Risicoanalyse aan de hand van het MAPGOOD-model


Bij een risicoanalyse worden bedreigingen en risico’s benoemd en in kaart gebracht. Vaak is het voor organisaties lastig om vanuit het niets bedreigingen en risico’s op het gebied van informatiebeveiliging te benoemen. Een veel gebruikt model om dit proces te ondersteunen is het zogenaamde MAPGOOD-model. In deze blog leg ik uit hoe dit model werkt.

Risicoanalyse

Als gemeente wordt het aangeraden een baselinetoets uit te voeren. Hiermee bepaal je het Basisbeveiligingsniveau (BBN). Als de uitkomst van de baselinetoets als resultaat geeft dat BBN2 ontoereikend is, is een diepgaande risicoanalyse (DRA) nodig. Het doel van de DRA is om in kaart te brengen welke maatregelen aanvullend op de Baseline Informatiebeveiliging Overheid (BIO) moeten worden getroffen om het juiste beveiligingsniveau te realiseren. De DRA bestaat uit de volgende drie stappen:

  1. Het in kaart brengen van de onderdelen van de informatievoorziening volgens het MAPGOOD-model.
  2. Het in kaart brengen van de dreigingen die relevant zijn voor het te onderzoeken informatiesysteem, met per dreiging het potentiële effect en de kans op optreden.
  3. Het vertalen van de meest relevante dreigingen naar maatregelen die moeten worden getroffen.

Het MAPGOOD-model

Om bedreigingen en risico’s op het gebied van informatiebeveiliging in kaart te brengen, heb je inzicht nodig in de informatievoorziening van de gemeente. Om alle componenten van de informatievoorziening in kaart te brengen kan gebruik worden gemaakt van het MAPGOOD-model. MAPGOOD staat voor Mensen, Apparatuur, Programmatuur, Gegevens, Organisatie, Omgeving en Diensten. Het MAPGOOD-model biedt houvast om de risico’s met de systeemeigenaar te inventariseren. Zo zijn er verschillende invalshoeken die je kunt gebruiken om naar bedreigingen en risico’s te kijken om zo beveiligingsmaatregelen in kaart te brengen:

  • Mens – de mensen die nodig zijn om het informatiesysteem te beheren en gebruiken, denk aan: directe en indirecte gebruikers, en functioneel en technisch applicatiebeheer.
  • Apparatuur – de apparatuur die nodig is om het informatiesysteem te laten functioneren, denk aan: webserver, applicatieserver, beheer van werkplekken en werkplekken van gebruikers.
  • Programmatuur – de programmatuur waaruit het informatiesysteem bestaat, denk aan: de diverse applicaties die gebruikt worden.
  • Gegevens – de gegevens die door het systeem worden verwerkt, denk aan: basisregistraties, financiële verantwoording en vergunningen.
  • Organisatie – de organisatie die nodig is om het informatiesysteem te laten functioneren, denk aan: beheer-, gebruikers- en ontwikkelorganisatie.
  • Omgeving – de omgeving waarbinnen het informatiesysteem functioneert, denk aan: locatie, serverruimte en werkplekken.
  • Diensten – de externe diensten die nodig zijn om het systeem te laten functioneren, denk aan: technisch systeembeheer, netwerkinfrastructuur en onderhoudscontracten met externe dienstverleners.

Het is belangrijk om elk component zo volledig mogelijk te beschrijven. De systeemeigenaar kan ook de proceseigenaar (vaak lijnmanager) betrekken in dit proces. Hij/zij is immers verantwoordelijk voor zijn/haar afdeling. Hierbij hoeft uiteraard niet alles tot in details te worden beschreven, zoals schijfgrootte, hoeveelheid geheugen of beeldschermresolutie, maar volledigheid op hoofdniveau is wel belangrijk om later bedreigingen en maatregelen goed te kunnen toewijzen. Daarnaast moet er onderscheid gemaakt worden tussen de taken waar de systeemeigenaar direct voor verantwoordelijk is en de zaken die hij/zij heeft uitbesteed aan een externe partij. Deze vallen namelijk onder het component ‘Dienst’.

Omgaan met risico’s
Het MAPGOOD-model helpt je bij het inventariseren van de risico’s en bedreigingen, maar daarna ga je per onderdeel ook kijken naar wat de kans op optreden is en welke impact daarbij hoort. Kortom wat is de invloed (schade) ervan op de werking van het informatiesysteem? Daarna bepaal je hoe met het vastgestelde risico wordt omgegaan om zo dreigingen het hoofd te bieden. Dat kan op vier manieren:

  1. Vermijden – Je vermijdt het risico, bijvoorbeeld door het nemen van maatregelen.
  2. Verminderen – Je beperkt de gevolgen door het nemen van alternatieve maatregelen.
  3. Overdragen – Je draagt de risico’s over door een andere partij te betrekken, bijvoorbeeld door maatregelen op centraal niveau te nemen (in plaats van op proces/informatiesysteem).
  4. Accepteren – Op geen van de bovenstaande manieren kun je het risico aanpakken dus je accepteert het risico en neemt geen maatregelen.

Uiteraard is de manier waarop je omgaat met risico’s afhankelijk van de situatie binnen jouw gemeente. Ook is het binnen gemeenten niet altijd duidelijk wie verantwoordelijk is voor het uitvoeren van de risicoanalyse. Is dit de CISO, ISO of proceseigenaar? Wanneer je naar de BIO kijkt, wordt de taak van het uitvoeren van de risicoanalyse bij de proceseigenaar belegd. Het is dus wel belangrijk dat je als gemeente deze rol hebt toegekend met de juiste taken en verantwoordelijkheden.

Meer informatie?

In de handreiking ‘Diepgaande Risicoanalyse Methode Gemeenten’ van de Informatiebeveiligingsdienst voor gemeenten (IBD) vind je een uitgebreide toelichting inclusief templates en werkwijze voor het toepassen van het MAPGOOD-model. Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen

Tien veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Welke tien fouten zijn dit en hoe kan je d…

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!