Năm lỗi mà các doanh nghiệp thường mắc phải khi soạn thảo và thực thi các chính sách bảo mật thông tin. Một số lỗi có vẻ khá đơn giản, chúng thường hay xảy ra và gây tổn thất nghiêm trọng...
Không có chính sách
Trong các lỗi về chính sách bảo mật thì đây là lỗi lớn và trong thực tế có thể kể từ không có chính sách cho đến chỉ có “chính sách ngầm” – loại chính sách được ban lãnh đạo bàn thảo không chính thức, không có biên bản và không phổ biến cho ai cả.
Sơ suất này không chỉ làm suy yếu việc bảo mật và dẫn đến trách nhiệm về pháp lý, mà còn có thể vi phạm các quy định trong chính sách bảo mật đã được chính thức ban hành bằng văn bản.
Tất nhiên ngay khi chính sách được chính thức soạn thảo, các doanh nghiệp thường phát hiện rằng nhiều phần trong hệ thống của mình vi phạm chính sách. Không có gì lạ, vì điều này cho thấy chính sách không chỉ được phát triển xoay quanh các tiêu chuẩn hiện tại về hoạt động công nghệ thông tin (CNTT). Nghĩa là, ngoài chính sách bảo mật, các doanh nghiệp cũng phải dẫn ra những khiếm khuyết trong hệ thống hiện tại của mình, phân tích những rủi ro, và đánh giá phí tổn cho việc sửa chữa những khiếm khuyết này cho phù hợp với chính sách mới.
Không cập nhật
Giả sử bạn không phải là “nạn nhân” của sai lầm nói trên, bạn sẽ nhận ra một điểm bảo mật then chốt : có một chính sách bằng văn bản là chưa đủ để bảo mật tốt.
Chắc chắn là cơ cấu doanh nghiệp cũng như quy trình kinh doanh sẽ thay đổi, nên những rủi ro về bảo mật thông tin và các quy định kèm theo cũng sẽ thay đổi. Tiềm năng phát triển của doanh nghiệp luôn đi kèm với những rủi ro nên chính sách bảo mật cũng bắt buộc phải luôn luôn được cập nhật.
Các lý do để cập nhật chính sách bảo mật bao gồm việc triển khai công nghệ mới (hoặc bỏ phần cứng và phần mềm đã lỗi thời), nhiệm vụ mới, phát triển, sáp nhập hay tái cấu trúc doanh nghiệp nhằm đưa dữ liệu mới và người sử dụng vào hệ thống cũng như đường lối hay thông lệ kinh doanh – cơ bản là chính sách bảo mật phải sẵn sàng để bảo vệ bất kỳ yếu tố đổi thay nào.
Những doanh nghiệp không thường xuyên rà soát và cập nhật chính sách bảo mật có khả năng bị “hở sườn” và dễ bị tấn công, dù đã có chính sách bảo mật của riêng mình.
Không theo dõi
Chính sách bảo mật sẽ trở nên vô dụng về mặt thực tiễn và cả về mặt pháp lý nếu doanh nghiệp không theo dõi xem chính sách đó có được tuân thủ không, hoặc nhân viên có nắm vững các điều khoản trong đó không. Trước tiên, để thực thi chính sách, doanh nghiệp phải biết chắc rằng chính sách đó đã được phổ biến đến mọi nhân viên, phải thường xuyên tổ chức các khóa tập huấn cho nhân viên, nhất là mỗi khi cập nhật chính sách. Tiếp theo, để bảo đảm chính sách được thực thi có hiệu quả, cần phải có hoạt động giám sát liên tục.
Cách hữu hiệu nhất để theo dõi việc tuân thủ chính sách là thông qua việc thu thập và phân tích dữ liệu. Thu thập và phân tích dữ liệu thu thập cho phép đánh giá chính xác những gì đang diễn ra. Khi một nhân viên gửi e-mail tài liệu đến một tài khoản cá nhân hoặc cố truy cập dữ liệu vượt quá quyền hạn truy cập của họ, hay khi một hacker bên ngoài cố xâm nhập vào máy chủ, các sự việc này đều sẽ được ghi nhận. Truy tìm hoạt động của hệ thống và người sử dụng thông qua sự thu thập và so sánh dữ liệu với các điều khoản trong chính sách bảo mật là cách tốt nhất nhằm đánh giá khách quan việc tuân thủ chính sách.
Chính sách “thuần túy kỹ thuật”
Giả sử bạn tránh được ba “cạm bẫy” đã nêu trên thì vẫn có thể mắc một sai lầm khác liên quan đến trọng tâm của chính sách bảo mật.
Một chính sách chỉ bao gồm bảo mật kỹ thuật (như độ phức tạp của mật khẩu, các quy luật về bức tường lửa, cảnh báo ngăn chặn xâm nhập, cập nhật phần mềm chống virus...) mà bỏ qua việc thảo luận của mọi người và các hoạt động của họ sẽ làm cho doanh nghiệp dễ bị tổn thất bởi những mối đe dọa như : lạm dụng thẩm quyền nội bộ, sử dụng cá nhân các nguồn thông tin,... Quan trọng là xác định sự an toàn về kỹ thuật và bảo đảm chúng phải được thực thi theo chính sách bảo mật. Chính sách phải bao gồm bộ ba “con người, quy trình và kỹ thuật”.
Xin nhắc lại, dữ liệu thu thập được rất quan trọng cho việc giữ sự cân bằng, vì hoạt động của hệ thống (như tái khởi động hệ thống, cập nhật tự động, ngăn chặn xâm nhập) và hoạt động của người sử dụng đều được lưu trữ và có thể được dùng để đối chiếu với chính sách cũng như được trưng ra làm bằng chứng cho việc vi phạm hay tuân thủ chính sách.
Chính sách to lớn và cồng kềnh
Một chính sách phải được soạn thảo theo văn phong dễ hiểu cho những ai bắt buộc phải tuân thủ.
Nếu một chính sách được viết theo văn phong của luật gia và dày tới 130 trang thì hầu hết nhân viên sẽ chẳng hiểu được nó quy định những gì, và chắc chắn sẽ dẫn tới vi phạm. Tương tự, các chính sách được viết quá nghiêm khắc và cấm những điều mà hầu hết nhân viên thường làm để hoàn thành nhiệm vụ sẽ làm cho nhân viên bất tuân thủ hàng loạt. Giáo dục là cần thiết ngay trước khi chính sách được áp dụng. Như thế, lập một chính sách rõ ràng và dễ hiểu ngay từ đầu sẽ làm tăng mức độ tuân thủ chính sách trong tương lai.
Chúng ta đã xem xét năm lỗi chính sách bảo mật thường gặp. Một chính sách bảo mật để đạt mục đích, phải được viết rõ ràng và cập nhật theo yêu cầu. Chính sách phải bao gồm các lĩnh vực kỹ thuật và không kỹ thuật. Và cuối cùng, cần phải giám sát việc tuân thủ chính sách.
-----------------------------------
TS Anton Chuvakin là chuyên gia về bảo mật và là tác giả của nhiều cuốn sách. Ông hiện là trưởng nhóm thu thập của LogLogic, một công ty quản lý và tình báo thu thập. Ông là tác giả cuốn Security Worrior và là cộng tác viên các cuốn Know Your Enemy II, Information Security Management Handbook, và Hackers Challenge 3 and PCI Compliance.