Đăng ký
  1. Trang chủ
  2. » Luận Văn - Báo Cáo

Vấn dề bảo mật thong tin doanh nghiệp

21 2 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

1 Định nghĩa bảo mật thông tin 1.1 Tại bảo mật thông tin ngày quan trọng? Ngày nay, biết nhiều điều khơng mong muốn xảy không gian mạng Danh sách sau vài minh chứng cho thấy người dùng trí thơng minh để tiếp tục phát triển cách thức để khai thác nguy hiểm từ khơng gian mạng: • Thua lỗ tài chính: năm 1995, ngân hàng Anh quốc dừng kinh doanh sau thời gian dài hoạt động, sau vào năm 2008 ngân hang Pháp đánh tỉ Năm 2011 ngân hàng Thụy Sĩ London tỉ đô Cả ba trường hợp xảy lừa dối lạm dụng nội gián Đây khơng phải tình • Tấn cơng từ chối dịch vụ (Dos): gồm có phối hợp, cố gắng ác ý người hay nhiều người để trang web, hay hệ thống mạng sử dụng, làm gián đoạn, làm cho hệ thống chậm cách đáng kể với người dùng bình thường, cách làm tải tài nguyên hệ thống Các công đủ dễ để thực thường thành cơng • Phá hoại mạng hệ thống máy tính để can thiệp vào hoạt động tổ chức • Sử dụng phần mềm độc hại để kiểm sốt máy tính hệ thống máy tính lý • Trộm cắp tài sản trí tuệ - bao gồm gián điệp cơng nghiệp • Trộm cắp thông tin nhận dạng cá nhân - vi phạm quyền riêng tư dẫn đến mạo danh • Tham nhũng phá hủy liệu, phần mềm công ty - thường xuyên sử dụng phần mềm độc hại Ngày nhiều lo ngại mối đe dọa công mạng vấn đề quan trọng điện, nước, thông tin liên lạc, giao thông, bệnh viện, v.v việc thực thi pháp luật dịch vụ khẩn cấp Các trị gia khắp giới chấp nhận có mối đe dọa tổ chức đóng vai trò quan trọng an ninh quốc gia, sở quân tổ chức hoạt động lĩnh vực này, mục tiêu cơng mạng Các cá nhân mục tiêu, ví dụ: • Truyền nhiễm thiết bị cá nhân phần mềm độc hại ( virus, worm, Trojan Horse, Rootkit, v.v.) • Mất quyền kiểm sốt thiết bị cá nhân tức sử dụng thiết bị mà khơng có đồng ý chủ nhân để phát tán thư rác thực cơng từ chối dịch vụ (zombie, botnet) • Mạo danh - giám đốc điều hành cấp cao Interpol NATO bị Các trang Facebook họ tạo tương tác để có “bạn bè”, sau đó, họ yêu cầu cung cấp thông tin Các cá nhân liên quan khơng biết cho phép điều • Lạm dụng lòng tin - nhà nghiên cứu học thuật tạo tài khoản Facebook, Twitter, Linkedin phương tiện truyền thông xã hội khác cho phụ nữ trẻ sáng giá (Robyn Sage) với thông tin đầy ấn tượng Ấn tượng đến mức nhiều người khơng muốn liên kết với mà cịn cung cấp việc làm cho cô (không gặp mặt) chia sẻ tài liệu nhạy cảm để tìm kiếm ý kiến cô Trong thực tế Robyn không tồn - danh tính phần nghiên cứu cách lòng tin sử dụng bị lạm dụng trang mạng xã hội • Hành vi trộm cắp danh tính – bao gồm liệu tài khoản ngân hàng, thẻ tín dụng, v.v., gây tổn thất tài cá nhân lại khó để điều tra làm rõ • Tống tiền – ví dụ cách mã hóa liệu máy tính, kẻ tống tiền yêu cầu chủ nhân máy tính tốn để cung cấp mã mở khóa • Các cơng vào điện thoại di động với mục tiêu trộm cắp tài v.v 1.2 Các ngữ nghĩa bảo mật thông tin Từ vựng bảo mật thông tin tiếp tục phát triển Một phần quan trọng bao gồm thuật ngữ kỹ thuật, ví dụ: botnet, rootkit, khóa cơng khai, v.v Những điều có ý nghĩa người tìm hiểu cịn chưa hiểu rõ khái niệm sâu Các phương tiện truyền thông thông qua từ "cyber" (không gian) sử dụng thường xun Các trị gia áp dụng có nhiều định nghĩa khơng phù hợp Khơng có định nghĩa thích hợp cho “cyberspace” (khơng gian mạng) Nó chắn bao gồm giới liệu phần mềm Một số người cho bao gồm sở hạ tầng mạng máy tính Hầu hết đồng ý Internet phần không gian mạng Internet thành phần Tương tự vậy, có thỏa thuận hạn chế định nghĩa “cyberwar” (chiến tranh không gian mạng) “cyberterrorism” (khủng bố mạng) khơng có thỏa thuận cách đánh vần chúng: hai từ “cyber-war”, gạch nối gộp lại thành từ ghép “cyberwar” Những thứ quan trọng nhà lập pháp, nhà ngoại giao luật sư Sự mơ hồ nhầm lẫn ngơn ngữ khơng kết thúc từ khác sử dụng cách tự mà khơng có định nghĩa chấp nhận đồng ý rộng rãi Một từ khác “hacker”, ai, đâu: • Một hacker lập trình viên máy tính có tính tị mị, có kiến thức, sáng tạo thông minh để đạt mục tiêu định Đây ý nghĩa ban đầu “hacker” • Hacker người bỏ qua can thiệp vào bảo mật, phần mềm liệu máy tính • Hacker có phạm vi từ cá nhân trẻ tuổi với số kiến thức thuật tốn (Script Kiddies), sử dụng cơng cụ có sẵn trực tuyến • Những người khác làm việc theo nhóm gọi Hacktivists (một nhóm tự gọi “Anonymous” - ẩn danh) • Sau “cyber-mercenaries” (lính đánh th khơng gian mạng), người bảo vệ chuyên nghiệp làm việc với bọn tội phạm • Có người tổ chức thực thi pháp luật quân - phương tiện truyền thông thường đề cập đến họ “cyber-armies” (qn đội mạng) • Ngồi cịn có người làm việc cho tổ chức nhà nước “terrorists” (khủng bố) 1.3 Những biện pháp củng cố an ninh có biết đến chưa đủ tốt Quản lý bảo mật thông tin yêu cầu tập trung vào nhiều hoạt động khác nhau, cụ thể: • Lựa chọn áp dụng tiêu chuẩn, hướng dẫn, thực hành tốt đảm bảo tiêu chuẩn tuân thủ • Nâng cao nhận thức vấn đề an ninh thông tin lực lượng lao động nhà cung cấp dịch vụ • Xác định hệ thống thông tin liệu quan trọng nhất, lỗ hổng, khả xảy rủi ro mức độ nguy hiểm hậu rủi ro xảy từ địi hỏi hành động nhằm giảm thiểu điều • Xác định tác động kiện bảo mật quy trình nghiệp vụ tồn thể tổ chức • Xác định tổ chức coi rủi ro chấp nhận kiểm sốt • Xem xét tất điều cho phù hợp với tình hình điều kiện tổ chức 1.4 Chứng An ninh thông tin ngành nghề quy định khơng có u cầu hình thức chứng nhận Khi an ninh thông tin trở nên quan trọng , lý để yêu cầu chứng nhận Chúng chia làm ba loại: tổ chức, chuyên ngành cá nhân Các chứng nhận tổ chức bao gồm, ví dụ, chứng nhận ISO 27001 “Information Security Management System” (Hệ thống quản lý an ninh thông tin) Đạo luật quản lý an ninh thông tin liên bang Hoa Kỳ (FISMA) Một số tùy chọn (ISO 27001) số khác bắt buộc lĩnh vực hoạt động cụ thể Tiêu chuẩn bảo mật liệu thẻ tốn (PCI-DSS) • Chứng nhận chun mơn tùy chọn cho cá nhân người sử dụng lao động chọn để yêu cầu ứng viên Có số chứng nhận, chẳng hạn chứng nhận Hiệp hội Kiểm tốn Kiểm sốt Hệ thống Thơng tin (ISACA): CISA: Chứng nhận Kiểm toán viên An ninh thông tin, CISM: Chứng nhận Quản lý An ninh thông tin CRISC: Chứng nhận Kiểm sốt Hệ thống thơng tin rủi ro • Ngồi cịn có người thuộc Hiệp hội Chứng nhận Bảo mật hệ thống thông tin quốc tế (ISC2), bao gồm CISSP: Chứng Bảo mật hệ thống thông tin chuyên nghiệp CSSLP: Chứng nhận Vòng đời phần mềm bảo mật chuyên nghiệp Bên cạnh đó, nhà cung cấp cơng ty đào tạo cung cấp chứng khác Hình 1: Ví dụ chứng nhận cá nhân • Loại thứ ba tương đương với giấy phép lái xe yêu cầu cá nhân hoàn thành chương trình đào tạo nhận thức vượt qua kiểm tra 1.5 Bất đối xứng hậu Dễ thấy rằng, nói đến an tồn thơng tin, kẻ cơng có lợi rõ ràng định: • Khơng cần phải diện địa điểm thực công: • Có ngoại lệ – ví dụ, mục tiêu khơng kết nối với mạng tồn cầu Internet Đây trường hợp Natanz, Iran, nơi hệ thống kiểm soát máy tuyển quặng ly tâm phân lập từ Internet nơi phần mềm độc hại giới thiệu thiết bị nhớ flash • Không bị phạt cho thất bại: tương tác với hệ thống phịng thủ mạng máy tính hệ thống cung cấp cho kẻ công thông tin chi tiết giúp chuẩn bị công • Khơng có trở ngại tài để vượt qua: Tài nguyên kẻ công kiến thức yêu cầu họ công cụ cơng nghệ khiêm tốn Q trình thâu tóm họ chắn đơn giản cho việc trì an tồn tài sản thơng tin thường bị tật nguyền yếu tố khác, đặc biệt là: -Áp lực kiểm sốt giảm chi phí -Khơng có khả phát triển trường hợp kinh doanh mạnh mẽ cho chi tiêu nguồn lực 1.6 Duy trì an ninh cơng việc người Tiến kỹ thuật tạo môi trường cho phép truy cập vào tài ngun thơng tin • Đối với nhiều cá nhân (nội doanh nghiệp khơng) • Từ nhiều địa điểm (văn phịng, nhà, di chuyển) • Sử dụng nhiều mạng (cơng ty, Internet, nhà, khơng dây thương mại, điện thoại) • Với nhiều thiết bị (máy tính doanh nghiệp máy tính nhà, máy tính bảng, điện thoại thơng minh) Trong môi trường này, nhiều yếu tố không thuộc quyền kiểm sốt cơng ty khơng thể mong đợi người khác chịu trách nhiệm toàn bảo mật tài sản thông tin Mọi người phải sẵn sàng để thực đóng góp có hiệu 1.6.1 Nhận thức liên quan bảo mật thông tin tổ chức cụ thể Một số hợp đồng lao động bao gồm điều khoản cụ thể an ninh thông tin không tiết lộ thông tin độc quyền, vấn đề nhạy cảm bí mật khác Cơ quan phủ u cầu chữ ký thứ tương đương Tiêu chí tương tự áp dụng cho thông tin khách hàng, từ tên, địa thông tin liên hệ đến trạng thái khách hàng, ví dụ: xếp hạng tín dụng, số dư ngân hàng, v.v Đây điều luật quốc gia ban hành để bảo vệ liệu riêng tư 1.6.2 Lỗi người Khơng hồn hảo hành động khơng mong muốn ảnh hưởng đến an ninh thông tin Làm việc để đáp ứng dealine, bị phân tâm, thiếu tập trung làm nhiều việc lúc, gián đoạn, cảm thấy không khỏe, v.v., tất yếu tố minh họa cho lỗi người Thiếu hiểu biết thủ tục hệ thống phụ thuộc vào nhân viên tạm thời gây lỗi người Có kiểm sốt/kiểm tra để giảm khả lỗi người Phân chia nhiệm vụ có lẽ giải pháp phổ biến áp dụng– xu hướng “Lean Enterprise” (Doanh nghiệp tinh gọn) cắt giảm nhân viên đến điểm mà ngày có nhiều cá nhân có trách nhiệm mà khơng cần trơng cậy vào kiểm tra tính xác phù hợp cho hành động họ 1.6.3 Kỹ thuật xã hội Kỹ thuật xã hội có trước “social networking” (mạng xã hội) nhiều năm mô tả tốt “the art of human hacking” (nghệ thuật hacking người) Sự lừa dối thao túng ăn sâu vào vào chất người học viên giỏi không cần kỹ kỹ thuật để phá vỡ rào cản bảo vệ tài sản thông tin – họ đơn giản yêu cầu thông tin yếu tố cần thiết để truy cập vào Nghiên cứu thực Anh năm gần cho thấy nhiều người tiết lộ mã nhận dạng mật truy cập họ để đổi lấy sô cô la Định nghĩa bảo mật thông tin Trong năm 1990, tiêu chuẩn bảo mật thông tin định nghĩa bảo mật thông tin bao gồm ba phần tử: • Bảo mật: đảm bảo thơng tin truy cập người ủy quyền quyền truy cập • Tính tồn vẹn: bảo vệ tính xác đầy đủ thơng tin khơng có thay đổi trái phép thực • Tính khả dụng: đảm bảo bên ủy quyền truy cập thơng tin u cầu Định nghĩa phản ánh tiêu chuẩn quốc tế ISO 27000 sử dụng rộng rãi Các chuyên viên an ninh đề xuất thành phần bổ sung Năm 2002, D.B Parker đề xuất ba yếu tố bổ sung: • Tính xác thực: đảm bảo bên giao dịch điện tử người mà họ xác nhận quyền sở hữu thành phần giao dịch thật • Sở hữu kiểm soát: quyền sở hữu kiểm soát liệu tạo nguy an ninh Ví dụ: máy tính xách tay bị bỏ qn khơng tìm lại điểm an ninh sân bay • Tiện ích: khả sử dụng thơng tin Ví dụ giả sử liệu mã hóa cung cấp cho cá nhân với khóa mã hóa người nhận khóa mã hóa Dữ liệu có sẵn, xác thực bảo mật, giữ ngun tính tồn vẹn ban đầu Thương mại điện tử bổ sung thêm yếu tố: Khơng thối thác: Cơ chế đảm • bảo bên tham gia giao dịch từ chối nhận giao dịch bên từ chối việc gửi giao dịch Đây quyền người dự định gửi Nhưng khơng thể sử dụng nên khơng có tiện ích Quản trị an ninh thơng tin Mục đích quản trị an ninh thơng tin để đánh giá, điều hành giám sát hành động thực để đáp ứng yêu cầu tổ chức cho thấy yêu cầu thực tốt Mục đích việc để giảm rủi ro kinh doanh gián đoạn hoạt động, liệu nhạy cảm, kiện tụng thất bại việc tuân thủ quy định quy phạm pháp luật Các thành phần quản trị bảo mật thông tin sau: 3.1 Chiến lược an ninh tổ chức Trong mắt giám đốc điều hành quản lý cấp cao, khơng có nghi ngờ nữa, bảo mật thơng tin không chức hỗ trợ kinh doanh, mà cịn thành phần chi phí kinh doanh Do đó, chiến lược bảo mật thơng tin mơ tả cách di chuyển từ tình "as it" (hiện trạng) đến đích Bằng cách này, quản lý cấp cao định cách chi tiêu tốt quỹ tổ chức (giới hạn cố định) Khi chi tiêu cho an ninh thông tin nhằm định lượng rủi ro tương lai hậu quả, chiến lược tốt nhằm giảm thiểu rủi ro điều thực tồi tệ xảy ra, lợi ích giả định So sánh dự án tránh chi phí vơ hình (như an ninh) so với khoản đầu tư theo định hướng lợi nhuận thông thường không dễ dàng Thông tin cần để hỗ trợ cho chiến lược bảo mật thơng tin bao gồm: • Các đề xuất kiểm tốn thích hợp tiến trình thực chúng • Sự cố an ninh thơng tin khứ hậu tài chúng • Các số bảo mật số hiệu suất số rủi ro • Đánh giá mức độ chất lượng kiểm tra có (được cung cấp phận Kiểm tốn nội bộ) • Phân tích tác động kinh doanh • Một thông tin nhận diện rủi ro, bao gồm trạng thái hành động giảm thiểu lên kế hoạch • Thơng tin an ninh thơng minh ("những xảy mạng?") • Báo cáo trạng thái tuân thủ (quy định, pháp lý sách nội bộ) Chiến lược an ninh thơng tin nên mô tả chi tiết, đầy đủ mục tiêu tổ chức, ưu tiên cách đề xuất việc tổ chức tài trợ cho chương trình 3.2 Chính sách bảo mật tổ chức Đây tài liệu mô tả yêu cầu quy tắc cụ thể phải tuân thủ Để cho rõ ràng ngắn gọn súc tích, sách nên bao phủ lĩnh vực Ví dụ: sách "Passworld" (mật khẩu) bao gồm quy tắc, quy định để tạo để trì thay đổi chúng Danh mục đầu tư cơng ty bao gồm số sách, ví dụ, sách sử dụng tài ngun thơng tin, sách sử dụng mạng Wi-Fi công cộng không mã hóa, Cài đặt phần mềm thiết bị sử dụng để truy cập liệu công ty, v.v Đối với sách vậy, để thành công, chúng cần xem xét phê duyệt người phải đối phó với vấn đề không tuân thủ, thường chức nhân tư vấn pháp lý Tham khảo ý kiến đại diện lực lượng lao động động thái tốt Chính sách ban hành phổ biến thách thức: Cách đơn giản đăng sách mạng nội cơng ty để đội ngũ nhân viên tìm thấy ý chúng Thật không hợp lý mong đợi cách tiếp cận mang lại hiệu Có câu tục ngữ “you can take a horse to water but you cannot 10 make it drink” (Bạn dẫn ngựa đến dịng sơng khơng thể làm cho uống nước) câu nói lên tất cả: Bạn cho hội bạn ép họ làm công việc họ khơng muốn Ở thái cực khác, có nhiều cách để đảm bảo nhân viên nhận sách, thừa nhận việc tiếp nhận ký vào tài liệu cho thấy ý định tuân thủ Tài liệu nộp hồ sơ nhân cá nhân Điều phức tạp Cách tiếp cận chọn nên phản ánh tầm quan trọng bảo mật thông tin tổ chức cụ thể cách tiếp cận văn hóa 3.3 Các khả bảo mật thơng tin tồn tổ chức Cách đơn giản để đảm bảo nhiệm vụ trọng tâm không thực thiếu rõ ràng việc chịu trách nhiệm cho việc Trong tổ chức lớn, kích thước độ phức tạp địi hỏi thủ tục thức, trách nhiệm giải trình kết hợp mơ tả cơng việc để tránh hội chứng “khơng có mô tả công việc tôi” tồn tại, đặc biệt đối phó với nhân viên nhàn hạ Ngồi cịn có vai trị định cho người bên chức CNTT (bên nội bộ) để xác định nhu cầu truy cập tài khoản, hệ thống liệu độc quyền, phê duyệt trường hợp ngoại lệ, v.v, mô tả 3.4 Phân bổ nguồn lực, người tài Đây nhiệm vụ quản trị quan trọng nhất, địi hỏi định phù hợp với đánh giá: • Hiệu suất bảo mật thơng tin tại, liệu có đủ tốt khơng? • Kiến thức, kinh nghiệm cấp người chịu trách nhiệm bảo mật thơng tin 11 • Mức độ chất lượng kiểm soát có (Kiểm tốn nội xem xét chúng có đầy đủ khơng?) • Phần bảo mật thơng tin Chi phí Kinh doanh hay đầu tư cơng ty gì? Các khoản chi xác minh nào? • Sự phù hợp hiệu hành kiểm sốt có • Nguồn nhân lực tương lai cần phải hỗ trợ hoạt động an ninh thông tin Chất lượng định xác định liệu chiến lược bảo mật thông tin thành công hay thất bại Đánh giá hiệu hoạt động quản bảo mật thông tin Hình minh họa bước liên quan đến việc quản lý bảo mật thông tin cách hiệu quả: Hình 4: Quản lý hoạt động bảo mật Ba câu hỏi hình áp dụng cho thứ mà làm Thành cơng địi hỏi ba câu hỏi phải trả lời “YES” câu trả lời trung thực “KHƠNG”, khơng có cải thiện mà khơng cần hành động Dự kiến rằng, tổ chức có câu trả lời khác cho câu hỏi này, có nhiều lựa chọn 4.1 Bạn có làm điều đắn không? "Những điều đúng" bao gồm chủ đề như: • Có chế quản trị bảo mật hiệu 12 • Việc áp dụng thực tiêu chuẩn, hướng dẫn thực tốt Khơng có thứ gọi thực “tốt nhất”– thực công bố thỏa hiệp ủy ban • Có định nghĩa rõ ràng mục tiêu, tiêu, tài nguyên tài khoản, số liệu, v.v • Có sách bảo mật rõ ràng khả thi • Xây dựng chương trình hướng dẫn đào tạo bảo mật thông tin Nếu câu trả lời cho câu hỏi KHÔNG, tổ chức bị lộ Tốt nhất, người ta cần ý thức mong đợi, thiếu kỹ hay tài nguyên cần thiết để làm cơng việc 4.2 Bạn có làm điều đắn theo cách? Thay phát triển viết sách bảo mật (khơng phải nhiệm vụ tầm thường) có người chọn cách dễ dàng để thực việc này: mua mẫu chuẩn cho văn đó, thực tìm kiếm thay nhanh chóng, in tài liệu đặt chúng vào tủ hồ sơ Điều tạo niềm tin "nó hoàn thành" Cách tiếp cận khác xa với thực hành tốt Điều cho chuyên gia họ thực điều mà không cần tham gia cam kết từ lực lượng lao động Các chuyên gia làm tốt nhờ kinh nghiệm họ đến cuối cùng, họ rời tìm đến khách hàng khác Sau họ đi, tổ chức đảm nhận cơng việc Cuối điều lại lần kết thúc việc lưu trữ thứ tủ hồ sơ Có hoạt động khác cần phải thực “đúng cách”, tiến hành tốt phù hợp với tiêu chuẩn chọn Những lựa chọn bị ảnh hưởng văn hóa quốc gia tổ chức, quy định yêu cầu phủ, ưu tiên nhà cung cấp dịch vụ, nhân cơng th ngồi học viên tổ chức Nếu câu trả lời cho câu hỏi KHƠNG, bạn nên tìm lý Nhiều lý tưởng tượng: thiếu thời gian, thiếu kinh phí, thiếu kiến thức, kiêu ngạo kỹ thuật ("chúng tơi biết rõ hơn"), thiếu rõ ràng việc người định, v.v 13 4.3 Bạn làm điều đắn, theo cách liệu có làm đủ tốt ? Có thể câu trả lời cho hai câu hỏi trước CÓ điều tốt Tuy nhiên, làm thứ đủ tốt đòi hỏi kiến thức, cống hiến, kỷ luật hưởng ứng, ủng hộ nhân viên Khi thiếu điều số này, nhiệm vụ thực theo cách không đạt yêu cầu biện giải cớ: “Rất tiếc, tơi khơng có thời gian để lưu liệu cho hệ thống quan trọng liệu bị mất”, “Xin lỗi, không tiến hành kiểm tra tơi chắn ổn thơi” Nếu câu trả lời cho câu hỏi KHÔNG, tổ chức có vấn đề quản lý, điều có nghĩa tổ chức cần tiếp thêm động lực cách tiến hành đào tạo, tuyển dụng chí cần hành động liệt Bốn loại lỗ hổng Trong chương này, xem xét kỹ thứ khác tạo lỗ hổng dẫn đến việc vi phạm an ninh thông tin 5.1 Lỗ hổng quản trị Quản trị An ninh Thơng tin (ISG) thường thành cơng số lý do: • Các giám đốc quản lý cấp cao có nhiều cách để giải đối mặt với yêu cầu gắt gao mặt thời gian ISG làm tăng thêm khối lượng công việc họ phải làm, bao gồm thứ không quen thuộc Do bị thay cơng việc ưu tiên khác • Khơng có khả đánh giá thông tin liệu tổ chức Điều làm hạn chế thảo luận nhu cầu an ninh phân công nguồn lực để thực 14 Mỗi tổ chức có văn hóa độc đáo, bao gồm “chính trị” • điều gây vấn đề nhà đầu tư tìm cách tăng cường tối đa hóa sức ảnh hưởng cổ phần họ tổ chức Thiếu sẵn sàng để thực thi sách, điều khiến chúng trở nên vơ • dụng 5.2 Lỗ hổng người Khơng có bất ngờ người cấp tổ chức yếu tố bảo mật thông tin yếu Xét cho cùng, tất người đóng vai trị hoạt động bảo mật thơng tin - số đó: • Người dùng cuối • Người triển khai quản lí dự án • Người thiết kế (từ bảng tính tương đối đơn giản đến phần mềm mạng phức tạp) • Người yêu cầu người ủy quyền (để tạo tài khoản xác định quyền đặc quyền truy cập) • Chủ sở hữu hệ thống liệu (hoặc người quản lý) • Vai trị kỹ thuật cung cấp dịch vụ hỗ trợ • Các nhà hoạch định chiến lược sách (ở cấp chức năng, phận doanh nghiệp) • Người mua (doanh nghiệp cá nhân) • Tư vấn kiểm tốn viên • Những người khác Các lỗ hổng liên quan đến vai trò thuộc bốn loại: 15 5.2.1 Thiếu kiến thức / ý thức / huấn luyện Việc quản lý bảo trì an ninh thơng tin khơng phải nhiệm vụ trực quan Tuy nhiên, không giống lái xe, chúng thực mà không cần phải cung cấp giấy chứng nhận giấy phép Một số biện pháp nhằm tăng cường an ninh thơng tin tiến hành tiến hành tự động Một ví dụ yêu cầu người dùng cuối thay đổi mật họ tháng Điều tốt, nhiên, làm để thiết kế mật đầy đủ, người ta chọn “123456” ngày sinh Tệ hơn, số mật cần phải tạo trì, chúng viết ra, chí lưu nơi dễ thấy Đặt sách, hướng dẫn khuyến nghị thực hành mạng nội cơng ty tốn so với việc mở buổi giáo dục, hướng dẫn hình thức đào tạo khác Tuy nhiên, áp lực phải giảm chi tiêu làm cho sách dễ dàng trở thành mục tiêu cho việc cắt giảm ngân sách 5.2.2 Hành động ngẫu nhiên ý muốn Ngay việc đào tạo có tốt nhất, người sai lầm cố an ninh lỗi người gây tránh khỏi Lỗi phát sinh thơng qua áp lực deadline, căng thẳng, mệt mỏi, không tuân thủ quy tắc sách, v.v Các cá nhân nạn nhân lừa dối hành động chống lại lợi ích tổ chức, ví dụ: tiết lộ thơng tin bí mật Các dịch vụ nhắn tin, blog truyền thông xã hội làm cho việc trở nên dễ dàng Âm mưu xã hội hình thức lừa dối khơng phải Ai khẳng định họ gọi từ Help Desk để hỏi cá nhân để xác nhận mật họ 5.4.1 Hành động cố ý Một mối quan tâm rõ ràng: cá nhân (nhân viên, nhà tư vấn, nhà thầu, người dọn dẹp, nhân viên bảo vệ, v.v) cổ vũ hành động chống lại tổ chức Gian lận, 16 trộm cắp tài sản trí tuệ, tham nhũng liệu, phá hoại, tống tiền xảy không phát thời gian dài 5.2.3 Thiếu cam kết Khó khăn đối phó với: cá nhân khơng quan tâm đến bảo mật thông tin, nguyên tắc sách Khơng có động lực, bất mãn với thực cảm giác bất bình, cá nhân nên coi “thuốc độc” hành vi họ truyền nhiễm Khi hợp đồng làm việc họ văn hóa tổ chức gây khó khăn xử phạt hành vi họ, họ trở nên tự tin – có lần, người nói với sếp mình: “Tơi khơng muốn anh khơng thể ép tơi” Những người chủ làm câu chuyện khác 5.3 Lỗ hổng quy trình Có nhiều định nghĩa “process” (quy trình) Đối với tiểu luận này, quy trình là: tập hợp tác vụ có liên quan, thực người / công cụ biến đổi đầu vào thành đầu Các quy trình phải thực cách hệ thống để đạt quán, loại bỏ lỗi hỗ trợ cải tiến Thách thức việc giảm lỗ hổng quy trình bắt đầu việc xác định quy trình đó, điều quan trọng bảo mật thơng tin, sau áp dụng tiêu chuẩn, dẫn tiến hành tốt cho phù hợp với văn hóa yêu cầu tổ chức 5.3.1 Các quy trình thuộc sở hữu nhà cung cấp Những đặc tính nhà cung cấp dịch vụ quan trọng doanh nghiệp bạn lĩnh vực an ninh thơng tin Ở mức độ đó, sở liệu bạn cần nhà cung cấp truy cập để vận hành hiệu Bởi vì, cách họ bảo vệ hệ thống CNTT, cách họ đảm bảo an tồn vật lý (Physical Security-an tồn vật lí việc bảo vệ phần cứng, hệ thống mạng, chương trình liệu khỏi 17 mối nguy hiểm vật lý gây ảnh hưởng đến hệ thống thơng tin) cách họ quản lý nhân viên ảnh hưởng đến bảo mật doanh nghiệp bạn 5.3.2 Quy trình thuộc sở hữu nhà thiết kế người triển khai hệ thống Phát triển phần mềm bắt đầu nghề thủ cơng trở nên thức hóa, có cấu trúc năm qua Mơ hình Vịng đời phát triển phần mềm (SDLC) thiết lập tốt (có mơ hình khác, ví dụ lập trình nhanh) Về chất, SDLC có ba tên miền chính: • Hoạch định: Bắt đầu với việc xác định nhu cầu tạo Business case (giải pháp đề xuất kinh doanh), sau xác định yêu cầu, định có nên mua hay xây dựng, yêu cầu đưa đề nghị, đánh giá chúng, vv, định đưa • Hồn thiện: phát triển điều chỉnh phần mềm để đáp ứng nhu cầu xác định, ghi chép thử nghiệm đến mức hỗ trợ thay đổi cải tiến tương lai • Triển khai: phần mềm phê duyệt để cài đặt môi trường sản xuất nhà cung cấp dịch vụ bảo trì (loại bỏ lỗi) hỗ trợ người dùng cuối Thường thực nhà cung cấp công ty chun nghiệp, có số ngun tắc thơng lệ tốt mơ tả nhiều quy trình chi tiết với mục tiêu đảm bảo chất lượng khả bảo trì tương lai Tuy nhiên, có nhiều người dùng cuối người biết ngôn ngữ máy tính phạm vi thiết kế triển khai phần mềm, từ bảng tính phức tạp đến trang web, mà không nghĩ đến hoạt động thiết kế phần mềm Kết là, thông lệ tốt khơng tn thủ sản phẩm tạo khơng thử nghiệm ghi chép đầy đủ Mặc dù vậy, chúng đưa vào sử dụng để hỗ trợ hoạt động định quan trọng 18 5.3.3 Quy trình thuộc sở hữu nhà quản lý hệ thống Quá trình nhận dạng quản lý truy cập (IAM) tảng để bảo mật thơng tin Nó xác định cá nhân cụ thể cần tài khoản để truy cập hệ thống cụ thể Help Desk (Bộ phận Helpdesk hỗ trợ dịch vụ IT, điểm kết nối từ phía người dùng (Users) với phận CNTT, giúp phản ánh phản hồi khách hàng dịch vụ mà doanh nghiệp cung cấp) phận tương tự tạo tài khoản có them trách nhiệm giải trình cho yêu cầu phê duyệt sáng tạo họ, sửa đổi chấm dứt hợp đồng với chủ sở hữu hệ thống Sự chấp thuận (hoặc từ chối) nên theo dõi Sau tạo tài khoản cho cá nhân, bước xác định liệu người truy cập hoạt động thực Ví dụ: nhân viên Nợ phải trả khơng có quyền truy cập vào hồ sơ nhân Tương tự, nhân viên lương khơng có quyền sửa đổi bảng lương mà khơng có mục đích phù hợp Các tài khoản điều khoản cần phải quản lý thơng qua vịng đời phản ánh di chuyển nghề nghiệp, chương trình khuyến mãi, biện pháp kỷ luật, v.v, từ ngày chúng tạo cá nhân rời khỏi tổ chức Lỗ hổng tạo hoạt động để lại "cho ngày khác" ưu tiên áp lực khác để giảm chi phí 5.3.4 Các quy trình người dùng cuối sở hữu Sự phổ biến thiết bị nhỏ mạnh mẽ (máy tính nhẹ, máy tính xách tay, máy tính bảng điện thoại thơng minh) chấp nhận nhanh chóng họ dân số lớn với xu hướng sử dụng thiết bị cá nhân môi trường làm việc – the “Bring Your Own Device” (Mang thiết bị riêng bạn) mở thêm cần thiết cho quy trình bảo mật sở hữu người dùng cuối thiết bị truy cập lưu trữ liệu nhạy cảm Trong điều cập nhật phần mềm, sử dụng phần mềm chống vi rút, tạo dự phòng lưu trữ liệu, v.v, nên biết đến, thực tế 19 biện pháp khơng áp dụng Nhiều người dường không quan tâm đến rủi ro khơng làm Ngồi ra, mạng xã hội trang tải phần mềm miễn phí / chi phí thấp, đặc biệt ứng dụng dành cho điện thoại thông minh máy tính bảng, tất mang đến rủi ro 5.4 Lỗ hổng công nghệ Công nghệ dễ bị thất bại Điều diễn từ từ ăn mòn làm cầu yếu dần, đột ngột đèn tắt Thất bại kiềm chế nhờ việc kiểm tra, bảo trì số sửa chữa Khơng phải lúc vậy, có thiệt hại lớn để sửa chữa trở nên cứu vãn Thất bại công nghệ thông tin dần Lỗi phần cứng thường sửa chữa, trừ bị cháy (hoặc lũ lụt) phịng máy tính yêu cầu thay tất thiết bị Lỗi phần mềm lỗi thiết kế (bugs) khắc phục có đủ thời gian chun mơn Thất bại cơng mạng có hậu khơng thể đốn trước: Một cơng mạng hệ thống hành Saudi Aramco vào tháng 10 năm 2012 lây nhiễm 30.000 máy tính xóa tất liệu họ Kiểm tra, sửa chữa hết 30.000 máy tính khơi phục liệu họ (hoặc phần nó) dự án lớn Bảo mật thông tin nguồn nhiều lo ngại 20 21 ... đổi lấy sô cô la Định nghĩa bảo mật thông tin Trong năm 1990, tiêu chuẩn bảo mật thông tin định nghĩa bảo mật thông tin bao gồm ba phần tử: • Bảo mật: đảm bảo thơng tin truy cập người ủy quyền... Hiệp hội Chứng nhận Bảo mật hệ thống thông tin quốc tế (ISC2), bao gồm CISSP: Chứng Bảo mật hệ thống thông tin chuyên nghiệp CSSLP: Chứng nhận Vòng đời phần mềm bảo mật chuyên nghiệp Bên cạnh đó,... định liệu chiến lược bảo mật thông tin thành công hay thất bại Đánh giá hiệu hoạt động quản bảo mật thông tin Hình minh họa bước liên quan đến việc quản lý bảo mật thông tin cách hiệu quả: Hình

Ngày đăng: 31/08/2022, 11:32

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w