Blog

Cách nâng cao hiệu quả bảo mật dữ liệu và quản trị dữ liệu.

Quản trị dữ liệu là hệ thống các chính sách nội bộ mà các tổ chức sử dụng để quản lý, truy nhập và bảo mật dữ liệu doanh nghiệp. Mặc dù hệ thống trong các tổ chức có thể khác nhau về độ phức tạp, nhưng chúng luôn có một số đặc điểm chung: quy trình nội bộ, chính sách, vai trò được xác định, số liệu và tiêu chuẩn tuân thủ. Mục tiêu của hệ thống là giúp mọi người sử dụng một cách hiệu quả và an toàn lượng lớn dữ liệu do các doanh nghiệp hiện nay tạo ra.

Dữ liệu ở xung quanh chúng ta và đang từng giờ thay đổi cuộc sống của chúng ta. Lấy một ví dụ đơn giản, nền tảng chia sẻ video Youtube.com của Google trả tiền cho các Youtuber tạo ra nội dung chia sẻ dựa trên lượt view. Vậy Youtube lấy tiền đâu để trả tiền cho các Youtuber? Chắc chúng ta đều biết là Youtube có chèn các đoạn quảng cáo vào trong nội dung của Youtube, như vậy khi chúng ta xem video thì cũng đồng nghĩa chúng ta phải xem quảng cáo. Việc nội dung quảng cáo phản ánh sản phẩm nào sẽ phụ thuộc hoàn toàn vào việc thu thập, phân tích hành vi xem video của bạn. Nói đến đây, chắc hẳn bạn đã mường tượng được tại sao dữ liệu lại là nguồn dầu mỏ mới.

Với các ví dụ như trên, chúng ta có thể thấy dữ liệu đóng vai trò hết sức quan trọng và đang thay đổi cách thức kinh doanh của nhiều doanh nghiệp, tổ chức. Vậy, các tổ chức tài chính Việt Nam đã và đang quản lý, khai thác dữ liệu thế nào? Liệu dữ liệu có được bảo mật hay không? Trong phạm vi bài viết này, tác giả xin chia sẻ việc bảo mật thông tin dưới góc nhìn của người làm quản trị dữ liệu trong các ngân hàng.

Bài viết chia sẻ quan điểm độc lập của tác giả, không đại diện cho bất kỳ tổ chức hay cá nhân nào. Toàn bộ hình ảnh, nội dung bài viết được xây dựng dựa trên kinh nghiệm của tác giả trong hơn 10 năm làm việc với dữ liệu ngành ngân hàng và không ám chỉ, liên quan cụ thể một ngân hàng nào. Tác giả hoan nghênh và lắng nghe các đóng góp, trao đổi của các đồng nghiệp, bạn đọc quan tâm, mọi đóng góp, chia sẻ xin các bạn để lại dưới bình luận hoặc inbox trực tiếp.

1. Dữ liệu bị phát tán từ đâu?

Phần lớn chúng ta đều nghĩ rằng việc dữ liệu của các tổ chức tài chính ngân hàng bị rò rỉ do hacker thực hiện các cuộc tấn công vào hệ thống cơ sở dữ liệu của ngân hàng để truy cập trái phép dữ liệu nhạy cảm của khách hàng. Tuy nhiên, đó chỉ là một phần của vấn đề, chúng ta quên mất rằng có rất nhiều trường hợp dữ liệu bị phát tán từ chính những người trong tổ chức của mình, một cách vô tình hay cố ý.

Điển hình, năm 2013 một cán bộ tín dụng của một ngân hàng thương mại cổ phần (TMCP) đã mượn user của đồng nghiệp để truy cập trái phép và sao lưu dữ liệu của hơn 1,000 khách hàng có số dư tiết kiệm hơn 500 triệu VNĐ, sử dụng cho mục đích cá nhân và bán cho các nhân viên của ngân hàng khác. Vụ việc bị phát hiện và người bán dữ liệu đã phải chịu án tù treo 2 năm. Tuy nhiên, không ai kiểm chứng được cán bộ này đã bán dữ liệu bao nhiêu lần và cho những ai?

Khi tác giả thực hiện bài viết này cũng tìm ra được 1 website bán dữ liệu của hơn 4 triệu khách hàng ở mọi lĩnh vực được chia thành nhiều danh sách, trong đó có ngân hàng. Một điều ngạc nhiên là trong các danh sách về ngân hàng, có danh sách phân loại được khách hàng có dùng thẻ và loại thẻ.

Tất nhiên chất lượng của dữ liệu được bán trên các website. Đây chỉ là một trong rất nhiều đường link chia sẻ thông tin khách hàng mà tác giả tìm thấy trên Google, bạn đọc có thể tự mình trải nghiệm thông qua tìm kiếm từ khóa “mua thông tin khách hàng”.

No alt text provided for this image

Hình 1: Thông tin khách hàng sử dụng thẻ tại một ngân hàng TMCP ở HCM đang được bán trên internet

Qua đây có thể thấy, để có được dữ liệu về khách hàng sử dụng thẻ và loại thẻ thì rõ ràng nguồn phát tán phải từ trong nội bộ của ngân hàng. Vậy các ngân hàng quản lý dữ liệu của mình thế nào? Chúng ta hãy tìm hiểu sâu hơn trên hai khía cạnh: Nhận thức về giá trị dữ liệu của ngân hàng và Hiện trạng quản trị dữ liệu tại các ngân hàng.

2. Hiện trạng bảo mật, chia sẻ dữ liệu nội bộ trong ngân hàng

2.1. Nhận thức về giá trị dữ liệu của ngân hàng

Năm 2018, trong quá trình triển khai Tư vấn Khung Quản trị dữ liệu, tác giả đã thực hiện một khảo sát về mức độ trưởng thành trong quản trị dữ liệu trong phạm vi nhỏ với một bộ khảo sát được xây dựng dựa trên 2 mô hình phổ biến trên thế giới: DCAM (Data Management Capabilities Assessment Model) do EDM Council phát triển và DMMA (Data Management Maturity Assessment) do DAMA International nêu trong cuốn sách DMBOK2.

Mô hình trưởng thành quản trị dữ liệu được sử dụng trong khảo sát bao gồm 6 mức trưởng thành:

  • Chưa bắt đầu
  • Có ý tưởng
  • Đang phát triển
  • Đã xác định
  • Hoàn thành
  • Tối ưu

Mô hình này sẽ đánh giá ngân hàng về mức độ trưởng thành quản trị dữ liệu trên 3 khía cạnh: Quy trình, mức độ gắn kết và tổ chức. Kết quả của khảo sát không làm tác giả ngạc nhiên khi các ngân hàng ở Việt Nam đang ở mức đầu tiên trong 6 mức trưởng thành quản trị dữ liệu. Điều đó cho thấy các ngân hàng Việt Nam chưa thực sự chú trọng vào việc quản trị dữ liệu và chưa có mức đầu tư xứng đáng vào hoạt động này.

Nếu so sánh với các thị trường khác, như thị trường Mỹ hay các nước phát triển ở Châu Âu hiện tại đang ở mức 4, là mức Đã xác định và đang tiến tới mức 5, mức Hoàn thành. Hay nhìn vào các nước trong khối thị trường đang phát triển ở Châu Á và Châu Phi, thì cũng đang ở mức 3 là mức Đang phát triển. Như vậy có một khoảng cách lớn giữa thị trường Việt Nam và các nước trong khu vực và trên thế giới.

No alt text provided for this image

Hình 2: Mức độ trưởng thành quản trị dữ liệu

Thực tế, thuật ngữ “Quản trị dữ liệu” mới thực sự được các ngân hàng để mắt tới từ năm 2014 và hiện tại việc triển khai Quản trị dữ liệu tại các ngân hàng Việt Nam còn rất hạn chế, thậm chí còn rất nhiều các ngân hàng mới có ý tưởng manh nha mà chưa triển khai. Một tín hiệu tích cực là lãnh đạo các ngân hàng đã nhìn nhận được tầm quan trọng của dữ liệu cho định hướng kinh doanh của ngân hàng, tuy nhiên, thông điệp này vẫn chưa được truyền tải tới các CBNV của ngân hàng, những người đang hàng ngày tiếp xúc với dữ liệu.

Về mặt tổ chức đơn vị quản trị dữ liệu, phần lớn các ngân hàng đang sử dụng mô hình phân tán, nghĩa là tồn tại nhiều đơn vị thu thập và khai thác dữ liệu độc lập.

No alt text provided for this image

Hình 3: Mô hình thu thập và khai thác dữ liệu phân tán tại các ngân hàng

Với mô hình phân tán này, mỗi khối nghiệp vụ sẽ có một phòng, ban thu thập và xử lý dữ liệu độc lập, việc này dẫn đến dữ liệu sẽ bị quản lý phân tán, các đơn vị khai thác cùng một loại dữ liệu sẽ không tối ưu được nguồn lực, dễ dẫn đến thông tin cung cấp cho các cấp lãnh đạo không đồng nhất làm cho việc ra quyết định kinh doanh gặp nhiều khó khăn.

Có rất nhiều chia sẻ của các vị lãnh đạo ngân hàng khi nhận được báo cáo phân tích từ các đơn vị, cùng một chỉ tiêu nhưng mỗi đơn vị báo cáo một kiểu, và việc so sánh, kiểm tra thông tin để xác định nguồn chính xác mất rất nhiều thời gian, trong một số hoàn cảnh các vị lãnh đạo này đã phải ra quyết định theo kiểu “bốc thuốc”. Với mô hình phân tán như vậy, việc chia sẻ hay truy cập vào dữ liệu không phù hợp với vị trí công việc rất dễ xảy ra và cũng không kiểm soát được. Đây là nguyên nhân cho việc dữ liệu khách hàng bị phát tán ra bên ngoài ngân hàng không kiểm soát.

2.2. Hiện trạng quản lý dữ liệu tại các ngân hàng

Về mặt hệ thống, các ngân hàng đang quản lý dữ liệu thế nào? Hình bên dưới là một điển hình về kiến trúc dữ liệu đang tồn tại phần lớn tại các tổ chức tài chính.

No alt text provided for this image

Hình 4: Hiện trạng quản lý dữ liệu trên hệ thống

Việc quản lý dữ liệu ngân hàng hiện tại rất lộn xộn. Từ năm 2009 đến nay, phần lớn các ngân hàng đều đã triển khai hệ thống Kho Dữ liệu DWH, tuy nhiên, giá trị đem lại của Kho dữ liệu này rất khó kiểm chứng, khi mà Kho dữ liệu này không phải là duy nhất. Hiện tại các ngân hàng đang tồn tại song song nhiều kho dữ liệu khác nhau, bản thân các đơn vị nghiệp vụ cũng có kho dữ liệu lưu trữ của riêng mình và gần như không sử dụng kho dữ liệu chung của toàn hàng.

Một điểm đáng lo nữa là luồng dữ liệu (data linage) luân chuyển giữa các hệ thống hiện tại chưa được quy hoạch và cũng chưa được ghi nhận trên tài liệu, dẫn đến rất nhiều khó khăn cho việc quản lý và khai thác dữ liệu. Một hệ thống rất quan trọng là Quản lý siêu dữ liệu Metadata thì hiện tại gần như các ngân hàng không có hoặc có nhưng không đầy đủ và không được cập nhập. Với việc tồn tại song song nhiều kho dữ liệu, luồng dữ liệu chưa được chuẩn hóa và ghi nhận trên tài liệu, việc ngân hàng bị rò rỉ thông tin là điều không tránh khỏi.

Nếu chúng ta so sánh mô hình kiến trúc hiện tại của các ngân hàng (hình 4) với mô hình kiến trúc dữ liệu đề xuất (hình 5) thì chúng ta sẽ thấy sự khác biệt rất lớn.

No alt text provided for this image

Hình 5: Mô hình kiến trúc dữ liệu đề xuất

Như vậy, nhìn từ hai góc độ là nhận thức về giá trị của dữ liệu và hiện trạng quản trị dữ liệu của ngân hàng đều đang gặp rất nhiều vấn đề. Làm sao để ngân hàng cải thiện việc quản trị dữ liệu của mình để qua đó nâng cao bảo mật thông tin?

3. Nâng cao bảo mật, quản lý chia sẻ thông tin

Sẽ không có một giải pháp hoàn hảo cho việc bảo mật dữ liệu của ngân hàng, mà phải là một loạt các giải pháp kết hợp với nhau. Bên cạnh việc xây dựng các hệ thống tường lửa, kiểm soát mạng, kiểm soát truy cập và các giải pháp bảo mật khác, tác giả đề xuất các ngân hàng cần xây dựng chương trình Quản trị dữ liệu nhằm xây dựng về mặt tổ chức con người và quy chế, hỗ trợ nâng cao chất lượng của hệ thống.

3.1. Xây dựng chương trình Quản trị dữ liệu

Khi thực hiện quản trị dữ liệu, tổ chức phải trả lời một số câu hỏi cơ bản sau:

  • Ai là chủ sở hữu dữ liệu?
  • Khi dữ liệu bị rò rỉ, ai là người chịu trách nhiệm?
  • Chất lượng dữ liệu được đo lường thế nào? Ai là người chịu trách nhiệm nâng cao chất lượng dữ liệu?
  • Mọi người trong tổ chức có hiểu dữ liệu theo cùng một cách?
  • Ai là người quyết định kiến trúc dữ liệu?
  • Dữ liệu được phân loại thế nào?
  • Dữ liệu được lưu trữ ở đâu, trong bao lâu?

Về cơ bản, Chương trình Quản trị dữ liệu sẽ bao phủ lên toàn bộ các hoạt động của ngân hàng, bao gồm con người – mô hình tổ chức, quy định, quy trình và hệ thống công nghệ thông tin. Chính vì mức độ bao phủ rộng lớn và có sự tương tác tới rất nhiều đơn vị trong ngân hàng, nên việc triển khai Chương trình Quản trị dữ liệu không hề đơn giản, đòi hỏi sự tham gia của các lãnh đạo cấp cao trong ngân hàng và sự phối hợp của nhiều đơn vị.

Một câu hỏi đặt ra là Chương trình Quản trị dữ liệu sẽ hỗ trợ việc bảo mật dữ liệu như thế nào?

Khi triển khai Chương trình Quản trị dữ liệu, việc đầu tiên cần triển khai là xây dựng đơn vị chuyên trách các vấn đề liên quan đến dữ liệu trên phạm vi toàn ngân hàng. Đơn vị này hoạt động độc lập, báo cáo trực tiếp TGĐ ngân hàng, được quản lý bởi Giám đốc Dữ liệu (Chief Data Officer). Giám đốc Dữ liệu là vị trí mới, không riêng ở Việt Nam mà cả ở trên thế giới.

Tuy nhiên, với tầm quan trọng của dữ liệu ngày càng được khẳng định thì các tổ chức lớn càng ngày càng coi trọng vị trí này hơn. Quay trở lại chủ đề của chúng ta, việc xây dựng một đơn vị chuyên trách với các vấn đề dữ liệu sẽ giúp cho việc kiện toàn các quy định, quy trình về dữ liệu, từ đó nâng cao nhận thức của người dùng về dữ liệu.

Ngoài ra, trong quá trình triển khai Quản trị dữ liệu, một trong các hoạt động chủ yếu là xác định chủ sở hữu dữ liệu và phân loại dữ liệu. Việc xác định chủ sở hữu dữ liệu trên phạm vi toàn hàng cùng với việc nêu rõ vai trò, trách nhiệm của chủ sở hữu dữ liệu sẽ nâng cao vai trò, trách nhiệm của chủ sở hữu dữ liệu với dữ liệu do mình quản lý.

Như chúng ta đều biết, để nâng cao bảo mật của dữ liệu, thông tin thì việc phân loại dữ liệu để ngân hàng có cơ chế phù hợp với từng loại dữ liệu là rất quan trọng, đây cũng là một hoạt động của Quản trị dữ liệu. Trong phạm vi hạn hẹp của bài viết này, và với quan điểm phát triển Quản trị dữ liệu lấy trọng tâm là yếu tố con người và mô hình tổ chức, tác giả sẽ đi sâu vào phân tích một mô hình tổ chức Quản trị dữ liệu để bạn đọc cùng tham khảo ở phần tiếp theo.

3.2. Mô hình tổ chức Quản trị dữ liệu

Như đã trao đổi ở mục trên, triển khai Quản trị dữ liệu phải bắt đầu từ mô hình tổ chức. Trong Quản trị dữ liệu, có hai loại mô hình tổ chức đóng góp vai trò lớn trong việc triển khai Quản trị dữ liệu thành công: Mô hình tổ chức mềm là các ủy ban có chức năng kiêm nhiệm, và mô hình tổ chức cứng là Trung tâm Quản trị dữ liệu có chức năng chuyên biệt.

Mô hình tổ chức mềm

Với mô hình tổ chức mềm, ở một số tổ chức sẽ phân cấp 3 ủy ban: Ủy ban Điều hành dữ liệu (Data Executive Council), Ủy ban Quản trị dữ liệu (Data Governance Council) và Ủy Ban Quản dữ liệu (Data Stewards Council). Tuy nhiên với quan điểm của tác giả, các ngân hàng tại Việt Nam có thể rút gọn mô hình với 2 Ủy ban: Ủy ban Điều hành dữ liệu và Ủy ban Quản trị dữ liệu.

  • Ủy ban Điều hành dữ liệu: Chủ trì là Tổng giám đốc của ngân hàng, các thành viên sẽ bao gồm GĐ Tài chính, GĐ QTRR, GĐ CNTT, GĐ Vận hành, GĐ Dữ liệu, Giám đốc các khối kinh doanh. Ủy ban Điều hành dữ liệu sẽ chịu trách nhiệm định hướng về mặt chiến lược, các kế hoạch triển khai tổng thể, quyết định các vấn đề chưa xử lý được tại Ủy ban Quản trị dữ liệu và quyết định đầu tư các dự án chiến lược về dữ liệu dựa trên tư vấn, khuyến nghị của GĐ Dữ liệu. Tùy theo tình hình của từng ngân hàng, Ủy ban này có thể họp theo từng quý, hoặc 6 tháng
  • Ủy ban Quản trị dữ liệu: Chủ trì là GĐ Dữ liệu, các thành viên sẽ bao gồm các chủ sở hữu dữ liệu, các quản dữ liệu (Data Stewards) tương ứng, thành viên khối CNTT và các thành viên của Trung tâm Quản trị dữ liệu theo từng chủ đề họp của Ủy ban. Ủy ban Quản trị dữ liệu chịu trách nhiệm thi hành chiến lược dữ liệu, các kế hoạch, triển khai dự án đã được phê duyệt bởi Ủy ban Điều hành dữ liệu, ngoài ra Ủy ban Quản trị dữ liệu phải tham mưu, đề xuất với Ủy ban Điều hành dữ liệu các vấn đề mới phát sinh chưa xử lý được hoặc vượt thẩm quyền xử lý, tiếp nhận và xử lý các vấn đề về dữ liệu từ các chủ sở hữu dữ liệu. Ủy ban Quản trị dữ liệu thường họp hàng tháng. Hình 6 là một mô hình mà độc giả có thể tham khảo.
No alt text provided for this image

Hình 6: Mô hình tổ chức mềm – Các Ủy ban dữ liệu

Mô hình tổ chức cứng

Với mô hình tổ chức cứng, việc thành lập Trung tâm Quản trị dữ liệu là đơn vị duy nhất chịu trách nhiệm tiếp nhận và giải quyết các vấn đề phát sinh về dữ liệu trên phạm vi toàn ngân hàng, tuy nhiên, chúng ta cần lưu ý, vấn đề về dữ liệu không phải công việc chỉ của Trung tâm Quản trị dữ liệu, để giải quyết triệt để các vấn đề dữ liệu cần có sự chung tay góp sức của toàn bộ các đơn vị, cá nhân trong ngân hàng. Về cơ bản, Trung tâm Quản trị dữ liệu cần có các chức năng sau:

  • Quản trị dữ liệu: Xây dựng, ban hành, duy trì và kiểm soát việc thực thi các quy định, quy trình về dữ liệu trên phạm vi toàn hàng
  • Kiến trúc dữ liệu: Quản lý việc thiết kế kiến trúc dữ liệu cùng với đơn vị kiến trúc hệ thống của khối CNTT
  • Quản lý siêu dữ liệu (Metadata): xây dựng và cập nhập từ điển dữ liệu (data dictionary), từ điển thuật ngữ nghiệp vụ (business glossary), xây dựng luồng dữ liệu (data linage)
  • Quản lý chất lượng dữ liệu: xây dựng hệ thống kiểm soát chất lượng dữ liệu bao gồm các báo cáo chất lượng dữ liệu, quy tắc đo lường chất lượng dữ liệu
  • Vận hành dữ liệu: chuẩn hóa hoạt động nhập liệu tập trung hóa, hỗ trợ các đơn vị quản trị dữ liệu và quản lý chất lượng dữ liệu trong hoạt động vận hành. Thực tế, trên thế giới, việc tập trung hóa hoạt động nhập và kiểm soát chất lượng dữ liệu không hề xa lạ với sự hỗ trợ của các hệ thống như BPM (Business Process Management) hoặc ECM (Enterprise Content Management), tuy nhiên, hiện tại ở Việt Nam thì mô hình này vẫn còn mới và cần nhiều thời gian để nghiên cứu và thử nghiệm.
  • Quản lý dữ liệu chủ: xây dựng hệ thống quản lý, lưu trữ, chuẩn hóa và phân phối dữ liệu chủ giữa các hệ thống dữ liệu nguồn và hệ thống sử dụng. Quản lý dữ liệu chủ chỉ có thể được thực hiện một cách hiệu quả khi toàn bộ các trức năng bên trên được triển khai vào đi vào hoạt động thường ngày.

Hình 7 mô tả các chức năng của Trung tâm Quản trị dữ liệu. Để trung tâm hoạt động hiệu quả cần có sự phối hợp chặt chẽ của các đơn vị Quản trị rủi ro và Công nghệ thông tin.

No alt text provided for this image

Hình 7: Mô hình tổ chức cứng – Trung tâm Quản trị dữ liệu

3.3. Các lưu ý khi triển khai Quản trị dữ liệu

Với kinh nghiệm làm việc nhiều năm trong lĩnh vực dữ liệu của ngân hàng, tác giả khuyến nghị tới các tổ chức cần lưu ý một số vấn đề trước khi triển khai Quản trị dữ liệu như sau:

  • Quản trị dữ liệu là một chương trình triển khai liên tục theo toàn bộ vòng đời của ngân hàng, không phải là một dự án triển khai xong là dừng.
  • Quản trị dữ liệu sẽ tác động tới rất nhiều hoạt động của ngân hàng từ mô hình tổ chức, quy trình tới công nghệ. Chính vì mức độ bao phủ lớn như vậy nên cần có sự quan tâm, tham gia sâu sát từ các cấp lãnh đạo cao cấp, chuyền tải thông điệp của quản trị dữ liệu tới toàn bộ CBNV của ngân hàng.
  • Quản trị dữ liệu không phải là công việc của một cá nhân, đơn vị, nó là công việc của toàn bộ ngân hàng.

Quản trị dữ liệu phải được triển khai và đưa vào vận hành hàng ngày trước khi triển khai các dự án về dữ liệu khác như Dự án xây Kho dữ liệu (DWH), dự án phòng chống thất thoát thông tin (DLP), Dự án nâng cao chất lượng dữ liệu, Dự án Xây dựng hệ thống quản lý dữ liệu chủ (MDM), etc.

Nguồn: Data Governance

KHOÁ HỌC TRUY VẤN VÀ THAO TÁC DỮ LIỆU SQL TỪ CƠ BẢN ĐẾN NÂNG CAO

KHÓA HỌC DATA WAREHOUSE : TỔNG HỢP, CHUẨN HÓA VÀ XÂY DỰNG KHO DỮ LIỆU TRONG DOANH NGHIỆP

KHÓA HỌC DATA MODEL – THIẾT KẾ MÔ HÌNH DỮ LIỆU TRONG DOANH NGHIỆP

LỘ TRÌNH TRỞ THÀNH DATA ENGINEER CHO NGƯỜI MỚI BẮT ĐẦU

DATA ENGINEER LÀ GÌ? CÔNG VIỆC CHÍNH CỦA DATA ENGINEER? CÁC KỸ NĂNG CẦN THIẾT

    LIÊN HỆ VỚI CHÚNG TÔI ĐỂ NHẬN ĐƯỢC TƯ VẤN MIỄN PHÍ
    Xin vui lòng điền vào form dưới đây. Chúng tôi sẽ liên hệ lại ngay cho bạn khi nhận được thông tin: