Tư vấn

Risk Management - Quản lý rủi ro (P2)

(KHCN) - Rủi ro trong lĩnh vực IT được định nghĩa là khả năng (xác suất) một vấn đề nào đó xảy ra gây hư hỏng, phá hủy hay làm lộ thông tin. Quản lý rủi ro là một quy trình chi tiết để xác định các yếu tố này, đánh giá so sánh giá trị của dữ liệu với chi phí bảo vệ và triển khai các giải pháp hiệu quả để loại bỏ hay giảm thiểu các rủi ro.


Phương pháp đánh giá Rủi ro

Đánh giá /phân tích rủi ro là công việc chính của các nhà quản lý cấp cao. Họ phải là người khởi xướng và hỗ trợ công tác này bằng cách định nghĩa ra phạm vi và mục tiêu của việc đánh giá / phân tích rủi ro. Đến phần thực thi công việc thì các chuyên viên về bảo mật lại là những người được ủy quyền thực hiện. Quản lý cấp trên trong công tác này phải hiểu rõ và phê duyệt các kết quả, ra các quyết định liên quan một cách thận trọng. Không có hệ thống miễn nhiễm với rủi ro, do vậy là người quản lý phải biết phân tích và đưa ra quyết định rủi ro nào là chấp nhận được, rủi ro nào cần làm giảm thiểu hay cần chuyển sang dạng khác.

Phân tích rủi ro

Kết quả của việc phân tích rủi ro là để cung cấp đủ chi tiết những thông tin cần thiết để quản lý cấp trên có khả năng dựa vào đó để ra quyết định chấp nhận, loại bỏ, giảm thiểu hay chuyển đổi các rủi ro.

Thật ra, kết quả của phân tích rủi ro là sự so sánh giữa chi phí / lợi ích nghĩa là dự đoán thiệt hại khi rủi ro đó xảy ra và so sánh nó với chi phí để triển khai các cơ chế bảo vệ lại các mối đe dọa hay lỗ hổng bảo mật liên quan. Phân tích rủi ro xác định các rủi ro, lượng hóa ảnh hưởng của các đe dọa và hỗ trợ trong việc xây dựng chi phí cho công tác bảo mật.

Bước đầu tiên của việc phân tích rủi ro là định giá tài sản. Định giá tài sản giúp tránh khỏi việc tổ chức triển khai một giải pháp bảo vệ 10 đồng chỉ để bảo vệ một tài sản có giá trị 1 đồng. Tất nhiên, tài sản không có giá trị thì không cần phải bảo vệ. Giá trị tài sản ảnh hưởng trực tiếp đến mức độ bảo vệ nó, kiểu như vệ sĩ cho Thủ tướng khác với việc bảo vệ cho một Diva.

Giá trị tài sản

Mục tiêu của việc định giá tài sản là xác định giá trị tính bằng tiền cho một tài sản bao gồm cả giá trị hữu hình và giá trị vô hình. Giá trị này thì khó có thể xác định chính xác tuyệt đối, nhưng kiểu nào đi nữa cũng phải cho nó một con số. Nếu giá trị sai lệch nhiều thì sẽ dẫn đến những sai lệch về sau khi xây dựng chi phí để bảo vệ tài sản đó. Có rất nhiều thông tin để xác định giá trị tài sản như:

- Purchase cost – Chi phí đầu tư
- Development cost – Chi phí phát triển
- Administrative or management cost – Chi phí vận hành
- Maintenance or upkeep cost – Chi phí bảo dưỡng
- Cost in acquiring asset – Chi phí mua lại
- Cost to protect or sustain asset – Chi phí duy trì, bảo vệ
- Value to owners and users – Giá trị cho người sở hữu và người sử dụng
- Value to competitors – Giá trị cho các đối thủ
- Intellectual property or equity value – Giá trị sở hữu trí tuệ
- Market valuation (sustainable price) – Giá trị thị trường
- Replacement cost – Chi phí thay thế
- Productivity enhancement or degradation – Mức tăng hay giảm năng suất
- Operational costs of asset presence and loss – Chi phí vận hành khi có sự hiện diện và mất mát của tài sản
- Liability of asset loss – Trách nhiệm pháp lý khi mất mát tài sản
- Usefulness – Mức độ hữu ích

Xác định và gán giá trị cho tài sản sẽ giải quyết được rất nhiều các yêu cầu của công tác đánh giá rủi ro như làm nền tảng cho việc phân tích chi phí / lợi ích của việc triển khai các cơ chế bảo vệ tài sản, cung cấp thông tin cho việc định giá tổ chức trong bảo hiểm. Ngoài ra còn hỗ trợ quản lý cấp cao trong việc xác định chính xác những rủi ro đang tồn tại trong tổ chức của mình, loại bỏ các yếu tố thiếu sót khi xử lý các vấn đề liên quan đến luật pháp, điều kiện công nghiệp hay chính sách bảo mật nội bộ

Tiếp theo của công việc định giá tài sản là xác định các Đe dọa. Một danh sách tất cả các đe dọa đối với hệ thống thông tin cũng như đối với tổ chức cần được liệt kê và ghi nhớ rằng, đe dọa đến từ mọi nơi chứ không chỉ từ những nguồn liên quan đến thông tin. Dưới đây là danh sách các nguồn đe dọa phổ biến

- Viruses – Vi rút máy tính
- Cascade errors and dependency faults – Lỗi liên hoàn
- Criminal activities by authorized users – nguy cơ lợi dụng từ người dùng hợp pháp
- Movement (vibrations, jarring, etc.) – di chuyển (gây rung lắc hay va chạm)
- Intentional attacks – Tấn công nội bộ
- Reorganization – tái cấu trúc
- Authorized user illness or epidemics – Bệnh tật
- Hackers – Hacker
- User errors – lỗi của người dùng
- Natural disasters (earthquakes, floods, fire, volcanoes, hurricanes, tornadoes, tsunamis,
and so on) – Thiên tai
- Physical damage (crushing, projectiles, cable severing, and so on) – hư hỏng vật lý
- Misuse of data, resources, or services – sử dụng sai
- Changes or compromises to data classification or security policies – thay đổi trong việc phân loại dữ liệu hay các chính sách bảo mật
- Government, political, or military intrusions or restrictions – những quy định liên quan đến chính trị, quân đội
- Processing errors, buffer overflows – các lỗi trong xử lý
- Personnel privilege abuse – lạm dụng quyền hạn cá nhân
- Temperature extremes – nhiệt độ
- Energy anomalies (static, EM pulses, radio frequencies [RFs], power loss, power surges,
and so on) – vấn đề liên quan đến năng lượng
- Loss of data – mất mát dữ liệu
- Information warfare – chiến tranh thông tin
- Bankruptcy or alteration/interruption of business activity – vỡ nợ hay sự cố trong kinh doanh
- Coding/programming errors – lỗi lập trình
- Intruders (physical and logical) – xâm nhập bất hợp pháp
- Environmental factors (presence of gases, liquids, organisms, and so on) – môi trường
- Equipment failure – hư hỏng thiết bị
- Physical theft – mất trộm
- Social engineering – tấn công phi kỹ thuật

Trong hầu hết các trường hợp, nên tập hợp một nhóm bao gồm nhiều cá nhân từ nhiều bộ phận khác nhau của tổ chức (không nhất thiết là chuyên gia bảo mật) để thực hiện công tác đánh giá rủi ro. Sự đa dạng của nhóm này sẽ giúp việc vét cạn các đe dọa được dễ dàng và đầy đủ hơn.

Sau khi có được danh sách các Đe dọa, tiến hành xác định các rủi ro liên quan đến từng đe dọa đã liệt kê. Có 2 phương pháp đánh giá rủi ro là Định lượng và Định tính. Định lượng xác định giá trị (tiền) sẽ mất đi nếu rủi ro xảy ra, trong khi đó Định tính sẽ xác định các giá trị chủ quan và vô hình cho mất mát đó. Cả hai phương pháp đều cần thiết phải thực hiện trong việc phân tích rủi ro.

TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn