1) Ưu Tiên Các Yếu Tố Rủi Ro Cần Được Giảm Thiểu Rủi Ro (Prioritizing Risk Elements

That Require Risk Mitigation)

Xác Định và Ưu Tiên Rủi Ro (Identifying and Prioritizing Risks)

 Rủi ro xảy ra khi các mối đe dọa khai thác lỗ hổng.

 Xác định tầm quan trọng của rủi ro bằng cách ước tính khả năng xảy ra và tác động.
 Rủi ro có khả năng xảy ra cao và tác động lớn là quan trọng nhất.
 Rủi ro có khả năng xảy ra thấp và tác động tối thiểu là ít quan trọng nhất.

Sử Dụng Ma Trận Đe Dọa/Khả Năng-Tác Động (Using a Threat/Likelihood-Impact Matrix)

 Các mối đe dọa ảnh hưởng đến tính bảo mật, toàn vẹn hoặc khả năng sẵn có.
 Đánh giá mức độ nghiêm trọng bằng cách xác định khả năng và tác động.
 Khả năng xảy ra được phân loại thành 0-10%, 11-50% và 51-100%.
 Tác động được phân loại thành thấp, trung bình và cao.
 Ma trận giúp ưu tiên các mối đe dọa dựa trên điểm số của chúng.

Ưu Tiên Các Biện Pháp Đối Phó (Prioritizing Countermeasures)

 Sử dụng ma trận để ưu tiên các rủi ro và biện pháp đối phó.

 Điểm số cao hơn chỉ ra rủi ro ưu tiên cao hơn.
 Các biện pháp đối phó hiện tại ảnh hưởng đến việc đánh giá rủi ro.

Ví Dụ (example)

 Khả năng cao, tác động lớn: Không có phần mềm diệt virus (Điểm: 100).
 Khả năng thấp, tác động nhỏ: Đã cài đặt phần mềm diệt virus (Điểm: 1).

Điểm Số Linh Hoạt (Flexible Scoring)

 Giá trị có thể điều chỉnh (ví dụ: tác động thấp = 0, khả năng cao = 90%).
 Có thể sử dụng hơn ba điểm dữ liệu và các tên khác nhau.

Ví Dụ Về Ưu Tiên Mối Đe Dọa (Threat Prioritization Example)

 Tấn công vào máy chủ DMZ: Khả năng cao (100%), tác động trung bình (50) = 50.
 Mất dữ liệu trên máy chủ cơ sở dữ liệu: Khả năng trung bình (50%), tác động cao
(100) = 50.
 Mất dữ liệu do hỏa hoạn: Khả năng thấp (10%), tác động cao (100) = 10.
 Nhiễm phần mềm độc hại: Khả năng thấp (10%), tác động thấp (10) = 1.

Giải Quyết Các Mối Đe Dọa Ưu Tiên Cao (Addressing High-Priority Threats:)

 Máy chủ DMZ: Cập nhật thường xuyên để khắc phục lỗ hổng.
  Máy chủ cơ sở dữ liệu: Thực hiện các kế hoạch sao lưu đáng tin cậy và kiểm tra khôi
phục.

Kiểm Tra Khôi Phục Dữ Liệu Như Một Phần Của Kế Hoạch Sao Lưu (Test Restores as Part
of Backup Plans):

 Kiểm tra khôi phục dữ liệu định kỳ đo lường hiệu quả sao lưu.
 Các vấn đề (ví dụ: băng cũ, ổ băng lỗi, quy trình sai) có thể được phát hiện sớm.
 Mục tiêu là đạt tỷ lệ thành công trên 95% trong các lần kiểm tra khôi phục.

Tương Tác Con Người Trong Đánh Giá Rủi Ro (Human Interaction in Risk Assessment):

 Điểm số hướng dẫn ưu tiên nhưng không tuyệt đối.

 Các mối đe dọa có tác động cao có thể được giải quyết sớm hơn mặc dù điểm số thấp
hơn.
 Ví dụ về biện pháp đối phó: Lưu trữ bản sao băng sao lưu ở nơi khác để phòng rủi ro hỏa
hoạn.

2) Xác Minh Các Yếu Tố Rủi Ro và Cách Giảm Thiểu Các Rủi Ro Này(Verifying Risk Elements and
How These Risks Can Be Mitigated)

Tổng Quan(Overview)

 Tầm Quan Trọng của Việc Xác Minh: Đánh giá rủi ro là tại một thời điểm; việc xác
minh đảm bảo các mối đe dọa và lỗ hổng vẫn còn phù hợp.
 Nhu Cầu Xác Minh: Nếu đã qua thời gian dài kể từ khi đánh giá, hãy xác nhận xem các
mối đe dọa và lỗ hổng còn tồn tại và các biện pháp đối phó vẫn còn hiệu quả.

Quy Trình Xác Minh(Verification Process)

 Các Bước Giống Như Đánh Giá: Sử dụng các phương pháp như quét lỗ hổng và kiểm
tra xâm nhập.
 Ví Dụ: Chạy lại các quét lỗ hổng và kiểm tra để xác nhận các vấn đề như lỗ hổng SQL
injection còn tồn tại.
 Thời Gian: Thực hiện kế hoạch giảm thiểu nhanh chóng giảm bớt nhu cầu tái xác minh.

Điều Kiện Thay Đổi (Changing Conditions)

 Thay Đổi Tiềm Năng: Các lỗ hổng có thể được các nhà phát triển khắc phục bằng các
kỹ thuật lập trình đơn giản.
 Tái Đánh Giá: Phỏng vấn các nhà phát triển để hiểu các hành động đã thực hiện và đánh
giá hiệu quả của giải pháp.
 Phát Triển Chính Sách: Nếu hiệu quả, đề xuất giải pháp làm biện pháp đối phó chuẩn
và viết chính sách để thực thi.
Hiệu Quả Chi Phí (Cost-Effectiveness)

 Tránh Chi Tiêu Không Cần Thiết: Không chi tiền cho biện pháp đối phó nếu rủi ro
không còn.
 Giải Pháp Ví Dụ: Sử dụng stored procedures để ngăn chặn các cuộc tấn công SQL
injection.

Những Điểm Chính Cho Bài Thuyết Trình (Key Takeaways for Presentation)

1. Xác Minh Các Yếu Tố Rủi Ro: Đảm bảo các mối đe dọa và lỗ hổng hiện tại.
2. Sử Dụng Các Phương Pháp Đánh Giá: Chạy lại các quét và kiểm tra nếu cần.
3. Tái Đánh Giá Giải Pháp: Kiểm tra các hành động của nhà phát triển và hiệu quả của
giải pháp.
4. Thực Hiện Các Biện Pháp Hiệu Quả: Đề xuất và thực thi các giải pháp hiệu quả thông
qua chính sách.
5. Tránh Chi Phí Không Cần Thiết: Đảm bảo biện pháp đối phó vẫn cần thiết trước khi
chi tiêu.

Cách tiếp cận này đảm bảo rằng kế hoạch giảm thiểu rủi ro vẫn phù hợp và hiệu quả trong việc
đối phó với các mối đe dọa và lỗ hổng hiện tại.

3) Phân Tích Chi Phí-Lợi Ích Đối Với Các Yếu Tố Rủi Ro Đã Xác Định ( Performing a
Cost-Benefit Analysis on the Identified Risk Elements)

Mục Đích(Purpose)

 Xác Định Hiệu Quả Của Biện Pháp: Nếu lợi ích của biện pháp đối phó lớn hơn chi phí,
biện pháp đó mang lại lợi ích; ngược lại, nếu chi phí lớn hơn lợi ích, biện pháp đó không
mang lại lợi ích.

Quy Trình Tính Toán(Calculation Process:)

 Xác Định Tổn Thất Trước và Sau Khi Áp Dụng Biện Pháp:
o Lợi Ích Dự Kiến: Tổn thất trước biện pháp - Tổn thất sau biện pháp = Lợi ích dự
kiến.
o Giá Trị Biện Pháp: Lợi ích dự kiến - Chi phí biện pháp = Giá trị biện pháp.
 Đánh Giá Rủi Ro Định Lượng: Sử dụng ước tính mất mát hàng năm (ALE) như tổn
thất trước biện pháp.

Xác Định Chi Phí và Lợi Ích(Identifying Costs and Benefits)

 Giá Trị Cụ Thể: Xác định cả giá trị hữu hình và vô hình.
 Thời Gian Thực Hiện: Thực hiện CBA chỉ với các biện pháp có chi phí đáng kể (ví dụ:
hệ thống cluster dự phòng) thay vì các biện pháp ít chi phí (ví dụ: viết script).
Báo Cáo CBA(CBA Report)

 Định Dạng Nhất Quán: Sử dụng cùng phương pháp và định dạng để dễ so sánh.
 Các Yếu Tố Cần Có:
o Biện Pháp Được Đề Xuất: Chi tiết cụ thể về biện pháp.
o Rủi Ro Cần Giảm Thiểu: Chi tiết về mối đe dọa/lỗ hổng, khả năng và tác động.
o Lợi Ích Dự Kiến Hàng Năm: Tính toán lợi ích trực tiếp và gián tiếp.
o Chi Phí Ban Đầu: Chi phí mua sắm và chi phí gián tiếp (đào tạo, điều chỉnh môi
trường).
o Chi Phí Hàng Năm: Chi phí duy trì liên tục.
o So Sánh Chi Phí và Lợi Ích: So sánh chi phí và lợi ích để xác định giá trị.
o Khuyến Nghị: Đề xuất biện pháp nếu mang lại lợi ích.

Tóm Tắt Cho Bài Thuyết Trình(Summary for Presentation)

1. Mục Đích CBA: Xác định hiệu quả chi phí của biện pháp đối phó.
2. Quy Trình Tính Toán: Xác định tổn thất trước và sau khi áp dụng biện pháp, và tính
toán giá trị biện pháp.
3. Xác Định Chi Phí và Lợi Ích: Xác định giá trị hữu hình và vô hình.
4. Báo Cáo CBA: Định dạng nhất quán với các yếu tố cần có như biện pháp đề xuất, rủi ro
cần giảm thiểu, lợi ích dự kiến, chi phí ban đầu và hàng năm, so sánh chi phí và lợi ích,
khuyến nghị.
5. Lợi Ích và Khuyến Nghị: Đề xuất biện pháp nếu mang lại lợi ích, tránh chi phí không
cần thiết.

4) Thực hiện Kế hoạch Giảm thiểu Rủi ro(Implementing a Risk Mitigation Plan)

Bước tiếp theo là thực hiện kế hoạch giảm thiểu rủi ro, bao gồm triển khai các biện pháp đối phó.
Mục tiêu chính khi thực hiện kế hoạch này là giữ cho chi phí trong ngân sách và hoàn thành
đúng lịch trình.

Giữ trong ngân sách(Staying Within Budget): Nếu việc lập kế hoạch trước đã xác định tất cả
chi phí, dự án sẽ suôn sẻ. Tuy nhiên, nếu bỏ sót chi phí, bạn có thể gặp các vấn đề sau:

 Chi phí mua ban đầu: Thiết bị như máy chủ trong cụm dự phòng có yêu cầu kỹ thuật
đặc thù, nếu mua máy chủ rẻ hơn nhưng không đáp ứng yêu cầu, có thể phát sinh vấn đề
và chi phí kiểm tra hoặc thay thế.
 Chi phí cơ sở vật chất: Máy chủ mới có thể không phù hợp với không gian hiện tại, có
thể gây quá tải nguồn điện hoặc làm nóng phòng, gây hỏng hóc thiết bị hiện có.
 Chi phí cài đặt: Nếu nhân viên nội bộ thiếu chuyên môn, cần thuê chuyên gia, gây thêm
chi phí và trì hoãn dự án.
 Chi phí đào tạo: Nếu nhân viên không biết cách vận hành biện pháp đối phó, thiết bị có
thể không được sử dụng hiệu quả hoặc bị bỏ không.
Bất kỳ chi phí bổ sung nào cũng có thể vượt ngân sách, khiến quản lý xem xét lại giá trị của biện
pháp đối phó. Mỗi lần phát sinh chi phí mới, cần đánh giá lại lợi ích so với chi phí (CBA). Khi
chi phí tăng, giá trị của biện pháp đối phó giảm.

Giữ đúng lịch trình(Staying on Schedule):

Một cân nhắc quan trọng đối với bất kỳ dự án nào là tiến độ. Lập kế hoạch các nhiệm vụ để đảm
bảo chúng diễn ra theo một thứ tự cụ thể. Nếu bất kỳ nhiệm vụ nào bị trì hoãn, nó có thể trì hoãn
các nhiệm vụ khác. Những sự chậm trễ này có thể ảnh hưởng đến ngày thực hiện thực tế

 Milestone Plan Chart (Biểu đồ kế hoạch các mốc quan trọng):

 Biểu đồ này thường sử dụng các điểm mốc quan trọng để đánh dấu các sự kiện hay cột
mốc quan trọng trong dự án.
 Mục đích chính của biểu đồ này là để theo dõi và quản lý các sự kiện hay cột mốc quan
trọng, đảm bảo rằng các hoạt động quan trọng được thực hiện đúng thời gian và đạt chất
lượng.

 Gantt Chart (Biểu đồ Gantt):

 Là một loại biểu đồ hiển thị lịch trình dự án trong đó các hoạt động được biểu diễn trên
một biểu đồ thanh thời gian.
 Mỗi thanh biểu diễn một hoạt động, với chiều dài của thanh tương ứng với thời gian cần
thiết để hoàn thành hoạt động đó.
 Biểu đồ Gantt cho phép quản lý dự án xem được thời gian bắt đầu, kết thúc của từng hoạt
động và mối quan hệ giữa chúng, giúp trong việc lập kế hoạch, theo dõi tiến độ và phân
bổ tài nguyên.

 Critical Path Chart (Biểu đồ đường đi quan trọng):

 Là một phần của phân tích đường đi quan trọng (Critical Path Method - CPM), biểu đồ
này biểu diễn các hoạt động quan trọng nhất và thời gian cần thiết để hoàn thành dự án.
 Đường đi quan trọng là chuỗi các hoạt động liên tiếp nhau mà bất kỳ độ trễ nào trong
chuỗi này sẽ dẫn đến độ trễ cho toàn bộ dự án.
 Biểu đồ đường đi quan trọng giúp xác định các hoạt động mà nếu có độ trễ sẽ ảnh hưởng
đến thời gian hoàn thành dự án và làm nổi bật các hoạt động cần được quản lý và theo dõi
chặt chẽ nhất.

5) Following Up on the Risk Mitigation Plan(Following Up on the Risk Mitigation Plan)

Đảm bảo thực hiện biện pháp đối phó(Ensuring Countermeasures Are Implemented)
 Nhấn mạnh việc sử dụng Kế hoạch Hành động và Các mốc thời gian (POAM) để theo
dõi việc thực hiện các biện pháp đối phó dựa trên đánh giá rủi ro.

Đặc biệt quan trọng là đạt các mốc thời gian hơn là chỉ quan tâm đến ngày hoàn
thành cuối cùng.

Đề cập đến việc sử dụng phần mềm quản lý dự án để theo dõi tiến độ (các chỉ báo
trạng thái màu xanh, vàng, đỏ).

Đảm bảo đã đóng các lỗ hổng bảo mật(Ensuring Security Gaps Have Been Closed)

Tập trung vào việc xác minh rằng các biện pháp đối phó đã triển khai hiệu quả để
giảm thiểu các rủi ro được xác định.

Khuyến khích thực hiện kiểm tra và đánh giá sau khi triển khai để đảm bảo rằng
các biện pháp đối phó hoạt động như mong đợi.

Cung cấp ví dụ như sử dụng quét lỗ hổng để xác định liệu các lỗ hổng bảo mật có
còn mở hay không.

Đề xuất thực hiện các kiểm tra khác nhau như cân bằng tải, thêm máy chủ và
kiểm tra chuyển đổi để xác nhận tính hiệu quả của các biện pháp đối phó.

Tóm lại, đoạn văn nhấn mạnh tính quan trọng của việc theo dõi và đánh giá liên tục để đảm bảo
các nỗ lực giảm thiểu rủi ro hiệu quả và các lỗ hổng bảo mật được định đáng giải quyết.

6) Các phương pháp hay nhất để kích hoạt kế hoạch giảm thiểu rủi ro từ đánh giá rủi ro của
bạn(Best Practices for Enabling a Risk Mitigation Plan from Your Risk Assessment)

 Giữ trong phạm vi (Stay within scope):

 Kế hoạch giảm thiểu rủi ro phải dựa trên đánh giá rủi ro và không nên vượt ra ngoài
phạm vi đánh giá này.
 Quản lý phạm vi giúp kiểm soát chi phí để tránh tăng chi phí không kiểm soát được.

 Làm lại phân tích lợi ích chi phí (Redo CBAs if new costs are identified):

 Khi phát hiện ra chi phí mới, cần làm lại phân tích lợi ích chi phí với số liệu chính xác để
đảm bảo tính toàn vẹn của phương án đối phó.

 Ưu tiên các biện pháp đối phó (Prioritize countermeasures):

 Cần ưu tiên các biện pháp đối phó dựa trên mức độ quan trọng của chúng, thường dùng
ma trận đánh giá mức độ nguy cơ/tác động để xác định ưu tiên.
 Bao gồm các biện pháp đối phó hiện tại trong phân tích (Include current
countermeasures in analysis):

 Khi đánh giá các biện pháp đối phó, cần xem xét các biện pháp hiện tại để đánh giá lại
mức độ tác động của mối đe dọa.

 Kiểm soát chi phí và lịch trình (Control costs and schedule):

 Chi phí phải được kiểm soát để không vượt quá ngân sách đã phân bổ và để không ảnh
hưởng đến phân tích lợi ích chi phí.
 Lịch trình cũng cần được kiểm soát để tránh tăng chi phí khi lịch trình bị trì hoãn, đồng
thời giảm thiểu thời gian mà tổ chức phải đối mặt với rủi ro.

 Theo dõi và đánh giá sau khi triển khai (Follow up):

 Đảm bảo rằng các biện pháp đối phó đã được triển khai theo đúng kế hoạch.
 Xác nhận rằng các biện pháp đối phó giảm thiểu rủi ro như dự kiến.

7) Tóm tắt chương

Chương này đề cập đến nhiều chi tiết mà bạn sẽ cân nhắc khi biến việc đánh giá rủi ro
thành một kế hoạch giảm thiểu rủi ro. Bạn sẽ bắt đầu bằng việc xem xét kỹ lưỡng các
biện pháp đối phó. Điều này thường bao gồm việc kết hợp các mối đe dọa với các lỗ
hổng. Điều quan trọng là xác định tất cả các chi phí liên quan đến các biện pháp đối phó.
Ở giai đoạn này, bạn có thể cần tìm hiểu sâu hơn một chút để khám phá mọi chi phí tiềm
ẩn. Nếu chi phí thay đổi, bạn sẽ cần xem xét thực hiện lại phân tích chi phí-lợi ích.

Nếu đã quá lâu kể từ khi đánh giá rủi ro được phê duyệt, bạn sẽ cần xác minh rằng các
yếu tố rủi ro vẫn tồn tại. Ngoài ra, bạn sẽ muốn kiểm tra kỹ để đảm bảo biện pháp đối
phó sẽ giảm thiểu rủi ro. Hai mục tiêu chính khi thực hiện kế hoạch là duy trì trong phạm
vi ngân sách và đúng tiến độ. Cuối cùng, bạn có thể theo dõi để đảm bảo rằng các biện
pháp đối phó đã được phê duyệt được triển khai và chúng thực sự giảm thiểu rủi ro như
mong đợi.