Quản lý rủi ro dự án công nghệ thông tin được hiểu như thế nào?

1. Quản lý rủi ro dự án công nghệ thông tin được hiểu như thế nào?

Quản lý rủi ro công nghệ thông tin chính là quản lý khi có sự xảy ra tổn thất khi tiến hành các hoạt động có liên quan đến hệ thống công nghệ thông tin. Rủi ro trong công nghệ thông tin liên quan tới quản lý, sử dụng phần mềm, phần cứng, truyền thông, giao diện trên hệ thống cũng như vận hành và con người.

1.1. Rủi ro cùng mối đe dọa trong lỗ hổng thông tin

1.1.1. Rủi ro thường gặp

Rủi ro trong hệ thống thông tin có thể hiểu đơn giản đó chính là một điều gì đó xấu có thể ập đến đối với tài sản của hệ thống. Tài sản ở đây chính là những thiết bị, sở hữu trí tuệ hoặc một phần nhỏ thông tin ví dụ như thông tin đăng nhập hay dữ liệu cá nhân. Các rủi ro thường gặp như: Mất dữ liệu thông tin, bị sập server, Giả mạo các dữ liệu,..

1.1.2. Mối đe dọa kèm theo

Mối đe dọa ở trong hệ thống thông tin là một sự việc, hoạt động nào đó gây tổn thất tới tài sản công ty, doanh nghiệp. Nó được chia thành 2 loại chính là mối đe dọa do con người và mối đe dọa tự nhiên. Mối đe do con người thì khá rõ ràng, kể đến như việc đập phá các trang thiết bị, có hacker tấn công hoặc có ai đó tải malware về máy công ty,... Còn về mối đe dọa tự nhiên là về bão, lũ làm hư hỏng cơ sở vật chất làm việc, giao thông, hay gián đoạn một số công việc khi dịch bệnh xuất hiện.

1.1.3. Các lỗ hổng thông tin

Trong 2 vấn đề được nêu ở trên thì dù có nguy cơ hoặc mối đe dọa đều chỉ nói về khả năng. Để khả năng đó thực sự là khả thi thì hệ thống cũng cần phải tồn tại lỗ hổng. Ở đây lỗ hổng chính là điểm yếu của hệ thống cho phép những mối đe dọa sẽ chắc chắn xảy ra. 

Lỗ hổng thì sẽ có rất nhiều hình thái khác nhau. Tuy vậy, thường thì lỗ hổng sẽ phải xuất hiện từ các thứ hợp lệ và hoạt động bình thường trong hệ thống. Lấy ví dụ rằng một hệ thống cho phép sự truy vấn SQL thì có thể có lỗ hổng SQL Injection, hoặc cũng có thể tải file về máy công ty dưới sự cho phép của hệ thống thì có thể dẫn đến lỗ hổng cho phép tải mã độc.

Đúng là không có gì được hoàn mỹ, hệ thống thông tin cũng như vậy. Bất kỳ hệ thống nào cho dù có quy mô ra sao thì bảo mật nghiêm ngặt kỹ càng đến mấy vẫn sẽ tồn tại những lỗ hổng cho riêng mình. Do đó để hạn chế tối đã việc bị khai thác điểm yếu trong lỗ hổng này thì những tổ chức cần thiết có cho mình một quy trình về việc quản lý rủi ro.

1.2. Quản lý rủi ro ra sao?

Quản lý rủi ro được xem là quá trình được một tổ chức thực hiện nhằm mục đích quản lý những sự cố, nguy cơ đối với hệ thống công nghệ thông tin kèm theo những tài sản thông tin của tổ chức đó. Mọi người sẽ thường được nghe thấy rằng một công ty A đã bị hack tấn công và bị đánh cắp đi vài trăm tỷ, doanh nghiệp B bị rò rỉ thông tin mật của hàng triệu khách hàng và tưởng tượng ra đến nhiều rủi ro to tát như thế.

Tuy vậy, rủi ro mà một tổ chức, doanh nghiệp gặp phải thực tế sẽ gặp bất cứ nơi đâu, phần nào trong hệ thống thông tin. Bắt đầu từ việc nhỏ nhặt nhất như vô tình để lộ mật khẩu tài khoản trong web xyz, hoặc bị chết máy do làm đổ nước hay con chuột nhà anh C chạy qua bàn phím vô tình xóa mất database. Toàn bộ là những rủi ro đối với hệ thống thông tin mà bất kỳ cơ quan, công ty nào cũng có thể bị gặp phải. Vậy làm sao để bạn có thể quản lý rủi ro dự án công nghệ thông tin một cách hiệu quả hãy theo dõi trong phần tiếp theo.

2. Phương pháp quản lý rủi ro dự án công nghệ thông tin hiệu quả

Bạn thường nghe nói rằng “Biết địch biết ta trăm trận trăm thắng”, để có một chiến lược quản lý bất kỳ một lĩnh vực nào, bạn cần phải hiểu rõ được tình hình của đối thủ bản thân và quản lý rủi ro cũng không ngoại lệ.

2.1. Hiểu rõ về bản thân

Trong cuộc sống, ai cũng sẽ có điểm tích cực và tiêu cực, ai cũng có điều hay cái dở. Mọi người không thể hoàn hảo 100% và dĩ nhiên tổ chức mà do con người tạo nên cũng sẽ luôn có lỗ hổng nhất định. Bất kỳ một tổ chức nào cũng có những rủi ro, không ai giống nhau hết cả. Chúng có thể bắt nguồn từ vấn đề thuê người nào làm việc bên mình, quá trình sản xuất sản phẩm hay là marketing hoặc nơi đặt trụ sở của cơ quan tổ chức. Đối với việc quản lý sự an toàn thông tin thì người quản lý cần phải hiểu được cách mà thông tin làm sao thể xử lý, thu thập truyền tải ra sao? Việc biết mình có các trường hợp này, nói đơn giản là vấn đề biết mình có gì và giá trị của chúng trong tổ chức như thế nào.

Ví dụ, phần thông tin của người sử dụng có thể nói đến username, email, password, số thẻ, số CVV, ảnh đại diện,.. có thể chia ra hai loại cơ bản là công khai và riêng tự. Những thông tin đó có thể coi là những thông tin công khai và vấn đề áp dụng những chính sách bảo mật với chúng có thể không cần thiết quá cao. Ngược lại thì những thông tin này cũng được xếp vào thông tin bí mật, cần áp dụng những chính sách khá chặt chẽ tránh việc làm lộ ra các thông tin đó.

2.2. Hiểu rõ về đối thủ

Để có thể đảm bảo an toàn cho hệ thống thông tin thi người quản lý cũng cần được biết những rủi ro có thể xảy ra với tổ chức mình. Hãy nhớ lấy câu “ kẻ không biết địch biết ta, trăm trận trăm bại, kẻ biết mình mà không biết địch cùng lắm chỉ trận thắng trận thua, chỉ có kẻ biết địch biết ta mới có thể bách chiến bách thắng”. Để làm được điều này thì cần đáp ứng đủ những câu hỏi sau: Các rủi ro nào có thể xảy ra với hệ thống công nghệ thông tin và gây nên hậu quả gì cho tổ chức? Rủi ro nằm tại mức nào mới có thể chấp nhận được trong tổ chức?

2.2.1. Xác định được rủi ro

- Tổng hợp toàn bộ các tài sản thông tin.

- Phân loại và hình thành tổ chức chúng một cách phù hợp.

- Đánh giá về giá trị của mỗi tài sản thông tin.

- Xác định những mối đe dọa với từng nhóm.

- Xác định được lỗ hổng kèm với tài sản qua việc gắn những  tài sản với các mối đe dọa thích hợp.

2.2.2. Đánh giá về những rủi ro

- Xác định vấn đề  khả năng mà hệ thống có thể bị tấn công với từng mối đe dọa.

- Đánh giá tương đối những  rủi ro có thể xảy ra đối với tài sản thông tin của hệ thống, từ đó có thể biết những tài sản nào cần tập trung để kiểm soát và bảo vệ.

- Tính toán những rủi ro mà tài sản bị mất đối với các thiết lập trong hiện tại

- Nhìn tổng thể một số phần có thể bị tấn công để xác định lỗ hổng và cách kiểm soát các rủi ro đối với tài sản.

- Viết tài liệu cũng như  báo cáo về việc xác định và đánh giá rủi ro ấy.

2.2.3. Khẩu vị và kiểm soát rủi ro

- Xác định mức độ rủi ro nào có thể chấp nhận được.

- Đặt mức độ chấp nhận rủi ro đó vào trong tình huống cụ thể của tổ chức.

- Xác định rõ về những cách kiểm soát hiệu quả nhất.

- Mua hoặc cài đặt, áp dụng một số biện pháp kiểm soát thích hợp.

- Nhìn lại tổng quan, quan sát về quá trình hoạt động qua phần mềm quản lý công việc miễn phí để có thể đảm bảo rằng các biện pháp đã sử dụng có hiệu quả.

Trên đây là các thông tin chung nhất về vấn đề quản lý rủi ro dự án công nghệ thông tin. Để tìm hiểu rõ và chi tiết hơn hẹn các bạn trong những bài viết lần sau. Nếu như có ý kiến đóng góp nào hãy gửi về chúng tôi, timviec365.vn sẽ tiếp nhận để hoàn thiện và phát triển hơn nữa nhé!