Triển khai Giải pháp Quản lý định danh và truy cập cho Ngân hàng TMCP Công Thương Việt Nam Vietinbank

I.GIỚI THIỆU

Ngân hàng TM Cổ phần Công Thương Việt Nam - Vietinbank được thành lập năm 1988 sau khi tách ra từ Ngân hàng Nhà nước Việt Nam. Là một trong những Ngân hàng thương mại cổ phần lớn, giữ vai trò quan trọng, trụ cột của ngành ngân hàng Việt Nam. Vietinbank có một mạng lưới hoạt động rộng khắp trải rộng trên toàn quốc cũng như các chi nhánh văn phòng đại diện tại nước ngoài. Vietinbank là ngân hàng đầu tiên của Việt Nam được cấp chứng chỉ ISO 9001:2000 và là ngân hàng tiên phong trong việc ứng dụng các công nghệ hiện đại và thương mại điện tử tại Việt Nam, đáp ứng yêu cầu quản trị & kinh doanh. Hoạt động với sứ mệnh trở thành Ngân hàng số một của hệ thống ngân hàng Việt Nam, cung cấp các sản phẩm dịch vụ tài chính ngân hàng hiện đại, tiện ích và theo tiêu chuẩn quốc tế thực hiện tầm nhìn đến năm 2018 trở thành một tập đoàn tài chính ngân hàng hiện đại, đa năng, theo tiêu chuẩn quốc tế.

II.THÁCH THỨC

Với sự phát triển cùng những lợi ích mà CNTT mang đến cho các doanh nghiệp và các tổ chức hiện đại, việc ứng dụng hệ thống và các ứng dụng CNTT ngành vào các hoạt động kinh doanh chủ chốt và quan trọng là thiết yếu. Tuy nhiên, hệ thống CNTT trong các doanh nghiệp từ lâu đã sử dụng hình thức cô lập và phân nhóm khi cung cấp các tài khoản cho người dùng, thiết lập quy trình độc lập mà bỏ qua những nguy cơ an ninh bắt nguồn từ những sai lầm trong phương thức quản lý như hiện tại. Cụ thể như việc cung cấp tài khoản (định danh) cho người dùng không chỉ xác định người dùng đó là ai mà còn cung cấp cho người dùng quyền hạn truy cập vào hệ thống mạng của tổ chức/ doanh nghiệp, đó là chức năng cơ bản nhưng cũng ẩn chứa những nguy cơ về an ninh trong hệ thống thông tin của doanh nghiệp ngày nay.

Đối với Vietinbank, hạ tầng CNTT luôn được chú trọng hoạch định và đầu tư theo lộ trình phát triển lâu dài, tuy nhiên môi trường hoạt động hiện tại đang tồn tại những khó khăn trong việc quản lý định danh cũng như quản lý truy cập cho nhân viên và khách hàng khi kết nối với các ứng dụng và hệ thống tài nguyên của Ngân hàng, cụ thể như sau:

  • Quản lý định danh, truy cập cho 20.000 nhân viên khi kết nối với nhiều ứng dụng khác nhau.
  • Quá trình cấp phát quyền truy cập cho nhân viên mới phải thực hiện thủ công qua nhiều quy trình thủ tục.
  • Hỗ trợ các vấn đề phát sinh trong quá trình sử dụng tài nguyên nội bộ đối với người dùng hoàn toàn thủ công.
  • Môi trường CNTT hiện tại có nhiều nguồn xác thực định danh dẫn tới khó khăn trong việc quản lý.
  • Quản lý mật khẩu có nhiều lỗ hổng.
  • Chính sách bảo mật chưa hoàn thiện, hệ thống hiện tại tồn tại nhiều tài khoản mồ côi, quyền truy cập hết hạn.
  • Việc quản lý chính sách bảo mật, đánh giá mức độ bảo thực hiện chủ quan qua các quy trình cũ, không phù hợp với hoạt động hiện tại.
III. GIẢI PHÁP

Để đối phó với những nhu cầu và thách thức mới trong hoạt động vận hành doanh nghiệp mà Vietinbank đang gặp phải, HPT – Đơn vị tích hợp hệ thống hàng đầu Việt Nam, đối tác chiến lược của nhiều hãng công nghệ lớn trên thế giới đã thực hiện tư vấn và đề xuất giải pháp Quản lý định danh và truy cập của Oracle – Oracle Identity and Access Management nhằm giải quyết triệt để các khó khăn nếu trên mà Vietinbank đang phải đối mặt.


Giải pháp quản lý định danh và truy cập của Oracle (IAM) cung cấp một nền tảng bảo mật tích hợp và hợp nhất, được thiết kế để quản lý định danh người dùng, quản lý cung cấp tài nguyên cho người dùng, bảo mật các truy cập tới tài nguyên trong hệ thống thông tin và hỗ trợ đáp ứng các nguyên tắc bảo mật trên hệ thống ngân hàng.

Giải pháp đảm bảo tính toàn vẹn của mạng lưới các ứng dụng lớn trong ngân hàng bằng cách đưa ra một cấp độ mới về bảo mật, toàn diện để định vị bảo vệ các nguồn tài nguyên trong doanh nghiệp và quản lý quá trình hoạt động của các nguồn tài nguyên đó. Giải pháp cung cấp cho ngân hàng một mức độ cao hơn về khả năng tích hợp, hợp nhất và tự động hóa, đồng thời tăng hiệu quả trong việc bảo mật ứng dụng tập trung, quản lý rủi ro, quản lý tuân thủ (compliance), phân tích định danh và tích hợp cơ sở dữ liệu.

Ứng dụng quản lý định danh của Oracle tập trung vào tự động hoá và bảo mật trong quản lý danh tính người dùng trong toàn bộ quá trình vòng đời giữa ứng dụng và người dùng. Có năm yếu tố chính đóng vai trò là chất xúc tác trong việc áp dụng các giải pháp quản lý danh tính cho VietinBank nhằm đáp ứng các lợi ích sau:

Giảm nhẹ rủi ro an ninh

Công khai tiêu cực về sự cố an ninh có thể làm giảm lòng tin của khách hàng và các nhà đầu tư trong một công ty. Nhiều các sự kiện gần đây trong các tin tức liên quan đến việc truy cập trái phép vào các ứng dụng hay dữ liệu, thường là do bên ngoài, cựu nhân viên hoặc nhân viên có quyền truy cập bất hợp pháp. Quản lý định danh giúp giảm bớt những rủi ro này bằng cách kiểm soát truy cập người dùng và cung cấp quản lý mạnh mẽ danh tính người dùng và tài khoản đặc quyền, ví dụ như ngay lập tức chấm dứt truy cập vào các ứng dụng khi một nhân viên rời khỏi công ty.


Tuân thủ quy định

Các doanh nghiệp cần đảm bảo được những thông tin mật một cách chặt chẽ và các yêu cầu nghiêm ngặt về tuân thủ quy định hoạt động trong ngành công nghiệp cụ thể của từng doanh nghiệp và thực hiện theo quy định của Chính phủ. Đáp ứng những yêu cầu đó đặt ra một thách thức với cách quản trị công ty và thực hiện an ninh cả bên trong và bên ngoài ngân hàng. Công nghệ quản lý định danh cung cấp một khung làm việc hợp nhất cho việc thực thi chính sách và nền tảng hỗ trợ việc tuân thủ các đánh giá về chính sách an ninh. Ví dụ, giải pháp quản lý định danh có thể cho phép báo cáo dễ dàng về lịch sử truy cập của tài khoản người dùng để hỗ trợ trong việc đánh giá chính sách an ninh nội bộ, kể cả khi đó là tài khoản của người dùng đã nghỉ việc.


Chi phí ngăn chặn

Cuối cùng, các công ty về CNTT ở khắp mọi nơi đang được yêu cầu "do more with less", cho dù nó có được hỗ trợ triển khai ứng dụng mới, với lượng người dùng mới (chẳng hạn như khách hàng và đối tác), hoặc các mô hình tương tác với kiểu kinh doanh mới hay không. Quản lý định danh giúp các công ty quản lý môi trường doanh nghiệp (kinh doanh) hiệu quả hơn thông qua các công nghệ như quản lý người dùng tập trung, ủy quyền quản trị, dịch vụ thư mục và cung cấp tự động. Với quản lý định danh, các nhiệm vụ thường ngày liên quan đến việc tạo tài khoản người sử dụng và quản lý quyền truy cập có thể được tự động ủy thác (ủy quyền) cho các đối tượng sử dụng một cách chính xác.

IV. LỢI ÍCH MANG LẠI


Qua quá trình triển khai Giải pháp quản lý định danh và truy cập IAM, đội ngũ cán bộ của HPT cùng phối hợp với các đối tác đã thực hiện tích hợp thành công với các hệ thống trong nội bộ của Vietinbank và đem lại sự hiệu quả trong việc quản lý về định danh người dùng, giảm thiểu các công đoạn, quy trình hiện tại trong Ngân hàng. Ngoài ra, giải pháp hướng tới người dùng nên cung cấp các tính năng giúp người dùng tận dụng hệ thống hạ tầng hiện tại, cải thiện hiệu suất làm việc của nhân viên. Các lợi ích chính phải kể đến như:
  • Cung cấp các tính năng self-service cho người dùng, giảm thiểu chi phí quản trị cũng như nâng cao hiệu suất làm việc của nhân viên. Với các tính năng self-service, người dùng có thể thực hiện các quy trình xin cấp phát quyền truy cập, các yêu cầu về hỗ trợ từ phía Quản trị viên một cách hoàn toàn tự động.
  • Giảm thiểu thời gian cung cấp quyền kết nối từ nhiều ngày xuống vài giờ đồng hồ.
  • Cung cấp tính năng đăng nhập một lần single sign-on
  • Nâng cao hiệu quả, đảm bảo tính bảo mật thông qua các tác vụ được thực hiện một cách tự động, tránh xảy ra nhầm lẫn sai sót khi các công việc được thực hiện bằng tay.
  • Ngăn chặn phát sinh các tài khoản giả mạo, các tài khoản mồ côi từ quá trình quản lý.
  • Vai trò của người dùng được gán với các quyền truy cập sử dụng tài nguyên chính xác.
V. ĐÁNH GIÁ CỦA KHÁCH HÀNG

Là một trong những giải pháp trọng điểm được Vietinbank đầu tư và triển khai, với vai trò đơn vị nhà thầu chính, HPT được ngân hàng Vietinbank đánh giá cao trong việc tích hợp thành công giải pháp với các ứng dụng quan trọng hiện tại đang sử dụng của ngân hàng và cung cấp một phương thức mới cho việc quản lý định danh, truy cập trên hệ thống của mình. Với tính chất quan trọng của dự án và với năng lực hiện tại, HPT nhận được sự tin tưởng tuyệt đối từ Vietinbank qua đó giải quyết được những vấn đề về các nguy cơ bảo mật, đảm bảo tính an toàn cho hệ thống thông tin nghiệp vụ Ngân hàng, nâng cao hiệu quả hoạt động của doanh nghiệp. Thông qua dự án, HPT tiếp tục khẳng định được năng lực trong lĩnh vực tích hợp hệ thống không chỉ với Vietinbank mà còn với các đơn vị khác hoạt động trong mảng tài chính ngân hàng của Việt Nam.