tản mạn Năng lực vận hành #2

bài viết thể hiện quan điểm cá nhân
viewer discretion is advised

tiếp theo bài trước:

Xin nhắc lại tình huống đang xem xét là team nhận được yêu cầu như sau:

“Nhờ các team kiểm tra gấp giúp có dự án nào đang không phân quyền các confluene page chứa thông tin sensitive ko”?

(câu trên có chỗ viết sai chính tả nhưng vì là trích dẫn y nguyên nên xin để như vậy, đảm bảo tính chân thực)

Với tình huống trên, ta đã đi qua những level giả định (mỗi level tương ứng với một mức độ sẵn sàng trả lời các câu hỏi vận hành của team) sau:

Level 0: Lúng túng trước câu hỏi, phản ứng bản năng

Level 1: Expect được câu hỏi

bài viết này sẽ đến với 3 level tiếp theo

Level 2: Hiểu về mặt lý thuyết các câu trả lời khả dĩ cho các câu hỏi trên

Ở level này, team xem xét một cách nghiêm túc các câu trả lời có thể làm hài lòng người đặt câu hỏi, trước tiên về mặt lý thuyết. Team tìm hiểu một câu trả lời tốt cần trông như thế nào.

Tình huống giả thiết ở đây khá đơn giản nên tôi đã dùng ChatGPT để nhờ nó tạo ra các câu trả lời trên lý thuyết, cũng là một cách hoàn toàn “ổn” để bắt đầu nếu team thực sự chưa có gợi ý nào.

Prompt cho ChatGPT mà tôi đã sử dụng (sau khi xem qua https://github.com/f/awesome-chatgpt-prompts )

 “Tôi muốn bạn đóng vai trò là một chuyên gia bảo mật thông tin. Bạn đang làm việc trong một dự án phát triển phần mềm. Tôi sẽ đặt câu hỏi với tư cách là auditor của dự án và bạn sẽ đưa ra tất cả các câu trả lời về mặt lý thuyết cho câu hỏi ấy. Bạn hãy đưa ra ít nhất 5 câu trả lời ví dụ (mang tính giả sử) cho câu hỏi lúc đó, trong đó có tối thiểu 3 câu trả lời bắt đầu bằng “không” hoặc “chưa”

Câu hỏi của tôi là:

Dự án của bạn có đang phân quyền các confluence page chứa thông tin sensitive không?”

—– Các câu trả lời do ChatGPT tạo ra ( có được biên tập lại một chút, đồng thời có hightlight thêm các keyword) ——-

Vâng, tôi sẽ đóng vai trò là một chuyên gia bảo mật thông tin và trả lời câu hỏi của bạn. Dưới đây là 6 phương án trả lời cho câu hỏi về việc phân quyền truy cập các Confluence page chứa thông tin nhạy cảm trong dự án phần mềm:

•   . “Có, chúng tôi đã thực hiện việc phân quyền truy cập cho các Confluence page chứa thông tin nhạy cảm. Chúng tôi đã xác định rõ các nhóm người dùng và gán quyền truy cập phù hợp với vai trò của họ. Các Confluence page này chỉ có thể được truy cập bởi các thành viên của nhóm phát triển và quản lý dự án.”
• . “Chưa, hiện tại chúng tôi chưa triển khai phân quyền truy cập cho các Confluence page nhạy cảm. Tuy nhiên, chúng tôi đã lên kế hoạch triển khai trong thời gian sớm nhất. Chúng tôi sẽ xác định rõ các nhóm người dùng, phân loại thông tin nhạy cảm và thiết lập cơ chế phân quyền phù hợp để đảm bảo bảo mật dữ liệu.”
•  . “Chúng tôi đã thực hiện phân quyền truy cập cho các Confluence page nhạy cảm, nhưng vẫn còn một số hạn chế. Các nhóm người dùng đã được gán quyền tương ứng với vai trò của họ, nhưng chưa có cơ chế giám sát để đảm bảo rằng quyền truy cập này không bị vi phạm. Chúng tôi đang xem xét việc triển khai cơ chế giám sát để cải thiện bảo mật.”
•  . “Có, chúng tôi đã thực hiện phân quyền truy cập cho các Confluence page nhạy cảm dựa trên nguyên tắc ‘cần thiết tối thiểu”. Mỗi nhóm người dùng chỉ có quyền truy cập và chỉnh sửa các trang mà họ cần thiết. Chúng tôi cũng thiết lập cơ chế giám sát để theo dõi hoạt động trên các trang này và đảm bảo an toàn cho dữ liệu.”
• . “Không, hiện tại chúng tôi chưa thực hiện phân quyền cho các Confluence page nhạy cảm. Việc này là một phần của kế hoạch bảo mật của chúng tôi và sẽ được triển khai trong các giai đoạn phát triển tiếp theo của dự án.”
• . “Không, cho đến nay chúng tôi chưa áp dụng phân quyền cho các Confluence page chứa thông tin nhạy cảm. Chúng tôi đang tiến hành phân tích và đánh giá yêu cầu bảo mật của dự án để đảm bảo rằng các biện pháp bảo mật được triển khai một cách hiệu quả và chính xác.”

——————

Vâng, ít nhất team ở level 2 này cũng cần đưa ra câu trả lời sử dụng được các keyword đại loại như trên: phân tích nhóm người dùng và vai trò, gán quyền phù hợp, kế hoạch thực hiện, cơ chế giám sát ….

Level 3:  Hiểu cần có những thông tin gì để đưa ra được câu trả lời hợp lý và thuyết phục

Ở level này, team biết đặt ra những câu hỏi cụ thể được triển khai từ câu hỏi/ yêu cầu ban đầu, từ đó tìm ra những thông tin phải cần có trước khi có thể trả lời.

Với tình huống giải thiết, team cần hình dung được rõ ràng về các thông tin sensitive mà dự án có thể có: các loại key, token nào của các dịch vụ bên thứ 3 nào….

Kỹ thuật có thể áp dụng ở đây là Critical Thinking.

Các câu hỏi ví dụ là:

•  .Các thông tin sensitive dự án đang nắm giữ là gì? Câu trả lời cần thiết phải là một danh sách liệt kê đầy đủ các dịch vụ bên thứ 3 dự án đang dùng, các server và các dịch vụ hạ tầng, các loại id/mật khẩu khách hàng cung cấp, các loại thông tin cá nhân …
•  . Với mỗi loại thông tin sensitive được liệt kê ở trên, chúng có đang đưa được vào Confluence page hay không? Nếu có, cụ thể nằm ở page nào? Câu trả lời sẽ là danh sách trên đã được bổ sung thêm link của các Confluence page có liên quan.
• . Tình trạng phân quyền của các Conf. page nói trên thế nào? Có những page nào đang không được phân quyền không? Câu trả lời sẽ là danh sách trên đã được bổ sung thêm trạng thái phân quyền của các Confluence page có đã được liệt kê.
• ……

Level 4: Đặt mục tiêu sẵn sàng giải trình, sẵn sàng đối diện khách hàng

Nếu các level trước chỉ tập trung vào khả năng phân tích làm rõ Yêu cầu cần định kỳ thu thập các thông tin gì thì level này đánh dấu bước chuyển mình hướng đến cam kết hành động của tổ chức. Không dừng lại ở mức hình dung rõ sẽ cần những loại thông tin vận hành nào, tiến lên level này đòi hỏi đưa ra cam kết cải tiến Năng lực vận hành của tổ chức.

Theo tôi, không cần phải đặt mục tiêu quá cao ngay từ đầu vì sẽ cần thời gian, nguồn lực để đạt được mục tiêu. Tuy nhiên cũng không nên đặt mục tiêu quá thấp, làm sao để mục tiêu có tính challenge và có cải thiện cụ thể (nhìn thấy được) ở mức độ hài lòng của khách hàng.

Ở tình huống giả thiết này, ta có thể đưa ra mục tiêu theo vài khía cạnh khác nhau:

+ Thời gian: VD a. Tối đa 1 ngày để trả lời khách hàng và tối đa 2 ngày để cung cấp tài liệu phân quyền đầy đủ phù hợp với câu trả lời ban đầu.

+ Phạm vi: VD b. Với các sensitive data mức độ rủi ro cao nhất thì luôn keep track được trạng thái chúng có ở page nào, page đó phân quyền ra sao, có thể trả lời ngay lập tức và cung cấp tài liệu evidence trong vòng 30 phút. Với các sensitive data mức độ rủi ro thấp hơn thì dự kiến 6 tháng nữa sẽ nâng được mức độ sẵn sàng bằng như vậy.

….

Hẹn gặp lại các bạn ở bài tiếp theo.