Bài giảng Nâng cao ATTT trong điều kiện ngân sách hạn chế - Ngô Việt Khôi
Nâng caATTT trong điều
kiện ngân sách hạn chế
Ngô Việt Khôi
Chuyên gia An Ninh Thông tin
Chuyên gia nghiên cứu và giảng dạy về An
toàn thông tin
Thành viên hiệp hội ATTT Việt Nam (VNISA)
Giám đốc Trend Micro Việt Nam và
Campuchia (2010-8/2015)
Đồng sáng lập Cloud Security Alliance (CSA)
– Cộng đồng Việt Nam
Giúp các bạn nhìn rõ hơn...
• Hạn chế của cách làm ATTT hiện nay
• Phần còn thiếu và/hoặc chưa được quan tâm
trong bức tranh ATTT doanh nghiệp
• Làm thế nào để có ATTT tốt hơn trong điều
kiện ngân sách hiện tại
Nhận xét chung về tình
hình ATTT doanh nghiệp
• Hiểm họa ATTT ở mức độ cao (hơn những gì chúng ta
biết), càng trầm trọng trong bối cảnh thiếu hụt nhân
lực ATTT
• Ngân sách cho ATTT ít được ưu tiên (0-X%) thậm chí bị
cắt giảm. Thủ tục đầu tư mua sắm theo kiểu cũ, chậm
chạp và phức tạp.
• Nhận thức về ATTT rất thấp, chức danh CSO chưa phổ
biến.
• Nhu cầu ATTT của phân khúc SMB không thua kém
Enterprise nhưng không có sản phẩm giải pháp chuyên
biệt.
5
Threat Landscape 2012 2016 ...
Chuyển biến về chất và độ tinh vi của hiểm họa
Mobile
Threats
CRIMEWARE
Targeted
Attacks
Web
Intelligent
Botnets
Threats
Spyware
Spam
Mass Mailers
Social
Engineering
BYOD
Vulnerabilities
Worm
Single Shot
Malware
Data
Leakage
Outbreaks
Data
Exfiltration
Proximity
Attacks
2001
2003
2004
2005
2007
2010
2011+
6
Cách xử lý hiểm họa thường thấy
Hiểm họa
(Threats)
Giải pháp
(Product/Technology)
Hạn chế khi chỉ đầu tư giải pháp
Phản ứng chậm, phụ thuộc ngân sách
Thủ tục thẩm định, mua sắm phức tạp, kéo
dài
Hiểm họa
(Threats)
Công nghệ có thể bị lạc hậu ngay từ thời
điểm nghiệm thu
Giải pháp
(Product/Technology)
bộ phận IT, Security, quản lý rủi ro chịu
trách nhiệm
Không tính toán được ảnh hưởng tới TCO, ROI,
Compliance
Doanh nghiệp có thể
An toàn được không
…khi ngân sách cho
ANTT rất hạn chế?
Hiểm họa
(Threats)
Product/
Giháp
Technology
People
• Definition and scope of ISMS Risk assessment
• Risk mitigation plan and control objectives
• Statement of applicability • Products or solutions implementation
• Logical and physical access • Incident response and notification system
• Internal/external security audit, penetration testing, vulnerabilities
assessment and patching
Process
Policy
• System maintenance, patch management • Compliance and internal audit
• Business Continuous Planning/Disaster Recovery testing
Product
• End user
• IT staff
• IT Executive (CISO)
• Leaders (CEO, CFO...)
People
Nhận thức ATTT
Security Awareness
Khách
hàng
Đối tác
Gia
đình
People
• Người dùng cuối
• Nhân viên IT
• Lãnh đạp CNTT (CISO)
• Lãnh đạo khác (CEO,
CFO...)
Security breach
Nov 27 – Dec 18, 2013
40 Million Credit Cards
70 Million Accounts
NYSE: TGT
Lawsuits
CIO Resigns
CEO Resigns
May 5, 2014
Tổn thất ước tính do thất thoát dữ liệu: 66 TriệuUSD
Tổn thất thực tế: 1.03 tỷ USD
13
Với doanh nghiệp
• Chi phí thấp hơn đầu tư giải pháp, linh hoạt,
thường xuyên
• Nhận thức bền vững, giảm gánh nặng ATTT
cho IT team
• Giảm rủi ro gây ra do mất ATTT (thất thoát
thông tin, bị tấn công, bị gián đoạn dịch vụ, bị
khiếu kiện, đền bù...
Với lãnh đạo doanh nghiệp
• Ý thức được hiểm họa của doanh nghiệp, đối tác và khách hàng
• Đầu tư hiệu quả vào những giải pháp có tác dụng tức thời và bền vững,
Giúp doanh nghiệp có thể hoạt động tin cậy và tăng trưởng.
Với cá nhân: Kiểm soát cuộc sống số (sự riêng tư của cá nhân và gia
đình) an toàn hơn
Một số chương trình đào tạo nhận
thức ATTT
Cá nhân
Internet An toàn cho Trẻ
em và gia đình
An toàn trên Mạng xã hội
Doanh nghiệp
....
Nhận thức ATTT cho người
dùng cuối (Ent)
Nhận thức ATTT cho lãnh đạo
Tấn công có chủ đích
(APT)
ATAN Điện toán
đám mây, ảo hóa
….
.…
Doanh nghiệp vừa và nhó (SMB)
Chống thấthoadữ liệu
Nhận thức ATTT cho người
dùng cuố(SMB)
Chống Ransomware
Bạn đang xem tài liệu "Bài giảng Nâng cao ATTT trong điều kiện ngân sách hạn chế - Ngô Việt Khôi", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
File đính kèm:
- bai_giang_nang_cao_attt_trong_dieu_kien_ngan_sach_han_che_ng.pdf