Bảo mật có thực sự là một vấn đề?
(Cập nhật ngày: 19/07/2007)



Khi nói về vấn đề bảo mật, mức độ quy mô và tầm quan trọng của nó lại là sự khác biệt giữa các DN lớn và DN vừa & nhỏ. Các công ty con thường ít có nguồn lực IT nội bộ; phần lớn không có giám đốc bảo mật do kinh phí hạn hẹp và áp lực tiết kiệm chi phí luôn là bóng đen bao phủ toàn bộ hoạt động kinh doanh.


Tuy nhiên, tất cả các công ty dù lớn dù nhỏ khi kết nối vào mạng Internet đều có chung những nhân tố cần bảo vệ: uy tín, tài sản trí thức, và thậm chí cả sự tồn tại của doanh nghiệp đó. Không có bàn tay chuyên gia, không có kinh phí dồi dào thì thử hỏi làm sao DN nhỏ có thể chống lại những cạm bẫy và nguy hiểm trong không gian mạng?

Những nguyên tắc và hướng dẫn sau sẽ giúp tiếp cận và giải quyết các vấn đề bảo mật theo đúng hướng:

Sự hưởng ứng của tầng lớp lãnh đạo

Nguyên tắc đầu tiên là người lãnh đạo công ty phải nhận thức được tầm quan trọng của vấn đề bảo mật.

Lý do: Thứ nhất, chiến lược bảo mật phải là một chức năng của chiến lược kinh doanh. Hay nói một cách đơn giản, mục đích của chức năng bảo mật là đảm bảo độ an toàn cho các hoạt động kinh doanh. Điều này có nghĩa hiểu được chiến lược, tiếp cận và ưu tiêu hoá hoạt động kinh doanh là ưu cầu cần có để thiết lập chính sách và chi phí cho bảo mật.

Lý do thứ hai là chính sách doanh nghiệp cần phải được đặt lên hàng đầu. Tuy nhiên, phần lớn các chính sách lại không coi trọng khía cạnh bảo mật hoặc khuyến khích phát triển đội ngũ quản lý IT. Không một phân tích nào của quản trị hệ thống có thể thay thế cho một lời nói của cấp lãnh đạo rằng: "Bảo mật rất quan trọng với chúng ta, và đó cũng là lý do tại sao chúng ta phải làm vậy". Sự tham gia và ủng hộ từ mức quản lý cao nhất đảm bảo sự tham gia và thi hành của tất cả nhân viên công ty trong nỗ lực xây dựng chính sách an toàn bảo mật.

Tiếp cận cân xứng

Ngân sách dồi dào sẽ giúp doanh nghiệp chủ động hơn trong vấn đề bảo mật. Tuy nhiên, nhận thức được tầm quan trọng của chi phí bảo mật không phải công ty nào cũng làm được, kể cả các công ty lớn. Chính vì vậy, doanh nghiệp càng quy mô thì càng phải ưu tiên cho bảo mật. Thực tế cho thấy, mức chi phí bảo mật thường tương xứng với quy mô của doanh nghiệp. Chẳng hạn, một công ty trị giá 10 triệu USD có mức chi phí bảo mật bằng 1/10 so với công ty 100 triệu USD.

Vấn đề cốt lõi là mức chi phí bỏ ra cần phải tương xứng với giá trị bảo vệ. Cũng giống bảo hiểm, cần có tỷ lệ % nhất định của tài sản để tương ứng với mức chi phí bỏ ra nhằm giảm rủi ro mất mát tài sản, hoặc bù trù vào khấu hao hoạt động. Tỷ lệ % đó dao động tuỳ thuộc vào mức độ quan trọng của tài sản đối với doanh nghiệp.

Hiểu được chiến lược kinh doanh, và rủi ro có thể xảy ra, một doanh nghiệp có thể định ra và áp dụng chính sách bảo mật một cách hiệu quả nhất.

Bổ nhiệm chuyên gia bảo mật

Khi đã xem xét tới việc cải thiện mạng lưới và an toàn thông tin, một câu hỏi thường được đặt ra là: "Bao nhiêu % nhân viên sẽ nghiêm chỉnh thực hiện các quy định bảo mật?". Câu trả lời "Không" thường không phải là giải pháp tích cực nhưng có rất nhiều công ty đưa ra đáp án này. Với các doanh nghiệp nhỏ, việc có hẳn một nhóm bảo mật là điều xa xỉ và hầu như chẳng ai có đủ kinh phí để làm một việc như thế.

Nhưng tại sao lại không có hẳn một người đảm nhận công việc này, hoặc thậm chí là kiêm nghiệm? Một người chẳng tốt hơn là không có người nào? Ai sẽ là người đảm nhận công việc đó, và nội dung công việc cần phải báo cáo với ai? Một số doanh nghiệp thường giao việc bảo mật cho phòng/ban IT; nhưng doanh nghiệp khác lại quy cho bộ phận tài chính. Một số khác có chuyên gia bảo mật thì chịu trách nhiệm báo cáo trực tiếp với CEO (giám đốc điều hành). Tuy nhiên, câu trả lời cho vấn đề này lại không quan trọng bằng việc hiểu được vai trò thực sự của chuyên gia bảo mật trong doanh nghiệp, đó là chuyên gia đó có vai trò gì và như thế nào.

Vai trò của chuyên gia bảo mật

Chuyên gia bảo mật ít nhất phải dành một phần thời gian đáng kể cho việc nghiên cứu các vấn đề bảo mật. Nhận biết được tầm quan trọng của bảo mật và các nguyên tắc liên quan sẽ là bước đi quan trọng trong việc củng cố và nâng cao tính an toàn thông tin doanh nghiệp.

Thứ hai, những chuyên gia bảo mật được bổ nhiệm cần phải có quyền hạn nhất định đối với các vấn đề bảo mật, và quyền hạn này cần phải được công nhận rộng rãi trong nội bộ công ty.

Về trách nhiệm, dựa trên những bàn bạc và thảo luận với người quản lý hoặc qua hiểu biết về kinh doanh, chuyên gia bảo mật cần xác định được những rủi ro bảo mật hàng đầu đối với công ty. Chuyên gia này cần thảo ra các kế hoạch giảm thiểu rủi ro tới mức có thể chấp nhận được với khoản kinh phí và thời gian tương xứng. Một vấn đề phát sinh có thể cần tới 12 tháng mới giải quyết xong, nhưng cũng có thể chỉ mất 3 tháng với điều kiện kinh phí bỏ ra cao hơn. CEO sẽ là người cuối cùng đưa ra quyết định đối với các rủi ro theo kiểu phải chi phí tốn kém như thế này sau khi xem xét kỹ lưỡng khả năng và nguồn lực của toàn bộ doanh nghiệp.

Bảo mật là Đường đi chứ không phải Đích đến

Bảo mật là vấn đề thuộc về mức độ chứ không phải là trạng thái. Không có một sản phẩm đơn lẻ nào, nhân sự hoặc chính sách nào có thể cung cấp sự an toàn triệt để về bảo mật. Bất cứ công ty nào cũng có thể cải thiện được mức an toàn thông tin bằng cách tuân thủ quy trình 3 bước đơn giản sau:

- Phát triển chính sách và những yêu cầu cần thiết
- Thực thi giải pháp
- Kiểm chứng kết quả

Quy trình trên cần thực hiện lặp đi lặp lại, và kết quả của nó sẽ giúp cải thiện mức độ bảo mật của doanh nghiệp.

Kết luận

Các doanh nghiệp dù lớn hay nhỏ đều có chung những nguy cơ khi kết nối với mạng Internet: nguy cơ về tài sản trí tuệ; uy tín; và khả năng hoạt động kinh doanh. Tuy nhiên, những công ty cỡ nhỏ thường đối mặt thêm với một vấn đề, đó là thử thách giải quyết các rủi ro bảo mật trong khi nguồn lực IT nội bộ không đủ hoặc không có. Hạn chế này có thể khắc phục bằng sự tham gia của đội ngũ quản lý cấp cao trong việc hoạch định kế hoạch bảo mật; liên kết chiến lược bảo mật với chiến lược kinh doanh; dành ra ít nhất một người đảm đương các công việc liên quan tới bảo mật; và chọn lựa khéo léo một nhà cung cấp giải pháp bảo mật tốt nhất.


Theo vnMedia