Kinh nghiệm quản lý an toàn thông tin hiệu quả.

Kinh nghiệm quản lý an toàn thông tin hiệu quả .Giới thiệu Những kinh nghiệm trình bày trong bài viết này được đúc kết qua những công việc thực tế mà tôi đã từng thực hiện tại một công ty thế chấp tài sản. Công ty bao gồm các chi nhánh văn phòng và các ngân hàng điện tử, ngân hàng trực tuyến. Với cương vị là người phụ trách về an toàn thông tin trong công ty việc đầu tiên tôi cần phải làm là vấn đề an toàn, bảo mật xuyên suốt công ty. Công ty thế chấp tài...
Nội dung trích xuất từ tài liệu:
Kinh nghiệm quản lý an toàn thông tin hiệu quả. Kinh nghiệm quản lý an toàn thông tin hiệu quả Giới thiệu Những kinh nghiệm trình bày trong bài viết này được đúc kết qua những công việc thực tế mà tôi đã từng thực hiện tại một công ty thế chấp tài sản. Công ty bao gồm các chi nhánh văn phòng và các ngân hàng điện tử, ngân hàng trực tuyến. Với cương vị là người phụ trách về an toàn thông tin trong công ty việc đầu tiên tôi cần phải làm là vấn đề an toàn, bảo mật xuyên suốt công ty. Công ty thế chấp tài sản và tất cả các hệ thống của nó phải được quản lý dưới cùng một tiêu chuẩn về bảo mật dùng trong ngân hàng. Bạn sẽ tìm được ở đây các báo cáo đề cập đến các nghiên cứu và kết quả mà tôi đã vạch ra từ trước nhằm thực hiện và áp dụng vấn đề bảo mật thông tin trong công ty này, cũng như các mục tiêu nhằm bảo đảm thành công của chúng tôi khi mạo hiểm đầu tư vào ngân hàng điện tử. Với thời gian nhỏ hơn 90 ngày tính đến khi ngân hàng mở cửa khai trương hoạt động (cả ngân hàng thông thường và ngân hàng điện tử), tôi cần có một kế hoạch nghiêm túc đối phó với các tấn công. Các nghiên cứu chỉ ra rằng một kế hoạch và kiểm tra sẽ là nhân tố thành công của bảo mật. Sau khi nghiên cứu về ngân hàng và thương mại điện tử, tôi đã theo các bước ở dưới đây để quản lý về bảo mật và chuẩn bị cho việc xây dựng chế độ an ninh cho ngân hàng mới mở. Thu thập thông tin Bạn hãy tìm hiểu xem hệ thống của bạn làm việc như thế nào và tự đào tạo mình về an toàn, bảo mật thông tin. Hãy bắt đầu công việc quản lý an toàn thông tin bằng cách thu thập và đánh giá dựa trên các dữ liệu đã có. Sau đó, tôi giữ lại bản sao của tất cả các chính sách, thủ tục, các bài học, các đánh giá về rủi ro, các xác nhận, chứng thực, các ứng dụng có trong hệ thống (phần mềm), và sơ đồ mạng. Các tài liệu về mạng, về phần cứng, và về ứng dụng cũng được thu thập đầy đủ. Chúng được xem xét tổng hợp lại trên cơ sở những hiểu biết của tôi về các sản phẩm thương mại và văn hóa công ty. Các chính sách bị mất mát, thiếu sót được ghi chép lại, và các biểu đồ tiến trình thực hiện đã giúp tôi hiểu rõ ràng về các chính sách trong hệ thống thông tin đã có và các thủ tục, các kiến trúc, và các cơ sở hạ tầng. Chính sách bảo mật Một hệ thống an toàn, bảo mật tốt bắt đầu từ một chính sách rõ ràng có thể triển khai. Trong môi trường ngân hàng, cũng có các yêu cầu cần điều chỉnh để xem xét nhiều mặt của chính sách an toàn, bảo mật, cũng như nắm bắt và báo cáo về các rủi ro, thiệt hại do tấn công. Bạn cũng có thể tham khảo các tài liệu tốt nhất về chính sách an toàn, bảo mật áp dụng cho ngân hàng tại nhiều website như: Federal Financial Institutions Examination Council (FFIEC), Office of Thrift Supervision (OTS), and the Office of the Comptroller of the Currency (OCC). Theo luật định, các tập đoàn viễn thông, và các chuyên gia về nguồn nhân lực cần xem xét một cách toàn diện chính sách an toàn, bảo mật. Chính sách an toàn, bảo mật cần phải bao gồm kế hoạch bảo mật để đảm bảo thống nhất với tất cả các kiến trúc và các đối tượng hiện có trong toàn công ty. Đánh giá rủi ro/Phân tích lỗ hổng Quản lý rủi ro là một quá trình xác định tiết lộ bảo mật và các giải pháp đã được khuyến cáo. Nó nhằm mục đích cung cấp cho nhà quản lý các thông tin về rủi ro và các hành động khắc phục cần thiết. Có trong tay các đánh giá, người quản trị có thể ra các quyết định làm như thế nào để bảo vệ các thông tin của họ. Tôi sử dụng một công cụ đánh giá rủi ro để giúp tôi phát hiện các lỗ hổng có thể đe dọa đến tính bí mật, tính toàn vẹn, và tính sẵn sàng của thông tin. Mỗi khi tôi phát hiện và ghi chép lại các rủi ro, các thông tin đó được những người có trách nhiệm quyết định xem mức độ rủi ro có thể chấp nhận được hay không. Các rủi ro được chấp nhận sẽ được xem xét lại và hỗ trợ cho việc tài liệu hóa quá trình giải quyết các lỗi vi phạm. Các rủi ro không được chấp nhận sẽ đòi hỏi phải có kế hoạch hành động sửa chữa để loại trừ hay giảm thiểu rủi ro. Với các dữ liệu thu thập được và một đánh giá đầy đủ về rủi ro, bước tiếp theo là thực hiện phân tích các lỗ hổng của hệ thống. Trên cơ sở các bài học của FFIEC IS, tôi tiến hành xác định các lỗ hổng và phác thảo ra một kế hoạch hành động. Với các trang bị về đánh giá rủi ro/phân tích lỗ hổng và một kế hoạch cho dự án, tôi bắt đầu chuẩn bị kế hoạch bảo mật của cá nhân. Nhận thức về bảo mật Một tháng sau khi ngân hàng mở cửa; tôi thuê một nhà cung cấp an toàn, bảo mật để giúp đỡ tôi trong việc nhận thức nó tốt hơn. Chúng tôi cùng xem xét một vài Website về an toàn, bảo mật (cả về nhà cung cấp và thực hiện) và tổ chức vài cuộc họp bàn về những kết quả mà chúng tôi học được trong lĩnh vực bảo mật. Các khoá đào tạo về bảo mật đưa ra rất nhiều câu hỏi và trả lời được trình bày trong các hình thức thong tin qua điện thoại hoặc thư tín điện tử trực tiếp. Các hoạt động này giúp mọi người ghi nhớ và quan tâm thực sự vào vấn đề an toàn, bảo mật. Việc hình thành báo cáo nóng 7x24, cùng với sự kết hợp của phòng quản lý nhân sự đã giúp đỡ tôi thực hiện đào tạo về an toàn, bảo mật cho những thành viên mới. Để giữ vấn đề an toàn, bảo mật ở vị trí hàng đầu, việc tiếp tục trao đổi thông tin và đào tạo về an toàn, bảo mật cần được khuyến khích thực hiện. Các thông tin và cảnh báo về an toàn bảo mật thường xuyên được trao đổi qua thư điện tử và đưa lên Website nội bộ. Vấn đề quan trọng là vẫn phải tiếp tục nhắc nhở các thành viên về trách nhiệm giữ gìn an toàn bảo mật của họ. Proactive Measures Công việc an toàn, bảo mật đòi hỏi một sự đầu tư lớn vào công nghệ, dịch vụ, con người, và các thay đổi thường xuyên trong văn hóa công ty. An toàn bảo mật thông tin bao gồm cả phát hiện truy cập trái phép, giám sát, theo dõi, xác định ranh giới về các tiêu chuẩn, kiểm tra và đào tạo kỹ thuật. Các theo dõi giám sát trực tiếp sẽ giúp cho phát hiện các bất thường hoặc xâm nhập trái phép vào hệ thống mạng của bạn. Dưới đây là các cách ...