Theo các CSO Việt Nam (được vinh danh trong sự kiện trao giải Lãnh đạo An ninh thông tin khu vực Đông Nam Á - CSO Awards 2010) thì các doanh nghiệp (DN) đã và đang tích cực đầu tư cho lĩnh vực ATTT và có chiều hướng tăng lên. Mức độ đầu tư cho lĩnh vực này đã tăng dần hàng năm so với tổng mức đầu tư cho CNTT trong các DN, dao động từ 5 đến 10% trên tổng chi phí đầu tư cho CNTT trong các NH. Ở một số NH mới tham gia vào thị trường tài chính, chi phí đầu tư cho ATTT lên đến 10%.

NH Liên Việt đã đầu tư khoảng 10% trên tổng mức đầu tư về CNTT hàng năm. Trong khi đó, theo ông Nguyễn Thế Thịnh, Trưởng phòng An ninh hệ thống tại VietinBank, đầu tư hàng năm cho ATTT của Vietin Bank từ 5 đến 10% trên số tiền đầu tư cho CNTT. Ngân hàng ACB dành khoảng 7 đến 10% cho lĩnh vực này.

Ông Nghiêm Sỹ Thắng, Phó Tổng giám đốc kiêm CSO của Ngân hàng Liên Việt cho rằng “điều quan trọng không nằm ở số tiền đầu tư cho ATTT mà chúng ta cần xác định đầu tư này có hiệu quả hay không?!”

Các CSO đến từ Thái Lan, Malaysia, Singapore… thông tin thêm, các quốc gia ở khu vực châu Á – Thái Bình Dương hiện cũng đang đầu tư nhiều hơn vào lĩnh vực ATTT so với Mỹ, Canada… Và chí phí đầu tư này được các tập đoàn, DN lớn đặc biệt quan tâm.

Kêu gọi nhân viên tăng cường bảo mật

Ông Husin Jazri, Tổng giám đốc công ty bảo mật CyberSecurity (Malaysia) cho rằng, Internet bùng nổ nên tội phạm trên mạng ngày nay có thể tấn công từ nhiều địa điểm với các công cụ khác nhau. Không gian ảo trở nên không an toàn và cách thức tấn công trên mạng (cyber attack) ngày càng phức tạp .

Đặc biệt, “các hacker luôn nhắm vào hệ thống thông tin của các NH nhằm mục đích trục lợi. Các DN trong ngành viễn thông, tài chính - NH… phải hoạt động 24/24, các CSO làm việc trong các ngành này chỉ yên tâm khi nhận được báo cáo cuối ngày về hệ thống thông tin”, ông Võ Văn Khang, Phó Tổng giám đốc NH Việt Á nói.

Theo ông Khang, các CSO cần đặc biệt chú ý đến khâu truyền thông nội bộ khi ban hành các quy định về ATTT. Lãnh đạo an ninh thông tin gần gũi với nhân viên trong công ty sẽ dễ dàng kêu gọi mọi người tuân theo các quy chế bảo mật. Việc đưa ra những bảng quy chế bảo mật lạnh lùng trong văn phòng sẽ không hiệu quả.

Các CSO đến từ Thái Lan, Malaysia, Singapore… cho rằng, dù các CSO có quyền ngăn chặn những hành vi gây mất an toàn bảo mật nhưng trong một số trường hợp cần xử lý uyển chuyển. Ví dụ: Hạn chế nhân viên trong công ty sử dụng Facebook nên kết hợp giữa việc đưa ra quy chế bảo mật và cung cấp kiến thức về ATTT. Các CSO có thể đưa ra lời khuyên không sử dụng email trong công ty cho việc đăng ký các trang mạng xã hội, diễn đàn…

Ông Prinya Hom-Anek, Chủ tịch kiêm sáng lập viên Trung tâm đào tạo ACIS (Thái Lan) chia sẻ: tại Thái Lan, sau khi lây nhiễm vào hệ thống máy tính chưa đầy 5 phút, mã độc (malware) có tên gọi Zeus đã đánh cắp hàng ngàn Bath (tiền Thái Lan). Các mã độc tấn công vào hệ thống thông tin NH sẽ tìm cách đánh cắp thông tin đăng nhập NH trực tuyến. Từ đó, chúng sẽ tấn công vào tài khoản người dùng để lấy tiền ra. Các NH cần chú ý lỗ hổng bảo mật của các phần mềm và không nên tiết kiệm chi phí khi mua sắm phần mềm.

Ông Prinya Hom-Anek nêu ra ví dụ về 2 chiếc ôtô đời mới và cũ khi nhắc đến chất lượng các phần mềm. Về cơ bản, các phần mềm đều có thể hoạt động như nhau, nhưng khi mua phần mềm giá rẻ sẽ có nguy cơ bị tấn công nhiều hơn so với việc chọn các phần mềm đảm bảo chất lượng với giá cao.