các công cụ như Kaspersky IT Security Calculator sẽ giúp doanh nghiệp tìm hiểu các mối đe dọa, biện pháp cũng như con số đáng chú ý đối với tổ chức phù hợp với ngành nghề, quy mô và khu vực.
Khi xử lý vấn đề nghiêm trọng như bảo mật mạng, doanh nghiệp nên dành thời gian để chuẩn bị trước, tham khảo ý kiến các chuyên gia và lên kế hoạch cho những tình huống có thể xảy ra. Như người ta vẫn thường nói: “Chậm mà chắc”.
Alexander Moiseev, Giám đốc Kinh doanh của Kaspersky
