Tổ chức tài chính quản lý an toàn bảo mật trên điện toán đám mây (Bài 2)
Tổ chức tài chính quản lý an toàn bảo mật trên điện toán đám mây (Bài 1) |
Bài 2: 4 bước trọng yếu cần lưu ý
Rất nhiều tổ chức xem việc quản trị rủi ro điện toán đám mây là một vấn đề tách biệt, và giả thiết rằng nhà cung cấp dịch vụ đám mây sẽ đảm nhiệm công tác bảo vệ dữ liệu nhạy cảm thay họ. Tư duy này xuất hiện chỉ vài năm trước, khi nhiều tổ chức vẫn còn sử dụng hệ thống máy chủ tại chỗ và môi trường đám mây riêng và khi CNTT đơn thuần chỉ là sự bổ sung, hỗ trợ cho các hoạt động nghiệp vụ.
Tích hợp quản trị rủi ro ĐTĐM vào chương trình quản trị rủi ro tổng thể
Trong thời đại kết nối hiện nay, mô hình tại chỗ đang nhanh chóng trở nên lỗi thời. Kỳ vọng của các cấp lãnh đạo và mô hình kinh doanh của chính tổ chức yêu cầu khả năng truy cập tức thời vào các dịch vụ và dữ liệu mà theo đó điện tám đám mây có thể đáp ứng khá dễ dàng.
Ông Phó Đức Giang, Giám Đốc, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam |
Với việc điện toán đám mây trở thành một phần thiết yếu của hoạt động kinh doanh, việc tích hợp quản trị môi trường đám mây vào chương trình quản trị rủi ro tổng thể là điều rất cần thiết.
Chỉ khi đó, tổ chức mới có thể vận dụng toàn bộ nguồn lực để đảm bảo an toàn cho dữ liệu và ứng dụng được lưu trữ trên đám mây của mình khỏi những truy cập trái phép. Thông tư 09/2020/NHNN cũng đã chỉ dẫn khá rõ ràng về việc cần phân tích đánh giá các tác động liên quan khi triển khai các nghiệp vụ trên điện toán đám mây.
Lập kế hoạch cho kịch bản xấu nhất
Đánh giá và chuẩn bị sẵn sàng cho các kịch bản xấu nhất cho phép tổ chức phản ứng nhanh chóng với các mối đe dọa và giảm thiểu thiệt hại đối với tổ chức và doanh thu.
Một số tổ chức tài chính đã áp dụng điều này từ trước. Nhiều tổ chức đang làm tương tự thông qua các biện pháp quản trị rủi ro của họ. Tuy nhiên, việc dịch chuyển lên môi trường đám mây tạo ra tình huống mới: mô hình quản lý rủi ro đối với các hệ thống tại chỗ trước đây nhiều khả năng không còn phù hợp khi áp dụng trên hệ sinh thái mới đầy phức tạp này.
Các tổ chức nên hình dung những cuộc tấn công bằng phần mềm độc hại, từ chối dịch vụ phân tán hoặc đánh cắp dữ liệu quy mô lớn trên môi trường đám mây, và theo đó thiết kế các quy trình kiểm soát và hệ thống để chống lại các rủi ro phát sinh, giảm thiểu gián đoạn đến các hoạt động kinh doanh.
Với việc tin tặc sử dụng các kỹ thuật ngày càng tinh vi để tiến hành và che giấu các hoạt động bất chính, các cấp quản lý rủi ro cần đặt mình vào vai trò như một “tin tặc”. “Mong đợi điều không mong đợi” là một nguyên tắc chung có thể giúp các tổ chức giảm thiểu thiệt hại trong trường hợp có sự cố liên quan tới đám mây.
Thông tư 09/2020/NHNN cũng đã nhấn mạnh cần chuẩn bị và thử nghiệm phương án dự phòng đối với các hệ thống cấp độ 3 trở lên để sẵn sàng thay thế cho các hoạt động nghiệp vụ trên điện toán đám mây khi cần thiết. |
Nhận thức được mức độ ảnh hưởng
Quản trị rủi ro tốt bao gồm việc hiểu được toàn bộ tác động khi sự cố an ninh mạng xảy ra. Điều này rất quan trọng để duy trì sự bình-tĩnh-trong-cơn-bão có thể xảy ra theo sau đó và cung cấp sự đảm bảo cho các cấp lãnh đạo.
Một cuộc tấn công trên nền đám mây có thể tạo ra những tiêu đề giật gân trên các mạng xã hội hoặc các kênh truyền thông đại chúng, mặc dù tác động là rất nhỏ. Thông tin mã hóa bị đánh cắp sẽ ra sao, khi chúng không thể giải mã được? Nhận thức và kiểm soát được những tác động thực tế của một sự cố bảo mật có thể giúp tổ chức tránh được những thiệt hại mà các bản tin tiêu cực có thể gây ảnh hưởng đến danh tiếng và doanh thu.
Tập trung vào những rủi ro, không phải mối đe dọa
Dù cho tường lửa hay các đội ngũ kiểm thử xâm nhập “tinh nhuệ” như thế nào, an ninh mạng – tuyến phòng thủ đầu tiên – hiệu quả chỉ tương đương với năng lực quản trị của tổ chức.
Quan trọng không kém, tuyến phòng thủ thứ hai là quản trị độc lập các rủi ro an ninh mạng dưới sự chỉ đạo của Giám đốc quản trị rủi ro hoặc cấp điều hành rủi ro độc lập khác. Tuyến phòng thủ thứ hai cần nêu ra một thách thức cụ thể nhằm tăng cường năng lực quản trị của Giám đốc An ninh Thông tin hoặc cấp điều hành an ninh thông tin ở tuyến đầu, cũng như đối với nhà cung cấp dịch vụ đám mây.
Tuyến thứ hai này cung cấp sự giám sát độc lập để hỗ trợ xác định, giảm thiểu, leo thang và khắc phục rủi ro khi cần thiết, bao gồm hỗ trợ xây dựng hoặc góp ý các tiêu chí lựa chọn nhà cung cấp dịch vụ đám mây theo hướng giảm thiểu rủi ro xuất phát từ các bên cung cấp dịch vụ thiếu chất lượng theo yêu cầu của Thông tư 09/2020/NHNN.
Bên cạnh đó, với các tổ chức tài chính vận hành theo mô hình ba tuyến phòng thủ, tuyến phòng thủ cuối cùng là các cấp kiểm toán công nghệ thông tin và an toàn thông tin sẽ tham gia hỗ trợ kiểm tra, rà soát các kiểm soát liên quan tới rủi ro an toàn bảo mật trên môi trường đám mây, đảm bảo các yêu cầu tuân thủ Thông tư 09/2020/NHNN được lưu ý đầy đủ; từ đó kịp thời phát hiện và đề xuất các cải tiến phù hợp, góp phần chủ động đối phó với các rủi ro đặc thù trên môi trường này.
Trách nhiệm thuộc về bạn
Tương tự một chiếc xe tốc độ cao cần một hệ thống phanh chất lượng hàng đầu, môi trường điện toán đám mây của tổ chức luôn thay đổi và dịch chuyển nhanh chóng đòi hỏi cần có các biện pháp kiểm soát được thiết kế dựa trên những thách thức riêng theo đặc thù của tổ chức đó.
Điều quan trọng xuyên suốt đối với an toàn bảo mật dữ liệu trên môi trường điện toán đám mây đó là trách nhiệm thuộc về tổ chức, cho dù bạn có sử dụng bất kỳ dịch vụ nào trên các môi trường đám mây nào.