Đào tạo nâng cao nhận thức về an toàn thông tin cho CBCNV EVNCPC năm 2019.
Tham gia chương trình đào tạo, tại Cơ quan Tổng công ty có sự tham gia của Tổ ISMS Cơ quan Tổng công ty, Tổ ISMS CPC ITC, đại diện các đơn vị hậu cần và 13 Công ty Điện lực.
Các điểm cầu trực tuyến tham gia đào tạo.
Chương trình đào tạo lần này nhằm cập nhật thông tin cho người dùng cuối các vấn đề mất an toàn thông tin phổ biến nhất hiện nay, các hình thức tấn công mạng, mã độc để người dùng được biết và có biện pháp phòng ngừa, hạn chế thấp nhất các rủi ro có thể xảy ra.
Bên cạnh đó, đơn vị đào tạo cũng trình bày các quy định trong quy trình hệ thống quản lý ATTT theo tiêu chuẩn ISO/IEC 27001:2013 gồm: Quy định về đảm bảo an toàn nhân sự, quy định về an ninh vật lý và môi trường, quy định về ATTT đối với trao đổi thông tin, quy định về tính tuân thủ ATTT, quy định về quản lý thay đổi hệ thống CNTT, quy định về quản lý sự cố, quy định ATTT cho máy trạm và quy định về cấp phát, thu hồi tài khoản.
Một số lưu ý dành cho người dùng để đảm bảo ATTT: Chỉ sử dụng các máy tính của EVNCPC cho các hoạt động nghiệp vụ; Thay đổi mật khẩu định kỳ (tối thiểu 3 tháng/1 lần, nên sử dụng mật khẩu mạnh); Khóa màn hình máy tính khi rời khỏi máy tính; Tài liệu, thông tin mật phải được lưu trữ trong tủ có khóa; Báo cáo ngay các trường hợp nghi ngờ mất ATTT cho cán bộ trực tiếp.
Sử dụng mật khẩu mạnh.
Cấm các hành động: Chia sẻ, cho mượn mật khẩu; Sử dụng thư điện tử, tài sản thông tin cho các mục đích cá nhân; Tự ý sử dụng, cài đặt các phần mềm trái phép, vi phạm bản quyền trên máy tính cá nhân; Truy cập, tấn công (nghe trộm, thăm dò,…) các thông tin, hệ thống thông tin không có thẩm quyền; Phá hoại, rò rỉ thông tin, hệ thống thông tin của EVNCPC; Sử dụng các thiết bị lưu trữ, xử lý thông tin cá nhân không được EVNCPC cho phép.
10 nguyên tắc cần nhớ để đảm bảo
Lưu ý các tình huống dễ gây mất ATTT đối với người dùng cuối:
Kẻ xấu cố ý giả danh người dùng là nhân viên trong tổ chức, gửi mail có đính kèm file độc hại nhưng có tiêu đề hấp dẫn, gây tò mò (VD: “BangLuong_Thuong2018.Exe”), người dùng click vào file đính kèm, vô tình tải virus về máy; Kẻ xấu gửi những đường link với nội dung hấp dẫn, khiến người dùng tò mò click vào, sau khi người dùng click vào, mã độc được cài đặt trên máy tính, lấy cắp thông tin truy cập tài khoản mạng xã hội;
Một người dùng trong Công ty nhờ bạn in giúp một tài liệu từ USB của họ, bạn không thể biết được trong USB có những gì cho đến khi bạn cắm chiếc USB đó vào máy tính và khi bạn nhận ra trong chiếc USB có gì thì đã quá muộn – máy tính của bạn đã bị nhiễm mã độc;
Người dùng viết mật khẩu ra giấy và để tại khu vực dễ nhìn thấy, tạo cơ hội cho kẻ xấu dễ dàng truy cập vào máy tính, tài khoản cá nhân làm những điều tổn hại tới người dùng;
Người dùng tự ý tắt các chức năng an toàn bảo mật trên máy tính của mình để truy cập vào các nội dung bị tường lửa, phần mềm AntiVirus chặn, khiến máy tính đứng trước nguy cơ bị tấn công từ các mối hiểm họa khó lường trên mạng Internet;
Người dùng nhận được email yêu cầu hoàn thiện mẫu báo cáo theo file đính kèm, và do mất cảnh giác, người dùng click vào file mà không quét virus trước; Điện thoại, máy tính của bạn không đặt mật khẩu hoặc mật khẩu chỉ gồm các ký tự dễ đoán (1234, abcd, pass…);
Qui định sử dụng mật khẩu.
Việc chia sẻ quá nhiều thông tin cá nhân, cuộc sống hôn nhân, đời sống tình cảm trên mạng xã hội cũng tạo cơ hội cho những kẻ xấu nắm bắt được các thông tin về gia đình, cá nhân bạn và tạo ra những mối nguy cho chính bạn và người thân của bạn.
Một số khuyến nghị đối với người dùng cuối
An toàn thông tin tại khu vực làm việc: Không ghi mật khẩu, các tài liệu quan trọng, tài liệu mật ở bàn làm việc; An toàn thông tin với phương tiện cá nhân (thiết bị di động, máy tính xách tay): Không nên bật sẵn các kết nối bluetooth, sử dụng wifi miễn phí, các ứng dụng không rõ nguồn gốc; An toàn thông tin khi sử dụng thiết bị thông minh (Smartphone): Luôn khóa điện thoại khi không sử dụng điện thoại;
An toàn thông tin khi truy cập Internet: Không truy cập vào các trang web độc lại, quảng cáo chứa mã độc hại; Khi sử dụng email không bấm vào các liên kết không rõ nguồn gốc hoặc các file đính kèm; Khi sử dụng mạng xã hội: Sử dụng mật khẩu mạnh để thiết lập cho các tài khoản, bật chức năng xác thực 2 bước. Kết bạn với bạn bè quen biết thực sự, xác minh danh tính trước khi kết bạn; Khi sử dụng mạng không dây: Sử dụng mạng riêng ảo (VPN), sử dụng xác thực 2 bước, cẩn thận với các tính năng tự động kết nối mạng không dây.
Qua các nội dung được truyền tải trong khuôn khổ chương trình, có thể thấy nhận thức của người dùng đóng vai trò hết sức quan trọng trong hoạt động đảm bảo ATTT của cơ quan, doanh nghiệp và của chính cá nhân người sử dụng.
Do đó, việc đẩy mạnh hoạt động tuyên truyền, phổ biến, nâng cao nhận thức về ATTT cho CBCNV trong toàn EVNCPC là thực sự cần thiết, đảm bảo ATTT chung cho hoạt động sản xuất kinh doanh của Tổng công ty.