Hãy thực tế về các nguy cơ bảo mật của bạn

Diễn đàn - Ngày đăng : 07:17, 04/11/2015

Bộ phận bảo mật thường nói rằng chỉ chấp thuận hoặc từ chối các yêu cầu hoạt động. Nó tạo ra một nơi làm việc dễ dàng hơn và an toàn hơn nhưng không có thông tin liên lạc thực tế với các hoạt động và phát triển kinh doanh để xác định những hành động rủi ro trên thực tế trong các mục tiêu kinh doanh.

Ngày nay, bộ phận quản lý cấp cao và bộ phận quản lý rủi ro đang ngày càng chịu trách nhiệm về quyết định cuối cùng được đưa ra để xác định mức độ rủi ro có thể chấp nhận được cho một hoạt động nhất định. Nhiệm vụ của bộ phận an ninh CNTT hiện nay là phân tích các mối đe dọa và rủi ro, và có thể đưa ra các khuyến nghị.

Các thách thức đối với việc quản lý là phải hiểu và chấp nhận thực tế rằng hầu như luôn luôn có cơ hội rủi ro. Việc dự đoán những ẩn số chưa biết lúc nào cũng khó khăn. Ví dụ, các nhà hoạch định quyết định tại các tổ chức như Sony, RSA, và quân đội Mỹ hiểu rằng việc không vá máy tính hoặc cho phép người sử dụng bấm vào bất cứ thứ gì họ muốn sẽ có khả năng dẫn đến các cuộc tấn công thiệt hại lên đến hàng trăm triệu đô la.

Tuy nhiên, một số giám đốc điều hành hoặc Hội đồng quản trị không được chuẩn bị sẵn sàng để nghe về những chi phí tiềm năng của một cuộc tấn công hoặc triển khai an ninh hoàn hảo. Ngược lại, các tổ chức tốt nhất hiểu rằng các cuộc tấn công mạng có khả năng xảy ra trong tương lai. Bộ phận an ninh CNTT cần phải cảm thấy tự tin và bảo đảm an toàn để cung cấp những tin tức có khả năng chính xác tốt nhất có thể.

Để tính toán xác suất xảy ra của một rủi ro đặc biệt thì trước tiên cần phải thừa nhận rằng nó có khả năng xảy ra. Nếu khả năng xảy ra thấp thì xác suất là 0.0%. Nếu nó có khả năng xảy ra trong tương lai, nhưng trước đó bạn không có các phép đo để ước tính trong tương lai thì hãy bắt đầu với một phạm vi thời gian dài và thực hiện ngược lại.

Ví dụ, với một sự kiện an ninh đặc biệt sẽ có khả năng xảy ra trong 30 năm tới, có phải tất cả mọi việc mà công ty đang làm là để ngăn chặn một sự kiện như vậy? Nếu câu trả lời là có thì bạn sẽ có một vạch ranh giới để thực hiện: 1 phần 30 năm, hoặc 3,33%. Đối với các sự cố an ninh lớn thì ít nhất tôi cũng muốn thực hiện theo ranh giới này.

Các sự cố nhỏ hơn, chẳng hạn như bị nhiễm phần mềm độc hại và khai thác các máy chủ thì sẽ dễ dàng hơn để căn cứ vào bằng chứng lịch sử. Cũng lưu ý rằng các sự kiện lớn và nhỏ không loại trừ lẫn nhau. Một sự cố nhỏ có thể dẫn đến một sự kiện lớn, nhưng vì bạn không biết khi nào khả năng đó sẽ xảy ra nên bạn phải tính toán cả hai. Các tổ chức xử lý các sự cố nhỏ khá tốt, nhưng họ không tính toán đến các sự cố lớn hơn.

Ngoài việc đánh giá khả năng xảy ra của một sự cố an ninh thì cũng cần phải đánh giá những thiệt hại mà sự cố đó gây ra. Các chi phí này có thể rất khó tính toán. Một lần nữa, tôi muốn bắt đầu với phạm vi rộng để giúp phát triển đường ranh giới. Ví dụ, làm thế nào để một sự cố an ninh gây ra thiệt hại100 triệu USD? Tại các công ty có hàng tỷ đô la, đó có thể là một hậu quả của quá trình kéo dài trong khoảng thời gian 30 năm.

Bộ phận bảo mật CNTT không còn là người gác cổng, nhưng có lẽ chúng ta đã không được thực hiện tốt việc chia sẻ các đường ranh giới và xác suất thực tế. Một vài năm qua là một lời cảnh tỉnh cho tất cả chúng ta, nhắc nhở chúng ta cần phải phát triển.

Thùy Linh