An Toàn Thông Tin hiện đang là vấn đề nóng và được nhiều tổ chức chú trọng triển khai. Chọn Chuyên gia Tư vấn đủ năng lực là 1 bước quan trọng trong quá trình triển khai ISO 27001 mà mọi tổ chức cần quan tâm thực hiện.
 

Trong bối cảnh cạnh tranh trong kinh doanh ngày càng trở nên mạnh mẽ, việc triển khai An Toàn Thông Tin (ATTT) nhằm bảo vệ các thông tin quan trọng cũng như bảo đảm sự ổn định của hệ thống thông tin là giải pháp và xu thế tất yếu của các doanh nghiệp Việt Nam. Mỗi tổ chức có lý do cụ thể cho việc triển khai ATTT. Tuy nhiên có thể phân là 2 nhóm lý do triển khai chính:

  • Nhóm đặt mục tiêu đạt chứng nhận. Do yêu cầu của khách hàng, đối tác hoặc do mục đích cạnh tranh, cải thiện hình ảnh mà tổ chức quyết định triển khai và đạt chứng nhận ISO 27001. Mục tiêu bảo vệ thông tin chỉ là mục tiêu thứ yếu.
  • Nhóm đặt mục tiêu bảo vệ thông tin/ an toàn thông tin. Tổ chức thấy được tầm quan trọng của thông tin cũng như các rủi ro tiềm ẩn liên quan ATTT nên quyết định triển khai ISO 27001. Mục tiêu đạt chứng nhận chỉ là thứ yếu. Đạt mục tiêu này luôn khó khăn hơn so với mục tiêu đạt chứng nhận.

Nếu Tổ chức đặt mục tiêu đạt chứng nhận ISO 27001 là chính, thì việc chọn Công ty Tư vấn tương đối đơn giản và dự án triển khai dễ thành công. Tuy nhiên, đối với Tổ chức đặt mục tiêu bảo vệ thông tin, việc chọn Công ty Tư vấn, mà cụ thể là chọn Chuyên gia Tư vấn (CGTV) phù hợp và đủ năng lực là việc làm cực kỳ quan trọng và cần phải thực hiện nghiêm chỉnh.

Chọn CGTV không phù hợp dẫn đến dự án không hoàn thành hoặc chỉ hoàn thành ở mức cơ bản (đạt chứng nhận ISO 27001), vận dụng hiệu quả các yêu cầu của tiêu chuẩn cho từng loại thông tin, hệ thống IT hoặc dịch vụ IT không như mong muốn. Nguyên nhân dự án không đạt yêu cầu chủ yếu nằm ở khâu chọn lựa CGTV. Sau đây là một số sai lầm các tổ chức thường vấp phải khi chọn lựa CGTV:

  • Tổ chức chỉ định mà không thực hiện chọn lựa Công ty Tư vấn cũng như CGTV. Nguyên nhân có thể là do giá cả, mối quan hệ, giới thiệu, hoặc đơn giản là do công ty tư vấn này đã giúp tổ chức triển khai các ISO khác (như 9001, 14001…) nên giờ tiếp tục chọn họ để tư vấn ISO 27001.
  • Tổ chức chọn công ty tư vấn, mà không chọn CGTV. Tổ chức kỹ lưỡng chọn công ty tư vấn dựa trên năng lực của công ty tư vấn như danh tiếng, tình hình tài chính, doanh thu, tình hình kinh doanh, mối quan hệ làm ăn, giá trị chào thầu. Bằng cấp và năng lực của CGTV cũng có thể được cân nhắc chọn lựa, tuy nhiên chỉ chiếm tỉ trọng nhỏ và không mang tính quyết định. Có trường hợp Công ty Tư vấn nổi tiếng với việc đã tư vấn thành công ISO 27001 cho nhiều tổ chức và đã từng có đội ngũ CGTV dày dạn kinh nghiệm. Tuy nhiên đội ngũ CGTV này hiện đã nghỉ khỏi công ty nhưng tổ chức vẫn chọn công ty đó để tư vấn cho mình. Người viết bài đã từng chứng kiến một dự án triển khai ISO 27001 cho một công ty lớn: sau khi trúng dự án, CGTV áp dụng phương pháp “vừa học vừa tư vấn” do chưa từng tư vấn cho bất kỳ khách hàng nào trước đó.
  • Tổ chức chọn CGTV với tiêu chí không phù hợp. Có trường hợp tổ chức chọn CGTV có bằng cấp nổi tiếng của Cisco, Microsoft, CheckPoint, và thậm chí có chứng chỉ Trưởng Nhóm Đánh Giá ISO 27001 (ISO 27001 Lead Auditor) và có kinh nghiệm làm việc thiết kế hệ thống IT ở các công ty giải pháp. Tuy nhiên CGTV này lại không có kinh nghiệm thực tế về vận hành hệ thống IT cũng như thiếu kinh nghiệm về tư vấn và vận hành hệ thống IT theo ISO 27001.
  • Tổ chức không kiểm chứng hồ sơ năng lực của CGTV. Tổ chức bị thuyết phục bởi các thông tin trong hồ sơ năng lực của CGTV. Tuy nhiên thực tế không giống như những gì đã ghi trong hồ sơ. Ví dụ như hồ sơ ghi là đã thiết kế và triển khai hệ thống IT theo ISO 27001 cho công ty ABC. Tuy nhiên thực tế là anh này đã làm cho một công ty giải pháp và tham gia thi công dự án cung cấp và lắp đặt một số máy chủ và thiết bị mạng (switch, router, firewall) và cung cấp một số tài liệu vận hành cho công ty ABC. Hoặc hồ sơ ghi là đã tư vấn và triển khai ISO 27001 cho công ty XYZ. Tuy nhiên thực tế là anh ta có tham gia cùng nhóm CGTV, nhưng làm việc chỉ vài buổi tại khách hàng XYZ; toàn bộ dự án do một CGTV khác đảm trách.
  • Tổ chức chọn được Công ty Tư vấn có CGTV đầy đủ năng lực. Tuy nhiên, do không ràng buộc kỹ lưỡng trong hợp đồng tư vấn, anh này rất ít khi đến làm việc trực tiếp, người thường xuyên đến làm việc lại là CGTV khác.

Kinh nghiệm thực tế cho thấy, sau vài năm triển khai tiêu chuẩn, rất hiếm trường hợp tổ chức tự thay đổi cách thực hiện (thay đổi chính sách, quy trình, hướng dẫn, biểu mẫu,…) do CGTV đề xuất ban đầu, nhằm mục đích cải tiến, cho dù hệ thống đó đang vận hành chưa hiệu quả. Nguyên nhân là do nhóm dự án chưa đủ kinh nghiệm triển khai các yêu cầu của tiêu chuẩn để có thể nhận ra các bất cập cần cải tiến, hoặc nhận ra nhưng không biết cách nào phù hợp để cải tiến. Rõ ràng, hiệu quả của dự án phụ thuộc rất nhiều vào kiến thức và kinh nghiệm của CGTV. Sau đây là năm tiêu chí quan trọng cần cân nhắc khi đánh giá, chọn lựa CGTV:

1. CGTV là người nước ngoài

CGTV sẽ đào tạo, hướng dẫn, tư vấn các thực hiện các yêu cầu của tiêu chuẩn cho nhóm dự án trong khoảng thời gian từ 6 đến 18 tháng. Rất nhiều kiến thức, kinh nghiệm cần chia sẻ và chuyển giao. Nhóm dự án thường gồm nhiều thành viên từ cấp quản lý đến nhân viên và không phải ai cũng có thể giao tiếp ngoại ngữ thoải mái. Rào cản ngôn ngữ, nếu có, sẽ ảnh hưởng nhiều đến chất lượng của quá trình chuyển giao kiến thức. CGTV nước ngoài thường không hiểu văn hóa Việt Nam. Tài liệu, chính sách trình bày theo phong cách nước ngoài, đòi hỏi phải chỉnh sửa nhiều để phù hợp. Đó cũng là các yếu tố góp phần làm giảm chất lượng dịch vụ tư vấn.

Nhiều người cho rằng CGTV người nước ngoài giỏi hơn CGTV trong nước. Tuy nhiên, để giảm chi phí dự án, Công ty Tư vấn chỉ sử dụng CGTV nước ngoài có năng lực hạn chế nhưng không quên tân trang bộ hồ sơ năng lực cho thật hoành tráng. Tổ chức thường dễ bị thuyết phục và gặp khó khăn trong việc kiểm chứng các thông tin năng lực này.

2. CGTV thiếu kiến thức ISO 27001

CGTV giỏi về kỹ thuật IT, với các bằng cấp nổi tiếng như CCNP, CCIE, MCSE, CheckPoint,… nhưng lại thiếu kiến thức ISO 27001 sẽ khó khăn trong việc hiểu và vận dụng các yêu cầu của tiêu chuẩn để chỉ ra các khiếm khuyết cần khắc phục hoặc cải tiến trong từng hệ thống IT đang vận hành. Một thực tế khác là các CGTV giỏi về IT này thường có nghề chính ở vị trí quản lý IT; nghề tư vấn ISO 27001 cho Công ty Tư vấn chỉ là nghề tay trái. Do đó việc tập trung trao dồi kinh nghiệm tư vấn ISO 27001 là rất hạn chế.

Nhiều tổ chức sai lầm khi cho rằng CGTV có chứng chỉ Trưởng Đoàn Đánh Giá ISO 27001 (ISO 27001 Lead Auditor) là có đủ kiến thức và kinh nghiệm ISO 27001 để tư vấn cho mình. Trên thực tế, mục tiêu của khóa học 5 ngày này chỉ trang bị cho học viên kiến thức về các yêu cầu tiêu chuẩn, cũng như quy trình đánh chứng nhận của tiêu chuẩn ISO 27001, mà hoàn toàn không trang bị kiến thức về cách thiết kế, lập kế hoạch, và triển khai ATTT theo tiêu chuẩn ISO 27001 cho một tổ chức.

3. CGTV thiếu kiến thức & kinh nghiệm hệ thống IT 

Nhiều CGTV chuyên về các ISO như 9000, 14000, 18000 đi học thêm về ISO 27001 và kiêm luôn vai trò CGTV ISO 27001. Các CGTV này hoàn toàn không có hoặc có nhưng hạn chế kiến thức & kinh nghiệm về hệ thống IT như TCP/IP, Tường lửa (firewall), Web, Email, máy chủ, data center, hạ tầng IT (hệ thống phân phối điện, máy phát, UPS, điều hòa, hệ thống quản lý ra vào, hệ thống giám sát,…). CGTV thiếu kinh nghiệm này sẽ chỉ tập trung ở cấp tài liệu (chính sách, quy trình, hướng dẫn) chính, và không thể vận dụng các yêu cầu của tiêu chuẩn vào từng hệ thống IT cụ thể đang vận hành tại khách hàng, từ đó không thể chỉ ra các khiếm khuyết cần khắc phục hoặc cải tiến cho từng hệ thống IT. Ví dụ như CGTV không thể chỉ ra được hệ thống email hiện hữu đang cần cải tiến yêu cầu ATTT gì, chức năng nào cần điều chỉnh, làm sao để thực hiện, nếu phải nâng cấp thì nên thay đổi như thế nào, có những máy chủ email nào có thể đáp ứng yêu cầu, chi phí ra sao?

4. CGTV thiếu kiến thức & kinh nghiệm quản lý IT, kinh nghiệm ATTT

Việc áp dụng ISO 27001 không phải chỉ diễn ra cho đến khi đạt chứng nhận ISO, mà nó là 1 quá trình kéo dài liên tục năm này qua năm khác cùng với sự hoạt động của Tổ chức. Tư vấn không hiệu quả của CGTV sẽ để lại ảnh hưởng lâu dài trên hệ thống ISMS của Tổ chức mà rất hiếm khi Tổ chức tự nhận ra để có thể tự cải tiến về sau, hoặc chỉ nhận ra sau khi có thiệt hại xảy ra và tốn chi phí khắc phục. CGTV nhiều năm kinh nghiệm vận hành hệ thống IT, kinh nghiệm áp dụng các biện pháp bảo mật, hoặc cao hơn nữa là kinh nghiệm vận hành hệ thống IT đạt tiêu chuẩn ISO 27001 sẽ có những tư vấn phù hợp ngay từ khi bắt đầu triển khai dự án. CGTV ít kinh nghiệm không thể đề xuất ý kiến, chia sẻ kinh nghiệm quản lý cũng như kinh nghiệm áp dụng các biện pháp bảo mật trong các thống IT. Ví dụ như CGTV không thể chia sẽ kinh nghiệm và đưa ra các đề xuất liên quan quy trình giải quyết sự cố, quản lý, phân bổ trách nhiệm, quy trình vận hành hàng ngày, hàng tháng, cũng như các biện pháp ATTT nên áp dụng trên hệ thống email. Hiệu quả mang lại từ CGTV nhiều kinh nghiệm sẽ rất to lớn mà không phải tổ chức nào cũng nhận ra được.

5. CGTV thiếu kinh nghiệm tư vấn các dự án ISMS thực tế

Yêu cần tiêu chuẩn là vậy, nhưng cách áp dụng thực tế tại mỗi Tổ chức không phải lúc nào cũng giống nhau. Khác nhau về văn hóa tổ chức, cơ cấu tổ chức, quy trình vận hành, quy mô áp dụng sẽ dẫn đến cách áp dụng thực tế khác nhau. Tổ chức mong muốn CGTV giúp họ chọn ra cách áp dụng phù hợp. CGTV đã tư vấn thành công cho nhiều khách hàng có nhiều kinh nghiệm trong việc chỉ ra cách áp dụng nào là phù hợp nhất, cũng như có thể dự đoán trước những khó khăn có thể gặp và cách khắc phục khi áp dụng phương pháp đó. CGTV ít kinh nhiệm áp đặt cách áp dụng của mình mà không cần biết cách đó có thích hợp cho khách hàng hay không.

Thực tế, không phải Công ty Tư vấn nào cũng có CGTV hội đủ năm tiêu chí trên. Các Công ty Tư vấn thường đề xuất một nhóm CGTV gồm nhiều CGTV; mỗi CGTV có một hoặc vài tiêu chí với mong muốn thuyết phục khác hàng rằng sự kết hợp kiến thức và kinh nghiệm của cả nhóm sẽ có kết quả tương đương một CGTV hoàn hảo. Thực tế sự kết hợp này không diễn ra như mọi người vẫn nghĩ. Vì mục đích hạn chế chi phí, sẽ không bao giờ có chuyện cả nhóm CGTV luôn đến làm việc tại khách hàng cùng nhau. Khi thì người giỏi về tiêu chuẩn đến làm việc, khi thì người giỏi về hệ thống đến làm việc. Đề xuất của người chỉ có kiến thức về tiêu chuẩn sẽ không đề cập sâu vào hệ thống IT. Đề xuất của người chỉ có kiến thức về hệ thống IT thì thiếu cân nhắc các yêu cầu của tiêu chuẩn. Kết quả tư vấn của một nhóm những CGTV rời rạc còn xa mới đạt mức của một CGTV hội đủ cùng lúc các tiêu chí. Bức tranh ATTT tổ chức mong muốn thực hiện không thể hoàn chỉnh. Đó là lý do mà nhiều tổ chức có khuynh hướng chọn một CGTV đạt nhiều (hoặc tất cả) tiêu chí hơn là chọn một nhóm các CGTV rời rạc.

Tóm lại, để có thể chọn được CGTV có đủ năng lực hỗ trợ mình triển khai tiêu chuẩn ISO 27001, tổ chức nên chú ý các yếu tố sau:

  • Chọn CGTV; không phải chọn Công ty Tư vấn
  • 5 tiêu chí chọn CGTV:
    • Ngôn ngữ,
    • Kiến thức ISO 27001,
    • Kinh nghiệm kỹ thuật IT,
    • Kinh nghiệm quản lý IT,
    • Kinh nghiệm tư vấn ISO 27001
  • Một CGTV đạt nhiều tiêu chí; không phải một nhóm nhiều CGTV mỗi người một tiêu chí.

Đặng Hoàng Minh, CISSP

Anh Đặng Hoàng Minh hiện là một trong những chuyên gia hàng đầu Việt Nam về ATTT. Anh hiện là Trưởng ban Pháp luật – Chuẩn Hóa ISO của Hiệp hội An Toàn Thông Tin phía nam (VNISA). Anh có trên 16 năm kinh nghiệm quản lý các hệ thống IT, đạt chứng chỉ CISSP năm 2006, nhận giải thưởng Nhà lãnh đạo An ninh thông tin 2009 (CSO Awards 2009) do Tập đoàn Dữ liệu Quốc tế IDG, Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam (VNCERT) và Sở TTTT Tp.HCM trao tặng. Anh đã tư vấn thành công cho nhiều tổ chức đạt chứng nhận ISO 27001.

 

Comments

comments

Comment