This is the Trace Id: 040ce2389be1ac9d924ac8daca6a8ec8

Tham gia phiên họp ban điều hành RSAC vào ngày 24 tháng 3 với chủ đề “Các trợ lý ảo AI đã xuất hiện! Bạn đã sẵn sàng chưa?”.

Đăng ký ngay

Cẩm nang của Microsoft về Bảo mật cho doanh nghiệp ứng dụng AI: Quản trị và Bảo mật dữ liệu

Tải xuống hướng dẫn
Chia sẻ
Một người đàn ông mặc vest đứng trước nền xanh dương.

Tổng quan

Khi các tổ chức đang chạy đua để áp dụng AI ở quy mô lớn, quản trị dữ liệu và bảo mật dữ liệu ngày càng trở thành hai trụ cột gắn kết cho khả năng phục hồi của doanh nghiệp. Đối với Doanh nghiệp tiên phong – những đơn vị đang dẫn đầu làn sóng chuyển đổi trên nền tảng AI – khả năng cho phép các hệ thống AI suy luận trên khối lượng dữ liệu khổng lồ đòi hỏi sự phối hợp chặt chẽ chưa từng có giữa Giám đốc Công nghệ Thông tin (CIO), Giám đốc An ninh Thông tin (CISO) và các chuyên gia dữ liệu. Nếu thiếu trách nhiệm chung và thực thi thống nhất, các rủi ro như rò rỉ dữ liệu, chia sẻ quá mức và sử dụng AI sai định hướng sẽ gia tăng theo cấp số nhân.

Cẩm nang này tiếp nối các chủ đề trước đó trong loạt bài Bảo mật cho doanh nghiệp ứng dụng AI nhằm giúp bạn triển khai AI một cách an toàn và tối đa hóa giá trị từ khoản đầu tư của mình.

Khoảng trống trong quản trị

Đối với một số tổ chức, AI đang được triển khai nhanh hơn khả năng bắt kịp của các cấu trúc quản trị truyền thống. Theo Chỉ số Bảo mật dữ liệu của Microsoft, chỉ 47% tổ chức trong các lĩnh vực cho biết họ đang triển khai các biện pháp kiểm soát bảo mật cụ thể cho GenAI,1 cho thấy cơ hội để các tổ chức cải thiện khả năng quan sát cần thiết để áp dụng AI an toàn. Quan trọng hơn, theo khảo sát đa quốc gia với hơn 1.700 chuyên gia bảo mật dữ liệu do Microsoft ủy quyền thực hiện từ Hypothesis Group, đã có 29% nhân viên sử dụng các trợ lý ảo AI chưa được phê duyệt cho công việc.2 Điều này đặt ra những thách thức mới cho các tổ chức trong việc xử lý dữ liệu, quan sát bảo mật và tuân thủ – đặc biệt khi các công cụ AI tạo sinh tương tác với dữ liệu nhạy cảm hoặc phi cấu trúc.

Đồng thời, các nhà lãnh đạo doanh nghiệp cũng đang hành động: ngày càng nhiều tổ chức triển khai các kiểm soát chuyên biệt cho AI tạo sinh và tăng tốc đầu tư vào các biện pháp bảo vệ kỹ thuật và vận hành. Thông điệp rất rõ ràng: Đổi mới AI không thể phát triển nếu thiếu nền tảng quản trị để hỗ trợ và bảo vệ.

Mô hình thống nhất về quyền sở hữu: Phân loại, gắn nhãn, bảo vệ, quản lý

Quản trị dữ liệu hiệu quả đòi hỏi sự rõ ràng trong trách nhiệm giữa các vai trò CIO, CISO, Giám đốc Dữ liệu (CDO) và Giám đốc Quyền riêng tư (CPO). Tuy nhiên, ở nhiều tổ chức, quyền sở hữu vẫn còn phân tán. Để thu hẹp khoảng cách này, chúng tôi đề xuất mô hình chia sẻ: Phân loại, Gắn nhãn, Bảo vệ và Quản lý.

1. Phân loại: Thiết lập khả năng quan sát và quyền sở hữu

Hành trình quản trị bắt đầu từ việc hiểu rõ những tài sản dữ liệu bạn đang sở hữu. Các tổ chức cần xây dựng khả năng quan sát toàn diện trên dữ liệu có cấu trúc, phi cấu trúc và dữ liệu do AI tạo ra – bao gồm cả khả năng theo dõi các trợ lý ảo AI mới xuất hiện. Việc phân loại dữ liệu đòi hỏi:

  • Một sơ đồ rõ ràng, trực quan gắn với mức độ rủi ro kinh doanh
  • Chủ sở hữu và người quản trị dữ liệu được xác định trong từng đơn vị kinh doanh
  • Kiểm kê liên tục, được hỗ trợ bởi các nỗ lực khám phá dữ liệu do CIO dẫn dắt

Phân loại dữ liệu đặt nền tảng cho toàn bộ các bước tiếp theo.

2. Gắn nhãn: Biến quản trị thành hành động

Nếu phân loại xác định mục đích, thì gắn nhãn chính là cách thực thi mục đích đó. Các nhãn độ nhạy kết nối chính sách với việc sử dụng dữ liệu trong thực tế, cung cấp thông tin cho hệ thống bảo mật, kiểm soát truy cập và cả cách nhân viên tương tác với kết quả từ trợ lý ảo AI.

Các yếu tố then chốt bao gồm:

  • Triển khai công nghệ hỗ trợ thực thi gắn nhãn, đảm bảo các nhãn có thể tự động kích hoạt chính sách bảo mật và ngăn ngừa mất dữ liệu (DLP)
  • Chiến lược gắn nhãn dựa trên đánh giá rủi ro và tác động kinh doanh
  • Đào tạo nhân viên để củng cố về thời điểm và cách áp dụng nhãn

3. Bảo vệ: Vận hành hóa bảo mật

Bảo vệ là giai đoạn chuyển các chính sách thành cơ chế bảo vệ thực tế. Điều này bao gồm:

  • Thực thi chính sách thông qua kiểm soát truy cập như: Kiểm soát truy cập theo Vai trò (RBAC), Truy cập đúng lúc (JIT) và Ngăn mất dữ liệu (DLP)
  • Mã hóa dữ liệu khi lưu trữ và khi truyền tải
  • Giám sát tự động để phát hiện chia sẻ dữ liệu quá mức hoặc vi phạm chính sách
  • Kế hoạch ứng phó sự cố có cấu trúc, được tuân thủ các quy định về quyền riêng tư

Những kiểm soát này đảm bảo dữ liệu nhạy cảm được bảo vệ, ngay cả khi các công cụ AI truy cập và xử lý dữ liệu ở quy mô lớn.

4. Quản lý: Quản trị toàn bộ vòng đời dữ liệu

Quản trị là một quá trình liên tục. Các tổ chức cần duy trì:

  • Chính sách lưu trữ và xóa dữ liệu phù hợp với nguyên tắc tối thiểu hóa
  • Giám sát liên tục để phát hiện sai lệch dữ liệu, gắn nhãn sai và các bất thường trong truy cập
  • Tự động tái xác nhận quyền sở hữu dữ liệu
  • Khả năng quan sát và quản trị các trợ lý ảo AI trên các nhóm CNTT, phát triển và bảo mật

Quản lý vòng đời dữ liệu giúp giảm bề mặt tấn công và đảm bảo sự đồng bộ lâu dài giữa hoạt động sử dụng dữ liệu và giá trị kinh doanh.

Tương lai phía trước: Quản lý lực lượng lao động kết hợp giữa con người và trợ lý ảo AI

Khi các trợ lý ảo AI bắt đầu vận hành những quy trình ngày càng phức tạp, mô hình quản trị cũng cần phát triển. Các Công ty tiên phong đưa ra khái niệm agent boss (trợ lý ảo lãnh đạo) – một vai trò mới trong đó mỗi nhân viên chịu trách nhiệm quản lý các “nhân viên số” (digital workers) mà họ triển khai.

Sự thay đổi này đặt ra những yêu cầu mới cho lãnh đạo công nghệ:

Đối với CIO:

Xây dựng hệ sinh thái AI liên kết, nơi các đơn vị kinh doanh có thể tạo và triển khai trợ lý ảo một cách an toàn bằng các mẫu được phê duyệt, dưới sự quản trị của Trung tâm Năng lực AI.

Dành cho CISOs:

Mở rộng mô hình Zero Trust không chỉ áp dụng cho người dùng mà còn cho các trợ lý ảo tự động. Điều này bao gồm:
 

  • Lập danh mục toàn bộ trợ lý ảo và định danh của chúng
  • Thực thi quyền truy cập tối thiểu phù hợp với quyền hạn nhiệm vụ của từng trợ lý ảo
  • Giám sát hành vi của trợ lý ảo và luôn giả định có vi phạm khi các trợ lý ảo tương tác với dữ liệu nhạy cảm

Mức độ sẵn sàng cho doanh nghiệp tự động phụ thuộc vào việc kết hợp các kiểm soát mới này với trách nhiệm của con người.

180 ngày đầu tiên: Cẩm nang phối hợp dành cho CIO và CISO

Hành trình này bắt đầu bằng một lộ trình có cấu trúc, giúp các lãnh đạo CNTT và bảo mật vận hành quản trị AI ở cấp doanh nghiệp:

Tuần đầu tiên: Đồng bộ nền tảng
 

  • Xác định sơ đồ phân loại dữ liệu chung.
  • Lập bản đồ các tài sản dữ liệu quan trọng và yêu cầu về tính liên tục.
  • Thống nhất tiêu chuẩn tạo và xác minh trợ lý ảo AI.

90 ngày đầu: Khám phá và lập bản đồ kiểm soát
 

  • Kiểm kê các trường hợp sử dụng AI và nguồn dữ liệu liên quan.
  • Thực hiện phân tích khoảng trống DLP và các cơ chế kiểm soát.
  • Xây dựng sổ đăng ký rủi ro chung và ưu tiên các trường hợp thử nghiệm.

180 ngày đầu: Triển khai và xác thực
 

  • Triển khai nhãn và chính sách mới cho các đơn vị kinh doanh thử nghiệm.
  • Áp dụng DLP tự động cho các tình huống rủi ro cao.
  • Thiết lập hội đồng quản trị hằng tháng để liên tục hoàn thiện các cơ chế kiểm soát.

Cẩm nang này giúp các tổ chức chuyển đổi quản trị dữ liệu từ một chức năng tuân thủ thành động lực chiến lược thúc đẩy đổi mới AI.

Xây dựng doanh nghiệp sẵn sàng cho AI

Hành trình hướng tới tương lai được vận hành bởi AI bắt đầu từ một nền tảng quản trị dữ liệu và bảo mật dữ liệu bền vững, được đồng sở hữu. Bằng cách đồng bộ trách nhiệm giữa CIO và CISO, việc thiết lập mô hình vòng đời chung, và chuẩn bị cho một lực lượng lao động kết hợp giữa con người và trợ lý ảo, các tổ chức có thể khai mở toàn bộ tiềm năng của AI một cách tự tin và an toàn hơn.

Thời điểm để xây dựng nền tảng này chính là bây giờ.

Tải xuống cẩm nang

Xem thêm nội dung tương tự

Một nhóm người ngồi trên ghế sofa với dòng chữ: Cyber Pulse MỚI – Báo cáo bảo mật AI.

Cyber Pulse: Báo cáo bảo mật AI

Những phân tích về sự phát triển của trợ lý ảo AI và lộ trình triển khai có trách nhiệm, an toàn thông qua khả năng quan sát, quản trị và bảo mật.
Đọc bài viết
Bìa sách với tiêu đề “Chiến lược Quản trị AI của Microsoft Security” bên cạnh hình minh họa một người đàn ông mặc áo xanh lá ngồi tại bàn làm việc với máy tính.

Chiến lược Quản trị AI

Các bước hành động cụ thể giúp xây dựng niềm tin, giảm thiểu rủi ro, tiết kiệm chi phí và thúc đẩy đổi mới sáng tạo
Đọc cẩm nang
Bản vẽ phác thảo màu trắng của một tờ giấy trong phong bì với chữ Mới trên nền xanh lam.

Nhận bản tin CISO Digest

Cập nhật góc nhìn từ chuyên gia, xu hướng ngành và nghiên cứu bảo mật trong bản tin định kỳ hai tháng một lần này.
Đăng ký
  1. [1]
    Chỉ số Bảo mật dữ liệu của Microsoft năm 2026: Thống nhất Bảo vệ dữ liệu và đổi mới AI, Microsoft Security, 2026
  2. [2]
    Khảo sát đa quốc gia tháng 7/2025 với hơn 1.700 chuyên gia bảo mật dữ liệu, do Microsoft ủy quyền thực hiện bởi Hypothesis Group.

Theo dõi Microsoft Security