Khi nhắc đến bảo mật hệ thống, nhiều anh em IT thường nghĩ rằng đó chỉ là việc của bộ phận kỹ thuật. Nhưng sự thật là “Stakeholders” – những bên liên quan – mới chính là yếu tố quyết định trong cách doanh nghiệp xây dựng, vận hành và phản ứng với các chính sách an ninh.
Stakeholders là ai?
Đây là tất cả những người hoặc nhóm người có lợi ích liên quan đến an ninh của tổ chức – và đặc biệt, có thể ảnh hưởng đến hoặc bị ảnh hưởng bởi một sự cố bảo mật.
Ví dụ điển hình:
Người dùng nội bộ sử dụng hệ thống mỗi ngày
Bộ phận IT và An ninh mạng (Security/Infra team)
Quản lý cấp trung, giám đốc công nghệ (CTO), thậm chí cả CEO
Khách hàng đang sử dụng sản phẩm/dịch vụ
Nhà đầu tư hoặc đối tác cung cấp dịch vụ ngoài (outsourcing)
Điều quan trọng: Stakeholders không chỉ giới hạn bên trong tổ chức, mà có thể là bên ngoài, như khách hàng, vendor, hoặc tổ chức quản lý pháp lý.
Vì sao phải “lôi kéo” Stakeholders vào các quyết định an ninh?
Khi bạn xây dựng chính sách bảo mật, việc chỉ có team kỹ thuật ngồi lại với nhau có thể dẫn đến góc nhìn phiến diện. Nhưng nếu có sự tham gia từ nhiều góc độ – người dùng, quản lý, khách hàng... – bạn sẽ:
Phát hiện sớm các rủi ro tiềm ẩn mà team kỹ thuật không nhìn thấy
Hiểu được các nhu cầu thực tế (ví dụ: người dùng cần truy cập từ xa, nhưng bảo mật lại cấm VPN)
Dễ dàng đạt được sự đồng thuận và ngân sách đầu tư, vì có sự ủng hộ từ ban lãnh đạo
Ví dụ thực tế:
Một công ty triển khai MFA (xác thực đa yếu tố) cho nhân viên nhưng không thông qua phòng Nhân sự. Kết quả: nhiều nhân viên không hiểu, phản đối, gây chậm trễ toàn bộ kế hoạch triển khai bảo mật.
Impact Analysis – Phân Tích Tác Động: “Xem trước” để tránh rủi ro
Trong quá trình xây dựng chính sách an ninh, bạn không thể triển khai bừa mà không đánh giá xem nó ảnh hưởng thế nào đến:
Nhân lực
Ngân sách
Khả năng vận hành hệ thống
Trải nghiệm người dùng
Đó là lúc cần đến Impact Analysis – một kỹ thuật phân tích ảnh hưởng tiềm tàng của một thay đổi đến hệ thống an ninh tổng thể.
Từ một bản đánh giá impact, bạn có thể xác định:
Những thay đổi nào sẽ gây gián đoạn dịch vụ?
Cần bao nhiêu nhân lực để triển khai?
Những rủi ro mới nào có thể xuất hiện?
Một biến thể rất phổ biến trong doanh nghiệp là Business Impact Analysis (BIA) – phân tích tác động đến hoạt động kinh doanh nếu có sự cố xảy ra (sẽ đề cập chi tiết trong chương Risk Management).
Bài học rút ra cho anh em Security/IT:
Không thể làm bảo mật một mình. Phải chủ động kết nối các Stakeholders để xây dựng chính sách hiệu quả và khả thi.
Phân tích tác động trước khi triển khai. Đừng để “lỗi bảo mật lại là lỗi do người dùng không hợp tác”.
Giao tiếp là chìa khóa. IT có thể giỏi kỹ thuật, nhưng nếu không biết truyền đạt rủi ro bằng ngôn ngữ của quản lý hay khách hàng, thì vẫn thất bại.
Bạn có từng gặp trường hợp Stakeholder phá hỏng kế hoạch bảo mật chỉ vì họ không hiểu chuyện gì đang diễn ra?
Hãy chia sẻ câu chuyện thực tế của bạn trong phần bình luận để cùng học hỏi nhé!
