Phát triển và cài đặt một chương trình bảo mật thông tin trong tổ chức

13:51 | 24/02/2016

Trong thời đại kỹ thuật số, mọi tổ chức đều phải có một chương trình bảo vệ thông tin tại chỗ để bảo vệ các dữ liệu của mình và khách hàng. Các chương trình bảo vệ thông tin cần phải đảm bảo các tiêu chí: phát hiện, ngăn chặn và giảm đáng kể các nguy cơ cho dữ liệu. Phát triển một chương trình để bảo vệ toàn diện thông tin hiện đang là yêu cầu hàng đầu của các tổ chức. Chương trình này cần đưa ra được một chiến lược an toàn thông tin có thể vượt ra ngoài các công cụ bảo mật truyền thống như tường lửa, hay các phần mềm chống virus.

Việc dữ liệu của các tổ chức bị thất thoát gần đây nhất đã chứng tỏ rằng các quy trình trong một số chương trình bảo mật đã thất bại và các chương trình này không đủ toàn diện để phát hiện nhiều cuộc tấn công cùng một lúc. Để phòng chống điều này các tổ chức cần phải phát huy lợi thế về các nguồn lực của chính mình và phương pháp tốt nhất để làm điều đó là phát triển một chương trình an toàn thông tin (ATTT) hiệu quả. Dưới đây là bảy yếu tố then chốt cho một chương trình ATTT hiệu quả.

Tham gia quản lý, điều hành 

Một chương trình ATTT thành công cần một số điều kiện tiên quyết, quan trọng nhất trong số đó là cam kết quản lý, điều hành và hỗ trợ của lãnh đạo tổ chức. Nếu không có sự trực tiếp chỉ đạo của người quản lý, điều hành, thì việc đầu tư, triển khai, hỗ trợ, phát triển và cài đặt một chương trình ATTT sẽ có nhiều khả năng thất bại.

Người quản lý, điều hành phải hiểu rằng ATTT không chỉ hết sức quan trong cho sự thành công của một tổ chức, mà nó còn là trách nhiệm của họ. Người quản lý, điều hành cần phải tham gia vào các cuộc họp của Ban chuyên trách về ATTT.

Quản trị an toàn thông tin

Việc quản trị ATTT là một thành phần thiết yếu của một chương trình ATTT, vì nó không chỉ đảm bảo sự liên kết chiến lược giữa các doanh nghiệp với các sáng kiến bảo mật, mà còn đưa ra định hướng cho một chương trình ATTT hiệu quả.

 Hãy thử so sánh hai tổ chức là Tổ chức X và Y cùng có một chương trình ATTT. Cả hai tổ chức đều đã được cảnh báo về một lỗ hổng zero-day ảnh hưởng đến máy chủ web của họ. Sau khi tiến hành phân tích rủi ro của mình, bộ phận ATTT của cả hai tổ chức quyết định vô hiệu hóa các dịch vụ dễ bị tổn thương trên các máy chủ web của họ. Sau đó họ gửi quyết định của mình lên lãnh đạo của tổ chức. Tại tổ chức X, giám đốc điều hành là người trực tiếp tham giam vào Ban phòng chống các nguy cơ về ATTT và hiểu rằng, nếu tiếp tục sử dụng thì lỗ hổng mới được phát hiện có thể phơi bày các dữ liệu khách hàng đông ý vô hiệu hóa nó cho đến khi lỗ hổng được vá lại. Tại tổ chức Y, giám đốc điều hành này không giam gia vào Ban phòng chống các nguy cơ về ATTT, nên đã gửi yêu cầu cho bộ phận an toàn thông tin để kích hoạt lại dịch vụ nhằm tránh ảnh hưởng đến doanh thu của công ty. Trường hợp này, nguy cơ mất dữ liệu của tổ chức Y sẽ trở nên cao hơn tổ chức X rất nhiều.

Một phần quan trọng của hoạt động quản trị ATTT là Ban điều hành Ủy Ban ATTT. Đây là một nhóm bao gồm các nhân viên an toàn thông tin và lãnh đạo các bộ phận kinh doanh, với mục tiêu là tích hợp ATTT vào hoạt động kinh doanh. 

Một số trách nhiệm chính của Ban này là: Xác định vai trò, trách nhiệm, nhiệm vụ của các chương trình ATTT và các sáng kiến bảo mật; xem xét và chấp thuận các chính sách và quy trình ATTT; đẩy mạnh giáo dục và tập huấn ATTT; đảm bảo các chính sách bảo mật kèm theo sau đó; thúc đẩy thực hiện ATTT trong phạm vi các bộ phận thành viên của tổ chức.

 Lấy ví dụ với chiến lược quản trị ATTT của một tổ chức Y. Tổ chức này lựa chọn một sáng kiến bảo mật và thực hiện một giải pháp DLP cho toàn công ty. Giải pháp này bao gồm các công cụ đáp ứng được các yêu cầu của công ty hiện tại. Sau khi thực hiện giải pháp một thời gian, tổ chức Y đã quyết định di chuyển dữ liệu của mình vào đám mây công cộng. Bộ phận an toàn thông tin của tổ chức đã nhận ra rằng các công cụ của giải pháp DLP không được hỗ trợ trong đám mây công cộng và có kiến nghị lên ban lãnh đạo tổ chức. Nói cách khác, bộ phận an toàn thông tin đã nắm rõ công việc và nhiệm vụ của mình để có thể liên kết được với nó. ATTT thường được xem là một rào cản kinh doanh, nhưng trong thực tế, nó chính là chìa khóa để phát triển khả năng kinh doanh. 

Hỗ trợ điều hành và quản trị an toàn thông tin cũng được xác định là nền tảng của một chương trình ATTT thành công.

Quản lý các nguy cơ về an toàn thông tin

Các chương trình ATTT sẽ phụ thuộc vào loại hình tổ chức và phạm vi hoạt động của nó. Mỗi tổ chức có những nguy cơ về ATTT riêng. Một số tổ chức phải tuân thủ theo các quy định bắt buộc và đặc thù. Tuy nhiên, các thành phần chính của các chương trình ATTT này thường tương tự nhau.

Các tổ chức cần tiên lượng những nguy cơ về an toàn thông tin tồn tại trong môi trường làm việc của mình trước khi xây dựng các biện pháp kiểm soát thích hợp để giải quyết những nguy cơ này. Cần phải tiến hành đánh giá nguy cơ để xác định các mối đe dọa (bên ngoài và bên trong) và các lỗ hổng có thể gây nguy hiểm cho thông tin của tổ chức. Một yếu tố thường bị bỏ qua đó là việc kiểm kê thông tin và các phần mềm đang sử dụng. Nếu không có một biên bản kiểm kê phù hợp, chương trình ATTT sẽ gần như không thể xác định nó cần bảo vệ những thông tin gì trong tổ chức.

Không có một giải pháp nào có thể làm cho các thông tin của một tổ chức an toàn tuyệt đối, sẽ luôn có một số nguy cơ mất an toàn thông tin tồn tại. Việc đánh giá các nguy cơ cần được ưu tiên và các chương trình ATTT phải đảm bảo rằng, các nguy cơ được quản lý đúng cách và giảm thiểu nó đến mức tối đa, lưu ý thêm rằng các nguy cơ sẽ không bao giờ được loại bỏ hoàn toàn. Cần xem xét các nguy cơ này để đảm bảo có thể kiểm soát trong mức chấp nhận được. Trường hợp ngoại lệ, cần phải đưa ra một quy trình riêng biệt thích hợp được người quản lý, điều hành phê duyệt.

Các tiêu chuẩn

Với các kiến thức có được từ việc đánh giá nguy cơ ở trên, các tổ chức có cơ sở để giải quyết bài toán ATTT. Bước đầu tiên là tổ chức cần chọn một tiêu chuẩn về an toàn thông tin đã được kiểm chứng và công nhận của các tổ chức quốc tế uy tín. Tiêu chuẩn này là cơ sở để thực hiện các kiểm soát ATTT thích hợp nhằm giải quyết các nguy cơ đã được xác định trong quá trình đánh giá. Khi lựa chọn các tiêu chuẩn, các tổ chức nên xem xét các yêu cầu, quy định họ phải tuân theo, ví dụ như PCI DSS hay HIPAA.

Sau khi lựa chọn tiêu chuẩn, cần tiến hành phân tích sơ hở để xác định các kiểm soát cần thiết, nhằm giải quyết các thành phần có nguy cơ. Việc xem xét, đánh giá các nguy cơ sẽ tương ứng với trạng thái hiện hành và yêu cầu kiểm soát ATTT tương ứng với trạng thái mong muốn. Việc chuyển từ trạng thái hiện hành sang trang thái mong muốn được gọi là một lộ trình an toàn thông tin. Lộ trình này bao gồm các dự án và sáng kiến để chuyển tổ chức từ trạng thái hiện hành sang trạng thái mong muốn. Việc chuyển đổi này có thể hiểu chính là một chương trình ATTT.

Các chính sách và thủ tục

Việc hình thành chương trình ATTT được khởi đầu bằng việc xây dựng các chính sách, tiêu chuẩn, nguyên tắc và thủ tục. 

Chính sách an toàn là tuyên bố mức cao liên quan đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin trong tổ chức. Một số tổ chức phát triển chính sách an toàn ở quy mô lớn, số khác lại phát triển các chính sách cụ thể ở quy mô nhỏ. Một chính sách có hiệu quả cần được quản lý, điều hành các tác động và chỉ rõ những việc cần làm. Chính sách này cần phải được thi hành và quy định cho toàn bộ tổ chức. Các chính sách an toàn thường được phân loại như các lớp “hàng rào”, do đó chúng cần được xây dựng theo cách thức không quá hạn chế và người sử dụng hiểu được. Ngoài ra, một số chính sách có thể bao gồm các phần như phân loại dữ liệu, xử lý sự cố và khắc phục thảm họa.

Tiêu chuẩn an toàn thường cụ thể hơn và trực tiếp hỗ trợ các chính sách bảo mật. Tiêu chuẩn thường xác định các biện pháp kiểm soát ATTT cần thiết để hoàn thành một mục tiêu được quyết định bởi chính sách.

Nguyên tắc an toàn chính là thực tiễn tốt nhất để hỗ trợ các tiêu chuẩn.

Thủ tục an toàn là các bước yêu cầu liên tiếp về cách thức thực hiện các chính sách, tiêu chuẩn và nguyên tắc.

Minh họa cho mối quan hệ giữa các chính sách, tiêu chuẩn, nguyên tắc và thủ tục, chúng ta lấy một ví dụ về mã hóa như sau.

Một chính sách có thể tuyên bố rằng dữ liệu truyền đi đã được mã hóa.

Một tiêu chuẩn sẽ hỗ trợ chính sách này bằng cách xác định các thuật toán và các giao thức mã hóa được tổ chức chấp nhận sử dụng. Nó có thể tuyên bố rằng một giao thức như SSLv3 không được chấp nhận sử dụng.

Một nguyên tắc sẽ xác định thực tế tốt nhất cho dữ liệu truyền đi. Nó có thể tuyên bố rằng, giao thức TLS v1.2 nên được sử dụng nếu có thể.

Một thủ tục có thể đưa ra hướng dẫn làm thế nào để vô hiệu hay kích hoạt các giao thức. Ví dụ, nó sẽ cung cấp các hướng dẫn về cách vô hiệu hóa SSLv3 trên một máy chủ web.

Sự tham gia của nhân viên 

Một yếu tố quan trong của chương trình ATTT là việc đào tạo về an toàn và nâng cao nhận thức cho các nhân viên trong tổ chức. Các tổ chức có thể chi phí hàng triệu đô la cho các công cụ bảo mật để bảo vệ dữ liệu của mình, nhưng điều gì sẽ xảy ra nếu một người dùng trong tổ chức mở một tập tin đính kèm mã độc? Điều đó có thể dẫn đến những hậu quả không lường trước được. Người dùng cần phải được đào tạo để trở nên chủ động trong việc bảo vệ tài sản của tổ chức. Con người thường là khâu yếu nhất trong chuỗi an toàn và tội phạm mạng cũng nhận thức được điều đó. Do đó, người dùng cần phải hiểu được vai trò quan trọng của họ trong chuỗi này để tránh bị lợi dụng (ví dụ cần hiểu biết về các cuộc tấn công bằng mã độc qua email…).

Một số tổ chức chỉ quan tâm đến các yếu tố trên của chương trình ATTT. Tuy nhiên trong thực tế, các chương trình ATTT luôn phát triển. Chúng cần phải linh hoạt để thích ứng với các mối đe dọa ATTT thay đổi theo từng ngày, từng giờ và từng hoàn cảnh khác nhau. Phương pháp tốt nhất để giải quyết các nguy cơ này chính là xác định một chu kỳ cho chương trình ATTT. 

Chu kỳ của chương trình ATTT

Chu kỳ của chương trình ATTT không phải là một lựa chọn bắt buộc đối với các tổ chức, nhưng nó cần thiết để chương trình ATTT thành công toàn diện và tạo ra sự phát triển liên tục cho tình trạng an toàn thông tin của tổ chức.

Những người quản lý và các bộ phận kinh doanh của tổ chức cần được báo cáo về hiệu quả của chương trình ATTT. Các thông tin cần cập nhật thường xuyên bao gồm những nguy cơ lớn nhất, các mục tiêu cần bảo mật và các mục tiêu khác. Mỗi tổ chức có phương pháp riêng để báo cáo, tuy nhiên điều cần thiết nhất mà những người quản lý cần nắm được chính là tình trạng về các nguy cơ, điều đó có thể được thể hiện qua điểm số nguy cơ. Ví dụ, người quản lý, điều hành được cung cấp điểm nguy cơ là 2,2/5 cho bốn tháng liên tục, và tháng sau đó lại được cung cấp điểm số nguy cơ là 3,4/5. Họ sẽ ngay lập tức tìm nguyên nhân tại sao điểm số tăng lên, và cố gắng giảm điểm nguy cơ đến mức chấp nhận được.

Trong thế giới kỹ thuật số, sẽ là không đủ nếu chỉ sử dụng một chương trình ATTT tại chỗ, nó cần phải được phát triển và cập nhật liên tục. Luôn có những khó khăn nhất định trong quá trình phát triển và cài đặt một chương trình ATTT, nhưng nếu nắm bắt được khó khăn ngay từ đầu, thì hoàn toàn có thể ngăn chặn được các khó khăn sau nó.