Câu hỏi về bảo mật máy tính bảng

Quản Trị Mạng - Một cuộc thăm dò được thực hiện cuối năm 2010 bởi hãng nghiên cứu thị trường ChangeWave Research cho thấy số lượng các công ty cung cấp máy tính bảng cho nhân viên có thể tăng gấp đôi trong vòng 12 tháng sắp tới. Nghiên cứu cho thấy 14% các doanh nghiệp khi được hỏi đã bày tỏ mong muốn mua máy tính bảng cho nhân viên ngay trong quý đầu tiên của năm 2011, tăng 7% so với các công ty có cung cấp cho nhân viên máy tính bảng trong quý cuối năm 2010.

Tuy nhiên, trong khi hầu hết các công ty không vội vàng gì trong việc bắt ép phòng IT chấp nhận thiết bị máy tính bảng thì rất nhiều nhân viên lại tỏ ra rất sốt sắng với việc sử dụng nó với hoặc không cần sự ủng hộ của công ty.

Các chuyên gia quản lý bảo mật đang phải đau đầu khi cân nhắc việc có nên thay đổi profile nguy hiểm của mình hay không. Câu trả lời ở mỗi công ty lại khác nhau, nhưng dưới đây là 5 câu hỏi nếu bạn đang cân nhắc về policy cho máy tính bảng.

Liệu chúng ta có nên hỗ trợ máy tính bảng? Đây là một câu hỏi đã làm rất nhiều công ty phải đau đầu trong một vài năm gần đây khi các thiết bị di động trở lên quá phổ biến và người dùng muốn mang chúng tới nơi làm việc. Máy tính bảng đã khiến họ phải đau đầu hơn gấp đôi, Denise Lund, chuyên gia phân tích của nhóm Enterprise Research thuộc Yankee Group, đã nói.

“Thử thách khó khăn nhất mà các doanh nghiệp phải đối mặt là liệu có nên “mở cửa” cho tất cả các mẫu máy tính bảng vào công ty”.

Dữ liệu Yankee Group thu thập được cho thấy có khoảng 1/5 các công ty vẫn không chấp nhận bất kì ứng dụng khách hàng hoặc thiết bị trong công ty. Tuy nhiên, 17% số công ty khác lại vừa cho phép vừa hỗ trợ các ứng dụng người dùng và thiết bị không độc hại cũng như đã triển khai các giải pháp quản lý di động để giúp các thiết bị này được bảo mật hơn. Tuy nhiên, vẫn có một luồng quan điểm mạnh khác cho rằng bảo mật là trở ngại công nghệ hàng đầu trong việc hỗ trợ các thiết bị di động của nhân viên.

Lund nói: “48% các doanh nghiệp cho rằng bảo mật là một trong 2 mối trở ngại hàng đầu trong việc hỗ trợ các thiết bị di động của nhân viên. Nó xếp trên quản lý chi tiêu; có gần gấp 2 lần số người khi được hỏi cho rằng quản lý chi tiêu là khó khăn hàng đầu. Điều này cũng không có gì là lạ bởi chúng ta đều biết quản lý chi tiêu là mối ưu tiên lớn nhất”.

Tuy nhiên, số % các tổ chức được bao gồm trong dữ liệu chiếm tỷ lệ lớn nhất lại cho phép các thiết bị người dùng nhưng không hỗ trợ chúng, mà theo Lund thì điều này thậm chí còn mở ra một mối nguy hiểm lớn hơn.

Bà giải thích: “Có khoảng 60% số công ty đứng trung lập. Họ không khuyến khích mọi người mang các thiết bị hoặc sử dụng ứng dụng riêng tại nơi làm việc, nhưng họ cũng không chủ động giám sát chúng và đó chính là nơi bạn có thể tìm thấy một số vấn đề”.

Nguy cơ đến từ máy tính bảng và các thiết bị di động khác là gì? Cho dù bạn đang cho phép sử dụng và hỗ trợ các thiết bị người dùng, ví như máy tính bảng, hoặc cho phép họ rồi sau đó lại quên mất việc chúng được sử dụng như thế nào, có một số nguy hiểm đáng để cân nhắc. Tuy nhiên, liệu có điều gì về máy tính bảng khiến chúng trở nên nguy hiểm hơn so với máy tính xách tay?

Lund ghi lại: “Tôi cho rằng bạn sẽ có nhiều người truy cập vào mạng bên ngoài hơn. Và các ứng dụng đa phương tiện trên máy tính bảng có nhiều hơn so với máy tính xách tay thông thường. Trải nghiệm của người dùng sẽ khiến họ lẫn lộn trong công việc và vui chơi, ngay cả khi đó là một thiết bị dành cho công việc. Do đó, bạn đang dần nghiện download các file video, các ứng dụng ở các mạng xã hội khác nhau cũng như rất nhiều trò chơi khác”.

Điều này có nghĩa gì đối với các tổ chức? Điều này có nghĩa là người dùng – nhân viên của họ – đang mở rộng cửa để bị khai thác hơn bao giờ hết, và nguy cơ mất mát dữ liệu hoặc lây nhiễm mạng cao hơn bao giờ hết. Trong số các công ty được Yankee Group thăm dò (những người đã thổ lộ rằng bảo mật là trở ngại lớn nhất đối với bảo mật thiết bị di động của nhân viên), 60% đã nói nguy cơ mất dữ liệu hoặc bị đánh cắp trí tuệ như một mối lo ngại chủ yếu. Một số lượng tương đương nói rằng việc cung cấp truy cập bảo mật tới mạng nội bộ cho các thiết bị di động là một vấn đề bảo mật. Và 40% nói rằng việc quản lý lây nhiễm malware cho các thiết bị di động là mối lo ngại hàng đầu. Trong khi các mối lo ngại về bảo mật vẫn duy trì từ trước tới nay, việc sử dụng máy tính bảng và các thiết bị di động khác khiến chúng trở nên cao hơn bao giờ hết.

Liệu chúng ta có thể chấp nhận rủi ro? Liệu chúng ta có nên chấp nhận các rủi ro đi có thể xảy ra khi cho phép các thiết bị người dùng, ví như máy tính bảng? John Petrie, phó chủ tịch kiêm giám đốc bảo mật thông tin của hãng Harland Clarke Holdings Corp., tin tưởng rằng ngày nay các doanh nghiệp có ít lựa chọn hơn.

“Máy tính bảng, Facebook, tất cả các dạng công nghệ mới hiện đang rất phổ biến. Và nếu không sử dụng chúng trong doanh nghiệp, có nghĩa là bạn không còn nhận được những gì tốt nhất và thông minh nhất nữa. Chúng không muốn ở đó và chúng giao tiếp một cách khác biệt. Bảo mật cần phải chấp nhận và có một vài thay đổi cần thiết. Tôi nghĩ rằng bạn nên tập trung vào một số trọng tâm thực tế và có một thay đổi nào đó trong cách bảo mật đáp ứng được bảo vệ. Đó thực sự là thử thách”.

Petrie tin tưởng rằng vành đai bảo vệ một khi đã biết rằng nó đã bị phá hủy và bị quản lý thì nó cần được loại bỏ để doanh nghiệp có thể hoạt động trong thế giới di động ngày nay.

Chúng ta có nên tin tưởng người dùng? Petri nói: “Tôi cho rằng các doanh nghiệp và các nhà lãnh đạo cần phải chấp nhận nhiều rủi ro hơn và ngày càng phụ thuộc hơn vào nhân viên của họ. Trong cùng thời điểm, bạn còn có thêm rủi ro so với những gì đang phải đối mặt. Bạn đang khẳng định chúng ta sẽ phải tin tưởng nhân viên của mình hơn chút nữa”.

Những gì có thể làm phương pháp mới này hoạt động, theo Petri, là đi theo những điều khoản cho phép sử dụng máy tính và các thiết bị di động khác. Các policy cần được áp dụng và nhân viên cần phải thực hiện theo chúng và họ cũng phải hiểu rằng nếu không thực hiện theo sẽ có hành động được đưa ra. Dẫu vậy, Petri tin tưởng rằng việc cho phép sử dụng các thiết bị này trong môi trường doanh nghiệp cũng là trao quyền cho người dùng, có thể coi như một chiến dịch lãnh đạo.

Khi nhân viên tài chính xem lại các khoản chi tiêu đã tiết kiệm được, họ sẽ nhận ra rằng một số cơ sở hạ tầng không còn là danh mục cần phải đầu tư nữa. Chi phí khi thuê một nhân viên là lương, thưởng và trang bị công nghệ cho họ. Giờ đây, bạn không còn phải đầu tư nữa nếu họ muốn sử dụng riêng thiết bị của mình. Bạn cho phép trách nhiệm cá nhân có nơi thể hiện và cùng lúc phải gánh vác rủi ro đó.

Chúng ta nên sử dụng một số loại thông tin mới từ máy tính bảng và các thiết bị di động như thế nào? Lawrence Pingree, giám đốc nghiên cứu của Gartner, cho rằng những công ty có hỗ trợ các thiết bị di động người dùng và sử dụng các giải pháp quản lý thiết bị di động (MDM) để hỗ trợ chúng đang phải đối mặt với một câu hỏi phụ rất hóc búa. Điều này là bởi một tính năng mà rất nhiều giải pháp MDM có là khả năng thu thập thông tin về các thiết bị đã được triển khai, ví như thông tin định vị.

Giờ đây các công ty có thể biết được nhân viên của mình đang ở đâu và họ đang làm gì. Ở đây nảy sinh một số vấn đề về bảo mật và Pingree cho rằng hầu hết các doanh nghiệp sẽ tự hỏi “chúng ta đang làm gì đây?”.

Dẫu vậy, ông cũng thừa nhận rằng thông tin định vị cũng rất tiện ích để quản lý thời gian. Nhưng việc truy cập được vào những thông tin này cũng đặt ra một câu hỏi về trách nhiệm cho doanh nghiệp. Nếu họ có dữ liệu, họ có thể phát hành chúng? Dữ liệu sẽ được sử dụng như thế nào?
Pingree nói: “Nhân viên có tin cậy hay không khi họ chấp nhận loại hình giám sát này? Đó là một câu hỏi mà rất nhiều doanh nghiệp đang phải băn khoăn”.