Cách đảm bảo sự bảo mật khi lưu trữ dữ liệu nhạy cảm trong đám mây

Phạm Thu Trang, Trịnh Đình Trọng| 08/11/2018 19:32
Theo dõi ICTVietnam trên

Hầu hết chúng ta đã sử dụng các dịch vụ ‘Đám mây’ và ‘SaaS’ ((Software-as-a-Service - Phần mềm như một dịch vụ) trong nhiều năm: AOL (khoảng năm 1993), Hotmail (1996), Yahoo! Mail (1997), Gmail (2004).

Kết quả hình ảnh cho How to ensure security when hosting sensitive corporate data in a cloud environment

Chúng ta không có phần mềm máy khách cục bộ trên máy tính của chúng tôi để truy cập các dịch vụ này; chúng tôi chỉ cần kết nối với Internet và truy cập một trang web.

Với việc sử dụng thông thường như email cá nhân, có thể chúng ta không nghĩ nhiều về tính bảo mật của thông tin đó. Chúng ta cũng không suy nghĩ nhiều về chi phí triển khai - chúng hoàn toàn miễn phí! Nhưng trong môi trường kinh doanh, chúng ta phải giải quyết đúng các mối lo ngại về bảo mật dữ liệu và những chi phí liên quan.

SaaS không phải là kẻ thù: cách SaaS/đám mây có thể có lợi cho công ty của bạn:

Một số lĩnh vực kinh doanh chức năng chính có thể được tối ưu hóa bằng cách sử dụng các giải pháp SaaS/Đám mây:

  • Hoạch định tài nguyên doanh nghiệp
  • Bán hàng / Quản lý quan hệ khách hàng
  • Tiếp thị (bao gồm tạo nhu cầu, hội họp và hội thảo)
  • Lương thưởng
  • Nhân sự
  • Tài chính

Giám đốc công nghệ thông tin và các nhà quản lý công nghệ thông tin nên xem xét toàn bộ tổ chức của họ theo cách thức môi trường SaaS / Cloud có thể giúp giảm chi phí và cải thiện quy trình.

Sự thật về SaaS - những gì sẽ xảy ra trong nền để đảm bảo dữ liệu của bạn được an toàn

Các ứng dụng và dữ liệu được đặt với một nhà cung cấp đẳng cấp thế giới, sẽ có các điều khiển kỹ thuật vốn có được tích hợp vào hệ thống giúp bảo vệ dữ liệu của bạn khỏi bị trộm cắp, hoặc tiết lộ trái phép.

Khi chọn nhà cung cấp dịch vụ SaaS / đám mây, hãy tập trung vào độ tin cậy, khả năng phục hồi và bảo mật của dịch vụ. Hãy tìm các máy chủ dự phòng nằm ở các vị trí khác nhau và cũng được thiết kế và thử nghiệm các thủ tục sao lưu và khắc phục hậu quả. Hãy hỏi xem họ có cung cấp 'bảo đảm thời gian hoạt động' không và thực hiện bất kỳ điều gì dưới cam kết 99,99%. Đây phải là 'quy trình vận hành chuẩn' và các nhà cung cấp đẳng cấp thế giới cần có nhiều tài liệu để giải thích cho bạn. Báo cáo kiểm toán của bên thứ ba cung cấp sự xác thực độc lập cũng nên có sẵn.

Vậy còn về tường lửa, sự phát hiện xâm nhập và quản lý sự kiện / đăng nhập? Hoặc làm thế nào để mã hóa dữ liệu - không chỉ khi truyền, mà còn ở phần còn lại? Ai có quyền truy cập vào dữ liệu của bạn và quyền truy cập đó được quản lý như thế nào? Một lần nữa, đây là những câu hỏi mà một nhà cung cấp đẳng cấp thế giới sẽ dễ dàng trả lời cho bạn vì tính bảo mật, tính khả dụng và tính toàn vẹn của dữ liệu nằm trong số những ưu tiên hàng đầu của họ.

Các điều khiển xác thực người dùng được thiết kế an toàn cũng rất quan trọng. Mật khẩu và mã thông báo xác thực khác phải được lưu trữ bằng cách sử dụng các cơ chế mã hóa không thể đảo ngược.

Bảo mật vật lý tại trung tâm dữ liệu thực tế cũng cần được xem xét, cùng với sự an toàn của mạng, hệ điều hành, máy chủ, cơ sở dữ liệu và ứng dụng.

Ngoài các biện pháp phòng ngừa an toàn vật lý và kỹ thuật, cũng có những cân nhắc quan trọng từ quan điểm tuân thủ khi chọn nhà cung cấp dịch vụ SaaS/đám mây. Tất cả các nhà cung cấp SaaS/đám mây có tùy chọn tự nguyện trải qua kiểm toán bảo mật để xác nhận rằng tất cả các quy trình và trình điều khiển thiết yếu đều được thực hiện để đảm bảo mức độ bảo vệ và bảo mật dữ liệu cao nhất.

Thật không may, nhiều nhà cung cấp không làm như vậy.

Bạn nên kiểm tra với nhà cung cấp SaaS của bạn trước về những đánh giá bảo mật mà họ đã thực hiện và những bài kiểm tra tiêu chuẩn Mỹ và quốc tế mà họ đã hoàn thành.

Chúng tôi khuyên bạn nên xem lại tất cả các báo cáo có sẵn để kiểm toán và xem xét Báo cáo Dịch vụ và Kiểm soát Tổ chức (SOC) 2 tập trung vào các kiểm soát báo cáo phi tài chính của doanh nghiệp vì chúng liên quan đến an ninh, tính khả dụng, tính toàn vẹn xử lý, bảo mật, và quyền riêng tư của một hệ thống.

Phạm vi của các cuộc kiểm toán này thường bao gồm các mục tiêu kiểm soát liên quan đến tổ chức và quản trị, kiểm soát vật lý và môi trường, bảo mật hợp lý, phát triển hệ thống, triển khai ứng dụng khách, tích hợp dữ liệu và tính khả dụng của hệ thống và khả năng khắc phục hậu quả. Điều quan trọng là nhà cung cấp dịch vụ phải đăng ký một chương trình bảo mật nơi khuôn khổ được chứng nhận ISO, đặc biệt là ISO27001/27002. Điều quan trọng là chứng chỉ ISO có sẵn để khách hàng có thể tham khảo và xem xét.

Quan trọng nhất, điều quan trọng để chọn một nhà cung cấp ứng dụng và trung tâm dữ liệu là cả hai đã vượt qua các chương trình SOC và kiểm toán ISO, điều đó cung cấp sự an tâm lớn hơn cho người dùng rằng dữ liệu của bạn được an toàn và bảo vệ.

Sử dụng SaaS/đám mây để tăng năng suất, cải tiến quy trình và giảm chi phí

Giải pháp SaaS/đám mây không chỉ tốt cho doanh nghiệp để cải tiến quy trình và quan điểm về năng suất, mà còn có thể giảm chi phí. Nhưng tất cả sẽ vô ích nếu tính bảo mật hoặc tính toàn vẹn của dữ liệu bị tổn hại.

Những vấn đề này không khác với những gì bạn sẽ xem xét cho các quy trình và hệ thống nội bộ của riêng doanh nghiệp. Đảm bảo rằng nhà cung cấp SaaS/đám mây của bạn luôn đảm bảo, và thậm chí có thể vượt quá yêu cầu nội bộ hiện tại của riêng doanh nghiệp của bạn!

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
Cách đảm bảo sự bảo mật khi lưu trữ dữ liệu nhạy cảm trong đám mây
POWERED BY ONECMS - A PRODUCT OF NEKO