Bảo mật có thực sự là vấn đề?

Bảo mật có thực sự là vấn đề?.Khi nói về vấn đề bảo mật, mức độ quy mô và tầm quan trọng của nó lại là sự khác biệt giữa các DN lớn và DN vừa & nhỏ. Các công ty con thường ít có nguồn lực IT nội bộ; phần lớn không có giám đốc bảo mật do kinh phí hạn hẹp và áp lực tiết kiệm chi phí luôn là bóng đen bao phủ toàn bộ hoạt động kinh doanh.Tuy nhiên, tất cả các công ty dù lớn dù nhỏ khi kết nối vào mạng Internet đều có...
Nội dung trích xuất từ tài liệu:
Bảo mật có thực sự là vấn đề?Bảo mật có thực sự là vấn đề?Khi nói về vấn đề bảo mật, mức độ quy mô và tầm quan trọng của nó lạilà sự khác biệt giữa các DN lớn và DN vừa & nhỏ. Các công ty conthường ít có nguồn lực IT nội bộ; phần lớn không có giám đốc bảo mậtdo kinh phí hạn hẹp và áp lực tiết kiệm chi phí luôn là bóng đen bao phủtoàn bộ hoạt động kinh doanh.Tuy nhiên, tất cả các công ty dù lớn dù nhỏ khi kết nối vào mạng Internet đềucó chung những nhân tố cần bảo vệ: uy tín, tài sản trí thức, và thậm chí cả sựtồn tại của doanh nghiệp đó. Không có bàn tay chuyên gia, không có kinh phídồi dào thì thử hỏi làm sao DN nhỏ có thể chống lại những cạm bẫy và nguyhiểm trong không gian mạng?Những nguyên tắc và hướng dẫn sau sẽ giúp tiếp cận và giải quyết các vấn đềbảo mật theo đúng hướng:Sự hưởng ứng của tầng lớp lãnh đạoNguyên tắc đầu tiên là người lãnh đạo công ty phải nhận thức được tầm quantrọng của vấn đề bảo mật.Lý do: Thứ nhất, chiến lược bảo mật phải là một chức năng của chiến lượckinh doanh. Hay nói một cách đơn giản, mục đích của chức năng bảo mật làđảm bảo độ an toàn cho các hoạt động kinh doanh. Điều này có nghĩa hiểuđược chiến lược, tiếp cận và ưu tiêu hoá hoạt động kinh doanh là ưu cầu cầncó để thiết lập chính sách và chi phí cho bảo mật.Lý do thứ hai là chính sách doanh nghiệp cần phải được đặt lên hàng đầu.Tuy nhiên, phần lớn các chính sách lại không coi trọng khía cạnh bảo mậthoặc khuyến khích phát triển đội ngũ quản lý IT. Không một phân tích nàocủa quản trị hệ thống có thể thay thế cho một lời nói của cấp lãnh đạo rằng:Bảo mật rất quan trọng với chúng ta, và đó cũng là lý do tại sao chúng taphải làm vậy. Sự tham gia và ủng hộ từ mức quản lý cao nhất đảm bảo sựtham gia và thi hành của tất cả nhân viên công ty trong nỗ lực xây dựng chínhsách an toàn bảo mật.Tiếp cận cân xứngNgân sách dồi dào sẽ giúp doanh nghiệp chủ động hơn trong vấn đề bảo mật.Tuy nhiên, nhận thức được tầm quan trọng của chi phí bảo mật không phảicông ty nào cũng làm được, kể cả các công ty lớn. Chính vì vậy, doanhnghiệp càng quy mô thì càng phải ưu tiên cho bảo mật. Thực tế cho thấy,mức chi phí bảo mật thường tương xứng với quy mô của doanh nghiệp.Chẳng hạn, một công ty trị giá 10 triệu USD có mức chi phí bảo mật bằng1/10 so với công ty 100 triệu USD.Vấn đề cốt lõi là mức chi phí bỏ ra cần phải tương xứng với giá trị bảo vệ.Cũng giống bảo hiểm, cần có tỷ lệ % nhất định của tài sản để tương ứng vớimức chi phí bỏ ra nhằm giảm rủi ro mất mát tài sản, hoặc bù trù vào khấu haohoạt động. Tỷ lệ % đó dao động tuỳ thuộc vào mức độ quan trọng của tài sảnđối với doanh nghiệp.Hiểu được chiến lược kinh doanh, và rủi ro có thể xảy ra, một doanh nghiệpcó thể định ra và áp dụng chính sách bảo mật một cách hiệu quả nhất.Bổ nhiệm chuyên gia bảo mậtKhi đã xem xét tới việc cải thiện mạng lưới và an toàn thông tin, một câu hỏithường được đặt ra là: Bao nhiêu % nhân viên sẽ nghiêm chỉnh thực hiệncác quy định bảo mật?. Câu trả lời Không thường không phải là giải pháptích cực nhưng có rất nhiều công ty đưa ra đáp án này. Với các doanh nghiệpnhỏ, việc có hẳn một nhóm bảo mật là điều xa xỉ và hầu như chẳng ai có đủkinh phí để làm một việc như thế.Nhưng tại sao lại không có hẳn một người đảm nhận công việc này, hoặcthậm chí là kiêm nghiệm? Một người chẳng tốt hơn là không có người nào?Ai sẽ là người đảm nhận công việc đó, và nội dung công việc cần phải báocáo với ai? Một số doanh nghiệp thường giao việc bảo mật cho phòng/ban IT;nhưng doanh nghiệp khác lại quy cho bộ phận tài chính. Một số khác cóchuyên gia bảo mật thì chịu trách nhiệm báo cáo trực tiếp với CEO (giám đốcđiều hành). Tuy nhiên, câu trả lời cho vấn đề này lại không quan trọng bằngviệc hiểu được vai trò thực sự của chuyên gia bảo mật trong doanh nghiệp, đólà chuyên gia đó có vai trò gì và như thế nào.Vai trò của chuyên gia bảo mậtChuyên gia bảo mật ít nhất phải dành một phần thời gian đáng kể cho việcnghiên cứu các vấn đề bảo mật. Nhận biết được tầm quan trọng của bảo mậtvà các nguyên tắc liên quan sẽ là bước đi quan trọng trong việc củng cố vànâng cao tính an toàn thông tin doanh nghiệp.Thứ hai, những chuyên gia bảo mật được bổ nhiệm cần phải có quyền hạnnhất định đối với các vấn đề bảo mật, và quyền hạn này cần phải được côngnhận rộng rãi trong nội bộ công ty.Về trách nhiệm, dựa trên những bàn bạc và thảo luận với người quản lý hoặcqua hiểu biết về kinh doanh, chuyên gia bảo mật cần xác định được những rủiro bảo mật hàng đầu đối với công ty. Chuyên gia này cần thảo ra các kếhoạch giảm thiểu rủi ro tới mức có thể chấp nhận được với khoản kinh phí vàthời gian tương xứng. Một vấn đề phát sinh có thể cần tới 12 tháng mới giảiquyết xong, nhưng cũng có thể chỉ mất 3 tháng với điều kiện kinh phí bỏ racao hơn. CEO sẽ là người cuối cùng đưa ra quyết định đối với các rủi ro theokiểu phải ch ...