Dữ liệu nội bộ – nguyên nhân rò rỉ

Dữ liệu nội bộ - nguyên nhân rò rỉNguy cơ rò rỉ dữ liệu từ trong nội bộ công ty hoặc tổ chức luôn là vấn đề được chủ các doanh nghiệp và tổ chức quan tâm. Vậy làm cách nào để ngăn chặn sao cho ít bị ảnh hưởng nhất đến tự do truy cập của nhân viên nhất?

Theo ông Ngô Tuấn Anh, Giám đốc an ninh thông tin (CSO) của Bkis, hiện tượng mất cắp dữ liệu do người trong nội bộ công ty thực hiện hoặc do những nhân viên bất cẩn gây ra mà bạn đề cập, có 2 nguyên nhân chính:

Thứ nhất, đó là các công ty thiếu các biện pháp để kiểm soát và ngăn ngừa việc mất cắp dữ liệu. Để giải quyết vấn đề này, chúng ta nên xây dựng hệ thống quản lý ninh thông tin, bao gồm các quy định, quy trình và các biện pháp kỹ thuật đi kèm. Hiện nay, phương pháp hiệu quả và khoa học nhất được áp dụng rộng rãi trong xây dựng hệ thống quản lý an ninh thông tin là tuân thủ theo ISO 27001.

Nguyên tắc của ISO 27001 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể xảy ra trong tổ chức để từ đó đánh giá và đưa ra các biện pháp để khắc phục, hạn chế đến mức tối thiểu các rủi ro này. Như vậy, dựa trên ISO 27001, người quản lý có thể đánh giá được hệ thống của mình có những điểm yếu nào có thể dẫn tới mất mát dữ liệu, đồng thời phân tích biện pháp để hạn chế rủi ro đó.

Sau quá trình phân tích, chúng ta sẽ có được danh sách các biện pháp để hạn chế các rủi ro dẫn tới mất mát dữ liệu, ví dụ như: mã hóa dữ liệu quan trọng, sử dụng phần mềm diệt virus, lưu trữ dữ liệu để đảm bảo dữ liệu của công ty không bị mất hoặc có xẩy ra sự cố thì phải khôi phục lại được…

Tuy nhiên, các biện pháp này có thể khác nhau, phụ thuộc vào chính sách và yêu cầu an ninh của từng đơn vị. Ví dụ, đối với cùng một việc là kiểm soát sử dụng USB, có đơn vị cho phép sử dụng nhưng phải tuân thủ theo các quy định như được phép lưu trữ dữ liệu gì trên USB, phải quét virus trước khi đưa vào sử dụng… nhưng cũng có đơn vị thì cấm hoàn toàn việc sử dụng USB.

Dữ liệu nội bộ - nguyên nhân rò rỉ

Có thể mất dữ liệu qua việc dùng USB

Do đó, để có được các biện pháp kiểm soát phù hợp nhất, bạn hãy tiến hành phân tích rủi ro, kết quả quá trình này bạn sẽ có được các biện pháp phù hợp với chính sách và yêu cầu về mức độ an ninh của công ty/tổ chức bạn. Quá trình phân tích này cũng sẽ chỉ ra các biện pháp hài hòa giữa yêu cầu đảm bảo an ninh cũng như sự thuận tiện của nhân viên trong công ty.

Nguyên nhân thứ hai dẫn tới mất mát thông tin trong công ty đó là do nhận thức của nhân viên. Bkis đã có nhiều năm kinh nghiệm triển khai tư vấn về an ninh thông tin cho các doanh nghiệp, tổ chức. Chúng tôi nhận thấy rằng để nâng cao nhận thức về an ninh thông tin cho mọi người, thay vì chỉ dùng lý thuyết suông một cách rất chung chung, chúng ta nên tổ chức để các chuyên gia trong lĩnh vực này “demo” trực tiếp những nguy cơ mất an ninh thông tin.

Ví dụ, các chuyên gia của Bkis thường demo một tình huống rất dễ xảy ra trong thực tế: trên máy tính của một nhân viên được cài đặt mật khẩu đơn giản, chỉ với vài thao tác kỹ thuật trong giây lát các chuyên gia có thể đột nhập và kiểm soát được chiếc máy tính đó.

Một tình huống khác là với máy tính đã được cài đặt mật khẩu rất mạnh nhưng không thường xuyên được cập nhật các bản vá lỗ hổng phần mềm, cũng chỉ trong giây lát, chuyên gia có thể kiểm soát máy tính dễ dàng và làm bất cứ việc gì trên chiếc máy đó. Sau những buổi thực tế như vậy, ý thức của tất cả các nhân viên tại doanh nghiệp, tổ chức mà Bkis từng được mời đến đào tạo về an ninh thông tin đều nâng cao rõ rệt bởi họ đã được mục sở thị những nguy cơ sát sườn.

Theo ICTnew

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s