Nhiều thách thức mới
Theo các chuyên gia về an ninh thông tin của Sonrai Security (Công ty cung cấp dịch vụ bảo mật đám mây của Mỹ), việc di chuyển các hoạt động và dữ liệu của doanh nghiệp lên môi trường điện toán đám mây (ĐTĐM) là một cuộc cách mạng hóa về công nghệ. Tuy nhiên, sự thay đổi này cũng đặt ra nhu cầu cấp thiết về các biện pháp kiểm toán và tuân thủ mới để phù hợp với môi trường này. Đặc biệt, sự bùng nổ của danh tính (danh tính con người và không phải con người), cũng như quyền sở hữu/phân bổ, truy cập tài nguyên dữ liệu giữa các nhóm đã trở thành một thách thức lớn.
Yếu tố đầu tiên góp phần vào việc tạo nên sự phức tạp của ĐTĐM là tăng trưởng theo cấp số nhân của danh tính con người và máy móc, khiến việc duy trì quyền kiểm soát và giám sát trở nên khó khăn. Các mô hình quản lý quyền truy cập lỏng lẻo có thể tạo cơ hội cho những kẻ xâm nhập tự nâng cao quyền nhận dạng và tạo danh tính mới trong môi trường ĐTĐM của tổ chức, từ đó thao túng và sử dụng dữ liệu cho mục đích bất hợp pháp. Ngoài ra, việc cung cấp các quyền truy cập không an toàn trong môi trường ĐTĐM sẽ làm trầm trọng thêm nguy cơ mạo danh, nhất là ở những vị trí dễ bị tổn thương, dễ bị xâm phạm.
Việc tăng trưởng theo cấp số nhân của danh tính khiến việc duy trì quyền kiểm soát trên môi trường đám mây trở nên khó khăn. Nguồn: IDC
Thêm vào đó, bản chất không ngừng phát triển của cơ sở hạ tầng đám mây, cùng với quyền sở hữu tài nguyên được phân bổ giữa các nhóm đã tạo thêm một lớp phức tạp khác. Môi trường ĐTĐM của tổ chức liên tục thay đổi khiến việc lên kế hoạch và thực hiện các cuộc kiểm toán trở nên phức tạp, nhất là khi kiểm toán viên (KTV) muốn đặt ra câu hỏi kiểm toán và thực hiện các yêu cầu tuân thủ.
Các chuyên gia của Sonrai Security nhấn mạnh rằng, dù khó khăn, các tổ chức vẫn phải nỗ lực tuân thủ theo các tiêu chuẩn và quy định liên quan đến ĐTĐM, chẳng hạn như: Điểm chuẩn cho cấu hình bảo mật của hệ thống (CIS); Tiêu chuẩn bảo mật thông tin để xử lý, lưu trữ và truyền dữ liệu thẻ tín dụng (PCI DSS); Bảo vệ an ninh và quyền riêng tư đối với thông tin chăm sóc sức khỏe cá nhân (HIPAA); Quản lý bảo mật thông tin (ISO 270002); Khung an ninh mạng cho điện toán đám mây (CSA)…
Gần một nửa số vụ vi phạm dữ liệu diễn ra trên môi trường điện toán đám mây. Thực trạng này đặt ra nhu cầu cấp thiết về các biện pháp kiểm toán và tuân thủ mới để đảm bảo tính bảo mật của dữ liệu.
Sử dụng các công cụ phù hợp và phân tích dữ liệu
Để xây dựng nền tảng vững chắc cho việc kiểm toán và đảm bảo tính tuân thủ trong môi trường đám mây, KTV cần xem xét một số thành phần chính, bao gồm: Theo dõi và thu thập mọi sự kiện trong môi trường ĐTĐM bằng cách bật chế độ ghi nhật ký kiểm tra. Bước này rất quan trọng để đảm bảo tính sẵn có của dữ liệu phục vụ việc thu thập bằng chứng. Ngoài ra, KTV cũng phải bảo vệ bằng chứng đã thu thập khỏi bị truy cập, xóa hoặc giả mạo trái phép.
Tiếp theo, KTV và bộ phận an ninh thông tin cần duy trì một kho thống nhất về danh tính, dữ liệu và cơ sở hạ tầng trong môi trường đám mây. Cuối cùng, việc định hình các dịch vụ đám mây phù hợp với yêu cầu tuân thủ và duy trì kiểm soát là cần thiết để thiết lập nền tảng vững chắc cho việc kiểm toán và đảm bảo tính tuân thủ. Khi áp dụng các biện pháp thực hành phù hợp, việc kiểm toán có thể được hoàn thành mà không tốn nhiều thời gian và nguồn lực.
Các chuyên gia của Sonrai Security cho rằng, mặc dù không có giải pháp cụ thể nào cho việc kiểm toán và đảm bảo tính tuân thủ trong môi trường ĐTĐM, nhưng sự kết hợp giữa các công cụ quản lý trạng thái bảo mật đám mây (CSPM) và quản lý quyền cơ sở hạ tầng đám mây (CIEM) mang lại những lợi thế đáng kể. Cụ thể như: Các công cụ CSPM giúp giám sát các cấu hình sai hoặc các thay đổi không đảm bảo tính tuân thủ. Còn các giải pháp CIEM cho phép KTV kiểm kê danh tính trên đám mây, xác định các quyền của họ và theo dõi các sai lệch cũng như thực thi quản lý quyền an toàn khi phát hiện sai lệch.
Bên cạnh đó, để thành công trong quá trình kiểm toán, KTV phải triển khai các công cụ và quy trình thích hợp, kết hợp với phân tích dữ liệu để có được cái nhìn chính xác về quyền truy cập và giải quyết các yêu cầu kiểm tra một cách hiệu quả. KTV tận dụng khả năng truy vấn dữ liệu đám mây để có được câu trả lời chi tiết cho các câu hỏi kiểm tra. Ngoài ra, việc tạo báo cáo kiểm toán kết hợp với báo cáo về tuân thủ các chính sách cụ thể là điều cần thiết.
Để vượt qua thách thức, ban lãnh đạo và các KTV kiểm toán nội bộ cần xem xét một cách cẩn thận các chiến lược như: Thường xuyên kiểm soát lại các biện pháp kiểm soát trong môi trường ĐTĐM để nhận biết đặc điểm của kiểm soát hiệu quả và nắm bắt dấu hiệu của sự thất bại trong kiểm soát; Tăng cường khả năng hiển thị thông tin kiểm soát an ninh; Liên tục giám sát môi trường đám mây và đảm bảo sự phù hợp với các khuôn khổ tiêu chuẩn ngành; Cập nhật hồ sơ theo dõi các biện pháp kiểm soát giúp KTV luôn có sự chuẩn bị trước và dễ dàng thu thập bằng chứng về thực tiễn quản lý kiểm soát trên môi trường đám mây.
