Risico en dreigings register
Met enige regelmaat lezen we over dingen die ernstig fout zijn gelopen. In het kader van risk-management spreken we dan over een ‘gematerialiseerd risico.’ Deze berichten vormen een belangrijke bron ‘van inspiratie’ om tot relevante risico’s te komen voor een organisatie.
Dit overzicht is bedoeld als inspiratiebron en zeker niet bedoeld als universele lijst van ‘oorzaak gevolg maatregel’ relaties. Een concrete uitwerking vereist altijd een diepte analyse en maatwerk per organisatie en situatie. Dit is de meerwaarde die wij als specialistische dienstverlener leveren.
Register
| Thema | Risico scenario’s | Maatregelen | |
| Brand | mensen, gebouwen, en derden, rook, hitte, bestrijding (EV in autogarages). | Brandcompartimenten, brandwerende materialen, brandmeldinstallaties, brandmiddelen, BHV, RI&E. |
|
| Klimaat(regelingen), Natuurrampen | Hitte, Kou, Luchtvochtigheid, uitval, onbereikbaarheid, natuurbranden, overstromingen. | Inspecties, Plaatsing (IT)systemen, Monitoring, Protocollen, Verzekeringen Contractbepalingen |
|
| Water | Defecte sprinklers, lekages leidingen, brandbestreiding, Sabotage, gezondheid | Inspecties, Plaatsing (IT)systemen, Monitoring, Protocollen, Verzekeringen Contractbepalingen |
|
| Sneeuw | Gladheid, gewicht (daken/panden), vallend (vrachtwagens, overkappingen, rigels) |
Inspecties,
|
|
| Vuilopbouw | Brandgevaar, Stof(explosies), mechanische (bewegende) componenten, gezondheid (stof), Corrosie, veiligheidsinstallaties, printer(stof). | Inspecties, Inrichting, Protocollen, |
|
| Ramp in omgeving | Astbes, nabij gelegen gevaarlijke industrie, risicovolle strategische objecten, transformatoren, gasverdeelstation | Inrichting, Protocollen, |
|
| Evenementen in omgeving | Toegangbeperking, gevaar voor derden, Demonstraties, rellen. | Inrichting, Protocollen, |
|
| Uitval net voorzieningen | Geen zicht, gevaarlijke situaties, gezondheid, veiligheid, niet werken van veiligheidsinstallaties, geen blusmiddelen, productieverstoringen, communicatievoorzieningen, liftinstallaties. | Inrichting, Protocollen, noodvoorzieningen |
|
| Uitval interne voorzieningen | Stroom, Telefoon, Koeling, Verwarming, Beluchting, Ventilatie, Water, Riool, Gas, Meldinstallaties (brand, inbraak, domotica), liftinstallaties, sprinkler installaties, noodkleppen. | Inrichting, Protocollen, |
|
| Uitval voorzieningen derden | Uitval van cloud diensten, netvoorzieningen 3e aanbieders, concentratierisico’s (alle diensten zelfde datacenter), | Inrichting, Protocollen, RI&E |
|
| Elektromagnetische straling | Gevoelige elektronica, onvoldoende scheiding tussen voeding en datakabels, onjuiste plaatsing accesspoints, onvoldoende of onjuiste aarding metale gestellen | Inrichting, Protocollen, Normen (NEN1010), Kooi van farrady |
|
| Spionage | Vrij toegankelijke informatie, onjuiste afscherming, geen contractuele afspraken (NDA), onvoldoende monitoring. | Inrichting, protocollen, ISO27002, NEN7510-2, IEC62443. | |
| Afluisteren | Afluisteren van gevoelige informatie, gebrek aan bewustzijn, organisatiecultuur, koffie automaat gesprek, wandelgangen informatie systemen, | bewustzijn, protocollen, organisatiegedrag beinvloeding. | |
| Diefstal | Documenten, datadragers, apparaten en systemen, intellectueel eigendom | Registratie, toegangsbeheer, 4 ogen principes, taakscheiding, protocollen, goedkeuringsprocedures, monitoring. | |
| Verlies | Documenten, datadragers, apparaten, systemen, mensen | Remote wipe, overdraagbare processen, inrichting, protocollen. | |
| Gebrek aan planning | Negatieve effecten tijdens onderhoud, door proces opzweepeffecten, door gebrek aan gebruiksmiddelen, door gebrek aan reservemiddelen, door gebrek aan of onjuiste ontwerpcriteria. | Inventarisatie, inkoop, resource planning, protocollen. | |
| Openbaarmaking gevoelige informatie | Gebrek aan procedure voor publicatie, Onvoldoende beheersing van (fysieke en digitale) informatiebronnen, Diefstal/data exfiltratie, meelezen, afluisteren, shoulder surfing, opslag buiten EU. | ||
| Onbetrouwbare bronnen | Onjuiste of ongegronde besluitvorming, aannames, reputatieschade, AI, Onjuiste patches en updates, illegale software, inbreuk op intellectueel eigendom derden, spoofing email, systeem inbreuken, data manipulatie. | Inventarisaties, inkoop procedures, 4-ogen principes, scheiding van taken, protocollen. | |
| Manipulatie hard- en software | Verborgen software verwerkingen, inbreuk van privacy, wegsluizen gevoelige informatie, dead-switch algoritmen, technische schuld kritieke bewerkingen, onbekende systeemzwakten. | testen, controles, procedures, contractuele afspraken, bewustzijn, scheiding van taken, monitoring, driehoekscontroles | |
| Manipulatie van informatie | (On)bewuste onjuiste invoer van medewerkers, systeem misbruik extern, MitM aanvallen, onjuiste bewerkingen, datakwaliteitafbreuk, social engineering. | 4 ogen principe, protocollen, controles achteraf, monitoring, steekproeven, arbeidscontracten, acceptable use policies, code of conducts. | |
| Onbevoegde toegang tot systemen | hack pogingen, data exfiltratie, backdoors, beheertoegang, follow the sun risico’s, leveranciertoegang. | toegangbeperkende maatregelen, monitoring, contractafspraken, protocollen (wijzigingsbeheer), toezicht, penetratietesten. | |
| Systeemverstoringen | Nalatigheid, onjuist gebruik, technische corruptie, onvoldoende onderhoud, onjuist onderhoud, defecte componenten. | Inventarisaties, Procedures, protocollen, draaiboeken, onderhoudsplanning | |
| Falen van systemen | Onjuiste werking van systemen door slijtage, ontwerp fouten, onvoorziene situaties. | Inspecties, leren van historische incidenten, leren van publieke berichtgeving, toepassen wijzigen in regelgeving, updates, doorvoeren van aanpassingen. | |
| Gebrek aan middelen | Personeel, kennis, geld, ruimte, capaciteit, productie, ingredienten, voorzieningen. | Inventarisatie, leren van historische incidenten, forecasting. | |
| Overtreding van wet en of regelgeving | Boetes, reputatie, aansprakelijkstelling derden, leveranciers, sanctielijsten, meld-zorg plichten, wijziging wetgeving. | Inventarisatie W&R, toezicht, procedures en protocollen, leverancierbeheersing. | |
| Misbruik van rechten en permissies | Onterecht of onjuist gebruik van beheertoegang, toegang tot gevoelige stuursystemen, Gebruik andermans toegangspas of credentials, afwijken van protocol, social engineering, onvoldoende afscherming van kritieke systemen (accidental walk ins), onvoldoende monitoring/bewaking. | Zonebeleid, inventarisatie kritieke systemen en toegang, leveranciersbeheersing, procedures en protocollen, scheiding van systemen, processen en rollen. | |
| Misbruik van permissies | cascaderende toegang onnodige applicatiefuncties, hop-in voor andere functies/rollen, onvoldoende mogelijkheid rolscheiding toe te passen binnen applicaties of processen, sabotage, dwalingen, onjuiste besluitvorming | RBAC ontwerp, functie profielen, RACI, testing, monitoring, procedures, protocollen, 4-ogen principe, scheiding van taken en rollen, selectiecriteria, inkoop, leverancierbeheersing, penetratietesten. | |
| Afpersing | Misbruik van gevoelige informatie of kennis. Onvrede in de organisatie, persoonlijk gewin, vendor lock in, | Vertrouwenspersoon, klokkenluiderregelingen, code of conduct, arbeidsovereenkomsten, leveranciersbeheersing, bedrijfscultuur, VOG | |
| Fraude | spookfacturen, manipulatie van logbestanden, gebruik niet herleidbare accounts, voortrekken van leveranciers of oplossingen, onvrede, reputatieschade. | proces inventarisaties, procedures, 4 ogen principe, scheiding van taken en rollen, steekproeven, zorgvuldige besluitvorming | |
| Sabotage | Toegang tot kwetsbare systemen, gelegenheid, dreigingen buitenaf, accidental walk in, onvrede, concurrentie, onbetrouwbare leveranciers, perverted incentives (winst door bewuste schade) | Inventarisatie, ontwerp en inrichting, zone-beleid, inspecties, leverancierbeheer, personeelbeheer, VOG. | |
| Personeel uitval/beschikbaarheid | Vertrek, ziekte, pandemieen, ongevallen, overlijden, concurrentie (head hunting), leveranciers (overname gekwalificeerd personeel), schaarste arbeidsmarkt. | HRM processen, ziektebegeleiding, overdracht, gedocumenteerde procedures, werving, resource planning, contactbeperkingen, boete clausules overname, insourcing. | |
| Aanslagen | Vitale infrastructuur, maatschappelijke onrust, reputatieschade, onvrede, buitenlandse vestigingen (USA). | Inventarisatie, ontwerp en inrichting, monitoring, bewustwording, protocollen, contact met overheidsinstanties, contact met belangengroepen | |
| Coersie, Afpersing en corruptie | Misbruik van (gelekte) gevoelige informatie of kennis. Onvrede in de organisatie, persoonlijk gewin, persoonlijke voorkeuren, hoge functionarissen, politiek actieve medewerkers (PEPs). | Vertrouwenspersoon, klokkenluiderregelingen, code of conduct, arbeidsovereenkomsten, leveranciersbeheersing, 4 ogen principe, scheiding van taken, meldcultuur, VOG | |
| Identiteitsdiefstal | Goedkeuringsprocessen (via email of alternatief medium), onvoldoende verificatie van identiteit en |