Paragraaf;Gebied;Kwetsbaarheid;Risico's;B;V;I;Actie;Urgentie;Belang;Actiehouder;Opmerkingen
2,1;Toegangsbeheer;Onvolledige implementatie MFA op gebruikersaccounts;Toegang door onbevoegden;;X;;2.1.1 Monitoren voortgang;Laag;Hoog;;Uitrol over de PM-accounts  wordt afgerond in Q1 2025
;;;;;X;;2.1.2 Instellen her-autenticatie op onbekende locaties;Midden;Midden;;
;;;;;X;;2.1.3 Implementeren biometrische autenticatie;Laag;Laag;;
;;;;;;;;;;;
2,2;Toegangsbeheer;User provisioning op de Microsoft omgeving vanuit Mercash;Toegang door onbevoegden, Uitsluiting van bevoegden, Vervuiling van registraties, Onterechte licentiekosten;X;X;X;2.2.1 Identificeren van assets waartoe op deze wijze toegang wordt verleend;Hoog;Hoog;;
;;;;X;X;X;2.2.2 Periodiek monitoren resultaten script;Midden;Hoog;;
;;;;X;X;X;2.2.3 Opstellen rechten & rollen matrix;Hoog;Hoog;;
;;;;X;X;X;2.2.4 Beleid op beheer R&R matrix;Midden;Hoog;;
;;;;;;;;;;;
2,3;Toegangsbeheer;Inconsistenties tussen Active Directory (AD) and EntraID;Toegang door onbevoegden;;X;;2.3.1 Review van de policies in de Active Directory (AD) en EntraID;Hoog;Hoog;;
;;;;;X;;2.3.2 Beleid opstellen voor wachtwoordexpiratie en autenticatie;Hoog;Hoog;;
;;;;;X;;2.3.3 Implementeren van het beleid voor wachtwoordexpiratie en autenticatie ;Hoog;Hoog;;
;;;;;X;;2.3.4 ('Migratiepad' opgenomen bij 5.1 SaaS applicaties);;;;
;;;;;;;;;;;
2,4;Toegangsbeheer;Beperkt zicht op beheeraccounts op verschillende omgevingen;Toegang door onbevoegden;;X;;2.4.1 Beheeraccounts in kaart brengen;Hoog;Hoog;;Welke beheeraccounts zijn er, welke rechten die geven, wie er van gebruik maken, en waarom dat nodig is.
;;;;;X;;2.4.2 Overbodige accounts afsluiten;Hoog;Hoog;;
;;;;;X;;2.4.3 Beheeraccounts afdoende beveiligen;Hoog;Hoog;;
;;;;;X;;2.4.4 Beleid formuleren voor beheeraccounts;Midden;Hoog;RK;
;;;;;;;;;;;
2,5;Toegangsbeheer;Locatie accounts;Toegang door onbevoegden;;X;;2.5.1 Uitzoeken tot welke omgevingen/assets locatieaccounts toegang krijgen;Hoog;Hoog;;
;;;;;X;;2.5.2 Uitzoeken of ex-medewerkers toegang kunnen krijgen met een locatieaccount;Hoog;Hoog;;
;;;;;X;;2.5.3 Beleid opstellen voor autenticatie op locatieaccounts;Hoog;Hoog;;
;;;;;X;;2.5.4 Implementeren van het beleid voor autenticatie op locatieaccounts;Hoog;Hoog;;
;;;;;;;;;;;
2,6;Toegangsbeheer;Decentrale toegangsverlening voor SaaS applicaties;Toegang door onbevoegden;;X;X;2.6.1 In kaart brengen door wie, en op welke gronden, rechten toegekend worden in de verschillende applicaties;Laag;Midden;;
;;;;;;;2.6.2 In kaart brengen welke mogelijkheden de verschillende applicaties bieden in hun rechtenstructuur;Laag;Midden;;
;;;;;;;2.6.3 Opstellen van een overkoepelend beleid voor de toekenning van rechten volgens het ‘least privilege / need to know’ principe;Laag;Midden;RK;
;;;;;;;2.6.4 Opstellen van beleid per applicatie, congruent met het overkoepelende beleid;Laag;Midden;RK;
;;;;;;;;;;;
3,1;Toegangsbeheer;Gast accounts op Teams/SharePoint;Toegang door onbevoegden;;X;;3.1.1 Instellen dat alleen medewerkers van Humankind gastgebruikers mogen aanmaken;Hoog;Hoog;;
;;;;;X;;3.1.2 Instellen van automatische expiratie op gast accounts;Hoog;Hoog;;
;;;;;X;;3.1.3 Instellen van beperkt geldigheid van invite/share links;Hoog;Hoog;;
;;;;;X;;3.1.4 Beleid opstellen voor het beheren van Teams groepen en SharePoint sites;Midden;Hoog;RK;m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts.
;;;;;;;;;;;
3,2;Omgang met vertrouwelijke informatie;‘Data sharing options’ in Teams;Toegang door onbevoegden, datalekken;;X;;3.2.1 Uitzetten van Teams data sharing naar services buiten het beheer van Humankind;Midden;Midden;;
;;;;;;;;;;;
3,3;Omgang met vertrouwelijke informatie;Geen regels voor het classificeren van data;Toegang door onbevoegden, datalekken;;X;;3.3.1 Dataclassificatie opstellen;Midden;Hoog;RK;
;Omgang met vertrouwelijke informatie;Geen regels voor de omgang met geclassificeerde data;;;X;;3.3.2 Beleid formuleren t.a.v. omgang met vertrouwelijke informatie;Laag;Hoog;RK;M.n. SharePoint, Teams en Outlook
;Omgang met vertrouwelijke informatie;Geen regels voor het gebruik van niet-gemandateerde software;;X;X;;3.3.3 ('Beleid opstellen' opgenomen bij 5.2 Ongemandateerde SaaS applicaties;Midden;Hoog;RK;
;;;;;;;;;;;
3,4;Omgang met vertrouwelijke informatie;Data uit Beaufort op SharePoint;Toegang door onbevoegden, datalekken;;X;;3.4.1 Onderzoeken of Beaufort data voldoende beveiligd is;Hoog;Hoog;;
;;;;;X;;3.4.2 Onderzoeken of online toegang tot Beaufort data noodzakelijk is;Hoog;Hoog;;
;;;;;X;;3.4.3 Beaufort data verplaatsen naar een beter beveiligde omgeving indien nodig;Hoog;Hoog;;
;;;;;;;;;;;
3,5;Omgang met vertrouwelijke informatie;Onbeveiligd printen;Toegang door onbevoegden, datalekken;;X;;3.5.1 Bepalen praktische implementatie voor beveiligd printen;Midden;Hoog;;Standaard aan, of met keuze 'gevoelige informatie'
;;;;;X;;3.5.2 Beveiligd printen implementeren;Midden;Hoog;;
;;;;;;;;;;;
4,1;Device management;Geen EDM op Apple devices;Compromitering van assets;X;X;;4.1.1 Uitzoeken hoe EDM toegepast kan worden op Apple devices;Midden;Midden;;
;;;;;;;4.1.2 Implementeren EDM op Apple devices;Midden;Midden;;
;;;;;;;;;;;
4,2;Netwerkbeveiliging;Onbekende devices op Humankind netwerk;Toegang tot netwerken;;X;;4.2.1 Ilionx vragen of onbekende devices toegang kunnen krijgen tot de Humankind services;Laag;Midden;;en zo ja, of er indicaties zijn dat dit gebeurt
;;;;;;;;;;;
5,1;Toegangsbeheer;SaaS applicaties zonder SSO en/of MFA;Verhoogde kwetsbaarheid voor hacking/phishing attacks;X;X;X;5.1.1 Implementeren gebruik Password manager;Hoog;Hoog;;
;;;;X;X;X;5.1.2 Uitzoeken welke applicaties aan EntraID SSO gekoppeld kunnen worden;Hoog;Hoog;;Via dit mechanisme MFA afdwingen
;;;;X;X;X;5.1.3 Uitzoeken welke applicaties voorzien in een eigen MFA mechanisme en hiervan gebruik maken.;Hoog;Hoog;;
;;;;X;X;X;5.1.4 Opstellen van een migratiepad van de verschillende applicaties naar EntraID (of alternatief);Hoog;Hoog;;
;;;;X;X;X;5.1.5 Onderzoeken of aanvullende maatregelen nodig en mogelijk zijn voor de resterende applicaties;Hoog;Hoog;;
;;;;;;;;;;;
5,2;Omgang met vertrouwelijke informatie;Geen regels voor het gebruik van niet-gemandateerde software;Datalekken, verlies van toegang;X;X;;5.2.1 Beleid opstellen en communiceren voor het gebruik van niet door Humankind beheerde software en services;Midden;Hoog;RK;
;;;;;;;;;;;
6,1;Bedrijfscontinuïteit;Geen incident response procedure en herstelplan;Verlies van productiviteit en data;X;;;6.1.1 Uitvoeren van een  Business Impact Analyse ;Hoog;Hoog;RK;
;;;;;;;6.1.2 Opstellen van een Incident Response & Recovery Procedure;Hoog;Hoog;RK;
;;;;;;;;;;;
6,2;IKC;Dienstverlening aan partners in IKC’s;Datalekken, aansprakelijkheid;;;;6.2.1 Onderzoeken van welke infrastructuur en services van Humankind externe partijen gebruik maken;Laag;Midden;;
;;;;;;;6.2.2 In kaart brengen randvoorwaarden en technische/juridische risico's;Laag;Midden;;
;;;;;;;;;;;
6,3;Overnames;Risico's bij overnames;Verborgen / onbekende risico's;X;X;X;6.3.1 Opstellen methode voor InfoSec due dilligence;Midden;Hoog;;
;;;;;;;;;;;
6,4;Leveranciersmanagement;Afhankelijkheid van Ilionx;Continuiteit;;;;6.4.1 Borgen kwaliteit van dienstverlening;;;;
;;;;;;;;;;;
6,5;Leveranciersmanagement;Gebrek aan toegang tot logs of monitoring tools;Geen inzage in performance / compliance;;;;6.5.1 Noodzaak / wenselijkheid bepalen;Midden;Hoog;;
;;;;;;;6.5.2 Afstemmen met Ilionx;Midden;Hoog;;Na opstellen basis informatiebeveiligingsbeleid 
;;;;;;;;;;;
6,6;Communicatie;Beperkte informatiedeling over security issues en initiatieven;;;;;6.6.1 Interne communicatie over security issues en initiativen verbeteren;;;FW;
;;;;;;;;;;;
;;;;;;;;;;;
;;;;;;;;;;;
;;;;;;;;;;;
;;;;;;;;;;;
;;ROADMAP;;;;;;;;;
;;FIT/GAP;;;;;;;;;