(PCWorldVN) Tuyển dụng và giữ chân nhân tài đã khó, doanh nghiệp còn có thêm nỗi lo phòng tránh gián điệp kinh doanh. Một số vấn đề đạo đức đối với người làm an ninh thông tin An ninh mạng: Nguy cơ nhiều, thiếu người làm Báo động an ninh mạng An toàn thông tin: Thiếu đầu tư - Cần đầu tàu TetCon 2015: An toàn thông tin ở Việt Nam trong năm mới Ngày nay mọi hoạt động kinh doanh của doanh nghiệp đều được số hóa và dữ liệu đã trở thành tài sản vô giá của doanh nghiệp. Và đây có thể là đích nhắm tấn công nhằm chiếm đoạt từ đối thủ cạnh tranh trong kinh doanh. Và mặc dù gia tăng các cuộc tấn công mạng bằng mã độc ngày càng tinh vi, nhưng theo các chuyên gia, con người vẫn là khâu yếu nhất chứ không phải là các lỗ hổng bảo mật công nghệ. Ngoài hiện trạng nhân viên thiếu ý thức hay không quan tâm tới bảo mật đang phổ biến, thì gián điệp lọt vào doanh nghiệp để đánh cắp thông tin quan trọng là vấn đề hóc búa mà doanh nghiệp không dễ gì hóa giải. Từ những vị trí cấp thấp nhất như lau dọn văn phòng hay bộ phận văn thư cũng có thể là nơi tốt nhất để lấy cắp và “tuồn” bí mật kinh doanh của doanh nghiệp ra ngoài. Gián điệp có thể tìm cách lọt vào công ty mục tiêu thông qua tuyển dụng để đánh cắp bí mật kinh doanh cho một đối thủ cạnh tranh. Một công ty cũng có thể đưa ra những ưu đãi hấp dẫn để chiêu mộ những người bất mãn của công ty đối thủ. Họ, những người bất mãn, sẽ là nguồn cung cấp dữ liệu quan trọng nhiều nhất khi rời bỏ công ty cũ, đem đến cho đối thủ kinh doanh lợi thế cạnh tranh trên thị trường. Trong khi đó, nỗ lực của doanh nghiệp nhằm phát hiện những nhân viên có nguy cơ trở thành kẻ phản bội và hạn chế họ tiếp cập dữ liệu nhạy cảm dường như là nhiệm vụ bất khả thi. Theo đặc trưng công việc, nhân viên ở bộ phận lao công hay văn thư được quyền đi lại khắp nơi trong công ty dễ dàng tiếp cận các tài liệu quan trọng và sao chụp chúng, còn nhân viên IT thì có điều kiện truy cập dữ liệu và chuyển ra ngoài Gián điệp tìm đủ cách để vượt qua hàng rào bảo vệ của doanh nghiệp, về phía doanh nghiệp có thể thực hiện nhiều biện pháp, cả về mặt kỹ thuật và phi kỹ thuật, để bảo vệ dữ liệu của mình trước con mắt dòm ngó của đối thủ kinh doanh. Giảm thiểu kẻ giả mạo lọt khâu tuyển dụng Thực tế là một công ty khó tránh khỏi việc tuyển nhầm người hội tụ đủ những yếu tố đáp ứng tiêu chí tuyển dụng nhưng lại khéo che đậy ý đồ về lâu dài sẽ làm gián điệp, đánh cắp bí mật của công ty. Nhiều doanh nghiệp khi tuyển dụng chỉ xem qua loa hồ sơ xin việc, các câu hỏi cũng không đào bới đủ sâu để phát hiện động cơ thầm kín của ứng viên. Trong cơn “khát” nhân lực, một công ty có thể tuyển phải người làm việc cho đối thủ kinh doanh. Doanh nghiệp luôn có nhu cầu tìm người thạo việc, và nhân viên đối thủ kinh doanh có các kỹ năng, am hiểu thị trường, và kinh nghiệm mà doanh nghiệp mong muốn, vì vậy họ là những ứng viên hàng đầu. Một nhà tuyển dụng có kinh nghiệm luôn hiểu rằng, hầu hết các ứng viên xin việc đều tìm cách che đậy những việc vi phạm của mình với công ty cũ. Do đó nhà tuyển dụng cần xem kỹ lý lịch và tìm hiểu quá trình làm việc của ứng viên, cần kết hợp những hình thức kiểm tra bổ sung để loại ra những ứng viên đã từng có rắc rối với công ty cũ do ăn cắp dữ liệu hay tài sản trí tuệ của công ty. Nhưng những thông tin tìm hiểu được là tất cả những gì ứng viên đã làm, không phải những gì họ có ý định chuẩn bị làm. Do đó cần có cách thức đánh giá mức độ trung thành của một ứng viên triển vọng, tránh trường hợp ứng viên một khi lọt vào công ty có thể chia sẻ dữ liệu mật với các đối thủ kinh doanh. Đáng ngại là gián điệp kinh doanh ngay từ đầu có thể không nhắm tới vị trí thuận lợi nhất cho việc thu thập thông tin bí mật. Thay vào đó, việc thâm nhập vào một công ty ở vị trí nhân viên cấp thấp không những dễ dàng hơn mà còn tránh được sự chú ý. Chẳng hạn, nhân viên bảo vệ hay văn thư là những vị trí thấp nhất trong doanh nghiệp nhưng gián điệp dường như lại có được chiếc chìa khóa mở ra cả vương quốc. Nội gián cũng là điều doanh nghiệp khó đề phòng. Những nhân viên bất mãn với công ty sẽ là mục tiêu nhắm tới của đối thủ cạnh tranh. Họ sẽ tìm cách ve vãn những nhân viên bất mãn này với một vị trí mới hấp dẫn, sẵn sàng bồi thường cao để nhân viên nghỉ việc, với yêu cầu đem theo toàn bộ dữ liệu nhạy cảm có thể lấy được khi rời khỏi công ty cũ. Nhân viên bị mua chuộc có thể truy cập dữ liệu điện tử hoặc đơn giản là sử dụng smartphone để ghi lại các cuộc họp nội bộ và các cuộc gọi điện thoại. Một trong những đối tượng mục tiêu hấp dẫn nhất là chuyên gia IT, tốt nhất là phụ trách IT – người có toàn quyền truy cập mọi dữ liệu và công ty không thể kiểm soát. Ngăn chặn bằng nhiều biện pháp Hãy đảm bảo công ty tư vấn đầy đủ cho nhân viên mới và giám sát được hành vi của họ. Một khi nhân viên mới đã hiểu rõ chức năng công việc của mình thì việc họ xử lý công việc lâu một cách bất thường có thể là manh mối dẫn đến nghi vấn họ đang sử dụng thời gian làm một việc gì đó, có lẽ là do thám. Sử dụng công nghệ để xác định và hạn chế nhân viên tiếp cận với các thông tin nhạy cảm như tài sản trí tuệ, dữ liệu khách hàng, và bất cứ điều gì mà có thể hấp dẫn một gián điệp kinh doanh. Hãy chắc chắn có hình thức giám sát thích hợp để kiểm tra nhân viên có truy cập thông tin nhạy cảm hay không. Cần phân loại dữ liệu để đảm bảo ai được quyền xem và truy cập những loại dữ liệu nào. Thực hiện giám sát truy cập dựa trên vị trí, trách nhiệm và kiến thức của người dùng. Để chống lại nguy cơ nhân viên trở nên bất mãn và bị đối thủ kinh doanh mua chuộc làm nội gián, hãy đối xử tốt với họ. Nhân viên có thu nhập tốt, lại được đối xử tốt thì ít có khả năng phản bội doanh nghiệp. Những cách tiếp cận khác để ngăn gián điệp kinh doanh bao gồm bắt mọi người ký những thỏa thuận với những điều khoản ràng buộc cụ thể và niêm yết các chính sách về việc công ty theo dõi và giám sát việc sử dụng máy tính. Điều này sẽ là cơ sở để doanh nghiệp có thể khởi kiện một nhân viên ra đi và cuỗm theo những dữ liệu quí giá của doanh nghiệp đem tới cho một đối thủ cạnh tranh. Đối với chuyên viên IT, cần hạn chế họ nhìn thấy nội dung khi làm các công việc liên quan đến dữ liệu bằng cách sử dụng mã hóa và kiểm soát truy cập bằng phương thức quản lý chứ không phải bằng công nghệ. Chẳng hạn, nhân viên chuyên trách IT đâu cần phải biết nội dung những dữ liệu họ sao lưu theo nhiệm vụ. Bằng cách duy trì trạng thái mã hóa dữ liệu và chìa khóa nằm trong tay của một người khác, một doanh nghiệp thậm chí có thể ngăn chặn các quản trị viên hệ thống trở thành gián điệp dữ liệu. Tóm lại, cần phải kiểm tra, theo dõi, và hạn chế tất cả mọi người để họ chỉ có thể làm điều tốt, đảm bảo dữ liệu luôn được bảo vệ ở mức cao nhất. PC World VN, 03/2015 Nguồn PC World VN