Một ví dụ về thẻ điểm chiến lược với các chỉ số hiệu suất đối phó với xu hướng nổi lên của an ninh mạng.
Thẻ điểm An ninh Dữ liệu. Các chủ đề chính của bài viết:
Điểm bắt đầu: Nghiên cứu Bảo mật Dữ liệu
Các nghiên cứu thường xuyên về bảo mật dữ liệu và bảo vệ dữ liệu cung cấp cho chúng ta một ý tưởng tốt về nguyên nhân gốc rễ của các vi phạm dữ liệu và cách ngăn chặn chúng. Trong bài viết này, chúng tôi sẽ thảo luận về một ví dụ về cách những phát hiện đó có thể được kết hợp thành một chiến lược an ninh mạng toàn diện có thể đo lường bằng các KPI.
Dưới đây là các báo cáo mà chúng tôi sẽ sử dụng làm tài liệu tham khảo:
- Báo cáo Chi phí Vi phạm Dữ liệu của IBM1 với các nghiên cứu được thực hiện bởi Viện Ponemon là một trong những tiêu chuẩn trong thế giới an ninh công nghệ thông tin.
- Báo cáo Điều tra Vi phạm Dữ liệu của Verizon2 cung cấp một góc nhìn khác về các rủi ro an ninh mạng và cách giải quyết chúng.
- Khảo sát An ninh Thông tin Toàn cầu của EY3 chia sẻ các thực hành tốt nhất mà các tổ chức áp dụng để giải quyết các rủi ro bảo mật dữ liệu.
- Báo cáo FireEye M-TRENDS4 báo cáo về các mối đe dọa bảo mật dữ liệu và sự phát triển của chúng theo thời gian.
Thuật ngữ: An ninh mạng, An ninh dữ liệu, Bảo vệ dữ liệu, Quyền riêng tư dữ liệu
Hãy bắt đầu với việc thảo luận về sự khác biệt giữa các thuật ngữ an ninh dữ liệu/thông tin và bảo vệ dữ liệu (quyền riêng tư dữ liệu).
- An ninh dữ liệu/thông tin liên quan đến việc duy trì kiến trúc bảo mật để quản lý dữ liệu. Hãy nghĩ về việc sao lưu thường xuyên, phần mềm bảo mật được cập nhật, quyền truy cập, triển khai phần mềm DLP, v.v.
- Bảo vệ dữ liệu liên quan đến việc sử dụng dữ liệu một cách đạo đức và hợp pháp – lấy sự đồng ý và tuân thủ các nghĩa vụ pháp lý.
Sự khác biệt này rất quan trọng. Ví dụ, trong vụ Facebook–Cambridge Analytica, dữ liệu đã được quản lý an toàn (đã được mã hóa và lưu trữ trên máy chủ an toàn), nhưng không được quản lý có trách nhiệm theo quy định bảo vệ dữ liệu.
Thuật ngữ bảo vệ dữ liệu chủ yếu được sử dụng ở châu Âu và châu Á, trong khi ở Mỹ, cùng một khái niệm được gọi là quyền riêng tư dữ liệu. Françoise Gilbert đã chia sẻ một giải thích tốt về sự khác biệt trên blog của bà.
Cuối cùng, thuật ngữ an ninh mạng được cho là bao trùm một phạm vi rộng hơn, bao gồm không chỉ an ninh dữ liệu mà còn các hệ thống bảo mật khác. Trong thực tế, nó thường được sử dụng thay thế cho thuật ngữ an ninh dữ liệu.
Tại sao chúng ta cần KPI và chiến lược an ninh mạng?
Ngoài những ý tưởng rõ ràng, như biết tổ chức của bạn đang hoạt động như thế nào và hiểu hướng đi cần tiến đến, tôi muốn đề cập đến những lý do sau:
- Có thể hỗ trợ lập luận bằng một số dữ liệu khi trình bày các giải pháp bảo mật mới đến các bên liên quan.
- Có một bối cảnh kinh doanh được định hình giúp liên kết các sáng kiến an ninh mạng với các phần khác của chiến lược, ví dụ như với thẻ điểm Tài năng, thẻ điểm IT, hoặc thẻ điểm quản trị công ty.
- Chuyển đổi một số ý tưởng mơ hồ như “môi trường kinh doanh an toàn cao sử dụng công nghệ IT mới nhất” thành một thứ cụ thể hơn với các chỉ số hiệu suất cụ thể.
Làm thế nào để đo lường những gì chưa xảy ra
Có thể thấy rằng an ninh dữ liệu là một điều gì đó vô hình và khó để định lượng và đo lường, vì chúng ta không bao giờ biết trước loại vi phạm dữ liệu nào mà một tổ chức sẽ phải đối mặt. Các nghiên cứu thực nghiệm được đề cập ở đầu (xem, ví dụ, báo cáo an ninh của IBM) chia sẻ một quan điểm khác.
Hầu hết các vi phạm dữ liệu là do các yếu tố đã biết như:
- Thông tin xác thực bị xâm phạm (19%)
- Phishing (14%)
- Cấu hình đám mây sai (19%)
Điều này cho chúng ta ý tưởng về nơi mà các nỗ lực an ninh mạng nên tập trung vào.
Mặc dù chúng ta không thể ngăn chặn tất cả các vi phạm dữ liệu, dữ liệu cho thấy rằng chúng ta có thể giảm thiểu tác động của chúng đối với tổ chức bằng cách:
- Triển khai tự động hóa an ninh,
- Có đội ngũ phản ứng và kế hoạch phản ứng sẵn sàng,
- Giáo dục nhân viên, và
- Kiểm tra môi trường kinh doanh bằng cách sử dụng các phương pháp như kiểm tra đội đỏ.
Đối với các chức năng và tài sản kinh doanh quan trọng nhất, chúng ta sẽ xác định mục tiêu điểm phục hồi và thời gian phục hồi, điều này có thể được chính thức hóa trong thẻ điểm phục hồi thảm họa và liên kết với thẻ điểm an ninh mạng.
Những khung chiến lược nào áp dụng cho an ninh dữ liệu?
Trước đây, chúng ta đã thảo luận về các khung chiến lược giúp các tổ chức xây dựng và thực hiện chiến lược của họ. Những khung nào có thể áp dụng cho lĩnh vực an ninh mạng?
Để đạt kết quả tốt nhất, chúng ta cần kết hợp nhiều khung khác nhau:
- Chúng ta sẽ sử dụng phân tích PESTEL để phát hiện và phân tích các yếu tố mới của môi trường bên ngoài (xem các mục tiêu từ khía cạnh Học hỏi và Phát triển). Đó có thể là những thay đổi trong luật pháp, như luật bảo vệ dữ liệu, hoặc những thay đổi đột phá mà chúng ta đã thấy sau Covid-19, ví dụ như xu hướng làm việc từ xa.
- Chúng ta sẽ nói nhiều về việc tập trung vào các nỗ lực ứng phó. Trong bối cảnh này, các khung ưu tiên khác nhau sẽ giúp ích.
- Khi làm việc trên chiến lược an ninh dữ liệu, chúng ta cần xem xét các hành động cần thực hiện hôm nay, trong tương lai gần, và một số sáng kiến cho tương lai xa. Trong bối cảnh này, khung Ba chân trời sẽ giúp thực hiện các cuộc thảo luận có kỷ luật.
- Để chuyển đổi tất cả những ý tưởng rời rạc đó thành một chiến lược nhất quán, chúng ta sẽ sử dụng khung Thẻ điểm cân bằng.
Hãy sử dụng các khung chiến lược kinh doanh đã đề cập và các báo cáo nghiên cứu được tham chiếu từ đầu để tạo ra một ví dụ về chiến lược an ninh dữ liệu.
Khía cạnh Tài chính. Ước tính Tác động Tài chính của Bảo mật Dữ liệu
Các KPI Tài chính cho bảo mật dữ liệu là điều cần thiết khi trình bày sáng kiến bảo mật cho các bên liên quan. Bài trình bày sẽ ấn tượng hơn khi có thể cung cấp các tiêu chuẩn ngành liên quan.
Báo cáo của Verizon và báo cáo của IBM (thực hiện bởi Viện Ponemon) chia sẻ một số thông tin chi tiết trong bối cảnh này. Đôi khi, dữ liệu lại trái ngược. Ví dụ, bạn sẽ thấy rằng chi phí của một sự cố dữ liệu vi phạm trên mỗi hồ sơ có thể thay đổi đáng kể. Báo cáo của IBM đưa ra mức từ $150-$175, trong khi theo báo cáo của Verizon (xem Báo cáo Điều tra Vi phạm Dữ liệu, 2015), con số này khoảng $0.58. Ken Spinner đã chia sẻ một số giải thích về chủ đề này trên TeachBeacon.
Thẻ điểm Bảo mật Dữ liệu. Làm thế nào bạn có thể ước tính chi phí vi phạm dữ liệu trong trường hợp của tổ chức của bạn?
Nó có thể dựa trên chi phí trực tiếp và gián tiếp:
- Chi phí trực tiếp bao gồm chi phí phân tích pháp lý, tiền phạt, bồi thường cho khách hàng.
- Chi phí gián tiếp liên quan đến việc mất khách hàng hiện tại và tiềm năng, nhân viên, đối tác do vi phạm dữ liệu.
Trên thẻ điểm bảo mật dữ liệu, chúng ta có thể lấy một số tiêu chuẩn từ các nghiên cứu của Ponemon hoặc Verizon cho chỉ số chi phí vi phạm dữ liệu trên mỗi hồ sơ và nhân nó với số lượng hồ sơ có nguy cơ.
Để thực hiện các tính toán, chúng ta sẽ cần có một số dữ liệu kinh doanh cơ bản:
- Giá trị vòng đời khách hàng (LTV)
- Ước tính sự rời bỏ khách hàng do vi phạm dữ liệu
- Số lượng khách hàng
- Số lượng hồ sơ có nguy cơ
- Khách hàng tiềm năng bị mất
Thẻ điểm Bảo mật Dữ liệu. Tương ứng, tác động trực tiếp của một vi phạm dữ liệu có thể được tính toán như sau:
- Chi phí vi phạm dữ liệu (chi phí trực tiếp) = Chi phí vi phạm dữ liệu trên mỗi hồ sơ * Số lượng hồ sơ có nguy cơ
Đối với chi phí gián tiếp, một cách để định lượng chúng là sử dụng tỷ lệ rời bỏ khách hàng do vi phạm dữ liệu và LTV:
- Chi phí rời bỏ khách hàng = [Số lượng khách hàng]*[LTV]*[Sự rời bỏ khách hàng do vi phạm dữ liệu]/100
Ngoài ra, bạn có thể ước tính số lượng khách hàng tiềm năng không ký hợp đồng.
- Chi phí cơ hội bị mất = [Khách hàng tiềm năng bị mất] * [LTV]
Khía cạnh Khách hàng. Định lượng Rủi ro An ninh.
Đối với khía cạnh khách hàng, mục tiêu chính được đưa ra là:
- Giảm thiểu rủi ro an ninh dữ liệu và bảo vệ dữ liệu
Thẻ điểm An ninh Dữ liệu. Điều này được xác định bởi các chỉ số sau:
- Chỉ số dẫn dắt Phát hiện sớm và phản ứng nhanh với rủi ro dữ liệu là kết quả của các mục tiêu từ Khía cạnh Nội bộ
- Chỉ số dẫn dắt Khả năng Sẵn sàng Bảo vệ Dữ liệu
- Chỉ số trễ Chỉ số trọng lượng rủi ro
Logic ở đây là tổ chức làm việc trên các hệ thống an ninh nội bộ (được định lượng bằng phát hiện sớm và phản ứng nhanh với rủi ro dữ liệu) và đưa ra các biện pháp bảo vệ dữ liệu cần thiết (được định lượng bằng Khả năng Sẵn sàng Bảo vệ Dữ liệu) để giảm thiểu tốt hơn rủi ro an ninh dữ liệu như được định lượng bởi Chỉ số trọng lượng rủi ro.
- Khi xây dựng chiến lược an ninh dữ liệu, hãy đảm bảo đội ngũ của bạn hiểu sự khác biệt giữa các chỉ số cho các yếu tố thành công (chỉ số dẫn dắt) và các chỉ số cho các kết quả dự kiến (chỉ số trễ).
Hãy thảo luận chi tiết về các chỉ số từ khía cạnh Khách hàng.
Chỉ số Rủi ro có Trọng số
Mục tiêu của chỉ số này là định lượng mức độ rủi ro hiện tại mà tổ chức đang đối mặt. Để làm điều này, chúng ta sẽ định lượng số sự cố rò rỉ dữ liệu được phân loại theo mức độ tác động của chúng:
- Sự kiện rủi ro nghiêm trọng, trọng số 70%
- Sự kiện rủi ro quan trọng, trọng số 20%
- Sự kiện rủi ro mức trung bình, trọng số 7%
- Sự kiện rủi ro mức thấp, trọng số 3%
Như bạn có thể thấy, một thang trọng số phi tuyến tính đã được áp dụng. Với mô hình này, các sự cố rò rỉ dữ liệu nghiêm trọng có tác động cao nhất đến chỉ số, trong khi các sự kiện mức thấp có tác động thấp.
Thẻ điểm Bảo mật Dữ liệu. Cách tiếp cận này giải quyết vấn đề thao túng hệ thống đo lường khi chỉ số kiểm soát được chuyển sang vùng xanh bằng cách giải quyết các vấn đề ít quan trọng hơn. Tuy nhiên, chúng ta cần đảm bảo rằng các sự kiện rủi ro được phân loại chính xác.
Nếu bạn quan tâm đến việc tìm hiểu thêm về cách tính toán các chỉ số và xét đến trọng số của các chỉ số, hãy xem bài viết tương ứng trên trang web của chúng tôi.
Đo lường Bảo vệ Dữ liệu hoặc Quyền riêng tư Dữ liệu
Như đã giải thích trước đây, bảo vệ dữ liệu liên quan đến việc sử dụng Đúng đắn và hợp pháp Thông tin Nhận diện Cá nhân (PII) và dữ liệu tương tự.
Các biện pháp bảo vệ trong trường hợp này được quy định rõ ràng bởi luật pháp áp dụng. Ở Châu Âu, đó là GDPR; ở Hoa Kỳ, có các luật khác nhau tùy thuộc vào lĩnh vực kinh doanh, như CCPA, HIPPA, PCI DSS, GLBA.
Thẻ điểm An ninh Dữ liệu. Nếu chúng ta lấy GDPR làm ví dụ, từ góc độ đo lường, bảo vệ dữ liệu có thể được theo dõi bằng một chỉ số chỉ số, Chỉ số Sẵn sàng Bảo vệ Dữ liệu, được tính toán bằng các chỉ số (chủ yếu là nhị phân) như:
- Chỉ định cán bộ bảo vệ dữ liệu
- Theo dõi sự đồng ý rõ ràng
- Thủ tục báo cáo vi phạm dữ liệu
- Quyền truy cập, chỉnh sửa, xóa bỏ được thực hiện
- Quyền chuyển dữ liệu
Các chỉ số này có thể được chi tiết hơn vào các trường hợp cụ thể nhất áp dụng cho tổ chức, sản phẩm và dịch vụ của nó.
Để đảm bảo tuân thủ quy định, các chỉ số này, cũng như các yêu cầu pháp lý, nên được xem xét định kỳ. Điều này có thể được tự động hóa bằng chức năng khoảng thời gian cập nhật cho chỉ số tương ứng. Xem phần Tự động hóa bên dưới để biết các ví dụ cụ thể hơn.
Khía cạnh Nội bộ. Cách giảm thiểu rủi ro bảo mật dữ liệu
Để tìm ra các mục tiêu và chỉ số hiệu suất cho khía cạnh nội bộ, chúng ta cần thực hiện phân tích nguyên nhân gốc rễ và xem xét các điểm rủi ro/chi phí đã tìm thấy.
Các phát hiện sẽ phụ thuộc vào lĩnh vực kinh doanh và hệ thống kinh doanh của một tổ chức cụ thể. Tuy nhiên, có một số xu hướng chung đã được nhấn mạnh trong các báo cáo của IBM Security và Verizon. Chúng ta sẽ sử dụng những phát hiện đó để xây dựng mục tiêu và KPI cho khía cạnh nội bộ của thẻ điểm.
Thẻ điểm Bảo mật Dữ liệu. Phát hiện sớm và phản hồi nhanh với các rủi ro dữ liệu
Nếu xảy ra vi phạm dữ liệu, phản hồi nhanh chóng về mặt phát hiện và ứng phó sẽ giảm đáng kể chi phí.
Trên thẻ điểm, điều này được định lượng bằng hai chỉ số trễ:
- Thời gian trung bình để phát hiện
- Thời gian trung bình để phản hồi
Các chỉ số trễ định lượng những gì đã xảy ra. Làm thế nào để một tổ chức có thể ảnh hưởng đến các chỉ số này? Các báo cáo tương tự đề xuất một số hành động thường dẫn đến phản hồi an ninh dữ liệu tốt hơn.
Thẻ điểm bảo mật dữ liệu. Trên mẫu thẻ điểm, bạn sẽ tìm thấy hai bản ghi liên kết với mục tiêu Phát hiện sớm và phản hồi nhanh:
- Thành lập đội ứng phó sự cố. Bản ghi này được đánh dấu là yếu tố thành công. Theo báo cáo của IBM Security, đây là một trong những nguyên nhân gốc rễ của việc giảm thiểu tác động của vi phạm dữ liệu.
- Phát hiện truy cập dữ liệu có rủi ro cao. Với sáng kiến này, nhóm của bạn có thể ưu tiên nỗ lực của họ theo tác động của các loại truy cập dữ liệu nhất định. Nếu bạn đang tìm kiếm một phương pháp tiếp cận có hệ thống hơn để ưu tiên, hãy xem bài viết về khung ưu tiên.
Có thêm hai chỉ số dẫn dắt khác trong bối cảnh của mục tiêu Phát hiện sớm và phản hồi nhanh. Cả hai đều dựa trên những phát hiện của các báo cáo an ninh dữ liệu đã đề cập ở trên:
- Xây dựng kế hoạch giảm thiểu rủi ro
- Giảm độ phức tạp của IT
Hãy thảo luận chi tiết về chúng.
Phát triển một kế hoạch giảm thiểu rủi ro
Có một kế hoạch giảm thiểu rủi ro là một yếu tố thành công của việc phản ứng nhanh hơn với vi phạm dữ liệu.
Làm thế nào để chúng ta đảm bảo rằng kế hoạch hiện có cho bảo mật dữ liệu là tốt?
Nó nên dựa trên một mô hình rủi ro cập nhật phản ánh cách dữ liệu được quản lý trong tổ chức. Trên thẻ điểm chiến lược, điều này được định lượng bằng các cuộc kiểm toán bảo mật dữ liệu thường xuyên chỉ số dẫn dắt được giải thích trong các khía cạnh Học hỏi và Phát triển.
Làm thế nào để chúng ta biết rằng kế hoạch ứng phó rủi ro được đề xuất thực sự hiệu quả?
Cùng với những cập nhật thường xuyên của kế hoạch rủi ro, chúng ta có thể kiểm tra việc áp dụng kế hoạch đã phát triển trong thực tế. Điều này được định lượng bằng chỉ số trễ, Kiểm tra ứng phó sự cố.
Giảm độ phức tạp của CNTT và dữ liệu
Các nghiên cứu thực nghiệm nêu tên một số yếu tố khác giúp giảm thiểu chi phí vi phạm dữ liệu, chẳng hạn như:
- Độ phức tạp của hạ tầng CNTT
- Độ phức tạp của sơ đồ dữ liệu
- Tự động hóa
Trên sơ đồ chiến lược, chúng tôi đã xây dựng các yếu tố này trong mục tiêu Giảm độ phức tạp của CNTT và dữ liệu.
Thẻ điểm Bảo mật Dữ liệu. Trong trường hợp này:
- Giảm độ phức tạp của dữ liệu và CNTT là lý do cho mục tiêu
- Giới hạn truy cập vào dữ liệu có giá trị nhất là một trong những yếu tố thành công của việc giảm độ phức tạp của các giải pháp CNTT cần thiết
- Tự động hóa kiểm tra lỗ hổng và tuân thủ là một sáng kiến rộng rãi cho tự động hóa bảo mật CNTT
Cuối cùng, nếu giảm thiểu độ phức tạp được coi là một trong những yếu tố của phản ứng vi phạm dữ liệu tốt hơn, làm thế nào chúng ta có thể định lượng nó?
Câu trả lời là cá nhân và phụ thuộc vào bối cảnh CNTT của tổ chức bạn. Đối với thẻ điểm này, có một ví dụ về Chỉ số độ phức tạp bảo mật dữ liệu được tổng hợp từ các chỉ số như sau:
- Số lượng người dùng có mức truy cập cao nhất. Chức năng tối ưu hóa cho chỉ số này được đặt là “Giảm thiểu tuyến tính,” vì việc giảm số lượng người dùng có quyền truy cập vào dữ liệu nhạy cảm sẽ cải thiện hiệu suất tổng thể của chỉ số.
- Thời gian để hủy kích hoạt thông tin đăng nhập. 7% vi phạm dữ liệu có nguyên nhân gốc rễ từ một người bên trong độc hại. Hủy kích hoạt thông tin đăng nhập nhanh là một trong những biện pháp bảo mật CNTT có thể giảm phần trăm này. Khoảng thời gian chấp nhận được trong trường hợp này là rất ngắn. Để phản ánh ý tưởng này trên thẻ điểm, chức năng tối ưu hóa cho chỉ số này là suy giảm theo hàm mũ.
Thẻ điểm Bảo mật Dữ liệu. - % dữ liệu nhạy cảm được kiểm soát bởi phần mềm DLP. Các giải pháp ngăn chặn mất dữ liệu là một trong những cách để tự động hóa bảo mật CNTT. Miễn là các tổ chức xử lý dữ liệu mới, việc xem xét lại các mô hình dữ liệu thường xuyên để đảm bảo rằng dữ liệu nhạy cảm có thể truy cập được bởi các công cụ DLP (Ngăn chặn Mất Dữ liệu) là quan trọng.
- Mã hóa và sao lưu dữ liệu tự động. Tương tự với chỉ số trước đó, chúng tôi quan tâm đến việc có một mô hình dữ liệu cập nhật và đảm bảo rằng dữ liệu nhạy cảm được quản lý đúng cách.
- % phần mềm bảo mật cập nhật. Chỉ số này trông có vẻ đơn giản, nhưng các nghiên cứu cho thấy một câu chuyện khác. Nguyên nhân gốc rễ của 16% vi phạm dữ liệu là lỗ hổng trong phần mềm của bên thứ ba. Các nhà cung cấp phần mềm thường xuyên phát hành các bản cập nhật để vá các lỗ hổng. Cài đặt các bản cập nhật mới nhất là một trong những yếu tố thành công của việc giảm thiểu rủi ro bảo mật.
- Phạm vi tự động hóa, % chỉ số so sánh mức độ tự động hóa có thể đạt được với mức độ tự động hóa hiện tại. Tự động hóa cao hơn giảm thiểu tác động của các yếu tố con người và giảm độ phức tạp cho các bên liên quan.
Thẻ điểm Bảo mật Dữ liệu. Đây chỉ là ví dụ của một số chỉ số có thể định lượng được độ phức tạp trong trường hợp bảo mật dữ liệu. Một cách tiếp cận mạnh mẽ hơn đối với độ phức tạp nên bao gồm một phân tích sâu hơn về các bên liên quan, tìm kiếm các điểm phức tạp xấu và xây dựng chiến lược giảm thiểu độ phức tạp. Trong bài viết trước, chúng tôi đã thảo luận về các chỉ số độ phức tạp và các cách áp dụng chúng trong thực tế.
Khía cạnh Học hỏi và Phát triển
Trong khía cạnh này, chúng tôi có hai mục tiêu lớn:
- Mục tiêu kiểm tra an ninh dữ liệu định kỳ giúp tập trung vào cơ sở hạ tầng phù hợp cho an ninh dữ liệu.
- Mục tiêu đào tạo nhân viên về an ninh dữ liệu tập trung vào việc cung cấp cho đội ngũ của bạn kiến thức và kỹ năng cập nhật cần thiết để ngăn chặn vi phạm dữ liệu hoặc giảm thiểu tác động của chúng.
Thẻ điểm An ninh Dữ liệu. Hãy xem cách các mục tiêu này được hình thành trên sơ đồ chiến lược.
Kiểm toán bảo mật dữ liệu thường xuyên
Chúng tôi có một lý do Phân tích rủi ro an ninh mạng liên kết với mục tiêu. Những rủi ro an ninh mạng điển hình là gì? Trong phần mô tả lý do, chúng tôi có một số ví dụ:
- Các cuộc tấn công mạng
- Ransomware
- Malware
- Mối đe dọa từ nội bộ
- Mất/cướp thông tin đăng nhập
- Truy cập trái phép
- Mất dữ liệu
- Hỏng dữ liệu
Thẻ điểm An ninh Dữ liệu. Có một giả thuyết, Làm việc từ xa ảnh hưởng đến an ninh dữ liệu liên kết với mục tiêu. Đối với nhiều tổ chức, làm việc từ xa là một phần của chiến lược chống khủng hoảng để phản ứng với Covid-19.
Có hai chỉ số dẫn dắt:
- Phân tích rủi ro thường xuyên – phân tích tổng quát các rủi ro mới
- Đánh giá thường xuyên rủi ro dữ liệu nhạy cảm – phân tích cụ thể hơn trong bối cảnh dữ liệu nhạy cảm
Cả hai chỉ số đều được cấu hình để cập nhật theo hàng quý.
Thẻ điểm An ninh Dữ liệu. Có một số chỉ số giúp định lượng nỗ lực của đội ngũ bảo mật trong việc phân tích tình hình rủi ro hiện tại và học hỏi từ đó:
- Quét lỗ hổng bảo mật – thường do đội ngũ IT thực hiện tự động
- Kiểm tra thâm nhập (pen test) – một mô phỏng của cuộc tấn công mạng
- Kiểm tra đội đỏ – kiểm tra bảo mật trên quy mô lớn hơn với sự tham gia của nhiều người hơn
Các KPI tương ứng được cấu hình cho các khoảng thời gian cập nhật khác nhau:
- Quét lỗ hổng bảo mật tự động có thể thực hiện hàng tuần hoặc hàng tháng.
- Tùy thuộc vào mô hình rủi ro, kiểm tra thâm nhập có thể thực hiện hàng quý.
- Cuối cùng, chỉ số cho kiểm tra đội đỏ yêu cầu nhiều nguồn lực nhất được cấu hình để cập nhật nửa năm hoặc hàng năm.
Các quy trình phân tích và kiểm tra rủi ro được thiết kế để phát hiện các điểm yếu trong hệ thống bảo mật. Làm thế nào để chúng ta biết rằng những kết quả từ các mô phỏng và kiểm tra đó được thực hiện hiệu quả? Để tìm câu trả lời cho câu hỏi này, chúng ta có thể theo dõi:
- Số lượng vi phạm dữ liệu lặp lại chỉ số.
Nếu vi phạm dữ liệu cùng loại xảy ra lặp lại, đó là dấu hiệu cho thấy kế hoạch giảm thiểu rủi ro do đội ngũ bảo mật đề xuất không hiệu quả như mong đợi.
Đào tạo nhân viên về bảo mật dữ liệu
Yếu tố con người vẫn là một trong những rủi ro cao nhất của bất kỳ hệ thống bảo mật dữ liệu nào. Theo báo cáo của IBM Security, khoảng 36% các vi phạm dữ liệu độc hại có liên quan đến hành vi của con người (lừa đảo, kỹ thuật xã hội, thông tin xác thực bị xâm phạm).
Chiến lược bảo mật dữ liệu có thể được thiết kế như thế nào để giảm thiểu những rủi ro đó một cách hiệu quả?
Một trong những giải pháp là tự động hóa một số hoạt động nhất định và giảm vai trò của người vận hành. Điều này rất phù hợp với mục tiêu Giảm độ phức tạp mà chúng tôi đã thảo luận trong khía cạnh nội bộ.
Thẻ điểm Bảo mật Dữ liệu. Đối với các trường hợp còn lại, nơi mà tự động hóa không thể thực hiện hoặc không khả thi, giáo dục là câu trả lời. Làm thế nào để tập trung nỗ lực giáo dục trong bối cảnh bảo mật dữ liệu? Chúng ta có thể sử dụng cặp chỉ số dẫn dắt và chỉ số trễ!
- Chỉ số dẫn dắt: Tỷ lệ thâm nhập đào tạo bảo mật dữ liệu có thể được sử dụng để theo dõi phạm vi đào tạo nhận thức về bảo mật dữ liệu, nơi mà người tham gia có thể học, ví dụ, về các phương thức lừa đảo và cách tránh chúng.
- Chỉ số trễ tốt nhất trong trường hợp này nên tập trung vào tác động cụ thể của việc đào tạo nhận thức. Nếu hiểu biết về các phương thức lừa đảo là một trong những chủ đề của khóa đào tạo, hãy thực hiện một Kiểm tra Lừa đảo và xem liệu nhân viên có thực sự sử dụng những gì đã học từ khóa đào tạo hay không. Điều này có thể được định lượng trên thẻ điểm với chỉ số Tỷ lệ Thành công Kiểm tra Lừa đảo.
Nếu việc giáo dục nhân viên về bảo mật dữ liệu là ưu tiên của bạn hiện nay, thì đội ngũ bảo mật của bạn có thể thiết kế một thẻ điểm đánh giá đào tạo sử dụng mô hình các cấp độ của Kirkpatrick, như đã thảo luận trong bài viết này.
Tự động hóa cho Thẻ điểm An ninh Dữ liệu
Chúng tôi đã thảo luận về một ví dụ về thẻ điểm chiến lược giúp mô tả, triển khai và thực hiện chiến lược an ninh dữ liệu trong tổ chức của bạn.
Thẻ điểm này có sẵn như một trong các mẫu miễn phí trên BSC Designer Online để bạn có thể đăng ký tài khoản với gói miễn phí và bắt đầu tùy chỉnh nó theo nhu cầu của bạn.
Biết tổng chi phí của chiến lược
Chúng tôi đã đề cập rằng một trong những lý do để có một thẻ điểm chiến lược cho bảo mật dữ liệu là nó sẽ giúp dễ dàng trình bày các sáng kiến mới cho các bên liên quan.
Chi phí của chiến lược được đề xuất là một trong những câu hỏi đầu tiên sẽ được đưa ra. Chi phí để thực hiện chiến lược có thể được ước tính là tổng chi phí của tất cả các mục tiêu kinh doanh và các sáng kiến tương ứng của chúng.
Thẻ điểm An ninh Dữ liệu. Nếu bạn sử dụng BSC Designer như một công cụ tự động hóa, bạn sẽ có thể phân bổ ngân sách cho các sáng kiến và kiểm soát việc sử dụng chúng. Phần mềm sẽ có thể tạo một báo cáo chi phí chiến lược để trình bày tổng chi phí dự kiến để thực hiện chiến lược.
Trực quan hóa dữ liệu quan trọng trên các bảng
Một yêu cầu điển hình khác của các bên liên quan là có dữ liệu để đưa ra quyết định đúng đắn (trước đây, chúng ta đã nói về quyết định dựa trên dữ liệu). Bản thân sơ đồ chiến lược đã chứa nhiều dữ liệu. Một cách tiếp cận khác là xây dựng một bảng BI có thể được cấu hình để hiển thị các chỉ số quan trọng nhất và dữ liệu của chúng.
Trong mẫu chiến lược cho bài viết này, chúng tôi có hai bảng (bạn có thể chuyển đổi giữa chúng).
Thẻ điểm An ninh Dữ liệu. Bảng Chỉ số Rủi ro tập trung hoàn toàn vào các chỉ số chỉ số rủi ro mà chúng tôi sử dụng để định lượng tình hình rủi ro hiện tại. Với các biểu đồ của bảng, chúng ta có thể thấy:
- Các rủi ro hiện tại được trực quan hóa trên biểu đồ đồng hồ đo
- Cách chỉ số rủi ro đã thay đổi theo thời gian
- Sự đóng góp của từng chỉ số vào chỉ số rủi ro trên biểu đồ trọng lượng
Thẻ điểm An ninh Dữ liệu. Bảng khác là Chỉ số phức tạp an ninh dữ liệu. Như chúng ta đã thảo luận, những phức tạp xấu của hệ thống an ninh là yếu tố của rủi ro vi phạm dữ liệu cao hơn. Bảng này trực quan hóa trạng thái hiện tại của sự phức tạp được định lượng bởi các chỉ số đã chọn.
Phân tích dữ liệu hiệu suất
Thu thập dữ liệu hiệu suất dưới dạng các KPI là điều mà hầu hết các tổ chức thực hiện thường xuyên. Không quan trọng công cụ tự động hóa nào được sử dụng, có rất nhiều dữ liệu có sẵn.
Câu hỏi luôn là làm thế nào để sử dụng dữ liệu này và chuyển đổi nó thành thông tin có thể thực hiện được. Một số thông tin chi tiết xuất hiện khi nhóm thảo luận về sơ đồ chiến lược hoặc bảng; tìm kiếm các thông tin chi tiết khác có thể được tự động hóa.
Trong ý nghĩa này, chức năng Phân tích trong BSC Designer giúp ích rất nhiều. Dưới đây là một số ví dụ:
- Hầu hết các chỉ số mà chúng tôi đã thảo luận cần được cập nhật thường xuyên. Với phân tích Cập nhật thời gian, bạn có thể tìm thấy các chỉ số cần được cập nhật sớm hoặc những chỉ số không được cập nhật đúng giờ. Điều này cũng có thể được tự động hóa với chức năng Cảnh báo.
- Mỗi chỉ số trên thẻ điểm có trọng số của nó phản ánh tầm quan trọng của chỉ số. Với phân tích Trọng số tuyệt đối, bạn có thể tìm thấy các chỉ số có trọng số cao nhất. Ví dụ, trong ví dụ của chúng tôi, chỉ số Thời gian trung bình để phát hiện có một trong những trọng số cao nhất. Nếu nhóm của bạn cân nhắc thực hiện một số sáng kiến và một trong số đó hứa hẹn sẽ phát hiện vi phạm dữ liệu nhanh hơn, thì ưu tiên cho sáng kiến đó.
- Đôi khi, phát hiện thú vị có thể được tìm thấy chỉ bằng cách nhìn vào cách dữ liệu hiệu suất thay đổi. Tăng hoặc giảm nhanh là dấu hiệu của một số yếu tố mới cần được phân tích. Tại sao chỉ số Sự kiện rủi ro mức trung bình lại giảm 30% – đó có phải là kết quả của một số cập nhật hệ thống nội bộ, hay là vấn đề của báo cáo?
Thẻ điểm An ninh Dữ liệu. Lập sơ đồ lý do, yếu tố thành công và kết quả mong đợi
Trong khóa học lập kế hoạch chiến lược miễn phí, chúng tôi đã thảo luận về tầm quan trọng của việc hiểu bối cảnh kinh doanh của một mục tiêu. Không đủ chỉ để có một mục tiêu được mô tả rõ ràng, mà cần phải hiểu lý do đằng sau nó, các yếu tố thành công và kết quả mong đợi có giá trị cho tổ chức.
Thẻ điểm Bảo mật Dữ liệu. Xem xét mục tiêu Giảm độ phức tạp của CNTT và dữ liệu từ mẫu thẻ điểm:
- Có một bản ghi lý do Giảm độ phức tạp của dữ liệu và CNTT giải thích tại sao mục tiêu này quan trọng: “Độ phức tạp cao của hệ thống phần mềm và hạ tầng dữ liệu là yếu tố rủi ro cho vi phạm dữ liệu.”
- Cũng có một yếu tố thành công của việc giảm độ phức tạp – Giới hạn quyền truy cập vào dữ liệu có giá trị nhất. Điều này hoàn toàn hợp lý trong bối cảnh của mục tiêu – ít quyền truy cập vào dữ liệu nhạy cảm làm giảm độ phức tạp của sơ đồ dữ liệu và giảm rủi ro vi phạm dữ liệu như một kết quả.
Trong một số trường hợp, chúng ta không có kế hoạch cố định để đạt được điều gì đó, thay vào đó chúng ta đang xử lý một giả thuyết có cơ sở. Người dùng BSC Designer có thể thêm một giả thuyết vào mục tiêu của họ. Trong ví dụ của chúng tôi, có một giả thuyết, Làm việc từ xa đang ảnh hưởng đến bảo mật dữ liệu liên kết với Kiểm toán bảo mật dữ liệu thường xuyên.
Biết được kết quả mong đợi cũng rất quan trọng. Ví dụ, đối với Đào tạo nhân viên về bảo mật dữ liệu, chúng tôi có một kết quả mong đợi gọi là Quản lý dữ liệu có trách nhiệm. Điều này có nghĩa là gì trong thực tế? Làm thế nào để chúng ta định lượng điều này? Những câu hỏi này mở ra cánh cửa cho một cuộc thảo luận thú vị.
Tạo mới sáng kiến với ngân sách, phụ trách và trạng thái
Để lấp đầy khoảng trống giữa lập kế hoạch chiến lược và thực thi, hãy sử dụng các sáng kiến cho các mục tiêu. Hãy xem xét sáng kiến Tự động hóa kiểm tra lỗ hổng và tuân thủ được liên kết với Giảm độ phức tạp của IT và dữ liệu.
Thẻ điểm An ninh Dữ liệu. - Chính xác thì đội của bạn sẽ thực hiện sáng kiến này như thế nào? Sử dụng trường mô tả để thêm kế hoạch hành động chi tiết.
- Nó được liên kết với các kế hoạch giảm thiểu rủi ro khác như thế nào? Sử dụng phần tài liệu để liên kết với các nguồn tài nguyên liên quan. Trong ví dụ của chúng tôi, chúng tôi đã liên kết đến ví dụ thẻ điểm IT.
- Ai là người chịu trách nhiệm cho sáng kiến này? Phân công phụ trách để họ nhận được thông báo khi có điều gì liên quan xảy ra.
- Trạng thái hiện tại của sáng kiến là gì? Cập nhật trạng thái cùng với tiến độ của đội bạn làm việc trên sáng kiến.
- Bạn có thể theo dõi tiến độ trong bối cảnh của sáng kiến này như thế nào? Trong ví dụ của chúng tôi, chúng tôi đã liên kết nó với chỉ số phạm vi tự động hóa, % tạo thành chỉ số độ phức tạp an ninh dữ liệu.
Phiên: 'Giới thiệu về Thẻ điểm cân bằng bởi BSC Designer' có sẵn như một phần của chương trình học tập liên tục của BSC Designer, được cung cấp dưới dạng hội thảo trực tuyến và tại chỗ. Tìm hiểu thêm....
Kết luận
Trong bài viết này, chúng tôi thảo luận về một ví dụ về chiến lược bảo mật dữ liệu. Dưới đây là những ý tưởng quan trọng nhất mà chúng tôi đã thảo luận:
- Có những yếu tố rủi ro đã biết của vi phạm dữ liệu, cũng như những cách chứng minh để giảm thiểu tác động của sự cố bảo mật.
- Giúp các bên liên quan của bạn hiểu chi phí trực tiếp và gián tiếp của vi phạm dữ liệu.
- Tập trung chiến lược của bạn vào việc phát hiện sớm các vấn đề và phản ứng nhanh chóng.
- Có một kế hoạch giảm thiểu rủi ro và đội ngũ phản ứng để giảm thiểu tác động của vi phạm dữ liệu.
- Giảm sự phức tạp xấu của hệ thống CNTT và các sơ đồ dữ liệu.
- Cập nhật các mô hình rủi ro thường xuyên, kiểm tra môi trường bảo mật của bạn.
- Yếu tố con người là một trong những điểm rủi ro – giáo dục đội ngũ của bạn, chú ý đến những thay đổi trong hành vi, không chỉ là điểm số trong các kỳ thi chính thức.
Tiếp theo là gì? Một chiến lược an ninh mạng tốt được tùy chỉnh theo nhu cầu của tổ chức của bạn. Sử dụng mẫu chiến lược bảo mật được thảo luận trong bài viết này làm điểm bắt đầu để xây dựng chiến lược bảo mật dữ liệu của riêng bạn. Hãy tự do chia sẻ những thách thức và phát hiện của bạn trong phần bình luận.
Ví dụ ứng dụng trong lĩnh vực an ninh mạng
Tìm hiểu cách các chuyên gia kinh doanh sử dụng nền tảng BSC Designer để giải quyết và tự động hóa các thách thức liên quan đến chiến lược an ninh mạng.
Sử dụng Mẫu Thẻ điểm An ninh và Bảo vệ Dữ liệu
BSC Designer giúp các tổ chức thực hiện chiến lược phức tạp của họ:
- Đăng ký gói miễn phí trên nền tảng.
- Sử dụng mẫu
Thẻ điểm An ninh và Bảo vệ Dữ liệu làm điểm khởi đầu. Bạn sẽ tìm thấy nó trong Mới > Thẻ điểm mới > Nhiều mẫu hơn. - Tuân theo Hệ thống Thực hiện Chiến lược của chúng tôi để liên kết các bên liên quan và tham vọng chiến lược thành một chiến lược toàn diện.
Bắt đầu ngay hôm nay và xem BSC Designer có thể đơn giản hóa việc thực hiện chiến lược của bạn như thế nào!
- Báo cáo Chi phí Vi phạm Dữ liệu. 2020, IBM Security ↩
- Báo cáo Điều tra Vi phạm Dữ liệu 2020, 2020, Verizon ↩
- Khảo sát An ninh Thông tin Toàn cầu, 2020, EY ↩
- Báo cáo M-TRENDS, 2020, FireEye ↩
Alexis Savkin là Chuyên gia Tư vấn Chiến lược Cấp cao và là Giám đốc điều hành của BSC Designer, một nền tảng Thẻ điểm cân bằng. Ông có hơn 20 năm kinh nghiệm trong lĩnh vực này, với nền tảng toán học ứng dụng và công nghệ thông tin. Alexis là tác giả của “Hệ thống Triển khai Chiến lược”. Ông đã xuất bản hơn 100 bài viết về chiến lược và đo lường hiệu suất, thường xuyên phát biểu tại các sự kiện ngành, và công trình của ông thường xuyên được trích dẫn trong các nghiên cứu học thuật.