Bảo mật trong doanh nghiệp: Cần chính sách trước, giải pháp sau – Học viện Infochief

Những rủi ro đáng tiếc so với những thông tin như bị lộ, bị biến hóa, bị mất mát, bị khước từ đều tác động ảnh hưởng nghiêm trong đến hoạt động giải trí, đến uy tín, kế hoạch của tổ chức triển khai, doanh nghiệp. Vì vậy tiềm năng đưa ra là cần phải bảo vệ bảo đảm an toàn thông tin, bảo vệ tính bí hiểm thông tin ( confidentiality ), tính toàn vẹn thông tin ( integrity ), tính sẵn sàng chuẩn bị thông tin ( availabiltiy ). Đảm bảo được những yếu tố trên sẽ giúp tổ chức triển khai doanh nghiệp bảo vệ chống lại lộ thông tin, biến hóa thông tin, tàn phá thông tin, mất mát thông tin .
Tại Nước Ta, những tổ chức triển khai doanh nghiệp cũng đã thiết kế xây dựng những giải pháp để bảo vệ bảo đảm an toàn mạng lưới hệ thống như trang bị mạng lưới hệ thống tường lửa ( Firewall ), mạng lưới hệ thống chống xâm nhập ( IPS ), mạng lưới hệ thống phòng chống virus ( Antivirus ), … Nhưng tổng thể chỉ đơn thuần là giải pháp công nghệ tiên tiến. Một loạt câu hỏi đặt ra là : mạng lưới hệ thống đã được trang bị giải pháp bảo mật nhưng mức độ bảo đảm an toàn đến đâu, giải pháp đã tốt chưa, đã vừa đủ chưa, Tổ chức thực thi giải pháp đã tốt hay chưa, con người thực thi giải pháp như thế nào, họ đã ý thức những yếu tố về bảo đảm an toàn thông tin hay chưa, họ đã được gán nghĩa vụ và trách nhiệm phải bảo vệ bảo đảm an toàn hệ thông thông tin chưa ? Không ít trường hợp giải pháp lúc kiến thiết xây dựng xong thì tốt, sau thời hạn hoạt động giải trí mới thể hiện nhiều điểm yếu mà nguyên do đa phần do yếu tố con người .

Hạ tầng CNTT xây dựng tốt, hệ thống bảo mật xây dựng tốt nhưng sau khi đưa vào sử dụng, chất lượng sẽ phụ thuộc vào chính bản thân đối tượng sử dụng nó, họ có tuân thủ theo đúng giải pháp hay không, trách nhiệm của họ thế nào, ý thức ra làm sao. Chúng ta biết bảo mật đi kèm với sự mang lại không thuận tiện cho người dùng và dễ dang làm cho họ từ bỏ sử dụng các biện pháp bảo mật. Trong các tổ chức doanh nghiệp, an toàn thông tin luôn phải được đưa lên hàng đầu và đòi hỏi tất cả các thành viên đều phải tuân thủ điều này.  

Doanh nghiệp cần xây dưng chính sách bảo mật

Để bảo vệ bảo đảm an toàn mạng lưới hệ thống, cần phải có những yếu tố sau :
– Con người
– Quy trình
– Giải pháp
– Các tiêu chuẩn quốc tế
Hiện tại những tổ chức triển khai doanh nghiệp mới thực thi ở việc thiết kế xây dựng giải pháp, còn con người, qui trình, tiêu chuẩn quốc tế chưa được chú trọng. Các yếu tố đó chưa được tốt, chưa được kết nối, chưa được giám sát bởi còn thiếu yếu tố rất quan trọng, đó là chính sách bảo mật thông tin. Chính sách bảo mật là một tài liệu cấp cao đặc trưng hoặc là tập hợp những luật đặc biệt quan trọng của tổ chức triển khai, doanh nghiệp đưa ra những nhu yếu, lao lý mà họ phải triển khai để đạt được những tiềm năng về bảo đảm an toàn thông tin. Chính sách bảo mật sẽ được người đứng đầu tổ chức triển khai doanh nghiệp phê chuẩn và phát hành thực thi và hoàn toàn có thể được ví như bộ luật của tổ chức triển khai, doanh nghiệp mà mọi thành viên trong tổ chức triển khai, những đối tác chiến lược, người mua quan hệ đều phải tuân thủ. Chính sách bảo mật sẽ là tiền đề để doanh nghiệp kiến thiết xây dựng những giải pháp bảo mật, thiết kế xây dựng những quy trình tiến độ bảo vệ bảo đảm an toàn mạng lưới hệ thống, đưa ra những hướng dẫn thực thi, kết nối yếu tố con người, quản trị, công nghệ tiên tiến để thực thi tiềm năng bảo đảm an toàn mạng lưới hệ thống. Đồng thời chính sách bảo mật cũng đưa ra nhận thức về bảo đảm an toàn thông tin, gán nghĩa vụ và trách nhiệm về bảo đảm an toàn cho những thành viên của tổ chức triển khai doanh nghiệp từ đó bảo vệ mạng lưới hệ thống được quản lý và vận hành đúng quá trình, bảo đảm an toàn hơn .
Chính sách là cốt lõi, là TT để hoàn toàn có thể khởi đầu kiến thiết xây dựng những giải pháp bảo đảm an toàn thông tin. Từ bộ chính sách bảo mật, ngoài việc sẽ đưa ra được giải pháp bảo mật an ninh tổng lực còn đưa vào ý thức, nghĩa vụ và trách nhiệm của thành viên trong tổ chức triển khai doanh nghiệp về bảo đảm an toàn thông tin. Từ lâu, việc không có chính sách bảo mật thông tin mà chỉ có giải pháp bảo mật an ninh đã gây cho việc kiến thiết xây dựng giải pháp không tổng lực, nhận thức về bảo mật của nhân viên cấp dưới chưa cao, họ chưa xác lập được nghĩa vụ và trách nhiệm của họ trong những hành vi tương quan tới bảo mật an ninh .

Không có chính sách bảo mật thông tin

Thực tế là hiện nay, trong các tổ chức doanh nghiệp, chúng ta thấy đều xuất hiện “chính sách ngầm” về bảo mật thông tin. Ví dụ như không được cài sniffer (phần mềm nghe lén) trong mạng, không được gửi e-mail mạo danh, không được sao chép tài liệu ra ngoài, không được dùng phần mềm không có bản quyền… Những chính sách này đều bàn thảo không chính thức, không ban hành, không phổ biến rộng rãi. Điều này làm cho nó không có hiệu lực, không đưa ý thức an toàn thông tin vào thành viên, không quy được trách nhiệm về pháp lý, thậm chí có thể còn xung đột với các văn bản ban hành.

Hiện tại, các tổ chức doanh nghiệp chỉ mới đưa ra các giải pháp công nghệ là chính và họ xây dựng chưa dựa vào chính sách bảo mật. Tức là họ xây dựng giải pháp mà không theo chính sách bảo mật bởi họ chưa có chính sách bảo mật. Mô hình mà họ đang xây dựng là theo mô hình bottom-up. Tức là họ xây dựng hạ tầng thông tin, giải pháp bảo mật trước rồi sau đó mới xây dựng chính sách bảo mật. Đây có lẽ là do họ chưa quan tâm, để ý đến việc xây dựng chính sách bảo mật, chưa thấy rõ tầm quan trọng của chính sách bảo mật. Chính vì vậy, các giải pháp công nghệ xây dựng đều không toàn diện, thiếu đâu vá đấy, không mang tính tổng thể đồng bộ, chi phí cao. Ví dụ: Xây dựng hệ thống bảo mật mạng firewall, ips. Sau đó thì do hệ thống máy tính bị virus -> đề xuất giải pháp diệt virus. Sau đó thấy hệ thống không kiểm soát được việc truy cập mạng -> đề xuất giải pháp kiểm soát truy cập mạng NAC..-> thể hiện sự thiếu toàn diện, chiến lược. Hay tại trung ương xây dựng giải pháp này nhưng tại chi nhánh của họ thì lại xây dựng giải pháp kiểu khác -> thể hiện sự không đồng bộ.

Theo khuyến nghị của những tổ chức triển khai trên quốc tế, để thiết kế xây dựng mạng lưới hệ thống bảo đảm an toàn thì nên thiết kế xây dựng theo quy mô top-down tức là phải kiến thiết xây dựng chính sách bảo mật trước. Tổ chức thực thi theo chính sách bảo mật gồm có con người, tiến trình, giải pháp công nghệ tiên tiến, vật lý. Phương pháp này đạt được tính tổng lực, đồng nhất và lâu bền hơn .
Trong những tài liệu chuẩn về bảo đảm an toàn thông tin như ISO27001 hay COBIT thì đều đưa trách nhiệm thiết kế xây dựng chính sách bảo mật tiên phong trong lộ trình kiến thiết xây dựng mạng lưới hệ thống bảo đảm an toàn thông tin. Xây dựng chính sách bảo mật cho những tổ chức triển khai doanh nghiệp
Chính sách bảo mật đưa ra tác động ảnh hưởng đến hàng loạt mạng lưới hệ thống gồm có ứng dụng, phần cứng, truy vấn, con người, những liên kết, mạng lưới hệ thống mạng, hạ tầng viễn thông. Để thiết kế xây dựng được một bộ chính sách bảo mật tốt thứ nhất tất cả chúng ta cần xác lập được những tài nguyên trong mạng lưới hệ thống, nhìn nhận mức độ quan trọng, phân loại chúng. Cần thiết phải xác lập được đủ những tài nguyền vì như vậy, bộ chính sách viết ra mới bao quát được hàng loạt tổng thể những gì cần phải bảo vệ. Đánh giá những công dụng, quá trình hoạt động giải trí sử dụng những tài nguyên. Sau đó, xác lập tài nguyên nào tất cả chúng ta cần bảo vệ. Từ đó đưa ra những chính sách bảo mật bảo vệ những tài nguyên đó .

Kết luận.

Để bảo vệ bảo đảm an toàn mạng lưới hệ thống thông tin, không những tất cả chúng ta phải có giải pháp mà cần có con người, có tiến trình, có vận dụng những tiêu chuẩn bảo đảm an toàn. Có sự tích hợp giữa những yếu tố đó để thực thi quản lý và vận hành, quản trị tăng cấp mạng lưới hệ thống được bảo đảm an toàn hơn. Tất cả những điều đó đều xuất phát từ chính sách bảo mật của tổ chức triển khai doanh nghiệp. Nó là TT tiền đề để thực thi :
– Xây dựng tiến trình bảo đảm an toàn thông tin
– Xây dựng những giải pháp bảo đảm an toàn thông tin
– Áp dụng những tiêu chuẩn bảo đảm an toàn thông tin
– Đưa ra những hướng dẫn triển khai bảo đảm an toàn thông tin

–          Đưa ý thức an toàn thông tin vào các thành viên tổ chức

– Đưa nghĩa vụ và trách nhiệm bảo đảm an toàn thông tin vào những thành viên tổ chức triển khai
– Tránh việc vi phạm bảo đảm an toàn thông tin dẫn tới vi phạm pháp lý
Tất cả những điều đó bộc lộ chính sách bảo mật là rất quan trọng so với tổ chức triển khai, doanh nghiệp, cần phải có bộ chính sách bảo mật thông tin, cần phải thiết kế xây dựng mạng lưới hệ thống theo quy mô top-down .

Source: https://vh2.com.vn
Category : Doanh Nghiệp