Security Awareness - Phishing Simulation - Vài lưu ý khi gửi email phishing

 

Vài lưu ý khi gửi email phishing

1) Mail server gửi phishing: phải được cấu hình DNS, MX, TXT, SPF, PTR, đặc biệt là SPF. 

2) MS 365 hình như giới hạn số lượng email nhận từ 1 public IP xác định. Do đó phải có nhiều server IP sẵn sàng gửi spam/phishing emails.

3) Trên MS 365 nên config allow sẵn source address // sender addresses và/hoặc DS IP không bị blacklisted.

4) Thử nghiệm 1 nhóm nhỏ trước khi thực hiện nhóm lớn. Recon email nhận càng nhiều càng tốt. Chú ý active/inactive addresses.

5) Nên có nhiều content email template. 2 người cạnh nhau nên nhận email và phishing site khác nhau.

6) Content nên liên quan thứ gì đó hot trong cty, theo mùa, vd lương thưởng. Trường hợp phishing user pass, thì nên clone trang login MS 365.

7) Nên thuê ngoài, vd service của KnowBe4.

8) Thực hiện giả lập phishing trước awareness training.

Splunk - Hiệu chỉnh height và width aka tỷ lệ giữa các panels trên cùng row của 1 Splunk Dashboard

 

Chỉnh timechart panel có width =70% và stats panel có width = 30%

Kết quả:

Cách thức: 

* thông qua Edit Source của Dashboard  (sub url /editxml).

* 1) Gán id cho tất cả panel của row cần hiệu chỉnh width

Từ các <panel> thành <panel id="panel1"> .... </panel> <panel id="panel2">...<panel> 

* 2) Bổ sung 1 panel logic $alwaysHideCSS$ mới:

    <panel depends="$alwaysHideCSS$">

      <html>

        <style>

          #panel1{

            width:70% !important;

          }

          #panel2{

            width:30% !important;

          }

          </style>

      </html>

    </panel>

[System] Config postfix giới hạn tốc độ email được gửi đi

 

Giới hạn việc deliver email gồm 2 thông số:

smtpd_client_message_rate_limit 

The maximal number of message delivery requests that any client is allowed to make to this service per time unit, regardless of whether or not Postfix actually accepts those messages. The time unit is specified with the anvil_rate_time_unit configuration parameter.

By default, a client can send as many message delivery requests per time unit as Postfix can accept.

To disable this feature, specify a limit of 0.

WARNING: The purpose of this feature is to limit abuse. It must not be used to regulate legitimate mail traffic.

This feature is available in Postfix 2.2 and later.

Example:

smtpd_client_message_rate_limit = 1000

anvil_rate_time_unit (default: 60s)

The time unit over which client connection rates and other rates are calculated.

This feature is implemented by the anvil(8) service which is available in Postfix version 2.2 and later.

The default interval is relatively short. Because of the high frequency of updates, the anvil(8) server uses volatile memory only. Thus, information is lost whenever the process terminates.

Specify a non-zero time value (an integral value plus an optional one-letter suffix that specifies the time unit). Time units: s (seconds), m (minutes), h (hours), d (days), w (weeks). The default time unit is s (seconds).

(Trích từ https://www.postfix.org/postconf.5.html)

=> Để tối ưu cho việc gửi mail, có lẽ nên thiết lập tốc độ gửi = 2-5 emails/phút do MS 365 kiểm soát, giới hạn gửi mail từ 1 IP cố định. Và có lẽ nên setup time unit theo phút, hơn là 3600s // 1 giờ.

smtpd_client_message_rate_limit = 5

anvil_rate_time_unit = 60

 

Splunk app UFMA - Forwarder Summary - Vài Issues liên quan Missing Forwarders hoặc Forwarders' Statistics

" Chủ yếu liên quan cách khai thác sd Splunk UFMA app.

1) Missing Forwarders hoặc Số lượng Forwarders hiển thị chưa đầy đủ ở dashboad Forwarder Summary

=> Giải pháp: truy cập Rebuild Asset Table http://localhost:8000/en-US/app/UFMA/rebuild_asset_table và run query anyway. Kết quả: http://localhost:8000/en-US/app/UFMA/forwarder_summary

2) Issue "We've identified a potential security risk" ở Dashboard "Rebuild Asset Table" 

=> Do outputlookup là splunk command có rủi ro cao. Cần ktra kỹ trước khi thực thi (từ các saved query). Bỏ qua và tiếp tục thực thi query này (anyway) => Xem http://localhost:8000/en-US/app/UFMA/rebuild_asset_table

3) Forwarder Summary - Forwarder Details trống rỗng 

=> Do keywords đòi hỏi phải có thông tin splunk deployment server => Bỏ text pattern deployment_server="$deployment_server$" này khỏi splunk keywords. Kết quả tại dashboard Forwarder Summary http://localhost:8000/en-US/app/UFMA/forwarder_summary phần Details sau khi update keywords: 

4) "This dashboard version is missing. Update the dashboard version in source."

=> Chỉnh source của dashboard, từ <form> thành <form version="1.0"> hoặc <dashboard> thành <dashboard version="1.0">. hình minh hoạ:

Save dashboard tương ứng và issue thông báo này sẽ biến mất.

The 2022 Ransomware Survival Guide

    

Quan trọng nhất vẫn là steps Before the attack.

Before the attack

• Back up and restore
• Update and patch: Keep operating systems, security software (AV / Endpoint Protection Software), applications and network hardware patched and up to date.
• Invest in robust people centric security solutions (#Me: e.g. SIEM, email security solutions...)
  • Employee training and awareness... people should know what to do, what not to do, how to avoid ransomware and how to report it....
• Plan your response

During & After the attack 

gồm các việc:

* Call law enforcement

* Disconnect from the network

* If the ransomware has already made its way to a server, the security team should isolate it as quickly as possible and map out a response.

* Implement your planned response (thực hiện theo Plan đã lập trong Before the attack)

* ... * Restore from backup

* Cleanup

* Review and reinforce > thực hiện 1 top-to-bottom security assessment.

* Post-mortem review > để xác định nguồn gốc, nguyên nhân lây nhiễm.

* Assess user awareness & Education and training

* Phishing simulation

* Reinforce your technology defences (~ cải tiến công nghệ)

* VD: SIEM > SOC > SOAR

* Secure email GW: hệ thống là những tuyến phòng thủ đầu tiên; con người là tuyến cuối cùng nhưng phải mạnh mẽ nhất (Make your people a strong last line of defence)

* People should know what to do, what not to do, how to avoid ransomware and how to report it. 

* If anyone receives a ransomware demand, they should know to immediately report it to the security team...

 

Plan your response

* "containment and recovery"

* "Critical questions such as: who needs to be informed, how to maintain communications, and how much are you willing to pay (if you’re willing to pay at all) are harder to answer in real time. This pressure creates potential bottlenecks in decision-making and leads to costly delays. Should you decide to pay the ransom, you’ll need to map out an appropriate process that includes key executives, operational staff and legal counsel."

* Response team

* Maintain the Vision using a separated Log System

* Communication 

* ... 

(Nội dung và hình: tham khảo từ Proofpoint - The 2022 Ransomware Survival Guide) 

System Hardening - Checklist cơ bản của 1 Window server

 

1) AV enabled

2) Patches

3) Account Policies

4) Logging 

4.1) Audit Policy

4.2) A remote logging software. E.g. Splunk Forwarder

4.3) Sysmon

4.4) A FIM Agent 

    E.g. https://docs.rapid7.com/insightidr/file-integrity-monitoring/ 

4.5) NTP

5) Turn off unnecessary Windows Features & Services

5.1) Server service?

2 Workshop chất lượng về AWS

 

AWS Workshop #1 - Iterative App Modernization Workshop

Trích từ https://catalog.us-east-1.prod.workshops.aws/workshops/f2c0706c-7192-495f-853c-fd3341db265a/en-US :

This workshop is to guide you through the process of moving from a monolithic architecture to a microservice architecture.

The high-level agenda for this workshop is as follows:

1. Explore the monolithic application
2. Use AWS Migration Hub Refactor Spaces (or optionally just Amazon API-Gateway) to create a refactor environment and define traffic routing.
3. Leverage Microservices architecture
   1. Use Amazon DynamoDB for storing and accessing shopping cart information
   2. Use AWS Lambda as compute resource for accessing and manipulating the shopping cart

AWS Workshop #2 - Building event-driven architectures on AWS

TRích từ https://catalog.us-east-1.prod.workshops.aws/workshops/63320e83-6abc-493d-83d8-f822584fb3cb/en-US/getting-started 

Overview

Many customers are choosing to build event-driven application architectures – those in which subscriber or target services automatically perform work in response to events triggered by publisher or source services. This pattern can enable development teams to operate more independently so they can release new features faster, while also making their applications more scalable.

In this workshop you’ll learn the basics of event-driven design, how to choose the right AWS service for the job, as well as how to optimize for both cost and performance. Through hands on practice, this workshop will give you the skills bring event-driven design patterns into your own applications.

• AWS Experience: Intermediate
• Time to Complete: 2 hours
• AWS Services: Amazon EventBridge, Amazon SNS, Amazon SQS, AWS Lambda, and more.
• Local PreRequisites: An AWS account and the latest version of Chrome of Firefox browser.

Về dịch vụ bên thứ ba theo TT 09/2020/TT-NHNN

(Nguồn: oceg.org)

Khi thảo luận với nhiều bạn lâu năm trong công tác GRC Governance - Risk - Compliance, mình nhận thấy cách hiểu về dịch vụ bên thứ ba rất khác biệt và có nhiều tổ chức tín dụng (TCTD), các công ty lớn tại VN mỗi nơi định nghĩa 1 kiểu. Xem như có 2 dạng sau:

• Xem dịch vụ bên thứ ba giống như dịch vụ thuê ngoài. VD sử dụng dịch vụ truy vấn thông tin tín dụng CIC, PCB, dịch vụ credit score, thuê tổng đài, thuê bảo trì phần cứng phần mềm... đều là dịch vụ thuê ngoài, cũng là dịch vụ bên thứ ba.
• Trong ngành tài chính ngân hàng, dịch vụ = dịch vụ tài chính. Dịch vụ bên thứ ba khi đó, đúng nghĩa phải có bên thứ nhất (bên cung cấp sản phẩm dịch vụ tài chính) và bên thứ hai (bên tiêu thụ sử dụng dịch vụ // khách hàng). Trong mối quan hệ này, bên thứ ba hoạt động cung cấp dịch vụ hoặc một phần dịch vụ tài chính một cách trực tiếp hoặc có tác động lớn đến việc cung cấp dịch vụ cho khách hàng.

Xem xét, định nghĩa để góp phần áp dụng đúng quy định của thông tư 09/2020/TT-NHNN, cũng là để góp phần cho việc cung cấp dịch vụ tài chính cách ổn định, an toàn nhất có thể.

Vì vậy cảm nhận riêng của mình, những dịch vụ CNTT sau đây không phải là dịch vụ bên thứ ba theo phạm vi quy định của TT09 gồm:

• Dev outsourcing. Các cty outsource chỉ bàn giao ứng dụng, hướng dẫn cài đặt, sử dụng, vận hành... hoàn toàn không tiếp xúc hay hỗ trợ khách hàng của các tổ chức tín dụng. Sản phẩm được bàn giao khi đó chỉ cần được review, audit dạng pentest, code review, architecture review, security requirements...  Không cần xem xét đến việc các ông dev có nhận thức và tuân thủ các QĐ nội bộ của TCTD.
• Bảo hành, bảo trì hệ thống phần cứng hoặc phần mềm. Hiển nhiên, việc bảo trì phải có kế hoạch công việc cụ thể và phải có sự giám sát của system/device owner hoặc người chịu trách nhiệm có chuyên môn liên quan.
• Các dịch vụ cung cấp thông tin (intelligence services). VD thông tin lịch sử tấn công, blacklist, phát tán mã độc của 1 IP; thông tin lịch sử, chất lượng tín dụng của 1 khách hàng tiềm năng. Nếu dịch vụ này ngưng trệ, TCTD hoàn toàn có thể sử dụng thông tin từ 1 đơn vị khác hoặc bằng các hoạt động nghiệp vụ đặc thù... vẫn có thể có thêm thông tin bổ sung mà ko cần đến intelligence services. Ngoài ra, các đơn vị thực hiện dịch vụ cung cấp thông tin cũng không biết khách hàng của TCTD là ai hoặc không chịu trách nhiệm trực tiếp đến việc chăm sóc, cung cấp dịch vụ cho khách hàng => nên có thể nhận định không phải là dịch vụ bên thứ ba theo TT09.
• Dịch vụ tư vấn
• Pentest 
• SOC-as-a-service
• ...

Các vùng xám về Dịch vụ bên thứ ba:

• "Hoá đơn điện tử" phần nào đó cũng là để phục vụ Khách hàng (bên thứ hai). Do đó, tốt nhất dịch vụ này nên triển khai nội bộ để tiết giảm chi phí vận hành :)) và rủi ro pháp lý, cả rủi ro ATTT :))
• Rút tiền hoặc Thanh toán giao dịch liên ngân hàng - NAPAS // VISA // Mastercard... Xem và đòi mấy ông này là dịch vụ bên thứ ba cũng sẽ rất căng thẳng đây.

---------

Thế thì, TCTD cần phải thực hiện những gì khi sử dụng một dịch vụ bên thứ ba theo TT09:

• Trước khi ký hợp đồng: 
• Nếu là dịch vụ cloud, bên thứ ba phải có chứng nhận quốc tế về ATTT, "phải cung cấp báo cáo kiểm toán tuân thủ công nghệ thông tin do tổ chức kiểm toán độc lập thực hiện hàng năm". 
• Các dịch vụ bên thứ ba khác không phải cloud computing services cũng cần có 2 loại văn bản chứng chỉ này.
• Đánh giá rủi ro CNTT và RR hoạt động.
• "Trường hợp thuê bên thứ ba thực hiện toàn bộ công việc quản trị hệ thống thông tin từ cấp độ 3 trở lên và các hệ thống thông tin xử lý thông tin khách hàng, tổ chức thực hiện đánh giá rủi ro theo quy định tại khoản 1 Điều này và gửi báo cáo đánh giá rủi ro cho Ngân hàng Nhà nước (Cục Công nghệ thông tin)."

    

• Trong quá trình hợp đồng, tức sử dụng dịch vụ bên thứ ba:
• "Cung cấp, thông báo và yêu cầu bên thứ ba thực hiện các quy định về an toàn thông tin của tổ chức." theo Điều 36 khoản 1. 
• "Dịch vụ công nghệ thông tin của bên thứ ba phải đáp ứng các quy định về bảo đảm an toàn thông tin của tổ chức." // Cam kết của bên thứ ba về bảo đảm an toàn thông tin...
• Đánh giá và xử lý rủi ro thường niên.
• "giám sát bảo đảm tuân thủ" của bên thứ ba // "phải đánh giá sự tuân thủ các quy định về bảo đảm an toàn thông tin của bên thứ ba" // hoặc cung cấp báo cáo//kết quả "kiểm toán tuân thủ công nghệ thông tin" của tổ chức kiểm toán độc lập (bắt buộc đ/v dịch vụ cloud).
• Giám sát thay đổi.
• Đ/v Chất lượng dịch vụ:
• Giám sát sự cố ảnh hưởng Chất lượng dịch vụ
• Hiển nhiên trước đó phải có thoả thuận về Chất lượng dịch vụ. Trong 1 số tình huống, Chất lượng dịch vụ chưa hẳn là % uptime, hoặc MTTR...
• Phải thực hiện kiểm soát Chất lượng dịch vụ 
• "Xây dựng phương án dự phòng đối với các cấu phần của hệ thống thông tin từ cấp độ 3 trở lên. Phương án dự phòng phải được kiểm thử và đánh giá sẵn sàng thay thế cho các hoạt động, nghiệp vụ triển khai trên điện toán đám mây;"
• Toàn văn Điều 36 vv trách nhiệm của TCTD
• Tốt hơn hết là toàn văn của Mục 6.

Chú ý rằng, dịch vụ bên thứ ba trong TT09 phải hiểu là Dịch vụ CNTT.

---------

Lời kết

Vậy thì để quan niệm đâu là một dịch vụ bên thứ ba theo TT09, cần phải thật cân nhắc và đánh giá phù hợp. Nếu quá nhiều dịch vụ bên thứ ba, chắc chắn đội ngũ chịu trách nhiệm theo dõi quản lý bên thứ ba sẽ phải dành rất nhiều nguồn lực cho việc tuân thủ TT09 như trên.

Vài cảm nhận về rủi ro hoạt động

Tối qua nhiều báo đài đăng tin vv CT HDQT Tân Hoàng Minh bị bắt, nghi vấn lừa đảo chiếm đoạt tài sản liên quan việc phát hành trái phiếu. Hoạt động phát hành này liên đới nhiều tổ chức tín dụng và công ty chứng khoán vì họ đã đứng ra môi giới hoặc quản lý các trái phiếu này như một dạng tài sản.

Theo kiến thức hạn hẹp của bản thân, việc môi giới mua bán trái phiếu của các cty chứng khoán là một hoạt động vận hành bình thường. Tuy nhiên, mua bán hay làm bất kỳ việc gì, nhất là trong kinh doanh, chắc chắn đều phải được thực hiện theo quy định của pháp luật. Vì vậy, rủi ro hoạt động sẽ là những operations cần thiết để nhận diện, thực hiện xử lý rủi ro, tránh tối đa vấn đề pháp lý cũng như ảnh hưởng đến doanh thu, đến lợi nhuận... của cty. 

Rủi ro hoạt động nên xoáy sâu vào các công việc kinh doanh, hoặc các việc liên quan đến tiền bạc, đến khách hàng, và đến các hoạt động vận hành có thể ảnh hưởng trực tiếp hoặc gián tiếp đến kinh doanh. Đ/v hoạt động vận hành IT, việc nâng cấp, start stop hệ thống, dù là những thao tác / operations thông thường, cũng nên được xem xét, nhận điện, quản lý các rủi ro tương ứng. Vì thế mà quy trình quản lý thay đổi mới ra đời là vậy.

(Nguồn: Tạp chí tài chính)

Quản lý rủi ro dự án

 

Chả hiểu sao rất nhiều người đã không hình dung về rủi ro, lại còn không thể phân biệt được quản lý rủi ro thông thường và quản lý rủi ro dự án.

Quản lý rủi ro dự án sẽ liên quan đến những tình huống bất trắc có thể xảy ra và làm ảnh hưởng đến tiến độ, chất lượng dự án nói chung hoặc ảnh hưởng đến mục tiêu, kết quả (outcomes) chung của dự án. Vì thế, nếu nó không xảy ra thì thôi; mà nếu xảy ra, tôi hiểu nó (risks) có thể ảnh hưởng outcome. 

Vậy thì các dạng rủi ro dự án tổng quan là:

• Chi phí: Một số tình huống bất trắc có thể dẫn đến tăng chi phí phát sinh (nhất là mấy dự án cầu đường liên quan giải phóng mặt bằng...). Cũng có thể do ước lượng công việc cụ thể chưa hoàn chỉnh. VD bản quyền các phần mềm có liên quan khi thuê 1 phần mềm. 

• Lịch trình: Một số sự kiện xảy ra khiến dự án bị hoãn. Tuy nhiên cần phân biệt tác động trễ tiến độ và 1 nguy cơ rủi ro gây nên việc trễ tiến độ. VD: 

• RR tay Engineer duy nhất của PRJ nghỉ phép, gây ảnh hưởng đến tiến độ dự án tại bước XYZ => Risk mitigation: cử 1 full-time engineer và 1 part-time engineer cho dự án hơn là chỉ 1 full-time engineer. 

• 1 sự cố ATTT xảy ra dẫn đến phase data import phải ngưng trệ, và cần phải đánh giá integrity trước khi tiếp tục thực hiện import. => Bổ sung task backup sẵn data cần import, thực hiện trước khi import.

• Sự cố lockdown do Corona virus, dẫn đến không thể làm việc tại VP mà phải làm việc WFH (dạng RR thảm hoạ thiên nhiên). 

• Những RR khác như lỗi phần cứng trong quá trình thực hiện Prj, rủi ro do sai sót bởi con người...

• Hiệu suất (Performance): Kết quả dự án không đạt như mục tiêu mong đợi hoặc đặc điểm kỹ thuật (specifications) của dự án. 

Vậy công thức chung của 1 risk sẽ là: 

Do X, Y có thể xảy ra, gây ra tác động Z. 

Xác định risks, theo mình, tốt là là xác định trong từng bước, từng công việc của dự án.

Đồng thời, cũng cần thực hiện 1 phương pháp//quy trình quản lý rủi ro dự án hoàn chỉnh. Steps:

• Identify Risk theo công thức trên
• Assign Ownership
• Analyze//Assess và sau đó Prioritize
• Respond
• Monitor

Những gì mình viết ở trên chủ yếu tham khảo từ https://www.northeastern.edu/graduate/blog/project-risk-management/. 

Và đây chỉ là đề xuất 1 PP Quản lý rủi ro dự án. Trên Internet cũng có thể có những PP quản lý khác, VD căn cứ theo DS Risks nói chung https://www.stakeholdermap.com/risk/register-common-project-risks.html. 

Hình minh hoạ nêu một số risks có thể xảy ra nói chung. Chưa hẳn là risks ứng với mỗi bước công việc của dự án nhưng đủ để chúng ta hình dung risks cần xác định là gì và bằng cách nào. Nguồn: https://www.liamwho.com/risk-management-w03/ 

Cheers!

Dự thảo Nghị định quy định về bảo vệ dữ liệu cá nhân (#1: Vv bàn giao, chia sẻ dữ liệu cá nhân với bên thứ ba)

 

https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Du-thao-Nghi-dinh-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-465185.aspx

Điều 12. Xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê

1. Việc xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê ở dạng mã hóa không cần có sự đồng ý của chủ thể dữ liệu.

2. Trước khi bàn giao dữ liệu cá nhân để xử lý dữ liệu phục vụ công tác nghiên cứu khoa học hoặc thống kê, dữ liệu nhận dạng một người phải được khử nhận dạng và thay thế bằng mã. Giải mã và khả năng giải mã chỉ được phép thực hiện phục vụ công tác nghiên cứu khoa học hoặc thống kê. Bên xử lý dữ liệu cá nhân chỉ định bằng văn bản một người cụ thể có quyền truy cập vào thông tin cho phép giải mã.

3. Kết quả xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê không thể tổng hợp thành thông tin của một chủ thể dữ liệu cụ thể.

4. Việc xử lý dữ liệu cá nhân phục vụ công tác nghiên cứu khoa học hoặc thống kê mà không được sự đồng ý của chủ thể dữ liệu cần thực hiện đầy đủ các biện pháp sau đây:

a) Có cam kết bảo vệ dữ liệu cá nhân;

b) Có biện pháp bảo mật dữ liệu cá nhân;

c) Có thiết bị vật lý bảo vệ dữ liệu cá nhân;

d) Có bộ phận chuyên trách được phân công nhiệm vụ bảo vệ dữ liệu cá nhân;

đ) Đã đăng ký xử lý dữ liệu cá nhân nhạy cảm với Ủy ban bảo vệ dữ liệu cá nhân;

e) Có văn bản xác nhận của Ủy ban bảo vệ dữ liệu cá nhân về việc đã xác minh điều kiện và việc tuân thủ các yêu cầu được nêu tại điểm a, b, c, d, đ Khoản này.

------------------

Nhận định cá nhân

• Trước khi bàn giao:
• 2 bên ký thoả thuận an toàn bảo mật thông tin (NDA).
• Bên thứ 3 phải tuân thủ, thực hiện đầy đủ nội dung khoản 4 Điều 12 nói trên; nhất là phải Đăng ký với UB bảo vệ dữ liệu cá nhân đ/v dữ liệu nhạy cảm theo QĐ (vd quan điểm chính trị, tôn giáo; tình trạng sức khoẻ; (Dữ liệu cá nhân về tài chính) hồ sơ, tình trạng tài chính, lịch sử tín dụng, mức thu nhập... (khoản 3 điều 2 của dự thảo Nghị định).
• Quá trình bàn giao:
• Khi bàn giao dữ liệu cho bên thứ 3, bên xuất dữ liệu phải khử nhận dạng và thay thế bằng mã các dữ liệu cá nhân sẽ xuất và bàn giao. Dữ liệu trước và sau khi bàn giao, hoàn tất xử lý không thể định danh 1 chủ thể xác định.
• Chìa khoá giải mã do 1 cá nhân được phân công quản lý bằng văn bản (trong nội bộ tổ chức), theo khoản 12 Điều 12.
• Việc bàn giao cần lập thành biên bản bàn giao.

---------

Vv áp dụng

• CP đã ra nghị quyết số 27/NQ-CP ngày 07/03/2022, thông qua nội dung dự thảo Nghị định bảo vệ dữ liệu cá nhân. 
• BCA tiếp tục b/c, trình UBTVQH đồng ý ban hành (nghĩa là NĐ này vẫn đang ở giai đoạn chuẩn bị ban hành (03/2022)) > https://tulieuvankien.dangcongsan.vn/he-thong-van-ban/nghi-quyet-cua-chinh-phu/nghi-quyet-so-27nq-cp-ngay-0732022-cua-chinh-phu-thong-qua-ho-so-xay-dung-nghi-dinh-bao-ve-du-lieu-ca-nhan-8375

---------

Toàn văn

• Link dự thảo lần 2 > https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Du-thao-Nghi-dinh-quy-dinh-ve-bao-ve-du-lieu-ca-nhan-465185.aspx
• (Link 27/NQ-CP trên TVPL >  https://tulieuvankien.dangcongsan.vn/he-thong-van-ban/nghi-quyet-cua-chinh-phu/nghi-quyet-so-27nq-cp-ngay-0732022-cua-chinh-phu-thong-qua-ho-so-xay-dung-nghi-dinh-bao-ve-du-lieu-ca-nhan-8375 )
• UBTVQH thông qua dựa trên khoản 3 Điều 19 Luật ban hành văn bản quy phạm pháp luật số 80/2015/QH13.

CDO vs CIO vs CISO

CDO vs CIO

Theo trang CIO.com, 2 vị trí này có trách nhiệm khá rõ ràng phân biệt. Nôm na, 1 bên lo cái xô, 1 bên lo đổ nước. Trích [1]:

“The difference between the CDO and CIO in my mind is quite clear, and I often use the analogy of the bucket and the water,” Carruthers says. “The chief information officer is responsible for the bucket. They’re responsible for making sure that the bucket is the right size, that there are no holes in it, that it’s safe, and that it’s in the right place. 

The chief data officer is responsible for the fluid that goes in the bucket, comes out of the bucket, that it goes to the right place, that it’s the right quality and the right fluid to start with. Neither the bucket nor the water work without each other.”

CISO vs ??

Chỉ có Security sẽ lo cả phần secure cho cái xô, cũng như phần nào đó, cũng phải kiểm soát việc nước nôi đó được múc từ cái xô đến chỗ nào khác!! :))

À còn nữa, rất có thể, CISO sẽ định nghĩa cả workflow, và cả việc giám sát kiểm soát vụ nước nôi đem đổ khỏi xô, xem nước nôi đó có phù hợp hay không nữa. Đại loại theo term, nó là Data Governance.

Tuy nhiên theo IDC, CDO sẽ làm:

• Governance: Advising on, monitoring, and governing enterprise data
• Operations: Enabling data usability, availability, and efficiency
• Innovation: Driving enterprise digital transformation innovation, cost reduction, and revenue generation
• Analytics: Supporting analytics and reporting on products, customers, operations, and markets

Nên nếu các enterprises làm theo tham vấn của IDC, CISO sẽ phần nào nhẹ gánh. Nôm na, 1 số enterprises đó sẽ quan niệm information security = cyber security.

Peace!!

----

[1]: https://www.cio.com/article/230880/what-is-a-chief-data-officer.html , By Minda Zetlin and Thor Olavsrud - CIO SEP 28, 2020 3:00 AM PDT.

A good security article: "6 Cyber-Defense Steps to Take Now to Protect Your Company"

6 Cyber-Defense Steps to Take Now to Protect Your Company

Daniel Spicer is Chief Security Officer at Ivanti. 

https://threatpost.com/latest-insights-ransomware-threats/178391/  

1 số nội dung trích lọc

Step 1: Get Complete Asset Visibility

You can’t manage and secure what you can’t find. Invest in an automated platform that enhances visibility into all connected devices and software and provides context into how those assets are being used, so your IT and security teams can make better decisions. A comprehensive discovery initiative finds all assets on a network, including both corporate-owned and BYOD devices, and then provides context around who is using what device, how and when they’re using that device, and what they have access to. ...

Step 2: Modernize Device Management

...A unified endpoint management (UEM) approach fully supports bring-your-own-device (BYOD) initiatives while maximizing user privacy and securing corporate data at the same time.

...

Step 3: Establish Device Hygiene

...Good device hygiene involves taking a proactive, multi-layered approach to ensure that only devices meeting defined security requirements are allowed to access business resources, thereby reducing the digital attack surface. ...

Step 4: Secure Your Users

...The ideal solution: Passwordless authentication via zero sign-on. Instead of passwords, this approach uses multifactor authentication via alternative authentication methods such as possession (what you have, like a mobile device), inherence (biometrics like fingerprints, Face ID, etc.) and context (location, time of day, etc.).

Step 5: Provide Secure Access

...SDP still requires a layer of security to maximize benefits, which is where zero-trust network access (ZTNA) comes into play.

Step 6: Continuously Monitor & Make Improvements

...To stay in compliance and mitigate threats, it’s imperative to get a handle government, risk and compliance (GRC) management. Look for a solution with quick and easy regulatory documentation imports to map citations with security and compliance controls, and seek to replace manual tasks with automated repetitive-governance activities.

------

PS. Tin tức về 1 giải pháp UEM của Ivanti https://www.ivanti.com/lp/uem/reports/2021-gartner-magic-quadrant-for-uem (được đánh giá Visionary, chưa phải Leader theo Gartner)