Eigenschap:Risico

De softwareconfiguratie-items zijn onbetrouwbaar (niet juist en niet volledig).  +

Het ontbreken van informatiebeveiligingseisen voor nieuwe of uit te breiden informatiesystemen.  +

In het technisch ontwerp en verder zijn niet alle noodzakelijke functionele eisen meegenomen.  +

Schade door ongeautoriseerde toegang en onvoldoende beschikbaarheid van falende apparatuur.  +

Verlies, schade, diefstal of compromitteren van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.  +

In ongeautoriseerde handen komen van gevoelige gegeven en software.  +

De werking van de applicatie is onbetrouwbaar.  +

In het applicatieontwerp ontbreekt vereiste informatie.  +

De opgeleverde programmuurcode is niet veilig.  +

Het informatiesysteem ondersteunt het betreffende bedrijfsproces niet maximaal.  +

Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van data/informatie van de in ontwikkeling zijnde applicatie en/of de daaraan gekoppelde applicatie.  +

Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht.  +

Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de leverancier is het niet zeker of de ontwikkel- en onderhoudsadministratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoen en of de governance van deze omgeving toereikend is ingericht. Evenmin kan worden vastgesteld of de gewenste maatregelen worden nageleefd.  +

Wanneer adequate normen voor applicatieontwikkeling en onderhoud ontbreken, bestaat het risico dat deze activiteiten plaatsvinden met onjuiste gronden of dat het fundament waarop deze activiteiten steunen niet aan het juiste beveiligingsniveau voldoen. Zo kan door het ontbreken van richtlijnen en procedures voor activiteiten binnen de verschillende omgevingen software in de productieomgeving geïnstalleerd worden die fouten bevat waardoor productiegegevens ernstig aangetast kunnen worden.  +

Gegevens kunnen niet uitgewisseld worden.  +

Onbevoegde personen krijgen toegang tot de data in het softwarepakket.  +

Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteem worden aangebracht.  +

Misbruik van gegevens in een softwarepakket.  +

De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in het muteren van de autorisaties van gebruikers/beheerders leiden tot onjuiste autorisaties.  +

Er treedt vervuiling op bij het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd, waardoor onbevoegden toegang hebben tot gegevens.  +

Het optreden van beveiligingsincidenten en/of datalekken en verlies van kennis voor het bedienen van serverplatforms.  +

Datalekken en de continuïteit niet kunnen waarborgen.  +

Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten waardoor bedrijfsdoelstellingen niet worden gehaald.  +

Het niet effectief reageren op het manifest worden van omvangrijke storingen en (on)bekende risico’s (ramp/noodsituaties). De bedreiging wordt niet zo snel als mogelijk gestopt en de gevolgschade wordt niet zo veel als mogelijk beperkt.  +

Data in de cloud is langer dan de overeengekomen maximale uitvalsduur niet beschikbaar.  +

Niet tijdig actie ondernomen wanneer omstandigheden het vereisen.  +

Misbruik van bedrijfsmiddelen in de hand werken door het ontbreken van procedures voor de behandeling van bedrijfsmiddelen.  +

De server is onbetrouwbaar en functioneert niet naar behoren.  +

De beheersorganisatie is niet effectief ingericht waardoor de softwareontwikkeling niet optimaal verloopt.  +

De cloudiensten verlopen niet zoals noodzakelijk is.  +

Niet effectief ingerichte beheersorganisatie waardoor de huisvesting IV-dienstverlening niet optimaal verloopt.  +

De beheerorganisatie voor netwerkbeveiliging is niet effectief ingericht waardoor de netwerkbeveiliging niet optimaal functioneert.  +

De beheersorganisatie is niet effectief ingericht waardoor servers en serverplatforms onvoldoende zijn beveiligd.  +

De beheersorganisatie is niet effectief ingericht waardoor het toegangsbeveiligingssysteem niet optimaal functioneert.  +

Misbruik van het bekabelingssysteem.  +

Onvoldoende mogelijkheden om sturing te geven aan informatietransport en sturing te geven aan inconsistenties in het uitvoeren van procedures en beheersmaatregelen over informatietransport.  +

Adequate sturing op het informatietransport is niet mogelijk en er kunnen gemakkelijk datalekken ontstaan, zonder dat in de uitvoering sprake is van opzet of onzorgvuldig handelen.  +

Adequate sturing op geoorloofd gebruik van middlewarecomponenten is praktisch onmogelijk, waardoor schade kan ontstaan in de bedrijfsvoering.  +

Onvoldoende mogelijkheid om sturing te geven aan de inrichting van het (beveiligd) ontwikkelen van applicaties.  +

Onvoldoende mogelijkheden om sturing te geven aan de effectieve en betrouwbare inrichting van een serverplatform en hierover een verantwoordingsrapportage te laten afgeven.  +

Kwetsbaarheden in technische serveromgevingen voor servers en besturingssystemen worden niet opgemerkt.  +

Door het ontbreken van controle op toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.  +

Onvoldoende mogelijkheden om vast te stellen of de controle-activiteiten gestructureerd plaatsvinden.  +

Het introduceren van kwetsbaarheden in de software.  +

Het introduceren van kwetsbaarheden.  +

Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van de data.  +

De beschikbaarheid, integriteit en/of vertrouwelijkheid van testgegevens worden aangetast.  +

Als organisaties er niet op kunnen vertrouwen dat de beschikbaarheid en integriteit van de data gegarandeerd is, onafhankelijk van incidentele uitval van de techniek, kan de continuïteit van de bedrijfsvoering daardoor ernstig in gevaar worden gebracht.  +

Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van (communicatie)systemen.  +

Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.  +

Als passende maatregelen voor berichtenverkeer ontbreken, kan de beschikbaarheid, integriteit en vertrouwelijkheid van de uitgewisselde data niet worden gegarandeerd.  +

Uitval van kritische processen van de organisatie.  +

Onvoldoende mogelijkheid om sturing te geven op de beveiligingsmaatregelen van softwarepakketten die in de architectuur zijn opgenomen.  +

Toegang verschaffen tot ruimten en schade aanrichten aan de eigendommen van de organisatie door niet-geautoriseerden.  +

Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten over toegangsbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd of dat afwijkingen niet leiden tot corrigerende acties.  +

Het niet effectief tot uiting komen van het clouddienstenbeleid.  +

Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering.  +

Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.  +

De gekozen beveiligingsmaatregelen sluiten niet aan bij de bedrijfsimpact door een beveiligingsincident.  +

Als de toename van de aantallen berichten niet wordt bewaakt of in relatie wordt gebracht met de afgesproken en beschikbare capaciteit, kan de continuïteit van het berichtenverkeer voor alle afnemers niet worden gegarandeerd.  +

Continuïteits- of datalekschade door een gebrekkig volwassenheidsniveau van huisvesting IV.  +

Informatie wordt over of onder beveiligd.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij het beveiligen van clouddiensten.  +

Als de juiste beleidsaspecten voor de inrichting en het onderhoud van clouddiensten ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden. In [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het beleidsaspect|Toelichting objecten in het beleidsdomein]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Bij het ontbreken van de noodzakelijke maatregelen binnen de Cloud Service Provider (CSP) is het niet zeker of de ontwikkeling en het onderhoud van de IT-componenten aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van de clouddiensten toereikend is ingericht. Ook kan niet worden vastgesteld of de gewenste maatregelen worden nageleefd. In [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het control-aspect]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Als bij het aangaan of gedurende het toepassen van clouddiensten, adequate beveiligingsfuncties, het in de contracten benoemen van deze functies en de regie op naleving van de afspraken ontbreken, dan ontstaan continuïteitsrisico’s en mogelijk, datalekken of misbruik van gevoelige data. In [[BIO_Thema_Clouddiensten/Cloudbeveiligingsprincipes_binnen_het_uitvoeringsaspect|Toelichting objecten in het uitvoeringsdomein]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Geen of onvoldoende sturing hebben op clouddiensten.  +

Geen of onvoldoende sturing hebben op de clouddiensten. De werking van de clouddiensten is onbetrouwbaar.  +

Onvoldoende mogelijkheid om sturing te geven aan inspanningen voor clouddiensten, waardoor deze niet of onvoldoende bijdragen aan de doelstellingen van de organisatie.  +

Onbevoegden krijgen toegang tot getransporteerde gegevens.  +

Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële schade aan de bedrijfsvoering.  +

Als de noodzakelijke beheersingsmaatregelen binnen de organisatie ontbreken, is het niet zeker dat de netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en de naleving van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden nageleefd.  +

De belangrijkste risico’s in het uitvoeringsdomein van communicatievoorzieningen zijn: * negatieve beïnvloeding van beveiligingsniveaus door koppeling van netwerken; * illegaal gebruik; * onderbrekingen; * afluistering van getransporteerde data; * kwetsbaarheden in uitvoerbare code; * fysieke of logische inbreuk op netwerkelementen.  +

Het ongecontroleerd afwijken van hetgeen gesteld is in wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en geen zekerheid hebben over het ingevoerde beveiligingsniveau.  +

Niet voldoen aan wet- en regelgeving e.d. die van invloed is op de informatiebeveiliging.  +

Afwijkingen op het beveiligingsbeleid worden niet gesignaleerd.  +

Als de instellingen van systeemfuncties niet volgens configuratierichtlijnen plaatsvindt, is onvoorspelbaar gedrag van componenten mogelijk, waardoor uitval van functies en datalekken kunnen ontstaan.  +

Het tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.  +

Schade door gebrek aan toetsmiddelen voor de huisvesting IV-organisatie om vast te stellen of de voorzieningen juist zijn en of deze aan het juiste beveiligingsniveau voldoen.  +

Niet tijdig de juiste maatregelen kunnen treffen.  +

Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen softwarepakketten.  +

Als door ontoereikend cryptografiebeleid geheime authenticatie-informatie ontrafeld kan worden, dan is de vertrouwelijkheid en integriteit van data niet te garanderen.  +

Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen netwerken en communicatieservices.  +

Het aanpassen van de vertrouwelijkheid en de integriteit van getransporteerde informatie door onbevoegden.  +

Gegevens zijn tijdens transport via netwerken en opslag te benaderen voor onbevoegden.  +

Als organisaties zich niet bewust zijn van de vergaande mogelijkheden van integratiefuncties in de middleware en niet hebben geformaliseerd welke transformaties bedrijfs- en persoonsgebonden data mag ondergaan, is sturing op privacy-risico’s voor dit aandachtgebied vrijwel onmogelijk.  +

Als data niet kan worden hersteld na storingen, diefstal, systeemuitval of calamiteiten wordt de continuïteit van de bedrijfsvoering ernstig in gevaar gebracht.  +

Data met de classificatie BBN2 of hoger is onvoldoende beveiligd.  +

De beschikbaarheid en integriteit van de data wordt aangetast gedurende archivering en langer archiveren dan noodzakelijk.  +

Andere CSC’s en de CSP krijgen toegang tot de data of in beheer van de CSP en vice versa.  +

Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerken van persoonsgegevens.  +

Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.  +

Draadloos verkeer komt in handen van onbevoegden terecht.  +

Schade door achterstallig onderhoud en niet functioneren van bedrijfsmiddelen.  +

Noodzakelijke beveiligingsacties blijven achterwege.  +

Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in elektronisch berichtenverkeer.  +

Informatiebeveiligingsmaatregelen voor het implementeren van informatiesystemen zijn niet/minder effectief.  +

De leverancier levert niet hetgeen is opgenomen in de overeenkomst.  +

Na een gebeurtenis kan niet de benodigde actie worden ondernomen en niet worden vastgesteld wie welke handeling heeft uitgevoerd.  +

Afwijkingen op de benodigde robuustheid van de beveiligingsmaatregelen worden niet gesignaleerd. De robuustheid is niet in evenwicht met de risico’s/dreigingen.  +