10 cách giảm nhẹ nguy cơ bảo mật doanh nghiệp

10 cách giảm nhẹ nguy cơ bảo mật doanh nghiệp

Th i gian là ti n b c và khi nói đ n các doanh nghi p v a và nh thì h ờ ề ạ ỏ ệ ừ ẹ ọ ế ỏ ể ả thi u c hai. Do đó các chuyên gia an ninh đã chia s nh ng m o nh đ gi m nh nguy c b o m t thông tin khi s d ng các ngu n tài nguyên nh . ỏ ử ụ ẻ ữ ồ ế ả ẹ ơ ả ậ

Ph ng pháp t t nh t đ b o đ m an toàn cho các doanh nghi p v a và nh là gì? ươ ố ấ ể ả ệ ừ ả ỏ

ố ư ữ i các công ty nh th i “đa năng”. Ph ng pháp này này ế ả ườ ệ ố ớ ạ ỏ ự ộ ể ch c. Không gi ng nh nh ng doanh nghi p l n có kh năng thuê các chuyên gia CNTT, an ệ ớ ng ch c n m t ng ninh t ộ ỉ ầ ỏ ườ đ ng hóa an ninh l n nh t đ c bi đòi h i t ấ ặ ớ m t nhóm nh có th th c s b o v hi u qu an toàn cho toàn b t ể ự ự ả t đ i v i các hi m h a c p cao, vì th ả ươ ọ ấ ộ ổ ứ ệ ệ ộ ỏ

ố ư ữ ệ ừ ộ ố ệ ớ ậ ề

ề ả ậ ố ồ ỏ ể ặ ớ ấ ề ế ằ ả ủ ệ ộ Cũng không gi ng nh nh ng doanh nghi p l n, các doanh nghi p v a và nh ch ỏ ỉ ưở dành m t s ít nhân viên làm công vi c b o m t thông tin; nhi u công ty tin t ng ệ ả hoàn toàn vào c v n hay các nhà cung c p. Trung bình các doanh nghi p v a và nh ỏ ố ấ ệ ừ ấ ố cũng dành khá nhi u ngu n v n đ đ i m t v i v n đ b o m t. CJ Desai, giám đ c ể ố ề t "Nhi u doanh nghi p nh đi n hình đã tìm i Symantec cho bi qu n lý bán hàng t ệ ế ạ ả ậ 3 đ n 5% ngân qu CNTT vào b o m t". đ n chúng tôi và nói r ng h đã dành t ỹ ừ ọ ế B ng phép so sánh c a trung tâm nghiên c u Forrester, m t doanh nghi p trung bình ứ ằ dành 8% ngân sách cho v n đ an toàn thông tin. ấ ề

ề ố ợ ệ ừ ắ ả ỏ ư ộ ứ ủ ệ ệ ượ ả ỏ ướ ệ i 100 nhân viên) không đ ề ế ả ậ ộ ấ ả ề ệ ớ ể ị ấ ụ ề T nh ng con s g i ý đó, nhi u doanh nghi p v a và nh đã c t kho n đ u t vào ầ ư ừ ữ b o m t. Theo nh m t nghiên c u c a vi n Công ngh doanh nghi p nh , đã đánh ậ ỏ ệ ả c b o v thích đáng, giá m t trong năm công ty nh (d ộ ạ ph n l n các công ty này không có các c nh sát m t, và nhi u công ty ch l p k ho ch ỉ ậ ầ ớ đ i phó sau khi đã x y ra nhi u cu c t n công. Ngày nay các doanh nghi p v a và nh ỏ ệ ừ ố cũng nh các doanh nghi p l n đ u có th b t n công hay là m c tiêu nh m t ớ ủ i c a ắ r t nhi u m i đe d a. ấ ư ề ố ọ

ộ ư ọ ừ ầ ế ộ ế ư ự ả ố ỏ ờ ạ ữ ệ ử ự ẵ ả ố ệ ơ Đ a ra m t danh sách nh ng m i đe d a, cũng nh s khan hi m th i gian, ngu n tài ồ nguyên… các doanh nghi p nh và v a c n phác th o ra m t k ho ch x lý nh ng ữ nguy c an ninh mà hi n nay nay đang ph i đ i m t, s d ng ngu n nhân l c s n có, th i gian và các ngu n tài nguyên đ gi m nh t ặ ử ụ i đa các m i đe d a. ố ể ả ồ ọ ẹ ố ờ ồ

ng trình b o m t nhanh ủ ẻ ậ ậ ươ ả ậ Các chuyên gia b o m t đã chia s 10 th thu t giúp cho ch ả và r h n nhi u. ẻ ơ ề

1. Phòng th t đ ng nh m t i malware ủ ự ộ ắ ớ

ầ ưở ỏ ệ ừ ạ

ầ ạ ả ầ ổ Ý t ng đ u tiên trong vi c phòng b cho các doanh ệ nghi p v a và nh là khóa và lo i tr các lo i virut, worm, spyware và ph n m m có h i khác bao g m trình ề ồ t ể i c các đi m ả cu i và c ng vào. Ti p đ n, tri n khai ph n m m ề ế ch ng malware và ph n m m l c cho các c ng e-mail, ề ị ạ ừ ạ i Trojan và ph n m m Keylogger t ố ố ầ ề ế ầ ể ọ ổ

ặ ể ả ườ i dùng. Đ gi ị ề ệ ề ạ ế ng mang theo malware) đ n ngăn ch n malware và spam (spam th ườ i quy t v n đ này nhi u doanh nghi p máy tính ng ệ ế ấ ề v a và nh đã trang b công c “qu n lý hi u qu ” ch y nhi u công ả ả ụ ỏ ừ t b . ngh b o m t trên cùng m t thi ế ị ệ ả ậ ộ

ộ ư ề ẽ ồ ề ấ ầ ờ ộ ạ ư n u b n cùng lúc b n quá nhi u viên đ n vào đích thì ch c ch n s có ế ề ắ ạ ắ ự ế ầ ọ ố ể ộ ỗ ươ ủ ợ ủ ặ ử Các phòng th gateway m t chi u s không còn phù h p. Nh Randy Abrams, giám ủ ợ i ESET đ ng th i cũng là m t nhà cung c p ph n m m b o đ c đào t o k thu t t ả ố ậ ạ ỹ m t đã đ a ra " ắ ẽ ạ ậ ". Vì th hãy l a ch n và cài đ t ph n m m ch ng virut thích m t vài viên xuyên qua ặ ề ộ ng trình h p v i m i laptop, máy đ bàn, máy ch và các thi t b di đ ng. M i ch ế ị ỗ ớ ợ ng l a cá nhân ngăn ch n các xâm nh p trên máy ch . L i th c a đ u bao g m t ế ủ ậ ồ ề là d đi u khi n và nâng c p. các thi ể ườ t b đ n l ế ị ơ ẻ ễ ề ấ

ề ử ụ ả ắ ị i dùng ng t các bi n pháp an ệ " Teixeira ườ ư ể t. S d ng quy n qu n tr trên máy tính đ ngăn ch n ng ể t t ninh, "đ các nhân viên không th t ể ắ ườ Ron, giám đ c đi u hành Liên minh an ninh Qu c gia Cyber (NCSA) cho bi ề ệ ng l a n u nh IM không làm vi c ế ặ ử ế ố ố

t c máy tính vào ban đêm. ờ ậ ụ ố ỹ ồ ệ ữ i máy “ Đ ng th i cũng t n d ng các k thu t phòng ch ng: T t t ậ ắ ấ ả Vi c làm này không nh ng ngăn ng a t n công trong th i gian ngh , mà khi ng ờ ừ ấ h đi u hành có th kh i đ ng l i và ki m tra toàn b dùng kh i đ ng l ệ ề ể ở ộ ở ộ ỉ ể ườ i ộ". ạ ạ

2. Nhanh chóng có b n vá l ả ỗ i

ả ả ẽ ả ệ ậ i, n u không có các b n vá l ệ ề ộ ả ờ t”. Vì v y, ph i luôn nhanh chòng c p nh t nh ng s a l ng trình b o m t hi u qu s đ m b o cho h đi u hành và các ng d ng ụ ả ứ i k p th i toàn b máy tính c a b n có th b ể ị ủ ạ i m i nh t cho máy ấ ớ ử ỗ ỗ ị ậ ữ ả ậ M t ch ươ ộ c s a l đ ế ượ ử ỗ “tiêu di ậ ệ ch và các máy tính trong m ng.. ủ ạ

N u nh đ ề c h i m t năm tr ộ ướ ẽ ệ ậ ế ấ ổ ấ

ỉ ủ ề ự ư ọ ấ ả ả ụ ệ ả ể ộ ủ c đây, tôi s nói Đi u gì đã thúc đ y nhanh chóng? " ẩ ư ượ ỏ ộ r ng vi c c p nh t theo t ng quý là r t n, nh ng hi n nay hãy xem s chuy n đ ng ừ ể ự ậ ằ ệ ư t khi có nhi u nhà cung c p h n -- không ch riêng Microsoft -- theo hàng tháng, đ c bi ề ặ ơ ệ i theo tháng ng xuyên có b n vá l th ", Gerhard Eschelbeck, CTO c a Webroot nh n ậ ỗ ả ườ đ nh. Tuy nhiên, m t k ho ch s a l ạ i hi u qu cũng đ a ra nhi u l a ch n: "B n ạ ử ỗ ộ ế ị ồ c, còn ph i ph thu c vào th c t ". Do đó, các ngu n i đ t c các l không th vá t ự ế ỗ ượ tài nguyên bên ngoài - nh danh sách “ 20 mục tiêu tấn công bảo mật Internet” c a SANS - ư là đ xác đ nh nh ng l i nào d b t n công. ễ ị ấ ị ữ ể ỗ

đ ng vá l ự ộ ể ấ ỗ ỏ ệ ườ ả ậ ỏ ế ử ụ ụ ả ỗ ờ i trên s l i nhi u nh t trong kh năng có th . Các c a hàng nh - đa Thêm vào đó, t ử ề ả ng xuyên. Các doanh nghi p nh s s d ng Window -- có th b o đ m c p nh t th ể ả ậ ố ử ụ và v a h u h t s d ng ph n m m qu n lý l ầ i chuyên d ng, làm tăng th i gian c n ừ ầ ề ầ t đ s a l ng l n máy tính. thi ế ể ử ỗ ố ượ ớ

3. M t kh u: không nên coi nh ậ ẩ ẹ

ắ ằ Ngày nay r t nhi u s truy nh p đòi h i m t kh u. Do đó “ ọ hãy ch c ch n r ng m i ậ ẩ ắ ậ i b t kì ph n nào, s d ng công ngh nhân viên đ u đã s d ng hi u qu m t kh u t ầ ẩ ạ ấ ệ ề ự ử ụ ỏ ả ậ ử ụ ấ ề ệ

ở ữ ử ụ ệ ệ ể đi n nhanh chóng s d ng hàng nghìn t xác th c đa h s ; vì tin hay không thì nhân viên ự nh đ c bi ậ ỏ ặ hacker ch ng chút khó khăn gì có th phát hi n ra ẳ công t ừ ể ệ nh ng doanh nghi p ệ ố ư ậ t thích s d ng tên làm tên đăng nh p và m t kh u, nh v y ậ ẩ ”. Th c v y-- nh ng t n ấ ự ậ ữ đ đoán m t kh u. ậ ử ụ ừ ể ẩ

, và thay vào đó ả th c t ừ ự ế Đây m t gi nên s d ng ch cái đ u tiên c a m i t i pháp hay: Mách ng ủ ầ i s d ng tránh dùng các t ườ ử ụ . ỗ ừ ộ ử ụ ữ

4. Đ nh nghĩa “Ho t đ ng an toàn” ạ ộ ị

ấ ế ậ ự ế ợ ậ c đi u này trên ph ạ ộ t ho t đ ng b n có th nh n bi ể ạ ể ễ ấ ", nh ng các công ty không mong đ i có th d ng di n ho t đ ng hay pháp lý, tr phi chũng ậ ượ c ch p nh n khi tr c ti p th y ươ ề c? Trong khi " ư ệ ạ ộ ừ Nh ng ho t đ ng nào ch p nh n đ ạ ộ ữ nào đ ấ ượ dàng đòi h i đ ỏ ượ c ghi ra gi y. đ ấ ượ

i dùng s ch ng bi ậ ậ Ng ườ t làm gì là ế", theo như ủ ụ ả ữ ậ ắ i c a Abrams. Th c v y, các quy đ nh cho nhân viên bi ạ c yêu c u làm gì ầ ẽ ẳ ộ t h đ ế ọ ượ ự ậ ẩ ứ ị ấ Nh p vào các chính sách và th t c b o m t. " ế đúng và không đúng, do v y nên có nh ng chính sách b t bu c và h n ch l ị ờ ủ (thay đ i m t kh u c 30 ngày m t l n) hay b c m làm gì (xem các trang web không ộ ầ ậ ổ lành m nh). ạ

5. ng d ng Th c hành Ứ ụ ự

ầ ủ ắ ả ấ ộ ấ ặ i đa an toàn trong kho ng th i gian ng n nh t, m t ph n c a chính sách Sau ể ậ ự ố ể ử ụ ộ ợ ụ ụ ẽ ỉ ử ụ ề ầ ề ả ả ầ Đ th t s t ờ "có th s d ng" c m dùng cài đ t các ph n m m không h p pháp lên máy tính. " ầ đó b t bu c và b o đ m s ch s d ng các ph n m m ph c v cho nhu c u doanh ắ nghi pệ ”.

ử ụ ế ệ ợ ế ậ ả ẽ ạ ả ầ ị ộ ạ ẽ ấ ộ ế ơ ẽ ề ẹ ằ ọ t ki m th i gian vì s d ng ph n m m ề Đây là cách ti p c n c i thi n s an toàn và ti ầ ệ ự ờ ể ử ỗ i. không h p pháp s t o ra nh ng l h ng b o m t và c n thêm th i gian đ s a l ờ ậ ỗ ổ ữ ố ễ Ngoài ra, n u máy tính b nhi m ph n m m đ c h i s r t khó đ tr ti t t n g c r . ề ể ừ ệ ậ ầ ễ S nhanh h n nhi u khi d n d p và làm l ẩ i m t máy tính b ng m t b ghost chu n ộ ộ ạ không c n ph i cài thêm các ng d ng b sung . ổ ứ ụ ầ ả

6. Đ ng b t c, hãy lên k ho ch ế ạ ế ắ ừ

ặ ấ ặ ứ ả ớ ộ

t s ph i làm gì? ả ế ẽ m i ngày - đi u này là ph bi n ổ ế ề ấ ừ ự s ng pháp x lý, ít nh t t ử ậ ỗ ợ ầ ờ ỗ ươ ỏ Khi g p v n đ tr c tr c, v i ý th c b o m t, m t nhân viên có bi "Khi không có m t nhân viên CNTT nào h tr 24 gi ở ộ ph i h p và truy n thông " Webroot’s Eschelbeck. các doanh nghi p v a và nh - nhân viên c n m t ph ố ợ ề ụ ộ ệ ừ ề

ờ ầ ể ậ ừ ự ế ả ỉ ể ề ậ ệ ậ ộ ế ả ứ ướ ạ ỏ ệ ấ ố ẩ ấ ư V n đ này yêu c u th i gian đ l p k ho ch xem xét, ph i th a nh n đây là s xa x ậ ạ ấ b o m t tiêu bi u hi m có trong mô hình các doanh nghi p nh và v a. Th m chí vì ừ ế ả c vi c t n công thành công và ng tr th "ế có m t k ho ch ph n ng kh n c p: l ườ i khuyên. Cu i cùng thì nhân viên nên " Abrams đ a ra l t s làm gì khi nó x y ra bi ờ ả ế ẽ g i ai khi mà ph n m m b o m t c a h đã b nhi m ph n m m đ c h i? ị ậ ủ ọ ả ề ọ ộ ạ ễ ề ầ ầ

ẩ ấ ắ ạ ạ ộ ộ ư ữ ấ ị ầ Khi l p k ho ch cho m t tình tr ng kh n c p, hãy n m rõ các yêu c u. Ví d , n u m t công ty l u tr các thông tin cá nhân khách hàng trong đó , s yêu c u công ty c nh báo cho toàn b nhân viên khi th y thông tin b ẽ ộ ả m t, b tr m hay h th ng b xâm ph m. ệ ố ấ ế ậ ụ ế ầ ị ộ ạ ị

7. T o thói quen sao l u (backup) ư ạ

c ng h ng, cháy n đi n, công ầ ề ấ ữ ệ ổ ệ ỏ

ữ ệ t cách sao l u d li u th ng t ớ ấ ườ ề ọ ả ướ ể ả ề ả M t d li u, bão lũ, ph n m m phá ho i, h ng cáp, ỏ ổ ứ ạ ả nhân đình công và th m chí ngay c malware: không có v n đ nào là không nh ấ ề ậ ả c sao l u c p ng xuyên đ h ư ậ i tính toàn v n c a d li u, tr khi d li u th ườ ừ ưở ượ ẹ ủ ữ ệ i đ u ph i bi nh t. T t nhiên m i ng ng xuyên. Do đó ả ườ ư ữ ệ ế ậ ng d n đ m i nhân viên đ u có th đ m b o an toàn cho nhân viên CNTT ph i h ể ọ ẫ d li u công ty. ữ ệ

ộ ề ả ố ả ế ặ ễ ấ ượ ư c l u đ ng và đ m b o k t qu backup đ ả đ ng i nh ng t n công. Ho c d dàng và t ự ộ đ ng, dù v y cách này không ph i lúc nào ậ ả Có th s d ng m t ph n m m sao l u t ư ự ộ ầ ể ử ụ i v trí an toàn đ s n sàng ch ng l tr t ạ ữ ể ẵ ữ ạ ị h n là tri n khai d ch v backup online t ự ộ ụ ị ể ơ cũng ít chi phí h n. ơ

8. Ki m tra: b o v và ch ng trình b o v ả ệ ể ươ ả ệ

ộ ế ng trình phát hi n virut “kêu inh ệ ỏ " ESET Abrams đã đ t câu h i. " ộ ạ ệ ư ở i” mà không ai xung quanh nghe th y ấ ắ ỏ B n đã ki m tra và n m ể ặ ng m i th , ứ i b t n công? B i vì IDS đang làm l ch h ướ ọ ộ t lý do? B i vì các t n công luôn thay đ i cho đ n khi k t n công đ t ẻ ấ ạ ị ấ ấ ế ổ ở " "N u m t ch ươ thì nó có th t s là m t virut? ậ ự rõ các b n ghi nh ng sao l ả b n mu n bi ạ ế ố nh p vào trong. ậ

ỏ ậ ệ ố ừ ậ ệ ệ ể ồ t l p b o m t đ d t l p an toàn máy ch . " ng trình di ế ậ ả ẫ ử t virut đ theo dõi các t n công màn hình, và đ ng th i cũng ờ ậ ể ễ ấ ấ ủ Hacker s thay đ i thi ổ ẽ ổ ả ộ ự ệ i, hãy chú ý khi có m t s thay đ i b o m t thì đó là d u hi u ế ậ ậ ở ạ Th m chí các doanh nghi p nh và v a không có h th ng thăm dò xâm nh p v n s d ng các ch ươ ụ theo dõi các thi dàng h n khi quay tr l ơ đ u tiên c a s xâm nh p ủ ự ầ ậ ”.

ạ 9. Đào t o b o m t: Hãy sáng t o ậ ạ ả

ế ả ư ố i, quy trình và công ngh . " i l ố ớ ầ ườ ả ệ Nh ng m i ng ệ ả ầ i l ườ ạ ờ ấ v n đ này đi ề ư Đ i v i h u h t các công ty, mu n b o m t hi u qu thì c n ph i l u tâm đ n con ế ậ " nhà nghiên ng ọ c u Forrester c nh báo. ứ ả

ng b o m t tin c y. Đi m kh i đ u t ộ ậ ươ ở ầ ố ể ấ ọ ả ớ ơ ả ữ ợ ể ẩ ẽ ể ề ể ễ ậ ử ụ ẽ ạ ề ể ầ t c các truy n thông; s d ng máy tính trong khách s n hay đi m Internet t ấ ả ể ọ ữ ệ ở ấ ộ Hãy luôn duy trì m t ch ộ t nh t là nên có m t ậ khóa h c ng n đ nhân viên m i có nh ng kĩ năng c b n: màn hình tr giúp s không ắ yêu c u m t kh u; Đ phòng các đi m Wi- Fi mi n phí vì s có ai đó đó có th theo i dõi t ạ ệ sân bay đ sao chép m i d li u và tài li u đính kèm; Không m b t kỳ m t tài li u ệ đính kèm nào trong e-mail khi th y có d u hi u nghi ng . ờ ấ ệ ấ

ề ố ạ ướ ộ c mà nói thì đây là m t Vi c đào t o này không h t n kém; Hài h ng pháp ti p c n đ tài b o m t. ph ệ ươ ế ậ ề ả ậ

ỉ ườ ộ ự ấ ể ỉ ả ế ằ ộ i dùng bi ở ộ ế ộ ấ ạ ị ặ ạ ữ ề t r ng các cu c s t n công đ nh đi m ngày nay Ch ra cho ng i d ng bao vây máy tính. Mà không ph i gây ra b i cu c chi n Siberian l ợ ụ đây là thói quen lâu đ i, là cu c t n công k thu t mang tính c ng đ ng. ồ ậ ờ ỹ i khi mà b n có quy n đòi h i cho nh ng nhu c u c a ầ ủ i sao b n b ch n l ỏ ạ ắ ầ ạ ụ ầ ằ ộ ộ ấ ự ế ằ ả ố ệ ả ề ườ ẽ ệ ậ ư ậ ạ Th c v y, t ự ậ mình? M t ví d g n đây là cu c t n công IRS phishing, b t đ u b ng m t e-mail ộ i nh n kích thông báo r ng IRS đang xây d ng b n tham kh o khách hàng. N u ng ậ ườ ng link s hi n ra trang Web yêu c u đi n tên và s đi n tho i, h a tr vào đ ả ứ ạ ầ 80USD khi ch ng nh n qua đi n tho i sau đó. Và nh v y khi IRS c n s th tín d ng ụ ầ ố ẻ ệ ứ ”. Đ y là lúc h có nh ng thông tin h u ích đ g i ti n. Abrams cho r ng " ữ ọ ể ử ề ữ ằ ấ

10. Mã hóa: Thi t l p r i quên ế ậ ồ

ố ấ ể ả ỏ ị ấ ớ ị

t nh t đ b o v thông tin kh i b m t, b tr m hay b dùng sai là gì? V i ph n ầ c ng s tr nên khó khăn v i ớ Laptop hay b m t và đi u b n mu n là không ai ố ề ị ộ ệ đĩa thì vi c xâm nh p d li u ậ ữ ệ ổ ứ ộ ổ ị ấ ề ẽ ở ạ Cách t m m mã hóa toàn b ề nh ng ai không có quy n truy c p. " ữ có th ăn tr m máy r i bán nh ng thông tin khách hàng trên Internet ". ệ ậ ữ ể ộ ồ

ấ ộ ọ ượ c mã hóa thì không c n thi ạ ậ ữ ệ ộ ả ư ệ ầ ữ ệ ộ ứ t ph i đ a ra thông ế ư đĩa ộ ổ ơ ị ủ ỗ ả i cho tài chính. Đánh giá theo lu t b o m t thông tin thì n u m t công ty m t m t máy ch a các thông ậ ả ế tin quan tr ng, nh ng d li u đã đ ư báo. Trung bình giá c a m t thông báo s xâm ph m d li u theo vi n Ponemon đ a ra ự là 182USD cho m i b n ghi (không tính theo đ n v khách hàng), mã hóa toàn b r t có l ấ ợ