Bảo mật dữ liệu - vấn đề sống còn của các doanh nghiệp

850,000 - Là số dữ liệu của khách hàng (họ tên, số an sinh xã hội,…) bị mất khi một chiếc laptop của tập đoàn bảo hiểm bị lấy trộm vào tháng 10/2009.

700,000 - Là số bệnh nhân bị tiết lộ thông tin chữa trị khi hệ thống của công ty quản lý dược phẩm bị hacker xâm nhập vào tháng 09/2009 & 1,000,000 USD thưởng cho người cung cấp thông tin để bắt được kẻ đột nhập.

500,000 - Là số tài khoản của khách hàng bị tiết lộ sau khi hệ thống của một công ty cung cấp dịch vụ Web và tên miền, bị xâm nhập và công ty này đã phải trả hàng tỷ đồng để khắc phục hậu quả.

Các thống kê cho thấy, dù hoạt động trong lĩnh vực nào, điểm chung của các doanh nghiệp là đều sở hữu dữ liệu, có thể là những dữ liệu đơn giản như thư từ trong tổ chức, tài liệu kỹ thuật, cho đến những dữ liệu mang tính sống còn của tổ chức như bí mật kinh doanh, chiến lược phát triển, … và một tổ chức thường có rất nhiều loại dữ liệu.

Vấn đề phân loại những dữ liệu trong tổ chức, đồng thời có một giải pháp toàn diện nhằm quản lý một cách hiệu quả các dữ liệu nhạy cảm đang là thách thức bảo mật lớn nhất của những người quản trị mạng hay các CIO của doanh nghiệp.

Phân loại dữ liệu trong doanh nghiệp

Để bảo mật dữ liệu, trước hết các doanh nghiệp phải có chiến lược hoạch định và phân loại được các dữ liệu có trong hệ thống, bởi mỗi loại dữ liệu có một vai trò khác nhau, có giá trị khác nhau phải có chính sách bảo mật cụ thể khác nhau. Một mô hình tham khảo để phân loại dữ liệu bao gồm 4 lớp chính như sau:

• Top Secret/ Restricted - Bao gồm các dữ liệu có yêu cầu mức độ bảo mật cao nhất, các dữ liệu này có thể là công thức chế tạo, thiết kế sản phẩm, bí mật kinh doanh, các quy trình ứng dụng trong sản xuất, hay các kế hoạch phát triển chiến lược của doanh nghiệp.
• Confidential/ Private - Bao gồm các dữ liệu có yêu cầu bảo mật thấp hơn như các tài liệu phân tích thị trường, các thông tin tài chính và dự toán đầu tư, dữ liệu về nhân viên/ khách hàng, hay thông tin về hạ tầng IT của doanh nghiệp, …
• Internal - Bao gồm các dữ liệu như các thông tin trao đổi qua email trong nội bộ, các chính sách/ quy trình nội bộ, …
• Public - Là loại dữ liệu không cần thiết phải bảo mật, hay nói cách khác có thể cung cấp những dữ liệu loại này cho khách hàng, hay đối tác ngoài doanh nghiệp, những dữ liệu dạng này bao gồm bảng giá sản phẩm, thông tin giới thiệu sản phẩm hay danh bạ liên lạc, …

Mô hình phân loại dữ liệu doanh nghiệp

Sau khi doanh nghiệp đã phân loại dữ liệu hợp lý, bước tiếp theo là cần thiết phải lựa chọn một giải pháp chống thất thoát dữ liệu phù hợp với đặc thù của từng doanh nghiệp. Hiện nay, có rất nhiều hãng bảo mật nổi tiếng cung cấp giải pháp chống thất thoát dữ liệu, tuy vậy giải pháp của mỗi hãng lại có điểm mạnh-yếu khác nhau, doanh nghiệp cần được tư vấn để lựa chọn một giải pháp phù hợp với đặc thù của mình, đồng thời chi phí đầu tư hợp lý nhất.

Một giải pháp chống thất thoát dữ liệu toàn diện …

Về mặt kỹ thuật, một giải pháp chống thất thoát dữ liệu phải có khả năng kiểm soát đầy đủ dữ liệu ở cả 3 mức:

• Network (Data in Motion) - Các dữ liệu được truyền thông qua đường Internet như gửi thư điện tử, tải các dữ liệu nội bộ lên các trang web, truyền tải dữ liệu nội bộ qua các kết nối từ xa (remote connection) hay qua các kênh giao tiếp như Yahoo Messenger!, AOL, Skype, …
• Endpoint (Data in Use) - Các dữ liệu trao đổi qua các thiết bị di động như các thiết bị điện thoại thoại thông minh, ổ lưu trữ rời, trao đổi dữ liệu qua các kết nối BlueTooth, FireWire, WiFi, ..
• Discovery (Data at Rest) - Các dữ liệu được lưu trữ, chia sẻ trong môi trường mạng ở người dùng cuối hay trên các máy chủ một cách không kiểm soát.

Giải pháp cho phép áp đặt các chính sách phù hợp cho dữ liệu đã được phân loại nhằm hạn chế tối đa những nguy cơ có thể gây thất thoát dữ liệu của hệ thống, giúp cho người chủ doanh nghiệp luôn kiểm soát được mức độ an toàn của các dữ liệu quý giá trước các đối thủ cạnh tranh và đảm bảo phục vụ tốt nhất cho công việc kinh doanh của doanh nghiệp.

Mô hình giải pháp chống thất thoát dữ liệu

Để quản lý các dữ liệu như trên đòi hỏi một giải pháp chống thất thoát có những thành phần cơ bản như sau:

• Gateway Inspector - Giám sát/ ngăn chặn các dữ liệu nhạy cảm bị đưa ra ngoài thông qua đường Internet như gửi thư điện tử, tải dữ liệu lên website, trao đổi dữ liệu qua Instant Message (YM, AOL, Skype, …).
• EndPoint Protector - Giám sát/ ngăn chặn các dữ liệu bị đưa ra ngoài qua các đầu cuối của hệ thống như sao chép qua thiết bị lưu trữ rời (USB, đĩa cứng), qua kết nối không dây (bluetooth, WiFi), sao chép lên các thiết bị như CD/ DVD.
• Data-at-rest Manager - Giám sát các dữ liệu được chia sẻ trong mạng nội bộ tại các đầu cuối hay trên các máy chủ lưu trữ.
• Security Manager - Giám sát hoạt động tổng thể của hệ thống phòng chống thất thoát dữ liệu.

Với 4 thành phần kiểm soát này, các hành vi vô tình hay hữu ý gây thất thoát dữ liệu ra ngoài như: người dùng sao chép dữ liệu qua thiết bị lưu trữ rời, người dùng trao đổi các thông tin nhạy cảm của doanh nghiệp, … sẽ được kiểm soát và ngăn chặn kịp thời. Tóm lại, giải pháp tạo ra một công cụ cho phép người quản trị hệ thống mạng thực hiện những chức năng kỹ thuật chính như sau:

• Ngăn chặn/ Giám sát các phiên trao đổi dữ liệu - Dù thực hiện trao đổi qua thiết bị lưu trữ rời, qua kết nối không dây hay qua đường Internet, tất cả đều được ngăn chặn/ giám sát và tuân thủ theo chính sách bảo mật dữ liệu của toàn hệ thống.
• Mã hóa dữ liệu - Các dữ liệu chỉ được phép sử dụng trong hệ thống, mọi dữ liệu khi mang ra ngoài đều được mã hóa và chỉ sử dụng được khi đáp ứng đầy đủ các yêu cầu bảo mật do người sở hữu dữ liệu quy định.
• Lưu trữ dữ liệu chứng cứ - Các dữ liệu nhạy cảm trong các phiên trao đổi sẽ được lưu trữ để sử dụng như chứng cứ vi phạm chính sách doanh nghiệp khi cần thiết.
• Ngăn chặn/ Giám sát hành vi - Các hành vi nhằm thay đổi cách thức giám sát hay vượt qua các chính sách của doanh nghiệp đều được ghi nhận và ngăn chặn kịp thời.
• Quản trị tập trung - Các chính sách bảo mật cho dữ liệu được quản lý tập trung và thống nhất cho phép dễ dàng kiểm soát họat động của cả hệ thống chống thất thoát dữ liệu.
• Dễ dàng tích hợp - Cho phép tích hợp với các hệ thống phòng thủ khác như hệ thống giám sát truy cập người dùng cuối, cơ chế mật khẩu một lần (One-time Password) hay hệ thống tường lửa và phòng chống xâm nhập.

Doanh nghiệp được gì khi đầu tư giải pháp chống thất thoát dữ liệu?

Theo xu hướng chung, quyết định đầu tư về CNTT nói chung hay về bảo mật nói riêng cũng cần tuân theo quy luật “không chỉ mang lại những lợi ích trên phương diện kỹ thuật mà phải đem lại những hiệu quả kinh tế”… Bên cạnh các khía cạnh kỹ thuật đã phân tích ở trên, giải pháp chống thất thoát dữ liệu còn đem lại những lợi ích về kinh tế như sau:

• Giảm thiểu các thiệt hại kinh tế
  
  Mỗi khi xảy ra thất thoát dữ liệu sẽ dẫn đến nhiều hậu quả khác nhau, trong đó những thiệt hại về kinh tế là rõ ràng nhất: bảng giá chào cho khách hàng, nội dung hồ sơ của gói thầu sắp ra, công thức của sản phẩm sắp bán, … lọt vào tay các đối thủ kinh doanh, không thể hình dung trước được những thiệt hại về kinh tế do việc thất thoát thông tin gây ra. 
   
• Nâng cao hiệu suất công việc và tối ưu hóa nguồn vốn đầu tư:
  
  Giải pháp giúp chuẩn hóa dần chính sách bảo mật cho hệ thống, cũng như rèn luyện ý thức có trách nhiệm với dữ liệu quan trọng của nhân viên trong tổ chức, những quyết định đầu tư cho Công nghệ thông tin sẽ mang lại những lợi ích thiết thực cho cả quá trình vận hành kinh doanh của tổ chức.
   
• Nâng cao giá trị cạnh tranh:
  
  Trong bối cảnh thị trường mở cửa, các doanh nghiệp trong nước không chỉ cạnh tranh với nhau mà còn phải cạnh tranh với các công ty, tập đoàn hùng mạnh của nước ngoài, mà tại đó các hệ thống nhằm đảm bảo an toàn bảo mật, cũng như các quy trình đã gần như hoàn thiện. Do vậy, để tồn tại và nâng cao giá trị nội tại của doanh nghiệp, nhất thiết cần có một sự đầu tư hợp lý nhằm nhanh chóng hoàn thiện hệ thống CNTT phục vụ việc kinh doanh.
   
• Nâng cao sự tin cậy và uy tín doanh nghiệp:
  
  Ngày nay các giao dịch giữa khách hàng và doanh nghiệp diễn ra càng lúc càng nhiều và đa dạng, một doanh nghiệp với một hệ thống bảo mật lỏng lẻo, không đảm bảo độ an toàn cần thiết sẽ không thể thu hút giao dịch với khách hàng. Đã có nhiều công trình nghiên cứu nói rằng khách hàng không muốn làm việc với các công ty đã từng bị mất cắp.
   
• Dễ dàng mở rộng và quản trị tập trung:
  
  Trước đây các chính sách bảo vệ dữ liệu thường được triển khai một cách rời rạc và khó quản lý, một giải pháp chống thất thoát dữ liệu cho phép quản lý tập trung và thống nhất các chính sách đó, thậm chí cả khi hệ thống được triển khai theo mô hình nhiều chi nhánh.
   
• Hệ thống tuân theo các tiêu chuẩn quốc tế:
  
  Tỗi doanh nghiệp kinh doanh có cách lưu trữ dữ liệu đặc thù, tuân theo các tiêu chuẩn như chuẩn PCI của ngành ngân hàng, chuẩn HIPAA của ngành y tế, … giải pháp chống thất thoát dữ liệu được xây dựng trên nền tảng các chuẩn dữ liệu này giúp cho dữ liệu của doanh nghiệp được chuẩn hóa và bảo mật hơn.

Ngày nay doanh nghiệp đang bước vào cuộc cạnh tranh khốc liệt, mỗi sai lầm đều trở thành cơ hội cho các đối thủ cạnh tranh. Vấn đề thất thoát dữ liệu nội bộ trở thành “gót chân Asin” của hầu hết các doanh nghiệp trong cuộc cạnh tranh, chỉ những doanh nghiệp có định hướng về giải pháp cụ thể nhằm hạn chế tối thiểu điểm yếu này mới trở thành người chiến thắng. Tại thời điểm hiện tại và trong tương lai gần, một giải pháp chống thất thoát dữ liệu sẽ là ưu tiên hàng đầu của các doanh nghiệp có tầm nhìn khi quyết định đầu tư…