10 bước bảo mật dữ liệu trong doanh nghiệp

[thaihihi010]

Nhiều tổ chức tập trung vào việc bảo vệ chống lại các tấn công bên ngoài nhưng lại bỏ qua những hiểm họa thậm chí còn nguy hiểm hơn nhiều: mất cắp dữ liệu bởi ai đó bên trong công ty. Đây là một góc nhìn quan trọng cần phải đề cập đến trong vấn đề bảo mật
Các hacker tấn công "bắn hạ" mạng thường nhận được rất nhiều sự quan tâm, vì vậy các công ty cũng thường quan tâm đến việc bảo vệ chống lại những mối đe dọa này. Tuy nhiên nếu tổ chức của bạn chỉ tập trung vào kiểu bảo mật này, việc đó tương tự với kiểu đặt tất cả cố gắng vào việc ngăn chặn một kẻ mang bom tấn công vào công ty nhưng lại quên đi sự quan tâm đến kẻ trộm lẩn trốn ở cửa sau và “đánh cắp” đi tất cả những tài sản quý giá.
Một cách đáng tiếc, những đề phòng bảo mật dùng để ngăn chặn các tấn công DoS, virus, worm, và các tấn công khác lại dường như không thể giải quyết được đến vấn đề sảo quyệt hơn: trộm dữ liệu công ty cho mục đích gián điệp hoặc các mục đích khác. Sự phơi bày các bí mật thương mại trước một đối thủ cạnh tranh hoặc phóng thích các thông tin riêng tư của công ty cho giới truyền thông, trong một số trường hợp, có thể gây ra mất mát rất nhiều so với thời gian ngừng hoạt động của máy móc.
Trong bài này mình sẽ giới thiệu cho các bạn những gì cần phải thực hiện để bảo mật dữ liệu cho công ty, doanh nghiệp của bạn.
1. Đánh giá rủi ro an ninh mạng
Sau khi đã nắm được tất cả các dữ liệu mà doanh nghiệp bạn có, bạn cần thực hiện đánh giá các rủi ro mà dữ liệu doanh nghiệp của bạn có thể gặp phải:
– Trường hợp xảy ra sự cố về an ninh mạng.
– Trường hợp xảy ra các sự cố về thiên tai tự nhiên như hỏa hoạn, động đất v.v.
Bài viết này sẽ chủ yếu tập trung vào các giải pháp bảo mật dữ liệu cho doanh nghiệp trước những nguy cơ về sự cố an ninh mạng.
Việc đánh giá những rủi ro an ninh mạng đối với dữ liệu có thể tự thực hiện bởi bộ phận nhân sự an ninh mạng chuyên trách của doanh nghiệp hoặc nhờ đến sự tư vấn của các chuyên gia an ninh mạng. Họ có đủ kiến thức và kinh nghiệm để chỉ ra cho bạn các mối nguy cơ tiềm tàng đối với dữ liệu doanh nghiệp mà bạn không thể biết.
Sau khi thực hiện xác định các nguy cơ rủi ro đối với dữ liệu cần bảo vệ, bạn cần thực hiện các biện pháp đánh giá an ninh đối với hệ thống mạng của doanh nghiệp. Việc này sẽ cho phép bạn biết chính xác các nguy cơ an ninh đang và sẽ có thể đã xảy ra đối với hệ thống mạng doanh nghiệp nói chung, và bảo mật dữ liệu của doanh nghiệp nói riêng.
Từ đó thực hiện các biện pháp vá, bảo vệ hệ thống hoặc triển khai các giải pháp an ninh phù hợp với mô hình, tài chính và yêu cầu của doanh nghiệp

2. Nâng cao nhận thức về bảo mật dữ liệu cho nhân viên
Một trong những mối nguy hiểm tiềm tàng nhất với an ninh dữ liệu của doanh nghiệp chính là yếu tố con người. Do đó, việc thực hiện các biện pháp nhằm đào đào tạo, nâng cao nhận thức của các nhân viên trong cơ quan về bảo mật dữ liệu là một trong những biện pháp hàng đầu và hiệu quả nhất để bảo đảm an toàn dữ liệu trong doanh nghiệp của bạn.
– Doanh nghiệp cần tổ chức chương trình nhận thức, huấn luyện bảo mật dữ liệu cho doanh nghiệp, an ninh mạng một cách định kỳ.
Đó là giải pháp quan trọng nhất để giảm thiểu các vi phạm dữ liệu doanh nghiệp, tiết kiệm tài chính thuê dịch vụ bảo mật bên ngoài. Đồng thời, DN (doanh nghiệp) cần có những văn bản, tài liệu về chính sách bảo mật dữ liệu và các quy trình làm việc, sử dụng dữ liệu trong công ty áp dụng các tiêu chuẩn về quản lý và bảo đảm an toàn dữ liệu như ISO 27001, PCI DSS.
Những tài liệu này cũng sẽ được sử dụng để đào tạo nhận thức và áp dụng các chính sách về bảo mật dữ liệu trong doanh nghiệp.
3. Thiết lập các đặc quyền hạn chế và thẩm định truy cập
Không thể chỉ phụ thuộc vào các chính sách để bảo vệ dữ liệu của mình. Hãy nói với các nhân viên những gì họ không nên thực hiện, cách thức này sẽ tránh được việc ai đó trong số họ thực hiện những sai trái do cẩu thả. Sự thi hành các chính sách mang tính kỹ thuật sẽ tước bỏ lựa chọn về việc có tuân theo hay không của họ. Do đó bước đầu tiên trong việc bảo vệ dữ liệu là thiết lập các đặc quyền thích hợp cho file và thư mục.
Cũng cần phải nói thêm rằng, dữ liệu trên các mạng Windows nên được lưu dưới các ổ đĩa có định dạng NTFS để có thể sử dụng các đặc quyền NTFS cùng với đặc quyền chia sẻ. Định dạng NTFS của ổ đĩa sẽ có nhiều chi tiết hơn đặc quyền chia sẻ và áp dụng cho người dùng truy cập dữ liệu trên máy tính nội bộ cũng như qua mạng. Trong khi thực thi nguyên tắc đặc quyền tối thiểu, cần cho phép người dùng mức đặc quyền thấp nhất có thể để họ có thể thực hiện các công việc của mình.
Cho ví dụ, cấp đặc quyền “Read Only” để tránh người dùng có thể thay đổi các file dữ liệu quan trọng.
4. Sử dụng mã hóa
Một thuận lợi khác cho việc lưu trữ dữ liệu trên các thiết bị có định dạng NTFS là khả năng sử dụng mã hóa Encrypting File System (EFS). EFS được hỗ trợ trong Windows 2000 và các hệ điều hành gần đây, nó có thể chặn người dùng mở các file dữ liệu thậm chí có các đặc quyền NTFS.
Trong Windows XP/2003 và các hệ điều hành gần đây, các thư mục mã hóa có thể được chia sẻ với người dùng khác bằng cách gán cho họ các đặc quyền nào đó thông qua hộp thoại mã hóa. Tuy nhiên vẫn có một con đường mà ở đó dữ liệu có thể bị mất cắp là mất toàn bộ máy tính, đặc biệt nếu nó là các máy tính laptop.
Trong các phiên bản Vista và Windows 7 Enterprise, Ultimate, bạn có thể sử dụng chức năng mã hóa toàn bộ ổ đĩa để bảo vệ dữ liệu trong trường hợp bị mất máy tính.
Khắc phục và quản lý sự cố
Các tài liệu về quy trình phản ứng khi xảy ra các sự cố bảo mật đối với hệ thống mạng và dữ liệu của doanh nghiệp rất cần thiết, giúp giảm thiểu tối đa các thiệt hại do sự cố an ninh mạng gây ra cho doanh nghiệp.
Ngoài ra bạn cũng có thể nghĩ đến việc thuê các đơn vị chuyên nghiệp về đánh giá và xử lý sự cố ANM. Các đơn vị này sẽ có trách nhiệm tư vấn quy trình phản ứng và phối hợp xử lý sự cố, giúp cho doanh nghiệp của bạn hạn chế tối đa thiệt hại khi các sự cố xảy ra.
6. Hạn chế sử dụng thiết bị lưu trữ ngoài
Một trong những cách phổ biến nhất để mang các thông tin dữ liệu ra khỏi tổ chức là copy nó vào các thiết bị lưu trữ ngoài.
Các ổ USB ngày nay có giá thành rất rẻ và cũng rất dễ che dấu, dung lượng lưu trữ ngày càng cao. Ngoài ra người dùng cũng có thể copy file dữ liệu sang các thiết bị iPod hoặc MP3 player, hoặc vào các đĩa CD, DVD bằng cách sử dụng ổ ghi.
Để tránh tình trạng mất dữ liệu kiểu này, bạn cần hạn chế vĩnh viễn sự cài đặt các thiết bị USB bằng cách gỡ bỏ tất cả các cổng vật lý hoặc bịt chúng bằng một hợp chất nào đó. Ngoài biện pháp vật lý nói trên, bạn có thể sử dụng các phần mềm để vô hiệu hóa việc sử dụng các thiết bị ngoài trên các máy tính cá nhân hoặc trong toàn bộ mạng.
Trong Vista, bạn có thể hạn chế sử dụng thiết bị ngoài (như USB hoặc CD/DVD burner) thông qua Group Policy. Ngoài ra bạn cũng có thể tham khảo thêm các sản phẩm của các hãng thứ ba, chẳng hạn như Portable Storage Control (PSC) của GFI là một ví dụ.
7. Cấu hình hệ thống một cách an toàn
Tất cả các thành phần bên trong hệ thống (bao gồm phần mềm và phần cứng) đều được cấu hình đáp ứng các yêu cầu về chính sách bảo mật cũng là biện pháp hiệu quả giúp đảm bảo an toàn cho dữ liệu doanh nghiệp của bạn. Thông thường, các doanh nghiệp nên có những quy chuẩn về cấu hình đối với từng thiết bị trước khi đưa vào sử dụng.
Các quy chuẩn này có thể là các chính sách về mật khẩu, về tài khoản, về các dịch vụ hoặc cấu hình hệ thống v.v. Một số doanh nghiệp thường có thói quen sử dụng các bản cài đặt sẵn cho tất cả các thiết bị trong hệ thống.
Tuy nhiên các bản cài đặt sẵn thường tiềm tàng những lỗ hổng cũ, không được cập nhật bản vá thường xuyên, do đó dễ bị tin tặc tấn công hệ thống. Thêm vào đó, an ninh của các bản cài đặt này cũng chưa chắc đã được đảm bảo (có thể bản cài đặt chứa phần mềm độc hại hoặc lỗ hổng ngay từ đầu).
8. Kiểm soát tốt các laptop
Một cách nữa mà người dùng có thể lấy đi các file dữ liệu quan trọng trong tổ chức bạn là kết nối với mạng nội bộ bằng laptop hoặc thiết bị cầm tay, copy các file vào ổ cứng của nó, sau đó mang máy tính đi nơi khác.
Để tránh tình trạng này, bạn cần duy trì sự kiểm soát chặt chẽ về việc sử dụng máy tính kết nối với LAN, không chỉ từ xa mà còn cắm trực tiếp vào hub hoặc switch trong mạng của bạn. Có thể sử dụng Ipsec để ngăn chặn các máy tính không phải là thành viên miền có thể kết nối với máy chủ file và các máy tính khác trong mạng LAN.
9. Tăng cường bảo vệ phần mềm độc hại
Doanh nghiệp cũng nên triển khai các giải pháp về phòng chống, bảo vệ dữ liệu trước nguy cơ mã độc. Hiện nay có nhiều giải pháp phòng chống nguy cơ lây nhiễm mã độc ở các cấp độ khác nhau: giải pháp phòng chống mã độc riêng lẻ cho người dùng, giải pháp phòng chống mã độc tập trung hay giải pháp phòng chống mã độc ở gateway, hoặc dùng dịch vụ của SecurityBox..v.v...
Tuy vào điều kiện tài chính và quy mô mà doanh nghiệp để bạn lựa chọn một giải pháp hợp lý cho doanh nghiệp của mình.
10. Thực hiện nguyên tắc đặc quyền tối thiểu và thiết lập các chính sách cho việc ghi chép
Có hai triết lý đối ngược nhau mà từ đó bạn có thể thiết lập các chính sách truy cập mạng. Đầu tiên, chính sách “mở tất cả”, giả thiết rằng tất cả dữ liệu có sẵn đối với mọi người trừ khi bạn cần phải hạn chế sự truy cập. Thứ hai, chính sách “đặc quyền tối thiểu”, hoạt động trên giả định rằng tất cả dữ liệu đều được hạn chế ở mức tối đa trước mỗi người dùng trừ khi họ được trao quyền truy cập. Sau đó giống như chính sách “cần biết” của các trung tâm tình báo chính phủ: Trừ khi người dùng có nhu cầu cấp thiết cần phải truy cập vào một file cụ thể, bằng không họ sẽ không thể truy cập được nó.