10 cách giảm nhẹ nguy cơ bảo mật của doanh nghiệp

10 cách giảm nhẹ nguy cơ bảo mật doanh nghiệp

Thời gian là tiền bạc và khi nói đến các doanh nghiệp vừa và nhỏ thì họ

thiếu cả hai. Do đó các chuyên gia an ninh đã chia sẻ những mẹo nhỏ để

giảm nhẹ nguy cơ bảo mật thông tin khi sử dụng các nguồn tài nguyên

nhỏ.

Phương pháp tốt nhất để bảo đảm an toàn cho các doanh nghiệp vừa và nhỏ

là gì?

Không giống như những doanh nghiệp lớn có khả năng thuê các chuyên gia

CNTT, an ninh tại các công ty nhỏ thường chỉ cần một người “đa năng”.

Phương pháp này này đòi hỏi tự động hóa an ninh lớn nhất đặc biệt đối với

các hiểm họa cấp cao, vì thế một nhóm nhỏ có thể thực sự bảo vệ hiệu quả an

toàn cho toàn bộ tổ chức.

Cũng không giống như những doanh nghiệp lớn, các doanh nghiệp vừa và

nhỏ chỉ dành một số ít nhân viên làm công việc bảo mật thông tin; nhiều công

ty tin tưởng hoàn toàn vào cố vấn hay các nhà cung cấp. Trung bình các

doanh nghiệp vừa và nhỏ cũng dành khá nhiều nguồn vốn để đối mặt với vấn

đề bảo mật. CJ Desai, giám đốc quản lý bán hàng tại Symantec cho biết

"Nhiều doanh nghiệp nhỏ điển hình đã tìm đến chúng tôi và nói rằng họ đã

dành từ 3 đến 5% ngân quỹ CNTT vào bảo mật". Bằng phép so sánh của

trung tâm nghiên cứu Forrester, một doanh nghiệp trung bình dành 8% ngân

sách cho vấn đề an toàn thông tin.

Từ những con số gợi ý đó, nhiều doanh nghiệp vừa và nhỏ đã cắt khoản đầu

tư vào bảo mật. Theo như một nghiên cứu của viện Công nghệ doanh nghiệp

nhỏ, đã đánh giá một trong năm công ty nhỏ (dưới 100 nhân viên) không

được bảo vệ thích đáng, phần lớn các công ty này không có các cảnh sát mật,

và nhiều công ty chỉ lập kế hoạch đối phó sau khi đã xảy ra nhiều cuộc tấn

công. Ngày nay các doanh nghiệp vừa và nhỏ cũng như các doanh nghiệp lớn

đều có thể bị tấn công hay là mục tiêu nhắm tới của rất nhiều mối đe dọa.

Đưa ra một danh sách những mối đe dọa, cũng như sự khan hiếm thời gian,

nguồn tài nguyên… các doanh nghiệp nhỏ và vừa cần phác thảo ra một kế

hoạch xử lý những nguy cơ an ninh mà hiện nay nay đang phải đối mặt, sử

dụng nguồn nhân lực sẵn có, thời gian và các nguồn tài nguyên để giảm nhẹ

tối đa các mối đe dọa.

Các chuyên gia bảo mật đã chia sẻ 10 thủ thuật giúp cho chương trình bảo

mật nhanh và rẻ hơn nhiều.

1. Phòng thủ tự động nhắm tới malware

Ý tưởng đầu tiên trong việc phòng bị cho các doanh

nghiệp vừa và nhỏ là khóa và loại trừ các loại virut,

worm, spyware và phần mềm có hại khác bao gồm trình tải Trojan và phần

mềm Keylogger tại cả các điểm cuối và cổng vào. Tiếp đến, triển khai phần

mềm chống malware và phần mềm lọc cho các cổng e-mail, ngăn chặn

malware và spam (spam thường mang theo malware) đến máy tính người

dùng. Để giải quyết vấn đề này nhiều doanh nghiệp vừa và nhỏ đã trang bị

công cụ “quản lý hiệu quả” chạy nhiều công nghệ bảo mật trên cùng một thiết

bị.

Các phòng thủ gateway một chiều sẽ không còn phù hợp. Như Randy

Abrams, giám đốc đào tạo kỹ thuật tại ESET đồng thời cũng là một nhà cung

cấp phần mềm bảo mật đã đưa ra "nếu bạn cùng lúc bắn quá nhiều viên đạn

vào đích thì chắc chắn sẽ có một vài viên xuyên qua". Vì thế hãy lựa chọn và

cài đặt phần mềm chống virut thích hợp với mỗi laptop, máy để bàn, máy chủ

và các thiết bị di động. Mỗi chương trình đều bao gồm tường lửa cá nhân

ngăn chặn các xâm nhập trên máy chủ. Lợi thế của các thiết bị đơn lẻ là dễ

điều khiển và nâng cấp.

Sử dụng quyền quản trị trên máy tính để ngăn chặn người dùng ngắt các biện

pháp an ninh, "để các nhân viên không thể tắt tường lửa nếu như IM không

làm việc" Teixeira Ron, giám đốc điều hành Liên minh an ninh Quốc gia

Cyber (NCSA) cho biết.

Đồng thời cũng tận dụng các kỹ thuật phòng chống: Tắt tất cả máy tính vào

ban đêm. Việc làm này không những ngăn ngừa tấn công trong thời gian

nghỉ, mà khi người dùng khởi động lại máy “hệ điều hành có thể khởi động

lại và kiểm tra toàn bộ".

2. Nhanh chóng có bản vá lỗi

Một chương trình bảo mật hiệu quả sẽ đảm bảo

cho hệ điều hành và các ứng dụng được sửa lỗi, nếu không có các bản vá lỗi

kịp thời toàn bộ máy tính của bạn có thể bị “tiêu diệt”. Vì vậy, phải luôn

nhanh chòng cập nhật những sửa lỗi mới nhất cho máy chủ và các máy tính

trong mạng..

Điều gì đã thúc đẩy nhanh chóng? "Nếu như được hỏi một năm trước đây, tôi

sẽ nói rằng việc cập nhật theo từng quý là rất ổn, nhưng hiện nay hãy xem sự

chuyển động theo hàng tháng, đặc biệt khi có nhiều nhà cung cấp hơn --

không chỉ riêng Microsoft -- thường xuyên có bản vá lỗi theo tháng", Gerhard

Eschelbeck, CTO của Webroot nhận định. Tuy nhiên, một kế hoạch sửa lỗi

hiệu quả cũng đưa ra nhiều lựa chọn: "Bạn không thể vá tất cả các lỗi được,

còn phải phụ thuộc vào thực tế". Do đó, các nguồn tài nguyên bên ngoài -

như danh sách “20 mục tiêu tấn công bảo mật Internet” của SANS - là để xác

định những lỗi nào dễ bị tấn công.

Thêm vào đó, tự động vá lỗi nhiều nhất trong khả năng có thể. Các cửa hàng

nhỏ - đa số sử dụng Window -- có thể bảo đảm cập nhật thường xuyên. Các

doanh nghiệp nhỏ và vừa hầu hết sử dụng phần mềm quản lý lỗi chuyên

dụng, làm tăng thời gian cần thiết để sửa lỗi trên số lượng lớn máy tính.

3. Mật khẩu: không nên coi nhẹ

Ngày nay rất nhiều sự truy nhập đòi hỏi mật khẩu.

Do đó “hãy chắc chắn rằng mọi nhân viên đều đã

sử dụng hiệu quả mật khẩu tại bất kì phần nào, sử dụng công nghệ xác thực

đa hệ số; vì tin hay không thì nhân viên ở những doanh nghiệp nhỏ đặc biệt

thích sử dụng tên làm tên đăng nhập và mật khẩu, như vậy hacker chẳng chút

khó khăn gì có thể phát hiện ra”. Thực vậy-- những tấn công từ điển nhanh

chóng sử dụng hàng nghìn từ để đoán mật khẩu.

Đây một giải pháp hay: Mách người sử dụng tránh dùng các từ thực tế, và

thay vào đó nên sử dụng chữ cái đầu tiên của mỗi từ.

4. Định nghĩa “Hoạt động an toàn”

Những hoạt động nào chấp nhận được? Trong khi "bạn có thể nhận biết hoạt

động nào được chấp nhận khi trực tiếp thấy", nhưng các công ty không mong

đợi có thể dễ dàng đòi hỏi được điều này trên phương diện hoạt động hay

pháp lý, trừ phi chũng được ghi ra giấy.

Nhập vào các chính sách và thủ tục bảo mật. "Người dùng sẽ chẳng biết làm

gì là đúng và không đúng, do vậy nên có những chính sách bắt buộc và hạn

chế", theo như lời của Abrams. Thực vậy, các quy định cho nhân viên biết họ

được yêu cầu làm gì (thay đổi mật khẩu cứ 30 ngày một lần) hay bị cấm làm

gì (xem các trang web không lành mạnh).

5. Ứng dụng Thực hành

Để thật sự tối đa an toàn trong khoảng thời gian

ngắn nhất, một phần của chính sách "có thể sử

dụng" cấm dùng cài đặt các phần mềm không hợp

pháp lên máy tính. "Sau đó bắt buộc và bảo đảm sẽ

chỉ sử dụng các phần mềm phục vụ cho nhu cầu doanh nghiệp”.

Đây là cách tiếp cận cải thiện sự an toàn và tiết kiệm thời gian vì sử dụng

phần mềm không hợp pháp sẽ tạo ra những lỗ hổng bảo mật và cần thêm thời

gian để sửa lỗi. Ngoài ra, nếu máy tính bị nhiễm phần mềm độc hại sẽ rất khó

để trừ tiệt tận gốc rễ. Sẽ nhanh hơn nhiều khi dọn dẹp và làm lại một máy

tính bằng một bộ ghost chuẩn không cần phải cài thêm các ứng dụng bổ sung

.

6. Đừng bế tắc, hãy lên kế hoạch

Khi gặp vấn đề trục trặc, với ý thức bảo mật, một nhân viên có biết sẽ phải

làm gì? "Khi không có một nhân viên CNTT nào hỗ trợ 24 giờ mỗi ngày -

điều này là phổ biến ở các doanh nghiệp vừa và nhỏ - nhân viên cần một

phương pháp xử lý, ít nhất từ sự phối hợp và truyền thông" Webroot’s

Eschelbeck.

Vấn đề này yêu cầu thời gian để lập kế hoạch xem xét, phải thừa nhận đây là

sự xa xỉ bảo mật tiêu biểu hiếm có trong mô hình các doanh nghiệp nhỏ và

vừa. Thậm chí vì thế "có một kế hoạch phản ứng khẩn cấp: lường trước việc

tấn công thành công và biết sẽ làm gì khi nó xảy ra" Abrams đưa ra lời

khuyên. Cuối cùng thì nhân viên nên gọi ai khi mà phần mềm bảo mật của họ

đã bị nhiễm phần mềm độc hại?

Khi lập kế hoạch cho một tình trạng khẩn cấp, hãy nắm rõ các yêu cầu. Ví dụ,

nếu một công ty lưu trữ các thông tin cá nhân khách hàng trong đó , sẽ yêu

cầu công ty cảnh báo cho toàn bộ nhân viên khi thấy thông tin bị mất, bị trộm

hay hệ thống bị xâm phạm.

7. Tạo thói quen sao lưu (backup)

Mất dữ liệu, bão lũ, phần mềm phá hoại, hỏng cáp,

ổ cứng hỏng, cháy nổ điện, công nhân đình công và

thậm chí ngay cả malware: không có vấn đề nào là

không ảnh hưởng tới tính toàn vẹn của dữ liệu, trừ khi dữ liệu thường xuyên

được sao lưu cập nhật. Tất nhiên mọi người đều phải biết cách sao lưu dữ liệu

thường xuyên. Do đó nhân viên CNTT phải hướng dẫn để mọi nhân viên đều

có thể đảm bảo an toàn cho dữ liệu công ty.

Có thể sử dụng một phần mềm sao lưu tự động và đảm bảo kết quả backup

được lưu trữ tại vị trí an toàn để sẵn sàng chống lại những tấn công. Hoặc dễ

dàng và tự động hơn là triển khai dịch vụ backup online tự động, dù vậy cách

này không phải lúc nào cũng ít chi phí hơn.

8. Kiểm tra: bảo vệ và chương trình bảo vệ

"Nếu một chương trình phát hiện virut “kêu inh ỏi” mà không ai xung quanh

nghe thấy thì nó có thật sự là một virut?" ESET Abrams đã đặt câu hỏi. "Bạn

đã kiểm tra và nắm rõ các bản ghi nhưng sao lại bị tấn công? Bởi vì IDS

đang làm lệch hướng mọi thứ, bạn muốn biết lý do? Bởi vì các tấn công luôn

thay đổi cho đến khi kẻ tấn công đột nhập vào trong."

Thậm chí các doanh nghiệp nhỏ và vừa không có hệ thống thăm dò xâm nhập

vẫn sử dụng các chương trình diệt virut để theo dõi các tấn công màn hình, và

đồng thời cũng theo dõi các thiết lập an toàn máy chủ. "Hacker sẽ thay đổi

thiết lập bảo mật để dễ dàng hơn khi quay trở lại, hãy chú ý khi có một sự

thay đổi bảo mật thì đó là dấu hiệu đầu tiên của sự xâm nhập”.

9. Đào tạo bảo mật: Hãy sáng tạo

Đối với hầu hết các công ty, muốn bảo mật hiệu quả thì cần phải lưu tâm đến

con người, quy trình và công nghệ. "Nhưng mọi người lại lờ vấn đề này đi"

nhà nghiên cứu Forrester cảnh báo.

Hãy luôn duy trì một chương bảo mật tin cậy. Điểm khởi đầu tốt nhất là nên

có một khóa học ngắn để nhân viên mới có những kĩ năng cơ bản: màn hình

trợ giúp sẽ không yêu cầu mật khẩu; Đề phòng các điểm Wi- Fi miễn phí vì

sẽ có ai đó đó có thể theo dõi tất cả các truyền thông; sử dụng máy tính trong

khách sạn hay điểm Internet tại sân bay để sao chép mọi dữ liệu và tài liệu

đính kèm; Không mở bất kỳ một tài liệu đính kèm nào trong e-mail khi thấy

có dấu hiệu nghi ngờ.

Việc đào tạo này không hề tốn kém; Hài hước mà nói thì đây là một phương

pháp tiếp cận đề tài bảo mật.

Chỉ ra cho người dùng biết rằng các cuộc sự tấn

công đỉnh điểm ngày nay không phải gây ra bởi

cuộc chiến Siberian lợi dụng bao vây máy tính. Mà

đây là thói quen lâu đời, là cuộc tấn công kỹ thuật

mang tính cộng đồng. Thực vậy, tại sao bạn bị chặn

lại khi mà bạn có quyền đòi hỏi cho những nhu cầu của mình? Một ví dụ gần

đây là cuộc tấn công IRS phishing, bắt đầu bằng một e-mail thông báo rằng

IRS đang xây dựng bản tham khảo khách hàng. Nếu người nhận kích vào

đường link sẽ hiện ra trang Web yêu cầu điền tên và số điện thoại, hứa trả

80USD khi chứng nhận qua điện thoại sau đó. Và như vậy khi IRS cần số thẻ

tín dụng để gửi tiền. Abrams cho rằng "Đấy là lúc họ có những thông tin hữu

ích”.

10. Mã hóa: Thiết lập rồi quên

Cách tốt nhất để bảo vệ thông tin khỏi bị mất, bị trộm hay bị dùng sai là gì?

Với phần mềm mã hóa toàn bộ ổ đĩa thì việc xâm nhập dữ liệu ổ cứng sẽ trở

nên khó khăn với những ai không có quyền truy cập. "Laptop hay bị mất và

điều bạn muốn là không ai có thể ăn trộm máy rồi bán những thông tin khách

hàng trên Internet".

Đánh giá theo luật bảo mật thông tin thì nếu một công ty mất một máy chứa

các thông tin quan trọng, nhưng dữ liệu đã được mã hóa thì không cần thiết

phải đưa ra thông báo. Trung bình giá của một thông báo sự xâm phạm dữ

liệu theo viện Ponemon đưa ra là 182USD cho mỗi bản ghi (không tính theo

đơn vị khách hàng), mã hóa toàn bộ ổ đĩa rất có lợi cho tài chính.