Kiến nghị với các doanh nghiệp:

Một phần của tài liệu Giải pháp nâng cao hiệu quả tính an toàn, bảo mật HTTT quản lý cho công ty cổ phần đầu tư và phát triển phần mềm SDIC (Trang 39)

3.4.2.1. Kiến nghị với các doanh nghiệp hoạt động trong lĩnh vực phát triển phần mềm:

- Tích cực hợp tác với các DN nước ngoài, các tổ chức trong nước và ngoài nước, các cơ sở đào tạo nhân lực CNTT. Các cơ sở đào tạo nhân lực CNTT cần bám sát thực tế của các DN đồng thời các DN cần chủ động hơn trong kế hoạch tuyển dụng nguồn nhân lực CNTT. Đây chính là nguồn lực chính sẽ đảm bảo an toàn và bảo mật HTTT của DN. - Tự sản xuất sản phẩm phần mềm phục vụ cho hoạt động kinh doang của DN. Thực tế các

DN hoạt động trong lĩnh vực phát triển phần mềm vẫn đang sử dụng nhiều phần mềm do các hãng khác hoặc do nước ngoài sản xuất và thường sử dụng không có bản quyền. Đây là một lỗ hổng dễ gây mất an toàn và bảo mật HTTT quản lý của DN bởi kẻ tấn công có thể phân tích và đoán được các phần mềm mà công ty đang sử dụng. Tự sản xuất phần mềm sẽ giúp các DN tận dụng nguồn nhân lực và chi phí, đồng thời tự đảm bảo an toàn và bảo mật cho HTTT quản lý của DN.

- Tăng cường các buổi tập huấn cho các nhân viên về an toàn và bảo mật. Đây là công việc cần thiết và thiết yếu của các DN gia công phần mềm. Hiểu rõ được lợi ích của việc đảm bảo an toàn và bảo mật HTTT sẽ giúp các nhân viên nâng cao ý thức và giúp ích cho công việc tốt hơn.

- Có cơ chế cụ thể trong việc kiểm soát luồng thông tin vào ra của DN. Đối với từng phòng ban cần có các chính sách thông tin cụ thể đặc biệt là phòng quản trị HTTT và phòng kế toán, đây là hai phòng nhệ cảm cần có các quy định chặt chẽ về việc truy cập mạng và tìm kiếm thông tin.

3.4.2.1.Kiến nghị với Công ty Cổ phần đầu tư và phát triển phần mềm SDIC:

- Cơ sở hạ tầng: Công ty Cổ phần đầu tư và phát triển phần mềm SDIC cần tăng cường đầu tư cơ sở hạ tầng đặc biệt là CNTT. Công ty cần có các chính sách cụ thể, rõ ràng và có lịch trình về chương trình đầu từ cở sở hạ tầng. đây là yếu tố chủ yếu đảm bảo chương trình an toàn và bảo mật HTTT quản lý của công ty đạt hiệu quả.

- Ngân sách cho hoạt động an toàn, bảo mật HTTT: Ngân sách đóng vai trò quan trọng trong hoạt động an toàn và bảo mật HTTT quản lý của công ty, công ty SDIC cần đầu tư ngân sách cho chương trình đảm bảo an toàn và bảo mật HTTT quản lý như ngân sách thành lập bộ phận an toàn và bảo mật HTTT quản lý, ngân sách tuyển dụng, đào tạo các cán bộ nhân viên chuyên trách bộ phận an toàn và bảo mật. Đầu tư trang thiết bị cho phép theo dõi hoạt động của công ty để từ đó đánh giá được hiệu quả của các hoạt động đảm bảo an toàn và bảo mật HTTT.

- Công ty cần tăng cường sử dụng các ứng dụng trong thu thập, lưu trữ và xử lý thông tin kinh doanh của doanh nghiệp. Quá trình này cần phải được thống nhất và cụ thể. Các nguồn cung cấp thông tin cần phải rõ ràng và minh bạch. Khi xử lý và lưu trữ thông tin cần thống nhất theo quy định chung và tập trung về một điểm để áp dụng các công cụ an toàn và bảo mật được hiệu quả.

- Các hoạt động kinh doanh cần thực hiện theo nguyên tắc đảm bảo an toàn và bảo mật, chính sách về an toàn thông tin của công ty cần cụ thể và áp dụng cho từng phòng ban, mỗi phòng ban phải có các quy định riêng để đảm bảo an toàn và bảo mật cho phòng ban đó.

- Vấn đề sao lưu phòng hờ thông tin kinh doanh cần được thực hiện hẳng ngày theo quy định cụ thể. Cần có một khu vữ lưu trữ riêng để sao lưu dữ liệu và khu vực này sẽ được quy định chặt chẽ về quyền truy cập và thao tác.

- Công ty cần phải xây dựng chương trình an toàn và bảo mật HTTT quản lý theo một chu trình liên tục theo thời gian. Sở dĩ bảo mật phải được tổ chức và thực hiện theo chu trình là để đảm bảo tính chặt chẽ và hiệu quả. Hơn thế nữa chu trình đó còn có tính kế thừa và phát triển vì các kĩ thuật tấn công phá hoại ngày càng tinh vi hiện đại, một hệ thống bảo mật được cho là tối ưu trong thời điểm hiện tại vẫn có thể nảy sinh các vấn đề trong tương lai vì kẻ tấn công luôn tìm cách để khai thác các lỗ hổng trong hệ thống bảo mật đó bằng các biện pháp tinh vi hơn. Để phòng ngừa và đối phó được thì những người xây dựng các chiến lược bảo mật cũng phải luôn luôn vạch ra các chiến lược mới và sử dụng công nghệ tiên tiến hơn.

Hình 3.2: Quy trình an toàn và bảo mật

Như hình vẽ ta thấy chu trình an toàn và bảo mật quy định 4 quá trình rất rõ ràng để phát triển một hệ thống an ninh nói chung. Các quá trình đều được xây dựng và phát triển dựa nên một nguyên tắc chung đó là chính sách an toàn và bảo mật của doanh nghiệp (Corporate Security Policy). Các chính sách cần được ban hành chi tiết và cụ thể đảm bảo các tiêu chuẩn về an toàn và bảo mật và được ban hành cho toàn bộ nhân sự trong tổ chức nhằm đạt được mục tiêu an toàn và bảo mật một cách tối ưu.

+ Đảm bảo an ninh (Secure): Sau khi nghiên cứu toàn bộ chính sách an toàn và bảo mật của doanh nghiệp, công việc tiếp theo là phải thực hiện các hành động an toàn và bảo mật cụ thể bằng các biện pháp thích hợp, đánh giá hiệu năng, chi phí, độ an toàn,…

+ Giám sát (Monitoring): Trong khi các biện pháp bảo mật được tiến hành cần có sự giám sát chặt chẽ để đánh giá được chất lượng hoạt động đồng thời có thể tìm các biện pháp thay thế, cải tiến nếu chưa đáp ứng được yêu cầu an ninh đặt ra. + Kiểm thử (Test): Đây là giai đoạn kiểm tra hệ thống bao gồm toàn bộ hệ thống

thông tin dữ liệu, kiểm tra các kĩ thuật và quy trình sử dụng để đánh giá độ tin cậy, cũng như mức độ tổn thất, để từ đó có chiến lược thay thế phù hợp. Việc kiểm thử cần được diễn ra định kì đều đặn.

+ Nâng cấp (Improve): Đó là các kế hoạch nâng cấp cải tạo các công nghệ bảo mật mới để đáp ứng được nhu cầu thay đổi, thay thế các kế hoạch bảo mật mới, việc này cần tiến hành nhanh chóng kịp thời cho toàn bộ HTTT quản lý của doanh nghiệp.Các bước trên không những được tiến hành lần lượt chặt chẽ mà còn phải tiến hành song song đồng thời bởi tấn công có thể diễn ra trong một thời gian đáng kể trước khi ta có thể nhận biết được chúng. Và điều quan trọng nhất là các quá trình đều phải xuất phát từ chính sách chung, và cũng từ các quy trình thực hiện mà xây dựng hoàn thiện chính sách bảo mật cho tổ chức.

+ Đánh giá hiệu quả chương trình đảm bảo an toàn và bảo mật HTTT quản lý: Cần có một phương thức hữu hiệu trong việc đo lường hiệu quả của các công cụ an toàn và bảo mật trong các chương trình an toàn và bảo mật HTTT quản lý. Hiệu quả dựa trên các khía cạnh sau: mức tác động, chi phí và giá trị mà các chương trình an toàn và bảo mật HTTT quản lý đem lại. Một trong những chuẩn rất đáng quan tâm đó là chuẩn ISO 27001. ISO 27001 là một chuẩn hệ thống quản lý bảo mật thông tin. Mục tiêu của đo lường hiệu quả các chương trình đảm bảo an toàn và bảo mật HTTT quản lý chính là nhằm quản lý tốt hơn sự đầu tư cho các hoạt động an toàn và bảo mật bằng việc cung cấp những cơ sở có chất lượng để những người làm an toàn và bảo mật có thể đưa ra những quyết định một cách dễ dàng và đúng đắn.

+ Việc đo lường này cần được phối hợp với các công cụ chuyên dụng để khảo sát, tìm kiếm sai sót trong hệ thống mạng như: Nmap, Nessus, Metasploit, Traffic IQ Pro, SolarWind Network Management, Landguard Network Security Scanner...; kỹ năng sử dụng thiết bị bảo mật chuyên dụng FoundStone FS1000. Bên cạnh đó

DN cũng cần tham khảo các dịch vụ đánh giá mức độ an toàn và bảo mật, dịch vụ tư vấn an toàn và bảo mật HTTT quản lý để từ đó đưa ra được những giải pháp khả thi cho DN.

- Việc đảm bảo an toàn và bảo mật HTTT quản lý của công ty SDIC không phải chỉ là công việc của riêng người quản trị HTTT quản lý của công ty mà là toàn bộ nhân viên trong doanh nghiệp đều có trách nhiệm bảo vệ thông tin, HTTT quản lý như là tài sản sống còn của doanh nghiệp và điều này phải được xem như là một thành phần trong văn hóa kinh doanh của công ty SDIC.

Một phần của tài liệu Giải pháp nâng cao hiệu quả tính an toàn, bảo mật HTTT quản lý cho công ty cổ phần đầu tư và phát triển phần mềm SDIC (Trang 39)

Tải bản đầy đủ (DOCX)

(43 trang)
w