Table of Contents | |
---|---|
|
|
Een dreiging Dreiging en een risico zijn twee concepten die nauw met elkaar verbondenverwant zijn, maar zijn niet hetzelfdeze hebben elk een specifieke betekenis. Een dreiging is iets verwijst naar een potentieel gevaar dat schade kan toebrengen berokkenen aan een organisatieentiteit, systeem of persoon. Een risico is de kans dat een bedreiging zich voordoet en de impact die het heeft.
De verhouding tussen dreigingen en risico's kan worden weergegeven in de volgende formule:
Risico = Kans * Impact
De kans is de waarschijnlijkheid dat een bedreiging zich voordoet. De impact is de ernst van de schade die wordt veroorzaakt door de bedreiging.
Bijvoorbeeld, een natuurramp is een bedreiging voor een organisatie die in een risicogebied ligt. De kans op een natuurramp is niet 100%, maar het is wel aanzienlijk. De impact van een natuurramp kan groot zijn, bijvoorbeeld als het leidt tot schade aan gebouwen of infrastructuur.
In de context van informatieveiligheid is een dreiging iets dat schade kan toebrengen aan informatie, individu. Aan de andere kant, definieert risico de waarschijnlijkheid dat een specifieke dreiging zich manifesteert en de daaruit voortvloeiende schadelijke gevolgen.
Dit verband tussen dreiging en risico kan als volgt wiskundig worden uitgedrukt: Risico = Waarschijnlijkheid * Gevolg
Hierbij staat 'Waarschijnlijkheid' voor hoe waarschijnlijk het is dat de dreiging werkelijkheid wordt, en 'Gevolg' staat voor de schade of impact van die dreiging.
Ter illustratie: een natuurramp vormt een dreiging voor een bedrijf gevestigd in een gevoelige zone. Hoewel de kans op zo'n ramp niet absoluut is, kan het wel significant zijn. De mogelijke gevolgen van zo'n ramp kunnen enorm zijn, zoals materiële schade aan infrastructuur. In termen van informatieveiligheid kan een dreiging bijvoorbeeld een cyberaanval zijn zoals malware, phishing of DDoS-aanvallenacties. Een risico is de kans dat een dreiging zich zal voordoen en de impact ervan op de informatie.
Door de nodige maatregelen te nemen, kan de organisaties de risico's van dreigingen op hun informatie verminderen.
Overzicht
Het risico in deze context beschrijft dan hoe waarschijnlijk het is dat zo'n aanval plaatsvindt en wat de potentiële schade aan de data zou zijn. Het is essentieel voor organisaties om proactieve stappen te ondernemen om de risico's gerelateerd aan deze dreigingen te minimaliseren.
De dreigingscataloog is een lijst van veel voorkomende dreigingen binnen het domein informatieveiligheid. Deze lijst is generiek en bevat niet alleen technische dreigingen, maar ook organisatorisch dreigingen. Dreigingen zijn er op strategisch, tactisch en operationeel niveau. De cataloog is een startpunt ter ondersteuning van risicobeoordelingen. Specifieke dreigingen die niet opgelijst staan dienen ook overwogen te worden in context van de informatieasset waarop een risicobeoordeling wordt uitgevoerd.
Page Tree Search | ||
---|---|---|
|
Page Properties Report | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
|
Bronnen voor identificatie van dreigingen
De volgende bronnen zijn gebruikt bij het oplijsten van de dreigingscataloog:
STRIDE
Het STRIDE model is een benadering van Microsoft voor identificatie van dreigingen m.b.t. websites
ISO 27799
Dit is de norm die richtlijnen geeft voor een informatieveiligheid beheerssysteem in de gezondheidszorg
OWASP
Het Open Worldwide Application Security Project (OWASP) is een open source-project rond informatieveiligheid
ISO 27005
Dit zijn de specifieke richtlijnen voor het beheer van informatiebeveiligingsrisico's binnen de 27K internationale norm die richtlijnen geeft voor een informatieveiligheid beheerssysteem
BSI
Het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI) heeft zeer uitgebreide richtlijnen voor informatieveiligheid met o.m. een lijst van 47 basisdreigingen
DBIR
Het Data Breach Investigations Report (DBIR) wordt jaarlijks gepubliceerd door Verizon m.b.t. cybercrime veiligheidsincidenten
CSA
De Cloud Security Alliance (CSA) rapporteert de topdreigingen i.v.m. cloud computing
ETL
Het ENISA Threat Landscape (ETL) rapport is een jaarlijks rapport van het European Union Agency for Cybersecurity (ENISA) m.b.t. cybersecurity
NIST wiki
Het National Institute for Standards and Technology (NIST) onderhoudt een wiki-pagina met daarop verschillende catalogi van dreigingen en rapporten van diverse organisaties m.b.t. dreigingen
Ravib
De Nederlandse website risicoanalyse voor informatiebeveiliging (Ravib) biedt een tool voor het uitvoeren van een risicoanalyse voor informatiebeveiliging gekoppeld aan ISO 27001 beheersmaatregelen
Page Properties | ||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||
Document status
status opties:
status eveneens aanpassen bovenaan deze pagina |