Beveiliging van telewerken: een praktische aanpak

Beveiliging van telewerken: een praktische aanpak

N

Nederland heeft wereldwijd één van de hoogste percentages telewerkers en het aantal groeit nog steeds. Informatiebeveiliging bij telewerken is

echter niet altijd goed geregeld. Uit onderzoek blijkt dat het merendeel van de thuiswerkplekken onveilig is en dat met regelmaat apparatuur met gevoelige gegevens verdwijnt.

In dit artikel wordt een praktische aanpak

beschreven waarmee organisaties adequate

informatiebeveiliging bij telewerken kunnen

realiseren. Om deze aanpak goed toe te passen, is inzicht nodig in de belangrijkste beveiligingsrisico’s en -maatregelen met betrekking tot telewerken. Deze worden in dit artikel gestructureerd uiteengezet.

LARS HOOGENDIJK EN JEROEN VAN SCHAJIK

Het concept ‘telewerken’ is niet nieuw. Al in de jaren vijftig van de vorige eeuw ontstond het idee dat werk ook buiten kantoor gedaan kon worden door gebruik van telecommunicatieen computertechnologie. Brede interesse begon in de jaren zeventig toen de oliecrisis westerse landen ertoe dwong het energieverbruik drastisch te reduceren. Telewerken werd toen gezien als een middel om het autogebruik te verminderen. Technologische ontwikkelingen en een snel groeiende dienstensector leidden ertoe dat telewerken in de jaren tachtig en negentig doorbrak. TELEWERKEN IN NEDERLAND Nederland heeft in Europa een leidende positie op het gebied van telewerken. Volgens onderzoek van de EU werkte in 2005 twaalf procent van de Nederlandse werknemers meer dan een kwart van de werktijd buiten kantoor. Hiermee stond Nederland in de top 5 van de 28 onderzochte Europese landen [EURO10]. Het CBS meldt dat eind 2007 bijna de helft van de bedrijven waar tien of meer personen werken, telewerkers in dienst had. Dit aantal is ten opzichte van 2003 verdubbeld [CBS09].

De groei van telewerken wordt mede mogelijk gemaakt door technologische ontwikkelingen die ervoor zorgen dat telewerken voortdurend toegankelijker en goedkoper wordt. Voorbeelden hiervan zijn snel mobiel internet en de inburgering van smartphones [IDC11]. Daarnaast heeft telewerken een aantal belangrijke voordelen: het biedt werknemers een betere balans tussen werk en privé, flexibele werkuren en besparingen op reistijd en -kosten. Voor werkgevers levert het productiviteitstijging van medewerkers en besparing van kantoorruimte op. De maatschappij als geheel ten slotte, profiteert van de verdunning van de files, verlaging van CO2 -uitstoot, betere kansen voor arbeidsgehandicapten en kostenbesparingen op het gebied van infrastructuur en energie [HARP02]. WAT IS TELEWERKEN? Er zijn verschillende definities van telewerken in omloop en er worden termen met vergelijkbare betekenissen door elkaar gebruikt. Voorbeelden hiervan zijn ‘het nieuwe werken’, ‘e -werken’ en ‘flexwerken’. De definities uit de literatuur en praktijk zijn echter vaak afgeleid

de IT-Auditor nummer 2 | 2011

,7$XGLWRUBBLQGG

7 30

van de volgende abstracte definitie [SULL03]: Telewerken is tijd- en plaatsonafhankelijk werken met behulp van informatie- en communicatietechnologie (ICT). In deze algemene definitie liggen drie dimensies besloten: ‘tijd’, ‘plaats’ en ‘ICT’. ‘Tijd’ is de proportie van de werktijd waarin wordt getelewerkt. Vaak wordt onderscheid gemaakt tussen structureel (bijvoorbeeld één of meer volledige werkdagen) en incidenteel telewerken (bijvoorbeeld overwerk). ‘Plaats’ is de locatie waarop gewerkt wordt, zoals een satellietkantoor, het huis van de telewerker of onderweg. ‘ICT’ is de technologie die gebruikt wordt. Deze kan per situatie behoorlijk verschillen. Voorbeelden zijn laptops, tablets, smartphones, internet en USB-sticks. HET BELANG VAN INFORMATIEBEVEILIGING BIJ TELEWERKEN Voor het uitvoeren van werkzaamheden hebben telewerkers toegang tot informatie die toebehoort aan de organisatie waarvoor zij werkzaam zijn. Het ontsluiten van deze informatie buiten de beheersbare bedrijfsomgeving leidt tot extra beveiligingsrisico’s. Deze risico’s kunnen organisaties verkleinen door beveiligingsmaatregelen te treffen. Onderzoek wijst op kwetsbaarheden Een onderzoek onder ruim 500 ‘thuiswerkplekken’ in Nederland wijst uit dat driekwart hiervan onveilig is. In veel gevallen zijn het de medewerkers zelf die bewust of onbewust de veiligheid van de informatiesystemen in gevaar brengen. Ook laat de implementatie van technische maatregelen op de thuiswerkplek te wensen over. [DIGI08] Een aan mobiel telewerken gerelateerd incident dat vaak voorkomt, is

8

diefstal van laptops of andere mobiele computerapparatuur. Uit onderzoek in Groot-Brittannië is gebleken dat dit tweevijfde van de grote en ééntiende van de kleine Britse organisaties overkomt. De laatste twee jaar is het gebruik van hard disk versleuteling wel flink toegenomen, met name op laptops. Inmiddels heeft driekwart van de grote en drievijfde van de kleine Britse organisaties deze maatregel getroffen. [DTI10] Brits onderzoek toont verder aan dat organisaties die werknemers de mogelijkheid bieden om zich vanaf een externe locatie toegang te verschaffen tot het bedrijfsnetwerk, twee keer zoveel risico lopen op ongeautoriseerde derden die proberen in te breken op het netwerk, dan organisaties die deze mogelijkheid niet bieden. Tweederde van de Britse organisaties die toegang op afstand toestaan, hebben een vorm van extra authenticatie geïmplementeerd. Aan het afluisteren van datacommunicatie wordt, vooral door kleinere organisaties, minder aandacht besteed. Slechts de helft van de onderzochte bedrijven gebruikt VPN [DTI08]. BEVEILIGINGSRISICO’S EN – MAATREGELEN ROND TELEWERKEN Er is een risico (R) dat de betrouw1 baarheid van informatie wordt geschaad door beveiligingsincidenten. Deze incidenten zijn het gevolg van kwetsbaarheden van objecten voor bedreigingen. De impact van de incidenten is afhankelijk van de mate waarin de betreffende informatie bedrijfskritisch en gevoelig is. De algemene definitie van telewerken bevat twee objecten: ‘plaats’ en ‘ICT’. In deze paragraaf worden de bedreigingen die inwerken op deze objecten, alsmede de kwetsbaarheden daarvoor in relatie tot werken op kantoor, zo volledig mogelijk uiteengezet. Ook worden voor beide dimensies voorbeelden

genoemd van maatregelen (M) die de organisatie kan treffen om de risico’s rond telewerken te verminderen. De dimensie ‘tijd’ is niet tastbaar en daarom geen object van bedreigingen. Wel heeft deze dimensie enkele aandachtspunten voor beveiliging. Deze worden eerst behandeld. De dimensie ‘tijd’ Telewerken is volgens de algemene definitie tijdsonafhankelijk. Dit impliceert dat er ook buiten de reguliere kantoortijden getelewerkt kan worden. Hierdoor hebben telewerkers mogelijk geen toegang tot een helpdesk op het moment dat ze deze nodig hebben en meer last van gepland onderhoud. Ook kan het zijn dat capaciteit, beschikbaarheid en beveiligingsincidenten buiten kantooruren niet actief gemonitord worden, waardoor pas laat geacteerd wordt op incidenten. De organisatie kan overwegen om bepaalde ITbeheerdiensten, zoals eerstelijnssupport ook buiten kantooruren te leveren als het aantal telewerkers dat dan werkt groot is. Het alternatief is om telewerkers goed te informeren over de service windows en gepland onderhoud. De dimensie ‘plaats’ Hoewel telewerken volgens de definitie locatieonafhankelijk is en daarom ook op kantoor plaats kan vinden, wordt de dimensie ‘plaats’ meestal beperkt tot locaties buiten kantoor. In het laatste geval bevinden de telewerker en ten minste een deel van de ICT die hij gebruikt zich fysiek op externe locaties. R De betrouwbaarheid van gegevens en de ICT waarmee deze worden verwerkt, staat bloot aan bedreigingen die inwerken op externe locaties. Deze zijn ongeautoriseerde fysieke toegang, fysieke onheilen en ontoereikende basis2 voorzieningen. De kwetsbaarheid van de locatie voor deze bedreigingen hangt af van de intrinsieke vei-

de IT-Auditor nummer 2 | 2011

,7$XGLWRUBBLQGG

30

ligheid van de locatie en de invloed die de organisatie heeft op het beheer ervan. Gesloten ruimtes zijn intrinsiek veiliger en bieden de organisatie meer invloed op het beheer dan publieke ruimtes. Of de betrouwbaarheid van gegevens wordt geschaad door deze bedreigingen is ook afhankelijk van de wijze waarop ICT wordt ingezet en de risico’s die daarmee samenhangen. Deze worden behandeld bij de dimensie ‘ICT’. Er wordt vaak onderscheid gemaakt in ‘de reizende telewerker’, ‘de thuiswerkplek’ en ‘het satellietkantoor’. [HADD05][KURL99] Hierna wordt per variant in meer detail ingaan op de intrinsieke veiligheid en de invloed van de organisatie op het beheer. De reizende telewerker De reizende telewerker komt vaak in publieke ruimten zoals hotels, vliegvelden en stations. Hier bevinden zich derden. Deze kunnen meekijken terwijl de telewerker zijn wachtwoord invoert of andere vertrouwelijke informatie verwerkt. Er is een verhoogde kans op diefstal en verlies van ICT. Publieke ruimten beschikken niet altijd over goede stroomvoorziening of een betrouwbaar en snel computernetwerk waardoor de telewerker mogelijk geen gebruik kan maken van zijn ICT. De organisatie heeft geen invloed op het beheer van publieke ruimten. De thuiswerkplek Het huis van de telewerker is een gesloten ruimte. In dit huis bevindt zich een beperkt aantal personen die de telewerker meestal kent en vertrouwt. Hoewel deze personen normaliter niet kwaadwillend zijn, kunnen ze door onwetendheid of onvoorzichtigheid ICT beschadigen. Denk bijvoorbeeld aan bewoners die het werkstation gebruiken voor online gaming of social media. De organisatie heeft enige invloed op het beheer van de thuiswerkplek,

maar kan de effectiviteit hiervan alleen controleren als de telewerker hier vrijwillig aan meewerkt.3 Het satellietkantoor Het satellietkantoor is een gesloten ruimte. In dit kantoor bevinden zich naast collega’s van de telewerker eventueel ook derden. De invloed die de organisatie heeft op het beheer van het satellietkantoor is doorgaans groter dan op de thuiswerkplek maar kleiner dan op het (hoofd)kantoor. De mate van invloed hangt af van het type satellietkantoor. De invloed is op een ‘privé’ kantoor het grootst, op een gedeeld kantoor minder groot en op een klantlocatie het kleinst. M Beveiligingsmaatregelen op een satellietkantoor zijn niet wezenlijk anders dan op het hoofdkantoor en worden hier daarom niet verder uitgewerkt. De organisatie kan de beveiliging van de thuiswerkplek verbeteren door daarvoor middelen ter beschikking te stellen, zoals (geld voor) inbraak- en brandbeveiliging en een kluis voor het opbergen van ICT. Publieke ruimtes kunnen niet door de organisatie beveiligd worden. Daarom is de beveiliging van de ICT en de beïnvloeding van het gedrag van ‘de reizende telewerker’ extra belangrijk. Het gedrag van de telewerker kan de organisatie verbeteren door hem te wijzen op de beveiligingsrisico’s die verbonden zijn aan externe locaties en de maatregelen die hij zelf kan nemen. Voorbeelden zijn ICT onopvallend dragen en niet onbeheerd achterlaten. Eventueel kan de organisatie werken vanaf ‘intrinsiek onveilige’ locaties ontmoedigen of verbieden. Fysieke en logische beveiliging van ICT wordt behandeld bij de dimensie ‘ICT’. De dimensie ‘ICT’ Het begrip ‘ICT’ is abstract en veelomvattend, maar kan voor het

domein ‘telewerken’ als volgt worden geconcretiseerd. Een telewerker maakt gebruik van een werkstation zoals een desktop, tablet of smartphone. Dit werkstation kan via een computernetwerk in verbinding staan met een centrale informatievoorziening c.q. serveromgeving van de organisatie. In dat geval is er sprake van een client-serverrelatie tussen werkstation en serveromgeving. Het werkstation kan ook gebruikt worden zonder in verbinding te staan met de serveromgeving. Dit wordt stand-alone genoemd. De organisatie heeft een bepalende invloed op het beheer van de serveromgeving, maar niet per se op het beheer van het werkstation en het netwerk. Aan client-server computing zijn drie typen computerarchitecturen verbonden, te weten: Server Based Computin’ (SBC), File Sharing en Client/Server [SEI97]. Op basis van de plek waar gegevensverwerking en -opslag plaatsvindt, zijn deze computerarchitecturen samen met stand-alone ingedeeld in een matrix (zie figuur 1). Hierna volgt een beschrijving van de risico’s en maatregelen rond gegevensopslag en -verwerking op respectievelijk (1) de serveromgeving, (2) het werkstation en (3) gegevensuitwisseling bij toepassing van de client-servercomputerarchitectuur. Bedrijfsinformatie kan niet alleen via computernetwerken, maar ook via mobiele gegevensdragers worden uitgewisseld. Risico’s en maatregelen hierbij zijn niet verder uitgewerkt. Meer informatie is te vinden in ondermeer [GORG05] en [MEAR06]. Gegevensverwerking en -opslag op de serveromgeving Bij alle computerarchitecturen, behalve stand-alone, is er sprake van centrale gegevensverwerking en/of -opslag. Hiertoe wordt de serveromgeving van de organisatie beschikbaar gesteld via externe computernetwerken waarop ook de telewerkers aangesloten zijn.

de IT-Auditor nummer 2 | 2011

,7$XGLWRUBBLQGG

9 30

Serveromgeving

Gegevensopslag Serveromgeving Werkstation

SBC

Client/ Server Werkstation

Gegevensverwerking

Serveromgeving

File Sharing

Stand Alone

Figuur 1: Computerarchitecturen Meestal wordt hiervoor het internet gebruikt. R Het extern beschikbaar stellen van de serveromgeving via een computernetwerk brengt met zich mee dat deze vanaf alle computers die met dit netwerk verbonden zijn, benaderd kan worden. Hierdoor wordt de betrouwbaarheid van gegevens op de serveromgeving bedreigd door ongeautoriseerde toegang en Denial of Service (DoS) aanvallen. Naarmate het computernetwerk meer publiek is, neemt de kwetsbaarheid voor ongeautoriseerde toegang en DoS toe. De impact van deze bedreigingen is groot in relatie tot die rond werkstation en datacommunicatie, omdat gegevens zich vaak in bulk op de serveromgeving bevinden en onbeschikbaarheid daarvan veel telewerkers treft. Ongeautoriseerde toegang tot de serveromgeving kan bijvoorbeeld worden veroorzaakt door hacking of via slecht beveiligde werkstations van telewerkers.4 Ook kan het zijn dat telewerkers onzorgvuldig omgaan met hun identificatie- en authenticatiemiddelen of derden bewust of onbewust van hun werkstation gebruik laten maken.

10

M Toegang tot de serveromgeving moet plaatsvinden na identificatie en authenticatie van de telewerker en/of zijn werkstation. Authenticatie op basis van kennis alleen is meestal niet acceptabel, omdat verlies van gebruikersnaam en wachtwoord dan direct tot ongeautoriseerde toegang kan leiden. Als onderdeel van authenticatie van het werkstation kan het beveiligingsniveau5 worden gecontroleerd. Het aantal toegestane foutieve aanmeldpogingen moet gemaximeerd zijn. Door middel van zonering en hardening kan de serveromgeving worden afgeschermd van het externe netwerk. Ook kan telewerken om extra aandacht voor monitoring van toegang tot de serveromgeving vragen. Het is mogelijk om de autorisaties van een medewerker te beperken wanneer hij telewerkt. De hoeveelheid autorisaties van een telewerker kan gerelateerd worden aan het beveiligingsniveau van zijn werkstation. Extra aandacht moet uitgaan naar het tijdig en volledig intrekken van autorisaties bij uitdiensttreding van telewerkers. Zij hoeven immers geen toegang tot het kantoor te hebben om gebruik te maken van de serveromgeving.

Het gebruik van netwerkinfrastructuren die minder publiek zijn dan het internet, zoals een leased line, kan het aantal potentiële aanvallers verminderen, maar is met name voor mobiele telewerkers te duur en onpraktisch. Gegevensverwerking en -opslag op het werkstation Gegevensverwerking of -opslag op het werkstation vindt plaats op een externe locatie. Hierdoor staan deze opslag en verwerking directer bloot aan risico’s die samenhangen met de werklocatie en eventuele kwetsbaarheden op het werkstation dan centrale opslag en verwerking. Gegevensopslag R De betrouwbaarheid van gegevens die zijn opgeslagen op het werkstation wordt bedreigd door ongeautoriseerde toegang tot of technische storingen op het werkstation. Ongeautoriseerde toegang tot het werkstation kan lokaal, in de fysieke nabijheid ervan, of op afstand, via een computernetwerk, plaatsvinden. Met name in het eerste geval spelen ook de risico’s rondom de werklocatie een rol. De kwetsbaarheid van het werkstation voor deze bedreigingen hangt af van de intrinsieke veiligheid van het werkstation en de invloed die de organisatie heeft op het beheer ervan. Intrinsiek onveilige werkstations hebben relatief weinig beveiligings6 opties en veel kwetsbaarheden in systeemsoftware. Dit geldt momenteel voor veel smartphones. De invloed van de organisatie op het werkstationbeheer is groot bij werkstations die zij zelf heeft uitgegeven, beperkt bij werkstations van telewerkers en nihil bij werkstations van derden. Naarmate gegevensopslag meer lokaal plaatsvindt, is de impact van de bovengenoemde bedreigingen groter. Deze is dus relatief groot bij stand-alone en file sharing en klein bij SBC en client/server. Dit laatste

de IT-Auditor nummer 2 | 2011

,7$XGLWRUBBLQGG

30

geldt echter niet wanneer identificatie- en authenticatiemiddelen voor toegang tot de serveromgeving, zoals gebruikersnamen wachtwoorden en certificaten, ook op het werkstation zijn opgeslagen. In dat geval kan ongeautoriseerde toegang tot het werkstation leiden tot ongeautoriseerde toegang tot de serveromgeving. Gegevensverwerking R De betrouwbaarheid van gegevens die worden verwerkt op het werkstation wordt primair bedreigd door het onjuist of onvolledig doorvoeren van wijzigingen in applicaties. Met ‘onjuist’ wordt in dit verband het ongeautoriseerd, onvoldoende getest of te laat doorvoeren van wijzigingen bedoeld. ‘Onvolledig’ betekent dat onbedoeld niet alle wijzigingen op het werkstation zijn uitgerold. De kwetsbaarheid voor onjuiste of onvolledige implementatie van wijzigingen neemt toe naarmate de organisatie minder invloed heeft op het beheer van het werkstation. Als gegevensverwerking meer lokaal plaatsvindt, is de impact hiervan op de effectiviteit van 7 application controls en eventuele logische toegangsbeveiliging in die applicaties groter. De impact is dus relatief groot bij stand-alone en file sharing en klein bij SBC. Bij client/ server varieert de impact naargelang de applicatie in meer of mindere mate op het werkstation is geïnstalleerd. M De logische en fysieke beveiliging van werkstations is het best gewaarborgd als de organisatie deze zelf verstrekt en beheert. De organisatie kan dan rechten van gebruikers beperken, waardoor het bijvoorbeeld mogelijk is om applicatiebestanden af te schermen of om onvertrouwde websites te blokkeren. Sofware kan beheerst worden uitgerold met behulp van software deployment tooling. Andere voorbeelden van logische maatregelen zijn versleuteling van

gegevens en het automatisch locken bij inactiviteit. Verder kan het werkstation worden voorzien van betrouwbare anti-malware software en een firewall, waar nodig aangevuld met andere security software zoals device lock software en URL-filters. Fysieke beveiliging van het werkstation varieert van een onopvallende tas met toebehoren (kabels, sloten, mobiel internet) tot bewegingssensoren met een alarmsysteem. Deze maatregelen zijn makkelijker te treffen voor grotere devices, zoals laptops en tablets, dan voor handheld devices, zoals smartphones. Het verstrekken en beheren van werkstations is duur. Als alternatief kan de organisatie kosteloos security software verstrekken en meer doen om het gedrag van telewerkers te verbeteren. Dat kan door telewerkers te wijzen op het belang van veilige werkstations en hen daar eventueel formeel verantwoordelijk voor te maken. Eventueel kan de organisatie het gebruik van ‘intrinsiek onveilige’ devices ontmoedigen of verbieden. Datacommunicatie tussen werkstation en serveromgeving Een telewerker bevindt zich op een externe locatie. Om gegevens uit te wisselen met de serveromgeving maakt hij gebruik van een computernetwerk dat zich deels buiten het bedrijfskantoor bevindt. Gegevensuitwisseling met de serveromgeving vindt plaats bij alle computerarchitecturen, behalve bij stand-alone. R De betrouwbaarheid van datacommunicatie tussen het werkstation van de telewerker en de serveromgeving wordt bedreigd door ongeautoriseerde inzage en mani8 pulatie en door de kwaliteit van het netwerk. Een specifieke bedreiging die samenhangt met ongeautoriseerde inzage en manipulatie is de man-in-the-middle attack. De kwetsbaarheid voor deze bedreigingen is afhankelijk van de intrinsieke veiligheid van het netwerk en de

invloed die de organisatie heeft op de beveiliging ervan. Een eigen netwerkinfrastructuur, zoals een leased line, is intrinsiek veiliger dan een publieke netwerkinfrastructuur, zoals het internet. Dankzij cryptografie kan de organisatie echter ook veel invloed uitoefenen op de betrouwbaarheid van gegevens die over een publieke infrastructuur verzonden worden. De impact is afhankelijk van de hoeveelheid en aard van de gegevens die via het netwerk worden verzonden. Onderschepping van schermweergaven is bijvoorbeeld minder risicovol dan van gebruikersnamen en wachtwoorden. M Door middel van cryptografie kan de datacommunicatie tussen het werkstation en de serveromgeving (end-to-end) worden versleuteld. Daarnaast kan hiermee sterke wederzijdse authenticatie worden toegepast. Eventueel kan de organisatie toegang tot de serveromgeving via verschillende infrastructuren (bijvoorbeeld internet en inbellen) ondersteunen om complete beschikbaarheid te bereiken. Ongebruikte verbindingen met de serveromgeving moeten na verloop van tijd automatisch worden beëindigd. Netwerkprotocollen kunnen de integriteit van gegevens bij het wegvallen van een verbinding waarborgen. AANPAK VOOR HET BEVEILIGEN VAN TELEWERKEN Het model van Krabbenbos & Tulp [TELE11] maakt meetbaar of functies c.q. afdelingen geschikt zijn voor telewerken. Het model bestaat uit twee fasen. In fase 1 wordt de ‘telewerkbaarheid’ van een functie gescoord op de drie aspecten die links in figuur 2 zijn weergegeven. Hiervoor worden standaard vragenlijsten gebruikt. Alleen als in fase 1 de telewerkbaarheid is aangetoond, wordt fase 2 uitgevoerd. In deze fase  worden de drie criteria rechts in  figuur 2 getoetst. Dit leidt tot een  gefundeerd besluit over de

de IT-Auditor nummer 2 | 2011

,7$XGLWRUBBLQGG

11 30

FASE 1

FASE 2

Functie-gerelateerde aspecten 1. zelfstandigheid 2. meetbaarheid van resultaten 3. lokatie-onafhankelijkheid

selective van medewerkers

Afdelingsaspecten 1. resultaatgerichtheid 2. collegialiteit 3. innovatief vermogen

indicatie telewerkbaarheid

kosten/batenanalyse

gefundeerd besluit

informatiebeveiliging

Leiderschapsaspecten 1. vertrouwen in de medewerker 2. resultaatgericht leidinggeven 3. veranderingsbereidheid

Figuur 2: Het model van Krabbenbos & Tulp ‘geschiktheid’ van een functie voor telewerken. Uitwerking van het criterium ‘informatiebeveiliging’ Eén van de criteria uit fase 2 is ‘informatiebeveiliging’. Het criterium houdt in dat een ‘voldoende niveau’ van beveiliging bij telewerken wordt gerealiseerd. In dit hoofdstuk wordt een aanpak beschreven waarmee dit voor de ‘telewerkbare’ functies binnen een organisatie kan worden vastgesteld. Het vertrekpunt van deze aanpak is het algemene beveiligingsbeleid waaraan ook de voorzieningen voor telewerken moeten voldoen. Het beleid is kaderstellend voor de risicoanalyse die voor alle functies die telewerkbaar zijn, afzonderlijk moet worden uitgevoerd. De risicoanalyse bestaat uit een afhankelijkheids- en kwetsbaarheidsanalyse. De uitkomst hiervan leidt tot een beveiligingsplan voor alle functies die geschikt zijn voor telewerken. Dit is gevisualiseerd in figuur 3. De blauw gekleurde onderdelen uit deze figuur zijn specifiek voor telewerken en worden hierna verder uitgewerkt. Afhankelijkheidsanalyse voor telewerken Een functie bestaat uit taken. Voor het uitvoeren van deze taken hebben telewerkers informatie nodig. In de afhankelijkheidsanalyse wordt eerst geïnventariseerd om welke informatie

12

het gaat. Vervolgens wordt het gewenste beveiligingsniveau (GBN) bepaald. De afhankelijkheidsanalyse van SPRINT [ISF97] is hiervoor een praktisch hulpmiddel. Het GBN komt tot uitdrukking in de betrouwbaarheidseisen die aangeven welke mate van beschikbaarheid, integriteit en vertrouwelijkheid voor deze informatie gewenst is. Organisaties die al een classificatieschema voor informatie hebben, kunnen dit schema gebruiken en hoeven het beveiligingsniveau niet opnieuw te bepalen.

Kwetsbaarheidsanalyse voor telewerken De risico’s van telewerken hangen samen met werklocaties en ICT. In de kwetsbaarheidsanalyse wordt daarom eerst bepaald vanaf welke locaties de functie uitgevoerd wordt en welke ICT daarvoor nodig is. Vervolgens wordt vastgesteld hoe kwetsbaar deze locaties en ICT zijn voor de bedreigingen die hierop inwerken. Hiervoor kan gebruik gemaakt worden van de generieke kwetsbaarheidsanalyse van SPRINT [ISF97] in combinatie met de specifieke

informatiebeveiligingsbeleid

afhankelijkheidsanalyse voor telewerken

betrouwbaarheidseisen

kwetsbaarheidsanalyse voor telewerken

maatregelen

informatiebeveiligingsplan voor telewerken risicoanalyse per ‘telewerkbare’ functie of afdeling

Figuur 3: Aanpak voor het beveiligen van telewerken

de IT-Auditor nummer 2 | 2011

,7$XGLWRUBBLQGG

30

KN L

H

H

M

L

M

L

GBN

GMN

H

Tabel 1: Relatie tussen GBN, KN en GMN beschrijving van bedreigingen en kwetsbaarheden uit vorige paragrafen. Uit deze analyse volgt een algeheel kwetsbaarheidsniveau (KN) per betrouwbaarheidsaspect. De omvang en aard van de te treffen beveiligingsmaatregelen, ofwel het gewenste maatregelenniveau (GMN), volgt uit het GBN enerzijds en het KN anderzijds. Tabel 1 geeft per combinatie van GBN en KN weer wat het GMN is. De tabel is een vereenvoudigde weergave. Voor GBN en KN wordt uitgegaan van twee niveaus (Hoog en Laag) en voor GMN van drie niveaus (Hoog, Midden, Laag). Bij een GMN dat varieert van nihil tot laag hoeft de organisatie geen aanvullende maatregelen te treffen. Als het GMN laag tot midden is dan kunnen maatregelen ter bevordering van het beveiligingsgedrag van de telewerker volstaan. Hulpmiddelen hierbij zijn telewerkover9 eenkomsten , waarin ondermeer verantwoordelijkheden voor beveiliging worden belegd, beveiligingsrichtlijnen per onderwerp10 en security awareness campagnes. Bij een hoger GMN moet de organisatie zorgen dat zij zelf meer invloed krijgt op de beveiliging en het beheer van de locatie en/of de ICT. Voor ICT kan de organisatie dit doen door gegevensopslag en -verwerking meer te centraliseren of zelf werkstations te verstrekken en beheren. Als het GMN zo hoog is dat het niet realiseerbaar is, dan is de functie niet geschikt voor telewerken. Hetzelfde geldt voor de situatie waarin de te treffen beveili-

gingsmaatregelen zo duur zijn, dat telewerken bedrijfseconomisch niet meer interessant is. Dit hangt samen met het criterium ‘kostenbatenanalyse’. Beveiligingsplan voor telewerken Het opstellen van een specifiek beveiligingsplan voor telewerken helpt voorkomen dat bepaalde telewerkmiddelen en -locaties buiten de reikwijdte van het proces informatiebeveiliging vallen. Organisaties hebben in de praktijk met name weinig grip op het gebruik van smartphones en tablets, terwijl de toepassingen hierop steeds vaker ingezet worden voor zakelijk gebruik. Het beveiligingsplan voor telewerken beschrijft per functie die geschikt is voor telewerken, welke beveiligingsmaatregelen moeten worden getroffen. Om redenen van effectiviteit en efficiency worden de maatregelen die volgen uit de kwetsbaarheidsanalyse niet een-op-een overgenomen, maar eerst zoveel mogelijk gebundeld in standaardoplossingen. Voorbeelden hiervan zijn het aanbieden van veelgebruikte applicaties via SBC en het verstrekken van standaard werkstations met toebehoren. Deze standaardoplossingen worden vervolgens

gekoppeld aan de functies. Voor functies waarbij de standaardoplossing het GMN onvoldoende afdekt, worden aanvullende maatregelen toegevoegd die zijn geïdentificeerd in de kwetsbaarheidsanalyse. De risicoanalyses en het beveiligingsplan dienen periodiek te worden geëvalueerd en afgestemd op nieuwe telewerkfuncties, -locaties en -middelen. CONCLUSIE Telewerken brengt, in vergelijking tot werken op kantoor, extra beveiligingsrisico’s met zich mee. Deze worden vooral veroorzaakt doordat telewerken plaats kan vinden vanaf locaties en met ICT die intrinsiek onveilig zijn of niet door de organisatie beheerd worden. In dit artikel zijn de bedreigingen en kwetsbaarheden rond de ‘locatie’ en ‘ICT’ gestructureerd uiteengezet. Ook zijn maatregelen beschreven die de organisatie kan treffen om beveiligingsrisico’s bij telewerken te reduceren. In het model van Krabbenbos & Tulp is ‘een voldoende niveau van beveiliging’ één van de criteria waaraan moet zijn voldaan voordat een afdeling

C.H. (Lars) Hoogendijk MSc CISA is sinds 2007 werkzaam als IT-auditor bij BDO Consultants, afdeling Information Technology en heeft onderzoek gedaan naar informatiebeveiliging bij telewerken binnen de rijksoverheid [HOOG07]. Het artikel is geschreven op persoonlijke titel.

J. (Jeroen) van Schajik RE CISA is sinds 2003 werkzaam als IT-auditor bij BDO Consultants, afdeling Information Technology en lid van de commissie Young Professionals van de NOREA. Het artikel is geschreven op persoonlijke titel.

de IT-Auditor nummer 2 | 2011

,7$XGLWRUBBLQGG

13 30

of functie geschikt is voor telewerken. Dit criterium is in dit artikel verder uitgewerkt. Door middel van risicoanalyse wordt per ‘telewerkbare’ afdeling of functie bepaald welke beveiligingsmaatregelen de organisatie kan treffen om een adequaat niveau van beveiliging bij telewerken te realiseren. Als informatie die telewerkers gebruiken bedrijfskritisch of gevoelig is, moet de organisatie gegevensverwerking en -opslag meer centraliseren of werkstations in eigen beheer uitgeven. Als de restrisico’s van telewerken te groot of de maatregelen te duur zijn, is de uitkomst van het model dat de functie of afdeling niet geschikt is voor telewerken. ■ Noten 1. Betrouwbaarheid bestaat uit de aspecten integriteit, beschikbaarheid en vertrouwelijkheid. 2. Met name beschikbaarheid stroomvoorziening en veilig en snel computernetwerk. 3. Ook als er vooraf afspraken gemaakt zijn is de telewerker juridisch niet verplicht om mee te werken aan een inspectie. 4. Denk aan uitlekken wachtwoorden via Trojaanse paarden of door lokale opslag en op afstand overnemen werkstations. 5.Bijvoorbeeld onvertrouwde processen, updates en patches etc. 6. Firewall, anti-virus logische toegangsbeveiliging, encryptie etc.

14

7. Autorisaties, invoercontroles, verbandcontroles, uitvoercontroles et cetera. 8. Met name ten aanzien van capaciteit en beschikbaarheid. 9. Dit is een aanvulling op een arbeidsovereenkomst en bevat meestal afspraken over het aantal telewerkuren, bereikbaarheid, communicatie met de afdeling etc. 10. Preventie van laptopdiefstal, virusbescherming, veilig gebruik van internet, privégebruik van bedrijfscomputers, zakelijk gebruik van smartphones etc. Literatuurlijst [CBS09] Webmagazine: Aandeel bedrijven met telewerkers in vier jaar verdubbeld. Centraal Bureau voor de Statistiek, 2009. [DIGI08] DigiProfs: Driekwart thuiswerkplekken onveilig. Amsterdam, Digiprofs, 2008. [DTI08] Department of Trade and Industry: information security breaches survey 2008. Department of Trade and Industry (UK), 2008. [DTI10] Department of Trade and Industry: information security breaches survey 2010. Department of Trade and Industry (UK), 2010. [EURO10] Euroform: Telework in the European Union. Dublin, European Foundation for the Improvement of Living and Working Conditions, 2010. [GORG05] Gorge, M.: ‘USB & other portable storage device usage / Be aware of the risks to your corporate data in order to take pre-emptive and/or corrective action’, in: Computer Fraud & Security, augustus 2005, pp. 15-17. [HADD05] Haddon, L. and M. Brynin: ‘The character of telework and the characteristics of teleworkers’, in:

New Technology, Work and Employment, Jaargang 20, Nummer 1 (2005), pp. 34-46. [HARP02] Harpaz, I.: ‘Advantages and disadvantages of telecommuting for the individual, the organization and society’, in: Work Study, Volume 51, Nummer 2 (2002), pp. 74-80. [HOOG07] Hoogendijk, L., Berg Van Den, J. en Groen, P.: ‘Beveiliging van telewerken: het identificeren van risico’s en maatregelen’, in: Informatiebeveiliging, september (2007) pp. 13-20. [IDC11] IDC Press Release: Mobile Phone Market Grow s 17.9% in Fourth Quarter, According to IDC. IDC, 2011. [ISF97] Information Security Forum: SPRINT User Guide. Information Security Forum, 1997. [KURL99] Kurland, N.B. en Bailey, D.E.: ‘The Advantages and Challenges of Working, Here, There, Anywhere, and Anytime’, in: Organizational Dynamics, autumn (1999), pp. 53-67. [MEAR06] Mearian, L.: ‘Portable Storage Devices Pose IT Security Risk’, in: Computerworld, Volume 40, Nummer 13, pp. 1 en 57. [SEI97] SEI: Client/Server Software Architectures--An Overview. Software Engineering Institute, 2008. [SULL03] Sullivan, C.: ‘What’s in a name? Definitions and conceptualisations of teleworking and homeworking’, in: New Technology, Work and Employment, Jaargang 18, Nummer 3 (2003), pp. 158-165. [TELE11] Telewerkforum: Welke functies/ beroepen zijn telewerkbaar? Online beschikbaar via http://www. telewerkforum.nl. Geraadpleegd op 19 januari 2011.

de IT-Auditor nummer 2 | 2011

,7$XGLWRUBBLQGG

30

S