Khoảng cách giữa nhận thức và ứng dụng
Theo khảo sát gần 300 DN mới được công bố giữa tháng 11.2010 vừa qua của Chi hội An toàn thông tin (ATTT) phía Nam (VNISA), có đến 65% DN khảo sát trả lời không tuân theo chuẩn các ATTT quốc tế.
Đây là xu hướng đáng lo ngại chứng tỏ sự hiểu biết về chuẩn, về ích lợi khi áp dụng chuẩn ATTT của DN VN còn yếu. Bên cạnh đó, hơn 2/3 DN không có hoặc không biết có hay không quy trình để phản ứng lại các cuộc tấn công máy tính.
Theo VNISA, điều này cho thấy sự chủ quan của DN, vì vậy, thiệt hại sẽ rất nặng nề nếu các cuộc tấn công máy tính thực sự xảy ra. Nguy hiểm hơn là trên 50% tổ chức được khảo sát cho biết họ không có hoặc không biết có bắt tay vào việc xây dựng quy trình phản ứng hay không. Con số này tăng cao so với năm 2009 (chỉ 38%).
Theo ông Ngô Văn Dũng - Giám đốc bộ phận an ninh mạng Công ty hệ thống thông tin FPT - nhận thức của DN VN hiện nay về các vấn đề an ninh mạng chưa hoàn toàn đầy đủ do thường mới chỉ nhìn được một góc của vấn đề an ninh mạng. Ví dụ đa phần đều cho rằng các hiểm họa mất an ninh mạng là xuất phát từ ngoài internet mà quên mất rằng hiểm họa mất an ninh mạng có thể xuất hiện từ ngay bên trong hệ thống mạng nội bộ, hay từ ngay những người sử dụng thông thường.
Theo ông Nguyễn Minh Đức - Giám đốc bộ phận an ninh mạng Công ty an ninh mạng BKAV - nhận thức của nhiều DN VN về an ninh mạng hiện nay tuy có tăng với những năm trước nhưng từ nhận thức đến hành động vẫn còn khoảng cách khá lớn. Việc đầu tư vào thiết bị và giải pháp của DN chưa đồng bộ và chưa đầy đủ như chỉ đầu tư mua phần mềm, chương trình ngăn chặn bức tường lửa mà quên đầu tư vào nhân sự vận hành và sử dụng hệ thống.
Tương tự, ông Phan Thanh Sơn - Giám đốc kỹ thuật của Cisco Việt Nam nhận xét: “Các DN hàng đầu VN đầu tư hằng năm khoảng 8-10% tổng đầu tư vào CNTT và ATTT. Vậy các DN khác thì sao? Tôi cho rằng các DN khác cần đầu tư đúng mức và chú trọng hơn vào vấn đề con người và quy trình thực hiện ATTT để đảm bảo an toàn cho mình”.
Xây dựng quy trình chuẩn
Dưới góc độ của nhà tư vấn công nghệ, ông Sơn cho rằng DN cần xem xét lại quan điểm về ATTT DN và xây dựng một chiến lược tổng thể và dài hạn trong đó có ATTT.
Theo ông Nguyễn Minh Đức - DN có thể tuân thủ theo tiêu chuẩn ISO 27001 (tiêu chuẩn quốc tế về Hệ thống quản lý bảo mật thông tin - ISMS). Bộ tiêu chuẩn này sẽ giúp DN xác định được loại tài sản nào là quan trọng nhất đối với mình như máy chủ, cơ sở dữ liệu… Tiếp đến sẽ xác định được những nguy cơ đối với loại tài sản đó. Và sau đó sẽ xây dựng được biện pháp kỹ thuật cũng như quy trình quản lý hoạt động của hệ thống.
Ông Đức giải thích: Những giải pháp không thể đảm bảo được tính an toàn cho DN 100% vì công nghệ và kỹ thuật từng thời điểm chưa phát hiện ra hết tất cả lỗ hổng trong quá trình vận hành. Nhưng nếu chúng ta tuân thủ quy trình sẽ hạn chế được các rủi ro. Ví dụ đơn giản như dữ liệu quan trọng của DN thường được lưu giữ trong máy tính xách tay của một số người trong công ty. Trong khi đúng ra DN cần phải mã hóa ổ cứng hoặc quy định không mang máy tính đó ra khỏi đơn vị. Nguy cơ mất dữ liệu khi mất máy tính là điều bình thường và khi đó thì các phần mềm chống tường lửa lại không giải quyết được gì.
Ông Ngô Văn Dũng thì nhấn mạnh rằng một DN có thể bỏ ra rất nhiều tiền để trang bị một hệ thống tường lửa rất hiện đại, nhưng lại không chú trọng đến việc duy trì, giám sát hoạt động của hệ thống, cập nhật các chính sách bảo mật (policy) cho thiết bị thì hệ thống mạng vẫn sẽ gặp nguy hiểm khi bị tấn công. Vì vậy, ngoài chuyện đầu tư giải pháp bảo mật, DN cần chú trọng đến việc xây dựng một chính sách bảo mật cùng đội ngũ nhân lực để cập nhật, vận hành và duy trì hoạt động của hệ thống bảo mật.
|
5 cách để DN nâng cao được mức độ ATTT Khắc phục các nguy cơ mang tính tình huống ATTT đã được cảm nhận như sáp nhập với công ty mới, tiếp nhận/sa thải nhân viên, thay đổi ứng dụng mới, lắp đặt thiết bị mới... Tập trung vào các vấn đề cũ và làm tốt trước các giải pháp khắc phục vấn đề này. Huấn luyện lực lượng lao động về ATTT và bao gồm họ trong quy trình. Xem ATTT như một sự khác biệt của DN để tăng năng suất lao động, giảm thiểu rủi ro, tăng giá trị thương hiệu, tăng sự hài lòng khách hàng/đối tác/nhân viên, hỗ trợ các mô hình kinh doanh khác nhau... (Theo báo cáo hằng năm của Cisco về ATTT) |
Thủy Lưu
Bình luận