Kinh nghiệm quản lý an toàn thông tin hiệu quả
Giới thiệu
Những kinh nghiệm trình bày trong bài viết này được đúc kết qua những
công việc thực tế mà tôi đã từng thực hiện tại một công ty thế chấp tài sản.
Công ty bao gồm các chi nhánh văn phòng và các ngân hàng điện tử, ngân
hàng trực tuyến. Với cương vị là người phụ trách về an toàn thông tin trong
công ty việc đầu tiên tôi cần phải làm là vấn đề an toàn, bảo mật xuyên suốt
công ty. Công ty thế chấp tài sản và tất cả các hệ thống của nó phải được
quản lý dưới cùng một tiêu chuẩn về bảo mật dùng trong ngân hàng.
Bạn sẽ tìm được ở đây các báo cáo đề cập đến các nghiên cứu và kết quả mà
tôi đã vạch ra từ trước nhằm thực hiện và áp dụng vấn đề bảo mật thông tin
trong công ty này, cũng như các mục tiêu nhằm bảo đảm thành công của
chúng tôi khi mạo hiểm đầu tư vào ngân hàng điện tử.
Với thời gian nhỏ hơn 90 ngày tính đến khi ngân hàng mở cửa khai trương
hoạt động (cả ngân hàng thông thường và ngân hàng điện tử), tôi cần có một
kế hoạch nghiêm túc đối phó với các tấn công. Các nghiên cứu chỉ ra rằng
một kế hoạch và kiểm tra sẽ là nhân tố thành công của bảo mật. Sau khi
nghiên cứu về ngân hàng và thương mại điện tử, tôi đã theo các bước ở dưới
đây để quản lý về bảo mật và chuẩn bị cho việc xây dựng chế độ an ninh cho
ngân hàng mới mở.
Thu thập thông tin
Bạn hãy tìm hiểu xem hệ thống của bạn làm việc như thế nào và tự đào tạo
mình về an toàn, bảo mật thông tin. Hãy bắt đầu công việc quản lý an toàn
thông tin bằng cách thu thập và đánh giá dựa trên các dữ liệu đã có. Sau đó,
tôi giữ lại bản sao của tất cả các chính sách, thủ tục, các bài học, các đánh giá
về rủi ro, các xác nhận, chứng thực, các ứng dụng có trong hệ thống (phần
mềm), và sơ đồ mạng. Các tài liệu về mạng, về phần cứng, và về ứng dụng
cũng được thu thập đầy đủ. Chúng được xem xét tổng hợp lại trên cơ
sở những hiểu biết của tôi về các sản phẩm thương mại và văn hóa công ty.
Các chính sách bị mất mát, thiếu sót được ghi chép lại, và các biểu đồ tiến
trình thực hiện đã giúp tôi hiểu rõ ràng về các chính sách trong hệ thống
thông tin đã có và các thủ tục, các kiến trúc, và các cơ sở hạ tầng.
Chính sách bảo mật
Một hệ thống an toàn, bảo mật tốt bắt đầu từ một chính sách rõ ràng có thể
triển khai. Trong môi trường ngân hàng, cũng có các yêu cầu cần điều chỉnh
để xem xét nhiều mặt của chính sách an toàn, bảo mật, cũng như nắm bắt và
báo cáo về các rủi ro, thiệt hại do tấn công. Bạn cũng có thể tham khảo các
tài liệu tốt nhất về chính sách an toàn, bảo mật áp dụng cho ngân hàng tại
nhiều website như: Federal Financial Institutions Examination Council
(FFIEC), Office of Thrift Supervision (OTS), and the Office of the
Comptroller of the Currency (OCC).
Theo luật định, các tập đoàn viễn thông, và các chuyên gia về nguồn nhân lực
cần xem xét một cách toàn diện chính sách an toàn, bảo mật. Chính sách an
toàn, bảo mật cần phải bao gồm kế hoạch bảo mật để đảm bảo thống nhất với
tất cả các kiến trúc và các đối tượng hiện có trong toàn công ty.
Đánh giá rủi ro/Phân tích lỗ hổng
Quản lý rủi ro là một quá trình xác định tiết lộ bảo mật và các giải pháp đã
được khuyến cáo. Nó nhằm mục đích cung cấp cho nhà quản lý các thông tin
về rủi ro và các hành động khắc phục cần thiết. Có trong tay các đánh giá,
người quản trị có thể ra các quyết định làm như thế nào để bảo vệ các thông
tin của họ. Tôi sử dụng một công cụ đánh giá rủi ro để giúp tôi phát hiện các
lỗ hổng có thể đe dọa đến tính bí mật, tính toàn vẹn, và tính sẵn sàng của
thông tin. Mỗi khi tôi phát hiện và ghi chép lại các rủi ro, các thông tin đó
được những người có trách nhiệm quyết định xem mức độ rủi ro có thể chấp
nhận được hay không. Các rủi ro được chấp nhận sẽ được xem xét lại và hỗ
trợ cho việc tài liệu hóa quá trình giải quyết các lỗi vi phạm. Các rủi ro không
được chấp nhận sẽ đòi hỏi phải có kế hoạch hành động sửa chữa để loại trừ
hay giảm thiểu rủi ro.
Với các dữ liệu thu thập được và một đánh giá đầy đủ về rủi ro, bước tiếp
theo là thực hiện phân tích các lỗ hổng của hệ thống. Trên cơ sở các bài học
của FFIEC IS, tôi tiến hành xác định các lỗ hổng và phác thảo ra một kế
hoạch hành động. Với các trang bị về đánh giá rủi ro/phân tích lỗ hổng và
một kế hoạch cho dự án, tôi bắt đầu chuẩn bị kế hoạch bảo mật của cá nhân.
Nhận thức về bảo mật
Một tháng sau khi ngân hàng mở cửa; tôi thuê một nhà cung cấp an toàn, bảo
mật để giúp đỡ tôi trong việc nhận thức nó tốt hơn. Chúng tôi cùng xem xét
một vài Website về an toàn, bảo mật (cả về nhà cung cấp và thực hiện) và tổ
chức vài cuộc họp bàn về những kết quả mà chúng tôi học được trong lĩnh
vực bảo mật. Các khoá đào tạo về bảo mật đưa ra rất nhiều câu hỏi và trả lời
được trình bày trong các hình thức thong tin qua điện thoại hoặc thư tín điện
tử trực tiếp. Các hoạt động này giúp mọi người ghi nhớ và quan tâm thực sự
