Theo Viện Bảo mật Máy Tính và theo FBI, chi phí trung bình từng vụ truy nhập thông tin trái phép là khoảng hơn 85.000 USD trong năm 2006, và những chi phí về thời gian hệ thống ngừng hoạt động lên tới hàng chục nghìn đô la Mỹ mỗi giờ. Thậm chí bất cứ ai cũng không mất nhiều thời gian để nhận ra những phương thức quản lý rủi ro CNTT tốt cũng sẽ nhanh chóng chạm ngưỡng tới hạn của chúng.
Thách thức nằm ở chỗ phải hiểu được những vấn đề rủi ro mà các tổ chức có thể có, liệt kê và phân loại chúng theo hồ sơ rủi ro, và xây dựng một chương trình giảm thiểu rủi ro một cách hữu hiệu. Vậy làm cách nào mà các tổ chức có thể cải tiến từ phương thức quản lý rủi ro CNTT tốt thành một phương thức hoàn hảo?
Theo ôngRaymond Goh, Giám đốc Symantec Việt Nam đồng thời là Giám đốc thiết kế hệ thống, Symantec khu vực Nam Á thì để nâng cao tính bảo mật cần phải nâng cao nhận thức về rủi ro CNTT để từ đó lập ra phương án giải quyết tối ưu.
Quy trình 5 bước dưới đây có thể giúp các tổ chức đánh giá mức độ rủi ro CNTT trong doanh nghiệp mình, xây dựng lộ trình giảm thiểu rủi ro, và đặc biệt là xây dựng những kế hoạch quản lý rủi ro CNTT hiệu quả, liên tục.
Tăng cường nhận thức về rủi ro CNTT
Quy trình giảm trừ những rủi ro CNTT bắt đầu từ việc khám phá tổng thể, toàn diện những rủi ro CNTT bao gồm: - Xác định phạm vi của chương trình (Phạm vi rủi ro CNTT như thế nào là phù hợp?) - mở một bản ghi rủi ro CNTT trong tổ chức theo những tiêu chí tổng thể - xác định những yếu tố then chốt của rủi ro CNTT.
Việc đánh giá này cũng nên xem xét những yêu cầu, khả năng và những lỗ hổng bảo mật hiện có trong tổ chức. Cuối cùng, giai đoạn này liên quan đến việc xác định và phân loại những mối đe doạ, những vấn đề bảo mật, những lỗ hổng an ninh và những điểm yếu kém trong hệ thống, đồng thời gán thứ tự ưu tiên cho rủi ro.
Xác định những tác động ảnh hưởng đến kinh doanh
Xác định những tác động ảnh hưởng đến kinh doanh thường là bước khó khăn nhất và cũng là bước quan trọng nhất. Vai trò đầu tàu CNTT sẽ có thể không được các nhân viên quan tâm, hay không được cấp vốn cho các hoạt động giảm trừ rủi ro, trừ khi các doanh nghiệp xác định được những ảnh hưởng (tích cực hay tiêu cực) của việc giải quyết từng phần rủi ro CNTT.
Việc xác định những tác động đến kinh doanh thường đi theo hướng tiếp cận gồm 2 giai đoạn:
Giai đoạn 1: Phân mức ưu tiên những rủi ro dựa trên những tác động tiềm tàng của chúng tới hoạt động kinh doanh theo hồ sơ lưu trữ rủi ro và mức độ dễ hay khó của việc giảm trừ những rủi ro này, thời gian xử lý, nguồn lực nhân viên cũng như lượng vốn đầu tư sử dụng cho việc giải quyết vấn đề.
Giai đoạn 2: Xây dựng những tham số kinh doanh chi tiết cho những rủi ro mà được đánh giá thuộc những lĩnh vực có ảnh hưởng lớn tới kinh doanh.
Lập phương án giải quyết
Giai đoạn này là khi tổ chức đã biết được quy mô và những phần cấu thành kế hoạch Quản lý rủi ro CNTT, hiện trạng của tổ chức, thứ tự ưu tiên và sự phân loại của từng mảng rủi ro CNTT.
Bước tiếp theo là xây dựng một loạt những giải pháp giảm trừ rủi ro dựa trên những yếu tố cơ sở về con người, quy trình và công nghệ, mỗi yếu tố này lại gồm có những yêu cầu, đặc tả kỹ thuật, mục tiêu và chức năng riêng.
Bước này cũng gồm những phân tích về chi phí cụ thể nhằm đạt được sự hài hoà giữa chi phí và lợi ích của những sáng kiến đề xuất phù hợp với các mục tiêu đề ra.
Xác định vai trò CNTT
Việc triển khai sẽ xác định liệu những bước giảm trừ rủi ro có được triển khai thành công hay không trên phương diện con người, quy trình và công nghệ cùng với mối liên hệ chặt chẽ với những cổ đông của tổ chức. Bước này cũng đòi hỏi có những đánh giá thường xuyên, chặt chẽ, cải tiến liên tục nhằm đạt được phương thức giải quyết rủi ro hiệu quả dựa trên những thứ tự rủi ro ưu tiên khác nhau. Với một hệ thống chặt chẽ gồm những khả năng quản lý hiệu năng và chỉ tiêu đo lường, các tổ chức thiết lập giai đoạn thu thập dữ liệu cơ bản, theo dõi hoạt động, và đánh giá về hiệu quả của chương trình so với giai đoạn trước đó.
Xây dựng và quản lý tính năng thống nhất
Khi bước đầu tiên của giải pháp giảm trừ rủi ro CNTT được triển khai, các tổ chức cũng cần xây dựng những kế hoạch về nâng cấp liên tục cũng như quản lý thường xuyên đối với chương trình quản lý rủi ro CNTT này.
Khi đã có được kinh nghiệm cũng như chương trình đạt hiệu quả, các tổ chức có thể tránh hoặc vượt qua những khó khăn lớn nhất về triển khai, chẳng hạn như là việc mày mò chưa định hướng, những dự án thụ động, và thiếu quy trình định lượng.
Khi không có một công thức hữu hiệu nào cho Quản lý rủi ro CNTT, quy trình này có thể giúp các tổ chức sắp xếp nguồn lực một cách hiệu quả để đạt được những cải tiến lâu dài, thực tế trong quản lý rủi ro CNTT, trong khi đó vẫn giảm độ phức tạp và chi phí hạ tầng CNTT.
N.Hùng
(theo Dân Trí)