DIGITAL TRANSFORMATION CHO MÔ HÌNH KINH DOANH BHNT TRUYỀN THỐNG

Mình có
biết một số công ty BHNT hiện đang kinh doanh theo mô hình truyền thống, nhưng
lại so sánh với một số công ty đang làm theo mô hình ứng dụng digital
transformation. Họ đưa ra yêu cầu cho nhân viên tại sao các công ty đó làm được
mà công ty mình lại làm không được, hơn nữa lại đẩy trọng trách này cho một hai
bộ phân trong đó có IT để làm công việc này? Nếu nghĩ digital transformation là
chỉ cần phát triển một vài ứng dụng web hay mobile applications thì hoàn toàn
không đúng và sẽ bị thất bại ngay khi xây dựng hoặc thực thi. Bởi vì digital
transformation không phải chỉ có đơn độc IT hoặc một hoặc hai bộ phận trong
công ty, mà nó đòi hỏi một chiến lược lâu dài được kích hoạt từ các cấp cao
nhất của công ty với sự tham gia của tất cả các bộ phận trong công ty để cùng
xây dựng chiến lược digital transformation hoàn chỉnh, bao gồm con người, sản
phẩm, kênh phân phối, thị trường/marketing, CNTT, mô hình kinh doanh, dữ liệu,
operations, customer experience, v.v.v….(có thể tham khảo thêm bài của mình
trên LinkedIn hồi 3/12/2018). Hơn nữa, muốn làm digital transformation mà không
muốn đầu tư, ép tất cả đều làm in-house thì khó có thể thành công nhanh và đạt
kết quả như kỳ vọng. Khi đã chấp nhận cuộc chay đua digital transformation thì
phải chấp nhận đầu tư tốn kém, tuy nhiên kết quả/hiệu quả của digital
transformation mang lại thì có thể rất lớn nếu làm đúng.

Đừng
bao giờ nghĩ là công ty mình vừa mới làm được một hai mobile apps là có thể tự
hào nghĩ mình đầu thị trường, hệ thống của tôi hơn hẳn các công ty đầu tư
digital bài bản. Phải nên nhìn tổng thể họ đã đi đến đâu, mình đang ở đâu. Ví
dụ công ty bạn đi sau làm eApp, tổng hợp ý tưởng (copy) của các công ty đi
trước, sau đó làm eApp. Tung ra thị trường nói rằng eApp của mình là tối ưu, là
tốt nhất trên thị trường. Tuy nhiên, bạn mới chỉ dửng lại ở mức eApp thôi, còn
đối thủ của bạn đã đi quá xa rồi. Họ đã ứng dụng Sales of Point và STP trong
quy trình bán hàng của họ: từ lead management, FNA, eIllustration, eApp,
eSignature, eSubmission, ePayment, sau đó đến kết nối back-end auto-process để
khách hàng nhận ngay HĐBH điện tử nếu HĐ được tự động cấp ngay sau khi submit,
v.v.v……như mình đã nói, nếu công ty kinh doanh theo kiểu truyền thống mà xây
dựng chiến lược digital transformation một cách manh mún, rời rạc thì sẽ không
thành công, ngược lại còn tốn nhiều chi phí và thời gian vô ích.

Ví dụ
khác về sản phẩm, để xây dựng được sản phẩm digital, các công ty chuyên về
digital họ đã xây dựng được cả một hệ thống nghiên cứu rất kỹ để khai sinh ra
sản phẩm digital phù hợp với cả mục tiêu của công ty, công nghệ, quy trình,
kênh thanh toán và kênh phân phối. Sau đó họ mới tiến hành phát triển sản phẩm
này trên các platforms khác nhau để bán sản phẩm. Trong khi công ty kinh doanh
theo mô hình truyên thống thì chỉ có một vài ứng dụng mobile nhỏ lẻ, bạn chưa
định hình hay xây dựng một hệ thống (không phải chỉ có hệ thống CNTT) đầy đủ mà
lại ép IT, operations đẩy nhanh việc bán sản phẩm bảo hiểm online trên trang
portal của công ty (vì muốn làm in-house và không muốn chi tiền cho các kênh
khác) thì làm sao làm được. Đơn giản, thứ nhất, chưa xác định được mục đích bán
sản phẩm online hay thiết kế được sản phẩm bán online sẽ như thế nào? Không thể
bưng sản phẩm truyền thống hiện tại bán online được vì nó quá phức tạp, khách
hàng không hiểu sản phẩm thì sao họ mua được? Nếu bán qua portal của công ty
thì phải đặt câu hỏi brandname của công ty có đủ lớn như Pru, Manu, Daiichi,
v.v.v…để khách hàng vô trang portal mua sản phẩm online của công ty? Về thanh
toán, hay xử lý dữ liệu đã sẵn sàng cho việc bán online chưa? Đội ngũ nhân viên
hỗ trợ đã sẵn sang chưa? Còn nhiều thứ khác mà công ty cần phải cân nhắc và xem
xét nữa.

Do đó
digital transformation là một quá trình, là chiến lược lâu dài chứ không thể
làm một cách manh mún mà thành công được. Hãy chọn những chuyên gia tốt nhất,
giỏi nhất trong công ty hoặc ngoài công ty để cùng nhau xây dựng một chiến lược
bài bản thay vì ép một vài thành viên/bộ phận làm một cách tự phát hoặc copy
một phần của những công ty khác. Thông thường các công ty lớn họ đều có CDO để
xây dựng và triển khai chiến lược digital transformation, vì đa số CIO quá đi
sâu về kỹ thuật rất khó có thể xây dựng và triển khai chiến lược digital
transformation được, chỉ có những CIO nào giỏi về cả nghiệp vụ và kỹ thuật thì
mới có thể chuyển đổi tốt sang vị trí CDO. 

Digital
transformation là xu hướng tất yếu hiện nay, nếu bạn chậm chân trong cuộc đua
này thì các bạn sẽ bị tụt hậu xa với đối thủ của mình, và có thể sẽ tự kết liễu
mình giống như một số công ty lớn đã bị khai tử.

Chúc
công ty của các bạn thành công trong việc xây dựng và thực thi chiến lược
digital transformation

Phan
Hoai Nam – FOUNDER/CTO CREATIVE ERA

Read More

NGHỀ DBA CHUẨN BỊ BIẾN MẤT CÙNG VỚI SỰ PHÁT TRIỂN CỦA AI VÀ MACHINE LEARNING (ML)

Oracle
vừa ra mắt Autonomous Database dựa trên AI và ML, sự ra đời này đánh dấu bước
tiến quan trọng trong việc sử dụng công nghệ AI và ML để thay thế công việc của
con người, để làm tốt hơn công việc của một DBA. Với sự phát triển này công
việc DBA sẽ được tự động hóa hoàn toàn thông qua 3T “Tự điều khiển/thực thi”,
“Tự bảo mật” và “Tự sửa chữa”. Nhờ online tracking performance cũng như
online database healthy checking, hê thống sẽ sử dụng thuật toán để tự tối
ưu các thông số của Cơ sở dữ liệu (CSDL) nhanh và chính xác hơn một DBA. Bởi vì
một DBA muốn tối ưu các thông số này phải mất khá nhiều thời gian để monitor
CSDL, sử dụng thuật toán để tính toán các thông số, thử nghiệm,...rồi mới điều
chỉnh các thông số được. Về index thường dựa trên kinh nghiệm của Dev và DBA để
tạo index và ít khi họ dành thời gian để đo hiệu quả của index, việc tạo index
nhiều khi cũng tùy tiện thoải mái dẫn đến quá nhiều index và hệ thống chạy ko
hiệu quả. Autonomous database sẽ tự động minitor database performance, các câu
queries, index....để chỉnh sửa và tự tạo lại index cho tối ưu nhất. Hơn nữa,
autonomous database còn thực hiện ngăn ngừa các mối đe dọa xâm nhập CSDL từ cả
bên trong và bên ngoài qua việc tự động monitor các mối đe dọa, cập nhật các
bản vá online, mã hóa tất cả dữ liệu và bảo mật các kết nối. Và việc tạo ra một
CSDL mới theo yêu cầu của doanh nghiệp cũng đơn giản hơn rất nhiều, chỉ mất vài
phút thay vì hàng giờ hoặc hàng ngày nếu thực hiện bởi một DBA. Điều quan trọng
là Autonomous database có thể thực hiện suốt và liên tục công việc của một DBA
mà không cần ngủ, nghỉ, ăn cơm, đi chơi. Autonomous database có thể phát hiện
lỗi và tự sửa lỗi CSDL ngay lập tức, giúp cho doanh nghiệp không bị gián đoạn
công việc kinh doanh.

Như vậy
chỉ trong thời gian ngắn nữa thôi, công việc DBA sẽ bị thay thế hoàn toàn bằng
autonomous database, do đó các bạn DBA hãy sẵn sàng nâng cao nghiệp vụ và kỹ
thuật để chuyển sang hoặc tập trung hơn vào công việc khác ví dụ xây dựng cấu
trúc/mô hình dữ liệu, xây dựng data warehouse, data lake, phân tích dữ liệu,
tối ưu ứng dụng, v.v.v.......

Chúc các
bạn chuẩn bị thật tốt cho việc chuyển qua các công việc mới mà hiện tại AI và
ML chưa làm được hoặc chưa làm tốt.

Phan
Hoai Nam – FOUNDER/CTO CREATIVE ERA

Read More

DIGITAL TRANSFORMATION – IS IT JUST ABOUT IT AND TECHNOLOGY?

Most of
people are thinking that digital transformation is just about IT or
Technologies such as mobile application, cloud computing, the Internet of Things, big data, blockchain and artificial intelligence.so they only focused investment on IT
and Technology while building and executing their digital strategies. They just
implemented a shiny new digital front end or mobile apps to solve the issue of
their disparate legacy systems and enable them to quickly adapt to customer
expectations. Then their digital strategies were failed at execution phase,
because their current business model could not fit with their digital
strategies, or they have not understood their customer journey and customer
experience, which are including customer understanding, experience design and
customer touch points, or their people have not enough capability to execute
the digital strategies, or even the corporate culture has not been ready for
digital transformation. Therefore, the digital transformation is not just
specific about IT or Technology, it is also about redefining entire your
business strategy, and even changing your corporate culture. In addition,
digital transformation requires end-to-end processes from the front end all the
way through the business to the back office, enabling a truly data-driven
capability and a digital experience for customers, brokers, affiliate partners,
and internal users.

The key
important factor in digital transformation is data (data about consumers, about
competitors, about supply chain, about your markets, etc.), especially
real-time data. The real-time data can support a company to transform this
company business processes and business models for improving customer
experience. However, you should know how to use data for your analytics,
critical business decision and business intelligence. It will help business to
take the right decisions leading them towards innovation and success.

In
fact, I also shared with our Head of Product and Strategic planning that data
is the key of our digital transformation strategies, but we have not invested
much in data analytics and building our data model to support sales and to
understand our customers and customer’s preferences. So it is very critical to
build a business intelligence team, who are able to gather data, analyze data,
and then build data model to support business analytics and prediction based on
collected data. In parallel, we would build our data lake and Omni-channel
marking automation, which support us to have 360 degree view of customer data
with data consolidated; to consolidate brand interaction that can be drilled
down into based on channels, interactions and transactions for every single
customer; to have ability to track our customer’s multi-channel path as a
single customer’s journey.

Furthermore,
to maximize upsell and cross-sell opportunities and optimize your sales channel
strategies to fit your customers’ needs and preferences, you should gather
customer data from different sources such as social media and listen to what
your customers want through their posts, feedbacks, reviews, and online
sentiments. These data also help your company tailor your sales channels for
more personalized services and engagement.

Finally,
digital changing everything, it is changing your corporate strategy, business
processes, market capabilities, even the roles & skills that you need to
fill by outsourcing, hiring and training in order to clear the gaps between the
company and technology. Forrester Report in 2017 showed that 74% companies have
digital strategies, but only 15% companies have skills and capabilities to
execute digital strategies.

In
hyper-competitive business environment, embracing digital transformation is a
survival and growth requirement rather than a luxury. Digital transformation
enables your company to open up new sales channels, find new markets and
opportunities, increase your revenues, and improve your efficiency. But to
fully embrace digital transformation, your company must start with capturing,
securing, integrating, and utilizing quality data. How about your company
digital strategies and execution? And is your company ready for digital
transformation journey?

Phan
Hoai Nam – FOUNDER/CTO CREATIVE ERA

Read More

IS THE CLOUD SOLUTION READY FOR LIFE INSURANCE?

The
potential of cloud computing is currently a hot topic of debate in Vietnam now.
A lot of the discussions about cloud computing tends to focus on its ability to
reduce IT costs. However, this is only one part of the cloud benefits. Cloud
computing allows companies to access IT-based services, including
infrastructure-as-a-service (IaaS), software-as-a-service (SaaS),
platform-as-a-service (PaaS) and business processes, via the Internet. Cloud
technologies allow IT to improve IT efficiency and better respond to the
changing needs of the business, create new services and open new markets,
thereby helping to achieve high performance.

Currently,
most of insurers prefer on premise hosting solution, which has a lot of
disadvantages as follows:

·  You
have to pay a fixed amount in upfront for software license and hardware and
cannot downsize for cost saving if your demand changes.

·   You
have to wait for IT to complete all the infrastructure, integration setup, then
implement your solutions

·    Your
IT team has to do all administration works to address maintenance and support
issues.

Therefore,
cloud hosting is an option for you to take advantage of the mobility, and
scalability and flexibility. Currently, there are three forms of clouds:
private, public and hybrid. Private cloud is built within a company’s data
center and is designed to provision and distribute virtual application,
infrastructure and communications services for internal business users. In
Vietnam Life Insurance industry, Manulife built their private clouds since
2011, which are located in Hong Kong and Malaysia (Malaysia is disaster
recovery site) so all Manulife Asia countries are sharing resources of their
private cloud. In contrast, public cloud extend the data center’s capabilities
by enabling the provision of IT services from third-party providers over a
network. However, most of companies are worried about risk and data security
while considering public cloud. At the end, the hybrid cloud has been more
popular now, it can also consist of two public clouds provided by different
providers or even a combination of a cloud and traditional IT infrastructure.
The hybrid cloud also has some disadvantages such as the manageability of
different cloud services because every service provider will have its own
management and provisioning environment; and network connectivity, especially
if remote cloud services like a public cloud or a hosted private cloud are
involved (it is not only must bandwidth, reliability and relevant cost
considerations be taken into account, but also the logical network topology
must be carefully designed).

For
example, you want to use hybrid cloud for your application, but you still want
to keep database at your own IT infrastructure. In this case, the main
challenge is the performance of the exchange of data between the different
services and applications, then you have to invest on the high bandwidth of
internet connection to improve the performance. In case, you want to use
different cloud services, the biggest challenge is the integration of the
different cloud services and technologies. However, the standardized APIs will
help you solve this challenge.

Manulife
is also using public and hybrid cloud for their customer portal, CRM –
Salesforce, Office 365 and Workday. Prudential is using cloud for Office 365
and Workday systems. As CIO of Vietinbank Aviva, I feel more comfortable about
putting our non-critical systems into public, private and hybrid clouds such as
Portal, BI, Office 365, Workday, CRM, Web conferencing, Network and server
monitoring and administration, etc. And we will start to concern moving
critical systems to hybrid clouds when the security and audit maters are not
our concern. Moreover, private cloud is also in our plans to leverage the IT
infrastructure, improve IT efficiency and save cost for Aviva in Asia.

So what
are key benefits of cloud computing for insurance industry?

·   Reduce
total costs of IT infrastructure and operations as little or no requirement for
capital investment to enable usage

·   Pay-as-you
go pricing model) and lower ongoing operating costs than IT owned and managed
in-house.

·   Better
respond to the changing needs of the business, create new services and open new
markets, thereby helping to achieve high performance

·   Support
integration of third party systems

·   Force
a move to a service-oriented model and new innovation in systems design

·   Maximize
renewals by customers

·   Unify
customer data, enabling customer-centricity. It offers major opportunities for
insurers to build a more flexible, nimble and customer-centric business model
that can drive profitable growth and help us achieve high performance in the
industry

·   Drive
new business and engage customers more effectively through new distribution
models

So,
what does the future of cloud solution look like for insurers, both in the
short and long term? In the next few years, I believe that the insurers who
move more quickly to embrace the cloud will gain a competitive lead that others
may struggle to match. In order to do that, we have to understand the condition
and scope of our entire IT infrastructure and apply cloud solution for
non-critical systems first, then step by step for critical systems; identify
stakeholders should be engaged in making decisions for cloud; define clearly
criteria and requirement for selecting cloud providers.

Phan
Hoai Nam – CIO Vietinbank Aviva Life Insurance.

Read More

NHỮNG THÁCH THỨC BẢO MẬT KHI TRIỂN KHAI ỨNG DỤNG WEB/DI ĐỘNG

Nhớ lại
năm 2002, khi trò chuyện với CTO vùng của Manulife Asia, anh này chia sẻ, chỉ
trong một đêm anh đã bạc trắng tóc vì lo lắng. Anh nói, Manulife HongKong mới
vừa đưa vào sử dụng phiên bản mới của hệ thống ứng dụng Agency Portal và
Customer Portal, hệ thống này cho phép Đại lý và khách hàng có thêm nhiều tính
năng giao dịch trực truyến với công ty. Điều này đồng nghĩa với việc hệ thống
bảo mật của công ty cũng phải đảm bảo để thông tin, dữ liệu của công ty và
khách hàng không bị tấn công hoặc bị rò rỉ ra ngoài. Mặc dù anh CTO này chuẩn
bị rất kỹ trước khi đưa các ứng dụng này vào thực tế, tuy nhiên vẫn có khả năng
vẫn còn lỗ hổng bảo mật mà hacker có thể lợi dụng để tấn công. Do đó vấn đề bảo
mật cho các ứng dụng chạy trên internet rất quan trọng cho bất kỳ doanh nghiệp
nào.

Trong
cuộc chạy đua số hóa, các doanh nghiệp ở Viêt Nam đang đẩy mạnh các ứng dụng
web và di động để nâng cao dịch vụ hỗ trợ bán hàng và dịch vụ khách hàng. Do
mong muốn đưa các ứng dụng này vào thực tế kinh doanh càng nhanh càng tốt nên
việc chuẩn bị đầy đủ các quy trình kiểm soát bảo mật thường xảy ra thiếu sót.

Thứ
nhất, đa số các thiết bị bảo mật của các doanh nghiệp hiện tại đã cũ, không còn
phù hợp với tình hình an ninh mạng hiện tại, trừ khi doanh nghiệp vừa mới đầu
tư mua mới các thiết bị này. Chẳng hạn như thiết bị tường lửa truyền thống vẫn
còn được sử dụng, trong khi nó không thể đảm bảo an toàn cho hệ thống của công
ty bạn như các thiết bị tường lửa thế hệ mới (NGFW).

Thứ
hai, việc trang bị thiết bị tường lửa cho ứng dụng web (WAF) cũng chưa được chú
trọng và đầy đủ. Hoặc đôi khi quá tự tin vào hệ thống tường lửa thế hệ mới
(NGFW) vừa được trang bị nên không chú ý rằng NGFW không đủ chức năng để bảo vệ
các ứng dụng trên Internet. Hơn nữa việc đầu tư các thiết bị tường lửa cũng khá
đắt nên không phải công ty nào ban giám đốc cũng sẵn sàng đầu tư để mua các
thiết bị này.

Thứ ba,
các ứng dụng web/di động được đưa vào sử dụng quá nhanh chóng nên chưa được đầu
tư kiểm tra PENTEST đầy đủ, thường là không được kiểm tra PENTEST. Nếu có thì
chỉ là tự dùng một số công cụ/phần mềm để kiểm tra lỗ hổng bảo mật, chưa thuê
công ty bảo mật chuyên nghiệp để thực hiện PENTEST, có thể vì chi phí cho
PENTEST khá cao hoặc đội ngũ bảo mật của công ty không chú trọng hoặc không
biết rõ về yêu cầu PENTEST.

Thứ tư,
đội ngũ CNTT thường thiếu người chuyên trách về bảo mật và thường là nhân viên
quản trị mạng hoặc quản trị hệ thống kiêm nhiệm công việc này do thiếu ngân
sách cho nhân lực. Do đó việc có nhân viên chuyên trách về bảo mật cho ứng dụng
web/di động là điều khá xa xỉ. Hơn nữa, đội ngũ lập trình ít được đào tạo về
bảo mật trong lập trình nên ít khi họ chú ý đến vấn đề bảo mật trong quá trình
lập trình, họ chỉ chú trong sao cho công việc hoàn thành đúng tiến độ và chạy
đúng theo yêu cầu của người sử dụng. Ngoài ra, đội ngũ chuyên trách về kiến
trúc và thiết kế hệ thống cũng bị thiếu, thường thì cũng kiêm nhiệm.

Thứ
năm, Người sử dụng cuối không được đào tạo bài bản hoặc không được cảnh báo về
nguy cơ bảo mật nên họ rất dễ mắc sai lầm khi giao dịch trên Internet nên họ
chính là lỗ hổng bảo mật lớn nhất đối với vấn đề an ninh mạng của công ty.

Thứ
sáu, chính sách hoặc quy trình bảo mật chưa được xây dựng đầy đủ nên không ngăn
chặn được các nguy cơ về an ninh mạng hoặc nhân viên thực thi sai quy trình bảo
mật hoặc đội ngũ giám sát bảo mật không đủ mạnh để kiểm soát các vấn đề an ninh
mạng.

Do đó
để giải mã được các khó khăn và thách thức trên, chúng ta cần kiểm tra và thực
hiện các bước căn bản sau trước khi đưa ứng dụng web/di động vào hoạt động
chính thức:

1.     Trình
bày rõ cho ban giám đốc về các nguy cơ an ninh mạng của công ty, tình trạng
hiện tại của hệ thống và giải pháp khắc phục, ngăn ngừa các nguy cơ đó nhằm lên
kế hoạch và xin ngân sách đầu tư cho an ninh và bảo mật cho toàn hệ thống của
công ty.

2.     Nên
thay các thiết bị tường lửa truyền thống bằng thiết bị tường lửa thế hệ mới
(NGFW) có hệ thống ngăn ngừa/phát hiện xâm nhập (IPS/IDS) vì thiết bị tường lửa
truyền thống chỉ có thể đóng cổng không cần thiết, áp dụng quy tắc định tuyến
cho các gói tin và chống lại những tấn công từ chối dịch vụ, nhưng không thể
phát hiện những gì bên trong gói tin để phát hiện phần mềm độc hại, xác định
các hoạt động của hacker hoặc giúp quản lý người dùng cuối đang làm những gì
trên Internet. Về cơ bản, một khi một cổng được mở (như cổng 80 cho lưu thông
Internet) thì bất cứ gói tin nào cũng có thể đi qua thông qua sự ngụy trang như
lưu thông hợp pháp. Thiết bị tường lửa truyền thống chỉ cung cấp sự bảo vệ chủ
yếu tại lớp 3 (tầng mạng) và lớp 4 (tầng vận chuyển) của mô hình OSI. Trong khi
đó thiết bị tường lửa thế hệ mới còn có thể dựa trên việc xác thực người dùng
(User-ID), xác thực dựa trên ứng dụng (App-ID) và xác thực thông qua nội dung
(Content-ID) giúp cho người quản trị dễ dàng nhận dạng các ứng dụng, nội dung
bên trong luồng dữ liệu cùng với các mức độ nguy hiểm từ đó có thể ngăn chặn
kịp thời, có khả năng xác định rõ các mối nguy cơ đe dọa xuất phát từ người sử
dụng nào. Để đảm bảo an toàn, cần có ít nhất hai lớp tường lửa với hai thương
hiệu khác nhau (ví dụ 1 lớp tường lửa Palo Alto và lớp tường lửa khác là
Checkpoint) nhằm gây khó khăn cho hacker nếu 1 lớp tường lửa bị tấn công.

3.     Tuy
nhiên, 2 lớp tường lửa thế hệ mới này chưa đủ bởi vì các tường lửa mạng và các
hệ thống ngăn ngừa/phát hiện xâm nhập (IPS/IDS) không cung cấp đầy đủ bảo vệ
cho các ứng dụng web/di động trên Internet, các ứng dụng kinh doanh nội bộ quan
trọng và các dịch vụ Web. Bức tường lửa ứng dụng web (WAF) là một thiết bị an
ninh có nhiệm vụ chính là bảo vệ các web portal và ứng dụng web bằng cách kiểm
tra ngữ nghĩa XML/ SOAP/REST dựa trên ứng dụng của các luồng lưu thông trên
mạng và cũng kiểm tra HTTP/HTTPS cho các cuộc tấn công điển hình ở lớp 7 (tầng
ứng dụng) bao gồm OWASP 10 lỗ hổng hàng đầu - chẳng hạn như SQL Injections,
Buffer Overflow, Cross-Site Scripting (XSS), File Inclusion, Cookie Poisoning,
Schema Poisoning, Defacements, v.v.v.. WAF có khả năng thực thi các chính sách
bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu
lượng truy cập ứng dụng web bất thường. Đây là điều mà các tường lửa mạng khác
không làm được. Xem sự khác nhau WAF, IPS/IDS và NGFW đối với bảo mật ứng dụng
web/di động ở hình 1 bên dưới

4.     Chúng
ta đã có 2 lớp tường lửa thế hệ mới và WAF, nhưng vẫn chưa đủ. Cần phải kiểm
tra lỗ hổng an ninh của toàn bộ hệ thống mạng, máy chủ, ứng dụng web/di động,
và chính sách bảo mật, v.v.v…. Do đó, cần phải tiến hành PENTEST hộp đen
(black-box: người kiểm tra biết rất ít hoặc không có thông tin gì về hệ thống
mạng trước khi kiểm tra) hoặc hộp trắng (white-box: người kiểm tra được công bố
thông tin đầy đủ về hệ thống mạng trước khi thử nghiệm thâm nhập, bao gồm địa
chỉ IP, mã nguồn, các giao thức mạng và sơ đồ mạng) hoặc hộp xám (gray-box:
người kiểm tra sẽ được cung cấp chi tiết từng phần về cơ sở hạ tầng mạng).
PENTEST hộp đen sẽ kích thích các kết quả chính xác hơn, vì người kiểm tra
không có thông tin về mạng của bạn nên sẽ cung cấp cho bạn những dấu hiệu thực
tế nhất của các mối đe dọa tiềm năng vào mạng của bạn. Tuy nhiên, PENTEST hộp
đen không thể quét mạng toàn bộ mạng của bạn để tìm triệt để các lỗ hổng an
ninh như là hộp trắng. Do đó, nếu là tôi, tôi sẽ chọn PENTEST hộp trắng và hộp
đen cho doanh nghiệp của mình. Chúng ta nên thuê công ty bên ngoài để thực hiện
PENTEST ít nhất một năm một lần hoặc khi có thay đổi lớn trong có sở hạ tầng
bởi vì các công ty bên ngoài có thể thực hiện một số kiểm tra đòi hỏi kiến
​​thức sâu rộng trên nền tảng mà đội ngũ CNTT của bạn có thể không biết rõ,
hoặc những kiểm tra mà đội ngũ CNTT của bạn không có khả năng thực hiện vì số
lý do khác. Trước tiên, thuê công ty bên ngoài sẽ tránh được việc bỏ lỡ các lỗ
hổng bảo mật tiềm tàng do bạn quá quen và quá biết rõ chi tiết về hệ thống mạng
hoặc ứng dụng của mình nên chủ quan. Thứ hai, thuê công ty bên ngoài giúp bạn
có thể nhận được một góc độ khác nhau từ một loạt PENTEST, họ sẽ cung cấp cho
bạn các kỹ năng và phương pháp tiếp cận riêng của họ vào việc PENTEST cho bạn,
giúp bạn đánh giá lại các chính sách bảo mật. Nói chung, với nhiều cách nhìn
nhận và kiểm tra khác nhau trên hệ thống của bạn, bạn có thể tìm thấy nhiều vấn
đề bảo mật tiềm tàng hơn, thay vì chỉ có nhìn nhận duy nhất từ đội ngũ của bạn.
Hơn nữa, bạn không nên chỉ dựa vào PENTEST từ công ty bên ngoài, mà nên tự kiểm
tra hệ thống của mình ít nhất 1 tháng 1 lần để phát hiện ngay các lỗ hổng bảo mật
để có giải pháp khắc phục tức thì. Các công cụ kiểm tra sau có thể giúp đội ngũ
CNTT phân tích tổng hợp và báo cáo về lỗ hổng bảo mật như INSIGHT Core từ Core
Security và Nexpose/Metasploit Pro từ Rapid 7, UltimateLAMP, LAMPSecurity, Damn
Vulnerable Web Application (DVWA), OWASP WebGoat, và Mutillidae từ Adrian
Crenshaw. Để kiểm tra các ứng dụng di động, có thể sử dụng OWASP iGoat,
GoatDroid và ExploitMe Mobile Labs cho iPhone và Android.

5.     Đào
tạo an ninh mạng và hệ thống là việc không thể thiếu đội ngũ CNTT của bạn, bao
gồm đào tạo nội bộ và gửi bên ngoài thậm chí đào tạo ở nước ngoài. Việc đào tạo
này sẽ giúp doanh nghiệp tránh được phần nào những lỗ hổng của các hệ điều
hành; lối trong kiến trúc, cấu hình và thiết kế mạng; lối trong cấu hình, thiết
kế và lập trình ứng dụng; hoặc rủi ro từ hành vi của người dùng cuối, từ chính
sách bảo mật không đủ hoặc không tốt. Hơn nữa việc đào tạo những kiến thức căn
bản về bảo mật cho toàn bộ người sử dụng cũng là vấn đề cấp thiết, vì họ là
những người thực hiện gia dịch chính trên Internet. Có kiến thức căn bản này sẽ
giúp họ tránh được những rủi ro có thể xảy ra khi sử dụng ứng dụng trên
Internet.

6.     Việc
đánh giá rủi ro hệ thống CNTT và chính sách bảo mật phải được tiến hành bởi
CISO ít nhất 6 tháng 1 lần, và phải được báo cáo cụ thể cho ban giám đốc của
công ty hoặc bộ phận Quản lý rủi ro của vùng. Sau đó phải có kế hoạch giảm
thiểu nhưng rủi ro đó.

Ngày
nay, các ứng dụng web và di động ngày càng phổ biến nên xu hướng tấn công vào
các ứng dụng này ngày càng nhiều. Các kỹ thuật tấn công được sử dụng chủ yếu là
SQL Injections, Buffer Overflow, Cross-Site Scripting (XSS). Các lỗ hổng trong
ứng dụng web và di động chủ yếu xảy ra do người lập trình không kiểm tra kỹ các
lỗ hổng bảo mật cho ứng dụng web/di động. Việc viết đoạn mã để không bị mắc lỗi
bảo mật nhất thường khó thực hiện, bởi các lý do sau: i) các nhóm trình thường
không có hoặc thiếu đội ngũ chuyên trách về việc kiểm tra và sửa lỗi bảo mật mã
nguồn ứng dụng; ii) đôi khi áp lực phải hoàn thành ứng dụng web hoặc di dộng
trong thời gian ngắn khiến cho các ứng dụng web/di động được đưa vào vận hành
mà không qua các khâu kiểm thử; iii) việc dùng các phầm mềm miễn phí kiểm tra
lỗi ứng dụng web/di động cũng không tìm ra hết các lỗi. Do vậy, việc bảo mật
một ứng dụng web và di động đó là một quá trình phòng thủ theo chiều sâu bao
gồm các khâu phát triển, vận hành, xây dựng cơ sở hạ tầng bảo vệ tốt và có một
đội ngũ chuyên trách vấn đề bảo mật riêng cho web và di động. Và điều quan
trọng cuối cùng là phải thực hiện PENTEST cả trước và sau khi đưa ứng dụng web
và di động vào sử dụng.

 
Phan Hoài Nam – CIO Vietinbank Aviva

Read More

CUỘC CHẠY ĐUA SỐ HÓA TRONG THỊ TRƯỜNG BẢO HIỂM NHÂN THỌ

Khi
internet đóng vai trò quan trọng trong cuộc sống hàng ngày, khách hàng ngày
càng có nhu cầu sử dụng các ứng dụng điện thoại di động trong giao tiếp, mua bán.
Đầu tư các giải pháp công nghệ số hóa, đặc biệt là di động và mạng xã hội là ưu
tiên hàng đầu cho việc đạt được đổi mới trong kinh doanh.

Các
giải pháp số hóa mang lại lợi ích cho cả các khách hàng cũng như các công ty
bảo hiểm. Các ứng dụng di động hỗ trợ giao dịch bảo hiểm cho phép khách hàng
trong khi bận rộn vẫn có thể giao dịch trực tuyến, điều này dẫn đến mức độ hài
lòng của khách hàng cao hơn. Công ty bảo hiểm chủ động áp dụng các công nghệ di
động và ứng dụng vào kinh doanh đã và đang mang lại một sự cải thiện nhận thức
của khách hàng thân thiết, điều này giúp tăng cường đáng kể tiềm năng thu nhập
của đại lý bảo hiểm, người môi giới.

Các ứng
dụng di động cũng cho phép các đại lý, môi giới nâng cao tính chuyên nghiêp và
hình ảnh của họ khi giao dịch với với khách hàng. Ngoài ra, các ứng dụng di
động còn nêu bật những tính năng độc đáo trong sản phẩm dịch vụ của họ. Hơn
nữa, việc kết nối và duy trì khách hàng của doanh nghiệp là chìa khóa để phát
triển kinh doanh.

Ứng
dụng di động sẽ giúp công ty bảo hiểm mở rộng các dịch vụ hỗ trợ mạnh mẽ cho
khách hàng của họ, giữ khách hàng gắn bó lâu dài với công ty và tăng độ hài
lòng của khách hàng với các dịch vụ của công ty. Điều này đặc biệt quan trọng
trong kinh doanh bảo hiểm nhân thọ, nơi mà các đại lý được yêu cầu phải chủ
động hỗ trợ khách hàng của họ, qua đó giúp giảm tỷ lệ sai sót và nâng cao tỷ lệ
duy trì hợp đồng.

Khách
hàng có thể sử dụng ứng dụng di động để theo dõi các hợp đồng bảo hiểm, phí bảo
hiểm, ngày đến hạn, các giá trị khác có sẵn và giá trị tiền mặt thu được từ các
hợp đồng cụ thể. Các ứng dụng này cũng có thể hỗ trợ đại lý, môi giới tăng cơ
hội bán chéo, bán thêm.

Song
song với việc phát triển các ứng dụng di động cho khách hàng và các kênh bán
hàng, việc ứng dụng quản lý quy trình (BPM), bao gồm cả quy trình số hóa tài
liệu (Imaging/Imaging Workflow) vào hoạt động nghiệp vụ của khối văn phòng nhằm
giúp nâng cao dịch vụ khách hàng, hỗ trợ bán hàng và giảm thiểu giấy tờ.

BPM
giúp loại bỏ tắc nghẽn trong quá trình xử lý nghiệp vụ và giảm thời gian hoàn
tất nghiệp vụ. Về cơ bản, BPM sử dụng các chương trình phần mềm tinh chế để làm
cho quá trình tự động hóa hoạt động hiệu quả hơn, chẳng hạn quy trình tự động
hóa thẩm định bảo hiểm (Auto-Underwriting). Quy trình này được tích hợp với các
ứng dụng di động của kênh bán hàng giúp cho việc cấp hợp đồng bảo hiểm nhanh
hơn. Ngoài ra, các chương trình này cho phép chủ sở hữu quy trình có thể theo
dõi hiệu suất và tiến trình thực hiện nghiệp vụ đến đâu, ai đang xử lý trong
điều kiện thời gian thực. BPM còn giúp cho việc phân bổ và theo dõi các nguồn
lực để tránh lãng phí, đánh giá hiệu suất công việc, xác định những quy trình
kém hiệu quả, lãng phí và giúp quản lý có cái nhìn tổng quát để cải tiến những
vấn đề này.

Việc số
hóa tài liệu của khách hàng và doanh nghiệp cũng được các công ty bảo hiểm tiến
hành ngay khi bắt đầu hoạt động. Việc số hóa tài liệu giúp công ty bảo hiểm
truy cập hồ sơ khách hàng nhanh hơn, sao lưu các tài liệu dưới dạng số hóa, các
tài liệu này được bảo quản bởi các công ty lưu trữ hồ sơ nên bảo đảm chất lượng
lưu trữ hơn, công ty không phải lưu trữ lượng hồ sơ lớn trong công ty, tự động
hóa nhập liệu một số thông tin khách hàng, và tự động hóa quy trình cấp, in và
đóng hợp đồng cho khách hàng.

Tương
lai của kinh doanh bảo hiểm được bao phủ bởi các ứng dụng di động. Khi đó mọi
người sẽ không cần mang ví, bút , giấy tờ, tài liệu và thậm chí cả thẻ tín dụng
của họ và thay vào đó họ sẽ sử dụng các thiết bị di động để thực hiện tất cả
các giao dịch tài chính của họ, ví dụ như Cổng thông tin cho các kênh bán
hàng (Distribution Portal); Cổng thông tin khách hàng (Customer Portal); Bảng
minh họa (eProposal); Dịch vụ khách hàng điện tử (eService), Hồ sơ yêu cầu bảo
hiểm điện tử (eApplication); Nộp hồ sơ điện tử (eSubmission), chữ ký điện tử
(eSignature); Thanh toán điện tử (ePayment); Bồi thường điện tử (eClaim); Hóa
đơn điện tử (eInvoice), v.v… Các ngành công nghiệp bảo hiểm cần phải được chuẩn
bị tốt cho sự kiện không thể tránh khỏi này!

Cuộc
chạy đua số hóa của các ông lớn trong ngành bảo hiểm nhân thọ đang rất sôi
động. Hiện tại AIA đang đứng đầu trong việc áp dụng công nghệ số hóa vào kinh
doanh. Không chỉ áp dụng mạnh công nghệ cho các kênh bán hàng, AIA cũng đang
kết hợp với các ông lớn trong công nghệ như IBM để nâng cấp hệ thống cho khối
văn phòng nhằm nâng cao dịch vụ hỗ trợ cho các kênh bán hàng và khách hàng.

Prudential
là công ty bảo hiểm nhân thọ dẫn đầu thị trường trong nhiều năm cũng không muốn
đối thủ vượt qua mặt trong lĩnh vực công nghệ. Prudential đã có chính sách
không giới hạn ngân sách đầu tư cho công nghệ thông tin nhằm có những bước nhảy
vọt vượt qua các đối thủ. Manulife, Daiichi, Chubb và Generali cũng đang chuyển
mình nhanh chóng trong cuộc chạy đua này.

Manulife
với chiến lược trẻ hóa đội ngũ lãnh đạo CNTT cao cấp của vùng (Manulife Asia –
Hongkong) nhằm đẩy mạnh sáng kiến mới và ứng dụng công nghệ số hóa cho toàn
Manulife Châu Á. Với việc tập trung hóa Trung tâm phát triển công nghệ tại
Manulife vùng, các công ty con của Manulife ở các nước châu Á đang được thừa
hưởng sự hỗ trợ mạnh mẽ từ tập đoàn Manulife trong việc phát triển CNTT.

Chubb
cũng không kém các đối thủ, họ cũng đã triển khai ứng dụng di động eSmart bao
gồm eProposal, eApplication, ePayment, nhằm giúp đại lý của họ bán hàng dễ dàng
hơn, nâng cao năng suất lao động và hình ảnh đại lý chuyên nghiệp. Chubb cũng
chia ứng dụng di động eSmart thành nhiều giai đoạn phát triển nhằm cải thiện
ứng dụng ngày càng thân thiện cho người sử dụng và cung cấp thêm nhiều chức
năng hơn.

VietinBank
Aviva cũng đang trong cuộc đua hướng tới top 5 công ty bảo hiểm nhân thọ trên
thị trường. VietinBank Aviva xây dựng tầm nhìn CNTT đến năm 2020 là phát triển
các giải pháp kỹ thuật số để mang hiệu quả và cung cấp giá trị đích thực cho
trải nghiệm của khách hàng và các kênh phân phối.

Tháng
10/2015, Aviva đã khánh thành Trung tâm số hóa Châu Á (Digital Garage) tại
Singapore. Mô hình Trung tâm này giống hệt như Trung tâm số hóa ở Anh Quốc,
nhằm đưa ra các ý tưởng và giải pháp số hóa cho Aviva toàn khu vực châu Á,
trong đó có VietinBank Aviva. Với sự hỗ trợ mạnh của Aviva vùng và Aviva toàn
cầu, VietinBank Aviva luôn tự tin và mạnh mẽ trong cuộc chạy đua vào Top 5 trên
thị trường bảo hiểm nhân thọ, cũng như chạy đua số hóa với các công ty dẫn đầu
thị trường.

Phan
Hoài Nam - CIO Vietinbank Aviva

Read More