Theo Security Magazine, hơn 22 tỷ hồ sơ đã bị lộ trong hơn 4.000 vụ vi phạm dữ liệu được tiết lộ công khai vào năm ngoái. Tuy nhiên, con số thực tế thậm chí có thể còn cao hơn, vì nhiều vụ vi phạm dữ liệu đã không được báo cáo công khai.
Tầm quan trọng của việc thực hiện các biện pháp phòng ngừa để ngăn chặn vi phạm dữ liệu đã được rất nhiều tổ chức/doanh nghiệp, các chuyên gia an toàn thông tin thảo luận và đưa ra những khuyến nghị như tập trung vào việc sử dụng công nghệ VPN để ngăn chặn tội phạm mạng đánh cắp dữ liệu. Tuy nhiên, trên thực tế có rất nhiều giải pháp hiệu quả khác có thể giúp các tổ chức/doanh nghiệp ngăn ngừa vi phạm dữ liệu nhưng ít được chú ý.
Một chiến lược cũng được nhiều chuyên gia khuyến nghị sử dụng trong việc ngăn chặn vi phạm dữ liệu là sử dụng giải pháp phân chia nhiệm vụ (Separation of duties - SoD). Vậy SoD là gì và nó có vai trò quan trọng đối với các tổ chức/doanh nghiệp đang cố gắng bảo vệ dữ liệu của họ như thế nào?
SoD là một biện pháp bảo mật có thể giúp ngăn ngừa gian lận và giảm thiểu sai sót bằng cách đảm bảo rằng không có một cá nhân nào có quá nhiều quyền kiểm soát đối với một quy trình hoạt động.
Logic đằng sau giải pháp SoD là việc một người khó có thể hoàn thành tốt nhiệm vụ của mình nếu họ phải thực hiện kiêm nhiệm quá nhiều công việc, nhiệm vụ cùng một lúc. Ví dụ, trong một giao dịch tài chính, người thực hiện giao dịch không nên là người phê duyệt.
Bằng cách đảm bảo rằng những người khác nhau chịu trách nhiệm về các khía cạnh khác nhau của một quy trình, việc phân chia rõ ràng các nhiệm vụ cho từng người sẽ khiến một người nào đó khó thực hiện hành vi gian lận hoặc mắc lỗi mà không bị phát hiện.
Theo số liệu của Verizon, ít nhất 34% các vụ vi phạm dữ liệu là liên quan đến các tác nhân nội bộ, do đó, các biện pháp SoD có thể rất quan trọng đối với các tổ chức/doanh nghiệp.
Trong nhiều tổ chức, việc phân chia nhiệm vụ được thực hiện thông qua các biện pháp kiểm soát truy cập dựa trên vai trò, điều này sẽ đảm bảo rằng người dùng chỉ được truy cập vào lĩnh vực phù hợp với vai trò và nhiệm vụ của họ.
Ví dụ: một thủ quỹ có thể chỉ có thể thực hiện các giao dịch, trong khi một người quản lý sẽ có thể phê duyệt chúng.
Lợi ích của việc sử dụng SoD
SoD là một biện pháp an ninh quan trọng có thể giúp cải thiện tính chính xác và tính toàn vẹn của các quy trình trong tổ chức/doanh nghiệp. Có rất nhiều lợi ích khi triển khai SoD tại nơi làm việc. Dưới đây là một số lý do mà giao thức này hiệu quả trong việc ngăn chặn vi phạm và gian lận dữ liệu.
Ngăn ngừa gian lận
Có lẽ lợi ích quan trọng nhất của giải pháp này là nó có thể giúp ngăn ngừa sai sót và gian lận.
Gian lận có thể được thực hiện theo nhiều cách khác nhau. Nhân viên có thể cố tình đánh cắp và bán dữ liệu, điều này sẽ khiến công ty gặp nhiều rủi ro. Đặc biệt, đối với các vi phạm dữ liệu có chủ ý được thực hiện bởi chính những người nội bộ là một mối đe dọa lớn đối với các tổ chức/doanh nghiệp trong thời đại số.
Do đó, việc đảm bảo rằng mỗi người chịu trách nhiệm về các khía cạnh khác nhau của một quy trình, SoD khiến một người nào đó khó thực hiện hành vi gian lận hoặc mắc lỗi mà không bị phát hiện.
Nâng cao hiệu quả
Một lợi ích thiết yếu khác của SoD là nó có thể giúp cải thiện hiệu quả hoạt động của tổ chức. Khi những người khác nhau chịu trách nhiệm cho các nhiệm vụ khác nhau, phù hợp với trình độ chuyên môn của mỗi người và họ cũng có thể tập trung hơn cho nhiệm vụ đó thì hiệu quả hoạt động đạt được sẽ cao hơn. Điều này có thể dẫn đến những cải thiện tổng thể về hiệu quả của các quy trình hoạt động của tổ chức/doanh nghiệp.
Nâng cao trách nhiệm giải trình
SoD cũng có thể cải thiện trách nhiệm giải trình trong một tổ chức/doanh nghiệp. Khi những người khác nhau chịu trách nhiệm cho các phần khác của quy trình, việc xác định ai là người chịu trách nhiệm cho bất kỳ lỗi hoặc vấn đề nào sẽ dễ dàng hơn. Điều này sẽ giúp cải thiện và nâng cao trách nhiệm giải trình trong tổ chức.
Nâng cao tinh thần trách nhiệm
SoD cũng có thể giúp nâng cao tinh thần trách nhiệm của nhân viên. Với việc phân chia nhiệm vụ cho từng cá nhân cụ thể, phù hợp với năng lực và chuyên môn của họ sẽ khiến nhân viên cảm thấy có trách nhiệm hơn với công việc của mình, đồng thời cũng sẽ tạo cho họ động lực làm việc tích cực hơn. Đó là điều cực kỳ quan trọng và cần thiết đối với một tổ chức/doanh nghiệp.
Nâng cao sự an toàn
Cuối cùng, SoD có thể giúp tổ chức/doanh nghiệp tạo ra văn hóa an toàn tại nơi làm việc. Bằng cách đảm bảo rằng không có cá nhân nào có quá nhiều quyền kiểm soát một quy trình, SoD giúp tạo ra một môi trường bình đẳng và an toàn cho toàn bộ nhân viên, đồng thời cũng ngăn ngừa được tình trạng lạm quyền của bất kỳ một cá nhân nào đó.
Cách triển khai SoD trong tổ chức/doanh nghiệp
Để triển khai giải pháp SoD trong một tổ chức/doanh nghiệp, trước tiên, cần xác định các quy trình quan trọng mà tổ chức đó sẽ được hưởng lợi từ SoD. Đây thường là các quy trình liên quan đến các giao dịch tài chính hoặc dữ liệu nhạy cảm. Khi đã xác định được các quy trình quan trọng này, tổ chức/doanh nghiệp cần xác định những nhiệm vụ nào cần được tách biệt và ai sẽ chịu trách nhiệm cho từng công việc và nhiệm vụ đó.
Tiếp theo, tổ chức/doanh nghiệp phải đặt ra các quy trình cần thiết để đảm bảo việc phân chia nhiệm vụ đầy đủ và hợp lý. Điều này có thể liên quan đến việc triển khai các biện pháp kiểm soát truy cập dựa trên vai trò hoặc tạo các chính sách và thủ tục mới.
Cuối cùng, tổ chức cần đào tạo nhân viên của mình về các yêu cầu SoD mới và đảm bảo rằng họ hiểu cách tuân thủ các yêu cầu đó.
Việc triển khai SoD có thể gặp một chút khó khăn trong việc xác định và phân chia nhiệm vụ cho từng người một cách phù hợp nhất, nhưng đó là một giải pháp có thể mang lại hiệu quả trong việc ngăn ngừa sai sót và gian lận, đồng thời nâng cao hiệu quả hoạt động và trách nhiệm giải trình trong một tổ chức/doanh nghiệp.
Trần Thanh Tùng
(theo smartdatacollective)
16:00 | 19/07/2022
10:00 | 21/02/2023
15:00 | 03/06/2021
10:00 | 07/06/2021
17:00 | 08/12/2021
13:00 | 17/02/2021
10:00 | 20/09/2023
ChatGPT và các mô hình ngôn ngữ lớn (LLM) tương tự đã làm tăng thêm độ phức tạp trong bối cảnh mối đe dọa trực tuyến ngày càng gia tăng. Tội phạm mạng không còn cần các kỹ năng mã hóa nâng cao để thực hiện gian lận và các cuộc tấn công gây thiệt hại khác chống lại các doanh nghiệp và khách hàng trực tuyến nhờ vào bot dưới dạng dịch vụ, residential proxy, CAPTCHA và các công cụ dễ tiếp cận khác. Giờ đây, ChatGPT, OpenAI và các LLM khác không chỉ đặt ra các vấn đề đạo đức bằng cách đào tạo các mô hình của họ về dữ liệu thu thập trên Internet mà LLM còn đang tác động tiêu cực đến lưu lượng truy cập web của doanh nghiệp, điều này có thể gây tổn hại lớn đến doanh nghiệp đó.
14:00 | 02/08/2023
Ngày nay, nhiều tổ chức/doanh nghiệp (TC/DN) đã nhận thức được việc chuyển khối lượng công việc lên đám mây sẽ an toàn hơn là tại cơ sở. Phần lớn cho rằng nhà cung cấp dịch vụ đám mây (CSP) sẽ chịu trách nhiệm về bảo mật. Tuy nhiên, để có được điều này thì cần phải có các bước quan trọng để đảm bảo tính bảo mật của nó.
11:00 | 27/01/2023
Các tổ chức/doanh nghiệp nên thực hiện quản lý rủi ro trong suốt chu trình phát triển phần mềm thay vì quay trở về các xu hướng phát triển trước đó. Tần suất xuất hiện rủi ro sẽ tiếp tục tăng nhanh khi các tác động tiêu cực của các lỗi xuất hiện trong chu trình phát triển phần mềm ngày càng nghiêm trọng. Các phương pháp và cách thực hành trước đây về thực hiện quản trị, rủi ro và tuân thủ (GRC) đều xoay quanh các quy trình thủ công, sử dụng bảng tính hoặc nhận dạng hồi tố,… đã quá lỗi thời, không thể bắt kịp với sự phát triển nhanh chóng của công nghệ. Kết quả là, các doanh nghiệp đã đưa quản lý rủi ro vào thời đại kỹ thuật số, biến GRC thành quản lý rủi ro kỹ thuật số (DRM). Những DRM được áp dụng đó đưa ra các quyết định bảo mật tốt hơn, bảo vệ dữ liệu khách hàng và đảm bảo sự hài lòng của các bên liên quan. Việc thực hiện DRM cũng dẫn đến hiệu quả cao hơn thông qua tự động hóa.
15:00 | 15/11/2022
Cùng với sự phát triển của internet, số lượng người dùng trực tuyến tại Việt Nam gia tăng nhanh chóng, cho phép người dùng chia sẻ, trao đổi thông tin, kết nối toàn cầu. Điều này kéo theo việc tội phạm trên không gian mạng gia tăng lừa đảo trực tuyến với các phương thức thủ đoạn, đa dạng, tinh vi, gây hậu quả khó lường. Trong quá trình chuyển đổi số phát triển công nghệ thông tin luôn song hành cùng an toàn, an ninh mạng. Việc nâng cao nhận thức về sử dụng internet an toàn sẽ là cách tốt nhất để hạn chế rủi ro tấn công lừa đảo trực tuyến.
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
09:00 | 24/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023