CSO là gì? Công việc của một CSO

CSO còn gọi là CISO (Giám đốc bảo mật thông tin, Chief information security officer), khác với CIO (giám đốc công nghệ, Chief information officer).

Giới thiệu về giám đốc an ninh/giám đốc bảo mật thông tin

Giám đốc an ninh chịu trách nhiệm an toàn cho sự vận hành của toàn hệ thống, bao gồm an toàn vật lý và cả an toàn thông tin số liệu. CSO phụ trách giám sát, điều tiết công tác an ninh trong nội bộ doanh nghiệp, bao gồm công nghệ thông tin, nguồn nhân lực, trao đổi thư tín, tính quy chuẩn, quản lý thiết bị và các tổ chức khác. CSO còn phải phụ trách xây dựng các biện pháp và tiêu chuẩn an toàn. CSO phải thường xuyên tổ chức hoặc tham gia hoạt động của các lĩnh vực liên quan, như tham gia thảo luận về tính liên tục trong nghiệp vụ, dự phòng tổn thất, phòng tránh lừa đảo và bảo mật quyền riêng tư.

Giám đốc bảo mật thông tin, tức CISO phụ trách chiến lược an ninh cho toàn bộ cơ cấu. CISO phải thường xuyên báo cáo cho CIO, đôi khi phải báo cáo trực tiếp lên CEO.

Trên thực tế thì vai trò của giám đốc an ninh và giám đốc bảo mật thông tin thường xuyên thay thế cho nhau.

Sự ra đời của giám đốc an ninh

Vì nhiều lý do mà khiến các vấn đề an ninh nổi cộm, cần một tổ chức độc lập đứng ra bảo vệ, từ đó xuất hiện CSO:

1. Về tầng chiến thuật, công nghệ đang dần đi vào các công cụ an ninh vật lý đồng thời chúng không ngừng được điều khiển bới kỹ thuật kho dữ liệu và công nghệ mạng.
2. Về tầng chiến lược, CEO và Hội đồng quản trị của công ty sẽ căn cứ một số quy định, như đạo luật Sarbanes-Oxley, để kiểm soát rủi ro doanh nghiệp.
3. Về thao tác thực tế, CSO thống nhất quản lý vấn đề an ninh có thể giảm rõ rệt chi phí vận hành công ty.

Chức năng của giám đốc an ninh

Chiến lược an ninh sẽ thay đổi căn cứ vào nhu cầu của doanh nghiệp, cho dù doanh nghiệp khác nhau có chiến lược an ninh khác nhau nhưng thông thường phải có nhữg chức năng sau:

1. Kiểm soát nhà cung cấp hệ thống và dịch vụ an ninh, do bên cung cấp dịch vụ phụ trách bảo vệ tài sản, quyền sở hữu trí tuệ và hệ thống máy tính của doanh nghiệp.
2. Đảm bảo mục tiêu và chế độ bảo vệ đồng nhất với kế hoạch chiến lược của công ty.
3. Xây dựng và thực hiện chính sách, tiêu chuẩn an ninh, phương châm chỉ đạo và quy trình thực hiện an ninh khu vực và toàn cầu, đảm bảo liên tục giải quyết vấn đề an ninh. Nhiệm vụ bảo vệ thông tin bao gồm: hệ thống an ninh mạng, giám sát truy cập và chính sách mạng, đào tạo nhân viên v.v…
4. Giống như điều tra lỗ hổng an ninh, kiểm soát toàn diện kế hoạch phản hồi sự kiện, nếu cần thiết phải giúp đỡ đội ngũ phát hiện lỗ hổng an ninh cải thiện kế hoạch đào tạo và những việc liên quan tới pháp luật.
5. Giống như cố vấn thẩm tra an ninh độc lập, làm việc với cố vấn an ninh đối ngoại.
6. Xây dựng sách lược quản lý rủi ro một cách toàn diện và đảm bảo việc thực hiện sách lược đó. Biết những rủi ro hiện có và có thể có, khi cần thiết căn cứ vào sự thay đổi của rủi ro mà điều chỉnh chiến lược.
7. Giám sát việc sử dụng nội bộ các sản phẩm, đảm bảo sự liên hệ thông suốt giữa nhóm dự án và nhóm thực hiện, khi sản phẩm có vấn đề kịp thời phát hiện và giải quyết vấn đề.
8. Hoàn thiện sự hồi phục tai nạn/chiến lược nghiệp vụ mang tính liên tục, thông qua sự cố gắng của từng đơn vị độc lập, đảm bảo chúng ta có được kế hoạch và chiến lược toàn diện.
9. Trách nhiệm về an ninh vật lý bao gồm bảo vệ tài sản, đảm bảo an toàn nơi làm việc, an ninh hệ thống kiểm soát kết nối và giám sát camera.

Chức trách của giám đốc an ninh

1. Bắt đầu từ việc nâng cao trình độ ý thức của nhân viên, nắm rõ suy nghĩ của nhân viên, nâng cao tầm nhìn về an ninh của doanh nghiệp ở khu vực và toàn cầu.
2. Coi việc cung cấp sự an toàn là một loại tài nuyên và phương thức kiểm tra, không được vì nó mà ảnh hưởng tới sự vận hành bình thường của doanh nghiệp.
3. Khởi động các dự án quan trọng có ảnh hưởng mạnh mẽ tới doanh nghiệp.
4. Nghiên cứu cấp độ ưu tiên, tài sản và phân tích GAP, xác định phạm vi rủi ro và kế hoạch an ninh của doanh nghiệp.
5. Tránh vấn đề an ninh trở thành nút thắt cổ chai của sự phát triển năng lực sản xuất của doanh nghiệp.

CSO phải tránh những sai lầm sau

1. Cho rằng vấn đề an ninh chỉ là vấn đề kỹ thuật.
2. So sánh vấn đề vĩ mô với vấn đề vi mô.
3. Nghĩ rằng người dùng có hứng thú với vấn đề an ninh.
4. Nghĩ rằng người dùng rất hiểu về vấn đề an ninh.

Tiêu chuẩn của một giám đốc an ninh

Từ những chức trách kể trên, CSO có vai trò cực kỳ quan trọng trong doanh nghiệp, nên yêu cầu đối với một CSO cũng cần tương ứng với chức trách.

• CSO phải là người lý trí, giỏi diễn đạt, có khả năng thuyết phục, là thành viên tích cực trong đội ngũ quản lý cấp cao của doanh nghiệp. Hiểu về những khái niệm liên quan tới an ninh, kết nối được với nhân viên kỹ thuật và phi kỹ thuật.
• Có kinh nghiệm về kế hoạch thương mại, kiểm tra tài khoảng và quản lý rủi ro, có kinh nghiệm đàm phán hợp đồng,đàm phán thương mại.
•  Có hiểu biết nhất định về pháp luật, hiểu rõ công nghệ thông tin và an ninh thông tin, bao gồm tường lửa, VPNs, hệ thống phát hiện xâm nhập và các thiết bị an ninh khác.

Tố chất cơ bản cần có của một giám đốc an ninh

Khả năng quản lý

CSO phải xây dựng cơ chế an ninh, quy tắc an ninh, kết nối trao đổi với đội ngũ quản lý của doanh nghiệp tại sao phải có phương án an ninh như vậy, khả năng quản lý của CSO phải khiến những việc anh ta quyết định có thể làm được.

Cơ chế an ninh bao gồm cách bố trí tường lửa, IDS, IPS. Nhắm tới lỗ hổng mạng, thủ đoạn tấn công của hacker, CSO phải đặt ra quy tắc an ninh, để chủ quản các phòng ban trong công ty hiểu được phải làm gì, định kỳ kiểm tra và đánh giá sự an toàn của mỗi phòng ban.

Ví dụ như nghiệp vụ giao dịch trực tuyến ở ngân hàng, giá trị và thông tin tin tức của nghiệp vụ này tới từ công ty khác, ngân hàng muốn kịp thời có được những thông tin này thì cần phải liên kết với các công ty thứ ba khác nhau. Đồng thời ngân hàng cũng phải công khai nền tảng giao dịch để khách hàng đăng nhập, xem giá cả, mua bán cổ phiếu. Nghiệp vụ này rất phức tạp, liên quan tới đối ngoại, bên thứ ba và thông tin nội bộ quan trọng.

Nhận tin tức từ bên thứ ba, chỉ được để đối phương truyền tin vào, không được để bên thứ ba có tài liệu nội bộ của ngân hàng, phải kiểm soát một chiều, không được có sai sót trong quá trình trung gian. Nếu để hacker đột nhập, đăng thông tin giả, thị trường sẽ bị ảnh hưởng nghiêm trọng. Đảm bảo tài liệu của bên thứ ba không bị chỉnh sửa, đảm bảo sự gửi tin của bên thứ ba không bị gián đoạn, không chỉ là vấn đề về kỹ thuật. Nếu chỉ đơn giản suy nghĩ về an toàn kỹ thuật là không an toàn.

Đối ngoại, liên quan tới cách kiểm soát người dùng, cần phải đưa ra nguyên tắc. Ví dụ mỗi người dùng nhập sai mật khẩu 3 lần thì không được đăng nhập nữa, phải thông qua cách kiểm tra khác mới đăng nhập lại được. Nhưng quy tắc này không chỉ là đối ngoại mà đối nội cũng vật. Cũng cần phải suy tính tới vấn đề như khi người dùng đăng nhập rồi có cần IPS, tường lửa đề phòng tránh hacker không, máy chủ co cần sao lưu không.

Đối với kho dữ liệu của ngân hàng, nhân viên quản lý không thể thấy tư liệu cá nhân của người dùng, nhân viên chỉ có thể quản lý kho dữ liệu. Thật ra rất khó để thiết lập các quy tắc như giữa kho dữ liệu và máy chủ có cần hệ thống an ninh không, làm thế nào để bảo mật tư liệu người dùng.

CSO còn phải hiểu kỹ thuật

Đương nhiên, yêu cầu về kỹ thuật không cần phải quá cao, nhưng CSO phải biết lỗ hổng mới hiện có, sự tấn công mới là gì, dùng cách nào để bảo vệ, làm thế nào để đảm bảo an toàn.

Ví dụ một công ty cần mua tường lửa, CSO không chỉ cần biết tại sao phải cài tường lửa, làm cách nào để cài đặt, làm thế nào để máy chủ, đại lý chuyển thư tập trung tại một khu vực và tách rời với khu vực nội bộ, để đảm bảo khu vực nội bộ công ty được an toàn.

Hiện nay bắt đầu thịnh hành IPS, CSO phải biết cách sử dụng IPS, đặt ở đâu, những mạng nào là quan trọng, không được để hacker lọt vào, đó đều là những vấn đề kỹ thuật cần phải biết.

CSO cần phải có kiến thức toàn diện, hiểu sự vận hành của công ty, hiểu biết về pháp luật:

Ví dụ CSO của ngân hàng, mỗi bộ phận trong ngân hàng đều yêu cầu về an ninh khác nhau. CSO phải có kiến thức để hiểu. Kiến thức không phải chỉ kỹ thuật, CSO cần phải biết quy trình vận hành cụ thể của mỗi bộ phận, và dùng khả năng kỹ thuật của mình để đảm bảo an ninh cho từng bộ phận. Vấn đề pháp luật mà mỗi bộ phận có liên quan cũng khác nhau nên CSO cần phải có kiến thức về mặt này.