Ein Bedrohungsbewertungsmodell ist eine Darstellung des Organisationsplans hinsichtlich der Erkennung möglicher Bedrohungen und der Mittel, die es zur Minimierung oder Bekämpfung dieser Bedrohungen einsetzen wird. Solche Modelle können Kalkulationstabellen, Grafiken, Flussdiagramme, Diagramme oder eine Reihe anderer Hilfsmittel verwenden, um ihre notwendigen Punkte zu veranschaulichen.
Zweck
Der Zweck eines Bedrohungsbewertungsmodells besteht darin, Organisationen die Möglichkeit zu geben, mögliche Bedrohungen vor ihrem Auftreten zu erkennen und Möglichkeiten aufzuzeigen, wie sie entweder verhindert oder ihre Auswirkungen rückgängig gemacht werden können. Wenn eine Organisation immer umfangreicher und komplexer wird, können die verschiedenen Arten von Bedrohungen, mit denen sie konfrontiert ist, an Zahl und Umfang zunehmen, und es ist wichtig, ein etabliertes Modell zu haben, mit dem die Organisation diese Bedrohungen organisieren und analysieren und Gegenmaßnahmen ergreifen kann. Der Versuch, Bedrohungen ohne die Verwendung eines Modells zu minimieren, kann verwirrend, ineffizient und sogar gegenläufig sein.
Verwendet
Modelle zur Bedrohungsanalyse können in Haftungssachen hilfreich sein, z. B. Sicherheitsrisiken, die dazu führen können, dass Kunden Zivilklagen gegen Einzelhändler einreichen. Sie können sich auch mit Sachen wie Computersicherheit befassen, was für Unternehmen, die umfangreiche Informationen über Kundenkonten enthalten, äußerst wichtig sein kann, insbesondere wenn sie Informationen wie Kreditkartennummern, Adressen und Sozialversicherungsnummern speichern. Durch das Aufzeigen möglicher Bedrohungen und den Umgang mit ihnen können Organisationen sich selbst, ihren Ruf, ihre Kunden und die Gesellschaft im Allgemeinen schützen.
Kernthemen
Laut James Baynes "Ein Überblick über Bedrohungs- und Risikobewertung" für das SANS-Institut, einer Quelle für Informationssicherheitsschulungen, muss jedes Bedrohungsbewertungsmodell eine Reihe von Schlüsselthemen behandeln. Zunächst muss ermittelt werden, was geschützt werden muss, z. B. physische Assets oder vertrauliche Informationen. Zweitens muss es alle Bedrohungen und Schwachstellen identifizieren, denen das Unternehmen ausgesetzt ist. Drittens muss er die vollständigen Auswirkungen dessen darlegen, was geschehen würde, wenn eines der wertvollen Vermögenswerte verloren gehen würde. Viertens muss es einige Lösungen geben, wie die Organisation die Gefährdung durch solche Organisationen minimieren kann.
Bedrohungen analysieren
Bei der Durchführung einer Bedrohungsanalyse müssen Sie die Art und den Schweregrad der Bedrohungen analysieren, denen Ihr Unternehmen ausgesetzt ist. Der wichtigste Aspekt bei der Kategorisierung von Bedrohungen besteht darin, sie als menschlich oder nicht-menschlich zu identifizieren. Eine menschliche Bedrohung wäre zum Beispiel ein Hacker, ein verärgerter Angestellter, ein ungeeignet ausgebildeter Angestellter oder ein Dieb. Eine nicht-menschliche Bedrohung wäre eine Naturkatastrophe oder ein Geräteausfall. Ein Bedrohungsbewertungsmodell muss Sie dabei unterstützen, all diese Bedrohungen aufzulisten und deren Schweregrad zu quantifizieren.
