Bỏ qua kiểm toán bảo mật trước khi tích hợp là lý do phổ biến nhất khiến dự án bị chặn giữa chừng và phải làm lại tốn kém hơn.
Khi BOS tích hợp vào hạ tầng riêng của Anh/Chị, kiểm toán bảo mật (security audit) phải được hoàn tất trước khi bắt đầu, vì đây là cơ sở để xác định quyền truy cập nào được cấp, cho ai, và thu hồi như thế nào. Sinh Vũ cần từ phía khách ba thứ: người liên lạc kỹ thuật, tài liệu kiến trúc hạ tầng cơ bản, và quy trình phê duyệt truy cập đã được xác nhận. Không có ba thứ này, việc tích hợp sẽ bị chặn ở giai đoạn triển khai và thường kéo dài timeline đáng kể.
Khi Sinh Vũ triển khai BOS (hệ điều hành thương hiệu) vào hạ tầng riêng của doanh nghiệp, câu hỏi bảo mật không xuất hiện ở cuối dự án mà phải được giải quyết trước khi bắt đầu. Không phải vì Sinh Vũ muốn thêm thủ tục, mà vì bỏ qua bước này là nguyên nhân phổ biến nhất khiến dự án bị chặn giữa chừng, phải dừng để làm lại, và chi phí tăng lên đáng kể.
Hạ tầng riêng (private infrastructure) là môi trường kỹ thuật mà doanh nghiệp kiểm soát hoàn toàn, bao gồm máy chủ vật lý đặt tại văn phòng (on-premise server), private cloud do doanh nghiệp tự vận hành, hoặc môi trường hybrid kết hợp cả hai. Điều này khác với việc Anh/Chị dùng Google Workspace hay các phần mềm SaaS (phần mềm thuê theo dịch vụ đám mây công cộng) vì ở đó nhà cung cấp đã xử lý phần lớn bảo mật lớp hạ tầng.
Khi BOS cần truy cập vào hạ tầng riêng của Anh/Chị, nghĩa là một bên bên ngoài đang được mở cửa vào hệ thống nội bộ. Điều đó tạo ra bề mặt rủi ro (attack surface) mới cần được quản lý có chủ đích, không phải bằng niềm tin mà bằng quy trình.
Bắt buộc kiểm toán bảo mật trước tích hợp: Anh/Chị thuộc ngành tài chính, y tế, giáo dục hoặc bất kỳ ngành nào xử lý dữ liệu cá nhân theo quy định pháp luật Việt Nam. Hạ tầng là on-premise hoặc private cloud có chính sách bảo mật nội bộ. Tích hợp liên quan đến dữ liệu của khách hàng của Anh/Chị, không chỉ dữ liệu vận hành nội bộ.
Có thể linh hoạt hơn: Tích hợp chỉ với các SaaS công cộng (Google Workspace, Slack) mà không có dữ liệu nhạy cảm, và Anh/Chị đã xác nhận rõ phạm vi dữ liệu nào BOS được phép đọc hoặc ghi. Lưu ý: ranh giới "không nhạy cảm" cần được vẽ rõ trên giấy, không phải giả định.
Bên tích hợp bên ngoài chỉ được cấp quyền truy cập tối thiểu cần thiết để hoàn thành nhiệm vụ, không hơn.
Principle of Least Privilege (nguyên tắc đặc quyền tối thiểu), ISO/IEC 27001 và NIST Guidelines
Sinh Vũ áp dụng nguyên tắc này theo nghĩa thực hành: chỉ yêu cầu quyền đúng phạm vi, có ghi tài liệu, và không dùng chung tài khoản giữa nhiều thành viên trong nhóm. Mỗi người cần truy cập hệ thống của Anh/Chị đều có tài khoản riêng để có thể audit (kiểm tra lại hành động) khi cần.
Hai nguyên tắc bổ trợ cũng được áp dụng: defense in depth (bảo vệ theo chiều sâu), tức là phân quyền ở nhiều lớp và có quy trình thu hồi rõ ràng khi kết thúc dự án; và zero trust architecture (kiến trúc không tin cậy mặc định), tức là mọi truy cập đều cần xác thực, kể cả khi đã ở trong mạng nội bộ. Đây là tiêu chuẩn được nhiều tổ chức bảo mật lớn khuyến nghị và là cách Sinh Vũ kỳ vọng hạ tầng của khách được vận hành khi tích hợp.
Đây là tình huống phổ biến với doanh nghiệp vừa và nhỏ. Sinh Vũ không thực hiện kiểm toán bảo mật thay khách vì đó là xung đột lợi ích: bên tích hợp không thể đồng thời là bên kiểm tra chính mình. Trong trường hợp này, khuyến nghị là thuê tư vấn bảo mật độc lập cho bước kiểm toán. Sinh Vũ sẵn sàng phối hợp cung cấp thông tin kỹ thuật cần thiết cho quá trình đó, nhưng người ra quyết định và ký phê duyệt phải là phía khách hoặc tư vấn độc lập của khách.
Nếu Anh/Chị chưa biết bắt đầu từ đâu, bước đầu tiên đơn giản là: liệt kê tất cả hệ thống BOS cần truy cập, phân loại loại dữ liệu nào trong đó, và xác định ai trong doanh nghiệp có thể ký phê duyệt quyền truy cập cho bên ngoài. Ba câu trả lời đó là điểm xuất phát đủ để bắt đầu cuộc trò chuyện kỹ thuật với Sinh Vũ.
ISO/IEC 27001, tiêu chuẩn quản lý bảo mật thông tin quốc tế. NIST Cybersecurity Framework, Hoa Kỳ. Quan điểm vận hành nội bộ Sinh Vũ Studio, boundary dịch vụ O2.
Sinh Vũ không thực hiện kiểm toán bảo mật thay khách vì đây là xung đột lợi ích: bên tích hợp không thể đồng thời là bên kiểm tra chính mình. Nếu Anh/Chị không có đội kỹ thuật nội bộ, Sinh Vũ khuyến nghị thuê tư vấn bảo mật độc lập cho bước này. Sinh Vũ có thể phối hợp cung cấp thông tin kỹ thuật cần thiết cho quá trình đó.
Khi tích hợp chỉ liên quan đến các SaaS công cộng như Google Workspace hay Slack và không có dữ liệu nhạy cảm, yêu cầu có thể linh hoạt hơn. Tuy nhiên, Anh/Chị vẫn cần xác nhận rõ: dữ liệu nào BOS sẽ đọc hoặc ghi vào các hệ thống đó, và quy trình phê duyệt nội bộ của Anh/Chị là gì. Ranh giới giữa 'không nhạy cảm' và 'nhạy cảm' thường không rõ cho đến khi ai đó vẽ ra.
Đây là câu hỏi Anh/Chị nên đặt ra ngay từ đầu, không phải lúc kết thúc. Sinh Vũ làm việc theo nguyên tắc đặc quyền tối thiểu: chỉ yêu cầu quyền truy cập đúng phạm vi cần thiết, có ghi tài liệu rõ ràng. Khi dự án kết thúc, danh sách quyền đã cấp được đối chiếu và thu hồi theo tài liệu đó. Vì vậy tài liệu hóa từ đầu không phải thủ tục, mà là công cụ bảo vệ Anh/Chị.