10 cách giảm nhẹ nguy cơ bảo mật doanh nghiệp

Thời gian là tiền bạc và khi nói đến các doanh nghiệp vừa và nhỏ thì họ thiếu cả hai. Do đó các chuyên gia an ninh đã chia sẻ những mẹo nhỏ để giảm nhẹ nguy cơ bảo mật thông tin khi sử dụng các nguồn tài nguyên nhỏ.

Phương pháp tốt nhất để bảo đảm an toàn cho các doanh nghiệp vừa và nhỏ là gì?

Không giống như những doanh nghiệp lớn có khả năng thuê các chuyên gia CNTT, an ninh tại các công ty nhỏ thường chỉ cần một người “đa năng”. Phương pháp này này đòi hỏi tự động hóa an ninh lớn nhất đặc biệt đối với các hiểm họa cấp cao, vì thế một nhóm nhỏ có thể thực sự bảo vệ hiệu quả an toàn cho toàn bộ tổ chức.

Cũng không giống như những doanh nghiệp lớn, các doanh nghiệp vừa và nhỏ chỉ dành một số ít nhân viên làm công việc bảo mật thông tin; nhiều công ty tin tưởng hoàn toàn vào cố vấn hay các nhà cung cấp. Trung bình các doanh nghiệp vừa và nhỏ cũng dành khá nhiều nguồn vốn để đối mặt với vấn đề bảo mật. CJ Desai, giám đốc quản lý bán hàng tại Symantec cho biết "Nhiều doanh nghiệp nhỏ điển hình đã tìm đến chúng tôi và nói rằng họ đã dành từ 3 đến 5% ngân quỹ CNTT vào bảo mật". Bằng phép so sánh của trung tâm nghiên cứu Forrester, một doanh nghiệp trung bình dành 8% ngân sách cho vấn đề an toàn thông tin.

Từ những con số gợi ý đó, nhiều doanh nghiệp vừa và nhỏ đã cắt khoản đầu tư vào bảo mật. Theo như một nghiên cứu của viện Công nghệ doanh nghiệp nhỏ, đã đánh giá một trong năm công ty nhỏ (dưới 100 nhân viên) không được bảo vệ thích đáng, phần lớn các công ty này không có các cảnh sát mật, và nhiều công ty chỉ lập kế hoạch đối phó sau khi đã xảy ra nhiều cuộc tấn công. Ngày nay các doanh nghiệp vừa và nhỏ cũng như các doanh nghiệp lớn đều có thể bị tấn công hay là mục tiêu nhắm tới của rất nhiều mối đe dọa.

Đưa ra một danh sách những mối đe dọa, cũng như sự khan hiếm thời gian, nguồn tài nguyên… các doanh nghiệp nhỏ và vừa cần phác thảo ra một kế hoạch xử lý những nguy cơ an ninh mà hiện nay nay đang phải đối mặt, sử dụng nguồn nhân lực sẵn có, thời gian và các nguồn tài nguyên để giảm nhẹ tối đa các mối đe dọa.

Các chuyên gia bảo mật đã chia sẻ 10 thủ thuật giúp cho chương trình bảo mật nhanh và rẻ hơn nhiều.

1. Phòng thủ tự động nhắm tới malware

Ý tưởng đầu tiên trong việc phòng bị cho các doanh nghiệp vừa và nhỏ là khóa và loại trừ các loại virut, worm, spyware và phần mềm có hại khác bao gồm trình tải Trojan và phần mềm Keylogger tại cả các điểm cuối và cổng vào. Tiếp đến, triển khai phần mềm chống malware và phần mềm lọc cho các cổng e-mail, ngăn chặn malware và spam (spam thường mang theo malware) đến máy tính người dùng. Để giải quyết vấn đề này nhiều doanh nghiệp vừa và nhỏ đã trang bị công cụ “quản lý hiệu quả” chạy nhiều công nghệ bảo mật trên cùng một thiết bị.

Các phòng thủ gateway một chiều sẽ không còn phù hợp. Như Randy Abrams, giám đốc đào tạo kỹ thuật tại ESET đồng thời cũng là một nhà cung cấp phần mềm bảo mật đã đưa ra "nếu bạn cùng lúc bắn quá nhiều viên đạn vào đích thì chắc chắn sẽ có một vài viên xuyên qua". Vì thế hãy lựa chọn và cài đặt phần mềm chống virut thích hợp với mỗi laptop, máy để bàn, máy chủ và các thiết bị di động. Mỗi chương trình đều bao gồm tường lửa cá nhân ngăn chặn các xâm nhập trên máy chủ. Lợi thế của các thiết bị đơn lẻ là dễ điều khiển và nâng cấp.

Sử dụng quyền quản trị trên máy tính để ngăn chặn người dùng ngắt các biện pháp an ninh, "để các nhân viên không thể tắt tường lửa nếu như IM không làm việc" Teixeira Ron, giám đốc điều hành Liên minh an ninh Quốc gia Cyber (NCSA) cho biết.

Đồng thời cũng tận dụng các kỹ thuật phòng chống: Tắt tất cả máy tính vào ban đêm. Việc làm này không những ngăn ngừa tấn công trong thời gian nghỉ, mà khi người dùng khởi động lại máy “hệ điều hành có thể khởi động lại và kiểm tra toàn bộ".

2. Nhanh chóng có bản vá lỗi

Nguồn: TechnewsworldMột chương trình bảo mật hiệu quả sẽ đảm bảo cho hệ điều hành và các ứng dụng được sửa lỗi, nếu không có các bản vá lỗi kịp thời toàn bộ máy tính của bạn có thể bị “tiêu diệt”. Vì vậy, phải luôn nhanh chòng cập nhật những sửa lỗi mới nhất cho máy chủ và các máy tính trong mạng..

Điều gì đã thúc đẩy nhanh chóng? "Nếu như được hỏi một năm trước đây, tôi sẽ nói rằng việc cập nhật theo từng quý là rất ổn, nhưng hiện nay hãy xem sự chuyển động theo hàng tháng, đặc biệt khi có nhiều nhà cung cấp hơn -- không chỉ riêng Microsoft -- thường xuyên có bản vá lỗi theo tháng", Gerhard Eschelbeck, CTO của Webroot nhận định. Tuy nhiên, một kế hoạch sửa lỗi hiệu quả cũng đưa ra nhiều lựa chọn: "Bạn không thể vá tất cả các lỗi được, còn phải phụ thuộc vào thực tế". Do đó, các nguồn tài nguyên bên ngoài - như danh sách “20 mục tiêu tấn công bảo mật Internet” của SANS - là để xác định những lỗi nào dễ bị tấn công.

Thêm vào đó, tự động vá lỗi nhiều nhất trong khả năng có thể. Các cửa hàng nhỏ - đa số sử dụng Window -- có thể bảo đảm cập nhật thường xuyên. Các doanh nghiệp nhỏ và vừa hầu hết sử dụng phần mềm quản lý lỗi chuyên dụng, làm tăng thời gian cần thiết để sửa lỗi trên số lượng lớn máy tính.

3. Mật khẩu: không nên coi nhẹ

Ngày nay rất nhiều sự truy nhập đòi hỏi mật khẩu. Do đó “hãy chắc chắn rằng mọi nhân viên đều đã sử dụng hiệu quả mật khẩu tại bất kì phần nào, sử dụng công nghệ xác thực đa hệ số; vì tin hay không thì nhân viên ở những doanh nghiệp nhỏ đặc biệt thích sử dụng tên làm tên đăng nhập và mật khẩu, như vậy hacker chẳng chút khó khăn gì có thể phát hiện ra”. Thực vậy-- những tấn công từ điển nhanh chóng sử dụng hàng nghìn từ để đoán mật khẩu.

Đây một giải pháp hay: Mách người sử dụng tránh dùng các từ thực tế, và thay vào đó nên sử dụng chữ cái đầu tiên của mỗi từ.

4. Định nghĩa “Hoạt động an toàn”

Những hoạt động nào chấp nhận được? Trong khi "bạn có thể nhận biết hoạt động nào được chấp nhận khi trực tiếp thấy", nhưng các công ty không mong đợi có thể dễ dàng đòi hỏi được điều này trên phương diện hoạt động hay pháp lý, trừ phi chũng được ghi ra giấy.

Nhập vào các chính sách và thủ tục bảo mật. "Người dùng sẽ chẳng biết làm gì là đúng và không đúng, do vậy nên có những chính sách bắt buộc và hạn chế", theo như lời của Abrams. Thực vậy, các quy định cho nhân viên biết họ được yêu cầu làm gì (thay đổi mật khẩu cứ 30 ngày một lần) hay bị cấm làm gì (xem các trang web không lành mạnh).

5. Ứng dụng Thực hành

Để thật sự tối đa an toàn trong khoảng thời gian ngắn nhất, một phần của chính sách "có thể sử dụng" cấm dùng cài đặt các phần mềm không hợp pháp lên máy tính. "Sau đó bắt buộc và bảo đảm sẽ chỉ sử dụng các phần mềm phục vụ cho nhu cầu doanh nghiệp”.

Đây là cách tiếp cận cải thiện sự an toàn và tiết kiệm thời gian vì sử dụng phần mềm không hợp pháp sẽ tạo ra những lỗ hổng bảo mật và cần thêm thời gian để sửa lỗi. Ngoài ra, nếu máy tính bị nhiễm phần mềm độc hại sẽ rất khó để trừ tiệt tận gốc rễ. Sẽ nhanh hơn nhiều khi dọn dẹp và làm lại một máy tính bằng một bộ ghost chuẩn không cần phải cài thêm các ứng dụng bổ sung .

6. Đừng bế tắc, hãy lên kế hoạch

Khi gặp vấn đề trục trặc, với ý thức bảo mật, một nhân viên có biết sẽ phải làm gì? "Khi không có một nhân viên CNTT nào hỗ trợ 24 giờ mỗi ngày - điều này là phổ biến ở các doanh nghiệp vừa và nhỏ - nhân viên cần một phương pháp xử lý, ít nhất từ sự phối hợp và truyền thông" Webroot’s Eschelbeck.

Vấn đề này yêu cầu thời gian để lập kế hoạch xem xét, phải thừa nhận đây là sự xa xỉ bảo mật tiêu biểu hiếm có trong mô hình các doanh nghiệp nhỏ và vừa. Thậm chí vì thế "có một kế hoạch phản ứng khẩn cấp: lường trước việc tấn công thành công và biết sẽ làm gì khi nó xảy ra" Abrams đưa ra lời khuyên. Cuối cùng thì nhân viên nên gọi ai khi mà phần mềm bảo mật của họ đã bị nhiễm phần mềm độc hại?

Khi lập kế hoạch cho một tình trạng khẩn cấp, hãy nắm rõ các yêu cầu. Ví dụ, nếu một công ty lưu trữ các thông tin cá nhân khách hàng trong đó , sẽ yêu cầu công ty cảnh báo cho toàn bộ nhân viên khi thấy thông tin bị mất, bị trộm hay hệ thống bị xâm phạm.

7. Tạo thói quen sao lưu (backup)

Mất dữ liệu, bão lũ, phần mềm phá hoại, hỏng cáp, ổ cứng hỏng, cháy nổ điện, công nhân đình công và thậm chí ngay cả malware: không có vấn đề nào là không ảnh hưởng tới tính toàn vẹn của dữ liệu, trừ khi dữ liệu thường xuyên được sao lưu cập nhật. Tất nhiên mọi người đều phải biết cách sao lưu dữ liệu thường xuyên. Do đó nhân viên CNTT phải hướng dẫn để mọi nhân viên đều có thể đảm bảo an toàn cho dữ liệu công ty.

Có thể sử dụng một phần mềm sao lưu tự động và đảm bảo kết quả backup được lưu trữ tại vị trí an toàn để sẵn sàng chống lại những tấn công. Hoặc dễ dàng và tự động hơn là triển khai dịch vụ backup online tự động, dù vậy cách này không phải lúc nào cũng ít chi phí hơn.

8. Kiểm tra: bảo vệ và chương trình bảo vệ

"Nếu một chương trình phát hiện virut “kêu inh ỏi” mà không ai xung quanh nghe thấy thì nó có thật sự là một virut?" ESET Abrams đã đặt câu hỏi. "Bạn đã kiểm tra và nắm rõ các bản ghi nhưng sao lại bị tấn công? Bởi vì IDS đang làm lệch hướng mọi thứ, bạn muốn biết lý do? Bởi vì các tấn công luôn thay đổi cho đến khi kẻ tấn công đột nhập vào trong."

Thậm chí các doanh nghiệp nhỏ và vừa không có hệ thống thăm dò xâm nhập vẫn sử dụng các chương trình diệt virut để theo dõi các tấn công màn hình, và đồng thời cũng theo dõi các thiết lập an toàn máy chủ. "Hacker sẽ thay đổi thiết lập bảo mật để dễ dàng hơn khi quay trở lại, hãy chú ý khi có một sự thay đổi bảo mật thì đó là dấu hiệu đầu tiên của sự xâm nhập”.

9. Đào tạo bảo mật: Hãy sáng tạo

Đối với hầu hết các công ty, muốn bảo mật hiệu quả thì cần phải lưu tâm đến con người, quy trình và công nghệ. "Nhưng mọi người lại lờ vấn đề này đi" nhà nghiên cứu Forrester cảnh báo.

Hãy luôn duy trì một chương bảo mật tin cậy. Điểm khởi đầu tốt nhất là nên có một khóa học ngắn để nhân viên mới có những kĩ năng cơ bản: màn hình trợ giúp sẽ không yêu cầu mật khẩu; Đề phòng các điểm Wi- Fi miễn phí vì sẽ có ai đó đó có thể theo dõi tất cả các truyền thông; sử dụng máy tính trong khách sạn hay điểm Internet tại sân bay để sao chép mọi dữ liệu và tài liệu đính kèm; Không mở bất kỳ một tài liệu đính kèm nào trong e-mail khi thấy có dấu hiệu nghi ngờ.

Việc đào tạo này không hề tốn kém; Hài hước mà nói thì đây là một phương pháp tiếp cận đề tài bảo mật.

Chỉ ra cho người dùng biết rằng các cuộc sự tấn công đỉnh điểm ngày nay không phải gây ra bởi cuộc chiến Siberian lợi dụng bao vây máy tính. Mà đây là thói quen lâu đời, là cuộc tấn công kỹ thuật mang tính cộng đồng. Thực vậy, tại sao bạn bị chặn lại khi mà bạn có quyền đòi hỏi cho những nhu cầu của mình? Một ví dụ gần đây là cuộc tấn công IRS phishing, bắt đầu bằng một e-mail thông báo rằng IRS đang xây dựng bản tham khảo khách hàng. Nếu người nhận kích vào đường link sẽ hiện ra trang Web yêu cầu điền tên và số điện thoại, hứa trả 80USD khi chứng nhận qua điện thoại sau đó. Và như vậy khi IRS cần số thẻ tín dụng để gửi tiền. Abrams cho rằng "Đấy là lúc họ có những thông tin hữu ích”.

10. Mã hóa: Thiết lập rồi quên

Cách tốt nhất để bảo vệ thông tin khỏi bị mất, bị trộm hay bị dùng sai là gì? Với phần mềm mã hóa toàn bộ ổ đĩa thì việc xâm nhập dữ liệu ổ cứng sẽ trở nên khó khăn với những ai không có quyền truy cập. "Laptop hay bị mất và điều bạn muốn là không ai có thể ăn trộm máy rồi bán những thông tin khách hàng trên Internet".

Đánh giá theo luật bảo mật thông tin thì nếu một công ty mất một máy chứa các thông tin quan trọng, nhưng dữ liệu đã được mã hóa thì không cần thiết phải đưa ra thông báo. Trung bình giá của một thông báo sự xâm phạm dữ liệu theo viện Ponemon đưa ra là 182USD cho mỗi bản ghi (không tính theo đơn vị khách hàng), mã hóa toàn bộ ổ đĩa rất có lợi cho tài chính.

Thứ Năm, 22/11/2007 11:55
31 👨 219