Rủi ro (risk) là khả năng xảy ra (Likelihood) một sự kiện không mong muốn có thể gây hại cho hệ thống hoặc tổ chức. Chúng ta không thể loại bỏ hoàn toàn rủi ro vì sự thay đổi của threat environment và những yếu tố bất ngờ khác. Mục tiêu là giảm thiểu rủi ro (risk mitigation) xuống mức chấp nhận được (tùy theo khẩu vị rủi ro của từng doanh nghiệp).

• Rủi ro (risk) được cấu thành bởi mối đe dọa (Threat) & lổ hổng (Vulnerability)
• Công thức thường được dùng để biểu diễn mối quan hệ này là:

Risk = Threat x Vulnerability

Quản lý rủi ro (Risk Management) là quản lý khả năng xảy ra (Likelihood) và quản lý ảnh hưởng/hậu quả (Impact) khi xảy ra sự cố.

Chiến lược quản lý rủi ro (Risk management strategy):

Có 4 chiến lược quản lý rủi ro :

• Giảm thiểu
• Né tránh(chiến lược này không khả thi)
• Chấp nhận
• Chuyển giao

1. Giảm thiểu rủi ro (risk mitigation)
   1. Kiểm soát Likelihood: tìm cách giảm thiểu khả năng mối đe doạ (threat) khai thác thành công lổ hổng (vulnerability).
      • Giảm Vulnerability: Vá lỗi phần mềm/ứng dụng, cấu hình hệ thống cho an toàn hơn, định kỳ kiểm tra cải tiến quy trình và chính sách, đào tạo nâng cao nhận thức cho người dùng.
      • Ngăn chặn Threat Actor/Vector: Triển khai hệ thống tường lửa, hệ thống IDS/IPS, kiểm soát truy cập, sử dụng thông tin tình báo về mối đe dọa để chủ động ngăn chặn các dấu hiệu tấn công.
   2. Kiểm soát Impact: là tìm cách giảm thiểu thiệt hại ở mức cho phép, khôi phục nhanh chóng nếu sự cố vẫn xảy ra.
      • Sao lưu và phục hồi (Backup & Recovery): Đảm bảo có thể khôi phục dữ liệu sau khi sự cố xảy ra ảnh hưởng tính toàn vẹn dữ liệu (xóa, sửa)
      • Kế hoạch ứng phó sự cố (Incident Response Plan): Có quy trình rõ ràng để xử lý khi bị tấn công, hạn chế thiệt hại.
      • Phân đoạn mạng (Network Segmentation): Hạn chế khả năng lan rộng bằng kỹ thuật lateral movement khi sự cố xảy ra.
      • Mã hóa dữ liệu (Data Encryption): Đảm bảo dữ liệu vẫn an toàn ngay cả khi bị đánh cắp.
2. Chuyển giao rủi ro:
   • Thông thường công ty sẽ mua bảo hiểm. Nếu rủi ro xảy ra, công ty bảo hiểm sẽ chi trả một phần hoặc toàn bộ thiệt hại
3. Chấp nhận rủi ro:
   • Chiến lược này thường được áp dụng khi chi phí để giảm thiểu rủi ro lớn hơn tác động tiềm ẩn của rủi ro đó. Đây phải là một quyết định có ý thức sau khi đã phân tích kỹ lưỡng.