II. Bài tập
QUY TRÌNH ĐẢM BẢO AN TỒN VÀ BẢO MẬT THƠNG TIN
2.4.2. Chiến lược kiểm soát
Để kiểm soát rủi ro cho hệ thống thơng tin, có thể sử dụng các biện pháp (chiến lược) kiểm soát rủi ro minh họa như Hình 2.5 sau đây:
Xác định thơng tin các tài nguyên
Xếp loại mức độ rủi ro của các lỗ hổng
Phát triển chiến lược và kế hoạch kiểm soát
Cài đặt các kiểm soát
Đánh giá các kiểm soát
Lập kế hoạch duy trì
Đo lường các rủi ro từ các nguồn thơng tin
Các kiểm soát đã đầy đủ? Chấp nhận các rủi ro ? Cĩ Cĩ Khơng Khơng
Hình 2.5. Các chiến lược kiểm sốt rủi ro cho hệ thớng thơng tin của tổ chức
(1) Thứ nhất, tránh né rủi ro (Avoidance): Tránh né rủi ro là việc lựa chọn một hướng đi khác, một phương án thay thế cho phương án đã xác định khi biết rằng phương án đã xác định tiềm ẩn các rủi ro mà tổ chức, doanh nghiệp khơng muốn xảy ra. Nói khác đi là tìm cách thay đổi mục tiêu hoạt động của hệ thống thơng tin để tránh né các rủi ro cĩ thể gặp phải của hệ thống.
(2) Thứ hai, chuyển giao hay chuyển đổi rủi ro (Transference): Là việc tổ chức, doanh nghiệp chuyển giao các tổn thất có thể gặp phải cho đối tượng khác hoặc chuyển đổi chi phí tổn thất mà rủi ro gây ra cho các bên khác cĩ thể chịu trách nhiệm. Ví dụ như chia sẻ rủi ro với nhà cung cấp, báo cáo lãnh đạo khi gặp sự cố hoặc mua bảo hiểm cho tài sản hoặc loại tài sản cĩ thể gặp sự cố trong tương lai.
(3) Thứ ba, giảm thiểu rủi ro (Mitigation): Được áp dụng đối với những rủi ro khơng thể tránh né hay phòng ngừa được một cách triệt để. Đây là biện pháp thường xuyên được lựa chọn áp dụng trong các hệ thống thơng tin khi đối diện với các rủi ro. Thơng thường chiến lược giảm thiểu
rủi ro cho hệ thống thơng tin được thực hiện theo hai hướng. Hướng thứ nhất là giảm thiểu sự ảnh hưởng của rủi ro lên các hoạt động của hệ thống. Theo cách này, lần lượt thực hiện các bước: xây dựng các kế hoạch cứu chữa hệ thống khi rủi ro xảy ra và thực hiện giảm thiểu các mối ràng buộc giữa các bộ phận nhằm cơ lập rủi ro để tránh các trường hợp tổn thất lây lan sang nhiều nhĩm tài sản cùng lúc. Hướng thứ hai là giảm thiểu khả năng xảy ra các rủi ro cho hệ thống thơng tin của tổ chức, cách thực hiện thơng thường là loại bỏ các yếu tố gây ra rủi ro cho hệ thống và huấn luyện người dùng phịng tránh các rủi ro cĩ thể gặp phải trong quá trình hệ thống hoạt động. Thơng thường việc loại bỏ hồn tồn rủi ro cho hệ thống thơng tin của tổ chức là điều khơng tưởng, vì vậy, mục đích chính là đưa ra các giải pháp nhằm giảm thiểu ảnh hưởng và huấn luyện người dùng để giảm thiểu các rủi ro cho hệ thống.
(4) Thứ tư, chấp nhận rủi ro (Acceptance): Đây là biện pháp ít được sử dụng tuy nhiên trên thực tế vẫn cĩ những trường hợp các hệ thống thơng tin của tổ chức bị tấn cơng mà khơng thể phòng tránh được. Trong trường hợp này sẽ chấp nhận rủi ro xảy ra, nghĩa là sẵn sàng đương đầu với rủi ro đó, chỉ cĩ thể chờ và xem rủi ro ảnh hưởng đến những bộ phận nào trong tổ chức rồi thu thập các thơng tin liên quan đến tổn thất để đưa ra biện pháp nhằm khắc phục hậu quả sau khi mối đe dọa hệ thống đã xảy ra.
(5) Phân tán và chia sẻ rủi ro cũng là một biện pháp nhằm giảm bớt tổn thất khi rủi ro xảy ra thơng qua việc “phân tán” đối tượng chịu rủi ro (vì rủi ro có thể khơng xảy ra đồng thời đối với tất cả các đối tượng chịu rủi ro) hoặc rủi ro xảy ra với một đối tượng nào đó nhưng có nhiều chủ thể cùng gánh chịu tổn thất làm cho tổn thất đối với mỗi chủ thể đều được giảm thiểu.
2.5. TỔNG KẾT CHƯƠNG 2
Chương 2 đã trình bày quy trình chung về đảm bảo an tồn thơng tin trong hệ thống thơng tin của tổ chức, bao gồm bốn bước chính là xác định nguy cơ, phân tích đánh giá, lựa chọn giải pháp và giám sát an tồn cho
thơng tin. Xác định nguy cơ là tìm hiểu các nguy cơ có thể xuất hiện gây mất an toàn cho thơng tin, sau đó phân tích, đánh giá và phân loại các nguy cơ theo các mức để lựa chọn giải pháp phù hợp theo các tiêu chí đã đề ra từ trước hoặc dựa trên mục tiêu của tổ chức, sau đó triển khai và giám sát quá trình hoạt động của các giải pháp nhằm đảm bảo an tồn cho thơng tin trong hệ thống thơng tin của tổ chức.