Nhân vụ Vietcombank và Vietnam Airlines, từ góc độ của một người làm KPI xin được đặt ra một số KPI cho Bảo mật thông tin như sau: 1. Ngân sách dành cho bảo mật thông tin và quản lý rủi ro (Tỷ đồng/Năm) Nhiều đơn vị rất ít chú trọng đến quản lý rủi ro CNTT nói chung và an toàn thông tin nói riêng. Nói nôm na là làm nhà kiểu cổ, ít dùng công nghệ; Xây nhà to đẹp nhưng lại quá ki bo không dành tiền mua khóa tốt/gia cố hệ thống cửa/tường rào/nuôi chó… nên là miếng mồi ngon cho đạo trích. Ngân sách này bao gồm: - Quỹ lương dành cho nhân sự làm bảo mật thông tin - Ngân sách đầu tư cho các hệ thống bảo mật thông tin - Ngân sách đào tạo nâng cao trình độ nhân sự làm bảo mật thông tin - Tăng cường ý thức phòng ngừa rủi ro của người dùng/khách hàng 2. Số lượng vụ tấn công vào hệ thống CNTT gây ra hậu quả nghiêm trọng (Lần/Năm) Trách nhiệm của bộ phận an ninh thông tin là phải đưa con số này về Zero. 3. Số lượng các sáng kiến bảo mật an ninh thông tin được áp dụng Đo lường khả năng phản ứng phòng ngừa của hệ thống trước các nguy cơ tiềm ẩn đã được nhận dạng. Điểm lưu ý là về nguyên tắc: Càng bảo mật thì càng phức tạp, có thể kéo dài thời gian thực hiện dịch vụ của khách hàng Có thể gây phản ứng đối với khách hàng/người dùng. Đã có khách hàng phàn nàn việc một số ngân hàng bắt đổi password định kỳ (quý/6 tháng) mà không cho dùng pass cũ. 4. Thời gian phản ứng với sự cố/đe dọa (Số giờ) Tổng thời gian từ khi nhận diện đe dọa đến khi tung ra các biện pháp phòng ngừa hữu hiệu. Thời gian này càng ngắn càng tốt. 5. Số lượng các Test kiểm tra an ninh được thực hiện Số lần thực hiện test kiểm tra và đào tạo về an ninh bảo mật. 6. Truyền thông về an toàn, bảo mật thông tin tới khách hàng/người dùng - Số lượt khách hàng/người dùng được tuyên truyền về an ninh thông tin (Số người) - Tỷ lệ khách hàng được tuyên truyền về an ninh thông tin (%) - Mức độ hiểu biết, ý thức phòng ngừa rủi ro của khách hàng/người dùng (Thang điểm 1-10) 7. Cập nhật hệ thống quy chế, quy định liên quan đến bảo mật thông tin (Lần/Năm) CNTT ngày nay có bước phát triển rất nhanh. Do đó, đòi hỏi hệ thống quy chế, quy định liên quan đến CNTT và bảo mật thông tin cần được cập nhật tương ứng nhằm ngăn ngừa nguy cơ tấn công từ bên ngoài. Cần có quy định rõ ràng về việc nhận diện, xử lý, phòng ngừa các rủi ro liên quan đến hệ thống CNTT. Rất mong nhận được sự đóng góp ý kiến của các chuyên gia về quản lý rủi ro, chuyên gia bảo mật an toàn hệ thống thông tin!
