Thực thi chính sách an ninh hiệu quả
• Các nhà quản lý chưa đánh giá cao giá trị của một chiến lược an ninh.
• Kiểm soát và các biện pháp an ninh thường chưa được đưa vào thiết kế của các quá trình kinh doanh chính và hệ
thống.
• Nhiều công ty thiếu công tác khắc phục thảm họa hoặc
không vá lỗi phần mềm thường xuyên chống lại lỗ hổng bảo mật.
• Nhận thức của người dùng còn yếu. 75% các công ty có chính sách bảo mật thông tin không cập nhật hệ thống thường xuyên và chỉ có 9% nhân viên hiểu các chính sách an ninh.
187 Bài giảng HTTT quản lý 1.3 -‐ 2014 Bài giảng HTTT quản lý 1.3 -‐ 2014
Mọi hoạt động không vượt qua công cụ kiểm soát
• Nếu một hệ thống đòi hỏi quá nhiều mật khẩu, ủy quyền hoặc cấp độ bảo mật truy cập thông tin, hệ thống sẽ trở nên khó sử dụng và do đó không hiệu quả.
• Kiểm soát có hiệu quả nhưng không ngăn cản các cá nhân được ủy quyền sử dụng hệ thống là rất khó để thiết kế
• Có rất nhiều công nghệ để DN lựa chọn, tuy nhiên cần lựa chọn giải pháp hiệu quả nhất
Giải pháp
• Phối hợp kế hoạch an ninh của công ty với kế hoạch kinh doanh tổng thể của nó cho thấy rằng an ninh là thiết yếu cho sự thành công của DN như bất kỳ chức năng kinh doanh nào khác.
• Thực thi biện pháp an ninh và thực hiện kiểm soát là trách nhiệm của tất cả mọi thành viên trong tổ chức.
189 Bài giảng HTTT quản lý 1.3 -‐ 2014 Bài giảng HTTT quản lý 1.3 -‐ 2014
Giải pháp
• Hỗ trợ và cam kết từ lãnh đạo cao nhất là cần
thiết để thấy rằng an ninh thực sự là một ưu tiên
của công ty và quan trọng đối với tất cả các khía
cạnh của doanh nghiệp.
• Người quản lý nên đặt ra những câu hỏi sau đây:
– Tài nguyên nào là quan trọng nhất để kiểm soát và đảm bảo an toàn? Chi phí để thay thế những tài sản quan trọng nếu
chúng bị phá hủy hoặc tổn hại? Vấn đề pháp lý khi thông 1n bị truy cập bởi các bên không được phép?
Giải pháp
– Mức độ thời gian chết của hệ thống bao nhiêu là chấp nhận được? Bao nhiêu sự gián đoạn trong chức năng kinh doanh hoặc tổn thất tài chính là doanh nghiệp sẵn sàng chịu đựng?
– Mức tối thiểu có thể chấp nhận cho hiệu suất thực thi của
phần mềm và hệ thống là gì?
– Chi phí DN sẵn sàng bỏ ra đầu tư để bảo vệ tài sản thông tin của mình?
Giải pháp
• Các doanh nghiệp lớn có thể có 1 vị trí chính thức là giám
đốc an ninh (CSO -‐ chief security officer).
– Quyết định quản lý chủ chốt bao gồm việc xác định một mức độ
kiểm soát thích hợp cho tổ chức và thiết lập các tiêu chuẩn cho
độ chính xác và độ tin cậy của hệ thống.
• Để phát triển hoạt động kiểm soát và an ninh, người dùng cần phải thay đổi cách làm việc.
– Người dùng cần được đào tạo đặc biệt về cách bảo vệ thiết bị,
mật khẩu; làm thế nào để làm việc với các phần mềm chống