[CEH Tiếng Việt] Module 1 – Phần 5: Đảm bảo an ninh thông tin, quản lý rủi ro

Thông tin là tài sản lớn nhất của một tổ chức. Thông tin phải được bảo mật bằng cách sử dụng các chính sách, các cơ chế bảo mật hoặc bằng những phương tiện khác.

Phần này đề cập đến Information Assurance (IA) – bảo đảm an ninh thông tin, phòng thủ theo chiều sâu, khái niệm rủi ro và quản lý rủi ro, tình báo về mối đe dọa mạng, mô hình mối đe dọa, quản lý sự cố và các khái niệm Al và ML.

Information Assurance (IA)

IA là đảm bảo tính toàn vẹn, tính sẵn có, tính bí mật và tính xác thực (xem thêm ở Phần 1) của thông tin và hệ thống thông tin trong quá trình sử dụng, xử lý, lưu trữ và truyền thông. Đảm bảo thông tin và quản lý rủi ro thông tin (Information Assurance and Information Risk Management – IRM) đảm bảo rằng chỉ những cá nhân được ủy quyền mới có thể truy cập và sử dụng thông tin. Điều này giúp đạt được sự bảo mật và tính liên tục trong kinh doanh.

Một số quy trình giúp đạt được sự đảm bảo thông tin bao gồm:

• Xây dựng chính sách, quy trình và hướng dẫn để duy trì hệ thống thông tin ở mức bảo mật tối ưu;
• Thiết kế một hệ thống mạng an toàn đảm bảo tính riêng tư của người dùng và các thông tin khác trên mạng. Mô hình xác thực người dùng hiệu quả sẽ bảo mật dữ liệu của hệ thống thông tin;
• Xác định các lỗ hổng và mối đe dọa mạng – Đánh giá lỗ hổng bảo mật phác thảo tình hình bảo mật của mạng. Thực hiện đánh giá lỗ hổng để tìm kiếm các lỗ hổng và mối đe dọa mạng giúp đưa ra các biện pháp thích hợp để khắc phục chúng;
• Xác định các vấn đề và các yêu cầu về nguồn lực;
• Lập kế hoạch cho các yêu cầu tài nguyên;
• Áp dụng các biện pháp kiểm soát đảm bảo thông tin thích hợp;
• Thực hiện quy trình Chứng nhận và Công nhận (Certification and Accreditation – C&A) của hệ thống thông tin giúp theo dõi các lỗ hổng và thực hiện các biện pháp an toàn để vô hiệu hóa chúng;

Mô hình phòng thủ theo chiều sâu (Defense-in-Depth)

Phòng thủ chuyên sâu là một chiến lược bảo mật, sử dụng nhiều lớp bảo vệ trong toàn bộ hệ thống. Phòng thủ chuyên sâu giúp ngăn chặn các cuộc tấn công trực tiếp vào hệ thống thông tin và dữ liệu của nó bởi vì sự cố ở một lớp chỉ dẫn kẻ tấn công đến lớp tiếp theo. Nếu attacker có quyền truy cập vào hệ thống, khả năng phòng thủ chuyên sâu sẽ giảm thiểu mọi tác động bất lợi và cho quản trị viên và giúp có thêm thời gian để triển khai các biện pháp đối phó mới hoặc cập nhật nhằm ngăn chặn sự xâm nhập tái diễn.

Rủi ro là gì? What is Risk?

Rủi ro đề cập đến mức độ không chắc chắn hoặc dự kiến về thiệt hại tiềm ẩn mà một sự kiện bất lợi có thể gây ra cho hệ thống hoặc các tài nguyên của hệ thống, trong các điều kiện cụ thể.

Ngoài ra, rủi ro cũng có thể là:

• Xác suất xảy ra một mối đe dọa hoặc một sự kiện sẽ gây thiệt hại, gây tổn thất hoặc có các tác động tiêu cực khác đối với tổ chức.
• Khả năng xảy ra một mối đe dọa tác động lên một lỗ hổng bên trong hoặc bên ngoài và gây tổn hại đến tài nguyên.

Mối quan hệ giữa rủi ro, mối đe doạ, lỗ hổng và tác động của nó:

Trên thực tế, rủi ro là sự kết hợp của hai yếu tố sau:

• Xác suất xảy ra sự kiện bất lợi
• Hậu quả của sự kiện bất lợi

Risk Level

Có nhiều phương pháp khác nhau để phân biệt các risk level tùy thuộc vào tần suất và mức độ rủi ro. Một trong những phương pháp phổ biến được sử dụng để phân loại rủi ro là phát triển ma trận hai chiều.

Việc tính toán tần suất hoặc xác suất xảy ra sự cố (khả năng xảy ra) và các hậu quả có thể xảy ra là rất cần thiết để phân tích rủi ro. Đây được coi là mức độ rủi ro. Rủi ro có thể được biểu thị và tính toán theo công thức sau:

Level of Risk = Consequence X Likelihood

Rủi ro được phân loại thành các mức độ khác nhau tùy theo tác động ước tính của chúng đối với hệ thống. Về cơ bản, có bốn mức độ rủi ro, bao gồm mức cực đoan, cao, trung bình và thấp.

Các biện pháp kiểm soát có thể làm giảm mức độ rủi ro, nhưng không phải lúc nào cũng loại bỏ hoàn toàn rủi ro.

Risk Matrix

Hình bên dưới biểu diễn ma trận rủi ro, được sử dụng để hình dung và so sánh các rủi ro. Nó phân biệt hai mức độ rủi ro và là một cách đơn giản để phân tích chúng.

• Khả năng xảy ra (Likelyhood): Khả năng xảy ra rủi ro
• Hậu quả (Impact): Mức độ nghiêm trọng của sự kiện rủi ro xảy ra

Đây chỉ là một ví dụ về ma trận rủi ro. Các tổ chức kinh doanh phải tạo ra các ma trận rủi ro riêng dựa vào tình hình thực tế.

Risk Management – Quản lý rủi ro

Quản lý rủi ro là quá trình xác định, đánh giá, ứng phó và thực hiện các hoạt động kiểm soát các tác động tiềm ẩn của rủi ro. Nó là một quá trình phức tạp liên tục và ngày càng gia tăng.

Mục tiêu quản lý rủi ro

• Xác định các rủi ro tiềm ẩn – mục tiêu chính;
• Xác định tác động của rủi ro và giúp tổ chức phát triển các chiến lược và kế hoạch quản lý rủi ro tốt hơn;
• Hiểu và phân tích các rủi ro và báo cáo các rủi ro đã xác định;
• Kiểm soát rủi ro và giảm thiểu ảnh hưởng của nó;
• Nâng cao nhận thức cho các nhân viên và phát triển các chiến lược và kế hoạch cho các chiến lược quản lý rủi ro lâu dài.

Quản lý rủi ro giúp giảm thiểu và duy trì rủi ro ở mức có thể chấp nhận được.

Các bước quản lý rủi ro

Bốn bước chính thường được gọi là giai đoạn quản lý rủi ro là:

• Risk Identification (nhận dạng rủi ro)
• Risk Assessment (đánh giá rủi ro)
• Risk Treatment (xử lý rủi ro)
• Risk Tracking and Review (theo dõi và xem xét rủi ro)

Mọi tổ chức cần tuân theo các bước trên trong khi thực hiện quá trình quản lý rủi ro.

Nhận dạng rủi ro

Mục đích chính của nó là xác định các rủi ro – bao gồm nguồn gốc, nguyên nhân và hậu quả của các rủi ro bên trong và bên ngoài ảnh hưởng đến an ninh của tổ chức.

Đánh giá rủi ro

Giai đoạn này đánh giá rủi ro của tổ chức và ước tính khả năng xảy ra cũng như tác động của những rủi ro đó. Các tổ chức nên áp dụng quy trình đánh giá rủi ro để phát hiện, sắp xếp thứ tự ưu tiên và loại bỏ rủi ro.

Đánh giá rủi ro xác định loại rủi ro hiện tại, khả năng xảy ra và mức độ nghiêm trọng của chúng, các ưu tiên và kế hoạch kiểm soát rủi ro. Các tổ chức thực hiện đánh giá rủi ro khi họ xác định được mối nguy nhưng không có khả năng kiểm soát nó ngay lập tức.

Xử lý rủi ro

Xử lý rủi ro là quá trình lựa chọn và thực hiện các biện pháp kiểm soát thích hợp đối với các rủi ro đã xác định. Phương pháp xử lý rủi ro giải quyết và xử lý các rủi ro tùy theo mức độ nghiêm trọng của chúng.

• Phương pháp xử lý thích hợp;
• Những người chịu trách nhiệm xử lý;
• Các chi phí liên quan;
• Giá trị tích cực sau khi xử lý;
• Khả năng thành công;
• Các cách đo lường và đánh giá việc xử lý;

Theo dõi và xem xét rủi ro

Một kế hoạch quản lý rủi ro hiệu quả đòi hỏi phải theo dõi và xem xét để đảm bảo xác định và đánh giá hiệu quả các rủi ro cũng như việc sử dụng các biện pháp kiểm soát và phản ứng thích hợp. Quá trình theo dõi và xem xét cần xác định các biện pháp được thông qua và đảm bảo rằng thông tin thu thập được để thực hiện đánh giá là phù hợp.

Giai đoạn xem xét giúp đánh giá hiệu suất của các chiến lược quản lý rủi ro đã thực hiện. Hơn nữa, quá trình giám sát đảm bảo rằng có các biện pháp kiểm soát thích hợp dành cho các hoạt động của tổ chức và tất cả các thủ tục được hiểu và tuân thủ.