• Thứ Năm, 10/01/2008 10:59 (GMT+7)

    Quản lý rủi ro CNTT ngành ngân hàng

    Tại hội thảo “An toàn hệ thống thông tin ngành ngân hàng” diễn ra ngày 5/12/2007 tại Hà Nội, công ty W&G Systemhaus für Informationstechnologien (W&G) và công ty ALLIANT đã công bố “Dự án an ninh CNTT”, trong đó bao gồm cả dịch vụ quản lý rủi ro.
    TGVT - PC World Việt Nam đã có cuộc trao đổi với ông Cao Kim Ánh, giám đốc ALLIANT và ông Heiko Willuweit, đại diện W&G tại Việt Nam (VN).

    Thưa ông, “Quản lý rủi ro” có phải là một khái niệm mới trong lĩnh vực an ninh CNTT? Quản lý rủi ro CNTT bao gồm những nội dung gì?

    Ông Cao Kim Ánh
    Ông Cao Kim Ánh: Quản lý rủi ro là một lĩnh vực quan trọng có tính quyết định thành công của các dự án, đặc biệt đối với các dự án lớn và phức tạp như các dự án ứng dụng CNTT trong DN. Đây không phải một khái niệm mới nhưng luôn là vấn đề phải quan tâm hàng đầu của tất cả các dự án. Ở VN, rất nhiều cơ quan ứng dụng CNTT chưa coi trọng đúng mức vấn đề này, thậm chí chưa hiểu biết đầy đủ về nó.

    Quản lý rủi ro bao gồm việc phòng ngừa rủi ro (nhận dạng nguy cơ và đánh giá khả năng xảy ra sự cố cùng thiệt hại, cơ chế để giám sát các nguy cơ đó...) và xử lý hậu quả nếu xảy ra rủi ro (chiến lược xử lý, các biện pháp và công cụ được áp dụng, phân bổ lực lượng để khắc phục....). “Phòng bệnh hơn chữa bệnh”, phòng ngừa rủi ro có ý nghĩa quyết định, tuy nhiên, cũng phải sẵn sàng các giải pháp và phương tiện để khắc phục nhanh và tốt nhất hậu quả nếu chẳng may rủi ro vẫn xảy ra. Quản lý rủi ro đòi hỏi phải dự đoán được các nguy cơ rủi ro và thiệt hại, đầu tư cho việc phòng ngừa và khắc phục chúng một cách thích hợp theo nguyên tắc: đầu tư phải tương xứng với giá trị cần bảo vệ.

    Quản lý rủi ro CNTT trong các ngân hàng và tổ chức tài chính có điểm gì khác biệt cần lưu ý?

       

    Một nền tảng CNTT hoạt động không vững vàng là lý do dẫn tới sự chậm trễ trong công việc, và nguy hiểm nhất là dẫn tới phá sản công ty

     

    Ông Heiko Willuweit: Lĩnh vực ngân hàng và tài chính là một trong các lĩnh vực an ninh nhạy cảm nhất đối với cả nhà quản lý DN lẫn khách hàng của họ. Vấn đề quản lý rủi ro càng trở nên quan trọng hơn khi mà hầu như các hoạt động và dịch vụ chính trong các lĩnh vực này đều đã được số hóa và thực hiện trong các “không gian ảo” và “mở” ở mức độ cao (trên phạm vi toàn cầu). Đây cũng là lĩnh vực chịu sự tấn công liên tục và ngày càng tinh vi của các loại tội phạm tin học. Trong khi đó, an ninh thông tin không chỉ liên quan đến tài sản và tiền của, mà còn liên quan đến hạ tầng và huyết mạch của hầu như toàn bộ đời sống kinh tế và xã hội. Do đó, đảm bảo an ninh và phòng chống rủi ro phải là một yêu cầu rất cao, gần như tuyệt đối..

    Nội dung và mục tiêu của “Dự án an ninh CNTT” là gì? Vai trò của ALLIANT và WG trong đó ra sao?

    Ông Cao Kim Ánh: Đây là một thỏa thuận hợp tác giữa ALLIANT và W&G. Mục tiêu của dự án là đưa ra các chương trình đào tạo và thực hiện các giải pháp giám sát an ninh CNTT phù hợp cho các ngân hàng và các tổ chức tài chính khác của VN. W&G là một công ty có nhiều kinh nghiệm về an toàn hệ thống thông tin tại CHLB Đức, rất quan tâm đến việc cung cấp các giải pháp an ninh “tuyệt đối” cho các tổ chức, bằng cách xem xét cụ thể các trường hợp ứng dụng và đưa ra các giải pháp phù hợp cả về tổ chức và công nghệ.

    Riêng trong vấn đề quản lý rủi ro CNTT, W&G quan tâm đến việc nhận dạng các nguy cơ đối với an ninh hệ thống thông tin, cơ sở hạ tầng, cơ sở dữ liệu, các ứng dụng và các giải pháp để kiểm soát được các nguy cơ đó.

    Ông Heiko Willuweit: Chúng tôi quan tâm không chỉ các yếu tố kỹ thuật và công nghệ, mà còn các vấn đề liên quan đến tổ chức và nhân sự. Ngoài các giải pháp an toàn mang tính kỹ thuật và vật lý, như chọn lựa địa điểm an toàn để triển khai hệ thống; thiết bị bền vững; các quy trình, thủ tục, việc đào tạo và giáo dục người dùng... là rất quan trọng. Trên thực tế, các hư hỏng và mất mát, sử dụng tài nguyên không đúng (do vô tình hay cố ý) hiện nay khá nhiều. Do đó, các giải pháp và công cụ này (tường lửa, mã hóa, xác thực, kiểm tra quyền hạn, sao lưu và phục hồi...) là các trợ thủ đắc lực để phòng ngừa và khắc phục rủi ro, nhưng chúng không thể thay thế vai trò chính yếu của con người.

    ALLIANT phối hợp với W&G trong các hoạt động tiếp thị, khai mở thị trường, đào tạo và hỗ trợ tại VN. Chúng tôi sẽ giúp khách hàng đưa ra những phương pháp kiểm tra, còn ALLIANT đưa ra những phương án, điều kiện hiện có trong thị trường CNTT để sửa đổi các khiếm khuyết được phát hiện. Nghĩa là: mỗi khách hàng sẽ tự kiểm tra xem mình đã có một nền tảng CNTT phù hợp với nhu cầu thị trường chưa. Nếu họ có nhu cầu cụ thể trong lĩnh vực CNTT, họ sẽ là người quyết định cùng với ALLIANT và W&G tìm những giải pháp thích hợp.

    Thu Nga

    ID: B0801_72