Om volledig te kunnen zijn, worden risico’s aan de hand van de hoofdgroepen in de norm NEN-ISO 27005 (management van Informatiebeveiligingsrisico’s) behandeld. De hoofdgroepen zijn: • Hardware • Software • Netwerk • Gebouwen (werkgebieden) • Organisatie (procedures, regels) • Personeel (kennis en gedrag) Deze onderwerpen passeren de revue in alle workshops. Om ervoor te zorgen dat de organisatie een actueel overzicht heeft van de risico’s zou je de sessies jaarlijks moeten herhalen. De eerste keer duurt een workshop een paar uur, daarna kosten sessies steeds minder tijd. Periodieke en specifieke risicoanalyse Het kan nodig zijn om een losse, specifieke risicoanalyse uit te voeren naast de reguliere risicoanalyses. Het is verstandig om dit te doen bij nieuwe IT-projecten of een project waar een informatievoorzieningscomponent bij aanwezig is, bijvoorbeeld een vastgoedproject waar er slimme meters worden geïmplementeerd. Een risicoanalyse met eventueel daaruit volgende maatregelen is nodig om te bepalen of de beschikbaarheid, integriteit of vertrouwelijkheid van informatie gewaarborgd blijft. Wat zijn de grootste informatiebeveiligingsrisico’s? HC&H Consultants heeft meerdere risicoanalyses uitgevoerd bij corporaties. Iedere corporatie heeft zijn eigen risico’s, maar in zijn algemeenheid is dit de top 5 in willekeurige volgorde van grootste risico’s: • Medewerkers herkennen phishingmails en -sms’jes niet altijd waardoor IT-omgevingen niet beschikbaar raken en/of er informatie in onbevoegde handen kan komen; • Er is geen beleid voor wachtwoordbeheer waardoor medewerkers op eigen (onveilige) manieren wachtwoorden beheren. Dit kan ertoe leiden dat inlogcodes en wachtwoorden in onbevoegde handen vallen; • Er is geen verantwoordelijke voor informatiebeveiliging benoemd wat ertoe leidt dat het informatiebeveiligingsbeleid en de risico’s niet actueel zijn; • Het is niet bekend of de ICT-dienstverlener (outsourcingspartij) kwetsbaar is voor hackaanvallen met als risico dat IT-omgevingen niet beschikbaar raken en/of er informatie in onbevoegde handen kan komen; • Het uitdiensttredingsproces is niet op orde waardoor ICT-middelen niet ingenomen worden en/of toegang tot SaaS-diensten niet (meteen) geblokkeerd worden. ▶ phishing kwetsbaar uitdiensttredingsproces beleid wachtwoordbeheer 25
26 Online Touch Home