6 phút để đọc
Trong kỷ nguyên của cuộc cách mạng công nghệ thế kỷ 21, vấn đề an ninh mạng ngày càng trở nên quan trọng. Ngành công nghệ thông tin càng phát triển thì vấn đề an ninh càng được chú trọng. Có thể khẳng định điều này bằng một thực tế là vấn đề bảo mật của những gã khổng lồ công nghệ trên thế giới luôn đạt đến trình độ phát triển hiện đại nhất. Các công ty này chắc chắn phải chi nhiều ngân sách hơn cho an ninh so với những doanh nghiệp nhỏ khác vì thế hình mẫu bảo mật của những người khổng lồ công nghệ rất đáng để nghiên cứu và đưa ra những bài học quý giá.
Google nhận ra rằng họ không thể đóng một vai trò độc lập trong mô hình bảo mật của mình ngay cả khi họ có rất nhiều tiền và tài nguyên để có thể bảo vệ hệ thống khổng lồ đó. Vậy giải pháp cho gã khổng lồ này là gì?
Trong tháng 11 năm 2010, Google đã công bố Chính sách báo cáo lỗ hổng. Họ thừa nhận sự đóng góp của bất kỳ nhà nghiên cứu nào dành thời gian và nỗ lực để góp phần giúp cho hệ thống của họ an toàn hơn. Thông qua chương trình này Google không chỉ cung cấp phần thưởng bằng tiền mặt mà còn công nhận nỗ lực tìm ra các lỗ hổng. Đây là một mô hình bảo mật tuyệt vời vì Google không cần phải tuyển dụng tất cả các chuyên gia bảo mật hàng đầu, thay vào đó, Google chỉ cần trả tiền cho các chuyên gia này khi họ báo cáo những thông tin giá trị. Chính sách này đã thu hút nhiều nhà nghiên cứu tự do về an ninh mạng từ khắp nơi trên thế giới và đã giúp Google giải quyết và khắc phục một số vấn đề nghiêm trọng về bảo mật.
Kêu gọi sự hỗ trợ từ bên ngoài, trao một phần thưởng và sự ghi nhận cho những người có đóng góp đáng kể.
Netflix
Có một triết lý rất hay của từ Tập đoàn truyền thông hàng đầu thế giới này, đó là: Trong vấn đề bảo mật công nghệ thông tin, kiến thức và kinh nghiệm của bạn sẽ phát triển và cải thiện từng ngày. Bạn có thể mắc sai lầm, sửa chữa chúng, học hỏi từ thất bại, và cuối cùng tìm ra giải pháp tốt nhất. Đây là cách tốt nhất để bạn có thể phát triển kỹ năng của riêng mình. Và đừng giữ bí mật, nhớ chia sẻ kiến thức này với các thành viên khác. Bạn có thể đã học được từ những người khác và có thể ngay bây giờ nhiều người đâu đó đang chờ đợi bạn chia sẻ kinh nghiệm hoặc đưa ra những hướng dẫn. Đổi lại, họ sẽ cho bạn phản hồi sâu sắc hơn, hoặc ai đó cũng sẽ chia sẻ các đề xuất cải tiến giúp bạn lựa chọn các giải pháp mới.
Đây là chính xác những gì Netflix đang làm. Họ cung cấp nhiều công cụ nội bộ miễn phí trên internet và thường xuyên viết các bài viết trên blog chính thức của mình. Điều này cho phép họ nhìn nhận sâu sắc lại hoạt động của mình. Viết blog là một phương pháp hiệu quả để tìm hiểu về bản thân thông qua chia sẻ cởi mở của các thành viên khác.
Viết blog về các giải pháp và cập nhật của bạn, thu thập phản hồi của người khác, trả lời và cùng nhau giải quyết vấn đề.
Kry
Ngày nay, vấn đề an ninh bảo mật là trách nhiệm của tất cả các phòng ban trong công ty. Kry, một công ty thành công về kỹ thuật y tế của Thụy Điển, sẽ cho ta câu chuyện khác về một công ty đã thành công trong việc xây dựng mô hình bảo mật toàn tổ chức.
Điều này đặc biệt quan trọng mà các nhà phát triển cần hiểu rõ, đó là “phòng bệnh hơn chữa bệnh”. Điều đó có nghĩa là sẽ là hiệu quả hơn nếu tạo ra một sản phẩm an toàn ngay từ đầu thay vì phải đưa ra các bản vá các lỗ hổng bảo mật sau đó. Như vậy, an ninh luôn là một yếu tố quan trọng của suốt quá trình hoạt động. Bảo mật hệ thống sẽ trở nên vô nghĩa nếu ngay từ đầu nhân viên của họ sử dụng mật khẩu yếu. Mật khẩu yếu thực sự là sự sụp đổ của bảo mật doanh nghiệp. Nhận thức được vấn đề này, Kry đã làm việc và đưa ra các điều kiện an ninh bảo mật hết sức chặt chẽ ngay từ quá trình tuyển dụng của họ và tiếp tục duy trì trong suốt quá trình vận hành doanh nghiệp sau đó.
Chỉ ra các yêu cầu nghiêm ngặt của bạn đối với nhân viên và giúp họ xây dựng tinh thần bảo mật ngay từ đầu. Bảo mật là trách nhiệm của bất kỳ bộ phận nào chứ không chỉ là trách nhiệm của riêng bộ phận công nghệ thông tin.
Slack
Không giống như Google, Slack, một công ty phần mềm tại Canada, lại có một trải nghiệm thú vị về việc tiết lộ lỗ hổng bảo mật. Nếu ai đó phát hiện ra lỗ hổng bảo mật nghiêm trọng trong sản phẩm của bạn, thì đó có thể là cơ hội PR tích cực đối với bạn. Đây chính xác là câu chuyện đặc biệt của Slack. Khi một vấn đề an ninh nghiêm trọng được phát hiện ở Slack vào năm ngoái, bằng cách nhanh chóng nghiên cứu các báo cáo, nhóm của Slack đã biến sự cố an ninh thành một điều tích cực và nỗ lực của họ đã được khen ngợi trên các phương tiện truyền thông.
Gitlab
Vào cuối tháng 1 năm 2017, Gitlab, nhà quản lý kho Git dựa trên nền tảng web hàng đầu, đã gần như điêu đứng khi nhân viên của họ lỡ tay xóa nhầm một phần dữ liệu. May mắn thay, Gitlab đã quyết định hành động rất minh bạch về vấn đề và cách họ dự định giải quyết nó. Sau nhiều nỗ lực khôi phục dữ liệu thì một phần nhỏ lại không thể được phục hồi. Tuy nhiên chính phản ứng của họ đã biến tình hình xung quanh trở nên tươi sáng hơn nhờ sự minh bạch và tập trung vào giải quyết vấn đề thay vì cố gắng giấu nó.
Tính minh bạch và ưu tiên giải quyết vấn đề thực tế sẽ giúp bạn tránh được thảm hoạ truyền thông. Điều tốt đẹp cũng có thể đến từ một tình huống xấu.
Yahoo
Không giống như ví dụ tích cực ở trên, Yahoo cho chúng ta một trải nghiệm đáng tiếc về vấn đề bảo mật. Khi Verizon dự định mua Yahoo, một cuộc tấn công an ninh chống lại Yahoo đã được công khai. Sau khi thông tin này đến với công chúng, Yahoo đã phải hạ giá bán trước đây xuống 350 triệu USD. Mức độ tin cậy của khách hàng của Yahoo ở điểm thấp nhất trong lịch sử công ty. Đây là một ví dụ tiêu biểu về mức độ mà vấn đề bảo mật có thể ảnh hưởng đối với giá trị của một công ty.
Sự cố quản lý bảo mật kém có thể gây ra những tổn thất lớn về tài chính.
Làm thế nào để có được bài học riêng từ những công ty công nghệ trên?
Cho dù quy mô kinh doanh của bạn lớn hay nhỏ thì một số ví dụ được đề cập trên đây sẽ có những giá trị riêng, có những hình mẫu bạn có thể áp dụng luôn và cũng có những hình mẫu bảo mật bạn có thể coi như những tài liệu tham khảo để xây dựng chính sách bảo mật cho riêng mình. Đây thực sự là một cách học hỏi hiệu quả nhưng điều quan trọng nhất là bạn phải bắt đầu chương trình bảo mật ngay từ bây giờ, trước khi có những sự cố đáng tiếc có thể xảy ra.