Basiskennis - Dreigingen en risico’s (risicoanalyse)

Uit IBpedia

Jump to: navigation, search

Inhoud

Introductie tot het wiki-boek "Basiskennis" en kennisportaal IBpedia

Dit wiki-hoofdstuk is door vier leden van het PvIB gesschreven om het algehele beveiligingsbewustzijn te vergroten en om te dienen als examenstof voor de opleidingsmodule ISFS. Gegeven de Creative Commons licentie van dit boek kunt u de hoofdstukken uit dit wiki-boek in dezelfde schrijfstijl aanvullen en indien nodig corrigeren. Het voorwoord en informatie over de schrijvers van het oorspronkelijke boek kunt u lezen via (Downloadlink voor het boek).

Kennisportaal IBpedia is een gemeenschappelijke Wiki voor informatiebeveiliging en digitale architectuur. Het is ontstaan vanuit de behoefte om vrije kennisdeling over informatiebeveiliging en digitale architectuur op een hoger niveau te brengen en een aanvulling op bestaande gemeenschappen en non-profit organisaties.

Dreigingen en risico’s (risicoanalyse)

Inleiding
Er wordt geen huis meer gebouwd zonder deugdelijk hang- en sluitwerk. Of de deur op slot zit bepaalt u echter zelf. Deze keuze wordt gemaakt uit gewoonte of op basis van een risicoafweging. In gebieden waar veel wordt ingebroken zullen de deuren door de bewoners meestal op slot worden gedaan.
De dreiging is in dit geval het verdwijnen van persoonlijke eigendommen. Het risico dat er bij u wordt ingebroken wordt bepaald door de frequentie waarmee dit in de omgeving voorkomt. De vraag is of het een objectief risico is. Zijn er werkelijk veel inbraken in de buurt? De risico-inschatting is subjectief als u alleen handelt op grond van geruchten.
In het proces van informatiebeveiliging worden ongewenste effecten (dreigingen) zo goed mogelijk in kaart gebracht. Vervolgens wordt bepaald of er iets, en zo ja, wat er moet gebeuren om deze te voorkomen. De ongewenste effecten die voorkomen moeten worden zijn niet altijd duidelijk voor degenen die de maatregelen moeten uitvoeren. Waarom moeten we iedere drie maanden ons wachtwoord veranderen? Andere maatregelen zijn minder zichtbaar, zoals de back-ups die ’s nachts van de bestanden op de server worden gemaakt. Het voordeel daarvan merken we pas als we een bestand kwijt zijn.
We gaan nu globaal in op hoe maatregelen tot stand komen en waar ze voor dienen.

Voordat we gaan beveiligen moeten we weten waartegen beveiligd moet worden. De methodiek die helpt om hier inzicht in te krijgen heet risicoanalyse. Er zijn verschillende vormen van risicoanalyses waarvan een aantal in dit hoofdstuk aan bod zullen komen.

Met een risicoanalyse worden de risico’s voor een organisatie in kaart gebracht. Een risico, het gevaar voor schade aan of verlies van informatie, wordt bepaald door een aantal factoren. Dit zijn de dreiging, de kans dat een dreiging zich daadwerkelijk voordoet en de gevolgen daarvan.

In de praktijk
In het bedrijf waar u werkt kan brand uitbreken;
Een medewerker die niet op de HR afdeling werkt, heeft toegang tot delen van het HR programma;
Iemand doet zich voor als een collega en probeert informatie te verkrijgen;
Uw bedrijf wordt getroffen door een stroomstoring;
Een hacker weet toegang te krijgen tot het bedrijfsnetwerk.
In de informatiebeveiliging worden lijsten met standaarddreigingen gebruikt. Bovengenoemde dreigingen maken hier deel van uit.

In voorgaand voorbeeld is brand een dreiging. Wanneer een dreiging manifest wordt, zoals de hacker die op het bedrijfsnetwerk komt, spreken we van een incident. Een stroomstoring, zoals in begin 2008 toen een helikopter een hoogspanningskabel beschadigde, is zo’n groot incident dat de continuïteit van het bedrijf in gevaar is. Dit noemen we een calamiteit.

Als een dreiging werkelijkheid wordt, ontstaat er een risico voor de organisatie. De grootte van het risico maar ook de inschatting van het management, bepaalt of en hoeveel maatregelen genomen moeten worden om het risico in te perken.

In het nieuws

Het SANS Institute (System, Audit, Network, Security) heeft zijn lijstje van de tien grootste computerdreigingen opgesteld. De meest opvallende dreigingen zijn cyberspionage door overheden, aanvallen op mobiele telefoons en het verspreiden van malware via consumentenproducten als USB-sticks.
Volgens het SANS Institute komt de grootste computerdreiging dit jaar van websites die zwakheden in browsers en bijbehorende plugins (zoals Flash en QuickTime) proberen uit te buiten. Op de tweede plaats verwacht SANS een geavanceerder inzet van botnets, in navolging van de Storm worm die vorig jaar de wereld wakker schudde.
Opvallend is de derde plaats op het lijstje: cyberspionage door grote organisaties of zelfs overheden. In 2007 was China al vaak in het nieuws vanwege vermeend spioneren. SANS verwacht op dit vlak meer activiteit van nog meer organisaties.
Ook het risico van aanvallen op mobiele telefoons en VoIP-systemen staan hoog op de lijst (vierde plek). Telefoons worden steeds geavanceerder, hebben vaak een compleet besturingssysteem en worden daardoor steeds kwetsbaarder.
De gebruiker zelf
Een oude bekende staat op de vijfde plek: de gebruikers/werknemers zelf blijven een zwakke schakel in de beveiliging van (bedrijfs)gegevens. SANS raadt bedrijven onder meer aan om de toegang tot systemen strikt te beperken tot wat de gebruiker nodig heeft om zijn werk goed te kunnen doen.
Op de zesde plaats staat het risico van bots die pc’s drie tot vijf maanden inspecteren om gegevens als wachtwoorden, e-mailadressen, bankgegevens, surfgeschiedenis en dergelijke te verzamelen.
Op de zevende plaats staat het kwaadaardiger worden van spyware. De software zal volgens SANS ook steeds beter worden in het identificeren en uitschakelen van antimalwareprogramma’s, waardoor het een stuk lastiger wordt om spyware van een pc te verwijderen.
In de lagere regionen van het lijstje vinden we nog het uitbuiten van kwetsbaarheden in webapplicaties (achtste plaats), ’social engineering’ (het ’inschakelen’ van de gebruikers van systemen om toegang te krijgen tot die systemen, bijvoorbeeld door phishing) op de negende plaats en op de tiende plaats het verspreiden van malware via consumentenproducten als USB-sticks, fotolijstjes en gps-systemen.
Bron: www.computable.nl

Het proces om van dreigingen naar risico’s en naar beveiligingsmaatregelen te gaan heet risicomanagement.

Risicomanagement is een continu proces waarin de risico’s worden onderzocht, geïdentificeerd en gereduceerd tot een acceptabel niveau. Dit doorlopende proces is op alle onderdelen van de bedrijfsprocessen van toepassing. De taak om dit proces te bewaken wordt in grote organisaties uitgevoerd door een speciaal daartoe aangestelde informatiebeveiligingsdeskundige, bijvoorbeeld de Chief Information Security Officer (CISO), die direct verantwoording schuldig is aan het hoogste management, of de Information Security Officer (ISO).

In dit hoofdstuk wordt uitgelegd hoe een risicoanalyse in zijn werk gaat.

Risicoanalyse

De risicoanalyse is een middel in risicomanagement. Het uitvoeren van een risicoanalyse heeft als doel inzichtelijk te maken welke dreigingen relevant zijn voor de bedrijfsprocessen en welke risico’s hiermee gepaard gaan. Het beveiligingsniveau met de daarbij passende beveiligingsmaatregelen worden vastgesteld.

Een risicoanalyse wordt gebruikt om zeker te stellen dat beveiligingsmaatregelen op een kosteneffectieve en tijdige manier worden ingezet en daarmee een goed antwoord vormen op de dreigingen.

Beveiliging is een complexe zaak, zelfs voor ervaren beveiligingsdeskundigen. Het is niet eenvoudig de balans te vinden tussen te zware beveiligingsmaatregelen en te weinig of de verkeerde maatregelen. Veel geld kan worden uitgegeven aan onnodige beveiligingsmaatregelen omdat er geen doordacht beveiligingsconcept aan ten grondslag ligt. Een hulpmiddel om tot een doordacht beveiligingsconcept te komen is bijvoorbeeld de risicoanalyse.

Een risicoanalyse helpt het bedrijf de risico’s juist in te schatten en daarbij de juiste, evenwichtige beveiligingsmaatregelen vast te stellen. Het management krijgt inzicht in de kosten die gemoeid zijn met het nemen van de juiste maatregelen.

Een risicoanalyse heeft vier hoofddoelen:
Het identificeren van middelen en hun waarde;
Het vaststellen van kwetsbaarheden en dreigingen;
Het vaststellen van het risico dat dreigingen werkelijkheid worden en daarmee het bedrijfsproces verstoren;
Het vaststellen van een evenwicht tussen de kosten van een incident en de kosten van een beveiligingsmaatregel.

De risicoanalyse voorziet in een kosten/batenverhouding. De jaarlijkse kosten die de beveiligingsmaatregelen met zich mee brengen worden vergeleken met het potentiële verlies dat optreedt wanneer dreigingen werkelijkheid worden.

Het mag natuurlijk niet zo zijn dat een server inclusief de data EUR 100.000,= waard is en er voor EUR 150.000,= aan beveiligingsmaatregelen worden genomen. Overigens gaat dit niet altijd op. Er kan een wettelijke eis van kracht zijn om de data te beschermen of maatregelen te nemen. Het gevolg hiervan kan zijn dat de waarde van de maatregelen de waarde van de bedrijfsmiddelen overstijgt.

Overigens is de waarde van data niet gemakkelijk vast te stellen. Denk bijvoorbeeld aan imagoverlies na een beveiligingsincident. De schade daarvan is moeilijk te berekenen.

Soorten risicoanalyses

Er bestaan twee hoofdgroepen risicoanalyses: de kwantitatieve risicoanalyse en de kwalitatieve risicoanalyse.

Kwantitatieve risicoanalyse

De kwantitatieve risicoanalyse probeert op basis van risicowaardering te berekenen wat het financiële verlies is en hoe groot de kans is dat een dreiging een incident wordt. Voor alle elementen in een bedrijfsproces wordt de waarde vastgesteld. Deze waarden kunnen de kosten van beveiligingsmaatregelen bevatten, maar ook de waarde van eigendommen zoals gebouwen, hardware, software, informatie en bedrijfsmatige impact. Ook worden hierbij betrokken de tijdspanne voordat een dreiging uitkomt, de effectiviteit van beveiligingsmaatregelen en het risico dat een kwetsbaarheid benut wordt.

Zo wordt het totale financiële risico in kaart gebracht, passende maatregelen worden bepaald en, niet onbelangrijk, vastgesteld welk restrisico geaccepteerd wordt door de verantwoordelijke managers. Het is de bedoeling dat de kosten van de maatregelen niet de waarde van het te beveiligen object en het risico overstijgen.

Een puur kwantitatieve risicoanalyse is vrijwel onmogelijk. Een kwantitatieve risicoanalyse probeert waarden aan alle zaken te koppelen en dat is niet altijd mogelijk. Een defecte server is naar bedragen om te zetten: de aankoopwaarde en de afschrijving van de server, de waarde van de software die geïnstalleerd moet worden, het arbeidsloon bij reparatie, dat alles is vast te stellen. Maar probeert u imagoschade eens aan een waarde te koppelen! Hoe stellen we vast wat het verlies is door imagoschade? Hoeveel waardeverlies heeft een bedrijf doordat bepaalde data verloren gaan? Soms is dat vast te stellen, soms ook niet.

Dat maakt het ook moeilijk om de juiste maatregelen vast te stellen voor bepaalde schades.

In de praktijk
U hebt een verzekeringskantoor en de gegevens van verzekerden komen op straat te liggen door een fout van een medewerker. Hoeveel klanten gaat u verliezen door dit voorval?
Gegevens van getuigen in een strafzaak lekken uit. Hoeveel mensen zullen nog bereid zijn vrijwillig te getuigen in een strafzaak?
Een medewerker heeft een USB-stick verloren en dit wordt breed uitgemeten in de pers. Hoe betrouwbaar is uw organisatie nog in de ogen van het publiek?

Kwalitatieve risicoanalyse

Een kwalitatieve risicoanalyse gaat uit van scenario’s en situaties. Hierbij worden de kansen dat een dreiging uitkomt bekeken op gevoel. Dan wordt gekeken naar het bedrijfsproces waarop de dreiging betrekking heeft en naar de beveiligingsmaatregelen die al genomen zijn. Dit alles levert een subjectief dreigingsgevoel op. Hierop worden vervolgens maatregelen genomen die het risico moeten inperken. Het beste resultaat wordt bereikt door de analyse in een groepssessie uit te voeren, omdat dit leidt tot een discussie waarin niet het beeld van een persoon of een afdeling leidend is.

Kwantitatieve en kwalitatieve risicoanalyses hebben hun voor- en nadelen. Het management, in overleg met de deskundigen, bepaalt welke methode in welke situatie het best toegepast kan worden.

Maatregelen die het risico verminderen

De risicoanalyse levert een lijst op met dreigingen en hun relatieve belang. De volgende stap is voor elke serieuze dreiging één of meer maatregelen te vinden die het risico verminderen. Dat kan door de kans op de gebeurtenis kleiner te maken of door de gevolgen te minimaliseren, of door een combinatie van beide.

Theoretisch hebben we daarvoor de volgende mogelijkheden:

Typen beveiligingsmaatregelen

Hoe bouwen we de beveiliging op? Dat kan op diverse manieren en hangt af van de doelstellingen die bereikt moeten worden. Wat vaststaat, is dat de beveiligingsmaatregelen altijd samenhangen met de uitkomsten van een risicoanalyse en gebaseerd zijn op de betrouwbaarheidsaspecten en –kenmerken van informatie.

Wat willen we bereiken?

Preventieve maatregelen zijn gericht op het voorkomen van incidenten;

Detectieve maatregelen zijn bedoeld om incidenten waar te kunnen nemen;

Repressieve maatregelen zijn bedoeld om de gevolgen van een incident te stoppen;

Correctieve maatregelen zijn bedoeld om de ontstane schade te herstellen.

Het is mogelijk ons te verzekeren tegen bepaalde incidenten, bijvoorbeeld omdat het zelf nemen van maatregelen te kostbaar is.

Afhankelijk van de omvang van de risico’s kunnen we er ook voor kiezen bepaalde risico’s te accepteren.

Afbeelding:Dreigingen - Creative Commons.png

Preventie

Maak de dreiging onmogelijk. Verbreek de verbinding met internet en metsel de deur dicht. Dit is praktisch onuitvoerbaar, maar er ook zijn heel eenvoudig uitvoerbare maatregelen. Het in een kluis leggen van gevoelige informatie valt onder preventieve maatregelen.

Detectie

Als de directe gevolgen niet te groot zijn of er is tijd om gevolgschade te beperken, dan kan detectie een goed middel zijn. Zorg ervoor dat elk incident zo snel mogelijk wordt gedetecteerd en zorg dat iedereen daarvan op de hoogte is. Een voorbeeld hiervan is videobewaking waarover door middel van plakkers op het raam geïnformeerd wordt. De simpele mededeling dat al het internetgebruik wordt vastgelegd, weerhoudt veel medewerkers van ongeoorloofd surfgedrag. Traceerbaarheid speelt een steeds grotere rol in de maatschappij. Daarmee lijkt ook de bewijslast te verschuiven. Bij verdenking moet de organisatie aantonen dat er géén onregelmatigheden waren.

Repressie (Onderdrukken)

Het vaststellen dat iets gebeurt is niet voldoende. Wanneer er onverhoopt toch iets mis gaat, is het zaak de gevolgen van het incident te beperken. Het heeft bijvoorbeeld geen zin brandmelders te hebben als vervolgens niemand initiatief neemt om een beginnende brand te blussen. Onderdrukkende maatregelen, zoals het blussen van een beginnende brand, zijn erop gericht de schade die ontstaat zoveel mogelijk te beperken. Het maken van een back-up is ook een onderdrukkende maatregel. Immers door periodiek een back-up te maken tijdens het werken aan een document, wordt voorkomen dat het werk geheel verloren gaat bij een incident. Doordat de back-up teruggezet kan worden zal slechts een deel van het werk verloren zijn gegaan. Ook uitwijk is een voorbeeld van een repressieve maatregel.

Correctie (Herstel)

Als een incident heeft plaatsgevonden, dan is er altijd iets dat hersteld moet worden. Afhankelijk van de onderdrukkende maatregelen is de schade beperkt of zeer groot. Maakt een medewerker per ongeluk een nieuwe database aan die de volle database overschrijft dan hangt de schade af van een back-up. Hoe langer het is geleden dat een back-up werd gemaakt, hoe groter de schade.

Verzekeren

Voor gebeurtenissen die niet zijn uit te sluiten en waarvan de gevolgen onaanvaardbaar zijn, zoeken we methoden om de gevolgen te verzachten, ook wel mitigatie genoemd. Een brandverzekering beschermt ons tegen de financiële gevolgen van de brand. Dagelijks een kopie van alle belangrijke gegevens buiten de organisatie brengen zorgt ervoor dat we na de brand in ieder geval de onvervangbare gegevens nog hebben. Beide maatregelen zijn niet goedkoop maar worden doorgaans als gerechtvaardigd gezien.

Accepteren

Wanneer alle maatregelen bekend zijn, kan besloten worden om bepaalde beveiligingsmaatregelen niet uit te voeren omdat de kosten niet in verhouding zijn tot het rendement, of omdat er geen passende maatregelen mogelijk zijn die de risico’s het hoofd bieden.

Soorten dreigingen

Dreigingen kunnen worden onderverdeeld in menselijke dreigingen en niet-menselijke dreigingen. Ook hierbij wordt vaak gebruik gemaakt van standaardlijsten met dreigingen. Het is noodzakelijk om vast te stellen welke dreigingen relevant zijn en welke niet. Beveiliging vraagt immers (financiële) offers van een organisatie en het is niet verstandig te investeren in beveiliging tegen dreigingen die niet zullen optreden.

In de praktijk
Is uw bedrijf gevestigd in een gebied waar nog nooit aardbevingen zijn voorgekomen, dan heeft het geen zin hier rekening mee te houden en hoeven hier geen maatregelen tegen getroffen te worden.

We gaan hier wat verder in op de soorten dreigingen.

Menselijke dreigingen

Opzettelijk. Mensen kunnen opzettelijk schade toebrengen aan informatiesystemen. Dat kan om diverse redenen zijn. Meestal wordt eerst aan oorzaken van buitenaf gedacht, zoals een hacker die een zekere aversie tegen een bedrijf heeft en daarom binnendringt en schade veroorzaakt.

Maar wat te denken van een medewerker die ontslagen wordt en voor vertrek data vernietigd, een medewerker die de verwachte promotie niet krijgt en uit boosheid data vernietigt of een medewerker die data verkoopt aan de concurrent.

We spreken hier weer in computertermen, maar het kan natuurlijk ook gaan over het fysiek vernietigen van informatie of apparatuur. Wie kent de reclame niet van de gefrustreerde medewerker die zijn pc door het raam naar buiten gooit?

Onopzettelijk. Mensen kunnen onopzettelijk schade toebrengen. Druk op de delete-toets en let niet goed op de vraag of je het zeker weet. Steek een USB-stick met een virus in de machine en breng op die manier het virus over op een heel netwerk. Gebruik in paniek een poederblusser om een beginnend brandje te blussen en vernietig daarmee een server. Een typisch geval van menselijk handelen dat bij de juiste brandwerende maatregelen niet nodig was geweest.

In het nieuws
Opzettelijk of onopzettelijk?

Hoe het Witte Huis tien miljoen e-mails verloor zal voor altijd een raadsel blijven, nu een Amerikaanse rechter heeft geoordeeld dat het Executive Office of the President hier geen informatie over hoeft prijs te geven. De burgerrechtenbeweging ’Citizens for Responsibility and Ethics in Washington’ (CREW) wilde via de Freedom of Information Act (FOIA) wat er in de berichten stond en waarom die zijn verdwenen.
Volgens de rechter valt het Executive Office niet onder deze wet, iets wat de Bush-regering in 2006 en 2007 liet aanpassen. CREW denkt dat het Witte Huis mogelijk geprobeerd heeft om lobby schandalen, vermoedelijke politieke invloed op de General Services Administration, verantwoordelijk voor overheidsaanbestedingen, en andere problemen in de doofpot te stoppen door de berichten te verwijderen.
"De Bush-regering gebruikt het juridische systeem om te voorkomen dat het Amerikaanse volk de waarheid over de miljoenen verloren e-mails van het Witte Huis ontdekt," aldus een teleurgestelde CREW-directeur Melanie Sloan.
Bron: www.security.nl

Social Engineering. Social engineering maakt gebruik van mensen door ze informatie te ontfutselen, bijvoorbeeld bedrijfsgeheimen. De social engineer maakt gebruik van zwakheden in de mens om zijn doel te bereiken. Vaak zijn we ons hier niet van bewust en we weten dan ook niet dat een social engineer actief is. Als u op uw werk een vreemde tegenkomt in de gang, vraagt u dan of u hem of haar kunt helpen? Als u een telefoontje krijgt van de helpdesk met de vraag waar een bepaald bestand staat, vraagt of controleert u of het werkelijk de helpdesk is? Voert u in de trein wel eens een gesprek over uw werk en weet u zeker dat daar geen gevoelige informatie in voorkomt? Een social engineer gaat volgens een bepaald patroon te werk. Over social engineering kan een apart boek worden geschreven, we gaan hier niet verder op in.

Niet-menselijke dreigingen

Zo zijn er ook niet-menselijke dreigingen, invloeden van buitenaf zoals blikseminslag, brand, overstroming, stormschade. Veel van deze schades zullen mede bepaald worden door de plaats van de apparatuur in het pand. Bevindt de serverruimte zich pal onder het platte dak dat gevoelig is voor lekkages of juist in de kelder onder het maaiveld, in een bodemstructuur waar het grondwater hoog staat. Zijn er ramen in de gevel of staan de servers in een bunker. Dit alles heeft invloed op de risico’s die de organisatie loopt en wil lopen.

Binnen de menselijke en niet-menselijke dreigingen kunnen we een onderverdeling maken in storingen in de basisinfrastructuur zoals computerapparatuur, programmatuur of gegevensbestanden en storingen in de fysieke omgeving zoals gebouwen, papieren dossiers, elektrische installaties, watervoorzieningen, verwarming, ventilatie en koeling.

In het nieuws

Een gecorrumpeerd bestand heeft een vuurwerkshow in Seattle bijna verknald. Het team dat de show leidde ontdekte het probleem één minuut voor twaalf uur en besloot op het laatste nippertje om de ontstekingsmechanismen handmatig te bedienen.
Niet alleen duurde de show hierdoor langer dan gepland (11,5 in plaats van 8,5 minuten), maar ook verlichtten de vuurpijlen het werk in een ander ritme dan de begeleidende muziek. Omstanders waren desondanks tevreden over de vuurwerkshow, zo bericht een lokale krant.
Volgens een woordvoerder van het bedrijf is dit de eerste keer in veertien jaar dat een dergelijk probleem optrad.
Bron: www.computable.nl

Soorten schade

Schades als gevolg van het manifest worden van genoemde dreigingen kunnen we verdelen in

Directe schade;

Indirecte schade;

Jaarlijkse Schade Verwachting (JSV) of Annual Loss Expectancy (ALE);

Enkelvoudige Schade Verwachting (ESV) of Single Loss Expectancy (SLE).

Een voorbeeld van directe schade is diefstal. Diefstal heeft direct gevolgen voor het zakendoen (de business).

Indirecte schade is gevolgschade die kan optreden, bijvoorbeeld waterschade van het blussen of het niet kunnen voldoen aan een contract omdat de IT-infrastructuur door brand is vernietigd.

In het nieuws


Een werknemer van een Amerikaans bedrijf heeft voor 2,5 miljoen dollar aan bedrijfsgegevens gewist, omdat ze dacht dat haar baas haar wilde ontslaan. De vrouw vermoedde het ontslag na het lezen van een personeelsadvertentie. De vrouw las een personeelsadvertentie voor een functie die erg op die van haar leek. Ze dacht dan ook dat haar functie werd aangeboden. Uit woede besloot de vrouw in te loggen op de server van het bedrijf en alle tekeningen en ontwerpen van de laatste zeven jaar te wissen.
Hoewel een it-consultant de gegevens weer boven water heeft weten te krijgen, is de vrouw aangeklaagd voor het beschadigen van computers. Bovendien hebben de gegevens die de werkneemster wilde wissen een waarde van ongeveer 2,5 miljoen dollar. De advertentie die de vrouw gelezen had, was overigens niet geplaatst door het bedrijf waarvoor zij werkte. Naar haar baan kan ze nu waarschijnlijk fluiten.
Bron: www.computable.nl

Enkelvoudige schadeverwachting is de schade van een incident dat eenmalig optreedt.

De jaarlijkse schadeverwachting is de hoeveelheid schade, in geld uitgedrukt, die door een incident in een jaar kan optreden. Bijvoorbeeld, er wordt een maatregel voorgesteld tegen diefstal van laptops. Er worden gemiddeld 10 laptops per jaar gestolen. De jaarlijkse schadeverwachting is dan de schade van 10 laptops (en de data en programmatuur) en niet van 1. De te kiezen maatregel kan dus duurder worden dan de waarde van een laptop. Maar als een incident statistisch gezien één maal per vijf jaar optreedt, dan is de jaarlijkse schadeverwachting één vijfde van de enkelvoudige schadeverwachting.

Indirecte schade ligt anders, denk bijvoorbeeld aan imagoschade.

In de praktijk
Het onbehoorlijke gedrag van medewerkers verschijnt uitgebreid in de pers en bezorgt de organisatie en negatief imago. Geen reclamecampagne kan dat goedmaken.
Producten moeten worden teruggehaald omdat er gifstoffen in zijn aangetroffen.
Een bepaald automodel blijkt een constructiefout te hebben en overleeft de elandproef niet.

Soorten risicostrategieën

We kunnen op verschillende manieren met risico’s omgaan. De meest voorkomende strategieën zijn:

Risicodragend;

Risiconeutraal;

Risicomijdend.

Onder risicodragend wordt verstaan dat we sommige risico’s accepteren. Dat kan zijn omdat de kosten van de beveiligingsmaatregelen de mogelijke schade overstijgen. Maar het management kan ook besluiten niets te doen ondanks dat de kosten niet hoger zijn dan de schade die kan optreden. De maatregelen die een risicodragende organisatie neemt op het gebied van informatiebeveiliging zijn veelal van repressieve aard.

Onder risiconeutraal wordt verstaan dat er dusdanige beveiligingsmaatregelen worden genomen dat dreigingen of niet meer manifest worden of, wanneer de dreiging wel manifest wordt, de schade als gevolg hiervan geminimaliseerd is. De meeste maatregelen die een risiconeutrale organisatie neemt op het gebied van informatiebeveiliging is een combinatie van preventieve, detectieve en repressieve maatregelen.

Onder risicomijdend verstaan we dat er zodanige maatregelen worden genomen dat de dreigingen zoveel mogelijk worden geneutraliseerd, de dreiging leidt niet meer tot een incident. Denk hierbij aan het invoeren van nieuwe software waardoor de fouten in de oude software geen dreiging meer vormen. In simpele bewoordingen: een ijzeren emmer kan roesten. Neem een kunststof emmer en de dreiging, roest, valt weg. Veel van de maatregelen binnen deze strategie hebben een preventief karakter.

Welke strategie een organisatie ook kiest, de keuze zal bewust door het management moeten worden gemaakt en de gevolgen zullen moeten worden gedragen.

Richtlijnen bij het invoeren van beveiligingsmaatregelen

Het invoeren van beveiligingsmaatregelen is, wanneer dit vanaf de basis gedaan moet worden, veel werk. Bij veel bedrijven is de automatisering in de loop der jaren van één pc op de administratie uitgegroeid tot een grootschalig netwerk met soms wel tienduizenden pc’s en vele servers.

Er bestaan richtlijnen die helpen bij het kiezen van maatregelen. Een bedrijf kan zich ook profileren door duidelijk te maken dat het aan deze richtlijnen voldoet.

De ISO/IEC 27001:2005 standaard gaat over de inrichting van het informatiebeveiligingsproces. ISO/IEC 20000 is de wereldwijde standaard voor IT-servicemanagement. Beide normeringen bieden houvast om de bedrijfsprocessen doelmatig en beveiligd in te richten.

In de ISO/IEC 27002:2007 standaard, ook wel bekend onder de naam ’Code voor de Informatiebeveiliging’, staan richtlijnen voor maatregelen op het gebied van informatiebeveiliging. De richtlijnen in de ISO/IEC 27002:2007 standaard bestrijken het organisatorisch vlak, het procedurele vlak, het fysieke vlak en het logische vlak van informatiebeveiliging.

In de praktijk
De overheid heeft regels opgelegd voor de beveiliging van bepaalde informatie. Denk bijvoorbeeld aan de Wet Bescherming Persoonsgegevens (WBP). Voor overheidsinstellingen is er het Voorschrift Informatiebeveiliging Rijksdienst 2007 (VIR 2007) en de VIR-BI voor het omgaan met bijzondere informatie.
Voor Nederlandse beursgenoteerde bedrijven geldt een dwingende afspraak: de Code Tabaksblat. Voor bedrijven die genoteerd staan aan de Dow Jones Stock Exchange in New York geldt de Sarbanes-Oxley Act (SOx), waaraan ook buitenlandse bedrijven moeten voldoen.
Dit zijn enkele voorbeelden van wet- en regelgeving die bedrijven er toe dwingen hun informatiebeveiliging op orde te hebben. Een middel hiervoor is het voldoen aan de ISO/IEC normen op dit gebied.

Samenvatting

In dit hoofdstuk heeft u veel nieuwe begrippen geleerd, we zijn tevens ingegaan op de verschillende soorten dreigingen en hoe daar mee om te gaan.
De risicoanalyse geeft een duidelijk beeld van het risico dat een organisatie loopt. Welke dreigingen zijn er en welke soorten schade kennen we.
Welke risicostrategieën hebben we tot onze beschikking.
Moeten we wel ieder risico met een maatregel afdekken of kunnen we sommige risico’s accepteren?

0 Casus

De fictieve gemeente Betuwegaard omvat een groot deel van het Gelders rivierengebied. Deze gemeente is ontstaan na een gemeentelijke herindeling, waarbij zeven voorheen zelfstandige gemeenten zijn samengevoegd. De ’oude’ gemeentehuizen zijn als bijkantoor voor serviceverlening open voor het publiek. Centraal in het gebied wordt een nieuw gemeentehuis gebouwd waarin de centrale administratie en onderhoudsdiensten gevestigd worden. Ook is hier het rekencentrum gepland. De automatisering zal samengevoegd worden van zeven afzonderlijke computersystemen naar één centraal computersysteem.

Als locatie is gekozen voor een prachtig gelegen terrein direct naast een groot binnendijks waterrecreatiegebied (voormalige zandafgravingen). Ambtenaren en bezoekers kijken uit over de Waal en de medewerkers kunnen in hun middagpauze genieten van de waterrecreatie naast het pand. Een veerpont zorgt voor een goede verbinding naar de overzijde van de Waal. Een goede verbindingsweg garandeert de bereikbaarheid van het nieuwe gemeentehuis vanuit de omliggende plaatsen. Een brug over de Rijn ligt slechts anderhalve kilometer verderop, van waaruit de hoofdwegen ook goed bereikbaar zijn.

U krijgt de opdracht een risicoanalyse uit te voeren op de nieuwbouwplannen van de gemeente Betuwegaard. Wat voor soort risicoanalyse voert u uit?

Wat zijn de voornaamste risico’s die u onderkent?

Wat zijn de zaken waarmee de gemeente Betuwegaard in het bijzonder rekening moet houden wanneer zij tot nieuwbouw besluit?

Controlevragen:

Wat is het doel van een risicoanalyse?

Wat is het verschil tussen een dreiging en een risico?

Welke typen maatregelen zijn er te onderscheiden?

Welke risicostrategieën zijn er?

Wat is het verschil tussen risicoanalyse en risicomanagement?

Welke soorten risicoanalysemethodieken zijn te onderscheiden?

Welke schadevormen zijn te onderscheiden?

Gerelateerde IBpedia artikelen

Nederlandstalig:

Engelstalig:

Retrieved from "http://www.ibpedia.nl/index.php?title=Basiskennis_-_Dreigingen_en_risico%E2%80%99s_(risicoanalyse)"
Personal tools
Boek maken