Software Security – Risico Analyse
377

In dit artikel beschrijf ik de stappen die nodig zijn voor het maken van een (eenvoudige) risico analyse.
De eerste stap, maar ook een van de belangrijkste, voor de beveiliging van je informatiesystemen is vergaren van kennis. Je moet weten hoe je eigen systemen, maar ook de ingekochte systemen, gebruik maken van methoden en technieken. Met systemen bedoel ik dan niet alleen de software, maar zeker ook de hardware, firmware, protocollen enzovoorts.

In principe kan elke onderdeel van een informatiesysteem kwetsbaar zijn, en daardoor ook gevoelig voor misbruik; denk bij elk onderdeel ook aan communicatiemogelijkheden als USB, Bluetooth, FTP, enzovoorts.

Ook onderdelen die niet van het bedrijf zijn, maar binnen het bedrijf of voor bedrijfsinformatie gebruikt kunnen worden, kunnen een onveilige situatie veroorzaken. Denk daarbij aan een smartphone of notebook die ook voor bedrijfsmail gebruikt. In het totaalplaatje van je systemen moet je dan ook alle mogelijke onderdelen meenemen. Bijvoorbeeld:

security_dec-1

Met de kennis van de eigen systemen kan de volgende stap gestart worden: Inventarisatie van de onderdelen met de mogelijke kwetsbaarheden:

  • Niet goed beveiligde WiFi netwerk
  • Verouderde firmware van de Router
  • Netwerk kan “vreemde” apparaten toestaan
  • Kunnen klikken op een internet link
  • Kunnen reageren op een fishing mail bericht
  • Via internet kunnen inloggen met eenvoudige toegangswachtwoorden
  • Bring Your Own Device (BYOD) is toegestaan en mogen gebruik maken van het netwerk
  • Klantinformatie met betaalgegevens staan op de webserver

Neem ook de menselijke factor mee bij je inventarisatie:

  • Een “vreemde” kan het bedrijf binnenlopen en apparatuur meenemen of via eigen apparatuur toegang krijgen tot het netwerk
  • Eigen medewerker kan in de bureaulade van de directeur het briefje met toegangscode en wachtwoord vinden
  • Een medewerker vindt op de parkeerplaats een USB stick en kijkt op het werk wat er op staat
  • Een medewerker maakt gebruik van gratis WiFi in een restaurant om de bedrijfsmail te checken

Deze inventarisatie van de eigen systemen met de mogelijke kwetsbaarheden is niet eenvoudig maar wel belangrijk. De resultaten kunnen in een risicomatrix gezet worden en vervolgens besproken worden. Per onderdeel kan aangegeven worden welke delen beter beveiligd gaan worden, voor welke delen meer kennis van de medewerkers nodig is, maar ook voor welke delen het risico beperkt is en de gevolgen ervan acceptabel zijn. Kort voorbeeld van een risicomatrix:

security_dec-2

De bovenstaande matrix kan naar eigen inzicht worden vormgegeven; het risico kan bijvoorbeeld opgedeeld worden in een risicopercentage, de mogelijke schade, en de kosten om het risico te beperken.

Als softwareontwikkelaar lijkt deze informatie grotendeels onnodig; het lijkt voornamelijk een taak voor de systeembeheerder. In het volgende artikel, de “Layers of Defense” zal blijken dat deze informatie zeker nodig is om een goed, betrouwbaar en veilig informatiesysteem te kunnen ontwikkelen.

Auteur: Jos Raijmakers / Bergler Competence Center © 2015