Kwaliteitsmanagement

Dreigingsmodellen

Een dreigingsmodel is een systematische manier om na te denken over wat er mis kan gaan. Door vaste categorieën dreigingen langs te lopen, voorkom je dat je tijdens een risicoanalyse alleen de risico's ziet die je toevallig al kent. Dreigingsmodellen maken je analyse breder, diepgaander en — dat is misschien wel het mooist — reproduceerbaar.

Normity ondersteunt meerdere dreigingsmodellen, waaronder MaPGooD en RAVIB. Je koppelt ze direct aan je risicoanalyse, maatregelen en controles. Zo hoef je nooit meer met een leeg vel te beginnen, en kun je volgend jaar precies zien wat er veranderd is.

demo aanvragen stel een vraag

Normity - Icoon
Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Normity

Eerlijk is eerlijk: wij zijn behoorlijk trots op onze eigen software. Dat komt niet in de laatste plaats doordat we deze al bij veel organisaties hebben mogen implementeren. Tevreden organisaties. Omdat deze organisaties met Normity in staat zijn grip te krijgen op hun kwaliteit. Omdat audittrajecten eenvoudiger verlopen. Omdat processen beter inzichtelijk is. Omdat medewerkers meer betrokken zijn. Kortom: meer kwaliteit. En dat is goed voor jou, maar ook voor jouw klanten.

Kwaliteitsmanagement

Een goede risicoanalyse is een hoeksteen van vrijwel elk managementsysteem. ISO 27001, NEN 7510, BIO — ze vragen allemaal om een gestructureerd risicoproces. Alleen: hoe begin je daar eigenlijk aan? Veel organisaties vertrekken vanuit wat ze toevallig al kennen: incidenten uit het verleden, dingen die een collega noemt, krantenkoppen van de afgelopen maand. Dat is menselijk, maar ontoereikend.

Dreigingsmodellen lossen dat op. Ze geven je een vaste structuur waarin je álle relevante dreigingscategorieën afloopt, of je nu aan die dreiging gedacht had of niet. Een paar veelgebruikte modellen:

  • MaPGooD — zeven categorieën: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Veel gebruikt in Nederland, goed aansluitend op ISO 27002.
  • RAVIB — een specifiek dreigingsmodel voor informatiebeveiliging dat nauw aansluit bij de BIO en ontwikkeld is voor de Nederlandse overheidsmarkt.
  • STRIDE — van Microsoft, georganiseerd rond zes dreigingstypen: Spoofing, Tampering, Repudiation, Information disclosure, Denial of service en Elevation of privilege.
  • OCTAVE — meer organisatiegericht, vooral geschikt voor risicoanalyse op bedrijfsprocessen in plaats van alleen techniek.

Welk model het beste past, hangt af van je sector, je norm en je volwassenheid op het gebied van risicomanagement. Voor informatiebeveiliging zijn MaPGooD en RAVIB in Nederland het meest gangbaar. Start je nu, dan kun je eigenlijk niet misstappen: ieder model is beter dan geen model.

Een ander voordeel van werken met een dreigingsmodel: je risicoanalyse wordt vergelijkbaar. Volgend jaar loop je dezelfde categorieën opnieuw af en zie je precies waar je beter of slechter scoort. Zonder model vergelijk je appels met peren. En dat is nou net wat je in een auditjaar niet wilt uitleggen.

Gerelateerd

Normity - Icoon - Twitter Normity - Icoon - Facebook Normity - Icoon - LinkedIn Normity - Icoon - Whatsapp Normity - Icoon - Pinterest Normity - Icoon - Email Normity - Icoon - Email Normity - Icoon - Plus

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus
Heb je al een bestaand programma om jouw kwaliteit in vast te leggen? Dan vertellen we jou graag meer over onze overstapservice. Daarmee stap jij moeiteloos over naar Normity. En wij helpen je om de overstap zo eenvoudig mogelijk te maken! Meer weten? Wij horen graag van je!

Uit ons blog

Normity - Afbeelding - Hoofdafbeelding

RAVIB inzetten bij de risicoanalyse

RAVIB is een dreigingsmodel dat je gestructureerd door een risicoanalyse voor informatiebeveiliging loodst, met standaarddreigingen die nauw aansluiten bij ISO 27002 en de BIO. In dit artikel laten we zien hoe je het model inzet, welke stappen je zet van dreiging naar maatregel en wat de voordelen zijn.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

MAPGOOD risicoanalyse

MAPGOOD is een dreigingsmodel voor risicoanalyses op het gebied van informatiebeveiliging, opgebouwd uit zeven categorieën: Mens, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Met die structuur werk je systematisch en diepgaand alle relevante risico's af. In dit artikel leggen we uit hoe je MAPGOOD toepast in Normity.

Marcel van Langen
Normity - Afbeelding - Hoofdafbeelding

ISMS

Een ISMS (Information Security Management System) is géén softwarepakket, maar een systematische manier waarop een organisatie informatiebeveiliging borgt — met beleid, processen, maatregelen en continue verbetering volgens PDCA. Software zoals Normity ondersteunt dat, maar ís het niet. In dit artikel lees je wat een ISMS precies is en waarom je er een nodig hebt.

Marcel van Langen

Veelgestelde vragen over Dreigingsmodellen

De vragen die we het vaakst krijgen over Dreigingsmodellen, met korte en feitelijke antwoorden.

Een dreigingsmodel is een gestructureerde aanpak om alle relevante dreigingen voor informatie, systemen of activiteiten systematisch in kaart te brengen. Door vanuit vaste categorieën te werken voorkom je dat je dreigingen over het hoofd ziet. In Nederland worden modellen als MaPGooD en RAVIB veel gebruikt in risicoanalyses voor ISO 27001, BIO en NEN 7510.

Bekende dreigingsmodellen zijn MaPGooD (menselijk, apparatuur, programmatuur, gegevens, organisatie, diensten), RAVIB (Risico-analyse voor Informatiebeveiliging), STRIDE van Microsoft, PASTA, MITRE ATT&CK en de Cyber Kill Chain. De keuze hangt af van het doel: algemene risicoanalyse, security-by-design of detectie-engineering.

MaPGooD is Nederlands, generiek en gericht op brede risicoanalyse over zes categorieën (menselijk, apparatuur, programmatuur, gegevens, organisatie, diensten). STRIDE is Amerikaans (Microsoft), technischer en gericht op softwarearchitectuur. MaPGooD werkt beter voor ISMS-brede analyses; STRIDE voor concrete software­ontwerpen.

Een dreigings­analyse identificeert wát er mis kan gaan (wie, wat, hoe). Een risicoanalyse gaat verder: hoe waarschijnlijk is het en hoe groot is de impact? Dreigingen zijn de input, risico's zijn de uitkomst. Een dreigingsmodel zorgt dat je geen categorieën vergeet; de risicoanalyse bepaalt de prioriteit.

MITRE ATT&CK is een open kennisbank van aanvalstechnieken, georganiseerd naar fase van een aanval (initial access, execution, persistence, enzovoort). Cybersecurity-teams gebruiken ATT&CK om detectie te evalueren, incidenten te analyseren en purple teaming uit te voeren. Het is geen dreigingsmodel in strikte zin, maar een tactiek-bibliotheek.

ISO 27001 eist geen specifiek dreigingsmodel, maar wel een risicobeoordeling. Je bent vrij in de keuze van methodiek — MaPGooD, RAVIB, STRIDE of een eigen aanpak. Wat telt: de methode is gedocumenteerd, reproduceerbaar en dekt alle relevante bedreigingen. Dreigingsmodellen zijn een hulpmiddel, geen verplichte stap.

Dreigingen veranderen — een model van drie jaar oud is gedateerd. Herijk dreigings­analyses minimaal jaarlijks, en zeker bij grote wijzigingen (nieuwe systemen, nieuwe dreigingen uit het nieuws, incidenten, NIS2-eisen). Koppel dreigingsmodellering aan de PDCA-cyclus van je ISMS, niet aan een eenmalig project.

Threat intelligence is actuele informatie over dreigingen, aanvallers en kwetsbaarheden uit externe bronnen (CERT, ISAC's, commerciële feeds). Dreigingsmodellen zijn statischer (wat kán er misgaan?); threat intelligence is dynamischer (wat gebeurt er nu in de wereld?). Een volwassen organisatie combineert beide in haar risicomanagement.

Kwaliteitsmanagement

ISO 9001
4-O systematiek
Dreigingsmodellen
Managementsysteem
ISO 17025
Certificatie
Audits
PDCA cyclus

Informatiebeveiliging

ISMS
BIO2
ISO 27001
ISO 27002
NEN 7510
RAVIB
MAPGOOD
Phishing
Awareness
Dreigingsmodellen

Privacy

Verwerkingregister
Wpg voor boa's
Grondslagen
Privacy by design
Privacy by default
ISO 27701
Privacy quiz
Dreigingsmodellen

Veiligheid & Arbo

ISO 45001
VCA
VCU
RI&E
CS-OOO
Veiligheidsladder
ISO 14122

Milieu & duurzaamheid

ISO 14001
ISO 26000
VCA
VCU
EMAS
CO2 prestatieladder

Sectorspecifiek

ISO 17025
ISO 20252
HKZ
REOB
VCA
CS-OOO

Diensten

Nulmetingen
Interne audits
Pentesten
Awareness
Implementatie
Overstappen

Functionaliteit

Quality management
Document management
Asset management
Privacy management
Risk management
Supplier management
Security management
Process management