• Thứ Năm, 11/03/2010 (GMT+7)

    Bảo mật thông tin 2009 trong mắt CXO toàn cầu

    Kết quả khảo sát thường niên thứ 17 của PricewaterhouseCoooper được thực hiện với gần 7300 CXO về bảo mật thông tin vừa được công bố đầu năm 2010.


    Những đe dọa từ mạng xã hội      

    Theo nhận định của các CXO (Chief Experience Officer - các nhà quản lý), trong 2 năm gần đây, mạng xã hội đã đi từ sự hiếu kỳ trở thành cách sống của nhiều người. Mọi người có thể cập nhật tình trạng của họ trên Twitter, Facebook hay LinkedIn vào ban ngày hoặc ban đêm, trong lúc làm việc hoặc khi đang ở nhà, từ máy tính của họ hoặc từ một chiếc laptop của công ty...

    H
    Hình minh họa (nguồn thecxogroup.com).

    Những công nghệ hấp dẫn nhất hiện nay đang đặt ra cho CXO những bài toán đau đầu nhất về bảo mật. Các mạng xã hội như Twitter, Facebook và Linkedln một mặt giúp tăng cường khả năng kết hợp làm việc, nhờ đó công ty bạn liện lạc với khách hàng đơn giản hơn, nhưng đồng thời, chúng cũng tạo điều kiện cho nhân viên của chính bạn chia sẻ thông tin về khách hàng hay bí mật của công ty ra bên ngoài dễ dàng hơn bao giờ hết.

    Điều làm cho những nhà quản lý CNTT đau đầu chính là sự dễ dàng khi người truy cập có thể chia sẻ thông tin khách hàng hay những dữ liệu quan trọng của công ty trong lúc họ nói rằng họ đang bận bịu với bữa trưa. Tội phạm công nghệ cao đã nắm được điều này và lợi dụng mạng xã hội cho những chiêu lừa đảo qua email hoặc qua hệ thống liên lạc khác. Kiểu tấn công phổ biến là những tội phạm này gửi cho nạn nhân những thông điệp có vẻ như đến từ một người bạn tại Facebook. Thông điệp từ người “bạn” này có thể đính kèm một đường dẫn (URL -Uniform Resource Locator) tới cái mà người “bạn” này muốn nạn nhân truy cập. Nó có thể được ghi tiêu đề giật gân ví dụ như câu chuyện mới.

    Thực tế đường dẫn này đưa nạn nhân đến những trang web không minh bạch và tự động cài những phần mềm độc hại vào máy người sử dụng. Phần mềm này sẽ đi tìm kiếm những thông tin quan trọng được cất giữ trong máy tính hoặc mạng công ty, ví dụ như thẻ tín dụng của khách hàng hay công thức bí mật mới.

    Hầu hết CXO công nhận rằng họ lo sợ mối đe dọa từ những cuộc tấn công với nền tảng của mạng xã hội. 45% đặc biêt chú ý đến cách thức lừa đảo đối với những ứng dụng của Web 2.0. Tuy nhiên, ngăn chặn mạng xã hội là điều không tưởng bởi những tiềm năng lợi nhuận kinh tế to lớn mà những mạng xã hội này mang lại. Những doanh nghiệp giờ đây dựa rất nhiều vào việc lấy tin nhắn từ những trang web như vậy, cho nên công việc của những CXO là tìm một giải pháp cân bằng giữa lợi ích và độ an toàn. Chỉ 23% các CXO cho biết những nỗ lực an ninh của họ có bao gồm cả những dự phòng cho việc bảo vệ công nghệ Web 2.0 và có khả năng điều chỉnh những gì được đưa lên mạng xã hội.

    “Mọi người vẫn còn quá thiếu hiểu biết về những thứ họ có thể chia sẻ với người khác và chúng tôi phải giảng giải cho họ những gì nên và không nên trao đổi” - H.Frank Cervone, Phó Hiệu trưởng thuộc Ban dịch vụ thông tin trường ĐH Purdue University Calumet nói. “Chúng tôi phải làm tốt hơn công việc tăng cường hiểu biết cho mọi người về những thông tin nội bộ nào không nên chia sẻ”.

    Một dấu hiệu đáng mừng, mỗi năm, có thêm số công ty tăng số lương nhân sự theo dõi việc sử dụng mạng trực tuyến của nhân viên (57% so với 50% trong 2008 và 40%  trong 2006). Để tránh cho việc mất mát những thông tin nhạy cảm, 65% cho biết họ sử dụng trình lọc nội dung Web để giữ thông tin được đặt sau tường lửa; 62% đảm bảo rằng họ đang có những phiên bản an toàn nhất của bất cứ trình duyệt nào đang được sử dụng; 40% cho biết khi họ đánh giá một sản phẩm an ninh, tiêu chí về sự tương thích và hỗ trợ cho Web 2.0 là điều rất quan trọng.

    Thật không may, những lỗ hổng bảo mật của mạng không phải điều mà bất kỳ ai cũng có thể sửa được. Vì vậy, Mark Lobel - một cộng tác viên bảo mật tại Pricewaterhouse Coopers cho biết “Vấn đề ở đây là văn hóa chứ không phải công nghệ. Làm cách nào mà bạn hướng dẫn cho họ cách sử dụng trang web một cách thông minh?”, ông đặt câu hỏi."Tổng quan mà nói, những người biết về bảo mật đi lên từ con đường công nghệ - kỹ thuật chứ không phải từ con đường xã hội. Do đó chúng ta còn một quãng đường dài phải đi để tìm kiếm một giải pháp an ninh cân bằng”.

    Guy Pace - Quản trị viên bảo mật của trang thông tin cộng đồng và các trường CĐ kỹ thuật bang Washington (Washington State Board for Community and Technical Colleges) cũng đồng ý với Lobel rằng chiến trường thực sự là mặt trận văn hóa, chứ không phải mặt trận công nghệ. “Cách giảm thiểu nguy cơ hiệu quả nhất chính là trình độ nhận thức và sáng tạo, hiểu biết về các chương trình bảo mật của người sử dụng”, ông nói.

    Ảo hóa và điện toán đám mây cũng vậy. Chúng giúp đơn giản hóa hạ tầng cơ sở CNTT và cắt giảm chi phí không cần thiết. Nhưng chúng ta mới nhìn thấy phần mở đầu của bài toán bảo mật và những nguy hiểm quanh nó. Khi chúng ta đưa càng nhiều hạ tầng vào những “đám mây”, chúng ta càng dễ dàng bị tấn công bởi những tin tặc - những kẻ luôn cố gắng thực hiện các vụ tấn công bằng hình thức từ chối dịch vụ (denial-of service) với mục tiêu là những công ty như Google,Yahoo hay những nhà cung cấp dịch vụ mạng khác. Sự ngưng trệ đầu năm gần đây của Google đã cho thấy rõ nguy hại mà các công ty phụ thuộc quá nhiều vào “đám mây” có thể lãnh chịu.

    Khi so sánh với phí tổn cho việc vận hành cơ sở hạ tầng CNTT thì suy nghĩ thay thế những máy chủ và những ứng dụng lập trình cẩu thả với dịch vụ đám mây quả thật rất hấp dẫn đối với các công ty. Nhưng lao vào những “đám mây” mà không có bất cứ một chiến lược bảo mật nào là hành động vô cùng nguy hiểm. Theo kết quả cuộc điều tra, 43% cho biết họ đang sử dụng dịch vụ đám mây ví dụ như dịch vụ phần mềm hay dịch vụ cơ sở hạ tầng. Nhiều hơn trong số đó đang đầu tư vào công nghệ  ảo hóa giúp cho điện toán đám mây. 67% trong số họ cho biết họ đang sử dụng máy trạm, lưu trữ và các ứng dụng ảo hóa IT khác.Trong số đó thì 48% tin rằng an ninh thông tin của họ được tăng cường. 42% nghĩ rằng độ bảo mật được giữ nguyên. Chỉ 10% cho rằng ảo hóa đã tạo nhiều lỗ hổng hơn trong hệ thống bảo mật.

    “Khi bạn nhìn vào cái cách mà mọi người nghĩ về ảo hóa và ý nghĩa của nó thì định nghĩa của ảo hóa hoặc là rất hẹp - đó là về sự thống nhất, ảo hóa tất cả các ứng dụng và hệ điều hành và thống nhất chúng lại thành những cái hộp nhỏ hơn - hoặc ít hơn về bất cứ một con số nào của những thành phần như: máy tính của khách hàng, ổ lưu trữ, mạng, an ninh” Chris Hoff, Giám đốc giải pháp cho điện toán đám mây và ảo hóa tại Cisco Systems nói. “Bạn cho vào mớ bùng nhùng đó khái niệm điện toán, thứ được Microsoft và một số công ty nhỏ hơn thúc đẩy. Bạn sẽ gãi đầu trong lúc suy nghĩ không hiểu điều đó có ý nghĩa gì đối với 1 công ty. Điều đó sẽ tác động tới hạ tầng của bạn ra sao?” Vì vậy, ông cho rằng cả người sử dụng lẫn nhà cung cấp phải chắn chắn rằng họ hiểu được những mối nguy hại đến từ những sự thay đổi về kỹ thuật, về tiến trình cũng như tổ chức mà loại công nghệ này sẽ mang tới.

    Khi được hỏi về khả năng tiềm tàng của độ phơi nhiễm trong môi trường ảo hóa, 51% cho rằng do sự thiếu hụt của lực lượng  CNTT (những người mà sự thiếu hiểu biết sẽ dẫn tới trục trặc cho sự điều hành). Thực tế, 22% cho rằng sự thiếu đầy đủ trong việc đào tạo, với sự quan sát thiếu hiệu quả (để phát hiện những nguy cơ) là những mối đe dọa anh ninh lớn nhất đối với chiến lược phát triển đám mây của công ty họ.

    Bảo mật trong “đám mây” luôn là một vấn đề vì điều hành một số lượng lớn những mối đe dọa  trên nhiều nền tảng khác nhau. Không bao giờ có duy nhất “1 đám mây”. Đúng hơn là “có rất nhiều đám mây, chúng không liên kết với nhau, không dễ dàng hợp tác trên cùng nền tảng ứng dụng và gần như chỉ ổn định trên nền và hệ điều hành của riêng chúng”, Hoff cho biết.

    Xu hướng quản lý bảo mật nguồn trong

    Nhưng chúng ta cũng có những tin tức tốt lành hơn. Dù cho sự thụt lùi thậm tệ nhất của nền kinh tế trong vòng nhiều thập kỷ qua bắt chúng ta dành ít hơn cho những dịch vụ bảo mật ngoài và tập trung vào hệ thống bên trong nhiều hơn thì ngân sách cho việc bảo mật vẫn rất ổn định. Hơn nữa, chúng ta còn có thể thuê những nhân viên tham mưu bảo mật.

    Một vài năm trước, những nhà phân tích công nghệ đã tiên đoán sự vươn lên mạnh mẽ của hệ thống cung cấp dich vụ quả lý bảo mật (MSSPs). Rất nhiều công ty nhìn nhận việc bảo mật như một khái niệm ngoài luồng và chọn cách dùng tài nguyên bên ngoài giúp đỡ. Theo Gartner, ước tính, giá trị của thị trường MSSPs riêng tại Bắc Mỹ lên tới 900 triệu đô la Mỹ (900 triệu USD, ~17.300 tỷ đồng) trong năm 2004 và sẽ tăng thêm 18% trong năm 2008. Nhưng cơn sóng khủng hoảng kinh tế đã phủ một bóng đen lên thị trường này mặc dù chi phí bảo mật vẫn ổn định. 31% cho biết họ vẫn đang dựa vào tài nguyên ngoài để quản lý hệ thống an ninh. Chỉ 18% có kế hoạch đưa việc sử dụng tài nguyên ngoài làm chủ đạo trong vòng 12 tháng tới.

    Trong lúc đó, nhiều công ty cho biết họ đang tăng cường đầu tư vào những phương thức bảo mật khác. 69% cho biết họ chi tiền những ứng dụng tường lửa. Đồng thời, hơn một nửa cho biết họ đang đầu tư vào việc mã hóa cho MTXT và những thiết bị khác.

    Gius thuộc Atmos Energy cho biết anh đang điều hành phần lớn hệ thống bảo mật ngay trong nội bộ.” Chúng tôi theo đuổi những giải pháp rẻ và có mã nguồn mở để tự mình quản lý” ông cho biết. "Chúng tôi đầu tư vào 2 người để chắc chắn rằng chúng tôi có đủ khả năng để tự mình quản lý môi trường làm việc.” Beard, thuộc SAIC nói rằng dù những quyết định bảo mật có là gì đi nữa thì mọi công ty cũng cần phải hiểu rõ những chiến thuật an ninh của mình và biết ở lĩnh vực nào những nhà cung cấp dịch vụ bảo mật có thể phát huy hết khả năng đặc biệt của mình. Những nhà kinh tế thông minh phải luôn có khả năng điều khiển toàn cảnh của bức tranh lớn. Theo dõi nhà cung cấp bảo mật và hiểu những mối nguy hại đang phải đối mặt là điều quan trọng. “CXO và những nhân viên an ninh có thể để ra ngoài một số chức năng kỹ thuật đến một mức nào đó, nhưng họ không bao giờ được để ra ngoài trách nhiệm của mình”, Beard nhấn mạnh.

    Chính Phúc
    Theo PriceWaterHouseCoopers

     

    ID: O1003_1