Theo các chuyên gia, ba yếu tố cần lưu ý khi triển khai hệ thống bảo mật thông tin trong doanh nghiệp là: duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng của thông tin.
Bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng. Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền. Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần.
Mất cả người lẫn bí mật kinh doanh
Công ty TMT là doanh nghiệp hoạt động trong lĩnh vực thương mại điện tử ở TPHCM. Anh Nguyễn Chí Thanh, vị giám đốc trẻ của công ty đã kể về bài học xương máu với cái giá quá đắt về sự lơi lỏng trong việc quản lý thông tin. Ấp ủ dự án trường học online kết nối giữa nhà trường, học sinh và gia đình học sinh, anh đã đầu tư rất nhiều tâm huyết và tài chính cho quá trình thực hiện nó. Sai lầm của vị giám đốc này là quá tin tưởng vào nhân viên, cũng như không có cơ chế bảo mật thích hợp. Dù anh đã cẩn thận lưu dữ liệu này ở hai máy tính khác nhau trong công ty, nhưng khi dự án đã hoàn thành được 80% thì những nhân viên chủ chốt và “thân tín” đã đồng loạt nghỉ việc. “Họ đã copy hết dữ liệu, để lại những file trống rỗng đã lưu trên hai máy tính, các file này lại không thể phục hồi được” – anh Thanh kể.
Dự án tâm huyết tan thành mây khói đã đành, anh còn mất cả gần tỷ đồng đầu tư để nhận được bài học về sự cả tin và bất cẩn trong kinh doanh. Anh Thanh cho biết sẽ không làm lại dự án này nữa mà chuyển qua dự án thương mại điện tử trong lĩnh vực tuyển dụng online. Với bài học “đắng” kia, lần này Thanh quyết tâm đưa ra chính sách thật tốt để bảo mật dữ liệu của công ty.
Gần giống như câu chuyện của TMT, một công ty Đan Mạch hoạt động trong lĩnh vực năng lượng mặt trời ở quận 2, TPHCM cũng đã mất đi nhiều khách hàng khi nhân viên kinh doanh nghỉ việc. Sau sự việc, giám đốc công ty đã ngay lập tức thuê một công ty chuyên về tin học tư vấn và triển khai hệ thống bảo mật cho doanh nghiệp của mình, trong đó đặc biệt chú trọng đến chính sách bảo mật thông tin trong nội bộ công ty.
Hai trường hợp trên chỉ là trường hợp điển hình của việc doanh nghiệp vẫn xem thường việc bảo mật thông tin nội bộ. Trong thực tế, rất nhiều doanh nghiệp khác cũng lâm vào hoàn cảnh tương tự. Đối với những doanh nghiệp không có chính sách bảo mật thông tin, khi nhân viên nghỉ việc thì họ lấy luôn những bí mật kinh doanh của công ty để thành lập công ty riêng của họ hoặc sang làm việc cho đối thủ cạnh tranh của công ty cũ. Điều này chưa kể đến những nhân viên ác ý, họ xóa luôn dữ liệu của công ty. Tổn thất kinh doanh là điều không thể tránh.
“Đối nội” sơ hở đã đành, chuyện bảo mật chống lại sự xâm nhập của hacker từ bên ngoài cũng là yếu tố mà doanh nghiệp hiện nay cũng chưa quan tâm đúng mức. Hiện nay lỗ hổng bảo mật của các doanh nghiệp là rất lớn, thể hiện trên nhiều phương diện, trong đó dễ nhận thấy nhất là nhiều loại virus phát tán tràn lan trong hệ thống mạng của họ. Theo một thống kê gần đây của BKIS, trên 60% website đã bị hacker tấn công với những thủ thuật ngày càng tinh vi. Một cuộc khảo sát khác của tổ chức nghiên cứu thị trường EY cũng cho kết quả đáng báo động: có đến 66% công ty cho biết họ gặp các vấn đề về bảo mật thông tin, 65% công ty bị tấn công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro trong bảo mật.
Nhiều doanh nghiệp cho rằng những đe dọa bảo mật đến từ bên ngoài là rủi ro lớn nhất và nếu đầu tư các trang thiết bị công nghệ thông tin hiện đại thì có thể phòng chống được. Tuy nhiên đây là quan điểm rất sai lầm.
Quy luật 80-20
Cần thẳng thắn nhìn nhận, thực tế trình độ công nghệ thông tin của đa số doanh nghiệp hiện nay còn rất yếu. Đa số vẫn chưa được trang bị kiến thức về bảo mật, họ vẫn lúng túng khi đề cập đến vấn đề này, thậm chí nhiều doanh nghiệp không thể xác định bảo mật thông tin phụ thuộc vào quản lý hay kỹ thuật, công nghệ.
Theo các chuyên gia, bảo mật thông tin trong các doanh nghiệp, tổ chức phụ thuộc 80% đến chính sách quản lý, chỉ có 20% là vấn đề công nghệ. Một chuyên gia bảo mật của Công ty Misoft cho biết: quản lý phải được hiểu là những người làm chính sách cho doanh nghiệp, thông thường là chủ doanh nghiệp hay những người có chức vụ cao và “Để đảm bảo bí mật kinh doanh, người quản lý phải hiểu các vấn đề có liên quan để đưa ra chính sách bảo mật hợp lý, sau đó sẽ trang bị công nghệ phù hợp với chính sách của mình”.
Nhắc lại chuyện bảo mật của doanh nghiệp Đan Mạch nói trên, thì quy luật 80 - 20 có thể được xem là tương đối chính chính xác. Khi triển khai hệ thống bảo mật trong doanh nghiệp, vị giám đốc công ty được công ty tin học tư vấn, sau đó chính ông là người đưa ra chính sách bảo mật cho toàn công ty, từ việc bảo mật thông tin nội bộ đến việc bảo mật với bên ngoài. Từ đó, ông yêu cầu công ty tin học này triển khai các trang thiết bị cần thiết như chính sách bảo mật của ông đưa ra. Từ mạng nội bộ ngang hàng chia sẻ thông tin cho tất cả nhân viên, mail của nhân viên không được quản lý, công ty này chuyển sang mạng client/server có phân quyền, sử dụng firewall, mail exchange cộng với chính sách không cho nhân viên sử dụng USB, ổ CD, không cho sử dụng những email miễn phí như Gmail, Yahoo, đồng thời cũng không cho nhân viên dùng webmail. Vị giám đốc này nói rằng: “Sau khi triển khai hệ thống bảo mật của công ty, tôi mới biết rằng việc bảo mật thông tin gần như phụ thuộc vào con người”.
Việc ứng dụng chính sách bảo mật ở công ty cũng gây xáo trộn trong cách thức làm việc từ lãnh đạo cao cấp cho đến nhân viên. Do đó, lãnh đạo cao nhất của công ty phải là người chịu trách nhiệm ra chính sách bảo mật, chứ không đơn giản là giao lại cho bộ phận công nghệ thông tin của công ty, vì trong thực tế đã xảy trường hợp các bộ phận khác không chịu chấp hành chính sách bảo mật thông tin do bộ phận công nghệ thông tin đưa ra.
Kiến thức về bảo mật và ngân sách dành cho công nghệ thông tin – 2 vế dành cho những doanh nghiệp thực sự quan tâm đến vấn đề này, đừng để “mất bò mới lo làm chuồng”, đây là lời khuyên mà các chuyên gia dành cho những doanh nghiệp còn đang “vô tư” hội nhập.