7 lời khuyên bảo mật của Cisco

Hãng thiết bị mạng Mỹ Cisco cho rằng bảo mật thông tin không còn đơn thuần chỉ là một cuộc chiến chống lại cuộc tấn công của virus hay spam.

Cisco vừa công bố bản báo cáo hàng năm đầu tiên Bảo mật năm cùng với việc ra mắt website Trung tâm Bảo mật Cisco (cisco.com/security). Báo cáo cũng đưa ra các dự đoán về những mối đe dọa bảo mật trong năm 2008 cùng với những lời khuyên từ các chuyên gia bảo mật của Cisco.

Cisco đã đưa ra 7 thể loại quản lý các rủi ro, gồm những lỗ hổng bảo mật, vật lý, pháp lý, độ tin cậy, nhận dạng, con người và địa vị chính trị, đồng thời kết hợp các thể loại này với các yêu cầu bảo mật vốn liên quan tới khả năng bảo vệ chống malware, bảo vệ chống lộ dữ liệu, quản lý rủi ro trong doanh nghiệp, lên kế hoạch chống thảm hoạ, và nhiều vấn đề khác.

Theo ông John Stewart, Tổng giám đốc phụ trách vấn đề bảo mật của Cisco, bảo mật thông tin không còn đơn thuần chỉ là một cuộc chiến chống lại một cuộc tấn công của virus hay spam nữa. Mà hơn thế nữa, điều này còn bao gồm các nhân tố địa chính trị, nhận dạng và pháp lý. Chẳng hạn, các hành vi ăn trộm tại những cửa hàng bán lẻ lớn, các cáo buộc tấn công hệ thống máy tính của các chính phủ phương Tây...

Vì vậy, ông Stewart nói, bảo mật doanh nghiệp, các thông tin của cá nhân và các quốc gia đòi hỏi một cấp độ phối hợp cao hơn giữa các bên vốn trước đây chỉ hợp tác chặt chẽ với nhau khi cần thiết. "Các đội ngũ bảo mật CNTT, doanh nghiệp, chính phủ, các cơ quan thực thi pháp luật, người tiêu dùng, các công dân: Tất cả đều là mục tiêu, đồng thời cũng là đồng minh của nhau. Tính hiệu quả của công tác bảo mật cá nhân, doanh nghiệp và quốc gia sẽ phụ thuộc vào sự cộng tác và truyền thông liên lạc giữa tất cả những chủ thể này”, ông Steward nói.

Báo cáo của Cisco đã đưa ra một số lời khuyên cho từng thể loại trong bảy thể loại rủi ro trên. Dưới đây là một số lời khuyên đáng chú ý:

• Thực hiện công tác kiểm tra đánh giá đều đặn trong tổ chức về các mục tiêu hấp dẫn các cuộc tấn công đồng thời đánh giá các phương thức có thể được sử dụng để tấn công. Những hành vi lợi dụng thường quá thành công do không tuân theo các nguyên tắc bảo mật cơ bản: chống xâm nhập ngay tại máy chủ, các miếng vá và những bản nâng cấp với việc sửa các lỗi bảo mật, và công tác kiểm tra đánh giá đều đặn.

• Hiểu rõ khái niệm các mối đe dọa theo mô hình sử dụng. Khi có một ứng dụng hoặc một thiết bị mới ra đời thì các mối đe dọa mới cũng sẽ xuất hiện.

• Thay đổi quan điểm của các nhân viên, người tiêu dùng và công dân vốn tự cho rằng mình là những người đứng ngoài cuộc vô tội, tiếp thêm sức mạnh cho họ để họ trở thành những người có ảnh hưởng tích cực với quyền sở hữu được chia sẻ qua các trách nhiệm về bảo mật. Các đội ngũ CNTT nên đi đầu trong nhiệm vụ này, nhưng đây không chỉ là vấn đề của riêng họ.

• Ưu tiên hàng đầu cho công tác giáo dục bảo mật. Các doanh nghiệp, các nhà cung cấp bảo mật cùng các cơ quan chính phủ cần phải đầu tư vào công tác giáo dục bảo mật cũng như nâng cao nhận thức của mọi người về bảo mật. Nỗ lực này nên bao gồm sự cộng tác của toàn ngành công nghiệp giữa các đối tác cũng như các đối thủ trên thị trường.

• Thể chế hoá công tác giáo dục bảo mật CNTT bằng việc đưa nó vào chương trình giảng dạy trong nhà trường.

• Quan tâm nhiều hơn việc chỉ chú trọng vào hiệu suất hoạt động khi xây dựng một mạng bảo mật. Tập trung vào khả năng của mạng để cộng tác, kiểm tra, thích nghi hóa và giải quyết các vấn đề bảo mật một cách triệt để, từ các gateway (cổng kết nối) của hệ thống mạng và các máy chủ đến các máy tính để bàn và các thiết bị di động.

• Các nhà cung cấp bảo mật cần phải cung cấp các giải pháp bảo mật toàn diện để có thể mở rộng trên khắp cơ sở hạ tầng mạng, các ứng dụng hỗn hợp và ngay chính trong dữ liệu.