Xây dựng chiến lược bảo mật từ nội bộ
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (198.64 KB, 5 trang )
Xây dựng chiến lược bảo mật từ nội bộ
Tại một số doanh nghiệp, công tác bảo mật thường được tập trung vào việc
phòng tránh các nguy cơ, hiểm họa đến từ bên ngoài. Tuy nhiên, ông Ngô
Tuấn Anh, Giám đốc Bkis Telecom, cho rằng nguy cơ gây mất an ninh thông
tin có thể đến từ bên trong doanh nghiệp, do chính nhân viên của doanh
nghiệp vô tình hoặc cố ý gây nên.
Do vậy, việc bảo mật nội bộ cũng chính là một phần quan trọng nhằm đảm
bảo an toàn thông tin cho doanh nghiệp.
Nhiều doanh nghiệp trong nước nay đã ý thức được rằng thông tin cũng là
tài sản quan trọng, đóng vai trò quyết định sự thành bại trong hoạt động sản
xuất, kinh doanh. Các thông tin quan trọng cần được bảo vệ chặt chẽ trước
những nguy cơ nhằm giảm thiểu rủi ro và bảo đảm sự liền mạch.
Xây dựng chiến lược bảo mật nội bộ
Theo ông Ngô Tuấn Anh, việc bảo mật thông tin trong nội bộ một doanh
nghiệp nếu thực hiện không tốt sẽ rất nguy hiểm. Bởi nhân viên trong các
doanh nghiệp, tổ chức chính là những người có điều kiện tiếp xúc với hệ
thống thông tin của đơn vị dễ dàng hơn người ngoài. Do đó, nguy cơ gây
mất an ninh đối với hệ thống từ những thành viên trong nội bộ lớn hơn so
với bên ngoài.
Nếu muốn đánh cắp thông tin của một công ty, người ở bên ngoài phải tìm
các lỗ hổng an ninh của hệ thống, tấn công rồi sau đó mới có thể lấy được dữ
liệu nhưng đây không phải là việc dễ dàng. Trong khi đó, những thông tin
nội bộ lại rất dễ bị lộ ra bên ngoài bởi chính các nhân viên trong doanh
nghiệp, tổ chức, có thể chỉ vì thói quen lưu trữ dữ liệu tùy tiện, như lưu trên
các USB mà không tuân thủ các quy định, biện pháp về an toàn, an ninh
thông tin.
Qua kinh nghiệm làm nhà tư vấn an ninh thông tin cho các doanh nghiệp và
tổ chức, Bkis nhận thấy một số doanh nghiệp dễ sai lầm khi cho rằng đã bảo
đảm về an ninh thông tin khi chỉ mới đầu tư một vài thiết bị bảo mật (tường
lửa, thiết bị ngăn chặn tấn công hay phần mềm diệt virus). Trong khi đó,
điều quan trọng nhất là họ phải biết được hệ thống công nghệ thông tin
(CNTT) của mình có những điểm yếu và lỗ hổng nào, để từ đó đưa ra biện
pháp thích hợp nhằm khắc phục.
Các biện pháp khắc phục đôi khi không phải là đầu tư cho thiết bị, công
nghệ mà đơn giản chỉ là giải pháp về mặt quản lý. Chẳng hạn, ban lãnh đạo
doanh nghiệp có thể đưa ra một quy định mới hoặc thay đổi quy trình công
việc là có thể giải quyết được vấn đề. Ông Ngô Tuấn Anh tư vấn rằng khi
các doanh nghiệp có ý định đầu tư giải pháp bảo mật nội bộ thì nên thuê các
nhà tư vấn chuyên nghiệp, sau đó mới tiến hành các công việc khác. Nhà tư
vấn sẽ giúp doanh nghiệp liệt kê tất cả các nguy cơ gây mất an ninh thông
tin nội bộ và sau đó đưa ra các giải pháp để giải quyết.
Ngoài ra, để các giải pháp có thể được ứng dụng một cách khoa học và có
hiệu quả, doanh nghiệp nên tuân thủ theo hệ thống quản lý an ninh thông tin
theo tiêu chuẩn ISO 27001. Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất
cả các rủi ro về an ninh thông tin có thể xảy ra trong doanh nghiệp để từ đó
đánh giá và đưa ra các biện pháp để khắc phục, hạn chế đến mức tối thiểu
các rủi ro này.
Các doanh nghiệp, tổ chức lớn có lượng thông tin quan trọng nhiều nên triển
khai ISO 27001 một cách toàn diện. Những đơn vị nhỏ, không có điều kiện
về vật chất và tài chính, vẫn có thể áp dụng một phần của hệ thống tiêu
chuẩn này, họ có thể áp dụng nguyên tắc của nó cho hệ thống hạ tầng mạng
nội bộ hoặc những vấn đề quan trọng như quy định sử dụng máy tính của
từng nhân viên.
Tại sao cần áp dụng ISO 27001?
Ngày 15-10-2005, Tổ chức Tiêu chuẩn hóa quốc tế đã ban hành tiêu chuẩn
ISO/IEC 27001:2005 nhằm cung cấp một mô hình để thiết lập, thực hiện,
điều hành, theo dõi, xem xét, duy trì và cải tiến một hệ thống quản lý bảo
mật thông tin (ISMS). Đây là tiêu chuẩn phát triển từ tiêu chuẩn BS 7799
của Anh về hệ thống bảo mật. Khi áp dụng hệ thống quản lý bảo mật thông
tin, doanh nghiệp sẽ có các biện pháp phù hợp để có thể bảo vệ dữ liệu thông
tin – vốn được xem là tài sản vô hình. Hệ thống này sẽ góp phần xây dựng
niềm tin của khách hàng, đối tác đối với hoạt động của doanh nghiệp, tổ
chức.
Theo giáo sư Ted Humphrey, người được coi là cha đẻ của bộ tiêu chuẩn
ISO 27001, việc triển khai và duy trì một hệ thống an toàn thông tin thành
công đòi hỏi 80% cấu thành phải đến từ khâu quản lý tốt trong mỗi doanh
nghiệp, tổ chức và 20% còn lại đến từ việc triển khai công nghệ. Thực tế
cũng chứng minh, đa số những sự cố về bảo mật thông tin xảy ra là do khâu
quản lý của doanh nghiệp, tổ chức chưa tốt. Con người là yếu tố rủi ro lớn
nhất trong hệ thống bảo mật thông tin. Hệ thống ISMS là sự kết hợp giữa ba
yếu tố: công nghệ, con người và quy trình (xem sơ đồ).
Hệ thống bảo mật thông tin theo chuẩn ISO 27001:2005 đã đưa ra 11 nhóm
kiểm soát chia thành 133 biện pháp kiểm soát nhằm giảm rủi ro cho tổ chức
và cung cấp mô hình quản lý hệ thống an toàn thông tin toàn vẹn.
Sau bước đánh giá, doanh nghiệp sẽ xác định được mức độ rủi ro với từng
loại tài sản, mức độ rủi ro càng cao, doanh nghiệp càng cần ưu tiên xử lý.
Việc xử lý rủi ro cũng có nhiều cách: tránh rủi ro, chuyển giao rủi ro, áp
dụng biện pháp kiểm soát phù hợp (trong 133 biện pháp kiểm soát của ISO
27001) và chấp nhận rủi ro nếu chi phí xử lý quá lớn hoặc chưa được doanh
nghiệp ưu tiên xử lý tại một thời điểm nhất định.
Bà Phạm Thu Liên, Trưởng ban Đảm bảo chất lượng, Công ty cổ phần Hệ
thống thông tin FPT (FIS) – cũng là một nhà tư vấn an ninh bảo mật, nói
rằng theo quy trình, FIS trước hết sẽ khảo sát hoạt động thực tế của doanh
nghiệp, từ đó đánh giá được hiện trạng ban đầu để có những định hướng phù
hợp, tư vấn cho doanh nghiệp phương pháp quản lý rủi ro đối với tài sản vô
hình. Sau đó FIS sẽ giúp các doanh nghiệp lựa chọn các biện pháp kiểm soát
trong ISO 27001 sao cho phù hợp với mô hình hoạt động của mình.
Áp dụng hệ thống ISMS, doanh nghiệp sẽ thiết lập được các biện pháp kiểm
soát bảo mật phù hợp để có thể bảo vệ các dữ liệu thông tin, không chỉ cho
chính doanh nghiệp mình mà còn cho khách hàng và đối tác. Hơn nữa, khi
thực hiện theo hệ thống tiêu chuẩn quốc tế này và đạt chứng nhận, uy tín của
doanh nghiệp cũng sẽ được nâng cao trên thị trường.
Hiện nay trên thế giới có hơn 5.600 doanh nghiệp và tổ chức đạt được chứng
chỉ ISO 27001:2005, trong đó có một số tại Việt Nam như First Consulting
Group Vietnam (FCGV), FPT Information System, FPT Software… Bên
cạnh đó có nhiều doanh nghiệp, tổ chức khác đang trong quá trình xây dựng
và áp dụng hệ thống tiêu chuẩn này. Điều này chứng tỏ ngày càng có nhiều
doanh nghiệp nhận thấy vai trò quan trọng của việc áp dụng hệ thống quản
lý bảo mật thông tin theo ISO 27001 trong nội bộ của mình.
