Bảo mật và an toàn thông tin: Vấn đề sống còn của các ngân hàng

E-mail | Bản in | Lưu xem sau

Muốn hiện đại hóa, các ngân hàng phải ứng dụng nhiều công nghệ để cung cấp các dịch vụ tiện ích cho khách hàng, nhưng đồng thời phải đối diện với nguy cơ mất an toàn an ninh thông tin ngày càng cao…

Đó chính là lý do mà chủ đề an toàn thông tin được thảo luận sôi nổi tại cuộc Hội thảo ứng dụng công nghệ thông tin (CNTT) trong lĩnh vực ngân hàng (Banking Vietnam 2010) diễn ra vào cuối tháng Năm tại Hà Nội. Đa số những người tham dự cuộc hội thảo đều cho rằng an ninh thông tin đang là vấn đề sống còn đối với các ngân hàng hiện nay.

Bảo mật thông tin đồng nghĩa với quản trị nội bộ

Với bài tham luận “Các vấn đề quản trị nội bộ tại các ngân hàng Việt Nam”, bà Đặng Thu Hương, Trưởng phòng Outsourcing của Công ty Hệ thống thông tin FPT, cho biết theo một số hãng bảo mật thì hầu hết việc thất thoát thông tin thường từ chính nội bộ của các tổ chức, doanh nghiệp. Thế nhưng việc quản trị nội bộ hiện chưa được nhiều ngân hàng quan tâm đúng mức. “Quản trị nội bộ tốt có ảnh hưởng rất lớn đến sự phát triển của ngân hàng. Nếu quản trị nội bộ đúng quy trình sẽ giảm thiểu rủi ro và tăng hiệu quả kinh doanh. Trong một ngân hàng, các quy trình nghiệp vụ liên quan chặt chẽ đến nhiều bộ phận, do đó cần phải có một giải pháp quản trị tốt để duy trì sự hoạt động thông suốt của hệ thống”, bà Hương nói.

Cùng quan điểm nói trên, ông Raymond Goh, Giám đốc kỹ thuật, thiết kế hệ thống và dịch vụ tư vấn khách hàng của Symantec khu vực Nam Á, còn nhấn mạnh quản trị tốt cũng có nghĩa là quản lý thông tin tốt, bảo đảm an ninh thông tin. “Thông tin trong lĩnh vực ngân hàng là rất quan trọng. Quản trị tốt không chỉ là báo cáo về tình hình an ninh thông tin mà còn là xử lý lỗ hổng và kiểm tra định kỳ hệ thống”, ông Raymaond Goh nói.

Theo ông Raymond Goh, việc hiện đại hóa ngân hàng đem đến nguy cơ bị mất thông tin. Do đó bên cạnh việc hiện đại hóa phải chú ý công tác quản trị. Các ngân hàng cần tuân thủ các tiêu chuẩn, nâng cấp hệ thống CNTT. Còn chính sách bảo mật phải được thực hiện liên tục, thậm chí nếu cần thì có thể thay đổi chính sách thường xuyên.

Xây dựng hệ thống dự phòng thảm họa

Ông Đặng Mạnh Phổ, Giám đốc Ban CNTT Ngân hàng Đầu tư và Phát triển Việt Nam, nói: “Kế hoạch dự phòng thảm họa CNTT sẽ giúp cho các ngân hàng có thể đối phó với những tình huống bất ngờ, nhằm giảm thiểu tác động của thảm họa tới hoạt động kinh doanh”. Thảm họa CNTT, theo ông Phổ có thể do lũ lụt, động đất, núi lửa, hỏa hoạn, khủng bố hoặc do những kẻ tấn công trên mạng, virus, sâu máy tính gây ra, hoặc có thể do nhân viên vô tình hoặc cố ý hủy các dữ liệu, hệ thống quan trọng… dẫn đến tình trạng hệ thống CNTT bị hư hỏng kéo dài. Ngoài ra, hệ thống CNTT chứa nhiều cấu phần có khả năng hư hỏng vào bất cứ lúc nào.

Theo ông Phổ, một kế hoạch dự phòng thảm họa CNTT hoàn chỉnh bao gồm các chính sách, cơ cấu tổ chức, cơ sở hạ tầng, các quy định, quy trình và thủ tục, nhằm bảo đảm cho việc chuyển sang sử dụng trung tâm dự phòng cũng như việc khôi phục dữ liệu và hệ thống CNTT khi trung tâm chính gặp sự cố. Kế hoạch dự phòng thảm họa CNTT cần được phát triển cùng với sự mở rộng môi trường kinh doanh, mục tiêu kinh doanh cũng như với những biến động trong môi trường CNTT.

Cần quản trị và lưu trữ tài liệu

Bà Lê Thị Thanh Phúc, Giám đốc kinh doanh quốc gia của Crown Records Management tại Việt Nam, cho biết 92% trong 1.000 doanh nghiệp được tổ chức này tiến hành điều tra mới đây cho biết họ không duy trì việc khảo sát về quản trị và lưu trữ thông tin.

Bà Phúc cũng cung cấp tại cuộc hội thảo một số liệu: có tới 40% các doanh nghiệp ở châu Á gặp rủi ro về vận hành, trong đó có quản trị và lưu trữ tài liệu. Do đó, bà Phúc cho rằng nếu các ngân hàng quan tâm đến những giải pháp quản trị và lưu trữ tài liệu thì sẽ thu được nhiều lợi ích. Lợi ích lớn nhất chính là hoạt động kinh doanh đạt hiệu quả cao. Khi có hệ thống này thì nhân viên không bị chi phối bởi việc quản lý dữ liệu và lưu trữ vì hệ thống là một quy trình tự động hóa. Ngoài ra, việc quản trị và lưu trữ thông tin giúp cho việc tìm dữ liệu nhanh chóng và dễ dàng, tiết kiệm thời gian.

Bà Phúc cho rằng, muốn có chính sách quản trị và lưu trữ tài liệu cần có định hướng từ ban giám đốc. Mỗi tổ chức có hoạt động khác nhau, nên cần có quá trình khảo sát cụ thể để đưa ra chính sách phù hợp. Và rất cần có nhà tư vấn chuyên nghiệp để bảo đảm cho chính sách và việc thực thi chính sách được đồng bộ, nhịp nhàng. Bà Phúc cho biết có một số khách hàng nhờ Crown Records Management tư vấn về chính sách quản trị và lưu trữ thông tin để họ tự thực thi. Một thời gian sau Crown Records Management trở lại khảo sát thì thấy việc thi hành chính sách lúc đầu tạm ổn nhưng sau đó chệch hướng do không có người kiểm soát quy trình.

Cần có sự tư vấn độc lập

Với bản tham luận “Tư vấn an ninh mạng – Vai trò quyết định đối với Internet Banking”, ông Nguyễn Minh Đức, Giám đốc an ninh của Bkis, cho biết theo một cuộc khảo sát mới đây nhất của đơn vị này thì hiện trong không ít hệ thống Internet Banking tại Việt Nam tồn tại lỗ hổng. Ông Đức cho rằng có tình trạng này là do các ngân hàng không thuê tư vấn về an ninh mạng.

Đa phần các ngân hàng chưa thấy tầm quan trọng của tư vấn an ninh mạng nên thường tận dụng sự tư vấn của các nhà cung cấp giải pháp công nghệ, mà thường các nhà cung cấp giải pháp ở mảng nào chỉ tư vấn về mảng đó nên không có sự toàn diện. Họ khó có thể đưa ra thông tin tư vấn về tính tương thích của các hệ thống, các mảng khác nhau. Trong khi đó nhà tư vấn độc lập có thể là đơn vị đưa ra lời giải về thiết kế hệ thống, triển khai xây dựng hệ thống, đánh giá hệ thống, trợ giúp đào tạo nhân sự để người sử dụng có thể tiếp quản được giải pháp công nghệ.

Theo ông Đức, các ngân hàng tại Việt Nam đã không nhờ tư vấn về an ninh mạng ngay từ khi thiết kế hệ thống mạng, khi gặp trục trặc và nhận thức được vai trò của an ninh mạng mới nhờ các đơn vị tư vấn đánh giá hệ thống để tìm ra lỗ hổng và khắc phục thì đã chịu thiệt hại ít nhiều.

“Việc bảo đảm an ninh mạng một cách có hiệu quả không khác gì việc xây một ngôi nhà bền chắc. Người xây nhà không nên nhờ hãng gạch tư vấn về gạch, hãng xi măng tư vấn về xi măng… một cách riêng rẽ vì rất có thể các thông tin tư vấn này sẽ không tránh khỏi sự thiên lệch chủ quan. Cần có một kiến trúc sư để thể hiện vai trò tư vấn độc lập để bảo đảm tính khách quan và có một cái nhìn toàn diện”, ông Đức nói.