Các đại biểu và người tham dự chụp ảnh lưu niệm tại Diễn đàn

Tại Diễn đàn, những câu hỏi về Chứng chỉ điện toán đám mây (Cloud Certification) đã được ông Hing-Yan LEE - Phó chủ tịch điều hành CSA APAC và ông Nguyễn Trung Luận - Giám đốc kinh doanh của Công ty cổ phần tin học Mi Mi (Mi2 JSC) giải đáp chi tiết trước hơn 300 khách mời. Qua cuộc đối thoại giữa các chuyên gia điện toán đám mây, người tham dự diễn đàn đã hiểu được tầm quan trọng của các chứng chỉ điện toán đám mây trong kỷ nguyên đám mây đang phát triển mạnh mẽ. Dưới đây, Tạp chí An toàn thông tin trích dẫn lại cuộc đối thoại này.

Ông Hing-Yan LEE: Tại sao việc cấp chứng chỉ về dịch vụ đám mây lại quan trọng đối với nhà cung cấp dịch vụ và hữu ích với khách hàng sử dụng đám mây?

Ông Nguyễn Trung Luận: Một chứng chỉ được đánh giá độc lập bởi bên thứ ba (tổ chức chứng nhận - Certification Bodies) cho phép các nhà cung cấp dịch vụ trên nền tảng điện toán đám mây (Cloud Service Provider – CSP) chứng minh các dịch vụ của họ đáp ứng và tuân theo các chuẩn mực chung của quốc tế (hoặc của khu vực, ngành). Chứng chỉ là lợi thế và dấu hiệu nhận diện của nhà cung cấp dịch vụ trong việc đảm bảo cam kết cho người dùng.

Ông Hing-Yan LEE: Các tiêu chuẩn và chứng chỉ hỗ trợ như thế nào đối với việc thúc đẩy sử dụng đám mây?

Ông Nguyễn Trung Luận: Các tiêu chuẩn là yếu tố cần thiết cho sự phát triển của điện toán đám mây, cho phép tương tác và giải quyết trở ngại trong việc tiếp cận và sử dụng đám mây chẳng hạn như lo ngại về an toàn dữ liệu. Nhà cung cấp dịch vụ điện toán đám mây nếu không có hoặc thiếu mô tả các hoạt động chuẩn theo chuẩn mực được qui định thì người dùng rất khó trong việc xác định, so sánh và chọn lựa chính xác nhà cung cấp và dịch vụ được cung cấp phù hợp với nhu cầu của mình, và đó là thiệt hại không chỉ cho một phía.

Các tiêu chuẩn được xây dựng, phổ biến rộng rãi với mục đích thúc đẩy tính minh bạch trong quan hệ giữa nhà cung cấp và khách hàng qua việc thống nhất định nghĩa, thuật ngữ chặt chẽ và chi tiết cùng với các điều khoản, yêu cầu và bộ khung (framework) thống nhất. Việc tuân thủ các tiêu chuẩn cũng giúp doanh nghiệp xây dựng niềm tin đối với khách hàng và các cổ đông, thể hiện lợi thế cạnh tranh, bảo vệ thương hiệu/danh tiếng và quan trọng nhất là đảm bảo an toàn cho dữ liệu mà họ có trách nhiệm bảo vệ. Điều này vượt xa hơn so với việc chỉ đơn thuần là đạt được chứng chỉ.

Ông Hing-Yan LEE: Là một chuyên gia với 20 năm kinh nghiệm trong ngành an toàn thông tin, ông đã đạt được những chứng chỉ như: CCSP, CRISC, CISA, ISSAP, CISSP, Certified Ethical Hacker (CEH), CCSE+ và Lead Auditor ISO 27001, vậy theo ông, chứng chỉ dịch vụ đám mây nào mà ông muốn đề xuất?

Ông Nguyễn Trung Luận: Trước khi có điện toán đám mây, ISO 27001 và các hướng dẫn trong ISO 27002 là tiêu chuẩn vàng cho quản lý an toàn thông tin. Những tiêu chuẩn này là nền tảng và được xây dựng dựa trên giả định rằng các tổ chức sẽ tự xử lý thông tin. Xu hướng sử dụng các dịch vụ như Managed Service và sử dụng/thuê các dịch vụ (hạ tầng, ứng dụng) của các nhà cung cấp dịch vụ Cloud đã thách thức giả định trên vì trách nhiệm về an toàn dữ liệu và các yếu tố tuân thủ được chia sẻ giữa nhà cung cấp dịch vụ và tổ chức. Điều này không có nghĩa là các tiêu chuẩn và hướng dẫn không phù hợp để áp dụng cho môi trường điện toán đám mây, mà cần được điều chỉnh, bổ sung để áp dụng phù hợp đối với trường hợp thông tin được xử lý ngoài phạm vi của tổ chức.

Hai tiêu chuẩn hàng đầu cho đám mây đã được áp dụng nhiều trên thế giới là ISO 27017 và CSA STAR. Tiêu chuẩn ISO/IEC 27017:2015 cung cấp thêm các hướng dẫn triển khai cho việc cung cấp và sử dụng các dịch vụ đám mây. CSA STAR là chương trình bổ sung cho ISO 27001 với ba cấp bậc của sự đảm bảo (tự đánh giá, chứng nhận từ bên thứ ba và kiểm toán liên tục) và đặc biệt hướng tới hỗ trợ và đánh giá dịch vụ của các CSP.

Ông Hing-Yan LEE: Hai chứng chỉ dịch vụ đám mây hàng đầu mà ông đã đề cập có những lợi ích như thế nào?

Ông Nguyễn Trung Luận: CSA STAR dựa trên 3 hướng dẫn:

1. CSA Cloud Controls Matrix (CCM) – Bộ khung các biện pháp an toàn cho đám mây và ánh xạ các biện pháp này với các tiêu chuẩn an toàn phổ biến khác như PCI/DSS, HIPPA, COBIT.…

2. Consensus Assessments Initiative Questionnaire (CAIQ) – Bộ câu hỏi đúng/sai mà khách hàng hoặc kiểm toán viên có thể sử dụng để hỏi nhà cung cấp dịch vụ về mức độ đáp ứng của họ so với CCM.

3. CSA Code of Conduct for GDPR Compliance – Bộ công cụ hỗ trợ cho CSP tuân thủ tiêu chuẩn GDPR.

CSP có thể sử dụng các công cụ này để tự đánh giá và công bố công khai hoặc/và lấy chứng chỉ CSA STAR thông qua một tổ chức chứng nhận.

ISO 27017:2015 là bộ hướng dẫn dựa trên ISO 27002, bổ sung các biện pháp bảo vệ và hướng dẫn các tổ chức cung cấp sản phẩm, dịch vụ trên nền điện toán đám mây để đảm bảo an toàn, bảo vệ thông tin được lưu trữ hoặc/và xử lý trên đám mây. ISO 27017 phân định rõ vai trò của CSP và khách hàng trong vấn đề đảm bảo an toàn, xác định ai chịu trách nhiệm áp dụng các biện pháp gì, làm thế nào để loại bỏ hay trả lại tài sản thông tin một cách an toàn khi chấm dứt hợp đồng, giám sát hoạt động trên đám mây.…

Người dùng dịch vụ đám mây để phát triển các sản phẩm dich vụ có thể căn cứ các hướng dẫn trong ISO 27017 để kiện toàn Hệ thống quản lý bảo mật thông tin (Information Security Management System - ISMS) sẵn có với các các biện pháp bảo vệ liên quan tới đám mây. ISO 27017 là một chứng chỉ về tuân thủ và cần phải đi kèm với chứng nhận ISO 27001 có phạm vi tương tứng.

Ông Hing-Yan LEE: Nếu được chọn lựa, loại chứng chỉ đám mây nào mà ông muốn giới thiệu để Việt Nam sử dụng và vì sao?

Ông Nguyễn Trung Luận: Nhìn chung, ISO 27017 sẽ hữu dụng cho doanh nghiệp định chuyển dữ liệu lên đám mây hoặc chia sẻ dữ liệu trong đám mây. CSA STAR có phần hoàn thiện hơn và phù hợp cho các CSP.

CSP có thể cân nhắc áp dụng cả ISO 27017 và CSA STAR, nên ưu tiên ISO 27017 trước rồi áp dụng tiếp CSA STAR như mục tiêu dài hạn. ISO 27017 và CSA STAR đều có nhiều điểm tương đồng nên một tổ chức có thể đạt được cả hai chứng chỉ mà không tốn thêm quá nhiều chi phí và công sức.

Ông Hing-Yan LEE - Phó chủ tịch điều hành CSA APAC và ông Nguyễn Trung Luận - Giám đốc kinh doanh của Công ty cổ phần tin học Mi Mi 

Ông Hing-Yan LEE: Ông có nghĩ rằng Việt Nam nên chấp nhận các chứng chỉ đám mây?

Ông Nguyễn Trung Luận: Việt Nam đứng thứ 24 trong tổng số 24 quốc gia dẫn đầu về Công nghệ thông tin theo như Xếp hạng Thẻ điểm điện toán đám mây của Liên minh Phần mềm (BSA) năm 2018 và tiếp tục ở vị trí cuối kể từ khi bảng đánh giá được tung ra. Điều này cho thấy, môi trường điện toán đám mây tại Việt Nam cần có những đổi mới hơn. Chính phủ Việt Nam đã đầu tư lớn vào việc nâng cấp hệ thống cơ sở hạ tầng CNTT quốc gia và đưa ra một số điều kiện thuận lợi và ưu đãi thuế để phát triển các trung tâm dữ liệu tại Việt Nam. Cho dù có luật quy định về nội địa hóa dữ liệu, Việt Nam vẫn phải bắt buộc kết nối và cạnh tranh với các quốc gia khác. Như vậy, các trung tâm dữ liệu cũng như hệ thống công nghệ thông tin cần phải đáp ứng các tiêu chuẩn quốc tế. Các tổ chức ở Việt Nam nên xem xét các chứng chỉ như ISO 27017 hay CSA STAR. Nếu tổ chức phải tuân thủ quy định về bảo vệ thông tin cá nhân thì xem xét lấy thêm chứng chỉ ISO27018.

Ông Hing-Yan LEE: Vai trò của Công ty Mi2 trong việc hiện thực hóa những mong muốn này?

Ông Nguyễn Trung Luận: Công ty Mi2 được thành lập từ 2007, chuyên cung cấp dịch vụ tư vấn về an toàn thông tin. Mi2 đã sẵn sàng hỗ trợ các tổ chức đạt chứng chỉ ISO 27017, với các tư vấn quan trọng như phân tích GAP, đánh giá rủi ro, lên kế hoạch khắc phục cũng như đánh giá mức độ sẵn sàng của khách hàng trước khi chính thức đánh giá và lấy chứng chỉ ISO 27017.