Năm lỗi cơ bản trong chính sách bảo mật

Năm lỗi mà các doanh nghiệp thường mắc phải khi soạn thảo và thực thi các chính sách bảo mật thông tin. Một số lỗi có vẻ khá đơn giản, chúng thường hay xảy ra và gây tổn thất nghiêm trọng...
Nội dung trích xuất từ tài liệu:
Năm lỗi cơ bản trong chính sách bảo mậtNăm lỗi cơ bản trong chính sách bảo mậtNguồn:quantrimang.com Anton ChuvakinNăm lỗi mà các doanh nghiệp thường mắc phải khi soạn thảo và thực thicác chính sách bảo mật thông tin. Một số lỗi có vẻ khá đơn giản, chúngthường hay xảy ra và gây tổn thất nghiêm trọng...Không có chính sáchTrong các lỗi về chính sách bảo mật thì đây là lỗi lớn và trong thực tế có thể kểtừ không có chính sách cho đến chỉ có “chính sách ngầm” – loại chính sáchđược ban lãnh đạo bàn thảo không chính thức, không có biên bản và không phổbiến cho ai cả.Sơ suất này không chỉ làm suy yếu việc bảo mật và dẫn đến trách nhiệm vềpháp lý, mà còn có thể vi phạm các quy định trong chính sách bảo mật đã đượcchính thức ban hành bằng văn bản.Tất nhiên ngay khi chính sách được chính thức soạn thảo, các doanh nghiệpthường phát hiện rằng nhiều phần trong hệ thống của mình vi phạm chính sách.Không có gì lạ, vì điều này cho thấy chính sách không chỉ được phát triển xoayquanh các tiêu chuẩn hiện tại về hoạt động công nghệ thông tin (CNTT). Nghĩalà, ngoài chính sách bảo mật, các doanh nghiệp cũng phải dẫn ra những khiếmkhuyết trong hệ thống hiện tại của mình, phân tích những rủi ro, và đánh giá phítổn cho việc sửa chữa những khiếm khuyết này cho phù hợp với chính sáchmới.Không cập nhậtGiả sử bạn không phải là “nạn nhân” của sai lầm nói trên, bạn sẽ nhận ra mộtđiểm bảo mật then chốt : có một chính sách bằng văn bản là chưa đủ để bảomật tốt.Chắc chắn là cơ cấu doanh nghiệp cũng như quy trình kinh doanh sẽ thay đổi,nên những rủi ro về bảo mật thông tin và các quy định kèm theo cũng sẽ thayđổi. Tiềm năng phát triển của doanh nghiệp luôn đi kèm với những rủi ro nênchính sách bảo mật cũng bắt buộc phải luôn luôn được cập nhật.Các lý do để cập nhật chính sách bảo mật bao gồm việc triển khai công nghệmới (hoặc bỏ phần cứng và phần mềm đã lỗi thời), nhiệm vụ mới, phát triển, sápnhập hay tái cấu trúc doanh nghiệp nhằm đưa dữ liệu mới và người sử dụng vàohệ thống cũng như đường lối hay thông lệ kinh doanh – cơ bản là chính sáchbảo mật phải sẵn sàng để bảo vệ bất kỳ yếu tố đổi thay nào.Những doanh nghiệp không thường xuyên rà soát và cập nhật chính sách bảomật có khả năng bị “hở sườn” và dễ bị tấn công, dù đã có chính sách bảo mậtcủa riêng mình.Không theo dõi Nếu đã xây dựng chính sách bảo mật và thường xuyên cập nhật, bạn đã có hai bước đến “thiên đường bảo mật”. Thế nhưng, bạn vẫn có thể mắc những lỗi khác. Chính sách bảo mật sẽ trở nên vô dụng về mặt thực tiễn và cả về mặt pháp lý nếu doanh nghiệp không theo dõi xem chính sách đó có được tuân thủ không, hoặc nhân viên có nắmvững các điều khoản trong đó không. Trước tiên, để thực thi chính sách, doanhnghiệp phải biết chắc rằng chính sách đó đã được phổ biến đến mọi nhân viên,phải thường xuyên tổ chức các khóa tập huấn cho nhân viên, nhất là mỗi khi cậpnhật chính sách. Tiếp theo, để bảo đảm chính sách được thực thi có hiệu quả,cần phải có hoạt động giám sát liên tục.Cách hữu hiệu nhất để theo dõi việc tuân thủ chính sách là thông qua việc thuthập và phân tích dữ liệu. Thu thập và phân tích dữ liệu thu thập cho phép đánhgiá chính xác những gì đang diễn ra. Khi một nhân viên gửi e-mail tài liệu đếnmột tài khoản cá nhân hoặc cố truy cập dữ liệu vượt quá quyền hạn truy cập củahọ, hay khi một hacker bên ngoài cố xâm nhập vào máy chủ, các sự việc nàyđều sẽ được ghi nhận. Truy tìm hoạt động của hệ thống và người sử dụng thôngqua sự thu thập và so sánh dữ liệu với các điều khoản trong chính sách bảo mậtlà cách tốt nhất nhằm đánh giá khách quan việc tuân thủ chính sách.Chính sách “thuần túy kỹ thuật”Giả sử bạn tránh được ba “cạm bẫy” đã nêu trên thì vẫn có thể mắc một sai lầmkhác liên quan đến trọng tâm của chính sách bảo mật.Một chính sách chỉ bao gồm bảo mật kỹ thuật (như độ phức tạp của mật khẩu,các quy luật về bức tường lửa, cảnh báo ngăn chặn xâm nhập, cập nhật phầnmềm chống virus...) mà bỏ qua việc thảo luận của mọi người và các hoạt độngcủa họ sẽ làm cho doanh nghiệp dễ bị tổn thất bởi những mối đe dọa như : lạmdụng thẩm quyền nội bộ, sử dụng cá nhân các nguồn thông tin,... Quan trọng làxác định sự an toàn về kỹ thuật và bảo đảm chúng phải được thực thi theo chínhsách bảo mật. Chính sách phải bao gồm bộ ba “con người, quy trình và kỹthuật”.Xin nhắc lại, dữ liệu thu thập được rất quan trọng cho việc giữ sự cân bằng, vìhoạt động của hệ thống (như tái khởi động hệ thống, cập nhật tự động, ngănchặn xâm nhập) và hoạt động của người sử dụng đều được lưu trữ và có thểđược dùng để đối chiếu với chính sách cũng như được trưng ra làm bằng chứngcho ...