Startpagina / Samenvattingen / Class notes - Management van Informatiebeveiliging / risico-maatregelen-quickscan

Risico Analyse

19 belangrijke vragen over Risico Analyse

Waarom niet zoveel mogelijk risicos beperken door maatregelen

Maatregelen brengen kosten met zich mee en beperken in het algemeen de functionaliteit van systemen. Het is zaak om niet te zwaar maar ook niet te licht te beveiligen

Welke soorten Risico analyse zijn er

Standaard benadering middels checklisten
  1. quickscan
  2. Baseline

Maatwerk benadering middels echte risicoanalyses
  1. Kwalitatieve Risicoanalyse
  2. Kwantitatieve Risicoanalyse

Geef de voors en tegens aan van checklisten en de verschillen tussen de twee soorten.

Een quickscan maakt gebruikt van externe normen terwijl een baseline checklist  meer diepgang biedt.
Checklisten hebben als voordeel dat:
  • eenvoudig en bieden behoudens onderhoud alleen bij de ontwikkeling veel inspanning.
  • normeerbaar: door dezelfde checklisten in meerdere situaties/organisaties te hanteren kunnen resultaten worden vergeleken en getoetst.

De nadelen zijn:
  • One Size does not fit all; Niet alle organisaties of organisatiedelen werken op dezelde manier waardoor interpretatiefouten gemaakt kunnen worden.
  • Checklisten zijn statisch en raken door nieuwe technologiën snel verouderd.
  • gevoelig voor hackers, Een checklist biedt hackers inzicht in de beveiligingsmaatregelen die omzeilt moeten worden.
  • Hogere cijfers + sneller leren
  • Niets twee keer studeren
  • 100% zeker alles onthouden
Ontdek Study Smart
Testimonial person
Paloma
Rechten
Quotes

Voor mijn 1e tentamen haalde ik een 6. Toen ben ik gaan zoeken naar manieren om beter te leren en ben ik Study Smart tegen gekomen. Sindsdien heb ik een 9,0 - 8,0 - 7,6 - 8,0 - 8,0 gehaald. Ik raad het echt íédereen aan die het maar horen wil. Ik ben er zo blij mee!!

Testimonial person
Zeger
Handels- wetenschappen
Quotes

Met mijn oude methode was ik geslaagd voor maar 3 van de 8 vakken. Sinds ik mijn aantekeningen digitaal maak in study smart, ben ik voor alle vakken de éérste keer geslaagd. StudySmart neemt voor mij de stress van slagen of niet slagen weg.

Testimonial person
Sara
Bestuurskunde
Quotes

Door StudySmart gaat het op zo veel vlakken beter met mij. Eerst had ik continu studiestress en ik had nergens tijd voor. Nu voel ik mij rustig en zelfverzekerd (door gebruik van het programma). Eerst haalde ik meestal een 7, nu vaak een 8 of zelfs een 9.

Testimonial person
Fleur
Bedrijfskunde HBO
Quotes

Hey Chris, ik wil je echt hartelijk danken voor het ontwikkelen van het platform. Ik haalde hiervoor altijd rond de 6/10 voor m'n tentamens, nu een 8,6, een 7,9 en een 7,6!!

Testimonial person
Amber
Psychologie (master)
Quotes

Sinds ik Study Smart gebruik, is mijn gemiddelde 1 punt gestegen. Ik heb zelfs een statistisch vak met een 10/10 afgerond terwijl ik slecht ben in statistiek. Nu volg ik extra vakken omdat vorig jaar zo goed ging door Study Smart. Veel dank!

Testimonial person
Jana
Verpleegkunde
Quotes

Sinds ik ben gaan leren met StudySmart ben ik geslaagd voor al mijn examens!!! Geen herexamens!! Eerst was ik al blij met een voldoende en nu haal ik alleen maar goede cijfers. Veel dank!

Testimonial person
Miloe
24 – Student B&O
Quotes

Ik heb alle vakken die ik met Study Smart heb geleerd gehaald. Met rechten ben ik van een 5 naar een 8 gegaan! Ik weet nu zeker dat ik al mijn vakken gewoon ga halen.

Testimonial person
Nina
19 – Student Communication
Quotes

Ik dacht altijd dat ik goed studeerde. Mijn cijfers waren ook prima. Ik had mij nooit kunnen voorstellen dat ik zo veel beter en sneller zou studeren door het toepassen van deze vaardigheden.

Testimonial person
Babette
19 – Student Marketing
Quotes

Ik voel mij voor het eerst 100% zeker over de manier waarop ik leer. Ik heb nu het complete overzicht en de structuur die ik nodig had

Testimonial person
Kurt
22 – Student Industrial Eng
Quotes

Door Study Smart kreeg ik weer plezier in het studeren en haalde ik direct betere cijfers. Alles ging ineens beter. Ik raad Study Smart enorm aan aan scholieren en studenten.

Testimonial person
Regan
24 – Student Law
Quotes

Met dit plaform kan ik super snel en gestructueerd studeren. Ik ben nooit meer de weg kwijt in de stof of in mijn aantekeningen en maak veel sneller goede samenvattingen.

Testimonial person
Wouter
21 – Student Psychology
Quotes

Eerst waren mijn aantekeningen een zooitje. Nu gebruik ik Study Smart en studeer ik super gestructureerd. Het helpt mij om tijd te besparen waardoor ik ook andere dingen kan doen die ik belangrijk vind.

Testimonial person
Janneke T
Teacher
Quotes

Leerlingen die met het systeem hebben gewerkt hebben gewoon een beter resultaat behaald. Het systeem past alle leertrucjes zo toe, dat zowel de kinderen die goed scoren, maar ook zij die minder scoren, aan hun trekken komen.

Testimonial person
Sietse
Muziektherapie
Quotes

Hey Chris, ik wil je enorm bedanken. Het vak waar ik vorig jaar nog net een 5,5 voor haalde, heb ik nu voor ditzelfde vak maar liefst een 9,7 gehaald! Mede dankzij jouw methode! Heel erg bedankt!

Testimonial person
Marije
Parent
Quotes

Het grootste effect is dat mijn kind veel enthousiaster is over school! Elke ouder wilt graag dat zijn kind het goed doet op school, en Study Smart draagt daar aan bij.

Testimonial person
Delano
Diergeneeskunde
Quotes

Dankzij StudySmart heb ik vorig jaar al mn examens gehaald en ook veel betere punten gehaald. Maar bovenal heb ik nu gewoon een heel goede studiemethode onder de knie, waarmee ik zeker weet dat ik de rest van mijn studie gewoon ga halen.

Wat zijn de voors en tegens van een echte risicoanalyse


voor
  • Maatwerk; Na een echte risicoanalyse weet je wat je hebt
  • Up-to-date; Omdat iedere analyse vanaf 0 begint zijn de resultaten altijd actueel
Tegen:
  • Complex: Het uitvoeren vereist veel werk en is relatief kostbaar
  • Informatie-overload: De output kan leiden tot een overdaad aan informatie wat het besluitvormingstraject over te nemen maatregelen bemoeilijkt.

Wat is een aandachtspunt bij Quickscans.

Quickscans werken mits breed uitgezet als een organisatiethermometer. Bij een quickscan is om een het rendement te optimaliseren vaak een aantal aanvullende interviews nodig. De resultaten moeten aan de invullers van de scan worden teruggekoppeld. Bij een quickscan is een expert nodig die vragen uitzet, de interviews uitvoert en de resultaten analyseert en terugkoppelt. Als een quickscan periodiek wordt herhaald kan deze worden gezien als een standaard rapportage.

Wat zijn de effecten van een quickscan

Een quickscan biedt inzicht in de resultaten van de maatregelen
daarnaast zorgt de quickscan ervoor dat men weer gaat nadenken over de wijze waarop de informatiebeveiliging is gerealiseerd (security awareness)

Wat is een baseline checklist.

Men gebruikt hier een norm die zelf is opgesteld. De baseline is een in de hele organisatie geïmplementeerde set elementaire beveiligingsmaatregelen. Deze baseline is van toepassing op alle apparatuur, programmatuur en gegevensverzamelingen. Ze dekken de beveiligingsbehoefte in de breedte van de organisatie of het gaat om maatregelen die alleen zinvol zijn als iedereen ze toepast. de baseline wordt ingericht op een aantal (dus niet de meest kritische) toonaangevende bedrijfsprocessen. voor deze processen wordt een diepgaandere risicoanalyse uitgevoerd waarvan de resultaten als normstellend worden gebruikt binnen de gehele organisatie.

Hoe gaan een kwalitatieve risicoanalyse in het werk

Er worden op basis van een set relevante bedreigingen schattingen gemaakt van de te verwachte schade. Er wordt dus geen precieze waarde voor risico's bepaald maar er kan wel duidelijkheid worden gegeven over dit risico in relatie tot andere risico's. Een voorbeeld hiervan is de A&K ananlyse.

Wat is een kwantitatieve riscoanalyse

Dit is de meest vergaande vorm van analyse. De werking is vrijwel gelijk aan de kwalitatieve methode allen wordt er nu middels een formule per object een risico berekend. Hierbij moeten dus veel factoren bekend zijn. Het is vaak niet mogelijk/realistisch om alle factoren en de kans dat het optreed in beeld te krijgen. Vandaar dat men vaak werkt met een combinatie van de twee methodieken. Waarbij men naarmate processen kritischer zijn meer richting de kwantitatieve methode schuift.

Welke methodieken voor risicoanalyse zijn er

Er zijn methoden die zich richten op het bedrijfsproces en methoden die zich richten op de techniek waarbij de laatste weer onder te verdelen zijn in applicatiegerichte of infrastructuurgerichte risicoanalyses

Welke partijen zijn bij een risicoanalyse betrokken

  • De opdrachtgever: management, auditor of een belanghebbende derde partij
  • De uitvoerder: meestal een klein team van mensen die de analyse uitvoeren dit kunnen interne- of externe specialisten zijn. Om blindheid voor bepaalde risico's tegen te gaan is het verstandig dat teamleden rouleren.
  • De deelnemer: De personen die verantwoordelijk zijn voor het te onderzoeken object. Je weet hiervan niet van tevoren of ze mee of tegen gaan werken. Deelnemers vullen vragenlijsten in, werken mee aan interviews en kunnen motiveren (evidence) het is verstandig om deze zelfde personen ook hun visie op maatregelen en verbetervoorstellen te laten geven.

Welke afweging wordt gemaakt bij beveiligingsrisico's.

Er moet via vastgestelde criteria worden bepaald of een risico aanvaardbaar is. Is een risico niet aanvaardbaar dan kunnen de volgende behandelingen worden toegepast:
  • Gepaste beheersmaatregelen ter vermindering van het risico
  • Bewuste aanvaarding van het risico indien dit past binnen beleid en risicocriteria
  • risicovermijding door alle handelingen die het risico mogelijk laten op treden te verbieden/voorkomen.
  • het risico overdragen aan een andere partij. (verzekeraar of leverancier)

Wat is een aandachtspunt bij beheersmaatregelen.

Maatregelen of een combinatie hiervan moeten de kans dat een risico optreed verminderen en waarborgen dat het risico tot een aanvaardbaar niveau wordt gereduceerd. Hierbij moet rekening worden gehouden met:
  • Beperkingen en eisen van geldende nationale en internationale wet- en regelgeving.
  • de doelstellingen van de organisatie
  • operationele beperkingen en eisen
  • acceptabele kosten voor implementatie en beheer en kosten in overeenstemming met de mogelijke voortvloeiende schade

Wat zijn gestandariseerde maatregelen

Deze maatregelen zijn vastgelegd in ISO/IEC 27002 normen of andere relevante bronnen. Als niet aan alle normen kan worden voldaan doordat een beheersmaatregel niet toepasbaar is moet getracht worden de zelfde beheersdoelstelling te halen.

Wat heeft het beheer van bedrijfsmiddelen te maken met informatiebeveiliging.

In de code staat voorgeschreven dat alle bedrijfsmiddelen een eigenaar moeten hebben en dat beschreven moet zijn wie voor het toepassen van de beheersmaatregelen op dit bedrijfsmiddel verantwoordelijk is. Voor een goed beheer dienen alle bedrijfsmiddelen vastgelegd en geklassificeerd te worden en moet het belang van de middelen worden vastgelegd.

Welke typen bedrijfsmiddelen zijn er:

  • informatie: databases en gegevensbestanden, contracten en overeenkomsten, systeem en gebruikersdocumentatie, cursussen, uitwijkplannen, handboeken, gearchiveerde info etc
  • Programmatuur: systeemprogrammatuur, toepassingsprogrammatuur, ontwikkelprogrammatuur en hulpprogrammatuur.
  • Fysieke bedrijfsmiddelen: Computers, communicatieapparatuur, uitwisselbare media en andere apparatuur
  • Diensten: Computer- en communicatiediensten, nutsvoorzieningen,
  • Mensen en hun opleiding, vaardigheden en ervaringen
  • Immateriele zaken zoals imago en reputatie

Ten aanzien van het gebruik van bedrijfsmiddelen moeten regels vastgesteld worden. Aan deze regels dient iedere werknemer, externe gebruiker of ingehuurde gebruiker zich te houden. Denk hierbij aan:
- Regels voor email en internetgebruik
- Regels voor gebruik van apparatuur op een externe locatie

Wat verstaan we onder classificatie van informatie

Middels classificatie kunnen we waarborgen dat informatie een geschikt niveau van bescherming krijgt. Een informatieclassificatieschema kan gebruikt worden om adequate niveaus van bescherming te implementeren en te communiceren over de noodzaak van de aparte verwerkingsmaatregelen. Classificatie gaat op basis van:
  • Waarde
  • Gevoeligheid
  • Wettelijke eisen
  • Onmisbaarheid
In de richtlijnen voor classificatie moeten de conventies voor de initiele classificatie en aanpassingen door de tijd heen worden bijgehouden. Voorbeelden van classificatieniveaus zijn:
  • Publiek
  • Intern
  • Vertrouwelijk

Bij classificatie moet je rekening houden met de houdbaarheid van informatie.

Wat is een aandachtspunt bij classificatie

Er moet niet over of ondergeclassificeerd worden. Bij onderclassificatie wordt het systeem in een te lage beveiligingsklasse geplaatst en bij overclassificatie juist andersom wat kan leiden tot hoge kosten en/of beperking in functionaliteit.
De eigenaar van een ICT voorziening is verantwoordelijk voor het bepalen en bijhouden van de classificaties. Indien er nog geen eigenaar is (bv bij een project) ligt de verantwoordelijkheid bij de opdrachtgevers.

Wat verstaan we onder labeling en verwerking van informatie

De uitvoer van systemen die als gevoelig of kritiek bestempeld worden moeten worden gelabeld. Hierbij moet je denken aan uitvoer naar het scherm of in rapportages of de exports naar tape/disk of removable media.  Voor al deze zaken moeten verwerkingsprocedures worden ingericht mbt het
verwerken, vastleggen, uitwisselen, declassificatie, archivering en vernietiging.
Let er hierbij op dat bij uitwisseling van deze informatie naar derden een overeenkomsten moeten zijn gesloten waarin deze procedures zijn beschreven.

De vragen op deze pagina komen uit de samenvatting van het volgende studiemateriaal:

Management van Informatiebeveiliging

Bekijk samenvatting
  • Een unieke studie- en oefentool
  • Nooit meer iets twee keer studeren
  • Haal de cijfers waar je op hoopt
  • 100% zeker alles onthouden
Onthoud sneller, leer beter. Wetenschappelijk bewezen.
Trustpilot-logo

Samenvattingen die gerelateerd zijn aan Organisatie van Informatiebeveiliging