Khi nhắc tới an toàn thông tin, các mối đe dọa tới các công ty và các công nghệ họ dùng để bảo vệ tài sản dữ liệu quan trọng thường bị hiểu sai và/hoặc phóng đại, theo nhà nghiên cứu Jay Heiser của Gartner.
Những ấn tượng sai lầm này dẫn tới những “suy nghĩ sai lầm về bảo mật” thường được các chuyên gia an ninh thông tin nhắc tới. Heiser, trong một buổi phát biểu tại Hội nghị Quản lý Bảo mật & Rủi ro tại Cảng Quốc gia Hoa Kỳ, Maryland, Mỹ, đã nêu ra 10 suy nghĩ sai lầm phổ biến nhất.
Suy nghĩ sai lầm số 1: “Chắc chắn là tôi sẽ không bị vậy đâu”
Nguyên nhân: quá quen với việc các nguy cơ thông tin bị thổi phồng, các nhà bảo mật sẽ tin tưởng lời khẳng định này của các nhân viên và để mặc cho họ làm bất cứ thứ gì họ muốn. Một nguyên nhân khác là do các chuyên gia bảo mật lo sợ tốn chi phí và phải chịu nhiều trách nhiệm.
Cách giải quyết: Hãy đối mặt với các yêu cầu an ninh nằm trong phạm vi trách nhiệm về nghề nghiệp của mình. Sử dụng một hệ thống phân loại bảo mật sẽ giúp giảm sức ép.
Suy nghĩ sai lầm số 2: “Chi phí bảo mật thông tin chiếm 10% tổng chi phí IT”
Nguyên nhân: suy nghĩ mộng mị – nghiên cứu của Gartner cho biết chi phí bảo mật thông tin thường chỉ chiếm 5% tổng chi phí IT.
Cách giải quyết: hãy nghiên cứu số liệu thật.
Suy nghĩ sai lầm số 3: “Các rủi ro về bảo mật có thể đo đạc được”
Nguyên nhân: ảo tưởng rằng bạn có thể nhận được chi phí bảo mật thông tin nếu bạn cố gắng làm cho chúng trở nên có lý trên một bảng tính Excel. Đây là một suy nghĩ sai lầm trong một nền văn hóa kinh doanh quá coi trọng các con số, dẫn tới suy nghĩ rằng “ai có số to nhất là người chiến thắng”.
Cách giải quyết: hãy tìm cách thể hiện các rủi ro bảo mật mà không cần tới con số, và đảm bảo rằng bộ phận kinh doanh phải chịu trách nhiệm với các rủi ro về IT.
Suy nghĩ sai lầm số 4: “Chúng ta có an ninh vật lý (giao thức Internet SSL) nên bạn có thể tin rằng dữ liệu của bạn được an toàn”
Nguyên nhân: suy nghĩ mộng mị và hiểu biết kém cỏi về các rủi ro IT.
Cách giải quyết: mua bán các phần mềm/phần cứng cần thiết liên quan tới bảo mật IT nhằm đạt yêu cầu về dữ liệu.
Suy nghĩ sai lầm số 5: “Đặt hạn cho mật khẩu và đặt mật khẩu phức tạp giúp giảm rủi ro”
Nguyên nhân: tính lười biếng. Heiser cho biết: “Chúng ta biết rằng các mật khẩu mang rất nhiều lỗ hổng, song mật khẩu bị bẻ khóa không phải là thất bại lớn nhất. Mật khẩu không bị bẻ khóa. Hacker mò ra chúng(bằng brute-force).”
Cách giải quyết: có thể là không có cách giải quyết nào cả.
Suy nghĩ sai lầm số 6: “Tách rời giám đốc bảo mật thông tin (CISO) khỏi bộ phận IT sẽ giúp đảm bảo an ninh thông tin”
Nguyên nhân: trốn tránh trách nhiệm. Heiser cho biết đây là một dạng “sửa một vấn đề về văn hóa doanh nghiệp bằng trò tái cơ cấu một thứ gì đó” quen thuộc.
Cách giải quyết: tìm ra nguyên nhân cội rễ của các lỗ hổng trong một hệ thống bảo mật.
Suy nghĩ sai lầm số 7: “Đảm bảo các qui tắc bảo mật là việc của giám đốc bảo mật thông tin”
Nguyên nhân: trốn tránh trách nhiệm. Rất nhiều bộ phận muốn đẩy các rủi ro về an ninh thông tin sang người khác, và giám đốc bảo mật thông tin sẽ phải gánh toàn bộ trách nhiệm, cho dù các bộ phận này không muốn giám đốc bảo mật thông tin ra lệnh cho họ.
Cách giải quyết: xây dựng một hệ thống bảo mật thông tin thành văn hóa của tập đoàn.
Suy nghĩ sai lầm số 8: “Mua công cụ bảo mật ABC XYZ sẽ giúp giải quyết tất cả các vấn đề của bạn”
Nguyên nhân: suy nghĩ mộng mị, muốn tìm ra giải pháp “nhiệm màu” cho các vấn đề khó khăn.
Cách giải quyết: phân tích và phân loại các rủi ro một cách khoa học, xây dựng chương trình bảo mật dài hạn.
Suy nghĩ sai lầm số 9: “Hãy áp đặt chính sách này và chúng ta sẽ ổn thôi”
Nguyên nhân: suy nghĩ mộng mị.
Cách giải quyết: hãy thiết lập các mức trách nhiệm quản lý khác nhau và lựa chọn một cách hợp lý.
Suy nghĩ sai lầm số 10: “Mã hóa là cách tốt nhất để giữ cho file nhạy cảm của bạn được an toàn”
Nguyên nhân: khi mã hóa hoạt động tốt, nó là một tính năng tuyệt vời. Song những rắc rối mà mã hóa đem lại có thể vượt xa những lợi ích của nó, nhất là trong trường hợp chúng ta hiểu biết quá nông cạn về một công nghệ khó. Đôi khi mã hóa chỉ là một chiếc bình phong nhằm giảm các lo ngại về an ninh.
Cách giải quyết: hãy hiểu biết thật rõ về mã học trước khi đưa ra quyết định.
Cuối cùng, Heiser cho biết các suy nghĩ sai lầm này xuất hiện là do các yếu tố chủ quan của con người: thói quen phản ứng thái quá với các tình trạng lạ; bên cạnh tâm lý muốn đổ lỗi sang cho người khác. “Trốn tránh trách nhiệm cho thấy quản lý rủi ro quá mang tính quan liêu”, theo Heiser. Ông khẳng định rằng “không việc gì các giám đốc bảo mật thông tin phải ngồi im và chịu đựng tất cả mọi thứ”, nhất là khi mọi người ngày càng quen thuộc với các công nghệ điện toán tiêu dùng nhiều hơn.
(st)