Eigenschap:Risico

Uit NORA Online
Naar navigatie springen Naar zoeken springen
Type eigenschap
:
Tekst
Geldige waarden
:
Meerdere waarden toegestaan
:
Nee
Weergave op formulieren
:
Tekstvak
Initiële waarde
:
Verplicht veld
:
Nee
Toelichting op formulier
:
Beschrijf hier het risico dat het ISOR Object probeert te mitigeren
Subeigenschap van
:
Geïmporteerd uit
:
Formatteerfunctie externe URI
:

Klik op de button om een nieuwe eigenschap te maken:


Showing 100 pages using this property.
B
Niet tijdig actie ondernomen wanneer omstandigheden het vereisen.  +
Misbruik van bedrijfsmiddelen in de hand werken door het ontbreken van procedures voor de behandeling van bedrijfsmiddelen.  +
De server is onbetrouwbaar en functioneert niet naar behoren.  +
De beheersorganisatie is niet effectief ingericht waardoor de softwareontwikkeling niet optimaal verloopt.  +
De cloudiensten verlopen niet zoals noodzakelijk is.  +
Niet effectief ingerichte beheersorganisatie waardoor de huisvesting IV-dienstverlening niet optimaal verloopt.  +
De beheerorganisatie voor netwerkbeveiliging is niet effectief ingericht waardoor de netwerkbeveiliging niet optimaal functioneert.  +
De beheersorganisatie is niet effectief ingericht waardoor servers en serverplatforms onvoldoende zijn beveiligd.  +
De beheersorganisatie is niet effectief ingericht waardoor het toegangsbeveiligingssysteem niet optimaal functioneert.  +
Misbruik van het bekabelingssysteem.  +
Onvoldoende mogelijkheden om sturing te geven aan informatietransport en sturing te geven aan inconsistenties in het uitvoeren van procedures en beheersmaatregelen over informatietransport.  +
Adequate sturing op het informatietransport is niet mogelijk en er kunnen gemakkelijk datalekken ontstaan, zonder dat in de uitvoering sprake is van opzet of onzorgvuldig handelen.  +
Adequate sturing op geoorloofd gebruik van middlewarecomponenten is praktisch onmogelijk, waardoor schade kan ontstaan in de bedrijfsvoering.  +
Onvoldoende mogelijkheid om sturing te geven aan de inrichting van het (beveiligd) ontwikkelen van applicaties.  +
Onvoldoende mogelijkheden om sturing te geven aan de effectieve en betrouwbare inrichting van een serverplatform en hierover een verantwoordingsrapportage te laten afgeven.  +
Kwetsbaarheden in technische serveromgevingen voor servers en besturingssystemen worden niet opgemerkt.  +
Door het ontbreken van controle op toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.  +
Onvoldoende mogelijkheden om vast te stellen of de controle-activiteiten gestructureerd plaatsvinden.  +
Het introduceren van kwetsbaarheden in de software.  +
Het introduceren van kwetsbaarheden.  +
Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van de data.  +
De beschikbaarheid, integriteit en/of vertrouwelijkheid van testgegevens worden aangetast.  +
Als organisaties er niet op kunnen vertrouwen dat de beschikbaarheid en integriteit van de data gegarandeerd is, onafhankelijk van incidentele uitval van de techniek, kan de continuïteit van de bedrijfsvoering daardoor ernstig in gevaar worden gebracht.  +
Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van (communicatie)systemen.  +
Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.  +
Als passende maatregelen voor berichtenverkeer ontbreken, kan de beschikbaarheid, integriteit en vertrouwelijkheid van de uitgewisselde data niet worden gegarandeerd.  +
Uitval van kritische processen van de organisatie.  +
Onvoldoende mogelijkheid om sturing te geven op de beveiligingsmaatregelen van softwarepakketten die in de architectuur zijn opgenomen.  +
Toegang verschaffen tot ruimten en schade aanrichten aan de eigendommen van de organisatie door niet-geautoriseerden.  +
Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten over toegangsbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd of dat afwijkingen niet leiden tot corrigerende acties.  +
Het niet effectief tot uiting komen van het clouddienstenbeleid.  +
Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering.  +
Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.  +
De gekozen beveiligingsmaatregelen sluiten niet aan bij de bedrijfsimpact door een beveiligingsincident.  +
C
Als de toename van de aantallen berichten niet wordt bewaakt of in relatie wordt gebracht met de afgesproken en beschikbare capaciteit, kan de continuïteit van het berichtenverkeer voor alle afnemers niet worden gegarandeerd.  +
Continuïteits- of datalekschade door een gebrekkig volwassenheidsniveau van huisvesting IV.  +
Informatie wordt over of onder beveiligd.  +
Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij het beveiligen van clouddiensten.  +
Als de juiste beleidsaspecten voor de inrichting en het onderhoud van clouddiensten ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden. In [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het beleidsaspect|Toelichting objecten in het beleidsdomein]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +
Bij het ontbreken van de noodzakelijke maatregelen binnen de Cloud Service Provider (CSP) is het niet zeker of de ontwikkeling en het onderhoud van de IT-componenten aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van de clouddiensten toereikend is ingericht. Ook kan niet worden vastgesteld of de gewenste maatregelen worden nageleefd. In [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het control-aspect]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +
Als bij het aangaan of gedurende het toepassen van clouddiensten, adequate beveiligingsfuncties, het in de contracten benoemen van deze functies en de regie op naleving van de afspraken ontbreken, dan ontstaan continuïteitsrisico’s en mogelijk, datalekken of misbruik van gevoelige data. In [[BIO_Thema_Clouddiensten/Cloudbeveiligingsprincipes_binnen_het_uitvoeringsaspect|Toelichting objecten in het uitvoeringsdomein]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +
Geen of onvoldoende sturing hebben op clouddiensten.  +
Geen of onvoldoende sturing hebben op de clouddiensten. De werking van de clouddiensten is onbetrouwbaar.  +
Onvoldoende mogelijkheid om sturing te geven aan inspanningen voor clouddiensten, waardoor deze niet of onvoldoende bijdragen aan de doelstellingen van de organisatie.  +
Onbevoegden krijgen toegang tot getransporteerde gegevens.  +
Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële schade aan de bedrijfsvoering.  +
Als de noodzakelijke beheersingsmaatregelen binnen de organisatie ontbreken, is het niet zeker dat de netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en de naleving van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden nageleefd.  +
De belangrijkste risico’s in het uitvoeringsdomein van communicatievoorzieningen zijn: * negatieve beïnvloeding van beveiligingsniveaus door koppeling van netwerken; * illegaal gebruik; * onderbrekingen; * afluistering van getransporteerde data; * kwetsbaarheden in uitvoerbare code; * fysieke of logische inbreuk op netwerkelementen.  +
Het ongecontroleerd afwijken van hetgeen gesteld is in wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en geen zekerheid hebben over het ingevoerde beveiligingsniveau.  +
Niet voldoen aan wet- en regelgeving e.d. die van invloed is op de informatiebeveiliging.  +
Afwijkingen op het beveiligingsbeleid worden niet gesignaleerd.  +
Als de instellingen van systeemfuncties niet volgens configuratierichtlijnen plaatsvindt, is onvoorspelbaar gedrag van componenten mogelijk, waardoor uitval van functies en datalekken kunnen ontstaan.  +
Het tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.  +
Schade door gebrek aan toetsmiddelen voor de huisvesting IV-organisatie om vast te stellen of de voorzieningen juist zijn en of deze aan het juiste beveiligingsniveau voldoen.  +
Niet tijdig de juiste maatregelen kunnen treffen.  +
Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen softwarepakketten.  +
Als door ontoereikend cryptografiebeleid geheime authenticatie-informatie ontrafeld kan worden, dan is de vertrouwelijkheid en integriteit van data niet te garanderen.  +
Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen netwerken en communicatieservices.  +
Het aanpassen van de vertrouwelijkheid en de integriteit van getransporteerde informatie door onbevoegden.  +
Gegevens zijn tijdens transport via netwerken en opslag te benaderen voor onbevoegden.  +
D
Als organisaties zich niet bewust zijn van de vergaande mogelijkheden van integratiefuncties in de middleware en niet hebben geformaliseerd welke transformaties bedrijfs- en persoonsgebonden data mag ondergaan, is sturing op privacy-risico’s voor dit aandachtgebied vrijwel onmogelijk.  +
Als data niet kan worden hersteld na storingen, diefstal, systeemuitval of calamiteiten wordt de continuïteit van de bedrijfsvoering ernstig in gevaar gebracht.  +
Data met de classificatie BBN2 of hoger is onvoldoende beveiligd.  +
De beschikbaarheid en integriteit van de data wordt aangetast gedurende archivering en langer archiveren dan noodzakelijk.  +
Andere CSC’s en de CSP krijgen toegang tot de data of in beheer van de CSP en vice versa.  +
Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerken van persoonsgegevens.  +
Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.  +
Draadloos verkeer komt in handen van onbevoegden terecht.  +
E
Schade door achterstallig onderhoud en niet functioneren van bedrijfsmiddelen.  +
Noodzakelijke beveiligingsacties blijven achterwege.  +
Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in elektronisch berichtenverkeer.  +
Informatiebeveiligingsmaatregelen voor het implementeren van informatiesystemen zijn niet/minder effectief.  +
De leverancier levert niet hetgeen is opgenomen in de overeenkomst.  +
Na een gebeurtenis kan niet de benodigde actie worden ondernomen en niet worden vastgesteld wie welke handeling heeft uitgevoerd.  +
Afwijkingen op de benodigde robuustheid van de beveiligingsmaatregelen worden niet gesignaleerd. De robuustheid is niet in evenwicht met de risico’s/dreigingen.  +
Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +
Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +
F
Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd.  +
Onbevoegden brengen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweeg.  +
Niet kunnen voorkomen dat bedreigingen in het ene verantwoordelijkheidsgebied schade veroorzaken in een ander verantwoordelijkheidsgebied.  +
G
Misbruik van netwerkverkeer van buitenaf en naar buiten toe.  +
De beschikbaarheid, integriteit en vertrouwelijkheid van de data wordt geschaad.  +
Opgeslagen gegevens worden ongeautoriseerd ingezien, aangepast of verwijderd door ontoereikende versleuteling.  +
Er kan misbruik van gegevens door onbevoegden worden gemaakt.  +
H
Misbruik van overbodige en/of niet gebruikte functies, services en accounts.  +
Elke niet-noodzakelijke functie van een systeem biedt extra kansen en mogelijkheden voor fouten en misbruik, waardoor de beschikbaarheid, integriteit en vertrouwelijkheid van de data in verminderde mate is te garanderen.  +
Overschrijden van het maximale dataverlies en/of uitvalsduur.  +
Gebrek aan inzicht in de positie en samenhang van beveiligingsmaatregelen maakt de kans groot dat bedreigingen over het hoofd worden gezien en schade ontstaat door ongeautoriseerde toegang en misbruik van bedrijfsmiddelen en gegevens.  +
Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van huisvesting IV, met als gevolg bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.  +
Door het ontbreken van noodzakelijke maatregelen binnen de huisvesting IV-organisatie is het niet zeker dat huisvesting IV aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Daarnaast kan ook niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.  +
Als naleving van de specifieke normen, omgezet in eisen voor de inrichting en exploitatie van de rekencentra niet wordt gerealiseerd, dan ontstaan continuïteits-, vertrouwelijkheids- en integriteitsrisico’s, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.  +
Schade door onvoldoende sturingsmogelijkheden voor een effectieve en betrouwbare inrichting van huisvesting IV en het daarmee geleverde niveau van dienstverlening. Aansprakelijkheid voor beveiligingsincidenten, doordat huisvesting IV (verwijtbaar) niet voldoet aan de actuele en gangbare beveiligingspraktijk.  +
I
IT-functionaliteiten zijn een zwakke schakel in de beveiliging.  +
Niet-beschikbaar zijn van informatiesystemen en data, waardoor de aangesloten organisaties schade ondervinden in hun bedrijfsvoeringen.  +
Onvoldoende mogelijkheid om sturing te geven aan leveranciersrelaties specifiek voor informatiebeveiliging.  +
De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.  +
Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van informatiesystemen.  +
Misbruiken van softwarepakketten en ongemerkt toegang krijgen tot gegevens en de beschikbaarheid, integriteit en vertrouwelijkheid van de data schaden.  +
Bij de inrichting van servers zijn niet alle vereiste beveiligingsprincipes meegenomen.  +
Als de verwerking van persoonsgegevens niet voldoet aan de AVG, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkingsverantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.  +