Bảo mật có thực sự là vấn đề? pot
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (112.07 KB, 8 trang )
Bảo mật có thực sự là vấn đề?
Khi nói về vấn đề bảo mật, mức độ quy mô và tầm quan trọng của nó lại
là sự khác biệt giữa các DN lớn và DN vừa & nhỏ. Các công ty con
thường ít có nguồn lực IT nội bộ; phần lớn không có giám đốc bảo mật
do kinh phí hạn hẹp và áp lực tiết kiệm chi phí luôn là bóng đen bao phủ
toàn bộ hoạt động kinh doanh.
Tuy nhiên, tất cả các công ty dù lớn dù nhỏ khi kết nối vào mạng Internet đều
có chung những nhân tố cần bảo vệ: uy tín, tài sản trí thức, và thậm chí cả sự
tồn tại của doanh nghiệp đó. Không có bàn tay chuyên gia, không có kinh phí
dồi dào thì thử hỏi làm sao DN nhỏ có thể chống lại những cạm bẫy và nguy
hiểm trong không gian mạng?
Những nguyên tắc và hướng dẫn sau sẽ giúp tiếp cận và giải quyết các vấn đề
bảo mật theo đúng hướng:
Sự hưởng ứng của tầng lớp lãnh đạo
Nguyên tắc đầu tiên là người lãnh đạo công ty phải nhận thức được tầm quan
trọng của vấn đề bảo mật.
Lý do: Thứ nhất, chiến lược bảo mật phải là một chức năng của chiến lược
kinh doanh. Hay nói một cách đơn giản, mục đích của chức năng bảo mật là
đảm bảo độ an toàn cho các hoạt động kinh doanh. Điều này có nghĩa hiểu
được chiến lược, tiếp cận và ưu tiêu hoá hoạt động kinh doanh là ưu cầu cần
có để thiết lập chính sách và chi phí cho bảo mật.
Lý do thứ hai là chính sách doanh nghiệp cần phải được đặt lên hàng đầu.
Tuy nhiên, phần lớn các chính sách lại không coi trọng khía cạnh bảo mật
hoặc khuyến khích phát triển đội ngũ quản lý IT. Không một phân tích nào
của quản trị hệ thống có thể thay thế cho một lời nói của cấp lãnh đạo rằng:
"Bảo mật rất quan trọng với chúng ta, và đó cũng là lý do tại sao chúng ta
phải làm vậy". Sự tham gia và ủng hộ từ mức quản lý cao nhất đảm bảo sự
tham gia và thi hành của tất cả nhân viên công ty trong nỗ lực xây dựng chính
sách an toàn bảo mật.
Tiếp cận cân xứng
Ngân sách dồi dào sẽ giúp doanh nghiệp chủ động hơn trong vấn đề bảo mật.
Tuy nhiên, nhận thức được tầm quan trọng của chi phí bảo mật không phải
công ty nào cũng làm được, kể cả các công ty lớn. Chính vì vậy, doanh
nghiệp càng quy mô thì càng phải ưu tiên cho bảo mật. Thực tế cho thấy,
mức chi phí bảo mật thường tương xứng với quy mô của doanh nghiệp.
Chẳng hạn, một công ty trị giá 10 triệu USD có mức chi phí bảo mật bằng
1/10 so với công ty 100 triệu USD.
Vấn đề cốt lõi là mức chi phí bỏ ra cần phải tương xứng với giá trị bảo vệ.
Cũng giống bảo hiểm, cần có tỷ lệ % nhất định của tài sản để tương ứng với
mức chi phí bỏ ra nhằm giảm rủi ro mất mát tài sản, hoặc bù trù vào khấu hao
hoạt động. Tỷ lệ % đó dao động tuỳ thuộc vào mức độ quan trọng của tài sản
đối với doanh nghiệp.
Hiểu được chiến lược kinh doanh, và rủi ro có thể xảy ra, một doanh nghiệp
có thể định ra và áp dụng chính sách bảo mật một cách hiệu quả nhất.
Bổ nhiệm chuyên gia bảo mật
Khi đã xem xét tới việc cải thiện mạng lưới và an toàn thông tin, một câu hỏi
thường được đặt ra là: "Bao nhiêu % nhân viên sẽ nghiêm chỉnh thực hiện
các quy định bảo mật?". Câu trả lời "Không" thường không phải là giải pháp
tích cực nhưng có rất nhiều công ty đưa ra đáp án này. Với các doanh nghiệp
nhỏ, việc có hẳn một nhóm bảo mật là điều xa xỉ và hầu như chẳng ai có đủ
kinh phí để làm một việc như thế.
Nhưng tại sao lại không có hẳn một người đảm nhận công việc này, hoặc
thậm chí là kiêm nghiệm? Một người chẳng tốt hơn là không có người nào?
Ai sẽ là người đảm nhận công việc đó, và nội dung công việc cần phải báo
cáo với ai? Một số doanh nghiệp thường giao việc bảo mật cho phòng/ban IT;
nhưng doanh nghiệp khác lại quy cho bộ phận tài chính. Một số khác có
chuyên gia bảo mật thì chịu trách nhiệm báo cáo trực tiếp với CEO (giám đốc
điều hành). Tuy nhiên, câu trả lời cho vấn đề này lại không quan trọng bằng
việc hiểu được vai trò thực sự của chuyên gia bảo mật trong doanh nghiệp, đó
là chuyên gia đó có vai trò gì và như thế nào.
Vai trò của chuyên gia bảo mật
Chuyên gia bảo mật ít nhất phải dành một phần thời gian đáng kể cho việc
nghiên cứu các vấn đề bảo mật. Nhận biết được tầm quan trọng của bảo mật
và các nguyên tắc liên quan sẽ là bước đi quan trọng trong việc củng cố và
nâng cao tính an toàn thông tin doanh nghiệp.
Thứ hai, những chuyên gia bảo mật được bổ nhiệm cần phải có quyền hạn
nhất định đối với các vấn đề bảo mật, và quyền hạn này cần phải được công
nhận rộng rãi trong nội bộ công ty.
Về trách nhiệm, dựa trên những bàn bạc và thảo luận với người quản lý hoặc
qua hiểu biết về kinh doanh, chuyên gia bảo mật cần xác định được những rủi
ro bảo mật hàng đầu đối với công ty. Chuyên gia này cần thảo ra các kế
hoạch giảm thiểu rủi ro tới mức có thể chấp nhận được với khoản kinh phí và
thời gian tương xứng. Một vấn đề phát sinh có thể cần tới 12 tháng mới giải
quyết xong, nhưng cũng có thể chỉ mất 3 tháng với điều kiện kinh phí bỏ ra
cao hơn. CEO sẽ là người cuối cùng đưa ra quyết định đối với các rủi ro theo
kiểu phải chi phí tốn kém như thế này sau khi xem xét kỹ lưỡng khả năng và
nguồn lực của toàn bộ doanh nghiệp.
Bảo mật là Đường đi chứ không phải Đích đến
Bảo mật là vấn đề thuộc về mức độ chứ không phải là trạng thái. Không có
một sản phẩm đơn lẻ nào, nhân sự hoặc chính sách nào có thể cung cấp sự an
toàn triệt để về bảo mật. Bất cứ công ty nào cũng có thể cải thiện được mức
an toàn thông tin bằng cách tuân thủ quy trình 3 bước đơn giản sau:
- Phát triển chính sách và những yêu cầu cần thiết
- Thực thi giải pháp
- Kiểm chứng kết quả
Quy trình trên cần thực hiện lặp đi lặp lại, và kết quả của nó sẽ giúp cải thiện
mức độ bảo mật của doanh nghiệp.
Kết luận
Các doanh nghiệp dù lớn hay nhỏ đều có chung những nguy cơ khi kết nối
với mạng Internet: nguy cơ về tài sản trí tuệ; uy tín; và khả năng hoạt động
kinh doanh. Tuy nhiên, những công ty cỡ nhỏ thường đối mặt thêm với một
vấn đề, đó là thử thách giải quyết các rủi ro bảo mật trong khi nguồn lực IT
nội bộ không đủ hoặc không có. Hạn chế này có thể khắc phục bằng sự tham
gia của đội ngũ quản lý cấp cao trong việc hoạch định kế hoạch bảo mật; liên
kết chiến lược bảo mật với chiến lược kinh doanh; dành ra ít nhất một người
đảm đương các công việc liên quan tới bảo mật; và chọn lựa khéo léo một
nhà cung cấp giải pháp bảo mật tốt nhất.
