Documentatie - Dreigingsanalyse
Tijdens de dreigingsanalyse worden de dreigingen benoemd die relevant zijn voor de organisatie. Daarbij wordt bepaald wat de kans is dat een dreiging leidt tot een incident en wat de impact is van zo'n incident. Vervolgens dient bepaald te worden hoe omgegaan moet worden met het vastgestelde risico. RAVIB beschikt over een lijst van algemene dreigingen (templates). Het gebruik van deze lijst is uiteraard niet verplicht. De lijst is bedoeld als inspiratiebron. Indien een ISO 27001 certificering het doel is, is het doorlopen van deze gehele templatelijst het overwegen waard.
Aan het eind van het opstellen van de scope kan een handout gemaakt worden. Deze uitleg gaat er vanuit dat de deelnemers beschikken over deze handout.
Het eerste dat je bepaalt bij een dreiging is de mogelijke actor. Ga daarbij na welke actor baat heeft bij het verkrijgen van toegang tot informatie of het schaden van de organisatie. Niet iedere dreiging heeft een actor. Soms treed een incident op omdat je gewoon pech hebt. Hardware gaat bijvoorbeeld wel eens stuk. Zijn meerdere actoren mogelijk, ga dan uit van de meest bedreigende actor.
Ga bij het bepalen van de kans uit van de dreiging die uitgaat van de gekozen actor en de (mogelijke) aanwezigheid van kwetsbaarheden in de betreffende systemen. De vertaling van de dreiging vanuit de actor naar de kans-factor kan bepaald worden zoals aangegeven op de handout. Dit is echter de kans die hoort bij het bruto risico. Waar we naar opzoek zijn is de kans waarbij rekening is gehouden met de reeds genomen maatregelen. Dit is het netto risico. Het doel is namelijk dat uiteindelijk voor iedere dreiging het restrisico geaccepteerd kan worden doordat afdoende maatregelen genomen zijn.
Bij het verlagen van de kans als gevolg van genomen maatregelen, stelt RAVIB de volgende regel voor. Heb je voldoende maatregelen genomen, ga dan maximaal twee niveau's omlaag in de kans. Zijn er wel maatregelen genomen, maar is er ruimte voor verbetering, ga dan maximaal een niveau omlaag. De reden hiervoor is dat het niet realistisch is om te denken dat een geavanceerde actor die het op jou voorzien heeft, buiten de deur gehouden kan worden. Wil je het risico verder verlagen, dan moet je dus impactverlagende maatregelen nemen. Vaak blijkt dat als een actor eenmaal binnen is, deze vrij spel heeft. Te veel organisaties nemen te weinig impactverlagende maatregelen. Met deze regel probeert RAVIB daar wat aan te doen. Uiteraard staat het je vrij om van deze regel af te wijken.
Is voor de dreiging geen actor nodig of is de actor geen kwaadwillende actor, bekijk dan hoe vaak een incident als gevolg van de dreiging zou kunnen optreden.
De impact wordt bepaald door alle mogelijke gevolgen van een incident. Denk aan de mogelijke gevolgen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de getroffen informatie, de imagoschade, financiële schade of bestuurlijke / politieke gevolgen.
Neem ook dreigingen met een laag risico op in het overzicht, ook al accepteer je het risico. Deze zijn namelijk mogelijk bruikbaar bij het opstellen van een scenario in een volgende stap.
Het is goed om je te realiseren dat een risico meestal geen stip op de risicomatrix is, maar een lijn. Een risico kan zich met een kleine impact manifesteren of met een grote impact. Risico's met een lage impact hebben doorgaans een grotere kans dan die met een hoge impact. Neem bijvoorbeeld het ontvangen van phishing mail. Een mailserver ontvangt dagelijks vele phishingmails, maar de meeste daarvan worden door filters tegengehouden. Soms komt er wat relatief onschadelijke phishingmail door, maar doorzien gebruikers het of is het achterliggende webformulier door de hostingpartij al verwijderd. Heel soms is het raak en vullen gebruikers daarwerkelijk vertrouwelijke gegevens in. Deze situaties zijn in een lijn op de risicomatrix te plotten. Het is mogelijk om met maatregelen de gehele lijn te verlagen, maar wellicht wil je je als eerst richten op het middenste deel van de lijn en daarna op het rechter deel van de lijn.
Bij de aanpak betekent 'beheersen' het verlagen van zowel de kans als de impact, 'ontwijken' het verlagen van de kans, 'verweren' het verlagen van de impact en 'accepteren' het niet nemen van verdere acties om het risico te verlagen. Het kiezen van 'accepteren' is alleen zinvol als ervoor gekozen wordt om de gehele lijst van dreigingentemplates door te werken.
Per dreiging zijn drie invulvelden beschikbaar; 'Gewenste situatie / te nemen acties', 'Huidige situatie / huidige maatregelen' en 'Argumentatie voor gemaakte keuze'. Deze velden kunnen gebruikt worden voor respectievelijk een nulmeting, het latere plan van aanpak en argumentatie over de gekozen kans, impact en aanpak. De argumentatie is belangrijke informatie bij een eventuele certificering. De inhoud van deze velden is daardoor belangrijker dan de kans, impact en aanpak velden. Deze laatste geven in feite niet meer dan een prioritering of urgentie aan.