Tiếp nối các phần trước thì bài viết này của Vina Aspire sẽ tiếp tục nói về hai phần cuối cùng của Insider Threat Management – Quản lý mối đe doạ nội bộ.
ĐO LƯỜNG TỈ SUẤT HOÀN VỐN (ROI – RETURN ON INVESTMENT) ĐỂ XÁC ĐỊNH SỰ THÀNH CÔNG
Nhiều doanh nghiệp xem bảo mật là một trung tâm đầu tư chi phí. Họ có thể hiểu tầm quan trọng của các khoản đầu tư nhất định về bảo mật, nhưng ít khi mong đợi thu về lợi nhuận từ khoản đầu tư đó. Nhưng ROI trong bảo mật lại mang về lợi nhuận—đặc biệt khi đề cập đến các mối đe dọa nội bộ. Việc chứng minh ROI có thể giúp các nhóm bảo mật các tài nguyên cần thiết để quản lý rủi ro từ mối đe dọa nội bộ một cách hiệu quả là hoàn toàn khả thi.
Xây dựng một ITMP thành công đòi hỏi đầu tư vào nhân lực, quy trình và công nghệ. Nhưng theo Báo cáo toàn cầu về chi phí đến từ mối đe dọa nội bộ của Ponemon năm 2020, việc ngăn chặn, phát hiện và ứng phó nhanh chóng giúp tiết kiệm chi phí thực theo hướng lâu dài. Chúng ta hãy xem xét chi tiết nội dung này.
–
Hình trên cho ta thấy được rằng yếu tố nội bộ là điều luôn luôn phải được chú ý đến trong mỗi doanh nghiệp. Khi ta chú tâm đến và thực hiện những việc ta cần phải làm trong nội bộ thì những sự cố xảy ra do yếu tố nội bộ cũng sẽ được giảm thiểu và kết quả thu được sẽ như hình dưới đây
–
Để hiển thị ROI của các chương trình Quản lý mối đe dọa nội bộ (Insider Threat Management), các tổ chức phải đánh giá và theo dõi ba hạng mục chính:
Các sự cố do mối đe dọa nội bộ
Để chứng minh ROI, hãy đánh giá mức thay đổi về số lượng sự cố theo thời gian bằng cách sử dụng các chỉ số về mối đe dọa nội bộ. Xác định các chiến thuật ngăn chặn và giảm thiểu hoạt động hiệu quả nhất cho tổ chức của bạn và vấn đề cần tập trung ngân sách trong tương lai để cải thiện kết quả. Ngoài ra, theo dõi chi phí trung bình của việc điều tra, ngăn chặn và khắc phục sự cố theo thời gian. Mục tiêu giảm thiểu nằm trong hai hạng mục chính: tổng số sự cố và chi phí giải quyết từng sự cố (nhờ việc phát hiện các sự cố sớm hơn). Nền tảng Quản lý mối đe dọa nội bộ được xây dựng có mục đích như Proofpoint ObserveIT giúp theo dõi những con số này dễ dàng hơn, đồng thời giúp tổ chức giảm chi phí liên quan đến mối đe dọa nội bộ theo thời gian.
Thu hút và giữ chân khách hàng
Một kiến trúc bảo mật mạnh mẽ, được ITMP hỗ trợ, cũng có thể thúc đẩy doanh thu thông qua việc chứng minh các biện pháp thực hành tuân thủ và bảo mật. Các biện pháp thực hành này không chỉ giúp duy trì lượng khách hàng hiện tại mà còn giành được các hợp đồng mới. Như đã thảo luận trong suốt loạt bài này, chương trình mối đe dọa nội bộ của bạn phải đáp ứng các khung tuân thủ và bảo mật như GDPR, SOC 2 và các quy định cụ thể khác của ngành. Để chứng minh ROI, hãy theo dõi số lượng và doanh số bán hàng bạn đảm bảo không thể đạt được nếu không đầu tư vào việc quản lý mối đe dọa nội bộ. Cũng cần chú ý đến mọi số liệu thống kê về tỷ lệ giữ chân khách hàng có thể liên quan trực tiếp đến việc đáp ứng và duy trì sự tuân thủ và các tiêu chuẩn bảo mật khác.
Chi tiêu chủ động so với chi tiêu cho ứng phó
Hầu hết các mối đe dọa nội bộ là do vô tình hoặc sơ sót. Nói cách khác, bạn có thể ngăn chặn nhiều sự cố thông qua sự đào tạo và nhận thức đúng đắn. Chi tiền vào những lĩnh vực này có thể mang lại lợi nhuận nhanh chóng. Điều đó nói lên rằng hành vi trộm thông tin xác thực là kiểu đe dọa nội bộ tiêu hao chi phí nhất. Vì vậy, việc tìm kiếm cách ngăn ngừa hoặc chặn các sự cố do hành vi này gây ra sẽ có tác động đáng kể đến ROI.
Một cách có giá trị để đo lường và chứng minh ROI của chương trình đe dọa nội bộ của bạn là theo dõi chi phí theo thời gian trong các lĩnh vực liên quan đến các nỗ lực chủ động và ứng phó. Đây là một vài ví dụ:
| Các chi phí chủ động | Các chi phí ứng phó |
|
|
Nhìn chung, các nỗ lực chủ động đối với mối đe dọa nội bộ có chi phí thấp hơn nhiều so với các nỗ lực ứng phó. Việc chứng minh bạn đang chi tiền cho những nỗ lực chủ động nhằm giảm hoặc tránh các chi phí ứng phó bất ngờ sau đó cũng có thể giúp tạo ra ROI. Về mặt ứng phó, việc chứng minh bạn đang giảm lượng thời gian cần thiết để điều tra và khắc phục sự cố sẽ thể hiện bạn cũng đang giảm chi phí cho giai đoạn cuối của chuỗi cân bằng.
Các ITMP được thiết kế hiệu quả giúp giảm số lượng và chi phí của sự cố, tăng doanh số bán hàng và chuyển cán cân từ các biện pháp ứng phó tốn kém sang các nỗ lực chủ động hiệu quả về chi phí. Các chương trình này nên được xem như một khoản đầu tư có tiềm năng sinh lợi đáng kể – nếu chúng được quản lý đúng cách. Đối với nhiều tổ chức, một ITMP có thể tạo ra ROI bảo mật lớn nhất.
MỞ RỘNG QUY MÔ ITMP CỦA BẠN ĐỂ CÓ KHẢ NĂNG VẬN HÀNH TOÀN DIỆN
Vina Aspire đã đề cập đến tầm quan trọng và giá trị của việc bắt đầu ngay khi có thể bằng cách phát triển khả năng vận hành ban đầu để quản lý các mối đe dọa nội bộ ở các phần trước. Nhưng hầu hết các tổ chức cần phải mở rộng quy mô theo thời gian và đạt đến khả năng vận hành toàn diện (FOC) để quản lý rủi ro từ mối đe dọa nội bộ một cách đích thực.
Đương nhiên, FOC sẽ đòi hỏi nhiều tài nguyên hơn để thực hiện các thành phần còn lại của hệ sinh thái. FOC bao gồm tất cả các thành phần có khả năng vận hành ban đầu, kết hợp với sự bảo đảm về nhân sự, kiểm soát truy cập, phân tích, đánh giá rủi ro linh hoạt và công tác giám sát.
–
Sự bảo đảm về mặt nhân sự
Hầu hết các tổ chức sử dụng các quy trình điều tra thông tin nhân viên hiệu quả đối với nhân viên toàn thời gian. Tuy nhiên, mức độ kiểm tra đối với nhân viên hợp đồng và các đối tác thường không tương đương. Việc đào tạo nhân viên mới cần phải toàn diện. Khả năng trực quan hóa hành vi của nhân viên thường có thể được thúc đẩy thông qua sự hợp tác gắn kết hơn giữa bộ phận Nhân sự và Bảo mật.
Kiểm soát truy cập
Các quy trình và công cụ kiểm soát truy cập phải hiệu quả. Nhưng việc triển khai một số chính sách có thể tạo ra các lỗ hổng không cần thiết. Một ví dụ phổ biến là cấp cho tất cả người dùng quyền quản trị cục bộ, theo mặc định, trên các máy vi tính do tổ chức cung cấp. Việc triển khai kiểm soát truy cập thường quá chặt chẽ, với các nhà quản lý chuyên môn hoàn toàn chịu trách nhiệm về phần lớn việc tạo nhóm dữ liệu và cấp quyền truy cập.
Phân tích Hầu hết các tổ chức lớn triển khai tài nguyên phân tích để tìm kiếm các mối đe dọa trên mạng và phân tích tệp nhật ký bằng các giải pháp SIEM. Nhưng những nỗ lực này thường bị thiếu các bộ dữ liệu để phân tích. Việc triển khai toàn diện giám sát hoạt động của người dùng và dữ liệu sẽ thúc đẩy mức độ chuyên sâu về phân tích. Các triển khai cũng sẽ thúc đẩy chiến lược chủ động hơn đối với mối đe dọa nội bộ và giúp theo dõi các chỉ số được nêu trong phần Đo lường tí suất hoàn vốn ở trên.
Đánh giá rủi ro linh hoạt
Hầu hết các khả năng đánh giá mối đe dọa nội bộ của các tổ chức bị giới hạn trong các trường hợp sử dụng cụ thể và với phạm vi hẹp. Các khả năng này được mô tả chính xác hơn chính là ngẫu nhiên và đối lập. Một khả năng về mối đe dọa nội bộ thực thụ đòi hỏi sự thấu đáo về mỗi một vấn đề sau:
- Các yếu tố đe dọa tài nguyên quan trọng của tổ chức
- Tổng số nhân viên nội bộ của tổ chức
- Các lỗ hổng hiện có của một số loại dữ liệu và hệ thống cụ thể
Sau khi được triển khai, khả năng đánh giá mối đe dọa nội bộ chuyên sâu sẽ nâng cao nhận thức về bảo mật. Và điều này sẽ hỗ trợ cho cả chiến lược chủ động và ứng phó, kết hợp với việc quản lý tổng thể các mối đe dọa doanh nghiệp ở quy mô lớn hơn.
Công tác giám sát
Công tác giám sát các chức năng và hoạt động của Quản lý mối đe dọa nội bộ thường được chia sẻ giữa CSO, CISO, CPO và bộ phận pháp lý. Việc thiếu một ITMP được xác định sẽ tạo ra mô hình giám sát tập trung vào hoạt động hoặc vấn đề gây ra sự thiếu hiệu quả và thiếu tư duy sở hữu mạnh mẽ. Đó là lý do tại sao các tổ chức cần một ITMP được xác định rõ ràng với các vai trò và trách nhiệm được thiết lập. Công tác giám sát được xác định rõ ràng thúc đẩy khả năng vận hành và tạo ra một khung giám sát và tuân thủ hiệu quả hơn.
KẾT LUẬN
–
Là giải pháp được xây dựng có mục đích hàng đầu trên thị trường, nền tảng Proofpoint ObserveIT Insider Threat Management ngăn ngừa việc mất dữ liệu, các hành vi ác ý và gây thiệt hại cho thương hiệu do các hành vi ác ý, sơ sót hoặc vô ý đến từ nhân viên nội bộ.
ObserveIT liên quan đến hoạt động của người dùng và di chuyển dữ liệu. Bằng cách kết nối các điểm này, Proofpoint trao quyền cho các nhóm bảo mật nhanh chóng xác định rủi ro người dùng, phát hiện hoạt động rủi ro gần với thời gian thực và ứng phó với các vi phạm dữ liệu phát sinh từ nội bộ. Hầu hết các tổ chức thiếu chuyên môn về mối đe dọa nội bộ và được hưởng lợi từ các dịch vụ chuyên nghiệp quản lý mối đe dọa nội bộ của bên thứ ba. Các dịch vụ này có thể cung cấp khả năng trực quan hóa và lý giải cần thiết để phát triển, triển khai và duy trì một chương trình mối đe dọa nội bộ chiến lược hiệu quả
Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
