Bảo mật thiết bị và dữ liệu của công ty

Doanh nghiệp cần có một giải pháp hoàn chỉnh, có khả năng bảo vệ các thiết bị do công ty trang bị cũng như thiết bị cá nhân do nhân viên sử dụng để truy cập vào tài nguyên doanh nghiệp.

Việc quản lý những thiết bị này cần phải bao gồm những quy trình để đăng ký, triển khai cũng như thiết lập chính sách bảo mật.

Ngoài ra, một thiết bị di động có thể dễ dàng bị đánh cắp hoặc làm mất, nên công tác ngăn chặn sự thất thoát dữ liệu từ thiết bị cũng có tầm quan trọng rất lớn.

Do đó, yêu cầu căn bản của một giải pháp bảo mật được lựa chọn còn là khả năng có thể khóa, định vị và xóa từ xa các ứng dụng, tài liệu và cài đặt của doanh nghiệp mà không làm ảnh hưởng tới thông tin cá nhân.

Các doanh nghiệp cũng cần phải đảm bảo có thể thiết lập chính sách trên các thiết bị như buộc phải sử dụng passcode, phát hiện thiết bị đã bị bẻ khóa và root máy, sử dụng công nghệ mã hóa... cùng khả năng xác thực từng thiết bị, kiểm tra chi tiết để đánh giá xem có thể tin tưởng thiết bị và người dùng thiết bị đó hay không.

Hiện nay, môi trường di động cũng đang đặt ra thách thức đòi hỏi doanh nghiệp phải có được sự kiểm soát cần thiết đối với dữ liệu được lưu trữ hoặc chia sẻ giữa các thiết bị. Những thông tin nhạy cảm có thể bị rò rỉ từ những thiết bị trong các hoạt động chia sẻ. Vì thế, công nghệ được lựa chọn cần phải có khả năng cho phép người dùng có được sự tự do trong việc chia sẻ nhưng cũng phải có khả năng tách biệt ra khỏi ứng dụng cá nhân.

Bảo mật ứng dụng

Một khuynh hướng phổ biến để bảo mật các ứng dụng là cô lập hóa (containerization). Về cơ bản, điều đó có nghĩa là đặt một vỏ bọc an ninh vào chính ứng dụng để thực thi chính sách an ninh doanh nghiệp và phòng tránh thất thoát dữ liệu.

Để thực hiện điều này, cần phải xem xét cả những lựa chọn cho môi trường phát triển phần mềm và lựa chọn cho phép thiết lập các lớp quản lý bảo mật lên ứng dụng có sẵn, để có thể hỗ trợ cả ứng dụng do doanh nghiệp phát triển hoặc mua về.

Điều đầu tiên doanh nghiệp cần có là một định hướng vòng đời phát triển ứng dụng di động toàn diện cũng như môi trường phát triển tích hợp, trong đó có thể dễ dàng cân nhắc những vấn đề về an ninh ngay từ khi thiết kế.

Các doanh nghiệp cần phải phát hiện những lỗ hổng an ninh trong mọi góc cạnh của ứng dụng ngay từ lúc chúng còn đang được phát triển, chứ không phải là sau đó.

Ngoài việc áp dụng những thông lệ tối ưu về viết mã nguồn an toàn thì có thể sử dụng công cụ quét mã phần mềm (như IBM Security AppScan) để tự động hóa việc bảo đảm an toàn cho mã code của chương trình.

Một môi trường IDE toàn diện như IBM Worklight Studio có thể giúp bộ phận phát triển ứng dụng của doanh nghiệp triển khai một chiến lược an ninh trên tất cả các ứng dụng di động cho nhiều nền tảng khác nhau, tận dụng tối đa những đặc tính bảo mật của từng nền tảng dễ dàng hơn.

Điều tiếp theo doanh nghiệp cần thực hiện là trang bị những yếu tố cần thiết để đóng gói các ứng dụng một cách an toàn, tăng cường khả năng bảo mật.

Việc thiếu khả năng bảo mật mã nhị phân là vấn đề mới nhất trong top 10 rủi ro an ninh di động được xác định bởi Dự án An ninh Ứng dụng Web Mở (Open Web Application Security Project - OWASP) vào năm 2014. Trong bối cảnh đó, doanh nghiệp phải tạo ra nhiều khó khăn nhất có thể cho tin tặc, không cho chúng xâm nhập và phát hiện những điểm yếu trong ứng dụng, cài đặt mã độc…

Bảo mật giao dịch

Lĩnh vực trọng tâm này liên quan đến việc bảo vệ các giao dịch được thực hiện trên các thiết bị di động giữa các bên liên quan tới doanh nghiệp, như khách hàng, đối tác kinh doanh, nhà thầu... hoặc ở ngay bên trong tổ chức. Các doanh nghiệp cần đảm bảo có khả năng kiểm soát truy cập cũng như tính toàn vẹn của giao dịch cho tất cả mọi tương tác (kể cả với những tương tác mà trong đó người dùng không được tính trong khung giải pháp an ninh đang được sử dụng bởi nhân viên trong doanh nghiệp).

Để bảo mật cho các giao dịch đó, tổ chức cần phải sử dụng một hệ thống quản lý thiết bị di động với cơ chế phát hiện và chống lừa đảo hiệu quả tại mọi đầu mối tương tác.

Định hướng phòng ngừa hoạt động lừa đảo cần phải bao gồm cả khả năng phát hiện lừa đảo liên kênh, giả mạo địa chỉ IP, phát hiện mã độc và các dịch vụ phát hiện theo thời gian thực.

Trên đây là một số trọng tâm an ninh bảo mật chính trong một doanh nghiệp di động, nhưng có thể cũng còn có những yếu tố khác nữa.

Theo bạn thì đâu là những thách thức an ninh khác có thể xảy ra khi doanh nghiệp ứng dụng công nghệ di động vào các hoạt động kinh doanh? Hãy gửi ý kiến trao đổi cùng tác giả bài viết trên kênh Twitter @duyhat để trao đổi thêm về cách để vượt qua những thách thức an ninh một cách hiệu quả.