Latest posts for the topic "Case study: HVA forum và "risk management""

Case study: HVA forum và "risk management"

conmale — GMT

Để tiếp tục khai triển khía cạnh "risk management" từ chủ đề "Để trở thành hacker" cũng trong phân mục này. Tôi mở ra chủ đề mới và cụ thể về mục tiêu là "HVA forum" để tránh "lạc đề" và để tạo điều kiện cho những ai thích đào sâu hơn về "risk management". Tôi xin "mào đầu" bằng vài câu hỏi sau: 1. HVA có "risks" không? Nếu có, những "risks" ấy là gì? 2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không? 3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất? Mời bà con :P .

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

conmale wrote:

1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?

Nếu nói risks nó có thể hơi mơ hồ một chút, có người sẽ lý luận vì các bác admin quá giỏi nên sẽ không có risk. :P Có thể chuyển câu hỏi sang thành: 1. HVA có "threats" hay không? Nếu có, đó là những "threats" gì?

Case study: HVA forum và "risk management"

cvhainb — GMT

conmale wrote:

1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?

- Cái này thiệt khó trả lời nhưng bản thân em nghĩ cái gì cũng có rủi ro (risks) cả. Rủi ro thường thấy là HVA hay bị "kiểm tra" bởi các "thợ" ;-) .

conmale wrote:

2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không?

- Tuỳ vào mức độ rủi ro ;) .

conmale wrote:

3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?

- Đào sâu vào các rủi ro (risks) và sửa chữa bằng kinh nghiệm và kỹ thuật của từng người quản trị (admin) :P . Thân,

Case study: HVA forum và "risk management"

AIO — GMT

cvhainb wrote:

- Cái này thiệt khó trả lời nhưng bản thân em nghĩ cái gì cũng có rủi ro (risks) cả. Rủi ro thường thấy là HVA hay bị "kiểm tra" bởi các "thợ" ;-) . - Tuỳ vào mức độ rủi ro ;) . - Đào sâu vào các rủi ro (risks) và sửa chữa bằng kinh nghiệm và kỹ thuật của từng người quản trị (admin) :P . Thân,

@cvhainb : cả 3 câu trả lời của bác chẳng có ý nghĩa gì cho thảo luận cả (đừng cố gắng góp mặt). @all : nên có những hiểu biết nhất định về vấn đề hãy tham gia. @all : Sorry cả nhà ! :-)

Case study: HVA forum và "risk management"

vikjava — GMT

conmale wrote:

Để tiếp tục khai triển khía cạnh "risk management" từ chủ đề "Để trở thành hacker" cũng trong phân mục này. Tôi mở ra chủ đề mới và cụ thể về mục tiêu là "HVA forum" để tránh "lạc đề" và để tạo điều kiện cho những ai thích đào sâu hơn về "risk management". Tôi xin "mào đầu" bằng vài câu hỏi sau: 1. HVA có "risks" không? Nếu có, những "risks" ấy là gì? 2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không? 3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất? Mời bà con :P .

1. HVA có "risks", HVA là diễn đàn phát triển có quy mô, tổ chức và có định hướng đúng đắn nhất trong các diễn đàn về CNTT tại Việt Nam, điều này dẫn đến nhiều hệ luỵ : nhiều kẻ lên HVA bị chỉnh vài câu đâm ra không thích phá cho vui, những kẻ ghen ghét thực hiện dò tìm khai thác lỗi, DDOS cho sập ... hoặc nguỵ tạo thông tin bôi xấu một số thành viên . Đại loại như sản phầm của microsoft luôn bị chú tâm bời các hacker . HVA chắc cũng luôn bị chú tâm, nhiều kẻ mong muốn hạ gục. 2. Thiệt hại lớn nhất HVA bị tấn công khi hva bị đánh sập hoặc bị DDOS nặng thì member sẽ không thể truy cập vào HVA, không có môi trường tham gia trao đổi học hỏi kiến thức, kinh nghiệm. HVA hoạt động phi lợi nhuận do đó việc quy ra vật chất thì hơi khó. Tuy nhiên có thể quy ra vật chất ở tiền thuê đường truyền, server chạy tốn điện , thời gian admin fix lỗi ( thời gian của admin có thể quy ra tiền) 3. Chắc phải treo cái bảng xin đừng phá em . Giống như sau đít xe tải thường hay để câu " Xin đừng hôn em , má la " :-) p/s: post xong mới thấy bác AIO nhắc nhở, thui thì bác mod nào cho ẩn bài em giùm #:S

Case study: HVA forum và "risk management"

updateslove — GMT

1. HVA có "risks" không? Nếu có, những "risks" ấy là gì? -Trước tiên là 'risks' về phần cứng, như điện đóm cho máy chủ, các bộ phận của máy chủ có thể bị hư mà khó biết trước, hệ thống làm mát, đường truyền cung cấp kết nối internet. -Sau đó là 'risks' về phần mềm, như các lỗ hổng bảo mật của phần mềm chạy trên máy chủ mà chưa phát hiện/chưa vá. -Chỗ này e vẫn còn mơ hồ, nhưng em nghĩ sẽ có thể có 'risks' thuộc về quy chế hoạt động, cụ thể thì mời anh em trao đổi thêm :P -Tiếp nữa là 'risks' về con người, có thể có 1 cá nhân trong ban quản trị làm gián điệp hay cố tình phá hoại :P 2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không? -Theo em thì thiêt hại lớn nhất là dữ liệu, sau đó là mọi người mất đi một kênh thông tin để trao đổi. 3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất? "mitigate risks" -Phần cứng: luôn có cách phương án cung cấp điện, thiết bị đường truyền internet dự phòng. -Phần mềm: cập nhật lỗ hổng, backup dữ liệu thường xuyên. -Quy chế & Con người: hoạt động và tuyển chọn dựa trên những quy tắc chặt chẽ được xác định sẵn Theo em thì backup dữ liệu là phương pháp đạt hiệu quả nhiều nhất tính trên công sức bỏ ra :D

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

@AIO cvhainb nói cũng có lý đó. @vikjava tư duy của bồ nặng kỹ thuật quá. @updateloves tư duy risk khá tốt. Tiếp tục phân tích sâu hơn đi. @all Để làm risk thì phải có trí tưởng tượng phong phú một chút. Có thể GIẢ LẬP nhiều tình huống khác nhau, nhiều nguy cơ khác nhau.

Case study: HVA forum và "risk management"

vikjava — GMT

updateslove wrote:

Theo em thì backup dữ liệu là phương pháp đạt hiệu quả nhiều nhất tính trên công sức bỏ ra :D

Three Sysadmin Rules You Can’t (And Shouldn’t) Break -->>Rule #1: Backup Everything ( and validate the backup regularly ) http://www.thegeekstuff.com/2010/07/three-sysadmin-rules/ . Backup là vấn đề được đề cập hầu hết trong tất cả các cuốn sách, sau khi hướng dẫn thiết lập hệ thống.

Case study: HVA forum và "risk management"

cvhainb — GMT

AIO wrote:

cvhainb wrote:

- Cái này thiệt khó trả lời nhưng bản thân em nghĩ cái gì cũng có rủi ro (risks) cả. Rủi ro thường thấy là HVA hay bị "kiểm tra" bởi các "thợ" ;-) . - Tuỳ vào mức độ rủi ro ;) . - Đào sâu vào các rủi ro (risks) và sửa chữa bằng kinh nghiệm và kỹ thuật của từng người quản trị (admin) :P . Thân,
@cvhainb : cả 3 câu trả lời của bác chẳng có ý nghĩa gì cho thảo luận cả (đừng cố gắng góp mặt). @all : nên có những hiểu biết nhất định về vấn đề hãy tham gia. @all : Sorry cả nhà ! :-)

Có bao giờ cậu tự hỏi: Tại sao câu trả lời là như thế không ? =)) . Câu nói thứ 2 của cậu là chính xác: CÓ HIỂU BIẾT NHẤT ĐỊNH THÌ HÃY THAM GIA NHÉ ;) . @all: Khi có một vấn đề mình đọc không hiểu, hãy training thật nhanh vì không biết mọi người thế nào, riêng tớ thì tớ không thích tớ bị lạc hậu :-) . Thân,

Case study: HVA forum và "risk management"

vikjava — GMT

louisnguyen27 wrote:

@vikjava tư duy của bồ nặng kỹ thuật quá.

Thật sự mình chưa tiếp xúc hoặc đọc, hiểu về risk management. Tuy nhiên theo mình RISK bao gồm những thứ thấy đươc và có thể không thấy được. Tuỳ thuộc vào vị trí người đưa ra nhận định về RISK. Mình đứng trên cương vị là một người quản lý server HVA :|

Case study: HVA forum và "risk management"

H3x4 — GMT

Em cũng nghĩ như updateslove, tuy nhiên em phân vân về việc các risk mà HVA có thể gặp phải, bởi vì những risk như lỗ hổng mới hay update chưa kịp thì vẫn có cách "đánh chặn" từ xa. Lấy thí dụ như các cơ chế bảo vệ mặc dù có lỗ hổng trên đó vẫn khó lòng tấn công được (NX,ASLR,ASCII-ARMOR), thêm vào đó là các cơ chế điều khiển quyền truy cập. Như vậy giả sử như HVA đã được phòng thủ tới mức cho dù các application chạy trên nó có lỗi thì cũng không thể tấn công được thì có đem nguy cơ đó liệt kê vào risk không? Một cái risk khác là các admin quá giỏi :D, người ta nói người càng giỏi mà làm việc xấu thì nguy hại còn gấp hàng ngàn lần, cho nên em nghĩ đó cũng là một cái risk. Về thiệt hại có thể có thì em xin bổ sung thêm vào đó là một khi kẻ xấu tấn công xong hva có thể dựa vào đó mà cài đặt backdoor để lấy thông tin của các quản trị viên hay thành viên ở diễn đàn này. Dựa vào đó rất có thể sẽ tấn công sang các công ty/hệ thống mà các thành viên ở hva này đang tham gia/quản lí. Thêm vào đó còn một thiệt hại phi vật chất nữa đó là HVA giống như một bức tường kiên cố của white hat trước blackhat, nếu như nó bị sụp đổ thì rất nhiều niềm tin sẽ bị mất đi và tổn thất đó thì khó mà đo lường được. Về biện pháp em nghĩ hầu hết các biện pháp tốt nhất đã được các anh hiện thực rồi. Tuy nhiên về quan điểm cá nhân em sẽ thực hiện một số biện pháp như: -Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva. -Thực hiện các giải pháp "đánh chặn" như em nói ở trên. -Hạn chế tối đa việc rò rỉ thông tin ngay cả khi hva bị thoả hiệp.

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

vikjava wrote:

Thật sự mình chưa tiếp xúc hoặc đọc, hiểu về risk management. Tuy nhiên theo mình RISK bao gồm những thứ thấy đươc và có thể không thấy được.

Nên mình mới nói trí tưởng tượng phải phong phú một chút.

H3x4 wrote:

-Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva.

Chỗ này có một risk khác.

Case study: HVA forum và "risk management"

H3x4 — GMT

louisnguyen27 wrote:

H3x4 wrote:

-Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva.
Chỗ này có một risk khác.

Dạ đúng là nó có risk, nhưng mà nếu để nhiều người nắm quyền thỉ em nghĩ risk sẽ cao hơn :D. Do vậy giải pháp của em là 1 hoặc cùng lắm là 2 người!

Case study: HVA forum và "risk management"

AIO — GMT

louisnguyen27 wrote:

@AIO cvhainb nói cũng có lý đó.

@louisnguyen27 : những câu "trả lời" chung chung "thường khá rộng" và "dễ đúng". -:|-

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

H3x4 wrote:

Do vậy giải pháp của em là 1 hoặc cùng lắm là 2 người!

Vậy trong trường hợp 1 người thì Risk của nó là gì? 2 người thì risk là gì???

Case study: HVA forum và "risk management"

cvhainb — GMT

AIO wrote:

louisnguyen27 wrote:

@AIO cvhainb nói cũng có lý đó.
@louisnguyen27 : những câu "trả lời" chung chung "thường khá rộng" và "dễ đúng". -:|-

@AIO: Có đọc câu hỏi lại của tớ không thế ? Sao không trả lời câu hỏi của tớ kìa: Tại sao tớ lại trả lời chung chung ? :) . Đừng làm loãng chủ đề. @all: Đó là vấn đề khi có một câu hỏi chung chung, risks thì quá nhiều (một diễn đàn như HVA thì càng nhiều) mà trong khi anh commale không đưa ra một vấn đề cụ thể vì thế đôi khi mình cần phải trả lời câu hỏi để làm xuất hiện vấn đề cụ thể, khi có vấn đề cụ thể sẽ có giải pháp.

Case study: HVA forum và "risk management"

newbieProIT — GMT

conmale wrote:

1. HVA có "risks" không? Nếu có, những "risks" ấy là gì? 2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không? 3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?

1. HVA có "risks" không? Nếu có, những "risks" ấy là gì? Nguy cơ đâu tiên là liên quan đến uy tín của 'thương hiệu' HVA :). Không cần nói cũng biết hvaonline.net là cái tên uy tín nhất trong các diễn đàn ở Việt Nam. Nếu một ngày BQT xảy ra bất đồng, lục đục nội bộ, tranh dành quyền lực ... thì chắc chắn sẽ ảnh hưởng không nhỏ đến uy tín của HVA. Hay như việc HVA bị hack, DDOS cũng vậy. (Cái này chỉ là giả sư thôi nha, đừng chém em :D). Thêm nữa, đó 'risks' tiềm ẩn trong mọi vấn đề liên quan đến 'tài sản' quan trong nhất của HVA là database. Từ đó có thể suy ra được nhiều risk: + Lỗi/lỗ hổng liên quan trực tiếp đến DBMS cũng như vận hành nó. Lỗi liên quan đến giải thuật cũng có thể làm hỏng DB, hay lỗ hổng bị exploit cũng có nguy cơ dẫn đến bị drop DB. Lỗi vận hành thì liên quan trực tiếp đến admin, một thao tác bất cẩn của admin có thể làm mất mát data. + Nguy cơ liên quan đến phần cứng. Nhất là về đĩa cứng, nơi lưu trữ dữ liệu. + Nguy cơ liên quan đến phần mềm: Các nguy cơ liên quan đến OS và các services của nó. + ... (Cái này là để em suy nghĩ thêm :) ) Thêm mấy risks có vẻ xa vời, nhưng không có nghĩa là không có :D. Chẳng hạn như cháy nhà, động đất ... tại nơi đặt server của HVA. Có đợt em đọc báo thấy một trung tâm nghiên cứu khoa học vì hoả hoạn mà mất 2TB dữ liệu, công sức nghiên cứu của một trung tâm đi tong. 2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không? Bị tấn công, cũng giống như trong một cuộc chiến tranh, dù ít nhiều, ai thắng thua đều bị thiệt hại. Phạm trù tấn công ở đây hiểu theo nghĩa rộng có thể là tấn công vào con người, quan hệ giữa các thành viên (nhất là BQT) hoặc là tấn công vào các phần mềm, phần cứng đang vận hành HVA. Nếu cuộc tấn công gây ảnh hưởng lớn đến hình ảnh HVA thì việc lấy lại nó sẽ không dễ tí nào. Về mặt này có thể thiệt hại hơn nhiều so với tấn công vào database. Nếu xét về tấn công liên quan đến database, thiệt hại lớn nhất là mất dữ liệu mà không thể khôi phục được do không có phương án dự phòng. Cái này thì chắc HVA đã dự phòng từ lâu. Nhưng cứ giả sử như HVA bị ai đó lấy mất database, kể cả backup :D Nếu toàn bộ database của HVA bị mất, thì hệ luỵ của nó đương nhiên là HVA phải bắt đầu lại từ đầu, công sức xây dựng đóng góp của các thành viên cả chục năm trời biến mất. Thiệt hại là có thể quy ra giá trị vật chất lẫn tinh thần :) 3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất? Như em nói về các nguy cơ ở trên. Các biện pháp tối thiểu phải có: + Luôn bảo vệ và phát triển hình ảnh của HVA + Backup database và lưu trữ không chỉ ở một nơi :D PS: Vài lời chém gió của newbie, có gì sai các anh thông cảm :)

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

cvhainb wrote:

risks thì quá nhiều

Vấn đề ở chỗ thu hẹp phạm vi kiểm soát như thế nào???

newbieproit wrote:

Thêm nữa, đó 'risks' tiềm ẩn trong mọi vấn đề liên quan đến 'tài sản' quan trong nhất của HVA là database

Còn các tài sản khác ??? Tài sản là một khởi đầu tốt cho việc đánh giá risk.

newbieproit wrote:

Luôn bảo vệ và phát triển hình ảnh của HVA

Cái này không phải là biện pháp, mà là policy.

Case study: HVA forum và "risk management"

lQ — GMT

Bác louis có lẽ khá rành ISMS. Nhờ bác liệt kê các bước cho đúng quy trình để hoàn tất câu 1 của anh conmale. Làm như các post nói trên, thể nào cũng đưa thiếu risk.

Case study: HVA forum và "risk management"

Jino_Hoang — GMT

1. HVA có "risks" không? Nếu có, những "risks" ấy là gì? * HVA không chỉ có Risk mà còn có rất nhiều Risk. Các risk này dù xẩy ra như thế nào thì theo cháu nó cũng bắt nguồn từ các yếu tố là con người và vật chất. - Con người thì bao gồm có người của HVA và các thành phần thù hằn chống phá. Yếu tố con người là quyết định tới các risk này. Có thể kể đến là người của HVA cấu hình các thứ của Forum hay Server bị sai, khiến cho các lỗ hổng bị khai thác, hay có người phản bội và đi theo một con đường khác, làm lộ các thông tin bí mật trong nội bộ HVA. Các thế lực thù địch thì luôn tìm mọi cách gây khó dễ cho HVA, tấn công, phá hoại, bêu xấu, tung tin đồn thất thiệt... Từ những nguy cơ này sẽ dẫn tới nhiều nguy cơ khác như là: + Về vật chất thì server HVA bị huỷ hoại, không thể tiếp tục hoạt động, mất Database,... + Về tinh thần thì HVA không còn được mem bơ tin tưởng nữa, đi vào ngõ cụt trong đường nối hoạt động, nhiều thông tin bị lộ khiến cho các điều hanh viên hoặc 1 số thành viên chủ chốt gặp nhiều rắc rồi... - Yếu tố vật chất có thể kể đến như các phần cứng, phần mềm của HVA vị xuống cấp, có nhiều lỗi bảo mật phát sinh, bị khai thác hay bị tấn công từ nhiều nguồn khiến cho server không thể chống trả được. Nói vậy nhưng điều này là ít có khả năng xảy ra. Như vậy từ cái này có thể rút ra cái risk lớn nhất mà HVA gặp phải là yếu tố con ngươì. Đừng quá thiên về vật chất hay kỹ thuật vì con người quyết định những cái đó. 2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không? * Thiệt hại lớn nhất của HVA khi bị tấn công sẽ là yếu tố con người, vì HVA hình thành và hoạt động trên tinh thần chia sẻ kiến thức, kinh nghiệm giữa con người với con người. Yếu tố con người ở đây là lòng tin vào những người điều hành của HVA, khả năng kĩ thuật của mỗi người, rồi sẽ dẫn đến nhiều việc mâu thuẫn nội bộ. Còn nếu quy ra vật chất thì nó cũng chẳng đáng là bao vì theo cháu khi HVA bị tấn công sẽ chỉ tổn hại về phần mềm và dữ liệu chứ phần cứng thì không ảnh hưởng gì nhiều. Kể cả Data của HVA Forum bị phá huỷ cũng không quan trọng nắm vì đa số các bài viết hay hoặc có giá trị đều được leech qua rất nhiều nơi trên Internet. Mà đa phần thì Data đã được backup thường xuyên. Còn về thành viên thì có thể đăng kí lại được 3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất? * Nếu quy ra vật chất thì HVA chỉ còn cách là là khôi phục lại hoạt động của các tên miền, máy chủ, các phần mềm và cuối cùng là data và forum. Rồi từ sai đó sẽ rút ra nhiều kinh nghiệm, bài học sương máu và sẽ bảo mật tốt hơn trước chứ không dám nói là bất khả chiến bại.

Case study: HVA forum và "risk management"

tmd — GMT

I.HVA có risk. Quy về các yếu tố có thể nhận biết được 1. Con người biết tới HVA. Hoạt động gây hại của con người có thể biết tới được bao gồm : a. Tấn công trực tiếp vật lý : tấn công từ chối dịch vụ, phá hoại máy chủ phân giải tên miền, hack tên miền, phá hoại cơ sở hạ tầng định tuyến traffic tới HVA, ... b. Hoạt động giao tiếp vô ý thức hoặc thiếu ý thức làm HVA trở thành bãi rác,lệch mục tiêu hoạt động, làm mất sự lôi cuốn,.... bằng cách tham gia trao đổi không theo định hướng của diễn đàn. 2. Thiết bị vật chất hữu hình để đảm bảo HVA tồn tại trên mạng internet : Server host web,database, dns server phân giải tên miền.... Những yếu tố này không được duy trì hoặc bị con người/yếu tố tự nhiên làm cho hư hại. II. Thiệt hại. Tài sản có giá trị HVA có được cũng phân thành hai loại hữu hình và vô hình. Từ đó người ta có thể quy ra giá trị quy đổi được bằng tiền bạc, và có thể đo lường thiệt hại. Tài sản hữu hình 1. Hệ thống cơ sở dữ liệu có được từ lúc mới thành lập cho tới lúc bị phá hư toàn bộ. 2. Môi trường mạng để con người giao tiếp với nhau,thông qua diễn đàn mạng HVA. Đã kể trên. 2. Con người tham gia vào HVA. Quản lý,thành viên, người xem. Tài sản vô hình 1. Mối quan hệ giữa con người có được từ lúc mới thành lập HVA cho tới lúc diễn đàn tàn lụi. 2. Tinh thần hoạt động có được từ lúc mới thành lập cho tới lúc HVA tàn lụi. 3. Uy tín của tổ chức trên xã hội mạng. Vậy thiệt hại có thể có là loại hữu hình. Nhưng nó không phải lớn nhất. Vì loại hữu hình có thể được ai đó lưu lại bằng cách backup vật lý hoặc nhớ trong đầu. Kể cả trong trường hợp tấc cả lưu trữ vật lý không còn nữa,người ta đã rút được kinh nghiệm bài học từ những gì có trong database của HVA thành của mình. Thiệt hại hữu hình thể hiện ở chổ , người đi sau không có chổ để xem lại những gì mà HVA có được dưới dạng chữ viết, không có môi trường vật lý chung để giao tiếp. Giá trị lớn nhất của HVA ở loại "vô hình" nói trên. Đối với những người không có văn hoá, kiến thức và tư duy suy nghĩ tiến bộ thì HVA không có giá trị. Tui nói vậy cho dễ hiểu. Nếu có thiệt hại lớn nhất thì đó là giá trị vô hình. Giá trị này không thể quy đổi bằng giá trị vật chất. III. Tới ngang đây thì tui thấy các chú bác quản lý đã làm đó giờ trong trường hợp HVA bị thiệt hại quy ra vật chất được. Quản lý vẫn duy trì hoạt động của HVA cho dù bị tấn công từ chối dịch vụ, bị hack tên miền, bị phá hư database,bị phá hoại uy tín. Thành viên tiến bộ vẫn tham gia HVA. PS: Quên trình bày các phuơng thức "mitigate risks" có thể biết được theo ý kiến riêng. Quản lý điều hành HVA tạo ra các hướng hoạt động có ích như trước tới giờ, không xen vào các hoạt động "gây hại có mục đích để trục lợi bất hợp pháp".Đồng thời họ phải quản lý hoạt động diễn đàn theo quy định thật chặc chẻ. Quản lý và thành viên đừng nhậu nhẹt bê tha,đừng sài/tồn trữ/buôn bán chất kích thích, đừng làm gì đó quá sức, đừng lười tập thể dục. Do đó mọi người có sức khoẽ tốt, tinh thần minh mẫn để quản lý hoạt động, để hoạt động tốt.Để còn đi làm sinh lợi nhuận để duy trì HVA. -:-)

Case study: HVA forum và "risk management"

Jino_Hoang — GMT

Có rất nhiều ý kiến nhưng xem ra HVA có rất nhiều Risk hơn mọi người tưởng tượng!

Case study: HVA forum và "risk management"

gamma95 — GMT

Cái risk lớn nhất là dạo này nhiều member nói phét ghê quá, khiến các admin mất rất nhiều thời gian để nhắc nhở và xoá bài, lock nick ... khiến cho họ bỏ bê khá nhiều thời gian lẽ ra nên dành cho nghiên cứu kỹ thuật và theo dõi log, kiện toàn hệ thống. Tận dụng điều đó hacker có thể làm 2 việc: - đăng kí nick để chọc tức ban quản trị, hay phán nhiều cái chẳng đầu chẳng đuôi - trong lúc đó âm thầm chọc HVA

Case study: HVA forum và "risk management"

conmale — GMT

Bà con tham gia xôm tụ quá :P . Vẫn chưa thấy ai đề cập đến khía cạnh "risk" ở chỗ HVA forum vẫn còn tồn tại nhưng lại... chết vì nó chẳng còn giá trị và ích lợi gì cả. Cái risk này có không? và để "mitigate" nó thì cần làm gì?

Case study: HVA forum và "risk management"

tmd — GMT

gamma95 wrote:

Cái risk lớn nhất là dạo này nhiều member nói phét ghê quá, khiến các admin mất rất nhiều thời gian để nhắc nhở và xoá bài, lock nick ... khiến cho họ bỏ bê khá nhiều thời gian lẽ ra nên dành cho nghiên cứu kỹ thuật và theo dõi log, kiện toàn hệ thống. Tận dụng điều đó hacker có thể làm 2 việc: - đăng kí nick để chọc tức ban quản trị, hay phán nhiều cái chẳng đầu chẳng đuôi - trong lúc đó âm thầm chọc HVA

conmale wrote:

Bà con tham gia xôm tụ quá smilie . Vẫn chưa thấy ai đề cập đến khía cạnh "risk" ở chỗ HVA forum vẫn còn tồn tại nhưng lại... chết vì nó chẳng còn giá trị và ích lợi gì cả. Cái risk này có không? và để "mitigate" nó thì cần làm gì?

Tại mr Conmale không nói tới cái risk này ngay từ đầu, cho nên toàn bộ reply không có ai nói tới cái này. Nguồn gây ra risk này được chị gà mờ liệt kê ra một phần. Member hiện này chưa tự nhận biết lợi ích HVA đem lại, chỉ biết lợi dụng giá trị của HVA vào hoạt động phá hoại vặt. Hay member xem diễn đàn HVA là chổ tạo topic phô diễn tài năng copy,xào, chế bậy bạ, hoặc quảng cáo cho kỹ năng "hack",... hoạt động tiêu cực tuơng tự để thể hiện cái tôi. Hoặc member và quản lý có nhiều chuyện để lo hơn là chuyện giao tiếp trên diễn đàn HVA. Em đoán mr conmale đang nói tới các loại risk này. PS: chị gà mờ cho em nói phét vài cái. RISK mà mr Conmale nói tới có thể hiểu nôm na là "chỉ biết XIN để người ta CHO, nhưng không bao giờ CHO lại" , cái risk con của cái RISK này là "CHO những cái vô ích"

Case study: HVA forum và "risk management"

vikjava — GMT

lQ wrote:

Bác louis có lẽ khá rành ISMS. Nhờ bác liệt kê các bước cho đúng quy trình để hoàn tất câu 1 của anh conmale. Làm như các post nói trên, thể nào cũng đưa thiếu risk.

Bác louis làm bài hoàn chỉnh cho anh em học hỏi -:-)

Case study: HVA forum và "risk management"

lQ — GMT

conmale wrote:

Bà con tham gia xôm tụ quá :P . Vẫn chưa thấy ai đề cập đến khía cạnh "risk" ở chỗ HVA forum vẫn còn tồn tại nhưng lại... chết vì nó chẳng còn giá trị và ích lợi gì cả. Cái risk này có không? và để "mitigate" nó thì cần làm gì?

Trời!!! Theo em nghĩ đây là risk nghiêm trọng nhất và cần phải ưu tiên số 1. Mitigate thì cần: - Tuân thủ nghiêm chỉnh nội quy diễn đàn và quy định gửi bài. - Hạn chế tối thiểu đăng các thắc mắc đã có trả lời ở diễn đàn hoặc có nhiều hướng dẫn / trả lời trên Internet. Thay vào đó, tích cực đóng góp các bài viết dạng mở rộng một vấn đề hoặc một sản phẩm, giải pháp IT/Security. 02 khoản này cần sự tham gia của tất cả thành viên. Và cần số lượng 'nhân sự' như vầy, thì chi phí (thời gian, chi phí đào tạo hoặc tự đào tạo,...) bỏ ra là không ít, tuỳ khả năng mỗi người. Do đó mình mới khằng dịnh đây là risk nghiêm trọng nhất và ưu tiên cao nhất. Anh conmale gừng già có khác :x.

Case study: HVA forum và "risk management"

Z0rr0 — GMT

Nói cho vui, ở VN còn có cái threat đó là "trái cây Tàu khựa", các mod ăn phải về đau bụng suốt ngày, dẫn đến cái risk là không ai chăm sóc forum riết HVA sẽ đóng cửa vì 1 mình conmale hay Jal là quá sức :D Mitigate: - Tránh xa các món Tàu khựa - Conmale/Jal trao mật khẩu ẹc min cho tất cả các mod. Evaluation: - Việc trao mật khẩu tùm lum lại sinh ra risk khác. Giải pháp là sao đây?!

Case study: HVA forum và "risk management"

K4i — GMT

Nhìn bài bác lQ lại nhớ đến methodology đánh giá rủi ro. Em nhớ không nhầm trong bộ 27000 thì ISO-27005 liên quan đến đánh giá rủi ro. Bác nào áp dụng cái này vào case study giúp em với

Case study: HVA forum và "risk management"

tranvanminh — GMT

conmale wrote:

1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?

Có , risk ghê gớm nhất của HVA là anh conmale .

conmale wrote:

2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì?

Khi anh đi ngủ .

conmale wrote:

Có thể quy ra giá trị vật chất không?

Không . Nếu có thì chỉ là giá trị tinh thần .

conmale wrote:

3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?

Biện pháp khả thi nhất là không tạo xì trét . Biện pháp hữu lý nhất là xoa và bóp, đấm (vào) lưng để không gia tăng thêm xì trét .

Case study: HVA forum và "risk management"

xnohat — GMT

Quản lý các risk hiện tại hiệu quả nhất không đường nào khác bằng chăm sóc kĩ lưỡng anh Conmale :P Chăm sao cho hàng tuần đều có một bài hoặc loạt bài chất lượng cỡ "Ký sự những vụ DoS vào HVA" :P

Case study: HVA forum và "risk management"

Jino_Hoang — GMT

Em xin được gói gọn câu trả lời là risk ở đây là yếu tố con người, mitigate risks cũng là yếu tốt con người. Như mọi người nói là chú conmale và JAL.

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

@Vikjava & IQ thực ra thì chủ để là Risk chứ không phải là ISMS nhưng mình sẽ trình bày ISMS để mọi người tự nhận xét. 1. Khi nhắc đến ISMS người ta phải nói đến bộ tiêu chuẩn ISO/IEC 27000 series chứ không phải là một riêng một tiêu chuẩn nào cụ thể. 2. Bộ tiêu chuẩn 27000 có 21 tiêu chuẩn, nhưng tư tưởng chính nằm ở ISO/IEC27001 - cải tiến liên tục. 3. Có nhiều đồng chí chỉ tìm hiểu mỗi 27001 rồi phán: quá dễ, không thực tế... xin các đồng chí học hết 21 tiêu chuẩn rồi phán tiếp. Các bác đi tư vấn, xin làm ơn đừng nổ đừng xạo làm mất giá trị của tiêu chuẩn. Em cũng chưa đủ trình độ để đi kiếm tiền bằng ISMS nên đó là lý do chỉ dám tư vấn miễn phí. Hiểu đầy đủ bộ này thì CISA cũng chỉ là muỗi. 4. Em xin liệt kê bộ tiêu chuẩn ISO 27000 ở đây: * ISO/IEC 27000 — ISMS Tổng quát và từ vựng * ISO/IEC 27001 — ISMS Yêu cầu * ISO/IEC 27002 — Chuẩn mực thực hiện ISM * ISO/IEC 27003 — Hướng dẫn triển khai ISMS * ISO/IEC 27004 — Đo lường ISM * ISO/IEC 27005 — Quản lý rủi ro IS * ISO/IEC 27006 — Yêu cầu về tổ chức đánh giá và chứng nhận ISMS * ISO/IEC 27011 — Hướng dẫn ISM cho tổ chức viễn thông. * ISO 27799 - ISM trong y tế sử dụng ISO/IEC 27002 * ISO/IEC 27007 - Hướng dẫn đánh giá ISMS * ISO/IEC 27008 - Hướng dẫn cho chuyên gia đánh giá về ISMS controls * ISO/IEC 27013 - Hướng dẫn tích hợp triển khai ISO/IEC 20000-1 và ISO/IEC 27001 * ISO/IEC 27014 - Khung quản lý IS * ISO/IEC 27015 - Hướng dẫn ISM cho tài chính và bảo hiểm * ISO/IEC 27031 - Hướng dẫn mức độ sẵn sàng ICT cho BCM * ISO/IEC 27032 - Hướng dẫn cybersecurity * ISO/IEC 27033 - IT network security * ISO/IEC 27034 - Hướng dẫn application security * ISO/IEC 27035 - Quản lý security incident. * ISO/IEC 27036 - Hướng dẫn bảo mật sử dụng trong outsourcing * ISO/IEC 27037 - Hướng dẫn xác định, thu thập và/hoặc thu nhận và bảo quản các bằng chứng số. Trong sê ri này có một số tiêu chuẩn không được đề cập (ví dụ ISO27012 cho egovernment) là do nguyên nhân các tiêu chuẩn này chưa định hình, hoặc chưa đủ điều kiện để nâng cấp lên thành tiêu chuẩn do Uỷ ban kỹ thuật của ISO và IEC quyết định. Ngoài ra hai tiêu chuẩn 27033 và 27034 có các tiêu chuẩn con tương ứng hay còn gọi là các phần như 27033-1, 27034-5.

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

5. Làm ISMS bắt đầu từ đâu??? Làm ISMS phải bắt đầu từ việc học từ ngữ (ISO27000) sử dụng trong ISMS để thống nhất cách hiểu, tư duy, diễn đạt và trình bày. Tránh trường hợp một từ bị diễn giải thành nhiều nghĩa lệch lạc. Tuy nhiên, vì lý do thời gian, tiền bạc, và kể cả... kiêu ngạo mà nhiều đơn vị thường bỏ qua bước này. Câu trả lời thông thường khi người tư vấn yêu cầu triển khai học về từ vựng là: "Cái này dễ, để tự đọc là được rồi" nhưng thực tế không mấy ai đọc. Hơn nữa mục đích chính không phải là hiểu từ vựng mà để cho toàn bộ nhân viên có cách hiểu giống nhau. Chính vì vậy mà khi làm ISMS các đơn vị thường bị thất bại và có tính hình thức vì quan điểm và cách hiểu của mỗi người, mỗi cấp trong tổ chức là khác nhau. Những người mới vào cũng không được học nên dần dần khi mà turnover của employee cao thì cách tư duy và định hướng không còn được như ban đầu.

Case study: HVA forum và "risk management"

tungdang — GMT

H3x4 wrote:

... -Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva. ...

Bạn có thể giải thích rõ hơn về cái nắm quyền "sinh sát" này được không? Ý bạn là người đó có những khả năng gì?

Case study: HVA forum và "risk management"

Jino_Hoang — GMT

louisnguyen27 wrote:

5. Làm ISMS bắt đầu từ đâu??? Làm ISMS phải bắt đầu từ việc học từ ngữ (ISO27000) sử dụng trong ISMS để thống nhất cách hiểu, tư duy, diễn đạt và trình bày. Tránh trường hợp một từ bị diễn giải thành nhiều nghĩa lệch lạc. Tuy nhiên, vì lý do thời gian, tiền bạc, và kể cả... kiêu ngạo mà nhiều đơn vị thường bỏ qua bước này. Câu trả lời thông thường khi người tư vấn yêu cầu triển khai học về từ vựng là: "Cái này dễ, để tự đọc là được rồi" nhưng thực tế không mấy ai đọc. Hơn nữa mục đích chính không phải là hiểu từ vựng mà để cho toàn bộ nhân viên có cách hiểu giống nhau. Chính vì vậy mà khi làm ISMS các đơn vị thường bị thất bại và có tính hình thức vì quan điểm và cách hiểu của mỗi người, mỗi cấp trong tổ chức là khác nhau. Những người mới vào cũng không được học nên dần dần khi mà turnover của employee cao thì cách tư duy và định hướng không còn được như ban đầu.

Đọc qua một số tài liệu em cũng biết 1 số khái niệm về ISMS (Một hệ thống quản lý thông tin bảo mật). Có vẻ nó thiên về quản lý nhiều hơn là kĩ thuật phải không anh.

Case study: HVA forum và "risk management"

Jino_Hoang — GMT

tungdang wrote:

H3x4 wrote:

... -Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva. ...
Bạn có thể giải thích rõ hơn về cái nắm quyền "sinh sát" này được không? Ý bạn là người đó có những khả năng gì?

Em nghĩ anh nói thế có vẻ không khách quan nắm. Vì HVA là một tổ chức nên "Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva." không được phù hợp cho nắm.

Case study: HVA forum và "risk management"

conmale — GMT

Nếu xét đến "risk management" một cách thuần tuý, bất cứ một thể trạng nào cũng có giá trị (ở giới hạn và điều kiện nào đó) và bởi thế cũng có "risk". Risk ở đây là hiểm hoạ có thể biến đổi hoặc huỷ hoại giá trị đó. Khi xét đến HVA, một diễn đàn có số thành viên khá đông và có lịch sử hiện diện trên mạng khá lâu thì hiểm hoạ ấy có thể là: 1. Sự gián đoạn (dài hoặc ngắn). 2. Sự thay đổi tính chất (giá trị). 3. Sự chấm dứt (vĩnh viễn). Từ ba "hiểm hoạ" tổng quát trên, mình có thể khai triển chi tiết của từng cái để từ đó mới có thể hình thành được phương hướng và phương pháp "mitigate" cho thích hợp. Những thảo luận trong chủ đề này cho đến nay đã đề cập đến 3 "hiểm hoạ" trên nhưng chưa hệ thống hoá lại cho sâu sát. Ví dụ, 1. Sự gián đoạn (dài hoặc ngắn): Do đâu có gián đoạn (khách quan và chủ quan), những khả năng có thể tác động đến sự gián đoạn là gì? (e.g. bị cúp điện, bị đứt cáp mạng, hết tiền trả tiền thuê máy chủ, lỡ tay gõ shutdown -h now, disk bị chết, quản lý bị.. mua chuộc ;).... ). 2. Sự thay đổi tính chất (giá trị): tính chất thay đổi thế nào được xem là nguy hại? Do đâu có những thay đổi này? (e.g. bị xâm nhập CSDL và bị flood thông điệp phá hoại, bị deface, bị thành viên flood rác, bị thay đổi từ diễn đàn kỹ thuật thành diễn đàn xã hội để... tám..... ). 3. Sự chấm dứt (vĩnh viễn): do đâu có tình trạng này? (e.g. chẳng còn ai muốn có hva hiện diện nữa, trọn bộ tên miền, máy chủ, csdl... đều bị mất....). Mỗi dạng "hiểm hoạ" ở trên có thể có cả chục, cả trăm hoặc thậm chí cả ngàn khả năng. Khi hình thành được danh sách khả năng, lúc ấy mới xếp loại "rất có thể xảy ra" (most likely happening) đến "ít có thể xảy ra" (least likely happening). Sau khi hình thành xong bảng đánh giá này rồi mới có thể đi đến phương án và biện pháp "mitigate". Sau khi hình thành được các biện pháp "mitigate" (từ đơn giản nhất, ít tốn kém nhất đến phức tạp nhất và bảo đảm nhất) rồi mới có thể chọn ra những biện pháp tốt nhất và hợp lý nhất. Tóm lại: xác định các hiểm hoạ --> xác định các khả năng có thể xảy ra --> sắp xếp khả năng cao đến thấp ---> hình thành các biện pháp khắc phục --> chọn lựa các biện pháp khả thi và thích hợp nhất.

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

@jino_hoang Mới nhìn vào thì ISMS thiên về quản lý, nhưng càng đi sâu vào chi tiết thì càng nhiều vấn đề kỹ thuật. Bắt đầu từ 27011 trở đi gần như kỹ thuật rất nhiều. Đặc biệt chỉ riêng 27033 và 27034 nó chứa một loạt 14 tiêu chuẩn con. Mặc dù nó không hướng dẫn là phải làm như thế nào nhưng nó yêu cầu là phải đảm bảo. Mà để đảm bảo thì kỹ thuật phải rất vững.

Case study: HVA forum và "risk management"

Jino_Hoang — GMT

Như vậy thì để nắm vững được nó cũng cần rất nhiều thứ. Cái này có vẻ ít người biết, em nghĩ anh lên mở một topic về vấn đề này cho em và mọi người quan tâm có thể trao đổi và học hỏi. Như vậy sẽ tập hợp được nhiều kinh nghiệm cũng như tránh làm loãng topic của chú conmale! Thân !

Case study: HVA forum và "risk management"

louisnguyen27 — GMT

conmale wrote:

1. Sự gián đoạn (dài hoặc ngắn). 2. Sự thay đổi tính chất (giá trị). 3. Sự chấm dứt (vĩnh viễn).

Em mở rộng thêm phần của anh một chút. Đánh giá risk bao gồm 2 phần, một phần là qualitative và phần khác là quantitative. Trong 3 cái risk anh conmale trình bày thì cái đầu tiên là quantitative vì thời gian gián đoạn là measurable, cái risk thứ hai là qualitative. Cái risk thứ 3 thực ra là một trường hợp đăc biệt của cái risk thứ 2 và thứ 1. Hai cái risk này có một sự tương quan qua lại: một sự gián đoạn có thể làm thay đổi tính chất giá trị và ngược lại sự thay đổi tính chất giá trị có thể làm gián đoạn hệ thống. Đi sâu hơn vào chi tiết các yêu cầu sau phải xem xét: - Cấu trúc tổ chức (vai trò và hoạt động của admin và mod - đó là câu hỏi tại sao 1 người thì khác gì 2 người cho H3x4, 1 người thì có thể tạo ra risk 1 nhưng 2 người có thể tạo ra risk 2). - Quản lý tài sản (kể cả tài sản vô hình hay hữu hình - vấn đề newbieproit đề cập - chu kỳ sống của một phần cứng, một kỹ thuật hay một phần mềm cần được phân tích và đánh giá, khó nhất là có thể dự báo được công nghệ hay kỹ thuật thay thế). - Nguồn nhân lực (năng lực của admin mod, trong trường hợp các min hiện tại đều về vườn thì khả năng thay đổi tính chất và giá trị rất lớn) - Môi trường và các yếu tố vật lý - Trao đổi thông tin và quản lý hoạt động (Hoạt động của các min và mod, phòng thủ cho HVA, phần này 100% là kỹ thuật) - Access control (Cái này thể hiện ở việc các elite hoặc mod được truy cập vào các khu vực sâu hơn). 1. Trong một cái Risk lớn sẽ có những cái risk nhỏ hơn và xác suất để cái risk nhỏ đó trở thành cái risk lớn. 2. Khi phân tích các risk phải có cái nhìn bao quát và toàn diện. 3. Việc khai triển từ cái risk lớn xuống cái risk nhỏ hơn sẽ được tiếp tục cho đến khi các risk con là có khả năng kiểm soát được tức là các control có tính thực tế.

Case study: HVA forum và "risk management"

St Konqueror — GMT

conmale wrote:

1. Sự gián đoạn (dài hoặc ngắn). 2. Sự thay đổi tính chất (giá trị). 3. Sự chấm dứt (vĩnh viễn). 1. Sự gián đoạn (dài hoặc ngắn): Do đâu có gián đoạn (khách quan và chủ quan), những khả năng có thể tác động đến sự gián đoạn là gì? (e.g. bị cúp điện, bị đứt cáp mạng, hết tiền trả tiền thuê máy chủ, lỡ tay gõ shutdown -h now, disk bị chết, quản lý bị.. mua chuộc ;).... ). 2. Sự thay đổi tính chất (giá trị): tính chất thay đổi thế nào được xem là nguy hại? Do đâu có những thay đổi này? (e.g. bị xâm nhập CSDL và bị flood thông điệp phá hoại, bị deface, bị thành viên flood rác, bị thay đổi từ diễn đàn kỹ thuật thành diễn đàn xã hội để... tám..... ). 3. Sự chấm dứt (vĩnh viễn): do đâu có tình trạng này? (e.g. chẳng còn ai muốn có hva hiện diện nữa, trọn bộ tên miền, máy chủ, csdl... đều bị mất....).

Cháu nghĩ là risk 3 chỉ có thể xuất hiện khi có risk 2. Bởi vì diễn đàn hay user group có bản chất là nơi trao đổi thông tin. Để chấm dứt vĩnh viễn sự tồn tại của chúng thì chỉ có thể là do bản thân chúng không còn mang những giá trị cốt lõi, không còn chứa đựng những thông tin mà các thành viên cần trao đổi. Khi đó, nhu cầu cho sự tồn tại của chúng không còn nữa và chúng sẽ tự diệt vong. Còn các vấn đề như mất trọn bộ cơ sở hạ tầng, thậm chí lực lượng quản lí gặp trục trặc với luật pháp hay tệ hơn là bị đặt ra ngoài vòng luật pháp đi nữa thì có thể chỉ gây ra risk 1, đó là gián đoạn tạm thời (theo thời gian dài hoặc ngắn). Do vậy, nếu xét trong trường hợp HVA, thì cháu nghĩ điều quan trọng nhất là HVA phải gắn bó với những giá trị cốt lõi của chính nó. Ví dụ như đảm bảo việc thi hành nội quy một cách chặt chẽ và định hướng các chủ đề thảo luận đi theo đường lối chung. Regards. -stk