Standaard risico- en maatregelenset hoger onderwijs
Vanuit de subsidie CIF-NL hebben wij deze standaard risicoset + maatregelen voor hoger onderwijs ontwikkeld. Deze is ontwikkeld in samenwerking met mensen uit het werkveld. De set is iets uitgekleder dan het bronbestand want helaas passen niet alle kolommen op de website.
Wil je de uitgebreidere excel-file (dat kan!) of heb je verbetersuggesties? Neem contact met ons op via hallo@pasquil.nl
| # | Risico-omschrijving | Risico-categorie SURF | Maatregel 1 | ISO#1 | Maatregel 2 | ISO#2 | Maatregel 3 | ISO#3 | Maatregel 4 | ISO#4 | Maatregel 5 | ISO#5 |
| 1 | Gebruiker maakt een fout waardoor gevoelige of zeer gevoelige digitale informatie door onbevoegden wordt ingezien. | Verkrijging en openbaarmaking van informatie | Bewustwording omgang data van gebruikers | A.6.3 | Logging, monitoring en detectie | A.5.12 | Incidentproces | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8; A.5.5 | A.8.15; A.8.16 | |||
| 2 | Hacker maakt misbruik van onbewuste gebruiker waardoor er onrechtmatige toegang is tot gevoelige gegevens. | Verkrijging en openbaarmaking van informatie | Bewustwording omgang social engineering | A.6.3 | MFA | A.8.5 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||||
| 3 | Hacker misleidt een gebruiker tot een verkeerde handeling of betaling, met financiële schade als gevolg. | Manipulatie van data | Toegangsbeleid en -procedure + MFA | A.5.15; A.5.18; A.8.6 | Training (social engineering) | A.6.4 | 4-ogenprincipe in belangrijke procedures | A.5.3 | ||||
| 4 | Boze (oud) medewerker publiceert/lekt gevoelige informatie. | Bewust beschadigen imago | Screening | A.6.1 | Logging, monitoring en detectie | A.6.2 | Ontslag op staande voet procedure | A.5.11; A.6.5; A.5.18 | Vertrouwelijkheids-clausules in arbeidscontract | A.6.6 | ||
| 5 | Medewerker laat per ongeluk fysieke informatie slingeren, waardoor onbevoegden toegang hebben tot deze gevoelige gegevens. | Verkrijging en openbaarmaking van informatie | Bewustwording omgang data | A.6.3 | Beveiligde fysieke zones | A.8.5 | Incidentproces + datalek | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8; A.5.5 | Clean desk clear screen | A.7.7 | ||
| 6 | Medewerker is onvoldoende kundig voor de uitvoering van zijn/haar functie, waardoor er een verstoring ontstaat in de informatievoorziening. | Verkrijging en openbaarmaking van informatie | Training | A.6.3 | Gedocumenteerd proces | A.5.37 | Screening | A.6.1 | ||||
| 7 | Onduidelijkheid in rollen/functies en de rechten tot informatie leidt tot te ruime toegang en daarmee onrechtmatige toegang tot gevoelige informatie. | Verkrijging en openbaarmaking van informatie | Autorisatiebeleid, procedures en matrices | A.5.15; A.5.16; A.5.17; A.5.18; A.8.2; A.8.3; | Gedocumenteerd proces | A.5.37 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||||
| 8 | Wijzigingen van rollen/functies worden niet goed gemanaged, waardoor er een stapeling van rechten ontstaat en met als resultaat onrechtmatige toegang tot gevoelige informatie. | Verkrijging en openbaarmaking van informatie | Autorisatiebeleid, procedures en matrices | A.5.15; A.5.16; A.5.17; A.5.18; A.8.2; A.8.3; | Proces wijziging dienstverband proces | A.5.37 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||||
| 9 | Medewerker (met hogere IT-rechten) maakt (configuratie)fout, waardoor systemen toegankelijk zijn voor onbevoegden. | Verkrijging en openbaarmaking van informatie | Training | A.6.3 | Kwetsbaarhedenmanagement | A.8.8; A.8.1; A.7.13 | Wijzigingsbeheer + testproces |
A.8.31;A.8.32; A.8.33 | ||||
| 10 | Medewerker (met hogere IT-rechten) maakt (configuratie)fout, waardoor systemen onbeschikbaar raken en het onderwijs en of onderzoek stil komt te liggen. | Verstoring ICT | Training | A.6.3 | Redundante uitvoering & back-ups & restore test | A.8.13 | Business continuity management | A.8.14; A.8.13 | Wijzigingsbeheer + testproces |
A.8.31;A.8.32; A.8.33 | ||
| 11 | Boze medewerker (met hogere IT-rechten) verwijdert data waardoor processen niet meer kunnen worden uitgevoerd. | Verstoring ICT | Redundante uitvoering & back-ups & restore test | A.8.13 | Functiescheiding + 4-ogenprincipe voor acties met grote impact | A.6.1 | Arbeidscontract + procedures | A.6.2; A.6.4; A.6.5; A.6.6 | Incidentbeleid en -procedure | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29; | Logging, monitoring en detectie | A.8.15; A.8.16 |
| 12 | Bekende kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot onbevoegde toegang en openbaring van, en onrechtmatige toegang tot gevoelige informatie (studentdata, onderzoeksdata) | Verkrijging en openbaarmaking van informatie | Kwetsbaarhedenmanagement | A.8.8; A.8.1; A.7.13 | Logging, monitoring en detectie | A.8.15; A.8.16 | Securitytest | A.8.29 | Incidentbeleid en -procedure + bcp | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29; A.5.30 | Assetmanagement | A.5.9 |
| 13 | Bekende kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leiden tot het onbeschikbaar raken van onderzoek- en onderwijssystemen (bijv. ransomware). | Verstoring ICT | Kwetsbaarhedenmanagement | A.8.8; A.8.1; A.7.13 | Redundante uitvoering & back-ups & restore test | A.8.13 | Logging, monitoring en detectie | A.8.15; A.8.16 | Securitytest | A.8.29 | Incidentbeleid en -procedure + bcp | A.5.24; A.5.25; A.5.26; A.5.27; A.5.29; A.5.30 |
| 14 | Geen inzicht hebben in de kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot onbevoegde toegang en openbaring van informatie. | Verkrijging en openbaarmaking van informatie | Netwerksegmentatie | A.8.22 | Securitytest | A.8.29 | Kwetsbaarhedenmanagement | A.8.8; A.8.1; A.7.13 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||
| 15 | Geen inzicht hebben in de kwetsbaarheden in netwerk, infra, OT-apparatuur, werkplek of applicaties leidt tot het onbeschikbaar raken van informatie en systemen (bijv. ransomware). | Verstoring ICT | Netwerksegmentatie | A.8.22 | Securitytest | A.8.29 | Kwetsbaarhedenmanagement | A.8.8; A.8.1; A.7.13 | Redundante uitvoering & back-ups & restore test | A.8.13 | Logging, monitoring en detectie | A.8.15; A.8.16 |
| 16 | Een geïnfecteerd apparaat verspreidt de infectie naar andere apparaten in het netwerk, waardoor belangrijke informatie onbeschikbaar raakt. | Overname en misbruik ICT | Malwarebescherming | A.8.7 | Mobile device management | A.8.1; | Redundante uitvoering & back-ups & restore test | A.8.13 | Beperking installeren software | A.8.19 | Kwetsbaarhedenmanagement | A.8.8; A.8.1; A.7.13 |
| 17 | Apparatuur wordt verkeerd gebruikt waardoor onherstelbare schade ontstaat en belangrijke informatie niet meer beschikbaar is. | Verstoring ICT | Gebruikersregels | A.6.3; A.5.10 | Redundante uitvoering & back-ups & restore test | A.8.13 | Redundante uitvoering systemen | A.8.14 | ||||
| 18 | Gebruikers worden niet gedwongen om sterke authenticatie te gebruiken of hebben last van MFA moeheid, waardoor hacker kan inloggen als medewerkers, met als gevolg onrechtmatige inzage van gevoelige gegevens. | Verkrijging en openbaarmaking van informatie | Veilige authenticatie | A.8.2; A.8.5 | Logging, monitoring en detectie | A.8.15; A.8.16 | Bewustwording | A.6.3 | ||||
| 19 | Wijzigingen in systeem zorgen voor onbedoelde neveneffecten in proces, waardoor informatie onbeschikbaar raakt. | Verstoring ICT | Wijzigingsbeheer + rollback scenario | A.8.32 | OTAP-straat | A.8.31 | ||||||
| 20 | Gevoelige gegevens worden niet veilig verwijderd, waardoor onbevoegden toegang hebben tot de informatie. | Verkrijging en openbaarmaking van informatie | Veilig verwijderen van apparatuur/data beleid en procedure | A.8.10; A.7.14 | Encryptie | A.8.24 | Leverancierseisen | A.5.20 | ||||
| 21 | Een ontwikkel, test of acceptatiesystemen is minder beveiligd en wordt gehackt, met een datalek als gevolg | Verkrijging en openbaarmaking van informatie | Gebruik testdata | A.8.33 | Pseudonimisering van data | A.8.12 A.5.33 A.5.35 |
||||||
| 22 | Bij een incident blijken de back-up(s)/systemen niet goed te werken, waardoor data onbeschikbaar blijft. | Verstoring ICT | Restore procedure & test | A.8.13 | Gedocumenteerde processen | A.5.37 | Check op bewaartermijnen en wet en regelgeving | A.5.31; A.5.33 | ||||
| 23 | Door configuratiefouten of kapotte apparatuur raakt data corrupt en is informatie niet meer beschikbaar. | Verstoring ICT | Back-up & restore beleid en procedure | A.8.13 | Wijzigingsbeheer | A.8.32 | Gedocumenteerde processen | A.5.37 | Fysieke beveiliging apparatuur | A.7.8; A.7.9; A.7.13 | ||
| 24 | Data wordt gedurende transport(digitaal) onderschept, waardoor een kwaadwillende de data inziet en of aanpast. | Manipulatie van data | Encryptie | A.8.24 | Veilige draagbare apparatuur | A.7.9 | Beleid en procedure voor het delen van informatie | A.5.14 | ||||
| 25 | Hackersgroep vanuit kwaadwillende mogendheid infiltreert netwerk en steelt intellectueel eigendom van onderzoekers | Spionage | Logging, monitoring en detectie | A.8.15; A.8.16 | IP/IE-waarborgen | A.5.32 | Netwerkzonering & netwerkbeveiliging | A.8.20; A.8.21; A.8.22 | Dreigingsinformatie delen SCIRT | A.5.5; A.5.6; A.5.7 | ||
| 26 | Apparatuur van reizende medewerkers wordt onderschept en geïnfecteerd met spionagesoftware, waardoor gevoelige en waardevolle data wordt ingezien en ontvreemd. | Spionage | MDM & leenlaptop | A.8.1; | Encryptie | A.8.24 | Gebruikersregels + bewustwording | A.6.3; A.6.7; A.5.10 | Logging, monitoring en detectie | A.8.15; A.8.16 | ||
| 27 | Studenten hacken cijfersysteem en hebben cijfers aangepast, waardoor diploma’s mogelijk ongeldig zijn. | Manipulatie van data | Bescherming van registraties tegen wijzigingen | A.5.33 | 4-ogenprincipe wijzigingen | A.5.30 | Autorisatiebeleid, procedures en matrices | A.5.15; A.5.16; A.5.17; A.5.18; A.8.2; A.8.3; | Back-ups & restore + test | A.8.13 | ||
| 28 | Onderzoeker manipuleert dataset, waardoor meerdere onderzoeken moeten worden ingetrokken. | Manipulatie van data | Bewustwording | A.6.3 | Clausule over fraude in arbeidscontract | A.6.2; A.6.4; A.6.5; A.6.6 | Back-ups & restore + test | A.8.13 | 4-ogenprincipe wijzigingen | A.5.30; A.8.32 | ||
| 29 | Medewerker lekt examenvragen/antwoorden , waardoor examens over moeten of worden uitgesteld. | Verkrijging en openbaarmaking van informatie | Bewustwording | A.5.33 | Logging, monitoring en detectie | A.8.2 | Clean desk, clear screen | A.7.7 | Data masking | A.8.11 | Priviliged access management | A.8.2 |
| 30 | Kwaadwillende student of hacker verwijdert belangrijke gegevens, waardoor onderwijs wordt verstoord en of onderzoek stil komt te liggen omdat deze niet meer verifieerbaar zijn. | Verstoring ICT | Back-ups & restore procedure + test | A.8.13 | Logging, monitoring en detectie | A.8.15; A.8.16 | Privileged access management | A.8.2 | 4-ogenprincipe wijzigingen/ verwijdering | A.5.30; A.8.32 | ||
| 31 | Gegevens van medewerker/onderzoeker die betrokken is bij gevoelig onderzoek worden gelekt, met fysieke dreiging voor medewerker als gevolg | Compliance | Pseudonimisering van data | A.8.12 A.5.33 A.5.34 |
Logging, monitoring en detectie | A.8.15; A.8.16 | Data masking | A.8.11 | ||||
| 32 | Door onduidelijkheid in verantwoordelijkheden worden risico’s niet goed gemanaged en wordt de kans op een ernstig incident groter. | Verstoring ICT | Rollen verantwoordelijkheden | A.5.2; A.5.4 | Bewustwording | A.6.3 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | ||||
| 33 | Incidenten worden niet tijdig gemeld, niet goed gemeld of niet goed gemanaged, waardoor deze onnodig groter worden | Verstoring ICT | Bewustwording melden incidenten | A.6.3; A.6.8 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; | ||||||
| 34 | Vanuit het bestuur is onvoldoende budget en of prioriteit voor informatiebeveiliging en privacy, waardoor informatiebeveiligings- en privacy maatregelen niet worden opgepakt of worden uitgesteld. | Compliance | IB-Beleid | A.5.1 | Bewustwording bestuur over rol en verantwoordelijkheid | A.6.3; A.5.2; A.5.4 | Controles en Internal audits | A.5.35; A5.36; | Prioritering & capaciteitsbeheer | A.8.6 | ||
| 35 | Doordat er geen actuele kennis is van dreigingen en kwetsbaarheden worden belangrijke maatregelen over het hoofd gezien met een grootschalig incident als gevolg. | Verstoring ICT | Dreigingsinformatie | A.5.7; A.5.6 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | Check op wet en regelgeving | A.5.31 | ||||
| 36 | Door een gebrek van kennis met betrekking tot wet- en regelgeving is er niet voldaan aan wettelijke eisen en volgt er een boete of imagoschade. | Compliance | Overzicht van wettelijke, statutaire, regelgevende en contractuele eisen | A.5.31; A.5.33 | IB-Beleid | A.5.1 | Bewustwording | A.6.3 | ||||
| 37 | Door een ramp (brand, weersinvloeden, aardbeving of anders) is de informatievoorziening beschadigd en niet beschikbaar. | Verstoring ICT | Brandmeld & blussysteem IT-ruimtes | A.7.5 | Redundantie infra | A.8.14 | Redundante uitvoering & back-ups & restore test | A.8.13 | ||||
| 38 | Door falende infrastructuur (dijkdoorbraak, leidingbreuk) of instorting/verzakking is de informatievoorziening beschadigd en niet beschikbaar. | Verstoring ICT | Redundantie infra | A.8.14 | Redundante uitvoering & back-ups & restore test | A.8.13 | ||||||
| 39 | Door falende nutsvoorziening (elektriciteit, internet) is de informatievoorziening niet beschikbaar. | Verstoring ICT | Redundantie infra | A.8.14 | Redundantie nutsvoorzieningen | A.7.11 | ||||||
| 40 | Door kwetsbaarheden in de fysieke beveiliging, kan een inbreker inbreken op het kantoor en datadragers met gevoelige data ontvreemden met een datalek als gevolg. | Verkrijging en openbaarmaking van informatie | Fysieke toegangsbeveiliging | A.7.1; A.7.2; A.7.3; A.7.4; A.7.6 | Encryptie | A.8.24 | Clean desk, clear screen | A.7.7 | ||||
| 41 | Vandalen vernielen onderdelen van de infrastructuur of andere onderdelen van de informatievoorziening waardoor deze niet meer beschikbaar is. | Verstoring ICT | Fysieke toegangsbeveiliging | A.7.1; A.7.2; A.7.3; A.7.4; A.7.6 | Beschermen apparatuur | A.7.8; A.7.12 | Redundantie van IT | A.8.14 | Redundante uitvoering & back-ups & restore test | A.8.13 | ||
| 42 | Een gebrek aan duidelijke eisen bij de inkoop van een systeem of (Cloud)dienst leidt tot kwetsbare techniek,processen, menselijke aspecten met een onderbreking van de bedrijfsvoerings- /zorgprocessen en overtreding van wet en regelgeving. | Verstoring ICT | Leveranciersmanagement | A.5.19; A.5.20; A.5.21; A.5.22 | Cloud-inkoopeisen systemen | A.5.23 | Eisen inkoop systemen | A.5.19; A.5.20; A.8.26 | Security in projecten | A.5.8 | Security by design | A.8.26; A.8.27; A.8.28 |
| 43 | Een gebrek aan duidelijke eisen bij de aanschaf van een dienst leidt tot kwetsbare techniek, processen, menselijke aspecten, met een datalek tot gevolg. | Verkrijging en openbaarmaking van informatie | Leveranciersmanagement | A.5.19; A.5.20; A.5.21; A.5.22 | Security in projecten | A.5.8 | Securitytest | A.8.29 | Incidentproces | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8; A.5.5 | ||
| 44 |
Een leverancier of subleverancier van een essentieel systeem wordt gehackt, waardoor de informatievoorziening niet beschikbaar is of er onrechtmatige toegang is tot de data. |
Verstoring ICT | Leveranciersmanagement | A.5.19; A.5.20; A.5.21; A.5.22 | Logging, monitoring en detectie | A.8.15; A.8.16 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | ||||
| 45 | Een leverancier meldt een incident niet, waardoor de instelling niet voldoet aan haar meldplicht(en), het incident niet wordt verholpen en de gevolgen van het incident niet worden verminderd. | Compliance | Leveranciersmanagement | A.5.19; A.5.20; A.5.21; A.5.22 | Incidentprocedure | A.5.24; A.5.25; A.5.26; A.27; A.5.28; A.6.8 | Logging, monitoring en detectie | A.8.15; A.8.16 |