Các chuyên gia đã nhận định: con người là yếu tố chứa đựng nhiều rủi ro đối với một doanh nghiệp hơn là các lỗ hổng về công nghệ. Người dùng thường không nhận thức được các mối đe dọa bảo mật ngày càng tinh vi hoặc cũng có trường hợp là người dùng chẳng hề quan tâm đến cái gọi là an ninh mạng.\n\nKhông có một giải pháp, ứng dụng nào là tuyệt đối an toàn. Tuy nhiên, vấn đề bảo mật sẽ tốt hơn nếu mọi cá nhân trong tổ chức nhận thức được các sai lầm phổ biến về kiến thức bảo mật sau:
Các chuyên gia đã nhận định: con người là yếu tố chứa đựng nhiều rủi ro đối với một doanh nghiệp hơn là các lỗ hổng về công nghệ. Người dùng thường không nhận thức được các mối đe dọa bảo mật ngày càng tinh vi hoặc cũng có trường hợp là người dùng chẳng hề quan tâm đến cái gọi là an ninh mạng.
Không có một giải pháp, ứng dụng nào là tuyệt đối an toàn. Tuy nhiên, vấn đề bảo mật sẽ tốt hơn nếu mọi cá nhân trong tổ chức nhận thức được các sai lầm phổ biến về kiến thức bảo mật sau:
1. Người dùng bị lừa:
Người dùng có thể bị lừa khi nhấn vào liên kết hay tập tin đính kèm trong , mạng xã hội, các thông tin quảng cáo trên website hợp pháp.
Kẻ lừa đảo thường thiết kế khá tinh vi sao cho người dùng không mảy may nghi ngờ, khiến bạn nghĩ rằng đây là người bạn cũ, thành viên trong gia đình hay doanh nghiệp mới thành lập với những sản phẩm hấp dẫn.
Khuyến cáo: Người sử dụng cần ghi nhớ rằng: chỉ nhấn vào đường link khi biết chắc chắn người gửi tin cậy. Các doanh nghiệp cũng nên định kì thực hiện các hoạt động “lừa đảo chủ động có kiểm soát” để kiểm tra và nâng cao nhận thức cho nhân viên.
Hãy luôn cảnh giác với những email yêu cầu bạn xác minh thông tin, vì chúng có thể chứa mã độc. Nếu cần kiểm tra thông tin, hãy gọi điện trực tiếp cho người gửi.
2. Sử dụng dụng dịch vụ đám mây hay ứng dụng chưa xác thực:
Các dạng thức khác của sai lầm này gồm từ việc cài đặt ứng dụng truy cập máy tính từ xa cho đến việc mua và sử dụng máy ảo đám mây phục vụ hoạt động doanh nghiệp. Người sử dụng thực hiện việc này một cách hiển nhiên mà không nhận ra nguy hiểm.
Khuyến cáo: Cần sử dụng giải pháp lưu trữ đám mây tin cậy, có tính năng/giải pháp xác thực cao.
3.Mật khẩu dễ đoán:
Việc dùng đơn giản, dễ đoán cũng tương tự như cửa không khóa. Ngoài ra, sai lầm phổ biến là sử dụng cùng mật khẩu cho nhiều tài khoản truy cập hay việc chia sẻ mật khẩu cho đồng nghiệp.
Khuyến cáo: Nếu muốn dùng dễ nhớ, hãy dùng chữ cái cho từ hay câu đầu tiên, tiếp theo là vài con số hay ký tự đặt biệt. Nên dùng ứng dụng quản lý mật khẩu và phương pháp (hay còn gọi là xác thực 2 bước) để cải thiện an ninh (đặc biệt với các dịch vụ thông dụng như Google Gmail, Facbook).
4.Truy cập từ xa:
Là phương thức khá phổ biến khi người dùng làm việc tại nhà truyền tải dữ liệu từ nơi làm việc hay truy cập các thiết bị từ xa. Truy cập từ xa còn bao gồm việc lưu trữ dữ liệu của doanh nghiệp trên dịch vụ đám mây thứ ba.
Ngoài các nguy cơ về , dữ liệu của doanh nghiệp hay người dùng cũng dễ bị rò rỉ, trên hệ thống không được quản lý. Hơn nữa, người dùng sẽ gặp một số rắc rối về vấn đề pháp lý khi lưu trữ dữ liệu doanh nghiệp trên thiết bị cá nhân, khi chính sách doanh nghiệp không cho phép.
Khuyến cáo: Cần ban hành chính sách rõ ràng về việc truy cập từ xa, thiết lập quyền sử dụng tập tin, ứng dụng trên thiết bị cá nhân và thường xuyên nhắc nhở nhân viên tuân thủ đúng quy định. Hệ thống quản lý định danh tốt có thể kiểm soát hiệu quả việc truy cập cập của người dùng và giảm tối đa số lượng mật khẩu truy cập ứng dụng. Công nghệ sẽ giúp giải quyết tốt bài toán truy cập từ xa thông qua các phương pháp mã hóa nghiêm ngặt.
5. Vô hiệu hóa các tính năng bảo mật
Điều này chỉ thực hiện được khi người dùng có quyền quản trị. Thường người dùng sẽ vô hiệu hóa các tính năng nhằm tắt các cảnh bảo cũng như dễ dàng hơn trong việc cài đặt và sử dụng các ứng dụng, dịch vụ. Rõ ràng là nếu bảo mật bị vô hiệu hóa, hệ thống sẽ không còn lớp bảo vệ, lúc này hậu quả thảm khốc có thể xảy ra.
Khuyến cáo: Nghiêm cấm truy cập web bằng tài khoản quản trị. Nếu chẳng may nhân viên tải phần mềm độc hại, thì với quyền truy cập thông thường, phần mềm mã độc sẽ không thể cài đặt.
Bộ phận quản trị công nghệ thông tin nên lưu tâm vấn đề này và “khóa chặt” các thiết lập tính năng bảo mật, xác thực nhằm tránh người dùng vô hiệu hóa chúng.
6.Mạng xã hội
Mạng xã hội giúp nhân viên giao tiếp, làm việc cộng tác thuận tiện hơn. Nhưng bên cạnh mặt tích cực, mạng xã hội cũng tiềm ẩn nhiều rủi ro như rò rỉ thông tin cá nhân, bí mật doanh nghiệp.
Tin tặc ưa thích kỹ thuật tấn công dựa vào yếu tố xã hội qua việc khai thác thông tin từ các mạng xã hội.
Khuyến cáo: Cần thường xuyên đào tạo nhân viên với những ví dụ thực tiễn.
7. Ít quan tâm bảo mật di động
Thiết bị di động cá nhân ngày càng phổ biến. Tuy nhiên quá nhiều thiết bị di động không được quan tâm đúng mức về bảo mật, thậm chí các cơ chế bảo mật tối thiểu như mã hóa, đặt mã PIN người dùng cũng không thiết lập.
Khuyến cáo: Ban hành chính sách bắt buộc cá nhân của nhân viên phải đặt mã PIN. Đào tạo nhân viên nhận thức các mối đe dọa trong môi trường xung quanh, các khu vực công cộng, nơi mà thiết bị di động cá nhân có thể bị đánh cắp, mất trộm. Và cần chắc chắn tất cả dữ liệu doanh nghiệp nếu lưu trữ trên thiết bị di động cá nhân phải được mã hóa triệt để.
8. Dùng chung quyền quản trị cao
Trong các công ty, bộ phận CNTT và các bộ phận nghiệp vụ khác thường sử dụng chung tài khoản có quyền quản trị cao. Điều này giúp việc xử lý công việc nhanh và thuận tiện nhưng rủi ro không thể giám sát và nhận biết ai đã sử dụng quyền quản trị này.
Khuyến cáo: Quyền quản trị cao chỉ nên giao cho cá nhân, không nên dùng chung cho cả bộ phận.
9. Không cập nhật bản vá phần mềm
Một trong những sai lầm bảo mật phổ biến nhất là người dùng không cập nhật các phần mềm vì lý do mất thời gian, phiền phức. Nguy cơ thấy rõ là khi các mối đe dọa mới luôn xuất hiện trong khi hệ thống không được cập nhật để ngăn chặn rủi ro.
Khuyến cáo: Thường xuyên cập nhật các bản vá phần mềm.
(Cnth theo Tạp chí thnh)