(PCWorldVN) Con người có thể mắc sai lầm, nhưng nếu liên quan đến công tác bảo mật và an ninh mạng thì sai lầm ấy có thể gây thiệt hại lớn cho doanh nghiệp. Mật khẩu phức tạp có cần thiết? Xác thực sinh trắc học sẽ thay thế mật khẩu Đừng coi thường việc đặt mật khẩu smartphone TetCon 2015: An toàn thông tin ở Việt Nam trong năm mới Hầu như mọi nghiên cứu dạo gần đây về các lỗ hổng bảo mật đều đi đến một kết luận giống nhau: con người là yếu tố chứa đựng nhiều rủi ro đối với một doanh nghiệp hơn là các lỗ hổng về công nghệ. Kết luận này, vốn cũng được đa số chuyên gia đồng tình, cho rằng đó là do người dùng không nhận thức được các mối đe dọa bảo mật ngày càng tinh vi hoặc cũng có trường hợp là người dùng chẳng hề quan tâm đến cái gọi là an ninh mạng. Nhân vô thập toàn, và trong lĩnh vực bảo mật cũng thế. Không có một giải pháp, ứng dụng nào là tuyệt đối an toàn. Tuy nhiên, vấn đề bảo mật sẽ tốt hơn nếu nhân viên ở mọi cấp bậc trong tổ chức, doanh nghiệp của bạn nhận thức được các sai lầm phổ biến về kiến thức bảo mật sau đây: 1. Bị lừa đảo Đây là một trong những sai lầm phổ biến nhất. Người dùng có thể bị lừa đảo khi nhấn vào liên kết (link) hay tập tin đính kèm trong email lừa đảo, mạng xã hội, các thông tin quảng cáo trên website hợp pháp. Kẻ lừa đảo thường thiết kế khá tinh vi sao cho người dùng không mảy may nghi ngờ, khiến bạn nghĩ rằng đây là người bạn cũ, thành viên trong gia đình hay doanh nghiệp mới thành lập với những sản phẩm hấp dẫn. Cách hóa giải: Huấn luyện nhân viên luôn hoài nghi về mọi thứ, và chỉ nhấn vào đường link hi biết chắc chắn người gửi tin cậy. Các doanh nghiệp cũng nên định kì thực hiện các hoạt động “lừa đảo chủ động có kiểm soát” để kiểm tra và nâng cao nhận thức cho nhân viên. David Monahan - Giám đốc nghiên cứu bảo mật và quản lý rủi ro tại Enterprise Management Associates, cảnh báo ngay cả email gửi từ người tin cậy nhưng vẫn có thể bị giả mạo. Hãy luôn cảnh giác với những email yêu cầu bạn xác minh thông tin, vì chúng có thể chứa mã độc. Nếu cần kiểm tra thông tin, hãy gọi điện trực tiếp cho người gửi. 2. Sử dụng dịch vụ đám mây hay ứng dụng chưa xác thực Ông Dan Lohrmann - Giám đốc chiến lược kiêm CSO ở Security Mentor nói rằng sai lầm này còn bao gồm việc gửi thông tin cá nhân, dữ liệu đến đám mây chưa xác thực. Trong khi đó, Dave Frymier - chuyên gia bảo mật ở Unisys cho biết thêm các dạng thức khác của sai lầm này gồm từ việc cài đặt ứng dụng truy cập máy tính từ xa cho đến việc mua và sử dụng máy ảo đám mây phục vụ hoạt động doanh nghiệp. Dave Frymier nói rằng mọi người thực hiện việc này một cách hiển nhiên mà không nhận ra nguy hiểm. Cách hóa giải: Sử dụng giải pháp lưu trữ đám mây tin cậy, có tính năng/giải pháp xác thực cao. 3. Mật khẩu đơn giản, dễ đoán Việc dùng mật khẩu đơn giản, dễ đoán cũng tương tự như cửa không khóa. Ngoài ra, sai lầm phổ biến là sử dụng cùng mật khẩu cho nhiều tài khoản truy cập hay việc chia sẻ mật khẩu cho đồng nghiệp. Theo David Monahan, do mọi thứ đều yêu cầu mật khẩu nên người dùng thường sử dụng mật khẩu đơn giản, trùng lặp để dễ nhớ. Tuy nhiên, đây lại là sai lầm nghiêm trọng đôi khi gây ra hậu quả tai hại. Nhiều tài khoản quan trọng bị xâm nhập xuất phát từ tài khoản “vô thường vô phạt” của người dùng. Cách hóa giải: Nếu vẫn muốn dùng mật khẩu dễ nhớ, hãy dùng chữ cái cho từ hay câu đầu tiên, tiếp theo là vài con số hay ký tự đặt biệt. Các chuyên gia bảo mật khuyên nên dùng ứng dụng quản lý mật khẩu và phương pháp xác thực hai yếu tố (hay còn gọi là xác thực 2 bước) để cải thiện an ninh (đặc biệt với các dịch vụ thông dụng như Google Gmail, Facbook). Cuối cùng không nên chia sẻ mật khẩu với bất kỳ ai. 4. Truy cập từ xa Đây là phương thức khá phổ biến khi người dùng làm việc tại nhà truyền tải dữ liệu từ nơi làm việc hay truy cập các thiết bị từ xa. Chuyên gia Dave Frymier cho biết truy cập từ xa còn bao gồm việc lưu trữ dữ liệu của doanh nghiệp trên dịch vụ đám mây thứ ba. Theo David Monahan, ngoài các nguy cơ về mã độc, dữ liệu của doanh nghiệp hay người dùng cũng dễ bị rò rỉ, trên hệ thống không được quản lý. Hơn nữa, người dùng sẽ gặp một số rắc rối về vấn đề pháp lý khi lưu trữ dữ liệu doanh nghiệp trên thiết bị cá nhân, khi chính sách doanh nghiệp không cho phép. Cách hóa giải: Công ty cần ban hành chính sách rõ ràng về việc truy cập từ xa, thiết lập quyền sử dụng tập tin, ứng dụng trên thiết bị cá nhân và thường xuyên nhắc nhở nhân viên tuân thủ đúng quy định. Các chuyên gia bảo mật cho rằng hệ thống quản lý định danh tốt có thể kiểm soát hiệu quả việc truy cập cập của người dùng và giảm tối đa số lượng mật khẩu truy cập ứng dụng. Công nghệ sẽ giúp giải quyết tốt bài toán truy cập từ xa thông qua các phương pháp mã hóa nghiêm ngặt. 5. Vô hiệu hóa các tính năng bảo mật Điều này chỉ thực hiện được khi người dùng có quyền quản trị. Thường người dùng sẽ vô hiệu hóa các tính năng bảo mật nhằm tắt các cảnh bảo cũng như dễ dàng hơn trong việc cài đặt và sử dụng các ứng dụng, dịch vụ. Rõ ràng là nếu bảo mật bị vô hiệu hóa, hệ thống sẽ không còn lớp bảo vệ, lúc này hậu quả thảm khốc có thể xảy ra, chuyên gia David Monahan phân tích. Cách hóa giải: Các doanh nghiệp nên nghiêm cấm truy cập web bằng tài khoản quản trị. Nếu chẳng may nhân viên tải phần mềm độc hại, thì với quyền truy cập thông thường, phần mềm mã độc sẽ không thể cài đặt. Dave Frymier khuyên các bộ phận quản trị công nghệ thông tin nên lưu tâm vấn đề này và “khóa chặt” các thiết lập tính năng bảo mật, xác thực nhằm tránh người dùng vô hiệu hóa chúng. 6. Mạng xã hội Mạng xã hội giúp nhân viên giao tiếp, làm việc cộng tác thuận tiện hơn. Nhưng bên cạnh mặt tích cực, mạng xã hội cũng tiềm ẩn nhiều rủi ro như rò rỉ thông tin cá nhân, bí mật doanh nghiệp. Tin tặc ưa thích kỹ thuật tấn công dựa vào yếu tố xã hội (social engineering) qua việc khai thác thông tin từ các mạng xã hội. Cách hóa giải: Thường xuyên đào tạo nhân viên với những ví dụ thực tiễn. 7. Ít quan tâm bảo mật di động Thiết bị di động cá nhân ngày càng phổ biến. Dễ nhận thấy hàng triệu thiết bị di động cá nhân ở nơi làm việc, quán cà phê, trên các phương tiện giao thông công cộng,… Tuy nhiên quá nhiều thiết bị di động không được quan tâm đúng mức về bảo mật, thậm chí các cơ chế bảo mật tối thiểu như mã hóa, đặt mã PIN người dùng cũng không thiết lập. Cách hóa giải: Ban hành chính sách bắt buộc thiết bị di động cá nhân của nhân viên phải đặt mã PIN. Đào tạo nhân viên nhận thức các mối đe dọa trong môi trường xung quanh, các khu vực công cộng, nơi mà thiết bị di động cá nhân có thể bị đánh cắp, mất trộm. Và cần chắc chắn tất cả dữ liệu doanh nghiệp nếu lưu trữ trên thiết bị di động cá nhân phải được mã hóa triệt để. 8. Dùng chung quyền quản trị cao Eye Firstenberg - Phó chủ tịch nghiên cứu của LightCyber cho biết trong quá trình làm việc ông nhận thấy bộ phận CNTT và các bộ phận nghiệp vụ khác thường sử dụng chung tài khoản có quyền quản trị cao. Điều này giúp việc xử lý công việc nhanh và thuận tiện nhưng rủi ro không thể giám sát và nhận biết ai đã sử dụng quyền quản trị này. Cách hóa giải: Quyền quản trị cao chỉ nên giao cho cá nhân, không nên dùng chung cho cả bộ phận. 9. Không cập nhật bản vá phần mềm Một trong những sai lầm bảo mật phổ biến nhất là người dùng không cập nhật các bản vá phần mềm vì lý do mất thời gian, phiền phức. Nguy cơ quá rõ, khi các mối đe dọa mới luôn xuất hiện trong khi hệ thống không được cập nhật để ngăn chặn rủi ro. Cách hóa giải: Cập nhật ngay khi các bản vá phần mềm. Nguồn PC World VN