Documentatie - Dreigingsanalyse

Tijdens de dreigingsanalyse worden de dreigingen benoemd die relevant zijn voor de organisatie. Daarbij wordt bepaald wat de kans is dat een dreiging leidt tot een incident en wat de impact is van zo'n incident. Vervolgens dient bepaald te worden hoe omgegaan moet worden met het vastgestelde risico. RAVIB beschikt over een lijst van algemene dreigingen (templates). Het gebruik van deze lijst is uiteraard niet verplicht. De lijst is bedoeld als inspiratiebron. Indien een ISO 27001 certificering het doel is, is het doorlopen van deze gehele templatelijst het overwegen waard.

Bij het bepalen van de kans en impact, dienen de maatregelen die de kans of impact terugdringen, te worden meegenomen. Met andere woorden, er dient gekeken te worden naar het zogenoemde restrisico. Het doel is namelijk dat uiteindelijk voor iedere dreiging het restrisico geaccepteerd kan worden doordat afdoende maatregelen genomen zijn. Een handige aanpak hierbij is om per risico toch te beginnen met het bespreken van de dreiging, los van de reeds genomen maatregelen, en pas als deze voor iedereen helder en duidelijk is de reeds genomen maatregelen te benoemen. Hierdoor wordt het restrisico makkelijker inzichtelijk en heb je minder kans dat dit restrisico door de reeds genomen maatregelen onterecht wordt afgedaan als zijnde 'verwaarloosbaar klein'.

Per dreiging zijn drie invulvelden beschikbaar; 'Gewenste situatie / te nemen acties', 'Huidige situatie / huidige maatregelen' en 'Argumentatie voor gemaakte keuze'. Deze velden kunnen gebruikt worden voor respectievelijk een nulmeting, het latere plan van aanpak en argumentatie over de gekozen kans, impact en aanpak. De argumentatie is belangrijke informatie bij een eventuele certificering. De inhoud van deze velden is daardoor belangrijker dan de kans, impact en aanpak velden. Deze laatste geven in feite niet meer dan een prioritering of urgentie aan.

Denk bij kans aan of uberhaupt sprake is van de dreiging, de benodigde kennis voor de dreiging, het kennisniveau van de mogelijke aanvaller en de motivatie van de aanvaller om de organisatie aan te vallen.

Denk bij impact aan de mogelijke gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid, de imagoschade, financiële schade of bestuurlijke / politieke gevolgen.

Bij de aanpak betekent 'beheersen' het verlagen van zowel de kans als de impact, 'ontwijken' het verlagen van de kans, 'verweren' het verlagen van de impact en 'accepteren' het niet nemen van verdere acties om het risico te verlagen. Het kiezen van 'accepteren' is alleen zinvol als ervoor gekozen wordt om de gehele lijst van dreigingentemplates door te werken.