Cuộc cách mạng kỹ thuật số đã và đang mang lại nhiều cơ hội và thách thức cho các SME. Tuy nhiên, nhiều nhà lãnh đạo, người đứng đầu các SME vẫn không tin rằng họ sẽ trở thành nạn nhân của một cuộc tấn công mạng.
Một nghiên cứu do hãng Keeper uỷ nhiệm Viện Ponemon thực hiện đã chỉ ra rằng 67% SME đã từng bị tin tặc tấn công trong năm 2018.
Theo nhận định của các chuyên gia bảo mật, SME vẫn đang là mục tiêu hấp dẫn của tội phạm mạng, bên cạnh việc đánh cắp thông tin và lợi ích trực tiếp từ SME, tin tặc còn sử dụng SME làm bệ phóng cho các chiến dịch quy mô hơn và xâm nhập vào các tổ chức lớn hơn.
Tuy nhiên, việc xây dựng các hệ thống bảo mật luôn là băn khoăn của nhiều doanh nghiệp (DN) do có nguồn lực hạn chế trong khi chi phí đầu tư vào an ninh mạng rất lớn. Một công ty khởi nghiệp cần phải đầu tư bao nhiêu tiền và vào giai đoạn nào cho vấn đề an ninh mạng? Bài viết giới thiệu 7 giải pháp bảo mật đơn giản và có chi phí thấp nhằm giúp các SME đảm bảo an toàn, an ninh mạng trong kỷ nguyên số hiện nay.
Xác định dữ liệu nhạy cảm nhất của doanh nghiệp
Kelvin Coleman, Giám đốc điều hành Liên minh an ninh mạng quốc gia (NCSA) Mỹ, cho biết đầu tiên các SME cần xác định những tài sản và hệ thống quan trọng đối với sự thành công của DN. Ví dụ dữ liệu bán hàng và danh sách khách hàng cũng như các nhà cung cấp có vai trò rất quan trọng đối với các DN - và chúng là mục tiêu hấp dẫn đối với tin tặc.
Coleman khuyến nghị các SME tạo ra một danh sách kiểm kê chi tiết về dữ liệu DN cũng như các tài sản vật chất và cập nhật nó thường xuyên. Đối với tất cả tài sản phần cứng và phần mềm cần ghi lại nhà sản xuất, model, số sê-ri và thông tin hỗ trợ.
Theo ông Steven Durbin, Giám đốc điều hành của Diễn đàn bảo mật thông tin ISF (Information Security Forum), các SME cũng nên thiết lập các chính sách, quy trình và đào tạo nhân viên để họ tuân thủ đầy đủ các chính sách bảo mật được đặt ra.
Bảo vệ dữ liệu DN bằng cách cập nhật phần mềm thường xuyên
Đa số các xâm phạm bảo mật xảy ra do các DN không cập nhật phần mềm kịp thời, bao gồm phần mềm bảo mật, trình duyệt web, các ứng dụng và hệ điều hành.
Nhiều ứng dụng phần mềm sẽ tự động cập nhật, vì vậy hãy đảm bảo bật tính năng đó bất cứ khi nào có thể. Ngoài ra, các SME cũng nên có hệ thống dự phòng, thực tế nhiều nạn nhân của ransomware đã phải nộp tiền chuộc do họ không có bản sao cần thiết để khôi phục khi bị tấn công.
Mặt khác, theo Max Trottier, Phó Chủ tịch bán hàng và tiếp thị tại Devolutions, SME nên bảo mật các tài khoản đặc quyền một cách cẩn thận hơn. Rất nhiều chủ sở hữu SME biết tài khoản đặc quyền là gì, nhưng nghĩ mình là những DN nhỏ nên họ không quan tâm và ưu tiên nó. Tuy nhiên, khi phát triển và mở rộng thêm cơ sở hạ tầng CNTT, SME sẽ phải quản lý rất nhiều thứ. Hãy phân quyền cho nhân viên một cách phù hợp để đảm bảo họ chỉ truy cập vào dữ liệu cần thiết phục vụ cho công việc của họ, khi đó quản lý tài khoản đặc quyền là tiếp cận hợp lý và hiệu quả.
Xây dựng văn hóa an ninh mạng
Việc tuyển dụng các chuyên gia bảo mật hàng đầu có thể rất tốn kém so với khả năng chi trả của hầu hết các SME. Giải pháp là thuê một người hoặc một bên thứ ba phụ trách về CNTT và bảo mật. Trong trường hợp này, việc đào tạo nâng cao nhận thức an ninh mạng cho nhân viên trở nên rất quan trọng.
Đào tạo cho nhân viên về các hoạt động hay yêu cầu đáng ngờ, các tệp tin đính kèm và liên kết bất thường cũng như phương thức để họ có thể báo cáo sự cố dễ dàng.
Tại nhiều DN, một nhân viên bình thường không phải lúc nào cũng cảm thấy có trách nhiệm phải báo cáo các vấn đề bảo mật. SME cần phải khuyến khích nhân viên của họ tham gia nhiều hơn và báo cáo vấn đề bảo mật nếu họ nghĩ có gì đó bất ổn.
Có kế hoạch phản ứng khi xảy ra sự cố an ninh
Ngay cả với các công cụ và chuyên gia bảo mật tốt nhất, các sự cố bảo mật vẫn có thể xảy ra. Đó là lý do tại sao SME nên xây dựng một kế hoạch ứng phó sự cố, theo Giám đốc điều hành NCSA Coleman.
Một kế hoạch như vậy nên bao gồm những gì? Đầu tiên, các DN cần ngắt kết nối các máy tính bị ảnh hưởng khỏi mạng và báo cho nhân viên CNTT của họ, cho dù đó là nhân viên nội bộ hay công ty thuê ngoài.
Thứ hai, SME nên sử dụng hệ thống dự phòng và sao lưu để các hoạt động của DN được tiếp tục;có quy trình ứng phó sự cố bằng văn bản để mọi phòng/ban trong DN nắm được; thông báo và báo cáo sự cố cho các cơ quan liên quan.
Cuối cùng, sau khi sự cố kết thúc cần rút ra bài học kinh nghiệm và cải thiện, điều chỉnh các chính sách cũng như quy trình cho hợp lý.
Xem xét thuê một nhà cung cấp dịch vụ bảo mật được quản lý
Chris Morales, người đứng đầu bộ phân phân tích bảo mật tại Vectra, cho biết trong bối cảnh các mối đe dọa mạng ngày càng diễn biến phức tạp và nguy hiểm hơn, các SME nên xem xét thuê một nhà cung cấp dịch vụ bảo mật được quản lý (MSSP) để đánh giá nhu cầu kinh doanh của DN và triển khai các giải pháp bảo mật phù hợp.
Bạn cần khảo sát chi tiết các dịch vụ của MSSP, thời gian đáp ứng, vai trò của bạn trong quy trình làm việc, các gói và chi phí, cam kết bảo thông tin, trên cơ sở đó đưa ra cân nhắc chính xác và hợp lý khi lựa chọn MSSP.
Tuân thủ các tiêu chuẩn và chứng nhận
SME cần quyết định sẽ tuân thủ những tiêu chuẩn bảo mật nào, Durbin của Diễn đàn bảo mật thông tin cho biết. Ví dụ: Nếu họ có kế hoạch kinh doanh liên quan tới thẻ tín dụng, họ sẽ cần phải được cấp chứng chỉ bảo mật toàn cầu (PCI DSS - Payment Card Industry Data Security Standard). Ngược lại, nếu họ có kế hoạch kinh doanh tại Liên minh châu Âu, họ nên dành thời gian tìm hiểu về Quy định về bảo vệ dữ liệu chung (GDPR).Thậm chí, SME còn phải nắm rõ các quy định về xử lý dữ liệu nhạy cảm của bất kỳ người dân California nào khi Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA) có hiệu lực từ ngày 1/1/2020.
"Một khi CCPA có hiệu lực, đây sẽ là lần đầu tiên ở Hoa Kỳ, các công ty sẽ phải tuân thủ các yêu cầu về quyền riêng tư theo luật", Durbin nói.
Sử dụng mật khẩu và xác thực đa yếu tố (MFA) mạnh
Theo các chuyên gia bảo mật, các SME nên yêu cầu nhân viên của mình thay đổi mật khẩu thường xuyên và sử dụng xác thực đa yếu tố (MFA). Dưới đây là một số mẹo của NCSA về cách tạo mật khẩu mạnh hơn:
- Sử dụng cụm mật khẩu dài: Người dùng nên xem xét sử dụng mật khẩu dài nhất có thể hoặc cụm mật khẩu, ví dụ: tiêu đề tin tức hoặc thậm chí là tiêu đề của cuốn sách cuối cùng bạn đọc. Sau đó thêm vào một số dấu câu và viết hoa. Mật khẩu tốt nhất thường liên quan tới một cái gì đó gần gũi với bạn để giúp bạn dễ dàng ghi nhớ.
- Tạo mật khẩu khó đoán: Không nên đưa thông tin cá nhân vào mật khẩu của bạn như tên của bạn hoặc tên con bạn hoặc vật nuôi. Thông tin này rất dễ tìm thấy trên phương tiện truyền thông xã hội, giúp tội phạm mạng dễ dàng tấn công tài khoản của bạn hơn.
- Tránh sử dụng các từ phổ biến trong mật khẩu của bạn: Khuyến cáo nhân viên của bạn thay thế các chữ cái bằng số, dấu chấm câu hoặc ký hiệu. Ví dụ: @ có thể thay thế chữ "A" và dấu chấm than (!) có thể thay thế chữ "I" hoặc "L."
- Sáng tạo: Sử dụng các thay thế ngữ âm, như "PH" thay vì "F." Hoặc cố ý để sai lỗi chính tả như "enjin" thay vì "engine".
- Sử dụng trình quản lý mật khẩu: Chỉ với một mật khẩu chính, máy tính có thể tạo và truy xuất mật khẩu cho mọi tài khoản.