Bảo vệ dữ liệu làm việc từ xa trong thời đại COVID-19

1754
30-03-2020
Bảo vệ dữ liệu làm việc từ xa trong thời đại COVID-19

Đứng trước hoàng loạt nguy cơ về dịch Covid-19, người ta đặt ra câu hỏi là hệ thống nào đã được Chính phủ và các doanh nghiệp sử dụng để đảm bảo tính bảo mật, tính toàn vẹn, tính sẵn có và khả năng phục hồi cho hệ thống và dịch vụ. Liệu có những kế hoạch kinh doanh liên tục nào cần được áp dụng để tạo điều kiện làm việc từ xa cho nhân viên? Các đánh giá rủi ro cần thiết nào đã được tiến hành để phục vụ cho hình thức làm việc từ xa? Bizfly Cloud  chia sẻ những biện pháp kỹ thuật cần làm việc từ xa trong thời đại COVID-19?

Tiêu chuẩn xử lý của Data Protection Bill sẽ áp dụng cho tất cả các doanh nghiệp có hoạt động liên quan tới các vấn đề xử lý dữ liệu cá nhân nhằm ngăn chặn việc xử lý dữ liệu cá nhân trái phép hoặc bất hợp pháp, chống lại các tình huống gây mất mát, phá hủy hoặc làm hỏng dữ liệu cá nhân. Đó là các dự thảo đầu tiên của Data Protection Act; tuy nhiên, sau đó nó đã được sửa đổi để phù hợp với điều 32 của Quy định bảo vệ dữ liệu chung (GDPR - General Data Protection Regulation).

Điều 32 của GDPR yêu cầu các biện pháp chặt chẽ phải được thực hiện để đảm bảo mức độ bảo mật phù hợp với rủi ro, bao gồm: khả năng đảm bảo bảo mật, tính toàn vẹn, tính sẵn sàng và khả năng phục hồi của các hệ thống và dịch vụ. Nói cách khác, các điều luật này nhằm đảm bảo rằng doanh nghiệp có thể thực hiện được các kế hoạch kinh doanh liên tục của mình miễn là doanh nghiệp có khả năng xử lý được các vấn đề về dữ liệu cá nhân.

Một loạt các công cụ đang được các doanh nghiệp sử dụng để tạo điều kiện cho nhân viên làm việc từ xa. Những người lao động tri thức sẽ có thể sử dụng các công cụ này dễ dàng hơn và áp dụng nhanh hơn nhiều so với các tầng lớp lao động chân tay khác.

Điện toán đám mây là trợ thủ đắc lực cho làm việc từ xa

Tổ chức National Institute of Standards and Technology tại Mỹ định nghĩa điện toán đám mây là mô hình cho phép truy cập dễ dàng vào 1 network chứa các tài nguyên cần thiết. Nói một cách dễ hiểu, điện toán đám mây có nghĩa là: các ứng dụng, phần mềm, dữ liệu… có thể được truy cập, lưu trữ và phân phối qua Internet hoặc "trong đám mây", có thể là mất phí hoặc miễn phí.

Các mô hình dịch vụ đám mây chính là Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS).

Software as a Service (SaaS) cho phép người dùng chạy nhiều ứng dụng phần mềm trên Internet. Người dùng không phải lo lắng về việc cài đặt, thiết lập và chạy ứng dụng (ví dụ: Salesforce.com, Gmail, Microsoft Outlook & Office 365, Bizfly Cloud Drive).

Platform as a Service (PaaS) cung cấp một nền tảng điện toán hỗ trợ xây dựng các ứng dụng và dịch vụ Web hoàn toàn nằm trên Internet (ví dụ: WS Elastic Beanstalk, Windows Azure, Heroku, Force.com, Google App Engine, Apache Stratos, Bizfly Simple Storage).

Infrastructure as a Service (IaaS) cho phép sử dụng phần cứng hệ thống và phần mềm máy tính, bao gồm cả hệ điều hành và communication network trong đó nhà cung cấp đám mây chịu trách nhiệm cài đặt phần cứng, cấu hình hệ thống và bảo trì (ví dụ: Amazon EC2, Citrix Cloud Center, Bizfly Cloud Server).

Do sự bùng phát phức tạp của Covid-19, nhiều tổ chức có văn phòng ở khu vực rủi ro cao đã yêu cầu nhân viên làm việc từ xa. Hai gã công nghệ khổng lồ Microsoft và Google gần đây đã công bố các ưu đãi đặc biệt đối với các gói phần mềm conference/meeting nhằm hỗ trợ cho các doanh nghiệp có đội ngũ nhân viên làm việc tại nhà. Trong một tweet gần đây, Giám đốc điều hành Google Sundar Pichai cho biết: "Hiện chúng tôi muốn giúp các doanh nghiệp và trường học bị ảnh hưởng bởi COVID-19 duy trì được khả năng kết nối và tương tác với nhau. Bắt đầu từ tuần này, chúng tôi sẽ triển khai quyền truy cập miễn phí vào tính năng conference/meeting trực tuyến qua Hangouts Meet đến ngày 1/7/2020 cho tất cả khách hàng của G Suite trên toàn cầu."

Người phát ngôn của Microsoft đã tweet: Tại Microsoft, sức khỏe và sự an toàn của nhân viên, khách hàng, đối tác và cộng đồng là ưu tiên hàng đầu của chúng tôi. Bằng cách cung cấp công cụ Teams miễn phí cho tất cả mọi người trong sáu tháng, chúng tôi hy vọng rằng chúng tôi có thể góp phần vào việc giữ an toàn cho công cộng bằng cách giúp cho công việc từ xa trở nên dễ dàng hơn.

Office 365 hoặc Google G Suite của Google là những ví dụ về SaaS, các ứng dụng này cung cấp tất cả các công cụ cần thiết và hoàn chỉnh cho hình thức làm việc từ xa. Office 365 của Microsoft bao gồm: Outlook, OneDrive, Word, Excel, PowerPoint, One Note, Teams... Google G Suite bao gồm: Gmail, Google Drive, Google Docs, Sheets, Slides, Calendar, Keep, Hangouts,...

Phần mềm truy cập từ xa

Nếu doanh nghiệp sở hữu các phần mềm nghiệp vụ không dựa trên công nghệ đám mây, nhân viên vẫn có thể có quyền truy cập an toàn vào phần mềm doanh nghiệp tại nhà. Phần mềm truy cập từ xa, hoặc phần mềm điều khiển từ xa, cho phép người dùng điều khiển máy tính tại văn phòng từ máy tính ở nhà. Phần mềm điều khiển từ xa này cho phép người dùng điều khiển chuột và bàn phím và sử dụng máy tính từ một nơi khác thông qua một máy tính từ xa. Ví dụ về phần mềm truy cập từ xa bao gồm Teamviewer, LogMeIn, GoToMyPC và RemotePC. Hãy kiểm tra xem phần mềm nào được sử dụng trong tổ chức của bạn.

Hệ thống họp từ xa

Truy cập vào các ứng dụng kinh doanh chỉ là một phần công việc, phần còn lại chính là các cuộc họp với đồng nghiệp trong công ty hoặc các đối tác ngoài công ty. May mắn thay, có rất nhiều nhiều ứng dụng meeting/conference đáp ứng được nhu cầu hội họp này. Microsoft Teams, GotoMeeting, Google Hangouts Meet, Webex Meet và Zoom là một số trong rất nhiều lựa chọn cho các giải pháp teleconferencing đang được sử dụng hiện nay.

Tuy nhiên làm việc tại nhà và sử dụng các giải pháp làm việc từ xa này sẽ gây ra một số rủi ro đối với quyền riêng tư của dữ liệu:

- Gia đình hoặc bạn bè có thể sử dụng thiết bị của nhân viên để truy cập vào hệ thống của tổ chức và xem được các thông tin nhạy cảm hoặc dữ liệu cá nhân bí mật.

- Tài liệu sao chép cứng chứa dữ liệu cá nhân được sử dụng tại nơi làm việc từ xa có thể bị mất hoặc bị đánh cắp.

- Thiết bị làm việc từ xa của nhân viên có thể bị mất hoặc bị đánh cắp. Các thiết bị bị mất hoặc bị đánh cắp này trở thành phương tiện cho kẻ xấu lợi dụng nhằm giành quyền truy cập trái phép vào hệ thống của tổ chức. Sử dụng các thiết bị di động khiến nguy cơ này trở nên cao hơn.

- Thông tin có thể bị chặn trong quá trình truyền tin giữa tổ chức và thiết bị. Một thiết bị lỗi thời có thể bị xâm phạm và được sử dụng để xâm chiếm hệ thống của tổ chức.

- Thông tin nội bộ của tổ chức có thể được sao chép và trích xuất mà không ai biết.

Người kiểm soát dữ liệu có nghĩa vụ đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu cá nhân trong quá trình vận hành hệ thống làm việc từ xa. Một số hành động có thể được thực hiện để giảm thiểu rủi ro liên quan đến làm việc từ xa đó là:

1. Tạo chính sách truy cập từ xa: Chính sách truy cập từ xa chỉ đơn giản là một bộ quy tắc xác định rõ ai sẽ có quyền truy cập vào cái gì. Cần nêu rõ tên và trách nhiệm của mọi cá nhân có quyền truy cập máy chủ của công ty. Không có nhân viên nào, dù ở xa hay không, có quyền truy cập đầy đủ vào máy chủ của công ty hoặc vào các tệp mà họ không được phép.

2. Triển khai hệ thống mật khẩu mạnh: Thực hiện chính sách mật khẩu mạnh là yếu tố chính trong việc đảm bảo an toàn dữ liệu cho tổ chức. Mọi quyền truy cập vào các tài liệu, e-mail hoặc network liên quan đến công việc phải được kiểm soát bằng mật khẩu mạnh.

3. Cấm sử dụng Wi-Fi công cộng: Kết nối với Wi-Fi công cộng mà không thực hiện bất kỳ biện pháp phòng ngừa nào có thể khiến dữ liệu gặp rủi ro. Các công ty nên đưa các nội dung nghiêm cấm nhân viên từ xa không được phép sử dụng Wi-Fi công cộng vào chính sách làm việc của tổ chức. Trong trường hợp nhân viên từ xa của bạn không có lựa chọn nào khác ngoài sử dụng mạng không bảo mật, hãy đảm bảo họ sử dụng VPN và giới hạn chia sẻ tệp.

4. Mã hóa thiết bị: Mã hóa tất cả các thiết bị của nhân viên từ xa và thực thi mã hóa dữ liệu trên tất cả các thiết bị. Bạn có thể cài đặt một phần mềm mã hóa mã hóa toàn bộ hoặc chỉ một số tệp nhất định. Một tùy chọn khác là cài đặt ứng dụng xóa từ xa để xóa tất cả dữ liệu khi thiết bị bị đánh cắp hoặc bị mất.

Theo Bizfly Cloud chia sẻ

>> Có thể bạn quan tâm: Coronavirus đang mở ra xu hướng làm việc từ xa của nhân viên. Các doanh nghiệp nên chuẩn bị như thế nào?

SHARE