Từ tình huống của công ty D-Merton, xác định nhu cầu an toàn thông tin nào

của công ty không được đáp ứng và nguyên nhân tại sao?
Một trong những nhu cầu an toàn thông tin của công ty D-Merton không được đáp
ứng là bảo vệ chức năng của hệ thống. Công ty này sở hữu 4 hệ thống IT khác
nhau, mỗi hệ thống hoạt động đồng thời trong tập đoàn. Sự đa dạng này xuất phát
từ các công ty được mua lại, với mức độ bảo vệ và tính năng an toàn khác nhau.
Phương pháp đăng nhập cũng đồng biến động. Tình trạng này tạo điều kiện thuận
lợi cho tấn công từ nhiều hướng, với 50 lỗi phát hiện hàng tháng và hệ thống luôn
trong trạng thái phòng vệ nghiêm trọng. Do đó, Hội Đồng quản trị của công ty phải
xem xét việc thiết lập các biện pháp để cải thiện an toàn thông tin trong hệ thống
công nghệ thông tin của tập đoàn. Điều này là quan trọng để đảm bảo rằng nhu cầu
bảo vệ chức năng hệ thống không bị bỏ qua.

Một khía cạnh khác là nhu cầu bảo vệ dữ liệu và thông tin mà tổ chức thu thập và
sử dụng cũng không được đáp ứng. Kẻ tấn công đã có thể truy cập vào hệ thống tài
chính của một công ty con, sau đó xâm nhập vào hệ thống tài chính trung tâm bằng
cách tạo ra các ID đăng nhập hợp lệ. Sự phân quyền không phát hiện được sự xâm
nhập này, dẫn đến 4 lần cơ sở dữ liệu bị truy cập, trong đó có thông tin về thiết kế
của S1D bị rò rỉ ra bên ngoài. Điều này dẫn đến việc huỷ 6 đơn hàng và thông tin
thiết kế quan trọng bị tiết lộ. Nhu cầu bảo vệ dữ liệu và thông tin này không được
đáp ứng đúng mức, và việc thực hiện các biện pháp an toàn là hết sức cần thiết để
ngăn chặn tình trạng này lặp lại.