• Thứ Ba, 22/09/2009 07:50 (GMT+7)

    An ninh nội bộ: Thách thức của nhà quản lý

    An ninh nội bộ hay việc đảm bảo an toàn, bảo mật thông tin từ bên trong luôn là vấn đề khiến các nhà quản lý phải đau đầu. Trong môi trường làm việc cộng tác, việc chống rò rỉ thông tin từ bên trong quyết định sự thành công của doanh nghiệp (DN).

    Nguy cơ từ bên trong

    Ông Ngô Vi Ðồng
    Ông Ngô Vi Đồng, chủ tịch Chi hội VNISA phía Nam cho biết, ATTT không chỉ là bí mật, bảo mật và an toàn mà nó còn liên quan đến vấn đề an ninh (đảm bảo 3 yếu tố: bảo mật, toàn vẹn và sẵn sàng). Việc rủi ro mất cắp dữ liệu, sự cố an ninh mạng hiện nay trong các DN Việt Nam xuất phát từ nội bộ nhiều hơn là tấn công từ bên ngoài. Thế nhưng, những rủi ro này rất ít khi được các DN quan tâm.

    Một số nguy cơ tiềm ẩn hiện nay như nhân viên DN mặc dù đã có tường lửa (Firewall) bảo vệ nhưng do vô tình hay cố ý, họ đã truy cập vào email, đường link có chứa mã độc lấy cắp thông tin, tài khoản truy cập hệ thống của các lập trình viên khác, gán cố định tên và mật khẩu truy cập, không sao lưu dữ liệu thường xuyên (Backup Database) và việc lưu trữ ổ đĩa, băng từ (tape) không được đảm bảo về an ninh (tủ cất giữ tape không có khóa)…

    Do thói quen làm việc, các nhân viên thường trao đổi, giao tiếp qua điện thoại, email, chat... qua các phương tiện truyền không được mã hóa đường truyền, mã hóa dữ liệu nên rất có thể mật khẩu lan truyền khắp mọi nơi và hacker có thể dễ dàng khai thác… Thêm vào đó, việc quan hệ hỗ trợ khách hàng đòi hỏi người quản trị phải mở các cổng dịch vụ để đối tác hỗ trợ trực tiếp từ xa cũng là một nguy cơ…

    Nguy hiểm hơn, trên Internet có rất nhiều các công cụ khai thác lỗ hổng website một cách tự động. Tại Mỹ, không chỉ các tổ chức tín dụng, ngân hàng là đích ngắm của hacker, mà việc khai thác website, đánh cắp cơ sở dữ liệu của DN cũng được rao bán trên mạng hay bán cho công ty đối thủ… gây thiệt hại không nhỏ cho DN. Số liệu cho thấy các cuộc tấn công ngoại mạng trong năm 2008 có hơn 59% DN bị xâm nhập trái phép, thiệt hại ước tính gần 15 triệu đô la.

    Quản lý hay đầu tư kỹ thuật?

    Ông Phạm Vãn Việt
    Theo ông Phạm Văn Việt, giám đốc CNTT công ty TNHH Tư vấn và Dịch vụ Tin học Bước Tiến Việt (VietPace), do cách hiểu và nhận thức không đúng nên nhiều DN chỉ xem ATTT là vấn đề của cá nhân, bộ phận chuyên trách về CNTT. Họ ngộ nhận về ATTT như: Các mối đe dọa ATTT chủ yếu xuất phát từ bên ngoài công ty; ATTT sẽ được bảo đảm bằng cách bảo vệ mạng máy tính và cơ sở hạ tầng CNTT; Quản lý con người không quan trọng trong ATTT; ATTT chỉ đơn thuần là bảo vệ thông tin khỏi truy cập bất hợp pháp; Áp dụng kỹ thuật mới nhất sẽ tăng cường khả năng ATTT… Họ coi trọng việc đầu tư vào thiết bị hỗ trợ như tường lửa và các thiết bị chuyên dụng mà xem nhẹ quản lý và phòng ngừa các rủi ro, đặc biệt là các rủi ro từ bên trong nội bộ DN.

     

    Chi hội An toàn Thông tin phía Nam (VNISA) và báo Doanh Nhân Sài Gòn đã tổ chức hội thảo “An ninh nội bộ và chính sách an toàn thông tin” vào ngày 29/7/2009 tại TP.HCM. Theo đó, chính sách ATTT theo tiêu chuẩn ISO 27001 là giải pháp hiệu quả nhất mà mỗi tổ chức, DN có thể áp dụng ngay để hạn chế rủi ro.

    Tuy nhiên, nếu chạy theo công nghệ các DN sẽ phải đầu tư thiết bị thường xuyên mà chưa chắc giải quyết triệt để vấn đề an ninh. Thay vào đó, họ nên triển khai quy trình, chính sách ATTT hợp lý và đây được xem là giải pháp tiết kiệm nhất. Chẳng hạn, phân quyền truy cập thông tin, sử dụng mật khẩu có độ khó như trên 10 kí tự (có cả chữ lẫn số) và thường xuyên thay đổi mật khẩu, triển khai xác thực mạng… để hạn chế khả năng bị đánh cắp mật khẩu.

    Các chuyên gia chi hội VNISA phía Nam trả lời thắc mắc
    của DN

    Bên cạnh đó, cần phải mã hóa dữ liệu truyền đi cũng như dữ liệu lưu trữ để vô hiệu hóa trong trường hợp bị mất cắp... Trong quá trình điều hành chính sách ATTT cần được liên tục giám sát, kiểm định, đánh giá để kịp thời điều chỉnh, cập nhật.

    Theo đề xuất và khuyến nghị của các chuyên gia VNISA, trong tổng chi phí đầu tư cho CNTT, các DN nên dành 80% cho chi phí quản lý (bao gồm chính sách, quy trình, tránh nhiệm, công tác huấn luyện, kế hoạch duy trì hoạt động kinh doanh) và 20% còn lại cho vấn đề kỹ thuật (bao gồm hệ thống máy chủ, công cụ, cấu trúc; tường lửa, mã hóa, hệ thống chống và phát hiện xâm nhập… ). 
     
    Hồng Vinh

    ID: B0909_64