De RAVIB methodiek is zeer geschikt om toe te passen bij een risicoanalyse op het gebied van informatiebeveiliging. Wij laten je zien hoe, en wat daar allemaal bij komt kijken!
Het dreigingsmodel wordt gratis te beschikking gesteld onder de merknamen RAVIB en RAFIS. Het RAVIB model is gericht op het ondersteunen van risicoanalyses op het gebied van informatiebeveiliging. Hoe, dat leggen we hieronder graag uit.
Dreigingsanalyse
Pak je de ISO 27001 of BIO norm erbij, dan valt meteen op dat de risicoanalyse een centrale plek heeft gekregen. En terecht, want het is een uitstekende manier om gestructureerd inzicht te krijgen in de probleemgebieden voor jouw organisatie. Tijdens zo'n risicoanalyse wordt gekeken naar de (belangrijkste) risico's (deze term wordt hieronder min of meer als synoniem gehanteerd voor dreigingen) voor jouw organisatie. De zogenaamde identificatiefase. Vervolgens wordt een analyse en beoordeling van de risico's gemaakt. Per risico wordt de kans op dat risico en de impact van het risico vastgesteld. Er wordt met andere woorden een rangorde gemaakt. Ieder risico krijgt bovendien een eigenaar. Dit is de zogenaamde analysefase.
Dan is het tijd voor de actiefase. In deze fase wordt vastgesteld hoe de organisatie om wenst te gaan met het risico. Grofweg heeft een organisatie hierbij vier opties:
Vermijden: de activiteit wordt beëindigd;
Verminderen: het risico wordt afgedekt;
Overdragen: het risico wordt overgedragen;
Accepteren: het risico wordt geaccepteerd.
Opzet identificatiefase
Hoe pak je nu zo'n identificatiefase aan, waarbij het doel is om de (belangrijkste) risico's in beeld te krijgen? Daar zijn veel verschillende mogelijkheden voor. Wil je snel en praktisch invulling geven aan de identificatiefase? Dan zou je het volgende stappenplan kunnen doorlopen:
Stel samen met de opdrachtgever een lijst op van medewerkers die gaan participeren in de risicoanalyse. Focus daarbij op verbaal mondige medewerkers en zorg voor een brede afvaardiging. Dus niet alleen mensen van IT, maar ook iemand van inkoop, directie, sales, financiën.
Stuur deze medewerkers een uitnodiging voor een eerste bijeenkomst. Stuur meteen een uitdraai van het RAVIB overzicht met dreigingen mee. Leg uit waarom ze zijn uitgenodigd. Leg uit dat in de bijeenkomst een en ander nader wordt toegelicht.
Begeleid de eerste bijeenkomst. Daarin licht je mondeling toe wat van de medewerkers wordt verwacht. Geef aan dat iedere medewerker in de aankomende periode (bijvoorbeeld 2 weken) zijn vijf belangrijkste risico's moet identificeren, gebaseerd op het RAVIB dreigingsmodel. Vraag medewerkers daarbij om het risico specifiek voor de organisatie te definieren. Een risico als 'slecht wachtwoordgebruik' kan weliswaar correct zijn, maar geeft onvoldoende het daadwerkelijke risico weer. Een betere formulering zou kunnen zijn: 'binnen de organisatie delen meerdere medewerkers wachtwoorden voor systeem X'.
Verzamel alle risico's (dit kan in Normity), en ontdubbel de lijst. Nu is het tijd om aan de risico's een eerste risico, impact, eigenaar en actie te koppelen. Tijd om een tweede bijeenkomst te plannen om deze lijst te bespreken met alle betrokken medewerkers.
Tijd voor de tweede bijeenkomst. Je doorloopt met de betrokken medewerkers de resultaten. Licht bij alle risico's toe waarom je deze zodanig hebt beoordeeld. Laat ruimte ontstaan voor de discussie en pas waar nodig de beoordelingen van de risico's aan.
Sluit de risicoanalyse af met een eindrapportage. Daarin is het overzicht opgenomen met de risico's, inclusief de bijbehorende beoordeling (en daarmee sortering). Geef daarnaast per risico aan welke maatregelen genomen moeten worden om de risico's aan te pakken.
Bij dat laatste kan RAVIB ook ondersteunen. Het is van belang dat de betrokken medewerkers bij het vaststellen van hun belangrijkste risico's steeds aangeven op welke RAVIB dreiging het risico is gebaseerd. Waarom is dat nu zo belangrijk? In de RAVIB methodiek zijn aan alle dreigingen maatregelen uit de ISO 27002 gekoppeld. Dat betekent dat je bij een dreiging dus meteen kunt zien welke maatregelen je als organisatie moet nemen. Hieronder volgt hiervan een voorbeeld!
Voorbeeld van dreiging
Op het moment van schrijven bevat de RAVIB methodiek 51 dreigingen, verdeeld over de volgende categorieën:
Verantwoordelijkheid
Continuïteit en betrouwbaarheid van systemen
Menselijk handelen
Toegang tot informatie
Uitwisselen en bewaren van informatie
Wet- en regelgeving
Incidentafhandeling
Fysieke beveiliging
Bedrijfscontinuïteit
Voor het voorbeeld pakken we een risico uit de categorie 'Toegang tot informatie', namelijk 'Slecht wachtwoordgebruik'. Het gaat dan om het slecht omgaan met wachtwoorden binnen de organisatie. Hierbij moet je denken aan het gebruik van zwakke wachtwoorden, het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen. Dit kan bijvoorbeeld ontstaan door het ontbreken van een wachtwoordbeleid of onvoldoende bewustzijn bij medewerkers.
Heeft een medewerker deze dreiging uit de RAVIB methodiek geselecteerd? Dan geeft RAVIB jou direct de maatregelen uit de ISO 27002 (en de BIO) die bij deze dreiging horen. In dit concrete geval zijn dit 5.17 (Beheren van authenticatie informatie), 6.3 (Bewustwording, opleiding en training op informatiebeveiliging), 8.5 (Beveiligde authenticatie) en 8.12 (Voorkomen van gegevenslekken). Deze koppeling tussen dreiging en maatregelen is terug te vinden op de website van RAVIB.
Comments