Eigenschap:Risico

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +

Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd.  +

Onbevoegden brengen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweeg.  +

Niet kunnen voorkomen dat bedreigingen in het ene verantwoordelijkheidsgebied schade veroorzaken in een ander verantwoordelijkheidsgebied.  +

Misbruik van netwerkverkeer van buitenaf en naar buiten toe.  +

De beschikbaarheid, integriteit en vertrouwelijkheid van de data wordt geschaad.  +

Opgeslagen gegevens worden ongeautoriseerd ingezien, aangepast of verwijderd door ontoereikende versleuteling.  +

Er kan misbruik van gegevens door onbevoegden worden gemaakt.  +

Misbruik van overbodige en/of niet gebruikte functies, services en accounts.  +

Elke niet-noodzakelijke functie van een systeem biedt extra kansen en mogelijkheden voor fouten en misbruik, waardoor de beschikbaarheid, integriteit en vertrouwelijkheid van de data in verminderde mate is te garanderen.  +

Overschrijden van het maximale dataverlies en/of uitvalsduur.  +

Gebrek aan inzicht in de positie en samenhang van beveiligingsmaatregelen maakt de kans groot dat bedreigingen over het hoofd worden gezien en schade ontstaat door ongeautoriseerde toegang en misbruik van bedrijfsmiddelen en gegevens.  +

Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van huisvesting IV, met als gevolg bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.  +

Door het ontbreken van noodzakelijke maatregelen binnen de huisvesting IV-organisatie is het niet zeker dat huisvesting IV aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Daarnaast kan ook niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.  +

Als naleving van de specifieke normen, omgezet in eisen voor de inrichting en exploitatie van de rekencentra niet wordt gerealiseerd, dan ontstaan continuïteits-, vertrouwelijkheids- en integriteitsrisico’s, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.  +

Schade door onvoldoende sturingsmogelijkheden voor een effectieve en betrouwbare inrichting van huisvesting IV en het daarmee geleverde niveau van dienstverlening. Aansprakelijkheid voor beveiligingsincidenten, doordat huisvesting IV (verwijtbaar) niet voldoet aan de actuele en gangbare beveiligingspraktijk.  +

IT-functionaliteiten zijn een zwakke schakel in de beveiliging.  +

Niet-beschikbaar zijn van informatiesystemen en data, waardoor de aangesloten organisaties schade ondervinden in hun bedrijfsvoeringen.  +

Onvoldoende mogelijkheid om sturing te geven aan leveranciersrelaties specifiek voor informatiebeveiliging.  +

De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.  +

Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van informatiesystemen.  +

Misbruiken van softwarepakketten en ongemerkt toegang krijgen tot gegevens en de beschikbaarheid, integriteit en vertrouwelijkheid van de data schaden.  +

Bij de inrichting van servers zijn niet alle vereiste beveiligingsprincipes meegenomen.  +

Als de verwerking van persoonsgegevens niet voldoet aan de AVG, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkingsverantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.  +

Cloudservices zijn niet toe te passen op andere IT-platforms en data kan niet naar een andere CSP worden overgedragen.  +

Onnauwkeurige auditlogbestanden niet kunnen onderzoeken of als bewijs in juridische of disciplinaire zaken belemmeren en de geloofwaardigheid van dat bewijsmateriaal schaden.  +

Data van of in beheer van de CSP komt via de koppelvlakken in handen van de CSP.  +

Wanneer de gegevens onjuist of onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens tot gevolg.  +

Het kwaliteitsniveau van de applicatieontwikkeling en -onderhoud is te laag of te hoog.  +

Toegang verschaffen tot beveiligingsruimten of zones van huisvesting IV door onbevoegden.  +

De continuïteit van de bedrijfsprocessen kan niet gewaarborgd worden.  +

Schade door het niet opmerkingen van fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten.  +

Ongeoorloofde acties op servers en besturingssystemen worden niet opgemerkt. Bij wel opmerken, is er geen bewijs voorhanden.  +

Afwijkingen van normaal gedrag binnen het softwarepakket zijn niet zichtbaar.  +

Afwijkingen van normaal gedrag binnen de applicatie zijn niet zichtbaar en niet te onderzoeken.  +

Afwijkingen van normaal gedrag zijn niet zichtbaar en niet te onderzoeken en herstelacties kunnen niet tijdig worden genomen.  +

Het niet kunnen achterhalen van de oorzaak van beveiligingsinbreuken.  +

Afwijkingen van normaal gedrag binnen de integratieketen zijn zonder logging of continue bewaking, niet zichtbaar.  +

Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden vastgesteld wie welke handelingen heeft uitgevoerd.  +

Malware wordt niet of te laat opgespoord en aangetroffen malware wordt niet of voldoende hersteld.  +

Malware wordt niet opgespoord en aangetroffen malware wordt niet of onvoldoende hersteld.  +

Negatieve consequenties die de persoonlijke levenssfeer van de betrokkene treffen.  +

Als adequaat beleid voor de inrichting en beheersing van functionaliteiten en componenten (gegevensverzamelingen) ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van middleware. Daardoor kan de informatievoorziening van de organisatie als geheel in gevaar komen en kan de integriteit en vertrouwelijkheid van gegevens worden aangetast.  +

<volgt nog>.  +

Wanneer een adequate inrichting en operationeel beheer van middlewarefunctionaliteiten ontbreekt, bestaat het risico dat: * onbevoegden zich toegang verschaffen tot middlewarefaciliteiten en dat gebruikers met te ruime bevoegdheden ongewenste acties uitvoeren; * integriteit van gegevensverwerking geschaad wordt. Per object zijn specifieke risico’s geformuleerd in de navolgende paragrafen.  +

Sturingsmogelijkheden ontbreken vanuit de klantorganisatie op beschikbaarheid, integriteit en vertrouwelijkheid van data en er ontbreken garanties voor beschikbare functionaliteit voor de bedrijfsprocessen van de klant.  +

Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven) voldoen aan de doelstellingen.  +

Geen of onvoldoende sturing hebben.  +

Geen of onvoldoende inzicht of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid het netwerkbeveiligingsbeleid effectief toetsten.  +

Ongeautoriseerde netwerkdevices worden aangesloten op het netwerk.  +

Informatie in netwerken is niet beschermd.  +

Geen sturing hebben op de netwerkbeveiliging.  +

Informatie in netwerken is niet beschermd.  +

Bij beheer, storingen en calamiteiten kan niet of minder effectief worden gereageerd.  +

Niet beschikbaar zijn van de gehuisveste informatievoorzieningen.  +

Ongeautoriseerde toegang in niet onderhouden gebouwen.  +

De inrichting van de server en het serverplatform wijkt af van wat vooraf nodig is geacht.  +

Configuratiewijzigingen kunnen leiden tot onvoorspelbaar gedrag van de componenten, waardoor een verminderde beschikbaarheid of datalekken kunnen ontstaan.  +

Door het ontbreken van een goede en inzichtelijke taakverdeling en de daarvoor benodigde middelen en rapportagelijnen is niet altijd duidelijk wie wat moet doen, waardoor de eisen van de AVG, de sectorspecifieke wetgeving en het privacybeleid niet effectief worden ingevuld.  +

Schade doordat de huisvesting IV-organisatie niet effectieve tot uitvoering komt.  +

Het niet effectief tot uitvoering komen van het beleid.  +

Niet helder is welke partij verantwoordelijk gesteld kan worden bij het niet halen van het gewenste beveiligingsniveau voor het transporteren van informatie over netwerken.  +

Technische en software kwetsbaarheden brengen de stabiliteit en betrouwbaarheid van systemen in gevaar.  +

De stabiliteit en betrouwbaarheid van servers komt in gevaar.  +

Kwetsbaarheden brengen de stabiliteit en betrouwbaarheid van systemen in gevaar.  +

Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft over wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (zoals: verzamelen, bewerken, inzien, etcetera).  +

Door het ontbreken van een door het management uitgevaardigd beleid ontstaat het risico dat onvoldoende sturing wordt gegeven aan het verwerken van de persoonsgegevens. Doorgaans zal dit een negatieve impact hebben op het realiseren van organisatiedoelstellingen (en het voldoen aan de eisen van de [[AVG]]).  +

Door het ontbreken van noodzakelijke maatregelen binnen het beheersingsdomein is het niet zeker dat de verwerking aan de vereisten voldoet en dat de governance van die omgeving toereikend is ingericht.  +

Wanneer richtlijnen voor de specifieke aspecten van de gegevensverwerking ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegeven aan de specifieke aspecten bij de verwerking van persoonlijke gegevens. Dit geeft onduidelijkheid bij de technische en organisatorische inrichting van de gegevensverwerkingen.  +

Betrokkenen van wie of over wie persoonsgegevens gaan, leiden schade door ongeoorloofde of onbedoelde toegang tot persoonsgegevens, ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens.  +

De bedrijfs- en persoonlijke data wordt onderbeveiligd.  +

Informatiebeveiliging wordt onvoldoende meegenomen in het systeem-ontwikkeltraject.  +

Niet helder is of het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling leiden tot de applicatie zoals deze is afgesproken (voldoet aan de eisen).  +

Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.  +

Door het ontbreken van formele procedures voor registraties en afmeldingen kan een onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat bewerkingen door onbevoegden plaatsvinden.  +

De resultaten van de controle-activiteiten voldoen niet aan de verwachte eisen. Het management stuurt niet op afwijkingen.  +

De resultaten van de controle-activiteiten zijn niet dekkend en volledig op ontwikkelactiviteiten.  +

Ongewenste wijzigingen aanbrengen aan het functioneren van bedrijfsmiddelen door onbevoegde personen, waardoor de bedrijfsvoering verstoord wordt en schade ontstaat.  +

Het voortbrengingsproces van de applicatie raakt verstoord.  +

Aanzienlijke negatieve gevolgen voor de bedrijfsactiviteiten door het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van netwerkcomponenten en/of de uitgewisselde gegevens.  +

Als middlewarefuncties niet op de juiste wijze worden ingesteld en beheerd, kunnen datalekken optreden of de performance en beschikbaarheid voldoet niet aan de eisen.  +

Geen of onvoldoende zicht hebben op de risico’s die van invloed zijn op clouddiensten.  +

Het niet of te laat anticiperen op risicofactoren die van invloed zijn op de uitkomst van de risico-assessment.  +

De getroffen beveiligingsmaatregelen liggen buiten de aanvaardbare grenzen. De clouddiensten worden onder- of overbeveiligd.  +

Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de AVG voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.  +

Als personen onbevoegde wijzigingen en beheeractiviteiten kunnen uitvoeren op middlewarefuncties kunnen datalekken optreden of de performance en beschikbaarheid voldoet niet aan de eisen.  +

Beïnvloeding of communicatie van data.  +

Als opslagmedia na gebruik niet adequaat wordt geschoond of onherstelbaar wordt vernietigd, kunnen er datalekken ontstaan wanneer deze media in andere systemen wordt hergebruikt of in handen van onbevoegden terechtkomen.  +

Misbruik van de performance van informatiebeveiliging van de cloud-omgeving.  +

Aantasting van de beschikbaarheid en integriteit van servers  +

Serverplatforms functioneren niet zoals vereist en zijn niet/onvoldoende beschermd tegen ongeautoriseerd en incorrecte updates.  +

Als de juiste beleidsaspecten voor de inrichting en het onderhoud van het serverplatform ontbreken, bestaat de kans dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze systemen. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een kans dat er datalekken optreden.  +

Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de IT-leverancier is het niet zeker of de ontwikkel- en onderhoudsadministratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Tevens kan dan niet vastgesteld worden dat de gewenste maatregelen worden nageleefd.  +

Wanneer adequate protectiefuncties voor het serverplatform ontbreken, ontstaan er risico’s op het gebied van virus- en malwarebesmetting, dataverlies of datalekken. Wanneer meer functionaliteit is ingeschakeld dan nodig is voor de bedrijfsvoering nemen risico’s van diefstal of inbreuk toe. Wanneer er onvoldoende zoneringsfuncties zijn geactiveerd, kunnen invloeden van buitenaf de dienstverlening via computers of netwerken onmogelijk maken. Hiaten in de systeemketens zoals Single Points of Failure (SPoF), veroorzaken continuïteitsproblemen en maken 7x24 uur beschikbaarheidsgaranties praktisch onmogelijk.  +

Onvoldoende sturing hebben op de inrichting van het serverplatform. Bedreigingen worden over het hoofd gezien.  +

Onjuiste of verkeerde levering van services leidt tot klantontevredenheid.  +

Niet of onvoldoende coördinatie, aggregatie en samenstelling van de servicecomponenten van de cloud-service.  +

De resultaten van controle-activiteiten uitgevoerd op clouddiensten voldoet niet aan de gestelde eisen.  +

Onbevoegden maken via kwetsbaarheden gebruik van openstaande sessies en krijgen toegang krijgen tot gevoelige data. Het ontstaan van zwakheden als Cross-Site Request Forgery (CSRF) en Clickjacking.  +