Một kỹ sư rủi ro bảo mật thông tin cấp cao giải thích cách chương trình quản lý rủi ro của Netflix giúp lãnh đạo doanh nghiệp đưa ra những quyết định quan trọng.
Các nhà quản lý rủi ro khó có thể giúp đỡ những người ra quyết định sau khi đã đưa ra một lựa chọn rủi ro. Thật không may cho nhiều tổ chức, đó là cách hoạt động của các chương trình quản lý rủi ro truyền thống - và vào thời điểm đánh giá được thực hiện, quyết định rủi ro đã gây ra thiệt hại.
“Tất cả chúng ta đều chấp nhận một số rủi ro nhất định khi tham gia kinh doanh, nhưng rủi ro ở điểm nào là quá lớn?” hỏi Tony Martin-Vegue, kỹ sư rủi ro bảo mật thông tin cấp cao tại Netflix, người đã thảo luận về chủ đề này tại Hội nghị FAIR tuần này.
Ở hầu hết các công ty, chương trình quản lý rủi ro bao gồm mọi khía cạnh của hoạt động kinh doanh có rủi ro. Lãnh đạo doanh nghiệp ra quyết định và thực hiện quyết định đó; Sau đó, nhóm quản lý rủi ro sẽ đến, kiểm tra nó và báo cáo các vấn đề. Ông nói, lần đầu tiên một nhà quản lý rủi ro tham gia là khi những vấn đề này được đưa vào sổ đăng ký rủi ro, lúc đó đã quá muộn để giúp đỡ những người ra quyết định của doanh nghiệp.
Phân tích rủi ro là dự báo, Martin-Vegue giải thích. Các nhà phân tích nên muốn gần gũi hơn với CEO, CFO, CIO và các giám đốc điều hành khác trước khi đưa ra các quyết định quan trọng để họ có thể giúp đưa ra lựa chọn tối ưu. Netflix từ lâu đã sử dụng các mô hình định lượng, bao gồm cả mô hình FAIR, để đưa ra quyết định vì nó đặt các mối đe dọa vào bối cảnh và giúp giải thích rủi ro cho các nhà điều hành kinh doanh.
Ông nói, hầu hết các công ty đều sử dụng mô hình truyền thống để đưa ra các quyết định xếp hạng là cao/trung bình/thấp hoặc đỏ/vàng/xanh. Mặc dù điều này có tác dụng so sánh ba hoặc bốn mục tương tự hoặc ưu tiên các dự án, nhưng nó không có tác dụng gì nhiều khi một nhà phân tích bảo mật phải đối mặt với ba cảnh báo đỏ trị giá 10 triệu USD, 15 triệu USD và 20 triệu USD mỗi cảnh báo. Họ nên khắc phục cái nào trước?
“Bạn không biết,” Martin-Vegue nói. “Bạn không thể thực hiện kiểu so sánh giá trị có nguy cơ đó.”
Rủi ro định lượng, thay vì nói cảnh báo là “cao” hoặc “đỏ”, sẽ cho biết mức độ rủi ro của doanh nghiệp. Nếu bạn biết một rủi ro có mức rủi ro là 200 triệu đô la và bạn có thể giảm rủi ro đó xuống còn 20 triệu đô la với khoản đầu tư 10 triệu đô la, thì đó sẽ là một hành động khác biệt. Nếu một người thử bút có hai cảnh báo màu đỏ và các nhà phân tích định lượng cho thấy một cảnh báo có mức phơi nhiễm là 10 triệu đô la và cảnh báo kia có mức phơi nhiễm là 50,000 đô la, thì rõ ràng điều nào cần được khắc phục trước tiên, ông lưu ý.
Ông giải thích: “Bây giờ bạn có thể bắt đầu so sánh bằng cách sử dụng đô la [và] những người làm tài chính sẽ nhận ra đây là một phân tích chi phí-lợi ích”. “Chúng tôi đang chuyển sang vấn đề bảo mật thông tin và nói chuyện với CFO, CEO, CIO: 'Đây là số tiền mà khoản đầu tư của bạn có thể mang lại cho bạn. Đây là mức độ rủi ro bạn có thể mua được.”
Điều này gây được tiếng vang với các giám đốc điều hành đã quen với việc nói bằng đô la và xu. Sẽ dễ dàng hơn để đưa ra quyết định tập trung vào bảo mật khi họ hiểu khoản đầu tư sẽ mang lại cho họ điều gì, trái ngược với việc đưa ra lựa chọn dựa trên cảnh báo mức độ nghiêm trọng cao, trung bình hoặc thấp.
Martin-Vegue cho biết: “Không có gì ngạc nhiên khi luôn có xích mích giữa doanh nghiệp và những người đảm bảo an toàn thông tin. “Chúng ta đang làm khó họ.” Bằng cách đóng khung cuộc trò chuyện về rủi ro xung quanh mức độ rủi ro, đầu tư và rủi ro mua hàng, “mọi người ngay lập tức hiểu được điều đó, đặc biệt là về phía doanh nghiệp”.
Đưa ra những quyết định lớn, từ giám đốc điều hành đến người thực hành
Martin-Vegue cho biết có ba mức độ trừu tượng hóa rủi ro khác nhau có thể được sử dụng để xây dựng khung đánh giá rủi ro bảo mật, đồng thời lưu ý rằng ông thường sử dụng khuôn khổ quản lý rủi ro của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST). Chúng bao gồm các quyết định chiến lược, chiến thuật và hoạt động.
Cấp một hỗ trợ việc ra quyết định chiến lược; điều này thường liên quan đến các quyết định đầu tư lớn được đưa ra trước thời hạn khoảng 5 năm. Một vài ví dụ: Các nhà điều hành nên xây dựng chiến lược công ty như thế nào? Họ có nên chuyển sang đám mây không? Doanh nghiệp nên đưa dịch vụ của mình vào Amazon Web Services hay tự mình lưu trữ? Họ nên phát triển mã nội bộ hay thuê ngoài?
Ông nói, đây đều là những quyết định không cần thiết và chúng thường được đưa ra mà không có nhà phân tích rủi ro, người có thể giải thích phân tích chi phí-lợi ích và phân tích ROI của các chiến lược doanh nghiệp lớn.
Cấp hai hỗ trợ việc ra quyết định mang tính chiến thuật cho các nhà quản lý cấp trung đang xem xét các sáng kiến, ngân sách và lập kế hoạch nhân sự trước một hoặc hai năm. Những người quản lý đó đang đặt những câu hỏi như “Chúng tôi có sử dụng ảo hóa máy chủ không?” “Chúng ta nên sử dụng nhà cung cấp nào?” “Chúng tôi có thể phân tích rủi ro đối với nhà cung cấp trước khi chuyển sang nhà cung cấp không?”
Martin-Vegue cho biết hầu hết các tổ chức đều biết về vấn đề bảo mật của nhà cung cấp sau khi họ đã ký hợp đồng. Điều này phải được ghi vào sổ đăng ký rủi ro trước khi bắt đầu hợp tác với nhà cung cấp.
Cấp ba hỗ trợ việc ra quyết định vận hành dành cho những người đóng góp cá nhân và nhóm của họ. Điều này có thể bao gồm các kiến trúc sư bảo mật, người kiểm tra bút hoặc nhà phát triển ở phía doanh nghiệp, những người thiết kế các ứng dụng web hướng tới khách hàng. Nếu một lập trình viên muốn kiểm soát bảo mật và phải lựa chọn giữa chỉ dùng mật khẩu hoặc mật khẩu và xác thực đa yếu tố (MFA), họ nên chọn cái nào?
Điều có vẻ như là một lựa chọn đầu tư dễ dàng đối với những người hành nghề bảo mật lại khó khăn hơn đối với các nhà điều hành doanh nghiệp. Các tổ chức ngày nay có hầu bao eo hẹp và việc triển khai MFA rất tốn kém. Rủi ro định lượng đòi hỏi các chuyên gia bảo mật phải sử dụng dữ liệu để chứng minh lý do tại sao khoản đầu tư đó lại đáng giá.
Những người ra quyết định vận hành phải đối mặt với một số lựa chọn có thể được đánh giá bằng phân tích rủi ro định lượng: Làm cách nào để định cấu hình bảo vệ điểm cuối? Làm cách nào để định cấu hình phần mềm chống vi-rút? Chúng ta có nên sử dụng mã hóa toàn bộ đĩa không? Làm cách nào để định cấu hình các công cụ ngăn ngừa mất dữ liệu?
Mô hình hóa rủi ro định lượng: Bắt đầu
Đối với các tổ chức muốn áp dụng mô hình FAIR hoặc các mô hình rủi ro định lượng khác, Martin-Vegue khuyên nên bắt đầu từ từ. Các nhà phân tích rủi ro không cần phải loại bỏ mô hình hiện tại của họ và triển khai FAIR trong một cuộc đại tu lớn. Bắt đầu với một vài quyết định. Tìm ai đó trong tổ chức đang cố gắng đưa ra một lựa chọn khó khăn, dựa trên dữ liệu và trợ giúp bằng cách sử dụng mô hình định lượng.
Mẹo khác của anh ấy là một lời cảnh báo: “Có một lầm tưởng lớn rằng chúng ta phải phá bỏ rủi ro định lượng - mọi người có nhận thức rằng bạn cần phải có dữ liệu định lượng lịch sử hoàn hảo để đánh giá, còn bạn thì không.” Martin-Vegue cho biết các chuyên gia về rủi ro có thể sử dụng đánh giá chủ quan của những người trong tổ chức để đưa ra đánh giá đáng tin cậy.
Kelly Sheridan là Biên tập viên Nhân viên tại Dark Reading, nơi cô tập trung vào tin tức và phân tích an ninh mạng. Cô ấy là một nhà báo công nghệ kinh doanh, người trước đây đã báo cáo cho InformationWeek, nơi cô ấy bảo hiểm Microsoft và Bảo hiểm & Công nghệ, nơi cô ấy bảo hiểm tài chính… Xem Full Bio
Đề nghị đọc:
Thông tin chi tiết
