• Thứ Sáu, 29/01/2010 21:17 (GMT+7)

    CSO phải tuân thủ luật lệ

    TGVT B phỏng vấn ông Ngô Tuấn Anh, Giám đốc Bkis Telecom, một trong 9 CSO tiêu biểu năm 2009 về công việc thực tế của CSO.

    Chúc mừng ông trở thành một trong 9 CSO tiêu biểu năm 2009! Ông đã đến với cuộc bình chọn CSO như thế nào?

    Ông  Ngô Tuấn Anh

    Ông Ngô Tuấn Anh: Đây là giải thưởng CSO đầu tiên được tổ chức tại Đông Dương. Tôi rất vinh dự được đại diện cho Bkis tham gia cuộc bình chọn này do Ban tổ chức mời. Tôi đánh giá cao ý tưởng bình chọn CSO. Nó xuất hiện khá kịp thời trong bối cảnh an ninh thông tin ngày càng quan trọng và ảnh hưởng lớn đến hoạt động của doanh nghiệp (DN), tổ chức. Ở Việt Nam hiện vấn đề an ninh thông tin chưa thực sự được quan tâm đúng mức, hầu hết các DN, tổ chức đều chưa có người phụ trách an ninh thông tin hoặc có thì vai trò chưa tương xứng với trách nhiệm. Cuộc bình chọn CSO sẽ góp phần thúc đẩy nhận thức về an ninh thông tin trong xã hội.

    Mặt khác, tôi đến với cuộc bình chọn này vì có thêm cơ hội giao lưu, trao đổi và chia sẻ nghiệp vụ với CSO khác trong nước và quốc tế. Tôi mong muốn nhiều CSO có thể liên kết với nhau, góp phần đảm bảo an ninh cho tổ chức của mình nói riêng và xã hội nói chung.

    Được biết ông đã từng triển khai thành công hơn 50 dự án tư vấn an ninh mạng cho các cơ quan, DN nhà nước như Văn phòng quốc hội, Hội nghị cấp cao Apec lần thứ 14, Hội nghị Bộ trưởng Ngoại giao Á-Âu lần 9. Các công việc này gặp khó khăn ở đâu, thưa ông?

    Điểm khó khăn lớn nhất là việc làm thế nào để áp dụng các biện pháp, chính sách an ninh vào thực tế có hiệu quả! Một biện pháp, chính sách nếu chỉ thông báo để áp dụng chắc chắn không hiệu quả trong thực tế. Để thực hiện tốt, chúng ta phải có kế hoạch triển khai toàn diện và khả thi ở từng bước: Đào tạo phổ biến, áp dụng và quan trọng nhất là kiểm tra, đánh giá sau áp dụng.
    Tôi lấy ví dụ, một trong các nguyên tắc để đảm bảo an ninh thông tin là mỗi cá nhân trong tổ chức bắt buộc phải áp dụng quy định đặt mật khẩu mạnh. Nhưng nếu chỉ đưa ra một cách chung chung rằng phải đặt mật khẩu dài trên 8 ký tự, bao gồm cả chữ viết thường, viết hoa, ký tự… và yêu cầu mọi người phải tuân theo thì chắc chắn quy định đó sẽ thất bại. Lý do thất bại: mọi người chỉ được yêu cầu làm theo mà không hiểu sâu sắc tại sao phải làm như vậy. Họ không có ý thức rõ ràng rằng điều đó sẽ ảnh hưởng đến việc mất an ninh thông tin và họ không có ý định thực hiện theo một cách đầy đủ, tự nguyện. Để triển khai hiệu quả, người sử dụng phải hiểu được những nguy cơ khi không sử dụng mật khẩu mạnh, cũng như các quy định đảm bảo an ninh thông tin khác.

    “Ở vị trí CSO, điều đặc biệt cần phải tuân thủ là luật lệ. Việc tuân thủ đó đảm bảo an ninh trong hiện tại và tránh được tối đa các rủi ro không đo lường trước được trong tương lai”.

    Vì vậy, trước khi đưa ra quy định cụ thể, tôi triển khai đào tạo nhận thức về an ninh cho toàn bộ nhân viên trong cơ quan. Trong lớp này, các chuyên viên an ninh sẽ demo xâm nhập vào một máy tính được đặt mật khẩu yếu – không đạt yêu cầu an ninh, sau khi chứng kiến, mọi người đều thấy được sự nguy hiểm của việc sử dụng mật khẩu không đạt yêu cầu. Sau khi đã hiểu ra vấn đề, kết hợp với các biện pháp kỹ thuật khác, việc thực hiện các quy định diễn ra rất tốt.

    Trong quá trình làm việc với DN, tổ chức, ông thấy họ cần điều gì ở CSO?

    Theo tôi, CSO đặc biệt cần là phải tuân thủ luật lệ. Luật lệ ở đây có thể hiểu là các quy định chung của pháp luật và cả quy định riêng trong DN, tổ chức.

    Việc tuân thủ luật lệ sẽ giúp đảm bảo an ninh trong hiện tại và tránh được tối đa rủi ro không đo lường trước được trong tương lai. Ví dụ, nếu CSO không tuân thủ quy trình an ninh đã định sẵn, bỏ qua một bước nào đó, tức là không làm theo luật lệ, thì có khả năng sẽ để lại một lỗ hổng trên hệ thống mà từ đó kẻ tấn công có thể xâm nhập.

    Ngoài việc tự mình tuân thủ luật lệ, CSO còn phải điều hành để tất cả thành viên trong DN, tổ chức cùng thực hiện đúng nguyên tắc và tuân thủ như mình.

    Quỳnh Thanh (thực hiện)

    ID: B1001_69