LOI CAM ONLuận văn với dé tài “Chính sách Công nghệ thông tin nhằm đảm bảoan toàn thông tin SHCN tại các doanh nghiệp ” Nghiên cứu trường hợp công ty Cổ phân Sở hữu công nghiệp INVESTIP
8: Danh mục phan mém Phuc vu cong viéc thuong xuyénQua bản thống kê phần mềm phục vu công việc thường xuyên ta có thé thay được đa phần các phần mềm đều không sử dụng bản quyền Thông kê cho thấy số phần mềm miễn phí và không có bản quyền là 9/13 phần mềm chiêm tỷ lệ 86.4% tổng số bản quyền sử dụng thường xuyên tại công ty Qua đây có thé thay được công ty thật sự chưa có chính sách đầu tư và chú trọng vào van đề bản quyền phần mềm công ty vẫn sử dụng chủ yếu các phần mềm miễn phi và phần mềm không có bản quyên.
Như phân tích tại mục (a) của phần mềm ta có thé thay được những van dé mắt an toàn thông tin từ những phần mềm không có bản quyền.
67 d Phần mềm an ninh an toàn và chính sách
Phần mềm an ninh an toàn chưa được công ty chú trọng đầu tư sử dụng, công ty đang sử dụng các phần mềm an ninh an toàn được cài sẵn trong hệ điều hành Ngoài ra công ty còn sử dụng phần mềm an ninh an toàn miễn phi.
Như phân tích ở trên tác giả nhận thấy hệ thống phần mềm cơ bản để chạy ứng dụng đa phần là không sử dụng bản quyền hoặc sử dụng một số rất ít bản quyền mang tính chất đối phó với các cơ quan thực thi pháp luật Sử dụng phần mềm miễn phí hoặc dùng lậu, vì thé gan như các tính năng an ninh an toàn đều bị vô hiệu hóa và không hoạt động theo đúng chức năng nhiệm vụ của nó Công ty còn sử dụng những phần mềm bảo vệ an ninh an toàn miễn phí trên mạng, đa phần những phần mềm này không mang lại hiệu quả mà khiến doanh nghiệp gặp những van đề “lợi bất cập hai” như không chặn được virus tan công còn vô tình mở đường cho các malware và virus, mở các công ân trong hệ thống nhằm theo dõi, lấy cắp, mã hóa dữ liệu tống tiền gây thiệt hại cho công ty Những phần mềm này không giúp ích được cho doanh nghiệp mà còn cài thêm malware dé âm thầm đánh cắp thông tin khách hàng và gửi thư, tin nhắn spam hoặc đính kèm các malware với mục đích lây lan trên diện rộng. e Hệ thống email
Hệ thống email đang được coi là công cụ làm việc rất hiệu quả với đối tác bên ngoài và nội bộ công ty, Hệ thong email này được thuê từ bên thứ ba, và được quan tri bởi bộ phận CNTT, thời gian từ năm 2015-2021 công ty có rất nhiều email được gửi từ công ty tới đối tác với những nội dung không phù hợp hoặc những email có chứa mã độc Công ty cũng nhận được những email chưa rất nhiều mã độc và mailware Những hiện tượng này không hề suy giảm và được cảnh báo rât nhiều Email công ty thường xuyên bị đưa vào danh sách đen của các server mail, điển hình theo thông kê có những ngày hệ
68 thống email đã gửi đi 5000 email tới các khách hàng Nguồn email gửi đi sau khi kiểm tra hệ thống thì phát hiện là email trên máy tính nhân sự công ty, nguyên nhân là do máy tính đã nhiễm virus, mã độc và tự động spam email chứa mã độc tới toàn bộ khách hàng Vấn đề đặt ra cũng chính là do công ty không có chính sách đầu tư dẫn đến hệ thống CNTT tôn tại quá nhiều lỗ hong bảo mật và hệ thống không thê bảo vệ an toàn được cho máy tính người dùng trước những nguy cơ mất an toàn thông tin Từ một máy tính người dùng bị nhiễm có thể lây lan đến toàn bộ hệ thong nội bộ và khách hang mà không có sự cảnh bao hay ngăn chan kip thời.
2.3.3 Nguồn nhân lực điều hành và tham gia vào hệ thống công nghệ thông tin
Nhân lực cũng là yếu t6 then chốt cho việc đảm bảo an toàn thông tin, nguồn nhân lực này được chia ra làm hai loại:
- Một là nhân lực vận hành thường xuyên, những người thường xuyên sử dụng thiết bị và hệ thống CNTT;
- Hai là nguồn nhân lực chuyên sâu, thường là các nhân sự phụ trách về hệ thống máy tính và CNTT, nguồn nhân lực này được dao tạo bai bản dé vận hành hệ thống CNTT. a Nhân lực vận hành thường xuyên
Là nguồn nhân lực chỉ tham gia vào vận hành hệ thống an toàn thông tin, là những nhân lực của công ty nói chung, với nguồn nhân lực am hiểu về CNTT và vận hành hệ thống thì thật sự không có nhiều, do chính sách đầu tư của công ty còn chưa có và cũng chưa thé đảm bảo duy tri được đội ngũ nhân lực này Với nguồn nhân lực này thường chỉ có từ hai đến ba người chia đều cho hai chi nhánh, công việc thường xuyên là hỗ trợ người dùng về các van đề mat kết nối, kiểm tra máy tính, khắc phục những sự cô máy tinh đơn giản Đôi
69 khi còn phải hỗ trợ các công việc chuyên môn cho các phòng khác như chỉnh sửa ảnh, định dạng file, trình ký đơn điện tử b Nhân lực chuyên sâu
Là nguồn nhân lực có hiểu biết về hệ thống CNTT, nguồn nhân lực này tham gia trực tiếp vào vận hành và quản lý hệ thống CNTT, phòng chống các cuộc tấn công, lay cap, xóa bỏ đữ liệu
Nguồn nhân lực này thường là các trưởng phòng CNTT của công ty, nhưng với mức trình độ này thì định biên nhân sự lại vô cùng hạn chế, chỉ có một người Với một chính sách tận dụng mọi yếu tố với mô hình công ty nhỏ đòi hỏi yêu cầu của nhân lực phải biết sâu về mảng CNTT mà còn phải hiểu biết rộng về nhiều lĩnh vực khác Với vị trí này đòi hỏi một người quản lý CNTT biết sâu về phần cứng, phần mềm, hạ tầng, mạng, bảo mật và đôi khi cả giải pháp Nhưng với | người mà đòi hỏi va đảm nhiệm công việc quá nhiều thì họ sẽ có thể bỏ sót hoặc bỏ qua một số van đề vi nguồn nhân lực có hạn mà phải quản lý quá nhiều thứ.
Chính vì những vấn đề trên mà số lượng cán bộ phụ trách CNTT trong những năm vừa qua biến động liên tục Trung bình hai năm công ty lại thay một lượt nhân sự CNTT mới Với hệ thống CNTT không ôn định và tần xuất biến động nhân sự CNTT qua nhiều như vậy dẫn đến hệ thống bị bỏ ngỏ, chính sách bị thay đổi nhiều, không đồng bộ về mặt quản lý Hệ thống CNTT luôn trong trạng thái dang đở, gây ra rất nhiều phiền toái cho người sử dụng và hệ thống có nhiều lỗ hồng.
Nhân lực thay đổi thường xuyên dẫn đến các chính sách đầu tư nâng cao về tri thức cũng như năng lực vận hành CNTT không được cập nhật, kiếm thức và hạ tầng không theo kịp được sự phát triển bên ngoài cũng là hạn chế cho công ty.
2.4 Thực trạng chính sách của công ty Cé phần Sở hữu công nghiệp
InvestIP Đề đảm bảo được an toàn thông tin cần có rất nhiều yếu tố, trong đó yếu tố có thể được coi là quan trọng hàng đầu cần phải chú trọng đó là chính sách đầu tư CNTT và phát triển hạ tầng CNTT Các chính sách của doanh nghiệp cần quan tâm hơn cả là chính sách về nhân lực, vật lực, tài lực, tin lực.
Ngoài những chính sách ay còn những chính sách cụ thé hơn như; chính sách quản lý CNTT, chính sách quản lý người sử dụng sản phẩm CNTT, chính sách cho người sử dung thông tin.
Trong các yếu tố chính nay thi công ty Cổ Phan Sở hữu công nghiệp InvestIP cũng chưa thật sự chú trọng dé hoàn thiện chính sách và áp dụng các chính sách vào hoạt động quản lý con người, quản lý thông tin, quản lý công ty Công ty chưa có định hình cụ thé cho việc hoàn thiện và áp dụng chính sách CNTT trong việc bảo vệ thông tin trong doanh nghiệp mình đang có và sử dụng.