Ứng phó trong môi trường di động

E-mail | Bản in | Lưu xem sau

Với con số tám triệu chiếc điện thoại di động bị mất mỗi năm, các chuyên gia bảo mật đang được đặt vào tình thế phải chạy nước rút để tìm ra các giải pháp ứng phó hữu hiệu. Các giám đốc công nghệ thông tin đang cùng một lúc sử dụng kết hợp nhiều biện pháp khác nhau như lập ra chính sách sử dụng các thiết bị di động, quy định việc thực thi, cơ chế bảo mật… và dùng phần mềm.

Ngày nay, các giám đốc công nghệ thông tin (CIO) đang phải chịu áp lực ngày càng tăng khi phải gồng mình hỗ trợ việc vận hành đối với một loạt thiết bị di động, khi mà các loại điện thoại thông minh (smartphone) chạy trên nhiều hệ điều hành khác nhau như Android, Symbian, Windows Mobile… xuất hiện ngày càng nhiều tại các công sở và con số cứ gia tăng theo cấp số nhân mỗi tháng.

Trong khi chỉ một số ít nhân viên được công ty trang bị các thiết bị di động nhằm phục vụ cho công việc, thì nhiều nhân viên khác – dù có được cấp quyền hay không – vẫn sử dụng những thiết bị cá nhân của mình để truy cập vào hệ thống thông tin của công ty. Có điều là, điện thoại là thiết bị có thể lưu trữ rất nhiều dữ liệu và là vật dễ bị mất cắp nhất và dữ liệu rất dễ bị thất thoát mà chủ nhân của nó không hề hay biết.

Để bảo vệ các thiết bị di động và thông tin trên các thiết bị này, các CIO hiện đang kết hợp và vận dụng nhiều phương án cùng một lúc, nhưng điều quan trọng nhất là phải đưa ra được các chính sách bảo mật hữu hiệu, tạo ra ý thức bảo mật di động cho nhân viên và phải có những công cụ quản lý các thiết bị di động một cách hợp lý.

Chính sách sử dụng thiết bị di động

Một trong những bước đầu tiên và quan trọng nhất trong việc bảo vệ thiết bị di động trong doanh nghiệp là thiết lập một chính sách quản lý các thiết bị này với những tài liệu rõ ràng và các biện pháp thực thi đối với tất cả các thiết bị di động và cấu trúc công nghệ thông tin của doanh nghiệp.

Một khi việc này hoàn tất, bộ phận công nghệ thông tin phải hướng dẫn để nhân viên có thể hiểu rõ nhất chính sách này. Nhân viên phòng công nghệ thông tin, bộ phận quản lý và toàn thể nhân viên đều phải biết cách bảo đảm tốt vấn đề an ninh và các vấn đề liên quan đến các thiết bị di động của họ.

Tuy không được giao trọng trách lập ra các quy tắc và quy định, bộ phận công nghệ thông tin vẫn phải bảo đảm tốt việc hướng dẫn nhân viên thường xuyên thay đổi mật khẩu và chỉ được phép sử dụng những phần mềm cần thiết đã được cài đặt sẵn trên mỗi máy trạm.

Điều này là rất quan trọng để bảo vệ hệ thống mạng nội bộ và toàn bộ quyền sở hữu tài sản trí tuệ của công ty. Bộ phận công nghệ thông tin phải chủ động trong việc quản lý smartphone, máy tính bảng và các thiết bị di động khác trong suốt vòng đời của chúng, từ khi chúng được kích hoạt cho tới khi được khấu hao hoàn toàn.

Dễ thấy rằng nếu nhận thức được rằng chính sách bảo mật di động là một chiến lược trong công ty thì nhân viên công ty chắc chắn sẽ chấp nhận thực thi. Những chính sách khác nhau cho các nhóm người sử dụng khác nhau phải được công bố và phải được xem xét, chỉnh sửa cho phù hợp với tình hình thực tế của doanh nghiệp. Ngược lại, nếu không có bất kỳ một văn bản nào liên quan đến vấn đề này, nhân viên sẽ không hiểu khi nào hoặc tại sao họ lại bị giới hạn truy cập vào một số thông tin của công ty.

Cơ chế bảo mật di động

Để bảo đảm cho các chính sách quản trị di động được thực hiện có hiệu quả, CIO phải thiết lập được cấu hình bảo mật cho toàn bộ hệ thống và từng thiết bị cụ thể. Khi áp dụng cơ chế quản lý thiết bị di động, CIO có thể kiểm soát an ninh ngay từ đầu. Nếu công ty cấp phát điện thoại cho nhân viên, CIO chỉ cần thiết lập cấu trúc phần cứng; nếu công ty vừa cấp phát thiết bị cho nhân viên vừa cho phép họ sử dụng smartphone cá nhân, CIO sẽ phải phân định quyền truy cập và cấu hình tổng hòa các thiết bị di động vào môi trường chung. Điều này cho phép các CIO quản lý tốt một loạt các thiết bị, qua đó có thể tiết kiệm tối đa tài nguyên công nghệ thông tin cho doanh nghiệp.

“Tài liệu về cấu hình là yếu tố quan trọng hàng đầu trong số các công cụ quản lý các thiết bị di động”, một CIO chia sẻ. Với công cụ quản lý ngay từ đầu của BlackBerry và iPhone, cũng như các ứng dụng do bên thứ ba phát triển để tích hợp vào các thiết bị này, CIO có thể dễ dàng triển khai việc quản lý và bảo vệ các máy BlackBerry và iPhone. Tính năng và thông số cấu hình của từng smartphone rất khác nhau đòi hỏi chính sách và cơ chế quản lý cũng phải khác nhau. CIO phải bám chắc vào các cấu trúc thiết bị để bảo đảm được tính thống nhất về cấu hình của tất cả các thiết bị được sử dụng trong doanh nghiệp trên nhiều nền tảng, đặc biệt nhất là phải đảm bảo được rằng các lỗ hổng đã được sửa lỗi và khóa an toàn.

Khi xây dựng hồ sơ cấu hình di động, CIO cần phải xác định rõ các chi tiết về mail server như POP/IMAP, các kết nối qua VPN và Wi-Fi (bao gồm các chứng thực cần thiết), các giao thức truy cập nhanh LDAP, lịch công tác, hệ thống mạng và các chứng nhận kỹ thuật số. CIO cũng phải thường xuyên kiểm tra xem liệu nhân viên có thể loại bỏ hoặc thay đổi một trong số các cấu hình đã được chỉ định sử dụng hay không.

Để bảo đảm rằng tất cả các phương cách bảo mật thông tin có thể áp dụng tốt trên một thiết bị di động, CIO cần phải hạn chế một số chức năng truy cập trên một số thiết bị cụ thể, bao gồm việc cài đặt ứng dụng, máy ảnh của điện thoại, GPS, Bluetooth, chức năng chụp màn hình, đồng bộ hóa thư điện tử tự động trong khi chuyển vùng quốc tế hoặc chuyển sang chế độ quay số bằng giọng nói khi điện thoại bị khóa. Một chính sách bảo mật cao và nghiêm ngặt có thể giúp người sử dụng các thiết bị di động không truy cập vào một số trình duyệt, YouTube hoặc iTunes Store và App Store (nếu nhân viên sử dụng iPhone).

Thực thi chính sách bảo mật

Việc thực thi chính sách an ninh trong doanh nghiệp, sau khi đã thiết lập cấu hình cho các thiết bị di động, sẽ giúp bảo đảm được tính liên tục trong công tác bảo mật và giảm các chi phí hỗ trợ. Sẽ càng có hiệu quả hơn nếu CIO sử dụng được một công cụ quản lý tập trung để giám quản các ứng dụng và hệ điều hành, để có thể chủ động trong việc hiệu chỉnh hay nâng cấp các ứng dụng và hệ điều hành cho nhân viên một cách trực tiếp.

Ví dụ, CIO của công ty Baloise Insurance ở Thụy Sĩ đã thiết lập một cổng thông tin tự phục vụ cho phép các nhân viên có thể lựa chọn phương án đồng bộ hóa thiết bị di động. Nhờ vậy, khoảng 300 người đã đăng ký và sử dụng các ứng dụng an ninh một cách thành thục mà không cần bất kỳ sự hỗ trợ nào từ bộ phận công nghệ thông tin và số các cuộc gọi hỗ trợ từ bộ phận công nghệ thông tin đã giảm hơn 50 % so với lúc trước.

Hướng dẫn về điều được và không được phép

Đã đến lúc người dùng thiết bị di động cần phải được hướng dẫn cụ thể về những ứng dụng được phép sử dụng trong doanh nghiệp, kể từ khi cuộc tấn công bằng các ứng dụng lừa đảo được ghi nhận. Những ứng dụng này phải nhằm mục đích phục vụ cho công việc và phải được phê duyệt bởi bộ phận công nghệ thông tin trước khi nhân viên tự cài đặt vào smartphone của mình. Nếu không, một nhân viên có thể bị mất rất nhiều thời gian để tìm kiếm các ứng dụng phù hợp cho thiết bị của mình (trong hơn 100.000 ứng dụng và các đánh giá liên quan trong iTunes App Store, nói riêng) hoặc không may cài đặt nhầm những ứng dụng độc hại.

Một bộ phận công nghệ thông tin thông minh sẽ giúp cho việc lựa chọn trở nên dễ dàng hơn, bằng cách tạo ra những công cụ hỗ trợ, chẳng hạn như phân nhóm người sử dụng nội bộ hoặc đưa ra các FAQs (câu trả lời cho những câu hỏi phổ biến), để có thể cung cấp thông tin hướng dẫn nhanh chóng và đáng tin cậy. Ngoài ra, bộ phận công nghệ thông tin cũng có thể rút ngắn thời gian tìm kiếm các ứng dụng bằng cách tạo ra một kho ứng dụng riêng trong công ty hoặc triển khai chế độ hạn chế tải ứng dụng và phân định những ứng dụng nào có thể gây rủi ro đáng kể cho doanh nghiệp. Nhờ đó, các nhân viên sẽ đạt năng suất cao hơn trong công việc.

Bảo mật bằng phần mềm ứng dụng

Trên thị trường hiện có rất nhiều các ứng dụng và các phần mềm hỗ trợ rất tốt cho việc bảo mật và an ninh di động, như Afaria, BullGuard, SMobile, Kaspersky, Eset, LookOut, Norton, F-Secure, BitDefender, NetQuin, SimWorks… Là một CIO, bạn nên chọn một trong số các ứng dụng, phần mềm phù hợp với nhu cầu của doanh nghiệp mình để bảo đảm việc vận hành công nghệ thông tin được thông suốt và hạn chế đến mức thấp nhất các rủi ro có thể đến từ môi trường di động.

(Theo Thời báo kinh tế Sài Gòn)