Do các quy định an toàn thông tin mới như Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh Châu Âu, Đạo luật Quyền riêng tư Người tiêu dùng của California (California Consumer Privacy Act - CCPA) và Luật Bảo vệ Dữ liệu chung (General Data Protection Law - LGPD) của Brazil nên việc hiểu biết dữ liệu mà các TC/DN lưu trữ và phân tích ngày càng trở nên khẩn thiết hơn. Các quy định an toàn thông tin nhưng đồng thời áp lực trích xuất nhiều giá trị hơn từ thông tin lưu trữ đòi hỏi các TC/DN phải chú trọng đến việc đảm bảo quyền riêng tư dữ liệu.
Trước đây, các TC/DN đã quan tâm đầu tư vào công nghệ kiểm kê tài sản vật lý nhưng lại thiếu công nghệ thích hợp để tìm kiếm, lập bản đồ và kiểm kê tài sản dữ liệu. Cân bằng giữa xu thế trở thành một TC/DN hướng dữ liệu và yêu cầu đảm bảo quản trị dữ liệu tôn trọng quyền riêng tư đang trở thành một mối quan tâm chiến lược. Tuy nhiên, các công cụ phân loại và kiểm kê dữ liệu truyền thống đơn giản là thiếu khả năng cần thiết để tìm kiếm, lập bản đồ và kiểm kê tài sản dữ liệu một cách chính xác, hiệu quả trong thời đại mới với GDPR và các quy định an toàn thông tin khác. TC/DN cần đảm bảo rằng, các hành động nhằm truy cập, phân tích và chia sẻ dữ liệu luôn phải song hành với những cân nhắc về sự tuân thủ, rủi ro và quyền riêng tư.
Các TC/DN có thể bắt đầu xây dựng sổ đăng ký dữ liệu hiện đại bằng một tiếp cận mới đối với khai phá dữ liệu, đó là tập trung tạo một danh sách đầy đủ, bao gồm dữ liệu nào được lưu giữ ở đâu và với mục đích gì. Với cách tiếp cận mới này, các tổ chức có thể đáp ứng tốt hơn các yêu cầu về quyền riêng tư, đảm bảo an toàn và quản trị dữ liệu.
Các TC/DN cần phải bắt đầu với những điều cơ bản. Một sổ đăng ký dữ liệu hiện đại không thể là một kho dữ liệu, với việc chỉ đơn giản là sao chép dữ liệu mà nó ánh xạ và đưa ra giới hạn về quy mô. Thay vào đó, các TC/DN nên xây dựng sổ đăng ký với một bản đồ có chỉ mục, tập trung vào năm chức năng và đặc điểm hoạt động chính sau:
Mức độ chi tiết của nội dung: Các quy định về quyền riêng tư yêu cầu các TC/DN giải trình về dữ liệu họ thu thập, tức là chỉ cần biết loại dữ liệu nào họ thu thập là chưa đủ. Các TC/DN cần biết họ có dữ liệu gì và dữ liệu đó thuộc về ai. Quyền riêng tư là về con người, vì vậy biết về yếu tố “con người” của dữ liệu là rất cần thiết để đáp ứng các yêu cầu về quyền riêng tư.
Bối cảnh sử dụng: Biết dữ liệu là gì và của ai là bước quan trọng đầu tiên, nhưng tạo ra một sổ đăng ký dữ liệu hiện đại với thông tin, dữ liệu thông minh (data intelligence) hoàn chỉnh là bước tiếp theo. Điều này đòi hỏi kiến thức vận hành, kỹ thuật và nghiệp vụ. Chẳng hạn như ai có quyền truy cập dữ liệu, những ứng dụng nào đang sử dụng dữ liệu, bên thứ ba nào có quyền truy cập dữ liệu và liệu tổ chức có được sự đồng thuận thích đáng trong việc thu thập và xử lý dữ liệu hay không.
Phạm vi bao quát nguồn dữ liệu: Sổ đăng ký dữ liệu chỉ bao gồm các tập tin không có cấu trúc hoặc cơ sở dữ liệu quan hệ thì sẽ không cung cấp được bản kiểm kê dữ liệu đầy đủ. Với số lượng nguồn dữ liệu và ứng dụng được sử dụng trong toàn bộ TC/DN ngày căng gia tăng, thì cần tạo ra một quy trình bao quát được cả những chia sẻ tập tin không có cấu trúc và cơ sở dữ liệu có cấu trúc, dữ liệu lớn, đám mây, NoSQL, nhật ký, thư điện tử, tin nhắn, ứng dụng...
Khả năng mở rộng quy mô: Các TC/ DN thường tập hợp và phân tích hàng chục, thậm chí hàng trăm PB (1 PB = 1.024 TB) dữ liệu. Với áp lực ngày càng gia tăng trong việc trích xuất nhiều giá trị từ dữ liệu hơn, thì con số đó sẽ còn tăng cao hơn nữa. Sổ đăng ký dữ liệu hiện đại cần cung cấp cách chỉ mục dữ liệu hiệu quả cũng như việc sử dụng dữ liệu liên quan và phải thực hiện với phương thức mà có thể mở rộng sang quy mô một TC/DN toàn cầu.
Không cố định: Khi sổ đăng ký dữ liệu được tạo ra, các tổ chức phải biết trước rằng nó sẽ được thay đổi và di chuyển không ngừng. Do đó, sổ đăng ký phải có khả năng tự cập nhật và điều chỉnh với mọi thay đổi theo gần với thời gian thực để cung cấp bức tranh toàn cảnh rõ ràng và chính xác nhất về việc dữ liệu nào được lưu giữ ở đâu, khi nào và thuộc về ai.
Sau khi nền tảng chức năng và hoạt động của sổ đăng ký dữ liệu hiện đại được xây dựng, đó là lúc tạo một bản kế toán và kiểm kê đầy đủ các tài sản dữ liệu được phân phối của TC/DN. Điều này yêu cầu thông tin tình báo dữ liệu của cả những giá trị thực thể rời rạc - điều không thể làm chỉ với siêu dữ liệu. Để có được mức dữ liệu này, yêu cầu một phương thức tiếp cận kết hợp giữa khai phá nội dung và bối cảnh hóa có thể đạt được bằng cách xem xét bốn yêu cầu chính sau:
Khai phá và giải quyết thực thể: Để có được mức độ thông tin tình báo dữ liệu cần thiết nhằm đảm bảo quyền riêng tư và an toàn thông tin, cần một cơ chế khai phá dữ liệu mà có thể trích xuất và giải quyết các thực thể dữ liệu dựa trên các giá trị dữ liệu, bất kể dữ liệu đó được lưu trữ cấu trúc, không có cấu trúc hoặc bán cấu trúc. Các tổ chức cũng cần triển khai hệ thống quét mà có thể phân biệt dữ liệu gần giống nhau dựa trên bối cảnh. Ví dụ, hệ thống có thể phân biệt số an sinh xã hội với số ID tài khoản, mặc dù cả hai có thể có cùng giá trị.
Tương quan và bối cảnh đầu vào: Cần nhấn mạnh rằng quyền riêng tư là về con người. Để tuân thủ các quy định về quyền riêng tư, các TC/ DN cần giải trình được dữ liệu của họ và cho biết mối tương quan hoặc liên kết của dữ liệu với chủ thể dữ liệu. Điều này phải được phản ánh trong sổ đăng ký dữ liệu hiện đại. Ngoài việc cần thiết đối với quyền riêng tư, điều này cũng có thể cung cấp thêm một mức độ hiểu biết về tính kết nối của dữ liệu với các định danh có giá trị cao như ID giao dịch, ID tài khoản và ID bằng sáng chế.
Phân loại thực thể theo Loại và Danh mục: Để xây dựng sổ đăng ký dữ liệu hiện đại cần phải sử dụng nhiều hơn là các công cụ phân loại truyền thống. Sổ đăng ký dữ liệu hiện đại phải có độ chi tiết cấp thực thể với yêu cầu phân loại tốt hơn. Nếu được xây dựng bằng trí tuệ nhân tạo hoặc học máy thì sẽ hỗ trợ mở rộng cách nhận biết dữ liệu với các cách phân loại và suy luận.
Thu thập và lập danh mục siêu dữ liệu: Mặc dù danh mục siêu dữ liệu đơn thuần là không thực sự cần thiết khi xét theo quan điểm xây dựng sổ đăng ký dữ liệu nhưng chúng vẫn cung cấp giá trị vì có thể lưu lại nơi chứa các danh mục dữ liệu. Điều này giúp phân loại chính xác các thực thể dữ liệu và xác định vị trí cần ưu tiên để tìm kiếm sâu hơn. Thách thức nằm ở việc phải dựa vào thẻ nhãn và chú thích của con người vì lỗi của con người khiến dữ liệu này trở nên bí mật đến mâu thuẫn. Vì vậy, trong khi siêu dữ liệu kỹ thuật là quan trọng thì cũng cần nắm bắt bối cảnh hoạt động và nghiệp vụ như quyền truy cập, mục đích sử dụng hoặc sự đồng thuận.
Có thể nói, cách duy nhất để tuân thủ các quy định về quyền riêng tư như GDPR và CCPA là các TC/DN có khả năng giải trình dữ liệu họ lưu trữ và những cá nhân sở hữu dữ liệu đó hay không.
Để xây dựng sổ đăng ký dữ liệu hiện đại cần nhìn xa hơn việc phân loại và lập danh mục dữ liệu một cách đơn giản để thể hiện mối tương quan và liên kết của dữ liệu với chủ thể dữ liệu. Điều này có nghĩa là cần phải cung cấp một mức độ hiểu biết mới về tính kết nối của dữ liệu với các định danh có giá trị cao, dù chúng nằm tại trung tâm dữ liệu hoặc trên đám mây.
Đỗ Đoàn Kết (Theo Tạp chí INSecure, số 62)
14:00 | 20/01/2021
07:00 | 18/01/2021
10:00 | 12/01/2021
13:00 | 30/07/2024
Trong thế giới số hiện nay, việc nhận thức về cách các công ty thu thập và sử dụng dữ liệu của người dùng trở nên quan trọng hơn bao giờ hết. Nếu dữ liệu cá nhân rơi vào tay kẻ xấu, người dùng có thể trở thành nạn nhân của việc gian lận và bị đánh cắp danh tính. Dưới đây là năm lời khuyên để bảo vệ quyền riêng tư dữ liệu cho người dùng.
08:00 | 07/05/2024
Sự phổ biến của các giải pháp truyền tệp an toàn là minh chứng cho nhu cầu của các tổ chức trong việc bảo vệ dữ liệu của họ tránh bị truy cập trái phép. Các giải pháp truyền tệp an toàn cho phép các tổ chức bảo vệ tính toàn vẹn, bí mật và sẵn sàng cho dữ liệu khi truyền tệp, cả nội bộ và bên ngoài với khách hàng và đối tác. Các giải pháp truyền tệp an toàn cũng có thể được sử dụng cùng với các biện pháp bảo mật khác như tường lửa, hệ thống phát hiện xâm nhập (IDS), phần mềm chống virus và công nghệ mã hóa như mạng riêng ảo (VPN). Bài báo sẽ thông tin tới độc giả những xu hướng mới nổi về chia sẻ tệp an toàn năm 2024, từ các công nghệ, giải pháp nhằm nâng cao khả năng bảo vệ dữ liệu trước các mối đe dọa tiềm ẩn.
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024
