Nhân viên - liên kết yếu nhất trong chuỗi bảo mật thông tin

Nhân viên - liên kết yếu nhất trong chuỗi bảo mật thông tin
Tạp chí Nhịp sống số - Đây không phải là sự đổ lỗi cho các nhân viên, mà thực sự là "điểm yếu" chí mạng của phần lớn các doanh nghiệp, theo các chuyên gia bảo mật.

Theo một nghiên cứu của First Data Co. (trụ sở tại Atlanta, Georgia, Hoa Kỳ), 90% công ty bị ảnh hưởng nặng sau mỗi sự cố an ninh mạng là những doanh nghiệp (DN) nhỏ. Do đó, việc xây dựng một hệ thống bảo mật dữ liệu chuyên nghiệp cần được xem là nhiệm vụ quan trọng, cần thiết của một DN, đặc biệt là DN nhỏ.

Chuyên gia Adam Levin - người có 30 năm kinh nghiệm trong bảo mật, an ninh, tài chính cá nhân, bất động sản và dịch vụ chính phủ - đã chỉ ra 4 cách để DN nhỏ đề phòng và ứng phó với tin tặc, bảo vệ dữ liệu quan trọng như sau: Nhận biết các nguy cơ an ninh mạng; Ý thức bảo mật từ trong nội bộ; Tập trung nguồn lực bảo mật đúng chỗ và cuối cùng là đầu tư vào bảo hiểm tương ứng với mức độ rủi ro.

Nhận thức các nguy cơ

Một máy chủ được điều khiển từ xa có thể là mồi ngon cho tin tặc, vì thế DN cần xem xét việc lưu trữ những dữ liệu quan trọng ở đâu là an toàn nhất. Đồng thời, DN cũng cần nắm rõ cách thức các dữ liệu di chuyển trên mạng, cách các thiết bị truy cập vào hệ thống, những dữ liệu nào được chia sẻ với bên thứ ba, nhận biết những lỗ hổng bảo mật xảy ra ở đâu và nhanh chóng "vá” chúng.

Vì thế, bước đầu tiên của bảo mật doanh nghiệp chính là những người điều hành phải nhận thức tầm quan trọng của dữ liệu, để tìm cách bảo vệ nó.

Để làm được điều này, DN cần rà soát lại các loại dữ liệu đang thu thập và lưu trữ nhằm xác định loại dữ liệu nào có tính bí mật, cần có biện pháp bảo vệ đặc biệt.

Bảo mật từ trong nội bộ

Nhân viên luôn là "miếng mồi ngon" cho tin tặc, được đánh giá là liên kết yếu nhất trong chuỗi bảo mật thông tin. Vì thế, các DN nhỏ lại càng phải xem đây là một trong những mắt xích quan trọng, cần được bảo vệ. Nhà quản lý cần chắc chắn rằng nhân viên biết cách xử lý nếu họ lỡ nhấp chuột vào một liên kết chứa phần mềm độc hại, hay cung cấp thông tin trên một website giả mạo.

Mỗi nhân viên có nhiệm vụ, chuyên môn cụ thể cần được thiết lập quyền truy cập vào kho dữ liệu tương ứng. Cần tránh tập trung toàn bộ dữ liệu trong một kho, cũng như tránh để một nhân viên có quyền truy cập vào tất cả các kho dữ liệu, từ tài chính đến thông tin khách hàng, hồ sơ nhân sự, khiến tăng nguy cơ lộ những thông tin bí mật ra ngoài.

DN cần thường xuyên cập nhật quyền hạn truy cập và tác động vào dữ liệu của từng cá nhân trong công ty, tránh tạo ra những lỗ hổng từ chính con người.

Một số DN cẩn thận hơn còn không cho phép nhân viên đăng nhập vào hệ thống nếu họ làm việc từ xa.

Bảo mật tập trung, đúng nơi đúng chỗ

Dù là DN nhỏ nhưng lượng dữ liệu vẫn luôn rất lớn và việc xây dựng những "pháo đài" bất khả xâm phạm là cực kỳ tốn kém. DN cần xác định thông tin nào là bí mật và cần bảo vệ nhiều nhất để tập trung nguồn lực bảo vệ chúng.

Ví dụ, những dữ liệu khách hàng (liên quan đến thanh toán và thông tin cá nhân như ngày sinh, địa chỉ...) là những thông tin cần được thiết lập mức bảo vệ cao nhất.

Hệ thống an ninh dữ liệu không quá đắt, vì vậy DN cần xem đây là khoản đầu tư cần thiết mang đến lợi ích lâu dài cho DN. Bằng cách mã hóa các tập dữ liệu bí mật sẽ giúp công ty an toàn hơn cho dù máy tính xách tay hay chiếc USB bị đánh cắp.

Đầu tư vào bảo hiểm tương ứng với mức độ rủi ro

Giải pháp này sẽ giúp DN giảm thiểu thiệt hại nếu trở thành nạn nhân của một vụ tấn công mạng. Bởi vì hậu quả của những vụ xâm phạm dữ liệu tài chính là rất lớn.

Và các chính sách bảo hiểm phù hợp sẽ giúp chi trả các chi phí điều tra, xử lý hậu quả, thông báo với khách hàng, quản trị danh tiếng công ty (bao gồm phân tích, theo dõi các tin tức, thống kê, dự báo xu hướng và cảnh báo các thông tin xấu liên quan đến thương hiệu), chi phí cố vấn pháp lý...

DN cũng nên tìm đến các chuyên gia vì họ có thể giúp đánh giá các rủi ro và giải quyết các lỗ hổng, nhanh chóng khắc phục hậu quả.

Có thể bạn quan tâm

Dự thảo Luật Bảo vệ dữ liệu cá nhân dự kiến sẽ được trình trong quý 2/2024. Trong đó, Hà Nội, TP.HCM, tỉnh Quảng Ninh, tỉnh Bình Dương là các địa phương được chọn để tổ chức triển khai thí điểm.