Dreigingen

Een dreiging en een risico zijn nauw met elkaar verbonden, maar zijn niet hetzelfde. Een dreiging is iets dat schade kan toebrengen aan een organisatie, systeem of persoon. Een risico is de kans dat een bedreiging zich voordoet en de impact die het heeft.

De verhouding tussen dreigingen en risico's kan worden weergegeven in de volgende formule:

Risico = Kans * Impact

De kans is de waarschijnlijkheid dat een bedreiging zich voordoet. De impact is de ernst van de schade die wordt veroorzaakt door de bedreiging.

Bijvoorbeeld, een natuurramp is een bedreiging voor een organisatie die in een risicogebied ligt. De kans op een natuurramp is niet 100%, maar het is wel aanzienlijk. De impact van een natuurramp kan groot zijn, bijvoorbeeld als het leidt tot schade aan gebouwen of infrastructuur.

In de context van informatieveiligheid is een dreiging iets dat schade kan toebrengen aan informatie, zoals malware, phishing of DDoS-aanvallen. Een risico is de kans dat een dreiging zich zal voordoen en de impact ervan op de informatie.

Door de nodige maatregelen te nemen, kan de organisaties de risico's van dreigingen op hun informatie verminderen.

• DR.01 - Gebrek aan sturing op informatiebeveiliging vanuit de directie
• DR.02 - Lijnmanagers nemen hun verantwoordelijkheid voor informatiebeveiliging niet
• DR.03 - Onvoldoende aandacht voor beveiliging binnen projecten
• DR.04 - Medewerkers handelen onvoldoende naar hetgeen van hen verwacht wordt
• DR.05 - Onvoldoende aandacht voor beveiliging bij softwareontwikkeling
• DR.06 - Toegang tot informatie wordt geblokkeerd
• DR.07 - Netwerkdiensten raken overbelast
• DR.08 - Aanvallen via systemen die niet in eigen beheer zijn
• DR.09 - Uitval van systemen door hardwarefouten
• DR.10 - Uitval van systemen door configuratiefouten
• DR.11 - Uitval van systemen door softwarefouten
• DR.12 - Fouten als gevolg van wijzigingen in andere systemen
• DR.13 - Gebruikersfouten
• DR.14 - Systemen worden niet gebruikt waarvoor ze bedoeld zijn
• DR.15 - Wegnemen van bedrijfsmiddelen
• DR.16a - Beleid wordt niet gevolgd
• DR.16b - Gebruik van niet-toegelaten hard- of software wordt niet gemonitored
• DR.17 - Toelaten van externen in het pand of op het netwerk
• DR.18 - Verlies van bedrijfsmiddelen
• DR.19 - Misbruik van andermans identiteit
• DR.20 - Misbruik van speciale bevoegdheden
• DR.21 - Onterecht hebben van rechten
• DR.22 - Slecht wachtwoordgebruik
• DR.23 - Onbeheerd achterlaten van werkplekken
• DR.24 - Onduidelijkheid over classificatie en bevoegdheden
• DR.25- Informatie op systemen bij reparatie of verwijdering
• DR.26 - Misbruik van kwetsbaarheden in applicaties of hardware
• DR.27 - Misbruiken van zwakheden in netwerkbeveiliging
• DR.28a - Onvoldoende aandacht voor beveiliging bij uitbesteding van werkzaamheden
• DR.28b - Onvoldoende afspraken bij uitbesteding van werkzaamheden
• DR.29 - Informatie buiten de beschermde omgeving
• DR.30 - Afluisterapparatuur en/of netwerkscans
• DR.31 - Onveilig versturen van gevoelige informatie
• DR.32 - Versturen van gevoelige informatie naar een onjuiste persoon
• DR.33 - Informatieverlies door verlopen van houdbaarheid van opslagwijze
• DR.34 - Foutieve informatie
• DR.35 - Misbruik van cryptografische sleutels en/of gebruik van zwakke algoritmen
• DR.36 - Kwijtraken van cryptografische sleutels
• DR.37 - Wetgeving over informatie in de cloud
• DR.38 - Buitenlandse wetgeving bij het bezoeken van een land
• DR.39a - Wetgeving over het gebruik van cryptografie
• DR.39b - Wettelijke, statutaire, regelgevende en contractuele eisen
• DR.39c - De Algemene Verordening Gegevensbescherming (AVG) wordt niet nageleefd
• DR.40 - Incidenten worden niet tijdig opgepakt
• DR.41 - Informatie voor het aanpakken van incidenten ontbreekt
• DR.42 - Herhaling van incidenten
• DR.43 - Ongeautoriseerde fysieke toegang
• DR.45 - Een antropogene ramp (vliegtuigcrash, nucleaire ramp, explosies, brand, etc.)
• DR.46 - Natuurrampen
• DR.47 - Verontreiniging of besmetting van de omgeving
• DR.48 - Uitval van facilitaire middelen (gas, water, elektriciteit, telecommunicatie, airco)
• DR.49a - Vandalisme
• DR.49b - Terrorisme
• DR.49c - Industriële acties, stakingen, pandemie
• DR.50 - Niet beschikbaar zijn van diensten van derden
• DR.51 - Software wordt niet meer beveiligd
• DR.52 - Kwijtraken van belangrijke kennis bij niet beschikbaar zijn van medewerkers
• DR.53a - Ransomware: geen veilige en redundante back-upstrategie
• DR.53b - Ransomware: ontbreken van een getest incident response-plan
• DR.53c - Ransomware: onvoldoende beveiliging van internetgerichte infrastructuur
• DR.53d - Ransomware: onveilige configuratie van externe toegangstechnologieën
• DR.53e - Ransomware: gebrek aan regelmatige beveiligingstraining
• DR.53f - Ransomware: gebrek aan samenwerking met nationale CERTs en peers
• DR.53g - Ransomware: ontbreken van een centraal logbeheer en SIEM-oplossing
• DR.53h - Ransomware: onbeheerste en niet-geïnventariseerde bedrijfsmiddelen.
• DR.53i - Ransomware: verouderde en niet-geoptimaliseerde beveiligingsmaatregelen