Quản lý rủi ro và an toàn an ninh thông tin 2021

Xác định và quản lý tốt các rủi ro, những vấn đề về an toàn, an ninh thông tin sẽ giúp các nhà lãnh đạo tổ chức, doanh nghiệp (DN) hiện thực hóa giá trị kinh doanh thông qua các chương trình chuyển đổi số (CĐS), qua

đó đảm bảo sự tin cậy và khả năng phục hồi kinh doanh của DN nhanh và bền vững khi đối mặt với “các yếu tố rủi ro tiềm ẩn”, đồng thời giúp các tổ chức ra quyết định tài chính hợp lý khi đầu tư vào công tác quản lý rủi ro và an toàn thông tin (ATTT) một cách hợp lý nhất. 

Điều chỉnh hoạt động và kiểm soát hoạt động bảo mật theo các môi trường mới

Từ xác định giá trị kinh doanh của an ninh thông tin sẽ giúp hướng dẫn các nhóm bảo mật thông tin cách đóng góp giá trị của mình trong các hoạt động kinh doanh của họ và có được tài trợ từ trong và ngoài tổ chức. Các tổ chức cảm thấy khó khăn trong việc nêu rõ các lợi ích của bảo mật thông tin (tăng tính bảo mật, tính toàn vẹn và tính khả dụng - thường được gọi là bộ ba CIA) và có được và duy trì sự hỗ trợ của nhân viên và hội đồng quản trị đối với các chiến lược bảo mật thông tin. Một cách tiếp cận rõ ràng để thể hiện giá trị của bảo mật thông tin là coi nó như bảo hiểm (Bảo hiểm rủi ro CNTT khi mất mát, thảm họa xảy ra). Bảo hiểm làm việc khi dữ liệu thiệt hại trong quá khứ và các yếu tố kích hoạt rủi ro để xác định phí bảo hiểm phù hợp. Thật không may, dữ liệu kích hoạt rủi ro và thiệt hại lịch sử không có sẵn cho các sự cố bảo mật thông tin cụ thể.

Do đó, rất khó để chủ động định lượng lợi tức đầu tư tài chính do hầu hết các khoản chi cho ATTT. Các nhà lãnh đạo điều hành đóng một vai trò quan trọng trong việc đảm bảo nhóm của họ phát triển các cơ chế thay thế để nắm bắt và nêu rõ giá trị của chương trình bảo mật thông tin của họ. Ở cấp độ dự án, cách tiếp cận tốt nhất là sử dụng phân tích chi phí - lợi ích cân bằng dựa trên các tác động dự đoán và nêu rõ các lợi ích như giảm thiểu rủi ro, lợi nhuận tài chính có thể định lượng được và các cải tiến dự kiến khác.

Tuy nhiên, cách tiếp cận này cần quá nhiều chi tiết để có hiệu quả ở cấp độ chiến lược, ví dụ: khi gặp ban giám đốc để nhận hỗ trợ từ báo cáo chiến lược và đầu tư cho chương trình ATTT thì điều được yêu cầu ở cấp độ này là một cách tiếp cận để chuyển các lợi ích chiến lược của bảo mật thông tin thành giá trị kinh doanh. Hình 2 là mô hình 4I của Gartner trong đầu tư một dự án về bảo mật và An toàn, an ninh thông tin để tham khảo. Mô hình này mô tả 4 lĩnh vực chính bao gồm: tài chính đầu tư, bảo hiểm tủi ro CNTT và Luật DN trong lĩnh vực bảo mật và ATTT, và cuối cùng là quản lý và vận hành DN. 

Hiện nay, sản phẩm về lĩnh vực bảo mật ngày càng nhiều, rất khó đánh giá chất lượng sản phẩm khiến việc chọn được sản phẩm có thể kiểm soát hiệu quả và tiết kiệm

chi phí là một thách thức lớn. Các nền tảng an ninh mạng hợp nhất nhằm mục đích đơn giản hóa việc triển khai, nhưng dẫn đến những thách thức mới trong kiến trúc bảo mật lớn hơn, trong khi đó nguồn lực để hoạt động còn có nhiều thách thức. Kể cả khi các công nghệ tiên tiến cho phép bảo vệ tốt hơn, có khả năng phát hiện và phản ứng nhanh hơn với các sự cố, thì điều đó cũng không ý nghĩa gì nếu việc thực hiện không theo quy trình và thiếu nhân sự lành nghề vì những công nghệ này thường đòi hỏi các kỹ năng nâng cao khi thiết kế và vận hành. Khi đã có một quy trình và nhân sự lành nghề thì việc trước tiên các giám đốc thông tin (CIO) nên làm là giải quyết các khu vực có nguy cơ rủi ro cao và kiểm soát an toàn an ninh thông tin trước. Sau đó là tập trung vào các tình huống làm việc từ xa và các sáng kiến kinh doanh số, đồng thời tăng cường đánh giá của bên thứ ba. Tiếp theo là xây dựng các trường hợp sử dụng bảo mật nhằm giải quyết các rủi ro chính, đồng thời cho phép lựa chọn kiến trúc phù hợp. Cuối cùng là so sánh các lựa chọn sản phẩm, chẳng hạn như so sánh sản phẩm đang dùng, so sánh tiện ích bổ sung và so sánh nền tảng từ đó có thể tối ưu hóa danh mục đầu tư.

Để vận hành được hiệu quả các chuyên gia hoạt động trong lĩnh vực bảo mật nên điều chỉnh các hoạt động và kiểm soát hoạt động bảo mật theo các môi trường mới, đặc biệt là trong công việc từ xa và đám mây. Đảm bảo các phương pháp ứng phó sự cố và kiểm tra giám sát an ninh tốt. Kết hợp phù hợp giữa các giải pháp hoạt động an ninh nội bộ và thuê ngoài. Sử dụng tự động hóa và điều phối để tăng độ chính xác và hiệu quả. Thêm vào đó là phát triển bảo mật (cơ sở hạ tầng) bao gồm kiến trúc đa lớp, lưu trữ, lưới dịch vụ và DevOps (phát triển và vận hành lại gần nhau). Tận dụng tự động hóa và chính sách dưới dạng mã. Tạo kiến trúc bảo mật lấy dữ liệu làm trung tâm để xử lý và phân tích dữ liệu. Tăng cường tập trung vào API (Application Programming Interface) và bảo mật ứng dụng. Bảo mật điểm cuối và các ứng dụng trên đám mây cần được thiết kế để bảo mật dữ liệu và các mối đe dọa tiềm ẩn.

Xu hướng quản lý rủi ro và bảo mật

Trong thời gian tới, các tổ chức cần phải tìm kiếm các giải pháp quản lý rủi ro và bảo mật phù hợp để đáp ứng được các thách thức của sự thay đổi, phát triển. Những thách thức cụ thể như sau: (i) Một là dữ liệu đang được sử dụng ở nhiều nơi hơn, cho nhiều mục đích kinh doanh hơn và bởi nhiều đối tác hơn trong hệ sinh thái kinh doanh số. (ii) Hai là các ứng dụng và API đang mở rộng cho phép khả năng kinh doanh trên đám mây nhiều hơn và có thể truy cập mọi nơi mọi lúc. (iii) Ba là đám mây cho phép các ứng dụng quan trọng hoạt động, chẳng hạn như email và các ứng dụng chia sẻ nội dung, có thể truy cập ở mọi nơi. (iv) Bốn là việc tăng hiệu suất làm việc từ xa và gia tăng các sáng kiến kinh doanh số sẽ tạo ra rủi ro bổ sung và khi có suy thoái kinh tế.

Hiện nay, các mối đe dọa rất đa dạng: xâm phạm dữ liệu, ransomware, gian lận và các cuộc tấn công phá hoại nhắm vào tất cả các loại tổ chức. Hình 3, đưa ra đề xuất lựa chọn để có thể xây dựng và điều chỉnh lộ trình bảo mật, có được một bản kế hoạch tốt cho một cơ quan/tổ chức. Các lĩnh vực thực hành này đưa ra các biện pháp kiểm soát hỗ trợ phân tích các mối đe dọa tiềm ẩn, gợi ý lựa chọn công cụ và quy trình kiến trúc bảo mật. 

Năm 2021 sẽ cho phép tiếp cận và mở rộng nhiều hơn tới các hệ sinh thái kinh doanh số, làm việc từ xa tăng lên và sử dụng dịch vụ của bên thứ ba nhiều hơn so với những năm trước. Do đó, các nhóm bảo mật nên tập trung vào 7 nhóm việc sau:

1. Làm việc từ xa, đồng thời di chuyển dữ liệu lên đám mây để kinh doanh số nhất là do hậu quả của đại dịch COVID-19;

2. Các nhóm bảo mật của DN nên thích ứng hơn nữa khả năng phát hiện mối đe dọa và ứng phó sự cố trên môi trường đám mây;

3. Cấp quyền cho việc phát hiện mối đe dọa và ứng phó sự cố để phù hợp với khả năng của tổ chức;

4. Sử dụng các kịch bản kinh doanh ứng dụng CNTT chi tiết hơn để thúc đẩy áp dụng các kiến trúc bảo mật mới;

5. Đánh giá các biện pháp kiểm soát bảo mật gốc so với tiện ích bổ sung trong các hệ thống và ứng dụng CNTT hiện đại;

6. Quyết định ứng dụng giải pháp kiến trúc nền tảng an ninh mạng hợp nhất và tốt nhất;

7. Sử dụng chính sách dưới dạng mã và đồng thời tăng cường điều phối và tự động hóa để bảo mật.

Những thay đổi lớn trong kinh doanh toàn cầu và lực lượng lao động sẽ tạo ra tác động tức thì và lâu dài đến việc lập kế hoạch an ninh. Do vậy, công việc giám sát và phản hồi kết quả sẽ tiếp tục phụ thuộc vào khả năng tự động hóa và khả năng phân tích dữ liệu thông qua các kỹ năng nội bộ và các dịch vụ an ninh bảo mật mà các tổ chức đang quản lý. Hơn thế nữa, các nền tảng an ninh mạng mới nổi sẽ khiến các tổ chức phải xem xét lại kiến trúc bảo mật và giải pháp về kiến trúc kinh doanh tổng thể (Enterprise Architecture) của tổ chức. Việc lưu trữ, DevSecOps (quá trình bảo mật được tích hợp và tiến hành song hành với các hoạt động phát triển (developement) và vận hành (operation) trên đám mây phân tán sẽ tiếp tục chuyển đổi kiến trúc và quản lý bảo mật cơ sở hạ tầng. Thêm vào đó, hệ sinh thái bao gồm dữ liệu, phân tích online và offline và dịch vụ ứng dụng cả trên đám mây và ứng dụng tại chỗ (local) được mở rộng sẽ củng cố nhu cầu về kiến trúc bảo mật trung tâm dữ liệu và bảo mật ứng dụng. Các điểm cuối, thiết bị di động và SaaS sẽ tiếp tục thúc đẩy việc mở rộng các khả năng bảo mật gốc và các giải pháp bổ trợ.

Tầm quan trọng tương đối của mỗi xu hướng và các cân nhắc lập kế hoạch liên quan của nó sẽ phụ thuộc vào sự phát triển của tổ chức trong lĩnh vực kinh doanh số và CNTT, cũng như vị thế bảo mật của tổ chức đó.

Các đánh giá rủi ro được cập nhật cũng như giao tiếp về các rủi ro hiện tại là động lực để cải thiện tình trạng. Các chuyên gia kỹ thuật phải chuẩn bị để xem xét các tiêu chuẩn và quy trình để bắt kịp tốc độ thay đổi gần đây, như làm việc tại nhà, khối lượng công việc chuyển lên đám mây và các cuộc tấn công mạng liên quan đến phương thức tấn công. Các vi phạm quyền riêng tư, dữ liệu vẫn được quan tâm hàng đầu, hơn thế nữa các cuộc tấn công phá hoại, tống tiền và gian lận cũng rất phổ biến. Các cuộc tấn công phổ biến bao gồm phần mềm độc hại và phần mềm tống tiền, xâm nhập email DN, lừa đảo và tạo giả thông tin xác thực.

Một thách thức cụ thể là sự gia tăng khả năng tiếp xúc với những kẻ tấn công do chuyển sang các dịch vụ dựa trên đám mây và làm việc tại nhà, thường khiến người dùng và nội dung có tường lửa trước đây bị lộ nhiều hơn. Vì các biện pháp kiểm soát hiện có của nhiều tổ chức thường không cập nhật các bản vá các phiên bản chống virus mới và các giải pháp an ninh bảo mật mới, nên tổ chức rất dễ sử dụng hoặc định cấu hình chúng không chính xác hoặc hoàn toàn bỏ lỡ sự tồn tại của chúng.

Ngay cả những công nghệ gần đây, chẳng hạn như tăng cường sử dụng tự động hóa quy trình bằng robot (RPA) và sự xuất hiện của trí tuệ nhân tạo (AI) trong các quy trình và ứng dụng kinh doanh, vẫn chưa được khai thác. Các nhóm bảo mật nhận thức được rằng họ cần phải hoạt động như những người hỗ trợ kinh doanh, nhưng thường bị loại khỏi giai đoạn bắt đầu của dự án. Áp lực về thời gian và công cụ phân tích tiếp tục thúc đẩy một số người đi theo con đường duy trì danh sách kiểm tra tuân thủ hơn là thực hiện phân tích rủi ro hiệu quả và lựa chọn kiểm soát.

Các đánh giá bảo mật của bên thứ ba, thường được thúc đẩy bởi các yêu cầu tuân thủ và quản lý rủi ro của bên thứ ba đang chứng tỏ mức độ lãng phí thời gian trầm trọng. Nhưng ngay cả khi chỉ tạo ra khả năng hiển thị khi sử dụng các dịch vụ của bên thứ ba thì cũng là một thách thức đối với nhiều nhóm bảo mật.

Các cân nhắc khi lập kế hoạch bảo mật

Nâng cao sự tập trung vào công việc từ xa an toàn và thúc đẩy các sáng kiến kinh doanh số trong khi đại dịch COVID-19 xảy ra là lựa chọn hợp lý của nhiều tổ chức. Các đội an ninh phải sẵn sàng đối phó với rủi ro và triển khai, có nghĩa là dựa nhiều vào các đánh giá bên ngoài gắn vào các biện pháp kiểm soát hiện có. Liên hệ với các nhóm CNTT để có giải pháp đám mây phù hợp. Làm việc từ xa thường tuân theo một mô hình chung và từ quan điểm lập kế hoạch có nghĩa là tập trung vào các lĩnh vực cụ thể như: Truy cập từ xa, bao gồm mạng riêng ảo (VPN) và đặc biệt là thiết kế truy cập mạng không tin cậy (ZTNA). Bảo mật phía người dùng (end-user) nâng cao để quản lý các thiết bị thuộc sở hữu cá nhân đăng nhập vào hệ thống mạng của tổ chức. Cổng web an toàn (SWG) và thành phần trung gian hỗ trợ bảo mật cho các ứng dụng đám mây (CASB) cần được sử dụng an toàn, đặc biệt tính đến quy mô và vị trí từ xa. Không những thế, các nền tảng làm việc và các giải pháp hội nghị từ xa cần phải được bảo mật, đặc biệt nếu chúng mới được triển khai. Thêm vào đó là cần chú ý các khuyến nghị về bảo mật mạng gia đình cho nhân viên, không thuộc quyền kiểm soát của tổ chức nhưng có vai trò trong tình hình an ninh tổng thể.

Các sáng kiến kinh doanh số sẽ đa dạng hơn, nhưng các nhóm bảo mật có thể tìm kiếm các dự án có các thuộc tính nhất định. Các quy trình kinh doanh số hóa mới hoặc mở

rộng thường làm tăng nguy cơ bị đánh cắp hoặc gian lận dữ liệu. Nhiều ứng dụng và API kinh doanh số hơn dẫn đến nhiều phương thức tấn công bổ sung nhằm khai thác ứng dụng. Chia sẻ hoặc thu thập dữ liệu, chẳng hạn như theo dõi COVID hoặc giám sát tại nơi làm việc, sẽ gây ra lo ngại về quyền riêng tư.

Các chuẩn bảo mật như ISO 27001 hoặc khung quản lý rủi ro (RMF) của Viện Tiêu chuẩn và Công nghệ quốc gia (NIST) đã có sẵn để hỗ trợ các nhóm bảo mật tổ chức các hoạt động của họ trong một thời gian dài, đặc biệt, chuẩn bảo mật mạng NIST đã rất đáng chú ý về sự quan tâm của khách hàng. Khi môi trường kinh doanh, CNTT và các mối đe dọa trở nên phức tạp hơn, việc áp dụng chuẩn như vậy rất hữu ích cho việc lập kế hoạch bảo mật và truyền thông. Các trình điều khiển và thành phần của các chuẩn bảo mật của tổ chức được thể hiện trong Hình 4. Để kết nối các mối đe dọa, rủi ro, tài sản và quy trình với kết quả kinh doanh, khách hàng ngày càng cân nhắc sử dụng các công cụ quản lý rủi ro thông tin (IRM). Các chuyên gia kỹ thuật nhận ra lợi thế của tự động hóa và tích hợp sẽ thành công hơn trong việc quản lý rủi ro và đảm bảo hiệu quả có thể đo lường được. 

Hình 4 giới thiệu quy trình các bước thực hành cải thiện bảo mật cơ bản để đảm bảo an toàn nhận dạng và các chi tiết khác có thể bị đánh cắp hoặc bị làm hỏng (Basic Security Hygene) như một phần của chuẩn bảo mật nền tảng.

Nhưng việc thực hiện đánh giá rủi ro và lỗ hổng chuyên sâu là một quá trình tốn thời gian, bằng cách ưu tiên các tài sản có vẻ có giá trị cao nhất trước, các tổ chức có thể vô tình để ngỏ cánh cửa dễ dàng thỏa hiệp với kết quả gây thiệt hại. Chú ý cụ thể đến bất kỳ người dùng, ứng dụng, hệ thống và dữ liệu nào bị phơi bày nhiều nhất – các cuộc tấn công. Đồng thời, thực hiện triển khai tăng cường bảo mật an ninh cơ bản đem lại khả năng phòng thủ cơ bản theo mong đợi ở hầu hết mọi tổ chức, chẳng hạn như quản lý lỗ hổng bảo mật và quản lý danh tính.

Triển khai tăng cường bảo mật an ninh cơ bản cũng liên quan đến việc cố gắng tối ưu hóa các khoản đầu tư bảo mật bằng cách tăng hiệu quả của các biện pháp kiểm soát bảo mật và tăng cường các công cụ bảo mật bổ sung hiện có.

Các thực tiễn tốt là tuân theo phân loại rủi ro cao và triển khai tăng cường bảo mật an ninh cơ bản an ninh cơ bản như: Không chấp nhận các biện pháp kiểm soát cơ bản chỉ vì chúng được coi là hiệu quả trong quá khứ. Ví dụ: mặc dù tuân thủ việc xoay vòng đổi mật khẩu định kỳ có hiệu quả nhưng mật khẩu thường bị đánh cắp thay vì đoán hoặc bị bẻ khóa. Trừ khi được yêu cầu bởi từ các nhiệm vụ cần tuân thủ thì cần tránh các biện pháp kiểm soát không hiệu quả này để tạo không gian và ngân sách cho những biện pháp hiệu quả hơn, chẳng hạn như bảo vệ các dịch vụ đăng nhập khỏi các cuộc tấn công. Trên thực tế, các biện pháp cần tuân thủ cũng nên được xem xét lại và tốt nhất nên tuân thủ theo quá trình lâu dài.

Việc cải thiện hiệu quả sử dụng đám mây từ việc đánh giá, lựa chọn đám mây và lựa chọn kiểm soát cho phép các tổ chức sử dụng nhiều dịch vụ đám mây hơn. Do đó, việc mở rộng quy mô đánh giá đám mây đã trở thành mối quan tâm quan trọng.

Để có thể theo kịp, đặc biệt là khi cần đánh giá liên tục, các nhóm an ninh nên thực hiện một số hành động như một phần của quy trình mua sắm và hợp đồng của họ như: Xây dựng quy trình quản lý tài sản tin cậy; biết những gì cơ quan phải bảo vệ và ai chịu trách nhiệm về nó là yếu tố quan trọng đối với nhiều biện pháp kiểm soát an ninh.

vệ chống lừa đảo và phần mềm độc hại trong nền tảng bảo vệ điểm cuối (EPP), cổng web an toàn (SWG), cổng email an toàn (SEG) và các công nghệ khác đang được sử dụng. Nền tảng cho bảo mật an ninh cơ bản và Framework quản lý rủi ro bảo mật cần được xây dựng và áp dụng các phương pháp hay nhất để đánh giá rủi ro bảo mật thành công, đặc biệt là phát triển các chỉ số cho hiệu suất hoạt động bảo mật và điều chỉnh tần suất đánh giá dựa trên cơ chế phân cấp nhà cung cấp. Các công cụ CASB hoặc chức năng tương tự cần được tận dụng để phân loại nhà cung cấp đám mây và đánh giá rủi ro ứng dụng trên quy mô lớn.

Các nhóm an ninh cần có các đánh giá chi tiết về khả năng phục hồi do gặp phải rủi ro và khả năng phục hồi sau thảm họa và tính liên tục của hoạt động kinh doanh. Từ đó xác định rõ trách nhiệm của nhà cung cấp dịch vụ đám mây, so sánh chúng với trách nhiệm của tổ chức và xác định những lỗ hổng kiểm soát kỹ thuật và quy trình còn tồn tại. Thêm vào đó là các biện pháp kiểm soát cơ bản của nhà cung cấp, cũng như các tính năng bảo mật được cung cấp cho tổ chức có hiệu quả hay không. Cuối cùng là tìm kiếm các giải pháp thích hợp thay vì giải pháp hiện có.

Kết luận

Tóm lại, năm 2021 tiếp tục là năm thách thức lớn cho các chuyên gia hoạt động trong lĩnh vực bảo mật khi triển khai các kế hoạch về An toàn an ninh thông tin và bảo mật, khi mà các nhà mạng đồng loạt triển khai các hệ thống 5G và các kết nối IoT nhiều hơn điều đó cũng đồng nghĩa với rủi ro về bảo mật và An toàn thông tin cũng nhiều hơn. Việc lập kế hoạch để quản lý và thực thi các giải pháp an ninh bảo mật ở Việt Nam năm 2021 có thành công hay không đang là một thách thức lớn, đặc biệt là khối doanh nghiệp. Và điều quan trọng là các tổ chức phải có nhận thức sâu sắc về hạn chế của khả năng rủi ro thông tin nội bộ của họ, khám phá các mối quan hệ bên ngoài với các nhà cung cấp dịch vụ tư vấn có thể giúp giải quyết các sự cố xảy ra.

Tài liệu tham khảo:

1. Security and Risk Management Leaders Primer for 2021, Analysts Roberta Witty, Sam Olyaei, Daria Kirilenko.

2. Leadership Vision for 2021: Security and Risk Management, 16 October 2020 Analyst(s): Jay Heiser Sam Olyaei.

3. The Roadmap to CISO Effectiveness, 02 November 2020, Analyst(s): Information Risk Research Team.

4. 2021 Planning Guide for Security and Risk Management, 09 October 2020, Analysts: Ramon Krikken, Patrick Hevesi, Anna Belak.

5. Mobile OSs and Device Security: A Comparison of Platforms, 06 May 2019, Analyst(s): Patrick Hevesi.

(Bài đăng ấn phẩm in Tạp chí TT&TT số 4 - tháng 4/2021)