Risicogebaseerde beveiligingsstrategie



door

Een risicogebaseerde beveiligingsstrategie is een strategie waarbij een organisatie specifieke beveiligingsmaatregelen vaststelt die in een informatietechnologieomgeving (IT-omgeving) moeten worden genomen en documenteert wanneer en waar die maatregelen moeten worden toegepast. Risicogebaseerde beveiligingsstrategieën helpen organisaties te bepalen welke digitale activa de meeste bescherming nodig hebben. Drie essentiële gebieden die een bedrijf met een risicogebaseerde beveiligingsstrategie moet aanpakken, zijn: wat zijn hun belangrijkste informatiemiddelen, wie heeft toegang tot deze middelen/hoe worden ze beschermd, en wie wil deze middelen stelen of beschadigen. 

Risicogebaseerde beveiliging moet zorgvuldig worden gepland en voortdurend worden gecontroleerd om ervoor te zorgen dat de strategieën een veelomvattende en diepgaande benadering van cyberbeveiliging ondersteunen.De meest effectieve risicogebaseerde beveiligingspraktijken vormen een aanvulling op de andere ERM-strategieën (enterprise risk management) van de organisatie. 

Risicogebaseerde beveiligingsstrategie-elementen

Er zijn vijf basisstappen in de risicogebaseerde beveiligingsstrategie die een organisatie moet volgen wanneer ze risicogebaseerde beveiliging toepast. Deze stappen omvatten:

  1. Vastgestelde activa -- In deze stap moet een organisatie bepalen wat en waar haar belangrijkste activa zijn en wie de eigenaar ervan is. Bij deze stap moet ook rekening worden gehouden met de gevolgen voor het bedrijf en de kosten die voortvloeien uit de integriteit of beschikbaarheid van een asset die in gevaar is gebracht. Het doel is ervoor te zorgen dat de activa die het belangrijkst zijn voor de dagelijkse werking van een organisatie, een hoge prioriteit krijgen.
  2. Herkennen van bedreigingen -- De organisatie moet kwaadwillende actoren identificeren die mogelijk informatie willen stelen of bedrijfsmiddelen willen beschadigen. Hieronder vallen concurrenten, boze werknemers of niet-vijandige bedreigingen zoals ongetrainde werknemers. Andere potentiële bedreigingen om in gedachten te houden zijn natuurrampen zoals overstromingen of branden. Aan elke bedreiging moet een dreigingsniveau worden toegekend dat is gebaseerd op de waarschijnlijkheid dat deze zich voordoet.
  3. Zicht op kwetsbaarheden -- Bij deze stap gaat het om het identificeren van mogelijke kwetsbaarheden in software en netwerken. Pen-tests en geautomatiseerde scantools voor kwetsbaarheden kunnen hierbij helpen.
  4. Risicoprofilering -- In deze stap wordt de waarschijnlijkheid beoordeeld dat een bedreiging misbruik zal maken van een kwetsbaarheid. Bij de profilering worden de bestaande beveiligingsmaatregelen geëvalueerd en wordt het risico voor specifieke bedrijfsmiddelen gemeten. Het doel is aan elke bedrijfsmiddel een eigen risicoscore toe te kennen.
  5. Risicobehandeling -- In deze stap wordt besloten of risico's moeten worden getolereerd, behandeld of beëindigd. Het is belangrijk dat elke beslissing wordt gedocumenteerd en dat de redenen voor elke keuze worden vermeld. Penetratietests moeten worden gebruikt om elke bedreiging te simuleren en de veiligheid van specifieke bedrijfsmiddelen te waarborgen. Dit proces moet worden herhaald voor elke bedreiging die is geïdentificeerd.

Implementatie van een op risico's gebaseerde beveiligingsstrategie

Hoewel de implementatie van op risico's gebaseerde beveiliging een tijdrovende aangelegenheid kan zijn, zal deze de veiligheid van informatiemiddelen waarborgen en beveiligingsinspanningen afstemmen op bedrijfsdoelstellingen. De besprekingen tussen beveiligingsprofessionals en bedrijfsmanagers moeten beginnen met het identificeren van potentiële bedreigingen en de waarschijnlijkheid dat een potentiële bedreiging zich voordoet. Op basis hiervan kunnen belanghebbenden risiconiveaus gaan toekennen aan elke bedreiging en potentiële kwetsbaarheid.

Als dit werk is voltooid, kunnen netwerkbeheerders hun beleid voor toegangscontrole herzien om te controleren of de organisatie het principe van de minste privileges (PoLP) toepast. Zodra een audit van de technische controles is uitgevoerd om er zeker van te zijn dat alles werkt zoals verwacht, kunnen tests worden gestart om elke bedreiging te simuleren.

In deze video wordt uitgelegd waarom het belangrijk is om steun van het management te krijgen bij de implementatie van op risico's gebaseerde beveiligingsstrategieën.