fbpx

Hệ thống thông tin doanh nghiệp: Cần bảo mật từ bên trong

26/04/2024

03/01/2023

888

Mối nguy nội bộ

Theo ông Ngô Vi Đồng, Chủ tịch Chi hội An toàn thông tin (VNISA) phía Nam, an toàn thông tin (ATTT) không chỉ là bảo mật và an toàn mà còn liên quan đến an ninh. DN xây dựng hàng rào ATTT nhằm đảm bảo 3 yếu tố: Bảo mật, toàn vẹn và sẵn sàng. Những sự cố mất cắp dữ liệu, lỗi hệ thống mạng ở các DN hiện nay thường xuất phát từ bên trong nhiều hơn là tấn công từ bên ngoài.

DN cần đánh giá hàng rào an ninh mạng của mình, khả năng phòng chống các cuộc tấn công… Việc đánh giá thông qua chất lượng ATTT hoặc số lượng các thiết bị an ninh, bảo mật trên hệ thống. Tuy nhiên đánh giá số lượng thiết bị có thể dẫn đến ngộ nhận rằng hệ thống đã an toàn, nên kiểm tra cụ thể bằng cách cho điểm độ an toàn/bảo mật.

Theo các chuyên gia về ATTT, con người là mắt xích yếu nhất trong hệ thống thông tin DN. Các DN lại thường thiếu quan tâm đến nhược điểm này. Những thói quen sử dụng webmail (Gmail, Yahoo! Mail), ứng dụng nhắn tin như YM, MSN… cũng có thể tạo ra những lỗ hổng bảo mật.

Hướng đến chuẩn hoá

Đây là một thiếu sót của DN khi xây dựng hàng rào bảo mật. Họ không tổ chức hàng rào này dựa trên các tiêu chuẩn về ATTT (ISO 17799, ISO 27000…). Chúng ta có thể kể đến các tiêu chí thường gặp như: An ninh nhân sự; An ninh vật lý; Xác định, phân cấp và quản lý tài nguyên….

Gần đây, DN trong nước bắt đầu quan tâm đến tiêu chuẩn bảo mật nhiều hơn. Những cuộc hội thảo về ISO 27000 cùng với sự xuất hiện của các tổ chức chứng nhận tiêu chuẩn bảo mật đã khiến cho nhận thức của các DN trở nên tốt hơn.

Ở công ty Viet Union, an ninh nhân sự khá bài bản từ khi áp dụng ISO 27000. Có 3 điểm nhấn đối với bộ phận nhân sự: Trước khi nhân viên được tuyển dụng cần phải kiểm tra những gì? Việc phân quyền truy cập? Thủ tục bàn giao khi nghỉ việc? Viet Union còn huấn luyện nhân viên mới trong vòng 3 tháng để làm quen với các quy trình bảo mật trong công ty.

Hệ thống an toàn thông tin (ISMS), theo định nghĩa của Tổng cục Tiêu chuẩn Đo lường Chất lượng Việt Nam (www.tcvn.gov.vn), là hệ thống quản lý tất cả các mặt của ATTT bao gồm con người, các qui trình và các hệ thống công nghệ thông tin. Mối quan tâm của ISMS tập trung vào 3 thuộc tính chính: Tính tin cậy (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability).

Bảo mật từ bên trong

Ưu tiên cho quản trị

Theo đề nghị của các chuyên gia thuộc VNISA, các DN nên dành 80% cho chi phí quản lý trong tổng chi phí đầu tư cho CNTT; chú trọng đến quy trình, huấn luyện, phân quyền truy cập… Chỉ cần để 20% chi phí còn lại cho trang thiết bị bao gồm hệ thống máy chủ, tường lửa, hệ thống mã hóa….

Các nhân viên quản trị ATTT cùng với quản trị mạng sẽ bố trí “thiên la địa võng” nhằm ngăn chặn các đợt tấn công từ ngoài hoặc trong. Các bộ phận này sẽ áp dụng chính sách bảo mật nội bộ, đưa ra các quy định cụ thể về mật khẩu, cài đặt phần mềm phòng chống virus…

Bộ phận ATTT trong các công ty thường buộc các nhân viên văn phòng phải nhập mật khẩu có độ dài 8 ký tự (bao gồm chữ và số) và phải có 1 ký tự đặc biệt. Dù rằng hầu hết nhân viên đều không thoải mái khi phải làm điều này, họ cứ thích để trống mật khẩu hoặc gõ đại địa chỉ nhà, ngày sinh vào, tuy nhiên cách thức bảo mật như trên là cần thiết.

Nhân viên các bộ phận khi di chuyển trong công ty sẽ phải quét thẻ từ hoặc vân tay vào các thiết bị kiểm tra đặt trước cửa ra/vào của các khu vực. Điều này giúp cho bộ phận ATTT kiểm tra số lượt người ra/vào, phân quyền đối với một số khu vực hạn chế (VD: chỉ dành cho lãnh đạo).

Các DN cũng nên quan tâm đến giải pháp quản trị và lưu trữ tài liệu. Khi có hệ thống quản trị dữ liệu này thì nhân viên trong công ty sẽ không bận tâm đến việc quản lý và lưu trữ dữ liệu vì hệ thống sẽ tự động lưu trữ và sắp xếp ngăn nắp. Việc quản trị và lưu trữ thông tin cũng giúp cho việc tìm dữ liệu nhanh chóng và dễ dàng, tiết kiệm thời gian.

Nguồn: PC World

Mối nguy nội bộ

Theo ông Ngô Vi Đồng, Chủ tịch Chi hội An toàn thông tin (VNISA) phía Nam, an toàn thông tin (ATTT) không chỉ là bảo mật và an toàn mà còn liên quan đến an ninh. DN xây dựng hàng rào ATTT nhằm đảm bảo 3 yếu tố: Bảo mật, toàn vẹn và sẵn sàng. Những sự cố mất cắp dữ liệu, lỗi hệ thống mạng ở các DN hiện nay thường xuất phát từ bên trong nhiều hơn là tấn công từ bên ngoài.

DN cần đánh giá hàng rào an ninh mạng của mình, khả năng phòng chống các cuộc tấn công… Việc đánh giá thông qua chất lượng ATTT hoặc số lượng các thiết bị an ninh, bảo mật trên hệ thống. Tuy nhiên đánh giá số lượng thiết bị có thể dẫn đến ngộ nhận rằng hệ thống đã an toàn, nên kiểm tra cụ thể bằng cách cho điểm độ an toàn/bảo mật.

Theo các chuyên gia về ATTT, con người là mắt xích yếu nhất trong hệ thống thông tin DN. Các DN lại thường thiếu quan tâm đến nhược điểm này. Những thói quen sử dụng webmail (Gmail, Yahoo! Mail), ứng dụng nhắn tin như YM, MSN… cũng có thể tạo ra những lỗ hổng bảo mật.

Hướng đến chuẩn hoá

Đây là một thiếu sót của DN khi xây dựng hàng rào bảo mật. Họ không tổ chức hàng rào này dựa trên các tiêu chuẩn về ATTT (ISO 17799, ISO 27000…). Chúng ta có thể kể đến các tiêu chí thường gặp như: An ninh nhân sự; An ninh vật lý; Xác định, phân cấp và quản lý tài nguyên….

Gần đây, DN trong nước bắt đầu quan tâm đến tiêu chuẩn bảo mật nhiều hơn. Những cuộc hội thảo về ISO 27000 cùng với sự xuất hiện của các tổ chức chứng nhận tiêu chuẩn bảo mật đã khiến cho nhận thức của các DN trở nên tốt hơn.

Ở công ty Viet Union, an ninh nhân sự khá bài bản từ khi áp dụng ISO 27000. Có 3 điểm nhấn đối với bộ phận nhân sự: Trước khi nhân viên được tuyển dụng cần phải kiểm tra những gì? Việc phân quyền truy cập? Thủ tục bàn giao khi nghỉ việc? Viet Union còn huấn luyện nhân viên mới trong vòng 3 tháng để làm quen với các quy trình bảo mật trong công ty.

Hệ thống an toàn thông tin (ISMS), theo định nghĩa của Tổng cục Tiêu chuẩn Đo lường Chất lượng Việt Nam (www.tcvn.gov.vn), là hệ thống quản lý tất cả các mặt của ATTT bao gồm con người, các qui trình và các hệ thống công nghệ thông tin. Mối quan tâm của ISMS tập trung vào 3 thuộc tính chính: Tính tin cậy (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability).

Bảo mật từ bên trong

Ưu tiên cho quản trị

Theo đề nghị của các chuyên gia thuộc VNISA, các DN nên dành 80% cho chi phí quản lý trong tổng chi phí đầu tư cho CNTT; chú trọng đến quy trình, huấn luyện, phân quyền truy cập… Chỉ cần để 20% chi phí còn lại cho trang thiết bị bao gồm hệ thống máy chủ, tường lửa, hệ thống mã hóa….

Các nhân viên quản trị ATTT cùng với quản trị mạng sẽ bố trí “thiên la địa võng” nhằm ngăn chặn các đợt tấn công từ ngoài hoặc trong. Các bộ phận này sẽ áp dụng chính sách bảo mật nội bộ, đưa ra các quy định cụ thể về mật khẩu, cài đặt phần mềm phòng chống virus…

Bộ phận ATTT trong các công ty thường buộc các nhân viên văn phòng phải nhập mật khẩu có độ dài 8 ký tự (bao gồm chữ và số) và phải có 1 ký tự đặc biệt. Dù rằng hầu hết nhân viên đều không thoải mái khi phải làm điều này, họ cứ thích để trống mật khẩu hoặc gõ đại địa chỉ nhà, ngày sinh vào, tuy nhiên cách thức bảo mật như trên là cần thiết.

Nhân viên các bộ phận khi di chuyển trong công ty sẽ phải quét thẻ từ hoặc vân tay vào các thiết bị kiểm tra đặt trước cửa ra/vào của các khu vực. Điều này giúp cho bộ phận ATTT kiểm tra số lượt người ra/vào, phân quyền đối với một số khu vực hạn chế (VD: chỉ dành cho lãnh đạo).

Các DN cũng nên quan tâm đến giải pháp quản trị và lưu trữ tài liệu. Khi có hệ thống quản trị dữ liệu này thì nhân viên trong công ty sẽ không bận tâm đến việc quản lý và lưu trữ dữ liệu vì hệ thống sẽ tự động lưu trữ và sắp xếp ngăn nắp. Việc quản trị và lưu trữ thông tin cũng giúp cho việc tìm dữ liệu nhanh chóng và dễ dàng, tiết kiệm thời gian.

Nguồn: PC World

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *