QUẢN lý và xây DỰNG CHÍNH SÁCH AN TOÀN THÔNG TIN khả năng giảm thiểu mối đe dọa từ nội bộ doanh nghiệp của chính sách an toàn thông tin

NOI DUNGCHƯƠNG 1: Tổng quan về mối đe dọa nội bộ trong doanh nghiệp CHƯƠNG 2: Các phương pháp đánh giá hiệu quả chính sách ATTT của doanh nghiệp trong việc giảm thiểu mối đe dọa nội bộ C

QUẢN LÝ VÀ XÂY DỰNG CHÍNH

Đề tài: Khả năng giảm thiểu mối đe dọa từ nội bộ doanh nghiệp của chính sách an toàn thông tin

Giảng viên: Phạm Duy Trung

Nhóm 25: Trần Tuấn Lâm

Phạm Văn Thái

< Trần Anh Tuấn >

NOI DUNG

CHƯƠNG 1: Tổng quan về mối đe dọa nội bộ trong doanh nghiệp

CHƯƠNG 2: Các phương pháp đánh giá hiệu quả chính sách ATTT của

doanh nghiệp trong việc giảm thiểu mối đe dọa nội bộ

CHƯƠNG 3: Phân tích các chính sách ATTT trong việc giảm thiểu các mối

đe dọa từ nội bộ doanh nghiệp

CHƯƠNG 4: Kết luận

CHƯƠNG 1:

TỔNG QUAN VỀ MỐI ĐE DỌA TRONG NỘI BỘ DOANH

NGHIỆP

Người trong nội bộ là gì?

Ví dụ về người trong nội bộ

■ Một người mà tô chức tin cậy, bao gôm thành viên tô chức và những người

mà tô chức đã cung cấp thông tin nhạy cảm và quyền truy cập.

■ Một người mà tô chức đã cung cấp máy tính hoặc quyền truy cập mạng.

■ Một người phát triển các sản phẩm và dịch vụ của tô chức; nhóm này bao gôm những người biết bí mật của các sản phẩm cung cấp giá trị cho tô

chức

■ Một người hiểu biết về chiến lược và mục tiêu kinh doanh của tô chức,

được giao phó các kế hoạch trong tương lai hoặc các phương tiện để duy trì

tô chức và cung cấp phúc lợi cho mọi người của tô chức

Mối đe dọa trong nội bộ là

gì?

- Là khả năng người trong nội bộ sử dụng quyền truy cập hoặc

hiểu biết được ủy quyền của họ về một tổ chức để gây hại cho tổ chức đó Tác hại này có thể bao gồm các hành vi có chủ đích xấu,

tự mãn hoặc vô ý ảnh hưởng tiêu cực đến tính toàn vẹn, tính bảo mật và tính sẵn có của tổ chức, dữ liệu, nhân sự hoặc cơ sở của tổ chức.

Biểu hiện qua các hành vi

■ Gián điệp

■ Khủng bố

■ Tiết lộ thông tin trái phép

■ Tham nhũng, bao gồm tham gia vào tội phạm có tổ chức xuyên quốc gia

hoặc năng lực của bộ phận

Các loại mối đe dọa trong nội bộ

1 Đe dọa không chủ ý:

Sơ suất: người nội bộ thuộc loại này khiến tổ chức bị đe dọa do sự bất cẩn.Những người nội bộ không cẩn thận thường quen thuộc với các chính sáchATTT hoặc CNTT nhưng lại chọn phớt lờ chúng, tạo ra rủi ro cho tổ chức

Ví dụ: làm mất thiết bị lưu trữ di động có chứa thông tin nhạy cảm và bỏ quacác thông báo cài đặt các bản cập nhật và bản vá bảo mật hệ thống, phần

mềm mới

Các loại mối đe dọa trong nội

bộ

(tiếp)

1 Đe dọa không chủ ý:

■ Tình cờ : Người trong nội bộ kiểu này nhầm lẫn gây ra rủi ro ngoài ý

muốn cho tổ chức

Ví dụ: nhập sai địa chỉ email, vô tình gửi tài liệu kinh doanh nhạy cảm chođối thủ cạnh tranh, mở tệp đính kèm chứa vi-rút trong email lừa đảo hoặc

Các loại mối đe dọa trong nội bộ

(tiếp)

vứt bỏ tài liệu nhạy cảm không đúng cách

Các loại mối đe dọa trong nội

bộ

(tiếp)

2 Đe doạ có chủ đích:

- Là những hành động được thực hiện để gây tổn hại cho tổ chức vì lợi ích

cá nhân hoặc hành động vì bất mãn cá nhân Người trong nội bộ có chủ đíchthường được coi là “người trong nội bộ có chủ đích xấu” Động cơ là lợi ích

cá nhân hoặc gây hại cho tổ chức

3 Đe dọa thông đồng :

Một tập hợp con các mối đe dọa nội bộ có chủ đích xấu là các mối đe dọathông đồng, trong đó một hoặc nhiều người trong nội bộ cộng tác với mộttác nhân đe dọa bên ngoài để xâm phạm tổ chức

3 Đe dọa thông đồng :

Ví dụ: tội phạm mạng tuyển dụng một người nội bộ hoặc một số người nội

bộ để thực hiện hành vi gian lận, trộm cắp tài sản trí tuệ, gián điệp hoặc kếthợp cả ba

4 Các mối đe dọa từ bên thứ ba :

- Các mối đe dọa bên thứ ba thường là các nhà thầu hoặc nhà cung cấp

không phải là thành viên chính thức của một tổ chức nhưng đã được cấp một

số quyền truy cập vào các cơ sở, hệ thống, mạng hoặc nhân sự để hoàn thànhcông việc của họ

4 Các mối đe dọa từ bên thứ ba :

Có thể là mối đe dọa trực tiếp hoặc gián tiếp

• Các mối đe dọa trực tiếp là những cá nhân hành động theo cách làm tổn hại đến tổ chức

đã được chọn làm mục tiêu.

• Các mối đe dọa gián tiếp nói chung là các lỗ hổng trong hệ thống để lộ tài nguyên cho các tác nhân đe dọa không chủ ý hoặc có chủ đích xấu.

Mối đe dọa trong nội bộ xảy

Mối đe dọa trong nội bộ xảy

Mối đe dọa trong nội bộ xảy

ra

như thế nào? (tiếp)

2 Gián điệp

- Là hoạt động bí mật hoặc bất hợp pháp do thám một chính phủ,

tổ chức, thực thể hoặc cá nhân nước ngoài để lấy thông tin bí

mật nhằm phục vụ lợi ích quân sự, chính trị, chiến lược hoặc

tài chính

Mối đe dọa trong nội bộ xảy ra

như thế nào? (tiếp)

2 Gián điệp

- Gián điệp kinh tế là hoạt động bí mật để lấy bí mật thương mại

từ nước ngoài (ví dụ: tất cả các hình thức và loại thông tin tài

chính, kinh doanh, khoa học, kỹ thuật, kinh tế hoặc kỹ thuật và các phương pháp, kỹ thuật, quy trình, thủ tục, chương trình

hoặc mã để sản xuất ).

Mối đe dọa trong nội bộ xảy

Mối đe dọa trong nội bộ xảy ra

như thế nào? (tiếp)

2 Gián điệp

- Gián điệp hình sự liên quan đến một công dân của một nước tiết lộ bí mật của chính phủ nước đó cho nước ngoài

3 Phá hoại

- Mô tả các hành động cố ý gây hại cho cơ sở hạ tầng vật lý hoặc

ảo của một tổ chức, bao gồm cả việc không tuân thủ các quy

trình bảo trì hoặc CNTT, làm ô nhiễm không gian sạch, cơ sở

vật chất bị hư hại hoặc xóa mã để ngăn chặn các hoạt động

thường xuyên của tổ chức

3 Phá hoại

■ Phá hoại vật chất là thực hiện các hành động có chủ ý nhằm gây hại cho cơ sở hạ tầng của tổ chức (ví dụ: cơ sở vật chất

4.Trộm cắp

- Là hành vi ăn cắp, tài chính hoặc tài sản trí tuệ

■ Trộm cắp tài chính là hành vi lấy hoặc sử dụng trái phép, bất hợp pháp tiền hoặc tài sản của một người, doanh nghiệp hoặc tổ chức với mục đích thu lợi từ đó.

■ Trộm cắp tài sản trí tuệ là hành vi trộm cắp, cướp ý tưởng, các phát minh hoặc các sáng tạo của cá nhân hoặc tổ chức, bao gồm cả bí mật thương mại và sản phẩm độc quyền.

5 Mối đe dọa không gian mạng

- Các mối đe dọa kỹ thuật số bao gồm trộm cắp, gián điệp, bạo lực và pháhoại bất kỳ thứ gì liên quan đến công nghệ, thực tế ảo, máy tính, thiết bịhoặc internet

- Gồm đe dọa chủ ý và không chủ ý.

5 Mối đe dọa không gian mạng

- Các mối đe dọa không chủ ý là sự xâm phạm không có chủ đích xấu

(thường là do ngẫu nhiên hoặc không cố ý) đến cơ sở hạ tầng CNTT, hệ

thống và dữ liệu của tổ chức, gây ra tổn hại không mong muốn cho tổ chức

Ví dụ bao gồm email lừa đảo, phần mềm giả mạo và “quảng cáo độc hại”(nhúng nội dung độc hại vào quảng cáo trực tuyến hợp pháp)

5 Mối đe dọa không gian mạng

- Đe dọa có chủ ý là các hành động có chủ đích xấu được thực hiện bởi

những người bên trong thù địch sử dụng các phương tiện kỹ thuật để làmgián đoạn hoặc tạm dừng hoạt động kinh doanh thường xuyên của tổ chức,xác định điểm yếu CNTT, lấy thông tin được bảo vệ hoặc nói cách khác làmột kế hoạch tấn công thông qua quyền truy cập vào hệ thống CNTT Hànhđộng này có thể liên quan đến việc thay đổi dữ liệu ,chèn phần mềm độc hạihoặc các phần mềm gây khó chịu khác để làm gián đoạn hệ thống và mạngcủa tổ chức

Tác động của đe dọa nội bộ đến

doanh nghiệp

- Gây tổn hại nghiêm trọng đến hệ thống, tài nguyên, dữ liệu và danh tiếng

- Gây tổn hại về tài chính, doanh thu

- Tạo ra lợi thế cạnh tranh cho doanh nghiệp đối thủ

- Chịu trách nhiệm trước pháp luật khi làm lộ thông tin người dùng

CHƯƠNG 2

Các phương pháp đánh giá hiệu quả chính sách ATTT của doanhnghiệp

trong việc giảm thiểu mối đe dọa nội bộ

Trường hợp sơ suất trong nội bộ

Observed physical behaviour Assaulting co-workers Opportunỉty

A

Historical behaviour e.g., Previous rule violartons

Relatiortship e.g., Current

skill Set e.g., Software development

Motỉvation to attack e.g., Revenge Psychological

State e.g., Anger/

Disgruntlement

Attttude towards work Commltted

Personality characteristics e.g., Social skill problems

Trường hợp sơ suất trong nội bộ (tiếp) le ít unlocked

Enterprise ro le e.g., Database

Type of actor e.g Empioyee

c tín

h

cá

c m

ôi đe dọ

a tr on

g nộ

i bộ

Trường hợp sơ suất trong nội bộ

M

ô hìn

h

đã đư

ợc tạo

ra

để nắ

m bắttất

cả

cá

c điể

m dữliệ

u qu

an trọ

ng được

liê

n kế

Thu thập chính sách ATTT

- Các chuyên gia đã thu thập một mẫu 10 chính sách ATTT được công khaitrên Internet, ở một loạt các lĩnh vực khác nhau: học thuật (3 chính sách),chính quyền địa phương (3 chính sách), y tế (1 chính sách), tài chính (1chính sách), khoa học và công nghệ (1 chính sách) và thực thi pháp luật(1chính sách) Ngoài các chính sách thực tế đã thu thập được, các chuyêngia cũng sử dụng các chính sách mẫu được công khai trên mạng

- Các chính sách ATTT được chọn sẽ đưa ra cái nhìn tổng quan về sự phân

bổ ngành nghề ở các trường hợp liên quan đến đe dọa nội bộ đã thu thập

Phân loại các trường

hợp

1 Động cơ

Việc không có chủ đích xấu hoặc động cơ là một trong những yếu tố chính

giúp tách các sự cố sơ suất trong nội bộ ra khỏi các hành vi cố ý trong mối

• • •

Phân loại các trường hợp

(tiếp)

1 • /V 1 Ấ Ả Ả ọ

2 Sự kiện kêt tủa

- Là một sự kiện quan trọng có khả năng khiên một người nội bộ trở thànhmối đe dọa cho sêp của họ

- Lý do cho sự sơ suất là sử dụng sai hệ thống máy tính, kiên thức hệ thốngkhông đầy đủ, các yêu tố có thể ảnh hưởng đên công việc liên quan đênhiệu suất (ví dụ: khối lượng công việc quá tải), và cuối cùng là thiêu nhậnthức về đào tạo bảo mật

Phân loại các trường hợp

(tiếp)

3 Mục tiêu tấn công

Khi xem xét một mối đe dọa nội bộ có chủ đích xấu, mục tiêu tấn công được vạch ra rất rõ ràng Ví dụ, một người sao chép dữ liệu tổ chức nhạy cảm để chuyển cho một đối thủ cạnh tranh có mục tiêu xác định là làm rò rỉ thông tin của tổ chức đối thủ

Phân loại các trường hợp

(tiếp)

3 Mục tiêu tân công

- Ngược lại với sự kiện kết tủa, khi xét mục tiêu tân công của sự cố, các

chuyên gia quan tâm đến mục đích của người nội bộ khi sự cố xảy ra (ví dụ:người dùng cố upload dữ liệu lên máy chủ tệp an toàn)

- Phân loại về các trường hợp thu thập được đã đưa ra cơ sở để so sánh cácphát hiện của các chuyên gia với một số các chính sách ATTT hiện có

Phân loại các trường

- Hardware (1.7%)

- Documents (8.3%) Lost/damaged in transit (3.3%) Social engineering (3.3%) Virus scan not períormed (5%) Data improperly protected (46.6%)

- Electronic (15%)

- Physical (31.6%) Data copied to insecure device (15%)

Biêu đồ nguyên do, hành động và tác động của môi đe dọa trong nội

bộ

Phân loại các trường hợp

(tiếp)

3 Mục tiêu tân công

Hình trên minh họa việc cô đọng lại các trường hợp đã thu thập được, chúng

sẽ được sử dụng để phân tích phạm vi và tính hữu dụng của các chính sáchATTT hiện có, được chia nhỏ thành ba loại chính:

• Nguyên do : Nguyên nhân của sự cố là gì?

• Hành động : Điều gì đã được thực hiện không chính xác?

• Tác động : Tác động của sự cố là gì?

CHƯƠNG 3

PHÂN TÍCH CÁC CHÍNH SÁCH ATTT TRONG VIỆC GIẢM THIỂU

CÁC MỐI ĐE DỌA TỪ NỘI BỘ DOANH NGHIỆP

Bảng dưới cung cấp một cái nhìn tổng quan về độ bao quát của mỗi chínhsách ATTT khi đôi chiêu với nguyên do và hành động trong đe dọa nội bộ

Lỗi con người

80% các chính sách ATTT được phân tích chứa các điều khoản được coi là

sự cố rủi ro trong đó lỗi con người là nhân tố chính gây ra sự cố đó và đưa ramột số hình thức kiếm soát tại chỗ đe chống lại nó

V í dụ, một trong những chính sách học thuật được khảo sát có chứa một

điều khoản nêu rõ các biện pháp kiếm soát phải được áp dụng đế ngăn chặn

và chống lại các “lỗ hổng bảo mật (ví dụ: đánh địa chỉ không chính xác hoặcchuyến hướng sai), độ tin cậy chung và tính khả dụng của dịch vụ ”

Lỗi con người (tiếp)

Điều này trái ngược với việc ngăn chặn sử dụng sai phần mềm trong một tổchức, 80% các chính sách được xét không yêu cầu thực hiện bất kỳ loại đàotạo phần mềm nào.Tuy nhiên việc này thường xuyên tồn tại trong chính sáchATTT mẫu hơn là chính sách thực tế trong doanh nghiệp

Chính sách không được tuân

thủ

Liệu có bất kỳ quy định nào mà người lao động phải được đào tạo về bảomật thông tin hay không Các chuyên gia đã làm nổi bật hai lý do chính dẫnđến việc không tuân thủ chính sách: chính sách không được đầy đủ hoặc độminh bạch kém, hoặc người lao động không biết gì về chính sách ATTT.Nghiên cứu sâu hơn về tài liệu cho thấy có các lý do tiềm ẩn khác đằng sauviệc này; ví dụ, chính sách không được tuyên truyền tốt hoặc các chính sáchnày làm cho người lao động khó thực hiện tốt công việc của họ

Trong khi phần lớn các chính sách được khảo sát (60%) có đề cập về việc sửdụng email đúng cách, (ví dụ: “cho phép sử dụng e-mail cá nhân với điềukiện chỉ sử dụng trong thời gian rảnhvà khi khối lượng công việc của cánhân không nhiều ”) Rất ít điều khoản được đưa ra để ngăn chặn việc sửdụng sai email , ví dụ đính kèm nhầm tệp (20%) hoặc gửi đến không đúngngười nhận (27%)

Xử lý tài nguyên không đúng

cách

Phần lớn các chính sách được xem xét (73%) có hướng dẫn về việc xử lý antoàn các nguồn tài nguyên, tuy nhiên, trong số đó có ít chính sách chứathông tin về việc loại bỏ an toàn phần cứng (67%) so với việc xử lý an toàncác tài nguyên giấy (74%) Điển hình là xử lý an toàn các tài nguyên giấynhư đặt các tài liệu vào đúng vị trí, theo phân loại (ví dụ: “tài liệu bị hạn chế

và riêng tư có thể được đặt trong các thùng rác bí mật, trong khi tài liệu tốimật phải được tiêu hủy”)

Xử lý tài nguyên không đúng cách (tiếp)

Ngược lại, khi xem xét xử lý phần cứng, các chính sách thường ít mang tínhquy định hơn Ví dụ: một trong những chính sách ATTT học thuật thu thậpđược đã yêu cầu người lao động phải đảm bảo rằng dữ liệu cần được làm

sạch một cách an toàn khỏi thiết bị đó khi tháo bỏ chúng

Vận chuyển dữ liệu

Thuật ngữ "vận chuyển dữ liệu" được sử dụng để mô tả quá trình vận chuyển

dữ liệu (bao gồm băng, đĩa, thiết bị USB và dữ liệu trên giấy) đến các khuvực khác nhau của một tổ chức hoặc tới một tổ chức đối tác

Vận chuyển dữ liệu (tiếp)

Sự an toàn trong vận chuyển dữ liệu phần lớn không được đề cập trong cácchính sách ATTT đã được xét Chỉ 13% các chính sách có các điều khoản đểkiểm soát hành động này.Ví dụ: một chính sách học thuật cung cấp biện

pháp ngăn ngừa điều này bằng cách quy định rằng “phải sử dụng phương

tiện giao thông vận tải hoặc người giao thông đáng tin cậy"

Kỹ nghệ xã hội

Không được đề cập nhiều trong các chính sách được khảo sát, chỉ 33% chứahướng dẫn về cách ngăn chặn các cuộc tấn công kỹ nghệ xã hội, tuy nhiên,hai trong ba chính sách từ học viện có đề cập đến vấn đề này Thông tin phổbiến nhất được cung cấp về kỹ nghệ xã hội tập trung vào mức độ đáng tincậy của một thông tin nhận được qua email (ví dụ: “bạn không nhất thiếtphải tin hoặc làm theo nội dung của email mà bạn nhận được- cụ thể là bạnkhông được reply lại những email bắt cung cấp tên người dùng hoặc mậtkhẩu”)

Ngăn chặn vi-rút hoặc phần mềm độc

hại

Ngăn chặn phần mềm độc hại là một trong những đề mục được đề cập trongtất cả các chính sách trong mẫu của các chuyên gia Các phương pháp ngănchặn phần mềm độc hại đã được quy định tốt, tất cả các chính sách đã yêucầu “cài đặt và cập nhật thường xuyên các phần mềm chống vi-rút thíchhợp”

Bảo vệ chống lại vi-rút hoặc phần mềm độc hại (tiếp)

Điều mục này nhấn mạnh vào việc người thực hiện phải kiểm soát bảo mậtmột cách toàn vẹn Điều này không hợp lí khi đặt nó vào trường hợp củamột người lao động, khi mà họ không có nhiều kiến thức hoặc kinh nghiệm

về việc phòng chống vấn đề này Việc một người lao động tải xuống phầnmềm độc hại giả dạng phần mềm chống vi-rút là điều hoàn toàn có thể xảy

ra trong thực tế

Dữ liệu được bảo vệ không đúng cách

Nhiều chính sách ATTT (73%) được phân tích chứa các điều khoản được coi

là bảo vệ dữ liệu nhạy cảm Trong các điều khoản này, điều khoản thườngđược đề cập đến là đảm bảo tổ chức và người của tổ chức tuân thủ Đạo luậtbảo vệ dữ liệu, ví dụ: khi công việc có liên quan đến tính bảo mật dữ liệu

nhạy cảm, người thực hiện công việc đó sẽ có điều khoản đi kèm theo là

"Đảm bảo tuân thủ Đạo luật bảo vệ dữ liệu"

• • • •