Trong những năm gần đây, vấn đề bảo mật đang trở thành một vấn đề nóng, đặc biệt với hệ thống ngân hàng, nơi mà hệ thống công nghệ thông tin (CNTT) chi phối mọi hoạt động kinh doanh thì có thể nói vấn đề bảo mật và an toàn (BMAT) thông tin mang tính sống còn.

Sự phát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng có thể dẫn đến khả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu và nguy cơ mất an toàn của hệ thống. Các nguy cơ bảo mật ngày càng nở rộ đã và đang đe doạ ngành ngân hàng về nhiều mặt: thiệt hại về tài chính do các giao dịch giả mạo, do bị gián đoạn giao dịch và quan trọng hơn cả là ảnh hưởng đến hình ảnh cũng như uy tín của ngân hàng. Trong khi đó, các ngân hàng vẫn phải liên tục mở rộng dịch vụ, đặc biệt là các dịch vụ ngân hàng điện tử và sử dụng công nghệ để cạnh tranh với những đối thủ cạnh tranh trong cũng như ngoài ngành - điều này đồng nghĩa với việc chấp nhận nguy cơ mất an toàn cao hơn. Chính vì vậy, Ban lãnh đạo Các Ngân hàng xác định bảo mật an toàn luôn là ưu tiên hàng đầu khi thiết kế, xây dựng và cung cấp các hệ thống, dịch vụ.

Do không có hệ thống nào là an toàn tuyệt đối nên vấn đề bảo mật phải được xem xét trong mối quan hệ hữu cơ với công tác quản lý rủi ro của cả ngân hàng: bảo mật không chỉ là đảm bảo hệ thống vận hành an toàn thông suốt mà còn phải giúp rà soát, quản trị hiệu quả mọi rủi ro trong các hoạt động, dịch vụ ngân hàng. Xét trên một phương diện khác, quan điểm chỉ đạo đó còn giúp Ngân hàng tránh được sai lầm coi bảo mật như một “cỗ máy” tiêu tốn tiền của, cản trở quá trình kinh doanh, triển khai “vừa đủ” để đáp ứng các quy định bắt buộc của các tổ chức hữu quan hay “chữa cháy” khi bị khách hàng phàn nàn quá nhiều.

An toàn bảo mật là một khái niệm rất rộng và được xác định theo từng môi trường cụ thể. Không có một mô hình chính xác phù hợp cho tất cả các hệ thống. Các ngân hàng thường áp dụng giải pháp là thừa nhận 2 điểm mang tính kết hợp:

Thứ nhất, để đảm bảo an toàn bảo mật phải kết hợp cả công nghệ và chính sách;

Thứ hai, an toàn bảo mật là một quá trình, không có kết thúc, nó không phải là một vấn đề có thể giải quyết một lần.

Đó là sự kết hợp của nhiều thành phần bảo mật khác nhau: Bảo mật vật lý, Bảo mật hạ tầng mạng, bảo mật hệ thống, bảo mật host, bảo mật ứng dụng, bảo mật dữ liệu, bảo mật cho người dùng, ...

Do bản chất phức tạp của hệ thống CNTT (ngay cả khi chưa tính đến những yêu cầu khắt khe về an toàn bảo mật), việc đảm bảo tính tin cậy, toàn vẹn và sẵn sàng cho hệ thống thông tin cũng như các dịch vụ của ngân hàng là cực kỳ khó khăn. Ngoài ra, vì yêu cầu bảo mật luôn có khả năng xung đột với mong muốn thực hiện các công việc một cách đơn giản, dễ dàng, nhanh chóng nên ngay từ đầu các ngân hàng đã phải xác định tính khả khi là yêu cầu bắt buộc của mọi giải pháp, chính sách bảo mật. Tính khả thi được xem xét dựa trên những tiêu chí căn bản sau:

- Phức tạp ở mức chấp nhận được

- Độ trễ do các hoạt động bảo mật chấp nhận được

- Dễ quản lý

- Có cơ chế tạo báo cáo, giám sát

- Có cơ chế cảnh báo rõ ràng

- Chi phí tương ứng với đối tượng cần bảo vệ

Với những vấn đề đặt ra cần xây dựng một hệ thống bảo mật tổng thể cho các tổ chức, ngân hàng nhằm đảm bảo loại bỏ các nguy cơ mất an toàn, an ninh thông tin.

Từ những phân tích về vai trò của bảo mật thông tin, hiện trạng và nhu cầu của các ngân hàng tại Việt Nam, công ty CMC SI đã nghiên cứu đưa ra các gói giải pháp và dịch vụ bảo mật phù hợp.  Các giải pháp và dịch vụ bảo mật của chúng tôi cung cấp cho khách hàng được dựa trên một cấu trúc tổng thể và đồng nhất, trong đó các thành phần không chỉ hoạt động riêng rẽ, thực hiện các chức năng chuyên biệt của mình mà phải có khả năng kết hợp với các thành phần khác. Mục tiêu cuối cùng chúng tôi hướng đến là cung cấp cho khách hàng một giải pháp toàn diện bao gồm :

-       Thiết lập hệ thống bảo mật toàn diện từ lớp ngoại vi đến lớp core, bảo vệ từ các thiết bị quan trọng như máy chủ cho đến người dùng cuối

-       Khai thác tối ưu các tính năng bảo mật của mọi thành phần hệ thống

-       Thiết lập các chính sách bảo mật tổng thể, quản trị dễ dàng, đáp ứng các yêu cầu của chuẩn ISO/IEC27001,PCI DSS, ISMS, ITIL…

-       Cung cấp khả năng tự hồi phục đối với các tấn công.

CMC SI cung cấp các giải pháp dựa trên các mô hình :

-       Cấu trúc: Hệ thống dựa theo mô hình bảo mật chủ động (Proactive) – tự bảo vệ và các cấu trúc tương tự của các hãng bảo mật hàng đầu thế giới được bổ sung thêm các thành phần khác (thiết bị dò tìm điểm yếu, chống virus…) thành một hệ thống bảo mật hoàn chỉnh.

-       Dịch vụ: Khảo sát và tư vấn để đưa ra các sản phẩm bảo mật phù hợp cho khách hàng. Các sản phẩm có thể thuộc các hãng sản xuất khác nhau nhưng vẫn bảo đảm sự kết hợp để hoạt động tối ưu. Các sản phẩm và thiết bị thường được sử dụng là sản phẩm của các hãng bảo mật hàng đầu thế giới: Cisco, Microsoft, IBM, Juniper, Checkpoint, Tipping Point, Bluecoat, Foundstone, Mcafee, TrendMicro, Symantec…kết hợp với việc khai thác/ cấu hình tối ưu các tính năng bảo mật của phần mềm hệ thống, hệ điều hành có sẵn.

-       Chính sách: Dựa trên yêu cầu và hệ thống thực tế của từng khách hàng rồi từ đó xây dựng lên các chính sách phù hợp. Thiết kế và triển khai hệ thống dựa trên tiêu chuẩn ISO 27001

Mục tiêu cuối cùng chúng tôi hướng đến là cung cấp cho khách hàng một giải pháp toàn diện bao gồm :

-       Thiết lập hệ thống bảo mật toàn diện từ lớp ngoại vi đến lớp core, bảo vệ từ các thiết bị quan trọng như máy chủ cho đến người dùng cuối

-       Khai thác tối ưu các tính năng bảo mật của mọi thành phần hệ thống

-       Thiết lập các chính sách bảo mật tổng thể, quản trị dễ dàng, đáp ứng các yêu cầu của chuẩn ISO/IEC27001,PCI DSS, ISMS, ITIL…

-       Cung cấp khả năng tự hồi phục đối với các tấn công