 |
| Ông Nguyễn Bá Quỳnh - - Giám đốc Bộ phận Phần mềm, IBM Việt Nam. Ảnh: M.B |
Dướiđây là bài phân tích của chuyên gia công nghệ Nguyễn Bá Quỳnh - Giám đốc Bộphận Phần mềm, IBM Việt
Hiệu quả, nhưng “lơlửng” nguy cơ mất an ninh
Hiệnnay xu thế cho phép nhân viên tự sử dụng các thiết bị di động cá nhân nhưsmartphone hay tablet để truy cập mạng nội bộ và xử lý các tài liệu của tổchức (gọi là BYOD - Bring yourown device) đã lan rộng tại Việt
Mộtmặt, BYOD đang thúc đẩy mạnh mẽ, giúp các tổ chức vận hành, tiết kiệm chi phíđầu tư và bảo hành thiết bị, đồng thời khuyến khích phát triển đội ngũ nhânviên “di động” năng suất cao, làm việc linh hoạt mọi nơi, mọi lúc.
Tuynhiên, BYOD cũng đang đặt ra những nguy cơ lớn về bảo mật. Vì vậy, các tổ chức,doanh nghiệp phải đưa ra các quy định mới để hỗ trợ cũng như quản lý việc sửdụng các thiết bị di động theo chương trình BYOD. Ví dụ như tại IBM, nhân viêncó thể sử dụng các thiết bị di động cá nhân cho công việc, như dùng BlackBerryhay iPad để kiểm tra thư, tạo lịch họp… nhưng với điều kiện đáp ứng được cácyêu cầu về an ninh và bảo mật nghiêm ngặt.
Cụthể hơn, các tổ chức, doanh nghiệp cần nhận thức rất rõ ràng khi nhân viên kếtnối các thiết bị di động của họ với mạng của công ty và “sáp nhập” dữ liệu củadoanh nghiệp với dữ liệu cá nhân, thì cần coi các thiết bị này như bất kỳ thiếtbị CNTT nào khác của công ty, với các phương pháp an ninh, bảo mật phù hợp.
Nếukhông, chính những thiết bị này sẽ là điểm yếu về bảo mật, nguy cơ lộ thông tin kinh doanh hoặc trở thành kênh tiếp nhận các nguy cơ về an ninh,bảo mật đối với cơ sở hạ tầng CNTT và các nguồn lực kinh doanh.
Mộtthực tế là bộ phận CNTT của nhiều tổ chức, doanh nghiệp đang gặp những tháchthức lớn trong việc đảm bảo an ninh di động do một số nền tảng thiết bị di độngnhư BlackBerry, iOS, Android và Windows có các mô hình bảo mật khác nhau. Ngoạitrừ BlackBerry, hầu hết các thiết bị di động khác đều là nền tảng sản phẩm tiêudùng, thiếu các công nghệ kiểm soát an ninh mang tầm doanh nghiệp.
Cùngđó, các dữ liệu của doanh nghiệp và của cá nhân tồn tại trên cùng một thiết bị sẽrất khó tìm ra một điểm cân bằng giữa việc bảo mật gắt gao của doanh nghiệp vớitính riêng tư của các dữ liệu cá nhân. Các ứng dụng “trái phép” (unauthorized)hoặc không mang tính hỗ trợ kinh doanh có nguy cơ làm lây lan mã độc, ảnh hưởngđến các dữ liệu kinh doanh chứa trên thiết bị di động.
Ngoàira, các thiết bị di động có thể bị mất, bị lấy trộm, do có kích thước nhỏ vàhay được mang đi mang lại. Mỗi lần mất như vậy lại đi kèm với những nguy cơ đốivới các dữ liệu của tổ chức.
Đâu là hướng đi phù hợp chocác doanh nghiệp?
TheoIBM, vấn đề quan trọng nhất là các tổ chức cần xây dựng một chiến lược nghiêmngặt, với các chính sách và hướng dẫn rõ ràng cho một môi trường di động mangtính bảo mật cao, tập trung vào một số lĩnh vực chủ chốt như: Dữ liệu và cácnguồn lực có thể truy cập từ thiết bị di động; Hỗ trợ nền tảng; Phương pháp quảnlý; Thônglệ tối ưu từ các tổ chức, doanh nghiệp khác trên thế giới.
Trướchết, cần xác định dữ liệu nào được phép lưu trữ và xử lý trên loại thiết bị diđộng nào, từ đó xác định dữ liệu nào cần được bảo vệ, và bảo vệ ở mức độ nào.Một số doanh nghiệp chỉ cho phép sử dụng email, danh bạ và lịch họp. Một sốdoanh nghiệp khác cho phép truy cập vào một số ứng dụng quan trọng của doanh nghiệpnhư ERP (hệ thống Nguồn lực doanh nghiệp) hoặc CRM (Quản lý Quan hệ khách hàng).
Cácmức độ truy cập khác nhau đòi hỏi các mức độ bảo mật khác nhau. Cần lưu ý rằngkhi dữ liệu kinh doanh đi từ một địa điểm được bảo mật cao (ví dụ: cơ sở dữliệu hoặc máy chủ lưu trữ dữ liệu – flie server) tới một thiết bị mang tính bảomật thấp hơn, thì nguy cơ bị mất dữ liệu sẽ cao hơn chiều ngược lại.
Cáctổ chức, doanh nghiệp cũng cần xác định cho phép sử dụng nền tảng di động nàotrong môi trường doanh nghiệp, và do đó, cần được quản lý, hỗ trợ. Các nền tảngdi động khác nhau có các cơ chế an ninh, bảo mật khác nhau.
Mộtquyết định khác mà các tổ chức cần cân nhắc là trách nhiệm quản lý hệ thống anninh di động hoặc là sử dụng đội ngũ CNTT hiện tại, hoặc thuê một đội dịch vụan ninh di động chuyên nghiệp.
Vàcuối cùng, cho dù môi trường di động của các tổ chức, doanh nghiệp như thế nàothì cũng cần xây dựng chính sách, quy trình dựa trên các thông lệ tối ưu. Điềuthuận lợi là một số thông lệ tối ưu dùng cho desktop và laptop có thể sử dụngcho các thiết bị di động, ví dụ: Quy định vai trò, trách nhiệm trong việc quảnlý và bảo mật các thiết bị; Đăng ký các thiết bị di độngtrong hệ thống; Cài đặt, cấu hình các ứng dụng bảo mật trên thiết bị di động; Tựđộng cập nhật các bản vá bảo mật, các chính sách và chế độ cài đặt liên quanđến an ninh, bảo mật; Định kỳ báo cáo tình trạng bảo mật của thiết bị; Đào tạonhân viên về bảo mật thiết bị di động.
Nhìnchung, để có một chương trình BYOD hiệu quả, các nhân viên cần hiểu rõ, chấpnhận, và tuân thủ tất cả các khía cạnh của chính sách an ninh, bảo mật có liênquan. Tổ chức, doanh nghiệp có thể giải thích rõ cho nhân viên tại sao lại cónhững điều khoản như vậy trong chính sách của đơn vị, nếu nhân viên hiểu rõxuất phát điểm của các chính sách đó, họ ít có xu hướng vi phạm hơn.
Ngượclại, nếu như chính sách của tổ chức khắt khe quá đáng, nhân viên lại có xuhướng vi phạm nhiều hơn như vô hiệu hóa, gỡ bỏ các phần mềm an ninh, bảo mậthoặc bỏ qua một số bước kiểm soát truy cập.
Nguyên Đức
.svg){kind=icon}
