Việc liệt kê tài sản (Asset Inventory) tưởng là dễ nhưng thực chất rất khó. Các câu hỏi tự mình đăt ra để có thể tìm được tài sản như kiểu: Bạn có gì, nó ở đâu, ai sở hữu cũng cũng chưa đầy đủ. Ngồi cả một ngày mà danh sách những gì mình có vẫn đìu hiu. Đây có phải là điểm nghẽn đầu tiên mà các Asset management, Risk Analysis hay GRC Analysis đều gặp phải?

Nếu hỏi tại sao lại khó khăn, thì có hai góc nhìn: CHỦ QUAN và KHÁCH QUAN để tự bào chữa cho việc này.

Về mặt chủ quan

• Để kiểm kê được thực sự cần có một cái nhìn toàn diện về toàn bộ Asset surface của tổ chức. Ngoài ra cần phải tìm hiểu qua về nghiệp vụ của các phòng ban thì mới biết họ dùng công cụ nào để tạo ra cái gì, xong rồi xử lý nó ở đâu và lưu ra chỗ nào.
• Không có nhiều công cụ để thực hiện việc đi kiểm kê. Toàn dựa chủ yếu vào con người kê khai bằng tay nên bị thiếu sót.
• Không phân biệt được nhiều loại tài sản nên dẫn tới việc không đồng nhất trong cách trình bày.

Về mặt khách quan

• Hệ thống ngày càng phức tạp, phân tán trên nhiều môi trường: Một phần on-prem, một phần cloud
• Nhiều tài sản dùng chung, mỗi team hay phòng ban lại biết một phần. Chẳng ai có một bức tranh tổng thể cả.
• Nhiều tài sản không được quản lý chính thức như kiểu dùng tạm, tự mua, cloud tự tạo, mượn của bên khác. Tức là chẳng có văn bản, giấy tờ nào ghi chép lại.
• Và cuối cùng, từ trước đến nay tổ chức chưa bao giờ làm hay không có chỗ nào tập trung danh sách tài sản và duy trì liên tục việc kiểm kê nó

Giải pháp để xác định “có gì” và “nó ở đâu” một cách toàn diện và có hệ thống?

Chia nhóm tài sản

• Hardware: Servers, routers, switches, laptops, thiết bị IoT
• Software: Apps, services, internal tools, web services
• Data Assets: Databases, backup, data lake, PII
• People-based: Email accounts, user credentials, third-party access
• Cloud Resources: VMs, buckets, IAM roles, functions, DNS zones
• Process-based: Cron jobs, scheduled tasks, CI/CD pipelines
• Documents & Records: Chính sách, quy trình nội bộ (SOPs, policy, guideline…), hợp đồng, biên bản, tài liệu pháp lý, Hướng dẫn người dùng (User Manual, Admin Manual), File cấu hình hệ thống (.yaml, .conf) được lưu offline
• Bill & Finance: Hóa đơn VAT, phiếu thu/chi, bảng lương, kê khai thuế, tài liệu kiểm toán, báo cáo nội bộ tài chính
• User-generated Data: Tệp upload lên hệ thống (ảnh, CV, hóa đơn…), dữ liệu đăng ký form, phản hồi khảo sát, chat logs, lịch sử giao dịch, email nội bộ
• Third-party & Vendor Assets: Tài khoản truy cập của nhà cung cấp, tài liệu tích hợp (API docs, hướng dẫn kết nối), tài sản mà đối tác gửi đến (bản vẽ, file kế hoạch…)
• Tài sản vô hình & logic: Quy trình nghiệp vụ, Access Rights / IAM, Encryption Keys, API keys, Tokens

Áp dụng tư duy ngược

Rất hiệu quả để lôi ra những gì chưa được thấy. Nhưng đòi hỏi bạn phải ngồi kề bên, ăn nằm với các phòng ban của tổ chức để thực sự hiểu về nghiệp vụ. Rồi đặt các câu hỏi Debug, ví dụ như:

• Quy trình xử lý đơn hàng → liên quan app nào? chạy trên server nào? dùng cơ sở dữ liệu nào?
• Hệ thống tính lương → phụ thuộc file Excel? tool nội bộ? cloud payroll?