Skip to main content

Risicoanalyse aan de hand van het MAPGOOD-model


Bij een risicoanalyse worden bedreigingen en risico’s benoemd en in kaart gebracht. Vaak is het voor organisaties lastig om vanuit het niets bedreigingen en risico’s op het gebied van informatiebeveiliging te benoemen. Een veel gebruikt model om dit proces te ondersteunen is het zogenaamde MAPGOOD-model. In deze blog leg ik uit hoe dit model werkt.

Risicoanalyse

Als gemeente wordt het aangeraden een baselinetoets uit te voeren. Hiermee bepaal je het Basisbeveiligingsniveau (BBN). Als de uitkomst van de baselinetoets als resultaat geeft dat BBN2 ontoereikend is, is een diepgaande risicoanalyse (DRA) nodig. Het doel van de DRA is om in kaart te brengen welke maatregelen aanvullend op de Baseline Informatiebeveiliging Overheid (BIO) moeten worden getroffen om het juiste beveiligingsniveau te realiseren. De DRA bestaat uit de volgende drie stappen:

  1. Het in kaart brengen van de onderdelen van de informatievoorziening volgens het MAPGOOD-model.
  2. Het in kaart brengen van de dreigingen die relevant zijn voor het te onderzoeken informatiesysteem, met per dreiging het potentiële effect en de kans op optreden.
  3. Het vertalen van de meest relevante dreigingen naar maatregelen die moeten worden getroffen.

Het MAPGOOD-model

Om bedreigingen en risico’s op het gebied van informatiebeveiliging in kaart te brengen, heb je inzicht nodig in de informatievoorziening van de gemeente. Om alle componenten van de informatievoorziening in kaart te brengen kan gebruik worden gemaakt van het MAPGOOD-model. MAPGOOD staat voor Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Het MAPGOOD-model biedt houvast om de risico’s met de systeemeigenaar te inventariseren. Zo zijn er verschillende invalshoeken die je kunt gebruiken om naar bedreigingen en risico’s te kijken om zo beveiligingsmaatregelen in kaart te brengen:

  • Mens – de mensen die nodig zijn om het informatiesysteem te beheren en gebruiken, denk aan: directe en indirecte gebruikers, en functioneel en technisch applicatiebeheer.
  • Apparatuur – de apparatuur die nodig is om het informatiesysteem te laten functioneren, denk aan: webserver, applicatieserver, beheer van werkplekken en werkplekken van gebruikers.
  • Programmatuur – de programmatuur waaruit het informatiesysteem bestaat, denk aan: de diverse applicaties die gebruikt worden.
  • Gegevens – de gegevens die door het systeem worden verwerkt, denk aan: basisregistraties, financiële verantwoording en vergunningen.
  • Organisatie – de organisatie die nodig is om het informatiesysteem te laten functioneren, denk aan: beheer-, gebruikers- en ontwikkelorganisatie.
  • Omgeving – de omgeving waarbinnen het informatiesysteem functioneert, denk aan: locatie, serverruimte en werkplekken.
  • Diensten – de externe diensten die nodig zijn om het systeem te laten functioneren, denk aan: technisch systeembeheer, netwerkinfrastructuur en onderhoudscontracten met externe dienstverleners.

Het is belangrijk om elk component zo volledig mogelijk te beschrijven. De systeemeigenaar kan ook de proceseigenaar (vaak lijnmanager) betrekken in dit proces. Hij/zij is immers verantwoordelijk voor zijn/haar afdeling. Hierbij hoeft uiteraard niet alles tot in details te worden beschreven, zoals schijfgrootte, hoeveelheid geheugen of beeldschermresolutie, maar volledigheid op hoofdniveau is wel belangrijk om later bedreigingen en maatregelen goed te kunnen toewijzen. Daarnaast moet er onderscheid gemaakt worden tussen de taken waar de systeemeigenaar direct voor verantwoordelijk is en de zaken die hij/zij heeft uitbesteed aan een externe partij. Deze vallen namelijk onder het component ‘Dienst’.

Omgaan met risico’s
Het MAPGOOD-model helpt je bij het inventariseren van de risico’s en bedreigingen, maar daarna ga je per onderdeel ook kijken naar wat de kans op optreden is en welke impact daarbij hoort. Kortom wat is de invloed (schade) ervan op de werking van het informatiesysteem? Daarna bepaal je hoe met het vastgestelde risico wordt omgegaan om zo dreigingen het hoofd te bieden. Dat kan op vier manieren:

  1. Vermijden – Je vermijdt het risico, bijvoorbeeld door het nemen van maatregelen.
  2. Verminderen – Je beperkt de gevolgen door het nemen van alternatieve maatregelen.
  3. Overdragen – Je draagt de risico’s over door een andere partij te betrekken, bijvoorbeeld door maatregelen op centraal niveau te nemen (in plaats van op proces/informatiesysteem).
  4. Accepteren – Op geen van de bovenstaande manieren kun je het risico aanpakken dus je accepteert het risico en neemt geen maatregelen.

Uiteraard is de manier waarop je omgaat met risico’s afhankelijk van de situatie binnen jouw gemeente. Ook is het binnen gemeenten niet altijd duidelijk wie verantwoordelijk is voor het uitvoeren van de risicoanalyse. Is dit de CISO, ISO of proceseigenaar? Wanneer je naar de BIO kijkt, wordt de taak van het uitvoeren van de risicoanalyse bij de proceseigenaar belegd. Het is dus wel belangrijk dat je als gemeente deze rol hebt toegekend met de juiste taken en verantwoordelijkheden.

Meer informatie?

In de handreiking ‘Diepgaande Risicoanalyse Methode Gemeenten’ van de Informatiebeveiligingsdienst voor gemeenten (IBD) vind je een uitgebreide toelichting inclusief templates en werkwijze voor het toepassen van het MAPGOOD-model. Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …