PHẦN I : TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
2.2. Đánh giá, phân tích thực trạng về an tồn và bảo mật thơng tin của công ty
2.2.3. Đánh giá thực trạng an toàn và bảo mật thông tin của công tycổ phần phong
phong cách Anh
Những thành tựu đạt được:
Dù chưa hoàn thiện và chưa được đánh giá cao nhưng website đã phần nào đó quảng bá cho cơng ty, giới thiệu hình ảnh của cơng ty cùng các sản phẩm dịch vụ mới, hỗ trợ khách hàng đặt hàng, và giao tiếp trực tiếp với doanh nghiệp. Website đã xây dựng được giao diện và các module cần thiết cho một website chuẩn bị để kinh doanh trực tuyến và đặt mục tiêu theo đuổi trong thời gian tới đó chính là kinh doanh TMĐT.
Nói riêng về hoạt động đảm bảo an tồn thơng tin cho khách hàng của cơng ty, do công ty chỉ lấy danh sách gửi và nhận email cho các khách hàng và đặt sự quan tâm khá cao đến hoạt động này, nên các email quảng cáo được gửi đi đã thu được sự phản hồi tốt từ một số khách hàng trung thành vừa khơng gây sự khó chịu cho họ mà đồng thời email còn nhận được đa số các đơn đặt hàng lớn, bên cạnh đó cung cấp được nhiều thơng tin về sản phẩm mới hơn cho khách hàng.
Qua các phiếu điều tra nghiên cứu cho thấy, hiện nay cơng tác bảo mật an tồn thông tin cho khách hàng tại công ty vẫn đang được thực hiện. Tuy chưa có các hoạt động giao dịch thương mại điện tử, mua bán hàng hóa trực tuyến trên website nhưng
hầu hết khách hàng đặt hàng thông qua email. Bước đầu công ty đã và đang có các hoạt động quản lí website, quản lí email và hệ cơ sở dữ liệu để bảo mật an tồn thơng tin cho khách hàng thông qua các quyết định và quy chế đối với cán bộ nhân viên. Bên cạnh đó như ta đã biết việc quản lí email hiện nay tưởng đơn giản nhưng cũng là hết sức quan trọng. Trong thời gian tới công ty dự định sẽ nâng cấp website để website khơng chỉ giới thiệu sản phẩm mới hoặc hình ảnh cơng ty, mà cịn để hoạt động giao dịch mua bán hàng hóa và thanh tốn trực tuyến. Vậy nên rất cần có các giải pháp mới giúp cho doanh nghiệp có thể bảo mật an tồn thơng tin cho khách hàng trong môi trường giao dịch thương mại điện tử, nơi các hoạt động mua bán và thanh toán đều là trực tuyến.
Các tồn tại:
Cũng như các doanh nghiệp cùng ngành khác, Công ty cổ phần phong cách Anh cũng không tránh khỏi một số hạn chế cụ thể sau:
Cơng ty có một hạ tầng cơ sở với 100% máy tính được nối mạng nhưng số nhân viên sử dụng mạng và máy tính làm việc chưa phải tất cả, đây chưa phải là điều tốt cho việc áp dụng kinh doanh trực tuyến. Các phần mềm hỗ trợ chỉ dừng lại ở công tác quản lý hoạt động, quản lý nhân sự, các phần mềm kế toán tự viết mà chưa trang bị các phần mềm làm tăng sức cạnh tranh của hệ thống. Nguồn nhân lực chưa được đào tạo chuyên sâu về nghiệp vụ và tác nghiệp TMĐT cũng như bảo mật an tồn thơng tin, vì thế những giải pháp hướng tới an tồn thơng tin cho khách hàng trong giao dịch TMĐT chưa cụ thể và chưa đem lại hiệu quả cao.
Về con người: Do khơng có bộ phận chun trách về CNTT cũng như quản trị
HTTT nên vấn đề con người của HTTT trong cơng ty có các đặc điểm và một số vấn đề như sau:
Thứ nhất là: Nhân viên cơng ty khơng có khái niệm và hiểu biết rõ ràng về HTTT, đặc biệt là HTTT của công ty. Mức độ hiểu biết về CNTT (phần cứng, phần mềm…) và hạ tầng HTTT của các nhân viên trong công ty là không đồng đều và đa số đều dựa vào kinh nghiệm và tự học hỏi từ phía cá nhân nhân viên. Theo khảo sát, mặc dù 90% nhân viên cơng ty có chứng chỉ về tin học, nhưng khi được hỏi về mức độ hiểu biết về HTTT của cơng ty thì chỉ có khoảng 20% trên tổng số nhân viên được hỏi có thể trả lời được, hầu hết là thành phần lãnh đạo của công ty.
Thứ hai là: Hiện tại các nhà quản lý kiêm luôn các công việc của một nhà quản trị HTTT. Nhưng khi công ty tiếp tục mở rộng kinh doanh và hướng tới ứng dụng TMĐT thì sẽ có những hạn chế về kiến thức, chuyên môn liên quan đến HTTT, CNTT và TMĐT.
Về cơ sở dữ liệu, phần cứng, phần mềm: Hiện tại hạ tầng phần cứng, phần mềm
của công ty đáp ứng được nhu cầu quản lý thông tin của công ty. Tuy nhiên, khi sản xuất kinh doanh phát triển, những hạ tầng này cũng cần được bảo trì nâng cấp liên tục. Đặc biệt là cơ sở dữ liệu của công ty, về lâu dài cần các hệ quản trị cơ sở dữ liệu có dung lượng lớn và hỗ trợ nhiều hơn. Bên cạnh đó, firewall khơng thể đảm bảo cho toàn bộ nhu cầu an toàn đối với đường nối vào internet của công ty.
Website của doanh nghiệp cịn chưa hồn thiện cũng là một hạn chế lớn, cản trở doanh nghiệp đến với TMĐT. Bên cạnh đó, mặc dù đã có các quyết định và quy chế về việc cơng tác sử dụng hịm thư của cơng ty nhưng độ an tồn bảo mật thơng tin vẫn chưa cao. Nhất là hiện nay khi nguy cơ bị tấn công thông qua thư điện tử là rất lớn.
Nguyên nhân các tồn tại:
Đối với các vấn đề cịn tồn tại thì có nhiều ngun nhân dẫn tới hoạt động website của công ty chưa đi vào ổn định và chưa tận dụng được các ưu thế của mình để triển khai TMĐT. Trong tất cả các nguyên nhân chủ quan và khách quan đó, ta nhận thấy các nguyên nhân chính cho các tồn tại kể trên là:
Hoạt động kinh doanh phụ thuộc phần nhiều vào công việc kinh doanh truyền thống, chủ yếu vẫn còn nặng về giao dịch trực tiếp, lại chưa tiết kiệm chi phí tối đa, đồng thời chưa áp dụng triệt để lợi ích kinh doanh TMĐT. Lí do chính là cơng ty chưa đầu tư thời gian và tiền của xứng đáng đến kinh doanh trực tuyến, từ cơ sở hạ tầng máy móc, nhân lực chun mơn cao đến các chiến lược xúc tiến TMĐT khác.
Bên cạnh đó doanh nghiệp cịn xem nhẹ cơng tác bảo mật và an tồn dữ liệu. Đó là một hạn chế bởi ngay hiện tại khi doanh nghiệp sử dụng email cho việc giao dịch với khách hàng vẫn nghĩ đó là an tồn, nhưng thực tế email cũng rất dễ bị các hacker tấn công nhằm đánh cắp thông tin quan trọng, về khách hàng tiềm năng, chi tiết nghiệp vụ quan trọng của khách hàng với cơng ty hoặc chính sách kinh doanh đặc biệt của công ty đối với khách hàng quan trọng.
PHẦN III: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP, KIẾN NGHỊ VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN
PHONG CÁCH ANH
3.1. Định hướng phát triển của cơng ty về an tồn bảo mật thông tin
Theo Cục Thương mại điện tử và Cơng nghệ thơng tin, một tiêu chí quan trọng để đánh giá website TMĐT là chính sách bảo mật thơng tin khách hàng. Tuy nhiên các doanh nghiệp Việt Nam lại chưa chú ý đến yếu tố này. Điều tra của Vụ Thương mại điện tử cho thấy, vấn đề bảo vệ dữ liệu cá nhân trong giao dịch điện tử được đánh giá là trở ngại thứ 3 trong số 7 trở ngại hàng đầu đối với sự phát triển của TMĐT Việt Nam. Nếu khơng có biện pháp ngăn chặn kịp thời thì trong tương lại sẽ rất nguy hiểm, nhất là giai đoạn trước mắt 2010 - 2015.
Một cuộc điều tra khác về vấn đề tương tự cũng đã được tiến hành trên 50 website TMĐT. Kết quả cho thấy, chỉ có 12% có cơng bố chính sách bảo vệ thơng tin cá nhân và chỉ có 6% xây dựng cơ chế cho phép khách hàng lựa chọn đồng ý hoặc từ chối cung cấp thông tin cá nhân khi tham gia giao dịch. Để thực sự có thể củng cố được lỗ hổng này, Cục Thương Mại điện tử khuyến cáo các doanh nghiệp cần phải nhanh chóng vào cuộc, thiết lập an ninh thơng tin của tất cả các khách hàng. Theo kết quả khảo sát năm 2008 của Bộ Công Thương, 18% trong số 132 doanh nghiệp cho biết đã có quy chế bảo vệ thơng tin cá nhân, 40% khác sẽ xây dựng quy chế trong tương lai gần. Đây là bước đi cần thiết để nâng cao tính minh bạch thực sự cho TMĐT Việt Nam.
Vấn đề bảo đảm an tồn thơng tin trong giao dịch điện tử, nhìn nhận một cách tồn diện thực sự đó là một vấn đề phức tạp và bao hàm nhiều khía cạnh, nó khơng đơn giản là chỉ trang bị bức tường lửa hay nếu cần sự bảo vệ thì hãy mã hóa và mật khẩu là đủ để xác thực. Thực tế việc đảm bảo an tồn thơng tin trong giao dịch muốn đạt hiệu thiết thực và tiết kiệm cần phải cần được hiểu theo khái niệm là “biết cách bảo vệ để chống lại sự tấn cơng tiềm ẩn”. Bởi vậy, nó phải là tổng hợp các giải pháp của hạ tầng cơ sở bảo mật. Các doanh nghiệp trong đó cơng ty cổ phần phong cách Anh cũng cần áp dụng trong thời gian tới để có thể bảo mật thơng tin khách hàng một cách tồn diện và hiệu quả nhất. Đó là:
Về mặt pháp lý và tổ chức: Công ty phải xây dựng chính sách an tồn thơng tin
cho giao dịch điện tử nhằm tạo sự rõ ràng và phản ánh được sự cân bằng quyền lợi của các chủ thể tham gia giao dịch điện tử, quan tâm tính riêng tư và an toàn xã hội, đảm bảo sự thi hành pháp luật và lợi ích an ninh quốc gia; ban hành các văn bàn quy phạm pháp luật cần thiết, tiêu chuẩn mật mã và chữ ký điện tử sử dụng trong giao dịch điện tử, giải quyết khiếu nại và tố cáo khi có sự tranh chấp liên quan đến sử dụng mật mã; tổ chức các cơ quan chứng nhận, cấp phép, quản lý và phân phối sản phẩm mật mã, phản ứng giải quyết sự cố, thanh tra và kiểm tra, vấn đề lưu trữ và phục hồi khóa…
Về mặt kỹ thuật: Vấn đề đặt ra là kỹ thuật nào được chấp nhận để đảm bảo an
tồn thơng tin trong giao dịch điện tử. Kết hợp chặt chẽ với hạ tầng công nghệ, quy định thống nhất tiêu chuẩn cấu trúc thiết lập hệ thống mạng và sử dụng công nghệ, ngôn ngữ giao tiếp và phần mềm ứng dụng, tổ chức hệ thống chứng thực và phân phối khóa mã, các cơng cụ nghiệp vụ kỹ thuật kiểm tra và phát hiện xâm nhập; các giải pháp dự phòng khắc phục sự cố xẩy ra trong giao dịch điện tử.
Trước hết cơng ty phải tìm hiểu về an tồn thơng tin trong giao dịch điện tử, cần biết phải bảo vệ cái gì trong hệ thống, ước định mức rủi ro và các nguy cơ tiềm tàng khi kết nối mạng với các đối tượng khác, việc mở rộng mạng trong tương lai có ý thức đầu tư bảo mật cho hệ thống ngay từ khi bắt đầu xây dựng; chấp nhận và chấp hàng chính sách, các quy định pháp luật về sử dụng mật mã, phải chịu trách nhiệm trước pháp luật về bảo vệ bí mật quốc gia trong q trình xử lý và truyền tải thơng tin trong giao dịch điện tử.
Với hệ thống thông tin mở, sử dụng công nghệ đa phương tiện như hiện nay thì về mặt lý thuyết khơng thể đảm bảo an tồn thơng tin 100%, điều cốt yếu là chúng ta phải tiên liệu được các nguy cơ tấn công tiềm ẩn đối với thông tin cần phải bảo vệ và biết bảo vệ như thế nào cho hiệu quả đối với hệ thống của mình.
Về con người: Là yếu tố quyết định. Con người khơng được đào tạo kỹ năng và
khơng có ý thức bảo mật cũng là kẽ hở cho những kẻ bất lương khai thác, và nếu con người trong hệ thống phản bội lại lợi ích của cơ quan, xí nghiệp và rộng hơn là của quốc gia thì khơng có giải pháp kỹ thuật an tồn nào có hiệu quả. Vì vậy, an tồn thông tin trong giao dịch điện tử cần phải được bổ sung giải pháp an toàn nội bộ đặc biệt chống lại những đe dọa từ bên trong.
3.2. Các đề xuất về giải pháp nâng cao hiệu quả an tồn và bảo mật thơng tin của công ty cổ phần phong cách Anh.
Đối với nhiều doanh nghiệp hoặc cá nhân, dữ liệu trong hệ thống máy tính là một tài sản vơ giá quyết định đến sự sống cịn của cả một doanh nghiệp hoặc một tổ chức. Do vậy, việc lưu trữ và bảo mật là hết sức cần thiết khi mà ngày nay doanh nghiệp nào cũng đều có kết nối với Internet hoặc có mạng WAN diện rộng. Đây là điều kiện rất dễ bị xâm nhập để tin tặc và các đối thủ cạnh tranh ăn cắp dữ liệu hoặc phá hủy dữ liệu. Công ty cổ phần phong cách Anh cũng vậy, do đó cần có các giải pháp hiệu quả để hệ thống máy tính của khách hàng ln ln được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá hoại dữ liệu.
Những giải pháp đầu tiên mà công ty cổ phần phong cách Anh cần làm trong quá trình bảo đàm an tồn thơng tin cho khách hàng đó là việc quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng. Tất cả thơng tin khách hàng của doanh nghiệp đều phải đảm bảo bí mật. Dù là nhân viên bán hàng hay nhân viên phục vụ khách hàng đều phải ký thỏa thuận này. Việc xử lý, loại bỏ tất cả những tư liệu, giấy tờ liên quan đến khách hàng đều phải huỷ qua máy tài liệu. Các loại giấy tờ, thông tin, phần mềm in ấn vi tính đều khơng được mang ra khỏi cơng ty. Giáo dục đạo đức cho nhân viên. Đưa ra cơ chế an toàn liên quan đến việc tuyển, sử dụng nhân viên và sa thải nhân viên, kịp thời bố trí, điều chỉnh, điều động cán bộ nhân viên.
Các giải pháp an tồn thơng tin trong giao dịch TMĐT hiện nay có thể kể tới như an toàn chứng thực điện tử, an tồn thư tín điện tử, an tồn mạng riêng ảo, firewall, honeypot.. Hệ thống phát hiện xâm nhập, các kĩ thuật thăm dị.. Bên cạnh đó các thơng tin khách hàng mà cơng ty cần bảo mật giữ an tồn đó là những thơng tin quan trọng về khách hàng tiềm năng của công ty, chi tiết nghiệp vụ quan trọng của khách hàng với cơng ty, chính sách kinh doanh đặc biệt của cơng ty đối với khách hàng quan trọng. Các doanh nghiệp tổ chức, cá nhân hay chính phủ hiện đang gia tăng nhu cầu sử dụng hệ thống mạng để chia sẻ thông tin trong nội bộ cũng như với khách hàng và đối tác. Trong xã hội hiện đại, thông tin đã trở thành tài sản có giá trị nên các doanh nghiệp, tổ chức cần phải quan tâm thích đáng hơn nữa tới vấn đề an tồn thông tin. Công ty cổ phần phong cách Anh cần có những giải pháp hiệu quả khơng những giúp
doanh nghiệp giảm bớt nguy cơ bị tấn cơng vào hệ thống mà cịn đem lại hiệu quả kinh tế cao cho doanh nghiệp.
Giải pháp được đưa ra ở đây đó là cơng ty cổ phần phong cách Anh cần áp dụng các giải pháp bảo mật bao phủ toàn bộ quá trình quản lý an tồn thơng tin hoặc giải quyết các yêu cầu bảo mật cụ thể cho khách hàng của công ty, bao gồm:
Giải pháp tư vấn tổng thể hệ thống an tồn thơng tin.
Giải pháp hệ thống tường lửa.
Giải pháp mạng riêng ảo VPN.
Giải pháp sử dụng công nghệ ngăn ngừa các truy cập trái phép IDS/IPS.
Giải pháp mật mã SSL.
Giải pháp an tồn mạng khơng dây.
Giải pháp bảo mật thư điện tử.
Trong môi trường làm việc hiện đại, hầu như toàn bộ hoạt động giao tiếp, điều hành của mỗi doanh nghiệp đều được thực hiện trên môi trường mạng Internet và mạng nội bộ. Do đó, việc thiết lập và duy trì được một hệ thống mạng thơng suốt sẽ