Một số vấn đề xem xét khi tính toán đầu tư cho an toàn thông tin

An toàn thông tin - Ngày đăng : 09:45, 21/12/2017

Trong một thế giới mà những cuộc tấn công mạng luôn được nhắc đến hàng ngày thì án toàn thông tin trở thành ưu tiên khẩn cấp ở tất cả mọi lĩnh vực của đờ sống nhất là ở các doanh nghiệp.

 Vì thế, việc tính hoàn vốn đầu tư cho các giải pháp an toàn thông tin là những thách thức lớn đối với các doanh nghiệp trên toàn thế giới và ở mọi ngành nghề.

Truyền đạt về ảnh hưởng của an toàn thông tin tới tuyến cuối cùng

Một số câu hỏi quan trọng nhất mà các lãnh đạo an toàn thông tin phải trả lới được khi tinh toán hoàn vốn đầu tư về an toàn thông tin (return on security investment - ROSI), bao gồm:

  • Làm thế nào để doanh nghiệp trở nên an toàn?
  • Doanh nghiệp cần an toàn đến mức độ nào?
  • Làm thế nào để lãnh daaoj doanh nghiệp xác định liệu đầu tư có hợp lý?
  • Khoàn tài chính phù hợp để đầu tư cho an toàn thông tin là bao nhiêu và khi nào?

Những người ra quyết định điều hành thường không để ý đến các vấn đề như là tường lửa hay cổng gác barie bảo vệ các máy chủ và dữ liệu của tổ chức. Họ chỉ quan tâm và muốn biết ảnh hưởng của an toàn thông tin đển tuyến dưới cùng như thế nào mà thôi. Các lãnh đạo an toàn thông tin càn phải hiểu cách tư duy này và truyền đạt tầm quan trọng của an toàn thông tin theo các thuật ngũ của doanh nghiệp. Các câu hỏi mà những người quản lý điều hành thường đặt ra là:

• Việc thiếu an toàn thông tin có thể gây tổn hại đến kinh doanh như thế nào?

• An toàn thông tin có ảnh hưởng gì đến năng suất của tổ chức hiện tại?

• Tác động tiềm ẩn của một sự vi phạm an ninh thảm khốc là gì?

• Các giải pháp được đề nghị sẽ ảnh hưởng đến năng suất như thế nào?

• Liệu các khuyến nghị này là những giải pháp tiết kiệm chi phí nhất?

Điểm chính để tính hoàn vốn đầu tự về an toàn không nằm ở chỗ so sánh các kết quả của một vài giải pháp, mà là ở việc xem xét đầu tư trên cơ sở rủi ro.

Phân tích công thức tính hoàn vốn đầu tư cho an toàn thông tin

Tính toán xác suất của các vi phạm dữ liệu và các rủi ro về an toàn luôn là bài toán hóc búa, và rủi ro của việc tính toán sai cũng luôn được xem xét cẩn thận.  Việc tính toán chỉ tốt khi mà phân tích kỹ lưỡng các thành phần trong công thức hoàn vốn đầu tư ROSI, bao gồm cả chi phí cho những giải pháp an toàn và những tổn thất dự tính trong một năm do những rủi ro mất an toàn gây ra. Công thức sau đây do các nhà lãnh đạo về án toàn thông tin đưa ra.

ROSI (%) = (ALE-mALE) – Cost of Solution / Cost of Solution

Các thành phần trong công thức hoàn vốn đầu tư an toàn thông tin định lượng được ảnh hưởng của đầu tư tới tuyến dưới cùng. Chỉ số này là rất quan trọng để có được quyền điều hành khi đưa ra tỷ lệ hoàn vôn  đầu tư. Cách tốt nhất để hiểu được công thức ROSI là khai triển các thành phần của nó. Đầu tiên là mức độ tổn thất hàng năm (ALE), đó là tổng thiệt hại về tài chính dự tính do các sự cố an ninh. Đây là số phải dược kiểm soát bởi nó chứng minh số tiền có thể bị mất khi mà không đầu tư cho an toàn thông tin.

ALE được tính bằng tích số của tỷ lệ sự cố trong năm nhân với.số tiền bị mất dự tính của một sự cố (SLE).  Còn ARO là xác suất của 1 sự cố an ninh xảy ra trong một năm. SLE là tổng số thiệt hại tài chính từ một sự cố an ninh. Thành phần này chỉ dựa trên dữ liệu tài sản và có giá trị trong một tổ chức. Song, nó cũng thể hiện chi phí trực tiếp của tổn thất tài chính và những chi phí gián tiếp liên quan với việc dữ liệu bị xâm nhập và phá vỡ.

ALE được tính bằng cách nhân tỷ lệ xuất hiện hàng năm (ARO) theo kỳ vọng giảm duy nhất (SLE). ARO là xác suất xảy ra sự cố bảo mật xảy ra trong vòng một năm. Đây là lời kêu gọi của CISO dựa trên sự kiện lịch sử. duy nhất. Hợp phần này chỉ dựa trên tài sản dữ liệu có giá trị trong tổ chức. Nó cũng thể hiện chi phí trực tiếp tổn thất tài chính và các chi phí gián tiếp liên quan đến sự phá vỡ dữ liệu.

Cuối cùng, điều chỉnh tổng thiệt hại dự tính hàng năm (mALE) chính là ALE cộng với các khoản tiết kiệm mà giải pháp bảo mật cung cấp. Điều này thể hiện ở cho phần trăm các mối đe dọa bị chặn bởi các giải pháp bảo mật.

Ví dụ: giả sử giải pháp bảo mật có mức đầu tư hàng năm là 75.000 đô la để khắc phục 20 sự cố bảo mật dẫn tới phải chi 10.000 đô la do mất dữ liệu. Theo nhà cung cấp, giải pháp sẽ chặn 95% số vụ tấn công bằng mạng. Với kịch bản này, hoàn vốn đầu tư được tính như sau:

ROSI = ((20 x 10,000) x .95 – $75,000) / $75,000

ROSI = 153.3 %

Công thức cho thấy rằng đầu tư an toàn thông tin sẽ tạo ra một tỷ lệ hoàn vốn là 153,3 %.

Vai trò của các chỉ số bảo mật

Một phương pháp phổ biến khác được sử dụng để xác định hiệu quả của các khoản đầu tư an toàn thông tin là các chỉ số bảo mật. Các chỉ số theo dõi các kiểm soát ở cơ sở hạ tầng bảo mật, chẳng hạn như chống virus, chống xâm nhập hệ thống (IPS), tường lửa, nhận dạng và quản lý truy cập (IAM), phòng, tránh sự mất dữ liệu (DLP), thông tin bảo mật và quản lý sự kiện (SIEM). Có một điểm hạn chế là các chỉ số bảo mật được dựa trên dữ liệu thu thập trong một khoảng thời gian dài. Do đó, lợi tức trên những khoản đầu tư đó chịu ảnh hưởng của các sự kiện trong quá khứ và không phản ánh những tiến bộ đã đạt được để theo kịp với các cuộc tấn công trên mạng đang nổi lên.

Tuy nhiên, các chỉ số bảo mật rất quan trọng khi tính toán ARO trong công thức ROSI được mô tả ở trên. Khi xem xét nâng cấp hoặc triển khai các giải pháp mới, các số liệu này cho phép các nhà lãnh đạo an toàn thông tin lý giải về các khoản đầu tư an toàn theo cách mà các nhà quản lý có thể thấu hiểu được.

TP