7 phút để đọc
CEO @CyStack
Bất kể quy mô kinh doanh của bạn là gì, tập đoàn lớn, thị trường trung bình hay công ty nhỏ vừa thành lập, chắc chắn doanh nghiệp của bạn đều đang tham gia kinh doanh trực tuyến.
Xuất hiện trên thị trường trực tuyến là điều cần thiết để doanh nghiệp tiếp cận được với những khách hàng tiềm năng và lâu dài. Một trang web, tài khoản mạng xã hội, cửa hàng online và kho lưu trữ dữ liệu đơn giản là những tài nguyên cần thiết để doanh nghiệp bắt đầu xuất hiện online.
Mặt khác, các hacker hoàn toàn hiểu được sự phụ thuộc của bạn vào hệ thống máy tính và sẵn sàng dùng mọi thủ đoạn để khai thác những dữ liệu có giá trị từ hệ thống đó. Một khi đã sử dụng những tiện ích của máy tính, bạn cũng phải chấp nhận đối mặt với những rủi ro từ chúng.
Một trong những mục tiêu chính của Giám đốc công nghệ thông tin (CNTT) hay quản lý bộ phận CNTT là bảo vệ hệ thống máy tính và các dữ liệu nhạy cảm của doanh nghiệp, bao gồm cả dữ liệu đám mây và dữ liệu nội bộ. Tuy nhiên bạn phải bắt đầu từ đâu trong khi lịch trình làm việc dày đặc?
Tạo một checklist 8 bước để kiểm soát an ninh CNTT văn phòng
Bất kỳ nhà quản lý CNTT nào cũng sẽ trả lời rằng chiến lược tối ưu để duy trì quyền kiểm soát an ninh và bảo mật dữ liệu chặt chẽ là lập một checklist để kiểm tra an ninh CNTT văn phòng.
Bộ Năng lượng Mỹ coi những công cụ như checklist an ninh CNTT văn phòng hay một chương trình nâng cao nhận thức an ninh mạng là một cơ hội để xây dựng một môi trường làm việc nơi các kỹ năng an ninh mạng được tự động và nhất quán, giúp việc ngăn chặn hacker tấn công vào hệ thống của bạn trở nên dễ dàng hơn.
Dưới đây là checklist giúp bạn đảm bảo bảo mật hệ thống trong khi vẫn thân thiện với người dùng và luôn sẵn có với những người có quyền truy cập.
1. Trả lời 3 câu hỏi cơ bản về dữ liệu
Trả lời một vài câu hỏi cơ bản về dữ liệu của công ty có thể giúp bạn xác định chính xác phần còn lại của checklist. Chúng tôi đề xuất 3 câu hỏi sau, dựa trên ý kiến của Ủy ba Truyền thông Liên bang.
- Doanh nghiệp của bạn xử lý loại dữ liệu nào?
Hầu hết mọi dữ liệu đều có giá trị với ai đó. Tuy nhiên một vài dữ liệu tự nó cũng đủ giá trị cho một tên hacker đột nhập vào hệ thống máy tính của bạn. Các tệp hoạt động cơ bản thường không phải là mục tiêu chính cho tội phạm mạng. Thay vào đó, chúng tìm kiếm những dữ liệu nhạy cảm của khách hàng như số an sinh xã hội, địa chỉ nhà, ngày sinh, số giấy phép lái xe và thông tin ngân hàng.
- Bạn đang xử lý và bảo vệ dữ liệu như thế nào?
Bạn đang làm những gì để bảo vệ dữ liệu của mình, bao gồm cả dữ liệu lưu trữ và đang được truyền qua mạng. Dữ liệu đang được truyền qua mạng và được kích hoạt là tất cả dữ liệu được sử dụng cho mục đích giao dịch, phân tích và marketing. Mỗi khi dữ liệu được truy cập, nó sẽ gặp phải những rủi ro khác nhau.
- Ai có quyền truy cập vào dữ liệu của bạn và tại sao?
Không phải ai cũng nên có quyền truy cập vào tất cả dữ liệu của công ty. Ví dụ, nhóm marketing thì không cần biết thông tin bảng lương của nhân viên. Hạn chế quyền truy cập dữ liệu giúp bạn dễ dàng theo dõi lịch sử sử dụng thông tin đó, từ đó bảo mật thông tin và hạn chế các hành vi mang tính rủi ro không cần thiết. Việc hạn chế quyền truy cập không phải là vấn đề về mức độ tin tưởng đối với nhân viên, mà là cách để giảm thiểu rủi ro đơn giản nhất. Hãy chỉ định quyền truy cập của nhân viên ngay từ khi tùy dụng, tùy vào bộ phận hay các yếu tố mà bạn cho là cần thiết khác, để có thể quản lý và theo dõi hành vi của nhân viên ngay từ đầu.
2. Luôn cập nhật và nâng cấp mọi thứ
Theo Viện Kế toán Công chứng Mỹ (AICPA), Hãy cập nhật mọi thứ từ hệ điều hành, chương trình phần mềm đến phần cứng của bạn để luôn giữ hệ thống được “khỏe mạnh”. Dưới đây là những cập nhật và nâng cấp cần thiết nhất theo ý kiến của chúng tôi:
- Cập nhật hệ điều hành
Cho dù bạn đang sử dụng Microsoft Windows hay Apple OS, bạn cần phải cài đặt chế độ tự động cập nhật cho hệ điều hành của mình.
- Cập nhật Antivirus
Tất nhiên đây là điều không thể thiếu trong khâu bảo vệ hệ thống. Hãy đảm bảo rằng chương trình chống mã độc của bạn được thường xuyên cập nhật và quét các thiết bị theo một lịch trình đặt sẵn. Ở những công ty lớn hơn, bạn có thể cập nhật phần mềm antivirus qua một máy chủ tập trung. Cách thức tốt nhất là làm việc với nhà cung cấp dịch vụ đám mây để họ liên tục theo dõi và quản lý các bản cập nhật phần mềm antivirus giúp bạn.
- Cập nhật phần cứng
Một phần cứng lỗi thời có thể trở thành một lỗ hổng lớn cho các doanh nghiệp ngày nay. Một số bộ phận của phần cứng mà bạn nên thường xuyên kiểm tra bao gồm các thiết bị đầu cuối thanh toán chứa các đầu đọc thẻ chip thông minh, máy tính để bàn và xách tay, các máy chủ, thiết bị di động và bộ định tuyến wifi (wifi router).
- Cập nhật trình duyệt web
Các trình duyệt cũ và lỗi thời có thể chứa các lỗ hổng bảo mật, bởi vậy hãy thường xuyên cập nhật chúng. Hãy tải xuống phiên bản trình duyệt mới nhất vì chúng dễ dàng xác định, tải xuống và cài đặt. Các phiên bản mới không chỉ giúp tăng tính bảo mật mà còn chạy nhanh hơn rất nhiều so với bản cũ.
- Cập nhật bảo mật mạng không dây
Kiểm tra tất cả các mạng không dây và điểm truy cập để xác định bất kỳ thiết bị giả mạo nào đang làm nghẽn băng thông (bandwidth) hay ảnh hưởng đến đường truyền của bạn. Hãy đảm bảo rằng không ai có quyền truy cập mạng không dây của bạn mà không có mật khẩu.
Báo Huffington Post cho rằng việc cập nhật sẽ giúp làm giảm đáng kể nguy cơ hệ thống bị hack vào lỗi bảo mật được tạo ra bởi các chương trình và thiết bị lỗi thời. Chúng tôi cũng đồng ý rằng bước này trong bản checklist CNTT sẽ cực kỳ hữu ích trong việc loại bỏ rủi ro từ trước khi chúng bắt đầu nảy nở và gây ra các hậu quả lớn hơn.
3. Quản lý mật khẩu với chương trình password audit
Trong quá trình giám sát mật khẩu, hãy kiểm tra xem có bất kỳ thay đổi nào trong quyền truy cập của nhân viên với các mạng lưới và dữ liệu nhạy cảm. Đảm bảo rằng tất cả mật khẩu của bạn đều đủ mạnh. Bạn thậm chí có thể đầu tư vào một công cụ quản lý mật khẩu để nhân viên có thể tải về máy tính của mình. Các công cụ này sẽ nhắc nhở nhân viên cập nhật mật khẩu theo định kỳ và tăng cường mật khẩu của mình nếu cần.
4. Kiểm tra và cập nhật chính sách công nghệ thông tin
Các nhân viên có trách nhiệm giúp bạn bảo vệ hệ thống máy tính, bởi vậy bạn cũng cần ban hành những chính sách phù hợp và thường xuyên cập nhật chúng. Đảm bảo rằng chính sách của bạn đề cập đến những vấn đề như truy cập vào các trang web an toàn, giao thức gửi và mở email, BYOD (Bring Your Own Device hay mang theo thiết bị của riêng bạn) và truy cập từ xa. Hãy phát cho nhân viên của bạn bản sao của chính sách mới sau khi được cập nhật và sẵn sàng cung cấp các khóa đào tạo để củng cố cho chính sách của mình.
5. Luôn cập nhật các quy định và điều khoản luật mới
Các quy định và điều khoản luật thường được ban hành bởi các cơ quan và đoàn thể tương ứng để bảo vệ dữ liệu. Những cơ quan này sẽ giúp đưa ra những tiêu chuẩn để bạn có thể bảo vệ dữ liệu của mình, thường là dữ liệu thuộc một ngành đặc thù như chăm sóc sức khỏe hay tài chính. Hãy làm việc bộ phận pháp lý hay kiểm toán của công ty để đảm bảo rằng bạn đã kiểm tra và đang tuân thủ những bộ luật mới nhất.
6. Phát triển và luyện tập một kế hoạch phản ứng trước các vụ xâm phạm dữ liệu
Trong khi bạn và nhóm của mình đang cố gắng ngăn chặn một vụ xâm phạm dữ liệu, bạn luôn phải chuẩn bị tâm lý sẽ bị tấn công. Hãy đặt một bộ phản ứng trước sự cố bảo mật ngay tại công ty để xác định thời gian, địa điểm và cách thức của vụ tấn công cũng như những bước tiếp theo bạn phải thực hiện. Hãy lập một bản hướng dẫn hoặc một file PDF để phân phát và đào tạo nhân sự trong việc lập biên bản các sự kiện dẫn đến vụ rò rỉ dữ liệu, thông báo cho nhân viên phụ trách để tiến hành bước tiếp theo, đồng thời phát triển một chiến lược truyền thông nội bộ và bên ngoài.
7. Đảm bảo cơ sở vật chất của bạn đủ an toàn để bảo vệ cho phần cứng
Đừng coi thường tầm ảnh hưởng của những vụ trộm phần cứng mà có thể dẫn đến rò rỉ dữ liệu. Hãy thiết kế và thực hiện các biện pháp kiểm soát bảo mật như lắp đặt camera an ninh hay chỉ cho phép các nhân viên chủ chốt có quyền được vào các khu vực nhạy cảm.
8. Sử dụng dịch vụ của một nhóm kiểm toán chuyên nghiệp
Một nhóm kiểm toán chuyên nghiệp với kỹ năng cao và nhiều kinh nghiệm sẽ phát hiện bất kỳ vấn đề tiềm ẩn nào mà bạn và nhóm của bạn có thể đã không tìm ra được, hoặc đã bỏ qua do lịch trình dày đặc v..v. Một đội kiểm toán phù hợp sẽ giúp bạn tìm kiếm các rủi ro, đe dọa và lỗ hổng mà có thể dẫn đến một vụ rò rỉ thông tin. Để bắt đầu, hãy yêu cầu họ kiểm tra hệ thống tường lửa và cài đặt mã hóa cho tổ chức của bạn.