Tổ chức tài chính quản lý an toàn bảo mật trên điện toán đám mây (Bài 2)

07:19 | 31/08/2021

Các tổ chức tài chính không phải là những đơn vị duy nhất dịch chuyển đến môi trường điện toán đám mây (ĐTĐM). Tội phạm mạng, được thu hút bởi kho dữ liệu quan trọng ngày càng tăng cũng sẽ chọn đám mây là đích đến. Thách thức đặt ra là làm thế nào để bảo vệ an toàn dữ liệu nhạy cảm trên đám mây?    

to chuc tai chinh quan ly an toan bao mat tren dien toan dam may bai 2 Tổ chức tài chính quản lý an toàn bảo mật trên điện toán đám mây (Bài 1)

Bài 2: 4 bước trọng yếu cần lưu ý

Rất nhiều tổ chức xem việc quản trị rủi ro điện toán đám mây là một vấn đề tách biệt, và giả thiết rằng nhà cung cấp dịch vụ đám mây sẽ đảm nhiệm công tác bảo vệ dữ liệu nhạy cảm thay họ. Tư duy này xuất hiện chỉ vài năm trước, khi nhiều tổ chức vẫn còn sử dụng hệ thống máy chủ tại chỗ và môi trường đám mây riêng và khi CNTT đơn thuần chỉ là sự bổ sung, hỗ trợ cho các hoạt động nghiệp vụ.

Tích hợp quản trị rủi ro ĐTĐM vào chương trình quản trị rủi ro tổng thể

Trong thời đại kết nối hiện nay, mô hình tại chỗ đang nhanh chóng trở nên lỗi thời. Kỳ vọng của các cấp lãnh đạo và mô hình kinh doanh của chính tổ chức yêu cầu khả năng truy cập tức thời vào các dịch vụ và dữ liệu mà theo đó điện tám đám mây có thể đáp ứng khá dễ dàng.

to chuc tai chinh quan ly an toan bao mat tren dien toan dam may bai 2
Ông Phó Đức Giang, Giám Đốc, Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam

Với việc điện toán đám mây trở thành một phần thiết yếu của hoạt động kinh doanh, việc tích hợp quản trị môi trường đám mây vào chương trình quản trị rủi ro tổng thể là điều rất cần thiết.

Chỉ khi đó, tổ chức mới có thể vận dụng toàn bộ nguồn lực để đảm bảo an toàn cho dữ liệu và ứng dụng được lưu trữ trên đám mây của mình khỏi những truy cập trái phép. Thông tư 09/2020/NHNN cũng đã chỉ dẫn khá rõ ràng về việc cần phân tích đánh giá các tác động liên quan khi triển khai các nghiệp vụ trên điện toán đám mây.

Lập kế hoạch cho kịch bản xấu nhất

Đánh giá và chuẩn bị sẵn sàng cho các kịch bản xấu nhất cho phép tổ chức phản ứng nhanh chóng với các mối đe dọa và giảm thiểu thiệt hại đối với tổ chức và doanh thu.

Một số tổ chức tài chính đã áp dụng điều này từ trước. Nhiều tổ chức đang làm tương tự thông qua các biện pháp quản trị rủi ro của họ. Tuy nhiên, việc dịch chuyển lên môi trường đám mây tạo ra tình huống mới: mô hình quản lý rủi ro đối với các hệ thống tại chỗ trước đây nhiều khả năng không còn phù hợp khi áp dụng trên hệ sinh thái mới đầy phức tạp này.

Các tổ chức nên hình dung những cuộc tấn công bằng phần mềm độc hại, từ chối dịch vụ phân tán hoặc đánh cắp dữ liệu quy mô lớn trên môi trường đám mây, và theo đó thiết kế các quy trình kiểm soát và hệ thống để chống lại các rủi ro phát sinh, giảm thiểu gián đoạn đến các hoạt động kinh doanh.

Với việc tin tặc sử dụng các kỹ thuật ngày càng tinh vi để tiến hành và che giấu các hoạt động bất chính, các cấp quản lý rủi ro cần đặt mình vào vai trò như một “tin tặc”. “Mong đợi điều không mong đợi” là một nguyên tắc chung có thể giúp các tổ chức giảm thiểu thiệt hại trong trường hợp có sự cố liên quan tới đám mây.

Thông tư 09/2020/NHNN cũng đã nhấn mạnh cần chuẩn bị và thử nghiệm phương án dự phòng đối với các hệ thống cấp độ 3 trở lên để sẵn sàng thay thế cho các hoạt động nghiệp vụ trên điện toán đám mây khi cần thiết.

Nhận thức được mức độ ảnh hưởng

Quản trị rủi ro tốt bao gồm việc hiểu được toàn bộ tác động khi sự cố an ninh mạng xảy ra. Điều này rất quan trọng để duy trì sự bình-tĩnh-trong-cơn-bão có thể xảy ra theo sau đó và cung cấp sự đảm bảo cho các cấp lãnh đạo.

Một cuộc tấn công trên nền đám mây có thể tạo ra những tiêu đề giật gân trên các mạng xã hội hoặc các kênh truyền thông đại chúng, mặc dù tác động là rất nhỏ. Thông tin mã hóa bị đánh cắp sẽ ra sao, khi chúng không thể giải mã được? Nhận thức và kiểm soát được những tác động thực tế của một sự cố bảo mật có thể giúp tổ chức tránh được những thiệt hại mà các bản tin tiêu cực có thể gây ảnh hưởng đến danh tiếng và doanh thu.

Tập trung vào những rủi ro, không phải mối đe dọa

Dù cho tường lửa hay các đội ngũ kiểm thử xâm nhập “tinh nhuệ” như thế nào, an ninh mạng – tuyến phòng thủ đầu tiên – hiệu quả chỉ tương đương với năng lực quản trị của tổ chức.

Quan trọng không kém, tuyến phòng thủ thứ hai là quản trị độc lập các rủi ro an ninh mạng dưới sự chỉ đạo của Giám đốc quản trị rủi ro hoặc cấp điều hành rủi ro độc lập khác. Tuyến phòng thủ thứ hai cần nêu ra một thách thức cụ thể nhằm tăng cường năng lực quản trị của Giám đốc An ninh Thông tin hoặc cấp điều hành an ninh thông tin ở tuyến đầu, cũng như đối với nhà cung cấp dịch vụ đám mây.

Tuyến thứ hai này cung cấp sự giám sát độc lập để hỗ trợ xác định, giảm thiểu, leo thang và khắc phục rủi ro khi cần thiết, bao gồm hỗ trợ xây dựng hoặc góp ý các tiêu chí lựa chọn nhà cung cấp dịch vụ đám mây theo hướng giảm thiểu rủi ro xuất phát từ các bên cung cấp dịch vụ thiếu chất lượng theo yêu cầu của Thông tư 09/2020/NHNN.

Bên cạnh đó, với các tổ chức tài chính vận hành theo mô hình ba tuyến phòng thủ, tuyến phòng thủ cuối cùng là các cấp kiểm toán công nghệ thông tin và an toàn thông tin sẽ tham gia hỗ trợ kiểm tra, rà soát các kiểm soát liên quan tới rủi ro an toàn bảo mật trên môi trường đám mây, đảm bảo các yêu cầu tuân thủ Thông tư 09/2020/NHNN được lưu ý đầy đủ; từ đó kịp thời phát hiện và đề xuất các cải tiến phù hợp, góp phần chủ động đối phó với các rủi ro đặc thù trên môi trường này.

to chuc tai chinh quan ly an toan bao mat tren dien toan dam may bai 2

Trách nhiệm thuộc về bạn

Tương tự một chiếc xe tốc độ cao cần một hệ thống phanh chất lượng hàng đầu, môi trường điện toán đám mây của tổ chức luôn thay đổi và dịch chuyển nhanh chóng đòi hỏi cần có các biện pháp kiểm soát được thiết kế dựa trên những thách thức riêng theo đặc thù của tổ chức đó.

Điều quan trọng xuyên suốt đối với an toàn bảo mật dữ liệu trên môi trường điện toán đám mây đó là trách nhiệm thuộc về tổ chức, cho dù bạn có sử dụng bất kỳ dịch vụ nào trên các môi trường đám mây nào.

Phó Đức Giang

Nguồn:

Thông tin chứng khoán

Cập nhật ảnh...
Nguồn : stockbiz.vn
Ngân hàng
KKH
1 tuần
2 tuần
3 tuần
1 tháng
2 tháng
3 tháng
6 tháng
9 tháng
12 tháng
24 tháng
Vietcombank
0,10
0,20
0,20
-
3,10
3,10
3,40
4,00
4,00
5,60
5,40
BIDV
0,10
-
-
-
3,10
3,10
3,40
4,00
4,00
5,60
5,60
VietinBank
0,10
0,20
0,20
0,20
3,10
3,10
3,40
4,00
4,00
5,60
5,60
Cake by VPBank
0,10
-
-
-
4,80
-
4,90
7,40
-
8,00
8,10
ACB
-
0,20
0,20
0,20
4,00
4,10
4,20
5,50
5,70
6,20
6,90
Sacombank
-
-
-
-
4,10
4,30
4,40
5,40
5,70
6,00
6,40
Techcombank
0,03
-
-
-
3,25
3,45
3,45
5,25
5,25
5,65
5,75
LienVietPostBank
0,10
0,10
0,10
0,10
4,50
4,50
4,80
5,10
5,10
5,60
5,60
DongA Bank
0,20
0,20
0,20
0,20
3,80
3,80
3,80
6,60
6,70
7,20
7,50
Agribank
0,20
-
-
-
3,10
3,10
3,40
4,00
4,00
5,60
5,60
Eximbank
0,20
0,50
0,50
0,50
4,50
4,60
4,70
6,00
6,10
6,30
6,50
Ngân Hàng USD EUR GBP JPY
Mua vào Bán ra Mua vào Bán ra Mua vào Bán ra Mua vào Bán ra
Vietcombank 23.720 24.030 26.488 27.866 31.023 32.318 204.16 214.87
BIDV 23.750 24.030 26.575 27.683 31.139 32.402 203.99 213.29
VietinBank 23.720 24.020 26.607 27.727 31.399 32.409 204.47 213.47
Agribank 23.720 24.030 26.787 27.493 31.334 32.117 205.87 211.70
Eximbank 23.740 24.000 26.871 27.398 31.480 32.096 206.75 210.81
ACB 23.700 24.050 26.814 27.429 31.401 31.993 206.11 211.05
Sacombank 23.742 24.037 26.953 27.513 31.568 32.084 206.29 212.66
Techcombank 23.738 24.030 26.643 27.863 31.118 32.281 205.24 214.28
LienVietPostBank 23.730 24.100 26.875 27.928 31.504 31.988 207.19 213.97
DongA Bank 23.770 24.040 26.930 27.410 31.560 32.110 203.80 210.30
(Cập nhật trong ngày)

Giá vàng Xem chi tiết

Khu vực
Mua vào
Bán ra
HÀ NỘI
Vàng SJC 1L
65.400
66.420
TP.HỒ CHÍ MINH
Vàng SJC 1L
65.400
66.400
Vàng SJC 5c
65.400
66.420
Vàng nhẫn 9999
52.500
53.500
Vàng nữ trang 9999
52.300
53.100