Xây dựng chính sách bảo mật thông tin cho doanh nghiệp để giảm thiểu thiệt hại | CyStack Security

Trong vài năm trở lại đây, số lượng các cuộc tấn công vi phạm thông tin doanh nghiệp ngày càng tăng cao. Nhiều vụ trong số đó xuất phát từ những kẽ hở trong chính sách bảo mật thông tin của doanh nghiệp. Vậy, làm sao để xây dựng chính sách bảo mật cho doanh nghiệp hoàn thiện và an toàn nhất? Cùng tìm hiểu trong bài viết dưới đây.

Xây dựng chính sách bảo mật cho doanh nghiệp

1. Hậu quả của một chính sách bảo mật kém

Tại Nước Ta, hiện tại vẫn chưa có pháp luật thật sự rõ ràng về quyền và nghĩa vụ và trách nhiệm của những tổ chức triển khai khi tích lũy và quản trị tài liệu của công dân. Tuy nhiên đã có chế tài xử phạt so với những tổ chức triển khai làm lộ thông tin của người dùng .
Không những phải chịu nghĩa vụ và trách nhiệm trước pháp lý, những doanh nghiệp làm lộ thông tin người dùng còn phải chịu tổn thất về lệch giá, uy tín với hội đồng ( gồm có người mua, những đối tác chiến lược và nhà đầu tư ). Đó chính là nguyên do mỗi doanh nghiệp nên thiết kế xây dựng một chính sách bảo mật minh bạch, bảo đảm an toàn, bảo vệ quyền lợi và nghĩa vụ cả 2 bên .

Sự cố bảo mật tại một doanh nghiệp có thể tạo ra lợi thế cạnh tranh cho một doanh nghiệp khác. Đây gọi là hiệu ứng cạnh tranh. Ví dụ điển hình là tháng 2/2015, khi công ty Anthem vướng vào vụ thất thoát thông tin 80 triệu khách hàng, đối thủ của họ là Aetna hưởng lợi 745 triệu USD, tương đương mức tăng giá trị cổ phiếu 2.2% (sau khi loại trừ ảnh hưởng từ thị trường chứng khoán nói chung). Trong trường hợp này, nhà đầu tư nhìn nhận khủng hoảng danh tiếng của  Anthem sẽ khiến cho khách hàng chuyển sang sử dụng sản phẩm của Aetna – đối thủ trực tiếp của Anthem, do vậy làm tăng giá trị cổ phiếu của công ty này.

2. Xây dựng chính sách bảo mật cho doanh nghiệp

2.1. Chính sách bảo mật là gì?

Chính sách bảo mật (Privacy Policy), là một tài liệu giải thích cách một doanh nghiệp hoặc tổ chức thu thập – lưu trữ – quản lý – sử dụng – chia sẻ thông tin của người dùng, đối tác, hoặc nhân viên. Chính sách bảo mật phải thỏa mãn các yêu cầu về bảo mật thông tin của người dùng.

Đối với châu Âu hoặc doanh nghiệp Việt có người mua là công dân châu Âu, chính sách bảo mật phải thỏa mãn nhu cầu bộ luật GPDR nhằm mục đích bảo mật thông tin cá thể của công dân. Đối với những doanh nghiệp Việt, vẫn chưa có pháp luật đơn cử từ những cơ quan chức năng. Nhưng nhìn chung, một chính sách bảo mật minh bạch thường có không thiếu những yếu tố sau :

• Những thông tin cá nhân mà tổ chức thu thập
• Mục đích của việc thu thập thông tin trên
• Cách tổ chức sử dụng thông tin
• Những thông tin đó được chia sẻ như thế nào?
• Các đối tác được chia sẻ thông tin
• Quyền lựa chọn cho người dùng
• Các thông tin khác

2.2. Xây dựng chính sách bảo mật như thế nào?

a. Sử dụng mẫu soạn sẵn – template

Hiện nay có rất nhiều mẫu Chính sách bảo mật được soạn sẵn trên mạng, hầu hết đều cho tải không lấy phí. Tuy nhiên, doanh nghiệp cần kiểm soát và điều chỉnh thêm cho tương thích với ngành và đặc trưng tổ chức triển khai, cũng như mục tiêu sử dụng riêng. Dưới đây là mẫu chính sách bảo mật website cơ bản nhất tương thích với GPDR :

Privacy Policy of tên công ty

Tên công ty operates the Website URL website, which provides the SERVICE .
This page is used to inform website visitors regarding our policies with the collection, use, and disclosure of Personal Information if anyone decided to use our Service, the Tên website website .
If you choose to use our Service, then you agree to the collection and use of information in relation with this policy. The Personal Information that we collect are used for providing and improving the Service. We will not use or share your information with anyone except as described in this Privacy Policy .
The terms used in this Privacy Policy have the same meanings as in our Terms and Conditions, which is accessible at Website URL, unless otherwise defined in this Privacy Policy .

Information Collection and Use

For a better experience while using our Service, we may require you to provide us with certain personally identifiable information, including but not limited to your name, phone number, and postal address. The information that we collect will be used to contact or identify you .

Log Data

We want to inform you that whenever you visit our Service, we collect information that your browser sends to us that is called Log Data. This Log Data may include information such as your computer’s Internet Protocol ( “ IP ” ) address, browser version, pages of our Service that you visit, the time and date of your visit, the time spent on those pages, and other statistics .

Cookies

Cookies are files with small amount of data that is commonly used an anonymous unique identifier. Thes e are sent to your browser from the website that you visit and are stored on your computer’s hard drive .
Our website uses these “ cookies ” to collection information and to improve our Service. You have the option to either accept or refuse these cookies, and know when a cookie is being sent to your computer. If you choose to refuse our cookies, you may not be able to use some portions of our Service .

Service Providers

We may employ third-party companies and individuals due to the following reasons :

• To facilitate our Service ;

• To provide the Service on our behalf;

  Xem thêm: Cách khóa tài khoản Garena tạm thời, tránh bị đánh cắp

• To perform Service-related services ; or
• To assist us in analyzing how our Service is used .

We want to inform our Service users that these third parties have access to your Personal Information. The reason is to perform the tasks assigned to them on our behalf. However, they are obligated not to disclose or use the information for any other purpose .

Security

We value your trust in providing us your Personal Information, thus we are striving to use commercially acceptable means of protecting it. But remember that no method of transmission over the internet, or method of electronic storage is 100 % secure and reliable, and we cannot guarantee its absolute security .

Links to Other Sites

Our Service may contain link to other sites. If you click on a third-party link, you will be directed to that site. Note that these external sites are not operated by us. Therefore, we strongly advise you to review the Privacy Policy of these websites. We have no control over, and assume no responsibility for the content, privacy policies, or practices of any third-party sites or services .

Children’s Privacy

Our Services do not address anyone under the age of 13. We do not knowingly collect personal identifiable information from children under 13. In the case we discover that a child under 13 has provided us with personal information, we immediately delete this from our servers. If you are a parent or guardian and you are aware that your child has provided us with personal information, please contact us so that we will be able to do necessary actions .

Changes to This Privacy Policy

We may update our Privacy Policy from time to time. Thus, we advise you to review this page periodically for any changes. We will notify you of any changes by posting the new Privacy Policy on this page. Thes e changes are effective immediately, after they are posted on this page .

Contact Us

If you have any questions or suggestions about our Privacy Policy, do not hesitate to contact us .

b. Lưu ý khi sử dụng mẫu soạn sẵn

Để xây dựng chính sách bảo mật hợp lí, các tổ chức cần xác định những loại thông tin mà mình thu thập, thông thường bao gồm: tên, tuổi, giới tính, SDT, thẻ ngân hàng, cookie (đối với trình duyệt web), địa chỉ IP, thời gian onsite, fingerprint,… Các doanh nghiệp ngày nay có xu hướng thu thập càng nhiều thông tin của khách hàng càng tốt. Đây là một quan niệm sai lầm. Nhiều thông tin đồng nghĩa với việc bảo mật khó khăn hơn, rủi ro bị tấn công vi phạm dữ liệu cao hơn. Xem thêm: Lộ thông tin khách hàng, doanh nghiệp bị phạt như thế nào?

Bước tiếp theo, chọn một cách thức lưu trữ an toàn. Với tình trạng an ninh mạng hiện nay, việc lưu trữ những thông tin này vào một hệ thống máy chủ trên mây là giải pháp tiết kiệm và tương đối an toàn. Ngoài ra, doanh nghiệp cần xác định mục đích sử dụng các thông tin này: dùng cho marketing, quảng bá hay nghiên cứu phát triển sản phẩm? Một số công ty sử dụng để quảng cáo nhắm đối tượng, số khác lại telesale trực tiếp, hoặc chăm sóc qua email, v.v.

Một yếu tố quan trọng khác là công khai minh bạch về việc san sẻ : thông tin người dùng có bị san sẻ với bên thứ 3 hay không ? Nếu có thì trong trường hợp nào ? Ai là người chịu nghĩa vụ và trách nhiệm khi sự cố vi phạm tài liệu xảy ra ?

3. Minh bạch thông tin để giảm thiểu thiệt hại

Một nghiên cứu sử dụng kết quả khảo sát hàng trăm khách hàng trên Amazon Mechanical Turk, kết hợp với phân tích dữ liệu chứng khoán của hàng trăm công ty trong vòng 10 năm đã tìm ra hai giải pháp giúp công ty hạn chế tối đa ảnh hưởng tiêu cực của các sự cố bảo mật.

3.1. Công khai chính sách

Thứ nhất, công khai minh bạch chính sách sử dụng và san sẻ thông tin tới người mua. Hãy tôn trọng quyền riêng tư của người mua bằng cách công khai minh bạch minh bạch những thông tin được tích lũy như địa chỉ IP, lịch sử dân tộc tìm kiếm, khuyến mại …, mục tiêu và phương pháp sử dụng những thông tin này cũng như việc giải quyết và xử lý thông tin và / hoặc bán thông tin cho bên thứ ba .

3.2. Trao quyền cho khách hàng

Thứ hai, dành quyền quyết định chia sẻ và sử dụng thông tin cho khách hàng bằng cách cho phép khách hàng lựa chọn trở thành ngoại lệ của chính sách chung (ví dụ, không chia sẻ thông tin của khách hàng cho đối tác). Như vậy, các giải pháp này nhấn mạnh quyền được biết và được quyết định của người dùng đối với thông tin cá nhân của chính họ.

Một khi doanh nghiệp thiết lập được một chính sách bảo mật minh bạch, người mua sẽ cảm thấy tự tin hơn khi quyết định hành động san sẻ thông tin, đồng thời hoàn toàn có thể đổi khác tùy chọn quyền riêng tư bất kể khi nào. Nghiên cứu cũng chỉ ra rằng tại những doanh nghiệp có chính sách bảo mật rõ ràng, người mua có phản hồi tích cực về việc họ không bị tận dụng cho mục tiêu nghiên cứu và điều tra thị trường, cảm thấy tin yêu hơn, có xu thế cung ứng thông tin đúng mực hơn, thông cảm hơn khi doanh nghiệp gặp sự cố bảo đảm an toàn thông tin và góp thêm phần củng cố tên thương hiệu của công ty trong hội đồng trải qua tuyên truyền, ra mắt tới những người mua tiềm năng. Tóm lại, khi được trao quyền quyết định hành động, con người có khuynh hướng cởi mở, san sẻ nhiều hơn cũng như bao dung hơn khi sự cố xảy ra và trở nên trung thành với chủ với doanh nghiệp .
Các công ty thực hành thực tế hai giải pháp nói trên cũng cho thấy năng lực chịu đựng áp lực đè nén từ sự cố bảo mật tại công ty đối thủ cạnh tranh khi giá trị CP của họ được bảo toàn .

5. Lời kết

Một chính sách bảo mật phải chăng sẽ giúp doanh nghiệp giảm thiểu tối đa rủi ro đáng tiếc khi bị tội phạm mạng tiến công dưới bất kể hình thức nào. Điều này không chỉ đúng về góc nhìn người mua, mà còn đúng với những Nhà góp vốn đầu tư. Trong một quốc tế phẳng với nền kinh tế tài chính cạnh tranh đối đầu, những doanh nghiệp cần định hình tên thương hiệu của mình là một tên thương hiệu “ đáng tin ” trước khi hoàn toàn có thể triển khai được những chiến dịch PR khác. Hy vọng, sau bài viết này, bạn đọc hoàn toàn có thể kiến thiết xây dựng chính sách bảo mật cho doanh nghiệp một cách phải chăng, tôn trọng người mua để giảm thiểu tối đa rủi ro đáng tiếc khi xảy ra sự cố bảo mật .

Source: https://vh2.com.vn
Category: Bảo Mật