Văn hóa bảo mật

Bài viết của Esteban Hernandez, Chuyên gia cao cấp về Bảo mật và Tuân thủ Kiến trúc Giải pháp, Amazon Web Services.
Văn hóa bảo mật ảnh 1

Xây dựng văn hóa bảo mật

Từ trách nhiệm của một nhóm duy nhất, ngày nay vấn đề bảo mật đã trở thành trách nhiệm của toàn bộ tổ chức. Bảo mật phải được coi là một yếu tố then chốt trong văn hóa của tổ chức, trong đó mọi nhân viên nhận thức rõ và chủ động sử dụng bảo mật làm căn cứ để điều chỉnh hành vi, phát triển công nghệ và ra quyết định. Xét cho cùng, một cách tiếp cận lạc quan và chủ động là yếu tố quan trọng để xây dựng một tổ chức mà ở đó an ninh bảo mật tạo điều kiện cho toàn bộ doanh nghiệp vận hành nhanh hơn và an toàn hơn.

Xây dựng văn hóa bảo mật là việc cần phải làm trong tương lai, nhưng nó sẽ được định hình như thế nào trên thực tế? Các tổ chức phải làm gì để tuân thủ các nguyên tắc hướng dẫn giúp họ đi đúng hướng về bảo mật? Bạn có thể làm gì ngay hôm nay để thúc đẩy văn hóa bảo mật chủ động?

Văn hóa bảo mật là gì?

Văn hóa bảo mật chủ động là văn hóa trong đó bộ phận an ninh bảo mật phối hợp hiệu quả với các bộ phận khác của doanh nghiệp. Nếu giả định rằng mọi người đều muốn làm điều đúng đắn thì chúng ta phải biến lựa chọn an toàn trở thành lựa chọn dễ dàng nhất. Để làm được việc đó, chúng ta cần quan tâm không chỉ đến công nghệ mà còn cả người sử dụng công nghệ và văn hóa của tổ chức.

Thông thường, các tổ chức coi an ninh bảo mật như một cánh cổng phải vượt qua hoặc như một nội dung cần bổ sung khi kết thúc dự án. Trước đây công việc này vốn được coi là trách nhiệm của những người mang chức danh liên quan tới bảo mật. Ngược lại, các doanh nghiệp thành công thường coi trọng vấn đề bảo mật và khả năng chống chịu một cách chủ động, như là nền tảng của văn hóa công ty và là mối quan tâm của tất cả các nhà điều hành, nhà quản lý và nhân viên trong doanh nghiệp. Cách tiếp cận này đặt bảo mật vào trung tâm của tất cả các quy trình nghiệp vụ thường nhật, nâng cao khả năng phục hồi và ứng phó của tổ chức khi xảy ra sự cố.

Nguyên tắc hướng dẫn

Để xây dựng văn hóa bảo mật, các doanh nghiệp phải tuân theo 10 nguyên tắc chính, 5 trong số đó sẽ được đề cập trong bài viết này:

1. Đào tạo : Theo nguyên tắc này, doanh nghiệp cần cập nhật công nghệ cho lực lượng lao động, tham vấn các chuyên gia bảo mật cũng như nghiên cứu các chính sách và quy tắc bảo mật. Nhờ đó, mọi nhân viên trong doanh nghiệp đều có thể trở thành hàng phòng ngự đầu tiên trong chương trình bảo mật của công ty, giảm thiểu xác suất phát sinh các lỗi đơn giản có thể dẫn đến sự cố bảo mật. Nguyên tắc này cũng bao gồm việc thiết lập các yêu cầu và kỳ vọng cho toàn bộ doanh nghiệp, chẳng hạn yêu cầu rằng cấu hình bảo mật phải do các nhà phát triển ứng dụng triển khai, hoặc nhà cung cấp sản phẩm phải có trách nhiệm vá lỗ hổng bảo mật.

2. Thực hành an toàn : đảm bảo thực hành tốt về bảo mật có vai trò trọng yếu đối với việc ngăn chặn không để những sai lầm cơ bản biến thành các mối đe dọa bảo mật. Do đó, người lao động phải hiểu được sự nguy hiểm của các thực hành bảo mật kém, chẳng hạn như chia sẻ thông tin về tài khoản và mật khẩu của người dùng. Đồng thời, các doanh nghiệp cần đảm bảo rằng các hệ thống truy cập hiện có tạo thuận lợi cho các thực hành an toàn. Ví dụ: các dịch vụ AWS cung cấp thông tin đăng nhập tạm thời chỉ có giá trị trong vài phút hoặc vài giờ, sau đó các thông tin này sẽ không còn giá trị truy cập hệ thống. Tính năng này thắt chặt kiểm soát truy cập dịch vụ, giảm khả năng dữ liệu doanh nghiệp bị truy cập ngoài ý muốn.

3. Rút kinh nghiệm từ sự cố nhưng không đổ lỗi : sẽ luôn có sự cố phát sinh đối với con người và phần mềm do con người phát triển. Điều quan trọng là biết rút kinh nghiệm và hành động để khắc phục. Xây dựng văn hóa khách quan và không đổ lỗi trong quá trình phân tích nguyên nhân gốc rễ làm phát sinh sự cố sẽ giúp tổ chức tăng cường khả năng học hỏi của nhân viên. Đừng hỏi rằng lỗi thuộc về ai, thay vào đó, hãy hỏi có thể làm gì để đảm bảo lần sau người đó sẽ lựa chọn đúng. Bạn có thể xây dựng văn hóa trong đó mọi người cảm thấy thoải mái khi nêu lên các vấn đề an ninh bảo mật vì họ biết mình được đội ngũ bảo mật hỗ trợ.

4. Phối hợp làm việc với các bên có liên quan: làm việc với các nhà phát triển phần mềm sẽ giúp bạn hiểu rõ hơn quy trình xây dựng và phát hành phần mềm. Nhờ đó, đội ngũ bảo mật có thể tạo điều kiện để các nhà phát triển phần mềm đưa ra các lựa chọn tốt hoặc kế thừa và phát huy khả năng về bảo mật, nhờ đó họ có thể tập trung vào lập trình logic của các quy trình nghiệp vụ. Ví dụ: tích hợp nền tảng đám mây với nhà cung cấp dịch vụ định danh công ty của bạn và đảm bảo rằng các nhà phát triển phần mềm có thể xác lập các đặc quyền bên trong những giới hạn được xác định rõ ràng sẽ giúp bảo mật không còn là một cánh cổng cần vượt qua trong quá trình phát triển. Các bài kiểm tra tự động thực hiện theo chuỗi (pipelines) có thể phản hồi sớm để nhà phát triển xây dựng được vị thế bảo mật mong muốn.

5. Chỉ tiêu và giám sát : khả năng đánh giá tình trạng bảo mật và cấp quyền truy cập vào dữ liệu kết quả đó là cách để bạn truyền đạt và tìm hiểu về những bộ phận hoạt động có hiệu quả trong tổ chức của bạn. Nếu xác định được các nhóm làm việc tốt hoặc xây dựng các giải pháp sáng tạo, bạn có thể mở rộng để triển khai cho toàn doanh nghiệp. Minh bạch hóa các chỉ số đánh giá người lao động và cung cấp cho họ các công cụ theo dõi sẽ thúc đẩy văn hóa làm chủ, nhờ đó củng cố phương pháp chủ động áp dụng các biện pháp bảo mật.

Văn hóa bảo mật sẽ góp phần cải thiện đáng kể năng lực bảo mật của tổ chức bằng cách trở thành khuôn khổ để người lao động điều chỉnh hành vi, phát triển công nghệ và ra quyết định. Tuy nhiên, các công ty cần cách tiếp cận có cấu trúc để áp dụng khuôn khổ thành công. Văn hóa bảo mật được xây dựng trên cơ sở giáo dục, thực hành tốt, lập mô hình mô phỏng các mối đe dọa và sự đoàn kết thống nhất của toàn bộ người lao động trong doanh nghiệp. Nếu làm được điều này, bạn sẽ cải thiện năng lực bảo mật của tổ chức, vượt lên đối thủ và đảm bảo an toàn cho dữ liệu. Hãy tiếp tục theo dõi tư vấn của chúng tôi về xây dựng văn hóa bảo mật trong thời gian tới.

Theo ICTNews