Xây dựng khả năng phục hồi không gian mạng với tiêu chuẩn ISO/IEC 27001
Đăng ngày: 14:01 07-02-2023
Microsoft, Apple, Google, Intel và IBM ngoài việc là “những gã khổng lồ” công nghệ nằm trong bảng xếp hạng 500 công ty lớn nhất thế giới do tạp chí Fortune công bố, họ đều sử dụng ISO/IEC 27001. Với sự gia tăng toàn cầu và được trưng bày tại hàng nghìn địa điểm trên khắp thế giới, ISO/IEC 27001 đã trở thành tiêu chuẩn thực tế cho các hệ thống quản lý bảo mật thông tin.
Để bảo vệ tài sản dữ liệu nhạy cảm của mình trước các mối đe dọa và lỗ hổng kỹ thuật số, các tổ chức phải dựa vào khả năng phục hồi không gian mạng. Đây là một yếu tố không thể thiếu của các hệ thống công nghệ, mà còn đối với các nhóm, văn hóa tổ chức và các hoạt động hàng ngày. Thật vậy, các nhà lãnh đạo doanh nghiệp ngày nay nhận thức rõ hơn về nguy cơ của các mối đe dọa trên mạng so với một năm trước.
Đối mặt với những mối đe dọa này, trên toàn thế giới, các công ty đều dựa vào ISO/IEC 27001, tiêu chuẩn nổi tiếng nhất thế giới về hệ thống quản lý bảo mật thông tin (ISMS). Bộ chính sách, quy trình và hệ thống được lập thành văn bản này giúp quản lý rủi ro mất dữ liệu do tấn công mạng, hack, trộm cắp hoặc rò rỉ dữ liệu.
Khả năng phục hồi không gian mạng
Khả năng phục hồi không gian mạng dựa trên khả năng hành động của một tổ chức khi đối mặt với một cuộc tấn công mạng hoặc bất kỳ sự cố CNTT nào khác. Nó đòi hỏi phải thực hiện các biện pháp kỹ thuật và tổ chức thiết yếu để phát hiện những sự cố này, ứng phó và khắc phục chúng, nhưng cũng để có thể thích ứng và học hỏi từ những loại sự cố này nhằm tăng cường khả năng phục hồi trong tương lai.
Theo ông Andreas Wolf - Chủ tịch nhóm chuyên gia chịu trách nhiệm về tiêu chuẩn ISO/IEC về an ninh thông tin, về mặt an ninh, khả năng phục hồi không gian mạng phải được ưu tiên khi các biện pháp phòng ngừa không còn hiệu quả. Trong nền kinh tế kỹ thuật số, khả năng vượt qua danh tiếng trên mạng tạo nên sự khác biệt cho những nhà vô địch thị trường. Các tổ chức biến khả năng dễ bị tổn thương thành tài sản sẽ có vị thế tốt để chấp nhận rủi ro hợp lý.
Ấn bản mới được bổ sung chi tiết của ISO/IEC 27001, được xuất bản vào tháng 10 năm 2022 để đáp ứng các thách thức về bảo mật thông tin toàn cầu và củng cố niềm tin trong lĩnh vực kỹ thuật số. Do đó, tiêu chuẩn này cho phép các tổ chức bảo mật thông tin dưới mọi hình thức, thiết lập khuôn khổ được quản lý tập trung, giảm chi tiêu cho các công nghệ phòng thủ không hiệu quả và đảm bảo tính toàn vẹn, bảo mật và sẵn có của dữ liệu của họ.
Nhưng khả năng phục hồi không chỉ là về hoạt động bên trong của một tổ chức. Nó thực sự phải được áp dụng cho bất kỳ quan hệ đối tác nào với bên thứ ba cũng như cho toàn bộ chuỗi cung ứng. May mắn thay, một cuốn sách trắng có tựa đề Chỉ số khả năng phục hồi không gian mạng (CRI): Nâng cao khả năng phục hồi không gian mạng của tổ chức, cũng do WEF xuất bản, cung cấp một khung tham chiếu để tăng khả năng hiển thị và tính minh bạch của các hoạt động phục hồi không gian mạng, bất kể lĩnh vực nào, giữa các đồng nghiệp và ở cấp độ chuỗi cung ứng.
CRI hay Chỉ số phục hồi mạng, cung cấp cho các nhà lãnh đạo mạng trong khu vực tư nhân và công cộng một khuôn khổ chung về các phương pháp hay nhất để phục hồi mạng hiệu quả, cũng như cơ chế đo lường hiệu suất của tổ chức và ngôn ngữ đơn giản để khẳng định lợi thế của nó. Theo các nguyên tắc CRI, việc sử dụng các tiêu chuẩn ngành và khuôn khổ được công nhận về bảo mật, chẳng hạn như ISO/IEC 27001, là một phần không thể thiếu trong các phương pháp thực hành và phương pháp phụ tiếp theo để có khả năng phục hồi mạng mạnh mẽ của tổ chức.
Dễ bị tổn thương - yếu tố cơ bản của khả năng phục hồi
Bằng cách lựa chọn minh bạch về các hoạt động nội bộ và chia sẻ thông tin với các đối thủ cạnh tranh và các nhà hoạch định chính sách, các tổ chức có thể cảm thấy dễ bị tổn thương. Tuy nhiên, lỗ hổng này mở đường cho sự hợp tác và tiến bộ thực sự.
Trong thời đại kỹ thuật số, chúng ta không thể thỏa hiệp về khả năng phục hồi không gian mạng. Nó cũng có ý nghĩa kinh doanh bởi vì các tổ chức nắm lấy khả năng phục hồi không gian mạng bằng cách thể hiện sự tự tin về khả năng dễ bị tổn thương của họ sẽ nhanh chóng khẳng định mình là người dẫn đầu trong ngành của họ và làm gương cho thế giới noi theo trong hệ sinh thái của họ. Cách tiếp cận toàn diện của ISO/IEC 27001 có nghĩa là toàn bộ tổ chức được bao quát chứ không chỉ các hệ thống CNTT của nó. Con người, công nghệ và quy trình được hưởng lợi từ nó.
Hà My (theo vieq)