Een checklist voor bedreigingen (risico's) volgens de RAVIB methode
Vaak is het lastig om vanuit het niets bedreigingen dan wel risico's voor de eigen organisatie in kaart te brengen. Een veelgebruikte methode daarbij is de zg. RAVIB methode. Vanuit verschillende invalshoeken wordt naar bedreigingen en risico's gekeken om daar vervolgens maatregelen aan te koppelen. In deze RAVIB methode draait het met name om bedreigingen en risico's omtrent informatiebeveiliging (Vertrouwelijkheid, Integriteit en Beschikbaarheid) voor normen als ISO 27001, NEN 7510 of hiervan afgeleide normen als Baseline Informatiebeveiliging Rijksdienst 2017, Baseline Informatiebeveiliging Waterschappen of Tactische en Strategische Baseline Informatiebeveiliging Nederlandse Gemeenten.
Managementsysteem
Voor een standaardlijst met bedreigingen, zie ons managementsysteem platform. Waar we trouwens onze risico's in managen, net zoals voor de methoden MAPGOOD en RISMAN. Probeer NU, en ben in 60 seconden online, bijvoorbeeld voor een RisicoCarrousel. Of bekijk eerst de demo's hierboven of de praktische video.
Nieuw: In samenwerking met onze collega's van meta-audit.nl leveren we bij één jaarabonnement van het managementsysteem platform een certificeerbaar voorbeeld-ISMS incl. RAVIB-risico's conform ISO27001:2022 of NEN7510 erbij. Klik hier voor een uitleg hoe ze dit aanpakken.
Onderstaande tabel (RAVIB-item / bedreiging) is een hulpmiddel om vanuit generieke bedreigingen, de bedreigingen (risico's) voor de eigen organisatie in kaart te brengen.
| Verantwoordelijkheid |
- 1 Beveiligingsinbreuken als gevolg van ontbreken van coordinatie vanuit de directie.,De directie heeft geen maatregelen getroffen op het gebied van informatiebeveiliging. Een informatiebeveiligingsbeleid en/of ISMS ontbreekt.
- 2 Beveiligingsinbreuken als gevolg van het ontbreken of niet oppakken van verantwoordelijkheden door leidinggevenden.,Leidinggevenden hebben niet de juiste verantwoordelijkheden en middelen toegewezen gekregen om het beleid goed door te voeren binnen de organisatie of pakken deze verantwoordelijkheden onvoldoende op. Het eigenaarschap van informatiesystemen is niet goed belegd. Beveiliging vormt geen vast onderdeel van projecten.
- 3 Medewerkers hebben onvoldoende aandacht voor het informatiebeveiligingsbeleid.,Het ontbreekt de medewerkers aan awareness op het gebied van informatiebeveiliging.
|
| Wet- en regelgeving |
- 4 Tegen het bedrijf worden juridische stappen genomen vanwege het niet veilig omgaan met vertrouwelijke informatie.,De organisatie en/of haar medewerkers handelen bewust of onbewust in strijd met de wet.
- 5 Tijdens een rechtszaak is het bedrijf niet in staat om de benodigde bewijzen te kunnen leveren.,"Het bedrijf heeft een probleem met de beschikbaarheid, vertrouwelijkheid en/of integriteit van bewijsmateriaal, zoals logbestanden."
- 6 Het niet hard kunnen maken van welke persoon over welk account beschikt.,"Gedeelde accounts, het gebruiken van een account van een ex-medewerker of het niet beschikbaar hebben van de juiste loginformatie."
- 7 Inbreuk op vertrouwelijkheid door wetgeving ten aanzien van informatie in de cloud.,Door wetgeving in sommige landen kan de overheid van zo'n land inzage krijgen in informatie welke in de cloud ligt opgeslagen.
- 8 Inbreuk op vertrouwelijkheid door wetgeving ten aanzien van het bezoeken van dat land.,Door wetgeving in sommige landen kan de overheid inzage eisen in de gegevens op meegenomen systemen bij een bezoek aan dat land.
- 9 Inbreuk op vertrouwelijkheid door wetgeving ten aanzien van gebruik van cryptografie.,Door wetgeving in sommige landen kan de overheid een kopie van cryptografische sleutels opeisen.
- 10 Tegen het bedrijf worden juridisch stappen genomen vanwege schenden van auteursrechten / IPR.,De organisatie en/of haar medewerkers handelen bewust of onbewust in strijd met de wet.
|
| Incidenten en incidentafhandeling |
- 11 Systemen raken besmet met malware.,"Een systeem wordt besmet met kwaadaardige software, waardoor het systeem onbruikbaar wordt of de daarop aanwezig informatie wordt gecompromiteerd."
- 12 Overbelasten van netwerkdiensten.,Het overbelasten van een netwerkdienst waardoor deze niet meer beschikbaar is voor gebruikers.
- 13 "De gevolgen van incidenten worden onnodig groot, doordat deze niet tijdig gezien / opgepakt worden.",Binnen het bedrijf is er onvoldoende netwerkmonitoring en is er geen centraal meldpunt voor beveiligingsincidenten.
- 14 Incidenten kunnen niet (snel genoeg) opgelost worden omdat de nodige informatie en actieplannen ontbreken.,Systeembeheerders hebben onvoldoende technische informatie over het probleem om het te kunnen oplossen. Een actieplan ontbreekt waardoor het incident onnodig lang blijft duren.
- 15 Herhaling van incidenten.,Incidentrapportages ontbreken of worden niet bijgehouden. Veel voorkomende incidenten worden daardoor niet pro-actief aangepakt.
|
| Misbruik |
- 16 Systemen worden niet gebruikt waarvoor ze bedoeld zijn.,"Het ontbreken van een beleid op bijvoorbeeld het internetgebruik, vergroot de kans op misbruik."
- 17 Wegnemen van bedrijfsmiddelen.,Door onvoldoende controle op de uitgifte en onjuiste inventarisatie van bedrijfsmiddelen bestaat de kans dat diefstal niet of te laat wordt opgemerkt.
- 18 Beleid wordt niet gevolgd door ontbreken van sancties.,Door het ontbreken van sancties op het overtreden van regels bestaat de kans dat medewerkers de beleidsmaatregelen niet serieus nemen.
- 19 Inbreuk op vertrouwelijkheid van informatie door het toelaten van externen in het pand of op het netwerk.,"Het toelaten van externen, zoals leveranciers en projectpartners, kunnen gevolgen hebben voor de vertrouwelijkheid van de informatie die binnen het pand of via het netwerk beschikbaar is."
|
| Ongeautoriseerde toegang |
- 20 Misbruik van andermans identiteit.,"Door onvoldoende (mogelijkheid op) controle op een identiteit, kan ongeautoriseerde toegang verkregen worden tot vertrouwelijke informatie. Denk hierbij ook aan social engineering, zoals phishing en CEO-fraude."
- 21 Onterecht hebben van rechten.,"Door een ontbrekend, onjuist of onduidelijk proces voor het uitdelen en innemen van rechten, kan een aanvaller onbedoeld meer rechten hebben."
- 22 Misbruik van bevoegdheden.,"Door onvoldoende controle op medewerkers met bijzondere rechten, zoals systeembeheerders, bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie."
- 23 Toegang tot informatie door slecht wachtwoordgebruik.,"Het ontbreken van een wachtwoordbeleid en bewustzijn bij medewerkers kan leiden tot het gebruik van zwakke wachtwoorden, het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen."
- 24 Toegang tot informatie door onbeheerd achterlaten van werkplekken.,Door het ontbreken van een clear-desk en/of clear-screen policy kan toegang verkregen worden tot gevoelige informatie.
- 25 Toegang tot informatie door onduidelijkheid over bevoegdheid en vertrouwelijkheid van informatie.,Door onduidelijkheid in de classificatie van informatie bestaat de kans op ongeautoriseerde toegang tot gevoelige informatie.
- 26 Toegang tot informatie op systemen of systeemonderdelen bij reparatie of verwijdering.,Gevoelige informatie kan lekken indien opslagmedia of systemen welke opslagmedia bevatten worden weggegooid of ter reparatie aan derden worden aangeboden.
- 27 Toegang tot informatie door misbruik van kwetsbaarheden in applicaties of hardware.,Kwetsbaarheden in applicaties of hardware worden misbruikt (exploits) om ongeautoriseerde toegang te krijgen tot een applicatie en de daarin opgeslagen informatie.
- 28 Toegang tot informatie door misbruiken van zwakheden in netwerkbeveiliging.,Zwakheden in de beveiliging van het (draadloze) netwerk worden misbruikt om toegang te krijgen tot dit netwerk.
- 29 Toegang tot informatie door onvoldoende aandacht voor beveiliging bij uitbesteding van werkzaamheden.,"Doordat externe partijen / leveranciers hun informatiebeveiliging niet op orde hebben, kunnen inbreuken ontstaan op de informatie waar zij toegang tot hebben."
- 30 Toegang tot informatie doordat deze zich buiten de beschermde omgeving bevinden.,Informatie die voor toegestaan gebruik meegenomen wordt naar bijvoorbeeld buiten het kantoor wordt niet meer op de juiste wijze beschermd. Denkbij ook aan Bring Your Own Device (BYOD).
- 31 Toegang tot informatie door middel van afluisterapparatuur.,Door middel van keyloggers of netwerktaps wordt gevoelige informatie achterhaald.
- 32 Misbruik van cryptografische sleutels en/of gebruik van zwakke algoritmen.,Door een onjuist of ontbrekend sleutelbeheer bestaat de kans op misbruik van cryptografische sleutels. Het gebruik van zwakke cryptografische algoritmen biedt schijnveiligheid.
|
| Uitwisselen en bewaren van informatie |
- 33 Onveilig versturen van gevoelige informatie.,Inbreuk op vertrouwelijkheid van informatie door onversleuteld versturen van informatie.
- 34 Versturen van gevoelige informatie naar onjuiste persoon.,Inbreuk op vertrouwelijkheid van informatie door het onvoldoende controleren van ontvanger.
- 35 Imagoschade door onjuiste berichtgeving.,Het vrijgegeven van ongecontroleerde informatie of onjuiste informatie kan leiden tot imagoschade.
- 36 Informatieverlies door verlopen van houdbaarheid van opslagwijze.,Informatie gaat verloren door onleesbaar geraken van medium of gedateerd raken van bestandsformaat.
- 37 Foutieve of vervalste informatie.,Ongewenste handelingen als gevolg van foutieve / vervalste bedrijfsinformatie of toegestuurd krijgen van foutieve / vervalste informatie.
|
| Mobiele apparatuur en telewerken |
- 38 Verlies van mobiele apparatuur en opslagmedia.,Door het verlies van mobiele apparatuur en opslagmedia bestaat de kans op inbreuk op de vertrouwelijkheid van gevoelige informatie.
- 39 Aanvallen via onbeveiligde systemen.,Door onvoldoende grip op de beveiliging van prive- en thuisapparatuur bestaat de kans op bijvoorbeeld besmetting met malware.
|
| Systeem- en gebruikersfouten |
- 40 Uitval van systemen door softwarefouten.,Fouten in software kunnen leiden tot systeemcrashes of het corrupt raken van de in het systeem opgeslagen informatie.
- 41 Uitval van systemen door configuratiefouten.,Onjuiste configuratie van een applicatie kunnen leiden tot een verkeerde verwerking van informatie.
- 42 Uitval van systemen door hardwarefouten.,Hardware van onvoldoende kwaliteit kunnen leiden tot uitval van systemen.
- 43 Gebruikersfouten.,Onvoldoende kennis of te weinig controle op andermans werk vergroot de kans op menselijke fouten. Gebruikersinterfaces die niet zijn afgestemd op het gebruikersniveau verhogen de kans op fouten.
- 44 Fouten als gevolg van wijzigingen in andere systemen.,In een systeem ontstaan fouten als gevolg van wijzigingen in gekoppelde systemen.
- 45 Onvoldoende aandacht voor beveiliging bij softwareontwikkeling.,Onvoldoende aandacht voor beveiliging bij het zelf of laten ontwikkelen van software leidt tot inbreuk op de informatiebeveiliging.
|
| Fysieke beveiliging |
- 46 Ongeautoriseerde fysieke toegang.,"Het ontbreken van toegangspasjes, zicht op ingangen en bewustzijn bij medewerkers vergroot de kans op ongeautoriseerde fysieke toegang."
- 47 Brand.,Het ontbreken van brandmelders en brandblusapparatuur vergroten de gevolgen van een brand.
- 48 Overstroming en wateroverlast.,Overstroming en wateroverlast kunnen zorgen voor schade aan computers en andere bedrijfsmiddelen.
- 49 Verontreiniging van de omgeving.,Verontreininging van de omgeving kan ertoe leiden dat de organisatie (tijdelijk) niet meer kan werken.
- 50 Explosie.,Explosies kunnen leiden tot schade aan het gebouw en apparatuur en slachtoffers.
- 51 "Uitval van facilitaire middelen (gas, water, electra, airco).",Uitval van facilitaire middelen kan tot gevolg hebben dat een of meerdere bedrijfsonderdelen hun werk niet meer kunnen doen.
- 52 Vandalisme of overlast door dieren.,Schade aan of vernieling van bedrijfseigendommen als gevolg van een ongerichte actie.
|
| Bedrijfscontinuïteit |
- 53 Rampen.,Een grootschalige (natuur)ramp die het voortbestaan van de organisatie in gevaar brengt.
- 54 Niet beschikbaar zijn van informatie of diensten vanuit derden.,"Het langdurig niet beschikbaar zijn van cruciale informatie of diensten van derden door uitval van systemen, corrupt raken van de informatie, ongeplande contractbe?indiging of onacceptabele wijziging in de dienstverlening (bijvoorbeeld door bedrijfsovername)."
- 55 Software wordt niet meer ondersteund door de uitgever.,Voor software die niet meer ondersteund wordt worden geen securitypatches meer uitgegeven. Denk ook aan Excel- en Access-applicaties.
- 56 Kwijtraken van belangrijke kennis bij vertrek of niet beschikbaar zijn van medewerkers.,"Medewerkers die het bedrijf verlaten of door een ongeval voor lange tijd niet inzetbaar zijn, beschikken over kennis die daardoor niet meer beschikbaar is."
|
,
Voor wie nog steeds nog steeds moeite heeft met het risicomanagement proces. Zet in 60 seconden onze cloudoplossing Proware klaar, een simpele en innovatieve software tool voor kwaliteits- en risicomanagement. Bovenstaande 'MAPGOOD-risico's' hebben we in een handige spreadsheet toegevoegd.
Nog meer? Het duurt iets langer ... maar in een paar uur hebben we ook een eigen en geschikt voorbeeld voor een managementsysteem. Voor inhoudelijke vragen raadplegen wij onze collega's van meta-audit.nl of vraag ze het zelf.
Eerst zien, bekijk dan onze demo’s op de productpagina.
Of klik voor een impressie op onderstaande video obv de Proware module RiskManagement of probeer het direct zelf.
De principes en richtlijnen voor het proces van risico management staan uitgebreid beschreven in de norm ISO 31000.