Bản lĩnh CSO

Quản lý rủi ro các quy trình hoạt động

Ông Thomas Psrenty, có 25 năm kinh nghiệm trong lĩnh vực bảo mật và phân tích mã hóa cho rằng, CSO là người quản lý các quy trình hoạt động của công ty, có trách nhiệm bảo vệ thông tin, tài sản, con người cả về kỹ thuật số lẫn tài liệu cứng… CSO có nhiệm vụ rà soát toàn bộ quy trình hoạt động của công ty và đánh giá mức rủi ro của từng bộ phận để lên kế hoạch cho công tác bảo vệ an ninh của mình. “Trách nhiệm của CSO tùy thuộc vào quy mô, tính chất hoạt động của DN và các phần mềm cài đặt được mở rộng đằng sau đó. Trách nhiệm của CSO không chỉ bảo vệ DN của mình mà còn phải bảo vệ luôn cả khách hàng của DN”, ông Thomas nói.

CSO phải có mối quan hệ hợp tác tốt với các phòng, ban khác trong công ty, tránh xung đột để khi xử lý cần có sự phối hợp phòng chống các mối đe dọa đến với mọi hoạt động của công ty.

Thông minh và thuần thục

Theo ông Thomas, một CSO ngoài yếu tố có trách nhiệm, cần phải có cái đầu thông minh, thuần thục để xử lý nhanh và hiệu quả các sự cố. Ngoài ra, các yếu tố kinh nghiệm cũng rất quan trọng! CSO phải có kinh nghiệm mới có thể xử lý những tình huống khó khăn khi đảm bảo tính liên tục về an toàn thông tin của DN. “Khi tai họa xảy ra, CSO là người phải phục hồi lại các chức năng hoạt động của DN và chỉ có CSO mới làm được việc này”, ông Thomas Psrenty khẳng định.

Khi tai họa xảy ra, CSO là người phải phục hồi lại các chức năng hoạt động của DN và chỉ có CSO mới làm được việc này

CSO có nhiệm vụ thường xuyên cập nhật các mối đe dọa an ninh thông tin nói chung và DN nói riêng, đồng thời báo cáo cho lãnh đạo cao nhất công ty, người quản lý chung cùng người quản lý CNTT… Việc báo cáo thường xuyên và kịp thời về các mối đe dọa sẽ giúp bản thân CSO không bị đơn độc khi xử lý, mặt khác, giúp công ty nhanh chóng tìm được biện pháp đối phó, ngăn chặn sự cố và thiệt hại…

Phải có sức thuyết phục

Ông Thomas Psrenty

Ông Thomas chia sẻ kinh nghiệm mà một CSO cần có nữa là sự mạnh mẽ, bản lĩnh để đương đầu. Bài học mà các CSO phải học là: phải làm thế nào để mọi người nghe và làm việc theo những đề xuất của mình. Làm thế nào để gia tăng lượng tiền đổ vào đầu tư cho an ninh thông tin…

Việc làm này không dễ nếu nhận thức của lãnh đạo DN về an ninh thông tin hạn chế. Họ sẽ không xem trọng các khoản đầu tư cho an ninh thông tin. Chính lúc này CSO phải đưa ra được lý lẽ thuyết phục, kèm theo dẫn chứng cụ thể về các tai họa gây tổn thất lớn về tài sản lẫn tinh thần. CSO phải trình bày được những việc làm thiết thực của mình cho lãnh đạo DN thấy rõ sự khác biệt giữa không đầu tư và đầu tư cho an ninh thông tin…

Ông Thomas cho biết, hiện chưa thống kê được các quốc gia có chức danh CSO. Thông thường chức danh CSO được định hình trong các ngành công nghiệp, tài chính, ngân hàng, hàng không… Đây là những ngành đặc thù nên vai trò của CSO rất rộng, có khi không kém vai trò của CIO (Lãnh đạo CNTT) bởi tính chất công việc và tầm quan trọng của nó ảnh hưởng đến sự sống còn của DN. Họ hiểu DN buộc phải có CSO để đảm bảo hoạt động thông tin thông suốt và CSO được hoạt động độc lập. Tuy nhiên, tùy vào quy mô công ty và nhân sự mà một người có thể vừa giữ vai trò là quản lý CNTT, CIO, CSO thậm chí là giám đốc an ninh thông tin - CISO (Chief Information Security Officer). Đối với những công ty có quy mô lớn, các bộ phận cần được tách bạch để xử lý công việc chuyên trách. Thông thường CIO và người quản lý CNTT nói chung có rất nhiều việc khác phải làm.

Hải Thanh