Chính sách cho tài nguyên thông tin – Làm gì để tránh thất bại?
Những gì cần làm để tránh thất bại có thể tóm tắt trong mấy ý sau đây:
1. Có kế hoạch chuẩn bị cho những điểm yếu cố hữu của chính sách.
2. Nâng cao nhận thức của người sử dụng thông tin về chính sách, về các biện pháp triển khai áp dụng và về giá trị của tài sản.
3. Thường xuyên kiểm tra công tác triển khai áp dụng.
4. Sửa sai hoặc điều chỉnh ngay khi thấy cần thiết.
Vòng đời của chính sách là một chu trình gồm ba giai đoạn: chính sách (policy), triển khai áp dụng (enforcement) và đảm bảo (assurance), trong đó giai đoạn trước phải luôn phù hợp, gắn kết với giai đoạn sau.
Trong từng giai đoạn của vòng đời của chính sách, chúng ta cần áp dụng những biện pháp cụ thể nhằm giảm nguy cơ thất bại. Khối lượng công việc không phải là nhỏ.
Chính sách
Đây là giai đoạn khám phá và phát hiện. Lúc này, chúng ta cần nhận ra những đe dọa và rủi ro, cũng như quyết định xem tài sản nào cần được bảo vệ. Chiến lược triển khai áp dụng cũng được xây dựng. Chiến lược sẽ nêu ra các kỹ thuật, những tài nguyên, chiến thuật và các nội dung đào tạo cần có để có thể triển khai áp dụng thành công. Phương pháp thu thập thông tin nhằm kiểm tra chính sách và mức độ áp dụng của nó cũng cần được đề ra.
Bảo mật thường gây khó chịu –Nhận ra và quan tâm đến những cản trở mà chính sách gây ra đối với công việc kinh doanh cũng như đời sống của người đi làm.
Tránh sự phức tạp quá mức cần thiết– Hãy sử dụng những công cụ thông thường, đã được dùng và chứng minh hiệu quả.
Kỉ luật hay không kỉ luật? Đảm bảo sự kỉ luật thích đáng– Quyết định áp dụng hình thức kỉ luật tới đâu và hãy tìm kiếm sự ủng hộ, tham gia của ban quản lý.
Triển khai áp dụng
Đây là giai đoạn hành động, giai đoạn mà tất cả mọi thứ sẽ thực sự xảy ra. Thiết kế chính sách, thu thập dữ liệu, giáo dục người dùng và nhân viên kiểm soát, đề ra chiến thuật, các biện pháp chế tài... đều được triển khai trong giai đoạn này. Công việc kinh doanh và công tác triển khai chính sách tương tác mật thiết trong giai đoạn này.
Làm cho vấn đề bảo mật trở thành rõ ràng– Nên sử dụng những biểu tượng dễ thấy (như têu cầu dùng thẻ ra vào, mặc đồng phục...). Tâm lý có thể giúp tăng độ nhạy cảm trước đe dọa, tăng mức độ cảnh giác.
Nhắc nhở liên tục– Sử dụng các công cụ khác nhau để nhắc nhở mọi người: bản tin, website, thông điệp nhắc nhở khi login vào mạng.
Diễn tập– Thử các đợt diễn tập xử lý các tình huống bảo mật.
Trao quyền cho người chuyên trách– Tìm sự ủng hộ của ban quản lý cấp cao. Huấn luyện và diễn tập. Thực thi kỉ luật.
Đào tạo và liên tục đào tạp– Mọi người sẽ đóng góp nhiều hơn cho công tác bảo vệ tài nghuyên thông tin nếu được đào tạo. Thường xuyên và liên tục sẽ hiệu quả hơn là chi tiết và quá nặng nề.
Hiểu rõ môi trường xung quanh– Càng hiểu rõ môi trường làm việc bao nhiêu, càng dễ ứng phó với tình huống sự cố bấy nhiêu.
Kiểm soát người dùng– Giữ sự đồng nhất trong sử dụng cơ sở hạ tầng (phần cứng và phần mềm). Trao quyền cho user vừa đủ dùng.
Đảm bảo
Giai đoạn này là giai đoạn chứng minh; bản thân chính sách, chiến lược và mức độ hiệu quả của chúng sẽ được kiểm chứng .Những trường hơp thất bại hay sai sót sẽ được phân tích để hiệu chỉnh chính sách. Kế hoạch và chiến thuật đã được chính sách định nghĩa sẽ được đáng giá dựa vào dữ liệu thu thập được. Một số chỉ số đánh giá mức độ thành công sẽ tiếp tục được ghi nhận.
Luôn nhớ rằng khả năng lúc nao cũng tồn tại những kẽ hở– Soát xét thường xuyên nhằm phát hiện sớm các nguy cơ.
Thử đột nhập vào chính nhà mình– Hãy thử xuyên thủch chính sách của chính mình xem sao. Đấy là cách để tìm ra những sơ hở nghiêm trọng.
Học từ chính những thất bại– Ủng hộ và khuyến khích thay đổi để củng cố chính sách ngày càng tốt hơn.
Nguồn: Tin học và Đời sống, 15/03/2007
