Xây dựng chiến lược bảo mật từ nội bộ

Xây dựng chiến lược bảo mật từ nội bộ

Tại một số doanh nghiệp, công tác bảo mật thường được tập trung vào việc

phòng tránh các nguy cơ, hiểm họa đến từ bên ngoài. Tuy nhiên, ông Ngô

Tuấn Anh, Giám đốc Bkis Telecom, cho rằng nguy cơ gây mất an ninh thông

tin có thể đến từ bên trong doanh nghiệp, do chính nhân viên của doanh

nghiệp vô tình hoặc cố ý gây nên.

Do vậy, việc bảo mật nội bộ cũng chính là một phần quan trọng nhằm đảm

bảo an toàn thông tin cho doanh nghiệp.

Nhiều doanh nghiệp trong nước nay đã ý thức được rằng thông tin cũng là

tài sản quan trọng, đóng vai trò quyết định sự thành bại trong hoạt động sản

xuất, kinh doanh. Các thông tin quan trọng cần được bảo vệ chặt chẽ trước

những nguy cơ nhằm giảm thiểu rủi ro và bảo đảm sự liền mạch.

Xây dựng chiến lược bảo mật nội bộ

Theo ông Ngô Tuấn Anh, việc bảo mật thông tin trong nội bộ một doanh

nghiệp nếu thực hiện không tốt sẽ rất nguy hiểm. Bởi nhân viên trong các

doanh nghiệp, tổ chức chính là những người có điều kiện tiếp xúc với hệ

thống thông tin của đơn vị dễ dàng hơn người ngoài. Do đó, nguy cơ gây

mất an ninh đối với hệ thống từ những thành viên trong nội bộ lớn hơn so

với bên ngoài.

Nếu muốn đánh cắp thông tin của một công ty, người ở bên ngoài phải tìm

các lỗ hổng an ninh của hệ thống, tấn công rồi sau đó mới có thể lấy được dữ

liệu nhưng đây không phải là việc dễ dàng. Trong khi đó, những thông tin

nội bộ lại rất dễ bị lộ ra bên ngoài bởi chính các nhân viên trong doanh

nghiệp, tổ chức, có thể chỉ vì thói quen lưu trữ dữ liệu tùy tiện, như lưu trên

các USB mà không tuân thủ các quy định, biện pháp về an toàn, an ninh

thông tin.

Qua kinh nghiệm làm nhà tư vấn an ninh thông tin cho các doanh nghiệp và

tổ chức, Bkis nhận thấy một số doanh nghiệp dễ sai lầm khi cho rằng đã bảo

đảm về an ninh thông tin khi chỉ mới đầu tư một vài thiết bị bảo mật (tường

lửa, thiết bị ngăn chặn tấn công hay phần mềm diệt virus). Trong khi đó,

điều quan trọng nhất là họ phải biết được hệ thống công nghệ thông tin

(CNTT) của mình có những điểm yếu và lỗ hổng nào, để từ đó đưa ra biện

pháp thích hợp nhằm khắc phục.

Các biện pháp khắc phục đôi khi không phải là đầu tư cho thiết bị, công

nghệ mà đơn giản chỉ là giải pháp về mặt quản lý. Chẳng hạn, ban lãnh đạo

doanh nghiệp có thể đưa ra một quy định mới hoặc thay đổi quy trình công

việc là có thể giải quyết được vấn đề. Ông Ngô Tuấn Anh tư vấn rằng khi

các doanh nghiệp có ý định đầu tư giải pháp bảo mật nội bộ thì nên thuê các

nhà tư vấn chuyên nghiệp, sau đó mới tiến hành các công việc khác. Nhà tư

vấn sẽ giúp doanh nghiệp liệt kê tất cả các nguy cơ gây mất an ninh thông

tin nội bộ và sau đó đưa ra các giải pháp để giải quyết.

Ngoài ra, để các giải pháp có thể được ứng dụng một cách khoa học và có

hiệu quả, doanh nghiệp nên tuân thủ theo hệ thống quản lý an ninh thông tin

theo tiêu chuẩn ISO 27001. Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất

cả các rủi ro về an ninh thông tin có thể xảy ra trong doanh nghiệp để từ đó

đánh giá và đưa ra các biện pháp để khắc phục, hạn chế đến mức tối thiểu

các rủi ro này.

Các doanh nghiệp, tổ chức lớn có lượng thông tin quan trọng nhiều nên triển

khai ISO 27001 một cách toàn diện. Những đơn vị nhỏ, không có điều kiện

về vật chất và tài chính, vẫn có thể áp dụng một phần của hệ thống tiêu

chuẩn này, họ có thể áp dụng nguyên tắc của nó cho hệ thống hạ tầng mạng

nội bộ hoặc những vấn đề quan trọng như quy định sử dụng máy tính của

từng nhân viên.

Tại sao cần áp dụng ISO 27001?

Ngày 15-10-2005, Tổ chức Tiêu chuẩn hóa quốc tế đã ban hành tiêu chuẩn

ISO/IEC 27001:2005 nhằm cung cấp một mô hình để thiết lập, thực hiện,

điều hành, theo dõi, xem xét, duy trì và cải tiến một hệ thống quản lý bảo

mật thông tin (ISMS). Đây là tiêu chuẩn phát triển từ tiêu chuẩn BS 7799

của Anh về hệ thống bảo mật. Khi áp dụng hệ thống quản lý bảo mật thông

tin, doanh nghiệp sẽ có các biện pháp phù hợp để có thể bảo vệ dữ liệu thông

tin – vốn được xem là tài sản vô hình. Hệ thống này sẽ góp phần xây dựng

niềm tin của khách hàng, đối tác đối với hoạt động của doanh nghiệp, tổ

chức.

Theo giáo sư Ted Humphrey, người được coi là cha đẻ của bộ tiêu chuẩn

ISO 27001, việc triển khai và duy trì một hệ thống an toàn thông tin thành

công đòi hỏi 80% cấu thành phải đến từ khâu quản lý tốt trong mỗi doanh

nghiệp, tổ chức và 20% còn lại đến từ việc triển khai công nghệ. Thực tế

cũng chứng minh, đa số những sự cố về bảo mật thông tin xảy ra là do khâu

quản lý của doanh nghiệp, tổ chức chưa tốt. Con người là yếu tố rủi ro lớn

nhất trong hệ thống bảo mật thông tin. Hệ thống ISMS là sự kết hợp giữa ba

yếu tố: công nghệ, con người và quy trình (xem sơ đồ).

Hệ thống bảo mật thông tin theo chuẩn ISO 27001:2005 đã đưa ra 11 nhóm

kiểm soát chia thành 133 biện pháp kiểm soát nhằm giảm rủi ro cho tổ chức

và cung cấp mô hình quản lý hệ thống an toàn thông tin toàn vẹn.

Sau bước đánh giá, doanh nghiệp sẽ xác định được mức độ rủi ro với từng

loại tài sản, mức độ rủi ro càng cao, doanh nghiệp càng cần ưu tiên xử lý.

Việc xử lý rủi ro cũng có nhiều cách: tránh rủi ro, chuyển giao rủi ro, áp

dụng biện pháp kiểm soát phù hợp (trong 133 biện pháp kiểm soát của ISO

27001) và chấp nhận rủi ro nếu chi phí xử lý quá lớn hoặc chưa được doanh

nghiệp ưu tiên xử lý tại một thời điểm nhất định.

Bà Phạm Thu Liên, Trưởng ban Đảm bảo chất lượng, Công ty cổ phần Hệ

thống thông tin FPT (FIS) – cũng là một nhà tư vấn an ninh bảo mật, nói

rằng theo quy trình, FIS trước hết sẽ khảo sát hoạt động thực tế của doanh

nghiệp, từ đó đánh giá được hiện trạng ban đầu để có những định hướng phù

hợp, tư vấn cho doanh nghiệp phương pháp quản lý rủi ro đối với tài sản vô

hình. Sau đó FIS sẽ giúp các doanh nghiệp lựa chọn các biện pháp kiểm soát

trong ISO 27001 sao cho phù hợp với mô hình hoạt động của mình.

Áp dụng hệ thống ISMS, doanh nghiệp sẽ thiết lập được các biện pháp kiểm

soát bảo mật phù hợp để có thể bảo vệ các dữ liệu thông tin, không chỉ cho

chính doanh nghiệp mình mà còn cho khách hàng và đối tác. Hơn nữa, khi

thực hiện theo hệ thống tiêu chuẩn quốc tế này và đạt chứng nhận, uy tín của

doanh nghiệp cũng sẽ được nâng cao trên thị trường.

Hiện nay trên thế giới có hơn 5.600 doanh nghiệp và tổ chức đạt được chứng

chỉ ISO 27001:2005, trong đó có một số tại Việt Nam như First Consulting

Group Vietnam (FCGV), FPT Information System, FPT Software… Bên

cạnh đó có nhiều doanh nghiệp, tổ chức khác đang trong quá trình xây dựng

và áp dụng hệ thống tiêu chuẩn này. Điều này chứng tỏ ngày càng có nhiều

doanh nghiệp nhận thấy vai trò quan trọng của việc áp dụng hệ thống quản

lý bảo mật thông tin theo ISO 27001 trong nội bộ của mình.