10 cách giảm nhẹ nguy cơ bảo mật doanh nghiệp

Thời gian là tiền bạc và khi nói đến các doanh nghiệp vừa và nhỏ thì họ
thiếu cả hai. Do đó các chuyên gia an ninh đã chia sẻ những mẹo nhỏ để
giảm nhẹ nguy cơ bảo mật thông tin khi sử dụng các nguồn tài nguyên
nhỏ.

Phương pháp tốt nhất để bảo đảm an toàn cho các doanh nghiệp vừa và nhỏ
là gì?

Không giống như những doanh nghiệp lớn có khả năng thuê các chuyên gia
CNTT, an ninh tại các công ty nhỏ thường chỉ cần một người “đa năng”.
Phương pháp này này đòi hỏi tự động hóa an ninh lớn nhất đặc biệt đối với
các hiểm họa cấp cao, vì thế một nhóm nhỏ có thể thực sự bảo vệ hiệu quả an
toàn cho toàn bộ tổ chức.

Cũng không giống như những doanh nghiệp lớn, các doanh nghiệp vừa và
nhỏ chỉ dành một số ít nhân viên làm công việc bảo mật thông tin; nhiều công
ty tin tưởng hoàn toàn vào cố vấn hay các nhà cung cấp. Trung bình các
doanh nghiệp vừa và nhỏ cũng dành khá nhiều nguồn vốn để đối mặt với vấn
đề bảo mật. CJ Desai, giám đốc quản lý bán hàng tại Symantec cho biết
"Nhiều doanh nghiệp nhỏ điển hình đã tìm đến chúng tôi và nói rằng họ đã
dành từ 3 đến 5% ngân quỹ CNTT vào bảo mật". Bằng phép so sánh của
trung tâm nghiên cứu Forrester, một doanh nghiệp trung bình dành 8% ngân
sách cho vấn đề an toàn thông tin.

Từ những con số gợi ý đó, nhiều doanh nghiệp vừa và nhỏ đã cắt khoản đầu
tư vào bảo mật. Theo như một nghiên cứu của viện Công nghệ doanh nghiệp
nhỏ, đã đánh giá một trong năm công ty nhỏ (dưới 100 nhân viên) không
được bảo vệ thích đáng, phần lớn các công ty này không có các cảnh sát mật,
và nhiều công ty chỉ lập kế hoạch đối phó sau khi đã xảy ra nhiều cuộc tấn
công. Ngày nay các doanh nghiệp vừa và nhỏ cũng như các doanh nghiệp lớn
đều có thể bị tấn công hay là mục tiêu nhắm tới của rất nhiều mối đe dọa.

Đưa ra một danh sách những mối đe dọa, cũng như sự khan hiếm thời gian,
nguồn tài nguyên… các doanh nghiệp nhỏ và vừa cần phác thảo ra một kế
hoạch xử lý những nguy cơ an ninh mà hiện nay nay đang phải đối mặt, sử
dụng nguồn nhân lực sẵn có, thời gian và các nguồn tài nguyên để giảm nhẹ
tối đa các mối đe dọa.

Các chuyên gia bảo mật đã chia sẻ 10 thủ thuật giúp cho chương trình bảo
mật nhanh và rẻ hơn nhiều.

1. Phòng thủ tự động nhắm tới malware

Ý tưởng đầu tiên trong việc phòng bị cho các doanh
nghiệp vừa và nhỏ là khóa và loại trừ các loại virut,
worm, spyware và phần mềm có hại khác bao gồm trình tải Trojan và phần
mềm Keylogger tại cả các điểm cuối và cổng vào. Tiếp đến, triển khai phần
mềm chống malware và phần mềm lọc cho các cổng e-mail, ngăn chặn
malware và spam (spam thường mang theo malware) đến máy tính người
dùng. Để giải quyết vấn đề này nhiều doanh nghiệp vừa và nhỏ đã trang bị
công cụ “quản lý hiệu quả” chạy nhiều công nghệ bảo mật trên cùng một thiết
bị.


Các phòng thủ gateway một chiều sẽ không còn phù hợp. Như Randy
Abrams, giám đốc đào tạo kỹ thuật tại ESET đồng thời cũng là một nhà cung
cấp phần mềm bảo mật đã đưa ra "nếu bạn cùng lúc bắn quá nhiều viên đạn
vào đích thì chắc chắn sẽ có một vài viên xuyên qua". Vì thế hãy lựa chọn và
cài đặt phần mềm chống virut thích hợp với mỗi laptop, máy để bàn, máy chủ
và các thiết bị di động. Mỗi chương trình đều bao gồm tường lửa cá nhân
ngăn chặn các xâm nhập trên máy chủ. Lợi thế của các thiết bị đơn lẻ là dễ
điều khiển và nâng cấp.

Sử dụng quyền quản trị trên máy tính để ngăn chặn người dùng ngắt các biện
pháp an ninh, "để các nhân viên không thể tắt tường lửa nếu như IM không
làm việc" Teixeira Ron, giám đốc điều hành Liên minh an ninh Quốc gia
Cyber (NCSA) cho biết.

Đồng thời cũng tận dụng các kỹ thuật phòng chống: Tắt tất cả máy tính vào
ban đêm. Việc làm này không những ngăn ngừa tấn công trong thời gian
nghỉ, mà khi người dùng khởi động lại máy “hệ điều hành có thể khởi động
lại và kiểm tra toàn bộ".

2. Nhanh chóng có bản vá lỗi

Một chương trình bảo mật hiệu quả sẽ đảm bảo
cho hệ điều hành và các ứng dụng được sửa lỗi, nếu không có các bản vá lỗi
kịp thời toàn bộ máy tính của bạn có thể bị “tiêu diệt”. Vì vậy, phải luôn
nhanh chòng cập nhật những sửa lỗi mới nhất cho máy chủ và các máy tính
trong mạng

Điều gì đã thúc đẩy nhanh chóng? "Nếu như được hỏi một năm trước đây, tôi
sẽ nói rằng việc cập nhật theo từng quý là rất ổn, nhưng hiện nay hãy xem sự
chuyển động theo hàng tháng, đặc biệt khi có nhiều nhà cung cấp hơn

không chỉ riêng Microsoft thường xuyên có bản vá lỗi theo tháng", Gerhard
Eschelbeck, CTO của Webroot nhận định. Tuy nhiên, một kế hoạch sửa lỗi
hiệu quả cũng đưa ra nhiều lựa chọn: "Bạn không thể vá tất cả các lỗi được,
còn phải phụ thuộc vào thực tế". Do đó, các nguồn tài nguyên bên ngoài -
như danh sách “20 mục tiêu tấn công bảo mật Internet” của SANS - là để xác
định những lỗi nào dễ bị tấn công.

Thêm vào đó, tự động vá lỗi nhiều nhất trong khả năng có thể. Các cửa hàng
nhỏ - đa số sử dụng Window có thể bảo đảm cập nhật thường xuyên. Các
doanh nghiệp nhỏ và vừa hầu hết sử dụng phần mềm quản lý lỗi chuyên
dụng, làm tăng thời gian cần thiết để sửa lỗi trên số lượng lớn máy tính.

3. Mật khẩu: không nên coi nhẹ

Ngày nay rất nhiều sự truy nhập đòi hỏi mật khẩu.
Do đó “hãy chắc chắn rằng mọi nhân viên đều đã
sử dụng hiệu quả mật khẩu tại bất kì phần nào, sử dụng công nghệ xác thực
đa hệ số; vì tin hay không thì nhân viên ở những doanh nghiệp nhỏ đặc biệt
thích sử dụng tên làm tên đăng nhập và mật khẩu, như vậy hacker chẳng chút
khó khăn gì có thể phát hiện ra”. Thực vậy những tấn công từ điển nhanh
chóng sử dụng hàng nghìn từ để đoán mật khẩu.

Đây một giải pháp hay: Mách người sử dụng tránh dùng các từ thực tế, và
thay vào đó nên sử dụng chữ cái đầu tiên của mỗi từ.

4. Định nghĩa “Hoạt động an toàn”

Những hoạt động nào chấp nhận được? Trong khi "bạn có thể nhận biết hoạt
động nào được chấp nhận khi trực tiếp thấy", nhưng các công ty không mong
đợi có thể dễ dàng đòi hỏi được điều này trên phương diện hoạt động hay

pháp lý, trừ phi chũng được ghi ra giấy.

Nhập vào các chính sách và thủ tục bảo mật. "Người dùng sẽ chẳng biết làm
gì là đúng và không đúng, do vậy nên có những chính sách bắt buộc và hạn
chế", theo như lời của Abrams. Thực vậy, các quy định cho nhân viên biết họ
được yêu cầu làm gì (thay đổi mật khẩu cứ 30 ngày một lần) hay bị cấm làm
gì (xem các trang web không lành mạnh).

5. Ứng dụng Thực hành

Để thật sự tối đa an toàn trong khoảng thời gian
ngắn nhất, một phần của chính sách "có thể sử
dụng" cấm dùng cài đặt các phần mềm không hợp
pháp lên máy tính. "Sau đó bắt buộc và bảo đảm sẽ
chỉ sử dụng các phần mềm phục vụ cho nhu cầu doanh nghiệp”.

Đây là cách tiếp cận cải thiện sự an toàn và tiết kiệm thời gian vì sử dụng
phần mềm không hợp pháp sẽ tạo ra những lỗ hổng bảo mật và cần thêm thời
gian để sửa lỗi. Ngoài ra, nếu máy tính bị nhiễm phần mềm độc hại sẽ rất khó
để trừ tiệt tận gốc rễ. Sẽ nhanh hơn nhiều khi dọn dẹp và làm lại một máy
tính bằng một bộ ghost chuẩn không cần phải cài thêm các ứng dụng bổ sung
.

6. Đừng bế tắc, hãy lên kế hoạch

Khi gặp vấn đề trục trặc, với ý thức bảo mật, một nhân viên có biết sẽ phải
làm gì? "Khi không có một nhân viên CNTT nào hỗ trợ 24 giờ mỗi ngày -
điều này là phổ biến ở các doanh nghiệp vừa và nhỏ - nhân viên cần một
phương pháp xử lý, ít nhất từ sự phối hợp và truyền thông" Webroot’s
Eschelbeck.


Vấn đề này yêu cầu thời gian để lập kế hoạch xem xét, phải thừa nhận đây là
sự xa xỉ bảo mật tiêu biểu hiếm có trong mô hình các doanh nghiệp nhỏ và
vừa. Thậm chí vì thế "có một kế hoạch phản ứng khẩn cấp: lường trước việc
tấn công thành công và biết sẽ làm gì khi nó xảy ra" Abrams đưa ra lời
khuyên. Cuối cùng thì nhân viên nên gọi ai khi mà phần mềm bảo mật của họ
đã bị nhiễm phần mềm độc hại?

Khi lập kế hoạch cho một tình trạng khẩn cấp, hãy nắm rõ các yêu cầu. Ví dụ,
nếu một công ty lưu trữ các thông tin cá nhân khách hàng trong đó , sẽ yêu
cầu công ty cảnh báo cho toàn bộ nhân viên khi thấy thông tin bị mất, bị trộm
hay hệ thống bị xâm phạm.

7. Tạo thói quen sao lưu (backup)

Mất dữ liệu, bão lũ, phần mềm phá hoại, hỏng cáp,
ổ cứng hỏng, cháy nổ điện, công nhân đình công và
thậm chí ngay cả malware: không có vấn đề nào là
không ảnh hưởng tới tính toàn vẹn của dữ liệu, trừ khi dữ liệu thường xuyên
được sao lưu cập nhật. Tất nhiên mọi người đều phải biết cách sao lưu dữ liệu
thường xuyên. Do đó nhân viên CNTT phải hướng dẫn để mọi nhân viên đều
có thể đảm bảo an toàn cho dữ liệu công ty.

Có thể sử dụng một phần mềm sao lưu tự động và đảm bảo kết quả backup
được lưu trữ tại vị trí an toàn để sẵn sàng chống lại những tấn công. Hoặc dễ
dàng và tự động hơn là triển khai dịch vụ backup online tự động, dù vậy cách
này không phải lúc nào cũng ít chi phí hơn.

8. Kiểm tra: bảo vệ và chương trình bảo vệ


"Nếu một chương trình phát hiện virut “kêu inh ỏi” mà không ai xung quanh
nghe thấy thì nó có thật sự là một virut?" ESET Abrams đã đặt câu hỏi. "Bạn
đã kiểm tra và nắm rõ các bản ghi nhưng sao lại bị tấn công? Bởi vì IDS
đang làm lệch hướng mọi thứ, bạn muốn biết lý do? Bởi vì các tấn công luôn
thay đổi cho đến khi kẻ tấn công đột nhập vào trong."

Thậm chí các doanh nghiệp nhỏ và vừa không có hệ thống thăm dò xâm nhập
vẫn sử dụng các chương trình diệt virut để theo dõi các tấn công màn hình, và
đồng thời cũng theo dõi các thiết lập an toàn máy chủ. "Hacker sẽ thay đổi
thiết lập bảo mật để dễ dàng hơn khi quay trở lại, hãy chú ý khi có một sự
thay đổi bảo mật thì đó là dấu hiệu đầu tiên của sự xâm nhập”.

9. Đào tạo bảo mật: Hãy sáng tạo

Đối với hầu hết các công ty, muốn bảo mật hiệu quả thì cần phải lưu tâm đến
con người, quy trình và công nghệ. "Nhưng mọi người lại lờ vấn đề này đi"
nhà nghiên cứu Forrester cảnh báo.

Hãy luôn duy trì một chương bảo mật tin cậy. Điểm khởi đầu tốt nhất là nên
có một khóa học ngắn để nhân viên mới có những kĩ năng cơ bản: màn hình
trợ giúp sẽ không yêu cầu mật khẩu; Đề phòng các điểm Wi- Fi miễn phí vì
sẽ có ai đó đó có thể theo dõi tất cả các truyền thông; sử dụng máy tính trong
khách sạn hay điểm Internet tại sân bay để sao chép mọi dữ liệu và tài liệu
đính kèm; Không mở bất kỳ một tài liệu đính kèm nào trong e-mail khi thấy
có dấu hiệu nghi ngờ.

Việc đào tạo này không hề tốn kém; Hài hước mà nói thì đây là một phương
pháp tiếp cận đề tài bảo mật.

Chỉ ra cho người dùng biết rằng các cuộc sự tấn

công đỉnh điểm ngày nay không phải gây ra bởi
cuộc chiến Siberian lợi dụng bao vây máy tính. Mà
đây là thói quen lâu đời, là cuộc tấn công kỹ thuật
mang tính cộng đồng. Thực vậy, tại sao bạn bị chặn
lại khi mà bạn có quyền đòi hỏi cho những nhu cầu của mình? Một ví dụ gần
đây là cuộc tấn công IRS phishing, bắt đầu bằng một e-mail thông báo rằng
IRS đang xây dựng bản tham khảo khách hàng. Nếu người nhận kích vào
đường link sẽ hiện ra trang Web yêu cầu điền tên và số điện thoại, hứa trả
80USD khi chứng nhận qua điện thoại sau đó. Và như vậy khi IRS cần số thẻ
tín dụng để gửi tiền. Abrams cho rằng "Đấy là lúc họ có những thông tin hữu
ích”.

10. Mã hóa: Thiết lập rồi quên

Cách tốt nhất để bảo vệ thông tin khỏi bị mất, bị trộm hay bị dùng sai là gì?
Với phần mềm mã hóa toàn bộ ổ đĩa thì việc xâm nhập dữ liệu ổ cứng sẽ trở
nên khó khăn với những ai không có quyền truy cập. "Laptop hay bị mất và
điều bạn muốn là không ai có thể ăn trộm máy rồi bán những thông tin khách
hàng trên Internet".

Đánh giá theo luật bảo mật thông tin thì nếu một công ty mất một máy chứa
các thông tin quan trọng, nhưng dữ liệu đã được mã hóa thì không cần thiết
phải đưa ra thông báo. Trung bình giá của một thông báo sự xâm phạm dữ
liệu theo viện Ponemon đưa ra là 182USD cho mỗi bản ghi (không tính theo
đơn vị khách hàng), mã hóa toàn bộ ổ đĩa rất có lợi cho tài chính.