threat potential cause of an unwanted incident, which may result in harm to a system or organization.  

Inleiding

Eén van de stappen binnen het proces van risicoanalyse is het analyseren van de dreigingen of oorzaken die aan het risico ten grondslag kunnen liggen. Een aantal methoden, zoals ISF IRAM, combineert de dreigingenanalyse direct met de kwetsbaarhedenanalyse in één stap. Kwetsbaarheden zijn dan leemten in een asset of beveiligingsmaatregel waardoor een dreiging manifest kan worden. Andere methoden zoals de A&K-analyse halen deze stappen uit elkaar. De K-analyse is daarin een soort finale toets op het pakket van maatregelen als uitkomst van de risicoanalyse. Binnen de verschillende standaarden, methoden en tools zijn overzichten van mogelijke dreigingen aanwezig. De verschillen in deze overzichten en overlap in terminologie met andere begrippen (non-repudiation is in het ene geval een dreiging, in het andere geval een criterium in aanvulling op BIV) tonen aan dat IRM nog geen mature toepassingsgebied is met een duidelijk gedragen taxonomie. Een voorbeeld hiervan en van dreigingen van verschillende methoden is hier opgenomen.

Kans van optreden

Onderdeel van de analyse is het inschatten van de kans van optreden van een dreiging (en eventueel de bijbehorende kwetsbaarheid). Ook als dit op kwalitatieve wijze gebeurt (zoals in termen van (zeer) laag, midden, (zeer) hoog) is een beeld nodig wanneer dan sprake is van laag, midden of hoog. Probleem hierbij is dat dan veelal één schaal wordt gehanteerd. Daarmee wordt de kans op brand op dezelfde wijze benaderd als de kans op een computervirus of hackeraanval. Er zijn echter organisaties die dagelijks honderden potentiële aanvallen op hun firewall registreren. Dan is enkele per dag al laag, wat in geval van een brand zeer hoog zou zijn. Feitelijk zou de kans van optreden van een dreiging onderbouwd moeten worden vanuit beschikbare gegevens. Organisaties leggen meestal onvoldoende informatie van opgetreden dreigingen / incidenten vast om deze inschattingen te kunnen onderbouwen. Organisaties die wel de benodigde informatie hebben, zoals verzekeringsmaatschappijen ontlenen hieraan veelal hun bestaansrecht en houden deze informatie geheim. Om deze reden wordt er vaak voor gepleit dat organisaties hun ervaringen delen. Dit vraagt om veel vertrouwen in elkaar (de dreiging kan wijzen op een kwetsbaarheid die msibruikt kan worden). Dit wordt doorgaans alleen gevonden in samenwerkende CERT-organisaties.

Dreigingen als startpunt van de aanpak

Analyse van de dreigingen of oorzaken kan ook de eerste stap binnen de uitvoering van een risicoanalyse zijn. Zoals gezegd zijn er overzichten van dreigingen beschikbaar om de startpositie te bepalen. Vraag is dan of het overzicht volledig (genoeg) is. Vanuit de dreigingen moet je vervolgens vaststellen op welke assets deze impact kunnen hebben. Hierbij zouden assets over het hoofd gezien kunnen worden.

vulnerability weakness of an asset or control that can be exploited by a threat.  

In het VIR-BI is een overzicht opgenomen van dreigingen en kwetsbaarheden waarmee rekening is gehouden bij het bepalen van de exclusiviteitseisen annex maatregelen. Zo is voor de dreiging “Zich voordoen als een medewerker door buitenstaanders” de kans van optreden op Zeer Hoog ingeschat en de bijbehorend kwetsbaarheid op Midden.  

kwetsbaarheidsanalyse: het vaststellen van de invloed van het manifest worden van bedreigingen op het functioneren van een informatiesysteem of  een verantwoordelijkheidsgebied. En: Voor elk informatiesysteem en voor elk verantwoordelijk- heidsgebied worden dusdanig maatregelen gekozen dat door middel van een kwetsbaar- heidsanalyse aangetoond kan worden dat aan de gestelde betrouwbaarheidseisen wordt voldaan. [VIR-1994]