Risicomanagement: 10 dreigingen in kaart – deel 1

Welke dreigingen spelen er bij informatiebeveiliging? Het is een vraag die vaak gesteld wordt door veel bedrijven en organisaties. Wij geven antwoord op deze vraag door 10 dreigingen met voorbeelden in kaart te brengen.

Het is belangrijker dan ooit om risico’s en dreigingen in kaart te brengen. Door alle digitale mogelijkheden is het belangrijk om informatie op een goede manier te beveiligen. Door de dreigingen in kaart te brengen kunt u zich goed voorbereiden op mogelijke gevolgen, en kunt u het risico die de dreigingen met zich meenemen verkleinen. Lees over de 10 dreigingen die belangrijk zijn voor het risicomanagement van uw informatiebeveiliging. In dit artikel benoemen wij de eerste 5 dreigingen. In deel 2 kunt u lezen hoe het met de overige 5 dreigingen zit.

1. Verantwoordelijkheid
2. Wet- en regelgeving
3. Incidenten en incidentafhandeling
4. Misbruik
5. Ongeautoriseerde toegang
6. Uitwisselen en bewaren van informatie
7. Mobiele apparatuur en telewerken
8. Systeem- en gebruikersfouten
9. Fysieke beveiliging
10. Bedrijfscontinuïteit

Weten hoe het staat met de informatiebeveiliging binnen uw organisatie? Download gratis “De 7 basisprincipes van digitale hygiëne” en controleer of uw organisatie de benodigde veiligheid waarborgt.

Lees verder onder de afbeelding

De dreigingen in kaart

Voor organisaties zijn er talloze dreigingen die ervoor kunnen zorgen dat uw organisatie in de problemen komt. Deze dreigingen kunnen als gevolg hebben dat bepaalde incidenten binnen uw organisatie plaatsvinden waardoor uw organisatie schade leidt in de vorm van kosten, omzet of imago. Wij zetten de eerste 5 van de 10 veelvoorkomende oorzaken van informatiebeveiligingsincidenten op een rij.

1. Verantwoordelijkheid

Een van de grootste dreigingen heeft te maken met verantwoordelijkheid. Wanneer de directie en/of leidinggevenden nalatig zijn in de coördinatie, is de verantwoordelijkheid ten aanzien van informatiebeveiliging onvoldoende belegd. Hierdoor hebben medewerkers onvoldoende aandacht voor het informatiebeveiligingsbeleid en neemt de kans op incidenten toe.

Voorbeelden:

• Foutsituaties worden door leidinggevenden getolereerd blijven bestaan;
• Onachtzaamheid van medewerkers;
• Informatie blijft onbeheerd achter;
• Gevoelige informatie is publiekelijk beschikbaar.

2. Wet- en regelgeving

Organisaties dienen te voldoen aan wet- en regelgeving. Het niet voldoen hieraan vormt een bron voor beveiligingsincidenten. Bijvoorbeeld wanneer er juridische stappen worden genomen tegen het bedrijf vanwege het niet veilig omgaan met vertrouwelijke informatie of het schenden van auteursrechten. Indien een bedrijf tijdens een rechtszaak niet in staat is om aan te tonen dat zij voldoet aan alle wet- en regelgeving kan de schade enorm toenemen.

Voorbeelden:

• Klant stelt bedrijf aansprakelijk tijdens rechtszaken;
• Wetgeving wordt onvoldoende nageleefd en leidt tot boetes;
• Onterecht gebruik maken van source codes en tools;
• Gebruik maken van afbeeldingen en/of teksten zonder toestemming van de auteur;
• Ontbrekende licenties of het niet opvolgen van licentievoorwaarden.

3. Incidenten en incidentafhandeling

Incidenten en de afhandeling hiervan kunnen leiden tot onnodige schade wanneer hier geen passende maatregelen voor zijn genomen of wanneer de benodigde kennis ontbreekt. Het is belangrijk dat deze incidenten vlot worden opgepakt om te voorkomen dat de schade groter wordt.

Voorbeelden:

• Ontbreken of uitstellen van correcties;
• Capaciteitsgebrek (geld, tijd, resources);
• Onduidelijkheid in de afspraken en verantwoordelijkheden;
• Onvoldoende aandacht voor de grondoorzaak;
• Problemen slechts tijdelijk oplossen.

4. Misbruik

Het gebruiken van systemen voor andere doeleinden dan waar ze voor bedoeld zijn vormt eveneens een dreiging. Ditzelfde geldt voor het ontvreemden van een bedrijfsmiddel, als een laptop of telefoon. Als hier geen sancties op volgen, zal de kans op incidenten verder toenemen. Ook wanneer er zonder toestemming externe partijen worden toegelaten tot het bedrijfsnetwerk of in het bedrijfspand waarbij zij toegang hebben tot vertrouwelijke informatie is een vorm van misbruik.

Voorbeelden:

• Klantdata wordt opgeslagen in algemene documentatie;
• Computer met informatie wordt ontvreemd;
• Herhaling doordat het gemak groter is dan het ongemak van een sanctie;
• Onbevoegde personen hebben toegang tot de serverruimte;
• Bezoekers krijgen toegang tot bedrijfscomputers.

5. Ongeautoriseerde toegang

Onder ongeautoriseerde toegang valt het misbruiken van andermans identiteit of het onterecht hebben van bepaalde rechten. Dit kan komen doordat het wachtwoordgebruik slecht is, of wanneer werkplekken onbeheerd achter worden gelaten. Maar ook het verkrijgen van toegang op een andere, illegale, manier behoort tot een serieuze dreiging.

Voorbeelden:

• Stelen van wachtwoorden door middel van een keylogger;
• Iemand doet zich voor als iemand anders;
• Leidinggevende die systeembeheerder opdracht geeft tot het onterecht ontsluiten van gevoelige informatie;
• Makkelijk te raden wachtwoorden;
• Werkplekken worden achtergelaten met applicaties nog open en toegankelijk.

Conclusie

Uit de voorbeelden blijkt dat in veel gevallen de mens de zwakste schakel is in de beveiliging. Of beter gezegd, door het ontbreken of verkeerd handelen van de mens. Deze dreigingen zijn te voorkomen wanneer de bewustwording van uw medewerkers en de informatiebeveiliging op orde zijn. Loopt u tegen vergelijkbare informatiebeveiligingsproblemen aan? Of hebt u nog vragen? Wij staan graag voor u klaar. Neem vrijblijvend contact met ons op voor meer informatie over dit onderwerp of over Base27, een praktische oplossing voor uw informatiebeveiliging.

Heeft u zich niet beschermd tegen de bovenstaande, of twijfelt u over uw toepassing? Neem dan contact met ons op. Of download gratis ons e-book “De 7 basisprincipes van digitale hygiëne” om te controleren of uw organisatie de basaal benodigde veiligheid waarborgt.

Dit artikel is gebaseerd op de RAVIB.