Daar zit je dan. Klaar voor de risicoanalyse. Maar hoe zorg je er nu voor dat je gestructureerd de analyse uitvoert? Een dreigingsmodel kan jou helpen. Deze stuurt jouw denken via een opsomming van standaard risico's. In dit artikel gaan we in op de mogelijkheden die de MAPGOOD methodiek biedt voor een goede en diepgaande risicoanalyse op het gebied van informatiebeveiliging.
Bij een risicoanalyse ga je (vaak samen) bedreigingen en risico's benoemen. Je kunt een risicoanalyse uitvoeren op bijvoorbeeld een proces, een informatiesysteem, een afdeling of de organisatie als gehee. In de praktijk is het bijna altijd lastig om vanuit het niets die risico's en bedreigingen te benoemen. Dan helpt het om een zogenaamd dreigingsmodel te gebruiken. In dat dreigingsmodel is al een overzicht beschikbaar (vaak hoog over) van risico's en bedreigingen waar je aan kunt denken. Dit stuurt je denken, en zorgt ervoor dat je geen gebieden vergeet te overwegen.
Hebben we het over een risicoanalyse op het gebied van informatiebeveiliging, dan is MAPGOOD een bekend en bewezen dreigingsmodel. Dit model kijkt primair naar de beschikbaarheid, integriteit en/of vertrouwelijkheid van de informatievoorziening. Een ander bekend dreigingsmodel bij informatiebeveiliging is RAVIB. MAPGOOD is er op gericht om risico's vanuit verschillende invalshoeken te benaderen. MAPGOOD hanteert daarbij de volgende invalshoeken:
Je begrijpt: het is niet toevallig dat het dreigingsmodel MAPGOOD heet. Alle eerste letters van deze invalshoeken vormen namelijk het woord MAPGOOD. Iedere invalshoek kijkt op een andere manier naar de risico's voor een organisatie, dienst, proces of informatiesysteem. Het is natuurlijk ook mooi om deze verschillende invalshoeken te benadrukken door verschillende mensen uit de organisatie te betrekken bij de risicoanalyse. Een functioneel beheerder kijkt nu eenmaal anders naar de organisatie, dan bijvoorbeeld een manager of technisch beheerder.
Bij deze invalshoek wordt gekeken naar de mensen die nodig zijn om het informatiesysteem, proces of dienst te beheren en gebruiken. Je moet hierbij bijvoorbeeld denken aan de gebruikers zelf, applicatiebeheerders en functioneel beheerders. Er wordt gekeken naar het mogelijk wegvallen van mensen, het onopzettelijk foutief handelen van mensen en het opzettelijk foutief handelen van mensen.
Hier wordt gekeken naar de apparatuur die nodig is. Hierbij moet gedacht worden aan bijvoorbeeld webservers, applicatieservers en beheer van werkplekken. Onderwerpen hierbij zijn spontaan technisch falen (bijvoorbeeld door storingen of slijtage), technisch falen door externe invloeden (bijvoorbeeld stroomuitval) en menselijk handelen (bijvoorbeeld verkeerde instellingen).
Bij deze invalshoek wordt gekeken naar de applicaties die binnen het informatiesysteem, proces of dienst worden gebruikt. Onderwerpen hierbij zijn nalatig menselijk handelen (bijvoorbeeld slechte documentatie), onopzettelijk menselijk handelen (fouten door het niet volgen van procedures bijvoorbeeld), opzettelijk menselijk handelen, technische fouten (bugs en dergelijke) en organisatorische fouten (bijvoorbeeld een failliete leverancier).
Bij gegevens wordt gekeken naar de gegevens die door het informatiesysteem, proces of dienst worden verwerkt. Het dreigingsmodel maakt daarbij een onderscheid naar het gekozen transport: via gegevensdragers (zaken als zoekgeraakte USB-sticks), via cloud voorzieningen, via apparatuur (bijvoorbeeld via aftappen of leesfouten), via programmatuur en via personen (bijvoorbeeld onzorgvuldige vernietiging).
In dit onderdeel kijk je naar de organisatie die nodig is om het informatiesysteem, proces of dienst operationeel te houden. Hierbij kun je denken aan de beheerorganisatie, gebruikersorganisatie of de ontwikkelorganisatie. Thema's die hierbij spelen zijn bijvoorbeeld mismanagement, onduidelijke gedragscodes, ontbrekende SLA's, gebrekkig beleid, het ontbreken van ontwikkelrichtlijnen etc.
Bij deze invalshoek wordt gekeken naar de omgeving waarbinnen het informatiesysteem, proces of dienst functioneert. Het gaat dan om zaken als de serverruimten, werkplekken en verschillende locaties. Onderwerpen die hierbij spelen zijn huisvesting (toegang tot gebouwen bijvoorbeeld), nutsvoorzieningen (bijvoorbeeld uitval van telefoons) en buitengebeuren (bijvoorbeeld natuurgeweld of een staking).
Bij diensten tenslotte wordt gekeken naar de (externe) diensten die nodig zijn om het systeem te laten functioneren. Je moet dan bijvoorbeeld denken aan het beheren van infrastructuur en onderhoudscontracten met externe dienstverleners. Onderwerpen die hier spelen zijn: diensten worden niet conform afspraak geleverd, de diensten van de dienstverlener zijn tijdelijk niet beschikbaar en de diensten van de dienstverlener zijn definitief niet meer te leveren (bijvoorbeeld door een faillissement).
In een dreigingsmodel zijn dreigingen veelal algemeen geformuleerd. Het grote voordeel is dat ze algemeen toepasbaar zijn, het nadeel dat ze soms niet zo veelzeggend zijn. Dat is bij MAPGOOD eveneens het geval. Wanneer je MAPGOOD toepast, is het dan ook te adviseren om jouw dreigingen zodanig te formuleren, dat ze ook daadwerkelijk op jouw organisatie van toepassing zijn. Een dreiging als 'spontaan technisch falen' is nu eenmaal minder veelzeggend dan 'De WIFI verbinding valt steeds uit wanneer meer dan 10 mensen hiervan gebruik maken'.
Heb je de risico's in kaart gebracht conform het MAPGOOD model, dan ben je er natuurlijk nog niet. Een goede risicoanalyse betekent dat je vervolgens met de uitkomst hiervan aan de slag gaat. Dat betekent allereerst dat je per dreiging gaat beoordelen wat het potentiële effect is van de dreiging EN wat de kans is dat de dreiging ook daadwerkelijk optreedt. Op basis hiervan sorteer je de dreigingen. En de daarop volgende stap is om de meest relevante dreigingen te vertalen naar te nemen maatregelen.