Thế giới công nghệ đang phát triển một cách nhanh chóng, trong khi các quy định và chính sách của doanh nghiệp thường không kịp thay đổi nhằm đáp ứng sự phát triển nhanh chóng đó. Với sự ra đời của các công nghệ kĩ thuật mới, các chính sách cũ gần như không đủ khả năng để đảm bảo tính an toàn của dữ liệu. Đồng thời đánh giá của doanh nghiệp với các tài sản dữ liệu hiện có thường không dự đoán được tác hại khôn lường, nguy cơ rò rỉ các dữ liệu quan trọng như chiến lược kinh doanh, các sản phẩm sáng tạo vô giá của công ty, cũng như đặt công ty vào vòng nguy hiểm.
Việc liên tục cập nhật và bổ sung những quy tắc nhằm bảo mật thông tin dữ liệu công ty đóng vai trò rất quan trọng nhưng thường ít được chú trọng. Điều này đặc biệt đúng với trường hợp tẩy xoá dữ liệu khỏi các thiết bị trước khi thanh lý.
Trong bài viết này, Force 21 Việt Nam sẽ đề cập đến một số lý do tại sao các quy định bảo mật của công ty cần được nâng cấp.
Công nghệ phát triển
Sự phát triển của công nghệ kỹ thuật hiện đại đã góp phần thay đổi cách nhìn, lưu trữ, thu thập, sử dụng cũng như tẩy xoá dữ liệu. Chính vì vậy những phương pháp, quy định cũ khi áp dụng vào những công nghệ mới sẽ gây ra sự bất tiện và không tối ưu được nguồn lực và sự hiệu quả của việc bảo mật dữ liệu.
Các quy định bảo mật dữ liệu mới
Kể từ khi Quy định bảo vệ dữ liệu toàn cầu châu Âu (GDPR) có hiệu lực vào năm 2018, một số khu vực đã áp dụng và thực hiện luật tương tự nhằm bảo vệ dữ liệu và quyền riêng tư. Luật GDPR đã ảnh hưởng đến các doanh nghiệp ở các quốc gia ngoài khối EU vì trọng tâm của luật pháp là bảo vệ quyền riêng tư của công dân châu Âu, bất cứ nơi nào họ có thể sống. Các trường hợp vi phạm cũng sẽ bị xử lý rất nghiêm khắc, nhằm răn đe và tránh tình trạng tương tự xảy ra. Theo Gartner dự đoán, trong năm 2020 này, luật bảo vệ dữ liệu sẽ được phổ biến rộng rãi, mở rộng cũng như bổ sung chặt chẽ hơn.
Giá trị của dữ liệu thay đổi
Dữ liệu trong doanh nghiệp thường được đánh giá theo hai trường hợp, một nhóm là dữ liệu cũ, không còn giá trị sử dụng và không được dùng cho mục đích kinh doanh nữa. Khi đó, vấn đề đặt ra là làm thế nào để xử lý các dữ liệu này trong các thiết bị liên quan trước khi thanh lý hoặc bàn giao thiết bị cho mục đích sử dụng khác? Dữ liệu có thể không cần thiết và quan trọng tại thời điểm này, với người này, tuy nhiên lại là thông tin vô cùng quý giá đối với những kẻ săn tin, hacker hoặc đối thủ. Điều này dẫn đến cách nhìn thứ hai về dữ liệu của doanh nghiệp, càng nhiều thông tin dữ liệu doanh nghiệp lưu trữ, sở hữu, nguy cơ bị rò rì và tấn công bởi các tin tặc mạng càng cao.
Mới đây, theo báo cáo về rò rỉ dữ liệu của IBM/Ponemon năm 2019 có chỉ ra rằng, giá trị trung bình của một tài liệu bị rò rỉ là $150, và khối lượng dữ liệu bị rò rỉ trung bình là $3.9 triệu đô la.
Khối lượng dữ liệu
Tầm quan trọng của quản lý dữ liệu tăng lên khi khối lượng dữ liệu tăng lên với tốc độ lớn hơn. Khi các thiết bị lưu trữ và thu thập dữ liệu ngày càng mở rộng và phát triển đa dạng, từ thiết bị IoT, các thiết bị cầm tay, thiết bị không dây, nguy cơ rò rỉ dữ liệu của doanh nghiệp ngày càng cao. Khi doanh nghiệp càng có nhiều dữ liệu, có nghĩa là doanh nghiệp cần xây dựng hệ thống cơ sở hạ tầng công nghệ thông tin cao cấp hơn. Trừ khi hệ thống quy định bảo mật dữ liệu của doanh nghiệp thực sự hoàn thiện và có thể đảm bảo xử lý toàn bộ các vấn đề phát sinh, hoặc doanh nghiệp của bạn có thể bị rò rỉ dữ liệu bảo mật mà ngay cả đội ngũ kĩ thuật của doanh nghiệp cũng không thể biết được.
Các hoạt động tấn công dữ liệu thường xuyên xảy ra
Nửa đầu năm 2019 đã ghi nhận rất nhiều thông tin về các vụ rò rỉ dữ liệu rất nghiêm trọng. Trong khi các doanh nghiệp chú trọng và việc rò rỉ dữ liệu xảy ra do các hoạt động trao đổi thông tin trong doanh nghiệp, có một số lượng rất lớn dữ liệu bị rò rỉ thông qua các thiết bị sau khi thanh lý cũng như các hoạt động tấn công từ bên ngoài, và các hoạt động này không hề có dấu hiệu suy giảm.
Ngôn ngữ, chính sách khác
Mặc dù sự ra đời của chính sách bảo mật là một hướng đi đúng nhằm bảo mật dữ liệu, tuy nhiên rất nhiều quy định được viết ra chưa thực sự hiệu quả, lỏng lẻo và chưa áp dụng được vào thực tiễn. Một số lĩnh vực thường được kề cập đến một cách mơ hồ, không rõ ràng, ví dụ như việc huỷ dữ liệu trong thiết bị trước khi thanh lý. Ai sẽ là người chính thức sở hữu dữ liệu đó? Ai là người chịu trách nhiệm huỷ dữ liệu đó? Ai sẽ kiểm định sau khi dữ liệu bị huỷ? Ai sẽ chịu trách nhiệm nếu các dữ liệu này bị khôi phục và sử dụng với mục đích xấu?
Thử tưởng tượng chuyện gì sẽ xảy ra nếu chiến lược kinh doanh của công ty bạn bị lọt vào tay đối thủ chỉ vì thiết bị ổ cứng khi thanh lý chưa được tẩy xoá dữ liệu đúng cách?
Năm 2019 vừa qua, đã có rất nhiều doanh nghiệp lớn như Facebook. Apple, Google đã cập nhật quy định bảo mật dữ liệu với người dùng, tất cả những hoạt động này nhằm mục đích đưa ra các quy định, tiêu chuẩn nhằm tối ưu hoá bảo mật dữ liệu người dùng. Đây là những nỗ lực không thể phủ nhận của các ông lớn trong ngành công nghệ, là một hướng đi đúng đắn trong việc bảo vệ và xử lý dữ liệu an toàn. Vậy doanh nghiệp của bạn thì sao? Liệu 2020 có phải là thời điểm thích hợp để doanh nghiệp bạn bắt đầu quan tâm đến vấn nạn về rò rỉ dữ liệu cũng như có những phương án thích hợp để bảo vệ doanh nghiệp mình khỏi những rủi ro về rò rỉ dữ liệu?
