English
Nederlands
Aan de hand van dreigingsmodellen identificeert u eenvoudig potentiële risico’s en dreigingen en vermindert de kans om belangrijke factoren over het hoofd te zien. In dit blogartikel duiken we dieper in op verschillende dreigingsmodellen die we hanteren in Base27 en tonen we aan voor welke scope u ze het beste kunt gebruiken.
De verschillende dreigingsmodellen op een rij:
MAPGOOD
Allereerst starten we met het toelichten van een risicoanalyse aan de hand van de MAPGOOD-methode. MAPGOOD is een acroniem en staat voor Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Deze verschillende aspecten kunt u met dit model eenvoudig beoordelen.
Het dreigingsmodel MAPGOOD legt de focus op de beschikbaarheid, waarde en vertrouwelijkheid van informatiebronnen, werkkracht en organisatorische aspecten.
- Mens - Het menselijke aspect wordt geëvalueerd op menselijke fouten. Denk hierbij aan het onopzettelijk foutief handelen door een te complex foutgevoelige bediening, opzettelijk foutief handelen (fraude/diefstal) en het wegvallen van mensen door vakantie, ontslag of bijvoorbeeld ziekten.
- Apparatuur - Apparatuur wordt beoordeeld op basis van falen door (menselijke) installatiefouten, acute technische falen door veroudering of slijtage en bijvoorbeeld technische falen door externe invloeden zoals stroomuitval.
- Programmatuur - Bij programmatuur wordt het programmeren geëvalueerd op basis van organisatorische fouten (zoals geen concrete afspraken met een leverancier), technische mankementen en (on)opzettelijk menselijk handelen.
- Gegevens - Bij gegevens worden veel van de genoemde factoren opnieuw beoordeeld, maar vanuit een andere invalshoek. Hier ligt de focus op het beheren van de gegevensbronnen en de kwaliteit van de beveiliging hiervan.
- Organisatie - De organisatie wordt geanalyseerd op interne factoren zoals de kwaliteit van projectmanagement, beheerorganisatie en het management.
- Omgeving - De omgeving wordt beoordeeld op externe factoren, zoals buitengebeuren (natuurgeweld, oorlogen, stakingen, blokkeringen, etc.), huisvesting van het bedrijf en nutsvoorzieningen.
- Diensten - Diensten worden geëvalueerd van diensten die niet worden nagekomen conform de afspraak, diensten die definitief niet meer geleverd worden tot diensten van dienstverleners die tijdelijk niet beschikbaar zijn.
Met het uitvoeren van een risicoanalyse aan de hand van de MAPGOOD-methode wint u snel inzicht in de informatiebeveiliging binnen uw organisatie. Dit dreigingsmodel is zeer populair onder auditors, door de verschillende invalshoeken waarmee gekeken wordt.
Gebruiken bij de volgende scope:
- Informatiestromen
- Interne processen
Ontdek welk dreigingsmodel het best past bij uw organisatie
RAVIB ©
Het dreigingsmodel RAVIB ©, of in internationale termen RAFIS, is ontwikkeld door Hugo Leisink, een expert in informatiebeveiliging. Het dreigingsmodel biedt ondersteuning bij het organiseren van informatiebeveiliging en kan gebruikt worden voor normen, zoals de ISO/IEC 27001, BIO of NEN:7510.
Om het RAVIB dreigingsmodel goed te gebruiken, wordt geadviseerd om te starten met het uitvoeren van een business impact analyse, waarbij de belangrijke informatiesystemen in kaart worden gebracht. Hierbij moet bepaald worden hoe belangrijk een systeem is voor de organisatie en wat de eisen zijn ten opzichte van de beschikbaarheid, integriteit en vertrouwelijkheid.
Hierna wordt geadviseerd om factoren te identificeren welke mogelijk een inbreuk maken op de informatieveiligheid. Vervolgens kunt u deze verschillende uitkomsten vergelijken aan de hand van het dreigingsmodel.
Het model is oorspronkelijk ontwikkeld in een Excel-document. Een efficiëntere manier om dit model toe te passen in uw informatiebeveiliging strategie kan door middel van een ISMS-tool, zoals Base27. Een ISMS-tool kan de uitkomsten van de risicoanalyse namenlijk automatisch verwerken ten aanzien van verantwoordelijkheid en toekomstige audits.
- Incidentafhandeling - Met deze methode worden incidenten goed onder de loep genomen. Zo worden terugkerende incidenten onderzocht, de gevolgen van incidenten geanalyseerd en de manier hoe de aanpak van incidenten wordt benaderd.
- Ongeautoriseerde toegang - Zo wordt er ook goed gekeken naar de toegang tot apparaten op basis van wachtwoordgebruik, afluisterapparatuur, potentiële kwetsbaarheden in applicaties of netwerken. Maar ook het in kaart brengen van potentiële lekken bij werkplekken.
- Fysieke beveiliging - Bij fysieke beveiliging wordt er goed gekeken naar hoe informatie wordt opgeslagen. Hier wordt de nadruk gelegd op welke informatie verloren gaat bij incidenten, zoals overstromingen, ongelukken, brand of dergelijk. Hiernaast wordt er ook gekeken naar de manier hoe er met incidenten omgegaan wordt.
- Verantwoordelijkheden - Bij verantwoordelijkheden wordt er onderzocht hoe medewerkers omgaan met informatie. Bespreken ze gevoelige informatie openbaar? Pakken de juiste mensen de verantwoordelijkheid op betreft het omgaan met informatie? Daarnaast wordt er ook gekeken hoe er binnen projecten wordt omgegaan met informatie en beveiliging.
- Wet- en regelgeving - De RAVIB-methode analyseert de organisatie ook op de rechtspositie die gehanteerd moet worden op basis van verschillende scenarios. Hiermee wordt gekeken naar het leveren van bewijs, verantwoordelijkheden, maar ook hoe er volgens de richtlijnen omgegaan moet worden met informatie. Hiermee verzekert u dat uw organisatie aan alle zijdes is ingedekt voor de informatiebeveiliging.
- Betrouwbaarheid van systemen - De betrouwbaarheid van systemen wordt beoordeeld op fouten in hardware, software of tijdens het configureren. Maar ook bij wijzigingen in systemen, systemen die niet in eigen beheer zijn of systemen die besmet raken met malware.
- Bedrijfscontinuïteit - Bij bedrijfscontinuïteit wordt er gekeken naar impactvolle situaties, zoals het verliezen van informatie en back-ups, tot de uitval van eventuele cloud-diensten of leveranciers die failliet gaan.
- Uitwisselen- en bewaren van informatie - Ook wordt er geanalyseerd op welke manier gevoelige informatie wordt verstuurd, het SSL beheer en de encryptie in email.
- Menselijk handelen - Tot slot wordt de humane factor ten aanzien van informatiebeveiliging ook behandeld bij de RAVIB methode. Hier wordt er gekeken naar speciale bevoegdheden, identiteitsmisbruik, het uitdelen en innemen van de juiste rechten tot het volgen van het beleid.
Door middel van de RAVIB-methode krijgt u gestructureerd inzicht in alle aspecten van informatieverkeer binnen uw organisatie.
Gebruiken bij de volgende scope:
- Interne organisatie
- Externe organisatie
- (Online) Informatieveiligheid
