10 cách giảm nhẹ nguy cơ bảo mật doanh nghiệp
Thời gian là tiền bạc và khi nói đến các doanh nghiệp vừa và nhỏ thì họ thiếu
cả hai. Do đó các chuyên gia an ninh đã chia sẻ những mẹo nhỏ để giảm nhẹ nguy cơ
bảo mật thông tin khi sử dụng các nguồn tài nguyên nhỏ.
Phương pháp tốt nhất để bảo đảm an toàn cho các doanh nghiệp vừa và nhỏ là gì?
Không giống như những doanh nghiệp lớn có khả năng thuê các chuyên gia CNTT, an
ninh tại các công ty nhỏ thường chỉ cần một người “đa năng”. Phương pháp này này đòi
hỏi tự động hóa an ninh lớn nhất đặc biệt đối với các hiểm họa cấp cao, vì thế một nhóm
nhỏ có thể thực sự bảo vệ hiệu quả an toàn cho toàn bộ tổ chức.
Cũng không giống như những doanh nghiệp lớn, các doanh nghiệp vừa và nhỏ chỉ dành
một số ít nhân viên làm công việc bảo mật thông tin; nhiều công ty tin tưởng hoàn toàn
vào cố vấn hay các nhà cung cấp. Trung bình các doanh nghiệp vừa và nhỏ cũng dành
khá nhiều nguồn vốn để đối mặt với vấn đề bảo mật. CJ Desai, giám đốc quản lý bán
hàng tại Symantec cho biết "Nhiều doanh nghiệp nhỏ điển hình đã tìm đến chúng tôi và
nói rằng họ đã dành từ 3 đến 5% ngân quỹ CNTT vào bảo mật". Bằng phép so sánh của
trung tâm nghiên cứu Forrester, một doanh nghiệp trung bình dành 8% ngân sách cho vấn
đề an toàn thông tin.
Từ những con số gợi ý đó, nhiều doanh nghiệp vừa và nhỏ đã cắt khoản đầu tư vào bảo
mật. Theo như một nghiên cứu của viện Công nghệ doanh nghiệp nhỏ, đã đánh giá một
trong năm công ty nhỏ (dưới 100 nhân viên) không được bảo vệ thích đáng, phần lớn các
công ty này không có các cảnh sát mật, và nhiều công ty chỉ lập kế hoạch đối phó sau khi
đã xảy ra nhiều cuộc tấn công. Ngày nay các doanh nghiệp vừa và nhỏ cũng như các
doanh nghiệp lớn đều có thể bị tấn công hay là mục tiêu nhắm tới của rất nhiều mối đe
dọa.
Đưa ra một danh sách những mối đe dọa, cũng như sự khan hiếm thời gian, nguồn tài
nguyên… các doanh nghiệp nhỏ và vừa cần phác thảo ra một kế hoạch xử lý những nguy
cơ an ninh mà hiện nay nay đang phải đối mặt, sử dụng nguồn nhân lực sẵn có, thời gian
và các nguồn tài nguyên để giảm nhẹ tối đa các mối đe dọa.
Các chuyên gia bảo mật đã chia sẻ 10 thủ thuật giúp cho chương trình bảo mật nhanh và
rẻ hơn nhiều.
1. Phòng thủ tự động nhắm tới malware

Ý tưởng đầu tiên trong việc phòng bị cho các doanh
nghiệp vừa và nhỏ là khóa và loại trừ các loại virut,
worm, spyware và phần mềm có hại khác bao gồm trình
tải Trojan và phần mềm Keylogger tại cả các điểm cuối
và cổng vào. Tiếp đến, triển khai phần mềm chống
malware và phần mềm lọc cho các cổng e-mail, ngăn
chặn malware và spam (spam thường mang theo malware) đến máy tính
người dùng. Để giải quyết vấn đề này nhiều doanh nghiệp vừa và nhỏ đã
trang bị công cụ “quản lý hiệu quả” chạy nhiều công nghệ bảo mật trên
cùng một thiết bị.
Các phòng thủ gateway một chiều sẽ không còn phù hợp. Như Randy Abrams, giám đốc
đào tạo kỹ thuật tại ESET đồng thời cũng là một nhà cung cấp phần mềm bảo mật đã đưa
ra "nếu bạn cùng lúc bắn quá nhiều viên đạn vào đích thì chắc chắn sẽ có một vài viên
xuyên qua". Vì thế hãy lựa chọn và cài đặt phần mềm chống virut thích hợp với mỗi
laptop, máy để bàn, máy chủ và các thiết bị di động. Mỗi chương trình đều bao gồm
tường lửa cá nhân ngăn chặn các xâm nhập trên máy chủ. Lợi thế của các thiết bị đơn lẻ
là dễ điều khiển và nâng cấp.
Sử dụng quyền quản trị trên máy tính để ngăn chặn người dùng ngắt các biện pháp an
ninh, "để các nhân viên không thể tắt tường lửa nếu như IM không làm việc" Teixeira
Ron, giám đốc điều hành Liên minh an ninh Quốc gia Cyber (NCSA) cho biết.
Đồng thời cũng tận dụng các kỹ thuật phòng chống: Tắt tất cả máy tính vào ban đêm.
Việc làm này không những ngăn ngừa tấn công trong thời gian nghỉ, mà khi người dùng
khởi động lại máy “hệ điều hành có thể khởi động lại và kiểm tra toàn bộ".
2. Nhanh chóng có bản vá lỗi
Một chương trình bảo mật hiệu quả sẽ đảm bảo cho hệ điều hành và các ứng dụng được
sửa lỗi, nếu không có các bản vá lỗi kịp thời toàn bộ máy tính của bạn có thể bị “tiêu
diệt”. Vì vậy, phải luôn nhanh chòng cập nhật những sửa lỗi mới nhất cho máy chủ và
các máy tính trong mạng
Điều gì đã thúc đẩy nhanh chóng? "Nếu như được hỏi một năm trước đây, tôi sẽ nói rằng
việc cập nhật theo từng quý là rất ổn, nhưng hiện nay hãy xem sự chuyển động theo hàng

tháng, đặc biệt khi có nhiều nhà cung cấp hơn không chỉ riêng Microsoft thường
xuyên có bản vá lỗi theo tháng", Gerhard Eschelbeck, CTO của Webroot nhận định. Tuy
nhiên, một kế hoạch sửa lỗi hiệu quả cũng đưa ra nhiều lựa chọn: "Bạn không thể vá tất
cả các lỗi được, còn phải phụ thuộc vào thực tế". Do đó, các nguồn tài nguyên bên ngoài
- như danh sách “20 mục tiêu tấn công bảo mật Internet” của SANS - là để xác định
những lỗi nào dễ bị tấn công.
Thêm vào đó, tự động vá lỗi nhiều nhất trong khả năng có thể. Các cửa hàng nhỏ - đa số
sử dụng Window có thể bảo đảm cập nhật thường xuyên. Các doanh nghiệp nhỏ và vừa
hầu hết sử dụng phần mềm quản lý lỗi chuyên dụng, làm tăng thời gian cần thiết để sửa
lỗi trên số lượng lớn máy tính.
3. Mật khẩu: không nên coi nhẹ
Ngày nay rất nhiều sự truy nhập đòi hỏi mật khẩu. Do đó “hãy chắc chắn rằng mọi nhân
viên đều đã sử dụng hiệu quả mật khẩu tại bất kì phần nào, sử dụng công nghệ xác thực
đa hệ số; vì tin hay không thì nhân viên ở những doanh nghiệp nhỏ đặc biệt
thích sử dụng tên làm tên đăng nhập và mật khẩu, như vậy hacker chẳng
chút khó khăn gì có thể phát hiện ra”. Thực vậy những tấn công từ điển
nhanh chóng sử dụng hàng nghìn từ để đoán mật khẩu.
Đây một giải pháp hay: Mách người sử dụng tránh dùng các từ thực tế, và thay vào đó
nên sử dụng chữ cái đầu tiên của mỗi từ.
4. Định nghĩa “Hoạt động an toàn”
Những hoạt động nào chấp nhận được? Trong khi "bạn có thể nhận biết hoạt động nào
được chấp nhận khi trực tiếp thấy", nhưng các công ty không mong đợi có thể dễ dàng
đòi hỏi được điều này trên phương diện hoạt động hay pháp lý, trừ phi chũng được ghi ra
giấy.
Nhập vào các chính sách và thủ tục bảo mật. "Người dùng sẽ chẳng biết làm gì là đúng
và không đúng, do vậy nên có những chính sách bắt buộc và hạn chế", theo như lời của
Abrams. Thực vậy, các quy định cho nhân viên biết họ được yêu cầu làm gì (thay đổi mật
khẩu cứ 30 ngày một lần) hay bị cấm làm gì (xem các trang web không lành mạnh).
5. Ứng dụng Thực hành
Để thật sự tối đa an toàn trong khoảng thời gian ngắn nhất, một phần của chính sách "có

thể sử dụng" cấm dùng cài đặt các phần mềm không hợp pháp lên máy tính. "Sau đó bắt
buộc và bảo đảm sẽ chỉ sử dụng các phần mềm phục vụ cho nhu cầu doanh nghiệp”.
Đây là cách tiếp cận cải thiện sự an toàn và tiết kiệm thời gian vì sử dụng phần mềm
không hợp pháp sẽ tạo ra những lỗ hổng bảo mật và cần thêm thời gian để sửa lỗi. Ngoài
ra, nếu máy tính bị nhiễm phần mềm độc hại sẽ rất khó để trừ tiệt tận gốc rễ. Sẽ nhanh
hơn nhiều khi dọn dẹp và làm lại một máy tính bằng một bộ ghost chuẩn không cần phải
cài thêm các ứng dụng bổ sung .
6. Đừng bế tắc, hãy lên kế hoạch
Khi gặp vấn đề trục trặc, với ý thức bảo mật, một nhân viên có biết sẽ phải làm gì? "Khi
không có một nhân viên CNTT nào hỗ trợ 24 giờ mỗi ngày - điều này là phổ biến ở các
doanh nghiệp vừa và nhỏ - nhân viên cần một phương pháp xử lý, ít nhất từ sự phối hợp
và truyền thông" Webroot’s Eschelbeck.
Vấn đề này yêu cầu thời gian để lập kế hoạch xem xét, phải thừa nhận đây là sự xa xỉ bảo
mật tiêu biểu hiếm có trong mô hình các doanh nghiệp nhỏ và vừa. Thậm chí vì thế "có
một kế hoạch phản ứng khẩn cấp: lường trước việc tấn công thành công và biết sẽ làm gì
khi nó xảy ra" Abrams đưa ra lời khuyên. Cuối cùng thì nhân viên nên gọi ai khi mà phần
mềm bảo mật của họ đã bị nhiễm phần mềm độc hại?
Khi lập kế hoạch cho một tình trạng khẩn cấp, hãy nắm rõ các yêu cầu. Ví dụ, nếu một
công ty lưu trữ các thông tin cá nhân khách hàng trong đó , sẽ yêu cầu công ty cảnh báo
cho toàn bộ nhân viên khi thấy thông tin bị mất, bị trộm hay hệ thống bị xâm
phạm.
7. Tạo thói quen sao lưu (backup)
Mất dữ liệu, bão lũ, phần mềm phá hoại, hỏng cáp, ổ cứng hỏng, cháy nổ
điện, công nhân đình công và thậm chí ngay cả malware: không có vấn đề nào là không
ảnh hưởng tới tính toàn vẹn của dữ liệu, trừ khi dữ liệu thường xuyên được sao lưu cập
nhật. Tất nhiên mọi người đều phải biết cách sao lưu dữ liệu thường xuyên. Do đó nhân
viên CNTT phải hướng dẫn để mọi nhân viên đều có thể đảm bảo an toàn cho dữ liệu
công ty.
Có thể sử dụng một phần mềm sao lưu tự động và đảm bảo kết quả backup được lưu trữ
tại vị trí an toàn để sẵn sàng chống lại những tấn công. Hoặc dễ dàng và tự động hơn là

triển khai dịch vụ backup online tự động, dù vậy cách này không phải lúc nào cũng ít chi
phí hơn.
8. Kiểm tra: bảo vệ và chương trình bảo vệ
"Nếu một chương trình phát hiện virut “kêu inh ỏi” mà không ai xung quanh nghe thấy
thì nó có thật sự là một virut?" ESET Abrams đã đặt câu hỏi. "Bạn đã kiểm tra và nắm rõ
các bản ghi nhưng sao lại bị tấn công? Bởi vì IDS đang làm lệch hướng mọi thứ, bạn
muốn biết lý do? Bởi vì các tấn công luôn thay đổi cho đến khi kẻ tấn công đột nhập vào
trong."
Thậm chí các doanh nghiệp nhỏ và vừa không có hệ thống thăm dò xâm nhập vẫn sử
dụng các chương trình diệt virut để theo dõi các tấn công màn hình, và đồng thời cũng
theo dõi các thiết lập an toàn máy chủ. "Hacker sẽ thay đổi thiết lập bảo mật để dễ dàng
hơn khi quay trở lại, hãy chú ý khi có một sự thay đổi bảo mật thì đó là dấu hiệu đầu tiên
của sự xâm nhập”.
9. Đào tạo bảo mật: Hãy sáng tạo
Đối với hầu hết các công ty, muốn bảo mật hiệu quả thì cần phải lưu tâm đến con người,
quy trình và công nghệ. "Nhưng mọi người lại lờ vấn đề này đi" nhà nghiên cứu Forrester
cảnh báo.
Hãy luôn duy trì một chương bảo mật tin cậy. Điểm khởi đầu tốt nhất là nên có một khóa
học ngắn để nhân viên mới có những kĩ năng cơ bản: màn hình trợ giúp sẽ không yêu cầu
mật khẩu; Đề phòng các điểm Wi- Fi miễn phí vì sẽ có ai đó đó có thể theo dõi tất cả các
truyền thông; sử dụng máy tính trong khách sạn hay điểm Internet tại sân bay để sao chép
mọi dữ liệu và tài liệu đính kèm; Không mở bất kỳ một tài liệu đính kèm nào trong e-mail
khi thấy có dấu hiệu nghi ngờ.
Việc đào tạo này không hề tốn kém; Hài hước mà nói thì đây là một phương pháp tiếp
cận đề tài bảo mật.
Chỉ ra cho người dùng biết rằng các cuộc sự tấn công đỉnh điểm ngày nay
không phải gây ra bởi cuộc chiến Siberian lợi dụng bao vây máy tính. Mà
đây là thói quen lâu đời, là cuộc tấn công kỹ thuật mang tính cộng đồng.
Thực vậy, tại sao bạn bị chặn lại khi mà bạn có quyền đòi hỏi cho những nhu
cầu của mình? Một ví dụ gần đây là cuộc tấn công IRS phishing, bắt đầu

bằng một e-mail thông báo rằng IRS đang xây dựng bản tham khảo khách hàng. Nếu
người nhận kích vào đường link sẽ hiện ra trang Web yêu cầu điền tên và số điện thoại,
hứa trả 80USD khi chứng nhận qua điện thoại sau đó. Và như vậy khi IRS cần số thẻ tín
dụng để gửi tiền. Abrams cho rằng "Đấy là lúc họ có những thông tin hữu ích”.
10. Mã hóa: Thiết lập rồi quên
Cách tốt nhất để bảo vệ thông tin khỏi bị mất, bị trộm hay bị dùng sai là gì? Với phần
mềm mã hóa toàn bộ ổ đĩa thì việc xâm nhập dữ liệu ổ cứng sẽ trở nên khó khăn với
những ai không có quyền truy cập. "Laptop hay bị mất và điều bạn muốn là không ai có
thể ăn trộm máy rồi bán những thông tin khách hàng trên Internet".
Đánh giá theo luật bảo mật thông tin thì nếu một công ty mất một máy chứa các thông tin
quan trọng, nhưng dữ liệu đã được mã hóa thì không cần thiết phải đưa ra thông báo.
Trung bình giá của một thông báo sự xâm phạm dữ liệu theo viện Ponemon đưa ra là
182USD cho mỗi bản ghi (không tính theo đơn vị khách hàng), mã hóa toàn bộ ổ đĩa rất
có lợi cho tài chính.