MAPGOOD methode

Een checklist voor bedreigingen (risico's) volgens de MAPGOOD methode

Vaak is het lastig om vanuit het niets bedreigingen dan wel risico's voor de eigen organisatie in kaart te brengen. Voor de nieuwe versies van normen van managementsystemen als ISO 9001, ISO 14001 en ISO 27001 is dit een vereiste. Een veelgebruikte methode daarbij is de zg. MAPGOOD methode. MAPGOOD staat voor Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Dit zijn de verschillende invalshoeken om naar bedreigingen en risico's te kijken.

Onderstaande tabel (MAPGOOD-item / faalmode / bedreiging) is een hulpmiddel om vanuit generieke bedreigingen, de bedreigingen (risico's) voor de eigen organisatie in kaart te brengen. (Voor een handzame spreadsheet met deze bedreigingen, zie ons managementsysteem Proware. Waar we trouwens ook onze risico's in managen.)

 

Mens

 

  • Functioneert onjuist
  • Niet aanwezig
  • Niet in dienst
Wegvallen:
- Voorzienbaar (ontslag, vakantie)
- Onvoorzienbaar (ziekten, overlijden, ongeval, staking)
 
Onopzettelijk foutief handelen:
- Onkunde, slordigheid
- Foutieve procedures
- Complexe foutgevoelige bediening
- Onzorgvuldige omgang met wachtwoorden
- Onvoldoende kennis/training
 
Opzettelijk foutief handelen:
- Niet werken volgens voorschriften/procedures
- Fraude/diefstal/lekken van informatie
- Ongeautoriseerde toegang met account van medewerker met hogere autorisaties
     
Apparatuur

 

  • Functioneert onjuist
  • Stoort
  • Gaat verloren of raakt ernstig beschadigd
Spontaan technisch falen:
- Veroudering/slijtage
- Storing
- Ontwerp/fabricage/installatie/onderhoudsfouten
 
Technisch falen door externe invloeden:
- Stroomuitval
- Slechte klimaatbeheersing
- Nalatig onderhoud door schoonmaak
- Natuurgeweld
- Diefstal/schade
 
Menselijk handelen/falen:
- Installatiefout
- Verkeerde instellingen
- Bedieningsfouten
- Opzettelijke aanpassingen/sabotage
- Beschadiging/vernieling
- Verlies/diefstal (onder andere. verlies USB-sticks of andere gegevensdrager)
- Verwijdering van onderdelen waardoor storingen ontstaan
     
Programmatuur

 

  • Functioneert onjuist
  • Loopt vast of vertraagde uitvoering
  • Gaat verloren of raakt ernstig
Nalatig menselijk handelen:
- Ontwerp-, programmeer-, invoering, beheer/onderhoudsfouten
- Introductie van virus en dergelijke. door gebruik van niet gescreende programma's
- Gebruik van de verkeerde versie van programmatuur
- Slechte documentatie
 
Onopzettelijk menselijk handelen:
- Fouten door niet juist volgen van procedures
- Installatie van malware en virussen door gebruik van onjuiste autorisaties
 
Opzettelijk menselijk handelen:
- Manipulatie voor of na ingebruikname
- (Ongeautoriseerde) functieverandering en/of toevoeging
- Installatie van virussen, Trojaanse paarden en dergelijke
- Kapen van autorisaties van collega's
- Illegaal kopiëren van programmatuur
- Oneigenlijk gebruik of privégebruik van bedrijfsprogrammatuur
 
Technische fouten/mankementen:
- Fouten in code programmatuur die de werking verstoren
- Achterdeuren in programmatuur voor (onbevoegde) toegang
- Bugs/fouten in code die tot exploits kunnen leiden
 
Organisatorische fouten:
- Leverancier gaat failliet
- Geen goede afspraken met leverancier
     
Gegevens

 

  • Worden onterecht ontsloten
  • Zijn tijdelijk ontoegankelijk
  • Gaan verloren
Via gegevensdragers (CD/DVD/USB-sticks/Harddisk/Back-ups/mobiele apparaten):
- Diefstal/zoekraken/lekken
- Beschadiging door verkeerde behandeling
- Niet overeenkomende bestandformaten
- Foutieve of geen versleuteling
- Foutieve of vervalste
 
Via Cloud voorzieningen:
- Ongeautoriseerde toegang door onbevoegden (hackers/hosters)
- Ongeautoriseerde wijziging of verwijdering van gegevens
 
Via apparatuur:
- Fysieke schrijf- of leesfouten
- Onvoldoende toegangsbeperking tot apparatuur
- Fouten in interne geheugens
- Aftappen van gegevens
 
Via programmatuur:
- Foutieve of gemanipuleerde programmatuur
- Doorwerking van virussen/malware
- Afbreken van verwerking
 
Via personen:
- (On)opzettelijke foutieve gegevensinvoer, -verandering of –verwijdering van data
- Onbevoegde toegang door onbevoegden
- Onbevoegd kopiëren van gegevens
- Meekijken over de schouder door onbevoegden
- Onzorgvuldige vernietiging
- Niet toepassen clear screen/clear desk
- Aftappen (draadloos) netwerk door onbevoegden (telewerk situaties)
- Oneigenlijk gebruik van autorisaties
- Toegang verschaffen tot gegevens door middel van identiteitsfraude of social engineering
     
Organisatie

 

  • Werkt niet volgens vastgestelde uitgangspunten
  • Reorganiseert
  • Fuseert of wordt opgeheven
Gebruikersorganisatie:
- Mismanagement
- Gebrekkige toedeling taken, bevoegdheden, verantwoordelijkheden
- Onduidelijke of ontbrekende gedragscodes
- Afwezige, verouderde of onduidelijke handboeken /systeemdocumentatie / werkprocedures
- Onvoldoende interne controle
- Onvoldoende toetsing op richtlijnen
- Onvoldoende of geen contractbeheer
- Ontbrekende of onduidelijke SLA’s
- Gebrekkige doel/middelen beheersing
 
Beheerorganisatie:
- Gebrekkig beleid betreffende beheer
- Onvoldoende kennis of capaciteit
- Onvoldoende kwaliteitsborging
- Onvoldoende beheer van systemen en middelen
 
Ontwikkelingsorganisatie:
- Slecht projectmanagement
- Niet volgen van projectenkalender of PPM
- Geen ontwikkelrichtlijnen en/of – procedures
- Er worden geen methoden/technieken gebruikt
- Gebrek aan planmatig werken
     
Omgeving

 

  • Is toegankelijk voor ongeautoriseerden
  • Is beschadigd
  • Is verwoest of ernstig beschadigd
Huisvesting:
- Ongeautoriseerde toegang tot gebouw(en)
- Diefstal op werkplekken
- Gebreken in ruimtes, waardoor kans op insluiping/inbraak
- Onvoldoende fysieke voorzieningen om te vluchten of in te grijpen tijdens geweldsdreigingen/conflicten met klanten
 
Nutsvoorzieningen:
- Uitval van elektriciteit, water, telefoon
- Wateroverlast door lekkage, bluswater
- Uitval van licht-, klimaat- en,sprinklerinstallatie
 
Buitengebeuren:
- Natuurgeweld (overstroming, blikseminslag, storm, aardbeving et cetera)
- Overig geweld (oorlog, terrorisme, brandstichting, inbraak, neerstortend vliegtuig)
- Blokkade/staking
- Onveilige, geblokkeerde, vluchtwegen bij brand
     
Diensten

 

  • Worden niet volgens afspraak geleverd
  • Tijdelijk niet te leveren
  • Definitief niet meer te leveren
Diensten worden niet conform afspraak geleverd:
- Slecht opgeleid personeel
- Groot personeelsverloop
- Onvoldoende capaciteit in personeel
- Valse verklaringen over certificeringen
- Onvoldoende of geen kwaliteitsborging
- Personeel voldoet niet aan eisen zoals een geldige VOG en getekende geheimhoudingsverklaringen
- Voert wanbeheer, slordigheden in beheersactiviteiten,
- Werkt niet conform ITIL of BiSL principes
- Maakt misbruik van toevertrouwde gegevens, applicaties en documentatie
- Houdt zich niet aan functiescheiding
- Maakt gebruik van te zware autorisatie, niet functie gebonden
 
Diensten dienstverlener tijdelijk niet beschikbaar:
- Levert diensten niet conform overeenkomst
- Onderbreking dienstverlening door overname dienstverlener
- Kan diensten tijdelijk niet uitvoeren door zaken buiten de eigen controle (stakingen en dergelijke)
- Past verkeerde prioriteiten toe in klantbejegening
- Levert onvoldoende capaciteit voor een goede dienstverlening
 
Diensten dienstverlener definitief niet meer te leveren:
- Een dienstverlener gaat failliet
- Opzegging diensten door dienstverlener

 

Voor wie nog steeds nog steeds moeite heeft met het risicomanagement proces. Zet in 60 seconden onze cloudoplossing Proware klaar, een simpele en innovatieve software tool voor kwaliteits- en risicomanagement. Bovenstaande 'MAPGOOD-risico's' hebben we in een handige spreadsheet toegevoegd.
Nog meer? Het duurt iets langer ... maar in een paar uur hebben we ook een eigen en geschikt voorbeeld voor een managementsysteem. Voor inhoudelijke vragen raadplegen wij onze collega's van meta-audit.nl.

Eerst zien, bekijk dan onze video en demo’s op de productpagina.