Phân tích và quản lý rủi ro

Phân tích và quản lý rủi ro

PHAN TICH & QUAN LY

RUI RO

Giang vién: Tran Thi Qué Nguyét

Trinh bay: - Lê Xuân Anh

- Đoàn Thanh Huy

- Huỳnh Văn Kháng

- Xỏm Xay Luôn U Đôm

Nội dung trình bày

= Giới thiệu

=¡ Các câu hỏi thường gặp về phân tích rủi ro

=' Vòng đời bảo mật thông tin

© Quy trình Phân tích rủi ro

=: Biện pháp giảm nhẹ nguy cơ

=¡ Danh mục kiêm soát rủi ro

=¡ Kê hoạch kinh doanh liên tục

=: Phân tích chi phí / lợi nhuận

=¡ Tóm tat

Gioi thiệu

=: Quản lý rủi ro là quá trình cho phép các nha

quản lý kinh doanh cân bằng chỉ phí và hoạt

động kinh tê Đề ra các biện pháp bảo vệ và đạt

được lợi nhuận trong khả năng nhằm hỗ trợ các

mục tiêu kinh doanh, sứ mệnh của doanh

nghiệp bằng cách bảo vệ quy trình kinh doanh

= Hậu hệt các tổ chức có ngân sách chặt chẽ vê

an ninh Đề có được hiệu quả tốt nhất về an

ninh, quản lý cân có một quá trình để xác định

chi tiêu

Những câu hỏi thường øặp về phân

tích rủ1 ro

=¡ Tại sao phải tiên hành phân tích rủi ro?

- Một phân tích rủi ro chính thức cung cấp các tài liệu thâm định

- Một phân tích rủi ro cũng cho phép doanh nghiệp kiểm soát vận mệnh riêng của mình

=: Khi nào cân tiên hành phân tích rủi ro?

- Một phân tích rủi ro cần được tiễn hành bất cứ khi nào tiên bạc

hoặc các nguôn lực được chi tiêu

= Ai nên tiên hành phân tích rủi ro?

- _ Không ai biết hệ thông của bạn và các ứng dụng tốt hơn so với những người phát triên và chạy chúng

= Tiên hành phân tích rủi ro trong bao lâu?

- Nó sẽ được hoàn thành trong ngày, chứ không phải vài tuân

hoặc vải tháng.

Những câu hỏi thường øặp về phân

-_ Lợi ích lớn nhật của một phân tích rủi ro là xác định có hay

không vấn đề đề tiễn hành tùy chỉnh

Ai nên xem xét kêt quả của một phân tích rủi ro?

- Các kết quả của một phân tích rủi ro thường được phân loại như

là bí mật và được cung cấp chỉ cho các nhà quản trị rủi ro được cho là thích hợp

-¡ ông cụ dé do các phân tích rủi ro thành công?

- Cách hữu hình đề đo lường thành công là để xem một đường

dưới thâp hon cho chi phi.

Hoạt động quản lý rủi ro

=¡ Giám sát, Bảo trì, phản hôi

Trách nhiệm quản lý rủi ro trong doanh nghiệp/

tổ chức bao gôm: Chủ sở hữu, quản lý cao cấp,

ClO, CISO, CEO, BM, ISA

Vong doi bao mat thong tin

¡ Thông thường, kết qua

phân tích nguy cơ sẽ

được sử dụng trên hai

lan: (1) khi mét quyét dinha io Analysic Cost/Benefit

va (2) khi co phat sinh

can phai kiém tra qua

trinh ra quyét dinh

Assessment

Quy trình phân tích rủi ro

Định nghĩa tài sản

Xác định môi đe dọa

Xác định xác suất xảy ra

Xác định tác động của các môi đe dọa

Các kiêm soát đề xuât

Tài liệu

Định nghĩa quản lý tài sản

=¡ Xác định quá trình, ứng dụng, hệ thông hoặc tài sản

mà phân tích rủi ro cân được thực hiện

=¡ Một sô kỹ thuật thu thập thông tin có liên quan bao

gôm bảng câu hỏi, các cuộc phỏng vấn trên trang

web, xem lại tài liệu và các công cụ quét

10

Phân loại tài sản

=¡ Chính sách quản lý hô sơ:

4 Thong tin, bất cứ nơi nào nó được xử lý hoặc lưu trữ

(Ví du: trong may tinh, tap tin, may tinh dé ban, may

fax, voice-mail), can phai dugce bao vệ khỏi truy cap

trái phép, sua doi, tiét 16, va pha huy

Z Mọi thông tin phải được phân loại theo chủ sở hữu

một trong ba phân loại: bí mật, sử dụng nội bộ hoặc

công cộng

11

Phân loại tài sản (tiêp)

Bí mật

Định nghĩa: Thông tin đó nêu bị tiết lộ có thể:

=¡ Xâm phạm sự riêng tư của cá nhân

=¡ Giảm lợi thê cạnh tranh của công ty

=¡ Cây thiệt hại cho công ty

1 Giam uy tín

12

Phân loại tài sản (tiêp)

hôn nhân, nghề nghiệp, số lượng người phụ thuộc, vv)

4 Thông tin khách hàng (bao gôm cà tên, địa chỉ, sô điện thoại,

tiêu thụ năng lượng, lịch sử thẻ tín dụng, sô an sinh xã hội, vv)

1 Thông tin cô đông (bao gôm cả tên, địa chỉ, sô điện thoại, sô

cô phân, sô an sinh xã hội, vv)

=1 Nhà cung cáp thông tin (tên, địa chỉ, giá cả sản phâm cụ thê

cho công ty, vv)

13

Phân loại tài sản (tiêp)

Hồ sơ bảo hiểm y tế (kế cả hô sơ y tê, kê đơn và tâm lý)

Kê hoạch hoạt động cụ thê, kê hoạch tiêp thi

Doanh thu, chi phí, lợi nhuận hoặc các kết quả tài chính khác

không được công khai

Mô tả các bộ phận duy nhât hoặc các tài liệu báo cáo công

nghệ hoặc các công nghệ nghiên cứu mới

Chiên lược kinh doanh

Những thay đổi lớn trong cơ câu quản lý công ty

Những thông tin đòi hỏi kỹ năng hoặc đào tạo đặc biệt

14

Phân loại tài sản (tiêp)

Sử dụng nội bộ

Định nghĩa: Phân loại thông, tin sử dụng nội bộ khi thông tin

được dự định sử dụng bởi các nhân viên khi công ty tiễn hành

kinh doanh

Ví dụ:

Thông tin hoạt động kinh doanh / báo cáo

=¡ Thông tin liên quan đến công ty là đối tượng không tiết lộ với

Phân loại tài sản (tiêp)

Báo cáo thường niên

Thông tin được tạo ra đặc biệt đôi với công chúng, chang han

như bản tin dịch vụ công cộng, tài liệu quảng cáo tiép thi

16

Xác định môi đe dọa

Thông thường, có ba loại mỗi đe dọa chính:

1 Các mỗi đe dọa tự nhiên: lũ lụt, động đất, lôc

xoáy, sạt lở đất, lở tuyết, bão điện từ, và các

sự kiện khác

Mỗi đe dọa con người: sự kiện có thê hoặc gây

ra bởi con người, chẳng hạn như hành vi vÔ ÿ (lỗi và thiêu sót) hoặc hành vi cô ý (gian lận,

phân mêm độc hại, truy cập trái phép)

Các mỗi de dọa môi trường: mật điện dài hạn,

ô nhiễm, tràn hóa chất, hoặc rò rỉ chất lỏng

17

Xác định xác suât xảy ra

-¡ Đội ngũ quản lý rủi ro sẽ muôn biệt khả năng

tổng thê cho biết xác suât một mỗi đe dọa tiêm

năng có thê được thực hiện đôi với tài sản phân

tích rủi ro được xem xét

18

Xác định tác động của các mỗi đe dọa

=¡ Xác suat:

= Xác suất cao: rất có khả năng đe dọa sẽ

xảy ra trong năm tới

xảy ra trong năm tiếp theo

= Xác suất thấp: không chắc rằng mồi đe

dọa sẽ xảy ra trong năm tiếp theo

= Tác động:

= Tác động cao: ngưng trệ đơn vị kinh

doanh quan trọng dân đến một sự mất mat dang ké cua doanh nghiép, hinh ảnh công ty, hoặc lợi nhuận

= Tác động vừa: gián đoạn ngắn qui trình

quan trọng hoặc hệ thống mà kết quả mất mát tài chính hạn chễ cho một đơn

vị kinh doanh đơn lẻ

a Tac dong thap: gián đoạn không có tốn

D: No action required at this time

19

Các kiếm soát đề xuât

=¡ Khi lựa chọn bắt kỳ loại hình kiểm soát, điêu cân thiết là

đo lường tác động với hoạt động tổ chức

nm Xem xét cuỗi cùng là sự an toàn và độ tin cậy của kiêm

soát hoặc bảo vệ

=¡ Chỉ tiêu cho kiểm soát phải được cân đôi với những thiệt hại kinh doanh thực tê

=¡ Đề có hiệu quả, quá trình phân tích rủi ro nên được áp

dụng trên toàn bộ tô chức

20

Tài liệu

© Sau khi phân tích rủi ro hoàn tất, kết quả sẽ

được ghi chép trong một định dạng tiêu chuẩn

và báo cáo cho chủ sở hữu tài sản

21

Cảm nhẹ rủi ro

:_ Giả định rủi ro

2 Giảm rủi ro

3 Tránh rủi ro

4 Hạn chê rủi ro

5 Hoạch định rủi ro

6 Chuyén giao rủi ro

22

Danh mục kiêm soát

=¡ Có bỗôn lớp kiêm soát, bao gồm né tránh, sau đó đảm bảo, rôi phát hiện, và cuỗi cùng phục hôi

=¡ Hoặc bạn có thé tạo ra một tập hợp các sơ đồ

điêu khiên cho doanh nghiệp, chẳng hạn như

hoạt động, ứng dụng, hệ thông, an ninh, Lập

sơ đô một số tiêu chuẩn như ISO 17799 là một lựa chọn khác

= Các quy đ dinh moi cua HIPAA, GLBA, va SOX sẽ

yéu cau tat cả chúng, bao gom các kiểm soái

trong quá trình phân tích rủi ro lựa chọn

23

Giải pháp bảo mật vật lý

=¡ Các yêu câu của Trung tâm dữ liệu

=¡ Các kiêm soát truy cập vật lý

o Phat hiện và ngăn chặn cháy nỗ

a Kiém tra xử lý văn bản

= Hiệp định

-¡ Hệ thông phát hiện xâm nhập

24

= Văn phòng công ty sẽ được bảo vệ khỏi những truy cập trái phép

= Khu vực trong tòa nhà với thông tin nhạy cảm hay thiết bị có rủi ro

cao sẽ được bảo vệ chông truy cập trái phép, hỏa hoạn, nước và môi nguy hiêm khác

= Những thiết bị rât quan trọng đến hoạt động của qui trình kinh

doanh công ty sẽ được xác định trong Phân tích tác động đên kinh

doanh cong ty (Company Business Impact Analysis - BIA) va sé

tranh mat dién

25

Giải pháp bảo mật vật lý (tt)

Trách nhiệm

O Quan ly cap cao và cán bộ của Công ty được yêu cau

chính xác và sử dụng kiểm soát nội bộ được thiết kế đ

ty và tài sản sử dụng trái phép hoặc bồ trí

hữu trí tuệ, băng sáng chê, bí mật thương mại, bản quyên, và thương hiệu Ngoài ra, còn là trách nhiệm của quản lý dây chuyền đề đảm bảo nhân viên nhận thức và hành động phù hợp với hướng dẫn an ninh của công ty và tất

cả các luật và quy định có liên quan

i duy tri ho SO’

phai

ê bảo vệ tài sản công

Tuân thủ

bảo phù hợp với tất cả các chính sách, thủ tục, thực hành, tiêu chuẩn, và hướng dân

Nhân viên không tuân thủ với các chính sách sẽ được coi như là vi phạm các tiêu chuẩn ửng xử và sẽ có hành động khắc phục thích hợp

26

Kê hoạch kinh doanh liên tục

Kê hoạch kinh doanh liên tục (ft)

Chính sách

=¡ Các hoạt động kinh doanh liên tục của công ty

trong trường hợp khân cập phải được giải quyết

bởi mỗi đơn vị kinh doanh trong một kê hoạch

kinh doanh liên tục (Business Continuity

Planning - BCP) Các đơn vị kinh doanh liên tục

(BCPs) phải được phối hợp với kê hoạch kinh

doanh liên tục của công ty và kê hoạch đáp ứng khân cập của công ty

28

Kê hoạch kinh doanh liên tục (ft)

Tiêu chuẩn

o Tat ca cdc đơn vị kinh doanh phải có tài liệu vê kê hoạch

kinh doanh liên tục và đã được kiểm tra

= Mỗi đơn vị kinh doanh sẽ tiên hành một phân tích tác

động kinh doanh (Business Impact Analysis - BIA) dé

xác định các quá trình, ứng dụng, hệ thông và nên tang

quan trọng

=¡ Kết quả BÌA được các đơn vị kinh doanh xem xét hàng năm dé dam bao là vẫn còn thích hợp

=¡ Các yêu tô BCPs của các đơn vị kinh doanh phải phôi

hợp với BCP của công ty

29

Kê hoạch kinh doanh liên tục (ft)

Trách nhiệm

= Việc thành lap mot ban quan ly BCPs cua công

ty la can thiét dé phé duyét BCPs cua cac don vi

kinh doanh cing nhu BCP cua công ty

= Ngoài ra, nó cũng là trách nhiệm của các cập

quản lý của công ty đê đảm bảo rang BCP cua

các đơn vị kinh doanh là hiện hành

30

Kê hoạch kinh doanh liên tục (ft)

Tuân thủ

© Ban quan ly cua cong ty chịu trách nhiệm tiên

hành kiêm tra định kỳ kê hoạch kinh doanh liên

tục (BCP) đề đảm bảo yêu câu xử lý liên tục của

công ty luôn được đáp ứng

31

Phân tích chi phí / lợi nhuận

= Nên có một phân tích chỉ phí/ lợi nhuận đề xác

định các tác động của việc thực hiện các kiêm

soát mới hoặc nâng cao và sau đó xác định tác động của việc không thực hiện kiểm tra

s Chi phí thực hiện bao gồm cả kinh phí ban đâu cho phân cứng và phân mêm

= Giảm hiệu quả lao động

s Thực hiện các chính sách và thủ tục bổ sung đề hỗ trợ các kiêm soát mới

32

Tóm tắt

- Thực tê không có hệ thông hoặc hoại động nào

là không có rủi ro, và không phải tat ca các kiểm soát thực hiện có thê loại trừ rủi ro mà họ có dự

định giải quyết

=' Một chương trình bảo mật mà mục tiêu bảo mật

đạt được 100% sẽ là nguyên nhân gây ra cho

các tô chức có năng suât không phân trăm

=: Quá trình phân tích rủi ro có hai mục tiêu chính:

= (1) đề chỉ thực hiện những kiểm soát cần thiết

= (2) dé lam tu liệu suốt quá trình quản lý

33

Tài liệu tham khảo

= Thomas H Peltier et al, 2005, Informaiion

Security Fundamentals, Auerbach Publications,

pp 196-222

© htto://www.intosectoday.com/Articles/Intro_Risk_ Analysis.htm

34