Kinh nghiệm quản lý an toàn thông tin hiệu quả

Giới thiệu
Những kinh nghiệm trình bày trong bài viết này được đúc kết qua những
công việc thực tế mà tôi đã từng thực hiện tại một công ty thế chấp tài sản.
Công ty bao gồm các chi nhánh văn phòng và các ngân hàng điện tử, ngân
hàng trực tuyến. Với cương vị là người phụ trách về an toàn thông tin trong
công ty việc đầu tiên tôi cần phải làm là vấn đề an toàn, bảo mật xuyên suốt
công ty. Công ty thế chấp tài sản và tất cả các hệ thống của nó phải được
quản lý dưới cùng một tiêu chuẩn về bảo mật dùng trong ngân hàng.
Bạn sẽ tìm được ở đây các báo cáo đề cập đến các nghiên cứu và kết quả mà
tôi đã vạch ra từ trước nhằm thực hiện và áp dụng vấn đề bảo mật thông tin
trong công ty này, cũng như các mục tiêu nhằm bảo đảm thành công của
chúng tôi khi mạo hiểm đầu tư vào ngân hàng điện tử.
Với thời gian nhỏ hơn 90 ngày tính đến khi ngân hàng mở cửa khai trương
hoạt động (cả ngân hàng thông thường và ngân hàng điện tử), tôi cần có một
kế hoạch nghiêm túc đối phó với các tấn công. Các nghiên cứu chỉ ra rằng
một kế hoạch và kiểm tra sẽ là nhân tố thành công của bảo mật. Sau khi
nghiên cứu về ngân hàng và thương mại điện tử, tôi đã theo các bước ở dưới
đây để quản lý về bảo mật và chuẩn bị cho việc xây dựng chế độ an ninh cho
ngân hàng mới mở.
Thu thập thông tin
Bạn hãy tìm hiểu xem hệ thống của bạn làm việc như thế nào và tự đào tạo
mình về an toàn, bảo mật thông tin. Hãy bắt đầu công việc quản lý an toàn
thông tin bằng cách thu thập và đánh giá dựa trên các dữ liệu đã có. Sau đó,
tôi giữ lại bản sao của tất cả các chính sách, thủ tục, các bài học, các đánh giá

trợ cho việc tài liệu hóa quá trình giải quyết các lỗi vi phạm. Các rủi ro không
được chấp nhận sẽ đòi hỏi phải có kế hoạch hành động sửa chữa để loại trừ
hay giảm thiểu rủi ro.
Với các dữ liệu thu thập được và một đánh giá đầy đủ về rủi ro, bước tiếp
theo là thực hiện phân tích các lỗ hổng của hệ thống. Trên cơ sở các bài học
của FFIEC IS, tôi tiến hành xác định các lỗ hổng và phác thảo ra một kế
hoạch hành động. Với các trang bị về đánh giá rủi ro/phân tích lỗ hổng và
một kế hoạch cho dự án, tôi bắt đầu chuẩn bị kế hoạch bảo mật của cá nhân.
Nhận thức về bảo mật
Một tháng sau khi ngân hàng mở cửa; tôi thuê một nhà cung cấp an toàn, bảo
mật để giúp đỡ tôi trong việc nhận thức nó tốt hơn. Chúng tôi cùng xem xét
một vài Website về an toàn, bảo mật (cả về nhà cung cấp và thực hiện) và tổ
chức vài cuộc họp bàn về những kết quả mà chúng tôi học được trong lĩnh
vực bảo mật. Các khoá đào tạo về bảo mật đưa ra rất nhiều câu hỏi và trả lời
được trình bày trong các hình thức thong tin qua điện thoại hoặc thư tín điện
tử trực tiếp. Các hoạt động này giúp mọi người ghi nhớ và quan tâm thực sự
vào vấn đề an toàn, bảo mật. Việc hình thành báo cáo nóng 7x24, cùng với sự
kết hợp của phòng quản lý nhân sự đã giúp đỡ tôi thực hiện đào tạo về
an toàn, bảo mật cho những thành viên mới.
Để giữ vấn đề an toàn, bảo mật ở vị trí hàng đầu, việc tiếp tục trao đổi thông
tin và đào tạo về an toàn, bảo mật cần được khuyến khích thực hiện. Các
thông tin và cảnh báo về an toàn bảo mật thường xuyên được trao đổi qua thư
điện tử và đưa lên Website nội bộ. Vấn đề quan trọng là vẫn phải tiếp tục
nhắc nhở các thành viên về trách nhiệm giữ gìn an toàn bảo mật của họ.
Proactive Measures
Công việc an toàn, bảo mật đòi hỏi một sự đầu tư lớn vào công nghệ, dịch vụ,
con người, và các thay đổi thường xuyên trong văn hóa công ty. An toàn bảo
mật thông tin bao gồm cả phát hiện truy cập trái phép, giám sát, theo dõi, xác
định ranh giới về các tiêu chuẩn, kiểm tra và đào tạo kỹ thuật. Các theo dõi
giám sát trực tiếp sẽ giúp cho phát hiện các bất thường hoặc xâm nhập trái

Kế hoạch bảo mật
Cuối cùng, nhưng không phải không quan trọng là kế hoạch bảo mật. Theo
sách hướng dẫn thực hiện của FFIEC, các tổ chức cần phải đề ra các kế
hoạch để giảm thiểu sự tiết lộ thông tin ra bên ngoài. Việc phát triển kế hoạch
này liên quan đến các nhà quản lý ở mọi mức độ kể cả “hội đồng quản trị”.
Các thành phần chủ chốt của kế hoạch bao gồm các chính sách bảo mật, quản
lý rủi ro, đánh giá lỗ hổng, kiểm tra chìa khóa, hoạt động của máy tính, đào
tạo, các khía cạnh về vật lý và môi trường, lập kế hoạch đối phó với bất ngờ,
đối phó với các thiệt hại, điều khiển truy cập, báo cáo, và thay đổi cấp quản
lý. Các kế hoạch đã có từ trước cho phép tổ chức ưu tiên ngân sách, tài
nguyên, và phát triển một chiến lược thực hiện.
Kết luận
Quản lý an toàn thông tin bao gồm viết chính sách, đào tạo và nhận thức,
quản lý cấu hình, theo dõi, tìm kiếm, hoặc kiểm tra. Quản lý an toàn thông tin
không bao gồm công nghệ, nhưng cũng liên quan đến phát triển, và duy trì
một hệ thống thông tin ở tình trạng hoạt động tốt. Rõ ràng rằng, sự trao đổi
thông tin, và chính sách bắt buộc là chìa khóa của an toàn, bảo mật.
Thông tin là một trong những tài sản giá trị nhất của bất kỳ một tổ chức nào.
Bạn phải xem xét xem thông tin gì có giá trị, và có cách bảo vệ nó tương
xứng. Các lỗ hổng bảo mật cần phải được xác định, giảm thiểu về số lượng,
loại trừ hoặc ghi nhận để mở rộng thực hành bảo mật và khả thi về mặt kinh
tế. An toàn, bảo mật máy tính bao gồm mọi thứ từ các chính sách còn chưa
được duyệt; đến các tập tin chứa thông tin về cấu trúc mạng cần bảo vệ và
các cấu hình cơ sở.
Như đã đề cập, an toàn, bảo mật là một vấn đề rất quan trọng trong các ngân
hang trực tuyến. Các công ty hoạt động về lĩnh vực ngân hàng điện tử cần
phải kiểm tra không chỉ mật khẩu, sự mã hóa thông tin, mà còn cần đảm bảo
các quy trình nghiệp vụ cơ bản để chống lại các tấn công của các hacker.
Điều cuối cùng, đừng nghĩ rằng bạn đã có thể nghỉ ngơi và thư giãn trong các
vinh quang mà bạn đã đạt được. Mạng máy tính của bạn không tĩnh lặng, Lỗ


(8) Taylor, L. The Whys and Hows of a Security Vulnerability Assessment.
August 9, 2000