Risicomanagement: 10 dreigingen in kaart

Welke dreigingen spelen er bij informatiebeveiliging? Het is een vraag die vaak gesteld wordt door veel bedrijven en organisaties. Wij geven antwoord op deze vraag door 10 dreigingen met voorbeelden in kaart te brengen.

Het is belangrijker dan ooit om risico’s en dreigingen in kaart te brengen. Door alle digitale mogelijkheden is het belangrijk om informatie op een goede manier te beveiligen. Door de dreigingen in kaart te brengen kunt u zich goed voorbereiden op mogelijke gevolgen en kunt u het risico die de dreigingen met zich meenemen verkleinen. Lees over de 10 dreigingen die belangrijk zijn voor het risicomanagement van uw informatiebeveiliging. 

  1. Verantwoordelijkheid
  2. Wet- en regelgeving
  3. Incidenten en incidentafhandeling
  4. Misbruik
  5. Ongeautoriseerde toegang
  6. Uitwisselen en bewaren van informatie
  7. Mobiele apparatuur en telewerken
  8. Systeem- en gebruikersfouten
  9. Fysieke beveiliging
  10. Bedrijfscontinuïteit

Weten hoe het staat met de informatiebeveiliging binnen uw organisatie? Download gratis “De 7 basisprincipes van digitale hygiëne” en controleer of uw organisatie de benodigde veiligheid waarborgt.

Ontdek de 7 basisprincipes van digitale hygiëne

 

De dreigingen in kaart

Voor organisaties zijn er talloze dreigingen die ervoor kunnen zorgen dat uw organisatie in de problemen komt. Deze dreigingen kunnen als gevolg hebben dat bepaalde incidenten binnen uw organisatie plaatsvinden waardoor uw organisatie schade leidt in de vorm van kosten, omzet of imago. Het is belangrijker dan ooit om risico’s en dreigingen in kaart te brengen.

Door alle digitale mogelijkheden is het belangrijk om informatie op een goede manier te beveiligen. Met het in kaart brengen bereid u zich goed voor op mogelijke gevolgen en kunt u eventueel het risico die de dreigingen met zich meenemen verkleinen.

1. Verantwoordelijkheid

Een van de grootste dreigingen heeft te maken met verantwoordelijkheid. Wanneer de directie en/of leidinggevenden nalatig zijn in de coördinatie, is de verantwoordelijkheid ten aanzien van informatiebeveiliging onvoldoende belegd. Hierdoor hebben medewerkers onvoldoende aandacht voor het informatiebeveiligingsbeleid en neemt de kans op incidenten toe.

Voorbeelden:

  • Foutsituaties worden door leidinggevenden getolereerd blijven bestaan;
  • Onachtzaamheid van medewerkers;
  • Informatie blijft onbeheerd achter;
  • Gevoelige informatie is publiekelijk beschikbaar.

2. Wet- en regelgeving

Organisaties dienen te voldoen aan wet- en regelgeving. Het niet voldoen hieraan vormt een bron voor beveiligingsincidenten. Bijvoorbeeld wanneer er juridische stappen worden genomen tegen het bedrijf vanwege het niet veilig omgaan met vertrouwelijke informatie of het schenden van auteursrechten. Indien een bedrijf tijdens een rechtszaak niet in staat is om aan te tonen dat zij voldoet aan alle wet- en regelgeving kan de schade enorm toenemen.

Voorbeelden:

  • Klant stelt bedrijf aansprakelijk tijdens rechtszaken;
  • Wetgeving wordt onvoldoende nageleefd en leidt tot boetes;
  • Onterecht gebruik maken van source codes en tools;
  • Gebruik maken van afbeeldingen en/of teksten zonder toestemming van de auteur;
  • Ontbrekende licenties of het niet opvolgen van licentievoorwaarden.

3. Incidenten en incidentafhandeling

Incidenten en de afhandeling hiervan kunnen leiden tot onnodige schade wanneer hier geen passende maatregelen voor zijn genomen of wanneer de benodigde kennis ontbreekt. Het is belangrijk dat deze incidenten vlot worden opgepakt om te voorkomen dat de schade groter wordt.

Voorbeelden:

  • Ontbreken of uitstellen van correcties;
  • Capaciteitsgebrek (geld, tijd, resources);
  • Onduidelijkheid in de afspraken en verantwoordelijkheden;
  • Onvoldoende aandacht voor de grondoorzaak;
  • Problemen slechts tijdelijk oplossen.

4. Misbruik

Het gebruiken van systemen voor andere doeleinden dan waar ze voor bedoeld zijn vormt eveneens een dreiging. Ditzelfde geldt voor het ontvreemden van een bedrijfsmiddel, als een laptop of telefoon. Als hier geen sancties op volgen, zal de kans op incidenten verder toenemen. Ook wanneer er zonder toestemming externe partijen worden toegelaten tot het bedrijfsnetwerk of in het bedrijfspand waarbij zij toegang hebben tot vertrouwelijke informatie is een vorm van misbruik.

Voorbeelden:

  • Klantdata wordt opgeslagen in algemene documentatie;
  • Computer met informatie wordt ontvreemd;
  • Herhaling doordat het gemak groter is dan het ongemak van een sanctie;
  • Onbevoegde personen hebben toegang tot de serverruimte;
  • Bezoekers krijgen toegang tot bedrijfscomputers.

5. Ongeautoriseerde toegang

Onder ongeautoriseerde toegang valt het misbruiken van andermans identiteit of het onterecht hebben van bepaalde rechten. Dit kan komen doordat het wachtwoordgebruik slecht is, of wanneer werkplekken onbeheerd achter worden gelaten. Maar ook het verkrijgen van toegang op een andere, illegale, manier behoort tot een serieuze dreiging.

Voorbeelden:

  • Stelen van wachtwoorden door middel van een keylogger;
  • Iemand doet zich voor als iemand anders;
  • Leidinggevende die systeembeheerder opdracht geeft tot het onterecht ontsluiten van gevoelige informatie;
  • Makkelijk te raden wachtwoorden;
  • Werkplekken worden achtergelaten met applicaties nog open en toegankelijk.

6. Uitwisselen en bewaren van informatie

Werknemers versturen onderling veel gevoelige informatie. Dit dient op een veilige manier te gebeuren. Het kan voorkomen dat gevoelige informatie naar een verkeerde ontvanger wordt verstuurd en vormt dus een risico. De ander heeft inzicht in gevoelige informatie waar hij of zij niet bij zou mogen komen. Informatie wordt ook al snel op meerdere plekken vastgelegd zonder beheer hierop - een datalek kan dan optreden zonder dat hier zicht op is. Maar ook het tegenovergestelde gebeurd: licenties van opslagwijzes worden niet of nauwelijks in de gaten gehouden. Het overzicht in bewaarde informatie raakt verloren.

Voorbeelden:

  • Het versturen van gevoelige informatie via publieke applicaties, zoals WhatsApp;
  • Imagoschade kan ontstaan door het versturen van kwalijke berichten naar verkeerde ontvangers;
  • Informatie kan verloren raken doordat de accounts en licenties van opslagwijze verlopen;
  • Kopieën van gegevens worden onnodig lang bewaard.

7. Mobiele apparatuur en telewerken

Het verlies van een mobiele apparaat of opslagmedia zorgt voor een groot risico binnen de informatiebeveiliging. Daarnaast zorgt ook een aanval via onbeveiligde systemen voor een dreiging. Gebruik maken van een onbeheerd netwerk en daarop gevoelige informatie openen of versturen vormt een dreiging voor de beveiliging van privacy gevoelige informatie.

Voorbeelden:

  • Het verliezen van een telefoon, laptop of ander opslagapparaat door diefstal of nalatigheid;
  • Werken vanuit een onbeveiligde hotspot;
  • Het werken in publieke wifi-zones in plaats van werken via een VPN.

8. Systeem- en gebruikersfouten

Een andere grote dreiging ontstaat door fouten in het systeem of door de gebruiker. Denk hierbij aan softwarefouten, configuratiefouten, hardwarefouten en gebruikersfouten. Maar ook fouten als gevolg van wijzigingen in systemen of het hebben van onvoldoende aandacht voor beveiliging bij softwareontwikkeling vormen een bedreiging.

Voorbeelden:

  • Het tonen van verkeerde informatie;
  • Verkeerde personen of groepen hebben toegang tot software;
  • De schijven crashen waardoor informatie verloren gaat;
  • Informatie staat op de verkeerde plek opgeslagen.

9. Fysieke beveiliging

Ook (nalatige) fysieke beveiliging kan een dreiging vormen binnen de informatiebeveiliging. Denk bijvoorbeeld aan ongeautoriseerde toegang tot bepaalde gebouwen en ruimtes. Maar hier vallen ook natuurlijke dreigingen onder, zoals brand, overstroming, verontreiniging van de omgeving, explosies, stroomuitval en overlast door dieren. Tot slot is vandalisme ook een dreiging voor de fysieke beveiliging.

Voorbeelden:

  • Toegang tot serverruimte of archief;
  • Verlies van informatie op een openbare plek;
  • Verlies of beschadiging van informatie;
  • Ontbrekende controle op de toegang van informatie.

10. Bedrijfscontinuïteit

Er zijn altijd situaties die u als ondernemer niet voorzien hebt. Niet alles kunt u voorkomen maar u kunt wel de impact van dergelijke incidenten verminderen. Daarnaast komt het voor dat samenwerkingspartners of relaties niet meer kunnen voldoen aan de levering van de besproken producten of diensten en eigen werknemers met specifieke kennis kunnen vertrekken.

Voorbeelden:

  • Bedrijfskritische situatie door algeheel verlies van vrijwel alle informatie en back-ups;
  • Clouddienst die niet langer beschikbaar is of failliet gaat;
  • Unieke dienst/product die slechts door één leverancier geleverd wordt;
  • Verlopen van ondersteuning om een probleem op te lossen;
  • Wegvallen van personen en daarmee specifieke kennis / informatie.

Conclusie

Zoals in de meeste voorbeelden wel naar voren komt, ligt de oorsprong van de meeste dreigingen bij het handelen van de mens. Of beter gezegd, door het ontbreken of verkeerd handelen van de mens. Deze dreigingen zijn te voorkomen wanneer de bewustwording van uw medewerkers en de informatiebeveiliging op orde zijn. Loopt u aan de hand van deze bedreigingen tegen informatiebeveiligingsproblemen aan? Of hebt u nog vragen? Wij staan graag voor u klaar. Neem vrijblijvend contact met ons op voor meer informatie over dit onderwerp of over Base27, een praktische oplossing voor uw informatiebeveiliging.

Heeft u zich niet beschermd tegen de bovenstaande, of twijfelt u over uw toepassing? Neem dan contact met ons op. Of download gratis ons e-book “De 7 basisprincipes van digitale hygiëne” om te controleren of uw organisatie de basaal benodigde veiligheid waarborgt.

Ontdek de 7 basisprincipes van digitale hygiëne

 

Dit artikel is gebaseerd op de RAVIB.

Recente berichten

Krijg volledige controle over uw informatiebeveiliging
BEKIJK DE TOOL

Ondersteunde normenkaders

  • ISO 27001 / ISO 27002 (2022!)
  • NEN 7510
  • ISO 27017/18
  • EU-AVG/GDPR
  • ISO 27701
  • BC 5701
  • ISO 22301
  • ISO 9001
  • ISO 14001
  • TISAX
  • PCI-DSS
  • BIO
  • DigiD
  • IBHO / SURFaudit
  • COBIT
  • NIST CSWP
  • ISAE 3000 / 3401
  • SOC 2
  • NIS 2
  • En meer...

De combinatie van Base27 en ondersteuning en kennis van Axxemble was voor ons de succesformule. Na 6 maanden was de certificering een feit.

Mathijs Vreeman Lightbase

lightbase

Deze blogs vindt u wellicht ook interessant:

risicomanagement

Identificeer en beheers risico’s binnen informatiebeveiliging

Het identificeren en beheersen van risico’s en dreigingen blijft een uitdaging voor veel organisaties. In dit blog helpen we u dit proces te verduidelijken.
risicomanagement

Wat is een informatiebeveiligingsplan?

Dat het belangrijk is om de informatiebeveiliging binnen uw bedrijf op orde te hebben, dat weet u waarschijnlijk wel. U wilt immers niet negatief in de publiciteit komen omdat er een datalek heeft plaatsgevonden binnen of rondom uw organisatie. Met...