Ngày nay, đối với hầu hết các tổ chức, bề mặt các mối đe dọa ngày càng mở rộng. Mục tiêu mà tin tặc nhắm tới rất rõ ràng như cơ sở dữ liệu người dùng, cơ sở hạ tầng tại chỗ và đám mây, SaaS và môi trường ảo,... Do đó, các chương trình quản lý rủi ro liên quan cũng không ngừng phát triển bởi những ảnh hưởng bên ngoài, nhu cầu của khách hàng, yêu cầu của hội đồng quản trị và/hoặc các sự cố bảo mật cụ thể đòi hỏi các nhóm bảo mật phải tư duy và củng cố chiến lược của họ. Không ngạc nhiên khi các giám đốc an toàn thông tin (CISO) ngày nay phải đối mặt với một số tình huống khó như: Làm cách nào để đánh giá tác động tới hoạt động kinh doanh của một sự sự mạng? Chi phí để bảo vệ những tài sản giá trị nhất của công ty? Những khoản đầu tư nào là an toàn nhất cho doanh nghiệp? Làm cách nào để không trở thành nạn nhân của những vi phạm mạng mới nhất?
Một chương trình phân tích rủi ro hoàn chỉnh có thể được coi như một kim tự tháp. Việc tuân thủ khuôn khổ do khách hàng định hướng tạo thành cơ sở (khuôn khổ PCI/ISO cần thiết để tạo doanh thu); sau đó là bảo mật cơ sở hạ tầng dựa trên sự cố ở giữa (bảo mật tập trung vào hệ thống dựa trên các mối đe dọa và lỗ hổng phổ biến đã biết); với phạm vi bảo hiểm toàn diện dựa trên phân tích ở mức cao nhất (xác định tài sản, định giá và đánh giá rủi ro về mối đe dọa/lỗ hổng).
Làm thế nào để bạn khởi động chương trình đó? Dưới đây là 5 bước hiệu quả để phân tích rủi ro.
Xác định các tài sản đặc thù của doanh nghiệp
Bước đầu tiên là xác định những gì là quan trọng để bảo vệ. Không giống như tài sản khác về mặt an ninh mạng như máy chủ, máy tính xách tay,… tài sản này sẽ bao gồm những thứ có giá trị kinh doanh rộng hơn. Thông thường, cách nhanh nhất là tìm hiểu qua các đầu mối của những bộ phận khác nhau. Bạn cần hiểu dữ liệu nào là quan trọng đối với hoạt động của từng nhóm, thông tin nào họ nắm giữ sẽ có giá trị với đối thủ cạnh tranh (giá cả, khách hàng,..) và việc tiết lộ thông tin nào sẽ làm tổn hại đến mối quan hệ khách hàng (ví dụ: dữ liệu hợp đồng).
Cùng với đó, cần đánh giá xem mỗi bộ phận có xử lý các bí mật thương mại hoặc nắm giữ bằng sáng chế, thương hiệu và bản quyền hay không. Cuối cùng, đánh giá xem ai là người xử lý thông tin nhận dạng cá nhân (PII - Personally identifiable information) và nhóm cũng như dữ liệu của nhóm có tuân theo các yêu cầu quy định như GDPR, PCI DSS, CCPA, Sarbanes Oxley... hay không?
Khi thực hiện những đánh giá này, có 3 yếu tố cần ghi nhớ: Thông tin nào cần phải an toàn và không thể bị đánh cắp, thông tin nào phải được duy trì để tiếp tục hoạt động và thông tin/dữ liệu nào mà bạn không thể thay đổi.
Định giá tài sản
Khi bạn đã xác định được những nội dung này, bước tiếp theo là xác định giá trị của chúng.
Phân tích rủi ro hiệu quả đòi hỏi một cách tiếp cận thực tế hơn sử dụng các danh mục rộng, sau đó có thể được ưu tiên để hiểu nơi cần phân tích sâu hơn. Ví dụ, bạn có thể sử dụng các danh mục sau và chỉ định giá trị dựa trên các giả định đã được thông báo như:
Lợi thế cạnh tranh: Gồm các hạng mục/quy trình/dữ liệu độc nhất của công ty bạn và dựa trên kinh nghiệm. Đây là những thứ có giá trị với đối thủ cạnh tranh. Để xác định giá trị, hãy xem xét chi phí để phát triển trong thị trường ngay từ ban đầu, bao gồm cả công nghệ và chi phí chung.
Mối quan hệ khách hàng: Điều ảnh hưởng trực tiếp đến mối quan hệ khách hàng và do đó ảnh hưởng đến doanh thu. Điều này bao gồm những tác động "sẵn có" do ngừng hoạt động, thỏa thuận mức dịch vụ (Sevice Level Agreement – SLA),… Việc xác định giá trị có thể sẽ là mục tiêu EBIT (chỉ số lợi nhuận) hàng năm của bạn và khả năng điều chỉnh những tổn thất đơn nhỏ.
Quan hệ đối tác bên thứ ba: Liên quan đến khả năng phát huy, duy trì hoặc phát triển mạng lưới đối tác như nhà thầu, ISP hoặc nhà cung cấp khác. Khi định giá, cần xem xét chi phí lao động của nhân viên để tuyển dụng và duy trì các đối tác đó.
Hiệu quả tài chính: Những mục ảnh hưởng đến khả năng đạt được các mục tiêu tài chính của công ty.
Quan hệ nhân viên: Tài sản ảnh hưởng đến khả năng tuyển dụng và giữ chân nhân viên của bạn. Việc định giá nên xem xét khối lượng tổn thất tiềm ẩn và các nhu cầu bù đắp liên quan, bao gồm lương cơ bản, tiền thưởng, quyền lợi tương đương...
Xác định các mối đe dọa có liên quan, đánh giá lỗ hổng
Khi cần phân tích rủi ro từ các mối đe dọa, lỗ hổng và khả năng xuất hiện, hãy bắt đầu với mô hình bộ ba bảo mật phổ biến để bảo mật thông tin. Ba trụ cột gồm tính bảo mật, tính toàn vẹn và tính khả dụng (CIA). Đây là 3 yếu tố giúp hướng dẫn và tập trung khi các nhóm bảo mật có những đánh giá khác nhau để giải quyết từng mối lo ngại.
Tính bảo mật liên quan đến bảo mật dữ liệu và quyền riêng tư, đòi hỏi không chỉ giữ an toàn cho dữ liệu mà còn đảm bảo chỉ những người thực sự cần mới có được dữ liệu đó.
Tính toàn vẹn phản ánh nhu cầu đảm bảo tính tin cậy của dữ liệu. Mặc dù độ chính xác của dữ liệu có thể bị tổn hại do những lỗi đơn giản, nhưng điều mà nhóm bảo mật quan tâm là những tác động gây hại có chủ ý đối với tổ chức.
Tính khả dụng: Đảm bảo nơi truy cập và thời gian truy nhập thông tin khi cần thiết. Tính khả dụng là một khía cạnh mà các nhóm bảo mật cần phối hợp chặt chẽ với IT về sao lưu, dự phòng, chuyển đổi... Điều đó nói rằng, nó cũng liên quan đến mọi thứ, từ truy cập từ xa an toàn đến các bản vá và cập nhật kịp thời để ngăn chặn những hành vi phá hoại như từ chối dịch vụ hoặc các cuộc tấn công ransomware.
Khi những quyết định này được thực hiện, bạn đã sẵn sàng cho bước tiếp theo.
Xác định rủi ro
AV là giá trị tài sản được ấn định (định lượng/định tính) như đã xác định ở trên, EF là hệ số phôi nhiễm, đánh giá chủ quan về tỷ lệ phần trăm tổn thất tiềm ẩn đối với tài sản khi có mối đe dọa. Ví dụ: một tài sản có thể bị giảm giá trị một nửa, cho EF là 0,50.
Từ đó, chúng ta có thể tính toán dự kiến tổn thất đơn lẻ (SLE) – giá trị tiền tệ từ rủi ro một lần đối với tài sản bằng cách nhân AV và EF. Ví dụ: nếu giá trị tài sản là 1 triệu USD và hệ số rủi ro từ mối đe dọa là tổn thất 50% (0,5) thì SLE sẽ là 500.000 USD.
Định nghĩa rủi ro cũng tiến thêm một bước bằng cách lấy giá trị SLE này nhân với tỷ lệ nguy cơ xảy ra hàng năm (ARO) để đưa ra dự kiến tổn thất hàng năm (ALE). Điều này giúp hiểu rõ hơn nguy cơ rủi theo thời gian.
Khi xem xét các số liệu này, điều quan trọng là phải nhận ra rằng tổn thất tiềm ẩn và xác suất xảy ra rất khó xác định, do đó khả năng xảy ra lỗi là rất cao. Đó là lý do tại sao chúng ta cần giữ mức đơn giản và đánh giá cao khi định giá tài sản. Mục tiêu là đánh giá rộng rãi khả năng và tác động của rủi ro để chúng ta có thể tập trung nguồn lực tốt hơn chứ không phải để có được các phương trình hoàn toàn chính xác.
Thực hiện và giám sát các biện pháp bảo vệ
Giờ đây, chúng ta đã xử lý tốt hơn các rủi trong về tổ chức, các bước cuối cùng là triển khai và giám sát các biện pháp kiểm soát cần thiết và thỏa đáng. Đây là các biện pháp đối phó như chính sách, quy trình, kế hoạch, thiết bị… để giảm thiểu rủi ro.
Các biện pháp kiểm soát được chia thành ba loại: Phòng ngừa (trước một sự kiện), phát hiện (trong) và khắc phục (sau). Mục tiêu là cố gắng ngăn chặn một sự cố trước khi nó xảy ra, nhanh chóng phản ứng một khi nó xảy ra và đưa tổ chức đứng dậy một cách hiệu quả sau đó.
Với các quan điểm của phân tích rủi ro như trên hy vọng giúp các chuyên gia bảo mật có thể tập trung nỗ lực tốt nhất vào vị trí và cách thức sao cho phù hợp để giảm thiểu rủi ro tổng thể của đơn vị./.