Bàn về quản trị rủi ro công nghệ thông tin

Công nghệ thông tin (CNTT) đang góp phần giúp các doanh nghiệp thuận lợi hơn trong quản trị, kinh doanh, nhưng đi kèm với đó là những nguy cơ về rủi ro nếu không được bảo mật tốt. Do đó, quản trị rủi ro CNTT là vấn đề mà nhiều doanh nghiệp cần quan tâm.

1. Những bài học đắt giá về rủi ro CNTT

- Sự cố của Công ty Comair:

Comair, một công ty con của Delta Air Lines, đã gặp phải một sự cố CNTT dẫn đến rủi ro lớn, khi hệ thống phân bổ phi hành đoàn của hãng trục trặc. Theo quy định quản lý an toàn hàng không, các nhân viên phi hành đoàn không được làm quá một số giờ nhất định trong vòng 24 tiếng. Hệ thống phân bổ lịch cho phi hành đoàn đảm bảo hệ thống của các hãng hàng không phải tuân thủ chính xác quy định đó và nếu hệ thống này không hoạt động, các chuyến bay không được phép tiến hành. Vào thời điểm tháng 12/2004, là tháng cao điểm của hàng không Hoa Kỳ vì người dân đi nghỉ giáng sinh rất đông. Thời gian đó, thời tiết xấu bất thường đã khiến nhiều hãng hàng không phải huỷ hoặc điều chỉnh lịch bay. Đã có đến 91% các chuyến bay bị hoãn hoặc huỷ. Không ai trong Comair biết rằng hệ thống phân lịch cho phi hành đoàn (mua từ một nhà cung cấp bên ngoài) chỉ có thể xử lý tối đa 32.000 thay đổi mỗi tháng. Vào 10 giờ tối ngày giáng sinh, khi Comair nhập thêm một thay đổi và làm số thay đổi vượt quá ngưỡng giới hạn, hệ thống đột ngột treo. Sau đó, các nhân viên kỹ thuật của Comair nhận ra họ không thể khởi động lại hệ thống một cách đơn giản. Cách duy nhất là nạp lại toàn bộ dữ liệu từ đầu. Và thế là khi đội ngũ kỹ thuật đã hoàn thành nhiệm vụ khởi động lại hệ thống trong đêm 25/12, Comair không thể ghép các đội ngũ phi hành đoàn với các máy bay của họ. Đến tận 29/12, hãng hàng không khốn khổ mới có thể quay lại hoạt động bình thường. Trong mấy ngày trời, gần hai trăm ngàn hành khách bị bỏ rơi của Comair đã lang thang trên các sân bay khắp Hoa Kỳ do không thể đặt vé của các hãng khác (vì họ đều đã kín chỗ). Phóng viên của các đài truyền hình liên tục đưa tin về sự cố làm công chúng nổi giận. Hai tuần sau sự cố, cơ quan quản lý nhà nước mở cuộc điều tra và một tuần sau đó, chủ tịch Randy Rademacher của Comair đã phải từ chức. Ngoài thiệt hại về uy tín, thiệt hại tài chính trực tiếp của Comair trong vụ này là khoảng 20 triệu đô la - gần bằng lợi nhuận của hãng trong cả quý trước đó. Trên thực tế, công ty đã lập kế hoạch rồi lại trì hoãn việc thay thế hệ thống phân lịch cho phi hành đoàn rất nhiều lần trước khi sự cố xảy ra. Tất cả những trì hoãn đó đều có lý do được xem là hợp lý về mặt kinh doanh. Hệ thống đã vận hành nhiều năm và xác suất của khả năng hệ thống gặp lỗi bất thường đến mức không thể chạy tiếp là cực kỳ thấp. Khó có ai có thể dự đoán việc hệ thống gặp lỗi đúng vào lúc có thể gây hậu quả khủng khiếp như đã xảy ra. Nhưng có một điều quan trọng khác cần xét đến ở sự cố này ngoài quyết định trì hoãn nâng cấp, đó là việc Comair không có kế hoạch khả thi để khôi phục nhanh chóng quy trình kinh doanh cốt yếu của mình. Lãnh đạo hãng hàng không đã không thể lập kế hoạch dự phòng cho những sự cố nghiêm trọng. Khi phần mềm bị lỗi, không có hệ thống dự phòng nào để thay thế, không có nhà cung cấp dịch vụ bên ngoài nào để gọi và cũng không có kế hoạch vận hành thủ công nào được triển khai trong thời gian đợi khắc phục sự cố. Nói cách khác, đó không chỉ là một sự cố máy tính mà chính là sự kém hiểu biết của lãnh đạo Comair về tác động của rủi ro CNTT đối với hoạt động kinh doanh. Việc đảm bảo các rủi ro chính - dù là rủi ro về CNTT hay bất kỳ mảng nào khác - được quản trị đúng đắn và giảm tới mức có thể chấp nhận được là trách nhiệm của lãnh đạo cấp cao. Có lẽ chính vì thế mà chủ tịch chứ không phải CIO của Comair đã phải ra đi sau sự cố nói trên.

Nguy cơ về rủi ro nếu không được bảo mật tốt

Sự cố của Comair liên quan đến rủi ro về tính sẵn sàng. Còn trường hợp sau, liên quan đến khả năng thay đổi nhanh chóng với rủi ro và chi phí kiểm soát được.

- Sự cố của Công ty Tektronix:

Thời gian trước đây, các nhà lãnh đạo của Tektronix, công ty sản xuất điện tử có quy mô 1,8 tỷ USD, phát hiện ra rằng không thể thoái vốn đầu tư tại một đơn vị kinh doanh chính. Các quy trình tài chính và sản xuất của 3 đơn vị kinh doanh chính gặp rắc rối với những sự phụ thuộc lẫn nhau - nhưng không được tài liệu hóa - giữa các hệ thống cốt yếu. Việc tách một đơn vị kinh doanh khỏi hệ thống của họ giống như dỡ một bức tường chịu lực chính ra khỏi căn nhà - điều không thể thực hiện được nếu không cấu trúc lại một cách căn bản. Đơn vị được tách ra buộc phải dựng riêng hầu như tất cả các hệ thống chính của Tektronix cùng với những dữ liệu nhạy cảm trong đó, chưa kể đến việc tìm nhân sự để bảo trì hệ thống mới. Những khó khăn đó không xuất hiện đột ngột mà đã từ từ len lỏi vào Tektronix trong một thời gian dài. Trong hàng chục năm, bộ phận CNTT của họ đã mở rộng hệ thống, xây dựng các hệ thống độc lập và viết phần mềm để liên kết chúng. Mỗi một “giải pháp” mới là một sự đánh đổi vô thức giữa khả năng linh hoạt dài hạn với những lợi ích trước mắt. Những vấn đề rắc rối không nảy sinh ngay lập tức mà dần dần tích tụ. Các lãnh đạo cấp cao của Tektronix biết rằng hệ thống CNTT của họ có vấn đề. Những thay đổi tốn nhiều thời gian để triển khai hơn so với kế hoạch và mong muốn của lãnh đạo. Cực kỳ khó khăn để nắm được tình hình chung về khách hàng, sản phẩm và các đơn đặt hàng. Các giám đốc nghiệp vụ phàn nàn rằng hỗ trợ về CNTT càng ngày càng kém trong khi giám đốc CNTT biết rằng hệ thống càng ngày càng khó bảo trì. Các nhân viên hỗ trợ phải rất vất vả để giải quyết những bất cập của hệ thống nên trong công ty đã xuất hiện một thành ngữ “chỉ năm cuộc gọi là giải quyết xong”. Dù rất khó chịu nhưng những việc như thế ngày càng trở nên phổ biến ở nhiều công ty (chứ không riêng Tektronix). Khi lãnh đạo Tektronix nhận thấy rủi ro thật sự chứ không chỉ là những nỗi bực dọc vặt vãnh hàng ngày, họ đã quyết tâm xây dựng lại hệ thống. Họ đã đầu tư hơn 50 triệu USD và bỏ ra 3 năm để làm lại toàn bộ cơ sở hạ tầng và hệ thống ứng dụng CNTT.

Tektronix và Comair là những trường hợp đặc biệt nghiêm trọng nhưng không phải là những trường hợp hiếm gặp. Chúng ta có thể kể ra rất nhiều sự cố CNTT ở các lĩnh vực khác nhau, buộc lãnh đạo cấp cao của doanh nghiệp phải xem xét nghiêm túc về rủi ro CNTT:

- Giữa năm 2005, công chúng được biết hệ thống xử lý giao dịch thẻ tín dụng tin học hoá của CardSystems Solutions, Inc - hệ thống đang xử lý 40 triệu thẻ - đã bị truy cập bất hợp pháp. Vài tuần sau đó, hai khách hàng chính của CardSystems Solutions là Visa và MasterCard chấm dứt quan hệ với họ.

- Năm 1996, thất bại của việc triển khai hệ thống ERP của SAP tại FoxMeyer, một công ty phân phối dược phẩm quy mô 4 tỷ USD, đã dẫn đến sự phá sản của công ty. Các cổ đông của công ty đã đưa đơn kiện SAP (nhà cung cấp phần mềm) và Accenture (nhà tích hợp hệ thống của dự án) để đòi mỗi công ty bồi thường 500 triệu USD. Vụ án này được giải quyết xong tại toà năm 2005.

- Tháng 12/2003, Cục Thuế Vương quốc Anh đưa vào hoạt động hệ thống quản lý thuế mới. Thời gian kiểm thử hệ thống bị rút từ 20 tuần xuống còn 4 tuần do dự án bị trễ tiến độ. Sau đó người ta phát hiện hệ thống tính sai thuế trên 2 tỷ bảng trước khi lỗi được xử lý xong.

2. Những nguyên nhân chính dẫn đến các rủi ro CNTT

Qua các ví dụ trên, chúng ta có thể tạm kết luận rủi ro CNTT là những rủi ro liên quan đến việc sử dụng, vận hành CNTT trong doanh nghiệp, bao gồm các thành phần chính sau:

- Rủi ro về bảo mật: nguy cơ truy cập trái phép, thay đổi thông tin;

- Rủi ro về tính sẵn sàng: nguy cơ không truy cập được dữ liệu hay gián đoạn các quy trình kinh doanh;

- Rủi ro về hiệu năng: nguy cơ chậm trễ trong quá trình truy cập dữ liệu hay vận hành các quy trình kinh doanh;

- Rủi ro về tính không linh hoạt của hệ thống CNTT: nguy cơ không thực hiện được hoặc thực hiện quá chậm các yêu cầu thay đổi của hoạt động kinh doanh.

Rủi ro CNTT là một cấu phần của rủi ro hoạt động (Operational Risk) nhưng không chỉ đóng vai trò như một mảng đặc trưng của quản trị rủi ro hoạt động, quản trị rủi ro CNTT đang nổi lên như một bộ phận tương đối độc lập vì những lý do sau:

- CNTT có vai trò thiết yếu với các hoạt động kinh doanh. Trong lĩnh vực tài chính, hầu như toàn bộ hoạt động kinh doanh được thực hiện thông qua các hệ thống CNTT.

- Rủi ro CNTT thay đổi rất nhanh, tương ứng với tốc độ phát triển của công nghệ. Ví dụ như các hành vi lừa đảo trực tuyến và các yêu cầu về các biện pháp ngăn ngừa bằng CNTT do các cơ quan quản lý nhà nước đặt ra mới chỉ xuất hiện trong những năm gần đây.

3. Các phương pháp luận và khung quản trị về rủi ro CNTT

Việc xác định, đo lường, phân tích và quản trị rủi ro CNTT đòi hỏi các kiến thức và kỹ năng chuyên ngành. Việc gắn kết các kiến thức và quy trình CNTT (trong đó có quản trị rủi ro CNTT) với các mục tiêu của doanh nghiệp là một thách thức lớn.

Các phương pháp luận và khung quản trị rủi ro CNTT phổ biến bao gồm: Tài liệu SP 800-30 của NIST; quy trình Operationally Critical, Threat, Asset and Vulnerability Evaluation (OCTAVE) do Viện Công nghệ Phần mềm của trường đại học Carnegie Mellon phát triển; Risk IT - một khung quản trị rủi ro toàn diện dựa trên COBIT (do hiệp hội phi lợi nhuận ISACA phát triển), quy trình đánh giá rủi ro Facilitated Risk Assessment Process (FRAP) do Thomas Peltier sáng tạo; quy trình Consultative, Objective and Bi-functional Risk Analysis (COBRA) do công ty C & A Systems Security Ltd.được sáng tạo. Tuy khá bao quát nhưng hầu hết các khung quản trị rủi ro CNTT hiện nay rất khó xác định được những rủi ro về tính không linh hoạt của hệ thống. Nhiều khi quản trị rủi ro CNTT bị thu hẹp phạm vi thành quản trị rủi ro an toàn thông tin. Hơn thế nữa, việc thực hiện đầy đủ các bước trong quy trình quản trị rủi ro CNTT không đảm bảo khả năng quản trị tốt rủi ro mà đôi khi chỉ có ý nghĩa “chạy trốn rủi ro”. Vì thế, để đảm bảo bao quát đầy đủ 4 cấu phần của rủi ro CNTT, cần thực hiện 3 yêu cầu quan trọng sau:

- Xây dựng một nền tảng được cấu trúc tốt về CNTT, cơ sở hạ tầng kỹ thuật và các kỹ thuật ứng dụng cùng với đội ngũ nhân lực và các quy trình hỗ trợ được hiểu rõ, quản lý tốt và không phức tạp hơn mức cần thiết tối thiểu. Nguồn gốc lớn nhất của rủi ro CNTT là sự phức tạp của nền tảng CNTT. Sự phức tạp này có thể có nhiều hình thái khác nhau, trong đó bao gồm quá nhiều loại phần cứng khác nhau, quá nhiều loại ứng dụng được tích hợp theo những cách không dự đoán được và công nghệ quá cũ đến mức rất ít người hiểu được hệ thống. Sự phức tạp không xuất hiện ngay lập tức mà tăng dần theo thời gian, khi đội ngũ cán bộ CNTT cố gắng đáp ứng yêu cầu của nhiều bộ phận khác nhau. Mỗi lần bộ phận CNTT phải chấp nhận một ngoại lệ so với các tiêu chuẩn, phải mua một hệ thống không phù hợp với các công nghệ của tổ chức hay lựa chọn một cách làm tắt để đáp ứng nhu cầu khẩn cấp của kinh doanh, nền tảng CNTT trở nên phức tạp thêm một chút. Một nền tảng có cấu trúc tốt hơn sẽ dễ bảo trì hơn, dễ kiểm soát hơn và dễ khôi phục khi có sự cố hơn. Việc xác định thông tin tổng thể cũng dễ dàng hơn nến mỗi yếu tố chủ chốt chỉ được lưu giữ ở một địa chỉ duy nhất. Và bởi vì các tài sản CNTT và mối liên kết giữa chúng với những quy trình kinh doanh được hiểu rõ ràng hơn, việc thay đổi hoạt động kinh doanh có thể được thực hiện nhanh chóng và đơn giản hơn. Việc khắc phục tính phức tạp của nền tảng CNTT hiếm khi có thể thực hiện dễ dàng. Rất ít doanh nghiệp có thể thay thế toàn bộ bằng một nền tảng CNTT mới như công ty Tektronix đã từng làm. Thay vào đó, các doanh nghiệp cần đảm bảo những cán bộ quản lý nền tảng CNTT có đủ kỹ năng cần thiết, đảm bảo các quy trình có đủ các công đoạn, các biện pháp kiểm tra, giám sát. Trong đó bao gồm cả kế hoạch duy trì hoạt động kinh doanh liên tục để các nhà quản lý có thể phản ứng phù hợp trong trường hợp hệ thống gặp sự cố hay ngừng hoạt động. Từ đó có thể bắt tay vào nâng cấp các quy trình quản trị CNTT (và văn hóa doanh nghiệp) để mỗi dự án lớn về CNTT sẽ giúp nâng cao khả năng quản trị, giảm bớt mức độ phức tạp của nền tảng CNTT.

- Quy trình quản trị rủi ro được thiết kế tốt và thực thi đúng đắn đảm bảo cung cấp cái nhìn tổng thể ở mức doanh nghiệp về tất cả các loại rủi ro để lãnh đạo doanh nghiệp có thể xác định mức độ ưu tiên, đầu tư hợp lý cho quản trị rủi ro, đồng thời cho phép lãnh đạo ở các cấp bên dưới có thể quản trị độc lập hầu hết các rủi ro trong lĩnh vực của họ. Xác định và phân loại mức độ ưu tiên các rủi ro là một công việc rất khó khăn. Nghịch lý chủ yếu của việc quản trị rủi ro CNTT là ở chỗ những người có khả năng đưa ra quyết định ở mức doanh nghiệp về các lựa chọn đánh đổi rủi ro lại có khả năng hiểu và xác định các rủi ro cụ thể thấp nhất. Các nhân viên vận hành gần nhất với việc triển khai các chương trình CNTT nên sẽ biết rõ/cảnh giác nhất với các điểm yếu cụ thể. Lãnh đạo cấp cao tách biệt nhất với các hoạt động sự vụ hàng ngày nên thường cảm nhận về rủi ro CNTT qua tác động của các yếu tố bên ngoài và những thứ không xác định. Các giám đốc thường nằm ở mức độ trung gian, do chịu trách nhiệm trực tiếp về rủi ro tác nghiệp CNTT nên họ sẽ coi trọng các rủi ro tác nghiệp/chiến thuật hơn các rủi ro từ bên ngoài. Những khác biệt trong nhận thức có thể dẫn đến khác biệt trong hành động, vì thế, đó không chỉ là nguồn gốc của sự không nhất trí về chính sách quản trị rủi ro mà còn có thể trở thành nguồn sinh ra rủi ro. Sự lệch pha có thể diễn ra theo hai cách và cả hai đều có thể làm tăng rủi ro. Kiểu lệch pha thứ nhất nằm trong nội bộ đội ngũ CNTT, tạo ra những lỗ hổng trong cách phát triển, triển khai và quản trị các hệ thống/quy trình. Những khoảng trống đó có thể gây ra sự cố hệ thống, giảm chất lượng dịch vụ hay tạo ra sự cố an toàn thông tin. Những khoảng trống này thường xuất hiện hiện các bộ phận khác nhau, giữa lãnh đạo và các bộ phận chịu trách nhiệm về an ninh, tuân thủ, hoạt động kinh doanh liên tục. Kiểu lệch pha thứ hai là giữa bộ phận CNTT với phần còn lại của doanh nghiệp. Chương trình quản trị rủi ro CNTT có thể không phản ánh đúng nhu cầu của cả doanh nghiệp và làm giảm tính linh hoạt (thực chất lại làm tăng mức độ rủi ro). Kiểu lệch pha này dẫn đến những chương trình “bảo mật/rủi ro vị bảo mật” được đầu tư quá mức trong khi không đầu tư đầy đủ cho các lĩnh vực khác quan trọng hơn (cho doanh nghiệp). Một quy trình quản trị rủi ro thiết kế tốt sẽ (và cần phải) giải quyết nghịch lý đó. Các chính sách mạnh cùng với các phương thức cụ thể, rõ ràng để xác định và đánh giá rủi ro cho phép quản lý cấp thấp xác định và đánh giá rủi ro trong lĩnh vực công việc của họ (với sự trợ giúp của các chuyên gia về rủi ro), đồng thời đem đến cho lãnh đạo cấp cao cái nhìn tổng thể về các rủi ro hiện hữu để giúp họ đưa ra quyết định phân bổ nguồn lực hợp lý. Ngoài ra, quy trình quản trị rủi ro tạo được cảm giác trật tự và có kiểm soát trong môi trường làm việc của doanh nghiệp. Nó làm giảm tính bất định và làm cho doanh nghiệp được công chúng nhìn nhận một cách tốt hơn. Hơn thế nữa, lãnh đạo doanh nghiệp có thể đưa ra các quyết định về CNTT hiệu quả hơn khi họ thấy được rủi ro cũng như hiệu quả mà mỗi quyết định có thể đem lại.

- Môi trường văn hóa "hiểu biết về rủi ro" trong doanh nghiệp, trong đó mỗi người có hiểu biết phù hợp về rủi ro và có thể trao đổi về rủi ro một cách cởi mở, không bị lo sợ. "Hiểu biết về rủi ro" hoàn toàn đối lập với chối bỏ rủi ro. Các doanh nghiệp "hiểu biết về rủi ro" chấp nhận nhiều rủi ro hơn nhưng mức độ rủi ro của họ không cao hơn. Họ chỉ thông minh hơn khi lựa chọn các loại rủi ro và lựa chọn phương pháp quản trị những rủi ro đó. Văn hóa "hiểu biết về rủi ro" đòi hỏi mỗi người ưu tiên những rủi ro của cả doanh nghiệp hơn rủi ro của cá nhân/đơn vị mình, đòi hỏi mọi người chia sẻ thông tin về rủi ro của mình và giúp đỡ những người khác xử lý rủi ro của họ, đôi khi họ sẽ chấp nhận rủi ro cao dù có khả năng thất bại. Việc các động lực, chính sách và chính trị của các tổ chức đề cao thái độ chối bỏ rủi ro hơn so với cách làm lựa chọn rủi ro có hiểu biết sẽ rất có hại cho sự phát triển của họ.

Vai trò quan trọng nhất của lãnh đạo trong việc quản trị rủi ro CNTT là xây dựng văn hóa "hiểu biết về rủi ro". Nhân viên ở tất cả các cấp cần hiểu các quyết định, các hành vi của họ làm tăng hay giảm rủi ro cho doanh nghiệp như thế nào. Họ phải hiểu đâu là các nguy cơ (ví dụ như máy chủ đạt tới giới hạn về năng lực xử lý hay nhà thầu không có thái độ hợp tác), làm thế nào để ngăn chặn chúng và báo cáo đến đúng người có trách nhiệm xử lý. Họ cần hiểu các chính sách và quy định nào đang được áp dụng và tại sao những quy định đó lại cần thiết/quan trọng. Nhưng “hiểu biết về rủi ro” không chỉ dừng ở đó. Vì những rủi ro cao nhất thường là những rủi ro mà doanh nghiệp chưa bao giờ gặp phải nên điều quan trọng nhất mà lãnh đạo cần làm là khuyến khích nhân viên ở tất cả các cấp phát biểu tự do về các loại rủi ro. Một cách dễ hiểu: văn hóa “hiểu biết về rủi ro” là môi trường trong đó nhân viên có thể thoải mái thảo luận về rủi ro và yêu cầu trợ giúp. Nếu nhân viên không cảm thấy thoải mái khi làm điều đó, sẽ có hai nguy cơ xấu xảy ra. Nhân viên có thể che giấu rủi ro của họ và hy vọng nó sẽ không xảy ra/lặp lại trong tương lai hoặc họ trở nên sợ hãi rủi ro và trở thành những người gác cửa khó tính, tạo nên những rủi ro giấu mặt khi những người khác chọn cách tránh né họ thay vì làm việc với họ. Điều quan trọng nhất mà các nhà quản lý cần để tạo nên môi trường cởi mở về rủi ro là thực hành hai việc sau: khi nhân viên tìm đến lãnh đạo và nói “tôi có một vấn đề” thì nhà quản lý cần khuyến khích họ mô tả cụ thể vấn đề/rủi ro, khi nhân viên đã báo cáo cụ thể về rủi ro mà họ gặp phải thì nhà quản lý cần đảm bảo họ được trợ giúp.

Tài liệu tham khảo:

- IT Risk: Turning Business Threats into Competitive Advantage (Harvard Business School Press, 2007)

- https://www.sans.org/reading-room/whitepapers/auditing/introduction-information-system-risk-management-1204

- https://itriskmgmt.blog/using-a-risk-management-framework-62ca96c7a366

- http://www.isaca.org/knowledge-center/research/documents/risk-it-framework-excerpt_fmk_eng_0109.pdf

Nguyễn Anh Tuấn

Nguồn: TCNH chuyên đề THNH số 4/2019