...
Identificatie van de bedreigingen.
De waarschijnlijkheid dat een bedreiging zich manifesteert, dit hangt nauw samen met de kwetsbaarheden van de omgeving en het aantal/aard van de actoren die kunnen ingrijpen op de omgeving.
De impact indien een bedreiging zich manifesteert.
De risicoweging: welke risico’s zijn van groter belang voor de organisatie en moeten met hogere prioriteit aangepakt worden.
...
In deze analyse worden de relevante bedreigingen in kaart gebracht. Het betreft bedreigingen waardoor verlies aan beschikbaarheid, integriteit of vertrouwelijkheid van de informatievoorziening kan ontstaan. Een bedreiging is elke omstandigheid die een kwetsbaarheid in de organisatie kan activeren (door misbruik of ongeluk) om zo een impact uit te lokken.
...
Een kwetsbaarheid moet ruim opgevat worden: het kan gaan om kwetsbaarheden in de infrastructuur, maar ook in de processen en er moet ook rekening worden gehouden met de menselijke factor. Voor kwetsbaarheden in de infrastructuur kan men vaak beroep doen op geautomatiseerde tools zoals ‘vulnerability scans’ en pentests. Maar ook leveranciers en andere instanties rapporteren regelmatig gevonden kwetsbaarheden in systemen (software en hardware) en de oplossing om deze kwetsbaarheden weg te werken. Daarnaast zijn ook gerapporteerde incidenten een bron van informatie over de kwetsbaarheden in een organisatie.
...