Waarom standaard risico’s?
Risico’s zijn abstract en voor veel organisaties is risicogebaseerd werken een hele verandering. Dat kost tijd en aandacht. Daarom is het fijn als je op andere vlakken wat tijd kan besparen, want die die tijd heeft niet iedereen. Daarom bieden wij standaard risico’s aan. Deze lijsten zijn voorbeelden. Uiteraard moet je altijd kijken naar je eigen situatie en de risico’s passend maken voor je eigen situatie. De risico’s geven een indicatie en inspiratie, zodat je niet helemaal op 0 begint, maar een concreter beeld hebt bij welke risico’s er mogelijk zouden kunnen zijn. Hierdoor hopen we dat je uiteindelijk meer tijd overhoudt om daadwerkelijk aan de gang te gaan met risicomanagement en het succesvol te laten zijn.
Risico & maatregelenset ziekenhuizen & hoger onderwijs*
Vanuit de subsidie CIF-NL hebben wij budget gekregen om onze risicomanagementtool Risqui verder te ontwikkelen. Onderdeel van de susbisdie was ook het opstellen van een standaard risicoset + maatregelen voor hoger onderwijs en ziekenhuizen. Deze zijn ontwikkeld in samenwerking met mensen uit het werkveld. De sets zijn beschikbaar op deze website standaard risico- en maatregelenset ziekenhuis & standaard risico- en maatregelenset hoger onderwijs. Dit zijn lijsten die iets uitgekleder zijn dan de bronbestanden want helaas passen niet alle kolommen op de website. Wil je de uitgebreidere excel-file (dat kan!) of heb je verbetersuggesties? Neem contact met ons op via hallo@pasquil.nl
Mocht je meer willen weten of ondersteuning zoeken bij het implementeren van risicomanagement? Neem dan ook zeker contact op met ons !
Also in English
* Het project is uitgevoerd met subsidie uit de CIF-NL regeling van het Ministerie van Economische Zaken en Klimaat, uitgevoerd door Rijksdienst voor Ondernemend Nederland.
Versie 3.0: 25-11-2024
| 1 | Gebruiker maakt een onbewuste fout waardoor (digitale) gevoelige informatie door onbevoegden wordt ingezien. |
| 2 | Cybercrimineel misleidt een gebruiker, waardoor er onrechtmatige toegang is tot gevoelige informatie. |
| 3 | Cybercrimineel misleidt een gebruiker tot een verkeerde handeling of betaling, met financiële schade als gevolg. |
| 4 | Boze (oud) medewerker publiceert/lekt gevoelige informatie. |
| 5 | Medewerker laat per ongeluk fysieke informatie slingeren, waardoor onbevoegden toegang hebben tot deze gevoelige informatie. |
| 6 | Medewerker is onvoldoende kundig voor de uitvoering van hun functie, waardoor er een verstoring ontstaat in de informatievoorziening. |
| 7 | Onduidelijkheid in rollen en/of functies en de bijbehorende rechten tot informatie leidt tot te ruime autorisatie en daarmee onrechtmatige toegang tot informatie. |
| 8 | Wijzigingen van rollen/functies worden niet goed gemanaged, waardoor er een stapeling van rechten ontstaat en met als resultaat onrechtmatige toegang tot informatie. |
| 9 | Medewerker verkoopt gevoelige en waardevolle (persoons)gegevens voor financieel gewin, met onrechtmatige toegang als gevolg. |
| 10 | Medewerker (met hogere IT- rechten) maakt (configuratie)fout, waardoor systemen toegankelijk zijn voor onbevoegden. |
| 11 | Medewerker (met hogere IT-rechten) maakt (configuratie)fout, waardoor systemen onbeschikbaar raken |
| 12 | Boze medewerker (met hogere IT-rechten) verwijdert data waardoor processen niet meer kunnen worden uitgevoerd. |
| 13 | Medewerkers gebruiken eigen applicaties (Shadow IT) wat zorgt voor onbekende kwetsbaarheden die gehackt kunnen worden met als gevolg een verstoring van het proces. |
| 14 | Bekende kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot onbevoegde toegang tot gevoelige informatie en mogelijk onjuiste informatie. |
| 15 | Geen inzicht hebben in de kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot onbevoegde toegang en openbaring van informatie. |
| 16 | Geen inzicht hebben in de kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot het onbeschikbaar raken van informatie en systemen (bijv. ransomware). |
| 17 | Een geïnfecteerd apparaat verspreidt malware, waardoor apparatuur onbeschikbaar raakt en processen worden vestoord. |
| 18 | Apparatuur wordt verkeerd gebruikt waardoor onherstelbare schade ontstaat en informatie niet meer beschikbaar is. |
| 19 | Oude (legacy) systemen in het netwerk zijn kwetsbaar en worden door een cybercrimineel als ‘stepping stone’ gebruikt om onrechtmatige toegang tot data te verkrijgen of informatie onbeschikbaar te maken. |
| 20 | Gebruikers worden niet gedwongen om sterke authenticatie te gebruiken of hebben last van MFA-moeheid, waardoor cybercrimineel kan inloggen als medewerkers, met als gevolg onrechtmatige inzage van gevoelige gegevens. |
| 21 | Wijzigingen in systeem zorgen voor onbedoelde neveneffecten in proces, waardoor informatie onbeschikbaar raakt. |
| 22 | Een ontwikkel, test of acceptatiesystemen is minder beveiligd en wordt gehackt, met een datalek als gevolg. |
| 23 | IT-onderhoudswerkzaamheden leiden tot verstoring van de continuïteit van de bedrijfsprocessen, waardoor data niet beschikbaar is. |
| 24 | Data wordt niet veilig verwijderd, waardoor onbevoegden toegang hebben tot de informatie. |
| 25 | Bij een incident blijken de back-up(s)/systemen niet goed te werken, waardoor data onbeschikbaar blijft en of wetgeving niet wordt nageleefd. |
| 26 | Door configuratiefouten of kapotte apparatuur raakt data corrupt en is informatie niet meer beschikbaar. |
| 27 | Gegevens worden gedurende uitwisseling onderschept, waardoor een kwaadwillende de data inziet en/of aanpast. |
| 28 | Door onduidelijkheid in verantwoordelijkheden worden risico’s niet goed gemanaged en wordt de kans op een ernstig incident groter. |
| 29 | Incidenten worden niet tijdig gemeld, niet goed gemeld of niet goed gemanaged, waardoor deze onnodig groter worden. |
| 30 | Vanuit directie/bestuur is onvoldoende budget en of prioriteit voor informatiebeveiliging en privacy, waardoor informatiebeveiligings- en privacy maatregelen niet worden opgepakt of worden uitgesteld. |
| 31 | Doordat er geen actuele kennis is van dreigingen en kwetsbaarheden worden belangrijke maatregelen over het hoofd gezien met een grootschalig incident als gevolg. |
| 32 | Door een gebrek van kennis met betrekking tot wet- en regelgeving is er niet voldaan aan wettelijke eisen en volgt er een boete of imagoschade. |
| 33 | Management legt prioriteiten elders, wat leidt tot geld tekorten/ bezuinigingen die zorgen voor onvoldoende investeringen in de IT, en kwetsbare systemen. |
| 34 | Door een ramp (brand, weersinvloeden, aardbeving of anders) is de informatievoorziening beschadigd en niet beschikbaar. |
| 35 | Door falende infrastructuur (dijkdoorbraak, leidingbreuk) of instorting/verzakking is de informatievoorziening beschadigd en niet beschikbaar. |
| 36 | Door falende nutsvoorziening (elektriciteit, internet) is de informatievoorziening niet beschikbaar. |
| 37 | Door kwetsbaarheden in de fysieke beveiliging, kan een inbreker inbreken op het kantoor en datadragers met gevoelige data ontvreemden met een datalek als gevolg. |
| 38 | Vandalen vernielen onderdelen van de infrastructuur of andere onderdelen van de informatievoorziening waardoor deze niet meer beschikbaar is. |
| 39 | Ongedierte tast kabels en of netwerkapparatuur aan, waardoor de connectivitiet wordt verstoord of opslag onbeschikbaar raakt, met verstoring van processen tot gevolg. |
| 40 | Door onvoldoende beheersing van bedrijfsmiddelen ontstaat het risico dat deze buiten de invloedsfeer van de organisatie raken |
| 41 | Een gebrek aan duidelijke eisen bij de inkoop van een systeem of (Cloud)dienst leidt tot kwetsbare techniek, processen, menselijke aspecten met een onderbreking van de bedrijfsvoeringen en overtreding van wet- en regelgeving. |
| 42 | Een gebrek aan duidelijke eisen bij de aanschaf van een dienst leidt tot kwetsbare techniek, processen, menselijke aspecten, met een datalek tot gevolg. |
| 43 | Een leverancier of subleverancier van een essentieel systeem wordt gehackt, waardoor de informatievoorziening niet beschikbaar is of er onrechtmatige toegang is tot de data. |
| 44 | Een leverancier meldt een incident niet, waardoor de instelling niet voldoet aan haar meldplicht(en), het incident niet wordt verholpen en de gevolgen van het incident niet worden verminderd. |
Hieronder staan de oude versies
Versie 2.0: 16-05-2024
1. Gebruiker maakt een onbewuste fout waardoor (digitale) gevoelige informatie door onbevoegden wordt ingezien.
2. Hacker misleidt een gebruiker, waardoor er onrechtmatige toegang is tot gevoelige informatie
3. Hacker misleidt een gebruiker tot een verkeerde handeling of betaling, met financiële schade als gevolg.
4. Boze (oud) medewerker publiceert/lekt informatie.
5. Medewerker laat per ongeluk fysieke informatie slingeren, waardoor onbevoegden toegang hebben tot deze gevoelige informatie.
6. Medewerker is onvoldoende kundig voor de uitvoering van hun functie, waardoor er een verstoring ontstaat in de informatievoorziening.
7. Onduidelijkheid in rollen en/of functies en de bijbehorende rechten tot informatie leidt tot te ruime autorisatie en daarmee onrechtmatige toegang tot informatie.
8. Wijzigingen van rollen/functies worden niet goed gemanaged, waardoor er een stapeling van rechten ontstaat en met als resultaat onrechtmatige toegang tot informatie.
9. Medewerker verkoopt gevoelige en waardevolle (persoons)gegevens voor financieel gewin, met onrechtmatige toegang als gevolg.
10. Medewerker (met hogere IT- rechten) maakt (configuratie)fout, waardoor systemen toegankelijk zijn voor onbevoegden.
11. Medewerker (met hogere IT-rechten) maakt (configuratie)fout, waardoor systemen onbeschikbaar raken
12. Boze medewerker (met hogere IT-rechten) verwijdert data waardoor processen niet meer kunnen worden uitgevoerd.
13. Medewerkers gebruiken eigen applicaties (Shadow IT) wat zorgt voor onbekende kwetsbaarheden die gehackt kunnen worden met als gevolg een verstoring van het proces.
14. Bekende kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot onbevoegde toegang tot gevoelige informatie en mogelijk onjuiste informatie.
15. Geen inzicht hebben in de kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot onbevoegde toegang en openbaring van informatie.
16. Geen inzicht hebben in de kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot het onbeschikbaar raken van informatie en systemen (bijv. ransomware).
17. Een geïnfecteerd apparaat verspreidt malware, waardoor apparatuur onbeschikbaar raakt en processen worden vestoord.
18. Apparatuur wordt verkeerd gebruikt waardoor onherstelbare schade ontstaat en informatie niet meer beschikbaar is.
19. Oude (legacy) systemen in het netwerk zijn kwetsbaar en worden door een hacker als ‘stepping stone’ gebruikt om onrechtmatige toegang tot data te verkrijgen of informatie onbeschikbaar te maken.
20. Gebruikers worden niet gedwongen om sterke authenticatie te gebruiken of hebben last van MFA-moeheid, waardoor hacker kan inloggen als medewerkers, met als gevolg onrechtmatige inzage van gevoelige gegevens.
21. Wijzigingen in systeem zorgen voor onbedoelde neveneffecten in proces, waardoor informatie onbeschikbaar raakt.
22. Een ontwikkel, test of acceptatiesystemen is minder beveiligd en wordt gehackt, met een datalek als gevolg.
23. IT-onderhoudswerkzaamheden leiden tot verstoring van de continuïteit van de bedrijfsprocessen, waardoor data niet beschikbaar is.
24. Data wordt niet veilig verwijderd, waardoor onbevoegden toegang hebben tot de informatie.
25. Bij een incident blijken de back-up(s)/systemen niet goed te werken, waardoor data onbeschikbaar blijft en of wetgeving niet wordt nageleefd.
26. Door configuratiefouten of kapotte apparatuur raakt data corrupt en is informatie niet meer beschikbaar.
27. Gegevens worden gedurende uitwisseling onderschept, waardoor een kwaadwillende de data inziet en/of aanpast.
28. Door onduidelijkheid in verantwoordelijkheden worden risico’s niet goed gemanaged en wordt de kans op een ernstig incident groter.
29. Incidenten worden niet tijdig gemeld, niet goed gemeld of niet goed gemanaged, waardoor deze onnodig groter worden.
30. Vanuit directie/bestuur is onvoldoende budget en of prioriteit voor informatiebeveiliging en privacy, waardoor informatiebeveiligings- en privacy maatregelen niet worden opgepakt of worden uitgesteld.
31. Doordat er geen actuele kennis is van dreigingen en kwetsbaarheden worden belangrijke maatregelen over het hoofd gezien met een grootschalig incident als gevolg.
32. Door een gebrek van kennis met betrekking tot wet- en regelgeving is er niet voldaan aan wettelijke eisen en volgt er een boete of imagoschade.
33. Management legt prioriteiten elders, wat leidt tot geld tekorten/ bezuinigingen die zorgen voor onvoldoende investeringen in de IT, en kwetsbare systemen.
34. Door een ramp (brand, weersinvloeden, aardbeving of anders) is de informatievoorziening beschadigd en niet beschikbaar.
35. Door falende infrastructuur (dijkdoorbraak, leidingbreuk) of instorting/verzakking is de informatievoorziening beschadigd en niet beschikbaar.
36. Door falende nutsvoorziening (elektriciteit, internet) is de informatievoorziening niet beschikbaar.
37. Door kwetsbaarheden in de fysieke beveiliging, kan een inbreker inbreken op het kantoor en datadragers met gevoelige data ontvreemden met een datalek als gevolg.
38. Vandalen vernielen onderdelen van de infrastructuur of andere onderdelen van de informatievoorziening waardoor deze niet meer beschikbaar is.
39. Door onvoldoende beheersing van bedrijfsmiddelen ontstaat het risico dat deze buiten de invloedsfeer van de organisatie raken
40. Een gebrek aan duidelijke eisen bij de inkoop van een systeem of (Cloud)dienst leidt tot kwetsbare techniek, processen, menselijke aspecten met een onderbreking van de bedrijfsvoeringen en overtreding van wet- en regelgeving.
41. Een gebrek aan duidelijke eisen bij de aanschaf van een dienst leidt tot kwetsbare techniek, processen, menselijke aspecten, met een datalek tot gevolg.
42. Een leverancier of subleverancier van een essentieel systeem wordt gehackt, waardoor de informatievoorziening niet beschikbaar is of er onrechtmatige toegang is tot de data.
43. Een leverancier meldt een incident niet, waardoor de instelling niet voldoet aan haar meldplicht(en), het incident niet wordt verholpen en de gevolgen van het incident niet worden verminderd.