Tầm Quan Trọng Của Security & Privacy Trong Software Project Management
Không chỉ là trách nhiệm của Dev hay IT – Security & Privacy bắt đầu từ cách bạn quản lý dự án
Gần đây, có lẽ làn sóng phát triển của Artificial Intelligence (AI) đang thu hút sự chú ý mạnh mẽ của cộng đồng. Mình thấy xuất hiện hàng loạt các mô hình AI mới, xu hướng như AI Agent, MCP hay tự động hoá quy trình khiến chúng ta dễ bị cuốn theo sự phấn khích về hiệu suất và tính sáng tạo. Tuy nhiên, giữa làn sóng đổi mới đó, mình nghĩ mọi người lại quên đi những yếu tố căn bản nhưng lại vô cùng quan trọng đó là Security (An toàn thông tin) và Privacy (Quyền riêng tư).
Trong khi AI giúp tăng tốc độ phát triển phần mềm, nếu thiếu nền tảng bảo mật và quản lý dữ liệu cá nhân đúng cách, chính những công nghệ tiên tiến ấy lại có thể trở thành lỗ hỏng dẫn đến các rủi ro nghiêm trọng.
Trong bài viết này, mình muốn chia sẻ về kinh nghiệm cá nhân của mình khi đã từng gặp các vấn đề liên quan tới Security & Privacy trong các dự án phần mềm (Software Project Management) và cũng vừa hoàn thành triển khai ISO 27001:2022 liên quan tới ISMS (Hệ thống quản lý an toàn thông tin), nào bắt đầu tìm hiểu nhé.
Security Là Gì?
Hiểu một cách đơn giản Security là quá trình bảo vệ system, data và information assets khỏi các mối đe doạ, truy cập trái phép, mất mát hoặc phá hoại. Mình nghĩ nếu đã từng biết Security thì chắc chắn sẽ biết tới ba yếu tố cốt lõi của nó, gọi là CIA:
Confidentiality (Bảo mật): Tức là đảm bảo chỉ người có quyền mới có thể truy cập thông tin, ví dụ như bảng lương thì chỉ có lãnh đạo và HR được quyền xem chẳng hạn.
Integrity (Toàn vẹn): Đảm bảo thông tin sẽ không bị thay đổi trái phép, ví dụ bảng lương sau khi được duyệt để chi rồi thì không thể thay đổi nếu chưa được phép.
Availability (Sẵn sàng): Đảm bảo thông tin và hệ thống luôn sẵn sàng khi người dùng cần, ví dụ nếu cần lãnh đạo cần tìm thông tin bảng lương thì nó phải luôn sẵn sàng.
Đó là các khái niệm cơ bản, hay rộng hơn thì việc mã hoá dữ liệu khi truyền qua internet, các tài khoản trong dự án cần xác thực (2FA) khi đăng nhập hay thiết lập quyền truy cập theo vai trò trong hệ thống phần mềm.
Vậy còn Privacy là gì?
Privacy liên quan tới việc thu thập, sử dụng, lưu trữ và chia sẻ dữ liệu cá nhân một cách hợp pháp và minh bạch, đảm bảo rằng người dùng có quyền kiểm soát dữ liệu của chính họ.
Tương tư thì Privacy cũng có các yếu tố như:
Data minimization: chỉ được thu thập dữ liệu cần thiết.
User consent: việc thu thập phải có sự đồng ý rõ ràng của người dùng.
Right to access & delete: người dùng có quyền xem, chỉnh sửa hoặc xoá dữ liệu cá nhân của họ.
Ví dụ cho phép user xoá tài khoản và toàn bộ dữ liệu cá nhân của họ, cung cấp chính sách và quyền riêng tư rõ ràng và không chia sẻ dữ liệu cho bên thứ ba khi chưa được phép.
Trong bối cảnh công nghệ ngày càng phát triển nhanh chóng, Security không còn chỉ là vấn đề của riêng các chuyên gia công nghệ, mà đã trở thành một thành phần thiết yếu trong quản lý dự án phần mềm (Software Project Management). Quản lý bảo mật hiệu quả giúp các doanh nghiệp tránh được các rủi ro nghiêm trọng như thất thoát dữ liệu, thiệt hại tài chính, mất uy tín thương hiệu và các rắc rối pháp lý.
Tại sao Security lại quan trọng trong Project Management?
Trong lĩnh vực phát triển phần mềm, mỗi dự án đều tiềm ẩn các nguy cơ an ninh như tấn công mạng, lộ thông tin khách hàng hay vi phạm quyền riêng tư. Một dự án phần mềm có thể mất trắng chỉ vì một lỗ hỏng bảo mật bị khai thác, với vai trò Project Manager cần đảm bảo thông tin, source code, technical document và data người dùng được bảo vệ xuyên suốt vòng đời dự án.
Việc tích hợp bảo mật ngay từ giai đoạn đầu dự án (Security by Design) sẽ giúp dự án tránh được các lỗi bảo mật nghiêm trọng, giảm chi phí khắc phục và nâng cao lòng tin khách hàng.
Nhiều dự án, đặc biệt trong lĩnh vực fintech, healthcare hay edtech sẽ cần tuân thủ các quy định như:
GDPR (EU)
HIPAA (Mỹ)
ISO/IEC 27001
PDPA (Sing, Thái Lan)
Phải nói, khi hiểu được các quy định thì ở vai trò PM bạn cũng sẽ tự tin hơn khi trao đổi với khách hàng, biết cách áp dụng các tiêu chuẩn Security vào trong dự án của mình. Gần đây, khi mình gặp client mới, khi trao đổi với họ về Security, chỉ cần mình nói bên mình đã có ISO 27001 thì ngay lập tức họ đã yên tâm về vấn đề này. Hay triển khai về các project trong lĩnh vực healthcare thì bạn cần phải quan tâm nhiều tới HIPAA - đó là một quy định đảm bảo privacy cho bệnh nhân trong y tế, và thiết lập rõ ràng các security rule.
Rõ ràng, chúng ta đều biết dữ liệu hiện nay là tài sản có giá trị nhất đối với các doanh nghiệp. Source code, kiến trúc hệ thống là Intellectual Property của doanh nghiệp, Security giúp ngăn chặn việc rò rĩ thông tin, bảo vệ uy tín của thương hiệu cũng như tránh các sự cố gây thiệt hại về tài chính.
Security là một phần quan trọng trong risk management của dự án. Khi các rủi ro bảo mật được nhận diện sớm, được đánh giá và kiểm soát tốt, PM có thể:
Lập kế hoạch sát thực hơn
Tránh các chi phí vô hình do sự cố gây ra. Cá nhân mình đã từng gặp phải vấn đề này, sẽ tốn rất nhiều chi phí để khắc phục hậu quả do các lỗ hỏng gây ra.
Tăng khả năng thành công của dự án.
Và cuối cùng đó là xây dựng lòng tin với khách hàng, đối tác và stakeholder, dự án bảo mật tốt sẽ dễ đạt được niềm tin từ end-user, được đối tác và nhà đầu tư đánh giá cao cũng như team nhà sẽ yên tâm hơn trong quá trình phát triển và vận hành.
Áp dụng Security vào các giai đoạn trong quản lý dự án
Security không nên chỉ dừng lại ở lý thuyết hay những buổi đào tạo nội bộ. Một PM chuyên nghiệp cần đảm bảo có thể ứng dụng Security vào các dự án hiện tại của mình, cá nhân mình sau khi triển khai thành công ISO/IEC 27001:2022 mình đã tiến hành đưa vào các dự án thực tế của mình.
1. Initiation
Ở giai đoạn này, cần xác định rõ ràng các tiêu chuẩn bảo mật sẽ liên quan trong dự án và cần được áp dụng như ISO 27001, GDPR, HIPAA,... Cần phân công vai trò và trách nhiệm an toàn thông tin cho các nhóm như PM, Dev, QA, Legal,... Và có kế hoạch bảo mật tổng thể bao gồm phân quyền rõ ràng, kiểm soát dữ liệu và đánh giá rủi ro sơ bộ.
Việc xác định rõ các yêu cầu security & privacy trong project scope sẽ giúp các giai đoạn sau dễ dàng kiểm thử các yêu cầu. Ngoài ra, nên xem xét có cần DPIA (Data Protection Impact Assessment) hay NDA với các vendor không.
2. Planning
Ở giai đoạn này, khi team bắt đầu breakdown backlog, PM cần làm việc với PO/BA để phân loại Functional requirement và Non-functional Security/ Privacy requirement. Với vendor hoặc outsource thì yêu cầu thêm Security clause vào hợp đồng (về IP, source code, access control).
Ví dụ về các non-functional security/ privacy requirement như:
Hệ thống phải mã hoá mật khẩu người dùng bằng thuật toán bcrypt trước khi lưu vào database.
Mọi request tới API đều phải đi qua JWT token hợp lệ để bảo vệ endpoint khỏi việc truy cập trái phép.
Người dùng có thể gửi yêu cầu xoá toàn bộ dữ liệu cá nhân điều này đáp ứng với yêu cầu trong GDPR.
Thực tế, mình làm rất nhiều dự án đôi khi khách hàng họ sẽ bỏ qua phần này và thậm chí không aware được, nhưng ở vai trò PM cần hiểu rõ những điều này và đưa vào trong giai đoạn planning để đảm bảo về security.
3. Execution
Ở giai đoạn này, khi team đã bắt đầu phát triển, PM có vai trò giám sát toàn bộ quá trình triển khai, lúc này cần thường xuyên kiểm tra các pull request có bị merge mà không review bảo mật hay không, có hardcode key hay token hay không, đôi khi một sơ xuất nhỏ trong dự án, một junior dev hardcode access key chẳng hạn khả năng sẽ dẫn đến bị lộ thông tin và bị đánh cấp. Đảm bảo các môi trường triển khai an toàn từ local, staging và production.
Các thành viên khi triển khai trong project, cần đảm bảo các tài khoản và truy cập hợp lệ, ví dụ như triển khai trên AWS cloud chẳng hạn, thì tài khoản cần được bật MFA và được phân quyền trong đúng phạm vi của cá nhân đó. Và thậm chí truy cập vào các môi trường quan trọng có thể cần dùng VPN hoặc IP whitelist chẳng hạn.
4. Monitoring & Controlling
Ở mỗi sprint chúng ta cần thường xuyên review các backlog security nào chưa được xử lý, có issue production liên quan tới permission hay data leak hay không và các quyền truy cập cho các thành viên hiện tại như thế nào.
Đối với các dự án lớn, thì cần có kế hoạch pentest hoặc external audit trước khi release hoặc audit định kỳ hàng năm.
5. Closing
Trước khi kết thúc dự án, cần xác nhận access control được thu hồi khi các thành viên không còn trong team. Các môi trường như UAT, Staging có bị xoá log nhạy cảm hay dữ liệu giả hay không.
Cần backup toàn bộ repo, tài liệu hệ thống vào kho lưu trữ nội bộ. Xoá các dữ liệu cá nhân hoặc test data khỏi dataset và chuyển giao các tài liệu security config, encryption key hay data retention plan.
Kết Luận
An ninh bảo mật trong quản lý dự án không chỉ là một tính năng bổ sung mà đã trở thành một yếu tố chiến lược sống còn trong lĩnh vực phát triển phần mềm hiện đại. Bằng việc áp dụng các tiêu chuẩn quốc tế như ISO/IEC 27001, OWASP, NIST, GDPR vào các giai đoạn của dự án, các Project Manager có thể giúp doanh nghiệp giảm thiểu rủi ro, gia tăng uy tín và xây dựng một nền tảng vững chắc cho sự phát triển bền vững.
Mong rằng bài viết trên sẽ giúp bạn hiểu rõ hơn tầm quan trọng của Security & Privacy trong các Software Project Management, từ đó có sự chuẩn bị tốt về mindset lẫn method trong quá trình triển khai dự án.