Bảo mật trong doanh nghiệp: Cần chính sách trước, giải pháp sau – Học viện Infochief
Những rủi ro đối với các thông tin như bị lộ, bị thay đổi, bị mất mát, bị từ chối đều ảnh hưởng nghiêm trong đến hoạt động, đến uy tín, chiến lược của tổ chức, doanh nghiệp. Vì vậy mục tiêu đưa ra là cần phải bảo vệ an toàn thông tin, đảm bảo tính bí mật thông tin (confidentiality), tính toàn vẹn thông tin (integrity), tính sẵn sàng thông tin (availabiltiy). Đảm bảo được các yếu tố trên sẽ giúp tổ chức doanh nghiệp bảo vệ chống lại lộ thông tin, thay đổi thông tin, phá hủy thông tin, mất mát thông tin.
Tại Việt Nam, các tổ chức doanh nghiệp cũng đã xây dựng các giải pháp để đảm bảo an toàn hệ thống như trang bị hệ thống tường lửa (Firewall), hệ thống chống xâm nhập (IPS), hệ thống phòng chống virus (Antivirus),… Nhưng tất cả chỉ đơn thuần là giải pháp công nghệ. Một loạt câu hỏi đặt ra là: hệ thống đã được trang bị giải pháp bảo mật nhưng mức độ an toàn đến đâu, giải pháp đã tốt chưa, đã đầy đủ chưa, Tổ chức thực hiện giải pháp đã tốt hay chưa, con người thực hiện giải pháp như thế nào, họ đã ý thức các vấn đề về an toàn thông tin hay chưa, họ đã được gán trách nhiệm phải đảm bảo an toàn hệ thông thông tin chưa? Không ít trường hợp giải pháp lúc xây dựng xong thì tốt, sau thời gian hoạt động mới bộc lộ nhiều điểm yếu mà nguyên nhân chủ yếu do yếu tố con người.
Hạ tầng CNTT xây dựng tốt, hệ thống bảo mật xây dựng tốt nhưng sau khi đưa vào sử dụng, chất lượng sẽ phụ thuộc vào chính bản thân đối tượng sử dụng nó, họ có tuân thủ theo đúng giải pháp hay không, trách nhiệm của họ thế nào, ý thức ra làm sao. Chúng ta biết bảo mật đi kèm với sự mang lại không thuận tiện cho người dùng và dễ dang làm cho họ từ bỏ sử dụng các biện pháp bảo mật. Trong các tổ chức doanh nghiệp, an toàn thông tin luôn phải được đưa lên hàng đầu và đòi hỏi tất cả các thành viên đều phải tuân thủ điều này.
Doanh nghiệp cần xây dưng chính sách bảo mật
Để đảm bảo an toàn hệ thống, cần phải có các yếu tố sau:
– Con người
– Quy trình
– Giải pháp
– Các tiêu chuẩn quốc tế
Hiện tại các tổ chức doanh nghiệp mới thực hiện ở việc xây dựng giải pháp, còn con người, qui trình, tiêu chuẩn quốc tế chưa được chú trọng. Các yếu tố đó chưa được tốt, chưa được gắn kết, chưa được giám sát bởi còn thiếu yếu tố rất quan trọng, đó là chính sách bảo mật thông tin.Chính sách bảo mật là một tài liệu cấp cao đặc thù hoặc là tập hợp các luật đặc biệt của tổ chức, doanh nghiệp đưa ra những yêu cầu, quy định mà họ phải thực hiện để đạt được các mục tiêu về an toàn thông tin. Chính sách bảo mật sẽ được người đứng đầu tổ chức doanh nghiệp phê chuẩn và ban hành thực hiện và có thể được ví như bộ luật của tổ chức, doanh nghiệp mà mọi thành viên trong tổ chức, các đối tác, khách hàng quan hệ đều phải tuân thủ. Chính sách bảo mật sẽ là tiền đề để doanh nghiệp xây dựng các giải pháp bảo mật, xây dựng những quy trình đảm bảo an toàn hệ thống, đưa ra các hướng dẫn thực hiện, gắn kết yếu tố con người, quản trị, công nghệ để thực hiện mục tiêu an toàn hệ thống. Đồng thời chính sách bảo mật cũng đưa ra nhận thức về an toàn thông tin, gán trách nhiệm về an toàn cho các thành viên của tổ chức doanh nghiệp từ đó đảm bảo hệ thống được vận hành đúng quy trình, an toàn hơn.
Chính sách là cốt lõi, là trung tâm để có thể bắt đầu xây dựng các giải pháp an toàn thông tin.Từ bộ chính sách bảo mật, ngoài việc sẽ đưa ra được giải pháp an ninh toàn diện còn đưa vào ý thức, trách nhiệm của thành viên trong tổ chức doanh nghiệp về an toàn thông tin. Từ lâu, việc không có chính sách bảo mật thông tin mà chỉ có giải pháp an ninh đã gây cho việc xây dựng giải pháp không toàn diện, nhận thức về bảo mật của nhân viên chưa cao, họ chưa xác định được trách nhiệm của họ trong các hành vi liên quan tới an ninh.
Không có chính sách bảo mật thông tin
Thực tế là hiện nay, trong các tổ chức doanh nghiệp, chúng ta thấy đều xuất hiện “chính sách ngầm” về bảo mật thông tin. Ví dụ như không được cài sniffer (phần mềm nghe lén) trong mạng, không được gửi e-mail mạo danh, không được sao chép tài liệu ra ngoài, không được dùng phần mềm không có bản quyền… Những chính sách này đều bàn thảo không chính thức, không ban hành, không phổ biến rộng rãi. Điều này làm cho nó không có hiệu lực, không đưa ý thức an toàn thông tin vào thành viên, không quy được trách nhiệm về pháp lý, thậm chí có thể còn xung đột với các văn bản ban hành.
Hiện tại, các tổ chức doanh nghiệp chỉ mới đưa ra các giải pháp công nghệ là chính và họ xây dựng chưa dựa vào chính sách bảo mật. Tức là họ xây dựng giải pháp mà không theo chính sách bảo mật bởi họ chưa có chính sách bảo mật. Mô hình mà họ đang xây dựng là theo mô hình bottom-up. Tức là họ xây dựng hạ tầng thông tin, giải pháp bảo mật trước rồi sau đó mới xây dựng chính sách bảo mật. Đây có lẽ là do họ chưa quan tâm, để ý đến việc xây dựng chính sách bảo mật, chưa thấy rõ tầm quan trọng của chính sách bảo mật. Chính vì vậy, các giải pháp công nghệ xây dựng đều không toàn diện, thiếu đâu vá đấy, không mang tính tổng thể đồng bộ, chi phí cao. Ví dụ: Xây dựng hệ thống bảo mật mạng firewall, ips. Sau đó thì do hệ thống máy tính bị virus -> đề xuất giải pháp diệt virus. Sau đó thấy hệ thống không kiểm soát được việc truy cập mạng -> đề xuất giải pháp kiểm soát truy cập mạng NAC..-> thể hiện sự thiếu toàn diện, chiến lược. Hay tại trung ương xây dựng giải pháp này nhưng tại chi nhánh của họ thì lại xây dựng giải pháp kiểu khác -> thể hiện sự không đồng bộ.
Theo khuyến cáo của các tổ chức trên thế giới, để xây dựng hệ thống an toàn thì nên xây dựng theo mô hình top-down tức là phải xây dựng chính sách bảo mật trước. Tổ chức thực thi theo chính sách bảo mật bao gồm con người, quy trình, giải pháp công nghệ, vật lý. Phương pháp này đạt được tính toàn diện, đồng bộ và lâu dài.
Trong các tài liệu chuẩn về an toàn thông tin như ISO27001 hay COBIT thì đều đưa nhiệm vụ xây dựng chính sách bảo mật đầu tiên trong lộ trình xây dựng hệ thống an toàn thông tin.Xây dựng chính sách bảo mật cho các tổ chức doanh nghiệp
Chính sách bảo mật đưa ra tác động đến toàn bộ hệ thống bao gồm phần mềm, phần cứng, truy cập, con người, các kết nối, hệ thống mạng, hạ tầng viễn thông. Để xây dựng được một bộ chính sách bảo mật tốt trước tiên chúng ta cần xác định được các tài nguyên trong hệ thống, đánh giá mức độ quan trọng, phân loại chúng. Cần thiết phải xác định được đủ các tài nguyền vì như vậy, bộ chính sách viết ra mới bao quát được toàn bộ tất cả những gì cần phải bảo vệ. Đánh giá các chức năng, quy trình hoạt động sử dụng các tài nguyên. Sau đó, xác định tài nguyên nào chúng ta cần bảo vệ. Từ đó đưa ra các chính sách bảo mật bảo vệ các tài nguyên đó.
Kết luận.
Để đảm bảo an toàn hệ thống thông tin, không những chúng ta phải có giải pháp mà cần có con người, có quy trình, có áp dụng các tiêu chuẩn an toàn. Có sự kết hợp giữa các yếu tố đó để thực hiện vận hành, quản trị nâng cấp hệ thống được an toàn hơn. Tất cả những điều đó đều xuất phát từ chính sách bảo mật của tổ chức doanh nghiệp. Nó là trung tâm tiền đề để thực hiện:
– Xây dựng quy trình an toàn thông tin
– Xây dựng các giải pháp an toàn thông tin
– Áp dụng các tiêu chuẩn an toàn thông tin
– Đưa ra các hướng dẫn thực hiện an toàn thông tin
– Đưa ý thức an toàn thông tin vào các thành viên tổ chức
– Đưa trách nhiệm an toàn thông tin vào các thành viên tổ chức
– Tránh việc vi phạm an toàn thông tin dẫn tới vi phạm pháp luật
Tất cả những điều đó thể hiện chính sách bảo mật là rất quan trọng đối với tổ chức, doanh nghiệp, cần phải có bộ chính sách bảo mật thông tin, cần phải xây dựng hệ thống theo mô hình top-down.