Eigenschap:Risico

Door het ontbreken van de beveiligingsfunctie is het mogelijk dat activiteiten over toegangsbeveiliging ongecoördineerd, onjuist of niet tijdig worden uitgevoerd of dat afwijkingen niet leiden tot corrigerende acties.  +

Het niet effectief tot uiting komen van het clouddienstenbeleid.  +

Het informatiebeveiligingsbeleid komt niet effectief tot uitvoering.  +

Onnodig bewaarde persoonsgegevens kunnen worden verwerkt voor andere dan de oorspronkelijke doelen.  +

De gekozen beveiligingsmaatregelen sluiten niet aan bij de bedrijfsimpact door een beveiligingsincident.  +

Als de toename van de aantallen berichten niet wordt bewaakt of in relatie wordt gebracht met de afgesproken en beschikbare capaciteit, kan de continuïteit van het berichtenverkeer voor alle afnemers niet worden gegarandeerd.  +

Continuïteits- of datalekschade door een gebrekkig volwassenheidsniveau van huisvesting IV.  +

Informatie wordt over of onder beveiligd.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij het beveiligen van clouddiensten.  +

Als de juiste beleidsaspecten voor de inrichting en het onderhoud van clouddiensten ontbreken, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van deze diensten. Daardoor komt de informatievoorziening van de organisatie als geheel in gevaar en bestaat er een reële kans dat datalekken optreden. In [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het beleidsaspect|Toelichting objecten in het beleidsdomein]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Bij het ontbreken van de noodzakelijke maatregelen binnen de Cloud Service Provider (CSP) is het niet zeker of de ontwikkeling en het onderhoud van de IT-componenten aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van de clouddiensten toereikend is ingericht. Ook kan niet worden vastgesteld of de gewenste maatregelen worden nageleefd. In [[BIO Thema Clouddiensten/Cloudbeveiligingsprincipes binnen het control-aspect]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Als bij het aangaan of gedurende het toepassen van clouddiensten, adequate beveiligingsfuncties, het in de contracten benoemen van deze functies en de regie op naleving van de afspraken ontbreken, dan ontstaan continuïteitsrisico’s en mogelijk, datalekken of misbruik van gevoelige data. In [[BIO_Thema_Clouddiensten/Cloudbeveiligingsprincipes_binnen_het_uitvoeringsaspect|Toelichting objecten in het uitvoeringsdomein]] is per aandachtsgebied aangegeven welke risico’s relevant zijn.  +

Geen of onvoldoende sturing hebben op clouddiensten.  +

Geen of onvoldoende sturing hebben op de clouddiensten. De werking van de clouddiensten is onbetrouwbaar.  +

Onvoldoende mogelijkheid om sturing te geven aan inspanningen voor clouddiensten, waardoor deze niet of onvoldoende bijdragen aan de doelstellingen van de organisatie.  +

Onbevoegden krijgen toegang tot getransporteerde gegevens.  +

Als gericht beleid hiervoor ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van de communicatievoorzieningen, met als mogelijk gevolg het ontstaan van datalekken en substantiële schade aan de bedrijfsvoering.  +

Als de noodzakelijke beheersingsmaatregelen binnen de organisatie ontbreken, is het niet zeker dat de netwerkomgeving aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en de naleving van deze omgeving toereikend is ingericht. Ook kan niet worden vastgesteld dat gewenste beveiligingsmaatregelen worden nageleefd.  +

De belangrijkste risico’s in het uitvoeringsdomein van communicatievoorzieningen zijn: * negatieve beïnvloeding van beveiligingsniveaus door koppeling van netwerken; * illegaal gebruik; * onderbrekingen; * afluistering van getransporteerde data; * kwetsbaarheden in uitvoerbare code; * fysieke of logische inbreuk op netwerkelementen.  +

Het ongecontroleerd afwijken van hetgeen gesteld is in wet- en regelgeving, het beveiligingsbeleid, de richtlijnen en de procedures en geen zekerheid hebben over het ingevoerde beveiligingsniveau.  +

Niet voldoen aan wet- en regelgeving e.d. die van invloed is op de informatiebeveiliging.  +

Afwijkingen op het beveiligingsbeleid worden niet gesignaleerd.  +

Als de instellingen van systeemfuncties niet volgens configuratierichtlijnen plaatsvindt, is onvoorspelbaar gedrag van componenten mogelijk, waardoor uitval van functies en datalekken kunnen ontstaan.  +

Het tegengaan van onderbreking van bedrijfsactiviteiten en bescherming van kritische bedrijfsprocessen tegen de gevolgen van omvangrijke storingen in informatiesystemen of rampen en om tijdig herstel te bewerkstelligen.  +

Schade door gebrek aan toetsmiddelen voor de huisvesting IV-organisatie om vast te stellen of de voorzieningen juist zijn en of deze aan het juiste beveiligingsniveau voldoen.  +

Niet tijdig de juiste maatregelen kunnen treffen.  +

Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen softwarepakketten.  +

Als door ontoereikend cryptografiebeleid geheime authenticatie-informatie ontrafeld kan worden, dan is de vertrouwelijkheid en integriteit van data niet te garanderen.  +

Onvoldoende mogelijkheid om sturing te geven aan de effectieve en betrouwbare inrichting van cryptografische beheersmaatregelen binnen netwerken en communicatieservices.  +

Het aanpassen van de vertrouwelijkheid en de integriteit van getransporteerde informatie door onbevoegden.  +

Gegevens zijn tijdens transport via netwerken en opslag te benaderen voor onbevoegden.  +

Als organisaties zich niet bewust zijn van de vergaande mogelijkheden van integratiefuncties in de middleware en niet hebben geformaliseerd welke transformaties bedrijfs- en persoonsgebonden data mag ondergaan, is sturing op privacy-risico’s voor dit aandachtgebied vrijwel onmogelijk.  +

Als data niet kan worden hersteld na storingen, diefstal, systeemuitval of calamiteiten wordt de continuïteit van de bedrijfsvoering ernstig in gevaar gebracht.  +

Data met de classificatie BBN2 of hoger is onvoldoende beveiligd.  +

De beschikbaarheid en integriteit van de data wordt aangetast gedurende archivering en langer archiveren dan noodzakelijk.  +

Andere CSC’s en de CSP krijgen toegang tot de data of in beheer van de CSP en vice versa.  +

Het ongeoorloofd en onrechtmatig verzamelen en (verder) verwerken van persoonsgegevens.  +

Als een organisatie niet voldoet aan dit criterium is het niet duidelijk voor de organisatie wat exact wordt verwacht bij het doorgeven van persoonsgegevens waardoor de kans bestaat dat persoonsgegevens onrechtmatig worden doorgegeven en onrechtmatig verder worden verwerkt en gebrek is aan het nemen van verantwoordelijkheid en controle.  +

Draadloos verkeer komt in handen van onbevoegden terecht.  +

Schade door achterstallig onderhoud en niet functioneren van bedrijfsmiddelen.  +

Noodzakelijke beveiligingsacties blijven achterwege.  +

Aantasting van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie in elektronisch berichtenverkeer.  +

Informatiebeveiligingsmaatregelen voor het implementeren van informatiesystemen zijn niet/minder effectief.  +

De leverancier levert niet hetgeen is opgenomen in de overeenkomst.  +

Na een gebeurtenis kan niet de benodigde actie worden ondernomen en niet worden vastgesteld wie welke handeling heeft uitgevoerd.  +

Afwijkingen op de benodigde robuustheid van de beveiligingsmaatregelen worden niet gesignaleerd. De robuustheid is niet in evenwicht met de risico’s/dreigingen.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +

Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd.  +

Onbevoegden brengen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweeg.  +