Nâng cao khả năng đảm bảo an toàn thông tin cho các tổ chức với SecDevOps
(binhdinh.gov.vn) - "Chuyển đổi số không những cần nhanh nhạy, chuyên nghiệp mà còn cần phải gắn liền với An toàn thông tin từ bước đầu” - Đó là quan điểm nhấn mạnh của ông Dương Thành Vịnh, Trưởng phòng Ứng cứu sự cố Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) mới đây tại chuỗi Hội thảo trực tuyến "Đảm bảo an toàn thông tin mạng quốc gia trong kỷ nguyên chuyển đổi số " với chủ đề "nâng cao khả năng đảm bảo ATTT cho các tổ chức với SecDevOps" do VNCERT/CC tổ chức.
Hội thảo trực tuyến với chủ đề “Nâng cao khả năng đảm bảo An toàn thông tin cho các tổ chức với SecDevOps” là hội thảo thứ 2 trong chuỗi sự kiện về “Đảm bảo an toàn thông tin mạng quốc gia trong kỷ nguyên chuyển đổi số” được VNCERT/CC, Cục An toàn thông tin tổ chức định kỳ hàng tháng từ tháng 4/2022 và kết thúc vào tháng 12/2022. Chương trình được tổ chức theo hình thức trực tuyến trên nền tảng số qua các điểm cầu, dưới sự điều phối của ông Dương Xuân Hiệp, Trưởng phòng Nghiên cứu và phát triển của VNCERT/CC.
An toàn thông tin cần phải gắn liền với toàn bộ quy trình phát triển, vận hành phần mềm, hệ thống
Việc DevSecOps ra đời nhằm bổ sung tính năng "An toàn" vào trong trong quy trình làm phần mềm DevOps vốn đã quen thuộc với nhiều doanh nghiệp. Với quy trình DevOps, thông thường các doanh nghiệp sẽ chạy các cuộc kiểm thử tự động sản phẩm bằng các công cụ kiểm tra tự động. Tuy nhiên, việc kiểm tra này là không đủ, an toàn thông tin cần phải được đặt lên hàng đầu cũng như xuyên suốt quá trình phát triển. Chính vì vậy, SecDevOps ra đời nhằm đưa việc chú trọng an toàn thông tin ngay từ khâu thiết kế khi các tổ chức nhận yêu cầu về phần mềm, đồng thời giải quyết những lỗ hổng, sự cố ngay từ khi nó chưa xảy ra.
Theo đó, quy trình SecDevOps được hiểu là an toàn thông tin cần phải gắn liền với toàn bộ quy trình phát triển, vận hành phần mềm, hệ thống. An toàn thông tin cần được quan tâm từ bước lấy thông tin yêu cầu về sản phẩm, đến bước vận hành và theo dõi quá trình hoạt động, bàn giao sản phẩm để đưa ra các hướng, hành động phù hợp nhằm đảm bảo an toàn của hệ thống.
Tại Hội thảo, ông Nguyễn Mạnh Luật – CEO/Co-Founder của CyberJutsu cho biết : Lập trình viên ở Việt Nam rất giỏi, cũng như các công ty phát triển phần mềm ở Việt Nam có thế mạnh về năng lực và giá thành, tuy nhiên các công ty này chưa tập trung, quan tâm và đầu tư vào khía cạnh an toàn, bảo mật của phần mềm, đây là điều bất lợi khi cạnh tranh với các công ty phát triển phần mềm nước ngoài trên thị trường quốc tế.
Thực tế, an toàn thông tin nên được đặt lên hàng đầu cho mọi tổ chức trong bối cảnh chuyển đổi số. Việc triển khai quy trình SecDevOps cho thấy các doanh nghiệp nên chủ động hơn khi đề cập đến vấn đề bảo mật an toàn thông tin. SecDevOps giúp các doanh nghiệp, tổ chức bảo đảm an toàn thông tin ở mọi giai đoạn. Nó giúp chúng ta yên tâm khi biết rằng chúng ta đang thiết kế các hệ thống và ứng dụng an toàn với các tính năng và chức năng mà người dùng muốn.
Đào tạo chuyên sâu cho lập trình viên để chủ động An toàn thông tin
Tại Hội thảo, ông Dương Thành Vịnh cũng chia sẻ: Việc đảm bảo an toàn thông tin cần phải được ưu tiên, giao quyền cho các lập trình viên, bởi lẽ các lập trình viên sẽ là người hiểu rõ, sâu sắc về các ứng dụng (vì đôi khi các lập trình viên chính là người lập trình ra các ứng dụng).
"Đặc biệt, những người làm nhiệm vụ bảo vệ phần mềm máy tính (security) khi làm thêm được việc lập trình thì các sản phẩm ứng dụng sẽ luôn tốt và hiệu quả", ông Vịnh nhấn mạnh.
Cũng theo ông Vịnh, những lập trình nên quan tâm đến bảo mật, bởi khi chủ động làm chủ lĩnh vực này góp phần tạo thêm các "tường lưới" bảo vệ an toàn, ngăn cản các tin tặc (hacker) tấn công vào các ứng dụng, phần mềm của các hệ thống.
"Kỷ nguyên của quá trình chuyển đổi số cần kiên định đi theo con đường, hướng đi đảm bảo, làm chủ về an toàn thông tin, vì an toàn thông tin là "chìa khoá" mở ra các cơ hội thành công cho chuyển đổi số", ông Vịnh khẳng định.
Hơn nữa, để phát huy vai trò của các lập trình viên các tổ chức, doanh nghiệp cần tập trung đào tạo chuyên sâu về an toàn thông tin cho đội ngũ công nghệ thông tin của mình; các lãnh đạo đứng đầu cần quan tâm đến lĩnh vực an toàn thông tin ngay trong quy trình đầu xử lý thông tin về sản phẩm và quy trình cuối bàn giao sản phẩm, ứng dụng
Theo mic.gov.vn