Nhớ lại hồi 5-6 năm trước, họ dí vào tay mình công việc “Đánh giá rủi ro cho tổ chức X”. Trước giờ chỉ được nhận lệnh “đánh” website cho nó phòi ra lỗi chứ chưa đánh giá thằng nào cả. Mấy câu hỏi “Phải làm thế nào” hay “Làm gì đầu tiên”, nó cứ xuất hiện rồi cứ thế lặp đi lặp lại. Đối tác liên tục push, khiến đêm về còn mơ mình bị dồn vào góc tường rồi cười khềnh khệch!

Mất mấy ngày để lấy lại bình tĩnh. Mình nhận ra một điều: Nếu muốn tìm rủi ro của một trang web thì cần chỉ rõ trang web nào, domain hay IP nào, thậm chí phải chỉ tới cụ thể tới từng chức năng một. Vậy muốn giải được bài toán tìm rủi ro của tổ chức, thì điểm bắt đầu của chúng ta chẳng phải là danh sách tài sản của tổ chức (asset management) ấy sao. Vỗ đùi cái đét! Điểm tắc nghẽn đầu tiên đã được khơi thông. Mình tạo ngay “Danh sách tài sản.xlsx” để mai vào việc luôn. Ơ thế, tài sản là gì? Lại vò đầu bứt tai, rồi một mả câu hỏi lại xuất hiện trong đầu!

• Tài sản là cái toà nhà này à?
• Là cái cửa tự động mở bằng vân tay với thẻ?
• Hay là mấy cái camera?
• Quyển sổ ghi chép khách ra vào của bác bảo vệ
• Bàn ghế thì sao nhỉ?
• Thế còn mấy cái máy tính, usb, máy chủ?
• Ơ thế cái ổ đĩa cứng bên trong cái máy tính có phải tài sản không?
• Cái hoá đơn hay thông tin cá nhân của người dùng trong cái ổ đĩa có phải tài sản không?
• Cái phần mềm được dev tạo ra để xử lý mấy cái thông tin kia có phải tài sản không?
• Thế còn người vận hành cái máy tính ấy có phải tài sản không?

Ủa alo! Chẳng phải mình đang dựa vào tâm trí để vẽ lại chi tiết những thứ quan sát được từ lúc bước vào tổ chức X này sao? Và nếu để ý, tài sản được chia thành hai loại chính (có thể chia nhỏ được tiếp, nhưng thôi từ từ đã nhỉ):

• Tài sản vô hình, không thấy được bằng mắt thường
• Tài sản hữu hình, vật lý, chạm, cầm nắm được

Đấy là những cái mình thấy thì mình liệt kê ra được. Thế còn những thứ mình không thể nhìn thấy. Nếu nó nằm ngoài phạm vi quan sát hay nằm ngoài vùng tri thức của mình thì sao mình liệt kê được. Hay nói cách khác, tài sản có thể trùng nhau nhưng cũng có thể rất khác nhau với từng phòng ban. Chỉ có những người chủ sở hữu hoặc phòng ban ấy họ mới đủ tri thức để thực sự biết họ đang làm việc với những thứ gì.

Mình chợt nhận ra! Mình không có danh sách cơ cấu tổ chức của tổ chức X. Mai mình sẽ hỏi họ có những phòng ban nào, để tặng mỗi phòng một file Excel “Danh sách tài sản – Phòng XXX“

Những danh sách này là phần cực quan trọng trong công cuộc bảo vệ tài sản của tổ chức. Nếu không có nó? Tổ chức X có nguy cơ đối mặt với các vấn đề thất thoát những tài sản quan trọng, hoặc bị sử dụng trái phép mà đ’ thể lường trước được.

Công việc lập được bảng theo dõi tài sản và các rủi ro ảnh hưởng tới chúng được gọi tên chuyên môn là Asset Management. Một trong những nguyên tắc chính đằng sau công việc này là: Bạn chỉ có thể bảo vệ những gì bạn biết mình có. Mà muốn biết mình có cái gì thì bạn phải lập danh sách!