Tổ chức tài chính quản lý an toàn bảo mật trên điện toán đám mây (Bài 2)

07:19 | 31/08/2021

Các tổ chức tài chính không phải là những đơn vị duy nhất dịch chuyển đến môi trường điện toán đám mây (ĐTĐM). Tội phạm mạng, được thu hút bởi kho dữ liệu quan trọng ngày càng tăng cũng sẽ chọn đám mây là đích đến. Thách thức đặt ra là làm thế nào để bảo vệ an toàn dữ liệu nhạy cảm trên đám mây?    

to chuc tai chinh quan ly an toan bao mat tren dien toan dam may bai 2 Tổ chức tài chính quản lý an toàn bảo mật trên điện toán đám mây (Bài 1)

Bài 2: 4 bước trọng yếu cần lưu ý

Rất nhiều tổ chức xem việc quản trị rủi ro điện toán đám mây là một vấn đề tách biệt, và giả thiết rằng nhà cung cấp dịch vụ đám mây sẽ đảm nhiệm công tác bảo vệ dữ liệu nhạy cảm thay họ. Tư duy này xuất hiện chỉ vài năm trước, khi nhiều tổ chức vẫn còn sử dụng hệ thống máy chủ tại chỗ và môi trường đám mây riêng và khi CNTT đơn thuần chỉ là sự bổ sung, hỗ trợ cho các hoạt động nghiệp vụ.

Tích hợp quản trị rủi ro ĐTĐM vào chương trình quản trị rủi ro tổng thể

Trong thời đại kết nối hiện nay, mô hình tại chỗ đang nhanh chóng trở nên lỗi thời. Kỳ vọng của các cấp lãnh đạo và mô hình kinh doanh của chính tổ chức yêu cầu khả năng truy cập tức thời vào các dịch vụ và dữ liệu mà theo đó điện tám đám mây có thể đáp ứng khá dễ dàng.

to chuc tai chinh quan ly an toan bao mat tren dien toan dam may bai 2
Ông Phó Đức Giang, Giám Đốc, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam

Với việc điện toán đám mây trở thành một phần thiết yếu của hoạt động kinh doanh, việc tích hợp quản trị môi trường đám mây vào chương trình quản trị rủi ro tổng thể là điều rất cần thiết.

Chỉ khi đó, tổ chức mới có thể vận dụng toàn bộ nguồn lực để đảm bảo an toàn cho dữ liệu và ứng dụng được lưu trữ trên đám mây của mình khỏi những truy cập trái phép. Thông tư 09/2020/NHNN cũng đã chỉ dẫn khá rõ ràng về việc cần phân tích đánh giá các tác động liên quan khi triển khai các nghiệp vụ trên điện toán đám mây.

Lập kế hoạch cho kịch bản xấu nhất

Đánh giá và chuẩn bị sẵn sàng cho các kịch bản xấu nhất cho phép tổ chức phản ứng nhanh chóng với các mối đe dọa và giảm thiểu thiệt hại đối với tổ chức và doanh thu.

Một số tổ chức tài chính đã áp dụng điều này từ trước. Nhiều tổ chức đang làm tương tự thông qua các biện pháp quản trị rủi ro của họ. Tuy nhiên, việc dịch chuyển lên môi trường đám mây tạo ra tình huống mới: mô hình quản lý rủi ro đối với các hệ thống tại chỗ trước đây nhiều khả năng không còn phù hợp khi áp dụng trên hệ sinh thái mới đầy phức tạp này.

Các tổ chức nên hình dung những cuộc tấn công bằng phần mềm độc hại, từ chối dịch vụ phân tán hoặc đánh cắp dữ liệu quy mô lớn trên môi trường đám mây, và theo đó thiết kế các quy trình kiểm soát và hệ thống để chống lại các rủi ro phát sinh, giảm thiểu gián đoạn đến các hoạt động kinh doanh.

Với việc tin tặc sử dụng các kỹ thuật ngày càng tinh vi để tiến hành và che giấu các hoạt động bất chính, các cấp quản lý rủi ro cần đặt mình vào vai trò như một “tin tặc”. “Mong đợi điều không mong đợi” là một nguyên tắc chung có thể giúp các tổ chức giảm thiểu thiệt hại trong trường hợp có sự cố liên quan tới đám mây.

Thông tư 09/2020/NHNN cũng đã nhấn mạnh cần chuẩn bị và thử nghiệm phương án dự phòng đối với các hệ thống cấp độ 3 trở lên để sẵn sàng thay thế cho các hoạt động nghiệp vụ trên điện toán đám mây khi cần thiết.

Nhận thức được mức độ ảnh hưởng

Quản trị rủi ro tốt bao gồm việc hiểu được toàn bộ tác động khi sự cố an ninh mạng xảy ra. Điều này rất quan trọng để duy trì sự bình-tĩnh-trong-cơn-bão có thể xảy ra theo sau đó và cung cấp sự đảm bảo cho các cấp lãnh đạo.

Một cuộc tấn công trên nền đám mây có thể tạo ra những tiêu đề giật gân trên các mạng xã hội hoặc các kênh truyền thông đại chúng, mặc dù tác động là rất nhỏ. Thông tin mã hóa bị đánh cắp sẽ ra sao, khi chúng không thể giải mã được? Nhận thức và kiểm soát được những tác động thực tế của một sự cố bảo mật có thể giúp tổ chức tránh được những thiệt hại mà các bản tin tiêu cực có thể gây ảnh hưởng đến danh tiếng và doanh thu.

Tập trung vào những rủi ro, không phải mối đe dọa

Dù cho tường lửa hay các đội ngũ kiểm thử xâm nhập “tinh nhuệ” như thế nào, an ninh mạng – tuyến phòng thủ đầu tiên – hiệu quả chỉ tương đương với năng lực quản trị của tổ chức.

Quan trọng không kém, tuyến phòng thủ thứ hai là quản trị độc lập các rủi ro an ninh mạng dưới sự chỉ đạo của Giám đốc quản trị rủi ro hoặc cấp điều hành rủi ro độc lập khác. Tuyến phòng thủ thứ hai cần nêu ra một thách thức cụ thể nhằm tăng cường năng lực quản trị của Giám đốc An ninh Thông tin hoặc cấp điều hành an ninh thông tin ở tuyến đầu, cũng như đối với nhà cung cấp dịch vụ đám mây.

Tuyến thứ hai này cung cấp sự giám sát độc lập để hỗ trợ xác định, giảm thiểu, leo thang và khắc phục rủi ro khi cần thiết, bao gồm hỗ trợ xây dựng hoặc góp ý các tiêu chí lựa chọn nhà cung cấp dịch vụ đám mây theo hướng giảm thiểu rủi ro xuất phát từ các bên cung cấp dịch vụ thiếu chất lượng theo yêu cầu của Thông tư 09/2020/NHNN.

Bên cạnh đó, với các tổ chức tài chính vận hành theo mô hình ba tuyến phòng thủ, tuyến phòng thủ cuối cùng là các cấp kiểm toán công nghệ thông tin và an toàn thông tin sẽ tham gia hỗ trợ kiểm tra, rà soát các kiểm soát liên quan tới rủi ro an toàn bảo mật trên môi trường đám mây, đảm bảo các yêu cầu tuân thủ Thông tư 09/2020/NHNN được lưu ý đầy đủ; từ đó kịp thời phát hiện và đề xuất các cải tiến phù hợp, góp phần chủ động đối phó với các rủi ro đặc thù trên môi trường này.

to chuc tai chinh quan ly an toan bao mat tren dien toan dam may bai 2

Trách nhiệm thuộc về bạn

Tương tự một chiếc xe tốc độ cao cần một hệ thống phanh chất lượng hàng đầu, môi trường điện toán đám mây của tổ chức luôn thay đổi và dịch chuyển nhanh chóng đòi hỏi cần có các biện pháp kiểm soát được thiết kế dựa trên những thách thức riêng theo đặc thù của tổ chức đó.

Điều quan trọng xuyên suốt đối với an toàn bảo mật dữ liệu trên môi trường điện toán đám mây đó là trách nhiệm thuộc về tổ chức, cho dù bạn có sử dụng bất kỳ dịch vụ nào trên các môi trường đám mây nào.

Phó Đức Giang

Nguồn:

Thông tin chứng khoán

Cập nhật ảnh...
Nguồn : stockbiz.vn
Ngân hàng
KKH
1 tuần
2 tuần
3 tuần
1 tháng
2 tháng
3 tháng
6 tháng
9 tháng
12 tháng
24 tháng
Vietcombank
0,10
0,20
0,20
-
4,90
4,90
5,40
6,00
6,00
7,40
7,40
BIDV
0,10
-
-
-
4,90
4,90
5,40
6,00
6,10
7,40
7,40
VietinBank
0,10
0,20
0,20
0,20
4,90
4,90
5,40
6,00
6,00
7,40
7,40
Cake by VPBank
0,10
-
-
-
4,90
-
4,95
7,90
-
8,50
8,60
ACB
-
1,00
1,00
1,00
5,50
5,60
5,70
7,00
7,20
7,40
8,10
Sacombank
-
-
-
-
5,70
5,80
5,90
8,30
8,60
8,90
9,00
Techcombank
1,00
-
-
-
5,90
5,90
5,90
9,00
9,00
9,00
9,00
LienVietPostBank
0,10
0,10
0,10
0,10
6,00
6,00
6,00
8,10
8,10
8,50
8,50
DongA Bank
1,00
1,00
1,00
1,00
6,00
6,00
6,00
9,35
9,45
9,50
9,50
Agribank
0,50
-
-
-
4,90
4,90
5,40
6,10
6,10
7,40
7,40
Eximbank
0,20
1,00
1,00
1,00
5,60
5,70
5,80
6,80
7,10
7,40
7,50
Ngân Hàng USD EUR GBP JPY
Mua vào Bán ra Mua vào Bán ra Mua vào Bán ra Mua vào Bán ra
Vietcombank 23.250 23.620 24.754 26.138 28.541 29.755 170.32 180.30
BIDV 23.300 23.600 24.915 26.013 28.716 29.883 170.53 178.87
VietinBank 23.258 23.618 25.021 26.156 28.886 29.896 171.64 180.19
Agribank 23.270 23.610 25.147 26.225 28.899 29.682 174.11 180.63
Eximbank 23.310 23.570 25.044 25.697 28.953 29.708 172.21 176.70
ACB 23.250 23.700 25.119 26.701 29.135 29.691 172.39 176.56
Sacombank 23.263 23.748 25.081 25.996 29.089 29.855 172.56 180.11
Techcombank 23.301 23.622 25.080 25.730 28.970 29.730 171.40 177.00
LienVietPostBank 23.270 23.770 25.088 26.320 29.058 29.881 172.21 181.04
DongA Bank 23.320 23.630 26.930 27.410 31.560 32.110 203.80 210.30
(Cập nhật trong ngày)

Giá vàng Xem chi tiết

Khu vực
Mua vào
Bán ra
HÀ NỘI
Vàng SJC 1L
66.300
67.720
TP.HỒ CHÍ MINH
Vàng SJC 1L
66.300
67.200
Vàng SJC 5c
66.300
67.720
Vàng nhẫn 9999
54.500
55.700
Vàng nữ trang 9999
54.300
55.300