Documentatie - Dreigingsanalyse

Tijdens de dreigingsanalyse worden de dreigingen benoemd die relevant zijn voor de organisatie. Daarbij wordt bepaald wat de kans is dat een dreiging leidt tot een incident en wat de impact is van zo'n incident. Vervolgens dient bepaald te worden hoe omgegaan moet worden met het vastgestelde risico. RAVIB beschikt over een lijst van algemene dreigingen (templates). Het gebruik van deze lijst is uiteraard niet verplicht. De lijst is bedoeld als inspiratiebron. Indien een ISO 27001 certificering het doel is, is het doorlopen van deze gehele templatelijst het overwegen waard.

Aan het eind van het opstellen van de scope kan een handout gemaakt worden. Deze uitleg gaat er vanuit dat de deelnemers beschikken over deze handout.

Het eerste dat je bepaalt bij een dreiging is de mogelijke actor. Ga daarbij na welke actor baat heeft bij het verkrijgen van toegang tot informatie of het schaden van de organisatie. Niet iedere dreiging heeft een actor. Soms treed een incident op omdat je gewoon pech hebt. Hardware gaat bijvoorbeeld wel eens stuk. Zijn meerdere actoren mogelijk, ga dan uit van de meest bedreigende actor.

Ga bij het bepalen van de kans uit van de dreiging die uitgaat van de gekozen actor en de (mogelijke) aanwezigheid van kwetsbaarheden in de betreffende systemen. De vertaling van de dreiging vanuit de actor naar de kans-factor kan bepaald worden zoals aangegeven op de handout. Dit is echter de kans die hoort bij het bruto risico. Waar we naar opzoek zijn is de kans waarbij rekening is gehouden met de reeds genomen maatregelen. Dit is het netto risico. Het doel is namelijk dat uiteindelijk voor iedere dreiging het restrisico geaccepteerd kan worden doordat afdoende maatregelen genomen zijn.

Bij het verlagen van de kans als gevolg van genomen maatregelen, stelt RAVIB de volgende regel voor. Heb je voldoende maatregelen genomen, ga dan maximaal twee niveau's omlaag in de kans. Zijn er wel maatregelen genomen, maar is er ruimte voor verbetering, ga dan maximaal een niveau omlaag. De reden hiervoor is dat het niet realistisch is om te denken dat een geavanceerde actor die het op jou voorzien heeft, buiten de deur gehouden kan worden. Wil je het risico verder verlagen, dan moet je dus impactverlagende maatregelen nemen. Vaak blijkt dat als een actor eenmaal binnen is, deze vrij spel heeft. Te veel organisaties nemen te weinig impactverlagende maatregelen. Met deze regel probeert RAVIB daar wat aan te doen. Uiteraard staat het je vrij om van deze regel af te wijken.

Is voor de dreiging geen actor nodig of is de actor geen kwaadwillende actor, bekijk dan hoe vaak een incident als gevolg van de dreiging zou kunnen optreden.

De impact wordt bepaald door alle mogelijke gevolgen van een incident. Denk aan de mogelijke gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de getroffen informatie, de imagoschade, financiële schade of bestuurlijke / politieke gevolgen.

Bij de aanpak betekent 'beheersen' het verlagen van zowel de kans als de impact, 'ontwijken' het verlagen van de kans, 'verweren' het verlagen van de impact en 'accepteren' het niet nemen van verdere acties om het risico te verlagen. Het kiezen van 'accepteren' is alleen zinvol als ervoor gekozen wordt om de gehele lijst van dreigingentemplates door te werken.

Per dreiging zijn drie invulvelden beschikbaar; 'Gewenste situatie / te nemen acties', 'Huidige situatie / huidige maatregelen' en 'Argumentatie voor gemaakte keuze'. Deze velden kunnen gebruikt worden voor respectievelijk een nulmeting, het latere plan van aanpak en argumentatie over de gekozen kans, impact en aanpak. De argumentatie is belangrijke informatie bij een eventuele certificering. De inhoud van deze velden is daardoor belangrijker dan de kans, impact en aanpak velden. Deze laatste geven in feite niet meer dan een prioritering of urgentie aan.