Năm 2006, Clive Humby, nhà toán học và kiến trúc người Anh làm việc cho Câu lạc bộ thẻ Tesco đã lần đầu tiên đưa ra quan điểm: “Dữ liệu là nguồn dầu mỏ mới. Dữ liệu rất giá trị, nhưng nếu không được xử lý thì gần như không sử dụng được. Giống như dầu mỏ cần được chuyển hóa thành khí gas, nhựa plastic, xăng ... để tạo ra các thực thể có giá trị đem lại lợi nhuận cho tổ chức; dữ liệu cần được chia nhỏ, phân tích để tạo ra giá trị”.
Dữ liệu ở xung quanh chúng ta và đang từng giờ thay đổi cuộc sống của chúng ta. Lấy một ví dụ đơn giản, nền tảng chia sẻ video Youtube.com của Google trả tiền cho các Youtuber tạo ra nội dung chia sẻ dựa trên lượt view. Vậy Youtube lấy tiền đâu để trả tiền cho các Youtuber? Chắc chúng ta đều biết là Youtube có chèn các đoạn quảng cáo vào trong nội dung của Youtube, như vậy khi chúng ta xem video thì cũng đồng nghĩa chúng ta phải xem quảng cáo. Việc nội dung quảng cáo phản ánh sản phẩm nào sẽ phụ thuộc hoàn toàn vào việc thu thập, phân tích hành vi xem video của bạn. Nói đến đây, chắc hẳn bạn đã mường tượng được tại sao dữ liệu lại là nguồn dầu mỏ mới.
Nếu bạn vẫn chưa thực sự bị thuyết phục, tôi xin khuyến nghị bạn đọc cuốn sách “Dữ liệu lớn – Big Data” của các tác giả Viktor Mayer-Schonberger và Kenneth Cukier. Ngay từ chương đầu tiên của cuốn sách đã mô tả việc các nhà khoa học dữ liệu của Google chỉ ra phương pháp làm sao để biết mức độ di chuyển và phạm vi của một dịch cúm. Dựa trên việc nghiên cứu hàng tỉ câu hỏi trên google.com từ khắp nơi trên thế giới thông qua các từ khóa tìm kiếm liên quan đến dịch cúm, từ đó các nhà khoa học dữ liệu Google có thể bản đồ hóa khu vực có các từ khóa tìm kiếm liên quan để biết mức độ phát triển và phạm vi của dịch cúm. Nói nghe có vẻ dễ, nhưng việc thu thập, lưu trữ, xử lý hàng tỉ câu hỏi từ khắp nơi trên thế giới không phải là công việc dễ dàng.
Với các ví dụ như trên, chúng ta có thể thấy dữ liệu đóng vai trò hết sức quan trọng và đang thay đổi cách thức kinh doanh của nhiều doanh nghiệp, tổ chức. Vậy, các tổ chức tài chính Việt Nam đã và đang quản lý, khai thác dữ liệu thế nào? Liệu dữ liệu có được bảo mật hay không? Trong phạm vi bài viết này, tác giả xin chia sẻ việc bảo mật thông tin dưới góc nhìn của người làm quản trị dữ liệu trong các ngân hàng.
Hình minh họa: Tháp thông tin DKKW
Bài viết chia sẻ quan điểm độc lập của tác giả, không đại diện cho bất kỳ tổ chức hay cá nhân nào. Toàn bộ hình ảnh, nội dung bài viết được xây dựng dựa trên kinh nghiệm của tác giả trong hơn 10 năm làm việc với dữ liệu ngành ngân hàng và không ám chỉ, liên quan cụ thể một ngân hàng nào. Tác giả hoan nghênh và lắng nghe các đóng góp, trao đổi của các đồng nghiệp, bạn đọc quan tâm, mọi đóng góp, chia sẻ xin các bạn để lại dưới bình luận hoặc inbox trực tiếp.
1. Dữ liệu bị phát tán từ đâu?
Phần lớn chúng ta đều nghĩ rằng việc dữ liệu của các tổ chức tài chính ngân hàng bị rò rỉ do hacker thực hiện các cuộc tấn công vào hệ thống cơ sở dữ liệu của ngân hàng để truy cập trái phép dữ liệu nhạy cảm của khách hàng. Tuy nhiên, đó chỉ là một phần của vấn đề, chúng ta quên mất rằng có rất nhiều trường hợp dữ liệu bị phát tán từ chính những người trong tổ chức của mình, một cách vô tình hay cố ý.
Điển hình, năm 2013 một cán bộ tín dụng của một ngân hàng thương mại cổ phần (TMCP) đã mượn user của đồng nghiệp để truy cập trái phép và sao lưu dữ liệu của hơn 1,000 khách hàng có số dư tiết kiệm hơn 500tr VNĐ, sử dụng cho mục đích cá nhân và bán cho các nhân viên của ngân hàng khác. Vụ việc bị phát hiện và người bán dữ liệu đã phải chịu án tù treo 2 năm. Tuy nhiên, không ai kiểm chứng được cán bộ này đã bán dữ liệu bao nhiêu lần và cho những ai?
Khi tác giả thực hiện bài viết này cũng tìm ra được 1 website bán dữ liệu của hơn 4tr khách hàng ở mọi lĩnh vực được chia thành nhiều danh sách, trong đó có ngân hàng. Một điều ngạc nhiên là trong các danh sách về ngân hàng, có danh sách phân loại được khách hàng có dùng thẻ và loại thẻ. Chi tiết các bạn có thể tự mình truy cập và kiểm chứng tại https://sites.google.com/site/danhsachkhachhangdata/. Tất nhiên chất lượng của dữ liệu được bán trên các website này là một dĐây chỉ là một trong rất nhiều đường link chia sẻ thông tin khách hàng mà tác giả tìm thấy trên Google, bạn đọc có thể tự mình trải nghiệm thông qua tìm kiếm từ khóa “mua thông tin khách hàng”.
Hình 1: Thông tin khách hàng sử dụng thẻ tại một ngân hàng TMCP ở HCM đang được bán trên internet
Qua đây có thể thấy, để có được dữ liệu về khách hàng sử dụng thẻ và loại thẻ thì rõ ràng nguồn phát tán phải từ trong nội bộ của ngân hàng. Vậy các ngân hàng quản lý dữ liệu của mình thế nào? Chúng ta hãy tìm hiểu sâu hơn trên hai khía cạnh: Nhận thức về giá trị dữ liệu của ngân hàng và Hiện trạng quản lý dữ liệu tại các ngân hàng.
2. Hiện trạng bảo mật, chia sẻ dữ liệu nội bộ trong ngân hàng
2.1. Nhận thức về giá trị dữ liệu của ngân hàng
Năm 2018, trong quá trình triển khai Tư vấn Khung Quản trị dữ liệu, tác giả đã thực hiện một khảo sát về mức độ trưởng thành trong quản trị dữ liệu trong phạm vi nhỏ với một bộ khảo sát được xây dựng dựa trên 2 mô hình phổ biến trên thế giới: DCAM (Data Management Capabilities Assessment Model) do EDM Council phát triển và DMMA (Data Management Maturity Assessment) do DAMA International nêu trong cuốn sách DMBOK2. Mô hình trưởng thành quản trị dữ liệu được sử dụng trong khảo sát bao gồm 6 mức trưởng thành: Chưa bắt đầu, Có ý tưởng, Đang phát triển, Đã xác định, Hoàn thành và Tối ưu. Mô hình này sẽ đánh giá ngân hàng về mức độ trưởng thành quản trị dữ liệu trên 3 khía cạnh: Quy trình, mức độ gắn kết và tổ chức. Kết quả của khảo sát không làm tác giả ngạc nhiên khi các ngân hàng ở Việt Nam đang ở mức đầu tiên trong 6 mức trưởng thành quản trị dữ liệu. Điều đó cho thấy các ngân hàng Việt Nam chưa thực sự chú trọng vào việc quản trị dữ liệu và chưa có mức đầu tư xứng đáng vào hoạt động này. Nếu so sánh với các thị trường khác, như thị trường Mỹ hay các nước phát triển ở Châu Âu hiện tại đang ở mức 4, là mức Đã xác định và đang tiến tới mức 5, mức Hoàn thành. Hay nhìn vào các nước trong khối thị trường đang phát triển ở Châu Á và Châu Phi, thì cũng đang ở mức 3 là mức Đang phát triển. Như vậy có một khoảng cách lớn giữa thị trường Việt Nam và các nước trong khu vực và trên thế giới.
Hình 2: Mức độ trưởng thành quản trị dữ liệu
Thực tế, thuật ngữ “Quản trị dữ liệu” mới thực sự được các ngân hàng để mắt tới từ năm 2014 và hiện tại việc triển khai Quản trị dữ liệu tại các ngân hàng Việt Nam còn rất hạn chế, thậm chí còn rất nhiều các ngân hàng mới có ý tưởng manh nha mà chưa triển khai. Một tín hiệu tích cực là lãnh đạo các ngân hàng đã nhìn nhận được tầm quan trọng của dữ liệu cho định hướng kinh doanh của ngân hàng, tuy nhiên, thông điệp này vẫn chưa được truyền tải tới các CBNV của ngân hàng, những người đang hàng ngày tiếp xúc với dữ liệu.
Về mặt tổ chức đơn vị quản trị dữ liệu, phần lớn các ngân hàng đang sử dụng mô hình phân tán, nghĩa là tồn tại nhiều đơn vị thu thập và khai thác dữ liệu độc lập.
Hình 3: Mô hình thu thập và khai thác dữ liệu phân tán tại các ngân hàng
Với mô hình phân tán này, mỗi khối nghiệp vụ sẽ có một phòng, ban thu thập và xử lý dữ liệu độc lập, việc này dẫn đến dữ liệu sẽ bị quản lý phân tán, các đơn vị khai thác cùng một loại dữ liệu sẽ không tối ưu được nguồn lực, dễ dẫn đến thông tin cung cấp cho các cấp lãnh đạo không đồng nhất làm cho việc ra quyết định kinh doanh gặp nhiều khó khăn. Bản thân tác giả đã nhận được rất nhiều chia sẻ của các vị lãnh đạo ngân hàng khi nhận được báo cáo phân tích từ các đơn vị, cùng một chỉ tiêu nhưng mỗi đơn vị báo cáo một kiểu, và việc so sánh, kiểm tra thông tin để xác định nguồn chính xác mất rất nhiều thời gian, trong một số hoàn cảnh các vị lãnh đạo này đã phải ra quyết định theo kiểu “bốc thuốc”. Với mô hình phân tán như vậy, việc chia sẻ hay truy cập vào dữ liệu không phù hợp với vị trí công việc rất dễ xảy ra và cũng không kiểm soát được. Đây là nguyên nhân cho việc dữ liệu khách hàng bị phát tán ra bên ngoài ngân hàng không kiểm soát.
2.2. Hiện trạng quản lý dữ liệu tại các ngân hàng
Về mặt hệ thống, các ngân hàng đang quản lý dữ liệu thế nào? Hình bên dưới là một điển hình về kiến trúc dữ liệu đang tồn tại phần lớn tại các tổ chức tài chính.
Hình 4: Hiện trạng quản lý dữ liệu trên hệ thống
Việc quản lý dữ liệu ngân hàng hiện tại rất lộn xộn. Từ năm 2009 đến nay, phần lớn các ngân hàng đều đã triển khai hệ thống Kho Dữ liệu DWH, tuy nhiên, giá trị đem lại của Kho dữ liệu này rất khó kiểm chứng, khi mà Kho dữ liệu này không phải là duy nhất. Hiện tại các ngân hàng đang tồn tại song song nhiều kho dữ liệu khác nhau, bản thân các đơn vị nghiệp vụ cũng có kho dữ liệu lưu trữ của riêng mình và gần như không sử dụng kho dữ liệu chung của toàn hàng. Một điểm đáng lo nữa là luồng dữ liệu (data linage) luân chuyển giữa các hệ thống hiện tại chưa được quy hoạch và cũng chưa được ghi nhận trên tài liệu, dẫn đến rất nhiều khó khăn cho việc quản lý và khai thác dữ liệu. Một hệ thống rất quan trọng là Quản lý siêu dữ liệu Metadata thì hiện tại gần như các ngân hàng không có hoặc có nhưng không đầy đủ và không được cập nhập. Với việc tồn tại song song nhiều kho dữ liệu, luồng dữ liệu chưa được chuẩn hóa và ghi nhận trên tài liệu, việc ngân hàng bị rò rỉ thông tin là điều không tránh khỏi.
Nếu chúng ta so sánh mô hình kiến trúc hiện tại của các ngân hàng (hình 4) với mô hình kiến trúc dữ liệu đề xuất (hình 5) thì chúng ta sẽ thấy sự khác biệt rất lớn.
Hình 5: Mô hình kiến trúc dữ liệu đề xuất
Như vậy, nhìn từ hai góc độ là nhận thức về giá trị của dữ liệu và hiện trạng quản lý dữ liệu của ngân hàng đều đang gặp rất nhiều vấn đề. Làm sao để ngân hàng cải thiện việc quản trị dữ liệu của mình để qua đó nâng cao bảo mật thông tin?
3. Nâng cao bảo mật, quản lý chia sẻ thông tin
Sẽ không có một giải pháp hoàn hảo cho việc bảo mật thông tin của ngân hàng, mà phải là một loạt các giải pháp kết hợp với nhau. Bên cạnh việc xây dựng các hệ thống tường lửa, kiểm soát mạng, kiểm soát truy cập và các giải pháp bảo mật khác, tác giả đề xuất các ngân hàng cần xây dựng chương trình Quản trị dữ liệu nhằm xây dựng về mặt tổ chức con người và quy chế, hỗ trợ nâng cao chất lượng của hệ thống.
3.1. Xây dựng chương trình Quản trị dữ liệu
Như vậy Quản trị dữ liệu là gì? Theo Học viện Quản trị dữ liệu (datagovernance.com) định nghĩa: “Quản trị dữ liệu là một hệ thống các quyền và trách nhiệm quyết định có liên quan đến thông tin, được thực hiện theo một mô hình đã được xác định, mô tả ai được thực hiện hành động nào với thông tin gì, và khi nào, trong trường hợp nào, sử dụng phương pháp nào”.
Khi thực hiện quản trị dữ liệu, tổ chức phải trả lời một số câu hỏi cơ bản sau:
- Ai là chủ sở hữu dữ liệu?
- Khi dữ liệu bị rò rỉ, ai là người chịu trách nhiệm?
- Chất lượng dữ liệu được đo lường thế nào? Ai là người chịu trách nhiệm nâng cao chất lượng dữ liệu?
- Mọi người trong tổ chức có hiểu dữ liệu theo cùng một cách?
- Ai là người quyết định kiến trúc dữ liệu?
- Dữ liệu được phân loại thế nào?
- Dữ liệu được lưu trữ ở đâu, trong bao lâu?
Về cơ bản, Chương trình Quản trị dữ liệu sẽ bao phủ lên toàn bộ các hoạt động của ngân hàng, bao gồm con người – mô hình tổ chức, quy định, quy trình và hệ thống công nghệ thông tin. Chính vì mức độ bao phủ rộng lớn và có sự tương tác tới rất nhiều đơn vị trong ngân hàng, nên việc triển khai Chương trình Quản trị dữ liệu không hề đơn giản, đòi hỏi sự tham gia của các lãnh đạo cấp cao trong ngân hàng và sự phối hợp của nhiều đơn vị.
Một câu hỏi đặt ra là Chương trình Quản trị dữ liệu sẽ hỗ trợ việc bảo mật dữ liệu như thế nào?
Khi triển khai Chương trình Quản trị dữ liệu, việc đầu tiên cần triển khai là xây dựng đơn vị chuyên trách các vấn đề liên quan đến dữ liệu trên phạm vi toàn ngân hàng. Đơn vị này hoạt động độc lập, báo cáo trực tiếp TGĐ ngân hàng, được quản lý bởi Giám đốc Dữ liệu (Chief Data Officer). Giám đốc Dữ liệu là vị trí mới, không riêng ở Việt Nam mà cả ở trên thế giới. Tuy nhiên, với tầm quan trọng của dữ liệu ngày càng được khẳng định thì các tổ chức lớn càng ngày càng coi trọng vị trí này hơn. Quay trở lại chủ đề của chúng ta, việc xây dựng một đơn vị chuyên trách với các vấn đề dữ liệu sẽ giúp cho việc kiện toàn các quy định, quy trình về dữ liệu, từ đó nâng cao nhận thức của người dùng về dữ liệu. Ngoài ra, trong quá trình triển khai Quản trị dữ liệu, một trong các hoạt động chủ yếu là xác định chủ sở hữu dữ liệu và phân loại dữ liệu. Việc xác định chủ sở hữu dữ liệu trên phạm vi toàn hàng cùng với việc nêu rõ vai trò, trách nhiệm của chủ sở hữu dữ liệu sẽ nâng cao vai trò, trách nhiệm của chủ sở hữu dữ liệu với dữ liệu do mình quản lý. Như chúng ta đều biết, để nâng cao bảo mật của dữ liệu, thông tin thì việc phân loại dữ liệu để ngân hàng có cơ chế phù hợp với từng loại dữ liệu là rất quan trọng, đây cũng là một hoạt động của Quản trị dữ liệu. Trong phạm vi hạn hẹp của bài viết này, và với quan điểm phát triển Quản trị dữ liệu lấy trọng tâm là yếu tố con người và mô hình tổ chức, tác giả sẽ đi sâu vào phân tích một mô hình tổ chức Quản trị dữ liệu để bạn đọc cùng tham khảo ở phần tiếp theo.
3.2. Mô hình tổ chức Quản trị dữ liệu
Như đã trao đổi ở mục trên, triển khai Quản trị dữ liệu phải bắt đầu từ mô hình tổ chức. Trong Quản trị dữ liệu, có hai loại mô hình tổ chức đóng góp vai trò lớn trong việc triển khai Quản trị dữ liệu thành công: Mô hình tổ chức mềm là các ủy ban có chức năng kiêm nhiệm, và mô hình tổ chức cứng là Trung tâm Quản trị dữ liệu có chức năng chuyên biệt.
Với mô hình tổ chức mềm, ở một số tổ chức sẽ phân cấp 3 ủy ban: Ủy ban Điều hành dữ liệu (Data Executive Council), Ủy ban Quản trị dữ liệu (Data Governance Council) và Ủy Ban Quản dữ liệu (Data Stewards Council). Tuy nhiên với quan điểm của tác giả, các ngân hàng tại Việt Nam có thể rút gọn mô hình với 2 Ủy ban: Ủy ban Điều hành dữ liệu và Ủy ban Quản trị dữ liệu.
- Ủy ban Điều hành dữ liệu: Chủ trì là Tổng giám đốc của ngân hàng, các thành viên sẽ bao gồm GĐ Tài chính, GĐ QTRR, GĐ CNTT, GĐ Vận hành, GĐ Dữ liệu, Giám đốc các khối kinh doanh. Ủy ban Điều hành dữ liệu sẽ chịu trách nhiệm định hướng về mặt chiến lược, các kế hoạch triển khai tổng thể, quyết định các vấn đề chưa xử lý được tại Ủy ban Quản trị dữ liệu và quyết định đầu tư các dự án chiến lược về dữ liệu dựa trên tư vấn, khuyến nghị của GĐ Dữ liệu. Tùy theo tình hình của từng ngân hàng, Ủy ban này có thể họp theo từng quý, hoặc 6 tháng
- Ủy ban Quản trị dữ liệu: Chủ trì là GĐ Dữ liệu, các thành viên sẽ bao gồm các chủ sở hữu dữ liệu, các quản dữ liệu (Data Stewards) tương ứng, thành viên khối CNTT và các thành viên của Trung tâm Quản trị dữ liệu theo từng chủ đề họp của Ủy ban. Ủy ban Quản trị dữ liệu chịu trách nhiệm thi hành chiến lược dữ liệu, các kế hoạch, triển khai dự án đã được phê duyệt bởi Ủy ban Điều hành dữ liệu, ngoài ra Ủy ban Quản trị dữ liệu phải tham mưu, đề xuất với Ủy ban Điều hành dữ liệu các vấn đề mới phát sinh chưa xử lý được hoặc vượt thẩm quyền xử lý, tiếp nhận và xử lý các vấn đề về dữ liệu từ các chủ sở hữu dữ liệu. Ủy ban Quản trị dữ liệu thường họp hàng tháng. Hình 6 là một mô hình mà độc giả có thể tham khảo.
Hình 6: Mô hình tổ chức mềm – Các Ủy ban dữ liệu
Với mô hình tổ chức cứng, việc thành lập Trung tâm Quản trị dữ liệu là đơn vị duy nhất chịu trách nhiệm tiếp nhận và giải quyết các vấn đề phát sinh về dữ liệu trên phạm vi toàn ngân hàng, tuy nhiên, chúng ta cần lưu ý, vấn đề về dữ liệu không phải công việc chỉ của Trung tâm Quản trị dữ liệu, để giải quyết triệt để các vấn đề dữ liệu cần có sự chung tay góp sức của toàn bộ các đơn vị, cá nhân trong ngân hàng. Về cơ bản, Trung tâm Quản trị dữ liệu cần có các chức năng sau:
- Quản trị dữ liệu: Xây dựng, ban hành, duy trì và kiểm soát việc thực thi các quy định, quy trình về dữ liệu trên phạm vi toàn hàng
- Kiến trúc dữ liệu: Quản lý việc thiết kế kiến trúc dữ liệu cùng với đơn vị kiến trúc hệ thống của khối CNTT
- Quản lý siêu dữ liệu (metadata): xây dựng và cập nhập từ điển dữ liệu (data dictionary), từ điển thuật ngữ nghiệp vụ (business glossary), xây dựng luồng dữ liệu (data lineage)
- Quản lý chất lượng dữ liệu: xây dựng hệ thống kiểm soát chất lượng dữ liệu bao gồm các báo cáo chất lượng dữ liệu, quy tắc đo lường chất lượng dữ liệu
- Vận hành dữ liệu: chuẩn hóa hoạt động nhập liệu tập trung hóa, hỗ trợ các đơn vị quản trị dữ liệu và quản lý chất lượng dữ liệu trong hoạt động vận hành. Thực tế, trên thế giới, việc tập trung hóa hoạt động nhập và kiểm soát chất lượng dữ liệu không hề xa lạ với sự hỗ trợ của các hệ thống như BPM (Business Process Management) hoặc ECM (Enterprise Content Management), tuy nhiên, hiện tại ở Việt Nam thì mô hình này vẫn còn mới và cần nhiều thời gian để nghiên cứu và thử nghiệm.
- Quản lý dữ liệu chủ: xây dựng hệ thống quản lý, lưu trữ, chuẩn hóa và phân phối dữ liệu chủ giữa các hệ thống dữ liệu nguồn và hệ thống sử dụng. Quản lý dữ liệu chủ chỉ có thể được thực hiện một cách hiệu quả khi toàn bộ các trức năng bên trên được triển khai vào đi vào hoạt động thường ngày.
Hình 7 mô tả các chức năng của Trung tâm Quản trị dữ liệu. Để trung tâm hoạt động hiệu quả cần có sự phối hợp chặt chẽ của các đơn vị Quản trị rủi ro và Công nghệ thông tin.
Hình 7: Mô hình tổ chức cứng – Trung tâm Quản trị dữ liệu
3.3. Các lưu ý khi triển khai Quản trị dữ liệu
Với kinh nghiệm làm việc nhiều năm trong lĩnh vực dữ liệu của ngân hàng, tác giả khuyến nghị tới các tổ chức cần lưu ý một số vấn đề trước khi triển khai Quản trị dữ liệu như sau:
- Quản trị dữ liệu là một chương trình triển khai liên tục theo toàn bộ vòng đời của ngân hàng, không phải là một dự án triển khai xong là dừng.
- Quản trị dữ liệu sẽ tác động tới rất nhiều hoạt động của ngân hàng từ mô hình tổ chức, quy trình tới công nghệ. Chính vì mức độ bao phủ lớn như vậy nên cần có sự quan tâm, tham gia sâu sát từ các cấp lãnh đạo cao cấp, chuyền tải thông điệp của quản trị dữ liệu tới toàn bộ CBNV của ngân hàng.
- Quản trị dữ liệu không phải là công việc của một cá nhân, đơn vị, nó là công việc của toàn bộ ngân hàng.
Quản trị dữ liệu phải được triển khai và đưa vào vận hành hàng ngày trước khi triển khai các dự án về dữ liệu khác như Dự án xây Kho dữ liệu (DWH), dự án phòng chống thất thoát thông tin (DLP), Dự án nâng cao chất lượng dữ liệu, Dự án Xây dựng hệ thống quản lý dữ liệu chủ (MDM), etc.
Nguyễn Minh Đức - Ngân hàng TMCP Quân đội (MB Bank)