Luận văn: Quản trị rủi ro công nghệ trong hoạt động của Trung tâm Hạ tầng Thông tin tỉnh Vĩnh Phúc

Tổng quan nghiên cứu

Trong bối cảnh phát triển nhanh chóng của công nghệ hiện đại, các tổ chức và doanh nghiệp đang phải đối mặt với nhiều cơ hội và thách thức liên quan đến quản trị rủi ro công nghệ. Theo báo cáo của ngành, rủi ro công nghệ ngày càng trở thành một biến số quan trọng ảnh hưởng trực tiếp đến hoạt động và sự phát triển bền vững của các tổ chức. Trung tâm Hạ tầng Thông tin tỉnh Vĩnh Phúc, với vai trò là đơn vị nòng cốt trong việc bảo đảm an toàn thông tin mạng và phát triển hạ tầng lõi cho chính quyền số tỉnh, đang phải đối mặt với nhiều rủi ro công nghệ trong quá trình vận hành. Nghiên cứu này tập trung đánh giá thực trạng quản trị rủi ro công nghệ tại Trung tâm trong giai đoạn 2020-2022, nhằm đề xuất các giải pháp nâng cao hiệu quả quản trị rủi ro công nghệ, góp phần đảm bảo an toàn, ổn định và phát triển bền vững cho hệ thống công nghệ thông tin của tỉnh. Phạm vi nghiên cứu bao gồm toàn bộ hoạt động quản trị rủi ro công nghệ của Trung tâm trên địa bàn tỉnh Vĩnh Phúc, với mục tiêu cụ thể là nhận diện, đánh giá, xếp hạng các rủi ro công nghệ và đề xuất các giải pháp xử lý phù hợp. Ý nghĩa nghiên cứu được thể hiện qua việc hỗ trợ Trung tâm nâng cao năng lực quản trị rủi ro, giảm thiểu tổn thất kinh tế và bảo vệ uy tín, đồng thời góp phần thúc đẩy chuyển đổi số và phát triển chính quyền điện tử tại địa phương.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Nghiên cứu dựa trên các lý thuyết và mô hình quản trị rủi ro công nghệ, an ninh phi truyền thống và quản trị công nghệ. Khái niệm rủi ro được hiểu là sự không chắc chắn có thể gây ra tác động tiêu cực hoặc tích cực đến mục tiêu của tổ chức, với bản chất gồm tính bất ngờ, ngoài mong đợi và khả năng gây tổn thất. Công nghệ được định nghĩa là sự kết hợp sáng tạo giữa máy móc/công cụ, tri thức và kỹ năng để biến đầu vào thành sản phẩm hoặc dịch vụ. Năng lực công nghệ là khả năng sở hữu, phát triển và sử dụng hiệu quả các công nghệ nhằm duy trì lợi thế cạnh tranh bền vững. Quản trị rủi ro công nghệ là quy trình liên tục gồm các bước nhận diện, phân tích, đánh giá, xử lý và giám sát rủi ro công nghệ nhằm giảm thiểu tổn thất và đảm bảo hoạt động ổn định. Phương trình quản trị an ninh phi truyền thống (MNS) được áp dụng để đánh giá mức độ an toàn, ổn định và phát triển bền vững của công nghệ, đồng thời cân đối chi phí quản trị rủi ro, khủng hoảng và khắc phục.

Phương pháp nghiên cứu

Nghiên cứu sử dụng phương pháp kết hợp định tính và định lượng. Phương pháp định tính bao gồm phỏng vấn trực tiếp với 9 cán bộ quản lý và nhân viên Trung tâm bằng câu hỏi mở nhằm nhận diện và xác định các rủi ro công nghệ. Phương pháp định lượng sử dụng hai mẫu phiếu khảo sát về năng lực công nghệ và rủi ro công nghệ, áp dụng thang đo Likert và thang điểm từ 1 đến 10, khảo sát toàn bộ đội ngũ cán bộ của Trung tâm. Dữ liệu thứ cấp được thu thập từ các báo cáo hoạt động, tài liệu nội bộ và các văn bản pháp luật liên quan. Phân tích dữ liệu được thực hiện bằng cách tổng hợp, mô hình hóa, sử dụng bảng biểu và thống kê để đánh giá thực trạng quản trị rủi ro công nghệ. Thời gian nghiên cứu tập trung vào giai đoạn 2020-2022, phạm vi không gian là Trung tâm Hạ tầng Thông tin tỉnh Vĩnh Phúc. Phương pháp tiếp cận hệ thống và tổng kết thực tiễn cũng được áp dụng để rút ra các bài học kinh nghiệm và đề xuất giải pháp phù hợp.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

1. Năng lực công nghệ của Trung tâm: Qua khảo sát, năng lực thiết bị và hạ tầng công nghệ được đánh giá ở mức trung bình khá với điểm trung bình khoảng 7/10, trong đó hệ thống máy chủ ảo và mạng diện rộng được duy trì ổn định với hơn 200 tỉ đồng giá trị thiết bị. Năng lực hỗ trợ công nghệ và quản trị nhân lực còn hạn chế do thiếu hụt nhân sự chuyên môn sâu, chỉ có 10 cán bộ viên chức chính thức và 2 lao động hợp đồng.

2. Nhận diện và đánh giá rủi ro công nghệ: Trung tâm đã xác định được khoảng 15 loại rủi ro công nghệ chính, trong đó rủi ro về an toàn thông tin mạng và sự cố hệ thống được xếp hạng cao nhất với mức độ rủi ro trên 12 điểm (trên thang 15), chiếm khoảng 80% tổng số rủi ro được khảo sát. Rủi ro về lỗi vận hành và bảo trì thiết bị chiếm khoảng 60% mức độ ảnh hưởng.

3. Thực trạng quản trị rủi ro công nghệ: Mặc dù Trung tâm đã triển khai các biện pháp quản trị rủi ro như giám sát 24/7, cảnh báo mã độc và diễn tập an toàn thông tin hàng năm, nhưng vẫn tồn tại hạn chế về quy trình xử lý rủi ro chưa đồng bộ và thiếu hệ thống báo cáo theo dõi liên tục. Tỷ lệ sự cố công nghệ được xử lý kịp thời đạt khoảng 85%, còn 15% sự cố chưa được xử lý triệt để.

4. Chi phí quản trị và khắc phục rủi ro: Chi phí quản trị rủi ro công nghệ chiếm khoảng 10% tổng ngân sách hoạt động của Trung tâm, trong khi chi phí khắc phục sự cố và khủng hoảng chiếm khoảng 15%, cho thấy việc đầu tư phòng ngừa còn hạn chế so với chi phí xử lý hậu quả.

Thảo luận kết quả

Kết quả nghiên cứu cho thấy năng lực công nghệ của Trung tâm tương đối ổn định nhưng còn hạn chế về nguồn nhân lực và quy trình quản trị rủi ro chưa hoàn thiện. So sánh với các nghiên cứu trong nước và quốc tế, mức độ nhận diện và đánh giá rủi ro của Trung tâm tương đồng với các tổ chức công lập khác, tuy nhiên việc xử lý và giám sát rủi ro cần được cải thiện để giảm thiểu tổn thất. Việc áp dụng phương trình quản trị an ninh phi truyền thống giúp Trung tâm cân đối giữa an toàn, ổn định và chi phí quản trị, từ đó đề xuất các giải pháp phù hợp nhằm nâng cao hiệu quả quản trị rủi ro công nghệ. Dữ liệu có thể được trình bày qua biểu đồ ma trận rủi ro 5x5, bảng đánh giá năng lực công nghệ và biểu đồ chi phí quản trị rủi ro để minh họa rõ ràng hơn các phát hiện.

Đề xuất và khuyến nghị

1. Tăng cường năng lực nhân sự chuyên môn: Đào tạo và tuyển dụng thêm nhân lực công nghệ thông tin, an toàn thông tin nhằm nâng cao năng lực vận hành và quản trị rủi ro công nghệ. Mục tiêu đạt tối thiểu 15 cán bộ chuyên trách trong vòng 2 năm tới, do Trung tâm phối hợp với Sở Thông tin và Truyền thông thực hiện.

2. Hoàn thiện quy trình quản trị rủi ro công nghệ: Xây dựng và chuẩn hóa quy trình nhận diện, đánh giá, xử lý và giám sát rủi ro công nghệ theo tiêu chuẩn ISO 31000, áp dụng hệ thống báo cáo tự động và định kỳ. Thời gian triển khai trong 12 tháng, do Ban lãnh đạo Trung tâm chủ trì.

3. Đầu tư nâng cấp hạ tầng công nghệ: Cải tiến hệ thống máy chủ, thiết bị mạng và phần mềm giám sát để tăng cường khả năng phòng ngừa và xử lý sự cố. Ước tính kinh phí đầu tư khoảng 30 tỉ đồng trong 3 năm tới, phối hợp với các nhà cung cấp công nghệ uy tín.

4. Tăng cường công tác diễn tập và đào tạo nâng cao nhận thức: Tổ chức các buổi diễn tập an toàn thông tin, đào tạo nâng cao nhận thức về rủi ro công nghệ cho toàn bộ cán bộ nhân viên, nhằm nâng cao khả năng ứng phó kịp thời. Thực hiện định kỳ hàng năm, do Trung tâm phối hợp với các đơn vị liên quan tổ chức.

Đối tượng nên tham khảo luận văn

1. Lãnh đạo và quản lý Trung tâm Hạ tầng Thông tin tỉnh Vĩnh Phúc: Giúp hiểu rõ thực trạng và các giải pháp nâng cao hiệu quả quản trị rủi ro công nghệ, từ đó xây dựng chiến lược phát triển bền vững.

2. Các cơ quan quản lý nhà nước về công nghệ thông tin và an toàn thông tin: Cung cấp cơ sở khoa học để hoàn thiện chính sách, quy định và hướng dẫn quản trị rủi ro công nghệ trong các đơn vị công lập.

3. Doanh nghiệp và tổ chức ứng dụng công nghệ thông tin: Tham khảo mô hình quản trị rủi ro công nghệ thực tiễn, áp dụng các bước nhận diện, đánh giá và xử lý rủi ro phù hợp với quy mô và lĩnh vực hoạt động.

4. Nhà nghiên cứu và sinh viên chuyên ngành quản trị an ninh phi truyền thống, công nghệ thông tin: Là tài liệu tham khảo bổ ích về lý thuyết, phương pháp và thực trạng quản trị rủi ro công nghệ tại một đơn vị quản lý hạ tầng thông tin cấp tỉnh.

Câu hỏi thường gặp

1. Quản trị rủi ro công nghệ là gì?
   Quản trị rủi ro công nghệ là quy trình xác định, đánh giá và kiểm soát các rủi ro liên quan đến công nghệ nhằm giảm thiểu tổn thất và đảm bảo hoạt động ổn định. Ví dụ, Trung tâm Hạ tầng Thông tin tỉnh Vĩnh Phúc áp dụng quy trình này để phòng ngừa sự cố mạng và bảo vệ dữ liệu.

2. Những rủi ro công nghệ phổ biến tại Trung tâm Hạ tầng Thông tin tỉnh Vĩnh Phúc là gì?
   Các rủi ro chính gồm sự cố an toàn thông tin mạng, lỗi vận hành thiết bị, gián đoạn hệ thống và mất dữ liệu. Trong giai đoạn 2020-2022, rủi ro an toàn thông tin được đánh giá có mức độ nghiêm trọng cao nhất.

3. Phương pháp nào được sử dụng để đánh giá rủi ro công nghệ?
   Trung tâm sử dụng ma trận rủi ro 5x5 dựa trên khả năng xảy ra và mức độ ảnh hưởng, kết hợp khảo sát định lượng và phỏng vấn định tính để đánh giá và xếp hạng các rủi ro.

4. Làm thế nào để nâng cao hiệu quả quản trị rủi ro công nghệ?
   Cần tăng cường năng lực nhân sự, hoàn thiện quy trình quản trị, đầu tư hạ tầng công nghệ và tổ chức diễn tập thường xuyên. Ví dụ, Trung tâm đã tổ chức diễn tập an toàn thông tin hàng năm nhằm nâng cao khả năng ứng phó.

5. Chi phí quản trị rủi ro công nghệ có ảnh hưởng như thế nào đến hoạt động của Trung tâm?
   Chi phí quản trị rủi ro chiếm khoảng 10% ngân sách hoạt động, trong khi chi phí khắc phục sự cố chiếm khoảng 15%. Đầu tư hợp lý vào quản trị rủi ro giúp giảm thiểu chi phí khắc phục và tổn thất không mong muốn.

Kết luận

• Rủi ro công nghệ là yếu tố không thể tránh khỏi, có thể gây tổn thất nghiêm trọng nếu không được quản trị hiệu quả.
• Trung tâm Hạ tầng Thông tin tỉnh Vĩnh Phúc có năng lực công nghệ ổn định nhưng còn hạn chế về nhân lực và quy trình quản trị rủi ro.
• Quản trị rủi ro công nghệ tại Trung tâm đã đạt được một số kết quả tích cực nhưng cần hoàn thiện quy trình và tăng cường giám sát liên tục.
• Đề xuất các giải pháp cụ thể nhằm nâng cao năng lực nhân sự, hoàn thiện quy trình, đầu tư hạ tầng và tổ chức đào tạo, diễn tập.
• Nghiên cứu sẽ tiếp tục được triển khai trong giai đoạn 2024-2025 nhằm đánh giá hiệu quả các giải pháp và mở rộng phạm vi áp dụng.

Call-to-action: Các cơ quan, tổ chức và doanh nghiệp quan tâm đến quản trị rủi ro công nghệ có thể tham khảo nghiên cứu này để áp dụng các phương pháp và giải pháp phù hợp, góp phần nâng cao hiệu quả hoạt động và bảo vệ an ninh công nghệ trong bối cảnh chuyển đổi số hiện nay.