2. MẶT TỐI CỦA CHUYỂN ĐỔI SỐ VAI TRÒ CỦA KIỂM TOÁN NỘI BỘ
TRONG KIỂM TOÁN AN NINH MẠNG
THE DARK SIDE OF DIGITAL TRANSFORMATION AND THE ROLE OF
INTERNAL AUDIT IN AUDITING CYBERSECURITY
ThS. Lê Thị Mến
Trường Đại học Tôn Đức Thắng Thành phố Hồ Chí Minh
Tóm tắt
Cuộc Cách mạng Công nghiệp lần thứ 4 bùng nổ, làm thay đổi mọi lĩnh vực trong hoạt động
kinh tế hội của loài người. Việc các doanh nghiệp (DN) áp dụng công nghệ mới như dữ
liệu lớn (Big Data), internet vạn vật (IoT), điện toán đám mây (Cloud),… đã mở ra một thời
kỳ của kỷ nguyên số. Hơn bao giờ hết, “chuyển đổi số” được các DN tận dụng để làm thay
đổi phương thức điều hành, quy trình làm việc, văn hóa công ty,… nhằm tăng tính cạnh
tranh nâng cao hiệu quả, hiệu suất kinh doanh cho DN. Tuy nhiên, việc chuyển đổi số
nhanh chóng lại đem đến một thách thức không hề nhỏ cho các DN, đó chính rủi ro về
bảo mật thông tin. Bài viết dưới đây, tập trung vào trình bày các mặt tối của chuyển đổi số.
Từ đó, làm vai trò của kiểm toán nội bộ trong quá trình thực hiện chức năng giám sát
quản trị rủi ro cho DN, đặc biệt trong vấn đề an ninh mạng.
Từ khóa: chuyển đổi số, kiểm toán an ninh mạng, kiểm toán nội bộ, rủi ro bảo mật, tấn công
mạng
Abstract
The Fourth Industrial Revolution has erupted, transforming every aspect of human socio-
economic activities. The adoption of new technologies by businesses, such as Big Data, the
Internet of Things (IoT), and Cloud Computing, has ushered in a new digital era. More than
ever, "digital transformation" is being leveraged by companies to change their management
methods, workflows, corporate culture, etc., in order to enhance competitiveness and
improve business efficiency and productivity. However, the rapid pace of digital
transformation also presents a significant challenge for businesses: the risk of information
security. This article focuses on discussing the dark side of digital transformation, clarifying
the role of internal audit in the process of monitoring and managing risks for businesses,
especially in the context of cybersecurity.
Keywords: digital transformation, cybersecurity audit, internal audit, security risk, cyber
attack.
JEL Classifications: M40, M42, M49.
1
1. Đặt vấn đề
Theo khảo sát của SecurityBox (đơn vị hàng đầu Việt Nam cung cấp các dịch vụ đánh
giá An ninh mạng toàn diện), tới 95% các DN nhỏ vừa Việt Nam chưa một kịch
bản ứng cứu sự cố rõ ràng. Đây chính là mối nguy hiểm dẫn tới các cuộc tấn công trên mạng
ngày một tăng.
Theo nghiên cứu mới nhất của Cisco (tập đoàn chuyên cung cấp các thiết bị mạng hàng
đầu thế giới), Việt Nam quốc gia "đứng đầu bảng" trong danh sách chịu tác động từ
hacker. Năm 2019, hệ thống thế giới di động nghi bị hacker tấn công kho dữ liệu hay
website của sân bay Tân Sơn Nhất cũng bị tin tặc tấn công. Đã gióng lên hồi chuông báo
động, khi hacker thể tấn công bất cứ lúc nào nếu không "hàng rào" an ninh mạng của
các DN.
Từ các dụ trên, càng đặt ra nhiều thách thức cho vấn đề an ninh mạng của các tổ
chức. Nghiên cứu an ninh mạng đã điều tra các khía cạnh hành vi của người dùng công
nghệ, cũng như nhận thức về an ninh phản ứng của thị trường đối với các sáng kiến bảo
mật thông tin tương tự, như ảnh ởng của các sự cố bảo mật đối với các công ty danh
tiếng của họ.
Kiểm toán nội bộ được coi một trong những "tuyến phòng thủ" đắt giá của tổ chức.
Đặt trong bối cảnh tình hình thế giới Việt Nam đang gặp rất nhiều các thách thức từ cuộc
cách mạng số đang diễn ra mạnh mẽ, kiểm toán nội bộ được quan tâm nhiều hơn, đặc biệt về
vai trò của kiểm toán nội bộ đặt trong mối quan hệ quản lý an toàn thông tin của tổ chức.
Mặt khác, với bối cảnh pháp tại Việt Nam, khi Bộ Tài chính ban hành Thông
8/2021/TT-BTC ngày 25/01/2021 về chuẩn mực kiểm toán nội bộ nguyên tắc đạo đức
nghề nghiệp kiểm toán nội bộ. Điều này càng thêm sở pháp ràng, cho vai trò
trách nhiệm của kiểm toán nội bộ trong các tổ chức.
2. Chuyển đổi số và mặt tối của chuyển đổi số
2.1. Khái niệm chuyển đổi số
Hiện nay, chưa có sự thống nhất chung về định nghĩa chuyển đổi số, tùy theo chiến lược
phát triển kinh tế - xã hội, mỗi tổ chức lại có những định nghĩa về chuyển đổi số khác nhau.
Chuyển đổi số việc sử dụng các công nghệ số để thay đổi hình kinh doanh, tạo ra
những hội, doanh thu giá trị mới. Microsoft cho rằng, chuyển đổi số việc duy lại
cách thức các tổ chức tập hợp mọi người, dữ liệu và quy trình để tạo những giá trị mới.
2
Còn theo quan điểm của FPT, chuyển đổi số trong tổ chức, DN quá trình thay đổi từ
hình truyền thống sang DN s bằng cách áp dụng công nghệ mới như dữ liệu lớn (Big
Data), internet vạn vật (IoT), điện toán đám mây (Cloud),... thay đổi phương thức điều hành,
lãnh đạo, quy trình làm việc và văn hóa công ty.
Chuyển đổi số xu thế không thể đảo ngược, nếu đứng ngoài thì DN sớm muộn sẽ thất
bại. Chuyển đổi số mang lại nhiều lợi ích, như cắt giảm chi phí vận hành, tiếp cận được
nhiều khách hàng hơn trong thời gian dài hơn, lãnh đạo ra quyết định nhanh chóng chính
xác hơn nhờ hệ thống báo cáo thông suốt kịp thời. Qua đó, hiệu quả hoạt động tính cạnh
tranh của tổ chức, DN được nâng cao.
2.2. Mặt tối của chuyển đổi số
Viện Kiểm toán nội bộ (IIA) xác định, cả an ninh mạng và an toàn thông tin là hai rủi ro
công nghệ hàng đầu mà các công ty phải đối mặt (IIA, 2017).
Khi các DN đang chuyển mình từ hình kinh doanh truyền thống sang chuyển đổi số
như một xu hướng tất yếu của thời đại mở ra những hội kinh doanh tuyệt vời, thì
những mặt trái hay thách thức của chuyển đổi số không thể không được quan tâm đến.
Trong thời đại công nghệ số, tấn công mạng đang trở thành mối đe dọa nguy hiểm đối
với tất cả các DN. Tác động dễ nhận thấy nhất đối với các DN tổn thất tài chính. DN
thể bị yêu cầu trả tiền chuộc để lấy lại dữ liệu bị đánh cắp trong các vụ tấn công mạng, sau
đó còn phải bỏ ra một khoản tiền để khôi phục hệ thống xử những thiệt hại gián tiếp
khác. Các khoản chi phí này thường ợt xa số tiền chuộc ban đầu, gây áp lực nặng nề lên
tài chính của DN. Ngoài ra, việc cải thiện hệ thống an ninh, đào tạo đội ngũ nhân viên
thuê vấn pháp lý đều đòi hỏi nhiều nguồn lực tài chính thời gian. Không chỉ vậy, việc
lấy lại lòng tin từ phía khách hàng cũng một quá trình dài hạn thể kéo dài nhiều
năm.
Ngoài ra, việc trang tin của DN, các thông tin của khách hàng bị rỉ sẽ rơi vào tay các
đối thủ. Đây sẽ một đòn giáng mạnh mẽ vào hoạt động của DN, khi tất cả các thông tin
thuộc về “dữ liệu cần được bảo vệ”- một dạng tài nguyên của DN bị xâm hại. Ngay cả khi
DN đã khôi phục lại được dữ liệu, thì uy tín của DN cũng giảm sút; mặt khác, việc bị tấn
công thì các hoạt động của DN thể bị ngưng trệ, trong thời gian này doanh thu sẽ sụt
giảm, khách hàng sẽ quay lưng,…
3. Kiểm toán an ninh mạng
3.1. Khái niệm
3
Kiểm toán an ninh mạng một đánh giá kỹ thuật đối với mạng của một công ty. Đánh
giá kiểm tra các chính sách, ứng dụng và hệ điều hành để tìm các lỗi và rủi ro bảo mật.
Kiểm toán mạng là một quá trình có hệ thống, trong đó một chuyên gia công nghệ thông
tin phân tích năm khía cạnh của mạng: an ninh mạng, kiểm soát việc thực hiện, tính khả
dụng của mạng, thực hành quản lý và tổng hiệu suất. Nếu cuộc kiểm toán phát hiện ra bất kỳ
vấn đề nào, công ty sẽ khắc phục sự cố trước khi kẻ tấn công thể khai thác điểm yếu.
Kiểm toán an ninh mạng thể thủ công hoặc tự động. Kiểm toán tự động thường dựa
vào phần mềm kỹ thuật kiểm toán có sự hỗ trợ của máy tính (CAAT) để phân tích hệ thống.
3.2. Tầm quan trọng của kiểm toán an ninh mạng
Kiểm toán bảo mật/An ninh mạng một khía cạnh mới của thực hành bảo mật, nhằm
hỗ tr việc bảo vệ các tài sản thông tin quan trọng của công ty. Quá trình đánh giá sẽ tìm
cách thu thập bằng chứng về các chính sách bảo mật thông tin của tổ chức hiệu quả của
chúng đối với việc bảo vệ tính toàn vẹn của tài sản, tính bảo mật của dữ liệu, cũng như khả
năng truy cập tính sẵn của dữ liệu (Pereira Santos, 2010). Về bản, cuộc kiểm
toán nhằm đánh giá tính hiệu quả của khả năng bảo vệ tài sản có giá trị hoặc trọng yếu của tổ
chức.
Quản lý bảo mật hệ thống thông tin ngày càng quan trọng đối với các công ty, do sự phụ
thuộc ngày càng lớn của công ty vào công nghệ để tiến hành kinh doanh, tạo ra lợi thế cạnh
tranh đạt được ROI (Return On Investment Tỷ lệ lợi nhuận so với chi phí đầu ban
đầu) cao hơn. Không thuyết cụ thể nào hướng dẫn việc điều tra kiểm toán an ninh
mạng, mặc rất nhiều khuôn khổ về quy trình, bao gồm COBIT 5, Bộ ISO 2700 Bộ
NIST SP 800.
Các lợi ích bảo mật của kiểm tra an ninh mạng là: xác định các mối đe dọa tiềm ẩn đối
với hệ thống của tổ chức, đảm bảo bảo vệ dữ liệu giá trị, xác định sự cố phần cứng, cải
thiện các chính sách, thông lệ của công ty yếu kém và tìm sự thiếu hiệu quả của mạng.
Ngoài lợi ích bảo mật, kiểm toán cũng giúp đưa ra các quyết định kinh doanh đúng đắn.
Việc kiểm tra thường xuyên, cho phép tổ chức tìm ra các tùy chọn phần mềm tốt hơn xác
định các cơ hội tiết kiệm chi phí.
3.3. Thủ tục kiểm toán chung
4
Phân tích chuyên sâu về các biện pháp bảo mật; đánh giá rủi ro (quy trình, ứng dụng
chức năng); đánh giá tất cả các chính sách thủ tục; kiểm tra các biện pháp kiểm soát
công nghệ bảo vệ tài sản; xem xét cấu hình tường lửa (cấu trúc liên kết, phân tích sở quy
tắc, quy trình thủ tục quản lý); kiểm toán an ninh mạng kiểm tra cả dữ liệu tĩnh dữ
liệu liên quan đến hoạt động. Kiểm tra dữ liệu tĩnh tập trung vào các chính sách, hệ thống
quy tắc mật khẩu. Các bài kiểm tra dữ liệu liên quan đến hoạt động năng động hơn chúng
giải quyết vấn đề truy cập dữ liệu, tệp đã chuyển và hoạt động đăng nhập của người dùng.
4. Vai trò của kiểm toán nội bộ trong kiểm toán an ninh mạng
Kiểm toán nội bộ có vài trò báo cáo kết quả kiểm toán nội bộ và kiến nghị các biện pháp
sửa chữa, khắc phục sai sót đề xuất biện pháp hoàn thiện cũng như nâng cao hiệu lực
hiệu quả của quy trình quản trị, quản rủi ro kiểm soát nội bộ, trong đó các rủi ro về
an ninh mạng. Để làm điều này, bộ phận kiểm toán nội bộ phải xây dựng kế hoạch kiểm
toán, nội dung kiểm toán cụ thể phải được tiến hành thường xuyên để đảm bảo an toàn,
an ninh mạng của tổ chức.
Dựa trên các nghiên cứu của Wang cộng sự, (2013); Qing, (2010); Kabir, (2010);
Wang và Xu, (2018), tác giả để xuất một số nội dung kiểm toán an ninh mạng như sau:
Nội dung kiểm toán an ninh mạng
Xác định phạm vi đánh giá
Xác định tất cả các thiết bị trên mạng của DN, cũng như hệ điều hành chúng sử
dụng. Đối với hầu hết các tổ chức, việc đánh giá cần tính đến cả thiết bị được quản
không được quản lý: thiết bị được quản lý là máy tính thuộc về chính tổ chức; thiết bị không
được quản thuộc về những vị khách đến thăm hoặc thiết bị riêng của nhân viên đem theo
(BYOD).
Khi biết các điểm cuối, hãy xác định một chu vi bảo mật, vành đai ngăn chặn phần mềm
không mong muốn. vậy, hãy cung cấp hướng dẫn về những được phân loại phần
mềm nguy hiểm. Hãy nhớ tính đến tất cả các lớp truy cập, kết nối dây, không dây
VPN.
Xác định mối đe dọa
5