• Thứ Hai, 21/02/2011 16:59 (GMT+7)

    Hệ thống thông tin doanh nghiệp: Cần bảo mật từ bên trong

    Phạm Mai
    Dù nhận thức về an toàn thông tin ở Việt Nam đang có chiều hướng chuyển biến tích cực nhưng vẫn còn đó những nỗi lo. Một số giám đốc doanh nghiệp (DN) chỉ gật đầu khi mua các thiết bị an ninh mạng hàng chục ngàn USD; còn quy trình bảo mật lại không thèm đoái hoài tới!

    Mối nguy nội bộ

    Theo ông Ngô Vi Đồng, Chủ tịch Chi hội An toàn thông tin (VNISA) phía Nam, an toàn thông tin (ATTT) không chỉ là bảo mật và an toàn mà còn liên quan đến an ninh. DN xây dựng hàng rào ATTT nhằm đảm bảo 3 yếu tố: Bảo mật, toàn vẹn và sẵn sàng. Những sự cố mất cắp dữ liệu, lỗi hệ thống mạng ở các DN hiện nay thường xuất phát từ bên trong nhiều hơn là tấn công từ bên ngoài.

    DN cần đánh giá hàng rào an ninh mạng của mình, khả năng phòng chống các cuộc tấn công… Việc đánh giá thông qua chất lượng ATTT hoặc số lượng các thiết bị an ninh, bảo mật trên hệ thống. Tuy nhiên đánh giá số lượng thiết bị có thể dẫn đến ngộ nhận rằng hệ thống đã an toàn, nên kiểm tra cụ thể bằng cách cho điểm độ an toàn/bảo mật.

    Theo các chuyên gia về ATTT, con người là mắt xích yếu nhất trong hệ thống thông tin DN. Các DN lại thường thiếu quan tâm đến nhược điểm này. Những thói quen sử dụng webmail (Gmail, Yahoo! Mail), ứng dụng nhắn tin như YM, MSN… cũng có thể tạo ra những lỗ hổng bảo mật.

    Hướng đến chuẩn hoá

    Đây là một thiếu sót của DN khi xây dựng hàng rào bảo mật. Họ không tổ chức hàng rào này dựa trên các tiêu chuẩn về ATTT (ISO 17799, ISO 27000…). Chúng ta có thể kể đến các tiêu chí thường gặp như: An ninh nhân sự; An ninh vật lý; Xác định, phân cấp và quản lý tài nguyên….

    Gần đây, DN trong nước bắt đầu quan tâm đến tiêu chuẩn bảo mật nhiều hơn. Những cuộc hội thảo về ISO 27000 cùng với sự xuất hiện của các tổ chức chứng nhận tiêu chuẩn bảo mật đã khiến cho nhận thức của các DN trở nên tốt hơn.

    Ở công ty Viet Union, an ninh nhân sự khá bài bản từ khi áp dụng ISO 27000. Có 3 điểm nhấn đối với bộ phận nhân sự: Trước khi nhân viên được tuyển dụng cần phải kiểm tra những gì? Việc phân quyền truy cập? Thủ tục bàn giao khi nghỉ việc? Viet Union còn huấn luyện nhân viên mới trong vòng 3 tháng để làm quen với các quy trình bảo mật trong công ty.

    Hệ thống an toàn thông tin (ISMS), theo định nghĩa của Tổng cục Tiêu chuẩn Đo lường Chất lượng Việt Nam (www.tcvn.gov.vn), là hệ thống quản lý tất cả các mặt của ATTT bao gồm con người, các qui trình và các hệ thống công nghệ thông tin. Mối quan tâm của ISMS tập trung vào 3 thuộc tính chính: Tính tin cậy (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability).

    Ưu tiên cho quản trị

    Theo đề nghị của các chuyên gia thuộc VNISA, các DN nên dành 80% cho chi phí quản lý trong tổng chi phí đầu tư cho CNTT; chú trọng đến quy trình, huấn luyện, phân quyền truy cập… Chỉ cần để 20% chi phí còn lại cho trang thiết bị bao gồm hệ thống máy chủ, tường lửa, hệ thống mã hóa….

    Các nhân viên quản trị ATTT cùng với quản trị mạng sẽ bố trí “thiên la địa võng” nhằm ngăn chặn các đợt tấn công từ ngoài hoặc trong. Các bộ phận này sẽ áp dụng chính sách bảo mật nội bộ, đưa ra các quy định cụ thể về mật khẩu, cài đặt phần mềm phòng chống virus…

    Bộ phận ATTT trong các công ty thường buộc các nhân viên văn phòng phải nhập mật khẩu có độ dài 8 ký tự (bao gồm chữ và số) và phải có 1 ký tự đặc biệt. Dù rằng hầu hết nhân viên đều không thoải mái khi phải làm điều này, họ cứ thích để trống mật khẩu hoặc gõ đại địa chỉ nhà, ngày sinh vào, tuy nhiên cách thức bảo mật như trên là cần thiết.

    Nhân viên các bộ phận khi di chuyển trong công ty sẽ phải quét thẻ từ hoặc vân tay vào các thiết bị kiểm tra đặt trước cửa ra/vào của các khu vực. Điều này giúp cho bộ phận ATTT kiểm tra số lượt người ra/vào, phân quyền đối với một số khu vực hạn chế (VD: chỉ dành cho lãnh đạo).

    Các DN cũng nên quan tâm đến giải pháp quản trị và lưu trữ tài liệu. Khi có hệ thống quản trị dữ liệu này thì nhân viên trong công ty sẽ không bận tâm đến việc quản lý và lưu trữ dữ liệu vì hệ thống sẽ tự động lưu trữ và sắp xếp ngăn nắp. Việc quản trị và lưu trữ thông tin cũng giúp cho việc tìm dữ liệu nhanh chóng và dễ dàng, tiết kiệm thời gian.

    Hiện trạng an toàn thông tin toàn quốc:
    Sắp được công bố
    Kết quả điều tra về hiện trạng an toàn thông tin (ATTT) năm 2010 trên phạm vi toàn quốc sẽ được công bố vào Ngày An toàn thông tin 2010, sẽ diễn ra tại Hà Nội vào 23/11/2010.

    “Ngày ATTT VN 2010” do hiệp hội ATTT VN (VNISA) và Trung Tâm Ứng Cứu Khẩn Cấp máy tính Việt Nam (VNCERT) đồng tổ chức, dưới sự bảo trợ của Bộ TTTT. Theo TS Nguyễn Duy Ngọc, Chủ tịch VNISA, việc điều tra đã được VNCERT và VNISA tiến hành từ tháng 10/2010. Đối tượng điều tra là các sở TTTT, các trung tâm thông tin của các bộ, ngành và các tổ chức, doanh nghiệp có ứng dụng CNTT.

    Chủ đề Ngày ATTT năm nay: “Quy hoạch ATTT số Quốc Gia – Con đường phía trước” sẽ được tổ chức trên cả nước. Các hoạt động chính như hội thảo, tọa đàm, triển lãm được tổ chức song song tại TP.HCM và Hà Nội. Các buổi hội thảo quốc tế về ATTT sẽ có sự tham gia của đại diện Chính phủ, lãnh đạo Bộ TTTT, lãnh đạo Bộ GDĐT và các cơ quan nghiệp vụ của một số bộ ngành khác liên quan tới việc hoạch định quản lý, thực thi các chính sách về CNTT và ATTT.

    Ngày ATTT tại Hà Nội sẽ có các phiên thảo luận về ATTT trong hệ thống ngân hàng và ATTT mạng viễn thông. Người tham dự sẽ được nghe các bài tham luận quan trọng của các hãng Symantec, CheckPoint, Cisco, Trend Micro, Syber Ark, Bkis; một số doanh nghiệp có kinh nghiệm triển khai, ứng dụng hệ thống và công cụ bảo đảm ATTT như: Viettel, Mobifone, BIDV, VDC…

    Điểm nhấn của Ngày ATTT 2010 là cuộc thi Sinh viên với ATTT và công bố Bình chọn sản phẩm ATTT được người dùng yêu thích nhất trong năm. Ngoài ra, còn có khóa đào tạo ngắn hạn nhằm cập nhật các kiến thức bảo mật cho các cán bộ quản trị hệ thống thông tin của các tổ chức, doanh nghiệp do các chuyên gia ATTT của JPCERT (Nhật Bản) giảng dạy.

      

    ID: B1011_68