Có hai xu hướng nhất quán và liên quan đến nhau về công nghệ trong TC/DN nổi lên trong những năm gần đây đều liên quan đến sự thay đổi nhanh chóng và mạnh mẽ. Thứ nhất là sự trỗi dậy của các TC/DN chuyển đổi số trên khắp các lĩnh vực và lãnh thổ trên thế giới. Thứ hai là nhu cầu về hệ thống công nghệ thông tin phải phản ứng nhanh và phát triển đổi mới mạnh mẽ để đáp ứng nguyện vọng chuyển đổi số của các TC/DN.
Khi các TC/DN đang tìm cách chuyển đổi số, thì nhiều TC/DN phải đối mặt với những thách thức nghiêm trọng về ANM. Tại nhiều TC/DN, những áp lực cơ bản đang xuất hiện liên quan đến vấn đề giữa nhu cầu chuyển đổi số của TC/ DN và trách nhiệm của đội ngũ ANM trong việc bảo vệ TC/DN, nhân viên và khách hàng trên nền tảng các mô hình và giải pháp hoạt động mạng hiện có.
Nếu các nhóm ANM không muốn trở thành rào cản đối với quá trình chuyển đổi số mà thay vào đó là hỗ trợ quá trình này, thì họ cũng phải chuyển đổi theo ba lĩnh vực sau. Thứ nhất, họ phải cải thiện khả năng quản lý rủi ro, áp dụng giải pháp phân tích rủi ro định lượng. Thứ hai, họ phải đưa ANM trực tiếp vào chuỗi giá trị của doanh nghiệp. Và thứ ba, họ phải hỗ trợ thế hệ tiếp theo của nền tảng công nghệ mới, bao gồm những đổi mới như phát triển theo hướng tiếp cận agile (phương thức phát triển phần mềm linh hoạt, với mục tiêu là đưa sản phẩm đến tay người dùng càng nhanh càng tốt), tự động hóa bằng robot và các mô hình hoạt động dựa trên đám mây.
Mọi lĩnh vực của TC/DN số đều có ý nghĩa quan trọng đối với việc triển khai ANM. Ví dụ, khi các TC/DN tìm cách tạo ra nhiều trải nghiệm số hơn cho khách hàng, thì họ cần xác định cách điều phối các nhóm quản lý phòng chống gian lận, nhóm ANM và nhóm phát triển sản phẩm để họ có thể thiết kế các biện pháp kiểm soát như xác thực, và tạo ra trải nghiệm vừa thuận tiện vừa an toàn. Do các TC/DN áp dụng phân tích dữ liệu lớn, nên họ phải xác định cách nhận diện các rủi ro đến từ dữ liệu bao gồm nhiều loại thông tin nhạy cảm của khách hàng.
Họ cũng phải kết hợp các biện pháp kiểm soát bảo mật với các giải pháp phân tích mà có thể không sử dụng quy trình phát triển phần mềm chính thức. Khi các TC/DN áp dụng tự động hóa quy trình, họ phải quản lý thông tin đăng nhập của bot một cách hiệu quả và đảm bảo rằng “các trường hợp ranh giới” không gây ra rủi ro bảo mật (các trường hợp có yếu tố bất ngờ hoặc bất thường, hoặc đầu vào nằm ngoài giới hạn thông thường).
Tiếp theo đó, khi các TC/DN xây dựng giao diện lập trình ứng dụng (API) cho khách hàng bên ngoài, họ phải xác định cách phát hiện các lỗ hổng được tạo ra bởi sự tương tác giữa nhiều API và dịch vụ, đồng thời họ phải xây dựng và thực thi các tiêu chuẩn cho quyền truy cập thích hợp của nhà phát triển. Họ phải tiếp tục duy trì sự nghiêm ngặt trong bảo mật ứng dụng khi chuyển đổi từ mô hình thác nước sang phát triển ứng dụng theo hướng agile.
Để đối phó với quá trình chuyển đổi số mạnh mẽ, một số TC/DN ANM trên thế giới đang bắt đầu chuyển đổi khả năng của họ theo ba lĩnh vực đã mô tả: sử dụng phân tích rủi ro định lượng để ra quyết định, xây dựng ANM thành chuỗi giá trị kinh doanh áp dụng các nền tảng vận hành công nghệ mới kết hợp nhiều đổi mới. Những đổi mới này bao gồm các phương pháp tiếp cận agile, tự động hóa bằng robot, đám mây và DevOps.
Cốt lõi của ANM là quyết định rủi ro thông tin nào chấp nhận được và làm thế nào để giảm thiểu chúng. Theo truyền thống, CISO và các đối tác kinh doanh đưa ra các quyết định quản lý rủi ro ANM bằng cách sử dụng kết hợp kinh nghiệm, trực giác, phán đoán và phân tích định tính. Tuy nhiên, trong các doanh nghiệp chuyển đổi số ngày nay, số lượng tài sản, quy trình cần bảo vệ, cũng như tính thực tế và hiệu quả ngày càng giảm của các biện pháp bảo vệ phù hợp với mọi quy mô, đã làm giảm đáng kể khả năng áp dụng các quy trình ra quyết định truyền thống và dựa trên kinh nghiệm.
Để ứng phó với điều này, các TC/DN đang bắt đầu củng cố môi trường kinh doanh và công nghệ bằng phân tích rủi ro định lượng để có thể đưa ra các quyết định dựa trên thực tế tốt hơn. Điều này được thực hiện trên nhiều khía cạnh.
Một trong những khía cạnh này bao gồm phân đoạn nhân viên và phân tích hành vi để xác định các dấu hiệu của mối đe dọa nội bộ tiềm tàng, chẳng hạn như hoạt động email đáng ngờ. Khía cạnh khác là xác thực dựa trên rủi ro, trong đó có việc xem xét siêu dữ liệu như vị trí của người dùng và hoạt động truy cập gần đây, để xác định xem có nên cấp quyền truy cập đến các hệ thống quan trọng hay không.
Cuối cùng, các TC/DN sẽ bắt đầu sử dụng bảng điều khiển quản lý, gắn kết tài sản, tri thức mối đe dọa, lỗ hổng bảo mật và khả năng khắc phục để giúp các giám đốc điều hành cấp cao thực hiện các khoản đầu tư ANM tốt nhất. Họ sẽ có thể tập trung các khoản đầu tư đó vào các lĩnh vực kinh doanh mang lại bảo vệ tốt nhất với ít gián đoạn và chi phí thấp nhất.
Không một TC/DN nào là biệt lập đối với ANM. Mọi TC/DN thuộc bất kỳ mức độ phức tạp nào đều trao đổi dữ liệu nhạy cảm và kết nối mạng với khách hàng, nhà cung cấp và các đối tác kinh doanh khác. Do đó, các câu hỏi liên quan đến ANM về mức độ tin cậy và rào cản đối với các biện pháp giảm thiểu thiệt hại đã trở thành trọng tâm của chuỗi giá trị trong nhiều lĩnh vực. Ví dụ: CISO của các nhà quản lý lợi ích dược phẩm và các công ty bảo hiểm sức khỏe đang phải tốn nhiều thời gian tìm ra cách bảo vệ dữ liệu của khách hàng và sau đó giải thích cho khách hàng. Tương tự như vậy, ANM là tối quan trọng đối với việc đưa ra quyết định về mua bảo hiểm sức khỏe theo nhóm hay bảo hiểm kinh doanh, nhà môi giới chính và nhiều dịch vụ khác. ANM là yếu tố quan trọng nhất mà các TC/ DN cần cân nhắc khi mua các sản phẩm IoT.
Các TC/DN hàng đầu đang bắt đầu đưa ANM vào các mối quan hệ khách hàng, quy trình sản xuất và tương tác với nhà cung cấp. Một số cách tiếp cận bao gồm:
- Sử dụng tư duy thiết kế để xây dựng trải nghiệm khách hàng trực tuyến an toàn và tiện lợi. Ví dụ, một ngân hàng cho phép khách hàng tùy chỉnh các biện pháp kiểm soát bảo mật của họ, chọn mật khẩu đơn giản hơn nếu họ đồng ý áp dụng xác thực hai yếu tố.
- Giáo dục khách hàng về cách tương tác an toàn và bảo mật. Tại một ngân hàng, giám đốc điều hành cấp cao có công việc là đi khắp thế giới và giáo dục cho các khách hàng cao cấp và các văn phòng gia đình cách ngăn chặn tài khoản của họ bị xâm phạm.
- Phân tích các khảo sát về ANM để hiểu những gì khách hàng của TC/DN đang mong đợi và tạo cơ sở kiến thức để nhóm bán hàng có thể trả lời các câu hỏi về bảo mật của khách hàng trong quá trình đàm phán với ít bất đồng nhất.
- Coi ANM là một tính năng cốt lõi trong thiết kế sản phẩm. Ví dụ, mạng của bệnh viện sẽ phải tích hợp một thiết bị mới của phòng phẫu thuật vào môi trường bảo mật rộng hơn. Cách tốt nhất là tích hợp bảo mật ngay trong quy trình phát triển thiết bị này.
Nhiều TC/DN dường như đang cố gắng thay đổi mọi thứ đối với vận hành CNTT. Họ đang thay thế các quy trình phát triển phần mềm truyền thống bằng các phương pháp agile. Họ đang khôi phục nhân lực kỹ thuật tài năng từ các nhà cung cấp và giao cho các nhà phát triển quyền truy cập tự phục vụ (self-service access) vào cơ sở hạ tầng. Một số TC/DN đang loại bỏ hoàn toàn các trung tâm dữ liệu khi họ tận dụng được các dịch vụ đám mây. Tất cả những điều này đang được thực hiện để khiến công nghệ đủ nhanh và có thể mở rộng, nhằm hỗ trợ các nguyện vọng chuyển đổi số của TC/DN. Đổi lại, việc áp dụng mô hình công nghệ hiện đại đòi hỏi mô hình triển khai ANM linh hoạt, nhạy bén hơn nhiều và theo hướng tiếp cận agile. Các nguyên lý chính của mô hình này bao gồm:
- Di chuyển từ giao diện dựa trên phiếu sang API cho các dịch vụ bảo mật. Điều này đòi hỏi phải tự động hóa mọi tương tác và tích hợp ANM vào chuỗi công cụ phát triển phần mềm. Điều này sẽ cho phép các nhóm phát triển thực hiện quét lỗ hổng, điều chỉnh các quy tắc DLP, thiết lập bảo mật ứng dụng và kết nối để xác định và giành quyền truy cập vào các dịch vụ quản lý thông qua API.
- Tổ chức các đội ngũ ANM thành các nhóm scrum (mô hình phát triển phần mềm theo hướng agile, trong đó con người có thể xác định các vấn đề phức tạp, trong khi vẫn giữ được năng suất và sáng tạo để chuyển giao các sản phẩm có giá trị cao nhất) để quản lý các dịch vụ nổi bật của nhà phát triển, chẳng hạn như quản lý định danh và truy cập (IAM) hoặc DLP.
- Tích hợp chặt chẽ ANM vào các dịch vụ người dùng cuối của doanh nghiệp để nhân viên có thể dễ dàng có được các công cụ làm việc và cộng tác thông qua một cổng trực quan như Amazon.
- Xây dựng mô hình bảo mật dựa trên đám mây đảm bảo các nhà phát triển có thể truy cập các dịch vụ đám mây ngay lập tức và liền mạch trong khuôn khổ nhất định.
- Phối hợp với các nhóm cơ sở hạ tầng và kiến trúc để xây dựng các dịch vụ bảo mật cần thiết thành các giải pháp chuẩn hóa cho phân tích rộng và tự động hóa bằng robot.
- Chuyển đổi mô hình nhân sự tài năng sang kết hợp các chuyên gia ANM với một số lĩnh vực kiến thức sâu rộng, chẳng hạn như giải quyết vấn đề tích hợp, tự động hóa và phát triển, cũng như các công nghệ bảo mật.
Đỗ Đoàn Kết (Theo MCkinsey & Company)
15:00 | 25/01/2022
13:00 | 10/03/2022
08:00 | 30/11/2021
15:00 | 25/01/2022
16:00 | 19/03/2022
08:00 | 02/02/2022
17:00 | 19/11/2021
10:00 | 02/06/2022
17:00 | 25/11/2021
10:00 | 14/05/2024
Một trong những ưu tiên của Cơ quan Kỹ thuật số Italia giai đoạn hiện nay là triển khai ví ID kỹ thuật số chứa các tài liệu do chính phủ cấp, cũng như tăng tốc và điều chỉnh việc sử dụng AI trong khu vực công.
10:00 | 10/04/2024
Xác thực không mật khẩu là một phương thức xác thực cho phép người dùng truy cập vào một dịch vụ, ứng dụng, hệ thống công nghệ thông tin mà không cần nhập mật khẩu truyền thống hoặc trả lời các câu hỏi bảo mật. Xác thực không mật khẩu đang được xem là giải pháp xác thực an toàn hiện nay và được dự đoán sẽ trở thành xu hướng trong tương lai. Bài viết này sẽ hướng dẫn độc giả cách thiết lập Passkey cho tài khoản Google để giúp quá trình đăng nhập trở nên thuận lợi, đơn giản và tăng cường khả năng bảo mật tài khoản của người dùng.
07:00 | 26/06/2023
Sở TT&TT Thành phố Hà Nội vừa đề nghị các Sở, ngành trên địa bàn chỉ đạo bộ phận một cửa phối hợp với các doanh nghiệp để triển khai cấp chữ ký số miễn phí cho người dân Thủ đô.
07:00 | 11/01/2023
Hiện nay, trong bối cảnh các cuộc tấn công mạng ngày càng gia tăng cả về số lượng lẫn quy mô nhắm vào đối tượng là người dùng sử dụng Smartphone, các phương thức tấn công cũng vì thế được tin tặc thay đổi và phát triển với mức độ tinh vi hơn, đặc biệt là các phần mềm, ứng dụng độc hại được sử dụng để theo dõi, đánh cắp thông tin dữ liệu. Do đó, mỗi cá nhân nên trang bị những kỹ năng cần thiết giúp nhận biết và bảo vệ các thiết bị smartphone của chính mình. Để làm rõ điều này, bài báo sau đây sẽ cung cấp đến độc giả cách thức phát phát hiện phần mềm gián điệp dựa vào các dấu hiệu và một số tùy chọn để gỡ bỏ, ngăn chặn các cuộc tấn công độc hại.
Trong giao dịch giấy tờ truyền thống, chữ ký tay là phương tiện để xác thực nguồn gốc và nội dung của văn bản. Chữ ký tay còn có khả năng chống chối bỏ, nghĩa là người gửi sau khi đã ký vào văn bản thì không thể chối bỏ chữ ký của mình và văn bản sau khi được ký thì không thể thay đổi được nội dung. Đối với văn bản điện tử chữ ký tay không còn đảm bảo được các tính năng nói trên, vì vậy chữ ký số điện tử (gọi tắt là chữ ký số) được sử dụng để thay thế vai trò của chữ ký tay. Bài viết sau đây giới thiệu mô hình các cơ chế chữ ký số khôi phục thông điệp đựa trên phân tích số nguyên quy định tại TCVN 12855-2: 2020.
14:00 | 25/07/2024
Từ ngày 04 - 26/7/2024, tại Hà Nội, Văn phòng Chính phủ đã tổ chức Hội nghị tập huấn giải pháp chia sẻ dữ liệu trên Trục liên thông văn bản quốc gia. Tại Hội nghị, báo cáo viên của Cục Chứng thực số và Bảo mật thông tin, Ban Cơ yếu Chính phủ đã hướng dẫn, tuyên truyền tới các Bộ, ngành, địa phương những quy định mới về chữ ký số chuyên dùng công vụ, hướng dẫn ký tắt điện tử đối với dự thảo văn bản trình Chính phủ, Thủ tướng Chính phủ.
15:00 | 05/08/2024