Vấn đề an toàn thông tin trong doanh nghiệp

Thứ ba - 09/08/2016 09:38
Trong mỗi tổ chức, mỗi doanh nghiệp việc thu thập và nắm bắt thông tin là vấn đề hết sức quan trọng. Nó là một trong những yếu tố mang lại sự thành công cho mỗi tổ chức, mỗi cá nhân biết tận dụng và khai thác nó.

Cùng với sự phát triển mạnh mẽ của công nghệ như hiện nay, việc thu thập, xử lý thông tin khá dễ dàng và nhanh chóng. Song song với sự phát triển này, cùng với cách quản lý nhân lực, tài sản nói chung và tài sản thông tin nói riêng của mỗi tổ chức, là sự phát triển của các loại hình đánh cắp thông tin, xâm nhập hệ thống thông tin trái phép, bao gồm cả bên trong nội bộ và bên ngoài tổ chức.

Hiện nay, có thể nói cả thế giới chứ không phải một vài tổ chức, phải đối mặt với các vấn đề đánh cắp, rò rỉ thông tin hoặc vi phạm bản quyền riêng tư. Chúng không còn là vấn đề của riêng ai, mà là vấn đề của tất cả chúng ta. Tôi quan tâm đến sự nguy hiểm, tầm ảnh hưởng của những vấn đề đó đối với mỗi tổ chức. Tôi muốn nhấn mạnh tầm quan trọng của việc đánh giá thực trạng vấn đề an toàn thông tin của mỗi tổ chức hiện nay. Từ đó, chúng ta có những giải pháp để giải quyết, nhằm mục đích bảo vệ tổ chức của chúng ta trước khi thảm họa xảy ra.

Trước tiên chúng ta cần phải xem xét một số nhận thức và quan niệm về an toàn thông tin chưa phù hợp trong một số tổ chức hiện nay:

- Khi đề cập đến vấn đề an toàn thông tin thì đa số cho rằng đó là vấn đề của kỹ thuật, chứ không phải là vấn đề của quản lý. Chính vì vậy, đa số các tổ chức chỉ mới tập trung vào việc đầu tư các thiết bị phần cứng, nâng cấp hệ thống, xây dựng giải pháp, tái cấu trúc hệ thống vật lý.…. Trong khi đó những vấn đề mang tính quyết định trong an toàn thông tin thì các tổ chưa thực sự quan tâm, cụ thể như: Chính sách an toàn thông tin chưa được hoạch định bài bản; Trách nhiệm an toàn thông tin chưa được giao rõ ràng và chi tiết đến mỗi bộ phận, đến mỗi loại thông tin; Chưa có kế hoạch, phương án xử lý rủi ro khi xuất hiện mối de dọa an toàn thông tin; Việc truyền thông an toàn thông tin trong tổ chức chưa được phổ biến, tập huấn đầy đủ đến các cấp quản lý, đến mỗi nhân viên.

- Khi đề cập đến nhiệm vụ an toàn thông tin thì đa số cho rằng đó là nhiệm vụ của bộ phận Công nghệ Thông tin, nhưng thực tế bộ phận này không thể quyết định được những vấn đề như: Nhân viên nào được mang tài sản vào/ra tổ chức, các thủ tục mang vào/ra như thế nào?; Chính sách cho phép nhân viên khai thác những loại thông tin gì trong tổ chức?...

- Tổ chức mới chỉ tập trung vào giải quyết sự de dọa an toàn thông tin từ bên ngoài, còn sự đe dọa từ bên trong chưa thực sự được quan tâm một cách nghiêm túc.

- Tổ chức cho rằng chỉ cần đảm bảo an toàn cho Hệ thống Mạng, Cơ sở hạ tầng Công nghệ Thông tin là đảm bảo an toàn thông tin, cũng như áp dụng các giải pháp kỹ thuật mới sẽ làm tăng tính an toàn. Nhưng thực tế đây là một quan niệm sai về an toàn thông tin.

Kế tiếp chúng ta dựa trên tiêu chuẩn ISO 27001:2005 để đánh giá và thiết lập Hệ thống An toàn Thông tin cho tất cả các lĩnh vực trong doanh nghiệp, bao gồm:

- Chính sách an toàn thông tin: mục tiêu cung cấp định hướng và sự hỗ trợ của Lãnh đạo tổ chức cho hệ thống An toàn Thông tin (ATTT) phù hợp với các yêu cầu chính yếu, đáp ứng việc quản lý ATTT trong tổ chức.

- Tổ chức an toàn thông tin: mục tiêu là đưa ra mô hình, cách thức tổ chức các bộ phận cần thiết để đảm bảo việc xây dựng, triển khai và thực hiện tuân thủ các chính sách ATTT đã được xác lập trong doanh nghiệp; Duy trì ATTT và các phương tiện xử lý thông tin của doanh nghiệp được truy cập, xử lý, truyền thông, hoặc được quản lý bởi các tổ chức bên ngoài.

- Quản lý tài sản: mục tiêu nhằm đạt được và duy trì việc bảo vệ phù hợp các tài sản của tổ chức, tất cả các tài sản phải được kê khai và xác định người chủ tài sản và đảm bảo thông tin được bảo vệ ở mức độ phù hợp.

- An toàn nguồn nhân lực: mục tiêu đảm bảo rằng các nhân viên, nhà thầu và các bên thứ ba hiểu rõ trách nhiệm của mình và phù hợp với vai trò được giao, đồng thời giảm thiểu các rủi ro về việc đánh cắp, gian lận hoặc lạm dụng chức năng, quyền hạn; Đảm bảo rằng mọi nhân viên của tổ chức, khách hàng, đối tác và bên thứ ba nhận thức được các mối nguy cơ và các vấn đề liên quan tới ATTT, trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách ATTT của tổ chức trong quá trình làm việc, giảm thiểu các rủi ro do con người gây ra; Đảm bảo rằng mọi nhân viên của tổ chức, khách hàng, đối tác và bên thứ ba nghỉ việc hoặc thuyên chuyển công việc một cách có tổ chức, theo thủ tục trình tự nhất định để đảm bảo được ATTT đối với các tài sản.

- An toàn vật lý và môi trường: mục tiêu ngăn ngừa truy cập vật lý trái phép, gây thiệt hại hoặc can thiệp vào tài sản và thông tin của tổ chức; Ngăn ngừa mất mát, hư hỏng, mất trộm hoặc mất tài sản và gián đoạn các hoạt động của tổ chức.

- Quản lý truyền thông và vận hành: mục tiêu đảm bảo việc vận hành đúng và an toàn đối với các phương tiện xử lý thông tin; Thực hiện và duy trì mức độ ATTT phù hợp và cung cấp dịch vụ theo đúng các thỏa thuận cung cấp dịch vụ với đối tác bên ngoài; Giảm thiểu rủi ro do sự hư hỏng của hệ thống; Bảo vệ tính toàn vẹn của phần mềm và thông tin; Duy trì tính toàn vẹn và tính sẵn sàng của thông tin và các phương tiện xử lý thông tin; Đảm bảo an toàn cho thông tin trên mạng và an toàn cho cơ sở hạ tầng hỗ trợ; Nhằm ngăn ngừa sự tiết lộ, sửa đổi, xoá bỏ hoặc phá hoại bất hợp pháp các tài sản và sự gián đoạn các hoạt động nghiệp vụ chính yếu. Phương tiện truyền thông phải được kiểm soát và bảo vệ vật lý; Duy trì an toàn cho các thông tin và phần mềm được trao đổi trong nội bộ công ty hoặc với các thực thể bên ngoài; Nhằm đảm bảo an toàn cho các dịch vụ thương mại điện tử và việc sử dụng an toàn các dịch vụ này; Nhằm phát hiện các hoạt động xử lý thông tin trái phép

- Kiểm soát truy cập: mục tiêu quản lý các truy cập thông tin; Nhằm đảm bảo người dùng hợp lệ được truy cập và ngăn chặn những người dùng không hợp lệ truy cập trái phép đến hệ thống thông tin, làm tổn hại hoặc lấy cắp thông tin cũng như các phương tiện xử lý thông tin; Nhằm ngăn chặn các truy cập trái phép các dịch vụ mạng; Nhằm ngăn chặn các truy cập trái phép tới hệ thống điều hành; Nhằm ngăn chặn các truy cập trái phép đến thông tin lưu trong các hệ thống ứng dụng; Nhằm đảm bảo an ninh thông tin khi sử dụng các phương tiện tính toán di động và làm việc từ xa.

- Thu thập, phát triển và duy trì hệ thống thông tin: mục tiêu nhằm đảm bảo rằng an ninh thông tin là một phần không thể thiếu của các hệ thống thông tin; Nhằm ngăn chặn các lỗi, mất mát, sửa đổi hoặc sử dụng trái phép thông tin trong các ứng dụng; Nhằm bảo vệ tính bí mật, xác thực hoặc nguyên vẹn của thông tin bằng các biện pháp mã hóa; Nhằm đảm bảo an ninh cho các tệp tin hệ thống; Nhằm duy trì an ninh của thông tin và các phần mềm hệ thống ứng dụng; Nhằm giảm thiểu các mối nguy hiểm xuất phát từ việc tin tặc khai thác các điểm yếu kỹ thuật đã được công bố.

- Quản lý sự cố: mục tiêu nhằm đảm bảo các sự kiện an toàn thông tin và các nhược điểm liên quan tới các hệ thống thông tin được trao đổi để các hành động khắc phục được tiến hành kịp thời.

- Quản lý tính liên tục trong hoạt động: mục tiêu ngăn chặn các gián đoạn trong hoạt động nghiệp vụ và bảo vệ các quy trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm hoạ, đảm bảo khả năng khôi phục các hoạt động bình thường đúng lúc.

- Tuân thủ: mục tiêu nhằm tránh sự vi phạm pháp luật, quy định, nghĩa vụ theo các hợp đồng đã ký kết, các yêu cầu về bảo đảm ATTT.

Phương pháp đánh giá an toàn thông tin, cũng như cách thiết lập Hệ thống An toàn Thông tin cho các lĩnh vực trên tôi xin giới thiệu với quí vị trong các số tới.

(Theo: IT&T )

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết
banner cuoi trang
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây