Risk Management Flashcards
What are the factors that contribute to risk?
Faktorene er assets, threats og vulnerabilitites.
Explain vulnerability.
Vulnerability går ut på mangelen av sikkerhetskontroll, noe som gjør det mulig å utføre. stegene i en threat scenario. Det er spesifikke muligheter som en threat actor kan utnytte for å angripe systemer. Dersom man oppdager og fjerner en vulnerability, vil man samtidig fjerne et threat scenario. Dette gjør man ved å bruke security controls.
How are the factores that contribute to risk related?
Faktorene er relatert med en model som forklarer at jo mer assets du har, jo mer threats er du utsatt for, og jo mer sårbar blir du.
Accordting to ISO 27005, explain risk management process.
Informasjonssikkerhet strategi er en toplevel strategi i organisasjonen brukt til å håndtere risikoer. Det er delt opp i ulike steg.
1. Planlegging:
Hvem skal gjøre det, hvilke tilnærming skal bli brukt, hvor stor er scopet(hva skal fokuseres på) og hva er risko kriteriene(definiere hvor stor risk du er villig til å ta)?
2. Risk assessment. Går ut på risiko identifikasjon, risiko analysering , risiko evaluering og kommunikasjon. Etter dette må vi spørre oss selv om vi er fornøyde med valgene vi har tatt, og må muligens gjøre ting på nytt. Dersom vi er fornøyde går vi til punkt 3.
3. Risk treatment plan:
Definerer en plan med sikkerhetskontroller som kommer til å ta tid og penger. Derfor må en rapport til managementetet for å få en budsjett på planen til å enten få det godkjent eller ikke. Om man ikke får det godkjent må man endre på noe i planen for å redusere kostnadene. Dersom planen er godkjent, går man videre til neste punkt.
4. Accepted residual risk: vi har redusert de verste risikoene til en akseptabel nivå. Deretter går vi videre til siste punkt.
5. Implementere planen.
What is a threat scenario modelling?
Threat scenario modelling er prosessen av identifisering og beskrivelse av relevante threat scenarioer. Ikke viktige/irrelevante threat scenearioer kan bli ignorert. Eksaminer hvordan hver relevant threat sceneario kan bli utført mot organisasjonens assets. Dette fungerer best når folk med ulik bakgrunn innad i organisasjonen jobber sammen i en rekke brainstorming sessions. Threat modelling er viktig ved systemutvikling. Det finnes ulike tilnærminger: Attacker.-centric, system-cemtric, og asset-centric.
Explain attacker centric, architecture centric, and asset centric.
Attacker centric:
Er en av threat modelling metohds og starter fra attackers, evaluerer målene deres og hvordan de kanskje kan få til dem gjennom en attack tree. Starter som fra entry points eller attacker action.
Architecture/system/SW/ design centric:
Er også en av threat modelling methods, og starterfra modellen av systemet og prøver å følge modell dynamiker og logikk, ser etter typer av attacker i mot hver element av modellen.Denne tilnærmingen er brukt i f.eks. trheat modeling i Microsoft Security Development Lifecycle.
Asset centric:
Er også en del av Threat Modelling Methods og starter fra assets entrusted til et system, som en kolleksjon av sensitive personlig informasjon og prøver å identifisere hvordan sikkerhets breacher av CIA properties can foregå.
What are the models for risk level estimation?
Vi har ulike typer analyser: Kvantitativ , relativt og kvalitativ.
Det kvaliative går ut på å bruke beskrivende skalaer som f.eks. påvikrningsnivå som kan være moderat, stor, liten eller katastorfisk. Et annet eksempel er likelihood (sannsynlighet) som da kan være sjeldent, lite sannsynlig, sannsynling, mest sanynslig, og nesten sikker.
Relativt går ut på at relative antall verdier er gitt til kvalitative skalaer, og gir relativt god distribuering av risiko nivåer.
Kvantitativ går ut på å bruke en rekke verdier for både konsekvenser og likelihood.
What are the risk treatment strategies? Explain them.
Risk treament strategieene er når man har blitt ferdig med en risk assessment, slik at sikkerhets teamet må velge en av fire strategier for å kunne kontrollere hver risiko.
- redusere risiko ved implementering av sikkerhetskontroller.
- Dele/transportere risiko.
- Beholde risikoen slik at du aksepterer og forstår de potensiale konsekvensene.
- Unngå risiko ved å stoppe aktiviteter som skaper risiko.
What is an asset?
Det er noe som har en verdi for en organisasjon, som f.eks. data, servere og systemer. De må ha aksepter som forklarer hvorfor noe er verdifult. Dette vil si ulike aksepter av påvikringen av assets. Med andre ord risikoen av at den asseten blir kompromittert.
What is a threat?
En scenario av diskre steg eller prosedyrer, kontrollert eller trigget av en threat actor,noe som kan ha en negativ påvirkning av offerets informasjon assets.
What are the three risk categories?
strategic risk, financial risk og operational risk
Hva er det Risk assessment (risikovurderings-) prosessen består av?
Planning, Risk identification, Risk analysis og Risk evaluation
Risk Control Strategies
• After completing the risk assessment, the security team
must choose one of four strategies to control each risk:
1. Reduce risk by implementing security controls
2. Share/transfer risk (outsource activity that causes
risk, or buy insurance)
3. Retain risk (understand and tolerate potential
consequences)
4. Avoid risk (stop activity that causes risk)
BCP (Business Continuity Plan)
Plan for restoring normal business functions after disruption.
BCP management
- BCP Policy
- Business Impact Analysis (BIA)
- Identify Preventive Controls
- Recovery Strategies
- Develop BCP
- Test BCP
- Maintain BCP
