SecDevOps - chìa khóa đảm bảo an toàn thông tin cho chuyển đổi số

Đó là quan điểm nhấn mạnh của ông Dương Thành Vịnh, Trưởng phòng Ứng cứu sự cố Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) mới đây tại chuỗi webinar "Đảm bảo ATTT mạng quốc gia trong kỷ nguyên chuyển đổi số (CĐS)" với chủ đề "nâng cao khả năng đảm bảo ATTT cho các tổ chức với SecDevOps".

Cần tối ưu quy trình phát triển phần mềm

Nói về việc việc đảm bảo ATTT nói chung, nhất là việc đảm bảo an toàn trong các quy trình CĐS của các tổ chức, DN, ông Vịnh cho rằng, hiện nay chúng ta mặc dù đạt được những thành tựu nhất định, tuy nhiên, vẫn không tránh khỏi những hạn chế, bởi phần lớn vẫn đang sử dụng các mô hình phần mềm truyền thống như: Mô hình thác nước (waterfall); mô hình cho các dự án nhỏ (agile).

Nói về các đặc trưng cơ bản cùng ưu và nhược điểm của 02 mô hình trên, ông Vịnh cho rằng, mô hình waterfall có ưu điểm chú trọng vào sự tiến triển logic của các bước thực hiện trong suốt vòng đời phát triển của một phần mềm… Tuy nhiên, điểm hạn chế được tạo ra cũng không hề nhỏ, đó là không cho phép chúng ta thay đổi phạm vi dự án, đồng thời, không dễ xử lý các rủi ro bất ngờ, tình huống phát sinh khi xảy ra.

Cũng giống như waterfall, agile ban đầu được kỳ vọng là một phương pháp phát triển phần mềm linh hoạt, tiếp cận cụ thể cho việc quản lý dự án phần mềm, thế nhưng khi sử dụng, điều hạn chế đã biểu hiện rõ: Thiếu sự nhấn mạnh về thiết kế, tài liệu cần thiết; hạn chế quy mô, chất lượng nguồn nhân lực.

Với những hạn chế này, giờ đây chúng ta cần tìm giải pháp tối ưu trong việc phát triển phần mềm, vận hành phần mềm là rất quan trọng, vì quyết định sự thành công và giữ vững thành quả của việc thực hiện nhiệm vụ CĐS trong các tổ chức, DN.

Đáp ứng cho những mong muốn đó, DevOps chính là một giải pháp giúp tổ chức, DN tối ưu quy trình phát triển phần mềm. DevSecOps ra đời nhằm bổ sung tính năng "an toàn" vào trong DevOps. Với quy trình này, thông thường các doanh nghiệp (DN) sẽ chạy các cuộc kiểm thử tự động sản phẩm bằng các công cụ kiểm tra tự động. 

Tuy nhiên, việc kiểm tra này là không đủ, ATTT cần phải được đặt lên hàng đầu cũng như xuyên suốt quá trình phát triển. Chính vì vậy, SecDevOps ra đời nhằm đưa việc chú trọng ATTT ngay từ khâu thiết kế khi các tổ chức nhận yêu cầu về phần mềm, đồng thời giải quyết những lỗ hổng, sự cố ngay từ khi nó chưa xảy ra.

Ông Nguyễn Mạnh Luật - CEO/Co-Founder của CyberJutsu khách mời của chương trình nhận định: Lập trình viên ở Việt Nam rất giỏi, cũng như các công ty phát triển phần mềm ở Việt Nam có thế mạnh về năng lực và giá thành, tuy nhiên, các công ty này chưa tập trung, quan tâm và đầu tư vào khía cạnh an toàn, bảo mật của phần mềm, đây là điều bất lợi khi cạnh tranh với các công ty phát triển phần mềm nước ngoài trên thị trường quốc tế.

Thực tế, ATTT nên được đặt lên hàng đầu cho mọi tổ chức trong bối cảnh CĐS. Việc triển khai quy trình SecDevOps cho thấy các doanh nghiệp nên chủ động hơn khi đề cập đến vấn đề bảo mật an toàn thông tin. SecDevOps giúp các doanh nghiệp, tổ chức bảo đảm an toàn thông tin ở mọi giai đoạn. Nó giúp chúng ta yên tâm khi biết rằng chúng ta đang thiết kế các hệ thống và ứng dụng an toàn với các tính năng và chức năng mà người dùng muốn.

ATTT là việc các thông tin phải được lưu trữ trong quy trình khép kín

Khi nói về điều kiện để đảm bảo hiệu quả triển khai nhiệm vụ CĐS trong các tổ chức, DN, ông Vịnh cho rằng, điều không thể thiếu và các nhân tố cần tập trung thực hiện hiện nay: Xây dựng, hoàn thiện quy trình tổ chức trên cơ sở các phần mềm, điều này giúp mọi hoạt động vận hành, quản trị của các đơn vị luôn tối ưu hóa các thao tác dựa trên hệ thống số (trang web); Hình thành, định dạng các dữ liệu thông qua hệ thống lưu trữ trên máy chủ hoặc đám mây (cloud); đảm bảo an toàn cho toàn bộ các quy trình dựa trên nguyên tắc tam giác CIA (toàn vẹn, bí mật, sẵn sàng).

Trong các nhân tố trên, việc xây dựng, hoàn thiện các quy trình tổ chức trên cơ sở các phần mềm có ý nghĩa tiền đề để hình thành các quyết định, dẫn dắt, định hướng việc CĐS.

Vì điều này, các tổ chức, DN cần lựa chọn các phần mềm tối ưu, phù hợp với thực tế, năng lực của đơn vị mình. Đặc biệt, nếu các tổ chức, DN không phải là đơn vị xây dựng, phát triển phần mềm mà chỉ thuê, mua để sử dụng phần mềm từ các đơn vị chuyên cung cấp ở ngoài thị trường thì trong quá trình sử dụng muốn bảo vệ ATTT cần đảm bảo, bảo mật các thông tin nội bộ, thông tin sản phẩm theo cách:

Khi phần mềm mới được triển khai mua, sử dụng thì các trường dữ liệu, trường thông tin phải được lưu trữ trong quy trình khép kín. Trong trường hợp khi các thông tin không còn sử dụng cần phải được xóa bỏ triệt để, cần kiểm tra cả trong thùng rác của hệ thống phần mềm xem các thông tin đã được xóa bỏ hết hay chưa.

Hơn nữa, khi các tổ chức, DN trong quá trình sử dụng các phần mềm, nếu gặp các vấn đề sự cố, nguy cơ mất ATTT cần báo cáo nhanh cho VNCERT/CC để VNCERT/CC sớm đưa ra hướng hỗ trợ, xử lý.

Cũng theo ông Vịnh, việc đảm bảo ATTT cần phải được ưu tiên, giao quyền cho các lập trình viên, bởi lẽ các lập trình viên sẽ là người hiểu rõ, sâu sắc về các ứng dụng (vì đôi khi các lập trình viên chính là người lập trình ra các ứng dụng).

"Đặc biệt, những người làm nhiệm vụ bảo vệ phần mềm máy tính (security) khi làm thêm được việc lập trình thì các sản phẩm ứng dụng sẽ luôn tốt và hiệu quả", ông Vịnh nhấn mạnh.

Cũng theo ông Vịnh, những lập trình nên quan tâm đến bảo mật, bởi khi chủ động làm chủ lĩnh vực này góp phần tạo thêm các "tường lưới" bảo vệ an toàn, ngăn cản các tin tặc (hacker) tấn công vào các ứng dụng, phần mềm của các hệ thống.

Hơn nữa, để phát huy vai trò của các lập trình viên các tổ chức, DN cần tập trung đào tạo chuyên sâu về ATTT cho đội ngũ CNTT của mình; các lãnh đạo đứng đầu cần quan tâm đến lĩnh vực ATTT ngay trong quy trình đầu xử lý thông tin về sản phẩm và quy trình cuối bàn giao sản phẩm, ứng dụng.

"Kỷ nguyên của quá trình CĐS cần kiên định đi theo con đường, hướng đi đảm bảo, làm chủ về ATTT, vì ATTT là "chìa khoá" mở ra các cơ hội thành công cho CĐS", ông Vịnh khẳng định./.