Bảo vệ dữ liệu trở thành ưu tiên hàng đầu trong lĩnh vực công nghệ thông tin

Mối quan tâm lớn nhất hiện nay đã chuyển từ hàng rào bảo vệ mạng sang thông tin nhạy cảm.

Những yêu cầu thường xuyên và mối quan tâm ngày càng cao của người tiêu dùng vào tình trạng công khai thông tin cá nhân khiến việc bổ sung thêm các điều khiển bảo mật mức dữ liệu trở thành ưu tiên hàng đầu cho các nhà quản lý IT. Đó là nhận định chung của những người tham gia hội nghị thường niên tại Học viện bảo mật máy tính Hoa Kỳ (Computer Security Institute).

Theo nhân viên ở các công ty và tổ chức chính phủ thì trước đây, trong suốt nhiều năm họ phải tập trung vào việc cài đặt công nghệ bảo vệ mạng như tường lửa hay hệ thống dò tìm xâm phạm. Nhưng hiện nay họ đang chuyển sang cung cấp chương trình bảo vệ dữ liệu mạnh hơn cho hệ thống của mình.

“Dữ liệu hiện nay là vấn đề lớn nhất”, John Ceraolo - giám đốc bảo mật thông tin của JM Family Enterprises, công ty tài chính và phân phối tự động ở Deerfield Beach (Mỹ) phát biểu. Công ty này có mức doanh thu hàng năm là 9,4 tỷ đô la.

Thông tin riêng tư thuộc tất cả các kiểu đều cần được bảo vệ và cũng cần phải được xem xét xem liệu có được lưu trữ trên hệ thống hay đã được dùng một cách tích cực. Điều đó đòi hỏi mức quan tâm lớn hơn trong bảo mật IT như phân lớp dữ liệu và mã hoá, truy cập người dùng cuối và thẩm định, giám sát người dùng và kiểm toán.

“Blocking và Tackling”

Tại công ty dịch vụ giải trí Gaylord Entertainment, hoạt động “blocking và tackling” là hết sức cần thiết để địa chỉ hoá các đe doạ mạng vốn luôn rình rập xung quanh – Mark Burnet, giám đốc bộ phận bảo mật và thực thi IT ở Nashville nói. Nhưng hiện nay họ còn phải xây dựng thêm hàng rào bảo vệ đa tầng quanh dữ liệu công ty.

“Chúng tôi đang phân tầng các điều khiển kỹ thuật để đảm bảo có thể xác định được thông tin đang truyền qua mạng nằm ở đâu”, Burnett nói.

Mục đích hướng tới đằng sau những nỗ lực bảo vệ dữ liệu và chương trình bảo mật IT tổng thể của công ty là “phương thức quản lý danh tiếng”, Burnett bổ sung. “Chúng tôi đang nỗ lực xây dựng chi nhánh Gaylord. Bất kỳ rắc rối nào cũng có thể phá hoại tất cả công việc đó”.

Tập trung mạnh hơn vào bảo mật đòi hỏi các công ty như Gaylord phải tuân thủ chặt chẽ các nguyên tắc và điều lệ như Sarbanes-Oxley Act và tiêu chuẩn bảo mật Payment Card Industry được lập ra từ các công ty thẻ tín dụng lớn. “Chúng tôi hoàn toàn nhận ra tính cần thiết phải bảo vệ thông tin nhạy cảm và đang cố gắng hết sức mình để hoàn thành nhiệm vụ đó”, Burnett tiếp tục.

Ann Garrett, giám đốc bộ phận bảo mật chi nhánh bắc Carolina của công ty chuyên cung cấp các dịch vụ công nghệ thông tin Information Technology Services (OITS) ở Releigh nói rằng điều luật bang mới ở Mỹ kiểm soát cách dùng thông tin mang tính cá nhân đang loại bỏ dần tính cần thiết của các điều khiển bảo mật mức dữ liệu. Điều luật này có hiệu lực từ ngày 1/10 và sẽ bắt đầu được áp dụng cho toàn bộ bang bắt đầu từ đầu tháng mười năm sau.

Cơ quan chính phủ ở Bắc Carolina đã có “một tường lửa, hệ thống dò tìm xâm phạm và hệ thống ngăn chặn xâm nhập mạnh”, Garrett nói. Họ còn thiếu cái gì? Chính là các điều khiển giảm bớt lỗi người dùng ở điểm cuối trong hệ thống mạng.

Kết quả là mức độ tập trung vào mã hoá dữ liệu và cung cấp khả năng ghi, kiểm soát giao dịch người dùng bên trong OITS ngày càng tăng. “Chúng tôi phải bổ sung thêm khả năng kê khai và khả năng kiểm toán”, Garrett nói.

Đã có nhiều cuộc tấn công cực kỳ nghiêm trọng vào các tổ chức chính phủ liên bang ở Mỹ, như vụ ăn trộm dữ liệu của hàng triệu hội viên trong hệ thống Hội cựu chiến binh đầu năm nay. Công tác an ninh, kiểm soát dữ liệu bảo mật được tăng cường, xiết chặt và đẩy lên mức hàng đầu.

Theo Howard, CISO tại Bộ phát triển đô thị và nhà cửa (Department of Housing and Urban Development) Mỹ thì trong một cuộc thảo luận Quốc hội tuần qua, Văn phòng Quản lý và Ngân sách Nhà Trắng cùng thanh tra nhà nước của HUD “đang kiểm tra dữ liệu bảo mật ngay kề vai chúng ta”.

Trong tháng 7, HUD phát hiện bị mất một đĩa sao lưu chứa thông tin nhạy cảm của 757 nhân viên hiện tại và đã về hưu. “Chúng tôi bị kéo trở lại vấn đề và phát hiện ra rằng có rất nhiều việc phải làm” để bảo vệ dữ liệu cá nhân, Howard nói.

Tới cuối năm nay, các cơ quan, tổ chức chính phủ hi vọng sẽ có kế hoạch thực thi đúng lúc, đúng chỗ để giải quyết vấn đề bảo mật dường như đã đi hơi xa. Kế hoạch đó có thể là tăng cường cơ chế mã hoá dữ liệu, thẩm định hai yếu tố và giám sát gần hơn hoạt động người dùng. Howard không tiết lộ thời gian biểu của chương trình thực thi này.

“Có rất nhiều lỗ hổng khi tôi thông báo chi tiết thời gian hoạt động cho các bạn, quá đủ để hacker chuẩn bị và nâng cấp cho tất cả chúng”, Howard nói. Cái gì thực sự quan trọng? Có lẽ mọi người nên sử dụng phương thức chính thống, dựa trên các kiểu đe doạ để bảo đảm an toàn dữ liệu và hiểu nó có những gì: “con người, tiến trình và kỹ thuật”.