Cùng với các đồng nghiệp trong C-suite, các CFO đã xem an ninh mạng và quyền riêng tư dữ liệu là những ưu tiên chiến lược hàng đầu trong vài năm. Ngày càng có nhiều cơ quan quản lý áp dụng cách tiếp cận tương tự và các CFO cần lưu ý và sẵn sàng.

Đầu năm nay, Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã đề xuất sửa đổi các quy tắc của mình về quản lý rủi ro an ninh mạng, chiến lược, quản trị và báo cáo sự cố của các công ty đại chúng tuân theo các yêu cầu báo cáo của Đạo luật Giao dịch Chứng khoán năm 1934. Quan điểm của SEC là Các mối đe dọa và sự cố an ninh mạng đặt ra mối đe dọa ngày càng tăng, liên tục đối với các công ty đại chúng, các nhà đầu tư và những người tham gia thị trường. Bằng chứng là phản hồi mà ủy ban nhận được trong thời gian bình luận kết thúc vào đầu tháng 5, một số khía cạnh của đề xuất không phải là không có tranh cãi và yêu cầu thêm sự rõ ràng cho những người chuẩn bị. Mặc dù các chi tiết cụ thể và thời gian của quy tắc thực tế vẫn chưa được hoàn thiện, nhưng thật là thông minh khi báo cáo các cải tiến thuộc một số loại sắp xảy ra. Do đó, nó có khả năng giúp các công ty đánh giá các chính sách, quy trình và thủ tục cơ sở hạ tầng an ninh mạng của họ cũng như chuyên môn và tính liên tục kinh doanh, các kế hoạch dự phòng và phục hồi mà họ có.

Nhiều sửa đổi của SEC, như đề xuất hiện tại, liên quan đến các hoạt động và chuyên môn nằm trong khuôn khổ cơ quan giám đốc tài chính, bao gồm việc xác định xem liệu các sự cố an ninh mạng có tăng đến mức “trọng yếu” hay không; báo cáo về các cuộc tấn công mạng và các nỗ lực khắc phục liên quan cho các nhà đầu tư và các bên liên quan khác; và tiết lộ liên quan đến chính sách quản lý rủi ro, quy trình quản lý rủi ro của bên thứ ba, sự giám sát của ban giám đốc đối với các rủi ro an ninh mạng và vai trò của ban giám đốc trong việc đánh giá và quản lý những rủi ro này. Hơn nữa, do hồ sơ SEC thường được ký bởi Giám đốc điều hành và Giám đốc tài chính của công ty, những tiết lộ này thuộc về bút phê của Giám đốc tài chính, bên cạnh cơ quan quản lý tài chính của Giám đốc tài chính.

Giám đốc an ninh thông tin (CISO), giám đốc thông tin (CIO) và giám đốc bảo mật dữ liệu chịu trách nhiệm phát triển và thực hiện các chương trình bảo mật thông tin và bảo mật dữ liệu của tổ chức. Tuy nhiên, đầu vào và sự tham gia của CFO có ảnh hưởng ngày càng lớn đến giá trị đóng góp của những nỗ lực này và đảm bảo những khả năng này phù hợp với chiến lược kinh doanh. Chuyên môn và quan điểm của CFO đặc biệt cần thiết và có giá trị khi các tổ chức giải quyết các vấn đề và thách thức liên quan đến an ninh mạng sau đây:

Mã độc tống tiền/ Ransomware: Các giám đốc tài chính đóng một vai trò quan trọng trong việc định lượng các rủi ro liên quan đến ransomware, phê duyệt tài trợ cho các nguồn lực, chuyên gia tư vấn bảo mật, v.v. cho phép các tổ chức phản ứng với các cuộc tấn công này một cách nhanh chóng và hiệu quả, đồng thời giúp trả lời câu hỏi hóc búa là liệu có nên trả tiền cho bọn tội phạm để mở khóa hệ thống của công ty và / hoặc khôi phục dữ liệu. Các giám đốc điều hành tài chính am hiểu về mạng chủ động nêu ra và giải quyết các vấn đề khó khăn về ransomware trong các bài tập trên bàn. Họ đánh giá rủi ro và phần thưởng của câu hỏi trả hay không trả, thiết lập tiêu chí ra quyết định và để đảm bảo tổ chức được chuẩn bị cho tất cả các tùy chọn, phát triển và thử nghiệm tốt các quy trình thanh toán tiền điện tử trước khi xảy ra cuộc tấn công đòi tiền chuộc.

Bảo hiểm mạng: Phí bảo hiểm mạng tiếp tục tăng trong khi giới hạn phạm vi bảo hiểm giảm xuống trong một thị trường đang khó khăn kể từ năm 2019 để đối phó với sự gia tăng của sự cố ransomware và các mối đe dọa mạng khác. Một nhà cung cấp dịch vụ cung cấp 10 triệu đô la cho một giới hạn phạm vi bảo hiểm cụ thể vào năm 2021 có thể đã cắt giảm một nửa giới hạn đó. Các quy trình bảo lãnh phát hành và gia hạn cũng trở nên phức tạp hơn và trở nên nặng nề hơn khi các công ty bảo hiểm tăng cường giám sát các biện pháp kiểm soát an ninh của một chủ hợp đồng tiềm năng. Những điều kiện này làm cho đầu vào của Giám đốc tài chính về chi phí, phạm vi bảo hiểm và giá trị của các chính sách bảo hiểm mạng thậm chí còn quan trọng hơn.

Tầm nhìn của hội đồng quản trị: Các hội đồng quản trị đã trở nên hiểu biết hơn đáng kể về các rủi ro an ninh mạng, đặc biệt trong 24 tháng qua. Do đó, nhiều thành viên hội đồng quản trị đặt câu hỏi chi tiết hơn về khả năng bảo mật dữ liệu và an ninh mạng của tổ chức. Chúng tôi đã quan sát thấy nhiều hội đồng quản trị chuyển trọng tâm của họ từ phát hiện và phòng ngừa sang khả năng phục hồi. Các giám đốc muốn có thêm thông tin chi tiết liên quan đến các khoản đầu tư và cơ chế giúp tổ chức ứng phó và khắc phục các vi phạm an ninh mạng một cách nhanh chóng và hiệu quả. Các giám đốc tài chính phải là người đóng góp tích cực cho vấn đề này "Chúng ta phải làm gì khi nó xảy ra?" cuộc trò chuyện trong phòng họp. Thông tin chi tiết này, ngoài vai trò ngày càng tăng của Giám đốc tài chính với tư cách là người cung cấp dữ liệu cho hội đồng quản trị, củng cố tác động của Giám đốc tài chính đối với hoạt động quản trị của hội đồng quản trị.

Tuân thủ quy định: Đề xuất quản lý rủi ro an ninh mạng gần đây của SEC cho thấy rằng các cơ quan quản lý muốn các nhà đầu tư có quyền truy cập kịp thời vào nhiều thông tin hơn liên quan đến vi phạm an ninh mạng và chi phí của những sự cố đó. Một khi các quy tắc này được hoàn thiện vào cuối năm nay (và đây là lĩnh vực mà nhiều nhà bình luận yêu cầu cần phải rõ ràng), các CFO có thể sẽ cần phát triển các ngưỡng để xác định khi nào một sự cố mạng nên được coi là trọng yếu. Về mặt bảo mật dữ liệu, nhiều tiểu bang tiếp tục ban hành các quy định tương tự như Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) trong trường hợp không có phiên bản liên bang của Hoa Kỳ về Quy định chung về bảo vệ dữ liệu của EU (GDPR). Các nhóm bảo mật thông tin cần sự trợ giúp từ các giám đốc tài chính và các chức năng tài chính của họ để xác định cách tiếp cận hiệu quả nhất về mặt chi phí để tuân thủ quy tắc bảo mật thường gây nhầm lẫn này trong khi cân bằng các chi phí đó với giá trị thu được từ dữ liệu mà tổ chức thu thập và sử dụng.

Hợp tác nội bộ: Trong những năm gần đây, mối quan hệ của các CFO với CISO và các nhà lãnh đạo về quyền riêng tư dữ liệu nói chung đã trở nên hợp tác hơn nhiều, đó là một tin tốt. Điều đó nói lên rằng, các CISO và các nhà lãnh đạo quyền riêng tư vẫn có xu hướng thảo luận các chiến lược tương ứng của họ một cách riêng biệt - mà không gắn mục tiêu của họ với chiến lược kinh doanh. Các giám đốc tài chính có thể giúp đỡ đồng nghiệp của mình bằng cách khuyến khích họ kết nối rõ ràng các hoạt động của mình với các mục tiêu kinh doanh, đặc biệt là khi chia sẻ thông tin với hội đồng quản trị. Ngoài ra, các CFO sở hữu một phần của chương trình nghị sự ESG có thể giúp các nhà lãnh đạo về quyền riêng tư dữ liệu định hình các hoạt động và đầu tư của họ theo những cách mở rộng hơn việc tuân thủ để giải quyết, chẳng hạn như trách nhiệm xã hội. Cuối cùng, việc bảo vệ dữ liệu khách hàng đặt ra các câu hỏi quan trọng về quản trị, bao gồm cả những câu hỏi liên quan đến đạo đức kỹ thuật số, mà CFO có thể giúp CISO và các nhà lãnh đạo về quyền riêng tư dữ liệu cân nhắc: Chúng ta có đang sử dụng và bảo vệ dữ liệu khách hàng theo cách minh bạch và phù hợp với những gì khách hàng mong đợi ở chúng ta không ?

Quản lý rủi ro của bên thứ ba: Chuyên môn về quản lý rủi ro của CFO và — trong hầu hết các trường hợp — quyền sở hữu chức năng mua sắm có thể giúp các chức năng bảo mật thông tin và bảo mật dữ liệu giải quyết thách thức ghê gớm và phức tạp của việc quản lý bên thứ ba (và, trong trường hợp là nhà cung cấp, nhà cung cấp cấp hai và cấp ba) rủi ro về an ninh mạng và quyền riêng tư dữ liệu. Cụ thể, các nhà lãnh đạo tài chính có thể đảm bảo các nhóm mua sắm cân bằng giữa các ưu tiên định giá và sự siêng năng quản lý rủi ro trong các quyết định tìm nguồn cung ứng của họ. Do việc đánh giá rủi ro của bên thứ ba có thể tốn nhiều thời gian để thực hiện, các CFO cũng có thể giúp các nhóm thu mua xếp hạng các nhà cung cấp theo các mức độ rủi ro khác nhau: bậc rủi ro.

Ngân sách: Ngân sách bảo mật thông tin và bảo mật dữ liệu có xu hướng tăng lên sau khi vi phạm hoặc gần như bỏ lỡ. Ngược lại, khi các tổ chức tránh xa các sự cố lớn theo thời gian, ngân sách an ninh mạng có xu hướng giảm về mức trung bình. Điều đó nói lên rằng, nhiều CISO sẽ khẳng định rằng luôn khó khăn để có được nguồn tài trợ mà họ cần để duy trì các hệ thống phòng thủ kiên cố. Mối quan hệ CFO-CISO hiệu quả giải quyết thách thức này bằng cách đưa ra các tiêu chuẩn chi tiêu hữu ích trong ngành, đánh giá hiệu quả của việc phân bổ đầu tư hiện tại và định lượng rủi ro an ninh mạng cả về kinh doanh và đô la.

Trong vài năm qua, nhiều CISO rất vui khi gặp ít khó khăn hơn trong việc thực hiện các yêu cầu lập ngân sách khi chi tiêu tổng thể của công ty tăng lên. Điều đó có thể thay đổi vào năm 2023, vì áp lực kinh tế vĩ mô và các biến động bên ngoài khác có thể thúc đẩy nhiều tổ chức thắt chặt hơn. Nếu và khi điều đó xảy ra, CFO, CISO và nhân viên bảo mật dữ liệu sẽ cần phải cộng tác hiệu quả hơn nữa để đảm bảo rằng các ưu tiên về bảo mật và quyền riêng tư của dữ liệu được tài trợ và thực hiện, ngay cả khi may mắn không có một vi phạm an ninh lớn nào.

Nguồn: Forbes