Đánh giá rủi ro: Đo lường sức khỏe môi trường infosec của bạn

Hợp Trương| 05/10/2019 22:09
Theo dõi ICTVietnam trên

Có một sự thật đáng buồn là nhiều tổ chức không tiến hành đánh giá toàn diện về rủi ro bảo mật thông tin của họ; hoặc nhiều tổ chức không nhận được nhiều giá trị từ các bài tập đánh giá - bởi vì họ chỉ đơn giản là không biết cách thực hiện cho đúng.

Kết quả hình ảnh cho Assessing risk: Measuring the health of your infosec environment

Với số lượng lớn dữ liệu mà các tổ chức nắm giữ, việc đánh giá chính xác những rủi ro này cực kỳ khó khăn. Ngay cả việc xác định làm thế nào để kiểm soát tốt nhất khi dữ liệu được xác định cũng là điều cần bàn đến. Điều đó đặc biệt cần thiết cho các doanh nghiệp trong các ngành công nghiệp có quy định khắt khe, có thể phải đối mặt với các hình phạt nghiêm khắc cho các vi phạm an ninh.

Hầu hết các tổ chức phải tuân theo một số quy định, cho dù đó là những chỉ thị quá mức như PCI (Tiêu chuẩn bảo mật dữ liệu ngành) cho dữ liệu thẻ tín dụng, GDPR (Quy định bảo vệ dữ liệu chung) cho dữ liệu cá nhân về công dân châu Âu hoặc CCPA (Đạo luật về quyền riêng tư của người tiêu dùng California) đang chờ xử lý đối với dữ liệu cá nhân về cư dân California; trong khi một số ngành công nghiệp nhất định có thể có các quy định duy nhất như HIPAA (luật liên bang thiết lập các quy tắc về những người có thể xem và tiếp nhận thông tin sức khỏe của người bệnh) cho lĩnh vực chăm sóc sức khỏe hoặc GLBA (Đạo luật hiện đại hóa dịch vụ tài chính) cho các dịch vụ tài chính.

Nhiều đạo luật trong số này đặc biệt yêu cầu một tổ chức thực hiện đánh giá rủi ro trên cơ sở định kỳ. Nhưng nhìn chung, những đánh giá đó được thực hiện như một bài tập tuân thủ tick-the-box, chỉ tập trung vào dữ liệu được quy định. Điều đó còn thua xa việc đánh giá rủi ro đối với nhiều loại tổ chức dữ liệu khác, và nhấn mạnh sự cần thiết phải kiểm tra rủi ro bảo mật thông tin rộng hơn.

Các khuôn khổ phổ biến có sẵn từ các tổ chức tiêu chuẩn như NIST, ISO và CIS có thể giúp một nhóm bảo mật thông tin có được cái nhìn rộng hơn. Các khuôn khổ này cung cấp một điểm khởi đầu tuyệt vời để xác định trạng thái của môi trường bảo mật thông tin khi trưởng thành, và các rủi ro có thể tồn tại trong các quy trình quản lý dữ liệu hiện tại của nó.

Bất kể bạn chọn khuôn khổ nào, bước đầu tiên luôn là xác định phạm vi nỗ lực đánh giá của bạn. Bắt đầu bằng cách thiết lập bối cảnh cho lý do tại sao bạn thực hiện việc đánh giá. Hãy suy nghĩ về Dữ liệu, Con người, Quy trình và Công nghệ.

Đối với Dữ liệu, bạn có thông tin gì mà bạn đang cố gắng bảo vệ? Phạm vi có thể rộng bao gồm tất cả các loại dữ liệu của bạn, hoặc giới hạn như chỉ thông tin thẻ tín dụng.

Đối với Con người: Ai là người sử dụng dữ liệu? Ai nên/không nên có quyền truy cập? Doanh nghiệp đang chia sẻ dữ liệu với ai? Ai nên chịu trách nhiệm bảo vệ nó?

Quy trình là điều cần thiết, vì quản trị sẽ đặt nền móng lên hàng đầu. Quy trình của bạn đã trưởng thành ở mức nào? Tài liệu của bạn đã tuân thủ Quy trình thao tác chuẩn (SOP - Standard operating procedure) hay chưa? Bạn có thuê ngoài một số quy trình CNTT? Nếu vậy, các đối tác có chính sách và thủ tục tài liệu thích hợp? Chính sách bảo mật thông tin của bạn có được cập nhật và có liên quan không?

Công nghệ bao gồm đặc tính của tất cả các hệ thống liên quan. Đó có thể là một nhiệm vụ to lớn với chính bản thân nó, với số lượng hệ thống tập trung vào dữ liệu đang hoạt động. Những ứng dụng nào đang nhận, truyền, lưu trữ hoặc sử dụng dữ liệu trong phạm vi đánh giá?

Đừng giới hạn bài tập này cho đầu vào. Thay vào đó, hãy suy nghĩ về vòng đời của mỗi phần tử dữ liệu. Ví dụ: nếu bạn thu thập số thẻ tín dụng, hãy theo dõi thông qua việc thu thập, chuyển giao, người dùng của yếu tố dữ liệu, cách thức chia sẻ, nơi lưu trữ và nơi được xử lý; lưu ý tất cả các ứng dụng liên quan đến từng bước. Sau đó, lưu ý hỗ trợ cơ sở hạ tầng cho từng ứng dụng, chẳng hạn như hệ điều hành và phần cứng cơ bản, bao gồm cả vị trí của nó (trung tâm dữ liệu, Nền tảng như một dịch vụ, hoặc được lưu giữ dưới gầm bàn của một cá nhân), cơ sở hạ tầng mạng, truy cập công cộng hoặc nếu dựa trên đám mây. Bởi vì mỗi ứng dụng có thể được phân bổ cho các mạng hoặc địa điểm khác nhau, tác động của từng mối đe dọa sẽ khác nhau tùy thuộc vào các yếu tố này.

Khi khuôn khổ của bạn được thiết lập, hãy hiểu rõ về phạm vi - bạn muốn gì từ đánh giá rủi ro? Chỉ để hoàn thiện thủ tục? Một mục đích lớn hơn? Bạn sẽ thu thập một lượng thông tin đáng kể trong quá trình này, vì vậy hãy trực tiếp và trung thực về các mục tiêu của bạn càng tốt, bởi vì điều này sẽ thúc đẩy sự thay đổi trong tổ chức của bạn.

Điều đó nhấn mạnh sự cần thiết của các nhóm bảo mật thông tin để luôn cập nhật dữ liệu của tổ chức, bao gồm cả các vấn đề mà doanh nghiệp có thể chia sẻ với các nhà cung cấp CNTT, chia sẻ với lao động và dữ liệu chuyển động. Không có cái nhìn sâu sắc này, đánh giá rủi ro của bạn sẽ không có ý nghĩa. Nếu được hoàn thành chính xác, nó sẽ giúp xác định cách thức các sáng kiến ​​bảo mật hiện tại được lập bản đồ tới các mối đe dọa và lỗ hổng hiện hành.

Bước tiếp theo là xác định các mối đe dọa mà hệ thống của bạn phải chịu, chẳng hạn như lừa đảo, tấn công vũ phu, hoặc thậm chí là trộm cắp vật lý. Giữ một kho dự trữ liên quan đến các mối đe dọa đòi hỏi nỗ lực đáng kể; Điều quan trọng là không chỉ xác định các mối đe dọa liên quan đến tổ chức của bạn, mà còn tiếp tục xem xét danh sách của bạn vì các mối đe dọa mới có thể được tạo ra, các mối đe dọa có thể thay đổi hoặc một số có thể không còn được áp dụng.

Xác định mức độ rủi ro mà mỗi mối đe dọa đó đặt ra là nơi nhiều tổ chức bắt đầu gặp khó khăn. Mức độ có thể là đánh giá chủ quan, do đó, thách thức là giảm thiểu bất kỳ sự thiên vị nào và sau đó sử dụng các biện pháp để xác định các hành động khắc phục. Một cách tiếp cận tốt là cho điểm từng rủi ro dựa trên tác động. Hãy suy nghĩ về cách xác định một tác động sẽ đe dọa như thế nào đối với tổ chức của bạn. Bạn cũng có thể phân tách nguy cơ của mối đe dọa thành các tác động bảo mật, sẵn có và toàn vẹn. Bằng cách đó bạn có thể làm giảm thêm tính chất chủ quan của bài tập.

Ngoài ra hãy xem xét khả năng - xác suất của mối đe dọa thực sự ảnh hưởng đến tổ chức của bạn? Ví dụ: nếu dữ liệu của bạn được đặt tại Florida, khả năng xảy ra thảm họa tự nhiên (bão lốc) là rất cao so với các địa điểm khác. Một cuộc tấn công tiêm mã dựa trên web vào một ứng dụng web không công khai trên internet thấp hơn nhiều so với khi ứng dụng web có trên internet.

Việc kiểm tra kỹ lưỡng phạm vi đánh giá của bạn, các mối đe dọa tiềm ẩn, các tác động có thể xảy ra và khả năng xảy ra sẽ mang lại một danh sách các rủi ro với các xếp hạng khác nhau. Dữ liệu này sẽ rất hữu ích, và nó sẽ giúp các nhóm bảo mật thông tin có được cái nhìn khách quan về dấu vết mối đe dọa của tổ chức, và đưa ra trường hợp tại sao và nơi nào cần sự đầu tư. Nỗ lực đánh giá cũng sẽ giúp các nhóm bảo mật thông tin thể hiện giá trị của họ đối với các tổ chức của họ, và hoàn thành nhiệm vụ bảo mật dữ liệu, viên ngọc quý của các doanh nghiệp hiện đại.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Đánh giá rủi ro: Đo lường sức khỏe môi trường infosec của bạn
POWERED BY ONECMS - A PRODUCT OF NEKO