Trong khoảng 10 năm vừa qua, chủ đề rủi ro mạng máy tính thường được đề cập tới trong các câu chuyện thời sự, các hội thảo trực tuyến, các bài thuyết trình hay thảo luận tại các hội chợ thương mại. Đây hoàn toàn không phải là chủ đề mới, và ngành bảo hiểm đã bắt đầu nhận bảo hiểm cho rủi ro này cách đây 15 năm. Tuy nhiên chỉ trong thời gian gần đây, rủi ro mạng máy tính mới thực sự là tâm điểm thu hút sự quan tâm của đông đảo dư luận.
Bắt đầu bằng kiểm soát tổn thất
Theo ôngToby Merrill, Giám đốc rủi ro mạng của ACE, các doanh nghiệp cần xem xét kỹ lưỡng khi quyết định lưu trữ thông tin theo công nghệ đám mây. Mặc dù nhiều nhà cung cấp công nghệ đám mây có khả năng ” kiểm soát an ninh mạng tốt tới mức khó tin”, ông nói, nhưng doanh nghiệp vẫn cần cân nhắc một số điểm sau:
– Loại dữ liệu nào dự định sẽ lưu trữ bằng công nghệ đám mây?
– Những ứng dụng và dịch vụ nào sẽ được sử dụng để truy cập vào đám mây?
– Nhà cung cấp dịch vụ đám mây thuộc khu vực công hay tư nhân?
– Doanh nghiệp có trực tiếp thực hiện việc mật mã hóa dữ liệu và có nắm giữ mã số mật mã hóa hay không?
Còn đối với các giám đốc quản lý rủi ro, vấn đề không chỉ dừng lại ở việc lưu trữ dữ liệu mà quan trọng hơn là quyết định xem dữ liệu nào sẽ cần thu thập ngay từ lúc ban đầu. Trong thời đại Dữ liệu lớn (Big Data), câu trả lời thường là càng nhiều càng tốt. “Nhưng dưới góc độ quản lý rủi ro, tôi không tán thành điều đó”, ông Srail nói, “vì sẽ rất rủi ro nếu lưu giữ tất cả các dữ liệu”.
Theo ông Srail, các doanh nghiệp cần cân nhắc dữ liệu nào sẽ được thu thập nhằm tránh lãng phí nguồn lực cho những dữ liệu không cần thiết, đồng thời cần đảm bảo an toàn trong quá trình hủy các dữ liệu đó.
Về phần mình, ông Merill cũng đề cập tới những rủi ro liên quan tới việc thu thập dữ liệu quy mô lớn, và các hoạt động đào tạo cần thiết trong lĩnh vực này. Vì ACE bảo hiểm cho các doanh nghiệp trong nhiều ngành nghề khác nhau, ông nói, “và họ đều biết những lợi ích từ Dữ liệu lớn”. “Họ nhận thấy mối tương quan giữa các loại dữ liệu khác nhau có thể giúp ích cho doanh nghiệp mình. Điều đó rất tốt, nhưng cũng tiềm ẩn những rủi ro”.
Đối với khả năng các thông tin đã thu thập có thể bị xâm nhập, Merill đặt câu hỏi về bảo đảm bí mật thông tin: “Khi xây dựng chính sách bảo mật, công ty của bạn có tiết lộ rằng sẽ thu thập hay sử dụng loại dữ liệu đó hay không, hoặc chia sẻ với bên thứ ba nào khác?”
Theo ôngMerill, Ủy ban Thương mại liên bang (Hoa Kỳ) hiện đang quan tâm đến cách thức thu thập và lưu trữ dữ liệu của các doanh nghiệp. Chẳng hạn khi người dùng Internet tiến hành download một phần mềm nào đó, họ thường không đọc kỹ tuyên bố từ bỏ trách nhiệm (disclaimer) của nhà sản xuất. “Tôi có một phần mềm miễn phí”, ông nói, “tôi dung nó mà không hề biết có người đang sử dụng các thông tin của tôi”.
Bảng 1: Doanh nghiệp cần nâng cao tính minh bạch trong việc sử dụng dữ liệu khách hàng
(Nguồn: Báocáo 12/2010 của FTC: Bảo vệ quyền riêng tư của khách hàng trong thời đại của sự thay đổi)
Theo ông Merrill, các dữ liệu thu thập được đã vượt quá những quan niệm về “thông tin cá nhân” thông thường, nó cho biết chi tiết các hoạt động của mỗi người như nơi ở, thú tiêu khiển khi rảnh rỗi, khu vực nào họ thường lui tới…
“Tất cả các thông tin đó đều bị theo dõi”, ông nói, “và tôi không biết liệu nó có được thông báo tới khách hàng hay không. Nhưng công ty FTC quan tâm tới điều đó.”
Cũng theo ông Merrill, các doanh nghiệp cần đào tạo cho cán bộ nhân viên về việc rà soát các chính sách và quy trình. Ông lưu ý rằng một số lượng lớn các sai sót là do lỗi của nhân viên, gồm cả vô tình và cố ý.
Còn theo bà Catherine Padalino, Phó Tổng Giám đốc cấp cao công ty bảo hiểm chuyên biệt Chubb Specialty Insurance, một dạng sai sót tiêu biểu của nhân viên xuất phát từ chính sách của các doanh nghiệp cho phé pnhân viên đem theo các trang thiết bị làm việc ra khỏi công sở. Bà nói điều này là khá phổ biến, và nó đã đặt các công ty trước rủi ro bị lộ thông tin, nhất là khi nhân viên đem theo các thiết bị có chứa các thông tin kinh doanh bí mật.
Theo bà, các doanh nghiệp cần cân nhắc xem những thông tin gì nhân viên có thể được lưu trong các thiết bị của mình, cũng như việc sử dụng các công cụ bảo vệ cần thiết, chẳng hạn password, mật mã hóa, khả năng xóa (từ xa) ngày của dữ liệu…
Bà Catherine Padalino nhấn mạnh, doanh nghiệp cần minh họa cho cán bộ nhân viên biết những việc gì họ có thể làm và không thể làm: những thông tin nào có thể lưu trữ, có thể chuyển cho người khác, hoặc có thể đăng tải lên các mạng xã hội.
Theo Property Casualty360