DIGITAL TRANSFORMATION CHO MÔ HÌNH KINH DOANH BHNT TRUYỀN THỐNG

Mình có biết một số công ty BHNT hiện đang kinh doanh theo mô hình truyền thống, nhưng lại so sánh với một số công ty đang làm theo mô hình ứng dụng digital transformation. Họ đưa ra yêu cầu cho nhân viên tại sao các công ty đó làm được mà công ty mình lại làm không được, hơn nữa lại đẩy trọng trách này cho một hai bộ phân trong đó có IT để làm công việc này? Nếu nghĩ digital transformation là chỉ cần phát triển một vài ứng dụng web hay mobile applications thì hoàn toàn không đúng và sẽ bị thất bại ngay khi xây dựng hoặc thực thi. Bởi vì digital transformation không phải chỉ có đơn độc IT hoặc một hoặc hai bộ phận trong công ty, mà nó đòi hỏi một chiến lược lâu dài được kích hoạt từ các cấp cao nhất của công ty với sự tham gia của tất cả các bộ phận trong công ty để cùng xây dựng chiến lược digital transformation hoàn chỉnh, bao gồm con người, sản phẩm, kênh phân phối, thị trường/marketing, CNTT, mô hình kinh doanh, dữ liệu, operations, customer experience, v.v.v….(có thể tham khảo thêm bài của mình trên LinkedIn hồi 3/12/2018). Hơn nữa, muốn làm digital transformation mà không muốn đầu tư, ép tất cả đều làm in-house thì khó có thể thành công nhanh và đạt kết quả như kỳ vọng. Khi đã chấp nhận cuộc chay đua digital transformation thì phải chấp nhận đầu tư tốn kém, tuy nhiên kết quả/hiệu quả của digital transformation mang lại thì có thể rất lớn nếu làm đúng.

Đừng bao giờ nghĩ là công ty mình vừa mới làm được một hai mobile apps là có thể tự hào nghĩ mình đầu thị trường, hệ thống của tôi hơn hẳn các công ty đầu tư digital bài bản. Phải nên nhìn tổng thể họ đã đi đến đâu, mình đang ở đâu. Ví dụ công ty bạn đi sau làm eApp, tổng hợp ý tưởng (copy) của các công ty đi trước, sau đó làm eApp. Tung ra thị trường nói rằng eApp của mình là tối ưu, là tốt nhất trên thị trường. Tuy nhiên, bạn mới chỉ dửng lại ở mức eApp thôi, còn đối thủ của bạn đã đi quá xa rồi. Họ đã ứng dụng Sales of Point và STP trong quy trình bán hàng của họ: từ lead management, FNA, eIllustration, eApp, eSignature, eSubmission, ePayment, sau đó đến kết nối back-end auto-process để khách hàng nhận ngay HĐBH điện tử nếu HĐ được tự động cấp ngay sau khi submit, v.v.v……như mình đã nói, nếu công ty kinh doanh theo kiểu truyền thống mà xây dựng chiến lược digital transformation một cách manh mún, rời rạc thì sẽ không thành công, ngược lại còn tốn nhiều chi phí và thời gian vô ích.

Ví dụ khác về sản phẩm, để xây dựng được sản phẩm digital, các công ty chuyên về digital họ đã xây dựng được cả một hệ thống nghiên cứu rất kỹ để khai sinh ra sản phẩm digital phù hợp với cả mục tiêu của công ty, công nghệ, quy trình, kênh thanh toán và kênh phân phối. Sau đó họ mới tiến hành phát triển sản phẩm này trên các platforms khác nhau để bán sản phẩm. Trong khi công ty kinh doanh theo mô hình truyên thống thì chỉ có một vài ứng dụng mobile nhỏ lẻ, bạn chưa định hình hay xây dựng một hệ thống (không phải chỉ có hệ thống CNTT) đầy đủ mà lại ép IT, operations đẩy nhanh việc bán sản phẩm bảo hiểm online trên trang portal của công ty (vì muốn làm in-house và không muốn chi tiền cho các kênh khác) thì làm sao làm được. Đơn giản, thứ nhất, chưa xác định được mục đích bán sản phẩm online hay thiết kế được sản phẩm bán online sẽ như thế nào? Không thể bưng sản phẩm truyền thống hiện tại bán online được vì nó quá phức tạp, khách hàng không hiểu sản phẩm thì sao họ mua được? Nếu bán qua portal của công ty thì phải đặt câu hỏi brandname của công ty có đủ lớn như Pru, Manu, Daiichi, v.v.v…để khách hàng vô trang portal mua sản phẩm online của công ty? Về thanh toán, hay xử lý dữ liệu đã sẵn sàng cho việc bán online chưa? Đội ngũ nhân viên hỗ trợ đã sẵn sang chưa? Còn nhiều thứ khác mà công ty cần phải cân nhắc và xem xét nữa.

Do đó digital transformation là một quá trình, là chiến lược lâu dài chứ không thể làm một cách manh mún mà thành công được. Hãy chọn những chuyên gia tốt nhất, giỏi nhất trong công ty hoặc ngoài công ty để cùng nhau xây dựng một chiến lược bài bản thay vì ép một vài thành viên/bộ phận làm một cách tự phát hoặc copy một phần của những công ty khác. Thông thường các công ty lớn họ đều có CDO để xây dựng và triển khai chiến lược digital transformation, vì đa số CIO quá đi sâu về kỹ thuật rất khó có thể xây dựng và triển khai chiến lược digital transformation được, chỉ có những CIO nào giỏi về cả nghiệp vụ và kỹ thuật thì mới có thể chuyển đổi tốt sang vị trí CDO. 

Digital transformation là xu hướng tất yếu hiện nay, nếu bạn chậm chân trong cuộc đua này thì các bạn sẽ bị tụt hậu xa với đối thủ của mình, và có thể sẽ tự kết liễu mình giống như một số công ty lớn đã bị khai tử.

Chúc công ty của các bạn thành công trong việc xây dựng và thực thi chiến lược digital transformation

Phan Hoai Nam – FOUNDER/CTO CREATIVE ERA

Read More

NGHỀ DBA CHUẨN BỊ BIẾN MẤT CÙNG VỚI SỰ PHÁT TRIỂN CỦA AI VÀ MACHINE LEARNING (ML)

Oracle vừa ra mắt Autonomous Database dựa trên AI và ML, sự ra đời này đánh dấu bước tiến quan trọng trong việc sử dụng công nghệ AI và ML để thay thế công việc của con người, để làm tốt hơn công việc của một DBA. Với sự phát triển này công việc DBA sẽ được tự động hóa hoàn toàn thông qua 3T “Tự điều khiển/thực thi”, “Tự bảo mật” và “Tự sửa chữa”. Nhờ online tracking performance cũng như online database healthy checking, hê thống sẽ sử dụng thuật toán để tự tối ưu các thông số của Cơ sở dữ liệu (CSDL) nhanh và chính xác hơn một DBA. Bởi vì một DBA muốn tối ưu các thông số này phải mất khá nhiều thời gian để monitor CSDL, sử dụng thuật toán để tính toán các thông số, thử nghiệm,...rồi mới điều chỉnh các thông số được. Về index thường dựa trên kinh nghiệm của Dev và DBA để tạo index và ít khi họ dành thời gian để đo hiệu quả của index, việc tạo index nhiều khi cũng tùy tiện thoải mái dẫn đến quá nhiều index và hệ thống chạy ko hiệu quả. Autonomous database sẽ tự động minitor database performance, các câu queries, index....để chỉnh sửa và tự tạo lại index cho tối ưu nhất. Hơn nữa, autonomous database còn thực hiện ngăn ngừa các mối đe dọa xâm nhập CSDL từ cả bên trong và bên ngoài qua việc tự động monitor các mối đe dọa, cập nhật các bản vá online, mã hóa tất cả dữ liệu và bảo mật các kết nối. Và việc tạo ra một CSDL mới theo yêu cầu của doanh nghiệp cũng đơn giản hơn rất nhiều, chỉ mất vài phút thay vì hàng giờ hoặc hàng ngày nếu thực hiện bởi một DBA. Điều quan trọng là Autonomous database có thể thực hiện suốt và liên tục công việc của một DBA mà không cần ngủ, nghỉ, ăn cơm, đi chơi. Autonomous database có thể phát hiện lỗi và tự sửa lỗi CSDL ngay lập tức, giúp cho doanh nghiệp không bị gián đoạn công việc kinh doanh.

Như vậy chỉ trong thời gian ngắn nữa thôi, công việc DBA sẽ bị thay thế hoàn toàn bằng autonomous database, do đó các bạn DBA hãy sẵn sàng nâng cao nghiệp vụ và kỹ thuật để chuyển sang hoặc tập trung hơn vào công việc khác ví dụ xây dựng cấu trúc/mô hình dữ liệu, xây dựng data warehouse, data lake, phân tích dữ liệu, tối ưu ứng dụng, v.v.v.......

Chúc các bạn chuẩn bị thật tốt cho việc chuyển qua các công việc mới mà hiện tại AI và ML chưa làm được hoặc chưa làm tốt.

Phan Hoai Nam – FOUNDER/CTO CREATIVE ERA

Read More

DIGITAL TRANSFORMATION – IS IT JUST ABOUT IT AND TECHNOLOGY?

Most of people are thinking that digital transformation is just about IT or Technologies such as mobile application, cloud computing, the Internet of Things, big data, blockchain and artificial intelligence.so they only focused investment on IT and Technology while building and executing their digital strategies. They just implemented a shiny new digital front end or mobile apps to solve the issue of their disparate legacy systems and enable them to quickly adapt to customer expectations. Then their digital strategies were failed at execution phase, because their current business model could not fit with their digital strategies, or they have not understood their customer journey and customer experience, which are including customer understanding, experience design and customer touch points, or their people have not enough capability to execute the digital strategies, or even the corporate culture has not been ready for digital transformation. Therefore, the digital transformation is not just specific about IT or Technology, it is also about redefining entire your business strategy, and even changing your corporate culture. In addition, digital transformation requires end-to-end processes from the front end all the way through the business to the back office, enabling a truly data-driven capability and a digital experience for customers, brokers, affiliate partners, and internal users.

The key important factor in digital transformation is data (data about consumers, about competitors, about supply chain, about your markets, etc.), especially real-time data. The real-time data can support a company to transform this company business processes and business models for improving customer experience. However, you should know how to use data for your analytics, critical business decision and business intelligence. It will help business to take the right decisions leading them towards innovation and success.

In fact, I also shared with our Head of Product and Strategic planning that data is the key of our digital transformation strategies, but we have not invested much in data analytics and building our data model to support sales and to understand our customers and customer’s preferences. So it is very critical to build a business intelligence team, who are able to gather data, analyze data, and then build data model to support business analytics and prediction based on collected data. In parallel, we would build our data lake and Omni-channel marking automation, which support us to have 360 degree view of customer data with data consolidated; to consolidate brand interaction that can be drilled down into based on channels, interactions and transactions for every single customer; to have ability to track our customer’s multi-channel path as a single customer’s journey.

Furthermore, to maximize upsell and cross-sell opportunities and optimize your sales channel strategies to fit your customers’ needs and preferences, you should gather customer data from different sources such as social media and listen to what your customers want through their posts, feedbacks, reviews, and online sentiments. These data also help your company tailor your sales channels for more personalized services and engagement.

Finally, digital changing everything, it is changing your corporate strategy, business processes, market capabilities, even the roles & skills that you need to fill by outsourcing, hiring and training in order to clear the gaps between the company and technology. Forrester Report in 2017 showed that 74% companies have digital strategies, but only 15% companies have skills and capabilities to execute digital strategies.

In hyper-competitive business environment, embracing digital transformation is a survival and growth requirement rather than a luxury. Digital transformation enables your company to open up new sales channels, find new markets and opportunities, increase your revenues, and improve your efficiency. But to fully embrace digital transformation, your company must start with capturing, securing, integrating, and utilizing quality data. How about your company digital strategies and execution? And is your company ready for digital transformation journey?

Phan Hoai Nam – FOUNDER/CTO CREATIVE ERA

Read More

IS THE CLOUD SOLUTION READY FOR LIFE INSURANCE?

The potential of cloud computing is currently a hot topic of debate in Vietnam now. A lot of the discussions about cloud computing tends to focus on its ability to reduce IT costs. However, this is only one part of the cloud benefits. Cloud computing allows companies to access IT-based services, including infrastructure-as-a-service (IaaS), software-as-a-service (SaaS), platform-as-a-service (PaaS) and business processes, via the Internet. Cloud technologies allow IT to improve IT efficiency and better respond to the changing needs of the business, create new services and open new markets, thereby helping to achieve high performance.

Currently, most of insurers prefer on premise hosting solution, which has a lot of disadvantages as follows:

·  You have to pay a fixed amount in upfront for software license and hardware and cannot downsize for cost saving if your demand changes.

·   You have to wait for IT to complete all the infrastructure, integration setup, then implement your solutions

·    Your IT team has to do all administration works to address maintenance and support issues.

Therefore, cloud hosting is an option for you to take advantage of the mobility, and scalability and flexibility. Currently, there are three forms of clouds: private, public and hybrid. Private cloud is built within a company’s data center and is designed to provision and distribute virtual application, infrastructure and communications services for internal business users. In Vietnam Life Insurance industry, Manulife built their private clouds since 2011, which are located in Hong Kong and Malaysia (Malaysia is disaster recovery site) so all Manulife Asia countries are sharing resources of their private cloud. In contrast, public cloud extend the data center’s capabilities by enabling the provision of IT services from third-party providers over a network. However, most of companies are worried about risk and data security while considering public cloud. At the end, the hybrid cloud has been more popular now, it can also consist of two public clouds provided by different providers or even a combination of a cloud and traditional IT infrastructure. The hybrid cloud also has some disadvantages such as the manageability of different cloud services because every service provider will have its own management and provisioning environment; and network connectivity, especially if remote cloud services like a public cloud or a hosted private cloud are involved (it is not only must bandwidth, reliability and relevant cost considerations be taken into account, but also the logical network topology must be carefully designed).

For example, you want to use hybrid cloud for your application, but you still want to keep database at your own IT infrastructure. In this case, the main challenge is the performance of the exchange of data between the different services and applications, then you have to invest on the high bandwidth of internet connection to improve the performance. In case, you want to use different cloud services, the biggest challenge is the integration of the different cloud services and technologies. However, the standardized APIs will help you solve this challenge.

Manulife is also using public and hybrid cloud for their customer portal, CRM – Salesforce, Office 365 and Workday. Prudential is using cloud for Office 365 and Workday systems. As CIO of Vietinbank Aviva, I feel more comfortable about putting our non-critical systems into public, private and hybrid clouds such as Portal, BI, Office 365, Workday, CRM, Web conferencing, Network and server monitoring and administration, etc. And we will start to concern moving critical systems to hybrid clouds when the security and audit maters are not our concern. Moreover, private cloud is also in our plans to leverage the IT infrastructure, improve IT efficiency and save cost for Aviva in Asia.

So what are key benefits of cloud computing for insurance industry?

·   Reduce total costs of IT infrastructure and operations as little or no requirement for capital investment to enable usage

·   Pay-as-you go pricing model) and lower ongoing operating costs than IT owned and managed in-house.

·   Better respond to the changing needs of the business, create new services and open new markets, thereby helping to achieve high performance

·   Support integration of third party systems

·   Force a move to a service-oriented model and new innovation in systems design

·   Maximize renewals by customers

·   Unify customer data, enabling customer-centricity. It offers major opportunities for insurers to build a more flexible, nimble and customer-centric business model that can drive profitable growth and help us achieve high performance in the industry

·   Drive new business and engage customers more effectively through new distribution models

So, what does the future of cloud solution look like for insurers, both in the short and long term? In the next few years, I believe that the insurers who move more quickly to embrace the cloud will gain a competitive lead that others may struggle to match. In order to do that, we have to understand the condition and scope of our entire IT infrastructure and apply cloud solution for non-critical systems first, then step by step for critical systems; identify stakeholders should be engaged in making decisions for cloud; define clearly criteria and requirement for selecting cloud providers.

Phan Hoai Nam – CIO Vietinbank Aviva Life Insurance.

Read More

NHỮNG THÁCH THỨC BẢO MẬT KHI TRIỂN KHAI ỨNG DỤNG WEB/DI ĐỘNG

Nhớ lại năm 2002, khi trò chuyện với CTO vùng của Manulife Asia, anh này chia sẻ, chỉ trong một đêm anh đã bạc trắng tóc vì lo lắng. Anh nói, Manulife HongKong mới vừa đưa vào sử dụng phiên bản mới của hệ thống ứng dụng Agency Portal và Customer Portal, hệ thống này cho phép Đại lý và khách hàng có thêm nhiều tính năng giao dịch trực truyến với công ty. Điều này đồng nghĩa với việc hệ thống bảo mật của công ty cũng phải đảm bảo để thông tin, dữ liệu của công ty và khách hàng không bị tấn công hoặc bị rò rỉ ra ngoài. Mặc dù anh CTO này chuẩn bị rất kỹ trước khi đưa các ứng dụng này vào thực tế, tuy nhiên vẫn có khả năng vẫn còn lỗ hổng bảo mật mà hacker có thể lợi dụng để tấn công. Do đó vấn đề bảo mật cho các ứng dụng chạy trên internet rất quan trọng cho bất kỳ doanh nghiệp nào.

Trong cuộc chạy đua số hóa, các doanh nghiệp ở Viêt Nam đang đẩy mạnh các ứng dụng web và di động để nâng cao dịch vụ hỗ trợ bán hàng và dịch vụ khách hàng. Do mong muốn đưa các ứng dụng này vào thực tế kinh doanh càng nhanh càng tốt nên việc chuẩn bị đầy đủ các quy trình kiểm soát bảo mật thường xảy ra thiếu sót.

Thứ nhất, đa số các thiết bị bảo mật của các doanh nghiệp hiện tại đã cũ, không còn phù hợp với tình hình an ninh mạng hiện tại, trừ khi doanh nghiệp vừa mới đầu tư mua mới các thiết bị này. Chẳng hạn như thiết bị tường lửa truyền thống vẫn còn được sử dụng, trong khi nó không thể đảm bảo an toàn cho hệ thống của công ty bạn như các thiết bị tường lửa thế hệ mới (NGFW).

Thứ hai, việc trang bị thiết bị tường lửa cho ứng dụng web (WAF) cũng chưa được chú trọng và đầy đủ. Hoặc đôi khi quá tự tin vào hệ thống tường lửa thế hệ mới (NGFW) vừa được trang bị nên không chú ý rằng NGFW không đủ chức năng để bảo vệ các ứng dụng trên Internet. Hơn nữa việc đầu tư các thiết bị tường lửa cũng khá đắt nên không phải công ty nào ban giám đốc cũng sẵn sàng đầu tư để mua các thiết bị này.

Thứ ba, các ứng dụng web/di động được đưa vào sử dụng quá nhanh chóng nên chưa được đầu tư kiểm tra PENTEST đầy đủ, thường là không được kiểm tra PENTEST. Nếu có thì chỉ là tự dùng một số công cụ/phần mềm để kiểm tra lỗ hổng bảo mật, chưa thuê công ty bảo mật chuyên nghiệp để thực hiện PENTEST, có thể vì chi phí cho PENTEST khá cao hoặc đội ngũ bảo mật của công ty không chú trọng hoặc không biết rõ về yêu cầu PENTEST.

Thứ tư, đội ngũ CNTT thường thiếu người chuyên trách về bảo mật và thường là nhân viên quản trị mạng hoặc quản trị hệ thống kiêm nhiệm công việc này do thiếu ngân sách cho nhân lực. Do đó việc có nhân viên chuyên trách về bảo mật cho ứng dụng web/di động là điều khá xa xỉ. Hơn nữa, đội ngũ lập trình ít được đào tạo về bảo mật trong lập trình nên ít khi họ chú ý đến vấn đề bảo mật trong quá trình lập trình, họ chỉ chú trong sao cho công việc hoàn thành đúng tiến độ và chạy đúng theo yêu cầu của người sử dụng. Ngoài ra, đội ngũ chuyên trách về kiến trúc và thiết kế hệ thống cũng bị thiếu, thường thì cũng kiêm nhiệm.

Thứ năm, Người sử dụng cuối không được đào tạo bài bản hoặc không được cảnh báo về nguy cơ bảo mật nên họ rất dễ mắc sai lầm khi giao dịch trên Internet nên họ chính là lỗ hổng bảo mật lớn nhất đối với vấn đề an ninh mạng của công ty.

Thứ sáu, chính sách hoặc quy trình bảo mật chưa được xây dựng đầy đủ nên không ngăn chặn được các nguy cơ về an ninh mạng hoặc nhân viên thực thi sai quy trình bảo mật hoặc đội ngũ giám sát bảo mật không đủ mạnh để kiểm soát các vấn đề an ninh mạng.

Do đó để giải mã được các khó khăn và thách thức trên, chúng ta cần kiểm tra và thực hiện các bước căn bản sau trước khi đưa ứng dụng web/di động vào hoạt động chính thức:

1.     Trình bày rõ cho ban giám đốc về các nguy cơ an ninh mạng của công ty, tình trạng hiện tại của hệ thống và giải pháp khắc phục, ngăn ngừa các nguy cơ đó nhằm lên kế hoạch và xin ngân sách đầu tư cho an ninh và bảo mật cho toàn hệ thống của công ty.

2.     Nên thay các thiết bị tường lửa truyền thống bằng thiết bị tường lửa thế hệ mới (NGFW) có hệ thống ngăn ngừa/phát hiện xâm nhập (IPS/IDS) vì thiết bị tường lửa truyền thống chỉ có thể đóng cổng không cần thiết, áp dụng quy tắc định tuyến cho các gói tin và chống lại những tấn công từ chối dịch vụ, nhưng không thể phát hiện những gì bên trong gói tin để phát hiện phần mềm độc hại, xác định các hoạt động của hacker hoặc giúp quản lý người dùng cuối đang làm những gì trên Internet. Về cơ bản, một khi một cổng được mở (như cổng 80 cho lưu thông Internet) thì bất cứ gói tin nào cũng có thể đi qua thông qua sự ngụy trang như lưu thông hợp pháp. Thiết bị tường lửa truyền thống chỉ cung cấp sự bảo vệ chủ yếu tại lớp 3 (tầng mạng) và lớp 4 (tầng vận chuyển) của mô hình OSI. Trong khi đó thiết bị tường lửa thế hệ mới còn có thể dựa trên việc xác thực người dùng (User-ID), xác thực dựa trên ứng dụng (App-ID) và xác thực thông qua nội dung (Content-ID) giúp cho người quản trị dễ dàng nhận dạng các ứng dụng, nội dung bên trong luồng dữ liệu cùng với các mức độ nguy hiểm từ đó có thể ngăn chặn kịp thời, có khả năng xác định rõ các mối nguy cơ đe dọa xuất phát từ người sử dụng nào. Để đảm bảo an toàn, cần có ít nhất hai lớp tường lửa với hai thương hiệu khác nhau (ví dụ 1 lớp tường lửa Palo Alto và lớp tường lửa khác là Checkpoint) nhằm gây khó khăn cho hacker nếu 1 lớp tường lửa bị tấn công.

3.     Tuy nhiên, 2 lớp tường lửa thế hệ mới này chưa đủ bởi vì các tường lửa mạng và các hệ thống ngăn ngừa/phát hiện xâm nhập (IPS/IDS) không cung cấp đầy đủ bảo vệ cho các ứng dụng web/di động trên Internet, các ứng dụng kinh doanh nội bộ quan trọng và các dịch vụ Web. Bức tường lửa ứng dụng web (WAF) là một thiết bị an ninh có nhiệm vụ chính là bảo vệ các web portal và ứng dụng web bằng cách kiểm tra ngữ nghĩa XML/ SOAP/REST dựa trên ứng dụng của các luồng lưu thông trên mạng và cũng kiểm tra HTTP/HTTPS cho các cuộc tấn công điển hình ở lớp 7 (tầng ứng dụng) bao gồm OWASP 10 lỗ hổng hàng đầu - chẳng hạn như SQL Injections, Buffer Overflow, Cross-Site Scripting (XSS), File Inclusion, Cookie Poisoning, Schema Poisoning, Defacements, v.v.v.. WAF có khả năng thực thi các chính sách bảo mật dựa trên các dấu hiệu tấn công, các giao thức tiêu chuẩn và các lưu lượng truy cập ứng dụng web bất thường. Đây là điều mà các tường lửa mạng khác không làm được. Xem sự khác nhau WAF, IPS/IDS và NGFW đối với bảo mật ứng dụng web/di động ở hình 1 bên dưới

4.     Chúng ta đã có 2 lớp tường lửa thế hệ mới và WAF, nhưng vẫn chưa đủ. Cần phải kiểm tra lỗ hổng an ninh của toàn bộ hệ thống mạng, máy chủ, ứng dụng web/di động, và chính sách bảo mật, v.v.v…. Do đó, cần phải tiến hành PENTEST hộp đen (black-box: người kiểm tra biết rất ít hoặc không có thông tin gì về hệ thống mạng trước khi kiểm tra) hoặc hộp trắng (white-box: người kiểm tra được công bố thông tin đầy đủ về hệ thống mạng trước khi thử nghiệm thâm nhập, bao gồm địa chỉ IP, mã nguồn, các giao thức mạng và sơ đồ mạng) hoặc hộp xám (gray-box: người kiểm tra sẽ được cung cấp chi tiết từng phần về cơ sở hạ tầng mạng). PENTEST hộp đen sẽ kích thích các kết quả chính xác hơn, vì người kiểm tra không có thông tin về mạng của bạn nên sẽ cung cấp cho bạn những dấu hiệu thực tế nhất của các mối đe dọa tiềm năng vào mạng của bạn. Tuy nhiên, PENTEST hộp đen không thể quét mạng toàn bộ mạng của bạn để tìm triệt để các lỗ hổng an ninh như là hộp trắng. Do đó, nếu là tôi, tôi sẽ chọn PENTEST hộp trắng và hộp đen cho doanh nghiệp của mình. Chúng ta nên thuê công ty bên ngoài để thực hiện PENTEST ít nhất một năm một lần hoặc khi có thay đổi lớn trong có sở hạ tầng bởi vì các công ty bên ngoài có thể thực hiện một số kiểm tra đòi hỏi kiến ​​thức sâu rộng trên nền tảng mà đội ngũ CNTT của bạn có thể không biết rõ, hoặc những kiểm tra mà đội ngũ CNTT của bạn không có khả năng thực hiện vì số lý do khác. Trước tiên, thuê công ty bên ngoài sẽ tránh được việc bỏ lỡ các lỗ hổng bảo mật tiềm tàng do bạn quá quen và quá biết rõ chi tiết về hệ thống mạng hoặc ứng dụng của mình nên chủ quan. Thứ hai, thuê công ty bên ngoài giúp bạn có thể nhận được một góc độ khác nhau từ một loạt PENTEST, họ sẽ cung cấp cho bạn các kỹ năng và phương pháp tiếp cận riêng của họ vào việc PENTEST cho bạn, giúp bạn đánh giá lại các chính sách bảo mật. Nói chung, với nhiều cách nhìn nhận và kiểm tra khác nhau trên hệ thống của bạn, bạn có thể tìm thấy nhiều vấn đề bảo mật tiềm tàng hơn, thay vì chỉ có nhìn nhận duy nhất từ đội ngũ của bạn. Hơn nữa, bạn không nên chỉ dựa vào PENTEST từ công ty bên ngoài, mà nên tự kiểm tra hệ thống của mình ít nhất 1 tháng 1 lần để phát hiện ngay các lỗ hổng bảo mật để có giải pháp khắc phục tức thì. Các công cụ kiểm tra sau có thể giúp đội ngũ CNTT phân tích tổng hợp và báo cáo về lỗ hổng bảo mật như INSIGHT Core từ Core Security và Nexpose/Metasploit Pro từ Rapid 7, UltimateLAMP, LAMPSecurity, Damn Vulnerable Web Application (DVWA), OWASP WebGoat, và Mutillidae từ Adrian Crenshaw. Để kiểm tra các ứng dụng di động, có thể sử dụng OWASP iGoat, GoatDroid và ExploitMe Mobile Labs cho iPhone và Android.

5.     Đào tạo an ninh mạng và hệ thống là việc không thể thiếu đội ngũ CNTT của bạn, bao gồm đào tạo nội bộ và gửi bên ngoài thậm chí đào tạo ở nước ngoài. Việc đào tạo này sẽ giúp doanh nghiệp tránh được phần nào những lỗ hổng của các hệ điều hành; lối trong kiến trúc, cấu hình và thiết kế mạng; lối trong cấu hình, thiết kế và lập trình ứng dụng; hoặc rủi ro từ hành vi của người dùng cuối, từ chính sách bảo mật không đủ hoặc không tốt. Hơn nữa việc đào tạo những kiến thức căn bản về bảo mật cho toàn bộ người sử dụng cũng là vấn đề cấp thiết, vì họ là những người thực hiện gia dịch chính trên Internet. Có kiến thức căn bản này sẽ giúp họ tránh được những rủi ro có thể xảy ra khi sử dụng ứng dụng trên Internet.

6.     Việc đánh giá rủi ro hệ thống CNTT và chính sách bảo mật phải được tiến hành bởi CISO ít nhất 6 tháng 1 lần, và phải được báo cáo cụ thể cho ban giám đốc của công ty hoặc bộ phận Quản lý rủi ro của vùng. Sau đó phải có kế hoạch giảm thiểu nhưng rủi ro đó.

Ngày nay, các ứng dụng web và di động ngày càng phổ biến nên xu hướng tấn công vào các ứng dụng này ngày càng nhiều. Các kỹ thuật tấn công được sử dụng chủ yếu là SQL Injections, Buffer Overflow, Cross-Site Scripting (XSS). Các lỗ hổng trong ứng dụng web và di động chủ yếu xảy ra do người lập trình không kiểm tra kỹ các lỗ hổng bảo mật cho ứng dụng web/di động. Việc viết đoạn mã để không bị mắc lỗi bảo mật nhất thường khó thực hiện, bởi các lý do sau: i) các nhóm trình thường không có hoặc thiếu đội ngũ chuyên trách về việc kiểm tra và sửa lỗi bảo mật mã nguồn ứng dụng; ii) đôi khi áp lực phải hoàn thành ứng dụng web hoặc di dộng trong thời gian ngắn khiến cho các ứng dụng web/di động được đưa vào vận hành mà không qua các khâu kiểm thử; iii) việc dùng các phầm mềm miễn phí kiểm tra lỗi ứng dụng web/di động cũng không tìm ra hết các lỗi. Do vậy, việc bảo mật một ứng dụng web và di động đó là một quá trình phòng thủ theo chiều sâu bao gồm các khâu phát triển, vận hành, xây dựng cơ sở hạ tầng bảo vệ tốt và có một đội ngũ chuyên trách vấn đề bảo mật riêng cho web và di động. Và điều quan trọng cuối cùng là phải thực hiện PENTEST cả trước và sau khi đưa ứng dụng web và di động vào sử dụng.

  Phan Hoài Nam – CIO Vietinbank Aviva

Read More

CUỘC CHẠY ĐUA SỐ HÓA TRONG THỊ TRƯỜNG BẢO HIỂM NHÂN THỌ

Khi internet đóng vai trò quan trọng trong cuộc sống hàng ngày, khách hàng ngày càng có nhu cầu sử dụng các ứng dụng điện thoại di động trong giao tiếp, mua bán. Đầu tư các giải pháp công nghệ số hóa, đặc biệt là di động và mạng xã hội là ưu tiên hàng đầu cho việc đạt được đổi mới trong kinh doanh.

Các giải pháp số hóa mang lại lợi ích cho cả các khách hàng cũng như các công ty bảo hiểm. Các ứng dụng di động hỗ trợ giao dịch bảo hiểm cho phép khách hàng trong khi bận rộn vẫn có thể giao dịch trực tuyến, điều này dẫn đến mức độ hài lòng của khách hàng cao hơn. Công ty bảo hiểm chủ động áp dụng các công nghệ di động và ứng dụng vào kinh doanh đã và đang mang lại một sự cải thiện nhận thức của khách hàng thân thiết, điều này giúp tăng cường đáng kể tiềm năng thu nhập của đại lý bảo hiểm, người môi giới.

Các ứng dụng di động cũng cho phép các đại lý, môi giới nâng cao tính chuyên nghiêp và hình ảnh của họ khi giao dịch với với khách hàng. Ngoài ra, các ứng dụng di động còn nêu bật những tính năng độc đáo trong sản phẩm dịch vụ của họ. Hơn nữa, việc kết nối và duy trì khách hàng của doanh nghiệp là chìa khóa để phát triển kinh doanh.

Ứng dụng di động sẽ giúp công ty bảo hiểm mở rộng các dịch vụ hỗ trợ mạnh mẽ cho khách hàng của họ, giữ khách hàng gắn bó lâu dài với công ty và tăng độ hài lòng của khách hàng với các dịch vụ của công ty. Điều này đặc biệt quan trọng trong kinh doanh bảo hiểm nhân thọ, nơi mà các đại lý được yêu cầu phải chủ động hỗ trợ khách hàng của họ, qua đó giúp giảm tỷ lệ sai sót và nâng cao tỷ lệ duy trì hợp đồng.

Khách hàng có thể sử dụng ứng dụng di động để theo dõi các hợp đồng bảo hiểm, phí bảo hiểm, ngày đến hạn, các giá trị khác có sẵn và giá trị tiền mặt thu được từ các hợp đồng cụ thể. Các ứng dụng này cũng có thể hỗ trợ đại lý, môi giới tăng cơ hội bán chéo, bán thêm.

Song song với việc phát triển các ứng dụng di động cho khách hàng và các kênh bán hàng, việc ứng dụng quản lý quy trình (BPM), bao gồm cả quy trình số hóa tài liệu (Imaging/Imaging Workflow) vào hoạt động nghiệp vụ của khối văn phòng nhằm giúp nâng cao dịch vụ khách hàng, hỗ trợ bán hàng và giảm thiểu giấy tờ.

BPM giúp loại bỏ tắc nghẽn trong quá trình xử lý nghiệp vụ và giảm thời gian hoàn tất nghiệp vụ. Về cơ bản, BPM sử dụng các chương trình phần mềm tinh chế để làm cho quá trình tự động hóa hoạt động hiệu quả hơn, chẳng hạn quy trình tự động hóa thẩm định bảo hiểm (Auto-Underwriting). Quy trình này được tích hợp với các ứng dụng di động của kênh bán hàng giúp cho việc cấp hợp đồng bảo hiểm nhanh hơn. Ngoài ra, các chương trình này cho phép chủ sở hữu quy trình có thể theo dõi hiệu suất và tiến trình thực hiện nghiệp vụ đến đâu, ai đang xử lý trong điều kiện thời gian thực. BPM còn giúp cho việc phân bổ và theo dõi các nguồn lực để tránh lãng phí, đánh giá hiệu suất công việc, xác định những quy trình kém hiệu quả, lãng phí và giúp quản lý có cái nhìn tổng quát để cải tiến những vấn đề này.

Việc số hóa tài liệu của khách hàng và doanh nghiệp cũng được các công ty bảo hiểm tiến hành ngay khi bắt đầu hoạt động. Việc số hóa tài liệu giúp công ty bảo hiểm truy cập hồ sơ khách hàng nhanh hơn, sao lưu các tài liệu dưới dạng số hóa, các tài liệu này được bảo quản bởi các công ty lưu trữ hồ sơ nên bảo đảm chất lượng lưu trữ hơn, công ty không phải lưu trữ lượng hồ sơ lớn trong công ty, tự động hóa nhập liệu một số thông tin khách hàng, và tự động hóa quy trình cấp, in và đóng hợp đồng cho khách hàng.

Tương lai của kinh doanh bảo hiểm được bao phủ bởi các ứng dụng di động. Khi đó mọi người sẽ không cần mang ví, bút , giấy tờ, tài liệu và thậm chí cả thẻ tín dụng của họ và thay vào đó họ sẽ sử dụng các thiết bị di động để thực hiện tất cả các giao dịch tài chính của họ, ví dụ như Cổng thông tin cho các kênh bán hàng (Distribution Portal); Cổng thông tin khách hàng (Customer Portal); Bảng minh họa (eProposal); Dịch vụ khách hàng điện tử (eService), Hồ sơ yêu cầu bảo hiểm điện tử (eApplication); Nộp hồ sơ điện tử (eSubmission), chữ ký điện tử (eSignature); Thanh toán điện tử (ePayment); Bồi thường điện tử (eClaim); Hóa đơn điện tử (eInvoice), v.v… Các ngành công nghiệp bảo hiểm cần phải được chuẩn bị tốt cho sự kiện không thể tránh khỏi này!

Cuộc chạy đua số hóa của các ông lớn trong ngành bảo hiểm nhân thọ đang rất sôi động. Hiện tại AIA đang đứng đầu trong việc áp dụng công nghệ số hóa vào kinh doanh. Không chỉ áp dụng mạnh công nghệ cho các kênh bán hàng, AIA cũng đang kết hợp với các ông lớn trong công nghệ như IBM để nâng cấp hệ thống cho khối văn phòng nhằm nâng cao dịch vụ hỗ trợ cho các kênh bán hàng và khách hàng.

Prudential là công ty bảo hiểm nhân thọ dẫn đầu thị trường trong nhiều năm cũng không muốn đối thủ vượt qua mặt trong lĩnh vực công nghệ. Prudential đã có chính sách không giới hạn ngân sách đầu tư cho công nghệ thông tin nhằm có những bước nhảy vọt vượt qua các đối thủ. Manulife, Daiichi, Chubb và Generali cũng đang chuyển mình nhanh chóng trong cuộc chạy đua này.

Manulife với chiến lược trẻ hóa đội ngũ lãnh đạo CNTT cao cấp của vùng (Manulife Asia – Hongkong) nhằm đẩy mạnh sáng kiến mới và ứng dụng công nghệ số hóa cho toàn Manulife Châu Á. Với việc tập trung hóa Trung tâm phát triển công nghệ tại Manulife vùng, các công ty con của Manulife ở các nước châu Á đang được thừa hưởng sự hỗ trợ mạnh mẽ từ tập đoàn Manulife trong việc phát triển CNTT.

Chubb cũng không kém các đối thủ, họ cũng đã triển khai ứng dụng di động eSmart bao gồm eProposal, eApplication, ePayment, nhằm giúp đại lý của họ bán hàng dễ dàng hơn, nâng cao năng suất lao động và hình ảnh đại lý chuyên nghiệp. Chubb cũng chia ứng dụng di động eSmart thành nhiều giai đoạn phát triển nhằm cải thiện ứng dụng ngày càng thân thiện cho người sử dụng và cung cấp thêm nhiều chức năng hơn.

VietinBank Aviva cũng đang trong cuộc đua hướng tới top 5 công ty bảo hiểm nhân thọ trên thị trường. VietinBank Aviva xây dựng tầm nhìn CNTT đến năm 2020 là phát triển các giải pháp kỹ thuật số để mang hiệu quả và cung cấp giá trị đích thực cho trải nghiệm của khách hàng và các kênh phân phối.

Tháng 10/2015, Aviva đã khánh thành Trung tâm số hóa Châu Á (Digital Garage) tại Singapore. Mô hình Trung tâm này giống hệt như Trung tâm số hóa ở Anh Quốc, nhằm đưa ra các ý tưởng và giải pháp số hóa cho Aviva toàn khu vực châu Á, trong đó có VietinBank Aviva. Với sự hỗ trợ mạnh của Aviva vùng và Aviva toàn cầu, VietinBank Aviva luôn tự tin và mạnh mẽ trong cuộc chạy đua vào Top 5 trên thị trường bảo hiểm nhân thọ, cũng như chạy đua số hóa với các công ty dẫn đầu thị trường.

Phan Hoài Nam - CIO Vietinbank Aviva

Read More