Ngày An toàn thông tin 2009 TP. Hồ Chí Minh
Cùng với chủ đề “Bảo vệ tài nguyên thông tin hôm nay, vì ngày mai phát triển”, Ngày An toàn thông tin Việt Nam 2009 tại TP.HCM nằm trong khuôn khổ các sự kiện thường niên quy mô quốc gia do VNISA tổ chức. Sự kiện nhằm thể hiện sự gắn kết giữa Nhà nước – Xã hội – Doanh nghiệp và tạo điều kiện để các cá nhân, tổ chức có cơ hội tiếp cận, chia sẻ những kiến thức, công nghệ tiên tiến trong lĩnh vực ATTT.
Sự kiện đã thu hút gần 400 đại biểu, khách mời đại diện cho các tổ chức, công ty, các cơ quan quản lý nhà nước cùng nhiều cán bộ quản lý, chuyên gia… hoạt động trong lĩnh vực ATTT. Sự thành công của sự kiện ghi nhận sự quan tâm rất lớn của xã hội đối với lĩnh vực ATTT và đánh dấu một bước tiến mới của cộng đồng những người làm việc trong lĩnh vực này.
Trong chương trình hội thảo, phiên báo cáo chính gồm báo cáo Tổng quan tình hình ATTT khu vực phía Nam do ông Ngô Vi Đồng, Chủ tịch Chi hội VNISA phía Nam trình bày và một số tham luận về các công nghệ ATTT tiên tiến của đại diện các Công ty Oracle, IBM, Cisco System…. Sau đó, hội thảo được chia làm 3 phiên làm việc với các chủ đề: ATTT mạng và hệ thống, Đào tạo và chuẩn hóa trong ATTT và ATTT trong thương mại điện tử.
Trước đó, Chi hội ATTT phía Nam đã tiến hành khảo sát thực trạng ứng dụng triển khai ATTT tại các cơ quan doanh nghiệp trên địa bàn TP. HCM và các tỉnh thành thuộc khu vực phía Nam. Bản báo cáo tổng quan được trình bày trong Hội thảo điểm qua một số sự kiện nổi bật về tình hình ATTT trên thế giới nói chung và phân tích tình hình thực hiện ATTT tại Việt Nam nói riêng, đồng thời đề xuất một số kiến nghị về ATTT đối với các doanh nghiệp và cơ quan quản lý nhà nước.
Báo cáo tổng quan: Đánh giá kết quả khảo sát tình trạng ATTT ở phía Nam
Mục đích của cuộc điều tra thăm dò là hướng đến kết quả phản ánh nhận thức của người sử dụng CNTT về ATTT. Trong số gần 1000 phiếu điều tra phát ra chỉ thu được hơn 200 phiếu của các doanh nghiệp tham gia trả lời các câu hỏi điều tra.
Đối tượng khảo sát chủ yếu là các doanh nghiệp tại khu vực phía Nam, đang ứng dụng CNTT vào các hoạt động sản xuất kinh doanh. Người được phỏng vấn là các Giám Đốc CNTT (CIO), cán bộ quản lý hệ thống ATTT, chuyên gia quản trị mạng. Qua các số liệu tổng hợp được về hiện trạng kết nối mạng, mức độ sẵn sàng đảm bảo ATTT, phát hiện và xử lý tấn công an ninh mạng, xử lý và tường thuật sự cố…, có thể rút ra một số nhận xét sau:
- Vấn đề nhận thức về ATTT chưa được quan tâm đúng mức. Kết quả thống kê cho thấy 80% các sự cố về ATTT do yếu tố con người, nhưng không có thống kê nào cho thấy việc đầu tư nâng cao nhận thức cho nhân viên về ATTT trong doanh nghiệp được chú trọng thực hiện.
- Tình trạng ATTT tại các doanh nghiệp phía Nam hiện đang ở mức dưới trung bình do thực trạng đầu tư vào hệ thống phòng thủ an ninh mạng còn rất yếu. Tuy nhiên đã có dấu hiệu khả quan cho thấy mức độ nhận thức ATTT tại các doanh nghiệp đang tăng dần đi đôi với việc dự báo tăng ngân sách cho các dự án ATTT.
- Tỉ lệ doanh nghiệp đã xây dựng chính sách ATTT ở mức thấp, điều này thể hiện sự thiếu kiến thức của doanh nghiệp về việc xây dựng hệ thống ATTT tổng thể, đi đôi với sự thiếu vắng của việc cam kết xây dựng hệ thống ATTT từ các cấp lãnh đạo.
- Các doanh nghiệp hiện chỉ chú trọng đầu tư vào thiế
t bị và phần mềm bảo mật, rất ít doanh nghiệp hiểu được tầm quan trọng của việc xây dựng qui trình ATTT, hệ thống quản lý ATTT tổng thể theo các tiêu chuẩn.
- Tỉ lệ doanh nghiệp có hệ thống anti-virus có bản quyền còn thấp mặc dù theo thống kê thì gần 100% doanh nghiệp đã dùng phần mềm anti-virus. Đa số các doanh nghiệp vẫn sử dụng hệ thống anti-virus không có bản quyền hợp pháp.
- Phần lớn các sự cố an ninh mạng phát hiện được đều liên quan đến các sự cố anti-virus và web, là những sự cố có thể được phát hiện dễ dàng. Có thể còn tiềm ẩn những tấn công nội mạng mà doanh nghiệp hiện chưa quan tâm đúng mức. Vì lí do nhạy cảm, rất khó thống kê được số lượng thực tế các tấn công nội mạng này. Đây là mối nguy cơ tiềm ẩn rất đáng quan tâm.
- Doanh nghiệp đang gặp nhiều khó khăn trong vấn đề phát hiện và xử lý sự cố ATTT. Nguyên nhân chính là việc thiếu đầu tư các thiết bị có khả năng phát hiện, ghi nhận sự cố ATTT, đi đôi với sự thiếu vắng của các quy trình thủ tục xử lý sự cố, và tâm lý e ngại liên hệ với cơ quan luật pháp.
- Thiếu trầm trọng nguồn nhân lực ATTT cho tổ chức và doanh nghiệp. Rất ít tổ chức có nhân viên quản trị bảo mật thông tin chuyên trách hay giám đốc, trưởng phòng về ATTT (Security manager). Bên cạnh đó, công tác đào tạo nguồn nhân lực ATTT chưa được các tổ chức, doanh nghiệp đánh giá đúng mức.
Báo cáo tổng quan: Nguồn nhân lực và đào tạo ATTT tại khu vực phía Nam
Phát triển nhân lực ATTT vẫn là một trong những vấn đề còn rất nhiều hạn chế trong năm vừa qua, thể hiện ở một số khía cạnh sau:
- Nguồn nhân lực bảo mật thông tin có trình độ cao vẫn trong tình trạng cung không đủ cầu. Đa số các nhân sự chịu trách nhiệm đảm bảo ATTT trong doanh nghiệp là quản trị hệ thống kiêm nhiệm, phần lớn tự đào tạo, tích lũy kinh nghiệm và không được đào tạo chính quy về ATTT. Hiện vẫn có rất ít các tổ chức, doanh nghiệp tại Việt Nam có vị trí Giám đốc ATTT (CSO).
- Về đào tạo ATTT nhìn chung còn ở giai đoạn ban đầu và tự phát. Các khóa học chưa đủ để thành một chương trình đào tạo chuyên gia hoàn thiện. Các cơ sở đào tạo chủ yếu sử dụng các chương trình sẵn có của nước ngoài để giảng dạy, thiếu tính chuyên sâu và chủ yếu dạy về kỹ năng, sử dụng công nghệ “Hacking”.
- Một số cơ sở đào tạo đã có chương trình dạy về ATTT song còn ít và giáo trình cũng chưa được chuẩn hóa. Những năm gần đây đã có nhiều chuyển biến rõ rệt: số lượng người học và số lượng các môn học đều tăng, các khóa học nền tảng đã được triển khai: CCSP, SCNP, Security+, ISO 17799, CEH…. Tuy nhiên đây mới chỉ là các khóa học theo chứng chỉ do các tổ chức nước ngoài cấp. Mặt khác, một bộ phận lớn học viên đăng ký các khoá học bảo mật nhằm mục đích bổ sung những chứng chỉ, bằng cấp quốc tế có tính phổ dụng chứ chưa có thái độ học tập, nghiên cứu một cách nghiêm túc để nâng cao kiến thức.
- Hệ thống đào tạo còn thiếu chương trình cho chuyên gia CISSP, CCIE security; các khóa học của InfoSec Institute về xâm nhập thử nghiệm, lập trình an toàn.
- Vấn đề đào tạo nguồn nhân lực về ATTT còn chưa được các doanh nghiệp quan tâm đúng mức. Theo khảo sát của Ban CNTT Chi hội VNISA phía Nam, với trên 1.200 doanh nghiệp thuộc Câu lạc bộ Doanh nhân Sài Gòn, thì có tới 90% chủ doanh nghiệp chưa ý thức được việc bảo vệ tài sản thông tin quý giá.
- Sự cống hiến thầm lặng của các “chiến sĩ” quản trị và an ninh mạng vẫn chưa đánh giá đúng mức. Chính đội ngũ này mới đảm bảo được hệ thống thông tin ổn định, góp phần đảm bảo hoạt động kinh doanh của doanh nghiệp.