Eigenschap:Risico

De softwareconfiguratie-items zijn onbetrouwbaar (niet juist en niet volledig).  +

Het ontbreken van informatiebeveiligingseisen voor nieuwe of uit te breiden informatiesystemen.  +

In het technisch ontwerp en verder zijn niet alle noodzakelijke functionele eisen meegenomen.  +

Schade door ongeautoriseerde toegang en onvoldoende beschikbaarheid van falende apparatuur.  +

Verlies, schade, diefstal of compromitteren van bedrijfsmiddelen en onderbreking van bedrijfsactiviteiten.  +

In ongeautoriseerde handen komen van gevoelige gegeven en software.  +

De werking van de applicatie is onbetrouwbaar.  +

In het applicatieontwerp ontbreekt vereiste informatie.  +

De opgeleverde programmuurcode is niet veilig.  +

Het informatiesysteem ondersteunt het betreffende bedrijfsproces niet maximaal.  +

Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van data/informatie van de in ontwikkeling zijnde applicatie en/of de daaraan gekoppelde applicatie.  +

Wanneer de juiste beleidsaspecten voor het ontwikkelen van applicaties ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van een applicatie. Dit zal een negatieve impact hebben op het bereiken van doelstellingen waarvoor de applicatie is ontworpen en ingericht.  +

Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de leverancier is het niet zeker of de ontwikkel- en onderhoudsadministratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoen en of de governance van deze omgeving toereikend is ingericht. Evenmin kan worden vastgesteld of de gewenste maatregelen worden nageleefd.  +

Wanneer adequate normen voor applicatieontwikkeling en onderhoud ontbreken, bestaat het risico dat deze activiteiten plaatsvinden met onjuiste gronden of dat het fundament waarop deze activiteiten steunen niet aan het juiste beveiligingsniveau voldoen. Zo kan door het ontbreken van richtlijnen en procedures voor activiteiten binnen de verschillende omgevingen software in de productieomgeving geïnstalleerd worden die fouten bevat waardoor productiegegevens ernstig aangetast kunnen worden.  +

Gegevens kunnen niet uitgewisseld worden.  +

Onbevoegde personen krijgen toegang tot de data in het softwarepakket.  +

Door het niet beperken van toegang tot informatie en functies van toepassingssystemen kunnen ongewenste wijzigingen in een informatiesysteem worden aangebracht.  +

Misbruik van gegevens in een softwarepakket.  +

De mogelijkheid bestaat dat enerzijds gebruikers/beheerders niet de juiste autorisaties krijgen toegewezen en anderzijds kan het ontbreken van coördinatie in het muteren van de autorisaties van gebruikers/beheerders leiden tot onjuiste autorisaties.  +

Er treedt vervuiling op bij het autorisatiebeheer, die mogelijk in onvoldoende mate of niet tijdig wordt gesignaleerd, waardoor onbevoegden toegang hebben tot gegevens.  +

Het optreden van beveiligingsincidenten en/of datalekken en verlies van kennis voor het bedienen van serverplatforms.  +

Datalekken en de continuïteit niet kunnen waarborgen.  +

Onnodig lange uitval van bedrijfsactiviteiten na calamiteiten waardoor bedrijfsdoelstellingen niet worden gehaald.  +

Het niet effectief reageren op het manifest worden van omvangrijke storingen en (on)bekende risico’s (ramp/noodsituaties). De bedreiging wordt niet zo snel als mogelijk gestopt en de gevolgschade wordt niet zo veel als mogelijk beperkt.  +

Data in de cloud is langer dan de overeengekomen maximale uitvalsduur niet beschikbaar.  +

Niet tijdig actie ondernomen wanneer omstandigheden het vereisen.  +

Misbruik van bedrijfsmiddelen in de hand werken door het ontbreken van procedures voor de behandeling van bedrijfsmiddelen.  +

De server is onbetrouwbaar en functioneert niet naar behoren.  +

De beheersorganisatie is niet effectief ingericht waardoor de softwareontwikkeling niet optimaal verloopt.  +

De cloudiensten verlopen niet zoals noodzakelijk is.  +

Niet effectief ingerichte beheersorganisatie waardoor de huisvesting IV-dienstverlening niet optimaal verloopt.  +

De beheerorganisatie voor netwerkbeveiliging is niet effectief ingericht waardoor de netwerkbeveiliging niet optimaal functioneert.  +

De beheersorganisatie is niet effectief ingericht waardoor servers en serverplatforms onvoldoende zijn beveiligd.  +

De beheersorganisatie is niet effectief ingericht waardoor het toegangsbeveiligingssysteem niet optimaal functioneert.  +

Misbruik van het bekabelingssysteem.  +

Onvoldoende mogelijkheden om sturing te geven aan informatietransport en sturing te geven aan inconsistenties in het uitvoeren van procedures en beheersmaatregelen over informatietransport.  +

Adequate sturing op het informatietransport is niet mogelijk en er kunnen gemakkelijk datalekken ontstaan, zonder dat in de uitvoering sprake is van opzet of onzorgvuldig handelen.  +

Adequate sturing op geoorloofd gebruik van middlewarecomponenten is praktisch onmogelijk, waardoor schade kan ontstaan in de bedrijfsvoering.  +

Onvoldoende mogelijkheid om sturing te geven aan de inrichting van het (beveiligd) ontwikkelen van applicaties.  +

Onvoldoende mogelijkheden om sturing te geven aan de effectieve en betrouwbare inrichting van een serverplatform en hierover een verantwoordingsrapportage te laten afgeven.  +

Kwetsbaarheden in technische serveromgevingen voor servers en besturingssystemen worden niet opgemerkt.  +

Door het ontbreken van controle op toegangsrechten worden afwijkingen in het autorisatieproces niet gesignaleerd en kan ongemerkt vervuiling optreden. Hierdoor bestaat het risico dat onbevoegden informatie kunnen inzien en/of manipuleren.  +

Onvoldoende mogelijkheden om vast te stellen of de controle-activiteiten gestructureerd plaatsvinden.  +

Het introduceren van kwetsbaarheden in de software.  +

Het introduceren van kwetsbaarheden.  +

Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van de data.  +

De beschikbaarheid, integriteit en/of vertrouwelijkheid van testgegevens worden aangetast.  +

Als organisaties er niet op kunnen vertrouwen dat de beschikbaarheid en integriteit van de data gegarandeerd is, onafhankelijk van incidentele uitval van de techniek, kan de continuïteit van de bedrijfsvoering daardoor ernstig in gevaar worden gebracht.  +

Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van (communicatie)systemen.  +

Het ongewenst openbaar worden, manipulatie, misbruik en niet beschikbaar zijn van gegevens.  +

Als passende maatregelen voor berichtenverkeer ontbreken, kan de beschikbaarheid, integriteit en vertrouwelijkheid van de uitgewisselde data niet worden gegarandeerd.  +

Uitval van kritische processen van de organisatie.  +

Onvoldoende mogelijkheid om sturing te geven op de beveiligingsmaatregelen van softwarepakketten die in de architectuur zijn opgenomen.  +

Toegang verschaffen tot ruimten en schade aanrichten aan de eigendommen van de organisatie door niet-geautoriseerden.  +

Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten over toegangsbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd of dat afwijkingen niet leiden tot corrigerende acties.  +

Het niet effectief tot uiting komen van het clouddienstenbeleid.  +

Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering.  +

Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.  +

De gekozen beveiligingsmaatregelen sluiten niet aan bij de bedrijfsimpact door een beveiligingsincident.  +

Als de toename van de aantallen berichten niet wordt bewaakt of in relatie wordt gebracht met de afgesproken en beschikbare capaciteit, kan de continuïteit van het berichtenverkeer voor alle afnemers niet worden gegarandeerd.  +

Continuïteits- of datalekschade door een gebrekkig volwassenheidsniveau van huisvesting IV.  +

Informatie wordt over of onder beveiligd.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij het beveiligen van clouddiensten.  +

Als de juiste beleidsaspecten voor de inrichting en het onderhoud van clouddiensten ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden. In [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het beleidsaspect|Toelichting objecten in het beleidsdomein]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Bij het ontbreken van de noodzakelijke maatregelen binnen de Cloud Service Provider (CSP) is het niet zeker of de ontwikkeling en het onderhoud van de IT-componenten aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van de clouddiensten toereikend is ingericht. Ook kan niet worden vastgesteld of de gewenste maatregelen worden nageleefd. In [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het control-aspect]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Als bij het aangaan of gedurende het toepassen van clouddiensten, adequate beveiligingsfuncties, het in de contracten benoemen van deze functies en de regie op naleving van de afspraken ontbreken, dan ontstaan continuïteitsrisico’s en mogelijk, datalekken of misbruik van gevoelige data. In [[BIO_Thema_Clouddiensten/Cloudbeveiligingsprincipes_binnen_het_uitvoeringsaspect|Toelichting objecten in het uitvoeringsdomein]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Geen of onvoldoende sturing hebben op clouddiensten.  +

Geen of onvoldoende sturing hebben op de clouddiensten. De werking van de clouddiensten is onbetrouwbaar.  +

Onvoldoende mogelijkheid om sturing te geven aan inspanningen voor clouddiensten, waardoor deze niet of onvoldoende bijdragen aan de doelstellingen van de organisatie.  +

Onbevoegden krijgen toegang tot getransporteerde gegevens.  +

Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële schade aan de bedrijfsvoering.  +

Als de noodzakelijke beheersingsmaatregelen binnen de organisatie ontbreken, is het niet zeker dat de netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en de naleving van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden nageleefd.  +

De belangrijkste risico’s in het uitvoeringsdomein van communicatievoorzieningen zijn: * negatieve beïnvloeding van beveiligingsniveaus door koppeling van netwerken; * illegaal gebruik; * onderbrekingen; * afluistering van getransporteerde data; * kwetsbaarheden in uitvoerbare code; * fysieke of logische inbreuk op netwerkelementen.  +

Het ongecontroleerd afwijken van hetgeen gesteld is in wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en geen zekerheid hebben over het ingevoerde beveiligingsniveau.  +

Niet voldoen aan wet- en regelgeving e.d. die van invloed is op de informatiebeveiliging.  +

Afwijkingen op het beveiligingsbeleid worden niet gesignaleerd.  +

Als de instellingen van systeemfuncties niet volgens configuratierichtlijnen plaatsvindt, is onvoorspelbaar gedrag van componenten mogelijk, waardoor uitval van functies en datalekken kunnen ontstaan.  +

Het tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.  +

Schade door gebrek aan toetsmiddelen voor de huisvesting IV-organisatie om vast te stellen of de voorzieningen juist zijn en of deze aan het juiste beveiligingsniveau voldoen.  +

Niet tijdig de juiste maatregelen kunnen treffen.  +

Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen softwarepakketten.  +

Als door ontoereikend cryptografiebeleid geheime authenticatie-informatie ontrafeld kan worden, dan is de vertrouwelijkheid en integriteit van data niet te garanderen.  +

Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen netwerken en communicatieservices.  +

Het aanpassen van de vertrouwelijkheid en de integriteit van getransporteerde informatie door onbevoegden.  +

Gegevens zijn tijdens transport via netwerken en opslag te benaderen voor onbevoegden.  +

Als organisaties zich niet bewust zijn van de vergaande mogelijkheden van integratiefuncties in de middleware en niet hebben geformaliseerd welke transformaties bedrijfs- en persoonsgebonden data mag ondergaan, is sturing op privacy-risico’s voor dit aandachtgebied vrijwel onmogelijk.  +

Als data niet kan worden hersteld na storingen, diefstal, systeemuitval of calamiteiten wordt de continuïteit van de bedrijfsvoering ernstig in gevaar gebracht.  +

Data met de classificatie BBN2 of hoger is onvoldoende beveiligd.  +

De beschikbaarheid en integriteit van de data wordt aangetast gedurende archivering en langer archiveren dan noodzakelijk.  +

Andere CSC’s en de CSP krijgen toegang tot de data of in beheer van de CSP en vice versa.  +

Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerken van persoonsgegevens.  +

Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.  +

Draadloos verkeer komt in handen van onbevoegden terecht.  +

Schade door achterstallig onderhoud en niet functioneren van bedrijfsmiddelen.  +

Noodzakelijke beveiligingsacties blijven achterwege.  +

Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in elektronisch berichtenverkeer.  +

Informatiebeveiligingsmaatregelen voor het implementeren van informatiesystemen zijn niet/minder effectief.  +

De leverancier levert niet hetgeen is opgenomen in de overeenkomst.  +

Na een gebeurtenis kan niet de benodigde actie worden ondernomen en niet worden vastgesteld wie welke handeling heeft uitgevoerd.  +

Afwijkingen op de benodigde robuustheid van de beveiligingsmaatregelen worden niet gesignaleerd. De robuustheid is niet in evenwicht met de risico’s/dreigingen.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +

Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd.  +

Onbevoegden brengen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweeg.  +

Niet kunnen voorkomen dat bedreigingen in het ene verantwoordelijkheidsgebied schade veroorzaken in een ander verantwoordelijkheidsgebied.  +

Misbruik van netwerkverkeer van buitenaf en naar buiten toe.  +

De beschikbaarheid, integriteit en vertrouwelijkheid van de data wordt geschaad.  +

Opgeslagen gegevens worden ongeautoriseerd ingezien, aangepast of verwijderd door ontoereikende versleuteling.  +

Er kan misbruik van gegevens door onbevoegden worden gemaakt.  +

Misbruik van overbodige en/of niet gebruikte functies, services en accounts.  +

Elke niet-noodzakelijke functie van een systeem biedt extra kansen en mogelijkheden voor fouten en misbruik, waardoor de beschikbaarheid, integriteit en vertrouwelijkheid van de data in verminderde mate is te garanderen.  +

Overschrijden van het maximale dataverlies en/of uitvalsduur.  +

Gebrek aan inzicht in de positie en samenhang van beveiligingsmaatregelen maakt de kans groot dat bedreigingen over het hoofd worden gezien en schade ontstaat door ongeautoriseerde toegang en misbruik van bedrijfsmiddelen en gegevens.  +

Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van huisvesting IV, met als gevolg bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.  +

Door het ontbreken van noodzakelijke maatregelen binnen de huisvesting IV-organisatie is het niet zeker dat huisvesting IV aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Daarnaast kan ook niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.  +

Als naleving van de specifieke normen, omgezet in eisen voor de inrichting en exploitatie van de rekencentra niet wordt gerealiseerd, dan ontstaan continuïteits-, vertrouwelijkheids- en integriteitsrisico’s, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.  +

Schade door onvoldoende sturingsmogelijkheden voor een effectieve en betrouwbare inrichting van huisvesting IV en het daarmee geleverde niveau van dienstverlening. Aansprakelijkheid voor beveiligingsincidenten, doordat huisvesting IV (verwijtbaar) niet voldoet aan de actuele en gangbare beveiligingspraktijk.  +

IT-functionaliteiten zijn een zwakke schakel in de beveiliging.  +

Niet-beschikbaar zijn van informatiesystemen en data, waardoor de aangesloten organisaties schade ondervinden in hun bedrijfsvoeringen.  +

Onvoldoende mogelijkheid om sturing te geven aan leveranciersrelaties specifiek voor informatiebeveiliging.  +

De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.  +

Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van informatiesystemen.  +

Misbruiken van softwarepakketten en ongemerkt toegang krijgen tot gegevens en de beschikbaarheid, integriteit en vertrouwelijkheid van de data schaden.  +

Bij de inrichting van servers zijn niet alle vereiste beveiligingsprincipes meegenomen.  +

Als de verwerking van persoonsgegevens niet voldoet aan de AVG, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkingsverantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.  +

Cloudservices zijn niet toe te passen op andere IT-platforms en data kan niet naar een andere CSP worden overgedragen.  +

Onnauwkeurige auditlogbestanden niet kunnen onderzoeken of als bewijs in juridische of disciplinaire zaken belemmeren en de geloofwaardigheid van dat bewijsmateriaal schaden.  +

Data van of in beheer van de CSP komt via de koppelvlakken in handen van de CSP.  +

Wanneer de gegevens onjuist of onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens tot gevolg.  +

Het kwaliteitsniveau van de applicatieontwikkeling en -onderhoud is te laag of te hoog.  +

Toegang verschaffen tot beveiligingsruimten of zones van huisvesting IV door onbevoegden.  +

De continuïteit van de bedrijfsprocessen kan niet gewaarborgd worden.  +

Schade door het niet opmerkingen van fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten.  +

Ongeoorloofde acties op servers en besturingssystemen worden niet opgemerkt. Bij wel opmerken, is er geen bewijs voorhanden.  +

Afwijkingen van normaal gedrag binnen het softwarepakket zijn niet zichtbaar.  +

Afwijkingen van normaal gedrag binnen de applicatie zijn niet zichtbaar en niet te onderzoeken.  +

Afwijkingen van normaal gedrag zijn niet zichtbaar en niet te onderzoeken en herstelacties kunnen niet tijdig worden genomen.  +

Het niet kunnen achterhalen van de oorzaak van beveiligingsinbreuken.  +

Afwijkingen van normaal gedrag binnen de integratieketen zijn zonder logging of continue bewaking, niet zichtbaar.  +

Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden vastgesteld wie welke handelingen heeft uitgevoerd.  +

Malware wordt niet of te laat opgespoord en aangetroffen malware wordt niet of voldoende hersteld.  +

Malware wordt niet opgespoord en aangetroffen malware wordt niet of onvoldoende hersteld.  +

Negatieve consequenties die de persoonlijke levenssfeer van de betrokkene treffen.  +

Als adequaat beleid voor de inrichting en beheersing van functionaliteiten en componenten (gegevensverzamelingen) ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van middleware. Daardoor kan de informatievoorziening van de organisatie als geheel in gevaar komen en kan de integriteit en vertrouwelijkheid van gegevens worden aangetast.  +

<volgt nog>.  +

Wanneer een adequate inrichting en operationeel beheer van middlewarefunctionaliteiten ontbreekt, bestaat het risico dat: * onbevoegden zich toegang verschaffen tot middlewarefaciliteiten en dat gebruikers met te ruime bevoegdheden ongewenste acties uitvoeren; * integriteit van gegevensverwerking geschaad wordt. Per object zijn specifieke risico’s geformuleerd in de navolgende paragrafen.  +

Sturingsmogelijkheden ontbreken vanuit de klantorganisatie op beschikbaarheid, integriteit en vertrouwelijkheid van data en er ontbreken garanties voor beschikbare functionaliteit voor de bedrijfsprocessen van de klant.  +

Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven) voldoen aan de doelstellingen.  +

Geen of onvoldoende sturing hebben.  +

Geen of onvoldoende inzicht of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid het netwerkbeveiligingsbeleid effectief toetsten.  +

Ongeautoriseerde netwerkdevices worden aangesloten op het netwerk.  +

Informatie in netwerken is niet beschermd.  +

Geen sturing hebben op de netwerkbeveiliging.  +

Informatie in netwerken is niet beschermd.  +

Bij beheer, storingen en calamiteiten kan niet of minder effectief worden gereageerd.  +

Niet beschikbaar zijn van de gehuisveste informatievoorzieningen.  +

Ongeautoriseerde toegang in niet onderhouden gebouwen.  +

De inrichting van de server en het serverplatform wijkt af van wat vooraf nodig is geacht.  +

Configuratiewijzigingen kunnen leiden tot onvoorspelbaar gedrag van de componenten, waardoor een verminderde beschikbaarheid of datalekken kunnen ontstaan.  +

Door het ontbreken van een goede en inzichtelijke taakverdeling en de daarvoor benodigde middelen en rapportagelijnen is niet altijd duidelijk wie wat moet doen, waardoor de eisen van de AVG, de sectorspecifieke wetgeving en het privacybeleid niet effectief worden ingevuld.  +

Schade doordat de huisvesting IV-organisatie niet effectieve tot uitvoering komt.  +

Het niet effectief tot uitvoering komen van het beleid.  +

Niet helder is welke partij verantwoordelijk gesteld kan worden bij het niet halen van het gewenste beveiligingsniveau voor het transporteren van informatie over netwerken.  +

Technische en software kwetsbaarheden brengen de stabiliteit en betrouwbaarheid van systemen in gevaar.  +

De stabiliteit en betrouwbaarheid van servers komt in gevaar.  +

Kwetsbaarheden brengen de stabiliteit en betrouwbaarheid van systemen in gevaar.  +

Het ontbreken van een privacybeleid leidt ertoe dat de organisatie geen duidelijkheid heeft over wat precies wordt verwacht, waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden verwerkt (zoals: verzamelen, bewerken, inzien, etcetera).  +

Door het ontbreken van een door het management uitgevaardigd beleid ontstaat het risico dat onvoldoende sturing wordt gegeven aan het verwerken van de persoonsgegevens. Doorgaans zal dit een negatieve impact hebben op het realiseren van organisatiedoelstellingen (en het voldoen aan de eisen van de [[AVG]]).  +

Door het ontbreken van noodzakelijke maatregelen binnen het beheersingsdomein is het niet zeker dat de verwerking aan de vereisten voldoet en dat de governance van die omgeving toereikend is ingericht.  +

Wanneer richtlijnen voor de specifieke aspecten van de gegevensverwerking ontbreken, dan bestaat het risico dat onvoldoende sturing wordt gegeven aan de specifieke aspecten bij de verwerking van persoonlijke gegevens. Dit geeft onduidelijkheid bij de technische en organisatorische inrichting van de gegevensverwerkingen.  +

Betrokkenen van wie of over wie persoonsgegevens gaan, leiden schade door ongeoorloofde of onbedoelde toegang tot persoonsgegevens, ongewenst vernietigen, verliezen, wijzigen en verstrekken van persoonsgegevens.  +

De bedrijfs- en persoonlijke data wordt onderbeveiligd.  +

Informatiebeveiliging wordt onvoldoende meegenomen in het systeem-ontwikkeltraject.  +

Niet helder is of het ontwikkel- en onderhoudsproces voor de applicatieontwikkeling leiden tot de applicatie zoals deze is afgesproken (voldoet aan de eisen).  +

Het niet hebben van een overzicht van verwerkingen leidt tot een incompleet beeld van de verwerkte categorieën persoonsgegevens en getroffen maatregelen voor de relevante verwerkingen, processen en technische systemen.  +

Door het ontbreken van formele procedures voor registraties en afmeldingen kan een onbetrouwbaar registratiesysteem ontstaan, waardoor de mogelijkheid bestaat dat bewerkingen door onbevoegden plaatsvinden.  +

De resultaten van de controle-activiteiten voldoen niet aan de verwachte eisen. Het management stuurt niet op afwijkingen.  +

De resultaten van de controle-activiteiten zijn niet dekkend en volledig op ontwikkelactiviteiten.  +

Ongewenste wijzigingen aanbrengen aan het functioneren van bedrijfsmiddelen door onbevoegde personen, waardoor de bedrijfsvoering verstoord wordt en schade ontstaat.  +

Het voortbrengingsproces van de applicatie raakt verstoord.  +

Aanzienlijke negatieve gevolgen voor de bedrijfsactiviteiten door het verlies van vertrouwelijkheid, integriteit en beschikbaarheid van netwerkcomponenten en/of de uitgewisselde gegevens.  +

Als middlewarefuncties niet op de juiste wijze worden ingesteld en beheerd, kunnen datalekken optreden of de performance en beschikbaarheid voldoet niet aan de eisen.  +

Geen of onvoldoende zicht hebben op de risico’s die van invloed zijn op clouddiensten.  +

Het niet of te laat anticiperen op risicofactoren die van invloed zijn op de uitkomst van de risico-assessment.  +

De getroffen beveiligingsmaatregelen liggen buiten de aanvaardbare grenzen. De clouddiensten worden onder- of overbeveiligd.  +

Privacyrisico's worden niet of niet tijdig gesignaleerd, waardoor de verwerking van de persoonsgegevens niet aan de AVG voldoet en een grote(re) kans loopt op inbreuken op de beveiliging; dit kan leiden tot schade voor natuurlijke personen van wie de persoonsgegevens onrechtmatig worden verwerkt.  +

Als personen onbevoegde wijzigingen en beheeractiviteiten kunnen uitvoeren op middlewarefuncties kunnen datalekken optreden of de performance en beschikbaarheid voldoet niet aan de eisen.  +

Beïnvloeding of communicatie van data.  +

Als opslagmedia na gebruik niet adequaat wordt geschoond of onherstelbaar wordt vernietigd, kunnen er datalekken ontstaan wanneer deze media in andere systemen wordt hergebruikt of in handen van onbevoegden terechtkomen.  +

Misbruik van de performance van informatiebeveiliging van de cloud-omgeving.  +

Aantasting van de beschikbaarheid en integriteit van servers  +

Serverplatforms functioneren niet zoals vereist en zijn niet/onvoldoende beschermd tegen ongeautoriseerd en incorrecte updates.  +

Als de juiste beleidsaspecten voor de inrichting en het onderhoud van het serverplatform ontbreken, bestaat de kans dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze systemen. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een kans dat er datalekken optreden.  +

Door het ontbreken van noodzakelijke maatregelen binnen de organisatie van de IT-leverancier is het niet zeker of de ontwikkel- en onderhoudsadministratie aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Tevens kan dan niet vastgesteld worden dat de gewenste maatregelen worden nageleefd.  +

Wanneer adequate protectiefuncties voor het serverplatform ontbreken, ontstaan er risico’s op het gebied van virus- en malwarebesmetting, dataverlies of datalekken. Wanneer meer functionaliteit is ingeschakeld dan nodig is voor de bedrijfsvoering nemen risico’s van diefstal of inbreuk toe. Wanneer er onvoldoende zoneringsfuncties zijn geactiveerd, kunnen invloeden van buitenaf de dienstverlening via computers of netwerken onmogelijk maken. Hiaten in de systeemketens zoals Single Points of Failure (SPoF), veroorzaken continuïteitsproblemen en maken 7x24 uur beschikbaarheidsgaranties praktisch onmogelijk.  +

Onvoldoende sturing hebben op de inrichting van het serverplatform. Bedreigingen worden over het hoofd gezien.  +

Onjuiste of verkeerde levering van services leidt tot klantontevredenheid.  +

Niet of onvoldoende coördinatie, aggregatie en samenstelling van de servicecomponenten van de cloud-service.  +

De resultaten van controle-activiteiten uitgevoerd op clouddiensten voldoet niet aan de gestelde eisen.  +

Onbevoegden maken via kwetsbaarheden gebruik van openstaande sessies en krijgen toegang krijgen tot gevoelige data. Het ontstaan van zwakheden als Cross-Site Request Forgery (CSRF) en Clickjacking.  +

Als toereikend beleid ontbreekt, dan bestaat het risico dat er geen systematische analyse van de noodzakelijke requirements plaatsvindt waardoor het verworven softwarepakket niet voorziet in de gewenste (non)functionaliteiten.  +

Als de regie en control op noodzakelijke normen binnen de klant en de leverancier ontbreken, is het niet zeker of de bedrijfs- en technische functies aan de beoogde beveiligingsvoorwaarden voldoen en dat de governance van deze omgeving toereikend is ingericht. Ook kan niet vastgesteld worden of de gewenste normen worden nageleefd.  +

Als adequate normen en maatregelen voor de inzet en veilig gebruik van softwarepakketten ontbreken, dan ontstaan enerzijds risico’s voor het verkrijgen van onjuiste functionaliteiten en anderzijds risico’s voor het verkrijgen van een softwarepakket met onvoldoende beschermende eigenschappen binnen het softwarepakket. Cyberaanvallen maken meestal misbruik van kwetsbaarheden in standaard software, zoals softwarepakketten. Kwetsbaarheden kunnen om vele redenen aanwezig zijn, zoals codeerfouten, logische fouten, door onvolledige vereisten vanuit opdrachtgevers en het niet testen op ongebruikelijke of onverwachte omstandigheden. Veel voorkomende specifieke fouten (en daarmee kwetsbaarheden) in software zijn: * Het niet controleren van de omvang van gebruikersinvoer (Structured Query Language (SQL)-injection). * Het niet filteren op potentieel kwaadaardige tekenreeksen van invoerstromen. * Het niet initialiseren en wissen van variabelen. * Slecht geheugenbeheer waardoor overflows optreden en softwarefouten kunnen worden beïnvloed. Per object is aangegeven welke risico’s de bedrijfsvoering van organisaties lopen, wanneer beveiligingsmaatregelen niet of in onvoldoende mate worden geïmplementeerd.  +

Personen die zonder aantoonbare redenen toegang hebben tot bedrijfsobjecten kunnen schade aan de bedrijfsbelangen veroorzaken.  +

Generieke risico’s zijn niet of onvoldoende gemitigeerd.  +

De server is niet of onvoldoende geconfigureerd voor de functionaliteit binnen de IT-omgeving.  +

De in gebruik genomen applicatie voldoet niet aan de eisen en wensen van de business, vereiste uit wet- en regelgeving, beveiligingsvereisten etc.  +

Tijdens het gebruik van een informatiesysteem komen onvolkomenheden (afwijkingen op beveiligingseisen, functionele eisen, gebruikerseisen, businesseisen en business rules) voor het eerst aan het licht.  +

Ongewenste effecten door het wijzigen van besturingsplatforms worden niet zichtbaar.  +

Een technische kwetsbaarheid wordt niet of niet tijdig ontdekt.  +

Kwetsbaarheden in servers worden niet opgemerkt, waardoor er misbruik van gemaakt kan worden.  +

Bedrijfs- en beveiligingsfunctionaliteiten werken niet zoals beoogd.  +

Misbruik en verlies van (gevoelige) gegevens.  +

De organisatie is niet transparant, waardoor het inzicht in de rechtmatigheid van organisaties ontbreekt, waardoor het vertrouwen in een organisatie verloren gaat.  +

Als onbevoegden toegang hebben tot systeemhulpmiddelen zoals beheertools, kan de beschikbaarheid, integriteit en vertrouwelijkheid van de opgeslagen data niet worden gegarandeerd.  +

De beheersorganisatie is niet effectief ingericht waardoor het toegangbeveiligingssysteem niet optimaal functioneert.  +

Het toegang krijgen tot gegevens die niet noodzakelijk zijn voor het uitvoeren van de rol/functie.  +

Als een door het management uitgevaardigd toegangsbeleid ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de toegang tot ICT-voorzieningen en ruimten waar de voorzieningen zich bevinden. Dit zal een negatieve impact hebben op het bereiken van doelstellingen voor toegangsbeveiliging.  +

Als de noodzakelijke maatregelen binnen de organisatie ontbreken, dan is het niet zeker dat de autorisatieomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat het naleven van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.  +

Wanneer een adequate toegangsbeveiliging tot terreinen, gebouwen, ruimten en informatiefaciliteiten ontbreekt, dan bestaat het risico dat onbevoegden zich toegang kunnen verschaffen tot faciliteiten en data en/of dat gebruikers met te ruime bevoegdheden ongewenste acties kunnen uitvoeren.  +

Onbevoegde toegang tot programmabroncodebibliotheken en samenhangende elementen.  +

Onvoldoende inzicht in de technische inrichting en de toegangsvoorzieningsarchitectuur leidt tot onvoldoende beheersing van het autorisatie ‘inrichtings- en beheer-’domein.  +

Onvoldoende mogelijkheden om enerzijds sturing te geven aan de effectieve en betrouwbare inrichting van toegangsbeveiligingsmaatregelen en anderzijds sturing te geven aan het inrichten van de beheerorganisatie van de autorisatievoorziening en hierover verantwoordingrapportage te laten afgeven.  +

Als formele goedkeuring van bevoegdheden ontbreekt, dan bestaat er geen duidelijkheid over wie welke handelingen mag verrichten.  +

Frauduleuze activiteiten, geschillen over contracten en onbevoegde openbaarmaking en wijziging.  +

De ontwikkelcyclus wordt minder effectief uitgevoerd.  +

Schade door onbewust en/of onbekwaam fout handelen van medewerkers.  +

De CSP kan levert een dienstverlening die niet of onvolledig is afgestemd op de behoefte van de CSC.  +

Het gebruik van een niet actuele versie van een document, programma’s e.d. in het systeem-ontwikkeltraject kan leiden tot een incorrecte software specificatie en ontwikkeling.  +

Werken met verouderde versies van een softwarepakket.  +

Als data niet toereikend is beschermd tegen ongeoorloofd lezen, wijzigen of vernietigen, kunnen datalekken ontstaan en is de beschikbaarheid, vertrouwelijkheid en integriteit niet te garanderen.  +

Dienstverleners en partners zijn niet (voldoende) bekend met de actuele benodigde eisen van de organisatie voor het beschermen van informatie.  +

Onvoldoende mogelijkheid om sturing te geven aan het verwerven van softwarepakketten.  +

Informatie met een vertrouwelijk karakter komt in handen van onbevoegden.  +

Onbevoegden krijgen toegang tot getransporteerde informatie over de netwerken.  +

Dat onbevoegden inzicht krijgen in gevoelige informatie.  +

Niet geautoriseerde personen die zich toegang verschaffen tot de bedrijfsobjecten kunnen hierdoor schade aan de bedrijfsbelangen veroorzaken.  +

Schade door wettelijke aansprakelijkheid.  +

Schade als gevolg van wettelijke aansprakelijkheid.  +

Doorgevoerde wijzigingen aan systemen zijn niet volledig en gecontroleerd.  +

Verspreiding van aanvallen, indringers, ongewenste inhoud, virussen etc. in de organisatie.  +