Series: Nghề Kiểm toán An toàn thông tin (Security audit) – Part 1: Những con người âm thầm trong công tác đảm bảo an toàn thông tin

Như các bạn biết, nói đến An toàn thông mọi người sẽ nghĩ ngay đến các hội nhóm hacker đi phá làng, phá xóm để thu lợi bất chính. Các bạn trẻ lại nghĩ đến mấy ông hacker đeo mặt nạ đội Mũ trắng (white hat), Mũ đen (black hat) hoặc loại nhờ nhờ như áo trắng mặc lâu ngày (Grey hat) ^^!. Giới chuyên gia thì lại nghĩ đến các team chuyên môn như Red Team, Blue team, White team, Yellow team, Green team … vân vân và mây mây.

Nhưng phía sau nhưng thứ đã đi vào tư duy của mọi người là một đội ngũ âm thầm bảo vệ cho xóm làng được gọi với cái tên mỹ miều là đội Kiểm toán An toàn thông tin (white team – một phần của Kiểm toán CNTT) hay còn một cái tên khác mà mọi người hay gọi (là đội rảnh h… à mà thôi) là đội ngồi chơi vẽ việc cho người khác. Nghề này nghe có vẻ xa lạ với công chúng. Cũng đúng thôi, vì nó mới.

Nghề IT/Security Audit mới thành hình tại Việt Nam từ cuối năm 2017 và đầu 2018 khi các tổ chức doanh nghiệp bắt đầu quan tâm đến thứ gọi là rủi ro về công nghệ thông tin/an toàn thông tin sau gần 10.000 vụ tấn công mạng tại Việt Nam năm 2017 và hơn 9300 vụ tấn công mạng vào năm 2020. Bravo đã có cái tên để mà gọi rồi: Security Audit.

Vậy làm Kiểm toán An toàn thông tin là làm gì?

Kiểm toán?

An toàn thông tin?

Nghe đúng là một combo con lai khá khó hình dung. Định nghĩa của nó là:

“Xây dựng, cải tiến các chính sách, quy định, quy trình, rủi ro về an toàn thông tin/công nghệ thông tin cho các hoạt động của doanh nghiệp, tổ chức và tiến hành kiểm tra, rà soát toàn trình các hoạt động đó có đảm bảo tuân thủ”. Nói đơn giản hơn là người viết luật và là người đi kiểm tra luật có được áp dụng đúng và đủ trong hệ thống thông tin của tổ chức, doanh nghiệp hay không.

Vậy lấy cái gì để viết ra luật bây giờ nhỉ?

Thực tế hiện nay kiểm toán an toàn thông tin đang sử dụng chính các nguồn dữ liệu từ:

• Quy định Pháp luật Việt Nam
  • 86/2015/QH13 Luật An toàn thông tin mạng ngày 19/11/2015.
  • Nghị định 85/2016/NĐ-CP về Đảm bảo an toàn hệ thống thông tin theo cấp độ ngày 1/7/2016.
  • Thông tư 03/2017/TT-BTTTT Quy định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 1/7/2016 của chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ ngày 24/4/2017.
  • 24/2018/QH14 Luật An ninh mạng ngày 12/6/2018.
  • Thông tư 09/2020/TT-NHNN Quy định về an toàn hệ thống thông tin trong hoạt động ngân hàng ngày 21/10/2020.
  • TCVN 11930:2017
• Tiêu chuẩn quốc tế:
  • ISO27001:2013 (ISO/IEC 27001:2013, ISO27017, ISO27701 …) cái này hay được dùng nhất này ^^!
  • CSA Star.
  • PCI DSS.
  • Một phần trong ITIL.
  • Một phần trong eTom.
  • Và nhiều framework khác tùy đặc thù ngành nghề của tổ chức (Tham khảo CAIQ).

Như vậy những tham chiếu trên đã đủ để xây dựng chính sách sát với thực tế chưa? Các bạn cùng thảo luận bên dưới bài viết nhé. Còn với quan điểm của cá nhân tôi thì chưa đủ. Người làm kiểm toán ATTT ngoài cốt yếu nắm được luật thì còn phải hiểu rất rõ tổ chức để có thể đưa ra các tuyên bố đáp ứng an toàn theo tiêu chuẩn, quy định và phù hợp với tổ chức của mình. Nôm na là, ngoài hiểu biết pháp luật thì bạn còn cần rất nhiều tri thức về An toàn thông tin và mô hình hoạt động của các tổ chức khác nhau nữa, nên nghề này sẽ phù hợp với những bạn có đam mê với An toàn thông tin/ Công nghệ thông tin, có hiểu biết về pháp luật và đặc biệt thích (làm cảnh sát giao thông) đi kiểm tra người khác .

Viết luật xong thì làm gì để áp dụng những luật đó bây giờ?

Một câu mình tâm đắc trong quá trình làm việc “Dùng cả thanh xuân để viết Quy trình, triển khai 3 tháng giật mình thấy toang”. Hiện thực đó là hệ quả của việc viết luật mà không hiểu về tổ chức. Nhưng hiểu rồi, viết đúng rối mà vẫn toang là cớ làm sao?. Làm sao để nó không toang bây giờ? Sau đây là một số kinh nghiệm của tôi:

• Viết xong rồi phải có cách nào để ai liên quan trực tiếp đến công việc cũng phải đọc cái mình viết.
• Phải tiến hành đánh giá tuân thủ nội bộ thường xuyên (ít nhất 1 năm 1 lần) và có phê duyệt của ông leadership (ông ký chuyển lương cho nhân viên ấy).
• Làm luật phải gắn với chế tài: Có chế tài cụ thể để nhân sự hoặc kế toán trạc tiền theo tháng nếu không tuân thủ nhé.
• Có hệ thống quản lý rủi ro, quản lý tuân thủ để bạn có thể nhập các sự vụ không tuẩn thủ vào và theo dõi việc xử lý nó liên tục. Ai không tuân thủ là bị mách ban lãnh đạo ngay. Y như Sao đỏ vậy.

Vậy để làm Kiểm toán An toàn thông tin, bạn cần những kỹ năng gì?

Khá là nhiều đấy:

• Có kiến thức về mạng (CCNA trở lên).
• Có kiến thức về quản trị hệ thống (LPI1, MCSA trở lên).
• Có kiến thức về quản trị cơ sở dữ liệu (OCA, MCSA SQL trở lên).
• Có hiểu biết về các framework ITIL, Etom, ISO27001 …
• Có kiến thức về ATTT (Giải pháp ATTT, xử lý sự cố, Điều tra số, Pentest, …).
• Có hiểu biết về luồng tuyển dụng, quản lý tài sản.
• Có hiểu biết về nghiệp vụ của tổ chức (phát triển phần mềm, cung cấp dịch vụ, sản xuất, vận hành, tư vấn…).
• Tiếng anh 4 kỹ năng.
• Vui vẻ hòa đồng, dễ nói chuyện ^^!
• Có khả năng làm việc độc lập
• ….

Đừng tin mấy kiểu bạn xu cà na như này nhé ^^

Căn cứ theo đặc thù của tổ chức để yêu cầu thôi nhưng có 3 thứ mình cho là tối quan trọng.

• Hiểu rõ về nghiệp vụ của tổ chức mà bạn đang kiểm toán. (Bạn để ý mấy ông làm kiểm toán đến hỏi câu đầu tiên là bạn làm gì và làm như thế nào rồi mới kiểm toán nhé).
• Mọi kết luận về vấn đề tuân thủ không gắn với cá nhân mà chỉ gắn với phòng hoặc cả tổ chức ^^!.
• Luôn tâm niệm Kiểm toán là tìm kiếm cái tốt đẹp và khuyến nghị để tốt hơn hay nói cách khác là “Người đi tìm kiếm sự phù hợp”.

Tóm lại:

Kiểm toán An toàn thông tin là người “Kiếm tìm sự phù hợp” giúp cho đơn vị nâng cao khả năng phòng vệ, đảm bảo an toàn thông tin dựa trên việc quản lý rủi ro, xây dựng chính sách, quy định, quy trình về An toàn thông tin/CNTT và đảm bảo tuân thủ.

Các hạng mục để kiểm toán ATTT thực hiện đối với một tổ chức mình sẽ làm rõ trong bài viết sau!

Best Regards!