Các định chế tài chính trên toàn cầu đang ngày càng chú trọng vào công tác quản lý dữ liệu như một tài sản chiến lược. Thực tế, vai trò của dữ liệu ngày càng được nâng cao và bắt đầu tạo ra những bước đi tiên phong trong khai thác phục vụ các mục tiêu kinh doanh chiến lược của tổ chức. Tuy nhiên, trong cuộc cách mạng công nghiệp 4.0, doanh nghiệp sẽ bị thiệt hại rất lớn nếu công tác quản lý rủi ro công nghệ thông tin yếu kém.
MỘT SỐ KHÁI NIỆM
Rủi ro công nghệ thông tin (CNTT) là khả năng xảy ra tổn thất khi thực hiện các hoạt động liên quan đến quản lý, sử dụng phần cứng, phần mềm, truyền thông, giao diện hệ thống, vận hành và con người. Quản lý rủi ro CNTT là các hoạt động phối hợp nhằm nhận diện và kiểm soát các rủi ro CNTT có thể xảy ra. Quản lý CNTT có ý nghĩa rất quan trọng đối với doanh nghiệp. Với việc nhận diện và phân tích các lỗ hổng tiềm ẩn của hệ thống CNTT, doanh nghiệp có thể chuẩn bị tốt hơn đối với các cuộc tấn công mạng và chủ động giảm thiểu tác động của các sự cố an ninh mạng nếu có xảy ra.
Có thể phân loại rủi ro CNTT thành 10 loại bao gồm: i) rủi ro chiến lược CNTT; ii) rủi ro an ninh mạng và ứng phó sự cố CNTT; iii) rủi ro gián đoạn và khôi phục hoạt động CNTT; iv) rủi ro thực thi chương trình CNTT; v) rủi ro vận hành công nghệ, iv) rủi ro quản trị dữ liệu; vii) rủi ro trong cung cấp dịch vụ qua kênh số/giao dịch tự động và công nghệ số; viii) rủi ro trong cung cấp dịch vụ qua kênh quầy; ix) rủi ro trong quá trình sử dụng dịch vụ của bên thứ ba; x) rủi ro liên quan đến công tác quản lý rủi ro CNTT.
TÌM HIỂU VỀ RỦI RO QUẢN TRỊ DỮ LIỆU
Theo các thông lệ tốt về quản trị dữ liệu, rủi ro về dữ liệu (Data risk) là nguy cơ xảy ra tổn thất về kinh tế hoặc danh tiếng, phát sinh từ:
i) quản trị dữ liệu kém (Poor data governance): Tổ chức không đủ năng lực về quản trị dữ liệu để đảm bảo rằng dữ liệu của mình có đủ chất lượng xuyên suốt vòng đời của dữ liệu;
ii) quy trình quản lý dữ liệu kém (Data mismanagement): các quy trình yếu kém trong việc thu thập, kiểm chứng, lưu trữ, bảo vệ, và xử lý dữ liệu cho người sử dụng;
iii) bảo mật dữ liệu kém (lack of data security): các khó khăn trong việc bảo vệ dữ liệu số do các hoạt động không mong muốn như tấn công mạng hoặc rò rỉ dữ liệu.
Công tác quản lý rủi ro (QLRR) về dữ liệu (data risk management) là quy trình gồm các chốt kiểm soát về việc thu thập, lưu trữ, chuyển đổi, và sử dụng dữ liệu, từ khi tạo ra cho tới khi thôi sử dụng dữ liệu, nhằm giảm thiểu rủi ro về dữ liệu. Một hệ thống quản trị rủi ro dữ liệu toàn diện sẽ giảm thiểu rủi ro về việc dữ liệu bị làm lộ hoặc xâm phạm, đồng thời tăng cường hiệu quả làm việc của đội ngũ nhân sự của tổ chức thông qua việc các thông tin được cung cấp có tính chính xác và được tổ chức tốt.
Theo báo cáo của Risk Based Security, hơn 3.800 vụ vi phạm dữ liệu đã tấn công các tổ chức, doanh nghiệp vào nửa đầu năm 2019. Mặc dù có nhiều lo ngại trong cộng đồng an ninh mạng về những mối đe dọa nội bộ trong các tổ chức, 89% các vi phạm là kết quả của các cuộc tấn công bên ngoài. Risk Based Security cũng chỉ ra sự nguy hiểm của việc đặt dữ liệu nhạy cảm cho bên thứ ba quản lý. Theo báo cáo điều tra vi phạm dữ liệu năm 2020 của Verizon, lợi ích tài chính vẫn là động cơ chính của tội phạm mạng với khoảng 9/10 vụ vi phạm (86%), chứ không phải mục đích gián điệp. Trong lĩnh vực tài chính bảo hiểm, 30% sự cố là do các cuộc tấn công ứng dụng web, chủ yếu từ các tác nhân bên ngoài sử dụng thông tin xác thực bị đánh cắp để truy cập dữ liệu nhảy cảm được lưu trữ trên đám mây.
MỘT SỐ RỦI RO VỀ DỮ LIỆU
Một số rủi ro về dữ liệu cụ thể có thể phát sinh như:
i) Rủi ro lệ thuộc vào nhà cung cấp: các nhà cung cấp dịch vụ phần mềm trên Cloud (SaaS- Sofware as a service) có thể nắm giữ dữ liệu của tổ chức như là con tin nếu tổ chức có ý định chuyển nhà cung cấp. Cụ thể việc lệ thuộc vào nhà cung cấp sẽ dẫn tới việc họ hạn chế hay đưa ra mức chi phí bất hợp lý đối với việc chuyển dữ liệu, chuyển ứng dụng , chuyển hạ tầng công nghệ hoặc chi phí chuyên gia, khi tổ chức quyết định chuyển đổi nhà cung cấp;
ii) Hệ thống lưu trữ dữ liệu gặp sự cố: Bất kỳ sự cố nào từ sự cố do lỗi kỹ thuật hoặc là tấn công do phần mềm mã độc có thể dẫn tới mất dữ liệu nếu hệ thống lưu trữ dữ liệu bị trục trặc. Rủi ro này có thể được hạn chế bằng việc triển khai back up dữ liệu;
iii) Dữ liệu bị làm hỏng: Điều này có thể do lỗi của con người, do truy cập trái phép dữ liệu, hoặc cơ sở dữ liệu gặp sự cố, điều này dẫn tới ảnh hưởng tới danh tiếng của tổ chức và giảm hiệu quả công việc;
iv) Dữ liệu còn sót lại: Dữ liệu còn lại trong tổ chức, cho dù đã được xóa đi, gây ra rủi ro tổ chức có thể không biết là dữ liệu này vẫn còn tồn tại, và do vậy, dễ dàng bị lộ mà tổ chức không hay biết;
v) Tuân thủ các chuẩn mực về dữ liệu: Không tuân thủ các chuẩn mực về quản trị dữ liệu, đặc biệt với các luật lệ và quy định của ngành, có thể dẫn tới các khoản phạt và chế tài bất lợi;
vi) Các yếu điểm về bảo mật: Các tội phạm mạng sẽ tìm kiếm các điểm yếu về bảo mật, do lỗi hệ thống chưa được vá hoặc các nhân sự gặp các cụ lừa đảo về mạng, các yếu điểm này dẫn tới rủi ro cho dữ liệu của tổ chức;
vii) Dữ liệu không được sử dụng: còn được biết đến là “dữ liệu tối (dark data)”, là các tài sản dữ liệu mà tổ chức thu thập, xử lý và lưu trữ, nhưng không dùng tới. Lưu trữ các dữ liệu tối dễ dàng gây ra rủi ro về bảo mật, các vấn đề về tuân thủ quy định, và các quan ngại về lưu trữ. Công cụ đo lường kiểm soát rủi ro quản trị dữ liệu.
CÁC CÔNG CỤ ĐO LƯỜNG VÀ KIỂM SOÁT RỦI RO QUẢN TRỊ DỮ LIỆU PHỔ BIẾN NHƯ:
i) Tự đánh giá, đo lường rủi ro và xây dựng các chốt kiểm soát rủi ro (Risk & Control Self Asessment): Thiết lập năng lực tự đánh giá các rủi ro phát sinh tương ứng với các trụ cột, cấu phần của khung quản trị dữ liệu toàn hàng, đây là cơ sở để xây dựng các chốt kiểm soát rủi ro và kế hoạch hành động để xử lý rủi ro quản trị dữ liệu;
ii) Đo lường và kiểm soát rủi ro sự cố về quản trị dữ liệu (Loss Event Management): xác định các sự cố liên quan tới quản trị dữ liệu và đo lường các rủi ro hoạt động cùng chi phí khắc phục tương ứng. Các tiếp cận này thường áp dụng theo định kỳ (hàng quý, bán niên, hàng năm) dự trên các sự cố về quản trị dữ liệu xảy ra trong ngân hàng;
iii) Hệ thống chỉ đo lường rủi ro trọng yếu về quản trị dữ liệu (KRIs): Đây là biện pháp QLRR quản trị dữ liệu phổ phiến được tích hợp với không QLRR chung của ngân hàng. Các trụ cột và cấu phần của khung quản trị dữ liệu sẽ được phân tích, đánh giá để xác định các rủi ro trọng yếu sẽ ảnh hưởng tới hoạt động vận hành, kinh dianh của ngân hàng, từ đó thiết lập hệ thống KRI về quản trị dữ liệu và các ngưỡng cảnh báo để kiểm soát và có kế hoạch xử lý rủi ro kịp thời.
KINH NGHIỆM TRIỂN KHAI TẠI VIỆT NAM
QLRR dữ liệu là lĩnh vực tương đối mới tại thị trường ngân hàng Việt Nam. Tuy nhiên tốc độ phát triển mạnh mẽ về khối lượng dữ liệu (từ dữ liệu khách hàng đến dữ liệu giao dịch) cùng với vấn đề chất lượng dữ liệu kém không đáp ứng yêu cầu báo cáo, phân tích hỗ trợ quá trình ra quyết định thúc đẩy nhiều ngân hàng tại Việt Nam khởi động, thiết lập và triển khai khung quản trị dữ liệu tổng thể kèm với việc quản lý và kiểm soát rủi ro quản trị dữ liệu.
Theo đó, một số ngân hàng trong nước đã bước đầu thiết lập chức năng quản trị dữ liệu chuyên biệt với cơ cấu tổ chức, vai trò và trách nhiệm rõ ràng để quy hoạch tập trung việc triển khai quản trị dữ liệu và QLRR quản trị dữ liệu toàn hàng. Tiếp đó hệ thống chỉ số đo lường hiệu quả (KPI) về triển khai quản trị dữ liệu sẽ được thiết lập nhằm mục đích giám sát chất lượng và kiểm soát rủi ro. Khi khung quản trị dữ liệu đã được thiết lập và chuyển sang giai đoạn vận hành toàn hàng thì các ngân hàng sẽ xây dựng hệ thống dasboarch/report về quản trị dữ liệu (báo cáo về meta data, báo cáo về chất lượng dữ liệu...) để theo dõi hiệu quả thực tế và QLRR.
Ngoài ra, rủi ro quản trị dữ liệu cũng sẽ được đo lường và báo cáo Ủy ban QLRR thông qua hệ thống chỉ số đo lường rủi ro trọng yếu (Key Risk Indicators- KRI). Các chỉ số KRI này thường được thiết lập dựa trên việc đánh giá rủi ro trọng yếu khi áp dụng các quy trình, chính sách tiêu chuẩn quản trị dữ liệu trong thực tiễn hoạt động vận hành và kinh doanh của ngân hàng.
Theo Tạp chí BIDV số 287- 6/2021.
