Các nhà quản trị an ninh thông tin (CSO) tại buổi tọa đàm trong khuôn khổ sự kiện Banking Vietnam 2009 vào ngày 11-12-2009 tại TP.HCM. |
Việc bảo toàn thông tin trong bất kỳ doanh nghiệp hay tổ chức nào, trước tiên, không phải tùy thuộc vào hạ tầng kỹ thuật mà vào chính con người. Trong môi trường kinh doanh nhiều biến động và lấy thông tin làm đầu như hiện nay, vai trò của nhà quản trị an ninh thông tin (CSO – Chief Security Officer) đang ngày càng được đề cao.
Vai trò của nhà quản trị an ninh thông tin đã được phác họa và nhấn mạnh tại diễn đàn CSO 2009 lần đầu được tổ chức ở Việt Nam. CSO, anh là ai? Theo các chuyên gia, CSO là một nhà lãnh đạo – vì là người định hướng, xây dựng chiến lược và các chương trình bảo mật, an toàn thông tin. CSO là một nhà phân tích và thiết kế – một vai trò truyền thống của CSO với chức năng xây dựng và phát triển các chính sách bảo mật, an toàn dữ liệu và thực thi các cơ chế chính sách của doanh nghiệp hay tổ chức. CSO là nhà tổ chức điều hành – với vai trò này CSO là nhà giám sát tình trạng an ninh trong tổ chức mà công việc thuộc phạm trù nghiên cứu, tìm kiếm các lỗ hổng về bảo mật để đánh giá các nguy cơ để bảo vệ hệ thống. Ở góc độ nhân văn, CSO là một cầu nối giữa các bộ phận bảo mật và người sử dụng. Như vậy, CSO là một nhà quản trị có trách nhiệm trong hệ thống mà quy trình hoạt động của họ mang tính đặc thù, bởi các bước của nó liên quan đến con người, từ khâu cung cấp cho đến việc quản lý quyền truy cập. Thomas Parenty, Tổng giám đốc Công ty tư vấn Parenty Consulting đồng thời là một chuyên gia an ninh thông tin hàng đầu của Mỹ, đã nhiều lần đưa ra các cảnh báo về cạnh tranh toàn cầu, an ninh quốc gia, thực thi pháp luật và quản lý xuất khẩu kỹ thuật mã hóa. Tại diễn đàn này ông chia sẻ rằng, với ông CSO đơn giản là một viên chức an ninh thông tin và họ rất hiểu giá trị của thông tin. “Từ sự am hiểu đó, anh ta tìm ra phương cách bảo vệ thông tin. Nhưng CSO nhất thiết còn phải am hiểu về môi trường kinh doanh và công nghệ để đủ năng lực quản trị hệ thống, quản lý con người và đưa ra những cảnh báo kịp thời về an ninh”, ông nói. Vì thế, họ phải là người đánh giá được giá trị của thông tin và những rủi ro đối với thông tin có thể đến từ mọi phía, từ đó đưa ra kế hoạch đầu tư, cân đối giữa chi phí về cải tiến an ninh thông tin và các giá trị mà nó mang lại. Chưa hết, CSO còn bị áp lực về kinh nghiệm trong việc khắc phục các sự cố về mạng, hiểu biết luật pháp, điều lệ, nắm chắc những quy định của ngành mình hoạt động để có thể hành xử trong các điều kiện thông tin phức tạp. Công việc của CSO không đơn thuần là bảo vệ công ty mà quản trị thông tin, xử lý được nhiều vấn đề thuộc nhiều tổ chức khác nhau. “Thế giới CNTT vốn phức tạp và rộng lớn hơn những gì chúng ta có thể cảm nhận được, vì thế nó “đánh đố” những người quản lý thông tin”, ông nói.Trong vai trò của nhà quản trị thông tin, CSO quản lý không chỉ sự an toàn nội bộ mà còn những hoạt động của nhà cung cấp, sự thay đổi của môi trường kinh doanh và sự thay đổi của chính doanh nghiệp mình. Trong khi đó, thông tin ngày nay không còn mang tính cục bộ, chỉ thuộc phạm vi doanh nghiệp có thể kiểm soát mà còn phụ thuộc vào đối tác, khách hàng… “Vậy hãy thử xác định anh là ai, vị trí của anh sẽ đóng góp gì cho tổ chức và vì sao ta phải chi tiêu để gìn giữ an ninh thông tin”, ông chia sẻ.
Khi một hệ thống CNTT được đầu tư sâu rộng thì dịch vụ sẽ phổ rộng đến khách hàng. Và có một hệ thống bảo mật tốt có nghĩa là ta có lòng tin của người sử dụng. Hệ thống đó sẽ tựa vào lòng tin của người sử dụng mà phát triển. Chia sẻ kinh nghiệm điều hành thực tiễn tại Ngân hàng Công thương Việt Nam, ông Phạm Anh Tuấn, Phó tổng giám đốc, cho rằng bảo mật và lòng tin là hai đặc trưng lớn để một tổ chức xác định vai trò của an toàn thông tin. Theo ông, hệ thống đó ngày nay đối diện với những yêu cầu lớn là không ngừng cải tiến, năng động và thích ứng tốt. Vì xu hướng mới của nền kinh tế tài chính là sự phát triển của các dịch vụ ngân hàng điện tử, sự phát triển của các hình thức dịch vụ thuê ngoài và xu hướng kết nối, chia sẻ thông tin trong một nền kinh tế số hóa.
Như vậy, yêu cầu về bảo mật và định hướng về bảo mật thông tin là gì? Theo ông Tuấn, Việt Nam đi sau các nước phát triển, các hệ thống hiện đã được tập trung hóa để nâng cao hiệu quả nhưng lại tiềm ẩn nhiều rủi ro. Bảo mật vốn gắn liền với cả quá trình thiết kế, xây dựng và triển khai dịch vụ. “Bảo mật thông tin là một quá trình không có điểm kết thúc, vì vậy không có mô hình bảo mật nào thích hợp cho mọi hệ thống. Chiến lược bảo mật phải là sự kết hợp giữa công nghệ và tầm nhìn của CSO”.
Như vậy, một CSO sẽ gặp thuận lợi khi mà tổ chức của anh ta nhận thức được giá trị của an toàn thông tin và xây dựng được một cơ chế quản lý tài nguyên hệ thống và quản lý các nguy cơ tương ứng với các tài nguyên đó. Thuyết phục tổ chức mình đầu tư cho an ninh là trách nhiệm của CSO. “Bởi CSO chỉ có thể làm tốt vai trò của mình khi nhận được sự tin cậy và ủng hộ của tổ chức. Và tổ chức đó nhất thiết phải xem việc bảo mật như là một khoản đầu tư”.
Ông Phan Thanh Sơn, Giám đốc công nghệ của Cisco Vietnam, nhìn nhận CSO là người làm nhiệm vụ của nhà quản trị rủi ro (CRO – Chief Risk Officer). Một sai sót nhỏ có thể xóa sổ cả một ngân hàng – lĩnh vực vốn nhạy cảm với những rủi ro công nghệ và thảm họa. Để bảo đảm an ninh cho hệ thống thông tin của doanh nghiệp, CSO phải đo lường, mô phỏng được rủi ro và đưa ra biện pháp giảm thiểu. “Nên quán triệt rằng bản thân công nghệ là rủi ro. Và doanh nghiệp sẽ phải cân nhắc giữa lợi ích đạt được khi ứng dụng công nghệ với rủi ro mà công nghệ có thể mang lại khi đầu tư”.
(Theo Quế Sơn // Thời báo kinh tế Sài Gòn)
Chuyển nhượng, cho thuê hoặc hợp tác phát triển nội dung trên các tên miền:
Quý vị quan tâm xin liên hệ: tieulong@6vnn.com