5 câu hỏi lớn về an toàn thông tin

1966
20-06-2018
5 câu hỏi lớn về an toàn thông tin

An toàn thông tin có thể gây nhầm lẫn đối với một số người; Có thể là còn hầu hết mọi người. Tại sao an toàn thông tin lại gây nhầm lẫn? Có lẽ đó là vì chúng ta bỏ lỡ một số vấn đề cơ bản.

Các vấn đề cơ bản về an toàn thông tin có thể được Bizfly Cloud tóm tắt bằng việc giải thích bộ 5 câu hỏi "Cái gì, Tại sao, Ai, Khi nào và Ở đâu" về vấn đề an toàn thông tin.

5 câu hỏi lớn về an toàn thông tin là:

1. An toàn thông tin là gì?

2. Tại sao lại cần an toàn thông tin?

3. Ai chịu trách nhiệm về vấn đề an toàn thông tin?

4. Khi nào là thời điểm thích hợp để giải quyết An ninh thông tin?

5. An toàn thông tin áp dụng ở đâu?

6. Ngoài ra chúng ta còn có thể bao gồm cả câu hỏi thứ 6, và đó chính là câu hỏi "Như thế nào". Làm thế nào mà VCCloud có thể tồn tại. 

An toàn thông tin là gì?

Về cơ bản, an toàn thông tin là việc áp dụng các biện pháp kiểm soát Hành chính, Vật chất và Kỹ thuật nhằm bảo vệ tính bảo mật, tính toàn vẹn và/hoặc tính khả dụng của thông tin.

Để hiểu được bài viết này, chúng ta phải hiểu biết về một số khái niệm an toàn thông tin đã có từ lâu; Kiểm soát hành chính, Kiểm soát vật lý, Kiểm soát kỹ thuật, Tính bảo mật, Tính toàn vẹn và Tính khả dụng. Chúng ta sẽ bắt đầu với các loại kiểm soát.

Kiểm soát hành chính

- Giải quyết các yếu tố về con người của vấn đề an ninh thông tin. Thông thường các kiểm soát hành chính ở dưới dạng chỉ thị quản lý, chính sách, hướng dẫn, tiêu chuẩn và/hoặc thủ tục. Ví dụ về kiểm soát hành chính là: Chính sách an toàn thông tin - Chương trình đào tạo và nhận thức - Tính liên tục của kinh doanh và các kế hoạch khôi phục tai họa và Thủ tục thuê mướn và chấm dứt.

Kiểm soát vật lý

- Giải quyết các yếu tố vật lý của an toàn thông tin. Kiểm soát vật lý thường là loại kiểm soát dễ nhất mà mọi người có thể hiểu được. Kiểm soát vật lý có thể chạm được và/hoặc nhìn thấy được. Loại kiểm soát này kiểm soát quyền truy cập vật lý vào thông tin. Một ví dụ về kiểm soát vật lý là:

Khóa

Hàng rào

Xây dựng hệ thống báo động

Vật liệuthi công

Kiểm soát kỹ thuật

- Giải quyết các yếu tố kỹ thuật về an toàn thông tin. Kiểm soát kỹ thuật sử dụng công nghệ để kiểm soát truy cập. Phần lớn thông tin chúng tôi sử dụng hàng ngày không thể chạm vào được, và thường thì thời gian kiểm soát cũng không có. Một ví dụ về kiểm soát kỹ thuật là:

Tường lửa

Danh sách kiểm soát truy cập

Quyền tệp

Phần mềm diệt vi-rút

Tại sao lại cần an toàn thông tin?

Điều này đôi khi khó trả lời vì câu trả lời có vẻ đã quá hiển nhiên rồi. Không? Hãy đọc tiếp.

Như chúng ta đã biết từ phần trước, an toàn thông tin là tất cả sự bảo vệ tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin. Hãy trả lời những câu hỏi sau đây:

Bạn có thông tin cần được bảo mật (mang tính bí mật) không?

Bạn có thông tin cần phải chính xác không?

Bạn có thông tin phải khả dụng khi bạn cần không?

Nếu trả lời "có" cho bất kỳ câu hỏi nào trong số này, thì chính xác bạn có nhu cầu về an toàn thông tin.

Chúng tôi cần an toàn thông tin để giảm nguy cơ tiết lộ, sửa đổi và tiêu hủy thông tin trái phép. Chúng tôi cần an toàn thông tin để giảm rủi ro đến mức có thể chấp nhận được đối với doanh nghiệp (quản lý). Chúng tôi cần an toàn thông tin để cải thiện cách chúng tôi làm kinh doanh.

Ai chịu trách nhiệm về an toàn thông tin?

Đây là một câu hỏi dễ. Mọi người đều phải chịu trách nhiệm về an toàn thông tin! Một câu hỏi hay hơn ở đây là "Ai chịu trách nhiệm về cái gì?"

Phương pháp Top-down (Từ trên xuống)

Quản lí cấp cao

Trước hết, an toàn thông tin phải bắt đầu từ top. "Top" là quản lý cấp cao và "bắt đầu" là cam kết. Quản lý cấp cao phải cam kết an toàn thông tin để bảo mật thông tin có hiệu quả. Điều này không thể được nhấn mạnh đủ. Cam kết của quản lý cấp cao về an toàn thông tin cần được truyền đạt và hiểu bởi tất cả nhân viên công ty và các đối tác bên thứ ba.

Cam kết truyền đạt thường là dưới dạng chính sách. Quản lý cấp cao thể hiện cam kết bằng cách tích cực tham gia vào chiến lược an toàn thông tin, chấp nhận rủi ro và phê duyệt ngân sách trong số các thứ khác.

Không có cam kết quản lý cấp cao, an ninh thông tin chỉ làm lãng phí nỗ lực.

Trưởng phòng kinh doanh

Hãy nhớ rằng phòng kinh doanh là bộ phận kiếm tiền. Kiếm tiền là mục tiêu chính và bảo vệ thông tin thúc đẩy kinh doanh là mục tiêu thứ yếu (và hỗ trợ). Nhân viên an toàn thông tin cần hiểu cách doanh nghiệp sử dụng thông tin. Thất bại trong việc làm điều này có thể dẫn đến việc kiểm soát không hiệu quả và làm cản trở quá trình.

Có thể cho rằng, không ai biết được thông tin được sử dụng để thực hiện các mục tiêu kinh doanh chứ không phải nhân viên. Kết hợp ý kiến của mỗi nhân viên vào một chương trình an toàn thông tin là điều không thực tế, nhưng tìm kiếm ý kiến của những người đại diện cho mỗi nhân viên mới là điều thực tế. Thành lập ban chỉ đạo an toàn thông tin bao gồm các lãnh đạo đơn vị kinh doanh. Các nhà lãnh đạo đơn vị kinh doanh phải thấy được rằng an toàn thông tin trải khắp các tổ chức tương ứng khác của họ trong công ty.

Nhân viên

Tất cả nhân viên có trách nhiệm hiểu và tuân thủ tất cả các chính sách an toàn thông tin và tài liệu hỗ trợ (hướng dẫn, tiêu chuẩn và thủ tục). Nhân viên chịu trách nhiệm tìm kiếm sự hướng dẫn khi các tác động an ninh trong mỗi hành động của nhân viên (hoặc các hành động khác được lên kế hoạch) không được hiểu một cách rõ ràng. Nhân viên an ninh thông tin cần các nhân viên khác để tham gia, quan sát và báo cáo.

Các bên thứ ba

Các bên thứ ba như nhà thầu và nhà cung cấp phải bảo vệ thông tin doanh nghiệp của mình ít nhất cũng như chính bản thân mình. Yêu cầu an toàn thông tin phải được bao gồm trong thỏa thuận hợp đồng. Bất cứ khi nào có thể, quyền kiểm định về các kiểm soát bảo mật thông tin của bên thứ ba cũng phải được bao gồm trong hợp đồng. Trách nhiệm của bên thứ ba là tuân thủ các thông tin bao gồm trong hợp đồng.

Khi nào là thời điểm thích hợp để giải quyết An toàn thông tin?

Nhìn theo bề ngoài, câu trả lời rất đơn giản. Thời điểm thích hợp để giải quyết vấn đề an toàn thông tin là hiện tại và luôn luôn.

Có một vài đặc điểm để bảo mật thông tin tốt và hiệu quả áp dụng ở đây.

An toàn thông tin phải toàn diện. An toàn thông tin không còn là vấn đề về CNTT mà chí ít là vấn đề của kế toán hoặc nhân sự. An toàn thông tin còn là một vấn đề của kinh doanh. Một nhân viên bất mãn thì cũng chỉ nguy hiểm như một hacker từ Đông Âu mà thôi. 

Nhưng một bản sao kê tài khoản được in ra mà nằm trong thùng rác thì lại có thể gây ra nhiều thiệt hại ngang với việc một băng sao lưu bị mất. Và...bạn có hình ảnh cần tìm. An toàn thông tin cần được tích hợp vào kinh doanh và cần được xem xét trong hầu hết các quyết định kinh doanh (nếu không phải tất cả). Điểm này nhấn mạnh tầm quan trọng của việc giải quyết vấn đề an toàn thông tin mọi lúc.

Bảo mật thông tin là một chu kỳ các quy tắc. Để khiến nó hiệu quả, chương trình an toàn thông tin của bạn phải luôn không ngừng thay đổi, phát triển và cải tiến. Các doanh nghiệp và môi trường họ hoạt động đều liên tục thay đổi. Một doanh nghiệp không thích nghi được sẽ chết. Một chương trình an toàn thông tin không thích ứng được cũng chết. Đây chỉ là một điểm khác để nhấn mạnh tầm quan trọng của việc giải quyết an toàn thông tin mọi lúc. 

Có lẽ công ty của bạn vẫn chưa thiết kế và/hoặc triển khai chương trình an toàn thông tin, hoặc cũng có thể công ty của bạn đã viết một vài chính sách về vấn đề này rồi. Vậy khi nào là thời điểm thích hợp để thực hiện chương trình an toàn thông tin? Khi nào là thời điểm thích hợp để cập nhật chương trình hiện tại của bạn? 

Bạn có tùy chọn chủ động giải quyết trước hoặc chờ để phản ứng lại. Chủ động bảo mật thông tin trước luôn tốn kém ít chi phí hơn. Nếu công ty của bạn đang trong giai đoạn kiếm về doanh thu nhiều nhất, thì chi phí ít luôn là điều quan trọng.

An toàn thông tin áp dụng ở đâu?

Bạn có thể nhớ lại từ định nghĩa của chúng tôi về "An toàn thông tin là gì?", An toàn thông tin về cơ bản là:

Việc áp dụng các biện pháp kiểm soát Hành chính, Vật lý và Kỹ thuật trong nỗ lực bảo vệ tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin.

Để đạt được nhiều lợi ích nhất từ an toàn thông tin thì nó phải được áp dụng cho toàn bộ doanh nghiệp nói chung. Điểm yếu trong một phần của chương trình an toàn thông tin là sự ảnh hưởng đến toàn bộ chương trình. Hiện tại chúng tôi đang bắt đầu để hiểu nơi an toàn thông tin có thể được áp dụng trong tổ chức của bạn. Thực chất nó được áp dụng trong toàn doanh nghiệp.

An toàn thông tin KHÔNG phải là vấn đề về CNTT.

An toàn thông tin áp dụng ở đâu? Nó áp dụng trong toàn tổ chức của bạn. Một đánh giá an toàn thông tin sẽ giúp bạn xác định nơi nào an toàn thông tin là đủ và nơi nào là thiếu trong tổ chức của bạn.

Hy vọng rằng, chúng tôi đã làm rõ một số nhầm lẫn về an toàn thông tin. Nếu có thắc mắc, hãy liên hệ với chúng tôi!

Link gốc: https://frsecure.com/blog/the-5-ws-of-information-security/

                                                                                    Theo Bizfly Cloud chia sẻ

>>Có thể bạn quan tâm: 8 sự thật không phải ai biết về an ninh mạng

SHARE