Thay đổi quan niệm đầu tư bảo mật thông tin

“Khi bạn dùng ổ khóa dỏm, thì kẻ cắp có cơ hội lớn để đánh cắp bất cứ thứ gì có giá trị. Thông tin là tài sản của doanh nghiệp, nên tùy theo mức độ nguy hại, thiệt hại về an toàn thông tin khó có thể lường hết được: uy tín và hình ảnh doanh nghiệp bị ảnh hưởng, bí mật kinh doanh không được đảm bảo…”, ông Nathan Wang khuyến cáo.

Ông Gao William, Quản lý Bộ phận Sản phẩm của Kaspersky Lab khu vực châu Á - Thái Bình Dương khẳng định, trong một thế giới phẳng, không doanh nghiệp nào có thể đứng ngoài nguy cơ mất an toàn thông tin. Những thông tin thường nằm trong tầm ngắm của giới hacker bao gồm thương mại trực tuyến, thông tin cá nhân, thẻ tín dụng, sản phẩm và những chiến lược kinh doanh của doanh nghiệp. Trong các mối nguy của an ninh mạng doanh nghiệp, virus máy tính có ảnh hưởng trực tiếp nhất, có thể gây mất dữ liệu, làm tê liệt hệ thống và ảnh hưởng đến công việc.

Hiện nay, tội phạm thường tấn công hệ thống mạng qua 2 kênh chủ yếu là người dùng và máy tính. Với kênh thứ nhất, việc tấn công được thực hiện thông qua một trò chơi miễn phí, email gửi từ ngân hàng, cảnh báo về an ninh…, để dụ người dùng bấm vào đường link virus hoặc nhập mật khẩu vào trang web lừa đảo để đánh cắp thông tin. Với kênh tấn công thứ hai, tội phạm thường gửi mã độc vào máy tính người dùng để đánh cắp thông tin. 

“Doanh nghiệp cần thay đổi quan niệm trong việc đầu tư cho an ninh bảo mật thông tin, cần nghĩ trước xem sẽ chịu ảnh hưởng như thế nào khi hệ thống mạng bị tấn công để xây dựng chính sách an ninh bảo mật hợp lý”, ông Gao William nhấn mạnh.

Theo chuyên gia Nguyễn Anh Dũng (Nhóm Elite Team của VNISA), để đảm bảo an ninh mạng cho doanh nghiệp, những người chịu trách nhiệm quản lý hệ thống mạng, ngay từ khi xây dựng hệ thống, phải dành một phần quan trọng cho thiết kế bảo đảm an ninh mạng cả về hạ tầng (phần cứng), lẫn ứng dụng (phần mềm). Trong quá trình vận hành, việc cập nhật những bản vá và rà soát, phát hiện các lỗ hổng trong hệ thống phải trở thành công việc thường xuyên.

Để có được giải pháp an ninh toàn diện, tốt nhất, doanh nghiệp nên triển khai tiêu chuẩn quốc tế của hệ thống quản lý an ninh thông tin ISO 27001 và tiêu chuẩn về kỹ thuật CIS/DISA. Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể xảy ra trong tổ chức, sau đó, đánh giá và đưa ra các biện pháp để khắc phục, hạn chế đến mức thấp nhất các rủi ro. Đặc biệt, nếu chưa có điều kiện, doanh nghiệp có thể thực hiện một phần của ISO 27001 (chưa cần lấy chứng chỉ).

Ông Trần Anh Minh, Tổng thư ký Chi hội VNISA cho biết, hiện tại, mới có khoảng 20 doanh nghiệp tại Việt Nam đạt chứng nhận ISO 27001. Số lượng các doanh nghiệp áp dụng tiêu chuẩn này đang có chiều hướng tăng lên trong năm 2010. Các doanh nghiệp này chủ yếu kinh doanh trong ngành công nghệ - thông tin, ngân hàng - tài chính, thương mại điện tử… Trước mắt, chỉ có một số đơn vị áp dụng tiêu chuẩn này nhằm đảm bảo tính bảo mật - nguyên vẹn - liên tục của hệ thống thông tin/dịch vụ của mình.