Quản lý rủi ro đối với hệ thống thông tin (Phần 1)

Tram Ho

Trong cuộc sống, mọi thứ luôn biến đổi khôn lường và rủi ro có thể đến từ bất cứ đâu. Hệ thống thông tin (Infomation System) cũng vậy. Mọi thứ chúng ta sử dụng đều có thể dẫn tới rủi ro. Và để hạn chế tối đa các tác động của các rủi ro này, cần thiết phải có một chiến lược quản lí chúng một cách hợp lí. Ví dụ như trong một toà nhà, cần có bảo vệ để đề phòng kẻ gian, camera để quan sát hay bình cứu hoả và lối thoát hiểm cho các trường hợp khẩn cấp, trong hệ thống thông tin, để quản lí các rủi ro, nguy cơ có thể xảy ra cũng cần những chiến lược rõ ràng, cụ thể và hiệu quả. Vậy, quản lí rủi ro là gì? Quản lí các rủi ro đó như thế nào? thì trong bài này mình sẽ khái quát 1 chút về các vấn đề này.

I. Quản lí rủi ro (Risk management)

Quản lí rủi ro là quá trình được một tổ chức tiến hành nhằm quản lí các rủi ro, nguy cơ đối với hệ thống thông tin và các tài sản thông tin của tổ chức (được định nghĩa là các tài sản đến từ việc sử dụng công nghệ thông tin).

Có thể chúng ta thường nghe tới công ty A bị hacker tấn công đánh cắp vài nghìn tỷ, tập đoàn B bị rò rỉ thông tin của vài chục triệu khách hàng và mường tượng rằng các rủi ro là những thứ to tát như vậy. Thế nhưng, rủi ro mà một tổ chức gặp phải thực ra xuất hiện ở bất cứ đâu, bất cứ phần nào trong hệ thống thông tin, từ việc nhỏ như vô tình lộ mật khẩu tài khoản công ty khi vào web xyz, làm đổ nước chết máy tính công ty hay con mèo nhà anh X giẫm lên bàn phím vô tình xoá mất database. Tất cả chúng đều là các rủi ro đối với hệ thống thông tin mà bất cứ tổ chức nào có sử dụng công nghệ thông tin đều có thể gặp phải.

Vậy làm sao để quản lí các rủi ro một cách hiệu quả? Theo như binh pháp có nói: “biết địch biết ta, trăm trận trăm thắng”. Để có thể lên một chiến lược quản lí bất cứ thứ gì, cần phải hiểu rõ tình hình của bản thân và đối thủ. Quản lí rủi ro cũng không ngoại lệ.

1. Hiểu về bản thân

Ai cũng có mặt xấu mặt tốt, ai cũng có cái hay cái dở. Chúng ta vốn không hoàn hảo và đương nhiên, tổ chức cũng là do con người tạo ra, cũng luôn có các lỗ hổng nhất định. Bất cứ một tổ chức nào cũng có các rủi ro của mình, không ai giống ai hoàn toàn. Chúng có thể tới từ việc thuê người nào làm việc cho mình, sản xuất sản phẩm, marketing hay thậm chí là nơi đặt trụ sở của tổ chức.

Đối với việc quản lí an toàn thông tin, người quản lí cần hiểu được cách mà thông tin được thu thập, xử lí, lưu trữ và truyền tải ra sao. Việc biết mình trong trường hợp này, nói đơn giản là biết mình có gì, giá trị của chúng với tổ chức ra sao, phân loại như thế nào và việc bảo vệ chúng hiện tại như thế nào. Ví dụ, riêng về phần thông tin của người dùng, có thể kể tới như username, email, password, ảnh đại diện, số thẻ, số CVV,… có thể phân ra 2 loại cơ bản nhất là công khai và riêng tư. Các thông tin như username, email, ảnh đại diện có thể xem là các thông tin công khai và việc áp dụng các chính sách bảo mật với chúng có thể không cần quá cao. Ngược lại, các thông tin như password, số thẻ, số CVV nên được xếp vào nhóm bí mật, cần áp dụng các chính sách chặt chẽ để tránh việc làm lộ các thông tin này.

2. Hiểu về đối thủ

Như binh pháp nói: “kẻ không biết địch biết ta, trăm trận trăm bại, kẻ biết mình mà không biết người cùng lắm chỉ trận thắng trận thua, chỉ có kẻ biết địch biết ta mới có thể bách chiến bách thắng”. Để có thể đảm bảo an toàn cho hệ thống thông tin, người quản lí cũng cần biết được các rủi ro có thể đến đối với tổ chức của mình. Để làm được điều này, thông thường cần đáp ứng được các câu hỏi sau:

  • Những rủi ro nào có thể xảy ra đối với tài sản thông tin của tổ chức?
  • Rủi ro đó có thể dẫn tới hậu quả gì cho tổ chức?
  • Rủi ro ở mức nào thì có thể chấp nhận được đối với tổ chức?
  • Cần làm gì để giảm mức độ rủi ro hiện tại tới mức có thể chấp nhận được?

Trong số 4 câu hỏi trên, 3 câu đầu thường được gọi là quá trình phân tích rủi ro (risk analysis). Tương ứng với mỗi câu hỏi là một quá trình nhỏ trong việc quản lí rủi ro là:

a. Xác định rủi ro (risk identification)

  • Tổng hợp tất cả các tài sản thông tin
  • Phân loại và tổ chức chúng một cách hợp lý
  • Đánh giá giá trị của từng tài sản thông tin
  • Xác định các mối đe doạ với từng nhóm
  • Xác định lỗ hổng với tài sản bằng việc gắn các tài sản với các mối đe doạ thích hợp

b. Đánh giá rủi ro (risk assessment)

  • Xác định khả năng mà hệ thống có thể bị tấn công với từng mối đe doạ
  • Đánh giá tương đối các rủi ro có thể xảy tới với tài sản thông tin của hệ thống, từ đó có thể biết các tài sản nào cần tập trung kiểm soát và bảo vệ.
  • Tính toán rủi ro mà tài sản bị mất đối với các thiết lập hiện tại
  • Nhìn tổng thể các phần có thể bị tấn công để xác định lỗ hổng và cách kiểm soát các rủi ro với tài sản
  • Viết tài liệu và báo cáo về việc xác định và đánh giá rủi ro

c. Khẩu vị rủi ro (risk appetite)

  • Xác định mức độ rủi ro có thể chấp nhận cho từng rủi ro
  • Đặt mức độ chấp nhận rủi ro vào tình huống cụ thể của tổ chức

d. Kiểm soát rủi ro (risk control)

  • Xác định các cách kiểm soát hiệu quả nhất
  • Mua hoặc cài đặt, áp dụng các biện pháp kiểm soát thích hợp
  • Nhìn tổng quan, quan sát quá trình hoạt động để để đảm bảo rằng các biện pháp đã sử dụng có hiệu quả.
Chia sẻ bài viết ngay

Nguồn bài viết : Viblo