Tuy nhiên, bất chấp những đổi mới này, nhiều tổ chức bỏ qua một thành phần quan trọng của DRM đó là tuân thủ dưới dạng mã. DRM được đặt ra bởi các chuyên gia tại đơn vị sản xuất phần mềm uy tín trên thế giới, tuân thủ dưới dạng mã đề cập đến việc bao gồm quản lý rủi ro và sự tuân thủ trong toàn bộ chu trình phát triển phần mềm (SDLC). Hiện tại, DRM thường được thêm theo cách hồi tố vào SDLC mặc dù nó không nhất thiết, lý do là các doanh nghiệp coi rủi ro là điều có thể xem xét sau, nhưng chủ yếu vì đây chỉ là quy trình kỹ thuật tiêu chuẩn chứ không bắt buộc. Tuy nhiên, bằng cách sử dụng phương pháp tuân thủ dưới dạng mã và thực hiện DRM ngay từ đầu và trong suốt các pha phát triển phần mềm, các công ty có thể giảm chi phí và tiết kiệm thời gian hơn nữa, cùng với các lợi ích khác. Điều quan trọng cần nhớ là trong quá trình chuyển đổi số, dấu vết rủi ro cũng sẽ luôn thay đổi và khó theo vết được.
Khi một tổ chức chuyển sang DRM sẽ làm thay đổi hoàn toàn định hướng và trọng tâm chiến lược của tổ chức đó từ khả năng ra quyết định và tự động hóa tiên tiến, để tăng hiệu quả và nâng cao khả năng cạnh tranh. DRM là sự phát triển tiếp theo của GRC, cho phép các công ty bắt đầu quá trình ảo hóa và số hóa. Với số hóa, người ta có thể để lại một dấu vết dễ dàng theo dõi cho các nhà phân tích rủi ro để giải quyết các vấn đề nhỏ một cách nhanh chóng hoặc liên tục báo cáo những vấn đề quan trọng. Điều tra rủi ro tập trung vào dữ liệu cho phép các chuyên gia và nhà cung cấp dịch vụ cộng tác hiệu quả hơn.
Hơn nữa, việc bao gồm DRM cho phép các doanh nghiệp triển khai tự động hóa thông minh hơn, điều này cần thiết đối với an ninh mạng hiện đại vì nó có thể xác định những rủi ro mà doanh nghiệp có thể không biết. Nếu không có tự động hóa, các công ty sẽ cần phải thuê một đơn vị chuyên nghiệp. Ngoài ra, với các quy định mới từ một số cơ quan như Ủy ban Thương mại Liên bang Mỹ (FTC) và Đạo luật về khả năng phục hồi hoạt động kỹ thuật số (DORA) ở Châu Âu, các yêu cầu bao gồm bảo mật mạng sẽ như một phần của chu trình phát triển phần mềm.
Tuy nhiên, bất chấp những lợi ích to lớn này, DRM cũng đi kèm với những thách thức và lo ngại, đặc biệt là trong các giai đoạn sau của chu trình phát triển phần mềm. Các tổ chức phải cẩn thận vì khi tiếp tục bổ sung công nghệ mới vào danh mục đầu tư và tiếp tục tự động hóa nhiều quy trình sẽ có thể vô tình tạo ra các lỗ hổng bảo mật mới. Trong khi việc áp dụng các phương pháp DRM có thể thúc đẩy quá trình trưởng thành và tăng trưởng nhanh chóng, các doanh nghiệp cũng phải chuẩn bị để tạo ra các vị trí mới, thuê nhân viên mới và đào tạo nhân lực. Tương tự như vậy, việc chuyển đổi từ GRC sang DRM đòi hỏi nỗ lực và chi phí đáng kể (tuy nhiên, nếu tránh chi phí DRM thì trong tương lai cuối cùng vẫn phải trả cho nó).
Thông thường, tốt nhất là các công ty nên hợp tác với một nhà cung cấp DRM có kinh nghiệm, một người hiểu rõ những thay đổi nhỏ có thể có tác động như thế nào. Thông thường, đối tác này có thể giúp một tổ chức xây dựng chiến lược DRM và một lộ trình phù hợp để giải quyết các rủi ro, nhu cầu kinh doanh cụ thể. Hơn nữa, điều quan trọng là các doanh nghiệp dù có chọn đối tác hay không đều phải thiết lập chiến lược DRM của mình sao cho chiến lược này không đến vào pha cuối mà xuyên suốt cả quá trình phát triển phần mềm.
SDLC mô tả các bước thiết kế cơ bản mà doanh nghiệp tuân theo khi phát triển phần mềm mới. Điều quan trọng là phải hiểu các giai đoạn khác nhau và tại sao cần phải bổ sung quản lý rủi ro, sự tuân thủ và quản trị vào toàn bộ quy trình. Trong giai đoạn đầu hoặc giai đoạn lập kế hoạch, các công ty phải xác định các rủi ro tiềm ẩn để giảm thiểu sự gián đoạn hoạt động. Sau đó đến giai đoạn phân tích yêu cầu, nơi các doanh nghiệp thu thập và phân tích các yêu cầu thiết kế khác nhau cho từng tính năng phần mềm. Giai đoạn tiếp theo là giai đoạn thiết kế và tạo mẫu, trong đó, các kế hoạch mà các kiến trúc sư phần mềm tạo ra cho phép doanh nghiệp xác định các công nghệ và bộ công cụ chính cần thiết cho sự phát triển cuối cùng của sản phẩm. Sau đó, quá trình phát triển phần mềm sẽ thực sự bắt đầu.
Giai đoạn thứ hai đến giai đoạn cuối cùng là giai đoạn kiểm thử phần mềm, qua đó việc đảm bảo chất lượng sẽ cố gắng phát hiện bất kỳ khiếm khuyết hoặc lỗi nào trong phần mềm với sự tuân thủ dưới dạng mã, việc kiểm thử quan trọng này không chỉ giới hạn ở một giai đoạn mà là toàn bộ SDLC. Cuối cùng, ở giai đoạn triển khai và bảo trì, doanh nghiệp tung sản phẩm ra thị trường. Nhìn chung, đây là một giai đoạn khác mà các lỗi phần mềm được khắc phục. Tuy nhiên, bằng cách tận dụng sự tuân thủ dưới dạng mã, các tổ chức có thể loại bỏ vấn đề thêm DRM về các giai đoạn trước sẽ làm kéo dài và trì hoãn các bước phát triển phần mềm.
Việc xây dựng các quy trình giảm thiểu và sự cố DRM thành các sáng kiến mới ngay từ đầu SDLC cho phép các công ty giảm chi phí quản lý rủi ro, điều này cũng rút ngắn thời gian khắc phục sự cố. Hơn nữa, việc tích hợp các hạng mục GRC vào SDLC ngay từ đầu cho phép các tổ chức tránh đưa các hạng mục đó vào sau khi quá trình phát triển phần mềm đã hoàn tất, điều này thường rất khó khăn và tốn thời gian.
Đánh giá rủi ro trở thành bản chất thứ hai khi các công ty đưa DRM vào toàn bộ quy trình SDLC thay vì chỉ một vài giai đoạn được chọn. Có thể hoàn toàn yên tâm về khả năng dự đoán rủi ro mạnh mẽ với các thủ tục giảm thiểu trong khi phát triển phần mềm. Các kỹ sư và kiến trúc sư phần mềm sẽ không liên tục xem xét vai trò tượng trưng của họ, tự hỏi liệu họ có nhầm lẫn sớm hơn trong SDLC hay không? Khi xem xét bối cảnh rủi ro ngày càng phát triển và ngày càng gia tăng, các tổ chức phải có một chiến lược DRM được xây dựng tốt bao gồm tất cả các lĩnh vực rủi ro, tuân thủ và quản trị trong toàn bộ SDLC.
Trong khi việc triển khai DRM thường gắn liền với các quy trình và công nghệ, trách nhiệm chung của những người tham gia vào việc lập kế hoạch và phát triển sản phẩm được coi là quan trọng nhất. Những nhân viên sau này sẽ bị ảnh hưởng nhiều nhất bởi số hóa cần phải sẵn sàng cho quá trình phát triển của công ty từ GRC sang DRM, nếu không, họ sẽ bị bỏ lại phía sau.
Tương tự, các doanh nghiệp cần đảm bảo quản lý rủi ro không xâm phạm đến mức sẽ ngăn cản sự đổi mới và làm xói mòn lòng tin. Khách hàng cũng là bên liên quan có tầm quan trọng nhất định. Cuối cùng, vì khách hàng của doanh nghiệp sử dụng sản phẩm và phần mềm của họ, rủi ro sẽ là yếu tố chính trong hành trình và trải nghiệm của khách hàng.
Ngô Hải Anh (Viện Công nghệ thông tin, Viện Hàn lâm Khoa học và Công nghệ Việt Nam)
14:00 | 16/06/2022
15:00 | 23/06/2021
12:25 | 31/07/2013
09:00 | 10/01/2024
Ngày nay, công nghệ trí tuệ nhân tạo (AI) có vai trò hết sức quan trọng trong mọi lĩnh vực của đời sống. Trong đó, lĩnh vực an toàn thông tin, giám sát an ninh thông minh có tiềm năng ứng dụng rất lớn. Bên cạnh các giải pháp như phát hiện mạng Botnet [1], phát hiện tấn công trinh sát mạng [2], việc ứng dụng AI trong giám sát an ninh, hỗ trợ điều tra tội phạm cũng đang được nghiên cứu, phát triển và ứng dụng rộng rãi. Trong bài báo này, nhóm tác giả đề xuất giải pháp sử dụng mô hình mạng nơ-ron tinh gọn phân loại tương tác giữa 2 người trong chuỗi ảnh rời rạc. Kết quả nghiên cứu có vai trò quan trọng làm cơ sở xây dựng và phát triển các mô hình phân loại hành động bất thường, phát hiện xâm nhập.
09:00 | 17/11/2023
Theo Cục An toàn thông tin (Bộ TT&TT), hiện nay có 24 hình thức lừa đảo qua mạng phổ biến mà các đối tượng lừa đảo nhắm vào người dân. Để tránh trở thành nạn nhân, người dân cần nắm bắt, tuyên truyền cho người thân, bạn bè, đồng nghiệp của mình.
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
13:00 | 26/12/2022
Một khía cạnh quan trọng của công nghệ blockchain (chuỗi khối) là xác định người dùng nào công bố khối tiếp theo. Điều này được giải quyết thông qua việc thực hiện một trong nhiều mô hình đồng thuận có thể. Trong khi cố gắng cải thiện hiệu quả năng lượng của các chuỗi khối sử dụng bằng chứng công việc (Proof of Work - PoW) trong cơ chế đồng thuận, bằng chứng cổ phần (Proof of Stake - PoS) lại đưa ra một loạt các thiếu sót mới đáng kể trong cả mô hình tiền tệ và mô hình quản trị. Bài viết trình bày lại các phân tích của [1] và chỉ ra rằng những hệ thống như vậy là độc tài, độc quyền nhóm và được ủy quyền (permissioned).
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024