Xây dựng chương trình quản trị dữ liệu
Theo Học viện Quản trị dữ liệu định nghĩa, quản trị dữ liệu là một hệ thống các quyền và trách nhiệm quyết định có liên quan đến thông tin, được thực hiện theo một mô hình đã được xác định, mô tả ai được thực hiện hành động nào với thông tin gì và khi nào, trong trường hợp nào, sử dụng phương pháp nào.
Khi thực hiện quản trị dữ liệu, tổ chức phải trả lời một số câu hỏi cơ bản sau:
- Ai là chủ sở hữu dữ liệu?
- Khi dữ liệu bị rò rỉ, ai là người chịu trách nhiệm?
- Chất lượng dữ liệu được đo lường thế nào? Ai là người chịu trách nhiệm nâng cao chất lượng dữ liệu?
- Mọi người trong tổ chức có hiểu dữ liệu theo cùng một cách?
- Ai là người quyết định kiến trúc dữ liệu?
- Dữ liệu được phân loại thế nào?
- Dữ liệu được lưu trữ ở đâu, trong bao lâu?
Về cơ bản, chương trình quản trị dữ liệu sẽ bao phủ lên toàn bộ các hoạt động của ngân hàng, bao gồm con người – mô hình tổ chức, quy định, quy trình và hệ thống công nghệ thông tin. Chính vì mức độ bao phủ rộng lớn và có sự tương tác tới rất nhiều đơn vị trong ngân hàng, nên việc triển khai chương trình quản trị dữ liệu không hề đơn giản, đòi hỏi sự tham gia của các lãnh đạo cấp cao trong ngân hàng và sự phối hợp của nhiều đơn vị.
Khi triển khai chương trình quản trị dữ liệu, việc đầu tiên cần triển khai là xây dựng đơn vị chuyên trách các vấn đề liên quan đến dữ liệu trên phạm vi toàn ngân hàng. Đơn vị này hoạt động độc lập, báo cáo trực tiếp Tổng Giám đốc ngân hàng, được quản lý bởi Giám đốc Dữ liệu (Chief Data Officer). Giám đốc Dữ liệu là vị trí mới, không riêng ở Việt Nam mà cả ở trên thế giới. Tuy nhiên, với tầm quan trọng của dữ liệu ngày càng được khẳng định thì các tổ chức lớn càng ngày càng coi trọng vị trí này hơn.
Việc xây dựng một đơn vị chuyên trách với các vấn đề dữ liệu sẽ giúp cho việc kiện toàn các quy định, quy trình về dữ liệu, từ đó nâng cao nhận thức của người dùng về dữ liệu. Ngoài ra, trong quá trình triển khai quản trị dữ liệu, một trong các hoạt động chủ yếu là xác định chủ sở hữu dữ liệu và phân loại dữ liệu. Việc xác định chủ sở hữu dữ liệu trên phạm vi toàn ngân hàng cùng với việc nêu rõ vai trò, trách nhiệm của chủ sở hữu dữ liệu sẽ nâng cao vai trò, trách nhiệm của chủ sở hữu dữ liệu với dữ liệu do mình quản lý. Như chúng ta đều biết, để nâng cao bảo mật của dữ liệu, thông tin thì việc phân loại dữ liệu để ngân hàng có cơ chế phù hợp với từng loại dữ liệu là rất quan trọng, đây cũng là một hoạt động của quản trị dữ liệu. Trong phạm vi hạn hẹp, bài viết sẽ đi sâu vào phân tích một mô hình tổ chức quản trị dữ liệu.
Mô hình tổ chức quản trị dữ liệu
Như đã trao đổi ở mục trên, triển khai quản trị dữ liệu phải bắt đầu từ mô hình tổ chức. Trong quản trị dữ liệu, có hai loại mô hình tổ chức đóng góp vai trò lớn trong việc triển khai quản trị dữ liệu thành công: mô hình tổ chức mềm là các ủy ban có chức năng kiêm nhiệm và mô hình tổ chức cứng là Trung tâm Quản trị dữ liệu có chức năng chuyên biệt.
Với mô hình tổ chức mềm, ở một số tổ chức sẽ phân cấp 3 ủy ban: Ủy ban Điều hành dữ liệu (Data Executive Council), Ủy ban Quản trị dữ liệu (Data Governance Council) và Hội đồng Quản trị dữ liệu (Data Stewards Council). Tuy nhiên, các ngân hàng tại Việt Nam có thể rút gọn mô hình với 2 Ủy ban: Ủy ban Điều hành dữ liệu và Ủy ban Quản trị dữ liệu.
Ủy ban Điều hành dữ liệu: Chủ trì là Tổng giám đốc của ngân hàng, các thành viên sẽ bao gồm Giám đốc Tài chính, Giám đốc Quản trị rủi ro, Giám đốc Công nghệ thông tin, Giám đốc Vận hành, Giám đốc Dữ liệu, Giám đốc các khối kinh doanh. Ủy ban Điều hành dữ liệu sẽ chịu trách nhiệm định hướng về mặt chiến lược, các kế hoạch triển khai tổng thể, quyết định các vấn đề chưa xử lý được tại Ủy ban Quản trị dữ liệu và quyết định đầu tư các dự án chiến lược về dữ liệu dựa trên tư vấn, khuyến nghị của GĐ Dữ liệu. Tùy theo tình hình của từng ngân hàng, Ủy ban này có thể họp theo từng quý hoặc 6 tháng
Ủy ban Quản trị dữ liệu: Chủ trì là GĐ Dữ liệu, các thành viên sẽ bao gồm các chủ sở hữu dữ liệu, các quản lý dữ liệu (Data Stewards) tương ứng, thành viên khối CNTT và các thành viên của Trung tâm Quản trị dữ liệu theo từng chủ đề họp của Ủy ban. Ủy ban Quản trị dữ liệu chịu trách nhiệm thi hành chiến lược dữ liệu, các kế hoạch, triển khai dự án đã được phê duyệt bởi Ủy ban Điều hành dữ liệu, ngoài ra Ủy ban Quản trị dữ liệu phải tham mưu, đề xuất với Ủy ban Điều hành dữ liệu các vấn đề mới phát sinh chưa xử lý được hoặc vượt thẩm quyền xử lý, tiếp nhận và xử lý các vấn đề về dữ liệu từ các chủ sở hữu dữ liệu. Ủy ban Quản trị dữ liệu thường họp hàng tháng. Hình 6 là một mô hình mà độc giả có thể tham khảo.
Hình 6: Mô hình tổ chức mềm – Các Ủy ban dữ liệu
Với mô hình tổ chức cứng, việc thành lập Trung tâm Quản trị dữ liệu là đơn vị duy nhất chịu trách nhiệm tiếp nhận và giải quyết các vấn đề phát sinh về dữ liệu trên phạm vi toàn ngân hàng, tuy nhiên, chúng ta cần lưu ý, vấn đề về dữ liệu không phải công việc chỉ của Trung tâm Quản trị dữ liệu, để giải quyết triệt để các vấn đề dữ liệu cần có sự chung tay góp sức của toàn bộ các đơn vị, cá nhân trong ngân hàng. Về cơ bản, Trung tâm Quản trị dữ liệu cần có các chức năng sau:
- Quản trị dữ liệu: Xây dựng, ban hành, duy trì và kiểm soát việc thực thi các quy định, quy trình về dữ liệu trên phạm vi toàn ngân hàng.
- Kiến trúc dữ liệu: Quản lý việc thiết kế kiến trúc dữ liệu cùng với đơn vị kiến trúc hệ thống của khối CNTT.
- Quản lý siêu dữ liệu: xây dựng và cập nhật từ điển dữ liệu (data dictionary), từ điển thuật ngữ nghiệp vụ (business glossary), xây dựng luồng dữ liệu (data linage).
- Quản lý chất lượng dữ liệu: xây dựng hệ thống kiểm soát chất lượng dữ liệu bao gồm các báo cáo chất lượng dữ liệu, quy tắc đo lường chất lượng dữ liệu.
- Vận hành dữ liệu: chuẩn hóa hoạt động nhập liệu tập trung hóa, hỗ trợ các đơn vị quản trị dữ liệu và quản lý chất lượng dữ liệu trong hoạt động vận hành. Thực tế, trên thế giới, việc tập trung hóa hoạt động nhập và kiểm soát chất lượng dữ liệu không hề xa lạ với sự hỗ trợ của các hệ thống như BPM (Business Process Management) hoặc ECM (Enterprise Content Management). Tuy nhiên, tại Việt Nam thì mô hình này vẫn còn mới và cần nhiều thời gian để nghiên cứu và thử nghiệm.
- Quản lý dữ liệu chủ: xây dựng hệ thống quản lý, lưu trữ, chuẩn hóa và phân phối dữ liệu chủ giữa các hệ thống dữ liệu nguồn và hệ thống sử dụng. Quản lý dữ liệu chủ chỉ có thể được thực hiện một cách hiệu quả khi toàn bộ các trức năng bên trên được triển khai vào đi vào hoạt động thường ngày.
Hình 7 mô tả các chức năng của Trung tâm Quản trị dữ liệu. Để trung tâm hoạt động hiệu quả cần có sự phối hợp chặt chẽ của các đơn vị Quản trị rủi ro và Công nghệ thông tin.
Hình 7: Mô hình tổ chức cứng – Trung tâm Quản trị dữ liệu
Một số lưu ý khi triển khai quản trị dữ liệu
Một số khuyến nghị với các tổ chức trước khi triển khai quản trị dữ liệu:
Quản trị dữ liệu là một chương trình triển khai liên tục theo toàn bộ vòng đời của ngân hàng, không phải là một dự án triển khai xong là dừng. Công tác này sẽ tác động tới rất nhiều hoạt động của ngân hàng từ mô hình tổ chức, quy trình tới công nghệ. Chính vì mức độ bao phủ lớn như vậy nên cần có sự quan tâm, tham gia sâu sát từ các cấp lãnh đạo cao cấp, chuyền tải thông điệp của quản trị dữ liệu tới toàn bộ CBNV của ngân hàng.
Bên cạnh đó, cần nhìn nhận việc quản trị dữ liệu không phải là công việc của một cá nhân, đơn vị, mà là công việc của toàn bộ ngân hàng.
Quản trị dữ liệu phải được triển khai và đưa vào vận hành hàng ngày, trước khi triển khai các dự án về dữ liệu khác như Dự án xây Kho dữ liệu, Dự án phòng chống thất thoát thông tin, Dự án nâng cao chất lượng dữ liệu, Dự án Xây dựng hệ thống quản lý dữ liệu chủ….
Nguyễn Minh Đức - Ngân hàng TMCP Quân đội (MB Bank)
14:00 | 29/11/2019
10:00 | 12/01/2021
14:00 | 29/11/2019
16:00 | 12/12/2019
09:00 | 07/05/2021
14:00 | 07/07/2021
13:00 | 29/12/2023
Hiện nay, số lượng các vụ tấn công mạng trên ứng dụng web đang có xu hướng ngày càng gia tăng cả về quy mô lẫn mức độ tinh vi, với mục tiêu nhắm vào các dịch vụ cơ sở trọng yếu, khối tài chính, ngân hàng và các tổ chức/doanh nghiệp (TC/DN) lớn. Hậu quả của các cuộc tấn công này có thể là giả mạo giao dịch, gián đoạn hoạt động kinh doanh hay vi phạm dữ liệu, dẫn đến nguy cơ rò rỉ thông tin và mất mát dữ liệu quan trọng. Điều này gây ra nhiều thiệt hại đáng kể về tài chính cũng như uy tín của các TC/ DN. Bài báo sẽ trình bày thực trạng về bảo mật ứng dụng web năm 2023 dựa trên báo cáo của công ty an ninh mạng OPSWAT, cùng các giải pháp phòng tránh mối đe dọa tấn công mạng này.
16:00 | 27/07/2023
Trong phần I của bài báo, nhóm tác giả đã trình bày về các phương pháp mã hóa dữ liệu lưu trữ, trong đó tập trung về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi. Với những ưu điểm của việc thiết kế module dưới dạng tách rời, trong phần II này, nhóm tác giả sẽ trình bày cách xây dựng module Kuznyechik trong chuẩn mật mã GOST R34.12-2015 trên Raspberry Pi, từ đó xây dựng một phần mềm mã hóa phân vùng lưu trữ video từ camera sử dụng thuật toán mật mã mới tích hợp.
09:00 | 09/01/2023
Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].
09:00 | 12/09/2022
Active Directory – AD được biết đến là một dịch vụ thư mục của Windows cho phép các cán bộ, quản trị viên công nghệ thông tin (CNTT) có thể quản lý quyền truy cập người dùng, ứng dụng, dữ liệu và nhiều khía cạnh khác trong mạng của các tổ chức/doanh nghiệp (TC/DN). Tuy nhiên, bởi AD chứa rất nhiều dữ liệu quan trọng nên đây chính là đối tượng thường được các tin tặc khai thác để thực hiện các cuộc tấn công chiếm quyền điều khiển và các hành vi độc hại khác. Bài báo này sẽ gửi tới quý độc giả 11 bước tăng cường bảo vệ dịch vụ AD trong môi trường mạng doanh nghiệp.
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024