Xây dựng chiến lược bảo mật từ nội bộ

E-mail | Bản in | Lưu xem sau

Minh họa: Khều.

Tại một số doanh nghiệp, công tác bảo mật thường được tập trung vào việc phòng tránh các nguy cơ, hiểm họa đến từ bên ngoài. Tuy nhiên, ông Ngô Tuấn Anh, Giám đốc Bkis Telecom, cho rằng nguy cơ gây mất an ninh thông tin có thể đến từ bên trong doanh nghiệp, do chính nhân viên của doanh nghiệp vô tình hoặc cố ý gây nên.

Do vậy, việc bảo mật nội bộ cũng chính là một phần quan trọng nhằm đảm bảo an toàn thông tin cho doanh nghiệp.

Nhiều doanh nghiệp trong nước nay đã ý thức được rằng thông tin cũng là tài sản quan trọng, đóng vai trò quyết định sự thành bại trong hoạt động sản xuất, kinh doanh. Các thông tin quan trọng cần được bảo vệ chặt chẽ trước những nguy cơ nhằm giảm thiểu rủi ro và bảo đảm sự liền mạch.

Xây dựng chiến lược bảo mật nội bộ

Theo ông Ngô Tuấn Anh, việc bảo mật thông tin trong nội bộ một doanh nghiệp nếu thực hiện không tốt sẽ rất nguy hiểm. Bởi nhân viên trong các doanh nghiệp, tổ chức chính là những người có điều kiện tiếp xúc với hệ thống thông tin của đơn vị dễ dàng hơn người ngoài. Do đó, nguy cơ gây mất an ninh đối với hệ thống từ những thành viên trong nội bộ lớn hơn so với bên ngoài.

Nếu muốn đánh cắp thông tin của một công ty, người ở bên ngoài phải tìm các lỗ hổng an ninh của hệ thống, tấn công rồi sau đó mới có thể lấy được dữ liệu nhưng đây không phải là việc dễ dàng. Trong khi đó, những thông tin nội bộ lại rất dễ bị lộ ra bên ngoài bởi chính các nhân viên trong doanh nghiệp, tổ chức, có thể chỉ vì thói quen lưu trữ dữ liệu tùy tiện, như lưu trên các USB mà không tuân thủ các quy định, biện pháp về an toàn, an ninh thông tin.

Qua kinh nghiệm làm nhà tư vấn an ninh thông tin cho các doanh nghiệp và tổ chức, Bkis nhận thấy một số doanh nghiệp dễ sai lầm khi cho rằng đã bảo đảm về an ninh thông tin khi chỉ mới đầu tư một vài thiết bị bảo mật (tường lửa, thiết bị ngăn chặn tấn công hay phần mềm diệt virus). Trong khi đó, điều quan trọng nhất là họ phải biết được hệ thống công nghệ thông tin (CNTT) của mình có những điểm yếu và lỗ hổng nào, để từ đó đưa ra biện pháp thích hợp nhằm khắc phục.

Các biện pháp khắc phục đôi khi không phải là đầu tư cho thiết bị, công nghệ mà đơn giản chỉ là giải pháp về mặt quản lý. Chẳng hạn, ban lãnh đạo doanh nghiệp có thể đưa ra một quy định mới hoặc thay đổi quy trình công việc là có thể giải quyết được vấn đề. Ông Ngô Tuấn Anh tư vấn rằng khi các doanh nghiệp có ý định đầu tư giải pháp bảo mật nội bộ thì nên thuê các nhà tư vấn chuyên nghiệp, sau đó mới tiến hành các công việc khác. Nhà tư vấn sẽ giúp doanh nghiệp liệt kê tất cả các nguy cơ gây mất an ninh thông tin nội bộ và sau đó đưa ra các giải pháp để giải quyết.

Ngoài ra, để các giải pháp có thể được ứng dụng một cách khoa học và có hiệu quả, doanh nghiệp nên tuân thủ theo hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO 27001. Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể xảy ra trong doanh nghiệp để từ đó đánh giá và đưa ra các biện pháp để khắc phục, hạn chế đến mức tối thiểu các rủi ro này.

Các doanh nghiệp, tổ chức lớn có lượng thông tin quan trọng nhiều nên triển khai ISO 27001 một cách toàn diện. Những đơn vị nhỏ, không có điều kiện về vật chất và tài chính, vẫn có thể áp dụng một phần của hệ thống tiêu chuẩn này, họ có thể áp dụng nguyên tắc của nó cho hệ thống hạ tầng mạng nội bộ hoặc những vấn đề quan trọng như quy định sử dụng máy tính của từng nhân viên.

Tại sao cần áp dụng ISO 27001?

Ngày 15-10-2005, Tổ chức Tiêu chuẩn hóa quốc tế đã ban hành tiêu chuẩn ISO/IEC 27001:2005 nhằm cung cấp một mô hình để thiết lập, thực hiện, điều hành, theo dõi, xem xét, duy trì và cải tiến một hệ thống quản lý bảo mật thông tin (ISMS). Đây là tiêu chuẩn phát triển từ tiêu chuẩn BS 7799 của Anh về hệ thống bảo mật. Khi áp dụng hệ thống quản lý bảo mật thông tin, doanh nghiệp sẽ có các biện pháp phù hợp để có thể bảo vệ dữ liệu thông tin – vốn được xem là tài sản vô hình. Hệ thống này sẽ góp phần xây dựng niềm tin của khách hàng, đối tác đối với hoạt động của doanh nghiệp, tổ chức.

Theo giáo sư Ted Humphrey, người được coi là cha đẻ của bộ tiêu chuẩn ISO 27001, việc triển khai và duy trì một hệ thống an toàn thông tin thành công đòi hỏi 80% cấu thành phải đến từ khâu quản lý tốt trong mỗi doanh nghiệp, tổ chức và 20% còn lại đến từ việc triển khai công nghệ. Thực tế cũng chứng minh, đa số những sự cố về bảo mật thông tin xảy ra là do khâu quản lý của doanh nghiệp, tổ chức chưa tốt. Con người là yếu tố rủi ro lớn nhất trong hệ thống bảo mật thông tin. Hệ thống ISMS là sự kết hợp giữa ba yếu tố: công nghệ, con người và quy trình (xem sơ đồ).

Hệ thống bảo mật thông tin theo chuẩn ISO 27001:2005 đã đưa ra 11 nhóm kiểm soát chia thành 133 biện pháp kiểm soát nhằm giảm rủi ro cho tổ chức và cung cấp mô hình quản lý hệ thống an toàn thông tin toàn vẹn.

Sau bước đánh giá, doanh nghiệp sẽ xác định được mức độ rủi ro với từng loại tài sản, mức độ rủi ro càng cao, doanh nghiệp càng cần ưu tiên xử lý. Việc xử lý rủi ro cũng có nhiều cách: tránh rủi ro, chuyển giao rủi ro, áp dụng biện pháp kiểm soát phù hợp (trong 133 biện pháp kiểm soát của ISO 27001) và chấp nhận rủi ro nếu chi phí xử lý quá lớn hoặc chưa được doanh nghiệp ưu tiên xử lý tại một thời điểm nhất định.

Bà Phạm Thu Liên, Trưởng ban Đảm bảo chất lượng, Công ty cổ phần Hệ thống thông tin FPT (FIS) – cũng là một nhà tư vấn an ninh bảo mật, nói rằng theo quy trình, FIS trước hết sẽ khảo sát hoạt động thực tế của doanh nghiệp, từ đó đánh giá được hiện trạng ban đầu để có những định hướng phù hợp, tư vấn cho doanh nghiệp phương pháp quản lý rủi ro đối với tài sản vô hình. Sau đó FIS sẽ giúp các doanh nghiệp lựa chọn các biện pháp kiểm soát trong ISO 27001 sao cho phù hợp với mô hình hoạt động của mình.

Áp dụng hệ thống ISMS, doanh nghiệp sẽ thiết lập được các biện pháp kiểm soát bảo mật phù hợp để có thể bảo vệ các dữ liệu thông tin, không chỉ cho chính doanh nghiệp mình mà còn cho khách hàng và đối tác. Hơn nữa, khi thực hiện theo hệ thống tiêu chuẩn quốc tế này và đạt chứng nhận, uy tín của doanh nghiệp cũng sẽ được nâng cao trên thị trường.

Hiện nay trên thế giới có hơn 5.600 doanh nghiệp và tổ chức đạt được chứng chỉ ISO 27001:2005, trong đó có một số tại Việt Nam như First Consulting Group Vietnam (FCGV), FPT Information System, FPT Software… Bên cạnh đó có nhiều doanh nghiệp, tổ chức khác đang trong quá trình xây dựng và áp dụng hệ thống tiêu chuẩn này. Điều này chứng tỏ ngày càng có nhiều doanh nghiệp nhận thấy vai trò quan trọng của việc áp dụng hệ thống quản lý bảo mật thông tin theo ISO 27001 trong nội bộ của mình.