Dưới đây là bài phân tích của chuyên gia công nghệ Nguyễn Bá Quỳnh - Giám đốc Bộ phận Phần mềm, IBM Việt Nam về vấn đề này.

Hiệu quả, nhưng “lơ lửng” nguy cơ mất an ninh

Hiện nay xu thế cho phép nhân viên tự sử dụng các thiết bị di động cá nhân như smartphone hay tablet để truy cập mạng nội bộ và xử l‎ý các tài liệu của tổ chức (gọi là BYOD - Bring your own device) đã lan rộng tại Việt Nam.

Một mặt, BYOD đang thúc đẩy mạnh mẽ, giúp các tổ chức vận hành, tiết kiệm chi phí đầu tư và bảo hành thiết bị, đồng thời khuyến khích phát triển đội ngũ nhân viên “di động” năng suất cao, làm việc linh hoạt mọi nơi, mọi lúc.

Tuy nhiên, BYOD cũng đang đặt ra những nguy cơ lớn về bảo mật. Vì vậy, các tổ chức, doanh nghiệp phải đưa ra các quy định mới để hỗ trợ cũng như quản lý việc sử dụng các thiết bị di động theo chương trình BYOD. Ví dụ như tại IBM, nhân viên có thể sử dụng các thiết bị di động cá nhân cho công việc, như dùng BlackBerry hay iPad để kiểm tra thư, tạo lịch họp… nhưng với điều kiện đáp ứng được các yêu cầu về an ninh và bảo mật nghiêm ngặt.

Cụ thể hơn, các tổ chức, doanh nghiệp cần nhận thức rất rõ ràng khi nhân viên kết nối các thiết bị di động của họ với mạng của công ty và “sáp nhập” dữ liệu của doanh nghiệp với dữ liệu cá nhân, thì cần coi các thiết bị này như bất kỳ thiết bị CNTT nào khác của công ty, với các phương pháp an ninh, bảo mật phù hợp.

Nếu không, chính những thiết bị này sẽ là điểm yếu về bảo mật, nguy cơ lộ thông tin kinh doanh hoặc trở thành kênh tiếp nhận các nguy cơ về an ninh, bảo mật đối với cơ sở hạ tầng CNTT và các nguồn lực kinh doanh.

Một thực tế là bộ phận CNTT của nhiều tổ chức, doanh nghiệp đang gặp những thách thức lớn trong việc đảm bảo an ninh di động do một số nền tảng thiết bị di động như BlackBerry, iOS, Android và Windows có các mô hình bảo mật khác nhau. Ngoại trừ BlackBerry, hầu hết các thiết bị di động khác đều là nền tảng sản phẩm tiêu dùng, thiếu các công nghệ kiểm soát an ninh mang tầm doanh nghiệp.

Cùng đó, các dữ liệu của doanh nghiệp và của cá nhân tồn tại trên cùng một thiết bị sẽ rất khó tìm ra một điểm cân bằng giữa việc bảo mật gắt gao của doanh nghiệp với tính riêng tư của các dữ liệu cá nhân. Các ứng dụng “trái phép” (unauthorized) hoặc không mang tính hỗ trợ kinh doanh có nguy cơ làm lây lan mã độc, ảnh hưởng đến các dữ liệu kinh doanh chứa trên thiết bị di động.

Ngoài ra, các thiết bị di động có thể bị mất, bị lấy trộm, do có kích thước nhỏ và hay được mang đi mang lại. Mỗi lần mất như vậy lại đi kèm với những nguy cơ đối với các dữ liệu của tổ chức.

Đâu là hướng đi phù hợp cho các doanh nghiệp?

Theo IBM, vấn đề quan trọng nhất là các tổ chức cần xây dựng một chiến lược nghiêm ngặt, với các chính sách và hướng dẫn rõ ràng cho một môi trường di động mang tính bảo mật cao, tập trung vào một số lĩnh vực chủ chốt như: Dữ liệu và các nguồn lực có thể truy cập từ thiết bị di động; Hỗ trợ nền tảng; Phương pháp quản l‎ý; Thông lệ tối ưu từ các tổ chức, doanh nghiệp khác trên thế giới.

Trước hết, cần xác định dữ liệu nào được phép lưu trữ và xử lý trên loại thiết bị di động nào, từ đó xác định dữ liệu nào cần được bảo vệ, và bảo vệ ở mức độ nào. Một số doanh nghiệp chỉ cho phép sử dụng email, danh bạ và lịch họp. Một số doanh nghiệp khác cho phép truy cập vào một số ứng dụng quan trọng của doanh nghiệp như ERP (hệ thống Nguồn lực doanh nghiệp) hoặc CRM (Quản lý Quan hệ khách hàng).

Các mức độ truy cập khác nhau đòi hỏi các mức độ bảo mật khác nhau. Cần lưu ý rằng khi dữ liệu kinh doanh đi từ một địa điểm được bảo mật cao (ví dụ: cơ sở dữ liệu hoặc máy chủ lưu trữ dữ liệu – flie server) tới một thiết bị mang tính bảo mật thấp hơn, thì nguy cơ bị mất dữ liệu sẽ cao hơn chiều ngược lại.

Các tổ chức, doanh nghiệp cũng cần xác định cho phép sử dụng nền tảng di động nào trong môi trường doanh nghiệp, và do đó, cần được quản lý, hỗ trợ. Các nền tảng di động khác nhau có các cơ chế an ninh, bảo mật khác nhau.

Một quyết định khác mà các tổ chức cần cân nhắc là trách nhiệm quản lý hệ thống an ninh di động hoặc là sử dụng đội ngũ CNTT hiện tại, hoặc thuê một đội dịch vụ an ninh di động chuyên nghiệp.

Và cuối cùng, cho dù môi trường di động của các tổ chức, doanh nghiệp như thế nào thì cũng cần xây dựng chính sách, quy trình dựa trên các thông lệ tối ưu. Điều thuận lợi là một số thông lệ tối ưu dùng cho desktop và laptop có thể sử dụng cho các thiết bị di động, ví dụ: Quy định vai trò, trách nhiệm trong việc quản lý và bảo mật các thiết bị; Đăng k‎ý các thiết bị di động trong hệ thống; Cài đặt, cấu hình các ứng dụng bảo mật trên thiết bị di động; Tự động cập nhật các bản vá bảo mật, các chính sách và chế độ cài đặt liên quan đến an ninh, bảo mật; Định kỳ báo cáo tình trạng bảo mật của thiết bị; Đào tạo nhân viên về bảo mật thiết bị di động.

Nhìn chung, để có một chương trình BYOD hiệu quả, các nhân viên cần hiểu rõ, chấp nhận, và tuân thủ tất cả các khía cạnh của chính sách an ninh, bảo mật có liên quan. Tổ chức, doanh nghiệp có thể giải thích rõ cho nhân viên tại sao lại có những điều khoản như vậy trong chính sách của đơn vị, nếu nhân viên hiểu rõ xuất phát điểm của các chính sách đó, họ ít có xu hướng vi phạm hơn.

Ngược lại, nếu như chính sách của tổ chức khắt khe quá đáng, nhân viên lại có xu hướng vi phạm nhiều hơn như vô hiệu hóa, gỡ bỏ các phần mềm an ninh, bảo mật hoặc bỏ qua một số bước kiểm soát truy cập.

Nguyên Đức

Theo ICTNEWS