Eigenschap:Risico

Als toereikend beleid ontbreekt, dan bestaat het risico dat er geen systematische analyse van de noodzakelijke requirements plaatsvindt waardoor het verworven softwarepakket niet voorziet in de gewenste (non)functionaliteiten.  +

Als de regie en control op noodzakelijke normen binnen de klant en de leverancier ontbreken, is het niet zeker of de bedrijfs- en technische functies aan de beoogde beveiligingsvoorwaarden voldoen en dat de governance van deze omgeving toereikend is ingericht. Ook kan niet vastgesteld worden of de gewenste normen worden nageleefd.  +

Als adequate normen en maatregelen voor de inzet en veilig gebruik van softwarepakketten ontbreken, dan ontstaan enerzijds risico’s voor het verkrijgen van onjuiste functionaliteiten en anderzijds risico’s voor het verkrijgen van een softwarepakket met onvoldoende beschermende eigenschappen binnen het softwarepakket. Cyberaanvallen maken meestal misbruik van kwetsbaarheden in standaard software, zoals softwarepakketten. Kwetsbaarheden kunnen om vele redenen aanwezig zijn, zoals codeerfouten, logische fouten, door onvolledige vereisten vanuit opdrachtgevers en het niet testen op ongebruikelijke of onverwachte omstandigheden. Veel voorkomende specifieke fouten (en daarmee kwetsbaarheden) in software zijn: * Het niet controleren van de omvang van gebruikersinvoer (Structured Query Language (SQL)-injection). * Het niet filteren op potentieel kwaadaardige tekenreeksen van invoerstromen. * Het niet initialiseren en wissen van variabelen. * Slecht geheugenbeheer waardoor overflows optreden en softwarefouten kunnen worden beïnvloed. Per object is aangegeven welke risico’s de bedrijfsvoering van organisaties lopen, wanneer beveiligingsmaatregelen niet of in onvoldoende mate worden geïmplementeerd.  +

Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen schade aan de bedrijfsbelangen veroorzaken.  +

Generieke risico’s zijn niet of onvoldoende gemitigeerd.  +

De server is niet of onvoldoende geconfigureerd voor de functionaliteit binnen de IT-omgeving.  +

De in gebruik genomen applicatie voldoet niet aan de eisen en wensen van de business, vereiste uit wet- en regelgeving, beveiligingsvereisten etc.  +

Tijdens het gebruik van een informatiesysteem komen onvolkomenheden (afwijkingen op beveiligingseisen, functionele eisen, gebruikerseisen, businesseisen en business rules) voor het eerst aan het licht.  +

Ongewenste effecten door het wijzigen van besturingsplatforms worden niet zichtbaar.  +

Een technische kwetsbaarheid wordt niet of niet tijdig ontdekt.  +

Kwetsbaarheden in servers worden niet opgemerkt, waardoor er misbruik van gemaakt kan worden.  +

Bedrijfs- en beveiligingsfunctionaliteiten werken niet zoals beoogd.  +

Misbruik en verlies van (gevoelige) gegevens.  +

De organisatie is niet transparant, waardoor het inzicht in de rechtmatigheid van organisaties ontbreekt, waardoor het vertrouwen in een organisatie verloren gaat.  +

Als onbevoegden toegang hebben tot systeemhulpmiddelen zoals beheertools, kan de beschikbaarheid, integriteit en vertrouwelijkheid van de opgeslagen data niet worden gegarandeerd.  +

De beheersorganisatie is niet effectief ingericht waardoor het toegangbeveiligingssysteem niet optimaal functioneert.  +

Het toegang krijgen tot gegevens die niet noodzakelijk zijn voor het uitvoeren van de rol/functie.  +

Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de toegang tot ICT-voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangsbeveiliging.  +

Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat het naleven van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.  +

Wanneer een adequate toegangsbeveiliging tot terreinen, gebouwen, ruimten en informatiefaciliteiten ontbreekt, dan bestaat het risico dat onbevoegden zich toegang kunnen verschaffen tot faciliteiten en data en/of dat gebruikers met te ruime bevoegdheden ongewenste acties kunnen uitvoeren.  +

Onbevoegde toegang tot programmabroncodebibliotheken en samenhangende elementen.  +

Onvoldoende inzicht in de technische inrichting en de toegangsvoorzieningsarchitectuur leidt tot onvoldoende beheersing van het autorisatie ‘inrichtings- en beheer-’domein.  +

Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangsbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven.  +

Als formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid over wie welke handelingen mag verrichten.  +

Frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.  +

De ontwikkelcyclus wordt minder effectief uitgevoerd.  +

Schade door onbewust en/of onbekwaam fout handelen van medewerkers.  +

De CSP kan levert een dienstverlening die niet of onvolledig is afgestemd op de behoefte van de CSC.  +

Het gebruik van een niet actuele versie van een document, programma’s e.d. in het systeem-ontwikkeltraject kan leiden tot een incorrecte software specificatie en ontwikkeling.  +

Werken met verouderde versies van een softwarepakket.  +

Als data niet toereikend is beschermd tegen ongeoorloofd lezen, wijzigen of vernietigen, kunnen datalekken ontstaan en is de beschikbaarheid, vertrouwelijkheid en integriteit niet te garanderen.  +

Dienstverleners en partners zijn niet (voldoende) bekend met de actuele benodigde eisen van de organisatie voor het beschermen van informatie.  +

Onvoldoende mogelijkheid om sturing te geven aan het verwerven van softwarepakketten.  +

Informatie met een vertrouwelijk karakter komt in handen van onbevoegden.  +

Onbevoegden krijgen toegang tot getransporteerde informatie over de netwerken.  +

Dat onbevoegden inzicht krijgen in gevoelige informatie.  +

Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken.  +

Schade door wettelijke aansprakelijkheid.  +

Schade als gevolg van wettelijke aansprakelijkheid.  +

Doorgevoerde wijzigingen aan systemen zijn niet volledig en gecontroleerd.  +

Verspreiding van aanvallen, indringers, ongewenste inhoud, virussen etc. in de organisatie.  +