Zicht op risico
Informatie over uw organisatie loopt in meer of mindere mate een veiligheidsrisico. Natuurlijk wilt u dat risico zoveel mogelijk beperken. Overheidsorganisaties zijn daarom al verplicht risicoanalyses uit te laten voeren.
Naar aanleiding van de implementatie van TOPdesk software bij een overheidsorganisatie hebben TOPdesk en 3-ANGLE Software & Services b.v. een voorbeeldrapport uitgebracht. Dit is bedoeld als hulpmiddel voor TOPdesk-gebruikers die hun applicaties aan een risicoanalyse willen onderwerpen. Lees hieronder wat een risicoanalyse inhoudt en hoeveel risico u loopt met TOPdesk.
De risicoanalyse
De eerste stap van een risicoanalyse is de afhankelijkheids- en kwetsbaarheidsanalyse (A&K-analyse). Bij de afhankelijkheidsanalyse is de schade bepaald die ontstaat als de applicatie niet beschikbaar is, de gegevens in de database onbetrouwbaar zijn of als de vertrouwelijkheid van gegevens niet gewaarborgd is. Dit wordt vastgesteld door na te gaan wat de schade is bij ‘worst-case-scenario’s’.
De kwetsbaarheidsanalyse laat zien aan welke bedreigingen een applicatie blootstaat en hoe kwetsbaar de organisatie is voor deze bedreigingen. Voor het maken van deze analyse wordt de omgeving - apparatuur en personeel - van de applicatie nauwkeurig in kaart gebracht.
Een conclusie naar aanleiding van een A&K-analyse kan er als volgt uitzien: “De risiconiveaus voor het gebruik van TOPdesk voor de registratie en afhandeling van storingsmeldingen en incidenten liggen voor alle impacttypen op baselineniveau. Dat wil zeggen dat vastgesteld is dat de risico’s ten aanzien van de beschikbaarheid van de applicatie en de vertrouwelijkheid en integriteit van de opgeslagen en verwerkte gegevens laag zijn, zodat volstaan kan worden met maatregelen van beperkte zwaarte.”
Bepalen risiconiveaus
3-ANGLE maakt bij de risicoanalyse gebruik van de CRAMM-methodiek. CRAMM staat voor CCTA Risk Analysis and Management Method. Deze methodiek wordt in Nederland veel gebruikt door overheidsorganisaties en het bedrijfsleven.
De CRAMM-methodiek wordt ondersteund door software die de risiconiveaus berekent aan de hand van alle ingevoerde schade- en kwetsbaarheidgegevens en bedreigingen. Op basis daarvan wordt een risicoprofiel opgesteld. Een dergelijk profiel geeft aan in hoeverre een applicatie, bijvoorbeeld TOPdesk Incidentbeheer, blootstaat aan risico’s. Bijvoorbeeld ten aanzien van beschikbaarheid, vertrouwelijkheid en integriteit.
Na de analyse
Het uitvoeren van een risicoanalyse alleen is niet het eindpunt. Het echte werk begint namelijk pas na de A&K-analyse. De uitkomst van een analyse is altijd een aantal ‘aanbevolen’ maatregelen. Hoeveel van deze aanbevolen maatregelen moeten worden geïmplementeerd en hoe vergaand, hangt af van hoeveel risico u loopt.
Informatiebeveiliging
Informatiebeveiliging is een belangrijk aandachtspunt voor veel organisaties en de behoefte groeit om het informatiebeveiligingsbeleid vast te leggen. De ‘Code voor Informatiebeveiliging’ wordt door veel organisaties hiervoor als leidraad gebruikt. Het is belangrijk dat organisaties weten wat de richtlijnen zijn die gevolgd moeten worden bij het uitvoeren van risicoanalyses voor informatiesystemen. CRAMM-software helpt een organisatie bij het selecteren van de juiste maatregelen voor uw organisatie. TOPdesk kan vervolgens weer ingezet worden om beveiligingsincidenten te registreren, waarna volgende A&K-analyses op de nieuwste gegevens worden gebaseerd.