Kế hoạch ứng cứu sự cố

[thaihihi007]

Như chúng ta đều biết, đối với nhiều tổ chức, doanh nghiệp, cá nhân thì thông tin và dữ liệu đóng một vai trò hết sức quan trọng trong đời sống và có khi ảnh hướng tới sự tồn vong của họ. Vì vậy, việc bảo mật những thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện nay các hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩn nhiều nguy cơ không lường trước được.
Mặt khác, tính chất, mức độ, và phạm vi của các cuộc tấn công vào hệ thống máy tính và mạng ngày càng gia tăng bởi chưa bao giờ việc tiếp cận với các kỹ thuật và sử dụng các công cụ tấn công lại trở nên dễ dàng và đơn giản hơn thế.
Một bản kế hoạch ứng cứu sự cố sẽ cung cấp cho bạn cái nhìn tổng quan nhất về các công việc cần làm, phương pháp để xử lý & khắc phục các cuộc tấn công trên mạng, cho dù đó là phần mềm độc hại, ransomware hoặc một cuộc tấn công DDoS. Đồng thời, bản kế hoạch IR cũng giúp bạn đánh giá những nguy cơ an ninh hoặc điểm yếu mà doanh nghiệp có thể bị Hacker tấn công.
Tất cả những điều này cho thấy vai trò cốt yếu của các chuyên gia an toàn thông tin trong cuộc chiến bảo mật đầy khốc liệt và không có hồi kết này. Nhưng các bạn khoan vội nghĩ ngay tới các công nghệ hay cách thức để đảm bảo an toàn cho hệ thống thông tin. Trước hết, bạn phải hiểu được những nguyên tắc nào cần đạt được khi làm công tác bảo mật và đó là các nguyên tắc sau:

- Phân ra các nguồn tài nguyên
Đối với an ninh thông tin trong hệ thống để làm việc, họ phải biết ai được phép xem và làm những việc cụ thể. Điều nầy có nghĩa là người quản lý hệ thống mạng phải biết gán quyền truy cập của một số nhân viên được phép truy cập vào những user cho phép theo từng loại công việc của mỗi người và chỉ theo giới hạn cho phép của người đứng đầu trong doanh nghiệp của bạn. Điều quan trọng là phân quyền rỏ ràng cho những ai có quyền truy cập vào danh mục nào trong hệ thống mà thôi và người đứng đầu trong doanh nghiệp của bạn có thể truy cập vào bất cứ user nào nếu muốn.
- Kế hoạch nếu thất bại
Kế hoạch nếu có sự thất bại sẽ giúp giảm thiểu hậu quả thực tế của nó xảy ra. Có hệ thống sao lưu tại chỗ trước khi cho phép bộ phận CNTT để liên tục theo dõi các biện pháp an ninh và phản ứng nhanh với một hành vi vi phạm. Nếu vi phạm không nghiêm trọng, các doanh nghiệp hoặc tổ chức có thể tiếp tục hoạt động trên sao lưu trong khi vấn đề được giải quyết. An ninh CNTT càng nhiều thì việc hạn chế những thiệt hại do hành vi vi phạm gây ra..
- Ngăn ngừa thiệt hại
Để bảo đảm quyền lợi chính đáng của mỗi cá nhân đối với quyền riêng tư, cần xây dựng các cơ chế bảo vệ dữ liệu cá nhân để ngăn ngừa việc sử dụng thông tin trái phép. Quy định trách nhiệm cụ thể đối với việc thu thập, sử dụng, chuyển giao dữ liệu cá nhân, trong đó có tính đến thiệt hại có thể phát sinh từ việc sử dụng thông tin trái phép, đồng thời xây dựng các biện pháp chế tài phù hợp đối với mức độ thiệt hại có thể xảy ra. Nguyên tắc “Ngăn ngừa thiệt hại” khẳng định một trong những mục tiêu cơ bản của “Những nguyên tắc bảo vệ dữ liệu cá nhân” là ngăn ngừa việc sử dụng bất hợp pháp dữ liệu cá nhân cũng như những thiệt hại phát sinh từ các vi phạm đó. Do đó, những biện pháp về bảo vệ dữ liệu cá nhân (bao gồm nỗ lực tự bảo vệ của cá nhân; tổ chức tuyên truyền, phổ biến nâng cao nhận thức; xây dựng luật pháp và các cơ chế thực hiện) phải được thiết lập nhằm ngăn chặn thiệt hại đối với cá nhân do dữ liệu cá nhân của họ bị thu thập và sử dụng trái phép. Bởi vậy, các biện pháp chế tài xử lý vi phạm về bảo vệ dữ liệu cá nhân cần được xây dựng phù hợp với mức độ thiệt hại từ việc thu thập hoặc sử dụng thông tin cá nhân trái phép.
- Đánh giá tài chính của tổ chức
Chi phí đầu tư cho an ninh mạng là khá lớn, bao gồm: thiết bị, phần mềm, phần cứng và cả con người. Ngoài ra, tổ chức có thể mất thêm khoản phí phát sinh từ các sự cố tấn công trên mạng, tấn công website. Nếu bị nhẹ thì mất dữ liệu, bị trung bình thì mất vài chục triệu, bị nặng thì mất vài trăm triệu hoặc thậm chí vài chục tỉ đồng. Các cuộc tấn công trên mạng đã trở nên phức tạp hơn rất nhiều trong những năm qua, vậy nên tổ chức của bạn cần chuẩn bị năng lực tài chính để sẵn sàng ứng cứu sự cố có thể xảy ra bất kỳ lúc nào.
- Đánh giá tiềm năng rủi ro
Tương tự như đánh giá tài sản, tổ chức của bạn cũng cần phải xem xét kỹ những nguy cơ an ninh mà công ty có thể đối mặt.
Công ty của bạn chuyên về dữ liệu? => Có thể bạn sẽ bị tin tặc đánh cắp dữ liệu.
Bạn sở hữu khối lượng các website khổng lồ? => Có thể bạn sẽ bị tấn công Ddos.
Công ty bạn không có thiết bị tường lửa, IPS? => Có thể bạn bị hacker tấn công xâm nhập.
Công ty bạn kinh doanh sản phẩm trên Internet? => Có thể thông tin khách hàng của bị bị Hacker đánh cắp.
Doanh nghiệp của bạn làm về lĩnh vực tài chính ngân hàng => Có thể khách hàng của bạn bị mất tiền bất kỳ lúc nào.
Để đánh giá những rủi ro và nguy cơ mất an ninh thông tin, doanh nghiệp nên tổ chức một buổi họp bàn với các nhân viên về vấn đề này. Buổi thảo luận bao gồm cả trưởng nhóm IR, chuyên viên phân tích lỗ hổng, giám đốc IT, hành chính nhân sự và những thành phần có liên quan.
- Ngăn chặn
Các hoạt động trong giai đoạn này bao gồm:
– Tiến hành đánh giá tác động của sự cố trên dữ liệu xác định các dữ liệu có liên quan
– Thực hiện bảo vệ các thông tin và hệ thống nhạy cảm hoặc quan trọng bằng cách di chuyển các thông tin quan trọng đến các các hệ thống khác và đảm bảo hệ thống này đã được tách ra khỏi hệ thống bị xâm nhập
– Xác định tình trạng hoạt động của hệ thống bị xâm nhập
– Lưu trữ lại hình ảnh của hệ thống bị xâm nhập cho mục đích điều tra và làm bằng chứng
– Ghi chép về tất cả các hành động được thực hiện trong giai đoạn này
– Kiểm tra toàn bộ hệ thống liên quan đến hệ thống bị xâm nhập thông qua các dịch vụ dựa trên những thông tin được chia sẻ hoặc qua bất kỳ mối quan hệ tin tưởng nào.

Bài viết trên đây giới thiệu cho các bạn quy trình ứng phó khi có sự cố xảy ra cho doanh nghiệp của mình. Chủ động có phương án phòng chống là việc cần làm của các doanh nghiệp trong thời đại công nghệ số để hạn chế tốt nhất tổn thất do sự cố an ninh mạng gây

Nguồn: SecurityBox