Xác lập mục tiêu



Để có thể bảo vệ dữ liệu, các DN cần phải thiết lập quy trình làm việc, phân công trách nhiệm chi tiết đến từng bộ phận. Nhân viên không thuộc phòng CNTT cần được đào tạo cơ bản về an toàn thông tin. Đây là các điều kiện cơ bản để áp dụng chính sách an toàn thông tin/bảo mật dữ liệu tại DN.

Theo Trung tâm Đào tạo về An ninh và Quản trị mạng Athena, nhằm tự bảo vệ mình, các nhân viên trong DN cần hiểu biết cơ bản về cách thức tấn công/đánh cắp của hacker. Các khoá đào tạo sẽ góp phần nâng cao nhận thức của nhân viên về an toàn thông tin; giúp họ tự bảo vệ dữ liệu cá nhân… Nếu có đủ nhân sự cần thiết, các DN có thể tổ chức tự đào tạo, hoặc đưa nhân viên đến học tại các trung tâm đào tạo về an ninh mạng.



Sau khi đã áp dụng các chính sách về phân quyền truy cập tài nguyên CNTT, các DN sẽ cần tạo hàng rào phòng thủ chống đánh cắp dữ liệu. Các tài liệu cho dù ở dạng số hoá hoặc hồ sơ giấy sẽ được bảo vệ với cơ chế phân quyền truy cập trên hệ thống/văn phòng. Một số tài liệu quan trọng (số liệu khách hàng, báo cáo tài chính…) đòi hỏi phải có mật khẩu mới có thể mở được.



Đối với một số nhân sự quan trọng (phòng CNTT, kinh doanh…) cần ký thỏa thuận cam kết bảo mật nhằm đảm bảo nhân sự này không cung cấp tài liệu “nhạy cảm” cho các đối thủ cạnh tranh. Các thoả thuận NDA (Non – Disclosure Agreement) sẽ góp phần bảo vệ dữ liệu kinh doanh của các DN trong trường hợp các nhân viên/cán bộ nắm giữ dữ liệu này nghỉ việc.

Hàng rào kỹ thuật



Dù đã giới hạn quyền truy cập nhưng các DN vẫn cần đến các phương tiện kỹ thuật (phần cứng/phần mềm) để bảo vệ dữ liệu, chống đánh cắp… Có thể dùng đến cách thức xác thực bằng mật khẩu dùng 1 lần (One Time – One Password) hoặc dùng công cụ mã hoá dữ liệu tại máy tính cá nhân/máy chủ; quản lý đường truyền dữ liệu ra môi trường bên ngoài…

Khi thiết lập hệ thống, các DN cần quan tâm đến một số công cụ/tính năng bảo mật như dịch vụ chứng thực (Authentication); bảo mật tầng ứng dụng (PGP hoặc S/MIME); chứng chỉ số SSL (Secure Socket Layer)…



Đặc biệt, việc bảo mật dữ liệu có thể áp dụng cho các ứng dụng cá nhân. Ví dụ như, bảo mật dữ liệu bằng cách sử dụng công cụ S/MIME để mã hoá email. S/MIME ((Secure/Multipurpose Internet Mail Extension) là một phương pháp bảo mật – chứng thực cho email do hãng bảo mật RSA phát triển.

Bên cạnh công cụ tường lửa (Firewall) để kiểm soát luồng dữ liệu ra vào hệ thống; DN còn cần đến cơ chế chống xâm nhập trái phép (IDS) để phát hiện và ngăn chặn các hành vi sao chép dữ liệu ở khu vực giới hạn quyền truy cập. Đối với bộ phận quản lý email, có thể thiết lập từ khoá nhằm phát hiện các thư điện tử gửi ra ngoài có kèm theo tài liệu (số hoá) không được phép (quy định bảo mật). Về mặt quản trị, nếu có nhân viên vi phạm quyền truy cập; gửi các thông tin bảo mật trái phép… phòng CNTT sẽ gửi email cảnh báo.



Ông Võ Đỗ Thắng, Giám đốc Trung tâm Athena tư vấn: Với các nhân viên/cán bộ thường xuyên sử dụng máy tính xách tay (laptop) có chứa dữ liệu kinh doanh; phòng CNTT cần cài đặt công cụ mã hoá nhằm bảo mật dữ liệu. Chỉ có người nào biết mật khẩu truy cập hoặc dùng USB Token chứa mật khẩu mới có thể mở được các tài liệu này. Trong trường hợp laptop của DN bị đánh mất thì dữ liệu trong đó vẫn đảm bảo an toàn vì người khác sẽ không đọc được.



Cách thức mã hoá dữ liệu này cũng sẽ được áp dụng đối với một số máy tính để bàn của các bộ phận quan trọng (nhân sự, kế toán, kinh doanh…). Các nhân viên khác nếu có tò mò ngồi vào những chiếc máy tính này cũng chỉ đọc được các tập tin mã hoá; không thể đánh cắp hoặc đọc trộm dữ liệu.



Chính sách sử dụng mật khẩu với độ khó cần thiết cần được áp dụng cho toàn bộ các bộ phận. Phòng CNTT chỉ xác nhận các tài khoản nào cài mật khẩu đúng yêu cầu (có độ dài 8 ký tự, có chữ hoa hoặc ký tự đặc biệt…). Một số bộ phận do sử dụng mật khẩu có độ khó ở mức cao/thay đổi thường xuyên có thể dùng đến công cụ quản lý mật khẩu nhằm loại trừ trường hợp quên mật khẩu!

Hiện nay, một công cụ quản lý mật khẩu sử dụng mã nguồn mở trên Internet có tên gọi KeePass, có thể sử dụng miễn phí. Người dùng máy tính, Internet có thể không cần nhớ mật khẩu; họ chỉ cần cắt, dán mật khẩu từ KeePass vào ô nhập mật khẩu.

Hàng rào phòng thủ “cao cấp”



Các DN quy mô lớn, có chi nhánh ở Hà Nội, Đà Nẵng, Cần Thơ… cần kết nối mạng với nhau có thể thiết lập cơ chế mã hoá trên đường truyền mạng riêng ảo (VPN). Dữ liệu được mã hoá khi truyền tải trên Internet sẽ ngăn chặn tình huống đánh cắp thông tin. Mạng VPN sẽ giúp cho các chi nhánh của DN kết nối dữ liệu nhanh, đảm bảo sự riêng tư và an toàn hơn.



Thậm chí, trong truyền tải dữ liệu giữa nhân viên trong cùng bộ phận; các bộ phận khác không được phép truy cập. Dựa trên cơ chế chứng thực người dùng (User Authentication), chỉ có những người dùng hợp lệ mới được kết nối vào kênh truyền dữ liệu đó.



Các DN cũng nên chú ý đến uy tín của các nhà cung cấp dịch vụ Hosting (cho thuê máy chủ). Nếu hệ thống máy chủ của đơn vị đó bảo mật kém, các hacker có thể tấn công vào website của công ty A bằng cách sử dụng website của công ty B. Nếu có điều kiện tài chính, DN nên thuê server riêng (Dedicated Server) thay vì máy chủ dùng chung (Share Hosting).

Dùng máy chủ riêng, DN sẽ toàn quyền cài đặt hệ thống, tường lửa, các phần mềm chống xâm nhập… Đồng thời, thiết lập cơ chế mã hoá dữ liệu trên đường truyền nhằm ngăn chặn hành vi “đọc trộm” dữ liệu của hacker. Tuy nhiên, phí dịch vụ thuê máy chủ riêng sẽ đắt gấp 4-5 lần so với Share Hosting. Vì khi dùng máy chủ dùng chung, sẽ có hàng trăm website cùng chạy trên đó với quyền quản trị của nhà cung cấp; việc sử dụng tài nguyên cũng bị hạn chế.



Hiện nay, một số nhà cung cấp dịch vụ Internet đã giới thiệu dịch vụ máy chủ riêng ảo (VPS - Virtual Private Server). Với VPS, DN sẽ chủ động trong việc điều hành hệ thống, cài đặt ứng dụng, thiết lập Mail Server – Web Server… với quyền quản trị cao nhất. Đây là giải pháp thuê máy chủ dung hoà ở giữa gói dịch vụ Dedicated Server và Share Hosting. Nó vừa đảm bảo tính bảo mật - vừa giảm chi phí thuê máy chủ so với khi thuê Dedicated Server. Ngoài ra, DN cần trang bị các giải pháp bảo vệ dữ liệu của các hãng phù hợp.