Tư vấn

Risk Management - Quản lý rủi ro (P3)

(KHCN) - Rủi ro trong lĩnh vực IT được định nghĩa là khả năng (xác suất) một vấn đề nào đó xảy ra gây hư hỏng, phá hủy hay làm lộ thông tin. Quản lý rủi ro là một quy trình chi tiết để xác định các yếu tố này, đánh giá so sánh giá trị của dữ liệu với chi phí bảo vệ và triển khai các giải pháp hiệu quả để loại bỏ hay giảm thiểu các rủi ro.


Phân tích định lượng

Kết quả của phân tích định lượng là một tỉ lệ phần trăm(%). Có nghĩa là mức độ rủi ro, khả năng mất mát, chi phí bảo vệ, giá trị của việc bảo vệ đều được xác định bằng tiền. Báo cáo của phân tích định lượng thông thường là rõ ràng và dễ hiểu. Tuy nhiên không phải tất cả các rủi ro đều có thể phân tích định lượng được mà cần phải có phân tích định tính sẽ được đề cập sau.

Quy trình của việc phân tích định lượng bắt đầu ngay sau khi xác định giá trị tài sản và liệt kê các đe dọa. Tiếp theo sau đó là xác định, ước lượng khả năng và tần suất của mỗi rủi ro. Kết quả này sau đó được sử dụng để tính toán ra các chi phí (được gọi là cost functions) từ đó xác định giá trị của các giải pháp bảo vệ. Chi tiết được liệt kê trong 6 bước

1. Inventory assets, and assign a value (AV) – Liệt kê và định giá tài sản
2. Research each asset, and produce a list of all possible threats of each individual asset. For each listed threat, calculate the exposure factor (EF) and single loss expectancy (SLE).- Đối với mỗi tài sản, liệt kê vét cạn các Đe dọa có thể xảy đến với tài sản đó. Đối với mỗi Đe dọa, tính toán giá trị mất mát (EF và SLE)
3. Perform a threat analysis to calculate the likelihood of each threat taking place within a
single year, that is, the annualized rate of occurrence (ARO). – Tính toán xác suất xảy ra đối với mỗi Đe dọa trong một năm (ARO)

4. Derive the overall loss potential per threat by calculating the annualized loss expectancy (ALE). – Từ ARO suy ra được giá trị tài sản dự đoán bị mất hàng năm

5. Research countermeasures for each threat, and then calculate the changes to ARO and
ALE based on an applied countermeasure. – Phân tích các phương pháp bảo vệ và phòng thủ và tính toán ARO, ALE sau khi triển khai các giải pháp đó
6. Perform a cost/benefit analysis of each countermeasure for each threat for each asset.
Select the most appropriate response to each threat. – Thực hiện phân tích chi phí / lợi ích để đưa ra quyết định chính xác cho việc xử lý các Đe dọa

Trên đây chỉ là tóm gọn 6 bước. Phần sau sẽ nêu định nghĩa các khái niệm và giải thích từng bước

Các hàm tính toán chi phí (cost functions)

Để tính toán chi phí trong phân tích định lượng, chúng ta có các công thức và khái niệm như exposure factor (EF), single loss expectancy(SLE), annualized rate of occurrence(ARO), and annualized loss expectancy(ALE)

Exposure factor (EF): Biễu diễn cho phần trăm mất mát mà tổ chức phải chịu nếu một tài sản cụ thể nào đó bị  nguy hại bởi một rủi ro. Thông thường, khi một rủi ro xảy ra thì tài sản có thể sẽ không mất hết mà chỉ mất một phần giá trị, EF đơn giản là xác định phần giá trị bị mất đó. EF được biễu diễn bằng tỉ lệ phần trăm(%)

Single loss expectancy (SLE): SLE được tính toán từ EF. SLE được tính theo công thức SLE = asset value (AV) * exposure factor (EF) (or SLE = AV * EF). SLE được biểu diễn bằng tiền (dollar). Ví dụ một tài sản có giá trị là 100 đồng và nó có giá trị EF là 45% cho một đe dọa nào đó thì SLE cho đe dọa đó đối với tài sản đó là 45 đồng.

Annualized rate of occurrence (ARO): ARO là tần xuất dự đoán của một đe dọa hay rủi ro cụ thể nào đó sẽ xảy ra trong 1 năm. ARO có giá trị từ 0 nói rằng rủi ro sẽ không bao giờ xảy ra cho đến một con số rất lớn nói rằng rủi ro này xảy ra thường xuyên. Dự đoán hay tính toán ra ARO là rất phức tạp. Nó có thể dựa vào lịch sử, vào thống kê hoặc đơn giản là đoán (tương tự như bài toán xác định xác suất). Ví dụ ARO của rủi ro động đất tại Việt Nam là 0.0001 trong khi ARO của rủi ro một email có virus tại Việt Nam là 10,000. Ý nghĩa của ví dụ này là ARO của một số rủi ro hay đe dọa có thể được tính bằng cách lấy xác xuất xảy ra nhân với số lượng người dùng có thể là tác nhân kích hoạt đe dọa.

Annualized loss expectancy (ALE): ALE là giá trị có thể mất đi hàng năm của một rủi ro cụ thể đối với một tài sản cụ thể. ALE được tính theo công thức:  ALE = single loss expectancy (SLE) * annualized rate of occurrence (ARO) (or ALE = SLE * ARO). Ví dụ nếu SLE của  một tài sản đối với một rủi ro cụ thể là 100 đồng và ARO được xác định là 5 thì ALE sẽ là 500 đồng.

Khái niệm và công thức của các hàm tính toán chi phí có thể được tổng hợp trong bảng sau

Các tính toán liên quan đến EF  SLE ARO ALE ACS cho từng đe dọa / rủi ro đối với từng tài sản của doanh nghiệp là công việc khổng lồ. Tuy nhiên, công việc này có thể được đơn giản hóa và tự động hóa thông qua các phần mềm, bảng tính.

Các tính toán khác

Tính toán Annualized loss expectancy với chi phí Safeguard

Ngoài việc tính toán phí hàng năm để duy trì các phương pháp bảo vệ (safeguard), cần phải tính ALE còn lại đối với một tài sản sau khi triển khai phương pháp bảo vệ để bảo vệ tài sản đó. Việc tính toán này yêu cầu một EF mới và một ARO mới. Tuy nhiên, trong hầu hết các trường hợp, EF mới bằng với EF cũ. Đơn giản có thể lấy ví dụ nếu chúng ta mặc áo giáp để chống lại một nhát đâm nhưng áo giáp đó lại rách và vết đâm đúng chỗ rách đó, như vậy vết thương chúng ta nhận được bằng với vết thương khi chúng ta không mặc áo giáp. Tương tự như vậy, nếu một phương pháp bảo vệ bị bẽ gãy, tài sản thông thường đối diện với sự mất mát bằng với khi không được bảo vệ. Các phương pháp bảo vệ giúp làm giảm ARO, nghĩa là làm giảm số lần xảy ra các tấn công thành công gây thiệt hại giá trị tài sản. Lý tưởng của các phương pháp bảo vệ là giảm ARO về 0 mặc dù điều này hầu như là không thể. Tóm lại, khi triển khai các phương pháp bảo vệ, ta có một ARO mới và có thể là EF mới, từ đó ta có giá trị ALE mới.

Tính toán chi phí bảo vệ (safeguard cost)

Với mỗi rủi ro, cuối cùng là phải phân tích chi phí / lợi ích cho việc triển khai một hoặc nhiều phương pháp bảo vệ để giảm thiểu rủi ro đó. Để làm được điều này, việc đầu tiên phải làm là tính toán chi phí bảo vệ. Để xác định chi phí này, có các tham số sau để tính toán

– Chi phí mua, phát triển và bản quyền

– Chi phí triển khai và thay đổi

– Chi phí vận hành, bảo trì, quản trị

– Chi phí sửa chữa định kỳ, cập nhật

– Productivity improvement or loss

– Changes to environment

– Chi phí kiểm thử và đánh giá

Phân tích Chi phí / Lợi ích

Tính toán cuối cùng của quy trình phân tích rủi ro này là tính toán để xác định phương pháp bảo vệ nào thực sự tốt mà không tiêu tốn quá nhiều tiền. Chúng ta có công thức

ALE trước khi bảo vệ (ALE1) – ALE sau khi triển khai các phương pháp bảo vệ (ALE2) – chi phí bảo vệ hàng năm (ACS) = Giá trị của phương pháp bảo vệ

Hay viết gọn: ALE1 – ALE2 – ACS

Nếu kết quả là Âm, phương pháp bảo vệ này thực sự không tốt về mặt tài chính. Nếu kết quả là Dương, phương pháp bảo vệ này mang lại lợi ích cho tổ chức.

Một điều quan trọng là giá trị cuối cùng tính toán được này được sử dụng để phân độ ưu tiên và lựa chọn. Tuy nhiên giá trị này không phản ánh một cách trung thực nhất chi phí và mất mát khi các lỗ hổng bảo mật được khai thác. Nó còn phụ thuộc vào các yếu tố như dự đoán, phân tích thống kê, và dự đoán xác xuất xảy ra trong toàn bộ quy trình.

Sau khi có được các phương pháp bảo vệ tài sản khác nhau với độ ưu tiên khác nhau, thông thường độ ưu tiên cao nhất (có chi phí thấp nhất) được chọn. Tuy nhiên trong thực tế không phải như vậy, thông tin này chỉ là một phần của quá trình ra quyết định (phần quan trọng). Tuy nhiên nó còn ảnh hưởng bởi kinh phí cho bảo mật của tổ chức, sự tương thích với hệ thống hiện hành, kỹ năng và kiến thức của đội ngũ IT hiện tại, vấn đề về luật pháp, … Ra quyết định với nhiều thông tin như vậy là nhiệm vụ của lãnh đạo IT.

TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn