Cirkel van mogelijkheden en bedreigingen

Cirkel van mogelijkheden en bedreigingen

Risico management wordt veelal als iets negatiefs ervaren. Maar als we kijken naar de formule: kans x impact dan is deze juist ook uitstekend geschikt om mogelijkheden inzichtelijk te krijgen.

Met de Cirkel van mogelijkheden en bedreigingen introduceren we een andere kijk op risico management en laten we zien dat de methodieken om risico’s in te schatten ook heel goed bruikbaar zijn om mogelijkheden te zien.

Hoe werkt het?

Een gebeurtenis is een voorval dat plaats kan vinden in de positieve of negatieve zin en waarvan we de kans en impact kunnen schatten. Iedere gebeurtenis heeft mogelijkheden (positief) of bedreigingen (negatief) in zich waarvan de we kans en impact kunnen schatten.

Het verschil tussenmogelijkheden en bedreigingen:

  • Een mogelijkheid is een potentiele positieve gebeurtenis die kansen biedt voor de organisatie. Bij een mogelijkheid willen we de kans en/of impact dat het voorval zich voordoet verhogen.
  • Een bedreiging is een potentiele negatieve gebeurtenis die gevaren biedt voor de organisatie. Bij een bedreiging willen we de kans en/of de impact dat het voorval zich voordoet verlagen.

Hoe nu verder?

  1. Vraag je af welke gebeurtenissen de meeste positieve of negatieve invloed kunnen hebben op de omzet, de kosten en/of het imago van de organisatie
  2. Schat hoe groot de kans en de impact van die gebeurtenissen is
  3. Bepaal wat je er aan gaat doen om de mogelijkheden te benutten of de bedreigingen te voorkomen

Et voilà: De cirkel van mogelijkheden en bedreigingen “in a nutshell”

Ons advies

  • Begin vandaag nog met het inschatten van de mogelijkheden en bedreigingen: hou het simpel en eet niet de hele olifant in 1x. Beter veel kleine stappen dan een heel groot project
  • Kansen gaan verloren en we worden geconfronteerd met bedreigingen: wees niet paranoia. Overschat de mogelijkheden niet maar onderschat de bedreigingen ook niet
  • Start met bewustzijn en werk toe naar de cirkel van mogelijkheden en bedreigingen

Hacker onthult lekken in industriele systemen

Een grote brand in Moerdijk en nog veel erger een groot ongeval in een kernreactor in Japan en zo kunnen we nog wel even doorgaan. Je zou toch zeggen dat we inmiddels wel aandacht voor de beveiliging daarvan zouden hebben?

Ehm, nou de organisaties zelf misschien niet, maar een beveiligingsonderzoeker “gelukkig” wel.

Een Italiaanse beveiligingsonderzoeker heeft tal van beveiligingslekken in industriële systemen onthuld, waardoor aanvallers op afstand belangrijke delen van de infrastructuur kunnen overnemen. De zogeheten SCADA-systemen (supervisory control and data acquisition) worden gebruikt in industriële omgevingen, zoals kernreactoren, raffinaderijen, gaspijplijnen en vliegvelden, die weer in verbinding met de publieke infrastructuur staan (bron).

Geeft niet echt een lekker gevoel, toch? Nou hopen maar dat andere, meer kwaadwillende, aanvallers niet op het idee worden gebracht en maar snel de patches doorvoeren om weer veilig te worden…oh, oeps, probleem: In 34 van de 35 lekken is het voor een aanvaller mogelijk om willekeurige code uit te voeren. Een probleem, want updates voor de kwetsbaarheden ontbreken.

Nou, dan maar snel de leverancier informeren zodat er alsnog met bloedspoed patches gemaakt kunnen worden…oh, oeps, nog een probleem: De makers van het Agora SCADA+ Pack laten weten dat SCADA-systemen lastig zijn te patchen, waardoor ook oude kwetsbaarheden nog relevant zijn.

Lijkt me toch een goed plan als dit soort bedrijven nog eens goed naar hun bedreigingen kijken, daarbij weten wij natuurlijk allang dat je 3 soorten bedreigingen kunt onderscheiden:
1) Bedreigingen van natuurlijke aard (als een aardbeving en Tsunami)
2) Bedreigingen van menselijke aard (bewust en onbewust handelen van mensen)
3) Bedreigingen van technologische aard (storingen, ontbreken van patches, etc.)
Maar weten dit soort bedrijven dat onderscheid ook te maken? En beter nog: kunnen ze ook met creatieve oplossingen komen (want die zijn er echt wel).

Misschien word ik paranoia maar het lijkt wel of we echt kunnen wachten op de volgende grote klap. Blijkbaar is Japan de ver-van-mijn-bed-show. Ik ga in ieder geval zorgen voor aluminium folie (zodat ik mijn ramen af kan plakken tegen straling) en een voorraadje water en blikvoer.