Xây dựng chính sách bảo mật thông tin cho doanh nghiệp để giảm thiểu thiệt hại

Email

Trong vài năm trở lại đây, số lượng các cuộc tấn công vi phạm thông tin doanh nghiệp ngày càng tăng cao. Nhiều vụ trong số đó xuất phát từ những kẽ hở trong chính sách bảo mật thông tin của doanh nghiệp. Vậy, làm sao để xây dựng chính sách bảo mật cho doanh nghiệp hoàn thiện và an toàn nhất? Cùng tìm hiểu trong bài viết dưới đây.

Xây dựng chính sách bảo mật cho doanh nghiệp
Xây dựng chính sách bảo mật cho doanh nghiệp

1. Hậu quả của một chính sách bảo mật kém

Tại Việt Nam, hiện tại vẫn chưa có quy định thật sự rõ ràng về quyền và nghĩa vụ của các tổ chức khi thu thập & quản lý dữ liệu của công dân. Tuy nhiên đã có chế tài xử phạt đối với các tổ chức làm lộ thông tin của người dùng.

Không những phải chịu trách nhiệm trước pháp luật, các doanh nghiệp làm lộ thông tin người dùng còn phải chịu tổn thất về doanh thu, uy tín với cộng đồng (bao gồm khách hàng, các đối tác và nhà đầu tư). Đó chính là lý do mỗi doanh nghiệp nên xây dựng một chính sách bảo mật minh bạch, an toàn, bảo đảm quyền lợi cả 2 bên.

Sự cố bảo mật tại một doanh nghiệp có thể tạo ra lợi thế cạnh tranh cho một doanh nghiệp khác. Đây gọi là hiệu ứng cạnh tranh. Ví dụ điển hình là tháng 2/2015, khi công ty Anthem vướng vào vụ thất thoát thông tin 80 triệu khách hàng, đối thủ của họ là Aetna hưởng lợi 745 triệu USD, tương đương mức tăng giá trị cổ phiếu 2.2% (sau khi loại trừ ảnh hưởng từ thị trường chứng khoán nói chung). Trong trường hợp này, nhà đầu tư nhìn nhận khủng hoảng danh tiếng của  Anthem sẽ khiến cho khách hàng chuyển sang sử dụng sản phẩm của Aetna – đối thủ trực tiếp của Anthem, do vậy làm tăng giá trị cổ phiếu của công ty này.

2. Xây dựng chính sách bảo mật cho doanh nghiệp

2.1. Chính sách bảo mật là gì?

Chính sách bảo mật (Privacy Policy), là một tài liệu giải thích cách một doanh nghiệp hoặc tổ chức thu thập – lưu trữ – quản lý – sử dụng – chia sẻ thông tin của người dùng, đối tác, hoặc nhân viên. Chính sách bảo mật phải thỏa mãn các yêu cầu về bảo mật thông tin của người dùng.

Đối với châu Âu hoặc doanh nghiệp Việt có khách hàng là công dân châu Âu, chính sách bảo mật phải thỏa mãn bộ luật GPDR nhằm bảo mật thông tin cá nhân của công dân. Đối với các doanh nghiệp Việt, vẫn chưa có quy định cụ thể từ các cơ quan chức năng. Nhưng nhìn chung, một chính sách bảo mật minh bạch thường có đầy đủ các yếu tố sau:

  • Những thông tin cá nhân mà tổ chức thu thập
  • Mục đích của việc thu thập thông tin trên
  • Cách tổ chức sử dụng thông tin
  • Những thông tin đó được chia sẻ như thế nào?
  • Các đối tác được chia sẻ thông tin
  • Quyền lựa chọn cho người dùng
  • Các thông tin khác

2.2. Xây dựng chính sách bảo mật như thế nào?

a. Sử dụng mẫu soạn sẵn

Hiện nay có rất nhiều mẫu Chính sách bảo mật được soạn sẵn trên mạng, hầu hết đều cho tải miễn phí. Tuy nhiên, doanh nghiệp cần điều chỉnh thêm cho phù hợp với ngành và đặc thù tổ chức, cũng như mục đích sử dụng riêng.

Tham khảo: Tổng hợp các mẫu chính sách bảo mật cho doanh nghiệp

b. Lưu ý khi sử dụng mẫu soạn sẵn

Để xây dựng chính sách bảo mật hợp lí, các tổ chức cần xác định những loại thông tin mà mình thu thập, thông thường bao gồm: tên, tuổi, giới tính, SDT, thẻ ngân hàng, cookie (đối với trình duyệt web), địa chỉ IP, thời gian onsite, fingerprint,… Các doanh nghiệp ngày nay có xu hướng thu thập càng nhiều thông tin của khách hàng càng tốt. Đây là một quan niệm sai lầm. Nhiều thông tin đồng nghĩa với việc bảo mật khó khăn hơn, rủi ro bị tấn công vi phạm dữ liệu cao hơn. Xem thêm: Lộ thông tin khách hàng, doanh nghiệp bị phạt như thế nào?

Bước tiếp theo, chọn một cách thức lưu trữ an toàn. Với tình trạng an ninh mạng hiện nay, việc lưu trữ những thông tin này vào một hệ thống máy chủ trên mây là giải pháp tiết kiệm và tương đối an toàn. Ngoài ra, doanh nghiệp cần xác định mục đích sử dụng các thông tin này: dùng cho marketing, quảng bá hay nghiên cứu phát triển sản phẩm? Một số công ty sử dụng để quảng cáo nhắm đối tượng, số khác lại telesale trực tiếp, hoặc chăm sóc qua email, v.v.

Một yếu tố quan trọng khác là công khai về việc chia sẻ: thông tin người dùng có bị chia sẻ với bên thứ 3 hay không? Nếu có thì trong trường hợp nào? Ai là người chịu trách nhiệm khi sự cố vi phạm dữ liệu xảy ra?

3. Minh bạch thông tin để giảm thiểu thiệt hại

Một nghiên cứu sử dụng kết quả khảo sát hàng trăm khách hàng trên Amazon Mechanical Turk, kết hợp với phân tích dữ liệu chứng khoán của hàng trăm công ty trong vòng 10 năm đã tìm ra hai giải pháp giúp công ty hạn chế tối đa ảnh hưởng tiêu cực của các sự cố bảo mật.

3.1. Công khai chính sách

Thứ nhất, công khai chính sách sử dụng và chia sẻ thông tin tới khách hàng. Hãy tôn trọng quyền riêng tư của khách hàng bằng cách công khai minh bạch các thông tin được thu thập như địa chỉ IP, lịch sử tìm kiếm, ưu đãi…, mục đích và cách thức sử dụng những thông tin này cũng như việc xử lý thông tin và/hoặc bán thông tin cho bên thứ ba.

3.2. Trao quyền cho khách hàng

Thứ hai, dành quyền quyết định chia sẻ và sử dụng thông tin cho khách hàng bằng cách cho phép khách hàng lựa chọn trở thành ngoại lệ của chính sách chung (ví dụ, không chia sẻ thông tin của khách hàng cho đối tác). Như vậy, các giải pháp này nhấn mạnh quyền được biết và được quyết định của người dùng đối với thông tin cá nhân của chính họ.

Một khi doanh nghiệp thiết lập được một chính sách bảo mật minh bạch, khách hàng sẽ cảm thấy tự tin hơn khi quyết định chia sẻ thông tin, đồng thời có thể thay đổi tùy chọn quyền riêng tư bất kỳ lúc nào. Nghiên cứu cũng chỉ ra rằng tại các doanh nghiệp có chính sách bảo mật rõ ràng, khách hàng có phản hồi tích cực về việc họ không bị lợi dụng cho mục đích nghiên cứu thị trường, cảm thấy tin tưởng hơn, có xu hướng cung cấp thông tin chính xác hơn, thông cảm hơn khi doanh nghiệp gặp sự cố an toàn thông tin và góp phần củng cố thương hiệu của công ty trong cộng đồng thông qua tuyên truyền, giới thiệu tới các khách hàng tiềm năng. Tóm lại, khi được trao quyền quyết định, con người có xu hướng cởi mở, chia sẻ nhiều hơn cũng như bao dung hơn khi sự cố xảy ra và trở nên trung thành với doanh nghiệp.

Các công ty thực hành hai giải pháp nói trên cũng cho thấy khả năng chịu đựng áp lực từ sự cố bảo mật tại công ty đối thủ khi giá trị cổ phiếu của họ được bảo toàn.

5. Lời kết

Một chính sách bảo mật hợp lí sẽ giúp doanh nghiệp giảm thiểu tối đa rủi ro khi bị tội phạm mạng tấn công dưới bất kì hình thức nào. Điều này không chỉ đúng về khía cạnh khách hàng, mà còn đúng với các Nhà đầu tư. Trong một thế giới phẳng với nền kinh tế cạnh tranh, các doanh nghiệp cần định hình thương hiệu của mình là một thương hiệu “đáng tin” trước khi có thể thực hiện được những chiến dịch PR khác. Hy vọng, sau bài viết này, bạn đọc có thể xây dựng chính sách bảo mật cho doanh nghiệp một cách hợp lí, tôn trọng khách hàng để giảm thiểu tối đa rủi ro khi xảy ra sự cố bảo mật.

Nhận những bài viết
chất lượng do chúng tôi chọn lọc








Email