Văn hóa bảo mật

Bài viết của Esteban Hernandez, Chuyên gia cao cấp về Bảo mật và Tuân thủ Kiến trúc Giải pháp, Amazon Web Services.

Văn hóa bảo mật

Xây dựng văn hóa bảo mật

Từ trách nhiệm của một nhóm duy nhất, ngày nay vấn đề bảo mật đã trở thành trách nhiệm của toàn bộ tổ chức. Bảo mật phải được coi là một yếu tố then chốt trong văn hóa của tổ chức, trong đó mọi nhân viên nhận thức rõ và chủ động sử dụng bảo mật làm căn cứ để điều chỉnh hành vi, phát triển công nghệ và ra quyết định. Xét cho cùng, một cách tiếp cận lạc quan và chủ động là yếu tố quan trọng để xây dựng một tổ chức mà ở đó an ninh bảo mật tạo điều kiện cho toàn bộ doanh nghiệp vận hành nhanh hơn và an toàn hơn.

Xây dựng văn hóa bảo mật là việc cần phải làm trong tương lai, nhưng nó sẽ được định hình như thế nào trên thực tế? Các tổ chức phải làm gì để tuân thủ các nguyên tắc hướng dẫn giúp họ đi đúng hướng về bảo mật? Bạn có thể làm gì ngay hôm nay để thúc đẩy văn hóa bảo mật chủ động?

Văn hóa bảo mật là gì?

Văn hóa bảo mật chủ động là văn hóa trong đó bộ phận an ninh bảo mật phối hợp hiệu quả với các bộ phận khác của doanh nghiệp. Nếu giả định rằng mọi người đều muốn làm điều đúng đắn thì chúng ta phải biến lựa chọn an toàn trở thành lựa chọn dễ dàng nhất. Để làm được việc đó, chúng ta cần quan tâm không chỉ đến công nghệ mà còn cả người sử dụng công nghệ và văn hóa của tổ chức.

Thông thường, các tổ chức coi an ninh bảo mật như một cánh cổng phải vượt qua hoặc như một nội dung cần bổ sung khi kết thúc dự án. Trước đây công việc này vốn được coi là trách nhiệm của những người mang chức danh liên quan tới bảo mật. Ngược lại, các doanh nghiệp thành công thường coi trọng vấn đề bảo mật và khả năng chống chịu một cách chủ động, như là nền tảng của văn hóa công ty và là mối quan tâm của tất cả các nhà điều hành, nhà quản lý và nhân viên trong doanh nghiệp. Cách tiếp cận này đặt bảo mật vào trung tâm của tất cả các quy trình nghiệp vụ thường nhật, nâng cao khả năng phục hồi và ứng phó của tổ chức khi xảy ra sự cố.

Nguyên tắc hướng dẫn

 

Để xây dựng văn hóa bảo mật, các doanh nghiệp phải tuân theo 10 nguyên tắc chính, 5 trong số đó sẽ được đề cập trong bài viết này:

1. Đào tạo: Theo nguyên tắc này, doanh nghiệp cần cập nhật công nghệ cho lực lượng lao động, tham vấn các chuyên gia bảo mật cũng như nghiên cứu các chính sách và quy tắc bảo mật. Nhờ đó, mọi nhân viên trong doanh nghiệp đều có thể trở thành hàng phòng ngự đầu tiên trong chương trình bảo mật của công ty, giảm thiểu xác suất phát sinh các lỗi đơn giản có thể dẫn đến sự cố bảo mật. Nguyên tắc này cũng bao gồm việc thiết lập các yêu cầu và kỳ vọng cho toàn bộ doanh nghiệp, chẳng hạn yêu cầu rằng cấu hình bảo mật phải do các nhà phát triển ứng dụng triển khai, hoặc nhà cung cấp sản phẩm phải có trách nhiệm vá lỗ hổng bảo mật.

2. Thực hành an toàn:  đảm bảo thực hành tốt về bảo mật có vai trò trọng yếu đối với việc ngăn chặn không để những sai lầm cơ bản biến thành các mối đe dọa bảo mật. Do đó, người lao động phải hiểu được sự nguy hiểm của các thực hành bảo mật kém, chẳng hạn như chia sẻ thông tin về tài khoản và mật khẩu của người dùng. Đồng thời, các doanh nghiệp cần đảm bảo rằng các hệ thống truy cập hiện có tạo thuận lợi cho các thực hành an toàn. Ví dụ: các dịch vụ AWS cung cấp thông tin đăng nhập tạm thời chỉ có giá trị trong vài phút hoặc vài giờ, sau đó các thông tin này sẽ không còn giá trị truy cập hệ thống. Tính năng này thắt chặt kiểm soát truy cập dịch vụ, giảm khả năng dữ liệu doanh nghiệp bị truy cập ngoài ý muốn.

3. Rút kinh nghiệm từ sự cố nhưng không đổ lỗi: sẽ luôn có sự cố phát sinh đối với con người và phần mềm do con người phát triển. Điều quan trọng là biết rút kinh nghiệm và hành động để khắc phục. Xây dựng văn hóa khách quan và không đổ lỗi trong quá trình phân tích nguyên nhân gốc rễ làm phát sinh sự cố sẽ giúp tổ chức tăng cường khả năng học hỏi của nhân viên. Đừng hỏi rằng lỗi thuộc về ai, thay vào đó, hãy hỏi có thể làm gì để đảm bảo lần sau người đó sẽ lựa chọn đúng. Bạn có thể xây dựng văn hóa trong đó mọi người cảm thấy thoải mái khi nêu lên các vấn đề an ninh bảo mật vì họ biết mình được đội ngũ bảo mật hỗ trợ.

4. Phối hợp làm việc với các bên có liên quan: làm việc với các nhà phát triển phần mềm sẽ giúp bạn hiểu rõ hơn quy trình xây dựng và phát hành phần mềm. Nhờ đó, đội ngũ bảo mật có thể tạo điều kiện để các nhà phát triển phần mềm đưa ra các lựa chọn tốt hoặc kế thừa và phát huy khả năng về bảo mật, nhờ đó  họ có thể tập trung vào lập trình logic của các quy trình nghiệp vụ. Ví dụ: tích hợp nền tảng đám mây với nhà cung cấp dịch vụ định danh công ty của bạn và đảm bảo rằng các nhà phát triển phần mềm có thể xác lập các đặc quyền bên trong những giới hạn được xác định rõ ràng sẽ giúp bảo mật không còn là một cánh cổng cần vượt qua trong quá trình phát triển. Các bài kiểm tra tự động thực hiện theo chuỗi (pipelines) có thể phản hồi sớm để nhà phát triển xây dựng được vị thế bảo mật mong muốn.

5. Chỉ tiêu và giám sát: khả năng đánh giá tình trạng bảo mật và cấp quyền truy cập vào dữ liệu kết quả đó là cách để bạn truyền đạt và tìm hiểu về những bộ phận hoạt động có hiệu quả trong tổ chức của bạn. Nếu xác định được các nhóm làm việc tốt hoặc xây dựng các giải pháp sáng tạo, bạn có thể mở rộng để triển khai cho toàn doanh nghiệp. Minh bạch hóa các chỉ số đánh giá người lao động và cung cấp cho họ các công cụ theo dõi sẽ thúc đẩy văn hóa làm chủ, nhờ đó củng cố phương pháp chủ động áp dụng các biện pháp bảo mật.

Văn hóa bảo mật sẽ góp phần cải thiện đáng kể năng lực bảo mật của tổ chức bằng cách trở thành khuôn khổ để người lao động điều chỉnh hành vi, phát triển công nghệ và ra quyết định. Tuy nhiên, các công ty cần cách tiếp cận có cấu trúc để áp dụng khuôn khổ thành công. Văn hóa bảo mật được xây dựng trên cơ sở giáo dục, thực hành tốt, lập mô hình mô phỏng các mối đe dọa và sự đoàn kết thống nhất của toàn bộ người lao động trong doanh nghiệp. Nếu làm được điều này, bạn sẽ cải thiện năng lực bảo mật của tổ chức, vượt lên đối thủ và đảm bảo an toàn cho dữ liệu. Hãy tiếp tục theo dõi tư vấn của chúng tôi về xây dựng văn hóa bảo mật trong thời gian tới.

An Nhiên

Chủ đề : bảo mật
 
List comment
 
Tấn công ransomware vào doanh nghiệp Việt giảm mạnh
icon

Số vụ tấn công vào các doanh nghiệp vừa và nhỏ ở Đông Nam Á và Việt Nam giảm hơn một nửa so với trước.

 
Người dùng 'tá hỏa' vì đã xóa ứng dụng gọi xe vẫn phát sinh giao dịch mua vé máy bay
icon

Người dùng bất ngờ nhận được thông báo trừ tiền cho giao dịch mua vé máy bay qua ứng dụng gọi xe dù không hề thực hiện giao dịch và đã không sử dụng ứng dụng này trong gần 6 tháng qua.

 
Công ty giúp FBI bẻ khóa chiếc iPhone 5 năm trước
icon

Một công ty bảo mật Australia đã giúp Cục Điều tra Liên bang Mỹ (FBI) bẻ khóa chiếc iPhone của nghi phạm xả súng năm 2015.

 
Công cụ hỗ trợ kiểm tra online 4 lỗ hổng mới trên máy chủ dùng Microsoft Exchange
icon

Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) vừa cung cấp miễn phí công cụ “ProxyNotFound” trên trang khonggianmang.vn. Công cụ này hỗ trợ kiểm tra máy chủ dùng phần mềm Microsoft Exchange có tồn tại 4 lỗ hổng bảo mật mới hay không.

 
'Tôi nhận tin nhắn lừa đảo từ Vietinbanh'
icon

 Tin nhắn mà các nạn nhân nhận được có brandname là 'Vietinbanh' và chứa đường link dẫn tới trang web lừa đảo.

 
 
Nửa triệu smartphone Huawei dính mã độc Joker
icon

Hơn 500.000 người dùng smartphone Huawei đã tải về ứng dụng nhiễm mã độc Joker mà không hề hay biết.  

Học viện Kỹ thuật Mật mã hướng tới mô hình đại học thông minh, đổi mới sáng tạo
icon

Theo yêu cầu của lãnh đạo Ban Cơ yếu Chính phủ, thời gian tới, Học viện Kỹ thuật Mật mã cần đẩy mạnh chuyển đổi số các mặt công tác, từng bước hình thành hệ sinh thái quản trị theo hướng đại học thông minh, đổi mới sáng tạo.

Vũ khí mạng - Vũ khí nguy hiểm khôn lường
icon

Mặt yếu của kỹ thuật số là nguy cơ bị tấn công bởi vũ khí mạng - một vấn đề đang được các chuyên gia nhiều lĩnh vực cùng các phương tiện truyền thông đặc biệt quan tâm trong thời gian gần đây.

NCSC đổi nhận diện thương hiệu, chuyển mình cùng xã hội số
icon

Từ ngày 15/4, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) thay đổi logo, thể hiện sự chuyển mình cùng xã hội số, với sứ mệnh bảo vệ cá nhân, tổ chức trước các nguy cơ, rủi ro mất an toàn trên không gian mạng.

Nhiều nhóm tấn công APT có thể khai thác lỗ hổng mới trong Microsoft Exchange
icon

Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), 4 lỗ hổng mới nghiêm trọng trong máy chủ thư điện tử Microsoft Exchange dù chưa có mã khai thác công khai trên Internet song có thể nhiều nhóm APT vẫn khai thác được.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123