Khi quá trình chuyển đổi số diễn ra mạnh mẽ và các mối đe dọa dựa trên trí tuệ nhân tạo xuất hiện, vấn đề không còn là “có cần quản lý rủi ro mạng hay không”, mà là “liệu các tổ chức có thể lượng hóa, ưu tiên và giảm thiểu rủi ro theo cách tạo ra giá trị thực và phản ánh đúng bối cảnh kinh doanh hay không". Một báo cáo nghiên cứu mới của Dark Reading, được ủy quyền bởi Qualys, cung cấp một cái nhìn kịp thời về thách thức này, đồng thời mở ra hướng đi cho các tổ chức sẵn sàng đổi mới.

Ảnh minh họa

Góc nhìn từ tuyến đầu: Nghiên cứu mới của Qualys và Dark Reading

Để có cái nhìn rõ ràng hơn về thực trạng quản lý rủi ro mạng năm 2025, Qualys đã phối hợp với Dark Reading thực hiện một nghiên cứu chuyên sâu với hơn 100 lãnh đạo công nghệ thông tin và an ninh mạng đến từ nhiều ngành công nghiệp khác nhau. Kết quả mang đến một cái nhìn hiếm hoi từ bên trong về việc các nhóm bảo mật đang đối mặt ra sao với rủi ro kinh doanh - và họ đang vấp phải những khó khăn gì.

Điều nổi bật nhất rút ra từ nghiên cứu này là: Nhiều tổ chức vẫn đang xem rủi ro mạng như một vấn đề kỹ thuật, thay vì là một vấn đề kinh doanh.

Các phương pháp truyền thống và phản ứng bị động – kiểu “đập chuột” (whack-a-mole) – không còn đủ hiệu quả. Những chương trình bảo mật không gắn kết với các mục tiêu vận hành, tài chính và quy định pháp lý đang trở nên vô dụng. Các nhóm có hiệu suất cao hơn đang áp dụng cách tiếp cận lồng ghép bối cảnh kinh doanh vào mọi cấp độ của quản lý rủi ro.

Các chương trình quản lý rủi ro chính thức đang mở rộng - nhưng thiếu kết nối với mục tiêu kinh doanh

Gần một nửa số người được khảo sát (49%) cho biết tổ chức của họ đã có chương trình quản lý rủi ro mạng chính thức - một con số có vẻ tích cực ở bề mặt. Nhưng khi đi sâu vào dữ liệu, lại cho thấy một thực tế khác:

Khoảng cách với mục tiêu kinh doanh: Dù 49% tổ chức đã có chương trình quản lý rủi ro chính thức, chỉ 30% cho biết các chương trình này được ưu tiên dựa trên các mục tiêu kinh doanh cụ thể.

Mới được triển khai gần đây: 43% các chương trình hiện có mới chỉ được triển khai dưới hai năm, cho thấy mức độ trưởng thành còn non trẻ.

Nói cách khác, đây không phải là một đường cong trưởng thành mà là một khoảng cách trưởng thành. Các chương trình quản lý rủi ro mạng tuy đang ngày càng phổ biến, nhưng phần lớn vẫn chỉ tập trung vào danh sách kiểm tra tuân thủ hoặc các đánh giá kỹ thuật. Điều vẫn còn thiếu là một cam kết lâu dài trong việc tích hợp bối cảnh kinh doanh - chẳng hạn như ước lượng tổn thất tài chính tiềm tàng do một sự cố mạng gây ra, hoặc việc ưu tiên bảo vệ các tài sản cốt lõi của doanh nghiệp - vào quá trình xác định và ưu tiên rủi ro.

Nếu thiếu yếu tố này, các nhà lãnh đạo an ninh mạng sẽ gặp khó khăn trong việc đưa ra các quyết định sáng suốt mang lại giá trị thực sự cho doanh nghiệp.

Đầu tư nhiều hơn, rủi ro ít hơn: Vì sao “lợi tức đầu tư” cho an ninh mạng vẫn chưa xứng tầm?

Chi tiêu cho an ninh mạng vẫn tiếp tục tăng. Tuy nhiên, một trong những phát hiện đáng chú ý nhất từ nghiên cứu là phần lớn các tổ chức (71%) tin rằng mức độ rủi ro mạng của họ đang tăng hoặc giữ nguyên. 51% cho biết mức độ phơi nhiễm rủi ro mạng của họ đang gia tăng; 20% cho rằng mức độ rủi ro không thay đổi. Chỉ 6% ghi nhận rằng rủi ro đã giảm

Điều này cho thấy, bất chấp những nỗ lực và khoản đầu tư ngày càng lớn, nhiều chương trình an ninh mạng vẫn không mang lại hiệu quả rõ rệt. Nguyên nhân chủ yếu là do thiếu tầm nhìn tổng thể và chiến lược ưu tiên thống nhất. Các công cụ bảo mật vẫn hoạt động rời rạc. Việc phát hiện tài sản bị phân mảnh. Và quan trọng nhất là, quy trình khắc phục (remediation) hiếm khi được định hướng bởi bối cảnh kinh doanh.

Từ thực tế đó, có thể thấy rõ: Chi thêm tiền cho công cụ hay nhân sự sẽ không tạo khác biệt, trừ khi tổ chức xây dựng được một mô hình vận hành lấy rủi ro làm trung tâm, trong đó: Ưu tiên được xác định dựa trên bối cảnh kinh doanh; kiểm soát được đánh giá liên tục; và rủi ro được truyền đạt bằng ngôn ngữ của kinh doanh.

Như CEO của Qualys - ông Sumedh Thakar đã nhấn mạnh trong một buổi phỏng vấn với Bloomberg Intelligence: “Hội đồng quản trị và lãnh đạo doanh nghiệp không còn chỉ hỏi xin dashboard nữa. Họ muốn những câu trả lời cho các câu hỏi mang tính kinh doanh: Chúng ta có đang giảm rủi ro không? Giảm bao nhiêu? Nên tập trung vào đâu tiếp theo?

Điều đó đồng nghĩa với việc phải kết nối dữ liệu an ninh mạng với ngôn ngữ của tài chính, vận hành và chiến lược kinh doanh.”

Để trả lời những câu hỏi này, các nhóm an ninh mạng không thể chỉ dựa vào công cụ - họ cần liên kết các hành động kỹ thuật với kết quả chiến lược của doanh nghiệp.

Nguyễn Yến (theo Qualys)