Kết quả khảo sát đối với 511 tổ chức đại diện cho mọi thành phần (cơ quan nhà nước, doanh nghiệp…) về mức độ nhận thức và ứng dụng an toàn thông tin đã được công bố tại sự kiện Ngày An toàn thông tin 2011 (Security Day) diễn ra tại Hà Nội ngày 23/11/2011. Khảo sát do VNISA phối hợp cùng VNCERT thực hiện cho thấy tỷ lệ các doanh nghiệp có nhận biết về việc bị hacker tấn công vào hệ thống mạng đã tăng lên nhưng tỷ lệ ước lượng được thiệt hại hay có những quy trình phản ứng với tấn công thì rất thấp.

Theo ông Vũ Quốc Thành, Tổng thư ký VNISA, các quy trình phản ứng với tấn công ở mỗi doanh nghiệp là khác nhau tùy theo cấu trúc của mỗi tổ chức, tuy nhiên khi phát hiện sự cố, doanh nghiệp cần có những quy định về việc phải giữ nguyên hiện trạng ra sao, không được động đến cái gì, ai có trách nhiệm phải báo cáo, báo cáo đi đâu, bộ phận có trách nhiệm xử lý đầu tiên thì phải xử lý trong vòng bao lâu… Mỗi tổ chức cần xây dựng những biện pháp cụ thể, những con người chịu trách nhiệm cụ thể, dần dần tạo thành quy trình.

Ngoài ra, muốn ước lượng được các tổn thất thì phải có đánh giá về các rủi ro. Đánh giá rủi ro được thực hiện từ trước khi bị tấn công. Với một chuyên viên có kinh nghiệm, họ sẽ biết hệ thống đó sẽ xảy ra những rủi ro nào, nếu xảy ra rủi ro, những tài nguyên nào sẽ bị ảnh hưởng và mỗi tài nguyên có một giá trị mà các phương pháp đánh giá có thể quy thành tiền. Việc đánh giá được các tổn thất cho thấy doanh nghiệp ý thức ra sao về giá trị của các thông tin.

Việc này phải được đánh giá, đối chiếu từ trước để dự phong rủi ro. Lãnh đạo cấp cao của doanh nghiệp phải là người đứng ra thẩm định thông tin nào là giá trị và để bảo vệ chúng cần đầu tư bao nhiêu. Đánh giá sau khi tấn công sẽ dựa trên những thiệt hại thực tế. Thông thường, tài nguyên thông tin chỉ được đánh giá thiệt hại bằng tiền một cách tương đối và thường do người chủ của tổ chức đó xác định. Vì vậy, khi đánh giá rủi ro cần có sự tham gia của 3 thành phần: chuyên viên tư vấn, chủ doanh nghiệp và đội ngũ kỹ thuật.

Ước lượng trước được các thiệt hại sẽ giúp doanh nghiệp có được câu trả lời cụ thể cho bài toán chúng ta cần đầu tư bao nhiêu tiền, để bảo vệ cái gì? Điều này là rất quan trọng bởi không nhất thiết phải đầu tư quá nhiều cho những tài nguyên ít giá trị. Ông Thành ví von, “giống như một ngôi nhà, sẽ có cửa được làm bằng kính nhưng cũng có cửa phải làm bằng lưới thép chắc chắn”.

Nhiều dịch vụ, công nghệ ATTT chưa được biết và sử dụng

Đảm bảo an ninh, ATTT ngày nay không chỉ bao gồm 2 yếu tố là con người và chính sách. Trong khuôn khổ hội thảo Security Day 2011, ông Derrick Ng, Giám đốc kinh doanh phụ trách các thị trường Indonesia, Malaysia, Thái Lan và Việt Nam của Check Point đưa ra quan điểm để đảm bảo ATTT cần sự phối hợp của 3 yếu tố: con người, chính sách và sự tuân thủ. Tại Security Day 2011, Check Point giới thiệu sản phẩm 3D Security giám sát sự phối hợp giữa 3 yếu tố này giúp tăng hiệu quả quản lý ATTT.

Ngoài các sản phẩm mới được giới thiệu tại Security Day 2011, ông Thành cho biết, đánh giá để dự phòng rủi ro là một nghiệp vụ đã được nhiều doanh nghiệp thành viên của hiệp hội phát triển thành dịch vụ nhưng lại chưa được nhiều doanh nghiệp quan tâm, thừa nhận. Các dịch vụ chuyên nghiệp liên quan đến ATTT được nhiều doanh nghiệp nước ngoài sử dụng nhưng chưa phổ biến ở Việt Nam như dịch vụ phát hiện phòng chống virus máy tính; dịch vụ đánh giá điểm yếu an ninh mạng, dịch vụ đánh giá điểm yếu cho website, dịch vụ tư vấn hệ thống ATTT, dịch vụ theo dõi an toàn an ninh mạng.

Ngoài ra, có những công nghệ mới không thể thiếu trong một số loại hình doanh nghiệp nhưng lại không được các doanh nghiệp Việt Nam biết đến hay áp dụng, chẳng hạn như mật khẩu dùng một lần dùng trong các tổ chức ngân hàng - tài chính; quản lý mật khẩu đặc quyền; quản lý bản vá; qò quét đánh giá an ninh mạng; quản lý định danh; dò quét đánh giá an ninh ứng dụng; hệ thống quản lý chống thất thoát dữ liệu; công cụ đánh giá tính toàn vẹn. 

Theo www.pcworld.com.vn