Năm lỗi cơbảntrong chính sáchbảomật
Ngu
ồ
n:quantrimang.com
Anton Chuvakin
Năm lỗi mà các doanh nghiệp thường mắc phải khi soạn thảo và thực thi
các chínhsáchbảomật thông tin. Một số lỗicó vẻ khá đơn giản, chúng
thường hay xảy ra và gây tổn thất nghiêm trọng
Không cóchínhsách
Trong các lỗi về chínhsáchbảomật thì đây là lỗi lớn và trong thực tế có thể kể
từ không cóchínhsách cho đến chỉ có “chính sách ngầm” – loại chínhsách
được ban lãnh đạo bàn thảo không chính thức, không có biên b
ản và không phổ
biến cho ai cả.
Sơ suất này không chỉ làm suy yếu việc bảomật và dẫn đến trách nhiệm về
pháp lý, mà còn có thể vi phạm các quy định trongchínhsáchbảomật đã được
chính thức ban hành bằng văn bản.
Tất nhiên ngay khi chínhsách được chính thức soạn thảo, các doanh nghiệp
thường phát hiện rằng nhiều phần trong hệ thống của mình vi phạm chính sách.
Không có gì lạ, vì điều này cho thấy chínhsách không chỉ đượ
c phát triển xoay
quanh các tiêu chuẩn hiện tại về hoạt động công nghệ thông tin (CNTT). Nghĩa
là, ngoài chínhsáchbảo mật, các doanh nghiệp cũng phải dẫn ra những khiếm
khuyết trong hệ thống hiện tại của mình, phân tích những rủi ro, và đánh giá phí
tổn cho việc sửa chữa những khiếm khuyết này cho phù hợp với chínhsách
mới.
Không cập nhật
Giả sử bạn không phải là “nạn nhân” của sai lầm nói trên, bạ
n sẽ nhận ra một
điểm bảomật then chốt : có một chínhsách bằng văn bản là chưa đủ để bảo
mật tốt.
Chắc chắn là cơ cấu doanh nghiệp cũng như quy trình kinh doanh sẽ thay đổi,
nên những rủi ro về bảomật thông tin và các quy định kèm theo cũng sẽ thay
đổi. Tiềm năng phát triển của doanh nghiệp luôn đi kèm với những rủi ro nên
chính sáchbảomật cũng b
ắt buộc phải luôn luôn được cập nhật.
Các lý do để cập nhật chínhsáchbảomậtbao gồm việc triển khai công nghệ
mới (hoặc bỏ phần cứng và phần mềm đã lỗi thời), nhiệm vụ mới, phát triển, sáp
nhập hay tái cấu trúc doanh nghiệp nhằm đưa dữ liệu mới và người sử dụng vào
hệ thống cũng như đường lối hay thông lệ kinh doanh – cơbản là chínhsách
bảo mật phải sẵn sàng để bảo vệ bất kỳ yếu tố đổi thay nào.
Những doanh nghiệp không thường xuyên rà soát và cập nhật chínhsáchbảo
mật có khả năng bị “hở sườn” và dễ bị tấn công, dù đ
ã cóchínhsáchbảomật
của riêng mình.
Không theo dõi
Nếu đã xây dựng chínhsáchbảomật và
thường xuyên cập nhật, bạn đã có hai bước
đến “thiên đường bảo mật”. Thế nhưng, bạn
vẫn có thể mắc những lỗi khác.
Chính sáchbảomật sẽ trở nên vô dụng về mặt
thực tiễn và cả về mặt pháp lý nếu doanh
nghiệp không theo dõi xem chínhsách đó có
được tuân thủ không, hoặc nhân viên có nắ
m
vững các điều khoản trong đó không. Trước tiên, để thực thi chính sách, doanh
nghiệp phải biết chắc rằng chínhsách đó đã được phổ biến đến mọi nhân viên,
phải thường xuyên tổ chức các khóa tập huấn cho nhân viên, nhất là mỗi khi cập
nhật chính sách. Tiếp theo, để bảo đảm chínhsách được thực thi có hiệu quả,
cần phải có hoạt động giám sát liên tục.
Cách hữu hiệu nhất để
theo dõi việc tuân thủ chínhsách là thông qua việc thu
thập và phân tích dữ liệu. Thu thập và phân tích dữ liệu thu thập cho phép đánh
giá chính xác những gì đang diễn ra. Khi một nhân viên gửi e-mail tàiliệu đến
một tài khoản cá nhân hoặc cố truy cập dữ liệu vượt quá quyền hạn truy cập của
họ, hay khi một hacker bên ngoài cố xâm nhập vào máy chủ, các sự việc này
đều sẽ được ghi nhận. Truy tìm hoạt động của hệ thống và người sử d
ụng thông
qua sự thu thập và so sánh dữ liệu với các điều khoản trongchínhsáchbảomật
là cách tốt nhất nhằm đánh giá khách quan việc tuân thủ chính sách.
Chính sách “thuần túy kỹ thuật”
Giả sử bạn tránh được ba “cạm bẫy” đã nêu trên thì vẫn có thể mắc một sai lầm
khác liên quan đến trọng tâm của chínhsáchbảo mật.
Một chínhsách chỉ bao gồm bảomật kỹ thuật (như độ ph
ức tạp của mật khẩu,
các quy luật về bức tường lửa, cảnh báo ngăn chặn xâm nhập, cập nhật phần
mềm chống virus ) mà bỏ qua việc thảo luận của mọi người và các hoạt động
của họ sẽ làm cho doanh nghiệp dễ bị tổn thất bởi những mối đe dọa như : lạm
dụng thẩm quyền nội bộ, sử dụng cá nhân các nguồn thông tin, Quan trọng là
xác định sự an toàn về kỹ thuật và bảo đảm chúng phải được thực thi theo chính
sách bảo mật. Chínhsách phải bao gồm bộ ba “con người, quy trình và kỹ
thuật”.
Xin nhắc lại, dữ liệu thu thập được rất quan trọng cho việc giữ sự cân bằng, vì
hoạt động của hệ thống (như tái khởi động h
ệ thống, cập nhật tự động, ngăn
chặn xâm nhập) và hoạt động của người sử dụng đều được lưu trữ và có thể
được dùng để đối chiếu với chínhsách cũng như được trưng ra làm bằng chứng
cho việc vi phạm hay tuân thủ chính sách.
Chính sách to lớn và cồng kềnh
Một chínhsách phải được soạn thảo theo văn phong dễ hiểu cho những ai bắt
bu
ộc phải tuân thủ.
Nếu một chínhsách được viết theo văn phong của luật gia và dày tới 130 trang
thì hầu hết nhân viên sẽ chẳng hiểu được nó quy định những gì, và chắc chắn
sẽ dẫn tới vi phạm. Tương tự, các chínhsách được viết quá nghiêm khắc và
cấm những điều mà hầu hết nhân viên thường làm để hoàn thành nhiệm vụ sẽ
làm cho nhân viên bất tuân thủ hàng loạt. Giáo dục là cần thiết ngay trước khi
chính sách được áp dụng. Như thế, lập một chínhsách rõ ràng và dễ hiểu ngay
từ đầu sẽ làm tăng mức độ tuân thủ chínhsáchtrong tương lai.
Chúng ta đã xem xét nămlỗichínhsáchbảomật thường gặp. Một chínhsách
bảo mật để đạt mục đích, phải được viết rõ ràng và cập nhật theo yêu cầu.
Chính sách phải bao gồm các lĩnh vực kỹ thuật và không kỹ thuật. Và cuối cùng,
cần phải giám sát việ
c tuân thủ chính sách.
TS Anton Chuvakin là chuyên gia về bảomật và là tác giả của nhiều cuốn sách.
Ông hiện là trưởng nhóm thu thập của LogLogic, một công ty quản lý và tình báo
thu thập. Ông là tác giả cuốn Security Worrior và là cộng tác viên các cuốn Know
Your Enemy II, Information Security Management Handbook, và Hackers
Challenge 3 and PCI Compliance.
. các lỗi về chính sách bảo mật thì đây là lỗi lớn và trong thực tế có thể kể
từ không có chính sách cho đến chỉ có chính sách ngầm” – loại chính sách. xem xét năm lỗi chính sách bảo mật thường gặp. Một chính sách
bảo mật để đạt mục đích, phải được viết rõ ràng và cập nhật theo yêu cầu.
Chính sách phải