Risico Analyse

19 belangrijke vragen over Risico Analyse

Waarom niet zoveel mogelijk risicos beperken door maatregelen

Maatregelen brengen kosten met zich mee en beperken in het algemeen de functionaliteit van systemen. Het is zaak om niet te zwaar maar ook niet te licht te beveiligen

Welke soorten Risico analyse zijn er

Standaard benadering middels checklisten
  1. quickscan
  2. Baseline

Maatwerk benadering middels echte risicoanalyses
  1. Kwalitatieve Risicoanalyse
  2. Kwantitatieve Risicoanalyse

Geef de voors en tegens aan van checklisten en de verschillen tussen de twee soorten.

Een quickscan maakt gebruikt van externe normen terwijl een baseline checklist  meer diepgang biedt.
Checklisten hebben als voordeel dat:
  • eenvoudig en bieden behoudens onderhoud alleen bij de ontwikkeling veel inspanning.
  • normeerbaar: door dezelfde checklisten in meerdere situaties/organisaties te hanteren kunnen resultaten worden vergeleken en getoetst.

De nadelen zijn:
  • One Size does not fit all; Niet alle organisaties of organisatiedelen werken op dezelde manier waardoor interpretatiefouten gemaakt kunnen worden.
  • Checklisten zijn statisch en raken door nieuwe technologiën snel verouderd.
  • gevoelig voor hackers, Een checklist biedt hackers inzicht in de beveiligingsmaatregelen die omzeilt moeten worden.
  • Hogere cijfers + sneller leren
  • Niets twee keer studeren
  • 100% zeker alles onthouden
Ontdek Study Smart

Wat zijn de voors en tegens van een echte risicoanalyse


voor
  • Maatwerk; Na een echte risicoanalyse weet je wat je hebt
  • Up-to-date; Omdat iedere analyse vanaf 0 begint zijn de resultaten altijd actueel
Tegen:
  • Complex: Het uitvoeren vereist veel werk en is relatief kostbaar
  • Informatie-overload: De output kan leiden tot een overdaad aan informatie wat het besluitvormingstraject over te nemen maatregelen bemoeilijkt.

Wat is een aandachtspunt bij Quickscans.

Quickscans werken mits breed uitgezet als een organisatiethermometer. Bij een quickscan is om een het rendement te optimaliseren vaak een aantal aanvullende interviews nodig. De resultaten moeten aan de invullers van de scan worden teruggekoppeld. Bij een quickscan is een expert nodig die vragen uitzet, de interviews uitvoert en de resultaten analyseert en terugkoppelt. Als een quickscan periodiek wordt herhaald kan deze worden gezien als een standaard rapportage.

Wat zijn de effecten van een quickscan

Een quickscan biedt inzicht in de resultaten van de maatregelen
daarnaast zorgt de quickscan ervoor dat men weer gaat nadenken over de wijze waarop de informatiebeveiliging is gerealiseerd (security awareness)

Wat is een baseline checklist.

Men gebruikt hier een norm die zelf is opgesteld. De baseline is een in de hele organisatie geïmplementeerde set elementaire beveiligingsmaatregelen. Deze baseline is van toepassing op alle apparatuur, programmatuur en gegevensverzamelingen. Ze dekken de beveiligingsbehoefte in de breedte van de organisatie of het gaat om maatregelen die alleen zinvol zijn als iedereen ze toepast. de baseline wordt ingericht op een aantal (dus niet de meest kritische) toonaangevende bedrijfsprocessen. voor deze processen wordt een diepgaandere risicoanalyse uitgevoerd waarvan de resultaten als normstellend worden gebruikt binnen de gehele organisatie.

Hoe gaan een kwalitatieve risicoanalyse in het werk

Er worden op basis van een set relevante bedreigingen schattingen gemaakt van de te verwachte schade. Er wordt dus geen precieze waarde voor risico's bepaald maar er kan wel duidelijkheid worden gegeven over dit risico in relatie tot andere risico's. Een voorbeeld hiervan is de A&K ananlyse.

Wat is een kwantitatieve riscoanalyse

Dit is de meest vergaande vorm van analyse. De werking is vrijwel gelijk aan de kwalitatieve methode allen wordt er nu middels een formule per object een risico berekend. Hierbij moeten dus veel factoren bekend zijn. Het is vaak niet mogelijk/realistisch om alle factoren en de kans dat het optreed in beeld te krijgen. Vandaar dat men vaak werkt met een combinatie van de twee methodieken. Waarbij men naarmate processen kritischer zijn meer richting de kwantitatieve methode schuift.

Welke methodieken voor risicoanalyse zijn er

Er zijn methoden die zich richten op het bedrijfsproces en methoden die zich richten op de techniek waarbij de laatste weer onder te verdelen zijn in applicatiegerichte of infrastructuurgerichte risicoanalyses

Welke partijen zijn bij een risicoanalyse betrokken

  • De opdrachtgever: management, auditor of een belanghebbende derde partij
  • De uitvoerder: meestal een klein team van mensen die de analyse uitvoeren dit kunnen interne- of externe specialisten zijn. Om blindheid voor bepaalde risico's tegen te gaan is het verstandig dat teamleden rouleren.
  • De deelnemer: De personen die verantwoordelijk zijn voor het te onderzoeken object. Je weet hiervan niet van tevoren of ze mee of tegen gaan werken. Deelnemers vullen vragenlijsten in, werken mee aan interviews en kunnen motiveren (evidence) het is verstandig om deze zelfde personen ook hun visie op maatregelen en verbetervoorstellen te laten geven.

Welke afweging wordt gemaakt bij beveiligingsrisico's.

Er moet via vastgestelde criteria worden bepaald of een risico aanvaardbaar is. Is een risico niet aanvaardbaar dan kunnen de volgende behandelingen worden toegepast:
  • Gepaste beheersmaatregelen ter vermindering van het risico
  • Bewuste aanvaarding van het risico indien dit past binnen beleid en risicocriteria
  • risicovermijding door alle handelingen die het risico mogelijk laten op treden te verbieden/voorkomen.
  • het risico overdragen aan een andere partij. (verzekeraar of leverancier)

Wat is een aandachtspunt bij beheersmaatregelen.

Maatregelen of een combinatie hiervan moeten de kans dat een risico optreed verminderen en waarborgen dat het risico tot een aanvaardbaar niveau wordt gereduceerd. Hierbij moet rekening worden gehouden met:
  • Beperkingen en eisen van geldende nationale en internationale wet- en regelgeving.
  • de doelstellingen van de organisatie
  • operationele beperkingen en eisen
  • acceptabele kosten voor implementatie en beheer en kosten in overeenstemming met de mogelijke voortvloeiende schade

Wat zijn gestandariseerde maatregelen

Deze maatregelen zijn vastgelegd in ISO/IEC 27002 normen of andere relevante bronnen. Als niet aan alle normen kan worden voldaan doordat een beheersmaatregel niet toepasbaar is moet getracht worden de zelfde beheersdoelstelling te halen.

Wat heeft het beheer van bedrijfsmiddelen te maken met informatiebeveiliging.

In de code staat voorgeschreven dat alle bedrijfsmiddelen een eigenaar moeten hebben en dat beschreven moet zijn wie voor het toepassen van de beheersmaatregelen op dit bedrijfsmiddel verantwoordelijk is. Voor een goed beheer dienen alle bedrijfsmiddelen vastgelegd en geklassificeerd te worden en moet het belang van de middelen worden vastgelegd.

Welke typen bedrijfsmiddelen zijn er:

  • informatie: databases en gegevensbestanden, contracten en overeenkomsten, systeem en gebruikersdocumentatie, cursussen, uitwijkplannen, handboeken, gearchiveerde info etc
  • Programmatuur: systeemprogrammatuur, toepassingsprogrammatuur, ontwikkelprogrammatuur en hulpprogrammatuur.
  • Fysieke bedrijfsmiddelen: Computers, communicatieapparatuur, uitwisselbare media en andere apparatuur
  • Diensten: Computer- en communicatiediensten, nutsvoorzieningen,
  • Mensen en hun opleiding, vaardigheden en ervaringen
  • Immateriele zaken zoals imago en reputatie

Ten aanzien van het gebruik van bedrijfsmiddelen moeten regels vastgesteld worden. Aan deze regels dient iedere werknemer, externe gebruiker of ingehuurde gebruiker zich te houden. Denk hierbij aan:
- Regels voor email en internetgebruik
- Regels voor gebruik van apparatuur op een externe locatie

Wat verstaan we onder classificatie van informatie

Middels classificatie kunnen we waarborgen dat informatie een geschikt niveau van bescherming krijgt. Een informatieclassificatieschema kan gebruikt worden om adequate niveaus van bescherming te implementeren en te communiceren over de noodzaak van de aparte verwerkingsmaatregelen. Classificatie gaat op basis van:
  • Waarde
  • Gevoeligheid
  • Wettelijke eisen
  • Onmisbaarheid
In de richtlijnen voor classificatie moeten de conventies voor de initiele classificatie en aanpassingen door de tijd heen worden bijgehouden. Voorbeelden van classificatieniveaus zijn:
  • Publiek
  • Intern
  • Vertrouwelijk

Bij classificatie moet je rekening houden met de houdbaarheid van informatie.

Wat is een aandachtspunt bij classificatie

Er moet niet over of ondergeclassificeerd worden. Bij onderclassificatie wordt het systeem in een te lage beveiligingsklasse geplaatst en bij overclassificatie juist andersom wat kan leiden tot hoge kosten en/of beperking in functionaliteit.
De eigenaar van een ICT voorziening is verantwoordelijk voor het bepalen en bijhouden van de classificaties. Indien er nog geen eigenaar is (bv bij een project) ligt de verantwoordelijkheid bij de opdrachtgevers.

Wat verstaan we onder labeling en verwerking van informatie

De uitvoer van systemen die als gevoelig of kritiek bestempeld worden moeten worden gelabeld. Hierbij moet je denken aan uitvoer naar het scherm of in rapportages of de exports naar tape/disk of removable media.  Voor al deze zaken moeten verwerkingsprocedures worden ingericht mbt het
verwerken, vastleggen, uitwisselen, declassificatie, archivering en vernietiging.
Let er hierbij op dat bij uitwisseling van deze informatie naar derden een overeenkomsten moeten zijn gesloten waarin deze procedures zijn beschreven.

De vragen op deze pagina komen uit de samenvatting van het volgende studiemateriaal:

  • Een unieke studie- en oefentool
  • Nooit meer iets twee keer studeren
  • Haal de cijfers waar je op hoopt
  • 100% zeker alles onthouden
Onthoud sneller, leer beter. Wetenschappelijk bewezen.
Trustpilot-logo