Ông Nguyễn Thanh Sơn, Giám đốc Trung tâm Đào tạo của Hiệp hội Ngân hàng Việt Nam
Phát biểu tại lớp học, ông Nguyễn Thanh Sơn – Giám đốc Trung tâm Đào tạo VNBA nhấn mạnh: “Khóa học nhận được sự quan tâm lớn từ các tổ chức tín dụng, đặc biệt có ý nghĩa thiết thực trong bối cảnh toàn ngành đang đẩy mạnh chuyển đổi số.”
Chuyển đổi số mang đến nhiều cơ hội phát triển dịch vụ ngân hàng hiện đại, nhưng cũng đặt ra thách thức lớn về an toàn thông tin. Các cuộc tấn công mạng ngày càng tinh vi, đe dọa trực tiếp đến hệ thống dữ liệu khách hàng. Do đó, nhận diện, quản trị và kiểm soát rủi ro Công nghệ Thông tin đã trở thành yếu tố then chốt trong hoạt động của mọi tổ chức tín dụng.
Khóa học đã trang bị cho học viên góc nhìn toàn diện về các phương pháp quản trị rủi ro và bảo vệ an toàn thông tin trong kỷ nguyên số, tập trung vào 4 chủ đề trọng tâm, gồm: (1) Khung quản trị an ninh mạng, các mô hình quản trị tiên tiến trên thế giới; (2) Bảo mật điện toán đám mây (Cloud Security) - xu hướng tất yếu của hệ thống tài chính số; (3) Các tiêu chuẩn bảo mật quốc tế: ISO 27001, PCI DSS; (3) Kiến trúc an ninh mạng phân lớp, phương pháp bảo mật phù hợp với đặc thù ngành tài chính - ngân hàng.
Đặc biệt, giúp các học viên hiểu rõ cách thức quản lý rủi ro an toàn thông tin và triển khai các biện pháp bảo vệ hệ thống an ninh mạng, từ đó xây dựng lộ trình kiểm soát và bảo vệ hệ thống thông tin hiệu quả.
Ông Đào Ngọc Quỳnh, Chủ nhiệm Dịch vụ Tư vấn An ninh mạng của Công ty Kiểm toán E&Y
Theo chia sẻ của ông Đào Ngọc Quỳnh - Chủ nhiệm dịch vụ Tư vấn An ninh mạng EY Việt Nam, bảo mật an ninh mạng đang là yếu tố sống còn đối với các ngân hàng, không chỉ để phòng vệ rủi ro mà còn để duy trì uy tín và niềm tin của khách hàng.
Thực tiễn cho thấy, hệ thống Công nghệ Thông tin ngân hàng hiện đại có mức độ kết nối rộng: từ chi nhánh, đối tác, trung tâm dữ liệu đến người dùng cuối. Điều này tiềm ẩn nhiều điểm yếu bảo mật nếu không được quản trị đồng bộ.
Theo đó khuyến nghị, một hệ thống bảo mật hiệu quả cần xây dựng nhiều lớp phòng thủ: (1) Lớp công nghệ: Trung tâm Công nghệ Thông tin triển khai và duy trì tường lửa, hệ thống phát hiện/phòng chống xâm nhập (IDS/IPS), giải pháp mã hóa dữ liệu; Lớp quản trị rủi ro: Quản lý việc tuân thủ bảo mật, rà soát lỗ hổng, giám sát quyền truy cập; Lớp kiểm toán nội bộ: Kiểm tra độc lập, đánh giá định kỳ, phát hiện sai sót và lỗ hổng tiềm ẩn.
Hệ thống tường lửa (Firewall) vẫn là thành phần không thể thiếu để bảo vệ vùng biên mạng - điểm đầu tiên kiểm soát lưu lượng ra/vào. Các tính năng tiên tiến như lọc URL độc hại, kiểm soát băng thông, phát hiện tập tin đính kèm nguy hiểm qua email hay giới hạn truy cập theo phòng ban… giúp ngân hàng giảm thiểu rủi ro phát sinh từ hành vi người dùng.
Với các ứng dụng web nội bộ, giải pháp Web Application Firewall (WAF) đóng vai trò quan trọng để phòng ngừa các hình thức tấn công phổ biến như SQL Injection, XSS, CSRF, theo chuẩn OWASP Top 10.
Bên cạnh đó, các tiêu chuẩn quốc tế như NIST 800-37, ISO 27001, PCI DSS được khuyến nghị áp dụng xuyên suốt để ngân hàng xây dựng chính sách bảo mật vững chắc, giảm thiểu rủi ro lộ lọt dữ liệu.
Trong đó, hệ thống bảo mật hiệu quả phải có sự kết hợp giữa các lớp bảo vệ như: Xây dựng và duy trì hệ thống bảo mật từ Trung tâm Công nghệ Thông tin; Quản lý rủi ro, giám sát tuân thủ bảo mật, phát hiện lỗ hổng và các mâu thuẫn quyền lợi: Đảm bảo quy trình kiểm toán độc lập, kiểm tra tuân thủ và phát hiện sai sót.
Ngoài các công cụ kỹ thuật, yếu tố con người vẫn là “mắt xích” quan trọng. Các chương trình đào tạo nhận thức bảo mật định kỳ giúp nâng cao kỹ năng phòng chống rủi ro, giảm thiểu các lỗ hổng từ hành vi bất cẩn của nhân viên.
Một số ngân hàng lớn đã xây dựng kiến trúc an ninh phân lớp theo mô hình Zero Trust, kết hợp xác thực mạnh, quản trị định danh truy cập (IAM) cho từng thiết bị, người dùng, ứng dụng. Việc giám sát tập trung qua SOC (Security Operation Center) hay hệ thống SIEM (Security Information and Event Management) giúp phát hiện và phản ứng kịp thời trước các mối đe dọa.
Để duy trì hệ thống ngân hàng an toàn, các tổ chức tín dụng cần: (1) Triển khai đồng bộ bảo vệ vùng biên, bảo vệ mạng nội bộ, kiểm soát định danh và quyền truy cập; (2) Tích hợp các tiêu chuẩn bảo mật quốc tế, tuân thủ quy định của Ngân hàng Nhà nước; (3) Liên tục rà soát, cập nhật chính sách bảo mật, đào tạo nhân viên và áp dụng các công cụ giám sát tiên tiến.
Song song với đó, công tác đào tạo nhân viên và người dùng cuối đóng vai trò then chốt trong việc giảm thiểu rủi ro từ yếu tố con người. Các chương trình đào tạo về bảo mật thông tin sẽ góp phần nâng cao nhận thức và trang bị kỹ năng cần thiết cho cán bộ ngân hàng, giúp hạn chế các lỗ hổng xuất phát từ sai sót hoặc bất cẩn.
Tại lớp học, giảng viên đã cung cấp các tình huống thực tiễn, với các ví dụ từ kinh nghiệm của các tổ chức tài chính quốc tế (EY’s CPA & Big4 Consulting), giúp học viên hiểu sâu hơn về các cấu phần như an ninh vùng biên, tường lửa, hệ thống phát hiện và phòng chống tấn công, cũng như kiểm soát truy cập.
Thông qua lớp học này, học viên không chỉ được nâng cao năng lực nhận diện và phòng ngừa rủi ro an ninh mạng mà còn nắm rõ vai trò của việc chủ động bảo vệ hệ thống. Qua đó, các ngân hàng có thể duy trì niềm tin của khách hàng và giữ vững sự ổn định trong quá trình chuyển đổi số.
T.Đ
