Trang chủ Security

Giải thích về an toàn và tuân thủ thông tin

Có một hiểu biết cơ bản về an toàn và tuân thủ thông tin là nền tảng cho sự thành công của hàng ngàn tổ chức. Thật không may, hai thuật ngữ này thường hay bị hiểu sai và sử dụng không đúng. Sẽ như thế nào nếu tôi nói với bạn rằng tổ chức của bạn có thể sử dụng an toàn thông tin như một lợi thế cạnh tranh? Đó là sự thật, nhưng trước khi chúng ta thảo luận về vấn đề này, trước hết cần hiểu rõ về sự an toàn và tuân thủ thông tin.

Chúng ta sẽ bắt đầu với series đào tạo về an toàn thông tin với những điều cơ bản nhất. Hiểu biết cơ bản (và chính xác) về an toàn và tuân thủ thông tin là rất quan trọng để hiểu cách chúng có thể ảnh hưởng tích cực hoặc tiêu cực đến mỗi một doanh nghiệp tương ứng của chúng ta.

Trong bài viết này tôi sẽ cung cấp:

- Định nghĩa thực tế về an toàn và tuân thủ thông tin

- Giải quyết những quan niệm sai lầm phổ biến về an toàn thông tin trực diện

- Cung cấp cho bạn mười nguyên tắc an toàn thông tin sống còn

Compliance (Tuân thủ)

Liệu còn định nghĩa nào đúng hơn trong từ điển?

com-pli-ance [kuh m - plahy - uh ns]

danh từ

1. là hành vi tuân thủ, bằng lòng hoặc chiều theo

2. là xu hướng sẵn sàng chiều theo người khác một cách yếu đuối và phụ thuộc

3. sự tuân thủ: trong Tuân thủ mệnh lệnh

4. sự hợp tác hay sự tuân theo

Tôi là một con người cạnh tranh. Tôi cố gắng dẫn dắt tổ chức của mình với lòng can đảm và sự táo bạo. Các từ như "tuân thủ", "chấp nhận" và "chiều theo" không phải là những thứ mà tôi muốn đề cập ở đây.

Từ quan điểm bảo mật, tuân thủ là gì? Hầu hết tuân thủ liên quan đến bảo mật đều thông qua luật lập pháp hoặc hành chính/pháp lý. Rõ ràng, điều quan trọng là chúng ta phải tuân theo luật! Luật bao gồm HIPAA/HITECH, GLBA, FISMA và còn rất nhiều luật khác mà tôi không thể đề cập hết. Các luật liên quan đến an toàn thông tin được viết để áp dụng cho một số lượng lớn các tổ chức và được thực thi bởi các điều phối viên và kiểm toán viên. Để một luật được áp dụng cho một số lượng lớn các tổ chức, nó phải được viết với một số sự phỏng chừng và được giải thích trên cơ sở từng trường hợp (ít nhất là cho đến khi có đủ tiền lệ).

Tuân thủ các vấn đề liên quan đến an toàn thông tin là những gì mà kiểm toán viên hoặc điều phối viên cuối cùng của bạn đã yêu cầu bạn làm, dựa trên việc giải thích luật khi áp dụng vào cho bạn.

Nói cách khác, việc tuân thủ giống như việc người khác - những người không biết hoặc không quan tâm cái gì tốt nhất cho bạn, bảo bạn làm bằng sự giải thích khó hiểu về các luật mơ hồ.

Văn bản luật vs. Mục đích của luật vs. Giải thích luật

Văn bản luật, chỉ bao gồm luật liên quan đến an toàn thông tin, khá dễ tuân thủ do sự mơ hồ vốn có của nó. Các vấn đề đều bắt đầu với việc diễn giải các mục đích của luật. Trong hầu hết các trường hợp, mục đích của luật liên quan đến an toàn thông tin là giảm rủi ro tiết lộ trái phép, thay đổi và hủy bỏ thông tin nhạy cảm (hoặc được điều chỉnh).

Việc giải thích được để lại cho các cơ quan chính phủ và các nhà quản lý (kiểm toán viên). Nếu mục đích của luật là giảm rủi ro, vậy ai mới là người nắm rõ về quản lý rủi ro trong tổ chức của mình? Tôi hay người điều phối? Tôi hy vọng chính bạn sẽ trả lời cho tôi! Nếu bạn không trả lời được câu hỏi này cho chính mình, thì loạt bài viết này được viết riêng cho bạn.

Suy cho cùng, nếu tôi có thể chứng minh được rằng tôi quản lý rủi ro tốt thì tôi cũng có thể chứng minh rằng tôi đã tuân thủ đúng luật. Tất cả những điều này mà không được tiết lộ từ một đối tượng bên ngoài khác thì tôi cũng sẽ không biết điều gì là tốt nhất cho công ty của mình.

An toàn thông tin

An toàn thông tin không phải là điều gì mới mẻ. Trong thực tế, an toàn thông tin vẫn luôn hiển hiện xung quanh khi chúng ta đều có thông tin muốn bảo vệ. Ngày nay nếu bạn yêu cầu mười người định nghĩa về an toàn thông tin, bạn có thể sẽ nhận được mười câu trả lời khác nhau! Vậy làm cách nào mà các nhà lãnh đạo doanh nghiệp như bạn và tôi đưa ra được các quyết định chiến lược về điều gì đó mà chúng ta vẫn chưa rõ được định nghĩa? Chúng ta cần bắt đầu hiểu định nghĩa trước. Bạn đã sẵn sàng?

An toàn thông tin là việc quản lý rủi ro đối với tính bảo mật, tính toàn vẹn và tính khả dụng của thông tin bằng cách sử dụng các kiểm soát hành chính, vật lý và kỹ thuật.

Hành động chính; quản lý rủi ro.

Ba đặc điểm của thông tin; tính bảo mật, tính toàn vẹn và tính khả dụng.

Ba loại kiểm soát; hành chính, vật lý và kỹ thuật.

Quản lý rủi ro

Trong định nghĩa đơn giản nhất, rủi ro là khả năng xảy ra việc gì đó xấu kết hợp với tác động của việc xấu đang xảy ra đó.

Đặc điểm

Tính bảo mật

Tính bảo mật là giữ bí mật thông tin; chỉ cho phép tiết lộ một cách hợp pháp. Ngược lại với tính bảo mật là sự tiết lộ.

Tính toàn vẹn

Tính toàn vẹn là để đảm bảo rằng thông tin là chính xác. Thông tin chính xác rất quan trọng đối với chúng ta khi đưa ra một quyết định đúng đắn. Ngược lại với tính toàn vẹn là sự thay đổi (trái phép).

Tính khả dụng

Thông tin phải có sẵn khi cần. Ngược lại của tính khả dụng là sự phá hoại.

Các kiểm soát

Kiểm soát hành chính

Các kiểm soát này được sử dụng để quản lý các nỗ lực an toàn thông tin của tổ chức và để giải quyết vấn đề an ninh cho mọi người. Các loại kiểm soát này bao gồm những thứ như chính sách, tiêu chuẩn, quy trình và đào tạo. Không thú vị, nhưng cực kỳ quan trọng để quản lý an toàn thông tin tốt.

Kiểm soát vật lý

Thường là các kiểm soát mà bạn có thể chạm. Những kiểu kiểm soát này được thiết kế để quản lý truy cập thông tin vật lý và bao gồm những thứ như khóa cửa, hệ thống báo động và giám sát camera. Nếu ai đó có thể dễ dàng ăn cắp máy chủ của bạn thì sẽ chẳng có vấn đề gì nếu phần mềm chống virus của bạn thực sự tốt.

Kiểm soát kỹ thuật

Đây là phần bảo mật của CNTT. Hãy lưu ý phần bảo mật của CNTT chỉ là một phần của bảo mật chứ không phải tất cả các phần của bảo mật như thế nào? Kiểm soát kỹ thuật là những gì hầu hết mọi người đều nghĩ đến khi nghĩ về an toàn thông tin. Những kiểm soát này bao gồm những thứ như tường lửa, phần mềm chống vi-rút, mật khẩu và các quyền.

Và chúng ta đã có các định nghĩa an toàn thông tin thực tế.

Mười nguyên tắc an toàn thông tin sống còn

Qua nhiều năm, an toàn thông tin đã có danh tiếng xấu vì 2 lý do chính; một là sự định nghĩa kém và hai là ứng dụng bảo mật kém. Dưới đây là mười nguyên tắc an toàn thông tin sẽ giúp chúng ta áp dụng định nghĩa vào ngữ cảnh cụ thể.

# 1 - Doanh nghiệp đang kinh doanh kiếm tiền

Có vẻ hiển nhiên, phải không? An toàn thông tin có thường xuyên là một cách để kiếm tiền hay không? Nếu an toàn thông tin là một cách để doanh nghiệp kiếm tiền, thì chúng ta đều đang làm sai. An toàn thông tin phải phù hợp với mục tiêu kinh doanh. Điều này gần như là điều không thể với các nhà lãnh đạo doanh nghiệp, trừ khi chúng ta đảm nhiệm vai trò tích cực.

# 2 - An toàn thông tin là một vấn đề kinh doanh

An toàn thông tin KHÔNG phải là vấn đề về CNTT. Phần kỹ thuật của an toàn thông tin không chỉ bổ sung cho bảo mật hành chính và vật lý.

# 3 - An toàn thông tin là điều thú vị

Ai thực sự nói hoặc nghĩ rằng điều này là đúng ?! Thực chất nó xuất phát từ thái độ của mỗi người. Mọi người đều không muốn làm bất cứ điều gì mà họ thấy nhàm chán hoặc đau khổ. Nếu muốn yêu cầu ai đó làm điều gì đó quan trọng đối với thành công chung, chúng ta nên biến nó trở nên thú vị nhất có thể.

# 4 - Con người là rủi ro lớn nhất

Điều này luôn luôn và sẽ luôn luôn đúng. Hầu hết các tổ chức chi tiêu nhiều cho công nghệ bảo mật mà bỏ qua bảo mật về con người. Đó có lẽ là mối rủi ro lớn nhất không liên quan gì đến công nghệ.

# 5 - "Tuân thủ" và "an toàn" khác nhau

Chúng ta không nên nhầm lẫn cả hai.

# 6 - Không có một chút hiểu biết cơ bản nào về An toàn thông tin

Nếu hiểu biết, chúng ta sẽ có được an toàn thông tin tốt hơn. Nguyên tắc này một lần nữa nhấn mạnh: con người là mối rủi ro lớn nhất.

# 7 - "An toàn" chỉ là tương đối

Khi nhớ lại từ định nghĩa của chúng ta trước đó, an toàn thông đang quản lý các rủi ro chứ không loại bỏ chúng. Chúng ta không thể giảm thiểu rủi ro về con số không. Tính tương đối của an toàn thông tin bảo đảm các khuôn khổ và sự so sánh liên tục.

# 8 - An toàn thông tin sẽ dẫn dắt doanh nghiệp

Hãy xác định và tập trung vào các lợi ích an toàn thông tin. An toàn thông tin không chỉ là một cost-center (các khoản mục chi phí của doanh nghiệp nhằm ghi nhận các chi phí một các tập trung, và dễ kiểm soát).

# 9 - An toàn thông tin không phải là một chuẩn mực phù hợp với tất cả

Không có hai tổ chức nào giống hệt nhau. Đơn giản là khi sao chép một thứ nhất định để làm việc cho một tổ chức khác, nhưng nếu muốn được làm việc "theo đúng nghĩa" thì sẽ phải biến nó thành cái của riêng mình chứ không phải là đi sao chép.  

# 10 - Không có "nút dễ dàng"

Vì vậy đừng tìm kiếm chỉ một lựa chọn.

Kết luận

Bây giờ chúng ta đều biết rằng việc tuân thủ và an toàn thông tin là hai thuật ngữ khác nhau và chúng ta đều hiểu tại sao. Mối quan hệ giữa chúng là: tuân thủ không có nghĩa là đang quản lý an ninh tốt; tuy nhiên, quản lý an ninh tốt sẽ có nghĩa là tuân thủ.

Hãy nắm bắt an toàn thông tin ngay bằng cách tận dụng các định nghĩa và các nguyên tắc áp dụng bên trên sẽ tiết kiệm cho tổ chức của bạn hàng ngàn (có thể là hàng triệu) đô la. Thành công không phải là thứ phụ thuộc hoàn toàn được giao cho người khác bởi vì thành công hay thất bại cuối cùng đều thuộc về chúng ta - những người lãnh đạo của các tổ chức tương ứng. Trách nhiệm là ở chúng ta.

Bài viết này tập trung vào an toàn thông tin là về "những vấn đề gì". Bài viết tiếp theo của chúng tôi (10 điều hàng đầu mà mọi CEO cần làm) sẽ tập trung vào "cách thực hiện" bằng cách đưa ra lời khuyên thiết thực và mười bài học thực hành an toàn thông tin cơ bản cần được tuân thủ trong mọi tổ chức.

VCCloud via frsecure.com

>> Có thể bạn quan tâm: 5 câu hỏi lớn về an toàn thông tin