7.8 KiB
7.8 KiB
| 1 | Paragraaf | Gebied | Kwetsbaarheid | Risico's | B | V | I | Actie | Urgentie | Belang | Actiehouder | Opmerkingen |
|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 2 | 2,1 | Toegangsbeheer | Onvolledige implementatie MFA op gebruikersaccounts | Toegang door onbevoegden | X | 2.1.1 Monitoren voortgang | Laag | Hoog | Uitrol over de PM-accounts wordt afgerond in Q1 2025 | |||
| 3 | X | 2.1.2 Instellen her-autenticatie op onbekende locaties | Midden | Midden | ||||||||
| 4 | X | 2.1.3 Implementeren biometrische autenticatie | Laag | Laag | ||||||||
| 5 | ||||||||||||
| 6 | 2,2 | Toegangsbeheer | User provisioning op de Microsoft omgeving vanuit Mercash | Toegang door onbevoegden, Uitsluiting van bevoegden, Vervuiling van registraties, Onterechte licentiekosten | X | X | X | 2.2.1 Identificeren van assets waartoe op deze wijze toegang wordt verleend | Hoog | Hoog | ||
| 7 | X | X | X | 2.2.2 Periodiek monitoren resultaten script | Midden | Hoog | ||||||
| 8 | X | X | X | 2.2.3 Opstellen rechten & rollen matrix | Hoog | Hoog | ||||||
| 9 | X | X | X | 2.2.4 Beleid op beheer R&R matrix | Midden | Hoog | ||||||
| 10 | ||||||||||||
| 11 | 2,3 | Toegangsbeheer | Inconsistenties tussen Active Directory (AD) and EntraID | Toegang door onbevoegden | X | 2.3.1 Review van de policies in de Active Directory (AD) en EntraID | Hoog | Hoog | ||||
| 12 | X | 2.3.2 Beleid opstellen voor wachtwoordexpiratie en autenticatie | Hoog | Hoog | ||||||||
| 13 | X | 2.3.3 Implementeren van het beleid voor wachtwoordexpiratie en autenticatie | Hoog | Hoog | ||||||||
| 14 | X | 2.3.4 ('Migratiepad' opgenomen bij 5.1 SaaS applicaties) | ||||||||||
| 15 | ||||||||||||
| 16 | 2,4 | Toegangsbeheer | Beperkt zicht op beheeraccounts op verschillende omgevingen | Toegang door onbevoegden | X | 2.4.1 Beheeraccounts in kaart brengen | Hoog | Hoog | Welke beheeraccounts zijn er, welke rechten die geven, wie er van gebruik maken, en waarom dat nodig is. | |||
| 17 | X | 2.4.2 Overbodige accounts afsluiten | Hoog | Hoog | ||||||||
| 18 | X | 2.4.3 Beheeraccounts afdoende beveiligen | Hoog | Hoog | ||||||||
| 19 | X | 2.4.4 Beleid formuleren voor beheeraccounts | Midden | Hoog | RK | |||||||
| 20 | ||||||||||||
| 21 | 2,5 | Toegangsbeheer | Locatie accounts | Toegang door onbevoegden | X | 2.5.1 Uitzoeken tot welke omgevingen/assets locatieaccounts toegang krijgen | Hoog | Hoog | ||||
| 22 | X | 2.5.2 Uitzoeken of ex-medewerkers toegang kunnen krijgen met een locatieaccount | Hoog | Hoog | ||||||||
| 23 | X | 2.5.3 Beleid opstellen voor autenticatie op locatieaccounts | Hoog | Hoog | ||||||||
| 24 | X | 2.5.4 Implementeren van het beleid voor autenticatie op locatieaccounts | Hoog | Hoog | ||||||||
| 25 | ||||||||||||
| 26 | 2,6 | Toegangsbeheer | Decentrale toegangsverlening voor SaaS applicaties | Toegang door onbevoegden | X | X | 2.6.1 In kaart brengen door wie, en op welke gronden, rechten toegekend worden in de verschillende applicaties | Laag | Midden | |||
| 27 | 2.6.2 In kaart brengen welke mogelijkheden de verschillende applicaties bieden in hun rechtenstructuur | Laag | Midden | |||||||||
| 28 | 2.6.3 Opstellen van een overkoepelend beleid voor de toekenning van rechten volgens het <20>least privilege / need to know<6F> principe | Laag | Midden | RK | ||||||||
| 29 | 2.6.4 Opstellen van beleid per applicatie, congruent met het overkoepelende beleid | Laag | Midden | RK | ||||||||
| 30 | ||||||||||||
| 31 | 3,1 | Toegangsbeheer | Gast accounts op Teams/SharePoint | Toegang door onbevoegden | X | 3.1.1 Instellen dat alleen medewerkers van Humankind gastgebruikers mogen aanmaken | Hoog | Hoog | ||||
| 32 | X | 3.1.2 Instellen van automatische expiratie op gast accounts | Hoog | Hoog | ||||||||
| 33 | X | 3.1.3 Instellen van beperkt geldigheid van invite/share links | Hoog | Hoog | ||||||||
| 34 | X | 3.1.4 Beleid opstellen voor het beheren van Teams groepen en SharePoint sites | Midden | Hoog | RK | m.n. rond het toevoegen van (gast-) gebruikers: rechten, toegang tot informatie, vertrouwelijkheid (geheimhoudingsverklaring indien noodzakelijk), het afsluiten van projectomgevingen en het verwijderen van (gast) accounts. | ||||||
| 35 | ||||||||||||
| 36 | 3,2 | Omgang met vertrouwelijke informatie | <91>Data sharing options<6E> in Teams | Toegang door onbevoegden, datalekken | X | 3.2.1 Uitzetten van Teams data sharing naar services buiten het beheer van Humankind | Midden | Midden | ||||
| 37 | ||||||||||||
| 38 | 3,3 | Omgang met vertrouwelijke informatie | Geen regels voor het classificeren van data | Toegang door onbevoegden, datalekken | X | 3.3.1 Dataclassificatie opstellen | Midden | Hoog | RK | |||
| 39 | Omgang met vertrouwelijke informatie | Geen regels voor de omgang met geclassificeerde data | X | 3.3.2 Beleid formuleren t.a.v. omgang met vertrouwelijke informatie | Laag | Hoog | RK | M.n. SharePoint, Teams en Outlook | ||||
| 40 | Omgang met vertrouwelijke informatie | Geen regels voor het gebruik van niet-gemandateerde software | X | X | 3.3.3 ('Beleid opstellen' opgenomen bij 5.2 Ongemandateerde SaaS applicaties | Midden | Hoog | RK | ||||
| 41 | ||||||||||||
| 42 | 3,4 | Omgang met vertrouwelijke informatie | Data uit Beaufort op SharePoint | Toegang door onbevoegden, datalekken | X | 3.4.1 Onderzoeken of Beaufort data voldoende beveiligd is | Hoog | Hoog | ||||
| 43 | X | 3.4.2 Onderzoeken of online toegang tot Beaufort data noodzakelijk is | Hoog | Hoog | ||||||||
| 44 | X | 3.4.3 Beaufort data verplaatsen naar een beter beveiligde omgeving indien nodig | Hoog | Hoog | ||||||||
| 45 | ||||||||||||
| 46 | 3,5 | Omgang met vertrouwelijke informatie | Onbeveiligd printen | Toegang door onbevoegden, datalekken | X | 3.5.1 Bepalen praktische implementatie voor beveiligd printen | Midden | Hoog | Standaard aan, of met keuze 'gevoelige informatie' | |||
| 47 | X | 3.5.2 Beveiligd printen implementeren | Midden | Hoog | ||||||||
| 48 | ||||||||||||
| 49 | 4,1 | Device management | Geen EDM op Apple devices | Compromitering van assets | X | X | 4.1.1 Uitzoeken hoe EDM toegepast kan worden op Apple devices | Midden | Midden | |||
| 50 | 4.1.2 Implementeren EDM op Apple devices | Midden | Midden | |||||||||
| 51 | ||||||||||||
| 52 | 4,2 | Netwerkbeveiliging | Onbekende devices op Humankind netwerk | Toegang tot netwerken | X | 4.2.1 Ilionx vragen of onbekende devices toegang kunnen krijgen tot de Humankind services | Laag | Midden | en zo ja, of er indicaties zijn dat dit gebeurt | |||
| 53 | ||||||||||||
| 54 | 5,1 | Toegangsbeheer | SaaS applicaties zonder SSO en/of MFA | Verhoogde kwetsbaarheid voor hacking/phishing attacks | X | X | X | 5.1.1 Implementeren gebruik Password manager | Hoog | Hoog | ||
| 55 | X | X | X | 5.1.2 Uitzoeken welke applicaties aan EntraID SSO gekoppeld kunnen worden | Hoog | Hoog | Via dit mechanisme MFA afdwingen | |||||
| 56 | X | X | X | 5.1.3 Uitzoeken welke applicaties voorzien in een eigen MFA mechanisme en hiervan gebruik maken. | Hoog | Hoog | ||||||
| 57 | X | X | X | 5.1.4 Opstellen van een migratiepad van de verschillende applicaties naar EntraID (of alternatief) | Hoog | Hoog | ||||||
| 58 | X | X | X | 5.1.5 Onderzoeken of aanvullende maatregelen nodig en mogelijk zijn voor de resterende applicaties | Hoog | Hoog | ||||||
| 59 | ||||||||||||
| 60 | 5,2 | Omgang met vertrouwelijke informatie | Geen regels voor het gebruik van niet-gemandateerde software | Datalekken, verlies van toegang | X | X | 5.2.1 Beleid opstellen en communiceren voor het gebruik van niet door Humankind beheerde software en services | Midden | Hoog | RK | ||
| 61 | ||||||||||||
| 62 | 6,1 | Bedrijfscontinu<EF>teit | Geen incident response procedure en herstelplan | Verlies van productiviteit en data | X | 6.1.1 Uitvoeren van een Business Impact Analyse | Hoog | Hoog | RK | |||
| 63 | 6.1.2 Opstellen van een Incident Response & Recovery Procedure | Hoog | Hoog | RK | ||||||||
| 64 | ||||||||||||
| 65 | 6,2 | IKC | Dienstverlening aan partners in IKC<4B>s | Datalekken, aansprakelijkheid | 6.2.1 Onderzoeken van welke infrastructuur en services van Humankind externe partijen gebruik maken | Laag | Midden | |||||
| 66 | 6.2.2 In kaart brengen randvoorwaarden en technische/juridische risico's | Laag | Midden | |||||||||
| 67 | ||||||||||||
| 68 | 6,3 | Overnames | Risico's bij overnames | Verborgen / onbekende risico's | X | X | X | 6.3.1 Opstellen methode voor InfoSec due dilligence | Midden | Hoog | ||
| 69 | ||||||||||||
| 70 | 6,4 | Leveranciersmanagement | Afhankelijkheid van Ilionx | Continuiteit | 6.4.1 Borgen kwaliteit van dienstverlening | |||||||
| 71 | ||||||||||||
| 72 | 6,5 | Leveranciersmanagement | Gebrek aan toegang tot logs of monitoring tools | Geen inzage in performance / compliance | 6.5.1 Noodzaak / wenselijkheid bepalen | Midden | Hoog | |||||
| 73 | 6.5.2 Afstemmen met Ilionx | Midden | Hoog | Na opstellen basis informatiebeveiligingsbeleid | ||||||||
| 74 | ||||||||||||
| 75 | 6,6 | Communicatie | Beperkte informatiedeling over security issues en initiatieven | 6.6.1 Interne communicatie over security issues en initiativen verbeteren | FW | |||||||
| 76 | ||||||||||||
| 77 | ||||||||||||
| 78 | ||||||||||||
| 79 | ||||||||||||
| 80 | ||||||||||||
| 81 | ROADMAP | |||||||||||
| 82 | FIT/GAP |