Khung quản lý rủi ro là gì?

Khung quản lý rủi ro là một cách tiếp cận có cấu trúc tuần tự, dựa trên quy tắc, được ghi lại để giúp kiểm tra, giảm thiểu và giám sát rủi ro trong một tổ chức. Các tổ chức chọn khung chuẩn hóa hoặc tạo ra khung của riêng họ, thay vì tiếp cận quản lý rủi ro bằng các quy trình mang tính tùy tiện, rời rạc. Bằng cách sử dụng khung quản lý rủi ro, bạn có thể tự tin hơn trong việc đạt được kết quả tốt hơn và phản ứng nhanh hơn khi xảy ra các sự kiện không lường trước.

Quản lý rủi ro là một chức năng của lĩnh vực nghiệp vụ quản trị, rủi ro và tuân thủ (GRC), thường nằm trong bộ phận an ninh mạng hoặc tuân thủ. Cách tổ chức của bạn xử lý rủi ro có thể rất quan trọng đối với tính liên tục trong kinh doanh, hoạt động, tuân thủ quy định và danh tiếng. Khung quản lý rủi ro giúp bạn xác định, đánh giá, giảm thiểu và theo dõi rủi ro trong toàn tổ chức. 

Rủi ro có thể ảnh hưởng đến tổ chức, lĩnh vực kinh doanh và tài sản kinh doanh. Trong đó bao gồm hoạt động, kinh doanh, tuân thủ, an ninh mạng, pháp lý, sáp nhập và mua lại, quyền riêng tư, phần cứng, phần mềm và rủi ro hợp đồng. Trong khi các công ty thường tập trung vào rủi ro mạng, điều quan trọng là không bỏ qua các loại rủi ro khác. Tài liệu này chủ yếu bao gồm rủi ro về hoạt động, kinh doanh và tuân thủ, khi áp dụng cho đám mây.

Rủi ro hoạt động liên quan đến độ sẵn sàng, độ tin cậy, hiệu năng và bảo mật của cơ sở hạ tầng. Loại rủi ro này là quan trọng nhất đối với hoạt động hàng ngày.

Rủi ro kinh doanh liên quan đến danh tiếng, khả năng cạnh tranh và điều kiện thị trường. Loại rủi ro này có phạm vi rộng hơn rủi ro hoạt động và có thể có tác động tổng thể đáng kể hơn đến doanh nghiệp.

Rủi ro tuân thủ là khả năng hoạt động kinh doanh sẽ không đáp ứng tiêu chuẩn tuân thủ quy định bắt buộc. Loại rủi ro này có thể khiến doanh nghiệp bị phạt tiền, xử phạt, bị tác động pháp lý hoặc tăng mức độ kiểm tra và báo cáo. Các mục tiêu tuân thủ đến từ các tiêu chuẩn ngành, các cơ quan liên bang và các cơ quan quản lý khác.

Các khung quản lý rủi ro phổ biến bao gồm:

• Khung quản lý rủi ro (RMF) của Viện tiêu chuẩn và công nghệ quốc gia (NIST) cho các hệ thống và tổ chức thông tin
• COBIT
• ISO/IEC 31000 Quản lý rủi ro – Hướng dẫn
• ISO/IEC 27005:2022 Bảo mật thông tin, an ninh mạng và bảo vệ quyền riêng tư – Hướng dẫn quản lý rủi ro bảo mật thông tin
• Phân tích nhân tố rủi ro thông tin

Nên sử dụng một khung quản lý rủi ro xác định và cập nhật thường xuyên để cập nhật các phương pháp tốt nhất để quản lý rủi ro.

Một khung quản lý rủi ro vững chắc giúp quản lý rủi ro thuộc tất cả các loại trên toàn bộ tổ chức.

Xác định rủi ro

Xác định tất cả các tài sản, mối đe dọa và lỗ hổng bảo mật trên toàn bộ kiến trúc tổ chức. Rủi ro là mối đe dọa đối với tài sản phát sinh từ lỗ hổng bảo mật. Xác định rủi ro tiềm ẩn có thể là một quá trình dài bao gồm nhiều véc-tơ tổ chức và mục tiêu kinh doanh.

Bạn có thể phân loại rủi ro thành các lĩnh vực như kỹ thuật, con người, quy trình, tài chính hoặc bên thứ ba. Bạn cũng có thể chia nhỏ từng danh mục rộng hơn này; ví dụ: trong danh mục 'con người' , chia nhỏ danh mục này thành kỹ năng, lỗi thủ công và lô cốt kiến thức.

Phân tích tác động

Bằng cách phân tích tài sản, mối đe dọa và lỗ hổng bảo mật, bạn có thể xác định khả năng và quy mô tác động khi rủi ro tiềm ẩn xảy ra. Phân tích và đánh giá rủi ro bao gồm các biện pháp định tính và định lượng. Ví dụ: Bạn có thể thu thập tất cả các chi tiết về một loại rủi ro cụ thể hoặc phát triển ma trận chấm điểm rủi ro để phân loại rủi ro, điều này sẽ xác định hậu quả và chiến lược giảm thiểu. Các loại này có thể bao gồm điểm rủi ro thấp, trung bình, cao và rất cao, tùy thuộc vào khả năng xảy ra một sự kiện và tác động dự kiến của sự kiện đó.

Chiến lược giảm thiểu

Sau đây là bốn chiến lược giảm thiểu rủi ro để tiếp cận từng rủi ro cụ thể:

• Giảm thiểu: Thực hiện các biện pháp kiểm soát để loại bỏ hoặc giảm rủi ro
• Chấp nhận: Chấp nhận rủi ro như nguyên trạng, đồng thời theo dõi cẩn thận những thay đổi về khả năng hoặc mức độ nghiêm trọng của rủi ro
• Tránh: Loại bỏ rủi ro và định cấu hình lại hệ thống
• Chuyển giao: Thuê ngoài chức năng liên quan đến rủi ro, tạo các biện pháp giảm thiểu theo hợp đồng hoặc bảo hiểm để phòng ngừa sự kiện rủi ro

Ngoài tính nghiêm trọng và khả năng rủi ro, mức độ chấp nhận rủi ro của tổ chức cũng có thể giúp xác định chiến lược phù hợp.

Triển khai giải pháp

Tùy thuộc vào chiến lược giảm thiểu đã chọn, bạn có thể áp dụng các biện pháp kiểm soát, thực hiện thay đổi hệ thống, giới thiệu các giải pháp giám sát và thuê ngoài rủi ro. Các biện pháp kiểm soát có thể là biện pháp hành chính, vật lý hoặc kỹ thuật. Giai đoạn này có thể liên quan đến nhiều hệ thống, đơn vị kinh doanh, các bên liên quan và các bước để tạo ra kết quả mong muốn.

Giải pháp giảm thiểu rủi ro có thể bao gồm các quy trình báo cáo rủi ro lên cấp trên, chủ sở hữu rủi ro và hợp tác với các đội ngũ ứng phó sự cố để phát triển các kế hoạch sau sự cố.

Sau khi triển khai giải pháp, bạn có thể tính toán rủi ro còn lại. Hầu hết các giải pháp không thể loại bỏ hoàn toàn rủi ro, vì vậy luôn tồn tại rủi ro còn lại. Rủi ro còn lại này có thể biến động khi điều kiện thay đổi.

Quản trị và giám sát liên tục

Sau khi triển khai giải pháp giảm thiểu rủi ro, bạn phải giám sát, theo dõi, phân tích và kiểm tra rủi ro khi cần thiết. Bạn phải xây dựng báo cáo vào quy trình theo dõi rủi ro cho chủ sở hữu rủi ro, đội ngũ GRC và lãnh đạo.

Trong khung quản trị, cần có một quy trình theo nhu cầu và được lên lịch thường xuyên để xác định các rủi ro mới và rủi ro leo thang đối với doanh nghiệp. Bạn nên thiết lập các chính sách xoay quanh quản lý rủi ro và tần suất đánh giá lại quy trình hiện tại và cung cấp đào tạo cho các thành viên trong đội ngũ thích hợp. Triển khai các quy tắc bảo vệ để giúp tự động ngăn chặn các loại rủi ro tương tự tái xuất hiện.

Hướng dẫn này chỉ ra cách triển khai quy trình AWS phù hợp với các giai đoạn của khung quản lý rủi ro điển hình.

Ba dịch vụ AWS chính được sử dụng trong suốt mỗi giai đoạn của quy trình quản lý rủi ro để hỗ trợ:

• Trình quản lý kiểm tra AWS để liên tục kiểm tra mức sử dụng AWS của bạn nhằm đơn giản hóa việc đánh giá rủi ro và tuân thủ
• AWS Config để xem xét, kiểm tra và đánh giá cấu hình các tài nguyên của bạn
• AWS Security Hub để ưu tiên các vấn đề bảo mật quan trọng của bạn thông qua tương quan tự động và bối cảnh rủi ro nâng cao cộng với báo cáo tình trạng bảo mật, v.v.

1. Lập kế hoạch

Giai đoạn lập kế hoạch đảm bảo tổ chức có nền tảng vững chắc để xây dựng các quy trình quản lý rủi ro bằng phương pháp thực hành tốt nhất.

Lập kế hoạch thực hiện các hoạt động quản lý rủi ro bằng biện pháp thực hành tốt nhất với các dịch vụ sau:

• AWS CloudTrail để theo dõi hoạt động của người dùng và mức sử dụng API
• AWS Control Tower để thiết lập và quản lý môi trường AWS nhiều tài khoản bảo mật
• Quản lý danh tính và truy cập trong AWS để quản lý danh tính một cách an toàn, cũng như kiểm soát quyền truy cập vào các dịch vụ và tài nguyên AWS
• Trình quản lý truy cập IAM của AWS để xác định quyền truy cập bên ngoài, nội bộ và không sử dụng vào tài nguyên AWS của bạn
• Tổ chức AWS để quản lý dựa trên chính sách trên nhiều tài khoản AWS
• Trình quản lý thông tin bí mật của AWS để quản lý quyền truy cập vào thông tin bí mật trong toàn bộ tổ chức của bạn
• Trình quản lý hệ thống AWS để vá và tuân thủ tự động

2. Khám phá

Giai đoạn khám phá sẽ phát hiện và gắn thẻ tài sản, tài nguyên và dịch vụ của bạn.

Để khám phá và phân loại tài sản của bạn, hãy sử dụng các dịch vụ AWS sau:

• Amazon Macie để tìm hiểu cách phát hiện và bảo vệ dữ liệu nhạy cảm của bạn
• AWS CloudFormation để giới thiệu cơ sở hạ tầng dưới dạng mã (IaC)
• Trình khám phá tài nguyên AWS để tìm kiếm và khám phá các tài nguyên có liên quan trên AWS
• Kho lưu trữ của Trình quản lý hệ thống AWS để cung cấp khả năng quan sát môi trường điện toán AWS của bạn
• Công cụ AWS Well-Architected để đánh giá kiến trúc đám mây của bạn dựa trên các phương pháp tốt nhất.

3. Lựa chọn các biện pháp kiểm soát và quy tắc

Giai đoạn lựa chọn sẽ giới thiệu các biện pháp kiểm soát và quy tắc để bảo vệ khỏi các rủi ro đã xác định.

Chọn các biện pháp kiểm soát từ các quy tắc phương pháp thực hành tốt nhất được xác định trước trong các dịch vụ AWS sau:

• Các quy tắc quản lý của AWS Config để cung cấp quy tắc định nghĩa sẵn, có thể tùy chỉnh mà AWS Config sử dụng để đánh giá xem tài nguyên AWS của bạn có tuân thủ các phương pháp tốt nhất phổ biến hay không
• AWS Control Tower và AWS Security Hub để kiểm soát bảo mật và Trình quản lý kiểm tra AWS để kiểm soát tuân thủ chính sách.
• Tuân thủ của Trình quản lý hệ thống AWS là một công cụ trong Trình quản lý hệ thống AWS, nơi bạn có thể tạo các loại và định nghĩa tuân thủ của riêng mình dựa trên yêu cầu CNTT hoặc doanh nghiệp của mình

4. Triển khai

Giai đoạn triển khai đảm bảo rằng các biện pháp kiểm soát được áp dụng nhất quán trên tất cả các tài sản và môi trường mong muốn.

Bạn có thể sử dụng các công cụ triển khai kiểm soát sau trên các dịch vụ AWS:

• AWS CloudFormation để triển khai các biện pháp kiểm soát nhúng kết hợp với Danh mục dịch vụ AWS nhằm tạo, chia sẻ, sắp xếp và quản lý các mẫu IaC được chọn lọc của bạn
• AWS Config cung cấp các quy tắc kiểm soát và các bước tiếp theo
• AWS Security Hub để triển khai quy tắc bảo mật
• Trình quản lý hệ thống AWS để tuân thủ chính sách trên các tài nguyên và dịch vụ

5. Đánh giá

Đánh giá đo lường mức độ hoạt động của các biện pháp kiểm soát được áp dụng trong thực tế.

Bạn có thể đánh giá mức độ quản lý rủi ro của tổ chức bằng cách kết hợp các dịch vụ AWS sau:

• Trình quản lý kiểm tra AWS cho các đánh giá có thể truy xuất
• AWS Config để kiểm tra các quy tắc tuân thủ
• Amazon Detective để phân tích và trực quan hóa dữ liệu bảo mật nhằm điều tra các sự cố bảo mật tiềm ẩn
• Amazon GuardDuty để thực hiện giám sát mối đe dọa liên tục trên các tài khoản, khối lượng công việc và dữ liệu AWS
• AWS Inspector để thực hiện đánh giá rủi ro lỗ hổng bảo mật tự động
• AWS Security Hub để đánh giá rủi ro bảo mật luôn hoạt động

AWS Trusted Advisor là một lựa chọn khác cho các tổ chức thiết lập khung quản lý rủi ro của họ. Dịch vụ AWS Trusted Advisor cung cấp các kiểm tra về tối ưu hóa chi phí, hiệu năng, bảo mật, khả năng chịu lỗi, giới hạn dịch vụ và hoạt động xuất sắc. Bạn có thể xem cảnh báo, hành động được đề xuất và tài nguyên bổ sung thông qua bảng thông tin. Khách hàng AWS có thể truy cập công cụ tại​https://console.aws.amazon.com/trustedadvisor/home.

6. Cấp quyền

Chức năng cấp quyền chính thức hóa cách tiếp cận, các bước trước đó và chấp nhận rủi ro còn lại và giám sát.

Tự tin cấp quyền bằng cách sử dụng các dịch vụ AWS sau:

• AWS Artifact tạo báo cáo tuân thủ và bảo mật AWS và ISV
• Trình quản lý kiểm tra AWS cung cấp báo cáo cho những người ra quyết định
• AWS Config tạo chi tiết báo cáo tuân thủ và theo dõi
• AWS Security Hub cung cấp chế độ xem theo thời gian thực về tình trạng báo cáo và bảo mật hệ thống

7. Giám sát

Giám sát liên tục đảm bảo quá trình quản lý rủi ro luôn được cập nhật và kết hợp các rủi ro mới và rủi ro thay đổi.

Giám sát liên tục với các dịch vụ AWS sau:

• AWS CloudWatch để giám sát các ứng dụng, cảnh báo về các điểm bất thường và cung cấp thông tin chuyên sâu về tình trạng hoạt động nhằm phục vụ tuân thủ
• AWS Config để giám sát tuân thủ liên tục
• Amazon EventBridge để tạo phản hồi tự động dựa trên trình kích hoạt trong các dịch vụ AWS khác
•  AWS Security Hub để giám sát bảo mật liên tục
• Trình quản lý hệ thống AWS để giám sát bản vá và cấu hình

Các tổ chức tìm cách cải thiện khả năng phục hồi và hiệu năng của tổ chức nên triển khai khung quản lý rủi ro. Các khung quản lý rủi ro giúp giảm thiểu và hiểu rõ rủi ro cho doanh nghiệp, từ đó khiến những yếu tố không chắc chắn này trở nên dễ quản lý hơn nhiều.

Chọn một khung chuẩn hóa và xây dựng dựa trên đó là một cách tốt để bắt đầu và AWS cung cấp các dịch vụ tạo điều kiện thuận lợi cho việc triển khai khung. Kết hợp với Khung AWS Well-Architected, bạn có thể tạo nền tảng vững chắc cho quản trị, rủi ro và tuân thủ trên AWS.

Bắt đầu xây dựng quy trình quản lý rủi ro trên AWS bằng cách tạo tài khoản miễn phí ngay hôm nay.