Trở lại với chủ đề Data security, bảo mật dữ liệu, ở phần 1 bài viết trước chúng ta đã cùng nhau tìm hiểu về thực trạng Data security trên toàn cầu thông qua bàn luận những số liệu từ các báo cáo, nghiên cứu của Verizon và IBM về Data breach (xâm phạm, đánh cắp, rò rỉ dữ liệu) tại những công ty, tổ chức đến từ nhiều quốc gia khác nhau; cũng như tìm hiểu tổng quan về Data security như khái niệm, lợi ích, thách thức.
Trong phần 2 bài viết, BigDataUni sẽ giới thiệu đến các bạn giải pháp, hành động sẽ giúp các công ty vừa đẩy mạnh khai thác dữ liệu phục vụ hoạt động kinh doanh vừa có thể cải thiện khả năng bảo vệ dữ liệu, thông tin.
Lưu ý, những giải pháp được nêu ra trong bài viết này không nói về việc chọn lựa hay ứng dụng các kỹ thuật, phần mềm, công nghệ nào là cần thiết trong Data security, mà chỉ cung cấp các bước hành động, chiến lược phù hợp để công ty có thể phần nào tăng cường khả năng kiểm soát những quá trình khai thác, chia sẻ dữ liệu, thông tin; quản trị dữ liệu, quản lý hệ thống dữ liệu,… sao cho hiệu quả, qua đó tăng cường bảo mật dữ liệu.
Nguồn hình: revisionlegal.com
Những hoạt động có trong Data security
Đầu tiên trước khi chúng ta nói về những hoạt động có trong Data security, hãy cùng điểm qua một số ví dụ có thể coi là các trường hợp một công ty đang thực hiện bảo mật dữ liệu:
- Công ty ngăn chặn và xử lý các hành vi làm rò rỉ dữ liệu, đánh cắp dữ liệu bởi những thành phần bên trong nội bộ tổ chức thông qua việc vận hành quá trình Quản trị dữ liệu (Data governance) như thiết lập các quy định, quy tắc cụ thể, và thông qua các chương trình tập huấn cho nhân viên.
- Công ty giao nhiệm vụ cho bộ phận nhân viên phụ trách quản lý các hệ thống thông tin, hệ thống mạng, hệ thống máy tính trong công ty, chủ động trong việc tìm kiếm, phát hiện, ngăn chặn các phần mềm độc hại, các tệp, các e-mail chứa mã độc, virus.
- Công ty kiểm tra rà soát lại các phần mềm, phần cứng, các thiết bị I.oT được sử dụng để phát hiện và ngăn chặn các lỗ hổng an ninh, các điểm truyền tải, truy cập dữ liệu (Access Point) đáng ngờ.
- Xem xét, phân loại dữ liệu theo mức độ quan trọng, mức độ yêu cầu về bảo mật cao, tác hại khi chúng bị đánh cắp, rò rỉ là rất lớn, để xây dựng những biện pháp quản lý, lưu trữ phù hợp như xác định dữ liệu nào cần lưu trữ bên trong chính hệ thống của tổ chức, dữ liệu nào có thể được lưu trữ trên hạ tầng đám mây (Cloud) của các công ty cung cấp dịch vụ, giải pháp lưu trữ dữ liệu ví dụ Google (Gsuite của Google Cloud), Amazon (Amazon Web Services – AWS)
- Công ty đang xây dựng một hệ thống các chuẩn mực, quy tắc dành cho những hoạt động, công việc liên quan đến dữ liệu, yêu cầu nhân viên tuân theo để đảm bảo dữ liệu được bảo vệ tuyệt đối.
- Công ty thể hiện mình đang tuân thủ các điều luật về bảo mật thông tin của quốc gia bằng cách đưa ra những hành động chứng minh sự minh bạch trong việc sử dụng thông tin cá nhân của khách hàng, cũng như đã và đang xây dựng hệ thống bảo mật đạt các tiêu chuẩn cần thiết.
Chắc qua những ví dụ trên, các bạn đã hiểu được sơ qua về các cách thức bảo mật dữ liệu là như thế nào. Để hiểu rõ hơn, chúng ta cùng đi vào những hoạt động có trong Data security được DAMA (The Global Data Management Community) cung cấp trong tài liệu DMBOK (Data Management: The Body of Knowledge, phiên bản 2, năm 2017).
Theo DAMA, Data security là một quá trình, một thành phần không thể thiếu trong hệ thống Data management – quản lý dữ liệu – ở các tổ chức. Data management là việc phát triển, triển khai, giám sát các kế hoạch, chính sách, chương trình hoạt động, và các công việc thực tiễn nhằm cung cấp (phân phối), kiểm soát, bảo vệ, gia tăng giá trị của tài sản dữ liệu và thông tin xuyên suốt vòng đời của chúng. Data management được coi là yếu tố quyết định liệu công ty có thu thập được những thông tin hữu ích từ dữ liệu và chuyển nó thành giá trị hay không.
Nguồn hình: DMBOK
Vì Data security là một phần của Data management, vậy nên tầm quan trọng của Data security không chỉ dừng lại ở việc bảo vệ dữ liệu, thông tin mà còn giúp công ty đạt được thành công trong những dự án khai thác, phân tích dữ liệu.
Nếu các bạn chưa xem qua các bài viết của BigDataUni về Data management thì hãy click vào những link dưới đây:
Tầm quan trọng của quản lý dữ liệu (Data management) (p1)
Tầm quan trọng của quản lý dữ liệu (Data management) (p2)
Theo DAMA, công ty cần phải tự xây dựng và kiểm soát những hoạt động bảo mật dữ liệu, chứng minh chúng đạt được, hay tuân thủ những yêu cầu có trong các điều luật bảo mật thông tin của quốc gia, và quyền riêng tư, quyền cá nhân khác của khách hàng. Ngoài ra công ty còn phải theo dõi, lưu lại các ghi chép về việc kiểm soát hoạt động bảo mật, sau đó thực hiện đánh giá với những tiêu chí cụ thể. Các hoạt động bảo mật dữ liệu cụ thể như xác định các yêu cầu, quy tắc về bảo mật, đánh giá môi trường kinh doanh hiện tại, hệ thống thông tin bên trong nội bộ dựa trên khả năng xuất hiện các lỗ hổng an ninh hoặc rủi ro bị tấn công, bị đánh cắp dữ liệu; áp dụng các công cụ bảo mật, thực hiện những quy trình bảo mật; và kiểm soát, đo lường Data security để đảm bảo sự hiệu quả.
Tuy nhiên, trong tài liệu DMBOK của DAMA chỉ đề cập tới 3 hoạt động (Activities) chính bao gồm: xác định những yêu cầu trong Data security; xác định các quy tắc, thiết lập chính sách trong Data security; và xác định những tiêu chuẩn Data security. Theo chúng tôi, thì các chuyên gia DAMA cho rằng quá trình bảo mật dữ liệu có thành công hay không phụ thuộc rất nhiều và chiến lược, kế hoạch đề ra ban đầu, chính là những cơ sở để giai đoạn thực thi những hoạt động bảo mật dữ liệu được diễn ra một cách tốt nhất. Còn việc ứng dụng các công cụ, phần mềm (Tools), kỹ thuật (Techniques), tất cả đều được các chuyên gia DAMA tách riêng thành từng phần khác nhau chứ không liệt kê chung vào phần Activities.
Do đó, để tránh làm dài bài viết, BigDataUni sẽ không trình bày hết toàn bộ mà xin phép chỉ trích dẫn và bàn luận tổng quan về 3 hoạt động nói trên mà thôi (không đi vào chi tiết từng bước hành động cụ thể trong tài liệu DMBOK). Lý do khác, ngoài tài liệu DMBOK của DAMA, chúng tôi cũng muốn gửi đến các bạn nhiều thông tin hữu ích khác trong bài viết này về giải pháp Data security cung cấp bởi công ty quốc tế đi đầu trong lĩnh vực công nghệ bảo mật là IBM và Dataversity – tổ chức cung cấp giải pháp giáo dục trong lĩnh vực quản lý dữ liệu
1. Xác định những yêu cầu có trong Data security
Đầu tiên là phân biệt rõ giữa những yêu cầu trong kinh doanh và những yêu cầu trong bảo mật dữ liệu. Đối với các yêu cầu trong bảo mật dữ liệu thì tiếp tục xác định rõ các quy tắc đến từ môi trường bên ngoài tổ chức ví dụ như chúng tôi đã đề cập từ bài viết trước đó chính là các điều luật về bảo mật thông tin của quốc gia, nhà nước (GPDR của liên minh châu Âu, luật An ninh mạng của nước ta), hay các điều luật ở phạm vi quốc tế như (Payment Card Industry Data Security Standard (PCI DSS) – Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán); và bao gồm các quy định, quy tắc bên trong nội bộ tổ chức ví dụ những quy tắc do cấp quản lý đề ra để nhân viên tuân thủ. Bên cạnh đó, khi một công ty triển khai ứng dụng nhiều hệ thống (application systems), chức năng (ví dụ như hệ thống quản lý bán hàng, hệ thống quản lý khách hàng, hệ thống quản lí sản xuất,…) giúp công ty đạt được các yêu cầu kinh doanh, vận hành kinh doanh hiệu quả thì mỗi hệ thống đều có thể nắm giữ và cung cấp nhiều dữ liệu quan trọng chứa đựng thông tin hữu ích. Vậy nên, mỗi hệ thống ấy cũng cần được xây dựng những quy tắc bảo mật dữ liệu riêng, đảm bảo tất cả nguồn tài sản dữ liệu trong công ty được “bảo vệ” tốt nhất.
Mặc dù chúng ta cần phân biệt rõ yêu cầu trong kinh doanh và yêu cầu trong bảo mật để đưa ra những giải pháp, hành động phù hợp. Nhưng thực chất khi một công ty bắt đầu tiến hành tăng cường bảo mật dữ liệu thì trước tiên họ phải nắm rõ từng nguyên tắc, yêu cầu trong kinh doanh.
Các nhu cầu, yêu cầu trong kinh doanh, cùng với nhiệm vụ, sứ mệnh, tầm nhìn chiến lược, kết hợp đặc điểm về quy mô, ngành và lĩnh vực hoạt động của công ty. Tất cả các yếu tố này sẽ quyết định hay ảnh hưởng sâu sắc đến mức độ khắt khe, nghiêm ngặt, và chặt chẽ của quá trình bảo mật dữ liệu. Ví dụ, các công ty tài chính và chứng khoán ở Hoa Kỳ được quản lý rất gắt gao và bắt buộc phải duy trì các tiêu chuẩn bảo mật dữ liệu một cách cực kỳ nghiêm ngặt. Ngược lại, một công ty bán lẻ quy mô nhỏ có thể chọn cách thức, loại hệ thống bảo mật dữ liệu với chức năng riêng không giống với một công ty bán lẻ có quy mô lớn, mặc dù cả hai đều có hoạt động kinh doanh cốt lõi tương tự nhau.
Phân tích các quy tắc và quy trình kinh doanh để xác định khi nào, tại thời điểm nào, và tại đâu thì cần bảo mật dữ liệu cao hơn. Mỗi hoạt động, giai đoạn trong quy trình kinh doanh có thể có các yêu cầu bảo mật riêng.
Đồng thời xác định vai trò của dữ liệu, những quy trình xử lý, phân tích dữ liệu cần thiết để có thể định hình được các nhóm nhiệm vụ trong Data security, các giới hạn, quyền hạn của bộ phận nhân viên đối với dữ liệu nhằm vừa đạt được các yêu cầu trong kinh doanh, và yêu cầu trong bảo mật dữ liệu. Bên cạnh đó, công ty cũng cần lên kế hoạch cho từng mục tiêu ngắn hạn và dài hạn cụ thể để xây dựng một hệ thống bảo mật dữ liệu cân bằng, hiệu quả.
2. Xác định các quy định, thiết lập chính sách (policy) trong Data security
Nguồn hình: techdonut
Theo DAMA, các công ty nên xây dựng các chính sách bảo mật dữ liệu dựa trên các yêu cầu kinh doanh và quy định, quy tắc đề ra ở trước khi bắt đầu triển khai bảo mật dữ liệu. Chính sách là một tuyên bố về các quy trình hành động chi tiết, các nguyên tắc phải được tuân thủ, thể hiện những mong muốn, nguyện vọng của tổ chức trong việc đạt được những mục tiêu cụ thể.
Chính sách bảo mật dữ liệu sẽ mô tả các hành vi được cho là tiêu chuẩn, hợp lý và tốt nhất để một tổ chức bảo vệ dữ liệu của mình. Và để kiểm tra liệu những chính sách có tác động tích cực và hiệu quả lên quá trình bảo mật dữ liệu hay không thì mỗi tổ chức cần thiết lập các tiêu chí đo lường phù hợp để theo dõi và đánh giá.
Chính sách của một số công ty thường có cả ý nghĩa mang tính pháp lý. Các cơ quan hành pháp, lập pháp có thể coi một chính sách được lập ra để hỗ trợ một yêu cầu pháp lý nào đó, là một phần nỗ lực của tổ chức để tuân thủ yêu cầu pháp lý ấy, ở đây chính là những điều luật về bảo mật dữ liệu của quốc gia.
Việc các nhân viên không tuân thủ chính sách của công ty dẫn đến công ty bị rò rỉ, đánh cắp dữ liệu nếu dữ liệu ấy lại là dữ liệu được nêu trong điều luật quốc gia (regulated data) như thông tin cá nhân quan trọng của khách hàng bao gồm thông tin giao dịch, thông tin về tài khoản ngân hàng, thẻ ngân hàng, công ty sẽ không chỉ chịu những tổn thất về chi phí mà còn gặp rất nhiều rủi ro khác về pháp lý.
*Lưu ý: trong bài viết chúng tôi có đề cập về Regulated data, dữ liệu được chỉ định trong các điều luật về bảo mật dữ liệu tại các quốc gia, được yêu cầu bảo mật cao hơn, nghiêm ngặt hơn ví dụ dữ liệu thống tin cá nhân khách hàng. Hiện tại Luật An ninh mạng tại nước ta không chỉ rõ từng loại dữ liệu nào là quan trọng cần bảo mật, nhưng vẫn nêu ra những hành vi xâm phạm dữ liệu, cơ sở dữ liệu là trái phép, và đề cao trách nhiệm của doanh nghiệp trong nước và ngoải nước trong việc bảo vệ dữ liệu của người dùng (khách hàng).
Quá trình lập và xây dựng các chính sách bảo mật đòi hỏi sự hợp tác giữa các nhân viên phụ trách mảng bảo mật bên IT, các nhân viên phụ trách thiết lập kết cấu hệ thống bảo mật, các nhân viên từ bộ phận quản trị, quản lý dữ liệu,…và cả bộ phận pháp lý, đôi khi các cấp quản lý, người đứng đầu những phòng ban chức năng cũng có thể tham gia thảo luận. Ngoài ra các cấp quản lý nên có thêm một số kiến thức chuyên môn nhất định về dữ liệu, để phát triển chính sách sao cho phù hợp. Hơn nữa, mọi hành động tuân thủ quy tắc dữ liệu đề ra cần phải được rõ ràng, có sự phối hợp với nhau để tăng tính hiệu quả của chính sách, tránh phát sinh những hiểu lầm, mâu thuẫn, và tranh cãi không đáng có bên trong nội bộ tổ chức.
3. Xác định các tiêu chuẩn trong Data security
Các chính sách được thiết lập chỉ góp phần định hình, hướng dẫn hành vi của bộ phận nhân viên trong việc tuân thủ các quy tắc bảo mật dữ liệu, chứ không mô tả hết tất cả các tình huống có thể xảy ra, không trình bày thế nào một hành vi bảo mật tối ưu nhất. Các tiêu chuẩn trong Data security được bổ sung vào sẽ giúp các chính sách trở nên rõ ràng và chi tiết hơn. Những chỉ dẫn cụ thể trong chính sách dựa trên các tiêu chuẩn trong Data security sẽ hỗ trợ nhân viên thực hiện hoạt động tuân thủ bảo mật một cách hiệu quả hơn.
Ví dụ trong chính sách bảo mật sẽ yêu cầu các mật khẩu được đặt phải ở cấp độ mạnh nhất (giải thích về cấp độ mật khẩu, các bạn khi đặt mật khẩu cho các tài khoản trên những website, social media,… sẽ thấy có 3 cấp độ mạnh, trung bình, yếu) nhưng chính sách bảo mật sẽ không hướng dẫn từng tiêu chuẩn trong cách đặt mật khẩu, và đặt thế nào cho đúng. Những tiêu chuẩn bảo mật được thêm vào chính sách sẽ giúp các nhân viên IT, nhân viên bảo mật đề ra các giải pháp cải thiện hơn như thêm vào các phần mềm, hệ thống những chức năng ngăn chặn các mật khẩu trước khi được đặt nếu chúng không đạt tiêu chuẩn, và hướng dẫn nhân viên cụ thể hơn.
Quá trình thiết lập các tiêu chuẩn trong Data security còn bao gồm cả những hoạt động bảo mật dữ liệu như:
- Xác định, phân loại cấp độ bảo mật: ví dụ dữ liệu nào có thể được truy cập, sử dụng rộng rãi như th“for general use”, hay dữ liệu nào là quan trọng, tuyệt mật cần phải có cấp phép quyền truy cập.
- Xác định, phân loại danh mục dữ liệu cần bảo mật: ví dụ theo tầm quan trọng của dữ liệu như dữ liệu chứa thông tin bí mật về hoạt động kinh doanh cần được bảo vệ ở mức độ cao hơn dữ liệu thông thường, hay phân loại dữ liệu (regulated data) nhằm tuân thủ quy tắc, điều luật của quốc gia ví dụ dữ liệu thông tin cá nhân của khách hàng cần được bảo vệ chặt chẽ hơn, hay phân loại dữ liệu theo mức độ rủi ro nếu chúng bị đánh cắp, rò rỉ ra bên ngoài,…Mỗi danh mục dữ liệu sau khi phân loại theo từng đặc điểm, yếu tố khác nhau sẽ tương ứng với mỗi cách thức bảo mật khác nhau.
- Xác định vai trò, quyền hạn của bộ phận nhân viên trong bảo mật dữ liệu và tiến hành quản lý hiệu quả: ví dụ công ty nên xem xét việc truy cập dữ liệu có thể được tổ chức theo nhóm, bộ phận hay ở cấp độ cá nhân. Ví dụ trong bộ phận marketing, tất cả nhân viên có thể tiếp cận dữ liệu thông tin giao dịch của khách hàng hay dữ liệu thông tin giao dịch của khách hàng chỉ được truy cập bởi những ai có quyền hạn nhất định. Công ty có thể xây dựng các nhóm người truy cập đối với những loại dữ liệu nhất định, nhân viên quản trị hệ thống có thể cấp quyền truy cập cho một nhân viên bất kỳ bằng cách thêm người này vào nhóm người phù hợp đã xây dựng trước đó.
Việc phân loại: có hai hướng: hướng thứ nhất bắt nguồn từ tính chất loại dữ liệu. Ví dụ dữ liệu thống kê về khách hàng có thể được truy cập bởi nhóm nhân viên phụ trách Marketing hoặc dữ liệu mật về tài chính chỉ giám đốc tài chính mới được truy cập không phải tất cả nhân viên bộ phận tài chính. Hướng thứ hai bắt nguồn từ mục đích của người dùng ví dụ nhóm A: có nhiệm vụ tạo ra dữ liệu, cập nhật dữ liệu, kiểm tra dữ liệu, thì người nào có vai trò giống như mô tả của nhóm sẽ được thêm vào, các bạn hãy nhìn vào hình minh họa bên dưới để thấy rỗ hơn.
Hình: cách phân bổ quyền hạn dữ liệu theo nhóm hỗ trợ việc bảo mật (nguồn DMBOK)
- Đánh giá các rủi ro bảo mật hiện tại: rủi ro bảo mật bao gồm các yếu tố có thể làm cho mạng dữ liệu hoặc cơ sở dữ liệu có thể bị tấn công. Bước đầu tiên trong việc xác định rủi ro chính là xác định vị trí dữ liệu nhạy cảm được lưu trữ và những biện pháp bảo vệ nào cần thiết cho loại dữ liệu nhạy cảm ấy, đồng thời tiến hành đánh giá rủi ro bảo mật với những yếu tố sau: độ nhạy cảm của dữ liệu được lưu trữ hoặc luân chuyển; các yêu cầu bảo mật của dữ liệu đó và các biện pháp bảo vệ hiện tại.
4. Thi hành chính sách và kiểm soát các hoạt động bảo mật dữ liệu
Theo DAMA, việc thi hành và quản lý những chính sách bảo mật dữ liệu chủ yếu là trách nhiệm của những nhân viên quản trị hệ thống bảo mật phối hợp với nhân viên quản lý, giám sát dữ liệu (Data stewards) và nhân viên bộ phận IT, bộ phận kỹ thuật. Ví dụ nhiệm vụ bảo mật hệ thống cơ sở dữ liệu thường được giao cho nhân viên quản trị cơ sở dữ liệu (DBA – Database Administrators). Các tổ chức phải thực hiện các quy trình kiểm soát thích hợp để đáp ứng các yêu cầu chính sách bảo mật, và tối thiểu phải bao quát được những vấn đề sau:
- Trường hợp nào mà người dùng có thể lấy được hoặc bị mất quyền truy cập vào hệ thống và / hoặc ứng dụng
- Mức độ đặc quyền, quyền hạn nhân viên đối với dữ liệu được theo dõi như thế nào.
- Các yêu cầu thay đổi truy cập (ví dụ thay đổi mật khẩu, thay đổi tên người truy cập) được xử lý và theo dõi ra sao.
- Làm thế nào dữ liệu được phân loại ví dụ theo yêu cầu bảo mật, quy tắc đề ra trong chính sách (ví dụ dữ liệu khách hàng nếu lộ ra ngoài công ty sẽ chịu trách nhiệm pháp lý, vậy chúng cần được phân loại ra sao)
- Làm thế nào các vi phạm đối với dữ liệu (data breach) được xử lý một khi được phát hiện.
Ngoài ra việc linh hoạt trong quá trình thực thi chính sách và kiểm soát cũng cần được quan tâm ví dụ xem xét loại bỏ quyền truy cập của những nhân viên có tình trạng công việc (nghỉ việc, bị đình chỉ công tác) không có đủ điều kiện truy cập; hay khi hệ thống bảo mật được nâng cấp, cải tiến thì vẫn có thể lưu lại danh sách người truy cập trước đó, cấp quyền truy cập cho những ai có giấy phép trước khi hệ thống sửa đổi.
Như vậy đã xong phần các hoạt động chính trong Data security theo DAMA, tiếp theo chúng ta cùng đến với những năng lực mà tổ chức, công ty cần phải có để tăng cường bảo mật dữ liệu.
Những năng lực, khả năng bảo vệ dữ liệu quan trọng tổ chức cần có
Để các bạn nắm một cách tổng quan về những hoạt động bảo mật dữ liệu, dưới đây là tóm tắt những hoạt động, hay nói chính xác là các khả năng công ty phải có để triển khai Data security. Theo IBM, công ty hàng đầu trong lĩnh vực công nghệ phần mềm, cho rằng một công ty phải xây dựng cho mình những năng lực cốt lõi sau đây:
- Khả năng xác định nơi lưu trữ, tìm hiểu, khám phá các cơ sở dữ liệu, các tệp dữ liệu, các nguồn dữ liệu trong hệ thống thông tin, mạng của công ty có chứa dữ liệu nhạy cảm hay không, dữ liệu ấy có khả năng bị tấn công hay không, kiểm tra loại dữ liệu có nằm trong danh mục dữ liệu phải được bảo mật nghiêm ngặt như trong quy định của công ty hay các điều luật quốc gia hay không.
- Khả năng phân loại dữ liệu, thì giống như đã nói ở phần trên, dữ liệu cần được phân loại theo yêu cầu bảo mật, cấp độ rủi ro,… để xây dựng kế hoạch bảo mật cụ thể.
- Phân tích rủi ro dữ liệu, xác định các nguồn dữ liệu có nguy cơ bị tấn công để các chuyên gia biết được nguồn dữ liệu nào nên được ưu tiên bảo vệ trước. Phân tích một cách chủ động những rủi ro, để có cái nhìn sâu sắc về các mối nguy hại, hành động bất thường có thể xảy ra với hệ thống dữ liệu, và xây dựng các giải pháp kịp thời.
- Khả năng kiểm tra, đánh giá môi trường dữ liệu, hệ thống dữ liệu có lỗ hỗng an ninh hay không, có dễ dàng bị tấn công hay không, từng bị truy cập, thay đổi trái phép hay chưa, các mật khẩu của những người dùng hệ thống có mạnh hay không, việc phân chia đặc quyền, quyền hạn của người dùng, nhân viên đối với hệ thống dữ liệu đã hợp lý chưa.
- Giám sát hoạt động dữ liệu và tệp dữ liệu, nắm bắt và ghi lại mọi hoạt động truy cập dữ liệu trong thời gian thực, xác định tất cả các nền tảng, phần mềm được sử dụng và cả danh tính người dùng dữ liệu (bên trong hay bên ngoài tổ chức).
- Xây dựng hệ thống cảnh báo kịp thời, theo IBM, đối với công ty có khả năng tiếp cận, thay đổi công nghệ, kỹ thuật tốt có thể sử dụng nhiều nền tảng công nghệ tiến tiến ngày nay và các công cụ phân tích khác nhau để phát hiện trước và ngăn chặn kịp thời những rủi ro xảy ra ví dụ phát hiện được hành vi người dùng đang cố gắng đánh cắp, sao chép dữ liệu.
- Ngăn chặn hoàn toàn các truy cập trái phép một cách nhanh chóng và tuyệt đối, chặn nguồn dữ liệu, ngắt kết nối đến nguồn dữ liệu, chặn mọi hành vi tiếp theo đến từ người truy cập nếu những hành vi ấy sai lệch so với các hướng dẫn ban đầu hay các quy định trong chính sách bảo mật. Tất cả đều vì mục đích đảm bảo không một dữ liệu nào có thể bị tổn hại.
- Khả năng mã hóa được dữ liệu: biến những dữ liệu mà tội phạm hacker, tổ chức tội phạm, cá nhân, nhân viên truy cập trái phép,…đánh cắp thành những dữ liệu “vô giá trị”, ngăn chặn tổn thất, rủi ro một cách tối đa, bằng cách mã hóa dữ liệu, và chỉ có những cá nhân có đặc quyền mới có thể đọc được vì biết cách giải mã. Một trong những loại mã hóa phổ biến hiện nay là Tokenization. Ngoài ra, công ty cần có cách thức quản lý các key (chìa khóa giải mã), phân phối các key một cách an toàn.
- Khả năng tuân thủ một cách tự động và nhanh chóng các điều luật về bảo mật dữ liệu như GDPR, PCI-DSS,… ví dụ bằng cách xây dựng trước khả năng phân loại dữ liệu nào là dữ liệu được kiểm soát, được yêu cầu bảo mật cao hơn bởi các điều luật trên.
Các giải pháp giúp tăng cường bảo mật dữ liệu vừa đảm bảo khả năng chia sẻ dữ liệu
Sau cùng, BigDataUni sẽ cung cấp đến các bạn những giải pháp tăng cường bảo mật dữ liệu từ Dataversity, tổ chức cung cấp giải pháp giáo dục trong lĩnh vực quản lý dữ liệu, những giải pháp dưới đây sẽ giúp các công ty cân bằng giữa việc chia sẻ dữ liệu bên trong hay bên ngoài tổ chức, và tăng cường khả năng bảo mật dữ liệu.
- Luôn tìm cách bảo mật dữ liệu, và coi nó là một quá trình diễn ra liên tục. Nghĩa là công ty phải cập nhật dữ liệu mới, phân tích các rủi ro, cập nhật cả những bên liên quan đến dữ liệu hàng ngày, thậm chí là hàng giờ, để tăng khả năng quản lý, bảo mật. Coi dữ liệu cũng như tài sản tài chính phải được kiểm soát liên tục, hình thành một chiến lược đánh giá hệ thống bảo mật dữ liệu và hệ thống quản lý phải luôn luôn được diễn ra.
- Theo dõi, kiểm tra trạng thái của dữ liệu, dòng chảy của dữ liệu, nơi dữ liệu đến, nơi dữ liệu đi, ai là người truy cập, truy cập lúc nào, dữ liệu thay đổi như thế nào theo thời gian, nắm rõ dòng chảy của dữ liệu sẽ không chỉ tăng cường khả năng bảo mật, mà còn tăng giá trị của chính dữ liệu khi dữ liệu được xử lý và khai thác đúng theo quy trình.
- Các công cụ bảo mật nên được để càng gần dữ liệu càng tốt, ví dụ ở những nơi chứa dữ liệu, ở những nguồn dữ liệu, hay cơ sở dữ liệu cần có công cụ bảo mật, xác thực, kiểm soát quyền truy cập, như dữ liệu được bảo mật ở cấp độ mạng (network-level) khi dữ liệu được lưu trữ trên cloud (hạ tầng đám mây), hay dữ liệu được mã hóa và bảo mật ở cấp độ disk-level khi nó được lưu trữ trong các đĩa mềm.
- Vận hành một mô hình bảo mật dữ liệu đồng nhất trên mọi dữ liệu, nghĩa là cần có sự nhất quán trong các công cụ bảo mật được áp dụng, nhất quán trong cách xử lý những sai phạm, nhất quán trong cách thức, hành vi bảo mật dữ liệu.
- Quản lý quyền truy cập dữ liệu theo vai trò, nhiệm vụ của người truy cập, của nhân viên trong công ty và theo đặc điểm, thuộc tính của dữ liệu như cấp độ bảo mật. Giải pháp này đã được chúng tôi trình bày ở các phần trên, nên sẽ không giải thích lại ở đây.
- Cách tốt nhất để ngăn chặn việc lạm dụng thông tin là hạn chế quyền truy cập vào thông tin ấy trừ khi chứng minh được nhu cầu cụ thể. Xem xét những vai trò nào trong công ty có nhu cầu thực sự cho việc sử dụng từng mẩu dữ liệu nhạy cảm. Đảm bảo rằngcông ty thực hiện phân chia nhiệm vụ phù hợp để chống lại các mối đe dọa, đánh cắp dữ liệu trong nội bộ. Ví dụ, quản trị viên cơ sở dữ liệu cần truy vấn cơ sở dữ liệu để thực hiện công việc của họ và họ không cần phải nhìn và đọc mọi dữ liệu. Quản trị viên hệ thống cần truy cập vào dữ liệu được mã hóa trên hệ thống nhưng không nhất thiết truy cập vào các khóa mã hóa (encryption key). Họ cũng không cần truy vấn dữ liệu.
- Hạn chế việc truy cập, hay chia sẻ dữ liệu (gỡ bỏ dữ liệu nhạy cảm trong các tập dữ liệu được chia sẻ nếu thấy cần thiết), thông tin nhạy cảm là vô cùng quan trọng. Ví dụ không phải trong mọi trường hợp nào chuyên gia, người đứng đầu bộ phận nhân sự có thể yêu cầu muốn biết hoặc truy cập dữ liệu cá nhân của nhân viên như số CMND, số tài khoản ngân hàng,…Điều này cũng sẽ đặc biệt hợp lý trong trường hợp chia sẻ dữ liệu giữa các tổ chức với nhau, vì vậy công ty cần quyết định khi nào, trường hợp nào thì cần chia sẻ toàn bộ dữ liệu, hoặc chỉ một phần thông tin của dữ liệu mà thôi, những phần được yêu cầu.
- Việc tạo và trích xuất dữ liệu khỏi hệ thống dữ liệu hay cơ sở dữ liệu có thể là cách thức chia sẻ dữ liệu rủi ro cao. Điều này đặc biệt quan trọng khi việc trích xuất, chia sẻ dữ liệu được thực hiện thủ công. Ví dụ như trích xuất dữ liệu từ hệ thống và biến đó thành file Excel, và gửi e-mail có chứa file đính kèm đến người nhận theo nhu cầu, rủi ro sẽ xảy ra nếu địa chỉ người nhận bị sai hay trường hợp dữ liệu bị đưa đến nơi khác ngoài dự định dẫn đến khả năng bị rò rỉ. Do đó, công ty vẫn nên hạn chế việc chia sẻ dữ liệu như trên bằng cách chỉ cấp quyền truy cập, cấp phép cần thiết cho cá nhân nào đó muốn sử dụng dữ liệu nhạy cảm. Còn nếu phải chia sẻ dữ liệu theo hình thức truyền tải thì phải thực hiện quy trình ấy bằng hệ thống tự động, từ hệ thống đến hệ thống một cách an toàn, kiểm tra nghiêm ngặt.
- Che dữ liệu (mask data) nếu trong quá trình chia sẻ dữ liệu, những bên nhận dữ liệu yêu cầu chia sẻ luôn những trường dữ liệu nhạy cảm. Dựa vào cách thức, mục đích dữ liệu được sử dụng, thì giá trị (value), thông tin chi tiết của dữ liệu nhạy cảm không cần thiết phải được chia sẻ. Ví dụ, bác sĩ có thể yêu cầu một tập dữ liệu về bệnh nhân để nghiên cứu các căn bệnh, và dĩ nhiên không cần dữ liệu thông tin cá nhân của bệnh nhân, khi ấy các trường dữ liệu nhạy cảm sẽ bị che đi bởi những giá trị ẩn danh khác.
Như vậy, đến đây BigDataUni đã giới thiệu xong những giải pháp cải thiện bảo mật dữ liệu, mong rằng các bạn vẫn sẽ luôn theo dõi, và ủng hộ những bài viết sắp tới của chúng tôi.
Nguồn tham khảo:
Phần Data Security, tài liệu DMBOK (Data Management: The Body of Knowledge, phiên bản 2, năm 2017) của DAMA.
https://www.dataversity.net/nine-ways-to-strike-a-balance-between-data-sharing-and-security/
https://www.ibm.com/security/data-security
Về chúng tôi, công ty BigDataUni với chuyên môn và kinh nghiệm trong lĩnh vực khai thác dữ liệu sẵn sàng hỗ trợ các công ty đối tác trong việc xây dựng và quản lý hệ thống dữ liệu một cách hợp lý, tối ưu nhất để hỗ trợ cho việc phân tích, khai thác dữ liệu và đưa ra các giải pháp. Các dịch vụ của chúng tôi bao gồm “Tư vấn và xây dựng hệ thống dữ liệu”, “Khai thác dữ liệu dựa trên các mô hình thuật toán”, “Xây dựng các chiến lược phát triển thị trường, chiến lược cạnh tranh”.