Năm lỗi cơ bản trong chính sách bảo mật
Năm lỗi mà các doanh nghiệp thường mắc phải khi soạn thảo và
thực thi các chính sách bảo mật thông tin. Một số lỗi có vẻ khá
đơn giản, chúng thường hay xảy ra và gây tổn thất nghiêm
trọng
Không có chính sách
Trong các lỗi về chính sách bảo mật thì đây là lỗi lớn và trong thực tế có thể kể từ không
có chính sách cho đến chỉ có “chính sách ngầm” – loại chính sách được ban lãnh đạo bàn
thảo không chính thức, không có biên bản và không phổ biến cho ai cả.
Sơ suất này không chỉ làm suy yếu việc bảo mật và dẫn đến trách nhiệm về pháp lý, mà
còn có thể vi phạm các quy định trong chính sách bảo mật đã được chính thức ban hành
bằng văn bản.
Tất nhiên ngay khi chính sách được chính thức soạn thảo, các doanh nghiệp thường phát
hiện rằng nhiều phần trong hệ thống của mình vi phạm chính sách. Không có gì lạ, vì
điều này cho thấy chính sách không chỉ được phát triển xoay quanh các tiêu chuẩn hiện
tại về hoạt động công nghệ thông tin (CNTT). Nghĩa là, ngoài chính sách bảo mật, các
doanh nghiệp cũng phải dẫn ra những khiếm khuyết trong hệ thống hiện tại của mình,
phân tích những rủi ro, và đánh giá phí tổn cho việc sửa chữa những khiếm khuyết này
cho phù hợp với chính sách mới.
Không cập nhật
Giả sử bạn không phải là “nạn nhân” của sai lầm nói trên, bạn sẽ nhận ra một điểm bảo
mật then chốt : có một chính sách bằng văn bản là chưa đủ để bảo mật tốt.
Chắc chắn là cơ cấu doanh nghiệp cũng như quy trình kinh doanh sẽ thay đổi, nên những
rủi ro về bảo mật thông tin và các quy định kèm theo cũng sẽ thay đổi. Tiềm năng phát
triển của doanh nghiệp luôn đi kèm với những rủi ro nên chính sách bảo mật cũng bắt
buộc phải luôn luôn được cập nhật.
Các lý do để cập nhật chính sách bảo mật bao gồm việc triển khai công nghệ mới (hoặc
bỏ phần cứng và phần mềm đã lỗi thời), nhiệm vụ mới, phát triển, sáp nhập hay tái cấu
trúc doanh nghiệp nhằm đưa dữ liệu mới và người sử dụng vào hệ thống cũng như đường
lối hay thông lệ kinh doanh – cơ bản là chính sách bảo mật phải sẵn sàng để bảo vệ bất kỳ
yếu tố đổi thay nào.

Xin nhắc lại, dữ liệu thu thập được rất quan trọng cho việc giữ sự cân bằng, vì hoạt động
của hệ thống (như tái khởi động hệ thống, cập nhật tự động, ngăn chặn xâm nhập) và hoạt
động của người sử dụng đều được lưu trữ và có thể được dùng để đối chiếu với chính
sách cũng như được trưng ra làm bằng chứng cho việc vi phạm hay tuân thủ chính sách.
Chính sách to lớn và cồng kềnh
Một chính sách phải được soạn thảo theo văn phong dễ hiểu cho những ai bắt buộc phải
tuân thủ.
Nếu một chính sách được viết theo văn phong của luật gia và dày tới 130 trang thì hầu
hết nhân viên sẽ chẳng hiểu được nó quy định những gì, và chắc chắn sẽ dẫn tới vi phạm.
Tương tự, các chính sách được viết quá nghiêm khắc và cấm những điều mà hầu hết nhân
viên thường làm để hoàn thành nhiệm vụ sẽ làm cho nhân viên bất tuân thủ hàng loạt.
Giáo dục là cần thiết ngay trước khi chính sách được áp dụng. Như thế, lập một chính
sách rõ ràng và dễ hiểu ngay từ đầu sẽ làm tăng mức độ tuân thủ chính sách trong tương
lai.
Chúng ta đã xem xét năm lỗi chính sách bảo mật thường gặp. Một chính sách bảo mật để
đạt mục đích, phải được viết rõ ràng và cập nhật theo yêu cầu. Chính sách phải bao gồm
các lĩnh vực kỹ thuật và không kỹ thuật. Và cuối cùng, cần phải giám sát việc tuân thủ
chính sách.