En trusselsvurderingsmodell er en representasjon av en organisasjons plan for identifisering av mulige trusler og midler som den vil gjennomføre for å minimere eller motvirke disse truslene. Slike modeller kan bruke regneark, grafer, flytdiagrammer, diagrammer eller en rekke andre hjelpemidler for å illustrere deres nødvendige punkter.
Hensikt
Formålet med en trusselsvurderingsmodell er å gi organisasjoner muligheten til å identifisere mulige trusler før de oppstår, og skissere måter å hindre dem på eller reversere sine effekter. Ettersom organisasjonen blir stadig større og komplisert, kan de ulike typer trusler det står overfor vokse i antall og omfang, og det er viktig å ha en etablert modell som organisasjonen kan bruke til å organisere og analysere disse truslene og deretter gjennomføre motforanstaltninger mot dem. Forsøk på å minimere trusler uten bruk av en modell kan være forvirrende, ineffektiv og til og med counter-effektiv.
Bruker
Trusselsvurderingsmodeller kan være nyttige når det gjelder ansvarsforhold, for eksempel sikkerhetsrisiko som kan føre til at kunder setter inn sivile dragter mot en forhandler. De kan også håndtere ting som datasikkerhet, noe som kan være ekstremt viktig for bedrifter som håndterer store lagre av kundekontoinformasjon, spesielt når de lagrer informasjon som kredittkortnumre, adresser og personnummer. Ved å legge merke til mulige trusler og komme opp på måter å håndtere dem, kan organisasjoner beskytte seg selv, deres omdømme, deres kunder og samfunnet generelt.
Kjerneproblemer
Ifølge James Baynes "En oversikt over trussel og risikovurdering" for SANS Institute, en kilde til informasjonssikkerhetstrening, må enhver trusselsvurderingsmodell håndtere en rekke sentrale problemer. Først må det identifisere hva som må beskyttes, for eksempel fysiske eiendeler eller sensitiv informasjon. For det andre må den identifisere alle trusler og sårbarheter som organisasjonen står overfor. For det tredje må den legge ut de fulle implikasjonene av hva som ville skje hvis noen av verdifulle eiendeler skulle gå tapt. For det fjerde må det gi noen løsninger på hvordan organisasjonen kan minimere eksponeringen for slike trusler.
Analysere trusler
Ved å gjennomføre en trusselsvurdering må du analysere arten og alvorlighetsgraden av truslene som organisasjonen står overfor. Det viktigste aspektet ved kategorisering av trusler er å identifisere dem som enten menneskelige eller ikke-menneskelige. En menneskelig trussel, for eksempel, ville være en hacker, en utilfreds ansatt, en feilutdannet medarbeider eller en tyv. En ikke-menneskelig trussel ville være en naturkatastrofe eller utstyrssvikt. En trusselsvurderingsmodell må hjelpe deg med å oppgi alle disse truslene og kvantifisere graden av alvorlighetsgrad.