SecDevOps - chìa khóa đảm bảo an toàn thông tin cho chuyển đổi số

Đỗ Minh| 02/06/2022 15:45
Theo dõi ICTVietnam trên

"Chuyển đổi số không những cần nhanh nhạy, chuyên nghiệp mà còn cần phải gắn liền với an toàn thông tin (ATTT) từ bước đầu”.

Đó là quan điểm nhấn mạnh của ông Dương Thành Vịnh, Trưởng phòng Ứng cứu sự cố Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) mới đây tại chuỗi webinar "Đảm bảo ATTT mạng quốc gia trong kỷ nguyên chuyển đổi số (CĐS)" với chủ đề "nâng cao khả năng đảm bảo ATTT cho các tổ chức với SecDevOps".

Cần tối ưu quy trình phát triển phần mềm

Nói về việc việc đảm bảo ATTT nói chung, nhất là việc đảm bảo an toàn trong các quy trình CĐS của các tổ chức, DN, ông Vịnh cho rằng, hiện nay chúng ta mặc dù đạt được những thành tựu nhất định, tuy nhiên, vẫn không tránh khỏi những hạn chế, bởi phần lớn vẫn đang sử dụng các mô hình phần mềm truyền thống như: Mô hình thác nước (waterfall); mô hình cho các dự án nhỏ (agile).

Nói về các đặc trưng cơ bản cùng ưu và nhược điểm của 02 mô hình trên, ông Vịnh cho rằng, mô hình waterfall có ưu điểm chú trọng vào sự tiến triển logic của các bước thực hiện trong suốt vòng đời phát triển của một phần mềm… Tuy nhiên, điểm hạn chế được tạo ra cũng không hề nhỏ, đó là không cho phép chúng ta thay đổi phạm vi dự án, đồng thời, không dễ xử lý các rủi ro bất ngờ, tình huống phát sinh khi xảy ra.

ATTT là

Ông Vịnh cho rằng, việc xây dựng, hoàn thiện các quy trình tổ chức trên cơ sở các phần mềm có ý nghĩa tiền đề để hình thành các quyết định, dẫn dắt, định hướng việc CĐS.

Cũng giống như waterfall, agile ban đầu được kỳ vọng là một phương pháp phát triển phần mềm linh hoạt, tiếp cận cụ thể cho việc quản lý dự án phần mềm, thế nhưng khi sử dụng, điều hạn chế đã biểu hiện rõ: Thiếu sự nhấn mạnh về thiết kế, tài liệu cần thiết; hạn chế quy mô, chất lượng nguồn nhân lực.

Với những hạn chế này, giờ đây chúng ta cần tìm giải pháp tối ưu trong việc phát triển phần mềm, vận hành phần mềm là rất quan trọng, vì quyết định sự thành công và giữ vững thành quả của việc thực hiện nhiệm vụ CĐS trong các tổ chức, DN.

Đáp ứng cho những mong muốn đó, DevOps chính là một giải pháp giúp tổ chức, DN tối ưu quy trình phát triển phần mềmDevSecOps ra đời nhằm bổ sung tính năng "an toàn" vào trong DevOps. Với quy trình này, thông thường các doanh nghiệp (DN) sẽ chạy các cuộc kiểm thử tự động sản phẩm bằng các công cụ kiểm tra tự động. 

Tuy nhiên, việc kiểm tra này là không đủ, ATTT cần phải được đặt lên hàng đầu cũng như xuyên suốt quá trình phát triển. Chính vì vậy, SecDevOps ra đời nhằm đưa việc chú trọng ATTT ngay từ khâu thiết kế khi các tổ chức nhận yêu cầu về phần mềm, đồng thời giải quyết những lỗ hổng, sự cố ngay từ khi nó chưa xảy ra.

Ông Nguyễn Mạnh Luật - CEO/Co-Founder của CyberJutsu khách mời của chương trình nhận định: Lập trình viên ở Việt Nam rất giỏi, cũng như các công ty phát triển phần mềm ở Việt Nam có thế mạnh về năng lực và giá thành, tuy nhiên, các công ty này chưa tập trung, quan tâm và đầu tư vào khía cạnh an toàn, bảo mật của phần mềm, đây là điều bất lợi khi cạnh tranh với các công ty phát triển phần mềm nước ngoài trên thị trường quốc tế.

Thực tế, ATTT nên được đặt lên hàng đầu cho mọi tổ chức trong bối cảnh CĐS. Việc triển khai quy trình SecDevOps cho thấy các doanh nghiệp nên chủ động hơn khi đề cập đến vấn đề bảo mật an toàn thông tin. SecDevOps giúp các doanh nghiệp, tổ chức bảo đảm an toàn thông tin ở mọi giai đoạn. Nó giúp chúng ta yên tâm khi biết rằng chúng ta đang thiết kế các hệ thống và ứng dụng an toàn với các tính năng và chức năng mà người dùng muốn.

ATTT là việc các thông tin phải được lưu trữ trong quy trình khép kín

Khi nói về điều kiện để đảm bảo hiệu quả triển khai nhiệm vụ CĐS trong các tổ chức, DN, ông Vịnh cho rằng, điều không thể thiếu và các nhân tố cần tập trung thực hiện hiện nay: Xây dựng, hoàn thiện quy trình tổ chức trên cơ sở các phần mềm, điều này giúp mọi hoạt động vận hành, quản trị của các đơn vị luôn tối ưu hóa các thao tác dựa trên hệ thống số (trang web); Hình thành, định dạng các dữ liệu thông qua hệ thống lưu trữ trên máy chủ hoặc đám mây (cloud); đảm bảo an toàn cho toàn bộ các quy trình dựa trên nguyên tắc tam giác CIA (toàn vẹn, bí mật, sẵn sàng).

Trong các nhân tố trên, việc xây dựng, hoàn thiện các quy trình tổ chức trên cơ sở các phần mềm có ý nghĩa tiền đề để hình thành các quyết định, dẫn dắt, định hướng việc CĐS.

ATTT là

Dev Ops chính là một giải pháp giúp tổ chức, DN tối ưu quy trình phát triển phần mềm

Vì điều này, các tổ chức, DN cần lựa chọn các phần mềm tối ưu, phù hợp với thực tế, năng lực của đơn vị mình. Đặc biệt, nếu các tổ chức, DN không phải là đơn vị xây dựng, phát triển phần mềm mà chỉ thuê, mua để sử dụng phần mềm từ các đơn vị chuyên cung cấp ở ngoài thị trường thì trong quá trình sử dụng muốn bảo vệ ATTT cần đảm bảo, bảo mật các thông tin nội bộ, thông tin sản phẩm theo cách:

Khi phần mềm mới được triển khai mua, sử dụng thì các trường dữ liệu, trường thông tin phải được lưu trữ trong quy trình khép kín. Trong trường hợp khi các thông tin không còn sử dụng cần phải được xóa bỏ triệt để, cần kiểm tra cả trong thùng rác của hệ thống phần mềm xem các thông tin đã được xóa bỏ hết hay chưa.

Hơn nữa, khi các tổ chức, DN trong quá trình sử dụng các phần mềm, nếu gặp các vấn đề sự cố, nguy cơ mất ATTT cần báo cáo nhanh cho VNCERT/CC để VNCERT/CC sớm đưa ra hướng hỗ trợ, xử lý.

Cũng theo ông Vịnh, việc đảm bảo ATTT cần phải được ưu tiên, giao quyền cho các lập trình viên, bởi lẽ các lập trình viên sẽ là người hiểu rõ, sâu sắc về các ứng dụng (vì đôi khi các lập trình viên chính là người lập trình ra các ứng dụng).

"Đặc biệt, những người làm nhiệm vụ bảo vệ phần mềm máy tính (security) khi làm thêm được việc lập trình thì các sản phẩm ứng dụng sẽ luôn tốt và hiệu quả", ông Vịnh nhấn mạnh.

Cũng theo ông Vịnh, những lập trình nên quan tâm đến bảo mật, bởi khi chủ động làm chủ lĩnh vực này góp phần tạo thêm các "tường lưới" bảo vệ an toàn, ngăn cản các tin tặc (hacker) tấn công vào các ứng dụng, phần mềm của các hệ thống.

Hơn nữa, để phát huy vai trò của các lập trình viên các tổ chức, DN cần tập trung đào tạo chuyên sâu về ATTT cho đội ngũ CNTT của mình; các lãnh đạo đứng đầu cần quan tâm đến lĩnh vực ATTT ngay trong quy trình đầu xử lý thông tin về sản phẩm và quy trình cuối bàn giao sản phẩm, ứng dụng.

"Kỷ nguyên của quá trình CĐS cần kiên định đi theo con đường, hướng đi đảm bảo, làm chủ về ATTT, vì ATTT là "chìa khoá" mở ra các cơ hội thành công cho CĐS", ông Vịnh khẳng định./.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Thủ tướng: Người đứng đầu phải tiên phong, gương mẫu thúc đẩy chuyển đổi số
    Phát biểu tại Hội nghị Thường trực Chính phủ về CĐS, Thủ tướng Phạm Minh Chính chỉ rõ, điều quan trọng nhất, quyết định nhất, mang tính chiến lược, lâu dài, cơ bản là các bộ trưởng, trưởng ngành, Chủ tịch UBND các tỉnh, thành phố phải tiên phong, gương mẫu thúc đẩy CĐS.
  • Microsoft hắt hơi và lĩnh vực CNTT thế giới cảm lạnh
    Một lỗi trong hệ thống của Crowdstrike, đối tác của Microsoft, đã gây gián đoạn hầu hết các dịch vụ trên hành tinh và là lời cảnh báo lớn về rủi ro hệ thống của dịch vụ đám mây.
  • Còn 11 triệu thuê bao 2G và một số kiến nghị giải pháp
    Tính đến tháng 5/2024, số thuê bao 2G only còn hơn 11 triệu thuê bao, chiếm khoảng 9% tổng số thuê bao di động trên toàn quốc. Các nhà mạng đang kiến nghị các giải pháp giảm số thuê bao 2G khi hệ thống công nghệ này tiến tới dừng hoạt động vào ngày 15/9/2024.
  • VinaPhone hỗ trợ khách hàng nâng cấp điện thoại 4G miễn phí
    Thực hiện chủ trương tắt sóng 2G của Bộ Thông tin và Truyền thông vào tháng 9/2024 tới đây, VinaPhone triển khai loạt ưu đãi khách hàng nâng cấp lên điện thoại 4G miễn phí và nhiều ưu đãi hấp dẫn khác để duy trì liên lạc mà không phải lo lắng về chi phí.
  • 4 kỹ năng cần có để không bị AI thay thế
    Sự phát triển bùng nổ của trí tuệ nhân tạo (AI) trong những năm gần đây đã gây ra không ít tranh luận về việc liệu AI có thể thay thế con người và đe dọa trực tiếp đến công việc của người lao động trong tương lai hay không. Theo đó, chúng ta cần trang bị những gì để thích ứng.
  • Tổng Bí thư Nguyễn Phú Trọng từ trần
    Đồng chí Tổng Bí thư Nguyễn Phú Trọng đã từ trần lúc 13 giờ 38 phút, ngày 19/7/2024 tại Bệnh viện Trung ương Quân đội 108.
  • ‏FPT khai trương văn phòng mới tại Kuala Lumpur, Malaysia‏
    FPT vừa chính thức cắt băng khánh thành văn phòng thứ hai tại Kuala Lumpur, nhằm tăng cường hiện diện của công ty tại khu vực và trên toàn cầu, từ đó mở rộng tiếp cận các khách hàng lớn. ‏
  • Nhân lực ngành quản trị kinh doanh cần cập nhật, ứng dụng công nghệ liên tục
    Quản trị Kinh doanh (QTKD) là một ngành "hot" trong những năm gần đây và dường như vẫn chưa có dấu hiệu hạ nhiệt ngay cả khi hàng loạt ngành học mới liên tục ra đời.
  • VPBank cam kết đầu tư cho các tài năng trẻ lĩnh vực CNTT & Khoa học dữ liệu
    Sau thành công của các sân chơi công nghệ từ VPBank Cloud Technology Day 2023 tới VPBank Technology Hackathon 2024, Ngân hàng đánh giá cao tiềm năng của nhóm nguồn nhân lực trẻ và cam kết tiếp tục đầu tư hơn nữa để tiếp tục mang đến những cơ hội phát triển nghề nghiệp của các tài năng trẻ tại VPBank. Đó cũng là mục tiêu của chương trình VPBank Technology & Data Young Talents mà ngân hàng vừa mới triển khai.
  • VPBank và IFC hợp tác cung ứng vốn cho doanh nghiệp cà phê Việt Nam
    VPBank và Tổ chức Tài chính Quốc tế (IFC) mới đây đã hợp tác đồng tài trợ chuỗi cung ứng cho các công ty xuất khẩu cà phê, trong nỗ lực hỗ trợ cộng đồng doanh nghiệp vừa và nhỏ (SME) của Việt Nam tham gia sâu rộng hơn vào chuỗi cung ứng nông nghiệp toàn cầu.
SecDevOps - chìa khóa đảm bảo an toàn thông tin cho chuyển đổi số
POWERED BY ONECMS - A PRODUCT OF NEKO