3.2 GIẢI PHÁP CHUNG PHÁP TRIỂN DỊCH VỤ NGÂN HÀNG TRỰC
3.2.4 Xây dựng các quy tắc và tập quán bảo mật cho ngân hàng
Các quy tắc và tập quán bảo mât có thể giúp giảm thiểu rủi ro do các nguy cơ đe dọa từ bên ngoài lẫn bên trong đối với hệ thống dịch vụ ngân hàng trực tuyến. Khi những nguyên tắc và tâp quán này được áp dụng và tuân thủ chặt chẽ sẽ giúp ngân hàng bảo vệ tính xác thực và bí mât dữ liệu.
Tâp quán bảo mật thường là sự kết hợp giữa các công cụ phần cứng và phần mềm, các thủ tục hành chính và các chức năng quản lý nhân sự giúp xây dựng hệ thống và hoạt đơng an tồn. Những quy tắc, tập quán và thủ tục này được coi là chính sách và quy trình an ninh bảo mật của các ngân hàng.
An ninh mạng xét cho cùng phụ thuộc vào một nhóm nhỏ nhân viên có kĩ năng, những người này phải được kiểm tra kĩ lưỡng về nhiệm vụ và việc tiếp cận hệ thống của họ. Vietcombank cần phải đưa ra những tiêu chuẩn chọn lựa nghiêm ngặt và xem xét toàn diện khi chỉ định nhân sự vào các vị trí vận hành và bảo mật cho hệ thống dịch vụ ngân hàng trực tuyến. Các nhân viên phụ trách việc triển khai, duy trì, và vận hành các trang web phải được huấn luyện đầy đủ về các nguyên tắc và tập quán bảo mật. Ba trong số các quy tắc căn bản nhất trong việc bảo vệ hệ thống là: khơng để một mình (những cơng việc và thủ tục quan trọng phải được thực hiện bởi ít nhất hai người hoặc là một người làm và một người kiểm tra); tách biệt nhiệm vụ (công việc và trách nhiệm phải đuợc tách biệt và được nhiều nhóm thực hiện); và kiểm sốt tiếp cận hệ thống (quyền tiếp cận hệ thống phải dựa trên trách nhiệm và mức độ cần thiết để hồn thành cơng việc).
Nhìn chung, để bảo đảm an tòan cho hệ thống Internet banking, Vietcombank cần có những tập quán bảo vệ an ninh sau:
thiết kế với độ an toàn cao nhất, phù hợp với yêu cầu bảo mật. Cập nhât, sữa chữa và nâng cấp hệ thống theo khuyến cáo của nhà cung cấp. Thay đổi tất cả mât khẩu cho hệ thống mới ngay sau khi cài đặt
_ Cài đặt firewall giữa mạng nội bộ và bên ngòai cũng như giữa các khu vực khác nhau về địa lý.
_ Lắp đặt thiết bị ngăn chặn và dị tìm các xâm nhập trái phép.
_ Thuê các chuyên gia an ninh độc lâp đánh giá điểm mạnh và điểm yếu của các trình ứng dụng Internet banking, hệ thống và mạng trước khi cài đặt lần đầu tiên và ít nhất hàng năm sau khi cài đặt. Việc đánh giá này tốt nhất là không báo trước cho các nhân viên có trách nhiệm vân hành hệ thống và có các hoạt động liên quan đến Internet banking.
_ Xây dựng các quy trình theo dõi mạng và hệ thống trong đó sử dụng máy quét mạng, thiết bị dị tìm các truy cập trái phép và các cảnh báo về an ninh.
_ Cài đặt phần mềm diệt virus.
_ Thường xuyên theo dõi cấu hình mạng và kiểm tra sự tồn v n dữ liệu. _ Duy trì việc theo dõi an ninh và kiểm toán hệ thống. Thuê các chuyên gia bảo mật hay các nhân viên kiểm tốn nội bộ có kĩ năng để kiểm toán hệ thống.
_ Phân tích dữ liệu theo dõi an ninh hệ thống để tìm ra những truyền tải dữ liệu và những nỗ lực xâm nhập đáng nghi ngờ.
_ Lâp kế hoạch quản lý và giải quyết sự cố.
_ Kiểm tra kế hoạch giải quyết sự cố đã lâp trước đó với từng sự cố cụ thể. _ Cài đặt các cơng cụ phân tích để giúp phân tích bản chất và hạn chế các cc tấn cơng.
_ Triển khai và duy trì kế hoạch khắc phục sự cố và bảo đảm tính liên tục của hệ thống dựa vào yêu cầu công nghệ thông tin, nhu cầu hoạt đông và kinh doanh.
_ Áp dụng biện pháp xác thực hai nhân tố khi truy cập cho hệ thống Internet banking và một TP cụ thể hay chữ ký điện tử cho mỗi giao dịch có giá trị cao hơn mức định trước do khách hàng chọn hay do ngân hàng quy định truớc.