Intro
Việc collect data, xử lý, làm report, dashboard, trích xuất thành tri thức... thực tế không xa lạ gì với một Security Analyst . Khi triển khai SOC cho khách hàng, tôi cũng đã thực hiện qua gần hết tasks này, từ việc collect, chọn giải pháp - kiến trúc (2 tasks này chủ yếu sếp cũ của tôi làm =]] ), rồi sau đó tìm hiểu, triển khai, lập trình, tích hợp, vận hành... Vì vậy, khi tham gia vào 1 dự án tư vấn Data Governance, tôi thấy nhiều thứ rất quen thuộc, nhưng một số thì khá xa lạ; lại thêm một số tasks bao gồm nguyên domain Data Security được phân công cho Security team cũng như Data Governance là chủ đề lớn trong CISSP Domain 2 - Asset Security.
Quen thuộc là vì các data processing, data collect, data retention, data lifecycle management phases... đều là những công việc cần thiết của 1 SOC team, trong đó phần thể hiện rõ nhất theo tôi là của Security Analysts. Xa lạ vì có thể, sau khi GDPR ra đời, có thể các công ty tư vấn đã tạo dựng nên các framework, guidelines, trong đó có việc định nghĩa và tổ chức Data team, và còn hơn thế, có 1 C-Level trong BOD được gọi là Chief Data Officer (CDO). Khác và lớn hơn về quy mô so với đội ngũ Blue Team // Analysts mà tôi từng tham gia.
Chuyện tiếp theo, khi tìm hiểu về CISSP Domain #2, tôi đọc thấy khá nhiều thông tin khá thú vị về việc tổ chức 1 Data team trong đó CDO là người đứng đầu. Sẽ có nhiều trường phái khác nhau vv tổ chức nhưng về cơ bản sẽ có các "roles" mà tôi sẽ đề cập sau.
Vì 2 lý do này tôi quyết định notes vài dòng về Data Governance sau khi tìm hiểu, cũng là để tổng hợp, tham khảo lại khi cần thiết.
Next Article > Data Roles
Chủ đề đầu tiên của loạt bài này có lẽ là về các Data Roles của chủ đề Data Governance. Không chỉ là 1 team, mà sẽ có lúc là 1 Commitee, bao gồm Business Owners, IT, MIS Team.., tham gia với vai trò đứng đầu hiển nhiên là CDO. Vậy DS roles này tiêu biểu gồm:
- CDO (cũng là 1 title)
- Data Owner (xem chi tiết ở dưới)
- Data Steward:
- Quản gia data.
- Giống như tên gọi, Quản gia sẽ được Data Owner ủy thác để làm 1 số công việc liên quan data hàng ngày.
- Tuy nhiên, phê duyệt cho 1 nhóm người dùng mới có quyền truy cập, chỉnh sửa data... thường vẫn là việc của Data owner.
- Data User:
- Thao tác, thêm xóa sửa, nhất là query data.
- Data Custodian: Chủ yếu liên quan kỹ thuật, và do các IT Engineers đảm nhận theo các title khác nhau (??!!?)
- Security Professional (hiểu rõ các security frameworks nói chung).
- IT Administrator: Thực hiện phân quyền, quản trị ứng dụng... theo delegation của System Onwer với sự phê duyệt/decide của Data Owner.
- DBA (~ IT Admin)
- MIS Team (theo cách gọi của 1 số cty): Data Analyst, Data Engineer, Data Scientest, ML Engineer
- Chủ sở hữu data, cũng có nghĩa là chịu trách nhiệm chính (liable) cho tất cả issues, operations liên quan data.
- Vì vậy thường Data owner là CEO, President, hoặc là 1 Department head (chương 5, trang 204 của CISSP Study Guide, 9th edition). VD: CHRO hoặc HR Director là Data owner của thông tin nhân sự.
- Data owner cũng sẽ chịu trách nhiệm classify cũng như label data do bản thân quản lý (own). Dựa vào classification và labeling, tổ chức sẽ áp dụng (implement) các security controls phù hợp (vd PCI-DSS có yêu cầu các controls/requirements liên quan credit card).
- "Establishes the rules for appropriate use and protection of the subject data/information (rules of behavior)" (cũng là AUP Acceptable Use Policy).
- "Provides input to information system owners regarding the security requirements and security controls for the information system(s) where the information resides". Vì vậy, "Owners may be liable for negligence if they fail to perform due diligence in establishing and enforcing security policies to protect and sustain sensitive data." (trang 204, Chương 5, CISSP Study Guide, 9th ed.)
- Data owner chịu trách nhiệm quyết định / phê duyệt (decide) quyền truy cập data phù hợp.
- Data owner thường cũng là System//Asset owner vì bản chất data quan trọng hơn là "hệ thống".
- Tuy nhiên, System Owner có nơi là IT Department Head (DH), tách biệt với Data Owner. Khi đó Data Owner chịu trách nhiệm input cho việc tạo ma trận phân quyền truy cập system với các user roles khác nhau.