4 kỹ năng để thành công của CISOs năm 2019

04/03/2019 11:38

Bài viết của ông Maxim Frolov, Phó Giám đốc Kinh doanh Toàn cầu Kaspersky Lab.

“Tấn công an ninh mạng khiến doanh nghiệp gánh chịu nhiều ảnh hưởng và tổn thất nặng nề. Chính vì vậy, vai trò của Giám đốc an toàn thông tin (CISO) trong tổ chức cần thay đổi.” - Ông Maxim Frolov - Phó Giám đốc Kinh doanh Toàn cầu Kaspersky Lab nhấn mạnh.
Ông Maxim Frolov, Phó Giám đốc Kinh doanh Toàn cầu Kaspersky Lab

Một CISO làm cho công ty mình trở nên bảo mật nhất thế giới sẽ không còn phù hợp nữa vì nó có thể cản trở đến hoạt động và lợi nhuận của công ty. Một CISO hiện đại không chỉ là người đứng đầu, đưa ra định hướng tầm nhìn chiến lược để hệ thống an ninh,máy móc luôn được cập nhật phiên bản mới nhất hay đảm bảo các cổng quan trọng không mở kết nối internet, mà nhà quản lý cấp cao cần hiểu rõ hai yếu tố quan trọng: thứ nhất, vận hành tổ chức để đạt đến mục tiêu kinh doanh, đa dạng hóa sản phẩm thu hút các nhà đầu tư và tăng doanh thu; thứ hai là trở thành một chuyên gia an ninh mạng chuyên nghiệp và giảm thiểu rủi ro các cuộc tấn công mạng làm ảnh hưởng đến hoạt động kinh doanh của công ty.

Ông Maxim Frolov - Phó Giám đốc Kinh doanh Toàn cầu Kaspersky Lab chia sẻ thêm bí quyết trở thành một CISO thành công: “Một CISO thành công không chỉ có chuyên môn bảo mật tuyệt vời, nhận thức tốt các xu hướng công nghệ hiện đại, mà còn phải rèn luyện các kỹ năng “mềm”cần thiết (cả kỹ năng bẩm sinh lẫn kỹ năng được trau dồi).”

1. Sự nhạy bén trong kinh doanh

Trước kia, CISO chịu trách nhiệm phát triển một kế hoạch phòng thủ dựa trên hệ thống công nghệ thông tin của công ty. Chiến lược này hiện chưa thực sự toàn diện và cần kết hợp phương pháp tiếp cận hiện đại phù hợp với tầm nhìn của doanh nghiệp.

Đó là lý do vì sao hầu hết mọi công việc CISO được đăng tuyển trên Glassdoor và các trang web khác không chỉ yêu cầu kiến thức bảo mật Công nghệ thông tin cùng một loạt các chứng chỉ, mà còn cần cả tư duy kinh doanh nữa.

Do đó, CISO không thể loại bỏ hoặc cấm một công nghệ mà doanh nghiệp của họ muốn thực hiện. Họ cần xem xét, đánh giá các rủi ro liên quan và đề xuất chiến lược an toàn nhất để không cản trở sự phát triển của công ty. Nếu nhân viên cần có quyền truy cập vào tài nguyên của công ty từ thiết bị cá nhân, CISO nên thực hiện chính sách BYOD (Bring Your Own Device - Mang thiết bị đi làm) trên hệ thống mạng.

Theo một CISO, cách thực hành tốt nhất để trở thành người quản lý rủi ro, hỗ trợ và hướng dẫn cho doanh nghiệp, đó là: “Trước khi giới thiệu một công nghệ mới đến bất kỳ bộ phận nào, chúng tanên tiến hành các cuộc họp với các bộ phận để đảm bảo rằng những thay đổi đó sẽ không đi ngược lại các chỉ tiêu an ninh của mình đề ra. Sau đó, thực hiện các thay đổi cần thiết để triển khai phù hợp với hệ thống mạng của công ty.”

2. Kỹ năng giao tiếp và thuyết trình

Không phải Giám đốc điều hành doanh nghiệp nào cũng có kinh nghiệm về chuyên ngành bảo mật. Chính vì vậy, một thách thức đòi hỏi CISO phải nâng cao khả năng hùng biện để đảm bảo hội đồng quản trị hiểu được các rủi ro nghiêm trọng như thế nào (nhất là khi bạn đã quen sử dụng thuật ngữ CNTT).

Rất khó để trình bày những ý tưởng phức tạp trở nên dễ hiểu trong ngành IT nhưng nếu bạn có thể trình bày và sử dụng ngôn ngữ an ninh mạng sang các thuật ngữ kinh doanh sẽ là cáchgiải quyết trở ngại giao tiếp này. Điều này cũng có thể hỗ trợ khi gặp phải những vấn đề đau đầu đối với việc đề xuất ngân sách bảo mật CNTT của CISO. Vì ngân sách an ninh mạng thường là một phần của chi phí CNTT nói chung, tiền có thể được ưu tiên cho các dự án CNTT chứng minh được lợi nhuận kinh doanh và tỉ lệ thu hồi vốn rõ ràng. Chính vì vậy, kỹ năng giao tiếp, khả năng truyền tải thông tin cho các đối tượng không am hiểu chuyên ngành công nghệ và đưa ra các dẫn chứng cụ thể về những xử phạt cho việc không chấp hành an ninh mạng, nhữngbáo cáo vi phạm và thiệt hại do các cuộc tấn công an ninh mạng trong quá khứ để chứng minh rằng lợi ích này sẽ vượt xa chi phí.

3. Kỹ năng quản lý khủng hoảng

Theo báo cáo gần đây của Kaspersky Lab, 86% CISO cho rằng vi phạm an ninh mạng sẽ xảy ra dù sớm hay muộn. Điều đó không thể đổ lỗi cho doanh nghiệp đã không có sự chuẩn bị trước. Mỗi công ty nên có một chiến lược phòng chống khi tấn công an ninh mạng xảy ra, bởi vì sự hoảng loạn và thiếu sự chuẩn bị sẽ chỉ làm tình hình tồi tệ hơn.

Kế hoạch hành động không chỉ dừng lại ở việc thay đổi mật khẩu bị ảnh hưởng hoặc khôi phục lại hệ thống. Để loại bỏ cuộc tấn công nhanh chóng, điều cần thiết là tìm ra ai là người sẽ có trách nhiệm giải quyết một số vấn đề nhất định và thông báo trước cho bộ phận sẽ bị ảnh hưởng. Họ có thể là các tổ pháp lý, PR hoặc nhóm chăm sóc khách hàng, những người có thể tham gia cùng giải quyết khủng hoảng. Nếu vi phạm xảy ra, điều cốt yếu là CISO vẫn nhận thức được trong suốt quá trình xảy ra sự cố. Đồng thời, trở thành cầu nối giữa các bên liên quan, là người điều phối nhóm bảo mật thông tin trong các hoạt động ứng phó sự cố, thông báo cho doanh nghiệp và tư vấn thêm về cách giải quyết tình huống.

4. Giám sát và lãnh đạo

62% CISO đều cho rằng rất khó để tuyển dụng những chuyên gia bảo mật cho doanh nghiệp. Tuy nhiên, đây chỉ là phần nổi của tảng băng trôi, và nguyên nhân chính gây lo ngại là làm thế nào để giữ chân nhân viên. Thiếu chuyên gia bảo mật có nghĩa là họ có nhiều sự lựa chọn khi họ quyết định thay đổi công việc. Theo một CISO:“Tôi may mắn là một người quản lý những chuyên gia an ninh mạng rất tài năng. Họ là mục tiêu của nhiều công ty săn đầu người”. Việc thiếu lực lượng lao động an ninh CNTT cũng làm tăng khối lượng công việc của nhân viên hiện tại và gây thêm áp lực cho các nhà lãnh đạo an ninh. Với vô số nhiệm vụ dư thừa, không cần thiết, điều đódễ dàng dẫn đến điều không thể tránh khỏi, đó là tội phạm mạng?

Vì CISO có ảnh hưởng trực tiếp đến nhân viên an ninh, họ nên là lãnh đạo mà mọi người có thể theo sau, là cố vấn có thể hỗ trợ nhóm và tạo động lực cho nhân viên. Động lực không chỉ giới hạn ở sự khen thưởng tiền mặt, nó có thể bao gồm việc trao thêm quyền được quyết định, khả năng học tập và phát triển nghề nghiệp (ví dụ: bằng cách mời tham dự các hội nghị bảo mật), và thậm chí đơn giản chỉ là sự ghi nhận kết quả làm việc chăm chỉ của một nhân viên. Có thể cách này hiệu quả với một người nhưng lại không phù hợp với người khác. Vì vậy, để trở thành người quản lý hiệu quả, CISO phải chọn một giải pháp tối ưu nhất hoặc nhiều giải pháp thích hợp cho từng người trong nhóm.

***

Rõ ràng, vai trò của CISO là một thách thức. Nó đòi hỏi một sự kết hợp độc đáo giữa kỹ năng mềm và kỹ năng công nghệ. Để thành công, CISO phải phát triển các phẩm chất quản lý và lãnh đạo, hiểu biết rộng về CNTT, có tư duy kinh doanh và kiến thức về an ninh mạng.

Trong khi kỹ năng công nghệ là nền tảng hiện nay, bốn yếu tố trên sẽ tiếp tục ảnh hưởng đến sự cân bằng các kỹ năng cần thiết trong tương lai. Ví dụ, Trí tuệ nhân tạo hỗ trợ cuộc chiến chống tội phạm mạng không có nghĩa là robot sẽ đảm nhận công việc của chúng ta vì chúng không thể học được các kỹ năng mềm mà chúng ta đã thảo luận ở trên. Ngày nay, có thể máy móc có chuyên môn về an ninh mạng tốt hơn bất kỳ con người nào và có thể giải quyết các nhiệm vụ kỹ thuật. Nhưng nếu CISO có các kỹ năng mềm - như quản lý nhóm và thời gian cũng như là sự nhạy bén trong kinh doanh - thì vai trò của họ sẽ vẫn rất cần thiết cho các doanh nghiệp trong tương lai.
Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang