VSEC là MSSP duy nhất tại Việt Nam nằm trong Top 250 MSSPs toàn cầu do Cyberrisk Alliance công bố

VSEC là MSSP duy nhất tại Việt Nam nằm trong Top 250 MSSPs toàn cầu do Cyberrisk Alliance công bố

VSEC - BLOG Nổi bật

Top 250 MSSPs năm 2023 là báo cáo nghiên cứu và xếp hạng thông qua cuộc khảo sát các MSSP trên toàn thế giới hàng năm lần thứ bảy của MSSP Alert được thực hiện từ tháng 4 cho đến tháng 8/2023. Theo báo cáo này, VSEC – Công ty Cổ phần An ninh mạng Việt Nam hiện là MSSP (Managed Security Service Provider) duy nhất của Việt Nam nằm trong danh sách 250 MSSP hàng đầu thế giới năm 2023, xếp hạng 154/250.

 

Nằm trong danh sách này đứng đầu là Deloitte của USA, tiếp theo là Telefonica Tech Inc, ECS Tech và Rapid 7 – Một trong các đối tác hàng đầu của VSEC tại Mỹ. Theo khảo sát các doanh nghiệp hoạt động trong lĩnh vực quản trị bảo mật chủ yếu nằm ở thị trường Châu Mỹ (66%), EMEA (17%) và Asia Pacific chỉ chiếm 5%.

Trong báo cáo tỷ lệ các cuộc tấn công an ninh mạng/sự cố bảo mật đã được các MSSP nhận diện hoặc kịp thời ngăn chặn giúp khách hàng trong năm 2023, cho thấy Phishing – Tấn công giả mạo vẫn là xu hướng/hình thức tấn công có tỷ trọng lớn nhất chiếm tới 95%, tiếp theo là các rủi ro từ các Lỗ hổng bảo mật (91%) và các Phần mềm độc hại (86%).

Báo cáo của MSSP Alert cũng chỉ ra tỷ lệ các nhà cung cấp dịch vụ quản trị bảo mật cung cấp dịch vụ Trung tâm Giám sát và Vận hành An toàn thông tin – SOC (Security Operation Center) đang vận hành theo mô hình SOC Completely in-house (hoàn toàn do nội bộ thực hiện) chủ yếu từ các MSSP lớn, trong khi các MSSP nhỏ hơn sẽ có xu hướng kết hợp hoặc thuê ngoài hoàn toàn mô hình SOC.

Xem báo cáo chi tiết tại ĐÂY

Đại diện VSEC cho biết mô hình SOC của VSEC được công nhận đáp ứng các tiêu chuẩn của CREST về SOC đầu tiên tại Việt Nam từ năm 2022, bên cạnh dịch vụ Đánh giá bảo mật (Penetration Testing). Đây là chứng nhận quốc tế quan trọng cho thấy chất lượng dịch vụ SOC cũng như Penetration Testing của VSEC được vận hành và đáp ứng được các tiêu chuẩn khắt khe trong cộng đồng an ninh mạng quốc tế.

Trong 20 năm hoạt động, VSEC được biết đến như là những người khai mở đầu tiên trong việc làm đánh giá bảo mật một cách bài bản từ năm 2003. Là đơn vị triển khai Trung tâm Cảnh báo An ninh thông tin đầu tiên tại Việt Nam và cũng là đơn vị bảo mật đầu tiên được thế giới biết đến khi lọt vào Top 6 Chung kết cuộc thi khởi nghiệp Start Jerusalem vào năm 2005. Việc nằm trong Top 250 MSSPs – Danh sách 250 Nhà cung cấp dịch vụ Quản trị Bảo mật hàng đầu thế giới tiếp tục khẳng định vai trò và năng lực của VSEC về việc Việt Nam hoàn toàn có thể mang đến các giải pháp, dịch vụ bảo mật có chất lượng tương đương thị trường nước ngoài.

 

Về CyberRisk Alliance:

CyberRisk Alliance là công ty hoạt động theo mô hình Kinh doanh thông minh hay còn gọi là trí tuệ doanh nghiệp (Business Intelligence) phục vụ cho cộng đồng an ninh mạng đang phát triển nhanh chóng và tăng trưởng cao nhằm cung cấp các thông tin, đào tạo và xây dựng cộng đồng cũng như truyền cảm hứng cho thị trường hoạt động một cách hiệu quả. Với các thông tin thu thập đáng tin cậy của CyberRisk Alliance bao gồm các nhà báo, nhà phân tích, những người có ảnh hưởng và các nhà hoạch định chính sách cũng như người thực hiện. Các thương hiệu CRA hiện có SC Media, Security Weekly, Channel E2E, MSSP Alert, InfoSec World, Identiverse, Cybersecurity Collaboration Forum, và các đơn vị nghiên cứu nằm trong hệ thống CRA Business Intelligence.

Nguồn: Theo MSSP Alert

Báo VNEconomy: https://vneconomy.vn/vsec-la-mssp-duy-nhat-tai-viet-nam-nam-trong-top-250-mssp-toan-cau-do-cyberrisk-alliance-cong-bo.htm

Penetration Testing và Vulnerability Assessment giống và khác gì nhau?

VSEC - BLOG Dành cho Chuyên gia kiểm thử

Trong vũ trụ từ điển về các hình thức đánh giá bảo mật thì Penetration Testing (Kiểm thử xâm nhập) và Vulnerability Assessment (Đánh giá lỗ hổng bảo mật) được coi là 2 kỹ thuật khá quen thuộc và điển hình hay được sử dụng nhiều nhất. Tuy về mặt chức năng, cách thức và kỹ thuật thực hiện có thể khác biệt nhưng về kết quả cuối cùng thì cả 2 hình thức này đều nhằm đến việc đánh gía được sức mạnh bảo mật của hệ thống.

Để làm rõ hơn cho doanh nghiệp trong việc lựa chọn hình thức đánh giá bảo mật nào phù hợp hơn cho mình, chúng tôi sẽ liệt kê một số điểm khác biệt cơ bản như bên dưới.

Thế nào là Vulnerability Assessment (Đánh giá lỗ hổng bảo mật) – Viết tắt là VA?

Đúng như tên gọi của nó, VA là hình thức đánh giá bảo mật mà thông qua hình thức này, doanh nghiệp có thể tìm ra được nhiều nhất các lỗ hổng có thể có. Bằng VA, tổ chức sẽ ứng phó được các cuộc tấn công mạng vào hệ thống nhờ vào việc nhận diện, phân loại và giải quyết các rủi ro bảo mật cùng hướng dẫn để giảm thiểu các rủi ro một cách tốt nhất.

Khuyến cáo: Đơn vị thực hiện VA có thể chưa có nhân sự chuyên môn hoặc hệ thống quản trị chưa được trang bị nhiều công cụ bảo mật, nhưng có thể đã xác định được mục tiêu rà soát các lỗ hổng trong hệ thống để có khuyến cáo phù hợp.

Hình thức VA cơ bản mà các đơn vị này thực hiện thường tập trung vào việc đánh giá bảo mật trên website, ứng dụng, … cho đến hạ tầng công nghệ thông tin của doanh nghiệp.

 

Tại sao cần đánh giá lỗ hổng bảo mật – Vulnerability Assessment?

Mọi chuyên gia an toàn thông tin đều khuyến nghị doanh nghiệp cần đánh giá VA càng sớm càng tốt vì hệ thống core value của doanh nghiệp cần được đảm bảo mức độ an toàn tối đa trước khi mở rộng hoặc nâng cấp theo tốc độ phát triển kinh doanh của đơn vị. Sau đây là 4 lý do cơ bản:

Thứ nhất, VA giúp xác định sớm các mối đe doạ và điểm yếu trong việc bảo mật hệ thống CNTT

Thứ hai, sau VA bộ phận CNTT sẽ cần cso các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm

Thứ ba, VA giúp doanh nghiệp áp dụng triển khai và đáp ứng các yêu cầu tuân thủ, và các quy định an ninh mạng hiện hành như HIPAA và PCI DSS

Thứ tư, VA giúp bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép

Chỉ khi doanh nghiệp có đội ngũ bảo mật hoặc quản trị thông tin chuyên biệt mới nên thực hiện Penetration Testing?

Không đúng hoàn toàn. Việc thực hiện Đánh giá kiểm thử thông qua các chuyên gia bảo mật sẽ là hình thức đánh giá đi khá sâu vào hệ thống CNTT của doanh nghiệp nhằm mục tiêu phát hiện ra những điểm yếu tiềm tàng và đánh giá được mức độ an toàn của hệ thống. Có nhiều mô hình và cách thức triển khai đánh giá bảo mật để doanh nghiệp lựa chọn để giảm thiểu rủi ro bẻ vỡ cấu trúc bảo mật của hệ thống như Pentest As A Service, Network Pentest, Web Application Pentest, Mobile Application Pentest, API Pentest, …

Trong đa số trường hợp, các doanh nghiệp cần kiểm tra năng lực phòng thủ của đội ngũ sẽ lựa chọn hình thức đánh giá bảo mật Penetration Testing thậm chí là Red Team (Đánh giá thâm nhập sâu) để kiểm tra khả năng của hệ thống lẫn trình độ chuyên môn của chính đội ngũ nhân sự.

Tuy nhiên, lựa chọn hình thức nào thì doanh nghiệp cũng đều cần đưa ra những mục tiêu rõ ràng, các nguyên tắc và giới hạn hình thức tấn công để đảm bảo quản trị được các rủi ro trong quá trình thực hiện đánh giá bảo mật.

IBM công bố đối tác chiến lược mới về bảo mật tại Việt Nam

Nổi bật

Hà Nội, ngày 25 tháng 8 năm 2023 – Tập đoàn công nghệ hàng đầu thế giới IBM đã chính thức công bố đối tác chiến lược mới trong lĩnh vực bảo mật tại sự kiện đầy mong đợi “IBM Security QRadar Suite – Dự đoán, ngăn chặn và ứng phó với các mối đe dọa An toàn thông tin và Truyền thông” diễn ra vào hôm nay tại Việt Nam. 

Sự kiện quan trọng “IBM Security QRadar Suite – Dự đoán, ngăn chặn và ứng phó với các mối đe dọa An toàn thông tin và Truyền thông” do IBM phối hợp cùng VSEC và nhà phân phối Tech Data tổ chức đã thu hút sự chú ý của các chuyên gia bảo mật, nhà quản lý rủi ro và lãnh đạo doanh nghiệp thuộc lĩnh vực Tài chính và Tập đoàn lớn tại Việt Nam. Trong bối cảnh ngày càng phức tạp và đa dạng của các mối đe dọa an toàn thông tin và truyền thông (ATTT), việc hợp tác đối tác chiến lược trong lĩnh vực bảo mật trở nên cấp bách hơn bao giờ hết. IBM đã chọn một đối tác uy tín và giàu kinh nghiệm để cùng hợp tác phát triển giải pháp bảo mật toàn diện, chất lượng cao nhằm đối phó hiệu quả với các mối đe doạ ATTT đang ngày càng tinh vi và phức tạp trong môi trường kỹ thuật số. 

Trung tâm giám sát điều hành an toàn, an ninh mạng (SOC) là một giải pháp hữu hiệu trong việc dự đoán, ngăn chặn và ứng phó với các mối đe dọa ATTT hiện tại trong doanh nghiệp, tổ chức. Theo số liệu thống kê, 63% tổ chức tìm kiếm cách thức cải thiện khả năng của SOC trong việc phát hiện và ngăn chặn. Thông qua việc cung cấp một nền tảng đồng nhất, đầy đủ các giải pháp công nghệ cần cho SOC, IBM Security QRadar Suite giúp các doanh nghiệp, tổ chức giải quyết bài toán về sự phức tạp trong công nghệ, giúp các kỹ sư tập trung chính vào hoạt động giám sát để đối phó với các mối nguy hiện đại. Dịch vụ giám sát điều hành an toàn, an ninh mạng trên nền tảng IBM Security Qradar Suite (hay còn gọi là Managed Qradar) là chìa khóa được VSEC cung cấp để giải quyết bài toán về Con người và Quy trình – thách thức rất lớn tại các tổ chức, doanh nghiệp hiện nay. 

Bà Ứng Thị Diệu Uyên – Giám đốc đối tác IBM, chia sẻ: ” IBM luôn tìm những đối tác có thể mang những dịch vụ “end to end” về an toàn thông tin, đặc biệt là trong lĩnh vực SOC tốt nhất và có đẳng cấp thế giới cho khách hàng. VSEC là một đơn vị lâu năm trong lĩnh vực MSSP như vậy. Quý khách có thể hoàn toàn tin tưởng 100% vào sự hợp tác của VSEC và IBM trong thời gian tới, sẽ mang đến những dịch vụ chất lượng để đảm bảo vệ an toàn thông tin cho doanh nghiệp của mình để ngày càng phát triển hơn”. 

Bà Ứng Thị Diệu Uyên – Giám đốc đối tác IBM (trái) và bà Phan Thị Hải Anh (phải) – Giám đốc Kinh doanh giải pháp IBM tại Tech Data trao hoa và kỷ niệm chương cho VSEC

Tại lễ công bố, ông Lê Đức Hợp – Giám đốc kinh doanh khu vực miền bắc Công ty Cổ phần An ninh mạng Việt Nam bày tỏ: “Trong quá trình phát triển của mình, VSEC không ngừng tìm kiếm các đối tác có thể cùng cộng hưởng giá trị với VSEC để đem lại giá trị dịch vụ tốt nhất và hiệu quả nhất cho khách hàng. Việc trở thành đối tác chiến lược của IBM sẽ khẳng định hơn vị thế của VSEC không chỉ trong thị trường Việt Nam mà còn trên thị trường quốc tế”. 

Có thể nói, sự kiện “IBM Security QRadar Suite” không chỉ giới thiệu các giải pháp tiên tiến, mà còn là nơi các chuyên gia và doanh nghiệp có cơ hội thảo luận, trao đổi và cập nhật kiến thức về tình hình bảo mật hiện tại và tương lai. 

Về IBM: 

IBM là một tập đoàn công nghệ toàn cầu định hình tương lai của doanh nghiệp thông qua việc kết nối thông tin, phân tích thông tin và ứng dụng trí tuệ nhân tạo để giải quyết các thách thức phức tạp của thế giới. Với hơn 100 năm kinh nghiệm, IBM đã và đang thúc đẩy sự đổi mới trong nhiều lĩnh vực, bao gồm công nghiệp, điều khiển giao thông, dược phẩm và năng lượng. IBM có mặt ở hơn 170 quốc gia trên toàn thế giới. 

 

Về VSEC: 

VSEC là Nhà cung cấp dịch vụ quản trị An toàn thông tin đầu tiên tại Việt Nam đạt được cả 2 chứng nhận quan trọng là CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin và dịch vụ Đánh giá An toàn thông tin Pentest. Với 20 năm kinh nghiệm hoạt động trong lĩnh vực an ninh mạng, đã cung cấp dịch vụ ATTT cho hơn 1.000 tổ chức, doanh nghiệp trong nước và quốc tế, trong đó hơn 50% các ngân hàng tại Việt Nam đã lựa chọn sử dụng các dịch vụ bảo mật. 

Tại sao cần hợp tác với một nhà cung cấp dịch vụ kiểm thử xâm nhập đạt chứng nhận CREST?

Nổi bật Thông cáo - Tin tức VSEC - BLOG

Kiểm thử xâm nhập (Penetration Testing/Pentest) giúp doanh nghiệp tìm ra những điểm yếu, lỗ hổng trong hệ thống CNTT. Tuy nhiên, tiêu chí nào giúp doanh nghiệp biết được đơn vị cung cấp dịch vụ này đáng tin cậy và bảo mật trong chính quá trình thực hiện kiểm thử? Doanh nghiệp đạt chứng nhận quốc tế CREST có phải là lựa chọn tối ưu?

Một trong những cách hiệu quả nhất để đánh giá cũng như cải thiện tình hình bảo mật và khả năng phục hồi của các hệ thống doanh nghiệp trước các mối đe dọa hiện nay được ưa chuộng là hình thức kiểm thử xâm nhập (Penetration Testing/Pentest). Bằng việc mô phỏng các cuộc tấn công mạng có kiểm soát vào một tổ chức, pentesting có mục đích là xác định các lỗ hổng có khả năng bị những tin tặc ác ý khai thác.

Tuy nhiên, hiệu quả của hình thức kiểm thử này phụ thuộc rất nhiều vào khả năng chuyên môn của nhà cung cấp, và đây là lý do cho việc nên thuê một nhà cung cấp kiểm thử xâm nhập có chứng nhận CREST. Trong bài viết này, chúng ta sẽ cùng tìm hiểu tại sao các doanh nghiệp nên hợp tác với một nhà cung cấp dịch vụ bảo mật được CREST công nhận để đáp ứng nhu cầu kiểm thử xâm nhập của doanh nghiệp.

  1. CREST là gì? Tầm quan trọng của chứng nhận này trong ngành công nghiệp an ninh mạng?

CREST là một cơ quan kiểm định được quốc tế công nhận, nhằm xác thực khả năng, chuyên môn kỹ thuật và chất lượng dịch vụ cho các nhà cung cấp an ninh mạng và cá nhân hoạt động chuyên nghiệp trong lĩnh vực này.

CREST được thành lập từ năm 2006, có trụ sở tại Anh Quốc, ban đầu được biết đến là Council of Registered Ethical Security Testers (Hội đồng Các Chuyên Gia Kiểm Thử Bảo Mật Chân chính Đã Được Đăng Ký). Đây là một tổ chức chứng nhận phi lợi nhuận toàn cầu, đại diện cho ngành bảo mật thông tin kỹ thuật. CREST cung cấp một khung dịch vụ chuyên nghiệp được công nhận trong lĩnh vực an ninh mạng, đặc biệt là trong lĩnh vực kiểm thử xâm nhập. CREST đã và đang đặt ra một tiêu chuẩn vàng mới trong ngành công nghiệp an ninh mạng, đó là thiết lập một khung chương trình về trình độ và hành vi đạo đức mà tất cả các thành viên được chứng nhận đều phải tuân thủ. Để đạt được chứng nhận CREST, các nhà cung cấp dịch vụ an ninh mạng phải vượt qua một quy trình đánh giá nghiêm ngặt. Quy trình này bao gồm việc đánh giá kỹ càng các thủ tục kinh doanh và nhân sự, các phương pháp tư vấn và tiêu chuẩn cung cấp dịch vụ, cũng như các biện pháp bảo mật của nhà cung cấp. Điều này giúp tăng độ tin cậy, tính nhất quán và hiệu quả của các dịch vụ đối với nhà cung cấp khi đã đạt được chứng nhận của CREST.

Tổ chức này có hai loại chứng nhận khác nhau, dành cho cả nhà cung cấp và cá nhân cung cấp dịch vụ. Các lĩnh vực mà CREST chứng nhận bao gồm kiểm thử xâm nhập, ứng phó sự cố thông tin về mối đe dọa, đánh giá lỗ hổng, kiểm thử xâm nhập dựa trên thông tin tình báo và Trung tâm Vận hành An ninh mạng (SOC).

  1. Lợi ích của việc hợp tác với một Công ty kiểm thử xâm nhập được CREST chứng nhận

Việc lựa chọn một nhà cung cấp kiểm thử xâm nhập được CREST chứng nhận sẽ mang lại nhiều lợi ích cho doanh nghiệp của bạn, bao gồm: Chất lượng dịch vụ được đảm bảo; Chuyên môn kỹ thuật tiêu chuẩn quốc tế; Nâng cao sự hài lòng và niềm tin đối với khách hàng.

2.1. Chất lượng đảm bảo của dịch vụ kiểm thử xâm nhập

Bằng việc lựa chọn một nhà cung cấp dịch vụ bảo mật được chứng nhận kiểm thử xâm nhập CREST, các doanh nghiệp đã tự đảm bảo cho mình một thử nghiệm xâm nhập với chất lượng vượt trội.

Quy trình chứng nhận nghiêm ngặt mà CREST áp dụng vào các nhà cung cấp và các chuyên gia kiểm thử xâm nhập nhằm đảm bảo rằng họ duy trì các tiêu chuẩn cao nhất trong phương pháp thực hiện và cung cấp dịch vụ. Tiêu chuẩn nghiêm ngặt của CREST bao gồm các quy trình kiểm tra bảo mật tỉ mỉ, đi sâu vào cốt lõi của các lỗ hổng hệ thống, không bỏ sót bất cứ điều gì. Kết quả là một phương pháp kiểm thử xâm nhập toàn diện và hiệu quả, cho phép phân tích chuyên sâu và củng cố các điểm yếu.

Việc đảm bảo chất lượng này được áp dụng cho tất cả các lĩnh vực hoạt động của nhà cung cấp dịch vụ thuộc tổ chức CREST, không chỉ cung cấp các dịch vụ xuất sắc về mặt kỹ thuật mà đó còn là dịch vụ khách hàng tuyệt vời, giao tiếp chuyên nghiệp và các báo cáo được lưu trữ một cách cẩn thận.

2.2. Chuyên môn kỹ thuật tiêu chuẩn quốc tế

Một trong những yếu tố quan trọng phân biệt một nhà cung cấp dịch vụ bảo mật được chứng nhận bởi CREST là trình độ chuyên môn kỹ thuật cao mà họ sở hữu. Các đơn vị thành viên của CREST phải chứng minh rằng các chuyên gia bảo mật của họ không chỉ có kiến thức mà còn đứng đầu “cuộc chơi” về kỹ năng, kỹ thuật và sự nhạy bén trong ngành.

Theo trang đánh giá của CREST, cơ quan này cung cấp các kỳ thi chuyên nghiệp ở ba cấp độ khác nhau:

  • Kỳ thi cấp độ Thực hành viên CREST: Đây là các kỳ thi cơ bản dành cho các chuyên gia, và cá nhân đã làm việc trong lĩnh vực này trong khoảng 2.500 giờ, tương đương khoảng hai năm.
  • Kỳ thi đã đăng ký CREST: Đạt cấp độ này cho thấy bạn có chuyên môn trong công việc thuộc lĩnh vực kiểm thử an ninh thông tin. Theo như hướng dẫn, các chuyên gia tham gia kỳ thi này nên có ít nhất 6.000 giờ kinh nghiệm làm việc thường xuyên, tương đương khoảng ba năm hoặc hơn.
  • Kỳ thi cấp độ được Chứng nhận CREST: Kỳ thi này là mục tiêu cuối cùng của nhiều chuyên gia trong ngành, và dành cho những cá nhân có khoảng 10.000 giờ, tương đương năm đến sáu năm kinh nghiệm làm việc thường xuyên trong lĩnh vực an ninh mạng.

Điều này có nghĩa là khi bạn hợp tác với một nhà cung cấp dịch vụ kiểm thử xâm nhập đạt chứng nhận CREST, bạn đang có cơ hội tiếp cận với một đội ngũ chuyên gia hiểu biết sâu rộng về bối cảnh an ninh mạng. Những chuyên gia này sử dụng khả năng chuyên môn của họ để thực hiện việc kiểm thử xâm nhập nghiêm ngặt, xác định các lỗ hổng tiềm ẩn, phát hiện những rủi ro CNTT trong tổ chức của bạn và đề xuất các giải pháp phù hợp, hiệu quả nhằm tăng cường bảo mật cho hệ thống của bạn.

2.3. Nâng cao sự hài lòng và niềm tin đối với khách hàng.

Hợp tác với một nhà cung cấp dịch vụ kiểm thử xâm nhập đạt chứng nhận CREST cho các nhu cầu bảo mật mạng mang lại cho bạn mức tin tưởng và sự tự tin cao. Việc được CREST chứng nhận cho thấy cam kết tuân thủ đạo đức và tiêu chuẩn cao trong cung cấp dịch vụ, giúp bạn yên tâm khi đối diện với bối cảnh phức tạp của an ninh mạng.

Kết luận

Với bối cảnh các mối đe dọa liên tục biến đổi, doanh nghiệp phải chủ động tăng cường khả năng phòng thủ của mình. Chứng nhận CREST đại diện cho cam kết về sự xuất sắc trong lĩnh vực an ninh mạng. Bằng việc lựa chọn một Công ty thành viên CREST cho các dịch vụ an ninh mạng, doanh nghiệp được đảm bảo việc kiểm thử nghiêm ngặt, toàn diện, không để sót điểm nào. Hơn thế nữa, uy tín và sự tin cậy đi kèm với chứng nhận CREST sẽ góp phần tăng cường danh tiếng của doanh nghiệp và giúp củng cố niềm tin với các bên liên quan.

Về VSEC:

VSEC là Nhà cung cấp dịch vụ quản trị An toàn thông tin đầu tiên tại Việt Nam đạt được cả 2 chứng nhận quan trọng là CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin và dịch vụ Đánh giá An toàn thông tin Pentest. Với 20 năm kinh nghiệm hoạt động trong lĩnh vực an ninh mạng, đã cung cấp dịch vụ ATTT cho hơn 1.000 tổ chức, doanh nghiệp trong nước và quốc tế, trong đó hơn 50% các ngân hàng tại Việt Nam đã lựa chọn sử dụng các dịch vụ bảo mật. 

VSEC cũng là thành viên, đối tác của các tổ chức bảo mật quốc tế như Black Panda, Recorded Future, Insights, Rapid7, Core Security, …, cùng với đội ngũ kỹ sư tâm huyết, có kinh nghiệm sở hữu hàng loạt chứng chỉ bảo mật quốc tế; VSEC đã tham gia vào nhiều dự án đóng góp lớn vào việc nghiên cứu, tìm ra nhiều lỗ hổng bảo mật của các hãng phần mềm lớn trên thế giới như: WordPress, Adobe, ManageEngine… 

Nguồn: Tổng hợp bài viết từ Ewelina Baran, title “Why should hire a CREST Penetration Testing Provider”

Thông cáo báo chí: VSEC chính thức ra mắt Dịch vụ Kiểm thử xâm nhập sâu

Thông cáo - Tin tức Nổi bật

Ngày 18/4 Công ty Cổ phần An ninh mạng Việt Nam VSEC ra mắt dịch vụ Kiểm thử xâm nhập sâu Red Team – đánh giá bảo mật dựa trên việc thực hiện hành vi tấn công bằng mọi cách nhằm xâm nhập vào hệ thống của doanh nghiệp như một tội phạm mạng.

Theo định nghĩa của Computer Security Resource Center, NIST: Red Team là một nhóm được cấp quyền và tổ chức để mô phỏng một cuộc tấn công của đối thủ tiềm năng hoặc các khả năng khai thác chống lại một hệ thống an toàn thông tin của doanh nghiệp. Mục tiêu của Red Team là cải thiện an toàn thông tin mạng cho doanh nghiệp bằng việc minh họa các tác động của các cuộc tấn công thành công và minh họa những gì thực sự hoạt động cho đội ngũ phòng thủ (Blue Team) trong một môi trường hoạt động.

Đội ngũ chuyên gia của VSEC đã thành công trong việc nghiên cứu, tìm kiếm các lỗ hổng Zero day (những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục) từ những phần mềm phổ biến nhất như WordPress, Joomla, … cho đến các ứng dụng, hệ thống của các gã khổng lồ công nghệ như Microsoft,  Oracle, … đều đạt điểm CVSS cao.

Theo đại diện VSEC, chính thức công bố cung cấp dịch vụ Kiểm thử xâm nhập sâu – Red Team đồng nghĩa với việc tại thời điểm hiện tại VSEC có đầy đủ năng lực về công nghệ, đội ngũ có chứng chỉ tiêu chuẩn quốc tế và kinh nghiệm thực tế tham gia vào việc đánh giá bảo mật uy tín, đáp ứng được mọi nhu cầu của mọi tổ chức, doanh nghiệp trong và ngoài nước.

“Tại Việt Nam, không nhiều doanh nghiệp, tổ chức tự tin sử dụng Red Team vì còn e ngại về năng lực của đơn vị cung cấp trong nước cũng như rủi ro trong vấn đề dữ liệu. Việc VSEC chính thức công bố dịch vụ Kiểm thử xâm nhập sâu Red Team 2023 với phiên bản đầy đủ “Red Team full version” sẽ mang lại cái nhìn mới về năng lực bảo mật của các chuyên gia Việt Nam, hoàn toàn đáp ứng được những tiêu chuẩn quốc tế cao nhất”, ông Trương Đức Lượng, Chủ tịch HĐQT VSEC chia sẻ.

 

VSEC là nhà cung cấp dịch vụ Quản trị An toàn thông tin MSSP (Managed Security Service Provider) tiêu chuẩn quốc tế hoạt động từ năm 2003. Các dịch vụ của VSEC đáp ứng nhu cầu của tất cả các tổ chức và doanh nghiệp bất kể quy mô hay sự phức tạp của hệ thống hạ tầng công nghệ thông tin. VSEC đạt chứng nhận CREST (Tổ chức thẩm định, đánh giá và công nhận tiêu chuẩn dịch vụ An toàn thông tin của Anh Quốc) cho dịch vụ Đánh giá bảo mật Penetration Testing và SOC (Security Operation Center) năm 2021, 2022.

Trong suốt 20 năm hoạt động, VSEC công bố đã phục vụ hơn 500 doanh nghiệp và tổ chức chính phủ. Là thành viên của các hiệp hội, tổ chức trong và ngoài nước như VNCert – Mạng lưới ứng cứu sự cố quốc gia, VNISA – Hiệp hội An toàn thông tin VN, Bộ tư lệnh 86, FS-ISAC (The Financial Services Information Sharing and Analysis Center), Blackpanda, RAPID7, Affinitas Global, CoreSecurity, RecordedFuture, …

Download thông cáo: TẠI ĐÂY

Xem thêm tại:

  • Báo Vietnamnet: https://vietnamnet.vn/vsec-trien-khai-dich-vu-bao-mat-chuyen-sau-cho-doanh-nghiep-2133969.html
  • Báo Dân trí: https://dantri.com.vn/suc-manh-so/ra-mat-dich-vu-kiem-thu-xam-nhap-sau-red-team-20230419160124678.htm
  • Báo Mới: https://baomoi.com/vsec-trien-khai-dich-vu-bao-mat-chuyen-sau-cho-doanh-nghiep/c/45589171.epi
  • Báo Thanh niên: https://thanhnien.vn/vsec-trien-khai-dich-vu-danh-gia-phuong-thuc-bao-mat-chuyen-sau-185230417172647058.htm
  • Báo Nhịp sống số: https://nss.vn/vsec-hien-da-cung-cap-dich-vu-kiem-thu-xam-nhap-sau-red-team-28258.htm

Thông cáo báo chí: Vsec là Nhà cung cấp dịch vụ quản trị ATTT đầu tiên tại Việt Nam nhận CREST cho dịch vụ Trung tâm SOC

Thông cáo - Tin tức Nổi bật

THÔNG CÁO BÁO CHÍ

Vv: Công ty Cổ phần An ninh mạng Việt Nam là Nhà cung cấp dịch vụ quản trị An toàn thông tin đầu tiên tại Việt Nam đạt chứng nhận CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin SOC

Kính gửi: Các cơ quan thông tấn báo chí

Ngày 19 tháng 8 năm 2022, CREST – tổ chức phi lợi nhuận trong việc thẩm định, đánh giá và công nhận tiêu chuẩn chuyên sâu trong lĩnh vực cung cấp dịch vụ An toàn thông tin đã chính thức xác nhận Công ty Cổ phần An ninh mạng Việt Nam đạt đủ điều kiện chứng nhận Externally Validated của CREST cho dịch vụ Trung tâm giám sát và vận hành ATTT SOC (Security Operation Center). Vào đầu tháng 1/2022, dịch vụ Đánh giá ATTT Pentest (Penetration Testing) của VSEC cũng đã nhận được chứng chỉ này.

Như vậy, VSEC là Nhà cung cấp dịch vụ quản trị An toàn thông tin đầu tiên tại Việt Nam đạt được cả 2 chứng nhận quan trọng là CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin và dịch vụ Đánh giá An toàn thông tin Pentest. Đây là dấu mốc có ý nghĩa lớn đối với không chỉ riêng VSEC mà còn góp phần khẳng định chất lượng và sự phát triển của ngành An ninh mạng Việt Nam trên bản đồ thế giới.

Để đạt được chứng nhận này, các chuyên gia tại Trung tâm SOC – VSEC đã phải trải qua một quá trình đánh giá thường xuyên và nghiêm ngặt bởi các chuyên gia bảo mật quốc tế. Trong vòng 6 tháng làm việc cùng 2 vòng đánh giá là Nộp hồ sơ (Application Form) và Đánh giá (Audit), VSEC đã hoàn toàn đáp ứng được 6 nội dung với 28 tiêu chuẩn khó khăn mà CREST đưa ra là: Organisational Environment (Môi trường tổ chức), Consumer Requirements (Yêu cầu của người dùng), Technology & Tools (Công nghệ & Công cụ), Event Analysis (Phân tích sự kiện), Threat Intelligence & Situational Awareness (Nhận biết các tình huống và mối đe doạ) và Protect the SOC (Bảo vệ SOC).

Với việc sở hữu chứng nhận CREST, đồng nghĩa với việc VSEC đã được công nhận đạt các tiêu chuẩn quốc tế về năng lực chuyên gia, kinh nghiệm chuyên môn, khả năng công nghệ, các chính sách, quy trình, thủ tục và đạo đức nghề nghiệp liên quan đến việc cung cấp dịch vụ Trung tâm giám sát và vận hành SOC và dịch vụ Đánh giá An toàn thông tin Pentest.

Đại diện phía VSEC, Ông Trương Đức Lượng – Chủ tịch VSEC chia sẻ “Điều mà người Việt Nam chúng ta thường bị coi là yếu thế hơn các quốc gia khác là quy trình và tính tuân thủ. VSEC ngoài cam kết đem lại dịch vụ tốt nhất cho khách hàng thì việc có được chứng nhận CREST cũng là thể hiện mong muốn đây là công cụ đo lường để giúp nâng cao trình độ toàn diện cho các nhân sự trong lĩnh vực Pentest và SOC”. Việt Nam có thể tự hào rằng con người Việt Nam có thể đáp ứng và cung cấp những dịch vụ tốt nhất hoàn toàn theo tiêu chuẩn quốc tế. 

Thông tin về CREST:

https://www.crest-approved.org/

CREST là tổ chức phi lợi nhuận quốc tế đại diện cho ngành bảo mật toàn cầu được thành lập từ năm 2006, trụ sở tại Anh Quốc. CREST cung cấp các chứng chỉ được quốc tế công nhận cho các tổ chức cung cấp dịch vụ bảo mật thông tin và chứng chỉ chuyên nghiệp cho các cá nhân cung cấp dịch vụ đánh giá lỗ hổng bảo mật, kiểm thử thâm nhập, ứng phó sự cố mạng, thông tin mối đe dọa an ninh mạng, trung tâm hoạt động bảo mật (SOC), ….Với mục tiêu giúp tạo ra thế giới số an toàn cho tất cả mọi người bằng cách đảm bảo chất lượng của mỗi thành viên và cung cấp các chứng nhận chuyên nghiệp cho ngành an ninh mạng. Hiện CREST đã công nhận gần 300 doanh nghiệp hoạt động ở hàng chục quốc gia và hàng nghìn chuyên gia bảo mật trên toàn cầu. 

Thông tin về VSEC:

www.vsec.com.vn

Công ty cổ phần An ninh mạng Việt Nam với 20 năm kinh nghiệm hoạt động trong lĩnh vực an ninh mạng, đã cung cấp dịch vụ ATTT cho hơn 1.000 tổ chức, doanh nghiệp trong nước và quốc tế, trong đó hơn 50% các ngân hàng tại Việt Nam đã lựa chọn sử dụng các dịch vụ bảo mật. VSEC cũng là thành viên, đối tác của các tổ chức bảo mật quốc tế như Black Panda, Recorded Future, Insights, Rapid7, Core Security, …, cùng với đội ngũ kỹ sư tâm huyết, có kinh nghiệm sở hữu hàng loạt chứng chỉ bảo mật quốc tế; VSEC đã tham gia vào nhiều dự án đóng góp lớn vào việc nghiên cứu, tìm ra nhiều lỗ hổng bảo mật của các hãng phần mềm lớn trên thế giới như: WordPress, Adobe, ManageEngine… 

Liên hệ chi tiết:

Công ty Cổ phần An ninh mạng Việt Nam

Bà: Lưu Tú Uyên – Chuyên viên truyền thông

M : (+84) 333 68 3353 | T : (+84) 24 7308 2299

Email: [email protected]

Đào tạo an toàn thông tin – Bước tiến vững chắc trong bảo vệ an toàn an ninh thông tin

VSEC - BLOG Mới nhất Nổi bật

Trong bối cảnh ngày càng nhiều mối đe dọa về an toàn an ninh thông tin, Tổng Công Ty Phát Điện 2 theo chỉ đạo của Tập đoàn Điện lực Việt Nam đã phối hợp cùng Công ty Cổ phần An ninh mạng Việt Nam tổ chức thành công chương trình “Đào tạo an toàn an ninh thông tin năm 2023”. Đây là một bước tiến vững chắc trong bảo vệ an toàn an ninh thông tin của EVNGENCO2 trong quá trình chuyển đổi số hiện nay.

Chương trình “Đào tạo An toàn an ninh thông tin” với sự tham gia của hơn 20 CBNV phụ trách CNTT đến từ 13 đơn vị trực thuộc Tổng Công ty Phát điện 2

Chương trình “Đào tạo an toàn an ninh thông tin 2023” diễn ra từ 8/8 – 11/8/2023, tại Hội trường Thu Bồn của Công ty Thủy điện Sông Bung 2, Đà Nẵng với sự tham gia của hơn 20 cán bộ phụ trách ANTT, CNTT đến từ 13 đơn vị trực thuộc Tổng Công ty phát điện 2. Chương trình không chỉ đánh dấu sự quan tâm hàng đầu của Tổng Công Ty Phát Điện 2 đối với việc bảo vệ thông tin mạng một cách toàn diện, mà còn tạo nền tảng vững chắc cho nhân viên trong việc đối phó với các thách thức an ninh thông tin ngày càng tinh vi.

Phát biểu tại buổi lễ khai mạc, ông Trần Phan Vĩnh Huy – Phó trưởng ban Kinh doanh thị trường điện của EVNGENCO2 nhấn mạnh: “Trong kỷ nguyên số hiện nay, nhiệm vụ trọng tâm được đặt lên hàng đầu là vấn đề bảo mật và đảm bảo an toàn an ninh thông tin bởi vì tất cả các dữ liệu của doanh nghiệp, cơ quan Nhà nước không thể bị xâm nhập và đánh cắp. Chính vì vậy, theo chỉ đạo của Tập đoàn Điện lực Việt Nam, Tổng Công ty phát điện 2 đã tiến hành phối hợp cùng Công ty Cổ phần An ninh mạng Việt Nam tổ chức chương trình Đào tạo an toàn an ninh thông tin để cập nhật lại kiến thức cũng như những vấn đề mới về bảo mật an toàn thông tin trên thế giới và tại Việt Nam”. Đồng thời ông Huy cũng khẳng định vai trò của các thành viên tham dự khóa đào tạo lần này chính là một mắt xích quan trọng trong hệ thống của đơn vị mình trong việc đảm bảo an ninh, an toàn thông tin.

Chương trình Đào tạo an ninh thông tin năm 2023 của Tổng Công ty phát điện 2 diễn ra trong 4 ngày với 2 nội dung chính: Tìm hiểu những khía cạnh khác nhau từ những cuộc tấn công của đội ngũ Red Team và phương pháp điều tra số nâng cao.

Phần đầu tiên của chương trình đã tập trung vào việc hiểu rõ các khía cạnh khác nhau từ các cuộc tấn công của Red Team. Đội ngũ giảng viên đến từ phòng Dịch vụ chuyên gia của VSEC đã cập nhật các kiến thức chuyên sâu hơn về Red Team. Thông qua đó, các CBNV tham gia khóa đào tạo đã bước đầu tiếp cận với những kỹ thuật tấn công này. Bên cạnh đó, việc nắm vững kiến thức này sẽ giúp mọi người không chỉ có khả năng phát hiện sớm các dấu hiệu của cuộc tấn công mà còn có thể áp dụng những biện pháp bảo vệ hiệu quả để đối phó với những mối nguy hiểm tiềm ẩn.

Phần thứ hai của chương trình tập trung vào “Điều tra số nâng cao”, giúp nhân viên hiểu rõ cách tiếp cận và giải quyết các vụ việc an ninh thông tin một cách toàn diện. Thông qua việc sử dụng các công cụ phân tích số học và kỹ thuật, nhân viên đã được trang bị khả năng phân tích các vụ việc an ninh thông tin, từ việc xác định nguyên nhân cho đến việc đề xuất biện pháp cải thiện và làm báo cáo chuẩn.

“VSEC rất vinh dự khi được tiếp tục đồng hành cùng Tổng Công ty phát điện 2 trong chương trình Đào tạo ATTT năm nay. Khác với chương trình năm ngoái được tổ chức tại Hà Nội, nội dung của chương trình năm nay sẽ mang tính xu hướng và chuyên sâu hơn về các giải pháp an ninh mạng, phương pháp điều tra số và những kỹ thuật cơ bản để có thể xử lý khi gặp sự cố. Đây là một trong những kiến thức nền tảng cơ bản để trang bị cho chúng ta trong vấn đề bảo vệ an toàn thông tin khi đang ở giai đoạn chuyển đổi số hiện nay.” – Bà Huỳnh Thị Thu Hằng – Quản lý vùng VSEC chia sẻ.

Bà Huỳnh Thị Thu Hằng – Quản lý vùng Công ty Cổ phần An ninh mạng Việt Nam chia sẻ trong buổi khai mạc

Chương trình đào tạo an toàn an ninh thông tin tại Tổng Công Ty Phát Điện 2 đã thể hiện sự cam kết mạnh mẽ với việc bảo vệ thông tin mạng. Nhân viên không chỉ được trang bị kiến thức về các cuộc tấn công mạng mà còn có khả năng điều tra và giải quyết các vụ việc an ninh thông tin. Sự hợp tác giữa Tổng Công Ty Phát Điện 2 và Công Ty Cổ Phần An Ninh Mạng Việt Nam đã tạo ra một chương trình đào tạo có ý nghĩa thiết thực và mang tính thực tiễn, góp phần nâng cao khả năng ứng phó với các thách thức an ninh thông tin trong tương lai

Trưởng nhóm tư vấn giải pháp kỹ thuật

Tech Job
  1. Mô tả công việc:
  • Là người đứng đầu nhóm giải pháp của VSEC, chịu trách nhiệm về công việc và quản lý nhân viên trong team.
  • Cùng với chuyên viên kinh doanh giao tiếp và làm việc thường xuyên với khách hàng từ cấp C-level tới chuyên viên bảo mật để xác định được những vấn đề gặp phải và nhu cầu của khách hàng.
  • Tư vấn, xây dựng đề xuất kỹ thuật và thương mại phù hợp với nhu cầu của khách hàng.
  • Hoàn thiện hồ sơ kỹ thuật cho các yêu cầu chào giá hoặc hồ sơ mời thầu.
  • Phối hợp chặt chẽ với các team triển khai dịch vụ, là cầu nối truyền tải yêu cầu của khách hàng và đề xuất kỹ thuật tới team triển khai dịch vụ.
  • Liên tục nghiên cứu & cập nhật các kiến thức, tiêu chuẩn, hệ thống, công cụ và công nghệ bảo mật mới nhất trên toàn cầu.
  • Tuyển dụng, quản lý, hướng dẫn và đào tạo nhân viên trong team Giải pháp.
  • Thực hiện các công việc khác theo sự phân công của Giám đốc kinh doanh

 

  1. Yêu cầu công việc:
  • Tốt nghiệp Đại học chuyên ngành CNTT, Điện tử viễn thông, …. Ưu tiên ứng viên có kiến thức về An toàn thông tin.
  • Trên 3 năm kinh nghiệm trong lĩnh vực tư vấn/bán các giải pháp bảo mật máy tính và thông tin, trong đó có kinh nghiệm với công nghệ Internet và các vấn đề An toàn thông tin.
  • Có kiến thức sâu rộng về kỹ thuật và công nghệ
  • Có khả năng lắng nghe khách hàng.
  • Có khả năng viết các đề xuất kỹ thuật và đưa ra các giải pháp phù hợp.
  • Có khả năng nghe, nói, viết, đọc tài liệu tiếng Anh tốt
  • Kỹ năng giao tiếp, đàm phán thuyết phục
  • Kỹ năng viết và trình bày tài liệu kỹ thuật rõ ràng, mạch lạc
  • Có kỹ năng lập kế hoạch, làm việc nhóm tốt.
  • Sức khỏe tốt, sẵn sàng đi công tác

 

  1. Quyền lợi được hưởng:
  • Thử việc hưởng 100% lương. Thu nhập HẤP DẪN thỏa thuận theo năng lực.
  • Review lương 2 lần/năm. Thời gian làm việc linh hoạt
  • Được đào tạo nâng cao nghiệp vụ chuyên môn ở các mảng công việc còn thiếu trong yêu cầu. Được hỗ trợ kinh phí tham gia các khoá học đào tạo về kỹ năng chuyên môn, kỹ năng mềm cần thiết cho công việc.
  • Thưởng quý, thưởng cuối năm theo kết quả kinh doanh của Công ty. Các loại thưởng đặc thù khác theo tính chất công việc. Thưởng tất cả các ngày lễ, tết; thưởng giới thiệu ứng viên nội bộ, thưởng thâm niên làm việc; …
  • Thưởng ESOP cho nhân viên và quản lý xuất sắc vào cuối năm.
  • 12 ngày phép năm + 1 ngày nghỉ vào ngày sinh nhật. Mỗi năm thâm niên được tăng thêm 1 ngày nghỉ phép.
  • Được hưởng đầy đủ các chế độ bảo hiểm và ngày nghỉ, lễ theo quy định của công ty và pháp luật hiện hành.
  • Được hưởng các chế độ phúc lợi và các hoạt động văn hóa tập thể: Team Building, Gala cuối năm, sinh nhật, các ngày lễ …;
  • Được làm việc trong môi trường thân thiện, năng động, chuyên nghiệp

 

  1. Liên hệ:
  • Phòng Nhân sự – [email protected]
  • Địa chỉ: Tầng M, Tòa nhà N01A Golden land, 275 Nguyễn Trãi, Phường Thanh Xuân Trung, quận Thanh Xuân, TP Hà Nội.

 

Kinh nghiệm thực tế và giải pháp tuân thủ nghị định bảo vệ dữ liệu cá nhân

Sự kiện Nổi bật VSEC - BLOG

Ngày 12 tháng 8 vừa qua, tại chương trình CIO Leadership, chủ đề “Hành trình tuân thủ nghị định bảo vệ dữ liệu cá nhân”, do cộng đồng CIO Vietnam phối hợp cùng Công ty Cổ phần An ninh mạng Việt Nam (VSEC) tổ chức đã thu hút hơn 80 Anh, Chị là đại diện các doanh nghiệp, tổ chức đã tới cùng gặp gỡ, giao lưu, thảo luận cùng với các diễn giả khách mời.

Trong bối cảnh mối quan ngại về bảo vệ dữ liệu cá nhân ngày càng tăng cao, việc Nghị định 13/2023/NĐ-CP bảo vệ dữ liệu cá nhân ra đời nhằm đáp ứng yêu cầu bảo vệ quyền dữ liệu cá nhân; ngăn chặn các hành vi xâm phạm dữ liệu cá nhân, gây ảnh hưởng đến quyền và lợi ích của cá nhân, tổ chức. Nghị định 13 đã đặt dữ liệu của bản thân mỗi người lên một vị trí rất khác so với trước đây. 

Sự kiện “Hành trình tuân thủ Nghị định bảo vệ dữ liệu các nhân” do VSEC và Cộng đồng CIO tổ chức thu hút đông đảo sự tham gia của mọi người.

1. Nghị định 13/2023/NĐ-CP

Vào ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (“Nghị định 13”) sau một thời gian dài chờ đợi. Nghị định 13 có hiệu lực từ ngày 01/7/2023. Cùng với Luật An ninh mạng (Luật số 24/2018/QH14) ngày 12 tháng 6 năm 2018 và văn bản hướng dẫn thi hành đầu tiên là Nghị định số 53/2022/NĐ-CP ngày 15 tháng 8 năm 2022, Nghị định 13 là văn bản pháp lý thứ ba được ban hành trong kế hoạch của Chính phủ nhằm tăng cường khung pháp lý điều chỉnh các hoạt động trên không gian mạng. Nghị định 13 quy định chi tiết hơn về nghĩa vụ bảo vệ dữ liệu và an ninh mạng đối với các hoạt động xử lý dữ liệu cá nhân.

Nội dung chủ yếu: Nghị định 13/2023/NĐ-CP gồm 44 Điều, chia thành 04 chương; cụ thể:

  • Chương I. Những Quy định chung, gồm 08 điều (Điều 1 tới Điều 8), quy định về phạm vi điều chỉnh; đối tượng áp dụng; giải thích từ ngữ; nguyên tắc bảo vệ dữ liệu cá nhân; xử lý vi phạm quy định bảo vệ dữ liệu cá nhân; quản lý nhà nước về bảo vệ dữ liệu cá nhân; áp dụng Nghị định bảo vệ dữ liệu cá nhân, các luật liên quan và Điều ước quốc tế; hợp tác quốc tế về bảo vệ dữ liệu cá nhân; hành vi bị nghiêm cấm.
  • Chương II. Xử lý dữ liệu cá nhân, gồm 04 mục, 20 điều (từ Điều 9 đến Điều 31), gồm: Mục 1 quy định về quyền và nghĩa vụ của chủ thể dữ liệu. Mục 2 quy định về bảo vệ dữ liệu cá nhân trong quá trình xử lý dữ liệu cá nhân. Mục 3 quy định về đánh giá tác động và chuyển dữ liệu cá nhân ra nước ngoài. Mục 4 quy định về biện pháp, điều kiện bảo đảm bảo vệ dữ liệu cá nhân.
  • Chương III. Trách nhiệm của cơ quan, tổ chức, cá nhân, gồm 11 điều (từ Điều 32 đến Điều 42), quy định về: Trách nhiệm của Bộ Công an, Bộ Thông tin và Truyền thông, Bộ Khoa học và Công nghệ, Các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương, Bên Kiểm soát dữ liệu cá nhân, Bên Xử lý dữ liệu, Bên Kiểm soát và xử lý dữ liệu, Bên thứ Ba, tổ chức, cá nhân có liên quan.
  • Chương IV. Điều khoản thi hành, gồm 02 điều (từ Điều 43 đến Điều 44), quy định về: Hiệu lực thi hành; Trách nhiệm thi hành.

2. “An toàn thông tin không phải là thời điểm, mà là cả một quá trình”

Anh Trương Đức Lượng – Co-founder & Chairman Công ty Cổ phần An ninh mạng Việt Nam

Trong phần chia sẻ của mình tại chương trình, anh Trương Đức  Lượng – Chủ tịch HĐQT VSEC đã tập trung vào góc nhìn thực tế và dễ hiểu về việc bảo vệ dữ liệu cá nhân. Anh đã chia sẻ và phân tích  những ví dụ thực tiễn ở cả trên thế giới và Việt Nam về những trường hợp bị phạt do vi phạm về dữ liệu người dùng. Việc vi phạm dữ liệu người dùng không chỉ có 1 cách mà các hình thức vi phạm rất đa dạng. Thông qua những ví dụ này, anh Lượng đã nhấn mạnh tới các nguy cơ tiềm ẩn và tác động tiêu cực mà việc lạm dụng thông tin cá nhân có thể mang lại.

Hiện nay, ngân hàng là lĩnh vực tiên phong trong việc tuân thủ theo Nghị định 13 một cách  triệt để và mạnh mẽ. Còn đối với các ngành khác, tùy thuộc vào mức độ trưởng thành của từng ngành sẽ có mức độ áp dụng việc tuân thủ Nghị định khác nhau. Tại sự kiện anh Lượng cũng đã giải đáp các thắc mắc của một số công ty nước ngoài xoay quanh việc tuân thủ Nghị định 13. Các cơ quan chức năng không cung cấp chứng chỉ tuân thủ Nghị định 13 mà họ sẽ thông qua các biện pháp kiểm tra đối với các doanh nghiệp, tổ chức mà họ nhìn thấy có khả năng xảy ra vi phạm. Để có thể tuân thủ theo Nghị định 13, đại diện VSEC cho biết mọi người có thể áp dụng các framework theo tiêu chuẩn hoặc có thể hợp tác với một nhà cung cấp dịch vụ đạt chứng nhận CREST (cơ quan kiểm định được quốc tế công nhận, nhằm xác thực khả năng, chuyên môn kỹ thuật và chất lượng dịch vụ cho các nhà cung cấp an ninh mạng và cá nhân hoạt động chuyên nghiệp trong lĩnh vực này.)

Anh Lượng cũng nhấn mạnh việc bị phạt khi làm rõ rỉ dữ liệu có thể xảy ra khi bị hacker tấn công trong quá trình dịch chuyển dữ liệu. Điều này có thể xử lý và can thiệp kịp thời bằng biện pháp kỹ thuật. Các phương pháp có thể hỗ trợ phát hiện và giảm thiểu rủi ro chính là đánh giá bảo mật và giám sát ATTT – đây cũng chính là hai dịch vụ chủ lực mà VSEC cung cấp. Bên cạnh đó, việc giám sát thông tin đảm bảo vận hành ATTT cho doanh nghiệp luôn luôn trong trạng thái an toàn nhất. Việc phát hiện lỗ hổng trên hệ thống của mình càng sớm, xử lý càng sớm thì khả năng bị tấn công, rò rỉ dữ liệu sẽ giảm đi rất nhiều, giúp chúng ta đáp ứng việc tuân thủ Nghị định 13.

Các diễn giả giao lưu cùng đại diện các tổ chức, doanh nghiệp

Có thể nói, thông qua chương trình CIO Leadership lần này, các vấn đề các doanh nghiệp, tổ chức đang quan tâm đến bảo vệ dữ liệu cá nhân đã được thảo luận và tìm hiểu chuyên sâu, đồng thời được các khách mời gợi ý đưa ra các biện pháp cần thiết để các doanh nghiệp có thể tuân thủ, áp dụng nghị định bảo vệ dữ liệu cá nhân một cách chủ động và hiệu quả.  

Bảo mật dữ liệu trên Cloud – Trách nhiệm không của riêng ai

VSEC - BLOG Bảo mật trên đám mây Nổi bật

Ngày 13/05, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) cùng cộng đồng CIO Vietnam và Noventiq vừa tổ chức một buổi chia sẻ và thực hành xử lý s cố an ninh mạng trên nền tảng điện toán đám mây Azure. Tham dự sự kiện còn có đại diện của Cục An toàn thông tin, Bộ Thông tin truyền thông chia sẻ về các chính sách về bảo mật trên môi trường điện toán đám mây cho doanh nghiệp.

Bên cạnh các thông tin chung cập nhật về những xu hướng bảo mật trên toàn cầu hay tầm quan trọng của việc chuyển đổi số lên môi trường điện toán đám mây, người tham gia được tiếp cận rõ hơn về các hoạt động cộng đồng của CIO Vietnam, chính sách – quy định đảm bảo vấn đề An toàn thông tin (ATTT) khi sử dụng cloud, mô hình NIST giúp tổ chức sắp xếp quy trình hoạt động bảo mật và các công cụ mà Microsoft trang bị trên môi trường Azure.

Ngày 13/05/2023, Boot camps “Cyber Security in the Cloud” được tổ chức tại TP.HCM.

Về vấn đề nhiều thành viên tham gia quan tâm trong quá trình chuyển đổi số lên môi trường cloud như các quy định về quản lý dữ liệu trên môi trường cloud, Ông Trần Nguyên Chung – Trưởng phòng An toàn hệ thống thông tin, Cục ATTT chia sẻ từ góc nhìn của cơ quan quản lý ATTT là vấn đề cốt lõi giúp chuyển đổi số thành công, đây là cái phanh để chuyển đổi số cán đích thành công chứ không phải là rào cản. Ông cũng khuyến nghị các doanh nghiệp trong quá trình sử dụng cloud cần đảm bảo các vấn đề cần lưu ý như:  Đánh giá hiện trạng – nhu cầu thực tế để lựa chọn đúng mô hình cloud phù hợp, tuân thủ các quy định – văn bản CQNN đã ban hành, tuân thủ tiêu chuẩn về trung tâm dữ liệu, quy định về quản lý 4 lớp – nâng cao năng lực của các doanh nghiệp – CQTC, … , quy định về chủ quyền dữ liệu giúp minh bạch về dữ liệu và bảo vệ quyền lợi của doanh nghiệp.

Với hai văn bản mà Cục ATTT đã tham mưu Bộ TT&TT ban hành là Văn bản số 1145/BTTTT-CATTT ngày 03/4/2020 của Bộ Thông tin và Truyền thông v/v hướng dẫn bộ tiêu chí, chỉ tiêu kỹ thuật để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/Chính quyền điện tử, Văn bản số 2612/BTTTT-CATTT ngày 17/7/2021 của Bộ Thông tin và Truyền thông v/v bổ sung bộ tiêu chí, chỉ tiêu để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/Chính quyền điện tử. Đây là hai văn bản giúp các doanh nghiệp bảo đảm vấn đề an toàn thông tin mạng trong quá trình chuyển đổi số, tính đến thời điểm hiện tại.

Ông Trần Nguyên Chung – Trưởng phòng An toàn hệ thống thông tin, Cục ATTT chia sẻ tại Boot Camps

Trước các câu hỏi liên quan đến bảo mật dữ liệu trên môi trường cloud cả Ông Chung và Ông Huân Trần – Chủ tịch CIO Vietnam đều nhấn mạnh, dữ liệu trên cloud có là bản gốc hay bản back-up thì đều cần xem xét dữ liệu đó có phải là dữ liệu dùng được hay không. Trách nhiệm lưu trữ dữ liệu không phải chỉ là câu chuyện mặc định là trách nhiệm của nhà cung cấp dịch vụ điện toán đám mây mà doanh nghiệp, đội ngũ IT luôn phải chủ động sao lưu, back-up hệ thống dữ liệu của chính đơn vị mình. Ở một góc độ khác, dữ liệu của người dùng được khai thác từ doanh nghiệp nào thì trách nhiệm đầu tiên nằm ở phía đơn vị sở hữu dữ liệu khách hàng đó chứ không chỉ quy trách nhiệm cho đơn vị được bàn giao lưu trữ. Ông Huân Trần chia sẻ “Càng ngày việc thu thập dữ liệu để cạnh tranh sẽ càng ngày càng được siết chặt, điều này trên thế giới ko còn là điều gì mới mẻ. Dữ liệu khách hàng – ownership là thuộc về khách hàng, khi khách hàng trao cho chúng ta để đổi lại những đặc quyền được cung cấp dịch vụ tốt hơn thì trách nhiệm của đơn vị khai thác là phải đảm bảo sử dụng đúng và an toàn mới giữ được niềm tin của người dùng.” Vì vậy, việc chủ động trong việc lựa chọn nhà cung cấp dịch vụ hay các hình thức để bảo mật dữ liệu của người dùng là trách nhiệm mà doanh nghiệp cần lưu tâm trong quá trình chuyển đổi số an toàn.

“Chủ động trong việc lựa chọn nhà cung cấp dịch vụ hay các hình thức để bảo mật dữ liệu của người dùng là trách nhiệm mà doanh nghiệp cần lưu tâm trong quá trình chuyển đổi số an toàn.” – Ông Huân Trần – Chủ tịch CIO Vietnam cho biết.

Trong vai trò là đơn vị cung cấp dịch vụ quản trị an toàn thông tin, Ông Lê Minh Quý – Chuyên gia tư vấn giải pháp cao cấp đặt ra bài toán xoay quanh vấn đề nhận thức an toàn thông tin trong doanh nghiệp. Trong 20 năm tiến hành rà soát bảo mật ở nhiều doanh nghiệp với quy mô cả lớn lẫn nhỏ, VSEC nhận thấy đôi khi những “lỗ hổng” khó lường nhất lại nằm ở những vị trí tưởng như an toàn nhất mà nếu không rà soát khó có thể nhìn ra. Có thể là hệ thống mạng, cấu hình sai khi chuyển đổi lên cloud, … hay đơn giản từ việc thiếu trang bị thông tin và kiến thức, diễn tập thực tế về an toàn thông tin cho “con người” – nhân viên trong tổ chức.

Trong một khảo sát về an ninh mạng từ người dùng cuối, dù có nhận thức được về vấn đề an toàn thông tin nhưng vẫn có đến 45% số người trả lời vẫn nhấp chuột vào các link lừa đảo. Nhiều trường hợp, ransomeware không đến trực tiếp từ hacker mà hacker sẽ tấn công vào 1 đối tượng, nhân viên cụ thể, từ dó tấn công vào hệ thống của doanh nghiệp. Con người được cho là “mắt xích yếu” nhất trong việc quản trị an toàn thông tin.” Ông Lê Minh Quý, VSEC chia sẻ.

Ông Lê Minh Quý – Chuyên gia tư vấn giải pháp ATTT VSEC chia sẻ về những vấn đề bảo đảm an toàn thông tin trong quá trình chuyển đổi số tại Boot Camps

Dù đầu tư rất lớn vào hệ thống công nghệ thông tin với chi phí lớn nhưng việc bỏ quên yếu tố con người có thể lại là rủi ro tiềm ẩn mà doanh nghiệp không nên bỏ qua. Vì vậy, việc trang bị các hoạt động đào tạo, diễn tập an toàn thông tin trong doanh nghiệp là việc cần thiết chủ động thực hiện, tuỳ thuộc quy mô của từng doanh nghiệp. Tương tự như vấn đề mà các start-up tại Việt Nam hiện nay đang gặp phải là giảm hoặc thậm chí cắt bỏ chi phí rà soát, nâng cao các tính năng bảo mật trên các ứng dụng để đảm bảo thời gian cung cấp ứng dụng, giải pháp do phải tối ưu hoá chi phí vận hành. Ông Trần Thanh Long – Giám đốc điều hành VSEC cũng như Ông Huân Trần đều đồng ý rằng khi lựa chọn môi trường cloud để phát triển nhanh hơn và bỏ qua vấn đề cybersecurity là bài toán khó giải cho các start-up.

Tuy nhiên, start-up hay các doanh nghiệp đầu từ vào dịch vụ trên nền tảng cloud có thể cân nhắc việc lựa chọn làm từng bước hoặc từng mảng quan trọng nào cần đầu tư về an ninh bảo mật cao. Bên cạnh đó, mấu chốt là khi start-up hoàn thành dịch vụ chào bán cho các Big ENT thì câu hỏi mà các Big ENT đặt ra lại là sản phẩm này đáp ứng được các tiêu chuẩn bảo mật nào, có rủi ro nào về cybersecurity hay không, … chứ không phải tập trung vào các tính năng của sản phẩm. Như vậy, có thể nhìn nhận rằng, an ninh mạng hay an toàn thông tin vẫn sẽ là mối quan tâm hàng đầu mà doanh nghiệp cần cân nhắc ngay trong quá trình phát triển dịch vụ và chuyển đổi trên cloud.

Ông Phạm Minh Sang – đại diện Novetiq 

Ông Vũ Thế Hải – Trưởng phòng Trung tâm Giám sát ATTT VSEC – hướng dẫn các đơn vị trước khi tiến hành tham gia phiên Huấn luyện thực chiến

Trong phiên cuối sự kiện, đại diện từ Noventiq và VSEC cũng chia sẻ về các công cụ bảo mật được trang bị trên hệ thống Azure – Microsoft 365 Defender được phát triển dựa trên core value là mô hình Zero Trust. Người tham gia nắm được các thông tin chi tiết về mô hình vận hành của dịch vụ, đặc biệt được trực tiếp trải nghiệm công tác diễn tập rà quét mã độc, phát hiện và xử lý mã độc trên môi trường cloud.

Các đơn vị tham dự diễn tập thực chiến ngay trên thao trường

Theo VSEC

Chuyên viên cao cấp phát triển kinh doanh (Business Development)

Non Tech Job
  1. Mô tả công việc:
  • Tìm kiếm cơ hội kinh doanh, chịu trách nhiệm trước Trưởng phòng kinh doanh về các chỉ tiêu doanh số được giao.
  • Thực hiện các công việc phát triển kinh doanh liên quan đến các thiết bị, giải pháp và dịch vụ CNTT…. đảm bảo đạt được các mục tiêu về kinh doanh, hoàn thành chỉ tiêu doanh số.
  • Phối hợp với các bộ phận kỹ thuật, các bộ phận liên quan trong qúa trình triển khai bán hàng để tìm hiểu nhu cầu khách hàng và đưa ra các đề xuất và giải pháp phù hợp.
  • Lập và thực hiện kế hoạch kinh doanh năm/quý của cá nhân.
  • Tuân thủ quy định lập kế hoạch và báo cáo định kỳ theo quy định.
  • Liên lạc, duy trì quan hệ với các đối tác liên quan, xác định và xây dựng quan hệ với các Account tiềm năng.
  • Có trách nhiệm quản lý, hỗ trợ, theo dõi, chăm sóc, nhằm đảm bảo sự hài lòng của khách hàng với các sản phẩm dịch vụ của công ty.
  • Hỗ trợ và xây dựng các hoạt động marketing và thương hiệu cho công ty.
  • Thực hiện các công việc liên quan đến đấu thầu và các công việc khác theo phân công của Phó TGĐ phụ trách kinh doanh và Trưởng phòng kinh doanh.

 

  1. Yêu cầu công việc:
  • Tối thiểu 3 năm trong lĩnh vực kinh doanh sản phẩm CNTT và 2 năm kinh doanh dự án CNTT.
  • Có kiến thức về CNTT, đặc biệt về lĩnh vực ATTT.
  • Đã từng làm việc hoặc có quan hệ với các đối tác trong ngành: Ngân hàng, Tài chính, Chứng khoán, Bảo hiểm, CNTT, cơ quan nhà nước.
  • Kỹ năng giao tiếp tốt, năng động và sáng tạo.
  • Kỹ năng xây dựng mối quan hệ.
  • Khả năng làm việc ở cường độ cao và chịu áp lực tốt.
  • Kỹ năng đàm phán, thuyết phục khách hàng.

 

  1. Quyền lợi được hưởng:
  • Thử việc hưởng 100% lương. Thu nhập HẤP DẪN thỏa thuận theo năng lực.
  • Review lương 2 lần/năm. Thời gian làm việc linh hoạt
  • Được đào tạo nâng cao nghiệp vụ chuyên môn ở các mảng công việc còn thiếu trong yêu cầu. Được hỗ trợ kinh phí tham gia các khoá học đào tạo về kỹ năng chuyên môn, kỹ năng mềm cần thiết cho công việc.
  • Thưởng quý, thưởng cuối năm theo kết quả kinh doanh của Công ty. Các loại thưởng đặc thù khác theo tính chất công việc. Thưởng tất cả các ngày lễ, tết; thưởng giới thiệu ứng viên nội bộ, thưởng thâm niên làm việc; …
  • Thưởng ESOP cho nhân viên và quản lý xuất sắc vào cuối năm.
  • 12 ngày phép năm + 1 ngày nghỉ vào ngày sinh nhật. Mỗi năm thâm niên được tăng thêm 1 ngày nghỉ phép.
  • Được hưởng đầy đủ các chế độ bảo hiểm và ngày nghỉ, lễ theo quy định của công ty và pháp luật hiện hành.
  • Được hưởng các chế độ phúc lợi và các hoạt động văn hóa tập thể: Team Building, Gala cuối năm, sinh nhật, các ngày lễ …;
  • Được làm việc trong môi trường thân thiện, năng động, chuyên nghiệp

 

  1. Liên hệ:
  • Phòng Nhân sự – [email protected]
  • Địa chỉ:
    • Hà Nội: Tầng M, Tòa nhà N01A Golden land, 275 Nguyễn Trãi, Phường Thanh Xuân Trung, quận Thanh Xuân, TP Hà Nội.
    • Hồ Chí Minh: Tầng 18, Tòa nhà Park IX Building, Số 8-10 Đường Phan Đình Giót, Phường 2, Q.Tân Bình, Thành phố Hồ Chí Minh

 

Thực tập sinh Giám sát An toàn thông tin – SOC

Tech Job
  1. Mô tả công việc:
  • Tìm hiểu và thực hiện phân tích, xử lý các cuộc tấn công mạng như tấn công ứng dụng web, tấn công tài khoản, mã độc,…
  • Tìm hiểu và tham gia nghiên cứu các kỹ thuật tấn công mới, xây dựng bộ luật phát hiện các kỹ thuật tấn công.
  • Tìm hiểu và tham gia quản trị các hệ thống, giải pháp công nghệ của SOC: SIEM, SOAR, TIP,….

 

  1. Yêu cầu công việc:
  • Sinh viên năm cuối các trường Đại học chuyên ngành An toàn thông tin/CNTT. Có chứng chỉ hoặc đã hoàn thành khóa học CEH là một lợi thế.
  • Có kiến thức cơ bản về hệ điều hành, quản trị hệ điều hành Windows, Linux.
  • Có kiến thức cơ bản về network: mô hình OSI, TCP/IP, các giao thức IP.
  • Có tìm hiểu và có khả năng lập trình cơ bản 1 ngôn ngữ bất kỳ: C/C++, C#, Python, Java,…

 

  1. Quyền lợi được hưởng:
  • Hỗ trợ dấu thực tập và lương.
  • Được tham gia vào các dự án thực tế, quy trình làm việc chuyên nghiệp cùng lộ trình đào tạo rõ ràng, bài bản.
  • Cơ hội trở thành nhân viên chính thức với mức lương cạnh tranh và chế độ đãi ngộ tốt.
  • Môi trường làm việc chuyên nghiệp, hiện đại, năng động; đồng nghiệp vui vẻ, cởi mở.
  • Cơ hội trở thành thành viên trong dự án đội ngũ kế thừa của VSEC với đãi ngộ hấp dẫn và được công ty tạo mọi nguồn lực để phát triển bản thân.
  • Được hưởng các chế độ khác theo quy định của công ty.

 

  1. Liên hệ
  • Phòng Nhân sự – [email protected]
  • Địa chỉ:  Tầng M, Tòa nhà N01A Golden land, 275 Nguyễn Trãi, Phường Thanh Xuân Trung, quận Thanh Xuân, TP Hà Nội.