Xây dựng chính sách bảo mật cho doanh nghiệp để giảm thiểu thiệt hại

Các cuộc tấn công mạng đang thực sự là mối đe dọa với các tổ chức. Chỉ trong năm 2016 đã xảy ra hơn 1.000 sự cố vi phạm an toàn dữ liệu tại các doanh nghiệp Mỹ, phần lớn do hacker và tội phạm thông tin bên ngoài doanh nghiệp thực hiện. Đó là lí do cần xây dựng một chính sách bảo mật hợp lí cho doanh nghiệp.

Xây dựng chính sách bảo mật cho doanh nghiệp
Xây dựng chính sách bảo mật cho doanh nghiệp

Hậu quả của một chính sách bảo mật kém

Một nghiên cứu dựa trên hàng trăm sự cố an toàn thông tin đã chỉ ra rằng hệ quả của các cuộc tấn công này không chỉ giới hạn ở doanh nghiệp bị tấn công mà còn có tác động tiêu cực cho các doanh nghiệp khác thuộc cùng lĩnh vực.

Đây là nghiên cứu đầu tiên chỉ ra vi phạm an toàn thông tin xảy ra ở một doanh nghiệp có thể mang lại lợi thế cạnh tranh, đồng thời cũng có thể ảnh hưởng xấu tới các công ty đối thủ. Nghiên cứu cũng cho thấy một chính sách bảo mật chặt chẽ, cho phép người dùng truy cập và quản lý thông tin cá nhân một cách minh bạch có thể bảo vệ doanh nghiệp khỏi những tổn thất tài chính do sự cố bảo mật; trong khi một chính sách không phù hợp có thể khuếch đại những tác động tiêu cực. Những phát hiện này giúp doanh nghiệp đi đến một kết luận: rủi ro bảo mật tại đơn vị khác cũng có thể gây ra tổn thất tài chính trực tiếp cho doanh nghiệp của mình, bởi vậy việc thiết lập giải pháp hành động sớm có thể hạn chế tối đa những tổn thất này.

Trong một sự cố bảo mật, khi công chúng, đặc biệt là các nhà đầu tư, nhìn nhận nguyên nhân của sự việc như một ứng xử thường thấy của các doanh nghiệp trong ngành, họ thường có kỳ vọng tiêu cực với toàn ngành công nghiệp hơn là với một công ty cụ thể. Đây gọi là hiệu ứng lan tỏa. Đã có nhiều công ty trên thế giới gánh chịu hiệu ứng này. Sự cố thất thoát 400.000 thông tin người dùng của Nvidia tháng 7/2012 là một ví dụ điển hình. Cùng ngày hôm đó, đối thủ của Nvidia là công ty Advanced Micro Devices (AMD) cũng gánh chịu tổn thất lên tới 48 triệu USD, tương đương mức giảm giá trị cổ phiếu -1,4% (sau khi loại trừ ảnh hưởng từ thị trường chứng khoán nói chung). Nói cách khác, sau khi cô lập ảnh hưởng từ các yếu tố ngoại vi khác như thông báo về mức chi cổ tức, thông tin lợi nhuận, các hợp đồng và thương vụ mới xác lập, thì ảnh hưởng từ vụ bê bối của Nvidia đối với giá trị cổ phiếu của AMD là rất đáng kể.

Trong phạm vi nghiên cứu, giá trị thất thoát trung bình của các công ty đối thủ khi xảy ra sự cố bảo mật tại một doanh nghiệp trong ngành là 8 triệu USD. Thất thoát này có thể được ghi nhận nhiều ngày sau khi xảy ra sự cố.

Mặt khác, sự cố bảo mật tại một doanh nghiệp có thể tạo ra lợi thế cạnh tranh cho một doanh nghiệp khác. Đây gọi là hiệu ứng cạnh tranh. Ví dụ điển hình đó là, tháng 2/2015, khi công ty Anthem vướng vào vụ thất thoát thông tin 80 triệu khách hàng, đối thủ của họ là Aetna hưởng lợi 745 triệu USD, tương đương mức tăng giá trị cổ phiếu 2.2% (sau khi loại trừ ảnh hưởng từ thị trường chứng khoán nói chung). Trong trường hợp này, nhà đầu tư nhìn nhận khủng hoảng danh tiếng của  Anthem sẽ khiến cho khách hàng chuyển sang sử dụng sản phẩm của Aetna – đối thủ trực tiếp của Anthem, do vậy làm tăng giá trị cổ phiếu của công ty này.

Nghiên cứu cho thấy số lượng khách hàng bị ảnh hưởng và mức độ nghiêm trọng của sự cố bảo mật sẽ quyết định tác động có lợi hoặc có hại của sự cố đối với công ty đối thủ. Lượng thông tin tài khoản bị thất thoát càng nhiều thì tác động tới đối thủ cạnh tranh có xu hướng chuyển từ tiêu cực sang tích cực, nghĩa là các cuộc tấn công ở quy mô nhỏ là dấu hiệu cảnh báo thực trạng bảo mật thông tin cho toàn ngành. Khi quy mô cuộc tấn công tăng lên, hiệu ứng cạnh tranh dần chiếm ưu thế hơn do khách hàng tin rằng sự cố xuất phát từ vấn đề của chính doanh nghiệp bị tấn công thay vì nguyên nhân thực tiễn toàn ngành, bởi vậy họ có xu hướng chuyển sang sử dụng sản phẩm của các doanh nghiệp đối thủ. Các nhà đầu tư cũng nhìn nhận được xu hướng này, từ đó phản ánh tác động lên giá trị cổ phiếu của các doanh nghiệp đối thủ.

Nguyên tắc xây dựng chính sách bảo mật cho doanh nghiệp

Tin tốt là doanh nghiệp hoàn toàn có thể phòng bị trước rủi ro bảo mật của các công ty đối thủ. Một nghiên cứu sử dụng kết quả khảo sát hàng trăm khách hàng trên Amazon Mechanical Turk, kết hợp với phân tích dữ liệu chứng khoán của hàng trăm công ty trong vòng 10 năm đã tìm ra hai giải pháp giúp công ty hạn chế tối đa ảnh hưởng tiêu cực của các sự cố bảo mật trong ngành.

Thứ nhất, công khai chính sách sử dụng và chia sẻ thông tin tới khách hàng. Hãy tôn trọng quyền riêng tư của khách hàng bằng cách công khai minh bạch các thông tin được thu thập như địa chỉ IP, lịch sử tìm kiếm, ưu đãi…, mục đích và cách thức sử dụng những thông tin này cũng như việc xử lý thông tin và/hoặc bán thông tin cho bên thứ ba.

Thứ hai, dành quyền quyết định chia sẻ và sử dụng thông tin cho khách hàng bằng cách cho phép khách hàng lựa chọn trở thành ngoại lệ của chính sách chung (ví dụ, không chia sẻ thông tin của khách hàng cho đối tác). Như vậy, các giải pháp này nhấn mạnh quyền được biết và được quyết định của người dùng đối với thông tin cá nhân của chính họ.

Một khi doanh nghiệp thiết lập được một chính sách bảo mật minh bạch, khách hàng sẽ cảm thấy tự tin hơn khi quyết định chia sẻ thông tin, đồng thời có thể thay đổi tùy chọn quyền riêng tư bất kỳ lúc nào. Nghiên cứu cũng chỉ ra rằng tại các doanh nghiệp có chính sách bảo mật rõ ràng, khách hàng có phản hồi tích cực về việc họ không bị lợi dụng cho mục đích nghiên cứu thị trường, cảm thấy tin tưởng hơn, có xu hướng cung cấp thông tin chính xác hơn, thông cảm hơn khi doanh nghiệp gặp sự cố an toàn thông tin và góp phần củng cố thương hiệu của công ty trong cộng đồng thông qua tuyên truyền, giới thiệu tới các khách hàng tiềm năng. Tóm lại, khi được trao quyền quyết định, con người có xu hướng cởi mở, chia sẻ nhiều hơn cũng như bao dung hơn khi sự cố xảy ra và trở nên trung thành với doanh nghiệp.

Các công ty thực hành hai giải pháp nói trên cũng cho thấy khả năng chịu đựng áp lực từ sự cố bảo mật tại công ty đối thủ khi giá trị cổ phiếu của họ được bảo toàn. Tuy nhiên, chỉ có khoảng 10% trong số Top 500 công ty lớn nhất trên thị trường (Fortune 500) làm được điều này.

Cam kết minh bạch thông tin của doanh nghiệp có thể được kiểm chứng thông qua cách tiếp cận của họ với quyền riêng tư của khách hàng. Thông qua nghiên cứu chính sách bảo mật của Top 100 công ty lớn trên thị trường chứng khoán (Fortune 100), mục tiêu của chúng tôi là đánh giá liệu các công ty này có khả năng tự bảo vệ khỏi những tác động tiêu cực của một vụ tấn công dữ liệu trong ngành?

Đánh giá Chính sách Bảo mật của các công ty Fortune 100

Tiêu chí xếp hạng mức độ minh bạch thông tin và tôn trọng quyền riêng tư của khách hàng:

Minh bạch thông tin (0-5)

Tôn trọng quyền riêng tư (0-9)

Các công ty xếp hạng cao về cả hai khía cạnh như Costco, Verizon hay HP cung cấp định nghĩa rõ ràng về các thông tin họ thu thập và cách thức thu thập thông tin đó, đồng thời cho phép khách hàng quyết định việc sử dụng và chia sẻ thông tin của họ. Nhờ vậy các công ty này có khả năng tự bảo vệ khỏi hiệu ứng lan tỏa khi sự cố bảo mật xảy ra với một doanh nghiệp trong ngành.

Thứ hạng thấp nhất trên cả hai khía cạnh thuộc về Citigroup, Morgan Stanley và HCA. Trong một vụ tấn công dữ liệu năm 2011, Citigroup thất thoát 146.000 thông tin tài khoản khách hàng, gây tổn thất 1,3 tỷ USD cho các cổ đông. Theo phân tích của nhóm nghiên cứu, nếu Citigroup triển khai chính sách minh bạch thông tin và tôn trọng quyền riêng tư của khách hàng, tổn thất đã có thể giới hạn ở con số 16 triệu USD, nghĩa là tiết kiệm 820 triệu USD bằng cách trao quyền cho khách hàng. Sau sự cố này, Citigroup đã đầu tư 250 triệu USD cho hệ thống bảo mật dữ liệu và tuyển dụng 1.000 chuyên gia công nghệ thông tin, tuy nhiên nhóm nghiên cứu không nhận thấy thay đổi tích cực về mặt chính sách. Như vậy với một hệ thống tốt, Citigroup vẫn có thể phải chấp nhận tổn thất khi xảy ra sự cố bảo mật tại một doanh nghiệp đối thủ.

Bên cạnh đó, một số doanh nghiệp đang thực hiện tốt một trong hai giải pháp, chẳng hạn như minh bạch thông tin nhưng hạn chế quyền quyết định của khách hàng, hoặc ngược lại. Nghiên cứu chỉ ra rằng khách hàng không có phản ứng tích cực đối với những chính sách này.

Cuối cùng, nghiên cứu tìm ra tới 80% công ty Fortune 500 có xu hướng coi thường tính minh bạch và trao quyền riêng tư cho người dùng. Những công ty này có thể phải gánh chịu tổn thất tài chính nặng nề khi xảy ra sự cố bảo mật trong ngành. Phân tích của chúng tôi cho thấy doanh nghiệp không thực hành minh bạch thông tin có nguy cơ giảm giá trị cổ phiếu nhiều hơn 1.5 lần so với doanh nghiệp công khai chính sách bảo mật, trong khi các doanh nghiệp thực hành trao quyền quyết định cho khách hàng không hề bị ảnh hưởng về mặt giá trị cổ phiếu.

Tóm lại, các doanh nghiệp có thể hạn chế tối đa những tác động tiêu cực khi có sự cố bảo mật tại công ty đối thủ bằng cách xây dựng chính sách bảo mật với nguyên tắc minh bạch, tôn trọng quyền riêng tư của khách hàng. Một chính sách chặt chẽ cần giải thích cặn kẽ cách thức thu thập, sử dụng, chia sẻ và bảo vệ thông tin khách hàng đi kèm với việc trao cho khách hàng quyền quyết định chia sẻ thông tin. Thiếu một trong hai yếu tố này, doanh nghiệp có khả năng gánh chịu tổn thất lớn.

Các chỉ số và thứ hạng đưa ra dựa trên nguyên tắc phân tích và so sánh các công ty trong phạm vi nghiên cứu. Tạp chí Kinh doanh Harvard tin rằng một chỉ số thích hợp, dù được xây dựng dựa trên dữ liệu mang tính thời điểm, vẫn có thể cung cấp nhiều thông tin hữu ích trong dài hạn. Trong mọi trường hợp, người đọc cần tìm hiểu nguyên tắc xây dựng chỉ số để đánh giá tính phù hợp của nghiên cứu.

Lời kết

Một chính sách bảo mật hợp lí sẽ giúp doanh nghiệp giảm thiểu tối đa rủi ro khi bị tội phạm mạng tấn công dưới bất kì hình thức nào. Điều này không chỉ đúng về khía cạnh khách hàng, mà còn đúng với các Nhà đầu tư. Trong một thế giới phẳng với nền kinh tế cạnh tranh, các doanh nghiệp cần định hình thương hiệu của mình là một thương hiệu “đáng tin” trước khi có thể thực hiện được những chiến dịch PR khác. Hy vọng, sau bài viết này, bạn đọc có thể xây dựng chính sách bảo mật cho doanh nghiệp một cách hợp lí, tôn trọng khách hàng để giảm thiểu tối đa rủi ro khi xảy ra sự cố bảo mật.

Nhận những bài viết
chất lượng do chúng tôi chọn lọc