Thuê ngoài an ninh thông tin

Các doanh nghiệp ngày càng có xu hướng tự giải phóng khỏi những chức năng không thuộc ngành nghề của mình… Vậy, có nên thuê ngoài việc đảm bảo an ninh thông tin?

Khi tự giải phóng mình khỏi những chức năng không thuộc ngành nghề theo đuổi, các doanh nghiệp (DN) nhận thêm được những khả năng tài chính bổ sung cũng như gia tăng tính minh bạch của hoạt động DN. Kết quả là hình thành những công ty cung ứng dịch vụ chuyên nghiệp theo điều kiện gia công. Thường có thể thuê ngoài các dịch vụ kinh doanh, giao nhận, vận tải, CNTT và nhiều dịch vụ khác và ngày càng phổ biến loại hình thuê ngoài từng phần dịch vụ an toàn thông tin (ANTT).

Không rẻ hơn tự làm

Theo Mikhail Levashov, Giám đốc kế hoạch Công ty Infosecurity Service, những bất cập chính của thuê ngoài xuất hiện khi xác định mức độ cần thiết của dịch vụ, mô tả dịch vụ và các chỉ tiêu cũng như gắn liền với giá cả dịch vụ tăng cao. “Những người hoài nghi nói rằng đảm bảo ANTT là chức năng đặc biệt, luôn gắn liền với nhiệm vụ kinh doanh chủ yếu - Levashov nói - Tuy nhiên, từng phần của việc đảm bảo ANTT từ lâu đã được các công ty thuê ngoài. Không phải thuê ngoài toàn bộ”. Để thực thi một cách bài bản và tin cậy các yêu cầu ANTT của DN, cần phải duy trì đội ngũ chuyên gia có trình độ đáng kể - là việc chỉ có các công ty lớn và giàu có mới làm được. Ngược lại, các DN nên tìm đến các DN bên ngoài sẵn sàng nhận gia công toàn phần hay từng phần, giải quyết các vấn đề ANTT. Những tổ chức như thế có đội ngũ chuyên gia trình độ cao, giải quyết mọi nhiệm vụ và đảm bảo các điều kiện làm việc ở tầm chất lượng khác hẳn so với các DN tự làm.

Nếu công ty gia công chào giá dịch vụ thấp thì hãy dè chừng, có thể chất lượng dịch vụ không đảm bảo hoặc gói dịch vụ được chào tiềm ẩn rủi ro cao... (Hình minh hoạ)

Đang có dư luận rằng thuê ngoài rẻ hơn tự làm nhưng trong những khảo sát gần đây, người ta thấy không phải vậy. “Để cung cấp nhân viên tương đương hay tốt hơn, công ty nhận gia công buộc phải trả lương tương xứng và mọi khoản thuế kéo theo để duy trì đội ngũ chuyên gia tốt. Vì DN gia công là nhà cung cấp dịch vụ nên còn chịu thêm khoản thuế lợi tức, dĩ nhiên! Cộng toàn bộ chi phí này, rõ ràng DN gia công không thể cân đối nổi ngân sách dù chỉ để cắt giảm 5% lợi nhuận ngay cả trong trường hợp vận dụng hệ thống tính thuế đơn giản và có lợi nhất cho họ”, Denis Muraviev, Tổng giám đốc điều hành nhóm công ty “4x4”, Chủ tịch Cộng đồng các chuyên gia CNTT Nga (RISSPA) phân tích.

Nguyên nhân thuê ngoài ANTT còn bao gồm biên chế hạn hẹp của các DN và khan hiếm nguồn lực đủ trình độ. Nguyên nhân thứ nhất rất đặc thù cho các chi nhánh tập đoàn quốc tế tại Nga. Nếu không thể thuê người, phần công việc của người đó phải thuê ngoài! Đó là chuyện rất phổ biến tại Nga hiện nay. Còn sự khan hiếm nhân sự ở Nga thì luôn xuất hiện ở những chuyên ngành hẹp. “ANTT không phải là ngành mà nhân sự luôn thay đổi. Hoàn toàn ngược lại… Nghĩa là, những phí tổn mà các công ty phải chịu khi cần tìm chuyên gia bảo mật có thể bỏ qua. Nhưng nếu công ty gia công cung ứng dịch vụ rẻ hơn đáng kể so với chi phí DN phải bỏ ra để duy trì đội ngũ bảo mật của riêng mình thì phải đặt ngay câu hỏi “vì sao họ làm thế?”! Chắc chắn, họ phải hy sinh chất lượng hoặc chấp nhận khả năng rủi ro cao hơn mức cho phép! Cả hai mặt đó đều tệ đối với DN tiêu dùng dịch vụ”, Muraviev nói.

Chân dung nhà cung cấp

Levashov cho rằng có thể thuê ngoài đa số chức năng, trừ các chức năng gắn liền với thông tin bảo mật đặc biệt. Tính hiệu quả của việc thuê ngoài có thể đánh giá qua nhiều tiêu chí, nhưng then chốt là không được có nhận xét xấu từ phía các cơ quan quản lý, cơ quan kiểm soát cũng như từ các khách hàng, đối tác. Đồng thời, chỉ cho phép rủi ro ở mức phù hợp. Hiện tại, hoạt động an ninh thông tin đòi hỏi giấy phép riêng theo vài khía cạnh nên một số tình huống có thể mâu thuẫn với quy định chung.

Theo Levashov, trong lĩnh vực tài chính - ngân hàng ở Nga, việc điều chỉnh các vấn đề ANTT tương đối toàn diện, trong đó số cơ quan chức năng tham gia ngày một nhiều hơn, từ Ngân hàng Trung ương Nga (Bank of Russia), FSTEK (Dịch vụ liên bang Nga về kỹ thuật và kiểm soát xuất khẩu); FSB (Cơ quan An ninh Liên bang Nga); Bộ Thông tin liên lạc và Truyền thông đại chúng Nga; Thanh tra Nhà nước Nga… “Nhà quản lý chính là Bank of Russia liên tiếp phát hành nhiều văn bản liên quan ANTT từ gói tiêu chuẩn theo các phiên bản khác nhau, các văn bản điều chỉnh công nghệ bảo vệ hệ thống chi trả, các văn bản quy định các định mức cũng như hướng dẫn…”.

Trong trường hợp cụ thể nói trên, thuê ngoài ANTT được xem như khả năng tối ưu hoá chi phí và là sự dịch chuyển trách nhiệm cùng một phần nhiệm vụ bảo vệ dữ liệu cho nhà cung cấp dịch vụ. Trong đó, trách nhiệm cụ thể giữ gìn dữ liệu cá nhân theo luật định vẫn thuộc về nhà khai thác, còn về nguyên tắc, bên thứ ba không chịu trách nhiệm này. Tức là, tạm thời, mọi thứ đều ổn thì không sao chứ nếu có chuyện gì xảy ra thì lỗi sẽ thuộc về nhà khai thác dữ liệu cá nhân. Đó là chuyện bên thuê tin tưởng giao dữ liệu, tài sản cho bên thứ ba, “đếm tiền” cho họ nhưng trách nhiệm trước sự cố vẫn… thuộc về bên thuê!

Giữa Công ty thuê và công ty gia công vẫn có thể thoả thuận hợp đồng ràng buộc, phân chia trách nhiệm đảm bảo an toàn dữ liệu khách hàng... (Hình minh hoạ)

Sự “tréo ngoe” này có thể khắc phục trong quan hệ đối tác nếu soạn đúng thoả thuận và cung cấp đúng dịch vụ gia công. Có một hình thức hợp đồng được Uỷ ban châu Âu khuyến cáo. Nó cho phép ràng buộc trách nhiệm cho bên thứ ba. Bên thứ ba sẽ bị ràng buộc trách nhiệm, nếu không với sự vi phạm tính toàn vẹn của dữ liệu cá nhân thì ít nhất cũng với sự vi phạm các điều kiện hợp đồng. Và, nhà khai thác dữ liệu cá nhân ít nhất cũng không phải chịu trách nhiệm một mình. Tiếc rằng, các nhà khai thác dữ liệu cá nhân không phải khi nào cũng hiểu cần hợp đồng những gì. Thường hợp đồng cố định mục về trách nhiệm đảm bảo tính bí mật và an toàn của dữ liệu cá nhân không được chi tiết hoá đầy đủ.

Kinh nghiệm Renessance Credit Bank

Trưởng bộ phận ANTT của Renessance Credit Bank, ông Alexander Nevsky kể:

“Ngân hàng chúng tôi thuê ngoài các chức năng CNTT không then chốt. Đó là những quy trình và hệ thống phụ trợ, phổ biến rộng rãi trên thị trường và không mang đặc thù ngân hàng. Có thể kể đến hệ thống dịch vụ tận bàn làm việc (Service Desk), dịch vụ giám sát truy nhập hệ thống, các dịch vụ và nguồn lực CNTT khác. Lý do chính để thuê ngoài là giảm chi phí. Các hệ thống ANTT của chúng tôi không chuyển sang thuê ngoài nhưng có thể coi việc thu hút các công ty bên ngoài cũng như các chuyên gia trình độ cao, chuyên ngành hẹp tham gia kiểm thử (với sự cho phép nhất định) về tính bảo mật của các hệ thống thông tin ngân hàng riêng rẽ là việc thuê ngoài với loạt dịch vụ ANTT. Việc duy trì đội ngũ chuyên gia như vừa kể là không có lợi cho ngân hàng.

Để chọn nhà cung cấp dịch vụ, chúng tôi chuẩn hoá chính sách mua sắm và thẩm định nhà thầu. Bộ phận mua sắm cùng bộ phận chúng tôi tiến hành thi tuyển nhà thầu, chuẩn bị các điều kiện cho các công ty tham dự. Trong hồ sơ dự thầu nhất định phải ghi rõ tiêu chí chọn người thắng cuộc. Những tiêu chí này thay đổi do mục tiêu và nhiệm vụ của từng gói thầu. Đòi hỏi nền tảng bắt buộc gồm giá dịch vụ và kinh nghiệm của công ty trên thị trường. Ngoài ra, để ra quyết định chuyển chức năng nào đó ra thuê ngoài, ngay từ trước khi đấu thầu phải xây dựng được mô hình tài chính cho phép đánh giá tính hiệu quả về kinh tế của việc thuê ngoài đó.

Nhiệm vụ giám sát tình trạng ANTT với các ứng dụng và dữ liệu được chuyển cho nhà cung cấp dịch vụ giữ nguyên tính thiết yếu của nó. Về nguyên tắc, nó được giải quyết bằng các công cụ chuẩn. Họ đã tạo hệ thống giám sát ANTT đủ phát triển bao gồm các sản phẩm thương mại cũng như những phát triển của riêng của họ. Đáng để nói là, trong quan hệ của nhân viên các công ty cung cấp dịch vụ gia công cho ngân hàng chúng tôi có sử dụng những chính sách và thủ tục bổ sung về ANTT, những hạn chế quyền truy cập vào các nguồn lực của Ngân hàng…

Theo tôi, thuê ngoài sẽ phát triển tốt. Với ANTT, tôi xin điểm các khuynh hướng như tìm kiếm và đào tạo nhân viên, tư vấn, đào tạo ngoại khoá, giám sát sự kiện ANTT và tài nguyên, quản trị các hệ thống an ninh riêng. Tuy nhiên, cần nhớ trong hàng loạt trường hợp, các khả năng chuyển hệ thống hay dịch vụ sang thuê ngoài theo luật hay các chuẩn mực hiện hành sẽ bị giới hạn đáng kể. Dù thế nào, vấn đề chuyển cho nhà cung cấp dịch vụ các giải pháp “gan ruột” cần phải dựa trên không chỉ cơ sở kinh tế mà còn phải tính đến các rủi ro và tính cần thiết của việc sử dụng các cơ chế giám sát bổ sung. Trước hết, đó là nói đến nguy cơ không tuân thủ luật ngân hàng (bí mật ngân hàng, dữ liệu cá nhân)”.