Tháng 4/2019, tại TP Hồ Chí Minh đã diễn ra Diễn đàn CSA Châu Á Thái Bình Dương 2019 (CSA APAC Summit 2019) với chủ đề “Moving in Cloud – Chuyển đổi sang điện toán đám mây” do Hiệp hội An toàn Đám mây (Cloud Security Alliance – CSA) tổ chức. CSA được biết đến là tổ chức phi lợi nhuận. Hoạt động với mục đích thúc đẩy việc áp dụng các biện pháp tốt nhất. Để đem lại an toàn điện toán đám mây.
Tại Diễn đàn, những câu hỏi về Chứng chỉ điện toán đám mây (Cloud Certification). Đã được ông Hing-Yan LEE – Phó chủ tịch điều hành CSA APAC. Và ông Nguyễn Trung Luận – Giám đốc kinh doanh của Công ty cổ phần tin học Mi Mi (Mi2 JSC). Đã giải đáp chi tiết trước hơn 300 khách mời. Qua cuộc đối thoại giữa các chuyên gia điện toán đám mây. Người tham dự diễn đàn đã hiểu được tầm quan trọng của các chứng chỉ điện toán đám mây. Trong kỷ nguyên đám mây đang phát triển mạnh mẽ.
Ông Hing-Yan LEE: Là một chuyên gia với 20 năm kinh nghiệm trong ngành an toàn thông tin. Ông đã đạt được những chứng chỉ như: CCSP, CRISC, CISA, ISSAP, CISSP, Certified Ethical Hacker (CEH), CCSE+ và Lead Auditor ISO 27001. Vậy theo ông, chứng chỉ dịch vụ điện toán đám mây nào mà ông muốn đề xuất cho các tổ chức tại Việt Nam?
Ông Nguyễn Trung Luận: Trước khi có điện toán đám mây, ISO 27001 và các hướng dẫn trong ISO 27002. Là tiêu chuẩn vàng cho quản lý an toàn thông tin. Những tiêu chuẩn này là nền tảng. Và được xây dựng dựa trên giả định rằng các tổ chức sẽ tự xử lý thông tin.
Xu hướng sử dụng các dịch vụ như Managed Service. Và sử dụng/thuê các dịch vụ (hạ tầng, ứng dụng) của các nhà cung cấp dịch vụ Cloud. Đã thách thức giả định trên vì trách nhiệm về an toàn dữ liệu. Và các yếu tố tuân thủ được chia sẻ giữa nhà cung cấp dịch vụ và tổ chức. Điều này không có nghĩa là các tiêu chuẩn. Và hướng dẫn không phù hợp để áp dụng cho môi trường điện toán đám mây. Mà cần được điều chỉnh, bổ sung. Để áp dụng phù hợp đối với trường hợp thông tin được xử lý ngoài phạm vi của tổ chức.
Hai tiêu chuẩn hàng đầu cho đám mây đã được áp dụng nhiều trên thế giới là ISO 27017 và CSA STAR. Tiêu chuẩn ISO/IEC 27017:2015 cung cấp thêm các hướng dẫn triển khai cho việc cung cấp. Và sử dụng các dịch vụ đám mây. CSA STAR là chương trình bổ sung cho ISO 27001. Với ba cấp bậc của sự đảm bảo (tự đánh giá, chứng nhận từ bên thứ ba và kiểm toán liên tục). Và đặc biệt hướng tới hỗ trợ và đánh giá dịch vụ của các CSP.
Ông Hing-Yan LEE: Hai chứng chỉ dịch vụ đám mây hàng đầu mà ông đã đề cập có những lợi ích như thế nào?
Ông Nguyễn Trung Luận: CSA STAR dựa trên 3 hướng dẫn:
- CSA Cloud Controls Matrix (CCM)– Bộ khung các biện pháp an toàn cho đám mây và ánh xạ các biện pháp này. Với các tiêu chuẩn an toàn phổ biến khác như PCI/DSS, HIPPA, COBIT.…
- Consensus Assessments Initiative Questionnaire (CAIQ)– Bộ câu hỏi đúng/sai mà khách hàng hoặc kiểm toán viên có thể sử dụng. Để hỏi nhà cung cấp dịch vụ về mức độ đáp ứng của họ so với CCM.
- CSA Code of Conduct for GDPR Compliance– Bộ công cụ hỗ trợ cho CSP tuân thủ tiêu chuẩn GDPR.
CSP có thể sử dụng các công cụ này để tự đánh giá. Và công bố công khai hoặc/và lấy chứng chỉ CSA STAR thông qua một tổ chức chứng nhận.
ISO 27017:2015 là bộ hướng dẫn dựa trên ISO 27002. Bổ sung các biện pháp bảo vệ. Và hướng dẫn các tổ chức cung cấp sản phẩm, dịch vụ trên nền điện toán đám mây. Để đảm bảo an toàn, bảo vệ thông tin được lưu trữ hoặc/và xử lý trên đám mây. ISO 27017 phân định rõ vai trò của CSP và khách hàng trong vấn đề đảm bảo an toàn. Xác định ai chịu trách nhiệm áp dụng các biện pháp gì. Làm thế nào để loại bỏ hay trả lại tài sản thông tin một cách an toàn khi chấm dứt hợp đồng. Giám sát hoạt động trên đám mây.…
Người dùng dịch vụ đám mây để phát triển các sản phẩm dich vụ có thể căn cứ các hướng dẫn trong ISO 27017. Để kiện toàn Hệ thống quản lý bảo mật thông tin (Information Security Management System – ISMS) sẵn có. Với các các biện pháp bảo vệ liên quan tới đám mây. ISO 27017 là một chứng chỉ về tuân thủ. Và cần phải đi kèm với chứng nhận ISO 27001 có phạm vi tương tứng.
Ông Hing-Yan LEE: Nếu được chọn lựa, loại chứng chỉ đám mây nào mà ông muốn giới thiệu để Việt Nam sử dụng. Và vì sao?
Ông Nguyễn Trung Luận: Nhìn chung, ISO 27017 sẽ hữu dụng cho doanh nghiệp định chuyển dữ liệu lên đám mây. Hoặc chia sẻ dữ liệu trong đám mây. CSA STAR có phần hoàn thiện hơn và phù hợp cho các CSP.
CSP có thể cân nhắc áp dụng cả ISO 27017 và CSA STAR. Nên ưu tiên ISO 27017 trước rồi áp dụng tiếp CSA STAR như mục tiêu dài hạn. ISO 27017 và CSA STAR đều có nhiều điểm tương đồng. Nên một tổ chức có thể đạt được cả hai chứng chỉ mà không tốn thêm quá nhiều chi phí và công sức.
Ông Hing-Yan LEE: Ông có nghĩ rằng Việt Nam nên chấp nhận các chứng chỉ đám mây?
Ông Nguyễn Trung Luận: Việt Nam đứng thứ 24 trong tổng số 24 quốc gia dẫn đầu về Công nghệ thông tin. Theo như Xếp hạng Thẻ điểm điện toán đám mây của Liên minh Phần mềm (BSA) năm 2018. Và tiếp tục ở vị trí cuối kể từ khi bảng đánh giá được tung ra. Điều này cho thấy, môi trường điện toán đám mây tại Việt Nam cần có những đổi mới hơn.
Chính phủ Việt Nam đã đầu tư lớn vào việc nâng cấp hệ thống cơ sở hạ tầng CNTT quốc gia. Và đưa ra một số điều kiện thuận lợi và ưu đãi thuế để phát triển các trung tâm dữ liệu tại Việt Nam. Cho dù có luật quy định về nội địa hóa dữ liệu, Việt Nam vẫn phải bắt buộc kết nối và cạnh tranh với các quốc gia khác. Như vậy, các trung tâm dữ liệu cũng như hệ thống công nghệ thông tin cần phải đáp ứng các tiêu chuẩn quốc tế. Các tổ chức ở Việt Nam nên xem xét các chứng chỉ như ISO 27017 hay CSA STAR. Nếu tổ chức phải tuân thủ quy định về bảo vệ thông tin cá nhân thì xem xét lấy thêm chứng chỉ ISO27018.
Ông Hing-Yan LEE: Vai trò của Công ty Mi2 trong việc hiện thực hóa những mong muốn này?
Ông Nguyễn Trung Luận: Công ty Mi2 được thành lập từ 2007. Chuyên cung cấp dịch vụ tư vấn về an toàn thông tin. Mi2 đã sẵn sàng hỗ trợ các tổ chức đạt chứng chỉ ISO 27017. Với các tư vấn quan trọng như phân tích GAP, đánh giá rủi ro, lên kế hoạch khắc phục. Cũng như đánh giá mức độ sẵn sàng của khách hàng trước khi chính thức đánh giá và lấy chứng chỉ ISO 27017.
Tìm hiểu thêm tại link