Bảo mật mạng là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở nên cần thiết. Mục tiêu của việc nối mạng là làm cho mọi người có thể sử dụng chung tài nguyên từ những vị trí địa lý khác nhau. Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, dẫn một điều hiển nhiên là chúng sẽ bị xâm phạm, gây mất mát dữ liệu cũng như các thông tin có giá trị. Càng giao thiệp rộng thì càng dễ bị tấn công, đó là một quy luật. Từ đó, vấn đề bảo vệ thông tin cũng đồng thời xuất hiện. Bảo mật ra đời.
Tất nhiên, mục tiêu của bảo mật không chỉ nằm gói gọn trong lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác như kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật trên các hệ thống thanh toán điện tử và giao dịch trực tuyến….
Theo một cuộc khảo sát được Viện Bảo mật máy tính CSI tiến hành năm 2003, có tới 78% máy tính bị tấn công qua mạng Internet (năm 2000 là 59%). Ngày nay, thậm chí cả những doanh nghiệp nhỏ nhất cũng cảm thấy họ cần phải thực hiện các hoạt động kinh doanh trực tuyến, và kéo theo đó nhiều nhân tố cần phải đảm bảo cho mô hình này.
Tuy nhiên, theo Jim Browning, phó chủ tịch kiêm giám đốc nghiên cứu SMB của Gartner, hầu hết các doanh nghiệp không nhìn nhận đúng mực tầm quan trọng của bảo mật, họ thường xem nhẹ chúng trong khi đáng ra đó phải là ưu tiên hàng đầu khi tiến hành các hoạt động trực tuyến.
Nếu không được bảo vệ đúng mực, mỗi phần của hệ thống mạng đều trở thành mục tiêu tấn công của tin tặc, của đối thủ cạnh tranh, hay thậm chí là cả nhân viên trong công ty. Mặc dù trong năm 2005 có tới 40% SMB thực hiện quản lý mạng bảo mật và sử dụng Internet nhiều hơn nhưng theo thống kê của Gartner, hơn một nửa trong số họ thậm chí không biết là mình bị tin tặc tấn công.
Những nguyên tắc và hướng dẫn sau sẽ giúp tiếp cận và giải quyết các vấn đề bảo mật theo đúng hướng:
Sự hưởng ứng của tầng lớp lãnh đạo
Nguyên tắc đầu tiên là người lãnh đạo công ty phải nhận thức được tầm quan trọng của vấn đề bảo mật.
Lý do: Thứ nhất, chiến lược bảo mật phải là một chức năng của chiến lược kinh doanh. Hay nói một cách đơn giản, mục đích của chức năng bảo mật là đảm bảo độ an toàn cho các hoạt động kinh doanh. Điều này có nghĩa hiểu được chiến lược, tiếp cận và ưu tiêu hoá hoạt động kinh doanh là ưu cầu cần có để thiết lập chính sách và chi phí cho bảo mật.
Lý do thứ hai là chính sách doanh nghiệp cần phải được đặt lên hàng đầu. Tuy nhiên, phần lớn các chính sách lại không coi trọng khía cạnh bảo mật hoặc khuyến khích phát triển đội ngũ quản lý IT. Không một phân tích nào của quản trị hệ thống có thể thay thế cho một lời nói của cấp lãnh đạo rằng: “Bảo mật rất quan trọng với chúng ta, và đó cũng là lý do tại sao chúng ta phải làm vậy”. Sự tham gia và ủng hộ từ mức quản lý cao nhất đảm bảo sự tham gia và thi hành của tất cả nhân viên công ty trong nỗ lực xây dựng chính sách an toàn bảo mật.
Bổ nhiệm chuyên gia bảo mật
Khi đã xem xét tới việc cải thiện mạng lưới và an toàn thông tin, một câu hỏi thường được đặt ra là: “Bao nhiêu % nhân viên sẽ nghiêm chỉnh thực hiện các quy định bảo mật?”. Câu trả lời “Không” thường không phải là giải pháp tích cực nhưng có rất nhiều công ty đưa ra đáp án này. Với các doanh nghiệp nhỏ, việc có hẳn một nhóm bảo mật là điều xa xỉ và hầu như chẳng ai có đủ kinh phí để làm một việc như thế.
Nhưng tại sao lại không có hẳn một người đảm nhận công việc này, hoặc thậm chí là kiêm nghiệm? Một người chẳng tốt hơn là không có người nào? Ai sẽ là người đảm nhận công việc đó, và nội dung công việc cần phải báo cáo với ai? Một số doanh nghiệp thường giao việc bảo mật cho phòng/ban IT; nhưng doanh nghiệp khác lại quy cho bộ phận tài chính. Một số khác có chuyên gia bảo mật thì chịu trách nhiệm báo cáo trực tiếp với CEO (giám đốc điều hành). Tuy nhiên, câu trả lời cho vấn đề này lại không quan trọng bằng việc hiểu được vai trò thực sự của chuyên gia bảo mật trong doanh nghiệp, đó là chuyên gia đó có vai trò gì và như thế nào.
Vai trò của chuyên gia bảo mật
Chuyên gia bảo mật ít nhất phải dành một phần thời gian đáng kể cho việc nghiên cứu các vấn đề bảo mật. Nhận biết được tầm quan trọng của bảo mật và các nguyên tắc liên quan sẽ là bước đi quan trọng trong việc củng cố và nâng cao tính an toàn thông tin doanh nghiệp.
Thứ hai, những chuyên gia bảo mật được bổ nhiệm cần phải có quyền hạn nhất định đối với các vấn đề bảo mật, và quyền hạn này cần phải được công nhận rộng rãi trong nội bộ công ty.
Về trách nhiệm, dựa trên những bàn bạc và thảo luận với người quản lý hoặc qua hiểu biết về kinh doanh, chuyên gia bảo mật cần xác định được những rủi ro bảo mật hàng đầu đối với công ty. Chuyên gia này cần thảo ra các kế hoạch giảm thiểu rủi ro tới mức có thể chấp nhận được với khoản kinh phí và thời gian tương xứng. Một vấn đề phát sinh có thể cần tới 12 tháng mới giải quyết xong, nhưng cũng có thể chỉ mất 3 tháng với điều kiện kinh phí bỏ ra cao hơn. CEO sẽ là người cuối cùng đưa ra quyết định đối với các rủi ro theo kiểu phải chi phí tốn kém như thế này sau khi xem xét kỹ lưỡng khả năng và nguồn lực của toàn bộ doanh nghiệp.
Bảo mật là Đường đi chứ không phải Đích đến
Bảo mật là vấn đề thuộc về mức độ chứ không phải là trạng thái. Không có một sản phẩm đơn lẻ nào, nhân sự hoặc chính sách nào có thể cung cấp sự an toàn triệt để về bảo mật. Bất cứ công ty nào cũng có thể cải thiện được mức an toàn thông tin bằng cách tuân thủ quy trình 3 bước đơn giản sau:
- Phát triển chính sách và những yêu cầu cần thiết
- Thực thi giải pháp
- Kiểm chứng kết quả
Quy trình trên cần thực hiện lặp đi lặp lại, và kết quả của nó sẽ giúp cải thiện mức độ bảo mật của doanh nghiệp.
Nguồn: baomatmang.org