Eigenschap:Risico

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +

Het niet beschikken over een overeengekomen leidraad/globale manier van aanpak bij beëindiging van leverancierscontracten.  +

Het ontbreken van een adequate implementatie van functiescheiding kan leiden tot een verhoogde kans op fraude of misbruik van bedrijfsmiddelen bij kritische of fraudegevoelige taken. Het verstrekken van onnodige toegang vergroot het risico dat informatie opzettelijk of onopzettelijk wordt gebruikt, gewijzigd of vernietigd.  +

Onbevoegden brengen schade en verstoringen in de computerruimte en aan informatie in de Huisvesting-IV organisatie teweeg.  +

Niet kunnen voorkomen dat bedreigingen in het ene verantwoordelijkheidsgebied schade veroorzaken in een ander verantwoordelijkheidsgebied.  +

Misbruik van netwerkverkeer van buitenaf en naar buiten toe.  +

De beschikbaarheid, integriteit en vertrouwelijkheid van de data wordt geschaad.  +

Opgeslagen gegevens worden ongeautoriseerd ingezien, aangepast of verwijderd door ontoereikende versleuteling.  +

Er kan misbruik van gegevens door onbevoegden worden gemaakt.  +

Misbruik van overbodige en/of niet gebruikte functies, services en accounts.  +

Elke niet-noodzakelijke functie van een systeem biedt extra kansen en mogelijkheden voor fouten en misbruik, waardoor de beschikbaarheid, integriteit en vertrouwelijkheid van de data in verminderde mate is te garanderen.  +

Overschrijden van het maximale dataverlies en/of uitvalsduur.  +

Gebrek aan inzicht in de positie en samenhang van beveiligingsmaatregelen maakt de kans groot dat bedreigingen over het hoofd worden gezien en schade ontstaat door ongeautoriseerde toegang en misbruik van bedrijfsmiddelen en gegevens.  +

Als een door het management uitgevaardigd beleid over huisvesting IV ontbreekt, dan ontstaat het risico dat onvoldoende sturing wordt gegeven aan de veilige inrichting van huisvesting IV, met als gevolg bijvoorbeeld schade aan bedrijfsmiddelen en ongeautoriseerde toegang tot gegevens.  +

Door het ontbreken van noodzakelijke maatregelen binnen de huisvesting IV-organisatie is het niet zeker dat huisvesting IV aan de beoogde organisatorische en beveiligingsvoorwaarden voldoet en dat de governance van deze omgeving toereikend is ingericht. Daarnaast kan ook niet worden vastgesteld dat de gewenste maatregelen worden nageleefd.  +

Als naleving van de specifieke normen, omgezet in eisen voor de inrichting en exploitatie van de rekencentra niet wordt gerealiseerd, dan ontstaan continuïteits-, vertrouwelijkheids- en integriteitsrisico’s, zoals uitval van bedrijfsfuncties, datalekken en verminking van cruciale persoonsinformatie of bedrijfsgegevens.  +

Schade door onvoldoende sturingsmogelijkheden voor een effectieve en betrouwbare inrichting van huisvesting IV en het daarmee geleverde niveau van dienstverlening. Aansprakelijkheid voor beveiligingsincidenten, doordat huisvesting IV (verwijtbaar) niet voldoet aan de actuele en gangbare beveiligingspraktijk.  +

IT-functionaliteiten zijn een zwakke schakel in de beveiliging.  +

Niet-beschikbaar zijn van informatiesystemen en data, waardoor de aangesloten organisaties schade ondervinden in hun bedrijfsvoeringen.  +

Onvoldoende mogelijkheid om sturing te geven aan leveranciersrelaties specifiek voor informatiebeveiliging.  +

De organisatie is niet transparant, waardoor de organisatie niet kan verantwoorden dat de gegevensverwerking voldoet aan de beginselen van behoorlijke en transparante verwerking, met mogelijk hoge kosten tot gevolg.  +

Misbruik en verlies van gevoelige gegevens en beïnvloeding van beschikbaarheid van informatiesystemen.  +

Misbruiken van softwarepakketten en ongemerkt toegang krijgen tot gegevens en de beschikbaarheid, integriteit en vertrouwelijkheid van de data schaden.  +

Bij de inrichting van servers zijn niet alle vereiste beveiligingsprincipes meegenomen.  +

Als de verwerking van persoonsgegevens niet voldoet aan de AVG, dan zijn de risico's tweeledig: de betrokkene loopt persoonlijke privacyrisico's en de verwerkingsverantwoordelijke wordt geconfronteerd met politiek-bestuurlijke en/of juridische maatregelen, verlies van vertrouwen en beschadiging van imago als gevolg van communicatieve of handhavende maatregelen van betrokkenen, derden en/of de toezichthoudende autoriteiten.  +

Cloudservices zijn niet toe te passen op andere IT-platforms en data kan niet naar een andere CSP worden overgedragen.  +

Onnauwkeurige auditlogbestanden niet kunnen onderzoeken of als bewijs in juridische of disciplinaire zaken belemmeren en de geloofwaardigheid van dat bewijsmateriaal schaden.  +

Data van of in beheer van de CSP komt via de koppelvlakken in handen van de CSP.  +

Wanneer de gegevens onjuist of onnauwkeurig zijn ingevoerd of gecorrumpeerd raken, worden verkeerde conclusies over de betrokkene getrokken met negatieve consequenties of naar het oordeel van betrokkene ongewenste verwerking van zijn of haar persoonsgegevens tot gevolg.  +

Het kwaliteitsniveau van de applicatieontwikkeling en -onderhoud is te laag of te hoog.  +

Toegang verschaffen tot beveiligingsruimten of zones van huisvesting IV door onbevoegden.  +

De continuïteit van de bedrijfsprocessen kan niet gewaarborgd worden.  +

Schade door het niet opmerkingen van fouten en/of onrechtmatigheden in het gebruik van waaronder ongeautoriseerde toegangspogingen tot technische componenten.  +

Ongeoorloofde acties op servers en besturingssystemen worden niet opgemerkt. Bij wel opmerken, is er geen bewijs voorhanden.  +

Afwijkingen van normaal gedrag binnen het softwarepakket zijn niet zichtbaar.  +

Afwijkingen van normaal gedrag binnen de applicatie zijn niet zichtbaar en niet te onderzoeken.  +

Afwijkingen van normaal gedrag zijn niet zichtbaar en niet te onderzoeken en herstelacties kunnen niet tijdig worden genomen.  +

Het niet kunnen achterhalen van de oorzaak van beveiligingsinbreuken.  +

Afwijkingen van normaal gedrag binnen de integratieketen zijn zonder logging of continue bewaking, niet zichtbaar.  +

Zonder vastlegging en bewaking kan achteraf niet de juiste actie worden ondernomen en niet worden vastgesteld wie welke handelingen heeft uitgevoerd.  +

Malware wordt niet of te laat opgespoord en aangetroffen malware wordt niet of voldoende hersteld.  +

Malware wordt niet opgespoord en aangetroffen malware wordt niet of onvoldoende hersteld.  +

Negatieve consequenties die de persoonlijke levenssfeer van de betrokkene treffen.  +

Als adequaat beleid voor de inrichting en beheersing van functionaliteiten en componenten (gegevensverzamelingen) ontbreekt, bestaat het risico dat onvoldoende sturing wordt gegeven aan een veilige inrichting en exploitatie van middleware. Daardoor kan de informatievoorziening van de organisatie als geheel in gevaar komen en kan de integriteit en vertrouwelijkheid van gegevens worden aangetast.  +

<volgt nog>.  +

Wanneer een adequate inrichting en operationeel beheer van middlewarefunctionaliteiten ontbreekt, bestaat het risico dat: * onbevoegden zich toegang verschaffen tot middlewarefaciliteiten en dat gebruikers met te ruime bevoegdheden ongewenste acties uitvoeren; * integriteit van gegevensverwerking geschaad wordt. Per object zijn specifieke risico’s geformuleerd in de navolgende paragrafen.  +

Sturingsmogelijkheden ontbreken vanuit de klantorganisatie op beschikbaarheid, integriteit en vertrouwelijkheid van data en er ontbreken garanties voor beschikbare functionaliteit voor de bedrijfsprocessen van de klant.  +

Onvoldoende mogelijkheden om tijdig bij te sturen om organisatorisch en technisch te (blijven) voldoen aan de doelstellingen.  +

Geen of onvoldoende sturing hebben.  +

Geen of onvoldoende inzicht of de richtlijnen voor het naleven van het netwerkbeveiligingsbeleid het netwerkbeveiligingsbeleid effectief toetsten.  +