Tuân thủ tiêu chuẩn bảo mật quốc tế tại Việt Nam? Khó hay Dễ?
Trong bối cảnh công nghệ thông tin đang phát triển mạnh mẽ tại Việt Nam, việc tuân thủ các tiêu chuẩn, luật định về bảo mật quốc tế (từ các tiêu chuẩn, luật định được biết đến rộng rãi như ISO/IEC 27001, GDPR… đến các tiêu chuẩn, luật định cho các lĩnh vực riêng biệt như PCI DSS hay Luật Trí tuệ nhân tạo (AI) mới được các nhà lập pháp châu Âu thông qua gần đây) đã trở thành một nhu cầu thiết yếu đối với các doanh nghiệp và tổ chức. Việc tuân thủ những tiêu chuẩn, luật định này không chỉ giúp bảo vệ thông tin nhạy cảm mà còn tạo ra sự tin tưởng với khách hàng và đối tác của doanh nghiệp. Tuy nhiên, việc đạt được sự tuân thủ này lại không hề dễ dàng – chưa nói đến việc duy trì sự tuân thủ đó, đặc biệt là trong một môi trường kinh doanh năng động và liên tục thay đổi như ở Việt Nam.
Nhiều doanh nghiệp tại Việt Nam đang phải đối mặt với những khó khăn đáng kể trong việc tuân thủ các tiêu chuẩn bảo mật quốc tế. Từ việc thiếu hiểu biết, thiếu nguồn lực, đến chi phí đầu tư và rào cản văn hóa, việc tuân thủ các tiêu chuẩn này đòi hỏi sự cam kết mạnh mẽ từ phía ban lãnh đạo và một chiến lược bảo mật toàn diện.
1. Những khó khăn thường gặp
1.1. Thiếu hiểu biết về tiêu chuẩn
Khi nhắc đến bài toán tuân thủ tiêu chuẩn bảo mật quốc tế, rất nhiều các doanh nghiệp, tổ chức tìm đến các đối tác tư vấn với hiểu biết không đầy đủ (trong một vài trường hợp là khá ít ỏi) về các tiêu chuẩn này. Điều này không quá ngạc nhiên, bởi các tiêu chuẩn này nếu không phức tạp, đòi hỏi hiểu biết sâu rộng về vấn đề bảo mật thì cũng được viết một cách khá “mơ hồ” cho những ai mới tiếp cận. Một trong những khó khăn lớn nhất là giúp các doanh nghiệp hiểu được tầm quan trọng của việc tuân thủ các tiêu chuẩn này, thay vì chỉ coi đó là một “giấy phép”, “chứng chỉ thông hành” hoặc “tờ A4”. Sự thiếu hiểu biết đó đặt ra một thách thức lớn cho các tổ chức và chuyên gia tư vấn, khi họ phải vừa làm nhiệm vụ của một “nhà truyền giáo”, vừa cố gắng hỗ trợ (đôi khi là trực tiếp) triển khai các biện pháp bảo mật.
1.2. Thiếu nguồn nhân lực
Việc không có người phụ trách vì thiếu nhân sự là câu chuyện thường xuyên xảy ra tại các doanh nghiệp . Đa phần các doanh nghiệp nhỏ và vừa tại Việt Nam không có đội ngũ chuyên trách về bảo mật, hoặc nếu có thì cũng rất ít và thiếu kinh nghiệm. Điều này dẫn đến việc cả tổ chức tư vấn lẫn khách hàng phải “vừa làm vừa học” (khách hàng học tiêu chuẩn, còn chúng ta tìm hiểu về khách hàng và giải bài toán tuân thủ cho họ), khiến quá trình triển khai trở nên chậm chạp và khó khăn hơn.
Việc thiếu nguồn nhân lực dường như là vấn đề chung của toàn ngành bảo mật thông tin tại Việt Nam. Không chỉ số lượng không đủ, chất lượng nguồn nhân lực cũng chưa đáp ứng yêu cầu của ngành. Dù đang được tuyển dụng với mức lương cao so với kinh nghiệm, nhưng việc tuyển dụng nhân sự bảo mật tại Việt Nam là không hề dễ dàng. Theo báo cáo của Bộ Thông tin và Truyền thông, tổng số lao động của doanh nghiệp hoạt động trong lĩnh vực an toàn thông tin mạng năm 2023 là 3.866 người, tăng 13% so với năm 2022, nhưng con số này còn quá ít để đáp ứng khối lượng công việc khổng lồ trước các xu thế tấn công mạng vào các tổ chức, doanh nghiệp, cá nhân…
Đây là một vấn đề đau đầu không chỉ với các doanh nghiệp, mà còn với các tổ chức tư vấn, khi họ phải đối mặt với việc thiếu nhân lực triển khai, bởi tất cả các doanh nghiệp trong lĩnh vực bảo mật thông tin tại Việt Nam đều đang rơi vào tình trạng “đốt đuốc tìm người” mà không thấy.
1.3. Văn hóa doanh nghiệp
Một trong những khó khăn lớn mà các tổ chức tư vấn thường gặp phải là văn hóa doanh nghiệp tại Việt Nam. Nhiều tổ chức có thói quen làm việc không tuân theo quy trình, và điều này hoàn toàn mâu thuẫn với tinh thần của các tiêu chuẩn bảo mật quốc tế. Chẳng hạn, nhân viên có thể chia sẻ mật khẩu một cách vô tư, hoặc sử dụng phần mềm không bản quyền mà không nghĩ đến rủi ro bảo mật. Trong một báo cáo từ Bkav về tình hình an ninh mạng tại Việt Nam năm 2022,có tới 14% người dùng vẫn cài đặt phần mềm từ nguồn không chính thống, và 21% không có thói quen kiểm tra virus trước khi mở tệp từ Internet.
Khi gặp những trường hợp này, các chuyên gia tư vấn thường phải đóng vai “cảnh sát bảo mật”, nhắc nhở và huấn luyện nhân viên về tầm quan trọng của việc tuân thủ các quy trình bảo mật.
1.4. Ngân sách và chi phí
Tuân thủ các tiêu chuẩn bảo mật không phải là một khoản đầu tư nhỏ. Việc tuân thủ các tiêu chuẩn, luật định như PCI DSS, ISO 27001, GDPR… đòi hỏi doanh nghiệp phải đầu tư không chỉ về công nghệ mà còn về nhân lực và quy trình. Tuy nhiên, nhiều doanh nghiệp tại Việt Nam vẫn coi bảo mật như một “món xa xỉ” và không muốn đầu tư đủ nguồn lực. Điều này khiến các chuyên gia tư vấn thường phải “chạy đua” với ngân sách hạn chế và cố gắng tìm ra những giải pháp tối ưu nhất với nguồn lực hiện có.
1.5. Các tình huống bất ngờ phát sinh
Dù có chuẩn bị kỹ càng đến đâu, các chuyên gia tư vấn luôn phải đối mặt với những tình huống bất ngờ khi triển khai các tiêu chuẩn bảo mật quốc tế tại Việt Nam. Có thể là một vài nhân viên không hợp tác hay một hệ thống lỗi thời không tương thích. Để giải quyết các tình huống này, chuyên gia tư vấn cần có kinh nghiệm, sự linh hoạt và thậm chí là sự “sáng tạo” bởi họ phải tìm cách vượt qua những trở ngại không thể dự đoán trước.
1.6. Áp lực từ các bên liên quan
Một khó khăn khác mà các doanh nghiệp và tổ chức tại Việt Nam thường gặp phải là áp lực từ khách hàng và đối tác. Trong một thế giới ngày càng kết nối, các đối tác kinh doanh thường yêu cầu doanh nghiệp phải tuân thủ các tiêu chuẩn bảo mật quốc tế như một điều kiện để hợp tác. Điều này đặt ra một thách thức lớn, khi doanh nghiệp phải đáp ứng các yêu cầu bảo mật không chỉ để bảo vệ chính mình mà còn để duy trì quan hệ kinh doanh. Đôi khi mục tiêu duy trì quan hệ kinh doanh được đặt lên trước các mục tiêu về bảo mật thông tin, an toàn dữ liệu, dẫn đến việc doanh nghiệp tìm cách có “chứng nhận” trước khi thực sự “tuân thủ”.
1.7. Sự cập nhật của các tiêu chuẩn
Các tiêu chuẩn bảo mật quốc tế liên tục được cập nhật và thay đổi để phản ánh những mối đe dọa mới. Trong giai đoạn từ 2023-2024, hai tiêu chuẩn bảo mật phổ biến tại Việt Nam là ISO/IEC 27001 và PCI DSS đều được cập nhật lên phiên bản mới nhất. Điều này khiến việc tuân thủ trở nên phức tạp hơn, khi các doanh nghiệp và tổ chức phải liên tục cập nhật kiến thức và điều chỉnh hệ thống của mình.
Chẳng hạn, phiên bản mới nhất của PCI DSS, phiên bản 4.0, đã mang đến nhiều thay đổi đáng kể, đòi hỏi doanh nghiệp phải có những biện pháp bảo mật tiên tiến hơn, tốn nhiều nguồn lực đầu tư và thời gian triển khai.
1.8. Thiếu sự cam kết của lãnh đạo
Một yếu tố quan trọng quyết định sự thành công của việc tuân thủ các tiêu chuẩn bảo mật quốc tế là sự hỗ trợ từ ban lãnh đạo. Tuy nhiên, các chuyên gia tư vấn thường xuyên phải đối mặt với sự thiếu quan tâm hoặc thậm chí là không hợp tác từ phía các lớp quản lý của doanh nghiệp. Điều này thường xuất phát từ sự thiếu hiểu biết hoặc do họ ưu tiên những vấn đề khác hơn là bảo mật. Trong những trường hợp này, việc quan trọng là cần có ít nhất một lãnh đạo cấp cao của doanh nghiệp trở thành đầu tàu định hướng, đưa ra cam kết và cung cấp nguồn lực cần thiết giúp con tàu “tuân thủ” cập bến an toàn.
1.9. Rào cản ngôn ngữ và văn hóa
Một khó khăn không thể bỏ qua là rào cản ngôn ngữ và văn hóa. Các tiêu chuẩn bảo mật quốc tế thường được viết bằng tiếng Anh, khiến việc hiểu và triển khai chúng tại Việt Nam trở nên khó khăn.Việc khách hàng yêu cầu các công ty, doanh nghiệp yêu cầu cung cấp bản dịch tiếng Việt của các tiêu chuẩn quốc tế cũng như các văn bản, chính sách liên quan trong quá trình triển khai tư vấn cho họ là điều dần trở nên quen thuộc khi tần suất nó lặp lại ngày càng cao. Việc dịch thuật các thuật ngữ chưa có từ ngữ tương đương trong tiếng Việt và điều chỉnh các văn bản chính sách cho phù hợp với văn hóa doanh nghiệp Việt Nam là thách thức lớn đối với mọi tổ chức tư vấn.
2. Thế mạnh và ưu điểm của một tổ chức tư vấn bản địa
Trong bối cảnh các doanh nghiệp tại Việt Nam ngày càng nhận thức được tầm quan trọng của việc tuân thủ các tiêu chuẩn bảo mật quốc tế, vai trò của các tổ chức tư vấn bản địa trở nên quan trọng hơn bao giờ hết. Những tổ chức này không chỉ hiểu rõ môi trường kinh doanh trong nước, mà còn mang đến những lợi thế đặc biệt trong việc tư vấn và chứng nhận tuân thủ cho các doanh nghiệp Việt Nam.
2.1. Hiểu biết sâu sắc về văn hóa và môi trường kinh doanh
Một trong những ưu điểm lớn nhất của các tổ chức tư vấn bản địa là hiểu biết sâu sắc về văn hóa và môi trường kinh doanh tại Việt Nam. Chúng ta hiểu rõ cách thức hoạt động của các doanh nghiệp Việt, từ quy trình làm việc, cách thức giao tiếp, đến những thách thức đặc thù mà các doanh nghiệp này phải đối mặt. Điều này cho phép chúng ta điều chỉnh các giải pháp và tư vấn phù hợp với bối cảnh, giúp khách hàng dễ dàng tiếp nhận và triển khai hơn.
2.2. Sự thấu hiểu và gần gũi với khách hàng
Không nói đâu xa, những nhân viên tại FPT IS có mối quan hệ gần gũi và thân thiết với khách hàng, điều này xuất phát từ sự thấu hiểu văn hóa và cách làm việc của người Việt. Việc dễ dàng giao tiếp và truyền đạt thông tin một cách hiệu quả đã giúp các chuyên gia tư vấn của FPT IS giảm bớt rào cản ngôn ngữ và văn hóa mà các tổ chức tư vấn quốc tế gặp phải. Điều này tạo điều kiện thuận lợi cho quá trình tư vấn và chứng nhận, giúp khách hàng cảm thấy thoải mái và tin tưởng hơn.
2.3. Khả năng phản ứng nhanh chóng và linh hoạt
Các tổ chức tư vấn Việt Nam có khả năng phản ứng nhanh chóng và linh hoạt trước các yêu cầu và thay đổi từ phía khách hàng. Với sự hiểu biết sâu sắc về thị trường nội địa và mối quan hệ chặt chẽ với các doanh nghiệp, họ có thể nhanh chóng điều chỉnh dịch vụ và giải pháp để đáp ứng nhu cầu của khách hàng. Điều này rất quan trọng trong môi trường kinh doanh luôn thay đổi như hiện nay, khi các tiêu chuẩn bảo mật cũng liên tục được cập nhật và nâng cấp.
2.4. Chi phí hợp lý và hiệu quả
Một ưu điểm khác của các tổ chức tư vấn bản địa là chi phí hợp lý và hiệu quả. Với hiểu biết về thị trường nội địa, các tổ chức tư vấn Việt Nam có thể cung cấp các dịch vụ tư vấn và chứng nhận với chi phí cạnh tranh, phù hợp với ngân sách của các doanh nghiệp Việt Nam. Điều này đặc biệt quan trọng đối với các doanh nghiệp nhỏ và vừa, những tổ chức thường có nguồn lực hạn chế nhưng vẫn cần đảm bảo tuân thủ các tiêu chuẩn bảo mật quốc tế.
2.5. Đóng góp vào sự phát triển của ngành
Cuối cùng, việc lựa chọn các tổ chức tư vấn bản địa cũng giúp đóng góp vào sự phát triển của ngành an ninh mạng và bảo mật thông tin tại Việt Nam. Khi doanh nghiệp tin tưởng và sử dụng dịch vụ của các tổ chức tư vấn trong nước, họ đang góp phần thúc đẩy sự phát triển của ngành, tạo điều kiện cho sự xuất hiện của nhiều chuyên gia và tổ chức tư vấn chất lượng cao tại Việt Nam.
Việc tư vấn và triển khai các tiêu chuẩn bảo mật quốc tế tại Việt Nam là một công việc đầy thách thức, nhưng cũng rất thú vị. Những khó khăn mà các tổ chức tư vấn thường gặp phải, từ thiếu hiểu biết, thiếu nguồn lực, đến rào cản văn hóa đều đòi hỏi sự kiên nhẫn, sáng tạo, và khả năng giải quyết vấn đề của tổ chức tư vấn. Tuy nhiên, việc tuân thủ các tiêu chuẩn này là cần thiết để bảo vệ thông tin nhạy cảm, tăng cường an ninh mạng, và duy trì lòng tin của khách hàng và đối tác. Dù có nhiều trở ngại trong quá trình thực hiện nhưng công việc này vẫn mang lại nhiều kiến thức, kinh nghiệm, trải nghiệm; đồng thời còn mang lại giá trị cho doanh nghiệp tại Việt Nam.
Bài viết độc quyền của chuyên gia FPT IS
Ngô Thu Hồng, PCI QSA, CISM, Lead Auditor ISO 27001 |