Het RAVIB dreigingsmodel is ontwikkeld door Hugo Leisink. Het dreigingsmodel wordt gratis te beschikking gesteld onder de merknamen RAVIB en RAFIS. Het RAVIB model is gericht op het ondersteunen van risicoanalyses op het gebied van informatiebeveiliging. Hoe, dat leggen we hieronder graag uit!
Pak je de ISO 27001 of BIO norm erbij, dan valt meteen op dat de risicoanalyse een centrale plek heeft gekregen. En terecht, want het is een uitstekende manier om gestructureerd inzicht te krijgen in de probleemgebieden voor jouw organisatie. Tijdens zo'n risicoanalyse wordt gekeken naar de (belangrijkste) risico's (deze term wordt hieronder min of meer als synoniem gehanteerd voor dreigingen) voor jouw organisatie. De zogenaamde identificatiefase. Vervolgens wordt een analyse en beoordeling van de risico's gemaakt. Per risico wordt de kans op dat risico en de impact van het risico vastgesteld. Er wordt met andere woorden een rangorde gemaakt. Ieder risico krijgt bovendien een eigenaar. Dit is de zogenaamde analysefase.
Dan is het tijd voor de actiefase. In deze fase wordt vastgesteld hoe de organisatie om wenst te gaan met het risico. Grofweg heeft een organisatie hierbij vier opties:
Hoe pak je nu zo'n identificatiefase aan, waarbij het doel is om de (belangrijkste) risico's in beeld te krijgen? Daar zijn veel verschillende mogelijkheden voor. Wil je snel en praktisch invulling geven aan de identificatiefase? Dan zou je het volgende stappenplan kunnen doorlopen:
Bij dat laatste kan RAVIB ook ondersteunen. Het is van belang dat de betrokken medewerkers bij het vaststellen van hun belangrijkste risico's steeds aangeven op welke RAVIB dreiging het risico is gebaseerd. Waarom is dat nu zo belangrijk? In de RAVIB methodiek zijn aan alle dreigingen maatregelen uit de ISO 27002 gekoppeld. Dat betekent dat je bij een dreiging dus meteen kunt zien welke maatregelen je als organisatie moet nemen. Hieronder volgt hiervan een voorbeeld!
Op het moment van schrijven bevat de RAVIB methodiek 51 dreigingen, verdeeld over de volgende categorieën:
Voor het voorbeeld pakken we een risico uit de categorie 'Toegang tot informatie', namelijk 'Slecht wachtwoordgebruik'. Het gaat dan om het slecht omgaan met wachtwoorden binnen de organisatie. Hierbij moet je denken aan het gebruik van zwakke wachtwoorden, het opschrijven van wachtwoorden of het gebruik van hetzelfde wachtwoord voor meerdere systemen. Dit kan bijvoorbeeld ontstaan door het ontbreken van een wachtwoordbeleid of onvoldoende bewustzijn bij medewerkers.
Heeft een medewerker deze dreiging uit de RAVIB methodiek geselecteerd? Dan geeft RAVIB jou direct de maatregelen uit de ISO 27002 (en de BIO) die bij deze dreiging horen. In dit concrete geval zijn dit 5.17 (Beheren van authenticatie informatie), 6.3 (Bewustwording, opleiding en training op informatiebeveiliging), 8.5 (Beveiligde authenticatie) en 8.12 (Voorkomen van gegevenslekken). Deze koppeling tussen dreiging en maatregelen is terug te vinden op de website van RAVIB, maar ook in Normity. Ideaal!
Normity heeft uitgebreide mogelijkheden voor het uitvoeren, volgen en vastleggen van risicoanalyses. Natuurlijk kun je de resultaten van de risicoanalyse in Normity vastleggen. En de risico's volgen, aan de risico's maatregelen en acties hangen, risico's van een beoordeling voorzien. Maar Normity bevat ook diverse dreigingsmodellen, waaronder RAVIB, MAPGOOD, OWASP en RISMAN. Waardoor het nog makkelijker wordt om risicoanalyses uit te voeren.
Meer weten? Vraag een gratis demo aan of geef ons een belletje op 085 - 00 46 605. Wij horen graag van je!