En trusselsvurderingsmodel er en gengivelse af en organisations plan for identifikation af mulige trusler og de midler, det vil gennemføre for at minimere eller imødegå disse trusler. Sådanne modeller kan bruge regneark, grafer, flowdiagrammer, diagrammer eller en række andre hjælpemidler til at illustrere deres nødvendige punkter.
Formål
Formålet med en trusselsvurderingsmodel er at give organisationer mulighed for at identificere mulige trusler, før de opstår, og skitsere måder at forhindre eller reversere deres virkninger på. Da en organisation bliver stadig større og kompleks, kan de forskellige typer trusler, som den står overfor, vokse i antal og størrelse, og det er vigtigt at have en etableret model, som organisationen kan bruge til at organisere og analysere disse trusler og derefter gennemføre modforanstaltninger mod dem. Forsøg på at minimere trusler uden brug af en model kan være forvirrende, ineffektiv og endog modvirkningseffektiv.
Anvendelser
Modeller for trusselsvurdering kan være nyttige, når det drejer sig om ansvarsforhold, som f.eks. Sikkerhedsrisici, der kan få kunderne til at indgive sager mod en forhandler. De kan også beskæftige sig med ting som computersikkerhed, hvilket kan være yderst vigtigt for virksomheder, der beskæftiger sig med store lagre af kundekontooplysninger, især når de gemmer oplysninger som kreditkortnumre, adresser og socialsikringsnumre. Ved at gøre opmærksom på mulige trusler og komme op på måder at håndtere dem, kan organisationer beskytte sig selv, deres omdømme, deres kunder og samfundet generelt.
Kerneproblemer
Ifølge James Baynes "En oversigt over trussel og risikovurdering" for SANS Institute, en kilde til informationssikkerhedstræning, skal enhver trusselsvurderingsmodel beskæftige sig med en række centrale spørgsmål. For det første skal det identificere, hvad der skal beskyttes, såsom fysiske aktiver eller følsomme oplysninger. For det andet skal det identificere alle de trusler og sårbarheder, organisationen står overfor. For det tredje skal det udklare de fulde konsekvenser af, hvad der ville ske, hvis nogen af de værdifulde aktiver skulle gå tabt. For det fjerde skal det give nogle løsninger på, hvordan organisationen kan minimere eksponeringen for sådanne trusler.
Analyse af trusler
Ved at foretage en trusselsvurdering skal du analysere arten og sværhedsgraden af de trusler, som din organisation står overfor. Det vigtigste aspekt ved kategorisering af trusler er at identificere dem som enten menneskelige eller ikke-menneskelige. En menneskelig trussel, for eksempel, ville være en hacker, en utilfreds medarbejder, en ukorrekt uddannet medarbejder eller en tyv. En ikke-menneskelig trussel ville være en naturkatastrofe eller udstyrsfejl. En trusselsvurderingsmodel skal hjælpe dig med at notere alle disse trusler og kvantificere deres grad af sværhedsgrad.
