• Thứ Hai, 25/05/2009 06:29 (GMT+7)

    Chính sách an toàn thông tin: Thay đổi để thích nghi

    Sự suy giảm của nền kinh tế buộc các doanh nghiệp (DN) phải cắt giảm chi tiêu, trong đó có chi tiêu dành cho CNTT. Đây là cơ hội để những kẻ xấu tìm cách trục lợi. Bối cảnh này buộc các nhà quản trị phải thay đổi quan điểm về bảo mật an toàn thông tin.

    Những tác động khách quan

    Sự suy giảm của nền kinh tế đã tác động đến mọi DN, buộc họ phải chú tâm nhiều hơn đến các vấn đề liên quan đến tài chính như cắt giảm chi tiêu, sắp xếp lại nhân sự. Sự bận rộn này một mặt khiến DN sao nhãng vấn đề đầu tư cho CNTT trong đó có ATTT, không những thế, việc thay đổi/cắt giảm nhân sự có thể kéo theo nhiều hệ lụy khác.

    Tại sự kiện Security World 2009
    Tại sự kiện Security World 2009 do IDG tổ chức cuối tháng 3 vừa qua, ông Nguyễn Văn Vân, trưởng phòng an ninh thông tin thuộc trung tâm CNTT, ngân hàng Kỹ Thương, đã chỉ ra một số nguyên nhân gây mất ATTT liên quan đến nhân viên trong công ty. Trong đó, việc quản lý, nâng cao ý thức của nhân viên chưa được quan tâm đúng mức; các quy trình làm việc chưa chặt chẽ và khả năng tuân thủ kém khiến nhân viên vô tình hoặc cố ý gây thất thoát dữ liệu. “Việc ra đi của các nhân viên cũ vô tình hay hữu ý gây ra các thất thoát thông tin của DN”, ông Trần Nguyên Vũ, phó cục trưởng cục Tin Học Thống Kê Tài Chính, bộ Tài Chính bổ sung.

    Các thông tin bị thất thoát có những mức độ nguy hại khác nhau từ thông tin về tài sản, sản phẩm, chiến lược kinh doanh, đến các thông tin có giá trị cao như cách thức lưu trữ thông tin, điểm yếu trong quản lý an ninh thông tin của DN. Theo một kết quả thống kê của Symantec thì 59% nhân viên đã nghỉ việc hoặc bị đề nghị nghỉ việc lấy cắp dữ liệu, 79% trong số đó biết rằng họ không được phép.

    Thay đổi chính sách để thích nghi

    Để phòng tránh những nguy cơ trên, DN cần có cách tiếp cận khác đối với các vấn đề về ATTT. Ông Vic Mankota, phó chủ tịch phụ trách kinh doanh và dịch vụ – công nghệ mới của Symantec khu vực châu Á – Thái Bình Dương cho rằng: DN không nên thụ động đợi đến khi là nạn nhân rồi mới tìm cách khắc phục mà hãy chủ động hình dung rằng hệ thống thông tin trong DN nếu bị tấn công thiệt hại sẽ ra sao, từ đó chủ động xây dựng các chính sách cho ATTT và có kế hoạch chi tiêu hợp lý cho nó.

    Bên cạnh đó, trong quá trình xây dựng chính sách ATTT, DN cũng sẽ vấp phải một mâu thuẫn khó giải quyết. Ông Vic Mankota nhấn mạnh, môi trường làm việc ngày nay là môi trường cộng tác. DN muốn mọi người chia sẻ thông tin, cộng tác thì phải có thông tin cho họ. Vì vậy, nếu như trước đây, để đảm bảo ATTT, DN chỉ cần ngắt kết nối mạng là xong. Ngày nay, DN phải giải quyết thỏa đáng bài toán cho mọi người chia sẻ thông tin và đảm bảo ATTT, làm sao để đảm bảo thông tin chỉ rơi vào tay người sử dụng hợp lệ.

    Thích ứng với xu thế mới này, bản thân các nhà cung cấp thiết bị, giải pháp cũng có những thay đổi trong cách tiếp cận nhằm giúp DN giải quyết bài toán này. Ông Vic Mankota chia sẻ: “Chiến lược bảo vệ an ninh thông tin của Symantec đã thay đổi từ 3 đến 5 năm nay”. Theo đó, thay vì chỉ quan tâm đến từng thiết bị an ninh bảo mật đơn lẻ như tường lửa, phần mềm lọc thư rác, phần mềm diệt virus, Symantec tập trung vào bảo vệ hệ thống thông tin. Trong DN, thông tin có mặt ở khắp nơi và tồn tại dưới 2 dạng: có cấu trúc (như email, cơ sở dữ liệu, thiết bị đầu cuối) và các thông tin không có cấu trúc. DN có thể đảm bảo ATTT dựa trên việc xây dựng một chính sách hợp lý bao gồm các nội dung: phân loại thông tin, chính sách về quản lý, giải pháp ngăn chặn thất thoát... Ông Vic Mankota nhấn mạnh: “Muốn giải pháp an ninh hiệu quả phải bắt đầu từ chính sách. Dựa trên chính sách chúng ta mới xây dựng được giải pháp”.

    Nhật Minh

    ID: B0905_68