CEO @CyStack
Trong vài năm trở lại đây, số lượng các cuộc tấn công vi phạm thông tin doanh nghiệp ngày càng tăng cao. Nhiều vụ trong số đó xuất phát từ những kẽ hở trong chính sách bảo mật thông tin của doanh nghiệp. Vậy, làm sao để xây dựng chính sách bảo mật cho doanh nghiệp hoàn thiện và an toàn nhất? Cùng tìm hiểu trong bài viết dưới đây.
1. Hậu quả của một chính sách bảo mật kém
Tại Việt Nam, hiện tại vẫn chưa có quy định thật sự rõ ràng về quyền và nghĩa vụ của các tổ chức khi thu thập & quản lý dữ liệu của công dân. Tuy nhiên đã có chế tài xử phạt đối với các tổ chức làm lộ thông tin của người dùng.
Không những phải chịu trách nhiệm trước pháp luật, các doanh nghiệp làm lộ thông tin người dùng còn phải chịu tổn thất về doanh thu, uy tín với cộng đồng (bao gồm khách hàng, các đối tác và nhà đầu tư). Đó chính là lý do mỗi doanh nghiệp nên xây dựng một chính sách bảo mật minh bạch, an toàn, bảo đảm quyền lợi cả 2 bên.
Sự cố bảo mật tại một doanh nghiệp có thể tạo ra lợi thế cạnh tranh cho một doanh nghiệp khác. Đây gọi là hiệu ứng cạnh tranh. Ví dụ điển hình là tháng 2/2015, khi công ty Anthem vướng vào vụ thất thoát thông tin 80 triệu khách hàng, đối thủ của họ là Aetna hưởng lợi 745 triệu USD, tương đương mức tăng giá trị cổ phiếu 2.2% (sau khi loại trừ ảnh hưởng từ thị trường chứng khoán nói chung). Trong trường hợp này, nhà đầu tư nhìn nhận khủng hoảng danh tiếng của Anthem sẽ khiến cho khách hàng chuyển sang sử dụng sản phẩm của Aetna – đối thủ trực tiếp của Anthem, do vậy làm tăng giá trị cổ phiếu của công ty này.
2. Xây dựng chính sách bảo mật cho doanh nghiệp
2.1. Chính sách bảo mật là gì?
Chính sách bảo mật (Privacy Policy), là một tài liệu giải thích cách một doanh nghiệp hoặc tổ chức thu thập – lưu trữ – quản lý – sử dụng – chia sẻ thông tin của người dùng, đối tác, hoặc nhân viên. Chính sách bảo mật phải thỏa mãn các yêu cầu về bảo mật thông tin của người dùng.
Đối với châu Âu hoặc doanh nghiệp Việt có khách hàng là công dân châu Âu, chính sách bảo mật phải thỏa mãn bộ luật GPDR nhằm bảo mật thông tin cá nhân của công dân. Đối với các doanh nghiệp Việt, vẫn chưa có quy định cụ thể từ các cơ quan chức năng. Nhưng nhìn chung, một chính sách bảo mật minh bạch thường có đầy đủ các yếu tố sau:
- Những thông tin cá nhân mà tổ chức thu thập
- Mục đích của việc thu thập thông tin trên
- Cách tổ chức sử dụng thông tin
- Những thông tin đó được chia sẻ như thế nào?
- Các đối tác được chia sẻ thông tin
- Quyền lựa chọn cho người dùng
- Các thông tin khác
2.2. Xây dựng chính sách bảo mật như thế nào?
a. Sử dụng mẫu soạn sẵn – template
Hiện nay có rất nhiều mẫu Chính sách bảo mật được soạn sẵn trên mạng, hầu hết đều cho tải miễn phí. Tuy nhiên, doanh nghiệp cần điều chỉnh thêm cho phù hợp với ngành và đặc thù tổ chức, cũng như mục đích sử dụng riêng. Dưới đây là mẫu chính sách bảo mật website cơ bản nhất phù hợp với GPDR:
Privacy Policy of tên công ty
Tên công ty operates the Website URL website, which provides the SERVICE.
This page is used to inform website visitors regarding our policies with the collection, use, and disclosure of Personal Information if anyone decided to use our Service, the Tên website website.
If you choose to use our Service, then you agree to the collection and use of information in relation with this policy. The Personal Information that we collect are used for providing and improving the Service. We will not use or share your information with anyone except as described in this Privacy Policy.
The terms used in this Privacy Policy have the same meanings as in our Terms and Conditions, which is accessible at Website URL, unless otherwise defined in this Privacy Policy.
Information Collection and Use
For a better experience while using our Service, we may require you to provide us with certain personally identifiable information, including but not limited to your name, phone number, and postal address. The information that we collect will be used to contact or identify you.
Log Data
We want to inform you that whenever you visit our Service, we collect information that your browser sends to us that is called Log Data. This Log Data may include information such as your computer’s Internet Protocol (“IP”) address, browser version, pages of our Service that you visit, the time and date of your visit, the time spent on those pages, and other statistics.
Cookies
Cookies are files with small amount of data that is commonly used an anonymous unique identifier. These are sent to your browser from the website that you visit and are stored on your computer’s hard drive.
Our website uses these “cookies” to collection information and to improve our Service. You have the option to either accept or refuse these cookies, and know when a cookie is being sent to your computer. If you choose to refuse our cookies, you may not be able to use some portions of our Service.
Service Providers
We may employ third-party companies and individuals due to the following reasons:
- To facilitate our Service;
- To provide the Service on our behalf;
- To perform Service-related services; or
- To assist us in analyzing how our Service is used.
We want to inform our Service users that these third parties have access to your Personal Information. The reason is to perform the tasks assigned to them on our behalf. However, they are obligated not to disclose or use the information for any other purpose.
Security
We value your trust in providing us your Personal Information, thus we are striving to use commercially acceptable means of protecting it. But remember that no method of transmission over the internet, or method of electronic storage is 100% secure and reliable, and we cannot guarantee its absolute security.
Links to Other Sites
Our Service may contain links to other sites. If you click on a third-party link, you will be directed to that site. Note that these external sites are not operated by us. Therefore, we strongly advise you to review the Privacy Policy of these websites. We have no control over, and assume no responsibility for the content, privacy policies, or practices of any third-party sites or services.
Children’s Privacy
Our Services do not address anyone under the age of 13. We do not knowingly collect personal identifiable information from children under 13. In the case we discover that a child under 13 has provided us with personal information, we immediately delete this from our servers. If you are a parent or guardian and you are aware that your child has provided us with personal information, please contact us so that we will be able to do necessary actions.
Changes to This Privacy Policy
We may update our Privacy Policy from time to time. Thus, we advise you to review this page periodically for any changes. We will notify you of any changes by posting the new Privacy Policy on this page. These changes are effective immediately, after they are posted on this page.
Contact Us
If you have any questions or suggestions about our Privacy Policy, do not hesitate to contact us.
b. Lưu ý khi sử dụng mẫu soạn sẵn
Để xây dựng chính sách bảo mật hợp lí, các tổ chức cần xác định những loại thông tin mà mình thu thập, thông thường bao gồm: tên, tuổi, giới tính, SDT, thẻ ngân hàng, cookie (đối với trình duyệt web), địa chỉ IP, thời gian onsite, fingerprint,… Các doanh nghiệp ngày nay có xu hướng thu thập càng nhiều thông tin của khách hàng càng tốt. Đây là một quan niệm sai lầm. Nhiều thông tin đồng nghĩa với việc bảo mật khó khăn hơn, rủi ro bị tấn công vi phạm dữ liệu cao hơn. Xem thêm: Lộ thông tin khách hàng, doanh nghiệp bị phạt như thế nào?
Bước tiếp theo, chọn một cách thức lưu trữ an toàn. Với tình trạng an ninh mạng hiện nay, việc lưu trữ những thông tin này vào một hệ thống máy chủ trên mây là giải pháp tiết kiệm và tương đối an toàn. Ngoài ra, doanh nghiệp cần xác định mục đích sử dụng các thông tin này: dùng cho marketing, quảng bá hay nghiên cứu phát triển sản phẩm? Một số công ty sử dụng để quảng cáo nhắm đối tượng, số khác lại telesale trực tiếp, hoặc chăm sóc qua email, v.v.
Một yếu tố quan trọng khác là công khai về việc chia sẻ: thông tin người dùng có bị chia sẻ với bên thứ 3 hay không? Nếu có thì trong trường hợp nào? Ai là người chịu trách nhiệm khi sự cố vi phạm dữ liệu xảy ra?
3. Minh bạch thông tin để giảm thiểu thiệt hại
Một nghiên cứu sử dụng kết quả khảo sát hàng trăm khách hàng trên Amazon Mechanical Turk, kết hợp với phân tích dữ liệu chứng khoán của hàng trăm công ty trong vòng 10 năm đã tìm ra hai giải pháp giúp công ty hạn chế tối đa ảnh hưởng tiêu cực của các sự cố bảo mật.
3.1. Công khai chính sách
Thứ nhất, công khai chính sách sử dụng và chia sẻ thông tin tới khách hàng. Hãy tôn trọng quyền riêng tư của khách hàng bằng cách công khai minh bạch các thông tin được thu thập như địa chỉ IP, lịch sử tìm kiếm, ưu đãi…, mục đích và cách thức sử dụng những thông tin này cũng như việc xử lý thông tin và/hoặc bán thông tin cho bên thứ ba.
3.2. Trao quyền cho khách hàng
Thứ hai, dành quyền quyết định chia sẻ và sử dụng thông tin cho khách hàng bằng cách cho phép khách hàng lựa chọn trở thành ngoại lệ của chính sách chung (ví dụ, không chia sẻ thông tin của khách hàng cho đối tác). Như vậy, các giải pháp này nhấn mạnh quyền được biết và được quyết định của người dùng đối với thông tin cá nhân của chính họ.
Một khi doanh nghiệp thiết lập được một chính sách bảo mật minh bạch, khách hàng sẽ cảm thấy tự tin hơn khi quyết định chia sẻ thông tin, đồng thời có thể thay đổi tùy chọn quyền riêng tư bất kỳ lúc nào. Nghiên cứu cũng chỉ ra rằng tại các doanh nghiệp có chính sách bảo mật rõ ràng, khách hàng có phản hồi tích cực về việc họ không bị lợi dụng cho mục đích nghiên cứu thị trường, cảm thấy tin tưởng hơn, có xu hướng cung cấp thông tin chính xác hơn, thông cảm hơn khi doanh nghiệp gặp sự cố an toàn thông tin và góp phần củng cố thương hiệu của công ty trong cộng đồng thông qua tuyên truyền, giới thiệu tới các khách hàng tiềm năng. Tóm lại, khi được trao quyền quyết định, con người có xu hướng cởi mở, chia sẻ nhiều hơn cũng như bao dung hơn khi sự cố xảy ra và trở nên trung thành với doanh nghiệp.
Các công ty thực hành hai giải pháp nói trên cũng cho thấy khả năng chịu đựng áp lực từ sự cố bảo mật tại công ty đối thủ khi giá trị cổ phiếu của họ được bảo toàn.
5. Lời kết
Một chính sách bảo mật hợp lí sẽ giúp doanh nghiệp giảm thiểu tối đa rủi ro khi bị tội phạm mạng tấn công dưới bất kì hình thức nào. Điều này không chỉ đúng về khía cạnh khách hàng, mà còn đúng với các Nhà đầu tư. Trong một thế giới phẳng với nền kinh tế cạnh tranh, các doanh nghiệp cần định hình thương hiệu của mình là một thương hiệu “đáng tin” trước khi có thể thực hiện được những chiến dịch PR khác. Hy vọng, sau bài viết này, bạn đọc có thể xây dựng chính sách bảo mật cho doanh nghiệp một cách hợp lí, tôn trọng khách hàng để giảm thiểu tối đa rủi ro khi xảy ra sự cố bảo mật.