Blog

Bảo mật dữ liệu (Data security): Những hoạt động có trong Data security

INDA sẽ giới thiệu đến các bạn giải pháp, hành động sẽ giúp các công ty vừa đẩy mạnh khai thác dữ liệu phục vụ hoạt động kinh doanh vừa có thể cải thiện khả năng bảo vệ dữ liệu, thông tin.

 

Những hoạt động có trong Data security

Đầu tiên trước khi chúng ta nói về những hoạt động có trong Data security, hãy cùng điểm qua một số ví dụ có thể coi là các trường hợp một công ty đang thực hiện bảo mật dữ liệu:

  • Công ty ngăn chặn và xử lý các hành vi làm rò rỉ dữ liệu, đánh cắp dữ liệu bởi những thành phần bên trong nội bộ tổ chức thông qua việc vận hành quá trình Quản trị dữ liệu (Data governance) như thiết lập các quy định, quy tắc cụ thể, và thông qua các chương trình tập huấn cho nhân viên.
  • Công ty giao nhiệm vụ cho bộ phận nhân viên phụ trách quản lý các hệ thống thông tin, hệ thống mạng, hệ thống máy tính trong công ty, chủ động trong việc tìm kiếm, phát hiện, ngăn chặn các phần mềm độc hại, các tệp, các e-mail chứa mã độc, virus.
  • Công ty kiểm tra rà soát lại các phần mềm, phần cứng, các thiết bị I.oT được sử dụng để phát hiện và ngăn chặn các lỗ hổng an ninh, các điểm truyền tải, truy cập dữ liệu (Access Point) đáng ngờ.
  • Xem xét, phân loại dữ liệu theo mức độ quan trọng, mức độ yêu cầu về bảo mật cao, tác hại khi chúng bị đánh cắp, rò rỉ là rất lớn, để xây dựng những biện pháp quản lý, lưu trữ phù hợp như xác định dữ liệu nào cần lưu trữ bên trong chính hệ thống của tổ chức, dữ liệu nào có thể được lưu trữ trên hạ tầng đám mây (Cloud) của các công ty cung cấp dịch vụ, giải pháp lưu trữ dữ liệu ví dụ Google (Gsuite của Google Cloud), Amazon (Amazon Web Services – AWS)
  • Công ty đang xây dựng một hệ thống các chuẩn mực, quy tắc dành cho những hoạt động, công việc liên quan đến dữ liệu, yêu cầu nhân viên tuân theo để đảm bảo dữ liệu được bảo vệ tuyệt đối.
  • Công ty thể hiện mình đang tuân thủ các điều luật về bảo mật thông tin của quốc gia bằng cách đưa ra những hành động chứng minh sự minh bạch trong việc sử dụng thông tin cá nhân của khách hàng, cũng như đã và đang xây dựng hệ thống bảo mật đạt các tiêu chuẩn cần thiết.

Chắc qua những ví dụ trên, các bạn đã hiểu được sơ qua về các cách thức bảo mật dữ liệu là như thế nào. Để hiểu rõ hơn, chúng ta cùng đi vào những hoạt động có trong Data security được DAMA (The Global Data Management Community) cung cấp trong tài liệu DMBOK (Data Management: The Body of Knowledge, phiên bản 2, năm 2017).

Theo DAMA, Data security là một quá trình, một thành phần không thể thiếu trong hệ thống Data management – quản lý dữ liệu – ở các tổ chức. Data management là việc phát triển, triển khai, giám sát các kế hoạch, chính sách, chương trình hoạt động, và các công việc thực tiễn nhằm cung cấp (phân phối), kiểm soát, bảo vệ, gia tăng giá trị của tài sản dữ liệu và thông tin xuyên suốt vòng đời của chúng. Data management được coi là yếu tố quyết định liệu công ty có thu thập được những thông tin hữu ích từ dữ liệu và chuyển nó thành giá trị hay không.

Nguồn hình: DMBOK

Vì Data security là một phần của Data management, vậy nên tầm quan trọng của Data security không chỉ dừng lại ở việc bảo vệ dữ liệu, thông tin mà còn giúp công ty đạt được thành công trong những dự án khai thác, phân tích dữ liệu.

Theo DAMA, công ty cần phải tự xây dựng và kiểm soát những hoạt động bảo mật dữ liệu, chứng minh chúng đạt được, hay tuân thủ những yêu cầu có trong các điều luật bảo mật thông tin của quốc gia, và quyền riêng tư, quyền cá nhân khác của khách hàng. Ngoài ra công ty còn phải theo dõi, lưu lại các ghi chép về việc kiểm soát hoạt động bảo mật, sau đó thực hiện đánh giá với những tiêu chí cụ thể.

Các hoạt động bảo mật dữ liệu cụ thể như xác định các yêu cầu, quy tắc về bảo mật, đánh giá môi trường kinh doanh hiện tại, hệ thống thông tin bên trong nội bộ dựa trên khả năng xuất hiện các lỗ hổng an ninh hoặc rủi ro bị tấn công, bị đánh cắp dữ liệu; áp dụng các công cụ bảo mật, thực hiện những quy trình bảo mật; và kiểm soát, đo lường Data security để đảm bảo sự hiệu quả.

Tuy nhiên, trong tài liệu DMBOK của DAMA chỉ đề cập tới 3 hoạt động (Activities) chính bao gồm: xác định những yêu cầu trong Data security; xác định các quy tắc, thiết lập chính sách trong Data security; và xác định những tiêu chuẩn Data security. Theo chúng tôi, thì các chuyên gia DAMA cho rằng quá trình bảo mật dữ liệu có thành công hay không phụ thuộc rất nhiều và chiến lược, kế hoạch đề ra ban đầu, chính là những cơ sở để giai đoạn thực thi những hoạt động bảo mật dữ liệu được diễn ra một cách tốt nhất. Còn việc ứng dụng các công cụ, phần mềm (Tools), kỹ thuật (Techniques), tất cả đều được các chuyên gia DAMA tách riêng thành từng phần khác nhau chứ không liệt kê chung vào phần Activities.

Do đó, để tránh làm dài bài viết, INDA sẽ không trình bày hết toàn bộ mà xin phép chỉ trích dẫn và bàn luận tổng quan về 3 hoạt động nói trên mà thôi (không đi vào chi tiết từng bước hành động cụ thể trong tài liệu DMBOK). Lý do khác, ngoài tài liệu DMBOK của DAMA, chúng tôi cũng muốn gửi đến các bạn nhiều thông tin hữu ích khác trong bài viết này về giải pháp Data security cung cấp bởi công ty quốc tế đi đầu trong lĩnh vực công nghệ bảo mật là IBM  và Dataversity – tổ chức cung cấp giải pháp giáo dục trong lĩnh vực quản lý dữ liệu

1. Xác định những yêu cầu có trong Data security

Đầu tiên là phân biệt rõ giữa những yêu cầu trong kinh doanh và những yêu cầu trong bảo mật dữ liệu. Đối với các yêu cầu trong bảo mật dữ liệu thì tiếp tục xác định rõ các quy tắc đến từ môi trường bên ngoài tổ chức ví dụ như chúng tôi đã đề cập từ bài viết trước đó chính là các điều luật về bảo mật thông tin của quốc gia, nhà nước (GPDR của liên minh châu Âu, luật An ninh mạng của nước ta), hay các điều luật ở phạm vi quốc tế như (Payment Card Industry Data Security Standard (PCI DSS) – Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán); và bao gồm các quy định, quy tắc bên trong nội bộ tổ chức ví dụ những quy tắc do cấp quản lý đề ra để nhân viên tuân thủ.Bên cạnh đó, khi một công ty triển khai ứng dụng nhiều hệ thống (application systems), chức năng (ví dụ như hệ thống quản lý bán hàng, hệ thống quản lý khách hàng, hệ thống quản lí sản xuất,…) giúp công ty đạt được các yêu cầu kinh doanh, vận hành kinh doanh hiệu quả thì mỗi hệ thống đều có thể nắm giữ và cung cấp nhiều dữ liệu quan trọng chứa đựng thông tin hữu ích. Vậy nên, mỗi hệ thống ấy cũng cần được xây dựng những quy tắc bảo mật dữ liệu riêng, đảm bảo tất cả nguồn tài sản dữ liệu trong công ty được “bảo vệ” tốt nhất.

Mặc dù chúng ta cần phân biệt rõ yêu cầu trong kinh doanh và yêu cầu trong bảo mật để đưa ra những giải pháp, hành động phù hợp. Nhưng thực chất khi một công ty bắt đầu tiến hành tăng cường bảo mật dữ liệu thì trước tiên họ phải nắm rõ từng nguyên tắc, yêu cầu trong kinh doanh.

Các nhu cầu, yêu cầu trong kinh doanh, cùng với nhiệm vụ, sứ mệnh, tầm nhìn chiến lược, kết hợp đặc điểm về quy mô, ngành và lĩnh vực hoạt động của công ty. Tất cả các yếu tố này sẽ quyết định hay ảnh hưởng sâu sắc đến mức độ khắt khe, nghiêm ngặt, và chặt chẽ của quá trình bảo mật dữ liệu. Ví dụ, các công ty tài chính và chứng khoán ở Hoa Kỳ được quản lý rất gắt gao và bắt buộc phải duy trì các tiêu chuẩn bảo mật dữ liệu một cách cực kỳ nghiêm ngặt. Ngược lại, một công ty bán lẻ quy mô nhỏ có thể chọn cách thức, loại hệ thống bảo mật dữ liệu với chức năng riêng không giống với một công ty bán lẻ có quy mô lớn, mặc dù cả hai đều có hoạt động kinh doanh cốt lõi tương tự nhau.

Phân tích các quy tắc và quy trình kinh doanh để xác định khi nào, tại thời điểm nào, và tại đâu thì cần bảo mật dữ liệu cao hơn. Mỗi hoạt động, giai đoạn trong quy trình kinh doanh có thể có các yêu cầu bảo mật riêng.

Đồng thời xác định vai trò của dữ liệu, những quy trình xử lý, phân tích dữ liệu cần thiết để có thể định hình được các nhóm nhiệm vụ trong Data security, các giới hạn, quyền hạn của bộ phận nhân viên đối với dữ liệu nhằm vừa đạt được các yêu cầu trong kinh doanh, và yêu cầu trong bảo mật dữ liệu. Bên cạnh đó, công ty cũng cần lên kế hoạch cho từng mục tiêu ngắn hạn và dài hạn cụ thể để xây dựng một hệ thống bảo mật dữ liệu cân bằng, hiệu quả.

2. Xác định các quy định, thiết lập chính sách (policy) trong Data security

Nguồn hình: techdonut

Theo DAMA, các công ty nên xây dựng các chính sách bảo mật dữ liệu dựa trên các yêu cầu kinh doanh và quy định, quy tắc đề ra ở trước khi bắt đầu triển khai bảo mật dữ liệu. Chính sách là một tuyên bố về các quy trình hành động chi tiết, các nguyên tắc phải được tuân thủ, thể hiện những mong muốn, nguyện vọng của tổ chức trong việc đạt được những mục tiêu cụ thể.

Chính sách bảo mật dữ liệu sẽ mô tả các hành vi được cho là tiêu chuẩn, hợp lý và tốt nhất để một tổ chức bảo vệ dữ liệu của mình. Và để kiểm tra liệu những chính sách có tác động tích cực và hiệu quả lên quá trình bảo mật dữ liệu hay không thì mỗi tổ chức cần thiết lập các tiêu chí đo lường phù hợp để theo dõi và đánh giá.

Chính sách của một số công ty thường có cả ý nghĩa mang tính pháp lý. Các cơ quan hành pháp, lập pháp có thể coi một chính sách được lập ra để hỗ trợ một yêu cầu pháp lý nào đó, là một phần nỗ lực của tổ chức để tuân thủ yêu cầu pháp lý ấy, ở đây chính là những điều luật về bảo mật dữ liệu của quốc gia.

Việc các nhân viên không tuân thủ chính sách của công ty dẫn đến công ty bị rò rỉ, đánh cắp dữ liệu nếu dữ liệu ấy lại là dữ liệu được nêu trong điều luật quốc gia (regulated data) như thông tin cá nhân quan trọng của khách hàng bao gồm thông tin giao dịch, thông tin về tài khoản ngân hàng, thẻ ngân hàng, công ty sẽ không chỉ chịu những tổn thất về chi phí mà còn gặp rất nhiều rủi ro khác về pháp lý.

*Lưu ý: trong bài viết chúng tôi có đề cập về Regulated data, dữ liệu được chỉ định trong các điều luật về bảo mật dữ liệu tại các quốc gia, được yêu cầu bảo mật cao hơn, nghiêm ngặt hơn ví dụ dữ liệu thống tin cá nhân khách hàng. Hiện tại Luật An ninh mạng tại nước ta không chỉ rõ từng loại dữ liệu nào là quan trọng cần bảo mật, nhưng vẫn nêu ra những hành vi xâm phạm dữ liệu, cơ sở dữ liệu là trái phép, và đề cao trách nhiệm của doanh nghiệp trong nước và ngoải nước trong việc bảo vệ dữ liệu của người dùng (khách hàng).

Quá trình lập và xây dựng các chính sách bảo mật đòi hỏi sự hợp tác giữa các nhân viên phụ trách mảng bảo mật bên IT, các nhân viên phụ trách thiết lập kết cấu hệ thống bảo mật, các nhân viên từ bộ phận quản trị, quản lý dữ liệu,…và cả bộ phận pháp lý, đôi khi các cấp quản lý, người đứng đầu những phòng ban chức năng cũng có thể tham gia thảo luận. Ngoài ra các cấp quản lý nên có thêm một số kiến thức chuyên môn nhất định về dữ liệu, để phát triển chính sách sao cho phù hợp. Hơn nữa, mọi hành động tuân thủ quy tắc dữ liệu đề ra cần phải được rõ ràng, có sự phối hợp với nhau để tăng tính hiệu quả của chính sách, tránh phát sinh những hiểu lầm, mâu thuẫn, và tranh cãi không đáng có bên trong nội bộ tổ chức.

3. Xác định các tiêu chuẩn trong Data security

Các chính sách được thiết lập chỉ góp phần định hình, hướng dẫn hành vi của bộ phận nhân viên trong việc tuân thủ các quy tắc bảo mật dữ liệu, chứ không mô tả hết tất cả các tình huống có thể xảy ra, không trình bày thế nào một hành vi bảo mật tối ưu nhất. Các tiêu chuẩn trong Data security được bổ sung vào sẽ giúp các chính sách trở nên rõ ràng và chi tiết hơn. Những chỉ dẫn cụ thể trong chính sách dựa trên các tiêu chuẩn trong Data security sẽ hỗ trợ nhân viên thực hiện hoạt động tuân thủ bảo mật một cách hiệu quả hơn.

Ví dụ trong chính sách bảo mật sẽ yêu cầu các mật khẩu được đặt phải ở cấp độ mạnh nhất (giải thích về cấp độ mật khẩu, các bạn khi đặt mật khẩu cho các tài khoản trên những website, social media,… sẽ thấy có 3 cấp độ mạnh, trung bình, yếu) nhưng chính sách bảo mật sẽ không hướng dẫn từng tiêu chuẩn trong cách đặt mật khẩu, và đặt thế nào cho đúng. Những tiêu chuẩn bảo mật được thêm vào chính sách sẽ giúp các nhân viên IT, nhân viên bảo mật đề ra các giải pháp cải thiện hơn như thêm vào các phần mềm, hệ thống những chức năng ngăn chặn các mật khẩu trước khi được đặt nếu chúng không đạt tiêu chuẩn, và hướng dẫn nhân viên cụ thể hơn.

Quá trình thiết lập các tiêu chuẩn trong Data security còn bao gồm cả những hoạt động bảo mật dữ liệu như:

  • Xác định, phân loại cấp độ bảo mật: ví dụ dữ liệu nào có thể được truy cập, sử dụng rộng rãi như th“for general use”, hay dữ liệu nào là quan trọng, tuyệt mật cần phải có cấp phép quyền truy cập.
  • Xác định, phân loại danh mục dữ liệu cần bảo mật: ví dụ theo tầm quan trọng của dữ liệu như dữ liệu chứa thông tin bí mật về hoạt động kinh doanh cần được bảo vệ ở mức độ cao hơn dữ liệu thông thường, hay phân loại dữ liệu (regulated data) nhằm tuân thủ quy tắc, điều luật của quốc gia ví dụ dữ liệu thông tin cá nhân của khách hàng cần được bảo vệ chặt chẽ hơn, hay phân loại dữ liệu theo mức độ rủi ro nếu chúng bị đánh cắp, rò rỉ ra bên ngoài,…Mỗi danh mục dữ liệu sau khi phân loại theo từng đặc điểm, yếu tố khác nhau sẽ tương ứng với mỗi cách thức bảo mật khác nhau.
  • Xác định vai trò, quyền hạn của bộ phận nhân viên trong bảo mật dữ liệu và tiến hành quản lý hiệu quả: ví dụ công ty nên xem xét việc truy cập dữ liệu có thể được tổ chức theo nhóm, bộ phận hay ở cấp độ cá nhân. Ví dụ trong bộ phận marketing, tất cả nhân viên có thể tiếp cận dữ liệu thông tin giao dịch của khách hàng hay dữ liệu thông tin giao dịch của khách hàng chỉ được truy cập bởi những ai có quyền hạn nhất định. Công ty có thể xây dựng các nhóm người truy cập đối với những loại dữ liệu nhất định, nhân viên quản trị hệ thống có thể cấp quyền truy cập cho một nhân viên bất kỳ bằng cách thêm người này vào nhóm người phù hợp đã xây dựng trước đó.

Việc phân loại: có hai hướng: hướng thứ nhất bắt nguồn từ tính chất loại dữ liệu. Ví dụ dữ liệu thống kê về khách hàng có thể được truy cập bởi nhóm nhân viên phụ trách Marketing hoặc dữ liệu mật về tài chính chỉ giám đốc tài chính mới được truy cập không phải tất cả nhân viên bộ phận tài chính. Hướng thứ hai bắt nguồn từ mục đích của người dùng ví dụ nhóm A: có nhiệm vụ tạo ra dữ liệu, cập nhật dữ liệu, kiểm tra dữ liệu, thì người nào có vai trò giống như mô tả của nhóm sẽ được thêm vào, các bạn hãy nhìn vào hình minh họa bên dưới để thấy rỗ hơn.

Hình: cách phân bổ quyền hạn dữ liệu theo nhóm hỗ trợ việc bảo mật (nguồn DMBOK)

  • Đánh giá các rủi ro bảo mật hiện tại: rủi ro bảo mật bao gồm các yếu tố có thể làm cho mạng dữ liệu hoặc cơ sở dữ liệu có thể bị tấn công. Bước đầu tiên trong việc xác định rủi ro chính là xác định vị trí dữ liệu nhạy cảm được lưu trữ và những biện pháp bảo vệ nào cần thiết cho loại dữ liệu nhạy cảm ấy, đồng thời tiến hành đánh giá rủi ro bảo mật với những yếu tố sau: độ nhạy cảm của dữ liệu được lưu trữ hoặc luân chuyển; các yêu cầu bảo mật của dữ liệu đó và các biện pháp bảo vệ hiện tại.

4. Thi hành chính sách và kiểm soát các hoạt động bảo mật dữ liệu

Theo DAMA, việc thi hành và quản lý những chính sách bảo mật dữ liệu chủ yếu là trách nhiệm của những nhân viên quản trị hệ thống bảo mật phối hợp với nhân viên quản lý, giám sát dữ liệu (Data stewards) và nhân viên bộ phận IT, bộ phận kỹ thuật. Ví dụ nhiệm vụ bảo mật hệ thống cơ sở dữ liệu thường được giao cho nhân viên quản trị cơ sở dữ liệu (DBA – Database Administrators). Các tổ chức phải thực hiện các quy trình kiểm soát thích hợp để đáp ứng các yêu cầu chính sách bảo mật, và tối thiểu phải bao quát được những vấn đề sau:

  • Trường hợp nào mà người dùng có thể lấy được hoặc bị mất quyền truy cập vào hệ thống và / hoặc ứng dụng
  • Mức độ đặc quyền, quyền hạn nhân viên đối với dữ liệu được theo dõi như thế nào.
  • Các yêu cầu thay đổi truy cập (ví dụ thay đổi mật khẩu, thay đổi tên người truy cập) được xử lý và theo dõi ra sao.
  • Làm thế nào dữ liệu được phân loại ví dụ theo yêu cầu bảo mật, quy tắc đề ra trong chính sách (ví dụ dữ liệu khách hàng nếu lộ ra ngoài công ty sẽ chịu trách nhiệm pháp lý, vậy chúng cần được phân loại ra sao)
  • Làm thế nào các vi phạm đối với dữ liệu (data breach) được xử lý một khi được phát hiện.

Ngoài ra việc linh hoạt trong quá trình thực thi chính sách và kiểm soát cũng cần được quan tâm ví dụ xem xét loại bỏ quyền truy cập của những nhân viên có tình trạng công việc (nghỉ việc, bị đình chỉ công tác) không có đủ điều kiện truy cập; hay khi hệ thống bảo mật được nâng cấp, cải tiến thì vẫn có thể lưu lại danh sách người truy cập trước đó, cấp quyền truy cập cho những ai có giấy phép trước khi hệ thống sửa đổi.

Như vậy đã xong phần các hoạt động chính trong Data security theo DAMA, tiếp theo chúng ta cùng đến với những năng lực mà tổ chức, công ty cần phải có để tăng cường bảo mật dữ liệu.

Nguồn: Internet

    LIÊN HỆ VỚI CHÚNG TÔI ĐỂ NHẬN ĐƯỢC TƯ VẤN MIỄN PHÍ
    Xin vui lòng điền vào form dưới đây. Chúng tôi sẽ liên hệ lại ngay cho bạn khi nhận được thông tin:






    Leave a Reply

    Your email address will not be published. Required fields are marked *