CISSP - Risk management (Quản lý rủi ro)
Quản lý rủi ro là khái niệm hay công việc được nhắc đến rất nhiều. Hầu hết các công ty, doanh nghiệp đều thực hiện việc này.
Rủi ro trong lĩnh vực IT được định nghĩa là khả năng (xác suất) một vấn đề nào đó xảy ra gây hư hỏng, phá hủy hay làm lộ thông tin. Quản lý rủi ro là một quy trình chi tiết để xác định các yếu tố này, đánh giá so sánh giá trị của dữ liệu với chi phí bảo vệ và triển khai các giải pháp hiệu quả để loại bỏ hay giảm thiểu các rủi ro.
Đừng suy nghĩ rằng quản lý rủi ro sẽ giúp tổ chức loại bỏ rủi ro cho doanh nghiệp của mình. Mục tiêu chính của Quản lý rủi ro chỉ là để làm giảm rủi ro đến một mức có thể chấp nhận được. Mức chấp nhận được này tùy thuộc vào từng tổ chức, vào giá trị của tài sản, độ lớn của kinh phí, và các yếu tố khác nữa. Một rủi ro được coi là chấp nhận được với một tổ chức này có thể là không thể chấp nhận được với một tổ chức khác. Ví dụ như rủi ro về mất kết nối mạng trong 10 phút là có thể chấp nhận được với một trường đại học nhưng là không thể chấp nhận được đối với một công ty chứng khoán.
Rủi ro đối với một hệ thống thông tin không chỉ đến từ những vấn đề liên quan đến máy tính mà đến từ mọi phía, thậm chí có thể đến từ thiên nhiên như thiên tai, lũ lụt. Điều này cần được xác định và luôn ghi nhớ khi tiến hành phân tích rủi ro. Việc phân tích rủi ro này chính là quy trình chính của công việc quản lý rủi ro. Nó vét cạn các rủi ro của tổ chức, tính toán xác suất xảy ra, thiệt hại khi xảy ra, ước lượng chi phí của các giải pháp khác nhau để phòng chống hay giảm thiểu rủi ro, so sánh giữa chi phí / lợi ích để các cấp lãnh đạo cao hơn có khả năng đưa ra quyết định.
Trong Quản lý rủi ro có một số các khái niệm, thuật ngữ cần phải được biết đến và hiểu một cách rõ ràng. Các khái niệm và thuật ngữ chính bao gồm
– Asset (tài sản). Tài sản là toàn bộ những gì thuộc về tổ chức và nằm trong một môi trường cần được bảo vệ.
– Asset valuation(Giá trị tài sản). Là giá trị tính bằng tiền cho một tài sản nào đó dựa trên chi phí thực và các chi phí khác. Nó có thể bao gồm chi phí phát triển, bảo trì, quản trị, quảng cáo, hỗ trợ, sửa chữa và thay thế. Nó cũng có thể bao gồm các giá trị khó xác định như độ tin tưởng của công chúng, sự hỗ trợ, mức độ hỗ trợ trong tăng trưởng năng suất, mức độ sở hữu tri thức, và lợi ích của việc sở hữu tài sản
– Threats(Đe dọa). Tất cả những sự cố tiềm tàng mà có thể gây ra những hậu quả không mong muốn cho tổ chức hay cho một tài sản cụ thể nào đó đều được gọi là Đe dọa. Nó có thể là những hành động chủ động hoặc thụ động mà gây ra hư hại, phá hủy, thay đổi, mất mát, hoặc làm lộ thông tin, tài sản hoặc ngăn chặn truy cập đến tài sản. Những Đe dọa có thể lớn hoặc nhỏ từ đó gây ra hậu quả tương ứng, có thể cố ý hay vô ý, có thể xuất phát từ con người, kỹ thuật, hay thậm chí là thiên nhiên. Ở đây có 2 từ chuyên dụng mà khó chuyển sang Tiếng Việt là Threat Agents và Threat Events. Threat Agents thông thường đó là con người hoặc có thể là phần mềm (virus, spyware,…) cố ý khai thác các lỗ hổng. Threat Events là các Đe dọa xui rủi mới xảy ra như động đất, lụt, do lỗi không hiểu biết của con người, …
– Vulnerability (Lỗ hổng). Một lỗ hổng có thể là một sai lầm, rò rỉ, thiếu sót, lỗi, hạn chế, yếu điểm, nhạy cảm của một hạ tầng Công nghệ thông tin hay các đối tượng khác của tổ chức. Nếu một lỗ hổng được khai thác thì có thể xảy ra hư hỏng hay mất mát đối với tài sản
– Exposure (Phơi nhiễm). Khái niệm này khá mới mẻ trong lĩnh vực công nghệ thông tin. Nó được sử dụng nhiều trong Y học. Trong Y học, khi các bác sĩ tiếp xúc với bệnh nhân, họ có nguy cơ bị lây nhiễm các bệnh từ bệnh nhân. Người ta gọi đó là bị Phơi nhiễm. Trong CNTT, Phơi nhiễm có nghĩa là hệ thống của chúng ta tiếp xúc với môi trường có nguy cơ bị tấn công như Internet. Phơi nhiễm không phải là một Đe dọa thực sự đang xảy ra, nó chỉ có nghĩa là nếu có một lỗ hổng từ đó có thể khai thác được thì sẽ có khả năng một Đe dọa trở thành hiện thực.
– Risk(rủi ro). Rủi ro là khả năng một Đe dọa xảy ra (khai thác một lỗ hổng) để gây ra nguy hiểm hoặc mất mát tài sản. Nó được xác định bằng các đơn vị như xác suất, khả năng hay cơ hội. Khả năng Đe dọa xảy ra càng nhiều thì Rủi ro được xác định càng lớn. Khi viết dưới dạng công thức, Rủi ro được tính toán bằng Đe dọa + Lỗ hổng (Risk = Threat + vulnerability). Vì vậy, để giảm rủi ro, có thể giảm các Đe dọa hoặc giảm các lỗ hổng. Toàn bộ mục tiêu của công việc bảo mật là ngăn chặn các rủi ro trở thành hiện thực.
– Safeguards (Bảo vệ). Sự bảo vệ, hay còn gọi là sự đối phó là toàn bộ những việc gì mà loại bỏ các lỗ hổng bảo mật hay ngăn chặn các Đe dọa. Ví dụ về một sự bảo vệ như cài đặt bản vá lỗi phần mềm, thay đổi cấu hình, thay đổi cấu trúc hệ thống, quy trình, cải tiến chính sách bảo mật, … Một cách khác, sự bảo vệ là tất cả các hành động hay sản phẩm mà giúp giảm thiểu rủi ro bằng các loại bỏ hay hạn chế các đe dọa và lỗ hổng bảo mật trong tổ chức.
– Attack (tấn công). Một tấn công thực ra là khai thác lỗ hổng bảo mật. Nói cách khác, một tấn công là các hành động có chủ đích cố gắng để khai thác một lỗ hổng bảo mật của một tổ chức. Chủ đích đó có thể là làm mất mát, lộ hay thay đổi thông tin, tài sản. Vi phạm hay không tôn trọng chính sách bảo mật của tổ chức cũng được xem là tấn công.
– Breach(Phá vỡ). Khi một kỹ thuật bảo mật bị vượt qua hay bị loại bỏ, nó được gọi là bị Phá vỡ. Nếu kết hợp với một Tấn công thì kết quả sẽ trở thành một cuộc xâm nhập. Xâm nhập có nghĩa là đối đối tượng tấn công có được truy cập đến hệ thống và tất nhiên sẽ trực tiếp gây nguy hại đến thông tin và tài sản.
Các thành phần trên (Asset, Threat, Vulnerability, Exposure, Risk, Safeguard) có liên quan mật thiết với nhau. Sự liên quan này có thể được biểu diễn bởi mô hình sau
 |
Phương pháp đánh giá Rủi ro
Đánh giá /phân tích rủi ro là công việc chính của các nhà quản lý cấp cao. Họ phải là người khởi xướng và hỗ trợ công tác này bằng cách định nghĩa ra phạm vi và mục tiêu của việc đánh giá / phân tích rủi ro. Đến phần thực thi công việc thì các chuyên viên về bảo mật lại là những người được ủy quyền thực hiện. Quản lý cấp trên trong công tác này phải hiểu rõ và phê duyệt các kết quả, ra các quyết định liên quan một cách thận trọng. Không có hệ thống miễn nhiễm với rủi ro, do vậy là người quản lý phải biết phân tích và đưa ra quyết định rủi ro nào là chấp nhận được, rủi ro nào cần làm giảm thiểu hay cần chuyển sang dạng khác.
Phân tích rủi ro
Kết quả của việc phân tích rủi ro là để cung cấp đủ chi tiết những thông tin cần thiết để quản lý cấp trên có khả năng dựa vào đó để ra quyết định chấp nhận, loại bỏ, giảm thiểu hay chuyển đổi các rủi ro.
Thật ra, kết quả của phân tích rủi ro là sự so sánh giữa chi phí / lợi ích nghĩa là dự đoán thiệt hại khi rủi ro đó xảy ra và so sánh nó với chi phí để triển khai các cơ chế bảo vệ lại các mối đe dọa hay lỗ hổng bảo mật liên quan. Phân tích rủi ro xác định các rủi ro, lượng hóa ảnh hưởng của các đe dọa và hỗ trợ trong việc xây dựng chi phí cho công tác bảo mật.
Bước đầu tiên của việc phân tích rủi ro là định giá tài sản. Định giá tài sản giúp tránh khỏi việc tổ chức triển khai một giải pháp bảo vệ 10 đồng chỉ để bảo vệ một tài sản có giá trị 1 đồng. Tất nhiên, tài sản không có giá trị thì không cần phải bảo vệ. Giá trị tài sản ảnh hưởng trực tiếp đến mức độ bảo vệ nó, kiểu như vệ sĩ cho Thủ tướng khác với việc bảo vệ cho một Diva.
Giá trị tài sản
Mục tiêu của việc định giá tài sản là xác định giá trị tính bằng tiền cho một tài sản bao gồm cả giá trị hữu hình và giá trị vô hình. Giá trị này thì khó có thể xác định chính xác tuyệt đối, nhưng kiểu nào đi nữa cũng phải cho nó một con số. Nếu giá trị sai lệch nhiều thì sẽ dẫn đến những sai lệch về sau khi xây dựng chi phí để bảo vệ tài sản đó. Có rất nhiều thông tin để xác định giá trị tài sản như
– Purchase cost – Chi phí đầu tư
- Development cost – Chi phí phát triển
- Administrative or management cost – Chi phí vận hành
- Maintenance or upkeep cost – Chi phí bảo dưỡng
- Cost in acquiring asset – Chi phí mua lại
- Cost to protect or sustain asset – Chi phí duy trì, bảo vệ
- Value to owners and users – Giá trị cho người sở hữu và người sử dụng
- Value to competitors – Giá trị cho các đối thủ
- Intellectual property or equity value – Giá trị sở hữu trí tuệ
- Market valuation (sustainable price) – Giá trị thị trường
- Replacement cost – Chi phí thay thế
- Productivity enhancement or degradation – Mức tăng hay giảm năng suất
- Operational costs of asset presence and loss – Chi phí vận hành khi có sự hiện diện và mất mát của tài sản
- Liability of asset loss – Trách nhiệm pháp lý khi mất mát tài sản
- Usefulness – Mức độ hữu ích
Xác định và gán giá trị cho tài sản sẽ giải quyết được rất nhiều các yêu cầu của công tác đánh giá rủi ro như làm nền tảng cho việc phân tích chi phí / lợi ích của việc triển khai các cơ chế bảo vệ tài sản, cung cấp thông tin cho việc định giá tổ chức trong bảo hiểm. Ngoài ra còn hỗ trợ quản lý cấp cao trong việc xác định chính xác những rủi ro đang tồn tại trong tổ chức của mình, loại bỏ các yếu tố thiếu sót khi xử lý các vấn đề liên quan đến luật pháp, điều kiện công nghiệp hay chính sách bảo mật nội bộ
Tiếp theo của công việc định giá tài sản là xác định các Đe dọa. Một danh sách tất cả các đe dọa đối với hệ thống thông tin cũng như đối với tổ chức cần được liệt kê và ghi nhớ rằng, đe dọa đến từ mọi nơi chứ không chỉ từ những nguồn liên quan đến thông tin. Dưới đây là danh sách các nguồn đe dọa phổ biến
– Viruses – Vi rút máy tính
- Cascade errors and dependency faults – Lỗi liên hoàn
- Criminal activities by authorized users – nguy cơ lợi dụng từ người dùng hợp pháp
- Movement (vibrations, jarring, etc.) – di chuyển (gây rung lắc hay va chạm)
- Intentional attacks – Tấn công nội bộ
- Reorganization – tái cấu trúc
- Authorized user illness or epidemics – Bệnh tật
- Hackers – Hacker
- User errors – lỗi của người dùng
- Natural disasters (earthquakes, floods, fire, volcanoes, hurricanes, tornadoes, tsunamis,
and so on) – Thiên tai
- Physical damage (crushing, projectiles, cable severing, and so on) – hư hỏng vật lý
- Misuse of data, resources, or services – sử dụng sai
- Changes or compromises to data classification or security policies – thay đổi trong việc phân loại dữ liệu hay các chính sách bảo mật
- Government, political, or military intrusions or restrictions – những quy định liên quan đến chính trị, quân đội
- Processing errors, buffer overflows – các lỗi trong xử lý
- Personnel privilege abuse – lạm dụng quyền hạn cá nhân
- Temperature extremes – nhiệt độ
- Energy anomalies (static, EM pulses, radio frequencies [RFs], power loss, power surges,
and so on) – vấn đề liên quan đến năng lượng
- Loss of data – mất mát dữ liệu
- Information warfare – chiến tranh thông tin
- Bankruptcy or alteration/interruption of business activity – vỡ nợ hay sự cố trong kinh doanh
- Coding/programming errors – lỗi lập trình
- Intruders (physical and logical) – xâm nhập bất hợp pháp
- Environmental factors (presence of gases, liquids, organisms, and so on) – môi trường
- Equipment failure – hư hỏng thiết bị
- Physical theft – mất trộm
- Social engineering – tấn công phi kỹ thuật
Trong hầu hết các trường hợp, nên tập hợp một nhóm bao gồm nhiều cá nhân từ nhiều bộ phận khác nhau của tổ chức (không nhất thiết là chuyên gia bảo mật) để thực hiện công tác đánh giá rủi ro. Sự đa dạng của nhóm này sẽ giúp việc vét cạn các đe dọa được dễ dàng và đầy đủ hơn.
Sau khi có được danh sách các Đe dọa, tiến hành xác định các rủi ro liên quan đến từng đe dọa đã liệt kê. Có 2 phương pháp đánh giá rủi ro là Định lượng và Định tính. Định lượng xác định giá trị (tiền) sẽ mất đi nếu rủi ro xảy ra, trong khi đó Định tính sẽ xác định các giá trị chủ quan và vô hình cho mất mát đó. Cả hai phương pháp đều cần thiết phải thực hiện trong việc phân tích rủi ro.
Phân tích định lượng
Kết quả của phân tích định lượng là một tỉ lệ phần trăm(%). Có nghĩa là mức độ rủi ro, khả năng mất mát, chi phí bảo vệ, giá trị của việc bảo vệ đều được xác định bằng tiền. Báo cáo của phân tích định lượng thông thường là rõ ràng và dễ hiểu. Tuy nhiên không phải tất cả các rủi ro đều có thể phân tích định lượng được mà cần phải có phân tích định tính sẽ được đề cập sau.
Quy trình của việc phân tích định lượng bắt đầu ngay sau khi xác định giá trị tài sản và liệt kê các đe dọa. Tiếp theo sau đó là xác định, ước lượng khả năng và tần suất của mỗi rủi ro. Kết quả này sau đó được sử dụng để tính toán ra các chi phí (được gọi là cost functions) từ đó xác định giá trị của các giải pháp bảo vệ. Chi tiết được liệt kê trong 6 bước
1. Inventory assets, and assign a value (AV) – Liệt kê và định giá tài sản
2. Research each asset, and produce a list of all possible threats of each individual asset. For each listed threat, calculate the exposure factor (EF) and single loss expectancy (SLE).- Đối với mỗi tài sản, liệt kê vét cạn các Đe dọa có thể xảy đến với tài sản đó. Đối với mỗi Đe dọa, tính toán giá trị mất mát (EF và SLE)
3. Perform a threat analysis to calculate the likelihood of each threat taking place within a
single year, that is, the annualized rate of occurrence (ARO). – Tính toán xác suất xảy ra đối với mỗi Đe dọa trong một năm (ARO)
4. Derive the overall loss potential per threat by calculating the annualized loss expectancy (ALE). – Từ ARO suy ra được giá trị tài sản dự đoán bị mất hàng năm
5. Research countermeasures for each threat, and then calculate the changes to ARO and
ALE based on an applied countermeasure. – Phân tích các phương pháp bảo vệ và phòng thủ và tính toán ARO, ALE sau khi triển khai các giải pháp đó
6. Perform a cost/benefit analysis of each countermeasure for each threat for each asset.
Select the most appropriate response to each threat. – Thực hiện phân tích chi phí / lợi ích để đưa ra quyết định chính xác cho việc xử lý các Đe dọa
Trên đây chỉ là tóm gọn 6 bước. Phần sau sẽ nêu định nghĩa các khái niệm và giải thích từng bước
Các hàm tính toán chi phí (cost functions)
Để tính toán chi phí trong phân tích định lượng, chúng ta có các công thức và khái niệm như exposure factor (EF), single loss expectancy(SLE), annualized rate of occurrence(ARO), and annualized loss expectancy(ALE)
Exposure factor (EF): Biễu diễn cho phần trăm mất mát mà tổ chức phải chịu nếu một tài sản cụ thể nào đó bị nguy hại bởi một rủi ro. Thông thường, khi một rủi ro xảy ra thì tài sản có thể sẽ không mất hết mà chỉ mất một phần giá trị, EF đơn giản là xác định phần giá trị bị mất đó. EF được biễu diễn bằng tỉ lệ phần trăm(%)
Single loss expectancy (SLE): SLE được tính toán từ EF. SLE được tính theo công thức SLE = asset value (AV) * exposure factor (EF) (or SLE = AV * EF). SLE được biểu diễn bằng tiền (dollar). Ví dụ một tài sản có giá trị là 100 đồng và nó có giá trị EF là 45% cho một đe dọa nào đó thì SLE cho đe dọa đó đối với tài sản đó là 45 đồng.
Annualized rate of occurrence (ARO): ARO là tần xuất dự đoán của một đe dọa hay rủi ro cụ thể nào đó sẽ xảy ra trong 1 năm. ARO có giá trị từ 0 nói rằng rủi ro sẽ không bao giờ xảy ra cho đến một con số rất lớn nói rằng rủi ro này xảy ra thường xuyên. Dự đoán hay tính toán ra ARO là rất phức tạp. Nó có thể dựa vào lịch sử, vào thống kê hoặc đơn giản là đoán (tương tự như bài toán xác định xác suất). Ví dụ ARO của rủi ro động đất tại Việt Nam là 0.0001 trong khi ARO của rủi ro một email có virus tại Việt Nam là 10,000. Ý nghĩa của ví dụ này là ARO của một số rủi ro hay đe dọa có thể được tính bằng cách lấy xác xuất xảy ra nhân với số lượng người dùng có thể là tác nhân kích hoạt đe dọa.
Annualized loss expectancy (ALE): ALE là giá trị có thể mất đi hàng năm của một rủi ro cụ thể đối với một tài sản cụ thể. ALE được tính theo công thức: ALE = single loss expectancy (SLE) * annualized rate of occurrence (ARO) (or ALE = SLE * ARO). Ví dụ nếu SLE của một tài sản đối với một rủi ro cụ thể là 100 đồng và ARO được xác định là 5 thì ALE sẽ là 500 đồng.
Khái niệm và công thức của các hàm tính toán chi phí có thể được tổng hợp trong bảng sau
Các tính toán liên quan đến EF SLE ARO ALE ACS cho từng đe dọa / rủi ro đối với từng tài sản của doanh nghiệp là công việc khổng lồ. Tuy nhiên, công việc này có thể được đơn giản hóa và tự động hóa thông qua các phần mềm, bảng tính.
Các tính toán khác
Tính toán Annualized loss expectancy với chi phí Safeguard
Ngoài việc tính toán phí hàng năm để duy trì các phương pháp bảo vệ (safeguard), cần phải tính ALE còn lại đối với một tài sản sau khi triển khai phương pháp bảo vệ để bảo vệ tài sản đó. Việc tính toán này yêu cầu một EF mới và một ARO mới. Tuy nhiên, trong hầu hết các trường hợp, EF mới bằng với EF cũ. Đơn giản có thể lấy ví dụ nếu chúng ta mặc áo giáp để chống lại một nhát đâm nhưng áo giáp đó lại rách và vết đâm đúng chỗ rách đó, như vậy vết thương chúng ta nhận được bằng với vết thương khi chúng ta không mặc áo giáp. Tương tự như vậy, nếu một phương pháp bảo vệ bị bẽ gãy, tài sản thông thường đối diện với sự mất mát bằng với khi không được bảo vệ. Các phương pháp bảo vệ giúp làm giảm ARO, nghĩa là làm giảm số lần xảy ra các tấn công thành công gây thiệt hại giá trị tài sản. Lý tưởng của các phương pháp bảo vệ là giảm ARO về 0 mặc dù điều này hầu như là không thể. Tóm lại, khi triển khai các phương pháp bảo vệ, ta có một ARO mới và có thể là EF mới, từ đó ta có giá trị ALE mới.
Tính toán chi phí bảo vệ (safeguard cost)
Với mỗi rủi ro, cuối cùng là phải phân tích chi phí / lợi ích cho việc triển khai một hoặc nhiều phương pháp bảo vệ để giảm thiểu rủi ro đó. Để làm được điều này, việc đầu tiên phải làm là tính toán chi phí bảo vệ. Để xác định chi phí này, có các tham số sau để tính toán
– Chi phí mua, phát triển và bản quyền
– Chi phí triển khai và thay đổi
– Chi phí vận hành, bảo trì, quản trị
– Chi phí sửa chữa định kỳ, cập nhật
– Productivity improvement or loss
– Changes to environment
– Chi phí kiểm thử và đánh giá
Phân tích Chi phí / Lợi ích
Tính toán cuối cùng của quy trình phân tích rủi ro này là tính toán để xác định phương pháp bảo vệ nào thực sự tốt mà không tiêu tốn quá nhiều tiền. Chúng ta có công thức
ALE trước khi bảo vệ (ALE1) – ALE sau khi triển khai các phương pháp bảo vệ (ALE2) – chi phí bảo vệ hàng năm (ACS) = Giá trị của phương pháp bảo vệ
Hay viết gọn: ALE1 – ALE2 – ACS
Nếu kết quả là Âm, phương pháp bảo vệ này thực sự không tốt về mặt tài chính. Nếu kết quả là Dương, phương pháp bảo vệ này mang lại lợi ích cho tổ chức.
Một điều quan trọng là giá trị cuối cùng tính toán được này được sử dụng để phân độ ưu tiên và lựa chọn. Tuy nhiên giá trị này không phản ánh một cách trung thực nhất chi phí và mất mát khi các lỗ hổng bảo mật được khai thác. Nó còn phụ thuộc vào các yếu tố như dự đoán, phân tích thống kê, và dự đoán xác xuất xảy ra trong toàn bộ quy trình.
Sau khi có được các phương pháp bảo vệ tài sản khác nhau với độ ưu tiên khác nhau, thông thường độ ưu tiên cao nhất (có chi phí thấp nhất) được chọn. Tuy nhiên trong thực tế không phải như vậy, thông tin này chỉ là một phần của quá trình ra quyết định (phần quan trọng). Tuy nhiên nó còn ảnh hưởng bởi kinh phí cho bảo mật của tổ chức, sự tương thích với hệ thống hiện hành, kỹ năng và kiến thức của đội ngũ IT hiện tại, vấn đề về luật pháp, … Ra quyết định với nhiều thông tin như vậy là nhiệm vụ của lãnh đạo IT.
Phân tích định tính
Thay vì sử dụng giá trị thực (tính bằng dollar) để xác định các mất mát xảy ra, phân tích định tính xếp hạng các đe dọa dựa vào một thước đo tỉ lệ để đánh giá rủi ro, chi phí, và hiệu quả.
Phương pháp phân tích định tính sử dụng óc phán đoán, trực giác và kinh nghiệm để thực hiện phân tích rủi ro. Các kỹ thuật sử dụng để thực hiện phân tích định tính bao gồm
– Brainstorming
- Delphi technique
- Storyboarding
- Focus groups
- Surveys
- Questionnaires
- Checklists
- One-on-one meetings
- Interviews
Kịch bản
Công việc căn bản nhất của các kỹ thuật trên là việc tạo ra các Kịch bản. Một kịch bản là một miêu tả được viết ra của một đe dọa chính. Kịch bản tập trung vào việc miêu tả làm thế nào để một Đe dọa xảy ra và ảnh hưởng của nó đối với tổ chức, hạ tầng CNTT hay tài sản cụ thể. Thông thường, kịch bản nên giới hạn trong vòng 1 trang A4 để dễ dàng quản lý. Đối với mỗi kịch bản, cần có một hoặc nhiều phương pháp bảo vệ hoàn toàn hoặc một phần Đe dọa đã được miêu tả. Phân tích viên sau đó gán cho mỗi kịch bản một thread level (mức độ đe dọa), một loss potential (khả năng mất mát) và các lợi ích của mỗi phương pháp bảo vệ. Việc gán thread level có thể đơn giản như High, Medium, Low, hoặc là con số từ 1 – 10, 1- 100, …
Tính hữu ích và hợp lệ của quá trình phân tích định tính phụ thuộc vào số lượng và sự đa dạng của các cá nhân tham gia quá trình. Nếu có thể, nên sử dụng 1 hoặc 2 người ở các bộ phận khác nhau của tổ chức tham gia vào quá trình phân tích định tính này, từ cấp lãnh đạo đến nhân viên thông thường nhằm tăng sự chính xác của kết quả phân tích.
Kỹ thuật Delphi (Delphi Technique)
Trong các kĩ thuật phân tích định tính trên thì có kỹ thuật Delphi là mới mẻ và có thể là xa lạ. Kỹ thuật Delphi thực chất là một quy trình nhận xét và trả lời nặc danh. Mục tiêu chính của nó là giữ được tính nhiệt tình và không bị tác động lẫn nhau giữa các đối tượng tham gia quy trình trong quá trình phân tích. Thông thường tất cả những người tham gia sẽ được vào ngồi chung một phòng, đối với mỗi vấn đề cần được nhận xét, mỗi người sẽ tự viết ra ý kiến của mình một cách nặc danh (không biết ai viết) và sau đó từng ý kiến sẽ được nêu lên để cả nhóm đánh giá. Quy trình cứ thế thực hiện cho đến khi có kết quả chấp nhận được.
Cả 2 phương pháp phân tích rủi ro định lượng và định tính đều cho các kết quả hữu ích trong việc phân tích rủi ro đối với một tài sản. Tuy nhiên mỗi phương pháp đều có điểm mạnh và điểm yếu của nó như trong liệt kê dưới đây
Sau khi phân tích rủi ro, việc quan trọng tiếp theo là quản lý (xử lý) các rủi ro đó. Dựa trên kết quả của phân tích rủi ro bao gồm
– Chi tiết giá trị tài sản
– Danh sách vét cạn các đe dọa và rủi ro, tần suất xuất hiện và giá trị mất mát khi các đe dọa và rủi ro xảy ra
– Danh sách các phương pháp phòng thủ và bảo vệ kèm với hiệu quả của nó (đồng thời là giá trị ALE sau khi triển khai các phương pháp đó)
– Bảng phân tích chi phí / lợi ích của mỗi phương pháp bảo vệ
Các thông tin trên hỗ trợ cho người quản lý có thể đưa ra các quyết định sáng suốt về việc lựa chọn các phương pháp bảo vệ hay chỉnh sửa chính sách bảo mật của tổ chức cho phù hợp.
Sau khi phân tích rủi ro được hoàn tất, việc tiếp theo là phải xử lý rủi ro. Có 4 cách để xử lý rủi ro như sau
– Giảm thiểu (reduce): Đây là cách xử lý phổ biến nhất. Có thể sử dụng các cơ chế bảo vệ để giảm thiểu rủi ro xuống mức có thể chấp nhận được.
– chuyển (transfer hay Assign): Chuyển rủi ro sang các đối tượng khác. Ví dụ như thuê ngoài (oursourcing) hay mua bảo hiểm để chuyển rủi ro sáng các tổ chức khác
– Chấp nhận (accept): Chấp nhận rủi ro là việc tổ chức có thể nhận thấy chi phí để xây dựng các phương pháp bảo vệ lớn hơn những mất mát có thể có do tài sản đó bị tấn công. Do đó, nếu những hậu quả của việc mất mát này là có thể chấp nhận được, tổ chức có thể chấp nhận rủi ro và không triển khai một phương pháp bảo vệ nào.
– Từ chối (reject hay ignore): Là lựa chọn cuối cùng. Có nghĩa là tổ chức bỏ qua sự tồn tại của rủi ro này và hy vọng nó sẽ không xảy ra
Sau khi triển khai các phương pháp bảo vệ thì không phải là có thể loại bỏ hết mọi rủi ro. Những rủi ro còn tồn tại được gọi là Rủi ro còn lại (residual risk). Rủi ro còn lại là tất cả những đe dọa đối với các tài sản mà lớp quản lý chấp nhận nó mà không thực hiện các phương pháp để giảm thiểu hay loại bỏ nữa. Trong hầu hết các trường hợp thì Rủi ro còn lại là thước đo chính để đánh giá quá trình phân tích rủi ro hiệu quả đến mức độ nào.
Tổng số rủi ro(Total risk) được xác định là tất cả các rủi ro mà tổ chức phải đối mặt nếu không có một cơ chế bảo mật nào được triển khai. Tổng số rủi ro được tính theo công thức
total risk = threats * vulnerabilities * asset value
Sự khác nhau giữa Tổng số rủi ro và rủi ro còn lại được gọi là Độ che phủ của quản lý (Control gap) liên quan với Tổng số rủi ro và Rủi ro còn lại theo công thức
total risk – controls gap = residual risk
Lựa chọn các phương pháp bảo vệ / phòng thủ
Khi lựa chọn các phương pháp bảo vệ hay phòng thủ, cần chú ý đến các vấn đề
– Chi phí phòng thủ / bảo vệ nên nhỏ hơn chi phí của tài sản được bảo vệ
– Chi phí phòng thủ / bảo vệ nên thấp hơn những lợi ích mà nó mang lại
– Kết quả của việc triển khai cơ chế phòng thủ / bảo vệ nên làm cho chi phí để hacker có thể tấn công chiếm tài sản lớn hơn giá trị mà hacker có thể lấy được
– Cơ chế phòng thủ / bảo vệ nên phục vụ cho một vấn đề thực tế nào đó (đã được xác nhận) chứ không nên triển khai nó chỉ vì … có nó (hay nghe quảng cáo, nghe đồn, …)
– Cơ chế phòng thủ / bảo vệ không phải mạnh vì nó … bí mật. Nghĩa là tránh việc “bảo mật tù mù”.
– Những cơ chế phòng thủ / bảo mật cần phải kiểm chứng được
– Hướng đến việc đồng bộ và thống nhất các cơ chế bảo vệ trong toàn bộ hệ thống.
– Các “cửa” bảo vệ nên ít hoặc không phụ thuộc vào nhau để tránh đổ vỡ hàng loạt
– Tránh việc can thiệp của con người vào trong các hệ thống bảo vệ trong vận hành (sau khi triển khai và cấu hình)
– Bản thân hệ thống bảo vệ phải an toàn (không có backdoor, không bị xâm nhập, …)
– Chỉ có nhân viên có đặc quyền mới được có quyền thay đổi trên các hệ thống bảo vệ
– Nên đặt chế độ fail-safe hay fail-secure tại các hệ thống bảo vệ (cơ chế này giúp cho việc nếu hệ thống bảo vệ có sự cố thì nó sẽ deny all)
Bài viết này tôi không phân tích mà chỉ muốn viết lại các kiến thức trong CISSP vì tôi nhận thấy rằng để nắm bắt được chương quản lý rủi ro này thật sự là công việc không dễ dàng. Nếu điều kiện cho phép, tôi sẽ có bài để phân tích và chia sẽ các kinh nghiệm thực tế của tôi và một số đồng nghiệp trong quá trình thực hiện phân tích rủi ro cho các doanh nghiệp
Dịch và bổ sung theo Certified Information Systems Security Professional Study Guide – fourth edition – Wiley publishing
Source: phongbt.wordpress.com
){kind=link}
0 Nhận xét