Hãy bắt đầu bằng một giả thiết tình huống: bạn là người quản lý hệ thống thông tin của doanh nghiệp, trước thực tế phức tạp của môi trường giao dịch trên Internet, bạn nhìn thấy được những đe dọa cho an toàn của hệ thống thông tin mà mình đang quản lý; hơn thế nữa, bạn cũng cảm nhận ở một mức độ nào đó thiệt hại cho doanh nghiệp của mình khi sự cố xảy ra. Với trách nhiệm của mình, rõ ràng bạn cần phải làm một điều gì đó.

Bên cạnh một chính sách rõ ràng cho người dùng nhằm hạn chế các sai sót trong sử dụng tài nguyên, việc đầu tư một hệ thống bảo mật là thực sự cần thiết. Liệu bạn có thể đến gặp lãnh đạo doanh nghiệp và yêu cầu xem xét đầu tư này một cách dễ dàng? Câu chuyện không đơn giản như vậy.

Từ góc nhìn của các nhà quản lý, yếu tố then chốt khi quyết định đầu tư chính là tính hiệu quả. Những lợi ích mang lại từ đầu tư sẽ chứng minh hiệu quả của quá trình đầu tư đó. Một cách định tính, những lợi ích đó thể hiện thông qua nhiều hình thức khác nhau; đó có thể là những giá trị mới được tạo ra, những thiệt hại được phòng tránh, những chi phí bất hợp lý được ngăn ngừa.

Do độ phức tạp của vấn đề, định lượng những lợi ích đến từ đầu tư cho hệ thống bảo mật là một việc khó và đang được nhiều người quan tâm. Trước khi thử đề xuất một hướng tiếp cận để đi đến các kết quả định lượng đủ thuyết phục, chúng ta hãy xét qua những khía cạnh mà các nhà quản lý quan tâm khi đặt ra vấn đề về bảo mật cho hệ thống thông tin.

Bí quyết kinh doanh hay thông tin thương mại: Trong môi trường cạnh tranh ngày càng gay gắt, việc để lộ thông tin hay bí quyết kinh doanh sẽ là một vấn đề hết sức nghiêm trọng đối với doanh nghiệp. Hình thức sử dụng các chương trình “cửa hậu” trái phép để đánh cắp thông tin là một mối nguy lớn, cho dù đã được cảnh báo từ nhiều năm nay. Ở đây, có lẽ cũng cần nhắc đến những rắc rối về pháp lý nếu các thông tin để lộ là thông tin riêng tư của khách hàng.

Tính toàn vẹn và sẵn sàng của dữ liệu: E-mail ngày nay đã trở thành một công cụ không thể thay thế trong giao dịch, thương mại cũng như phi thương mại. Tuy nhiên, e-mail cũng là phương tiện phát tán của hơn 90% các vụ lây lan virus máy tính. Tác hại do virus máy tính gây ra đã khá rõ ràng. Việc virus phá hủy dữ liệu quan trọng, thậm chí làm ngừng hệ thống thông tin dẫn đến gián đoạn hoạt động kinh doanh tạm thời có thể coi là tác hại nghiêm trọng nhất. Ngoài ra còn có thể kể đến các tác hại khác: làm phát sinh chi phí trực tiếp do phải khoanh vùng và diệt virus; giảm năng suất lao động của nhân viên do công việc bị gián đoạn và thời gian tiêu tốn để diệt virus; ảnh hưởng đến thương hiệu, uy tín của tổ chức do vô tình trở thành nguồn phát tán virus khi gửi e-mail cho đối tác.

Pháp lý: Việc sử dụng Internet cho các mục đích không lành mạnh có thể làm cho cá nhân và doanh nghiệp phải hứng chịu các khoản phạt theo luật định, chưa kể các rắc rối khác mà ban quản lý phải đương đầu do lỗi của nhân viên gây ra. Việc này không loại trừ các tình huống vô tình tiếp tay cho những hành động ác ý. Trong bối cảnh hết sức phức tạp của cộng đồng Internet hiện nay, đây rõ ràng là một nguy cơ có thực, bằng chứng là từ phía quản lý nhà nước và pháp luật ngày càng có nhiều những qui định và biện pháp chế tài được ban hành.

Năng suất lao động: Thư rác (spam mail) đang trở thành một vấn đề nhức nhối đối với các ISP và các nhà cung cấp dịch vụ trực tuyến do chúng tiêu tốn quá nhiều tài nguyên và gây khó chịu cho người dùng. Ở trong tổ chức cũng vậy, spam thực sự làm phát sinh chi phí và giảm năng suất lao động của nhân viên. Với lượng thư rác khổng lồ đang được tung lên Internet, thời gian mà người dùng phải tiêu tốn để xóa chúng khỏi mailbox ngày càng tăng. Rất nhiều người dùng cho biết họ phải mất hơn 30 phút mỗi ngày để làm công việc vô nghĩa này. Ở đây còn phải kể đến các ảnh hưởng khác, như làm gián đoạn công việc hay làm mất sự tập trung của nhân viên vào công việc. Đây rõ ràng là những thông tin đáng để các nhà quản lý quan tâm.

Thật khó kể ra hết các chi tiết; tuy nhiên, một cách ngắn gọn, có thể nói độ mật, tính toàn vẹn và tính sẵn sàng của thông tin, dữ liệu chính là các yếu tố cần quan tâm hàng đầu trong bảo mật.

Đối với nhà đầu tư hay người ra quyết định, để thuyết phục họ, cần có các con số định lượng rõ ràng. ROSI (Return On Security Investment) vẫn đang được nói đến như một phương pháp tính lợi ích cho đầu tư vào hệ thống bảo mật, theo đó, các khoản đầu tư và lợi ích thu được hay các chi phí tiết kiệm được sẽ được dự báo và đưa vào tính toán, từ đó hiệu quả đầu tư kì vọng sẽ được xác định.