Bảo mật dữ liệu từ góc nhìn quản trị dữ liệu tại Việt Nam (Phần 2)

11:21 | 13/01/2020

Thực tế, không có một giải pháp bảo mật hoàn hảo nào cho dữ liệu ngân hàng, mà là sự kết hợp của các giải pháp với nhau. Bên cạnh việc xây dựng các hệ thống tường lửa, kiểm soát mạng, kiểm soát truy cập và các giải pháp bảo mật khác, bài báo này đề xuất các ngân hàng cần xây dựng chương trình quản trị dữ liệu nhằm xây dựng về mặt tổ chức con người và quy chế, hỗ trợ nâng cao chất lượng của hệ thống.

Xây dựng chương trình quản trị dữ liệu

Theo Học viện Quản trị dữ liệu định nghĩa, quản trị dữ liệu là một hệ thống các quyền và trách nhiệm quyết định có liên quan đến thông tin, được thực hiện theo một mô hình đã được xác định, mô tả ai được thực hiện hành động nào với thông tin gì và khi nào, trong trường hợp nào, sử dụng phương pháp nào.

Khi thực hiện quản trị dữ liệu, tổ chức phải trả lời một số câu hỏi cơ bản sau:

- Ai là chủ sở hữu dữ liệu?

- Khi dữ liệu bị rò rỉ, ai là người chịu trách nhiệm?

- Chất lượng dữ liệu được đo lường thế nào? Ai là người chịu trách nhiệm nâng cao chất lượng dữ liệu?

- Mọi người trong tổ chức có hiểu dữ liệu theo cùng một cách?

- Ai là người quyết định kiến trúc dữ liệu?

- Dữ liệu được phân loại thế nào?

- Dữ liệu được lưu trữ ở đâu, trong bao lâu?

Về cơ bản, chương trình quản trị dữ liệu sẽ bao phủ lên toàn bộ các hoạt động của ngân hàng, bao gồm con người – mô hình tổ chức, quy định, quy trình và hệ thống công nghệ thông tin. Chính vì mức độ bao phủ rộng lớn và có sự tương tác tới rất nhiều đơn vị trong ngân hàng, nên việc triển khai chương trình quản trị dữ liệu không hề đơn giản, đòi hỏi sự tham gia của các lãnh đạo cấp cao trong ngân hàng và sự phối hợp của nhiều đơn vị.

Khi triển khai chương trình quản trị dữ liệu, việc đầu tiên cần triển khai là xây dựng đơn vị chuyên trách các vấn đề liên quan đến dữ liệu trên phạm vi toàn ngân hàng. Đơn vị này hoạt động độc lập, báo cáo trực tiếp Tổng Giám đốc ngân hàng, được quản lý bởi Giám đốc Dữ liệu (Chief Data Officer). Giám đốc Dữ liệu là vị trí mới, không riêng ở Việt Nam mà cả ở trên thế giới. Tuy nhiên, với tầm quan trọng của dữ liệu ngày càng được khẳng định thì các tổ chức lớn càng ngày càng coi trọng vị trí này hơn.

Việc xây dựng một đơn vị chuyên trách với các vấn đề dữ liệu sẽ giúp cho việc kiện toàn các quy định, quy trình về dữ liệu, từ đó nâng cao nhận thức của người dùng về dữ liệu. Ngoài ra, trong quá trình triển khai quản trị dữ liệu, một trong các hoạt động chủ yếu là xác định chủ sở hữu dữ liệu và phân loại dữ liệu. Việc xác định chủ sở hữu dữ liệu trên phạm vi toàn ngân hàng cùng với việc nêu rõ vai trò, trách nhiệm của chủ sở hữu dữ liệu sẽ nâng cao vai trò, trách nhiệm của chủ sở hữu dữ liệu với dữ liệu do mình quản lý. Như chúng ta đều biết, để nâng cao bảo mật của dữ liệu, thông tin thì việc phân loại dữ liệu để ngân hàng có cơ chế phù hợp với từng loại dữ liệu là rất quan trọng, đây cũng là một hoạt động của quản trị dữ liệu. Trong phạm vi hạn hẹp, bài viết sẽ đi sâu vào phân tích một mô hình tổ chức quản trị dữ liệu.

Mô hình tổ chức quản trị dữ liệu

Như đã trao đổi ở mục trên, triển khai quản trị dữ liệu phải bắt đầu từ mô hình tổ chức. Trong quản trị dữ liệu, có hai loại mô hình tổ chức đóng góp vai trò lớn trong việc triển khai quản trị dữ liệu thành công: mô hình tổ chức mềm là các ủy ban có chức năng kiêm nhiệm và mô hình tổ chức cứng là Trung tâm Quản trị dữ liệu có chức năng chuyên biệt.

Với mô hình tổ chức mềm, ở một số tổ chức sẽ phân cấp 3 ủy ban: Ủy ban Điều hành dữ liệu (Data Executive Council), Ủy ban Quản trị dữ liệu (Data Governance Council) và Hội đồng Quản trị dữ liệu (Data Stewards Council). Tuy nhiên, các ngân hàng tại Việt Nam có thể rút gọn mô hình với 2 Ủy ban: Ủy ban Điều hành dữ liệu và Ủy ban Quản trị dữ liệu.

Ủy ban Điều hành dữ liệu: Chủ trì là Tổng giám đốc của ngân hàng, các thành viên sẽ bao gồm Giám đốc Tài chính, Giám đốc Quản trị rủi ro, Giám đốc Công nghệ thông tin, Giám đốc Vận hành, Giám đốc Dữ liệu, Giám đốc các khối kinh doanh. Ủy ban Điều hành dữ liệu sẽ chịu trách nhiệm định hướng về mặt chiến lược, các kế hoạch triển khai tổng thể, quyết định các vấn đề chưa xử lý được tại Ủy ban Quản trị dữ liệu và quyết định đầu tư các dự án chiến lược về dữ liệu dựa trên tư vấn, khuyến nghị của GĐ Dữ liệu. Tùy theo tình hình của từng ngân hàng, Ủy ban này có thể họp theo từng quý hoặc 6 tháng

Ủy ban Quản trị dữ liệu: Chủ trì là GĐ Dữ liệu, các thành viên sẽ bao gồm các chủ sở hữu dữ liệu, các quản lý dữ liệu (Data Stewards) tương ứng, thành viên khối CNTT và các thành viên của Trung tâm Quản trị dữ liệu theo từng chủ đề họp của Ủy ban. Ủy ban Quản trị dữ liệu chịu trách nhiệm thi hành chiến lược dữ liệu, các kế hoạch, triển khai dự án đã được phê duyệt bởi Ủy ban Điều hành dữ liệu, ngoài ra Ủy ban Quản trị dữ liệu phải tham mưu, đề xuất với Ủy ban Điều hành dữ liệu các vấn đề mới phát sinh chưa xử lý được hoặc vượt thẩm quyền xử lý, tiếp nhận và xử lý các vấn đề về dữ liệu từ các chủ sở hữu dữ liệu. Ủy ban Quản trị dữ liệu thường họp hàng tháng. Hình 6 là một mô hình mà độc giả có thể tham khảo.

Hình 6: Mô hình tổ chức mềm – Các Ủy ban dữ liệu

Với mô hình tổ chức cứng, việc thành lập Trung tâm Quản trị dữ liệu là đơn vị duy nhất chịu trách nhiệm tiếp nhận và giải quyết các vấn đề phát sinh về dữ liệu trên phạm vi toàn ngân hàng, tuy nhiên, chúng ta cần lưu ý, vấn đề về dữ liệu không phải công việc chỉ của Trung tâm Quản trị dữ liệu, để giải quyết triệt để các vấn đề dữ liệu cần có sự chung tay góp sức của toàn bộ các đơn vị, cá nhân trong ngân hàng. Về cơ bản, Trung tâm Quản trị dữ liệu cần có các chức năng sau:

- Quản trị dữ liệu: Xây dựng, ban hành, duy trì và kiểm soát việc thực thi các quy định, quy trình về dữ liệu trên phạm vi toàn ngân hàng.

- Kiến trúc dữ liệu: Quản lý việc thiết kế kiến trúc dữ liệu cùng với đơn vị kiến trúc hệ thống của khối CNTT.

- Quản lý siêu dữ liệu: xây dựng và cập nhật từ điển dữ liệu (data dictionary), từ điển thuật ngữ nghiệp vụ (business glossary), xây dựng luồng dữ liệu (data linage).

- Quản lý chất lượng dữ liệu: xây dựng hệ thống kiểm soát chất lượng dữ liệu bao gồm các báo cáo chất lượng dữ liệu, quy tắc đo lường chất lượng dữ liệu.

- Vận hành dữ liệu: chuẩn hóa hoạt động nhập liệu tập trung hóa, hỗ trợ các đơn vị quản trị dữ liệu và quản lý chất lượng dữ liệu trong hoạt động vận hành. Thực tế, trên thế giới, việc tập trung hóa hoạt động nhập và kiểm soát chất lượng dữ liệu không hề xa lạ với sự hỗ trợ của các hệ thống như BPM (Business Process Management) hoặc ECM (Enterprise Content Management). Tuy nhiên, tại Việt Nam thì mô hình này vẫn còn mới và cần nhiều thời gian để nghiên cứu và thử nghiệm.

- Quản lý dữ liệu chủ: xây dựng hệ thống quản lý, lưu trữ, chuẩn hóa và phân phối dữ liệu chủ giữa các hệ thống dữ liệu nguồn và hệ thống sử dụng. Quản lý dữ liệu chủ chỉ có thể được thực hiện một cách hiệu quả khi toàn bộ các trức năng bên trên được triển khai vào đi vào hoạt động thường ngày.

Hình 7 mô tả các chức năng của Trung tâm Quản trị dữ liệu. Để trung tâm hoạt động hiệu quả cần có sự phối hợp chặt chẽ của các đơn vị Quản trị rủi ro và Công nghệ thông tin.

Hình 7: Mô hình tổ chức cứng – Trung tâm Quản trị dữ liệu

Một số lưu ý khi triển khai quản trị dữ liệu

Một số khuyến nghị với các tổ chức trước khi triển khai quản trị dữ liệu:

Quản trị dữ liệu là một chương trình triển khai liên tục theo toàn bộ vòng đời của ngân hàng, không phải là một dự án triển khai xong là dừng. Công tác này sẽ tác động tới rất nhiều hoạt động của ngân hàng từ mô hình tổ chức, quy trình tới công nghệ. Chính vì mức độ bao phủ lớn như vậy nên cần có sự quan tâm, tham gia sâu sát từ các cấp lãnh đạo cao cấp, chuyền tải thông điệp của quản trị dữ liệu tới toàn bộ CBNV của ngân hàng.

Bên cạnh đó, cần nhìn nhận việc quản trị dữ liệu không phải là công việc của một cá nhân, đơn vị, mà là công việc của toàn bộ ngân hàng.

Quản trị dữ liệu phải được triển khai và đưa vào vận hành hàng ngày, trước khi triển khai các dự án về dữ liệu khác như Dự án xây Kho dữ liệu, Dự án phòng chống thất thoát thông tin, Dự án nâng cao chất lượng dữ liệu, Dự án Xây dựng hệ thống quản lý dữ liệu chủ….