Tổng lượt truy cập

Wednesday, September 24, 2025

QUẢN LÝ RỦI RO CNTT VÀ ANM VỚI DỮ LIỆU

Hiện nay rất nhiều tổ chức đã thành lập phòng/Trung tâm /Khối về Dữ liệu (Dữ liệu ra quyết định, dữ liệu tài sản của mọi tổ chức ) Vậy rủi ro nào về dữ liệu cần được lưu ý và quản lý . Tôi xin đưa bạn những rủi ro chính liên quan dữ liệu và chốt kiểm soát tương:

Bảo mật dữ liệu (Data Security)

  • Rủi ro:
    • Rò rỉ dữ liệu nhạy cảm (PII, PCI, dữ liệu tài chính) ra ngoài.
    • Truy cập không đúng thẩm quyền do quản lý IAM lỏng lẻo.
  • Chốt kiểm soát:
    • Áp dụng cơ chế IAM chi tiết (RBAC/ABAC, principle of least privilege).
    • Mã hóa dữ liệu ở trạng thái nghỉ (at-rest) và khi truyền (in-transit).
    • Triển khai Data Loss Prevention (DLP), Data Masking/Tokenization cho dữ liệu nhạy cảm.

Chất lượng dữ liệu & Data Governance

  • Rủi ro:
    • Dữ liệu “rác” hoặc sai lệch ảnh hưởng đến phân tích, AI/ML.
    • Thiếu kiểm soát metadata, lineage gây khó truy xuất nguồn gốc.
  • Chốt kiểm soát:
    • Thiết lập Data Governance Framework (theo DAMA-DMBOK, DCAM).
    • Tích hợp công cụ Data Catalog, Metadata Management.
    • Định nghĩa Data Owner, Data Steward rõ ràng.

Tuân thủ & Pháp lý

  • Rủi ro:
    • Vi phạm quy định bảo vệ dữ liệu cá nhân (VD: Nghị định 13/2023 Việt Nam, GDPR EU).
    • Lưu trữ vượt phạm vi, không xóa khi hết thời hạn pháp lý.
  • Chốt kiểm soát:
    • Thiết lập Data Retention Policy và cơ chế xóa dữ liệu tự động.
    • Phân loại dữ liệu theo mức độ nhạy cảm.
    • Định kỳ kiểm toán tuân thủ về dữ liệu.

Truy cập & Giám sát

  • Rủi ro:
    • Người dùng nội bộ lạm dụng dữ liệu (insider threat).
    • Không phát hiện kịp thời hành vi truy cập bất thường.
  • Chốt kiểm soát:
    • Triển khai UEBA (User and Entity Behavior Analytics) để giám sát hành vi.
    • Ghi log toàn bộ truy cập, lưu trữ trên hệ thống immutable logging (SIEM).
    • Nguyên tắc Zero Trust: xác thực đa yếu tố (MFA), segmentation.

Hạ tầng & Vận hành

  • Rủi ro:
    • Tấn công DDoS hoặc ransomware nhắm vào hạ tầng Data Lake.
    • Mất tính sẵn sàng do sự cố cloud/on-premise.
  • Chốt kiểm soát:
    • Kiến trúc multi-zone, multi-region để tăng tính khả dụng.
    • Kế hoạch Backup & Disaster Recovery (3-2-1 backup rule).
    • Giám sát bảo mật hạ tầng bằng CSPM (Cloud Security Posture Management) hoặc tương đương

AI/Analytics trên Data Lake

  • Rủi ro:
    • Mô hình AI/ML học từ dữ liệu sai → ra quyết định sai lệch.
    • Rủi ro “model leakage” khi dữ liệu nhạy cảm bị huấn luyện và lộ ra ngoài.
  • Chốt kiểm soát:
    • Quản lý Model Risk Management (MRM): giám sát chất lượng dữ liệu đầu vào.
    • Kiểm soát dữ liệu huấn luyện bằng sandbox tách biệt.
    • Chính sách Responsible AI để giảm thiên vị (bias).



Đăng bài bởi