De 10 stappen van informatiebeveiliging – Deel 3: Bedreigingen & Risico’s

Zie hier:
– Deel 1: Doel & Inventaris
– Deel 2: Prioriteiten & Kwetsbaarheden
– Deel 3: Bedreigingen & Risico’s
– Deel 4: Beveiliging & Afdwingen
– Deel 5: Evalueren & Compliancy

Stap 5: Bedreigingen

5.1. Het pand
Een kwetsbaarheid is pas gevaarlijk als er ook een actieve bedreiging bestaat die het kwetsbare onderdeel kan bereiken. U moet daarom op de hoogte zijn van de actuele bedreigingen, zodat u daar waar nodig adequaat kunt ingrijpen. Als een pasjessysteem wordt gebruikt voor toegang tot het pand en het blijkt dat de gekozen pasjes nagemaakt kunnen worden, dan is dat zeker een kwetsbaarheid. De vraag in hoeverre inbrekers op de loer liggen om met dit soort nagemaakte pasjes uw pand te betreden, bepaalt echter in hoge mate de bedreiging voor de organisatie.

Het is logisch om elke kwetsbaarheid te willen afdichten en te zoeken naar het juiste systeem om dit zo goed mogelijk aan te pakken. De snelheid waarmee dit moet gebeuren, en de kosten die hiermee gemoeid zijn, worden echter mede bepaald door de inschatting van het dreiginggevaar.

5.2. Het netwerk
Bedreigingen voor computernetwerken zijn legio en nemen elk jaar toe, de kranten staan er vol mee. In de analyse moet staan welke bedreigingen er specifiek voor uw netwerk bestaan, en dat gekoppeld aan de kwetsbaarheid van data en systemen.

De bekendste bedreigingen voor het netwerk zijn hackers en virussen. Hackers kunnen proberen bij wijze van uitdaging – of gewoon uit baldadigheid – op uw netwerk te komen. Maar tegenwoordig gaat het dikwijls om specifieke aanvallen op specifieke onderdelen van organisaties. Daarbij wordt uiteraard gezocht naar de kwetsbaarheden, waarbij de menselijke factor en verouderde software in de praktijk het vaakst misbruikt worden.
Virussen komen veelal op een netwerk door een toevalligheid of onzorgvuldigheid.

Een USB-stick kan een virus van een thuiscomputer overdragen naar het netwerk op kantoor. Bedreigingen kunnen ook ontstaan omdat er aanpassingen zijn verricht aan het besturingssysteem . Als bijvoorbeeld Microsoft een update uitbrengt, betekent dit heel vaak dat er sprake is van een kwetsbaarheid in de software van de fabrikant. Het feit dat er een kwetsbaarheid is ontstaan, en dat dit bekend wordt, levert een nieuwe potentiële bedreiging op. Het lek moet nu zo snel mogelijk worden gedicht. Het is echter ook goed mogelijk dat de leverancier dit lek nog niet ontdekt heeft, maar een cybercrimineel wel en die heeft dan bij gebrek aan een update dus vrij spel.

Stap 6: Risico’s

6.1. Het pand
Het risiconiveau wordt bepaald door zowel de kennis van de relevante kwetsbaarheden en de daarvoor geldende bedreigingen.
Stel dat tijdens een inbraak een briefje met de combinatie van uw kluis is gestolen. De kluis bevat zeer vertrouwelijke informatie, dus de kwetsbaarheid is kritisch. Het feit dat de code mogelijk bewust is ontvreemd, betekent een hoogst actuele bedreiging. Zonder te aarzelen zet u een andere combinatie op de kluis.

In geval van een acuut risico moet er direct gehandeld worden. Door het risiconiveau goed te bepalen, kan adequaat worden ingegrepen. Dat wil onder meer zeggen: Niet onnodig in actie komen voor relatief onschuldige zaken, maar direct handelen wanneer de organisatie werkelijk gevaar loopt. Met deze kennis van zaken worden onnodige kosten vermeden en kan zeer gericht gewerkt worden.

6.2. Het netwerk
Het kritisch karakter van kwetsbaarheden in computernetwerken kan zeer verschillend zijn. Wanneer softwareleveranciers of security specialisten online informatie over een kwetsbaarheid publiceren, geven ze daar zelf een waardering aan die de ernst (dreiging) ervan weerspiegelt. Deze waardering of dreigingrisico is niet altijd één op één te vertalen naar elke specifi eke organisatie. Het kan bijvoorbeeld zijn dat een lek bij Microsoft invloed heeft op een aantal individuele computers, maar dat wil niet automatisch zeggen dat er een acute bedreiging en kwetsbaarheid is voor uw server (uw prioriteit).

Om een juiste inschatting te maken van het risico dienen stappen 1 tot en met 5 te zijn doorlopen. Door het wisselende karakter van, vooral, de kwetsbaarheden en bedreigingen, moet regelmatig een risicoanalyse worden uitgevoerd om een inschatting van de veiligheidsituatie te maken. Door regelmatig een risicoanalyse uit te voeren kan voorkomen worden dat er onnodig, niet of niet adequaat wordt omgegaan met de bedreigingen.

In het volgende deel van deze artikelenreeks gaan we kijken naar beveiliging en afdwingen

Deze artikelenreeks wordt u aangeboden door DearBytes, adviseur in beveiliging van IT-systemen en kostbare informatie. Al 10 jaar helpen zij als All-Round Security Specialist hun relaties met informatiebeveiliging. Niet alleen met uitgebreide theoretische kennis, maar juist met praktische oplossingen voor bedrijven en organisaties. De tekst is geschreven door Erik Remmelzwaal, algemeen directeur van DearBytes.