Bảo mật hiệu quả

Chính sách bảo mật (security policy) có vai trò quyếtđịnh trong việc tăng cường các giải pháp an ninh mạngcủa DN, tổ chức. Tuy nhiên không phải DN nào cũng cócác chính sách bảo mật hợp lý.
Nội dung trích xuất từ tài liệu:
Bảo mật hiệu quảBảo mật hiệu quả - DN Việt Nam cần làm gì? Bài viết cập nhật vào 10/05/2006 15:49:04Chính sách bảo mật (security policy) có vai trò quyếtđịnh trong việc tăng cường các giải pháp an ninh mạngcủa DN, tổ chức. Tuy nhiên không phải DN nào cũng cócác chính sách bảo mật hợp lý.Sau Indonesia, Malaysia, Philippin và Thái Lan, một hộithảo trong khuôn khổ chương trình “Asia Securityroadshow” đã được tổ chức tại Hà Nội vào ngày 5/5 đềcập đến các vấn đề về chiến lược cụ thể của an ninhmạng Việt Nam. Ông Steve Riley: an ninh mạng là các gì đó không thuận tiện, nhưng nó có vai trò quanTrong buổi hội thảo, bài trình bày của ông Steve Riley trọng và ảnh hưởng trực tiếp đến hoạt động(Giám đốc chương trình cấp cao Nhóm công nghệ và nghiệp vụ của chúng ta (Ảnh: Thế Phong)kinh doanh bảo mật) về nội dung Security Policy (chính sách bảo mật) cho DN đượcđông đảo đại biểu tham dự chú ý.Các chính sách bảo mật doanh nghiệp thường bị thất bại từ đầu. Vì sao?Có một thực tế là rất nhiều DN, tổ chức ở VN hiện nay đều có website hoặc các hệthống ứng dụng CNTT. Các DN cũng đều biết tới bảo mật và tầm quan trọng của nó.Cũng có một số DN đã áp dụng các chính sách bảo mật và an ninh mạng, nhưng đôikhi nó không hề có tác dụng. Vì sao vậy?Stive Riley đưa ra ba nguyên nhân chính khiến các chính sách bảo mật DN thường bịthất bại:- Người xây dựng chính sách bảo mật không đánh giá được giá trị của thông tin mìnhđang bảo vệ. Rất nhiều người để lộ thông tin bí mật về hệ thống trong những hoàncảnh không cần thiết và vô tâm...- Người xây dựng chính sách bảo mật không đánh giá được hết các chính sách củamình vạch ra sẽ được hành động và triển khai như thế nào trong thực tế.- Bảo mật luôn đặt ra những ngăn trở. Và nếu các chính sách bảo mật tạo ra sự phiềntoái không đáng có, nó sẽ bị người dùng bỏ qua như thể rẽ lên vỉa hè để đi qua đoạntắc đường vậy! Phải đơn giản hóa sao cho vẫn đảm bảo các yêu cầu bảo mật, màkhông quá phiền toái.Nguy cơ trong quá trình thực hiện chính sách bảo mật?Nguy cơ đầu tiên, các quy trình an ninh mạng luôn ngáng đường, luôn đặt ra nhữngtrở ngại để vượt qua và nhiều khi, nó bị bỏ qua một cách cố ý như người ta vượt đènđỏ lúc vắng người.Nguy cơ thứ hai, có nhiều điều không rõ ràng trong bảo mật, chẳng hạn không có cáchnào đánh giá được giá trị của việc chúng ta tham gia mạng. Nhiều khi giá trị các thôngtin liên quan đến an ninh mạng bị xem nhẹ.Thứ ba, yếu tố con người luôn đặt ra những điểm yếu rất khó khắc phục trong bảomật.Con người khi tương tác với máy tính xuất hiện nhiều khó khăn có thể trở thành cácnguy cơ về bảo mật: Đánh giá rủi ro kém; Con người xử lý các tình huống ngoại lệ(không quen) tồi; Họ thường chuyển giao ý nguyện để các chương trình máy tính thựchiện và đa số tin tưởng, ỷ lại hoàn toàn vào máy tính; Nhưng máy móc có thể hỏnghóc và gặp sự cố; Ai cũng cần bảo mật hệ thống của mình, nhưng nếu phải mất thìgiờ, phải khó khăn thì người ta sẽ tìm cách bỏ qua!Khi tấn công vào công nghệ ngày càng khó và phức tạp, người ta sẽ chuyển hướngtấn công vào con người để đạt mục đích. Tại sao tấn công vào con người lại dễ dànghơn? Vì con người có rất nhiều điểm yếu: dễ dàng tin tưởng, sẵn sàng giúp đỡ, dễ bịkích thích...Riley cho rằng bộ phận hỗ trợ, dịch vụ khách hàng luôn là bộ phận dễ bị tấn công đểlấy thông tin nhất trong các DN và tổ chức. Ông đưa ra nhiều giải thích và trình bàynhững kiểu tấn công vào lòng người phổ biến: Đánh vào trách nhiệm: Sếp anh đãđồng ý rồi, anh không phải lo; Dùng sự dụ dỗ: Làm điều này, anh sẽ có nhiều cáilợi... Tranh thủ lòng tin: Tôi là người vẫn thường làm việc với cơ quan anh hàngtháng, có gì nguy hiểm khi tôi đang vội không kịp đưa giấy xuất trình đâu?; Đánh vàotrách nhiệm tinh thần: Nếu không giúp tôi, lỡ có chuyện gì anh gánh chịu đượcchứ?; Làm cho người ta xấu hổ nếu không giúp mình; Cũng có thể dùng cách lợidụng các điểm chung nào đó để nhờ làm cùng, chiến thuật lợi hại khác là cầu xin.Cuối cùng, Riley nói - các nguy cơ xuất hiện trên mạng hoàn toàn không có gì là mới,tất cả đều đã có rất lâu trong lịch sử. Nhưng công nghệ mới giúp cho các nguy cơ nàythêm mạnh và có những cách thể hiện khác đi. Phising ư? Tội phạm ăn cắp định danhchính là giả mạo và đã có từ lâu rồi! - Riley lấy ví dụ.Làm sao để có một chính sách bảo mật tốt?Đầu tiên, Riley nói: Đó là vấn đề nhận thức!, những người lãnh đạo cần hiểu rằng,bảo mật là các gì đó không thuận tiện, nhưng nó có vai trò quan trọng. Không có nóbạn có thể đi nhanh hơn, nhưng cũng có thể không bao giờ đến đích.Không có công cụ hay phần mềm bảo mật nào giải quyết được tất cả các vấn đềcủa bạn. Để có thể làm bảo mật tốt, không chỉ dựa vào thiết bị, công cụ mạnh haynhân lực dồi dào, mà còn cần một ...