Câu hỏi ít ai đặt ra khi nhận chứng nhận
Sau khi đạt ISO 27001 hay SOC 2, câu hỏi phổ biến nhất là: "Bây giờ chúng ta phải làm gì để duy trì?"
Câu hỏi đó vô tình đặt compliance vào vị trí của một nghĩa vụ, thứ cần phải làm để giữ tờ giấy trên tường. Và khi mọi thứ được nhìn như nghĩa vụ, người ta thường làm ở mức tối thiểu đủ để pass.
Có một cách nhìn khác: compliance tracking là hệ thống cảnh báo sớm cho vận hành.
Không phải mọi vấn đề đều xuất hiện dưới dạng incident hay security breach. Nhiều rủi ro lớn nhất bắt đầu bằng những sai lệch nhỏ, âm thầm tích lũy trong nhiều tháng trước khi ai đó nhận ra.
Những gì compliance review thực ra đang đo
Khi bạn thực hiện access review định kỳ, bề ngoài đó là yêu cầu của ISO 27001 Control 9.2.5 hay SOC 2 CC6.2. Nhưng nếu nhìn vào kết quả thực tế của quá trình đó:
Access review phát hiện những gì:
- Tài khoản của nhân viên đã nghỉ việc vẫn còn active. Đây là attack vector, không chỉ là finding.
- Developer có quyền write vào production database trong thời gian debug và chưa bao giờ bị revoke
- Service account được tạo cho một dự án cũ vẫn đang có full S3 access
- Vendor third-party vẫn có access vào hệ thống dù hợp đồng đã hết hạn 6 tháng trước
Không có compliance framework nào mới phát hiện ra những điều này. Chúng luôn tồn tại trong hệ thống của bạn. Compliance review tạo ra nhịp điệu bắt buộc để nhìn vào.
Ba loại rủi ro thường bị bỏ sót cho đến khi compliance review bắt gặp
1. Configuration drift
Infrastructure thay đổi liên tục. Engineer thêm một rule vào security group để debug một issue, rồi quên xóa. Team update một S3 bucket policy để share nhanh một file, rồi không ai notice bucket đó vẫn public một tháng sau.
Nếu không có audit log review và configuration check định kỳ, những thay đổi này tích lũy. Bạn chỉ biết khi ai đó khai thác chúng, hoặc khi auditor chỉ ra.
2. Vendor risk không được monitor
Bạn ký BAA với một vendor xử lý PHI, thực hiện assessment, và đánh dấu là done. Nhưng vendor đó có thể thay đổi: thay đổi subprocessor, có breach xảy ra ở cơ sở hạ tầng của họ, hoặc đơn giản là renew contract với điều khoản mới mà không ai đọc kỹ.
Periodic vendor review trong compliance framework không chỉ là checkbox. Nó là cơ chế để bạn không bị bất ngờ bởi rủi ro từ bên thứ ba.
3. Training gap trong team mới
Khi team scale nhanh, nhân viên mới cần được train về security policies và procedures. Nếu không có tracking, người mới được onboard nhưng training compliance bị bỏ sót. Sau 6 tháng, một phần đáng kể team đang vận hành mà không hiểu đầy đủ những gì họ được và không được làm với dữ liệu khách hàng.
Security incident do human error thường không phải do nhân viên cũ quen việc. Nguyên nhân phổ biến hơn là nhân viên mới chưa được train đúng.
Lần cuối cùng bạn biết mình đang compliant là khi nào?
Đây là câu hỏi thực tế cho bất kỳ CISO hay CTO nào: nếu một enterprise khách hàng gửi security questionnaire ngày hôm nay và hỏi "bạn có đang compliant với ISO 27001 không?", bạn có thể trả lời tự tin không?
Nếu câu trả lời là "chúng tôi đạt chứng nhận năm ngoái", đó không phải câu trả lời về hiện tại. Đó là câu trả lời về quá khứ.
Compliance thực sự là khả năng trả lời "có, và đây là evidence cho 12 tháng qua."
Nếu không có continuous tracking, bạn chỉ biết mình đang compliant tại thời điểm audit. Giữa các audit, bạn hy vọng.
Khi compliance tracking trở thành operational intelligence
Sự chuyển đổi xảy ra khi compliance không còn là việc "làm cho xong":
Thay vì: chạy access review mỗi 6 tháng vì phải có trong audit evidence Trở thành: access review hàng tháng và bạn có dữ liệu về drift rate, biết team nào có xu hướng accumulate quyền thừa nhất, từ đó có thể cải thiện provisioning process
Thay vì: vendor assessment một lần khi onboard Trở thành: periodic vendor check với alert khi vendor bị breach hay thay đổi điều khoản dịch vụ
Thay vì: vulnerability scan trước audit Trở thành: continuous scanning với triage workflow, team biết backlog hiện tại và không bị bất ngờ khi auditor hỏi về remediation SLA
Sự khác biệt không nằm ở tần suất hay effort. Nó nằm ở vị trí của compliance trong vận hành: ở rìa, chỉ xuất hiện khi audit đến, hay được tích hợp vào nhịp điệu hàng ngày của team.
Thực tế với team không có CISO chuyên trách
Không phải doanh nghiệp nào cũng có compliance officer chuyên trách. Ở nhiều công ty SaaS hay fintech Việt Nam, đó thường là CTO hoặc senior engineer kiêm vai trò này.
Với người đang juggle nhiều vai trò, compliance tracking thủ công là không thực tế. Nhưng bỏ qua tracking cũng không phải lựa chọn khôn ngoan, không phải vì auditor, mà vì rủi ro đang tích lũy mà bạn không nhìn thấy.
Điều cần thiết là công cụ biến compliance tracking từ công việc thủ công thành signal tự động: access drift được alert, policy deadline được nhắc, vendor status được cập nhật mà không cần ai nhớ.
Tóm lại
Compliance tracking không tạo ra rủi ro. Nó chỉ làm cho rủi ro đang tồn tại trở nên visible.
Câu hỏi không phải là "chúng ta có thể bỏ qua việc này không?" mà là "chúng ta muốn biết về rủi ro trước hay sau khi nó xảy ra?"
Xem thêm pTrackly cho continuous compliance monitoring để hiểu cách platform giúp team biến compliance review thành early warning system thực sự.