Quản lý và xác định rủi ro - Risk Identification & Management P.2 (CISA)
Phương Pháp Phân Tích Rủi Ro
Sau khi đã hoàn thành bước xác định các mối đe dọa, nhóm có thể bắt đầu tập trung vào quá trình phân tích rủi ro (risk-analysis). Phân tích rủi ro có thể được thực hiện, bằng một trong hai phương pháp cơ bản sau :
- Quantitative Risk Assessment—Đánh giá rủi ro theo định lượng, giá trị tính bằng hiện kim ($). Quá trình này sẽ gán một giá trị tính bằng hiện kim cho các yếu tố tổn thất, các mối đe dọa của một cuộc phân tích rủi ro.
- Qualitative Risk Assessment—Đánh giá rủi ro theo định tính, chủ yếu dựa vào tình huống, trực giác và kinh nghiệm.
Quantitative Risk Assessment
Quantitative Risk Assessment liên quan đến việc đánh giá rủi ro bao gồm nhiều yếu tố như giá trị tài sản (tính bằng $), tác động của mối đe dọa, tần suất của mối đe dọa, phương pháp bảo vệ hiệu quả, chi phí dành cho việc bảo vệ, xác suất. Phương pháp đánh giá này bao gồm 6 bước cơ bản, được minh họa trong hình dưới:
1.Xác định giá trị tài sản (Asset Value AV)
2.Xác định các mối đe dọa đến tài sản
3.Xác định tỷ lệ % giá trị tài sản bị tổn thất đối với từng mối đe dọa (Exposure Factor EF). Ví dụ: rủi ro khi mất Laptop, thì EF là 100%
4.Tính toán giá trị hiện kim bị tổn thất trong một lần sau khi rủi ro xảy ra - Single Loss Expectancy (SLE)
5.Tính toán tỷ lệ % xác suất xảy ra hàng năm (mặc định là 1 năm) - Annualized Rate of Occurrence (ARO).
6.Tính toán giá trị tổn thất hàng năm - Annulized Loss Expectancy (ALE)
Lợi thế của Quantitative Risk Assessment là nó gán thẳng một giá trị hiện kim rõ rệt, điều đó giúp dễ dàng cho công tác quản lý và đánh giá. Tuy nhiên, ưu điểm cũng chính là khuyết điểm của Quantitative Risk Assessment, đó là việc dựa trên giá trị hiện kim, đôi lúc điều này gây nên các trở ngại khó khăn, có những yếu tố hoặc tài sản không thể nào gán được giá trị hiện kim vào cho nó.
Do đó, một số biện pháp đánh giá định tính phải được áp dụng cho các yếu tố bên cuộc đánh giá định lượng. Đây là một trách nhiệm rất lớn của nhóm đánh giá, vì vậy Quantitative Risk Assessment thường phải được thực hiện dưới sự trợ giúp của các phần mềm tự động. Giả sử rằng giá trị tài sản và các mối đe dọa đã được xác định, bước tiếp theo trong quy trình sẽ tiến hành như sau:
Step by Step : Quantitative Risk Assessment - Đánh giá rủi ro định lượng
1. Xác định EF—Đây là % giá trị tài sản bị tổn thất khi rủi ro xảy ra.
2. Tính toán SLE. Giá trị SLE là giá trị hiện kim bị tổn thất trong một lần sau khi rủi ro xảy ra. Công thức tính như sau :
SLE = AV x EF (Giá trị tài sản nhân với % tổn thất)
Có nhiều chỉ mục cần xem xét khi tính toán SLE, bao gồm những mục như : phá hủy mức vật lý, trộm cắp tài sản, thất thoát dữ liệu, đánh cắp thông tin và các mối đe dọa có thể bị xử lý chậm trễ.
3. Xác định ARO. Rủi ro sẽ xảy ra bao nhiêu lần trong năm ? ARO là tỷ lệ % xác suất rủi ro xảy ra trong năm (mặc định là 1 năm). Xác suất này được lấy từ nhiều nguồn thông tin rủi ro như : Dữ liệu rủi ro từ công ty bảo hiểm, dữ liệu rủi ro từ cơ quan an ninh … Ví dụ, nếu dữ liệu bảo hiểm cho rằng một đám cháy nghiêm trọng có thể xảy ra một lần trong 25 năm, thì tỷ lệ trong năm đám cháy đó có thể xảy ra là 1 / 25 = 0,04.
4. Tính toán ALE, vậy ALE là gì ? ALE là một giá trị thất thoát tài chính hàng năm của tổ chức, do các tổn thất từ tài sản mà ra. Công thức tính như sau :
ALE = SLE x ARO (Giá trị hiện kim bị thất thoát trong 1 lần rủi ro nhân cho Xác suất rủi ro xảy ra trong năm)
ALE thường là giá trị rất cần thiết mà các nhà quản lý cấp cao dùng để ưu tiên sắp xếp nguồn lực và xác định những mối đe dọa nguy hiểm nhất.
5. Phân tích rủi ro cho tổ chức—Bước cuối cùng là đánh giá các dữ liệu thu thập được và ra phương án xử lý như Accept, Reduce, Transfer hoặc Reject.
Phần lớn của quá trình đánh giá rủi ro định lượng, là dựa trên xác suất tổn thất của tài sản (EF) và thiệt hại tài chính đem lại từ rủi ro xảy ra trong năm (ALE). Những yếu tố rủi ro chủ yếu dựa vào xác suất và mức độ tổn thất, khi nhìn vào một sự kiện xảy ra, ví dụ như thiên tai bão lụt hoặc các hiện tượng thiên nhiên khác, rất khó để dự đoán được hành vi hoặc rủi ro mà nó mang lại. Cho nên mới cần các thông số xác suất.
Tuy nhiên, cuối cùng thì đánh giá rủi ro định lượng đôi lúc cũng phải đối mặt với những thách thức khó khăn, lúc này cần phải dựa thêm vào một số yếu tố của phương pháp đánh giá rủi ro định tính (Qualitatitve).
Một chỉ mục mà thường bị bỏ qua trong quá trình tính toán giá trị tài sản (AV), là mục tổng chi phí khi xảy ra tổn thất . Nhóm quản lý rủi ro cần xem lại các chi phí như :
-
Bị mất năng suất hoạt động
-
Chi phí sửa chữa, thay thế.
-
Giá trị của món tài sản bị hư hỏng, hoặc giá trị của tài liệu bị thất thoát.
- Chi phí cho việc phục hồi dữ liệu bị thất thoát.
Ví dụ về kết quả đánh giá
|
Tài sản |
Rủi ro |
AV |
EF |
SLE |
ARO |
ALE |
|
Cơ sở dữ liệu khách hàng |
Thất thoát dữ liệu trong khi không có kế hoạch sao lưu backup |
$118,000 |
78.06% |
$92,121 |
.25 |
$23,030 |
|
E-commerce Website |
Hacked |
$22,500 |
35.50% |
$8,000 |
.45 |
$3,600 |
|
Domain controller |
Bị sập nguồn điện |
$16,500 |
27.27% |
$4,500 |
.25 |
$1,125 |
Mặc dù các công cụ tự động có thể giúp đỡ hạn chế tốn sức trong quá trình đánh giá, tuy nhiên cũng không nên quá chú trọng vào công cụ, đôi lúc có những rủi ro phải đánh giá và xử lý thủ công. Tổ chức cần tiến hành kiểm tra thực tế các sự kiện có khả năng xảy ra và phải mở cuộc thảo luận để xem cách xử lý như thế nào cho phù hợp.
Nhớ kỹ, một sự kiện có xác suất xuất hiện chỉ 1 lần trong 100 năm không có nghĩa là không thể xảy ra vào năm kế tiếp !
Thách thức
Thách thức ở đây đề cập đến quá trình tính toán Risk Score (điểm số rủi ro). Là một phần kiểm tra trong bài thi CISA, CISSP, chúng ta được yêu cầu phải tính toán số điểm rủi ro. Ví dụ đề bài như sau :
Tổ chức vừa được trang bị một Mail Server, trị giá $2500 (AV). Tổ chức lên kế hoạch sử dụng nó cho 65 máy tính kết nối Internet để duyệt E-Mail. Hiện tại, Mail Server này không có trang bị bất cứ phần nào để Anti-Spam, Content Filtering hay Antivirus. Theo nghiên cứu của phòng quản lý rủi ro, có 95% khả năng Mail Server này dễ dàng bị tấn công bởi Malware (ARO).
Nếu như cuộc tấn công xảy ra, 3/4 dữ liệu sẽ bị thất thoát hoàn toàn. Nếu không có giải pháp Antivirus, đây là một "dịp tốt" để Malware gây downtime hệ thống mạng trong vòng 4 tiếng ! Một đối tác đã đề nghị trang bị giải pháp các phần mềm Security chỉ có 175$.
Đề bài đặt ra câu hỏi : Hãy tính toán ALE. Giải thích toàn bộ quy trình bắt đầu của bạn.
Bài giải
1. Bước 1 là xem xét EF. Đề bài cho sẵn giá trị của EF là 75%. Hãy nhớ rằng đây là % giá trị tài sản sẽ bị tổn thất nếu những mối đe dọa xảy ra.
2. Bước kế tiếp là tính toán SLE. Giá trị SLE được tính như sau :
Asset Value x Exposure Factor = SLE
Cho giá trị tài sản là $2500 và EF là 7%, vậy kết quả SLE bằng $1875.
3. Kế tiếp là tìm kiếm giá trị ARO. % rủi ro có thể xảy ra trong năm là bao nhiêu ? Theo nghiên cứu thì 95% khả năng rủi ro có thể xảy ra trong năm.
4. Sau đó là bước tính toán giá trị ALE. Đại diện cho giá trị thiệt hại tài chính trong năm nếu như mối đe dọa xảy ra. ALE được tính như sau :
(ALE) = (SLE) x (ARO)
hoặc
$1,875 (SLE) x .95 (ARO) = $1,781 (ALE)
5. Bước cuối cùng là đánh giá các dữ liệu đã được tính toán và đưa ra phương án như accept, reduce, hoặc transfer. Theo như kết quả mang lại, việc trang bị giải pháp bảo mật cho tổ chức có phải là điều cần thiết ?
Câu trả lời là "Yes", bởi vì $1,781 (ALE) - $175 (Antivirus) = $1,606 (savings). Có nghĩa là nếu trang bị giải pháp bảo mật, chúng ta có thể giảm thiểu rủi ro xảy ra và có khả năng tiết kiệm được $1,606.
Qualitative Risk Assessment
Qualitative Assessment khác với Quantitative Assessment ở chỗ nó không gán một giá trị hiện kim cho các thành phần rủi ro. Qualitative Assessment là phương pháp xếp hạng mức độ nghiêm trọng của mối đe dọa và yếu tố nhạy cảm của tài sản bằng cách phân loại cấp độ như là Low, Medium hoặc High.
Bạn có thể xem thêm ví dụ trong tài liệu NIST 800-26 (www.cio.gov/Documents/sp800-26.pdf). Tài liệu này đề cập đến tính bảo mật, tính toàn vẹn và tính sẵn sàng được phân mức độ rõ ràng như L, M, H. Xem ví dụ bên dưới về quá trình đánh giá này, trong đó các mức độ được định nghĩa như sau :
-
Low—Được xem là phiền phức nhỏ, có thể chấp nhận được trong một khoảng thời gian ngắn, nhưng tuyệt đối không được gây ra thất thoát tài chính.
-
Medium—Có khả năng gây thiệt hại cho tổ chức, tốn một mức phí nhỏ để sửa chữa và có thể mang lại kết quả tiêu cực đến dư luận.
- High—Gây mất uy tín với khách hàng, đối tác hoặc nhân viên trong tổ chức; kết quả có thể dẫn đến việc vi phạm pháp luật hoặc bị phạt tiền rất lớn, làm cho công ty mất một lượng doanh thu đáng kể.
Thực hiện đánh giá định tính
|
Tài sản |
Tổn thất về tính bảo mật |
Tổn thất về tính toàn vẹn |
Tổn thất về tính sẵn sàng |
|
Thông tin Credit Card và hóa đơn thanh toán của khách hàng |
High |
High |
Medium |
|
Tài liệu sản xuất |
Medium |
Medium |
Low |
|
Tài liệu quảng cáo và tiếp thị |
Low |
Low |
Low |
|
Hồ sơ nhân sự |
High |
High |
Medium |
Nhược điểm của phương pháp này là ưu điểm của phương pháp kia (không làm việc với giá trị hiện kim). Do vậy, thiếu sự phối hợp chặt chẽ với các phòng ban khác như phòng kế toán và phòng điều hành.
Một số loại kỹ thuật đánh giá định tính khác như :
The Delphi Technique—Nhóm đánh giá rủi ro cho phép sự đóng góp ý kiến từ các cá nhân trong tổ chức.
Facilitated Risk Assessment Process—Phương pháp thu thập kết quả bằng cách đưa ra hàng loạt các câu hỏi. FRAP được
thiết kế để nhóm đánh giá có thể thu thập kết quả nhanh chóng trong một vài giờ.
Lưu ý: Kết hợp giữa phương pháp Qualitative và Quantitative
Khi chúng ta không thể tính toán một giá trị cụ thể cho tài sản hoặc rủi ro, chúng ta có thể ứng dụng phương pháp định tính (Qualitative) để xếp hạng mức độ của chúng. Điều này gọi là phân tích Semiquantitative.
Nguyễn Phước Đức - DNA
DNA Headquarter