Kế hoạch bảo mật cho doanh nghiệp khi ứng dụng BYOD

Xu hướng sử dụng những thiết bị có tính di động cao như máy tính bảng và điện thoại thông minh vào điều hành sản xuất kinh doanh của doanh nghiệp đang gia tăng. Việc cho phép nhân viên sử dụng thiết bị riêng của họ trong môi trường làm việc đã trở thành một trong những xu thế có ảnh hưởng lớn nhất đã và sẽ tác động tới mọi bộ phận CNTT. Đằng sau sự năng động, xu hướng mang thiết bị cá nhân đi làm - BYOD đang trở thành mối nguy hại hàng đầu cho chính sách bảo mật và an toàn thông tin của bất cứ doanh nghiệp nào. Trong chiến lược kinh doanh của mình, các doanh nghiệp xem xét những rủi ro này và triển khai các giải pháp bảo mật phù hợp.

Xu hướngBYOD và các rủi ro bảo mật

Cùng với máy tính xách tay, máy tính bảng, điện thoại thông minh đang tạo nên xu hướng BYOD (Brings Your Own Device) - Mang thiết bị cá nhân đi làm. BYOD góp phần gia tăng sự linh động cho người dùng cuối, có thể sử dụng các thiết bị tính toán và truyền thông được họ lựa chọn để nâng cao năng suất làm việc. Thực tế là khi ngày càng có nhiều doanh nghiệp tiếp cận xu hướng BYOD và vận dụng tính di động trong chiến lược kinh doanh của họ, sẽ kèm theo đó là những rủi ro về an toàn thông tin cho bất cứ doanh nghiệp nào. Trong đó, máy tính bảng, điện thoại thông minh là những cái tên đứng đầu trong danh sách có nguy cơ rủi ro bảo mật cao. 

Theo ông Alxe Ong, Giám đốc Symantec Việt Nam, dù là do thất lạc hay bị mất cắp, một thiết bị di động thông minh có thể gây ra những tổn thất cho doanh nghiệp hoặc cho cá nhân người sử dụng về dữ liệu lưu trữ cũng như những dữ liệu nằm trong các hệ thống kết nối của doanh nghiệp, hoặc các ứng dụng trên công nghệ điện toán đám mây. Bởi ứng dụng thiết bị di động thông minh trong môi trường doanh nghiệp khiến cho vấn đề bảo vệ dữ liệu trở nên phức tạp hơn bởi thông tin có thể dịch chuyển thông qua các thiết bị mà hoàn toàn không được doanh nghiệp kiểm soát. Về mức độ thiệt hại, theo ông Alxe Ong, tổn thất trung bình của những vụ việc liên quan đến ứng dụng di động xảy ra trong vòng 12 tháng qua (bao gồm cả việc mất mát dữ liệu, tổn hại cho thương hiệu doanh nghiệp, giảm năng suất lao động và mất niềm tin của khách hàng) trên toàn cầu là hơn 5,1 tỉ USD.

Do đó, BYOD là một đề tài gây nhức đầu cho giới doanh nghiệp. Nỗi lo về các lỗ hổng mới xuất hiện trong hệ thống mạng của doanh nghiệp khiến các nhà quản lý thật sự rơi vào tình trạng luôn bị căng thẳng.

Ai là người sở hữucác thiết bị này?Ai quản lýcác thiết bị này?Aiđảm bảo an toàn chocác thiết bị?Trả lời những câuhỏinày sẽ giúp các doanh nghiệp hiểu rõnhững rủi ro, nắm bắtvàtận dụngnhững ưu điểm củaBYOD để nâng cao hiệu quả hoạt động của mình. Trên cơ sở đó, kết hợp với văn hóa doanh nghiệpvàcác yêu cầu quản lý, doanh nghiệp có thể tiếp cận xu thếBYODmột cách hợp lý. Với sự xuất hiện gia tăng và phổ biến của các thiết bị di động thông minh trong môi trường doanh nghiệp thì vấn đề bảo mật ngày càng trở nên nghiêm trọng và cấp bách hơn. Việc triển khai kế hoạch bảo mật theo 7 bước sau sẽ giúp các doanh nghiệp quản lý các thiết bị di động ở công ty hiệu quả và an toàn hơn.

7 Bước thực thi một kế hoạch bảo mật

1. Xác địnhcác yếu tố rủi ro mà BYOD mang lại

- Đánh giá cácrủi ro có thểảnhhưởngđếndoanh nghiệp của bạn

- Ánh xạ các yếu tố rủi ro thành các quy định (nếu có thể)

2. Thành lập một ủy ban chịu trách nhiệm vềBYOD

Ủy ban này bao gồm: Bộ phận liên quan tới kinh doanh; Bộ phận liên quan tới CNTT và Bộ phận liên quan tới an ninhthông tin.

3. Thực thicácchínhsách bảo mật đối với các thiết bịkếtnốivào mạng

Các thiết bị kết nối vào mạng có thể bao gồm: thiết bị di động(điện thoại thông minh); máy tính bảng (iPad); máy tính xách tay(laptop, netbook, ultrabook). Để triển khai thành côngcác chương trìnhBYOD, doanh nghiệp cần thiết lập các chính sách bảo mật phù hợp để giúp nhân viên có thể sử dụngcácthiếtbịcá nhân của họ linh hoạt trong môi trường doanh nghiệp theo các quy tắc đặt ra. Thủ tục và các chínhsách bảo mật nênxácđịnh rõ có áp dụngBYOD hay không và áp dụng thế nào. Do đó cầncụ thể hóacácchínhsách liên quan tới BYOD. Ví dụ,chính sách của bạnsẽ bao gồmbất kỳ vàtất cả các thiết bịhiện có hay có các giới hạn trong sử dụng cácthiết bị cá nhânđối với các nền tảng phần cứngvà phầnmềm cụ thể? Mặt khác, chính sách BYODcủa doanh nghiệp cần hỗ trợ các thiết bị di động hiện có và có thể là cả các thiết bị trong tương lai.

4. Xây dựng mộtkế hoạch bảo mật

Kế hoạch này bao gồm cáckhảnăng: Quản lý thiết bịtừxa;  Kiểm soát ứng dụng; Tuân thủ Chínhsáchvàbáo cáo kiểm toán; Mật mã hóa dữ liệu vàthiết bị; Tăng cường các biện pháp bảomật cho lưu trữ đám mây; Thu hồiquyềntruycậpđến các thiết bịkhimối quan hệngười dùng cuốithayđổitừ nhân viên sang khách hàng; Thu hồiquyềntruycậpđến các thiết bịkhi người lao độngchấm dứt hợp đồng làm việc tại công ty.

Những biện phápan ninh đầu tiên và đơn giản nhấttrong việc đảm bảo an toàn thông tin khi triển khai các chương trìnhBYODbao gồm:

 - Sử dụng mật mãmạnhtrên tất cả các thiết bị;

- Sử dụng các phần mềm chống virus và phòng chốngmất mát dữ liệu(DLP);

- Mật mã hóa cho các phương tiện lưu trữ di động:  đĩa, ổ cứng… và lưu trữ đám mây
- Sử dụng các giải pháp quản lý thiết bịdiđộngđểxóa dữ liệunhạycảmkhi các thiết bịbị mấthoặc bị đánh cắp;

- Kiểm soát ứng dụng.

Việc sử dụng mật mã hóa trongquá trình truyền dẫn vàlưu trữ dữliệukhiến cho việc phá vỡ mật khẩuvàđánh cắp dữ liệu trở nên khó khăn hơn. Ngoài việcápdụngmật mãvà sử dụng phần mềm chống viruscho các thiết bị di độngcủa mình, nên áp dụng giải pháp kiểm soát ứng dụngchoBYOD.

Một chương trình BYODthànhcôngchophép nhân viên của doanh nghiệp làm việc hiệu quả hơn với tính linh hoạt cao hơn mà vẫn đảm bảo an toàn thông tin cho doanh nghiệp.

5. Đánh giá các giải pháp

- Xem xét những ảnh hưởng tới mạng hiện có của doanh nghiệp

- Hãy xem xétlàmthếnàođể nâng cấp và cải thiện cáccông nghệ hiện đang sử dụng

6. Thực thi các giải pháp

Bắt đầu với một nhómthíđiểmtừmỗiphòng ban có liên quan. Sau đó, mở rộngthí điểmcho các phòng bandựatrên các tiêu chí của doanh nghiệp và cuối cùng là triển khai chương trình BYODcho tất cả các nhân viên.

7. Định kỳđánh giá lạicác giải pháp

 Dựa trên cácnhàcungcấpvà các cố vấnđángtincậy để đánh giá lộ trình triển khai sản phẩm và các tác độngtiềm năng của chúng tới chương trìnhBYODcủa doanh nghiệp. Đồng thời xem xét cáckếhoạchtiết kiệm chi phí triển khai nếu khả thi

Tài liệu tham khảo

1. www.symantec.com/
2. Four Data Threats in a Post-PC World,  www.f5.com.