• Thứ Năm, 31/12/2009 07:42 (GMT+7)

    Lãnh đạo và chìa khóa bảo mật

    Có một thực tế là vấn đề an toàn bảo mật (ATBM) trong tổ chức/doanh nghiệp (TC/DN) thường được “giao khoán” cho bộ phận tin học. Trong khi ATBM lại quan trọng như chiếc khóa giữ an toàn cho một ngôi nhà, mà người chủ của nó không thể không nắm giữ!

    Nhằm giúp các nhà lãnh đạo nâng cao hơn nữa nhận thức về vấn đề ATBM và có phương pháp “giữ chìa ” an toàn, TGVT B đã có cuộc trao đổi với ông Nguyễn Tử Quảng (NTQ), tổng giám đốc Công ty An ninh mạng Bkis, xung quanh vấn đề này:

    Không có giải pháp nào là tuyệt đối

    TGVT B: ATBM là một chuyên ngành khá hẹp, không phải nhà lãnh đạo nào cũng am hiểu. Theo ông, có cách gì để người lãnh đạo nắm giữ được “chiếc chìa khóa” đó một cách an toàn và đơn giản nhất ? Cụ thể hơn, các nhà lãnh đạo trong TC/DN nên quan tâm tới ATBM ở góc độ nào?

    Ông Nguyễn Tử Quảng: Đối với vấn đề ATBM hay an ninh thông tin, người lãnh đạo trong TC/DN nên có cái nhìn toàn cảnh. Nắm giữ chìa khóa ở đây phải hiểu là sự nắm vững toàn cảnh hệ thống không chỉ về mặt hạ tầng, thiết bị công nghệ mà còn bao gồm cả hệ thống quản lý. Để làm được như vậy, cách tốt nhất là triển khai hệ thống quản lý an ninh thông tin ISO 27001. Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể xảy ra trong tổ chức, từ đó đánh giá và đưa ra các biện pháp khắc phục, hạn chế đến mức tối thiểu các rủi ro này. Như vậy, dựa trên ISO 27001, người quản lý có thể tự đánh giá hệ thống của mình có những điểm yếu nào, đồng thời phân tích biện pháp để hạn chế rủi ro đó, phân chia cho từng bộ phận khác nhau trong tổ chức xử lý theo đúng chức năng.

    Khi cấp dưới đề xuất giải pháp ATBM, người lãnh đạo nên xem xét, chú ý tới những khía cạnh quan trọng nào của giải pháp?

    Lãnh đạo cần hiểu sâu sắc là mọi nguy cơ rủi ro đều có giải pháp phòng chống, nhưng không có giải pháp nào là tuyệt đối. Quản lý ATBM chính là quản lý rủi ro, làm giảm thiểu rủi ro về mức có thể chấp nhận được.

    Đó là tính toàn diện và khả thi. Một giải pháp ATBM trước hết phải đảm bảo sự toàn diện, không thể “bịt” chỗ này lại để “hở” chỗ kia hoặc chỗ thì được đầu tư quá lớn, chỗ lại quá yếu khiến kẻ xấu, hacker có thể lợi dụng để tấn công.

    Tuy nhiên, điều quan trọng hơn mà một người lãnh đạo cần hiểu sâu sắc là mọi nguy cơ rủi ro đều có giải pháp phòng chống, nhưng không có giải pháp nào là tuyệt đối. Sẽ là phi thực tế nếu quá kỳ vọng hoặc tin tưởng vào một giải pháp an toàn 100%. Cũng giống như trong cuộc sống, một người vì không muốn bị lây nhiễm bất kỳ loại virus nào mà chọn cách sống trong phòng kín, cách ly với tất cả thì đó là điều không khả thi. Tuy nhiên, anh ta hoàn toàn có thể phòng, chống được các nguy cơ lây bệnh từ môi trường bằng nhiều giải pháp khác nhau. Tóm lại, cần phải hiểu quản lý ATBM chính là quản lý rủi ro, làm giảm thiểu rủi ro về mức có thể chấp nhận được.

    Lãnh đạo phải nắm rõ điểm yếu

    Ở cấp độ TC/DN, thông thường vấn đề ATBM không chỉ phụ thuộc vào giải pháp công nghệ mà còn phụ thuộc vào phần lớn ý thức của cộng đồng người dùng. Theo ông, có cách nào để nâng cao nhận thức ATBM cho nhân viên một cách hiệu quả, tránh giáo điều?

    Công ty An ninh mạng Bkis đã có nhiều năm kinh nghiệm triển khai tư vấn về ATBM cho các TC/DN. Chúng tôi nhận thấy để nâng cao nhận thức về ATBM cho mọi người, thay vì chỉ dùng lý thuyết suông, chúng ta nên có những buổi demo trực tiếp những nguy cơ mất an ninh thông tin bởi các chuyên gia trong lĩnh vực này. Các chuyên gia của Bkis thường demo một tình huống thường xảy ra trong thực tế: trên máy tính của một nhân viên được cài đặt mật khẩu đơn giản, chỉ với vài thao tác kỹ thuật, trong giây lát các chuyên gia có thể đột nhập và kiểm soát được chiếc máy tính đó. Một tình huống khác, với máy tính đã được cài đặt mật khẩu rất mạnh nhưng không thường xuyên được cập nhật các bản vá lỗ hổng phần mềm, cũng chỉ trong giây lát, chuyên gia có thể kiểm soát máy tính dễ dàng và làm bất cứ việc gì trên chiếc máy đó. Sau những buổi thực tế như vậy, ý thức bảo mật của các nhân viên tại nơi Bkis đào tạo đều nâng cao rõ rệt bởi họ đã được “mục sở thị” những nguy cơ sát sườn.

    Từ kinh nghiệm thường xuyên tư vấn, hỗ trợ khách hàng, ông có thể rút ra một vài điểm nhận xét về nguyên nhân thường dẫn tới các sự cố mất an toàn thông tin mà các TC/DN nên phòng tránh?

    Có hai nguyên nhân thường dẫn tới việc mất an toàn thông tin xảy ra tại hầu hết các DN: Một là, khi các DN đặt đầu bài với đối tác viết phần mềm ứng dụng hay thiết kế website cho mình, họ đã không đặt ra yêu cầu phải chuyển giao sản phẩm với thiết kế và mã lệnh đã được đảm bảo về an ninh. Hai là, không thuê một đơn vị chuyên nghiệp về an ninh để tư vấn kiểm tra trước khi nghiệm thu sản phẩm.

    Ngoài ra, các nguy cơ gây mất an ninh không đơn thuần chỉ thuộc về vấn đề kỹ thuật mà còn nằm ở khâu quản lý. Nhiều TC/DN hầu như không áp dụng bất kỳ một quy chuẩn nào về ATBM, dẫn đến các nguy cơ có thể xuất phát từ những nguyên nhân rất đơn giản như do sử dụng USB tùy tiện, để virus lây lan hoặc làm thất thoát thông tin nội bộ hay do cài đặt phần mềm tùy tiện, sử dụng phần mềm diệt virus không có bản quyền...

    Khi tư vấn cho TC/DN xây dựng giải pháp ATBM ông thường khuyên họ nên bắt đầu từ khâu nào?

    Dựa trên ISO 27001, người quản lý có thể tự đánh giá được hệ thống của mình có những điểm yếu nào, đồng thời phân tích biện pháp để hạn chế rủi ro đó, phân chia cho từng bộ phận trong tổ chức xử lý theo đúng chức năng.

    Phần lớn các TC/DN hiện nay chưa nghĩ đến việc thuê tư vấn xây dựng giải pháp ATBM cho mình. Do đó, tôi cho rằng nếu TC/DN nào đã biết thuê tư vấn tức là đã có ý thức về vấn đề này, và là một bước đi chuẩn. Nếu TC/DN nào chưa có khái niệm phải làm gì thì trước tiên phải nghĩ đến việc thuê tư vấn đã. Và việc đầu tiên mà đơn vị tư vấn phải làm là liệt kê tất cả các nguy cơ có thể gây mất an ninh trong TC/DN đó để biết được sẽ phải bảo vệ cái gì trước tiên.

    Có nhiều TC/DN trang bị một vài thiết bị như Firewall, IPS hay phần mềm diệt virus và cho rằng đã đảm bảo về ATBM. Như thế hoàn toàn sai lầm. Điều quan trọng nhất là phải nắm rõ hệ thống của mình có những điểm yếu gì, lỗ hổng nào, để với từng nguy cơ sẽ đưa ra biện pháp khắc phục. Các biện pháp cho vấn đề ATBM đôi khi không cần phải huy động đến thiết bị, công nghệ mà đơn giản chỉ là giải pháp về quản lý. Chẳng hạn, đưa ra một quy định hay thay đổi quy trình công việc là đã giải quyết được. Còn nếu nhắm mắt làm mà không ý thức được đầy đủ vấn đề, có thể sẽ tốn kém tiền bạc cho những trang thiết bị đắt đỏ nhưng nó thực sự lại không có giá trị.

    Tóm lại, với các TC/DN lớn mà thông tin giữ vai trò quan trọng, điều cần thiết nhất là triển khai ISO 27001. Những đơn vị nhỏ, không có điều kiện, không nhất thiết phải lấy chứng chỉ, mà có thể áp dụng một phần của tiêu chuẩn ISO, cho những bộ phận quan trọng như hệ thống hạ tầng mạng hay quy định sử dụng máy tính cho từng nhân viên.

    Bộ tiêu chuẩn ISO 27001 cung cấp một mô hình để thiết lập, thực hiện, điều hành, theo dõi, xem xét, duy trì và cải tiến Hệ thống Quản lý An toàn Bảo mật Thông tin (ISMS: Information Security Management System). Tiêu chuẩn quy định về quản lý ATBM trong tổ chức; Hướng dẫn về thiết lập chính sách, các mục tiêu an toàn thông tin; Cách thức nhận biết và phương pháp kiểm soát các nguy cơ về ATBM của tổ chức... Lĩnh vực áp dụng ISMS nhiều nhất là viễn thông, tiếp đến là tài chính, ngân hàng, CNTT.


    Tường Vy
    ID: B0912_46