DxTalks mùa 2-Tập 11: Yếu tố con người là lỗ hổng bảo mật cần được chú trọng nhất

Các chuyên gia trong DxTalks tập 11 mùa hai. Ảnh: FPT Digital

Vấn đề trên được thảo luận chi tiết tại DxTalks mùa 2 với chủ đề "Xây dựng văn hóa an ninh doanh nghiệp" với sự tham gia của 3 chuyên gia, bao gồm bà Phạm Lê Hương - Giám đốc điều hành Qnet; ông Peter Phúc Huỳnh - Giám đốc Kinh doanh khu vực doanh nghiệp Proofpoint – PCT, đồng sáng lập cộng đồng CIO Vietnam; ông Nguyễn Minh Đức - CEO kiêm Founder Cyradar.

Mở đầu thảo luận, ông Peter Phúc Huỳnh cho biết hiện nay đa phần các doanh nghiệp đã đầu tư cho hạ tầng an toàn thông tin. Khảo sát của Proofpoint trên 6.000 doanh nghiệp cho thấy 98% sở hữu hạ tầng bảo mật.

Tuy nhiên, với việc nhân sự có thể truy cập internet và làm việc ở mọi lúc mọi nơi, chỉ chú tâm vào các giải pháp kỹ thuật, công nghệ là chưa đủ mà cần ưu tiên quản trị và đào tạo kiến thức an toàn thông tin (ATTT) cho con người. Bởi “nhận thức của người dùng chưa đầy đủ thì không giải pháp công nghệ nào mà có thể giải quyết được hết được”, theo ông Nguyễn Minh Đức.

Ông Peter Phúc Huỳnh đề cập đến khái niệm “Human Firewall”, nhấn mạnh nhiệm vụ bảo mật thông tin là trách nhiệm ở tất cả các cấp chứ không chỉ là của CIO hay kỹ sư công nghệ thông tin (CNTT). Theo đó, mỗi nhân sự cần ý thức được mình là một mắt xích quan trọng trong việc là kiện toàn bảo mật thông tin của tổ chức. Chỉ khi mỗi nhân sự là một lớp giám sát kỹ càng, bức tường rào bảo vệ rủi ro, khi đó mới có sự vững chắc.

Việc đào tạo nhận thức về ATTT cho nhân viên muốn hiệu quả cũng cần được thực hiện đúng cách. Tổng kết từ kinh nghiệm của QNET, bà Phạm Lê Hương nhấn mạnh 3 yếu tố quan trọng nhất với việc đào tạo ATTT cho nhân viên: Thứ nhất là có quy chế quy định rõ ràng. Thứ hai là tạo được động lực cho người tham gia. Và thứ ba là phải có cơ chế giám sát, thưởng phạt nghiêm minh.

Ông Nguyễn Minh Đức cho biết chương trình đào tạo tại Cyradar rất chú trọng vào việc đánh giá năng lực phản ứng với tình huống thực tế của học viên sau khi hoàn thành khóa học. Để tốt nghiệp, học viên cần vượt qua các tình huống mô phỏng các vụ tấn công an ninh mạng thường gặp. Sau mỗi bài kiểm tra, đơn vị đo lường được số lượng nhân viên chưa thành thạo kiến thức và kỹ năng, từ đó lên khung đào tạo sát với vấn đề mà nhân viên gặp phải, giúp họ tự động nhận diện mối nguy và phòng tránh.

Tuy con người là yếu tố quan trọng, cũng không thể bỏ qua vai trò của hạ tầng thông tin và công nghệ bảo mật. Có bốn điều cần chú ý khi xây dựng kế hoạch an ninh doanh nghiệp: Thứ nhất, ban lãnh đạo cần hiểu rõ tầm quan trọng của thông tin trong quá trình vận hành doanh nghiệp. Thứ hai, cần có đội phụ trách kinh nghiệm và trách nhiệm. Kế đến, cần xác định những ứng dụng, thông tin, dữ liệu cần bảo vệ là gì, trên nền tảng nào, từ đó quy ra giải pháp bảo vệ phù hợp. Cuối cùng cần chú ý đến hạ tầng CNTT.

Bởi kinh phí để đầu tư mua sắm các giải pháp để bảo mật là rất lớn, doanh nghiệp cần hiểu rõ thông tin nào cần ưu tiên bảo vệ. Một công ty sản xuất thép sẽ có những nhu cầu bảo mật khác với một công ty về du lịch. Doanh nghiệp kinh doanh online đôi khi chỉ cần ưu tiên bảo vệ tài khoản Facebook mà thôi. “Khi xác định được thứ tự ưu tiên bảo mật chúng ta sẽ biết là mình sẽ cần phải đầu tư bao nhiêu để bảo vệ cái dữ liệu đó”, ông Phạm Minh Đức chia sẻ.

Trong bối cảnh các mối đe dọa về an toàn không gian mạng luôn thay đổi và diễn biến phức tạp, công nghệ sẽ đóng vai trò trung tâm trong việc bảo vệ tổ chức khỏi các mối nguy an ninh mạng. Tuy nhiên nguồn lực con người mới là yếu tố quan trọng trong bảo vệ tổ chức khỏi các mối đe dọa an ninh.