4 Sự Thật Gây Sốc Về An Ninh Mạng Mà Bạn Cứ Ngỡ Mình Đã Hiểu Rõ

Khi nghĩ về an ninh mạng, chúng ta thường hình dung ra cuộc chiến chống lại hacker giấu mặt và việc đặt những mật khẩu không thể bẻ khóa. Tuy nhiên, những trận chiến quan trọng nhất trong an ninh mạng hiện đại không chỉ diễn ra trên không gian mạng. Chúng đang diễn ra trong các phòng họp, trong các văn bản pháp lý và trên phạm vi toàn cầu, tiết lộ những sự thật đáng ngạc nhiên mà ngay cả những người am hiểu công nghệ cũng có thể bỏ lỡ.

——————————————————————————–

1. An ninh không phải là cuộc chiến công nghệ, đó là một bài toán kinh doanh.

Một trong những quan niệm sai lầm phổ biến nhất là coi an ninh mạng như một lớp “phụ gia” công nghệ. Cách tiếp cận này giống như việc chỉ rắc thêm các thành phần công nghệ sau khi bữa ăn đã được phục vụ. Tuy nhiên, điểm khởi đầu thực sự cho mọi chiến lược an ninh hiệu quả chính là quản lý rủi ro. Các chuyên gia phải đưa quản lý rủi ro trực tiếp vào các mục tiêu và quy trình của công ty, bởi họ không thể triển khai các biện pháp kiểm soát an ninh một cách chính xác nếu quy trình này không được thực hiện trước.

Hãy xem xét ví dụ về Starbucks: mục tiêu kinh doanh của họ là pha cà phê và kiếm tiền. Do đó, mục tiêu của an ninh không chỉ đơn thuần là chặn lưu lượng truy cập mạng độc hại. Mục tiêu cuối cùng là giúp Starbucks kiếm tiền hoặc tiết kiệm tiền bằng cách ngăn chặn những tổn thất tài chính có thể xảy ra. Đây chính là sự khác biệt cốt lõi: an ninh thông tin truyền thống tập trung vào các chỉ số kỹ thuật (như số lượng sự cố), trong khi quản lý rủi ro đo lường tác động của an ninh đối với các mục tiêu kinh doanh (như số tiền đang chịu rủi ro).

Vì vậy, các chuyên gia an ninh thành công nhất không phải là người rành về công nghệ nhất, mà là những người biết “nói ngôn ngữ kinh doanh” về rủi ro và cơ hội để giúp ban lãnh đạo cấp cao hiểu rõ tác động tài chính và đưa ra những quyết định chiến lược sáng suốt.

——————————————————————————–

2. Bức tường thành đã sụp đổ: Bạn chính là vành đai bảo mật mới.

Trong quá khứ, mô hình bảo mật truyền thống giống như xây một “bức tường thành” kiên cố xung quanh mạng lưới của công ty. Mọi tài sản quý giá đều ở bên trong và mọi mối đe dọa đều ở bên ngoài. Nhưng khái niệm về một vành đai phòng thủ cố định đã sụp đổ. Sự tan rã của vành đai này là một xu hướng được gọi là “khử vòng ngoài” (deperimeterization).

Mô hình này đã trở nên lỗi thời bởi sự trỗi dậy của làm việc từ xa (telecommuting), điện toán đám mây (cloud), và chính sách cho phép nhân viên sử dụng thiết bị cá nhân (BYOD). Ranh giới của tổ chức không còn là bức tường vật lý của văn phòng nữa. Vành đai bảo mật của tổ chức đã dịch chuyển đến bất cứ nơi nào có người dùng và thiết bị của họ—dù đó là quán cà phê, sân bay hay phòng khách tại nhà.

Sự thay đổi này đòi hỏi một cách tiếp cận hoàn toàn mới:

Thay vì chỉ đơn giản là xây dựng những bức tường bất khả xâm phạm ở rìa mạng, các biện pháp kiểm soát bảo mật cần phải theo dõi người dùng và máy trạm bất kể loại thiết bị và vị trí, ngoài loại tài nguyên và vị trí.

Điều này có nghĩa là mỗi cá nhân, mỗi thiết bị, giờ đây đều là một phần của vành đai bảo mật.

——————————————————————————–

3. Không phải hacker, chính luật sư mới là người nắm giữ ngân sách bảo mật.

Chúng ta thường nghĩ rằng các mối đe dọa công nghệ ngày càng tinh vi là động lực chính thúc đẩy các công ty đầu tư vào an ninh mạng. Điều này có phần đúng, nhưng một sự thật phản trực giác là động lực lớn nhất đằng sau các khoản chi tiêu khổng lồ cho an ninh lại đến từ sự tuân thủ pháp lý.

Kiến thức kỹ thuật có thể là động lực đằng sau những đổi mới về bảo mật, nhưng sự tuân thủ mới là động lực đằng sau ngân sách bảo mật.

Các tổ chức ngày nay phải đối mặt với một ma trận phức tạp các quy định và luật lệ, mỗi ngành nghề lại có những yêu cầu riêng. Một vài ví dụ điển hình bao gồm:

• GDPR (Quy định bảo vệ dữ liệu chung) ở Châu Âu

• HIPAA (Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế) trong ngành y tế Hoa Kỳ

• SOX (Đạo luật Sarbanes-Oxley) cho các công ty niêm yết

• PCI DSS (Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán) cho bất kỳ ai xử lý giao dịch thẻ tín dụng

Hậu quả của việc không tuân thủ là vô cùng nghiêm trọng, bao gồm các khoản phạt tiền nặng, việc phải đóng cửa tổ chức, hoặc thậm chí là án tù cho các nhà lãnh đạo. Chính những rủi ro pháp lý này, chứ không chỉ là mối đe dọa từ hacker, mới là yếu tố khiến ban lãnh đạo phải nghiêm túc chi tiền cho an ninh.

——————————————————————————–

4. Dữ liệu của bạn có “hộ chiếu”: Cuộc chiến địa chính trị ẩn sau đám mây.

Bạn có bao giờ tự hỏi dữ liệu của mình thực sự được lưu trữ ở đâu khi bạn tải nó lên đám mây không? Câu trả lời có ý nghĩa quan trọng hơn bạn nghĩ, bởi vì nó liên quan đến một khái niệm gọi là “chủ quyền dữ liệu” (data sovereignty). Nói một cách đơn giản, dữ liệu được lưu trữ vật lý ở một quốc gia nào thì phải tuân theo luật pháp của quốc gia đó.

Một vụ kiện nổi tiếng giữa Microsoft và chính phủ Hoa Kỳ đã làm sáng tỏ vấn đề này. Chính phủ Mỹ yêu cầu Microsoft giao nộp email của một nghi phạm được lưu trữ trong một trung tâm dữ liệu ở Ireland. Microsoft đã từ chối, lập luận rằng vì dữ liệu nằm trên đất Ireland, nó thuộc quyền tài phán của chính quyền Ireland và khuyên chính phủ Hoa Kỳ nên liên hệ trực tiếp với họ.

Tuy nhiên, cuộc chơi đã thay đổi sau khi Đạo luật Đám mây (CLOUD Act) của Hoa Kỳ được thông qua. Đạo luật này trao cho chính phủ Hoa Kỳ quyền ban hành trát đòi, buộc các doanh nghiệp Mỹ phải truy xuất và cung cấp dữ liệu, bất kể máy chủ đó được đặt ở đâu trên thế giới.

Điều này cho thấy rằng dữ liệu của chúng ta trên đám mây không chỉ tồn tại trong không gian mạng vô hình. Nó có “hộ chiếu”, bị ràng buộc bởi luật pháp, các hiệp ước quốc tế và những cuộc chiến địa chính trị phức tạp của thế giới thực.

——————————————————————————–

Lời kết: An ninh mạng trong thế kỷ 21

An ninh mạng hiện đại không còn là một bài toán kỹ thuật đơn thuần, mà đã trở thành một sân khấu phức hợp, nơi chiến lược kinh doanh, hành vi con người và luật pháp quốc tế quyết định thắng bại.

Khi biết rằng chính bạn là vành đai bảo mật mới, bạn sẽ thay đổi thói quen làm việc hàng ngày của mình như thế nào?

Tài liệu tóm, tắt theo Giáo trình SecurityX dùng để học và ôn luyện thi CASP CAS-005 – CompTIA SecurityX do Security365 biên soạn bởi Vinh Nguyen Tran Tuong.

Để có thể thi đạt chứng chỉ này chúng ta nên đọc đầy đủ 19 bài tóm tắt, sau đó xem 19 bài giảng để tạo khung ghi nhớ về SecurityX, nghe thêm 19 bài giảng chuyên sâu. Ngoài ra, thực hành trên Lab CertMaster Perform CompTIA SecurityX và cuối cùng là luyện Practcie Test hay Dump SecurityX. Lưu ý gói 3 tháng CertMaster Perform CompTIA SecurityX tại Security365 có giá rất hợp lý chỉ với 4900 K, và thường xuyên khuyến mãi sâu so với giá gốc 18 triệu /12 tháng. Liên hệ Zalo 0914433338 để đặt sách và CertMaster Perform cũng như mua Exam Voucher CompTIA SecurityX giảm giá lên đến 750 K cho khách đặt sách và Dump.