Nội dung chính cần ghi nhớ
- Đánh giá rủi ro an ninh mạng giúp các tổ chức chủ động xác định, đánh giá và giảm bớt các lỗ hổng trên hệ thống, con người cũng như quy trình.
- Hoạt động đánh giá thường xuyên hỗ trợ khả năng tuân thủ, giảm thiểu tình trạng gián đoạn và định hướng đầu tư thông minh hơn cho các biện pháp kiểm soát bảo mật.
- Các bước chính bao gồm xác định phạm vi, xác định tài sản, đánh giá các mối đe dọa và lỗ hổng, đánh giá các biện pháp kiểm soát và ưu tiên rủi ro.
- Việc sử dụng các khung phổ biến như NIST và MITRE ATT&CK® sẽ đảm bảo các đánh giá mang tính nhất quán, thực tiễn và có khả năng mở rộng.
- Các tổ chức nên tiến hành hoạt động đánh giá rủi ro liên tục, lồng ghép các kết quả phát hiện được vào kế hoạch kinh doanh và không ngừng cập nhật quy trình đánh giá này khi các hệ thống và rủi ro thay đổi.
Tầm quan trọng của hoạt động đánh giá rủi ro an ninh mạng
Hoạt động đánh giá rủi ro đóng vai trò quan trọng vì những lý do sau đây:
- Tăng cường bảo mật chủ động. Việc xác định rủi ro sớm giúp bạn tránh được các vấn đề như thời gian ngừng hoạt động gây tổn thất lớn, mất dữ liệu và gián đoạn kinh doanh.
- Bảo vệ dữ liệu nhạy cảm. Khi nắm rõ dữ liệu nhạy cảm có ở đâu và có thể bị lộ theo cách nào, bạn có thể triển khai các biện pháp bảo vệ phù hợp trước khi sự cố xảy ra.
- Hỗ trợ việc tuân thủ. Nhiều quy định – chẳng hạn như Quy định Chung về Bảo vệ Dữ liệu (GDPR), Đạo luật về Trách nhiệm Giải trình và Cung cấp Thông tin Bảo hiểm Y tế (HIPAA), cũng như Đạo luật Sarbanes-Oxley (SOX) – đòi hỏi phải tiến hành hoạt động đánh giá rủi ro như một phần của các nỗ lực tuân thủ liên tục.
- Định hướng đầu tư thông minh. Với hướng tiếp cận này, các tổ chức sẽ biết nên tập trung thời gian và tài nguyên vào đâu, thay vì đoán mò hoặc phản ứng sau khi bị tấn công.
- Giảm bớt lỗi do con người và hệ thống gây ra. Bằng cách phát hiện các lỗ hổng trong chính sách, quy trình và chương trình đào tạo, hướng tiếp cận này sẽ góp phần giảm thiểu sai sót dẫn đến hành vi vi phạm.
- Xây dựng khả năng phục hồi và niềm tin. Hoạt động đánh giá thường xuyên sẽ góp phần tăng cường khả năng phản ứng và phục hồi của bạn, đồng thời cho khách hàng, đối tác cùng các cơ quan quản lý thấy rằng bạn nghiêm túc với vấn đề bảo mật.
Các thành phần chính của hoạt động đánh giá rủi ro an ninh mạng
Các thành phần cốt lõi của bài đánh giá rủi ro an ninh mạng
Bài đánh giá rủi ro có cấu trúc tốt bao gồm một số bước then chốt:
1. Xác định phạm vi
Hoạt động đánh giá rủi ro an ninh mạng bắt đầu từ việc xác định phạm vi. Điều này có nghĩa là xác định chính xác xem bạn sẽ đánh giá phần nào của tổ chức, bất kể là một đơn vị kinh doanh cụ thể, một ứng dụng hay toàn bộ môi trường CNTT của doanh nghiệp. Khi có phạm vi rõ ràng, bạn sẽ tránh được tình trạng bỏ sót và duy trì sự tập trung. Việc xác định phạm vi nên bao gồm:
- Hạ tầng vật lý như máy chủ, máy tính để bàn, thiết bị di động và các điểm cuối IoT.
- Các hệ thống phần mềm như công cụ nội bộ, nền tảng đám mây, ứng dụng của bên thứ ba và cơ sở dữ liệu.
- Lớp mạng, bao gồm cả việc phân đoạn, quyền truy cập từ xa và các dịch vụ dành cho bên ngoài.
- Mọi người, bao gồm cả vai trò người dùng, cấp độ quyền truy cập, cũng như các hoạt động kỹ thuật số của nhân viên, nhà thầu và nhà cung cấp.
Sau khi bạn thiết lập rõ phạm vi, bước tiếp theo là xác định tài sản. Bước này bao gồm việc kiểm kê mọi thứ có giá trị trong phạm vi đã xác định, có thể hỗ trợ cho hoạt động kinh doanh. Tài sản bao gồm:
- Phần cứng vật lý như máy tính xách tay, máy chủ, bộ định tuyến và thiết bị lưu trữ.
- Các hệ thống phần mềm như hệ điều hành, ứng dụng theo lĩnh vực kinh doanh, công cụ bảo mật và mã tùy chỉnh.
- Hạ tầng mạng, bao gồm cả điểm truy cập không dây, VPN, tường lửa và hệ thống DNS.
- Mọi người, chẳng hạn như nhân viên, quản trị viên, người dùng bên thứ ba, cùng thông tin xác thực quyền truy cập và danh tính kèm theo.
3. Xác định chính xác mối đe dọa
Mối đe dọa là bất kỳ sự kiện, tác nhân hoặc điều kiện tiềm ẩn nào có thể gây hại bằng cách khai thác lỗ hổng trong hệ thống, mạng, ứng dụng hoặc quy trình. Đó chính là phần "sai sót nào có thể xảy ra" trong một kịch bản rủi ro.
Mối đe dọa có thể là:
- Có chủ đích, chẳng hạn như khi tội phạm mạng phát động một cuộc tấn công lừa đảo qua mạng hoặc người dùng nội bộ lạm dụng quyền truy cập của mình.
- Vô tình, chẳng hạn như khi tường lửa bị sai cấu hình hoặc nhân viên gửi dữ liệu nhạy cảm cho nhầm người.
- Do tác động từ môi trường, bao gồm tình trạng hỏa hoạn, lũ lụt hoặc mất điện làm gián đoạn hoạt động vận hành hay gây hư hại thiết bị.
4. Đánh giá lỗ hổng
Lỗ hổng là điểm yếu trong hệ thống, ứng dụng, quy trình hay hành vi của con người mà mối đe dọa có thể khai thác để gây hại hoặc tạo ra kết quả trái phép. Đó chính là phần "sai sót có thể xảy ra như thế nào" trong kịch bản rủi ro.
Lỗ hổng có thể xuất hiện theo nhiều cách:
- Phần cứng. Máy tính xách tay không được mã hóa, vi chương trình lỗi thời hoặc cổng không an toàn.
- Phần mềm. Ứng dụng chưa được vá lỗi, thông tin xác thực mặc định hoặc mã không an toàn.
- Mạng. Cổng mở, việc mật mã hóa yếu hoặc cách phân đoạn kém hiệu quả.
- Yếu tố con người. Mật khẩu được dùng lại, tình trạng đào tạo chưa đầy đủ hoặc đặc quyền truy cập quá mức.
5. Đánh giá các biện pháp kiểm soát hiện có
Sau khi xác định được các mối đe dọa và lỗ hổng, đã đến lúc bạn cần đánh giá các biện pháp kiểm soát hiện có để giảm thiểu những mối đe dọa và lỗ hổng đó. Các biện pháp kiểm soát được chia thành 3 loại chính:
- Phòng ngừa. Chẳng hạn như tường lửa, phần mềm chống vi-rút và tính năng xác thực đa yếu tố.
- Phát hiện. Bao gồm các hệ thống phát hiện xâm nhập cũng như công cụ quản lý sự kiện và thông tin bảo mật (SIEM).
- Khắc phục. Bao gồm các ví dụ như phương án sao lưu và kế hoạch khôi phục sau thảm họa.
- Phần cứng. Có các biện pháp bảo mật vật lý như kiểm soát truy cập bằng thẻ, mã hóa thiết bị hoặc quy trình tiêu hủy an toàn không?
- Phần mềm. Có áp dụng các biện pháp quản lý bản vá và phát triển an toàn không?
- Mạng. Có đang phân đoạn lưu lượng, ghi nhật ký đúng cách và dùng TLS cho hoạt động giao tiếp được mã hóa không?
- Con người. Nhân viên có được đào tạo để nâng cao nhận thức về hành vi lừa đảo qua mạng không? Các chính sách truy cập có tuân theo nguyên tắc đặc quyền tối thiểu không?
6. Xác định khả năng xảy ra và tầm tác động
Với mỗi kịch bản rủi ro đã xác định, hãy ước tính:
- Khả năng xảy ra. Mối đe dọa có xác suất xảy ra đến mức nào, xét theo các biện pháp kiểm soát hiện tại?
- Tầm tác động. Nếu mối đe dọa xảy ra thì sao – tổn thất tài chính, lộ dữ liệu, gián đoạn dịch vụ?
7. Tính toán rủi ro
Bây giờ, hãy kết hợp khả năng xảy ra và tầm tác động để xác định mức xếp hạng rủi ro cho từng kịch bản.
Ví dụ:
| Kịch bản rủi ro | Khả năng xảy ra | Tầm tác động | Mức rủi ro |
| Mã độc tống tiền trên các máy chủ lỗi thời | Cao | Cao | Nghiêm trọng |
| Quy tắc tường lửa bị sai cấu hình | Trung bình | Trung bình | Bình thường |
| Email lừa đảo qua mạng vượt qua các bộ lọc | Cao | Thấp | Bình thường |
Nhờ đó, bạn có thể ưu tiên những vấn đề nào cần chú ý khẩn cấp và những vấn đề nào có thể chấp nhận được hoặc trong ngưỡng cho phép.
8. Đề xuất biện pháp giảm thiểu
Với mỗi rủi ro ở mức độ cao hoặc nghiêm trọng, hãy đề xuất các hành động để giảm thiểu vấn đề. Các đề xuất có thể bao gồm:
- Phần cứng. Bắt buộc tiến hành việc lưu trữ được mã hóa, cài đặt khởi động an toàn và khóa các cổng không dùng đến.
- Phần mềm. Triển khai việc vá lỗi theo định kỳ và dùng các công cụ quét mã trong quy trình phát triển.
- Mạng. Giới thiệu hoạt động phân đoạn mạng và triển khai hệ thống ngăn chặn xâm nhập.
- Con người. Mở rộng chương trình đào tạo nâng cao nhận thức về bảo mật cũng như thực thi các biện pháp kiểm soát truy cập và xác minh danh tính mạnh hơn.
9. Ghi chép tài liệu và báo cáo
Một bàn đánh giá rủi ro toàn diện cần được ghi chép rõ ràng và chia sẻ với các bên liên quan ở nhiều cấp độ. Báo cáo thường bao gồm phần tóm tắt tổng quan dành cho lãnh đạo, các phát hiện kỹ thuật chi tiết dành cho đội ngũ CNTT và bảo mật, cũng như các mục hành động cần ưu tiên. Các thành phần trực quan như bản đồ nhiệt, sơ đồ kiến trúc và bảng biểu thường giúp truyền đạt các rủi ro phức tạp theo cách hiệu quả hơn. Tài liệu nên bao gồm danh mục tài sản, các mối đe dọa và lỗ hổng đã xác định, các biện pháp kiểm soát hiện tại, xếp hạng rủi ro, cũng như biện pháp giảm thiểu được đề xuất. Báo cáo cũng nên nêu rõ ai chịu trách nhiệm cho từng hành động và khi nào sẽ tiến hành việc đánh giá tiếp theo. Tính minh bạch và rõ ràng sẽ giúp tạo được sự đồng thuận và giúp các đội ngũ thống nhất với nhau.
10. Đánh giá và lặp lại
Đánh giá rủi ro không phải là hoạt động diễn ra một lần, mà là một phần trong chu trình liên tục. Công nghệ phát triển, quy trình kinh doanh thay đổi và các mối đe dọa mới liên tục xuất hiện. Dưới đây là một số mẹo để bạn luôn kiên cường và sẵn sàng.
- Lên lịch đánh giá thường xuyên (hàng quý, hàng năm hoặc sau các thay đổi lớn).
- Tự động hóa ở mọi nơi có thể thực hiện được (quét lỗ hổng liên tục, giám sát điểm cuối).
- Điều chỉnh các biện pháp kiểm soát khi rủi ro mới xuất hiện – đặc biệt là xung quanh quy trình làm việc từ xa, phụ thuộc chuỗi cung ứng hoặc công cụ AI tạo sinh.
Các phương thức thực hiện việc đánh giá rủi ro an ninh mạng
- Các công cụ quét tự động giúp xác định lỗ hổng bảo mật trong mạng, điểm cuối và môi trường đám mây.
- Kiểm tra hoạt động xâm nhập mô phỏng các cuộc tấn công qua mạng trong thực tế để kiểm tra khả năng phòng thủ bảo mật.
- Các cuộc kiểm toán bảo mật đánh giá chính sách bảo mật, khả năng tuân thủ và các biện pháp kiểm soát quản trị.
- Phân tích hành vi giám sát hoạt động kỹ thuật số của con người để phát hiện những điều bất thường có thể cho thấy mối đe dọa nội gián hoặc tài khoản bị xâm phạm.
Khuôn khổ và tiêu chuẩn trong ngành
Để duy trì tính nhất quán và tuân thủ, hoạt động đánh giá rủi ro an ninh mạng thường tuân theo các khuôn khổ đã được thiết lập, chẳng hạn như:
Khuôn khổ an ninh mạng NIST của Viện Tiêu chuẩn và Công nghệ Quốc gia – cơ quan không có chức năng quản lý của chính phủ Hoa Kỳ, cung cấp hướng dẫn để xác định, bảo vệ, phát hiện, ứng phó và khôi phục trước các mối đe dọa trên mạng.
ISO/IEC 27001 thiết lập một tiêu chuẩn quốc tế cho các hệ thống quản lý bảo mật thông tin.
CIS Controls nêu ra các cách làm tốt nhất để bảo vệ môi trường CNTT.
Lợi ích và thách thức của hoạt động đánh giá rủi ro an ninh mạng
Việc thực hiện hoạt động đánh giá rủi ro an ninh mạng thường xuyên là một bước đi chiến lược, hỗ trợ cả mục tiêu bảo mật lẫn ưu tiên kinh doanh. Mặc dù quy trình này có nhiều thách thức, nhưng lợi ích mang lại vượt xa những khó khăn đó.
Lợi ích
Khi được thực hiện nhất quán, hoạt động đánh giá rủi ro an ninh mạng giúp các tổ chức tăng cường phòng thủ và xây dựng khả năng phục hồi lâu dài. Các lợi ích chính bao gồm:
Cải thiện vị thế bảo mật. Hoạt động đánh giá định kỳ giúp xác định và xử lý các lỗ hổng trước khi kẻ tấn công có thể khai thác chúng. Nhờ đó, tổ chức sẽ có khung bảo mật mạnh mẽ và phản hồi nhanh hơn.
Tuân thủ quy định. Nhiều ngành bắt buộc phải đáp ứng các tiêu chuẩn an ninh mạng. Hoạt động đánh giá rủi ro sẽ hỗ trợ khả năng tuân thủ các quy định như GDPR và HIPPA.
Chủ động bảo vệ. Hoạt động đánh giá giúp các đội ngũ phát hiện sớm các lỗ hổng, ngăn chặn hành vi vi phạm và giảm thiểu thiệt hại tiềm ẩn. Cách này hiệu quả hơn – và tiết kiệm chi phí hơn – so với việc phản ứng sau khi sự cố xảy ra.
Quản lý tài nguyên và chi phí. Bằng cách ưu tiên những rủi ro quan trọng nhất, tổ chức có thể sử dụng ngân sách, nhân sự và công cụ một cách thông minh hơn. Hoạt động đánh giá rủi ro giúp bảo đảm tài nguyên được phân bổ cho những khía cạnh quan trọng nhất.
Thách thức thường gặp
Dù có giá trị, hoạt động đánh giá rủi ro an ninh mạng vẫn có thể gây khó khăn, đặc biệt là với các tổ chức đang phát triển hoặc các đội ngũ có ít kinh nghiệm. Các thách thức phổ biến bao gồm:
Thiếu chuyên môn nội bộ. Nhiều đội ngũ không có đủ sự kết hợp kỹ năng phù hợp để đánh giá các môi trường phức tạp.
Hạn chế về thời gian và tài nguyên. Hoạt động đánh giá toàn diện đòi hỏi phải có sự nỗ lực, khả năng phối hợp và một quy trình rõ ràng. Điều này có thể khó thực hiện nếu không có sự hỗ trợ chuyên trách.
Thực thi không nhất quán. Nếu không có cách tiếp cận hoặc khuôn khổ chuẩn hóa, chất lượng và phạm vi của các đánh giá có thể khác nhau.
Bắt kịp sự thay đổi. Các công nghệ mới, môi trường đám mây và mô hình làm việc kết hợp làm phát sinh thêm độ phức tạp liên tục.
Nhiều công cụ bảo mật rời rạc. Hoạt động đánh giá rủi ro có thể khó đối với các tổ chức sử dụng nhiều công cụ bảo mật nhưng không được tích hợp tốt với nhau.
Để giải quyết các thách thức này, tổ chức thường cần đưa chuyên gia bên ngoài vào, áp dụng quy trình tự động hóa hoặc sử dụng các công cụ và khuôn khổ chuẩn hóa.
Chi phí của việc bỏ qua hoạt động đánh giá rủi ro
Dù việc này có thể khó khăn, nhưng điều quan trọng là bắt đầu thiết lập một quy trình đánh giá rủi ro an ninh mạng thật hiệu quả. Việc không thực hiện hoạt động đánh giá thường xuyên có thể gây ra hậu quả nghiêm trọng. Nếu không có khả năng quan sát các rủi ro đang thay đổi, tổ chức sẽ đối mặt với các vấn đề như:
Tăng rủi ro bị xâm phạm dữ liệu. Các lỗ hổng chưa được vá và cấu hình sai trở thành cánh cửa dẫn dụ những kẻ tấn công.
Thiệt hại tài chính. Các trường hợp vi phạm thường kéo theo chi phí cao, bao gồm cả năng suất thấp hơn, thời gian ngừng hoạt động và tổn thất kinh doanh.
Hình phạt pháp lý và theo quy định. Việc không tuân thủ các quy định về bảo vệ dữ liệu và quyền riêng tư có thể dẫn đến tình trạng tổ chức phải chịu tiền phạt hoặc hành động pháp lý.
Tổn hại uy tín. Khách hàng và đối tác nhanh chóng mất niềm tin sau một sự cố bảo mật.
Các cách tốt nhất để đánh giá rủi ro an ninh mạng
Bắt đầu với các mục tiêu rõ ràng
Trước khi bắt đầu, điều quan trọng là phải xác định được hoạt động đánh giá cần đạt được mục tiêu gì. Đó có thể là xác định tài sản quan trọng và các mối đe dọa tiềm ẩn, đáp ứng yêu cầu tuân thủ, giảm khả năng xảy ra sự cố hoặc củng cố cho các khoản đầu tư bảo mật trong tương lai. Đặt mục tiêu rõ ràng ngay từ đầu giúp bảo đảm hoạt động đánh giá luôn đúng trọng tâm, phù hợp và thực tiễn trong suốt quy trình.
Bao gồm đúng các bên liên quan
Hoạt động đánh giá rủi ro không chỉ là một nhiệm vụ CNTT, mà cần có dữ liệu đầu vào từ khắp tổ chức. Đội ngũ bảo mật và CNTT mang đến chuyên môn kỹ thuật, trong khi đội ngũ pháp lý và tuân thủ cung cấp hướng dẫn về rủi ro theo quy định. Đội ngũ điều hành và nhân sự có thể nêu bật các mối lo ngại về quy trình và nhân sự, còn ban lãnh đạo điều hành chịu trách nhiệm bảo đảm sự nhất quán với mục tiêu kinh doanh. Việc bao gồm nhiều góc nhìn giúp bảo đảm hoạt động đánh giá nắm bắt đầy đủ các loại rủi ro, từ cấu hình sai phần mềm đến hành vi của con người.
Quyết định giữa hoạt động đánh giá nội bộ hoặc bên ngoài
Không có một cách tiếp cận duy nhất tốt nhất để thực hiện hoạt động đánh giá rủi ro. Đánh giá nội bộ thường tiết kiệm chi phí hơn và tận dụng được kiến thức trong tổ chức, nhưng có thể bỏ sót điểm mù hoặc thiếu công cụ chuyên dụng. Đánh giá bên ngoài mang đến góc nhìn mới, khách quan và chuyên môn sâu hơn, dù cho có thể tốn kém hơn và những người thực hiện việc đánh giá thường ít quen thuộc với các hệ thống nội bộ. Nhiều tổ chức chọn cách tiếp cận kết hợp: dùng đội ngũ nội bộ để rà soát định kỳ, đồng thời mời chuyên gia bên ngoài khi cần xem xét sâu hơn hoặc khi yêu cầu tuân thủ đòi hỏi điều đó.
Chọn chiến lược xử lý rủi ro phù hợp
Sau khi xác định rủi ro, tổ chức cần quyết định cách phản hồi. Một số rủi ro có thể được chấp nhận nếu nằm trong ngưỡng chịu đựng của công ty. Một số rủi ro khác có thể tránh được hoàn toàn bằng cách loại bỏ hệ thống hoặc hoạt động gây ra rủi ro đó. Rủi ro cũng có thể được chuyển giao cho bên thứ ba, chẳng hạn như thông qua bảo hiểm hoặc thỏa thuận theo hợp đồng. Phổ biến nhất là tổ chức chọn giảm thiểu rủi ro bằng cách áp dụng các biện pháp kiểm soát để hạ thấp xác suất hoặc tầm tác động xuống mức chấp nhận được. Chiến lược phù hợp phụ thuộc vào mục tiêu kinh doanh, mức độ chấp nhận rủi ro và các tài nguyên sẵn có.
Ghi lại mọi thứ
Duy trì tài liệu chính xác đóng vai trò rất quan trọng cho cả thành công ngắn hạn và dài hạn. Điều này giúp tổ chức duy trì khả năng tuân thủ các quy định trong ngành, theo dõi các thay đổi và xu hướng theo thời gian, cũng như đưa ra quyết định nhanh hơn, có cơ sở hơn. Tài liệu tốt cũng giúp đơn giản hóa việc kiểm toán, rút gọn các đợt xem xét bảo mật và duy trì tính liên tục ngay cả khi đội ngũ hoặc hệ thống thay đổi.
Hành động dựa trên các kết quả phát hiện được
Giá trị của hoạt động đánh giá rủi ro nằm ở cách sử dụng kết quả. Các lỗ hổng có mức rủi ro cao nên được xử lý trước và các bước khắc phục nên phù hợp với các mục tiêu bảo mật rộng hơn. Phân công trách nhiệm cho từng hành động, theo dõi tiến độ và đánh giá lại thường xuyên để bảo đảm các cải tiến được duy trì. Hãy xem các kết quả phát hiện được như một phần của quy trình liên tục – chứ không phải hoạt động chỉ diễn ra một lần – và đưa việc theo dõi đến cùng vào văn hóa bảo mật của bạn.
Đánh giá theo tần suất phù hợp
Công nghệ thay đổi nhanh chóng và hoạt động đe dọa cũng vậy. Điều đó có nghĩa là hoạt động đánh giá rủi ro nên diễn ra nhiều lần mỗi năm, đặc biệt là trong các môi trường có rủi ro cao. Các ngành như tài chính và chăm sóc sức khỏe thường đánh giá lại theo quý hoặc nửa năm một lần. Các doanh nghiệp nhỏ hơn có thể làm việc này hàng năm hoặc sau những thay đổi lớn về hạ tầng. Các công ty ưu tiên đám mây hoặc đang tăng trưởng nhanh có thể cần đánh giá thường xuyên hơn nữa để theo kịp các bề mặt tấn công đang thay đổi. Một hành động sáng suốt khác là đánh giá lại sau những sự kiện lớn như sáp nhập, vi phạm hoặc cập nhật theo quy định.
Các xu hướng mới nổi trong hoạt động đánh giá rủi ro an ninh mạng
Các công cụ có AI hỗ trợ sẽ đóng vai trò lớn hơn bằng cách tự động hóa các tác vụ như phát hiện tài sản, quét lỗ hổng và chấm điểm rủi ro. Những công nghệ này hỗ trợ con người bằng cách phát hiện các mẫu và giúp các đội ngũ phản ứng nhanh hơn.
Hoạt động đánh giá rủi ro cũng sẽ trở nên linh hoạt hơn. Thay vì là các mục cần hoàn thành hàng năm hoặc hàng quý, những hoạt động đánh giá này sẽ diễn ra như các quy trình liên tục. Tổ chức sẽ liên tục giám sát bề mặt tấn công của mình – đặc biệt là trong các môi trường ưu tiên đám mây, kết hợp hoặc phân tán cao – để có thể xác định và đánh giá lại rủi ro khi hệ thống thay đổi.
Chúng ta cũng sẽ thấy mức độ tích hợp nhiều hơn giữa an ninh mạng và chiến lược kinh doanh. Khi hội đồng quản trị và ban lãnh đạo ngày càng nhận thức rõ hơn về rủi ro, rủi ro an ninh mạng sẽ được xử lý như rủi ro tài chính hoặc rủi ro vận hành – với các chỉ số rõ ràng, trách nhiệm được xác định và một vị trí trong quá trình ra quyết định. Các đánh giá sẽ không chỉ định hướng chi tiêu cho bảo mật, mà còn định hướng cho hoạt động hoạch định kinh doanh, thiết kế sản phẩm và chuyển đổi số.
Cuối cùng, các yếu tố con người sẽ thu hút nhiều sự chú ý hơn. Các biện pháp kiểm soát kỹ thuật chỉ là một phần trong bức tranh – tổ chức sẽ ngày càng đánh giá và quản lý rủi ro liên quan đến hành vi, văn hóa và khả năng chống chịu của lực lượng lao động. Điều đó có nghĩa là đánh giá không chỉ hệ thống và phần mềm, mà còn cả cách mọi người làm việc, cách đưa ra quyết định và mức độ hiệu quả của các đội ngũ khi đối mặt với áp lực.
Các giải pháp đánh giá rủi ro an ninh mạng
Tìm hiểu thêm về các giải pháp an ninh mạng của Microsoft Security
Hoạt động bảo mật hợp nhất, có AI hỗ trợ
Tin tức về an ninh mạng và AI
Báo cáo Phòng vệ số Microsoft năm 2024
Các câu hỏi thường gặp
- Hoạt động đánh giá rủi ro an ninh mạng thường bao gồm việc xác định tài sản, khoanh vùng các mối đe dọa và lỗ hổng tiềm ẩn, phân tích khả năng xảy ra và tầm tác động của các mối đe dọa đó, xác định mức rủi ro, cũng như chọn các biện pháp xử lý rủi ro phù hợp. Quy trình này kết thúc bằng việc ghi chép tài liệu và triển khai các chiến lược giảm thiểu rủi ro, sau đó đến việc giám sát liên tục và đánh giá lại theo định kỳ. Cách tiếp cận có cấu trúc này giúp các tổ chức quản lý và giảm bớt tổng mức rủi ro phải đối mặt.
- Hoạt động đánh giá rủi ro bảo mật bao gồm việc xem xét phần cứng, phần mềm, mạng, dữ liệu và hành vi của người dùng để xác định các lỗ hổng tiềm ẩn. Hoạt động này cũng đánh giá các biện pháp kiểm soát bảo mật hiện có, đánh giá tầm tác động tiềm ẩn của các mối đe dọa khác nhau, cũng như đề xuất các hành động để giảm thiểu hoặc quản lý rủi ro. Mục tiêu là có được khả năng quan sát các lỗ hổng bảo mật và ưu tiên tài nguyên một cách hiệu quả.
- Hoạt động đánh giá rủi ro theo NIST là phương pháp được nêu trong Ấn phẩm đặc biệt 800-30, Bản sửa đổi 1 của Viện Tiêu chuẩn và Công nghệ Quốc gia. Phương pháp này cung cấp một khuôn khổ để xác định, đánh giá và quản lý rủi ro an ninh mạng trên khắp các cơ quan liên bang và tổ chức thuộc lĩnh vực tư nhân. Mô hình NIST được áp dụng rộng rãi nhờ cách tiếp cận có cấu trúc, có thể lặp lại cho quá trình phân tích rủi ro.
Theo dõi Microsoft Security