Doanh nghiệp
Quản lý rủi ro dữ liệu
Nguyễn Ngọc Nam - 26/06/2023 07:24
KPMG định nghĩa rủi ro dữ liệu là rủi ro liên quan tới những lỗi xảy ra trong quá trình thu thập, xử lý, lưu trữ, sử dụng, bảo mật, chuyển giao và hủy bỏ dữ liệu.
TIN LIÊN QUAN

Quản lý rủi ro dữ liệu là gì?

Xuất phát từ yêu cầu của các cơ quan quản lý cùng với sự gia tăng rủi ro hoạt động và rủi ro danh tiếng đã và đang đặt ra những yêu cầu cấp thiết cho các tổ chức trong việc nâng cao năng lực đối phó và quản lý rủi ro dữ liệu.

KPMG định nghĩa rủi ro dữ liệu là rủi ro liên quan tới những lỗi xảy ra trong quá trình thu thập, xử lý, lưu trữ, sử dụng, bảo mật, chuyển giao và hủy bỏ dữ liệu. Rủi ro dữ liệu thường được tổ chức như là một phân nhóm của rủi ro hoạt động.

Rủi ro dữ liệu có thể được phân thành 06 nhóm bao gồm (i) Rủi ro Quản lý Dữ liệu, (ii) Rủi ro Quyền riêng tư, (iii) Rủi ro An ninh mạng, (iv) Rủi ro Nhận dạng và Quản lý truy cập, (v) Rủi ro Vòng đời thông tin, (vi) Rủi ro Chia sẻ thông tin.

Tầm quan trọng của rủi ro dữ liệu đối với tổ chức?

Rủi ro liên quan tới dữ liệu sẽ gây ra những hậu quả nghiêm trọng đối với tổ chức nếu dữ liệu không được kiểm soát một cách phù hợp. Một tổ chức không quan tâm tới Quản lý Rủi ro Dữ liệu có thể đối mặt với những thách thức sau:

- Gây ra tổn thất tài chính, danh tiếng và trong một số trường hợp có thể đối mặt với những bản án hình sự;

- Thiếu sự tin tưởng vào dữ liệu dẫn tới việc đưa ra quyết định kinh doanh dựa trên kinh nghiệm thay vì dựa trên dữ liệu;

- Thiếu năng lực khai mở những giá trị kinh doanh tiềm ẩn thu được từ hoạt động phân tích dữ liệu.

Để giảm thiểu những tổn thất nêu trên, tổ chức cần đảm bảo thực hiện đánh giá thường xuyên và đảm bảo sự thận trọng cách tiếp cận trong Quản lý Rủi ro Dữ liệu; đồng thời xây dựng một tầm nhìn chiến lược về rủi ro liên quan tới dữ liệu cũng như bảo vệ những giá trị kinh doanh của tổ chức. Trong quá trình thực hiện, ba (03) nguyên tắc cơ bản về dữ liệu cần được đảm bảo, bao gồm:

- Dữ liệu Rõ ràng: Đảm bảo xác định rõ ràng các quy trình hoạt động kinh doanh và vận hành trong quá trình thu thập, sử dụng, lữu trữ và chuyển giao dữ liệu.

- Bảo vệ Dữ liệu: Tổ chức cần xây dựng mối liên kết chặt chẽ và minh bạch giữa các chính sách, rủi ro và chốt kiểm soát để bảo mật dữ liệu trọng yếu trong quá trình kết nối và sử dụng các hệ thống CNTT, ứng dụng và giải pháp từ bên thứ ba,...

- Dữ liệu Tin cậy: Tổ chức cần xây dựng niềm tin với khách hàng, nhân sự, đối tác nội bộ và cơ quan quản lý.

Một số giải pháp mà các tổ chức có thể thực hiện nhằm giải quyết những vấn đề liên quan tới rủi ro dữ liệu cụ thể như sau:

 

Vấn đề

Cách giải quyết

 
  • Trách nhiệm giải trình không rõ ràng và khó khăn trong việc thực hiện báo cáo về rủi ro dữ liệu cho mục tiêu quản trị hiệu quả và tuân thủ các quy định nội bộ/ bên ngoài.
  • Đảm bảo thống nhất giữa các bên liên quan về định nghĩa rủi ro dữ liệu, trách nhiệm giải trình trong việc quản trị dữ liệu, bảo mật thông tin, công nghệ, quản trị rủi ro và tuân thủ.
 
  • Các tiêu chuẩn, chính sách rời rạc, riêng biệt và thiếu rõ ràng để đáp ứng quy định nội bộ/ bên ngoài.
  • Chính sách phân quyền giúp tăng tính kết nối giữa các bộ phận quản trị một cách toàn diện.
 
  • Có nhiều chỉ số và chốt kiểm soát về mức độ tuân thủ chính sách và tiêu chuẩn nhưng không rõ ràng về vai trò, trách nhiệm cũng như mức độ tích hợp thấp trên phạm vi toàn tổ chức.
  • Tiêu chuẩn hóa danh mục rủi ro và chốt kiểm soát với các cấp xử lý tương ứng, giúp đơn giản hóa và hợp lý hóa số lượng chốt kiểm soát.
 
  • Thách thức trong việc tổng hợp, áp dụng nhiều phương pháp phân loại (ví dụ như dữ liệu nhạy cảm, dữ liệu mang tính trọng yếu) và sử dụng dữ liệu.
  • Kết hợp các phương pháp phân loại dữ liệu và tạo ra một giải pháp tối ưu để kiểm soát phân loại dữ liệu tương ứng.
 
  • Thách thức trong việc xác định vai trò và trách nhiệm của các bên thuộc ba tuyến phòng vệ.
  • Các bộ phận ở Tuyến 1 chịu trách nhiệm vận hành và triển khai các chốt kiểm soát do các đơn vị này sở hữu và quản lý rủi ro có liên quan tới hoạt động vận hành dữ liệu hàng ngày.
  • Các bộ phận ở Tuyến 2 thực hiện vai trò quản trị và giám sát thông qua các khung và quy trình quản lý rủi ro dữ liệu. Bên cạnh đó, các bộ phận ở tuyến 2 cung cấp các đào tạo cần thiết nhằm hỗ trợ hoạt động quản lý dữ liệu và tuân thủ.
  • Các bộ phận ở Tuyến 3 đóng vai trò là đơn vị độc lập trong việc đảm bảo hoạt động vận hành của các bộ phận thuộc Tuyến 1 và Tuyến 2 nhằm tăng cường hiệu quả của khung quản lý rủi ro dữ liệu tại tổ chức.

Một số khuyến nghị

Không thể phủ nhận các tổ chức hiện nay đang dần cải thiện năng lực về dữ liệu và quản lý rủi ro dữ liệu. Điều này xuất phát từ những yêu cầu mở rộng khai thác dữ liệu nhằm đảm bảo những hỗ trợ cần thiết trong quá trình ra quyết định, tối ưu hóa nguồn lực – chi phí và quan trọng hơn cả là đáp ứng được những yêu cầu luật định và những thay đổi về quy định pháp lý. Quan sát của KPMG cho thấy lãnh đạo cấp cao tại các tổ chức vẫn đang gặp khó khăn trong công tác quản lý rủi ro dữ liệu tương ứng với 3 nguyên tắc cơ bản về dữ liệu (Dữ liệu rõ ràng, Bảo vệ dữ liệu, Dữ liệu tin cậy).

Nguyên tắc

Một số khuyến nghị từ KPMG

Dữ liệu rõ ràng

  • Đánh giá quy trình dựa trên vòng đời dữ liệu để giải quyết các rủi ro liên quan đến sử dụng dữ liệu.
  • Đảm bảo những năng lực chung cần thiết để giải quyết các thách thức về rủi ro dữ liệu.
  • Đánh giá trách nhiệm giải trình của các tuyến phòng thủ và xác định các vai trò, trách nhiệm và dịch vụ liên quan.
  • Triển khai các quy trình chuẩn hóa và phương pháp tự động để xác định dữ liệu nhạy cảm và trọng yếu.

Bảo vệ Dữ liệu

  • Liên kết các bộ phận quản trị, rủi ro và kiểm soát trong vòng đời dữ liệu để đảm bảo khả năng truy xuất, đơn giản hóa việc đánh giá khoảng cách và đảm bảo tính minh bạch đối với các nghĩa vụ tuân thủ.
  • Thiết lập thư viện các chốt kiểm soát đối với dữ liệu.
  • Kết hợp các phương pháp phân loại dựa trên độ nhạy và tính trọng yếu của dữ liệu để xác định cấp kiểm soát cho từng trường hợp sử dụng.

Dữ liệu tin cậy

  • Triển khai các chỉ số đo lường về mức độ sử dụng dữ liệu một cách phù hợp, đặt nền tảng cho quản lý rủi ro dữ liệu mang tính định lượng.
  • Nâng cao hiểu biết và độ tin cậy dữ liệu bằng cách tăng nhận thức về các nguyên tắc dữ liệu và cách sử dụng phù hợp
  • Tăng cường sử dụng dữ liệu cho mục đích kinh doanh hoặc tối ưu hóa.
  • Tinh giản việc áp dụng và tuân thủ dữ liệu theo các quy định nội bộ và bên ngoài.

Cùng với việc mở rộng khai thác dữ liệu của các tổ chức, các cơ quan quản lý trên thế giới cũng thực hiện ban hành những quy định pháp lý liên quan tới dữ liệu. Điều này đặt ra những thách thức cho các tổ chức trong việc đảm bảo quản lý và bảo vệ dữ liệu một cách hiệu quả và bền vững.

--------------------------------

Các quan điểm và ý kiến được nêu trong tài liệu này là của tác giả và không nhất thiết thể hiện các quan điểm và ý kiến của KPMG Việt Nam.

Tin liên quan
Tin khác