Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Đánh giá rủi ro: Đo lường sức khỏe môi trường infosec của bạn

Có một sự thật đáng buồn là nhiều tổ chức không tiến hành đánh giá toàn diện về rủi ro bảo mật thông tin của họ; hoặc nhiều tổ chức không nhận được nhiều giá trị từ các bài tập đánh giá - bởi vì họ chỉ đơn giản là không biết cách thực hiện cho đúng.

Với số lượng lớn dữ liệu mà các tổ chức nắm giữ, việc đánh giá chính xác những rủi ro này cực kỳ khó khăn. Ngay cả việc xác định làm thế nào để kiểm soát tốt nhất khi dữ liệu được xác định cũng là điều cần bàn đến. Điều đó đặc biệt cần thiết cho các doanh nghiệp trong các ngành công nghiệp có quy định khắt khe, có thể phải đối mặt với các hình phạt nghiêm khắc cho các vi phạm an ninh.

Hầu hết các tổ chức phải tuân theo một số quy định, cho dù đó là những chỉ thị quá mức như PCI (Tiêu chuẩn bảo mật dữ liệu ngành) cho dữ liệu thẻ tín dụng, GDPR (Quy định bảo vệ dữ liệu chung) cho dữ liệu cá nhân về công dân châu Âu hoặc CCPA (Đạo luật về quyền riêng tư của người tiêu dùng California) đang chờ xử lý đối với dữ liệu cá nhân về cư dân California; trong khi một số ngành công nghiệp nhất định có thể có các quy định duy nhất như HIPAA (luật liên bang thiết lập các quy tắc về những người có thể xem và tiếp nhận thông tin sức khỏe của người bệnh) cho lĩnh vực chăm sóc sức khỏe hoặc GLBA (Đạo luật hiện đại hóa dịch vụ tài chính) cho các dịch vụ tài chính.

Nhiều đạo luật trong số này đặc biệt yêu cầu một tổ chức thực hiện đánh giá rủi ro trên cơ sở định kỳ. Nhưng nhìn chung, những đánh giá đó được thực hiện như một bài tập tuân thủ tick-the-box, chỉ tập trung vào dữ liệu được quy định. Điều đó còn thua xa việc đánh giá rủi ro đối với nhiều loại tổ chức dữ liệu khác, và nhấn mạnh sự cần thiết phải kiểm tra rủi ro bảo mật thông tin rộng hơn.

Các khuôn khổ phổ biến có sẵn từ các tổ chức tiêu chuẩn như NIST, ISO và CIS có thể giúp một nhóm bảo mật thông tin có được cái nhìn rộng hơn. Các khuôn khổ này cung cấp một điểm khởi đầu tuyệt vời để xác định trạng thái của môi trường bảo mật thông tin khi trưởng thành, và các rủi ro có thể tồn tại trong các quy trình quản lý dữ liệu hiện tại của nó.

Bất kể bạn chọn khuôn khổ nào, bước đầu tiên luôn là xác định phạm vi nỗ lực đánh giá của bạn. Bắt đầu bằng cách thiết lập bối cảnh cho lý do tại sao bạn thực hiện việc đánh giá. Hãy suy nghĩ về Dữ liệu, Con người, Quy trình và Công nghệ.

Đối với Dữ liệu, bạn có thông tin gì mà bạn đang cố gắng bảo vệ? Phạm vi có thể rộng bao gồm tất cả các loại dữ liệu của bạn, hoặc giới hạn như chỉ thông tin thẻ tín dụng.

Đối với Con người: Ai là người sử dụng dữ liệu? Ai nên/không nên có quyền truy cập? Doanh nghiệp đang chia sẻ dữ liệu với ai? Ai nên chịu trách nhiệm bảo vệ nó?

Quy trình là điều cần thiết, vì quản trị sẽ đặt nền móng lên hàng đầu. Quy trình của bạn đã trưởng thành ở mức nào? Tài liệu của bạn đã tuân thủ Quy trình thao tác chuẩn (SOP - Standard operating procedure) hay chưa? Bạn có thuê ngoài một số quy trình CNTT? Nếu vậy, các đối tác có chính sách và thủ tục tài liệu thích hợp? Chính sách bảo mật thông tin của bạn có được cập nhật và có liên quan không?

Công nghệ bao gồm đặc tính của tất cả các hệ thống liên quan. Đó có thể là một nhiệm vụ to lớn với chính bản thân nó, với số lượng hệ thống tập trung vào dữ liệu đang hoạt động. Những ứng dụng nào đang nhận, truyền, lưu trữ hoặc sử dụng dữ liệu trong phạm vi đánh giá?

Đừng giới hạn bài tập này cho đầu vào. Thay vào đó, hãy suy nghĩ về vòng đời của mỗi phần tử dữ liệu. Ví dụ: nếu bạn thu thập số thẻ tín dụng, hãy theo dõi thông qua việc thu thập, chuyển giao, người dùng của yếu tố dữ liệu, cách thức chia sẻ, nơi lưu trữ và nơi được xử lý; lưu ý tất cả các ứng dụng liên quan đến từng bước. Sau đó, lưu ý hỗ trợ cơ sở hạ tầng cho từng ứng dụng, chẳng hạn như hệ điều hành và phần cứng cơ bản, bao gồm cả vị trí của nó (trung tâm dữ liệu, Nền tảng như một dịch vụ, hoặc được lưu giữ dưới gầm bàn của một cá nhân), cơ sở hạ tầng mạng, truy cập công cộng hoặc nếu dựa trên đám mây. Bởi vì mỗi ứng dụng có thể được phân bổ cho các mạng hoặc địa điểm khác nhau, tác động của từng mối đe dọa sẽ khác nhau tùy thuộc vào các yếu tố này.

Khi khuôn khổ của bạn được thiết lập, hãy hiểu rõ về phạm vi - bạn muốn gì từ đánh giá rủi ro? Chỉ để hoàn thiện thủ tục? Một mục đích lớn hơn? Bạn sẽ thu thập một lượng thông tin đáng kể trong quá trình này, vì vậy hãy trực tiếp và trung thực về các mục tiêu của bạn càng tốt, bởi vì điều này sẽ thúc đẩy sự thay đổi trong tổ chức của bạn.

Điều đó nhấn mạnh sự cần thiết của các nhóm bảo mật thông tin để luôn cập nhật dữ liệu của tổ chức, bao gồm cả các vấn đề mà doanh nghiệp có thể chia sẻ với các nhà cung cấp CNTT, chia sẻ với lao động và dữ liệu chuyển động. Không có cái nhìn sâu sắc này, đánh giá rủi ro của bạn sẽ không có ý nghĩa. Nếu được hoàn thành chính xác, nó sẽ giúp xác định cách thức các sáng kiến bảo mật hiện tại được lập bản đồ tới các mối đe dọa và lỗ hổng hiện hành.

Bước tiếp theo là xác định các mối đe dọa mà hệ thống của bạn phải chịu, chẳng hạn như lừa đảo, tấn công vũ phu, hoặc thậm chí là trộm cắp vật lý. Giữ một kho dự trữ liên quan đến các mối đe dọa đòi hỏi nỗ lực đáng kể; Điều quan trọng là không chỉ xác định các mối đe dọa liên quan đến tổ chức của bạn, mà còn tiếp tục xem xét danh sách của bạn vì các mối đe dọa mới có thể được tạo ra, các mối đe dọa có thể thay đổi hoặc một số có thể không còn được áp dụng.

Xác định mức độ rủi ro mà mỗi mối đe dọa đó đặt ra là nơi nhiều tổ chức bắt đầu gặp khó khăn. Mức độ có thể là đánh giá chủ quan, do đó, thách thức là giảm thiểu bất kỳ sự thiên vị nào và sau đó sử dụng các biện pháp để xác định các hành động khắc phục. Một cách tiếp cận tốt là cho điểm từng rủi ro dựa trên tác động. Hãy suy nghĩ về cách xác định một tác động sẽ đe dọa như thế nào đối với tổ chức của bạn. Bạn cũng có thể phân tách nguy cơ của mối đe dọa thành các tác động bảo mật, sẵn có và toàn vẹn. Bằng cách đó bạn có thể làm giảm thêm tính chất chủ quan của bài tập.

Ngoài ra hãy xem xét khả năng - xác suất của mối đe dọa thực sự ảnh hưởng đến tổ chức của bạn? Ví dụ: nếu dữ liệu của bạn được đặt tại Florida, khả năng xảy ra thảm họa tự nhiên (bão lốc) là rất cao so với các địa điểm khác. Một cuộc tấn công tiêm mã dựa trên web vào một ứng dụng web không công khai trên internet thấp hơn nhiều so với khi ứng dụng web có trên internet.

Việc kiểm tra kỹ lưỡng phạm vi đánh giá của bạn, các mối đe dọa tiềm ẩn, các tác động có thể xảy ra và khả năng xảy ra sẽ mang lại một danh sách các rủi ro với các xếp hạng khác nhau. Dữ liệu này sẽ rất hữu ích, và nó sẽ giúp các nhóm bảo mật thông tin có được cái nhìn khách quan về dấu vết mối đe dọa của tổ chức, và đưa ra trường hợp tại sao và nơi nào cần sự đầu tư. Nỗ lực đánh giá cũng sẽ giúp các nhóm bảo mật thông tin thể hiện giá trị của họ đối với các tổ chức của họ, và hoàn thành nhiệm vụ bảo mật dữ liệu, viên ngọc quý của các doanh nghiệp hiện đại.