BYOD, met de B van bewustwording De gevolgen van een BYOD implementatie in een universitaire omgeving
Scriptie Scriptienummer: 1086 Auteur Wouter Weusthof – 2166801 PwC Begeleiders Dr. René Matthijsse, Vrije Universiteit Amsterdam Jeroen Krook, PwC Opleiding Vrije Universiteit Amsterdam Postgraduate IT Audit opleiding
Inhoudsopgave Voorwoord .............................................................................................................................................. 3 1.
2.
3.
4.
Inleiding........................................................................................................................................... 4 1.1
Aanleiding en doelstelling ...................................................................................................... 4
1.2
Onderzoeksvraag .................................................................................................................... 4
1.3
Onderzoeksaanpak ................................................................................................................. 8
Literatuuronderzoek..................................................................................................................... 10 2.1.
Opkomst van BYOD............................................................................................................... 10
2.2.
CIA-factoren .......................................................................................................................... 16
2.3.
Consequenties voor de infrastructuur ................................................................................. 20
Praktijkonderzoek......................................................................................................................... 31 3.1.
BYOD op de Erasmus universiteit......................................................................................... 31
3.2.
Bevindingen en analyse........................................................................................................ 32
3.3.
Samenvatting praktijkonderzoek ......................................................................................... 45
Beantwoording centrale vraagstelling ......................................................................................... 47
Afsluiting ............................................................................................................................................... 49 Literatuurlijst ........................................................................................................................................ 50
2
Voorwoord Voor u ligt de scriptie als afsluiting van de Postgraduate IT Audit opleiding aan de Vrije Universiteit van Amsterdam. In de scriptie wordt een probleem of vraagstuk uit de dagelijkse praktijk op academisch verantwoorde wijze uitgewerkt. In mijn zoektocht naar een actueel en relevant onderwerp stuitte ik in mijn dagelijkse werkzaamheden op de uitdagingen rondom Bring Your Own Device. Mijn interesse hierin heeft ertoe geleid dat ik onderzoek heb gedaan naar de implementatie van Bring Your Own Device binnen een universitaire omgeving en de gevolgen daarvan voor de IT beheerorganisatie. Namens de Vrije Universiteit Amsterdam is de heer dr. René Matthijsse mijn scriptiebegeleider. Ik wil hem bedanken voor het constant bewaken van het proces, zijn vakkundig inzicht, zijn kritische en constructieve feedback en zijn onophoudelijke enthousiasme. Daarnaast wil ik alle (gast)docenten bedanken voor de leerzame colleges van de afgelopen jaren. Verder wil ik mijn bedrijfsbegeleider Jeroen Krook bedanken. Hij heeft mij in de opstartfase geholpen met het aandragen van mogelijke onderwerpen en gedurende het afgelopen jaar was hij op gezette momenten daar om me te wijzen op het belang van tijdige afronding van de scriptie. Tenslotte wil ik mijn vriendin en mijn ouders bedanken. Zij hebben mij altijd aangemoedigd, gesteund en begrip getoond als studie – ook in mijn vrije tijd - mijn prioriteit kreeg. Wouter Weusthof Oldenzaal, september 2013
1. Inleiding 1.1 Aanleiding en doelstelling De opkomst van de mobiele devices heeft de afgelopen jaren gestalte gekregen binnen universiteiten. De steeds verder innoverende technologieën en vernieuwende devices (tablets, smartphones) hebben ertoe geleid dat steeds meer studenten en medewerkers devices die ze privé gebruiken ook willen gebruiken op de onderwijsinstelling. Hiermee vervaagt de scheidslijn tussen enerzijds studie en werk en anderzijds privé. Het toestaan van eigen mobiele devices van medewerkers (en in dit geval studenten) voor zakelijk gebruik (in dit geval op universiteiten) noemen we Bring Your Own Device (hierna: BYOD). BYOD kan verschillende voordelen met zich meebrengen, zoals een verhoogde flexibiliteit en een toenemende medewerker- en studententevredenheid. Daarentegen brengt BYOD ook beheersrisico’s met zich mee die de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens kunnen bedreigen. Deze scriptie biedt een overzicht van de belangrijkste risico’s op universiteiten en brengt mogelijke maatregelen met betrekking tot IT beheer in kaart. 1.2 Onderzoeksvraag Met dit onderzoek wil ik antwoord geven op de volgende centrale vraag (zie ook figuur 1): Wat zijn de gevolgen voor IT beheer als gevolg van de invoering van BYOD in een universitaire omgeving, in relatie tot de CIA-factoren?
Figuur 1. Visuele weergave onderzoeksvraag
Om antwoord te kunnen geven op de centrale onderzoeksvraag zijn de volgende deelvragen gedefinieerd: • Wat betekent BYOD voor een (universitaire) organisatie en welke risicogebieden kunnen ontstaan? • Welke risico’s zijn te onderkennen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens als gevolg van ‘Bring your own device’ in een universiteit? • Welke maatregelen kunnen IT beheerorganisaties inrichten om de risico’s omtrent ‘Bring your own device’ te mitigeren?
4
1.2.1 Bring Your Own Device Het BYOD is op te delen in twee elementen. Allereerst ‘Bring Your Own’ dat aangeeft dat studenten en medewerkers iets vanuit de privésfeer meenemen naar de universiteit. In de praktijk zijn er drie BYOD-uitvoeringen te onderscheiden, het ‘open device’, het device als ‘mobile display’ en het device met een ‘beveiligde app’. Hieronder wordt kort ingegaan op de drie te onderscheiden toepassingen: (AIVD, 2012) • Het ‘open device’ is een device zoals de consument die in de winkel koopt. Daarop zijn applicaties meegeleverd, zoals e-mail en agenda apps. Na configuratie komt verbinding tot stand met de back-office systemen van de organisatie, waardoor gegevens in kunnen worden gezien (on-line gebruik) of worden gesynchroniseerd (off-line gebruik). Dit scenario omvat de grootste variëteit, aangezien alle merken en typen devices zijn toegestaan. Dit maakt de beheersing mogelijk lastig. • Bij de ‘beveiligde app’ worden gegevens op het device zelf verwerkt en/of opgeslagen, maar niet door middel van de op het device standaard meegeleverde applicaties. Er wordt een eigen app ontwikkeld en beschikbaar gesteld, waarmee de specifieke beveiligingseisen worden ingevuld. Deze applicatie creëert een beveiligde omgeving, afgescheiden van de andere gegevens en applicaties op het device. Er is bijvoorbeeld versleutelde opslag van de gegevens en authenticatie van de gebruiker. • Het ‘mobile display’ is een applicatie waarmee een virtuele werkplek op het device wordt weergegeven. In dit scenario worden geen gegevens op het device zelf verwerkt of opgeslagen, maar wordt een toepassing gebruikt binnen de backoffice van de organisatie waarvan de schermuitvoer op het device wordt getoond. Dit kan bijvoorbeeld een digitale werkplek zijn die via een remote display applicatie kan worden gebruikt. Voor vrijwel alle gangbare platformen is een mobile remote display applicatie beschikbaar. In dit onderzoek richt ik me op de toepassing ‘mobile display’. Nederlandse universiteiten lijken een voorkeur te hebben voor deze variant. Met de invoering van Het Nieuwe Werken creëren onderwijsinstellingen virtuele werkplekken voor hun medewerkers, zodat medewerkers en studenten in de flexibele werk- en studeerruimtes hun persoonlijke werkplek kunnen benaderen. Door een mobile remote display applicatie te installeren op een persoonlijk device kan op eenzelfde manier toegang verkregen worden tot het bedrijfsnetwerk. Het tweede element van BYOD is ‘Device’, waarvan de letterlijke vertaling luidt: apparaat. In deze scriptie richten we ons op de meest voorkomende mobiele apparaten, namelijk de smartphones en tablets. Deze devices zijn de laatste jaren in opkomst en de verwachting is dat ze de komende decennia steeds meer invloed krijgen, zowel binnen de universiteit als in de privésituatie. Door het intensieve gebruik van deze apparaten is het risico met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfskritische gegevens aanzienlijk. 1.2.2 IT beheer Binnen steeds meer bedrijven is IT uitgegroeid tot een belangrijk organisatieonderdeel. Kritische bedrijfsgegevens vloeien in toenemende mate door de IT systemen en daarmee neemt het belang van een gedegen IT beheer toe. De vice president van Gartner – vooraanstaand onderzoeks- en adviesbureau in de informatietechnologie-sector – heeft enkele jaren geleden beweerd dat bedrijven met een superieur IT beheer tenminste 20% 5
meer winst maken dan bedrijven met een slecht IT beheer, gegeven eenzelfde strategische doelstelling. (Louis Boyle, 2006) Binnen de vaktechniek zijn er verschillende definities van IT beheer. Zo schreef het IT Governance Institute (2001): “IT beheer is de verantwoordelijkheid van de raad van bestuur en het management. Het is een wezenlijk onderdeel van het beheer van de organisatie en bestaat uit leiderschap en organisatorische structuren en processen die ervoor zorgen dat de IT omgeving van de organisatie de organisatiestrategie en doelstellingen ondersteund”. Van Grembergen (2002) is het eens met het belang en de verantwoordelijkheid van IT beheer en benadrukt de samenwerking tussen de organisatie en IT: “IT beheer is de organisatorische capaciteit uitgeoefend door de raad van bestuur, het management en het IT management om de betekenis en implementatie van de IT strategie te beheersen en zo zorgt te dragen voor een goede samenwerking tussen de organisatie en IT.” Aangezien prof. dr. Wim van Grembergen een gerenommeerde professor is – werkzaam op de universiteit van Antwerpen - binnen het IT audit vakgebied en verbonden is aan postgraduate IT Audit opleiding heb ik ervoor gekozen binnen deze scriptie de meest recente definitie van prof. dr. Wim van Grembergen betreffende IT beheer te hanteren. Van Grembergen defineerde samen met de Haes (2009) IT beheer als volgt: “IT beheer is een wezenlijk onderdeel van het beheer van de organisatie. De raad van bestuur ziet toe op de betekenis en implementatie van processen, structuren en relaties daartussen. Dit maakt het mogelijk voor zowel de organisatie als IT om uit te voeren waarvoor zij verantwoordelijk zijn en leidt tot een goede samenwerking tussen de organisatie en IT en kan bij een eventuele investering in de IT omgeving de waarde van deze investering voor de organisatie worden bepaald.” 1.2.3 Universitaire omgeving De invoering van BYOD heeft gevolgen voor het IT beheer van universiteiten. Ons land telt 13 universiteiten (zie figuur 2). Deze zijn: 1. Vrije Universiteit (Amsterdam) 2. Universiteit van Amsterdam 3. Universiteit Leiden 4. TU Delft 5. Erasmus Universiteit (Rotterdam) 6. Universiteit van Utrecht 7. Universiteit Tilburg 8. Wageningen University 9. Rijksuniversiteit Groningen 10. Universiteit Twente (Enschede) 11. Radboud Universiteit (Nijmegen) 12. TU Eindhoven 13. Universiteit Maastricht Onderzoek naar deze universiteiten leert ons dat ze allemaal informatie op hun websites hebben staan over de toegang die medewerkers en studenten kunnen krijgen tot Figuur 2. Universiteiten in Nederland het draadloze netwerk met hun privéapparaten. Alle bovenstaande universiteiten bieden draadloos internet aan middels ‘eduroam’. Eduroam betekent: ‘Education Roaming’ en is een beveiligd internationaal draadloos netwerk voor onderwijsinstellingen. Door middel van het Eduroam netwerk kunnen studenten die studeren aan bijvoorbeeld de Hogeschool van Amsterdam en een vak volgen aan de Universiteit van Amsterdam op beide instellingen gebruik maken van het draadloze 6
netwerk. Het netwerk maakt meestal gebruik van de 2.4 GHz band, welke over het algemeen het meest wordt gebruikt voor draadloos internet. Daarnaast zenden veel andere draadloze apparaten signalen uit over deze frequentie (bijvoorbeeld inbraakalarmen en magnetrons). De verbinding met een 2.4 GHz netwerk kan instabiel zijn en zelfs wegvallen als het op locatie erg druk is of als er veel stoorzenders zijn. Eduroam is in 2003 geïnitieerd door TERENA (Trans-European Research and Education Networking Association). In eerste instantie is er getest bij vijf onderwijsinstellingen, gevestigd in Nederland, Finland, Portugal, Kroatië en het Verenigd Koninkrijk. Later zijn daar andere Europese universiteiten en Figuur 3. Eduroam ‘hotspots’ in Nederland hogescholen bij aangesloten. Portugal was eind 2003 het eerste land waarin vrijwel alle onderwijsinstellingen waren aangesloten bij Eduroam en Australië bleek in 2004 het eerste niet-Europese land dat een draadloos netwerk aanbood middels Eduroam. Tegenwoordig maken tientallen onderwijsinstellingen in Nederland gebruik van Eduroam (zie figuur 3) (wikipedia.org) Behalve het Eduroam netwerk hebben universiteiten vaak een eigen beveiligd draadloos netwerk. De Universiteit van Amsterdam heeft bijvoorbeeld naast het Eduroam netwerk het UvAdraadloos. Dit draadloze netwerk maakt vaak gebruik van de 5 GHz band. Deze 5 GHz band heeft meer kanalen dan de 2.4 GHz band en zijn veel minder apparaten die deze band gebruiken. Daardoor zijn er minder stoorzenders en is dit netwerk stabieler en sneller. Voor dit netwerk is wel een meer geavanceerde netwerkkaart noodzakelijk (ic.uva.nl) Naast bovenstaande beveiligde, draadloze netwerken beschikken universiteiten vaak over draadloze, onbeveiligde gastnetwerken. Dit netwerk is voor gasten (geen medewerkers of studenten) die tijdelijk gebruik willen maken van het netwerk. Daarmee bieden universiteiten dus draadloze netwerken aan voor medewerkers, studenten en ook voor gasten. De IT beheersmaatregelen die universiteiten hebben genomen met betrekking tot draadloze netwerken en Bring Your Own Device zijn over het algemeen beperkt beschreven. Vijf van de dertien universiteiten hebben een informatiebeveiligingsbeleid op hun website staan, maar daarin staat over het algemeen weinig vermeld over IT beheersmaatregelen. 1.2.4 CIA-factoren Binnen het onderzoek staan de CIA-factoren vertrouwelijkheid, integriteit en beschikbaarheid centraal. De definities van vertrouwelijkheid, integriteit en beschikbaarheid worden in de literatuur verschillend omschreven en behandeld in paragraaf 2.3. Aangezien Noordbeek een expertiseorganisatie is binnen het IT audit vakgebied en de directeur (Prof. Dr. Ir. Paans) een autoriteit is op dit terrein heb ik ervoor gekozen binnen deze scriptie de onderstaande definities betreffende vertrouwelijkheid, integriteit en beschikbaarheid te hanteren. 7
•
•
•
Vertrouwelijkheid is het voorkomen van ongeautoriseerde onthulling of interpreteerbare onderschepping van gevoelige informatie. Integriteit is het waarborgen van de accuratesse en volledigheid van informatie en programmatuur Beschikbaarheid is zekerstellen dat informatie en diensten beschikbaar zijn voor bedrijfsprocessen conform de vastgelegde afspraken voor beschikbaarheid
1.3 Onderzoeksaanpak 1.3.1 Literatuuronderzoek Het theoretisch onderzoek zal worden uitgevoerd op basis van bestaande kennis (boeken, artikelen, scripties et cetera). Allereerst wordt de opkomst van BYOD beschreven, waarbij er aandacht is voor de oorsprong, de brede trend en het wel of niet meegaan met deze trend. Daarna wordt de definitie en betekenis van de CIA-factoren onderzocht en wordt dieper ingegaan op aspecten die daarmee samenhangen, zoals bedreigingen en risico’s. In de derde paragraaf worden de specifieke risico’s van BYOD voor de infrastructuur in kaart gebracht en worden de gevolgen daarvan voor het IT beheer van een organisatie geduid. 1.3.2 Praktijkonderzoek Het praktijkonderzoek zal bestaan uit een case study, waarin de aandacht wordt verlegd naar de situatie op de Erasmus universiteit in Rotterdam. Tijdens mijn zoektocht naar een geschikte universiteit om het praktijkonderzoek uit te voeren, bleek dat andere universiteiten de implementatie al wel op de planning hadden staan, maar nog onvoldoende beeld hadden bij het BYOD-beleid, beheersmaatregelen en gevolgen voor de IT beheerorganisatie. Daarom heb ik de Erasmus universiteit gekozen als geschikte onderwijsinstelling voor mijn praktijkonderzoek. Met de kennis van het literatuuronderzoek als uitgangspunt is in kaart gebracht welke risico’s deze universiteit wel of niet onderkent en op welke manier ze het IT beheer hebben ingericht om deze risico’s te mitigeren. Eventuele aanwezige beheersmaatregelen worden in opzet getoetst. Om de betrouwbaarheid van de gespreksinformatie te waarborgen, zullen gespreksverslagen worden opgesteld en afgestemd met de universiteit. Vervolgens zal de relatie tussen de literatuur en de praktijk worden gelegd door na te gaan in hoeverre de aanwezig risico’s met maatregelen gemitigeerd worden. De onderzoeksresultaten zijn gedocumenteerd in deze scriptie. In overleg met mijn begeleider is bepaald dat de resultaten van de interviews op de Erasmus Universiteit niet worden gedeeld om de reden van vertrouwelijkheid.
8
'BYOD verandert bedrijfsnetwerk in campusnetwerk' Door de komst van Bring Your Own Device (BYOD) zullen bedrijfsnetwerken in campusnetwerken veranderen, zoals op universiteiten aanwezig zijn. Dat voorspelt onderzoeksbureau Gartner. In 2014 denkt de marktvorser dat toestellen en apparaten die werknemers zelf bezitten twee keer zoveel kans hebben om met mallware besmet te zijn dan de apparaten van het bedrijf waar ze werken. Beleid "Bedrijfsnetwerken zullen meer als school- en universiteitsnetwerken worden, wat de oorspronkelijke BYOD-omgevingen waren", stelt Gartner. Beheerders hadden in deze omgevingen geen controle over de apparatuur van studenten. Daarom werd het netwerk beschermd door beleid te handhaven dat de netwerktoegang regelde. Gartner voorspelt dat bedrijven een soortgelijke aanpak zullen handhaven en toegang voor apparaten zullen blokkeren die niet aan het bedrijfsbeleid voldoen. "Bedrijven die BYOD toestaan, moeten duidelijk beleid opstellen dat beschrijft welke apparaten van werknemers worden toegestaan en welke niet." Highlight 1 (Security, 25-10-2012)
9
2. Literatuuronderzoek In dit hoofdstuk wordt antwoord gegeven op de volgende deelvragen: • Wat betekent BYOD voor een (universitaire) organisatie en welke risicogebieden kunnen ontstaan? • Welke risico’s zijn te onderkennen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens als gevolg van ‘Bring your own device’? • Welke maatregelen kunnen IT beheerorganisaties inrichten om de risico’s omtrent ‘Bring your own device’ te mitigeren? 2.1. Opkomst van BYOD 2.1.1. Oorsprong BYOD is in 2013 een hype geworden, maar het fenomeen is niet nieuw. De Ford Motor Company is al in mei 2007 begonnen met het ontwikkelen van een BYOD-beleid. Het landschap van apparaten en besturingssystemen was destijds anders. Een laptop draaide op Windows en Nokia was synoniem voor mobiele telefoon. Tegenwoordig is het landschap complexer geworden. Computers en laptops met Windows zijn op kantoor en thuis nog dominant aanwezig, maar de Apple computers rukken op. Nokia worstelt om het hoofd boven water te houden en probeert, in samenwerking met Microsoft, een inhaalslag te maken en de concurrentie aan te gaan met de iPhone en de smartphones met Android. De BlackBerry heeft tussen 2007 en 2012 een opmars doorgemaakt - eerst op de zakelijke markt en daarna op de consumentenmarkt - maar is inmiddels ver weggezakt. In 2010 lanceerde Apple de iPad. De eerste reacties waren niet enthousiast (‘een groot uitgevallen iPhone’), maar de consument dacht er anders over en de iPad werd de standaard voor het werken met tablets. Twee jaar later is het veilig te stellen dat de iPad een belangrijke motor is achter het nadenken over BYOD binnen bedrijven en organisaties. De iPad moest bij haar lancering concurreren met de netbooks, de kleine handige laptopjes met in eerste instantie Linux als besturingssysteem. De netbooks waren goedkoop, licht, hadden een lange batterijduur en een scherm van 10 inch. Microsoft zorgde ervoor dat Windows XP - en later Windows 7 - op de netbooks terecht kwamen en gezien het snel groeiende marktaandeel van zowel de netbooks als Linux was dat een goede zet. Vandaag de dag is de hype rondom de netbooks verdwenen en is er een nieuw aanbod van ultralichte, kleinere notebooks op komst. In 2011 bracht Google, in samenwerking met Saming en Acer, de zogenaamde Chromebooks op de markt: een netbook, zonder eigen harde schijf en volledig gekoppeld aan het online aanbod van Google applicaties. De toekomst ligt in de cloud, dus van lokaal opslaan is geen sprake op de Chromebooks. BYOD is dan wel geen nieuw fenomeen, het speelveld van apparaten, besturingssystemen, applicaties en online diensten is wel erg gevarieerd en aan snelle verandering onderhevig. De verwachting is dat deze veranderingen elkaar de komende jaren blijven opvolgen. Zowel de snelheid van de verandering als de groei van het aantal besturingssystemen, applicaties en online diensten maken dat een ICT-strategie van consolidatie, centralisatie en standaardisatie grotendeels heeft afgedaan. De standaard van nu kan binnen één a twee 10
jaar verouderd zijn, ruim binnen de normale afschrijvingstermijnen en ruim buiten de mogelijkheden van een (IT-)organisatie om snel op te waarderen en mee te veranderen. (Stedehouder, 2012) 2.1.2. Brede trend Accenture heeft in 2012 een onderzoek gedaan naar de effecten van de ontwikkelingen op de markt voor consumentenelektronica voor de zakelijke markt in beeld gebracht. De belangrijkste conclusies waren: • Consumenten worden steeds mobieler. Ze gaan zeer snel nieuwe mobiele technologieën gebruiken en downloaden apps om altijd en overal verbonden te zijn; • Consumenten gaan meer en meer clouddiensten gebruiken; • Naarmate er meer apps beschikbaar komen, worden consumenten meer afhankelijk van hun consumentenelektronica. Het onderzoek geeft ook inzicht in de verschuiving van de aanschaf van consumentenelektronica. Tussen 2010 en 2011 is de verkoop van smartphones meer dan verdubbeld en in dezelfde periode is de tablet aan een forse opmars begonnen. Consumenten zijn minder computers gaan kopen en ‘gewone’ mobiele telefoons zijn niet meer populair. Gebruikers van tablets zijn volgens de onderzoekers interessant voor de markt. De groep mensen die tablets aanschaffen is de belangrijkste koper van consumentenelektronica. Zij maken gebruik van verschillende apparaten, zoals smartphones, HD/3D televisie, netbooks en e-readers. Zij zullen vaker technologie inzetten bij hun activiteiten, meer apps downloaden en meer clouddiensten gebruiken dan diegenen die geen tablet bezitten. Bijna de helft van de consumenten die een tablet aanschaft, gebruikt deze ook zakelijk (zie figuur 4) (Accenture, 2012).
Figuur 4. Een nieuwe tablet wordt zowel zakelijk als privé gebruikt
In 2011 heeft Kadenza – een organisatie die zich heeft gespecialiseerd op het gebied van Business Intelligence en Datawarehousing – onderzoek gedaan naar het gebruik van smartphones en tablets onder Nederlandse managers. 21,3% van de respondenten gaf aan dat zij door hun smartphone meer buiten werktijd zijn gaan werken. 24,2% deed dit nadat zij een tablet gingen gebruiken. De smartphones en tablets worden voornamelijk gebruikt voor e-mail, het zoeken van informatie en het lezen van nieuws. Uit een ander onderzoek van Avenade (2012) blijkt dat 60% van de bedrijven bezig is met het aanpassen van de ICT-infrastructuur om het gebruik van persoonlijke apparaten mogelijk te maken. De bedrijven zien de meerwaarde van BYOD, maar maken zich zorgen 11
over de veiligheidsrisico’s die daaraan verbonden zijn. Opvallend genoeg wordt in het aanpakken van die risico’s weinig geïnvesteerd. Bovenstaande onderzoeken tonen aan dat BYOD geen tijdelijke hype is. BYOD komt voort uit het al veel langer lopende proces van ‘consumerization of IT’ en wordt daarnaast sterk beïnvloedt door een bredere verandering in de relatie werkgever-werknemer en het verschuiven van de balans tussen werk en privé. De koppeling met Het Nieuwe Werken is snel gelegd. Bij discussies over het wervingspotentieel voor nieuwe medewerkers (die vaak voorstander zijn van flexibiliteit en mobiliteit) wordt de generatie van jonge medewerkers geduid als ‘millennials’ of ‘generatie Einstein’. Deze generatie is op een natuurlijke wijze opgegroeid met de computer, maar ook deze generatie zal vervangen worden door de generatie die ‘generatie C’ wordt genoemd. ‘C’ staat voor ‘connected’ of ‘communiceert’. (Stedehouder, 2012) Een onderzoek van Time Inc. (2012) – de grootste Amerikaanse uitgever van tijdschriften – zijn twee groepen gebruikers van computertechnologie vergeleken. Zowel de ‘digital natives’ (geboren en getogen met computertechnologie) en de ‘digital immigrants’ (ergens een keer tegen een computer aangelopen en er mee blijven werken) zijn een dag gevolgd om te bepalen welke impact computertechnologie heeft op het dagelijkse leven van beide groepen. De bevindingen waren als volgt: • ‘Digital natives’(geboren en getogen met computertechnologie) wisselen 27 keer per uur van apparaat of informatiekanaal. Ze hebben daarnaast een heel korte aandachtsspanne en wisselen snel van medium of kanaal als ze er genoeg van hebben; • 65% van de ‘digital natives’ neemt de apparaten mee van kamer naar kamer (tegen 41% van de ‘digital immigrants’ (ergens een keer tegen een computer aangelopen en er mee blijven werken), zodat de smartphone altijd binnen handbereik is; • 54% van de ‘digital natives’ geeft de voorkeur aan het versturen van berichten boven face-to-face communicatie (tegen 28% van de ‘digital immigrants’); • ‘Digital immigrants’ denken lineair (een verhaal heeft een begin, een middenstuk en een eind), ‘digital natives’ verwachten dit ook, maar hebben minder moeite om een verhaal in een andere volgorde tot zich te nemen. Zij vinden het minder een probleem om een verhaal stukje voor stukje via verschillende media binnen te krijgen. De verschillen tussen de ‘digital natives’ en ‘digital immigrants’ zijn minder groot dan de benaming van de twee groepen doet vermoeden. De constatering dat 41% van de ‘digital immigrants’ de eigen smartphone overal mee naar toe neemt laat zien dat de oudere medewerkers ook behoefte hebben aan een BYOD-beleid. De consumentenelektronica heeft dus zijn intrede gedaan in alle lagen van de bevolking. De eenvoud waarmee complexe techniek wordt aangeboden is daar een van de oorzaken van. Gebruikers hebben geen aparte training nodig om met bijvoorbeeld iOS of Android om te gaan en ook het gebruik van de vele apps hebben gebruikers over het algemeen snel onder de knie. Consumentenelektronica richt zich op gebruikersgemak. Op zich is daar niets mis mee, maar in het onderwijs ligt de nadruk ook vooral op deze vaardigheden en wordt weinig aandacht geschonken aan de (on)mogelijkheden, voor- en nadelen en kansen en risico’s van de technologie. (Stedehouder, 2012) 12
Het NAE (National Academy of Engineering) en het NRC (National Research Council) (2002) hebben aan het begin van de twintigste eeuw een model ontwikkeld voor ‘technological literacy’ (digitale geletterdheid), met daarbij een profiel van wat iemand moet kunnen en weten om in technologisch opzicht geletterd te zijn. Hieruit blijkt dat het gemak waarmee technologie gebruikt kan worden, weinig zegt over het begrip dat iemand heeft van de technologie (zie figuur 5). Het gevaar van bovenstaande constatering is dat gebruikers (dus ook medewerkers) weliswaar heel vaardig kunnen zijn in het gebruik van technologie, maar zich desondanks beperkt bewust zijn van de risico’s die het gebruik van technologie met zich meebrengt. Mede in het licht daarvan heeft Baseline Magazine (2012) de 10 BYOD-geboden opgesteld, zoals deze door (IT) organisaties zouden moeten worden opgesteld om gebruikers ook te laten ontwikkelen op de andere twee gebieden, zoals ‘kennis’ en ‘denk- en handelwijze’: 1. U zult alle apparaten registreren bij de manager. 2. U zult geen apparaten in het bedrijfsnetwerk gebruiken die niet elektronisch bewaakt kunnen worden door de beheerders. 3. U zult uw wachtwoorden aan niemand geven, ook niet aan familieleden. 4. U zult zonder toestemming van IT geen wijzigingen aanbrengen aan de hardware of software van het bedrijf zodat het kan samenwerken met een persoonlijk apparaat. 5. U zult toestaan dat IT precies kan volgen wat u met de apparaten doet en dat die gegevens zonder verdere bekendmaking worden gebruikt. 6. U zult het bedrijfsnetwerk niet binnentreden anders dan via een SSL- en VPNverbinding. 7. U zult alle BYOD-apparaten fysiek beveiligen. 8. U zult uw wachtwoorden niet onversleuteld opslaan op mobiele apparaten. 9. U zult het bedrijf toestemming geven om de persoonlijke apparaten op afstand te wissen. 10. U zult verlies of diefstal altijd en direct melden, zodat het apparaat op afstand gewist of geblokkeerd kan worden. 2.1.3. Aan de slag De realiteit leert dat bij een groot deel van de organisaties om ons heen medewerkers al gebruik maken van eigen smartphones, tablets en laptops voor zakelijke doeleinden. Hoewel dit de realiteit is, moeten organisaties voor zichzelf nagaan of ze BYOD ook willen implementeren, of helemaal niet toestaan. Een onderzoek van Citrix (2011) – een Amerikaans softwarebedrijf gespecialiseerd in netwerken - beschrijft de stand van zaken in 2011 met een inschatting van de trend richting 13
2013. In 2011 blijken in 92% van de ondervraagde bedrijven medewerkers al met eigen apparaten te werken. Dit komt neer op 30% van de medewerkers, waarbij een groei wordt verwacht naar 37% in 2013. In India gebruikt in 2011 al 34% van de werknemers met privéapparaten voor zakelijk gebruik (zie figuur 6).
Figuur 6. Percentage medewerkers dat met BYOD werkt
Citrix verwacht verschuivingen voor wat betreft het type apparaat. Medewerkers zullen minder met eigen laptops gaan werken (afname van 38% naar 26%) en meer gebruik maken van eigen tablets (toename van 8% naar 23%). De ondersteuning van persoonlijke apparaten zal ook toenemen. In 2011 bood 54% van de bedrijven al ondersteuning, voornamelijk voor thuiswerkers. Eind 2013 ondersteunt 80 à 90% van de organisaties medewerkers bij het gebruik van persoonlijke apparaten. Wereldwijd bleek 44% van de ondervraagde bedrijven over een BYOD-beleid te beschikken en volgens Citrix ligt dit percentage eind 2013 op 90 tot 96%. Dit beleid wordt echter niet in alle gevallen opgesteld voor de gehele organisatie. Het beleid geldt in 26% van de gevallen voor specifieke functies (bijv. management functies), in 24% voor bepaalde afdelingen (bijv. afdeling IT) en in 18% van de gevallen als onderdeel van een pilot. De overige 22% heeft in 2013 een BYOD-beleid opgesteld voor de gehele organisatie. In 2011 lag dit percentage een stuk lager, maar richtte het BYOD-beleid zich ook vooral op bepaalde groepen medewerkers (zie figuur 7).
Figuur 7. Het BYOD-beleid richt zich op mobiele werkers
14
Als we kijken naar de redenen die ondervraagden aandragen om een BYOD-beleid te hanteren zien we de relatie met Het Nieuwe Werken terug, want 47% ziet BYOD als een mogelijkheid om het werken buiten kantoor te verbeteren. Hieronder staan tevens de overige redenen die vaak genoemd worden: • Makkelijker buiten kantoor werken - 47% • Kunnen beschikken over de juiste apparatuur - 44% • Het aantrekken en vasthouden van toptalent (ongeacht leeftijd) - 39% • Verminderen van de beheerskosten - 35% • Het aantrekken en vasthouden van jonge medewerkers - 34% • Het aantrekken en vasthouden van andere typen medewerkers (zoals thuiswerkers) 33% • Het verlagen van trainings- en inwerkkosten - 32% • Het mogelijk maken van self-service IT - 26% • Het verbeteren van business continuity - 26% • Makkelijk opvangen van de groei van het aantal apparaten - 25% Citrix heeft ook onderzoek gedaan naar de voordelen die organisaties in de praktijk ervaren. Medewerkers blijken vooral meer tevreden, productiever en mobieler. De voordelen van BYOD op een rij: • Toegenomen medewerkertevredenheid - 56% • Toegenomen productiviteit - 51% • Toegenomen mobiliteit - 51% • Een flexibele werkomgeving - 46% • Afname IT-kosten - 36% • Aannemen en vasthouden hoogwaardige kenniswerkers - 30% • Toegenomen kwaliteit van de apparaten - 29% • Betere zorg voor de apparaten bij IT - 29% • Sneller inwerken van nieuwe medewerkers en inhuurkrachten - 24% • Toegenomen business continuity - 22% Ondervraagden maken zich echter ook zorgen over veiligheidsrisico’s (52%), de ondersteuning (40%) en de kwaliteit van de privéapparaten (39%). VMware (2012) – een Amerikaans softwarebedrijf gespecialiseerd in virtualisatie - heeft ook onderzoek gedaan onder ruim 2000 medewerkers van multinationals in Azië. 78% van de ondervraagden bleek met eigen smartphones en tablets te werken. In Zuid-Korea was het percentage het hoogst (96%), maar ook in China (94%), Thailand (90%), Hong Kong (89%) en Singapore (88%) bleek BYOD voor de meeste medewerkers van de multinationals mogelijk. Japan scoorde met 22% uitzonderlijk laag. Hoewel het voor veel medewerkers dus mogelijk is privéapparaten in te zetten voor zakelijk gebruik laat de ondersteuning volgens hen te wensen over. 57% van de ondervraagden krijgt geen technische ondersteuning, 38% ondervindt efficiencyproblemen door een knellend IT-beleid en 22% geeft aan dat zij hun werk simpelweg niet goed kunnen doen door het IT-beleid. Het vermogen om personeel aan te trekken en vast te houden komt ook in het VMware-onderzoek naar voren. 58% van de ondervraagden wil liever werken voor bedrijven die meer open staan voor persoonlijke keuze van apparaten en applicaties.
15
Cisco (2012) – een Amerikaans softwarebedrijf gespecialiseerd in netwerkapparatuur (bijv. routers) - wijst erop dat de totale verkoop van smartphones en tablets in 2011 de totale verkoop van computers (desktops, laptops en notebooks) overtrof. Het aantal apparaten per medewerker gaat toenemen, want tot op heden is er niet één apparaat dat geschikt blijkt voor én communicatie en productiewerk en informatieconsumptie. Cisco stelt dat ‘werk’ niet meer iets is waar mensen naar toe gaan, maar dat het iets is wat mensen doen. Combineer deze stelling met de verschuivende grens tussen zakelijk en privé en Cisco ziet de druk om BYOD toe te staan toenemen. Medewerkers verwachten overal en altijd online te kunnen zijn. Cisco schat daarnaast in dat het dataverkeer tussen 2010 en 2016 ver-26voudigt. Deze groei komt niet in de laatste plaats door de toename in gebruik van video, online samenwerking en zware online multimedia-applicaties. Computerwoche (2012) – een Duitse IT website – ondervroeg 150 CIO’s en IT managers over BYOD. Deze waren niet enthousiast over het fenomeen. 80% is van mening dat zij door BYOD de controle over het bedrijfsnetwerk kwijtraken, 76% verwacht dat de druk op beheer en ondersteuning gaat toenemen, 74% omschrijft het als lastig om persoonlijke apparaten in het netwerk in te passen. Bovendien schat maar 30% van de CIO’s in dat de productiviteit van de medewerkers gaat toenemen. De CIO’s en IT manager zien de noodzaak van BYOD niet in, maar ervaren wel de toenemende druk vanuit de gebruikers. Die druk blijft beperkt van omvang, maar dat heeft meer te maken het feit dat de gebruikers van BYOD een eigen manier vinden om gebruik te maken van privéapparaten en daarmee de IT afdeling te passeren. Daarmee is er des te meer reden om een BYOD beleid te ontwikkelen met aandacht voor veilige omgang met bedrijfsgevoelige gegevens, centrale sturing op configuratie en heldere richtlijnen rondom toegang. 2.2. CIA-factoren 2.2.1. Informatiebeveiliging In hoofdstuk 1 zijn de definities bepaald van beschikbaarheid, integriteit en betrouwbaarheid. Deze drie factoren vormen de basis van informatiebeveiliging (zie figuur 8). Als een organisatie erin slaagt deze aspecten goed op orde te hebben, dan is de kwaliteit van informatiebeveiliging gewaarborgd. (Boom en Bos, 2012)
beschikbaarheid
Informatiebeveiliging
integriteit
vertrouwelijkheid
In de literatuur zijn verschillende definities Figuur 8. CIA-factoren te vinden ten aanzien van informatiebeveiliging. De Code voor Informatiebeveiliging definieert informatiebeveiliging als volgt (NEN, 2007): Informatie is een bedrijfsmiddel dat, net als andere belangrijke bedrijfsmiddelen, waarde heeft voor een organisatie en voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren en het rendement op investeringen en de kansen van de organisatie te optimaliseren. Informatie komt in veel vormen voor. Het kan afgedrukt of beschreven zijn op papier, elektronisch opgeslagen zijn, per post of via elektronische media worden verzonden, getoond worden in films of de gesproken vorm aannemen. Welke vorm informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd passend beveiligd te zijn
16
Het CPB (2013) - College Bescherming Persoonsgegevens - heeft onlangs het belang van informatiebeveiliging nog eens aangeduid en legt hierbij direct de link met de beveiliging van persoonsgegevens, een aspect dat ook voor universiteiten van groot belang is. De onafhankelijke instantie die erop toeziet dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd wijst erop dat informatiebeveiliging het geheel aan maatregelen omvat waarmee organisaties hun informatie beveiligen. Het gaat daarbij om alle informatie die de organisatie verwerkt, zowel digitaal als niet digitaal. Persoonsgegevens - zoals de studentengegevens en de personeelsadministratie voor een universiteit - maken hier deel van uit. Organisaties hebben niet alleen informatie nodig om hun bedrijfsprocessen uit te voeren, maar ook om hun interne bedrijfsvoering bij te sturen en strategische beslissingen te nemen. Een centraal begrip uit het vakgebied van informatiebeveiliging is betrouwbaarheid. Betrouwbaarheid is de mate waarin een organisatie voor de informatievoorziening kan rekenen op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is de verzamelterm voor de drie CIA-factoren: beschikbaarheid, integriteit en vertrouwelijkheid. De betrouwbaarheidseisen geven weer aan welke eisen het informatiesysteem moet voldoen met betrekking tot deze drie aspecten. 2.2.2. Beschikbaarheid, integriteit en vertrouwelijkheid Eerder in het onderzoek zijn de definities bepaald voor de CIA-factoren, waarbij is gekozen voor de definities van Noordbeek, omdat het een expertiseorganisatie binnen het IT audit vakgebied is en de directeur (Prof. Dr. Ir. Paans) een autoriteit is op dit terrein. Hieronder een overzicht van definities die binnen de literatuur beschreven zijn. De meningen over de juiste definitie van beschikbaarheid zijn verdeeld. De Perdue University (2004) beschreef beschikbaarheid als “de eis, dat een goed toegankelijk is voor geautoriseerde personen, entiteiten of apparaten”. Hierbij wordt de nadruk gelegd op ‘voor wie’ de informatie toegankelijk moet zijn. Anderen voegden hier een dimensie aan toe, namelijk ‘wanneer’ deze informatie toegankelijk behoorde te zijn. Zo definieerden Baars, Hintzbergen, Hintzbergen en Smulders (2008) beschikbaarheid als: “de mate waarin informatie beschikbaar is voor de gebruiker en het informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft” en gaven Boom en Bos (2012) de volgende betekenis aan beschikbaarheid: “met beschikbaarheid bedoelen we dat de informatie en de informatiebeveiliging beschikbaar moet zijn op het moment dat het nodig is.” De definitie van Noordbeek - “Het zekerstellen dat informatie en diensten beschikbaar zijn voor bedrijfsprocessen conform de vastgelegde afspraken voor beschikbaarheid” – gaat niet expliciet in op de vragen ‘voor wie’ en ‘wanneer’, maar gaat er vanuit dat de organisatie afspraken maakt over deze beschikbaarheidsvraagstukken. De literatuur leert ons dat de definitie van integriteit eenduidiger is dan die van beschikbaarheid. NOREA (2002) beschreef integriteit als: “de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid". Anderen voegden de vaktermen juistheid en volledigheid toe aan de definitie. Zo definieerden Baars, Hintzbergen, Hintzbergen en Smulders (2008) integriteit als: “de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn de juistheid en de volledigheid van de informatie” en stelden Boom en Bos 17
(2012): “Integriteit betekent dat de informatie volledig en juist is. De integriteit van de informatie moet ervoor zorgen dat de informatie waar we toegang toe hebben, de juiste informatie is en dat er niets ontbreekt”. Ook Noordbeek hanteert de termen juistheid – in dit geval accuratesse – en volledigheid: Integriteit is het waarborgen van de accuratesse en volledigheid van informatie en programmatuur. Over betekenis van vertrouwelijkheid - de derde CIAfactor - zijn de theoretici het ook in redelijke mate met elkaar eens. Baars, Hintzbergen, Hintzbergen en Smulders (2008) geven aan dat met vertrouwelijkheid “de privacy van de informatie wordt bedoeld. De vertrouwelijkheid van de informatie moet ervoor zorgen dat alleen de personen voor wie de informatie bedoeld is er toegang toe hebben.” Een vergelijkbare definitie is opgesteld door Boom en Bos (2012): “Met vertrouwelijkheid bedoelen we de privacy van de informatie. De vertrouwelijkheid van de informatie moet ervoor zorgen dat alleen de personen voor wie de informatie bedoeld is er toegang toe hebben.” Anderen draaien de redenering om. Zo omschreef het NIST (National Institute of Standards and Technology) - een wetenschappelijke instelling die onder de Amerikaanse overheid valt en zich inzet voor standaardisatie in de wetenschap – “het verlies van vertrouwelijkheid als een ongeautoriseerde onthulling van informatie”. Evenals het NIST gebruikt Noorbeek de ‘ongeautoriseerde onthulling’ in de definitie van vertrouwelijkheid: “Het voorkomen van ongeautoriseerde onthulling of interpreteerbare onderschepping van gevoelige informatie.” Hoewel de betekenis van de CIA-factoren verschillend zijn omschreven in de literatuur, is het duidelijk dat de afwijkingen nuanceringen zijn van eerder gestelde definities. Over de algemene definitie van de CIA-factoren bestaat consensus onder onderzoekers. 2.2.3. Bedreigingen, kwetsbaarheden, risico’s en maatregelen Informatie wordt voortdurend bedreigd. Spruit (2003) definieert een bedreiging als “een proces of gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid – of wel beschikbaarheid, integriteit en vertrouwelijkheid - van objecten in de informatievoorziening”. Looijen (2004)heeft onderzoek gedaan naar verschillende categorieën van bedreigingen: • Bedreigingen van natuurlijke aard; overstroming • Bedreigingen van opzettelijke aard; diefstal • Bedreigingen van niet opzettelijke aard: brand • Bedreigingen van technische aard: storing in de systemen De mate waarin informatie gevoelig is voor bovenstaande bedreigingen wordt door Dam en Wessels (2008) kwetsbaarheid genoemd. Deze gevoeligheid ontstaat als bepaalde objecten (bijv. applicatie, database) van informatievoorziening het mogelijk maken dat een bedreiging (bijv. diefstal of virus) ertoe leidt dat één van de betrouwbaarheidsaspecten beschikbaarheid, integriteit en vertrouwelijkheid – negatief wordt beïnvloed. Hierbij wordt gevoeligheid aangeduid als de mate waarin gereageerd wordt op een binnenkomend signaal. Dam en Wessels (2008) definiëren een risico vervolgens als “de gemiddelde schade over een gegeven tijdsperiode, die verwacht wordt doordat één of meer bedreigingen leiden tot een mogelijke (ver)storing van één of meer objecten van de informatievoorziening en wel zodanig dat dit leidt tot (ver)storing in de beschikbaarheid, integriteit en/of 18
vertrouwelijkheid van de gegevensverwerking en informatievoorziening”. Spruit (2003) voegt daaraan toe dat er sprake van een risico is als “een informatievoorziening kan worden getroffen door een bedreiging”. Het risico geeft aan welke schade verwacht mag worden als de bedreiging plaatsvindt. Deze schadeverwachting neemt af naarmate er meer maatregelen worden getroffen door de organisatie, zie ook figuur 9. De figuur bestaat uit drie deelgebieden: • Deelgebied 1: bij te weinig maatregelen is de schadeverwachting onacceptabel bij een ernstige bedreiging. • Deelgebied 2: interessant gebied waar de juiste maatregelen genomen moeten worden tegen bedreigingen die niet te voorkomen zijn, maar vervelende gevolgen hebben. • Deelgebied 3: bij te veel maatregelen zijn de kosten van de maatregelen hoger dan de schadeverwachting.
Figuur 9. Schadevergoeding tegen kosten van maatregelen
Om risico’s te mitigeren moeten maatregelen genomen worden. Overbeek, Roos Lindgreen en Spruit (2005) hebben deze maatregelen onderverdeeld in drie categorieën: • Organisatorische maatregelen. Deze hebben betrekking op de organisatie als geheel. Voorbeelden hiervan zijn: functiescheiding, interne controle of een portier bij de hoofdingang. • Logische maatregelen. Deze zijn geprogrammeerd en verwerkt in de programmatuur. Voorbeelden hiervan zijn: login- en wachtwoordenauthenticiteit in het besturingssysteem, encryptieprogrammatuur of een digitale handtekening in elektronische post. • Fysieke maatregelen. Deze zijn gebaseerd op apparatuur of andere materiële zaken zoals: noodstroomvoorziening, brandblussers of sloten. De onderzoekers hebben bovenstaande maatregelen ingedeeld naar de manier waarop ze uitgevoerd worden binnen de betrouwbaarheidsaspecten (beschikbaarheid, integriteit en betrouwbaarheid) en maken daarbij onderscheid tussen preventieve en repressieve maatregelen. Preventieve maatregelen worden genomen om een schade te voorkomen en repressieve maatregelen treden in werking als de schade al geleden is (zie figuur 10). 19
Figuur 10. Maatregelen ingedeeld naar betrouwbaarheidsaspect.
2.3. Consequenties voor de infrastructuur 2.3.1. Risico’s BYOD brengt risico’s met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens met zich mee. Diverse onderzoekers hebben deze risico’s omtrent BYOD in kaart gebracht. Hieronder een overzicht. Hilhorst en Schrama (2012) hebben onderzoek gedaan naar de risico’s met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens die spelen bij BYOD. Hieronder een overzicht van de vastgestelde risico’s: • Risico op verlies van vertrouwelijkheid van gegevens: o Verlies van gegevens, als gevolg van verlies of diefstal van het device. o Onbevoegde toegang tot de mobile display applicatie. o Opslag van gegevens buiten het device als gevolg van backup naar personal computer of leverancier. o Verlies van vertrouwelijkheid van gegevens als gevolg van hacking via de communicatiekanalen (zoals Wifi, Bluetooth e.d.). o Verlies van vertrouwelijkheid van gegevens als gevolg van beveiligings- en datalekken in applicaties. • Risico op verlies van integriteit van gegevens en device: o Onzorgvuldig gebruik van het device. o Doorbreken van beveiliging van het device (jailbreaken of rooten). o Installatie van kwaadaardige software. o Problemen met de synchronisatie van gegevens. • Risico op onvoldoende beschikbaarheid van het communicatiekanaal, bijvoorbeeld als gevolg van beperkte dekking van het mobiele telecommunicatie netwerk. ENISA - ‘European Network and Information Security Agency’ – heeft in 2010 een studie gepresenteerd waarin een top 10 van risico’s met betrekking tot het gebruik van smartphones op de werkplek is opgesteld. De organisatie verwacht dat de smartphone in 2013 hét device is om op het internet te gaan en dat het daarmee ook het belangrijkst BYOD-apparaat is. Onderstaande risico’s gelden overigens in de meeste gevallen ook voor tablets. De 10 belangrijkste risico’s zijn:
20
1. Onthulling van gevoelige data als gevolg van verlies of diefstal. Tablets en smartphones zijn een interessant doelwit voor een dief of zakkenroller. Door hun waarde en omvang zijn ze eenvoudig te stelen of te verliezen. Als de opslagruimte vervolgens niet versleuteld is, heeft een derde persoon direct toegang tot de persoonlijke en zakelijke gegevens. Het ENISAonderzoek laat zien dat we onzorgvuldig zijn met het opslaan van creditcardgegevens, rekeningnummers, wachtwoorden et cetera. We vertrouwen ook iets te vaak op ‘security-by-obscurity’, ofwel het wegmoffelen van gevoelige gegevens. Bij een zakelijk gebruik van het device is bij verlies of diefstal toegang tot het zakelijke e-mailaccount mogelijk (nog los van eventuele bestanden die je hebt opgeslagen). Encryptie is, zo stelt ENISA, geen totaaloplossing want iedere vorm van encryptie heeft zwakheden die gebruikt kunnen worden. 2. Onbedoelde onthulling van gegevens. Bij het installeren van een app krijgen we een overzicht van de rechten die de app wil hebben. Hoe vaak klikken we zonder problemen op ‘akkoord’? ENISA wijst erop dat we gebruikers hiermee toestemming geven voor het doorgeven persoonlijke gegevens, bijvoorbeeld de locatiegegevens. Een deel van die persoonlijke gegevens wordt gedeeld met de ontwikkelaar, zonder dat we ons daarvan bewust zijn, simpelweg omdat we er niet iedere keer aan worden herinnerd dat die gegevens worden doorgestuurd. 3. Beperkt vernietigen van data. We zijn inmiddels zo verstandig om de harde schijf van afgeschreven computers te vernietigen of grondig te wissen, alvorens de kast wordt weggegeven of doorverkocht. Maar dit is nog niet altijd een standaardhandeling bij tablets en smartphones. ENISA verwijst naar een studie waarbij via Ebay 26 zakelijke smartphones werden gekocht. Vier telefoons hadden genoeg informatie om de vorige eigenaar te identificeren, zeven met informatie over de werkgever. In één geval ging het om de telefoon van een senior sales director, met telefoonlog, adresboek, dagboek en e-mails. 4. Phishing. Dit is een bekend probleem voor de ‘normale’ computer en we zouden daar mee bedacht op moeten zijn. De kleinere schermen van tablets en smartphones maken het eenvoudiger een vervalste website te presenteren en lastiger om te zien of we een echte, beveiligde verbinding hebben met de site. Een ‘fake app’ is helaas eenvoudig op de Androidmarkt te plaatsen. Ten slotte hebben velen nog weinig ervaring met ‘sms phishing’. Bij een e-mail zetten we eerder vraagtekens dan bij een sms-bericht. 5. Spyware. Bij ENISA is dit een vrij een brede categorie, want het gaat vooral om apps die meer gegevens verzamelen en delen dan voor het programma nodig is, waaronder het delen van gegevens ten behoeve van gerichte advertenties. Een studie van SMobile naar bijna 49000 apps in de Androidmarkt toonde aan dat 1 op de 5 apps toegang vroeg tot persoonlijke of gevoelige gegevens die met verkeerde oogmerken gebruikt konden worden. 1 op de 20 applicaties was in staat om een willekeurig telefoonnummer te bellen zonder toestemming (of benodigde handeling) van de gebruiker. 6. Verkeerd netwerk. Hoe ingewikkeld is het om een access point of hotspot op te zetten met de naam: ‘KPN Veilig’? Gezien de hogere abonnementskosten voor mobiel internet is het prettig om gebruik te maken van beschikbare wifi-verbindingen. ENISA wijst erop dat het niet duur (wel lastig) is om een GSM-station op te zetten. Vervolgens is het een 21
kwestie van afluisteren en gegevens verzamelen. Een gebruiker kan de nepverbinding op het spoor komen, maar dat is bij een smartphone lastiger te zien. 7. Verkeerde applicatie. Smartphones en tablets hebben alles om ons volledig in het oog te houden: microfoon, camera, accelerometer en GPS. Wat nog nodig is, is een onbewaakt ogenblik om een app op onze telefoon te installeren. Of een app die we zelf installeren, omdat die app zo handig is. Een voorbeeld was de Tap Snake die GPS-data doorstuurde naar een server. 8. Diallerware. Een oude bekende is het automatisch draaien van de telefoonnummers van betaaldiensten door malware. ENISA noemt in dit verband ook betaalde sms-diensten. Om de diallerware op een smartphone te krijgen, moet je de gebruiker zo ver krijgen een illegale app te installeren. Consumenten zijn erg kwetsbaar, zeker als je wel hoogwaardige apps wilt, maar dat het geld niet voor (over) hebt. 9. Malware voor bankzaken. Het gaat dan om malware die specifiek bedoeld is om financiële gegevens af te vangen, waaronder het afvangen van sms-berichten met authenticatiecodes. Het op de Androidmarkt plaatsen van een ‘fake app’ van een bank is een vorm van malware. ENISA ziet dit type aanvallen nog niet veel op mobiele devices, maar benoemt het als een van de top-tienrisico’s. Een voorbeeld is ‘ZueS MitMo’. 10. Overbelast netwerk. ENISA heeft een sombere voorspelling gedaan dat in 2013 het gemiddelde datagebruik per gebruiker hoger is dan de beschikbare capaciteit en dat het maar de vraag is of draadloze technologie in staat is meer capaciteit te leveren. Op termijn lost zich dit weer op door het vrijkomen van de bandbreedte die nu voor analoge televisie en 2G wordt gebruikt. Uitval door piekbelasting is een reëel risico. Alles bij elkaar kan dit heel vervelend worden bij een combinatie van Het Nieuwe Werken en BYOD, met communicatie over IP. Een dag geen (mobiel) internet kan neerkomen op een dag geen toegang tot de gegevens op het bedrijfsnetwerk. Bovenstaande risico’s staan in deze volgorde op basis van risicoclassificatie, waarbij risico 1 t/m 3 de classificatie ‘hoog’ hebben gekregen van ENISA, risico 4 t/m 9 zijn bestempeld als ‘middel’ en risico 10 als ‘laag’ is gecategoriseerd (zie tabel 1). Nr. 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
Titel Onthulling van gevoelige data als gevolg van verlies of diefstal Onbedoelde onthulling van gegevens Beperkt vernietigen van data Phishing Spyware Verkeerd netwerk Verkeerde applicatie Diallerware Malware voor bankzaken Overbelast netwerk
Risico Hoog Hoog Hoog Middel Middel Middel Middel Middel Middel Laag
Tabel 1. Inschatting van risico’s die smartphones (en tablets) lopen volgens EMISA
22
Evenals ENISA heeft eWeek (2012) – een tijdschrift over business en technologie onderzoek gedaan naar BYOD en de tien grootste risico’s bij de invoer ervan op een rij gezet: 1. Bedrijfsgevoelige of privacygevoelige gegevens die naar Dropbox, Box.net, iCloud of een andere persoonlijke cloudoplossing verdwijnen. De veiligheid daarvan is onvoldoende gewaarborgd. 2. Gegevens die onder toezicht vallen, komen terecht op onvoldoende beschermde apparaten of clouddiensten, wat een overtreding kan zijn. 3. Zakelijke e-mail en gegevens komen terecht op apparaten waar nauwelijks grip op is, en van daaruit kunnen de gegevens gemakkelijk verder worden gestuurd. 4. Het voldoen aan verplichte bewaartermijnen van e-mail en bestanden gaat lastiger worden als deze opgeslagen zijn op persoonlijke apparaten en in eigen cloudiensten. 5. Verlies van apparaten. Dat is in de huidige situatie al een vraagstuk dat aandacht vraagt, laat staan bij persoonlijke apparaten. Er moet worden nagegaan of ‘remote wipen’ mogelijk is, en toegestaan. 6. Voldoen aan privacyrichtlijnen. Binnen de EU is het op afstand wissen van smartphones en tablets met zowel persoonlijke als bedrijfsgegevens niet toegestaan. 7. Het invoeren van een MDM (Mobile Device Management) leidt ertoe dat ICT-beheer toch verantwoordelijk wordt voor het beheer van persoonlijke apparaten. 8. Het niet-voeren van een vorm van MDM leidt tot een groot aantal onbeheerde apparaten. Het is dan maar de vraag of koppeling aan het bedrijfsnetwerk wel zo gemakkelijk werkt. De bestaande tools bieden niet altijd ondersteuning voor bijvoorbeeld alle versies van Android. 9. ICT-ondersteuning is vaak onvoldoende toegerust voor het ondersteunen van eindgebruikers die problemen hebben met smartphones en tablets, in combinatie met bedrijfsapplicaties en zakelijke documenten. Hoe diverser het BYOD-landschap, hoe zwaarder de belasting. 10. Het beleid rond verantwoordelijkheden, veiligheid en privacy, gebruik van apparaten en toegang tot het netwerk loopt achter bij de BYOD-praktijk. Overhaaste aanpassing van de richtlijnen brengt het risico met zich mee dat reële risico’s over het hoofd worden gezien. Het literatuuronderzoek naar risico’s met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens die BYOD met zich brengt heeft geleid tot onderstaand overzicht van risico’s, verdeeld naar de verschillende CIA-factoren. Het overzicht is geen volledige lijst met alle risico’s, maar geeft een beeld van de belangrijkste risico’s die worden onderkend in de bestaande literatuur (zie tabel 2). Risico Verlies van vertrouwelijkheid van gegevens door verlies Verlies van vertrouwelijkheid van gegevens door diefstal Verlies van vertrouwelijkheid van gegevens door onbevoegde toegang Verlies van vertrouwelijkheid van gegevens door accepteren van 'algemene voorwaarden' van bepaalde apps Verlies van vertrouwelijkheid van gegevens door spyware Verlies van vertrouwelijkheid van gegevens door phishing Verlies van vertrouwelijkheid van gegevens door back-up naar personal computer Verlies van vertrouwelijkheid van gegevens door back-up naar leverancier Verlies van vertrouwelijkheid van gegevens door beperkt vernietigen van data Verlies van vertrouwelijkheid van gegevens door hacking via de communicatiekanalen (zoals Wifi, Bluetooth e.d.) Verlies van vertrouwelijkheid van gegevens door verbinding met een 'verkeerd netwerk'
23
BIV-klasse C I A X X X X X X X X X X X
Verlies van vertrouwelijkheid van gegevens door beveiligings- en datalekken in applicaties X Verlies van vertrouwelijkheid van gegevens door het niet-voeren van een vorm van MDM X (leidt tot onbeheerde apparaten) Verlies van vertrouwelijkheid van gegevens doordat het niet is toegestaan smartphones en X tablets met zowel persoonlijke als bedrijfsgegevens op afstand te wissen Verlies van integriteit van gegevens door onbevoegde toegang X Verlies van integriteit van gegevens door onzorgvuldig gebruik van het device X Verlies van integriteit van gegevens door doorbreken van beveiliging van het device X (jailbreaken of rooten) Verlies van integriteit van gegevens door installatie van kwaadaardige software X Verlies van integriteit van gegevens door problemen met de synchronisatie van gegevens X Verlies van integriteit van gegevens door het niet-voeren van een vorm van MDM (leidt tot X onbeheerde apparaten) Verlies van beschikbaarheid van gegevens door overbelast network X Verlies van beschikbaarheid van gegevens door beperkte dekking van het mobiele X telecommunicatie netwerk Verlies van beschikbaarheid van gegevens door onvoldoende ondersteuning van ICT voor X eindgebruikers Tabel 2. Overzicht van belangrijkste BYOD risico’s
2.3.2. IT beheer De invoering van BYOD heeft gevolgen voor organisaties en ook voor het IT beheer binnen organisaties. CIO’s, IT-managers en andere IT-beslissers worden geconfronteerd met vraagstukken rondom BYOD. De wijze waarop met deze vraagstukken wordt omgegaan verschilt per organisatie. Elke organisatie is uniek en er bestaat dus geen ‘one size fits all' BYOD blauwdruk voor IT beheer. (Adelaar & Peek, 2013) De inrichting van de IT beheerorganisatie in een BYOD-situatie is de overkoepelende en belangrijkste uitdaging voor organisaties. Daarbinnen moeten allereerst de juiste keuzes worden gemaakt met betrekking tot de BYOD strategie en beleid. Organisaties kunnen kiezen voor verschillende BYOD-strategieën. De keuze hiervoor vloeit voort uit de behoeften en verwachtingen van zowel de organisatie als haar medewerkers. Ten tweede moeten ook de juiste beveiligingsmaatregelen worden genomen om de betrouwbaarheid van informatie te waarborgen. Beveiliging is een complex, gelaagd vraagstuk en omvat de mobiele apparaten, de netwerkomgeving, data en informatie. Voor elk niveau kunnen beveiligingsmaatregelen worden getroffen, zoals authenticatie, encryptie, het instellen van een PIN, ‘lock screen timeout’ en ‘remote lock en/of wipe’. Deze vraagstukken (IT beheer, met daarbinnen strategie/beleid en beveiliging) overlappen elkaar en zijn niet los van elkaar te zien. (Adelaar & Peek, 2013) Volgens Bring IT (2012) vraagt BYOD om een open en flexibel beheermodel. Het traditionele model gaat uit van beheerde desktops en laptops waarmee de organisatie volledig vrij is haar beleid te implementeren. Wanneer eindgebruikers zelf gaan bepalen met welke apparatuur ze werken, zijn deze mogelijkheden beperkter of zelfs controversieel. Het is onduidelijk hoe ver een werkgever mag gaan in het bepalen wat iemand wel en niet mag doen met zijn eigen device. Mag de IT afdeling van een werkgever bijvoorbeeld data wissen op het privé-apparaat van een medewerker? De IT afdeling bevindt zich hier op glad ijs, maar heeft een belangrijke rol in het ondersteunen van bedrijfsprocessen met technologie en moeten de risico’s rond informatiebeveiliging beheersbaar blijven. Als meerdere partijen in het beheerdomein verantwoordelijkheid krijgen of nemen, groeit de noodzaak van een goed beschreven beleid waarin deze verantwoordelijkheden vastliggen. Hierbij is het belangrijk vooraf te evalueren wat de impact voor alle betrokkenen afdelingen van een organisatie is. De uitkomst van deze evaluatie is mede afhankelijk van de behoefte aan mobiliteit en support van de medewerkers. BYOD is eenvoudiger te implementeren 24
naarmate de gebruikers minder behoefte hebben aan support. Tegelijkertijd kan BYOD sterk motiverend werken en de behoefte aan support verlagen omdat mensen de vrijheid hebben hun werk met eigen middelen in te vullen (zie figuur 11).
Figuur 11. behoefte aan support versus mobiliteit
Elke organisatie is uniek in haar benadering en in de verwachtingen van de transitie naar BYOD. Het spectrum van mogelijke strategieën varieert van behoudend traditioneel tot een volledige adoptie (zie figuur 12). Het ligt voor de hand om een universiteit links van het midden in het model te plaatsen. Toch hoeft dit niet per definitie zo te zijn. Bij universiteiten wordt ook steeds meer in projectverband of in verschillende teamsamenstellingen gewerkt en bestaat wellicht de behoefte aan meer openheid en flexibiliteit. Voorbeelden zijn gasttoegang tot het (draadloos) netwerk, delen van informatie met externen en koppelingen met derden. (Bring IT, 2012)
Figuur 12. Strategieën voor transitie naar BYOD
De visie van de organisatie op BYOD en het informatiebeveiligingsbeleid bepalen uiteindelijk de rol voor de IT-afdeling. Het aandachtsgebied zal in ieder geval verschuiven van het aanbieden van applicaties naar het faciliteren van platforms. Voor gebruikers krijgt de IT-afdeling een meer coachende rol in het ontsluiten van informatie. BYOD begint dus bij een verandering in het denken over de rol van IT bij het ondersteunen van bedrijfsprocessen. Omdat een nieuwe benadering door alle stakeholders gedragen moet 25
worden, is het wellicht zelfs de moeilijkste stap. Een jarenlange traditie van centraal geregelde IT gericht op het controleren van variabelen, moet plaats maken voor een model met een aantal onzekere factoren. In plaats van dicteren en dirigeren verschuift de rol van IT naar faciliteren en mogelijk controleren. Om de verschillende uitdagingen van een BYODinitiatief het hoofd te bieden is een integrale aanpak die ook alle technische en organisatorische aspecten afdekt noodzakelijk. Door deze onderdelen te borgen in een architectuurbenadering kan een organisatie de samenhang tussen de verschillende componenten beschrijven en gemaakte keuzes vastleggen. Een IT-architectuur voor BYOD bevat oplossingen voor het vaste en draadloze netwerk, autorisatie op het netwerk, gasttoegang, mobiel werken voorzieningen en een applicatiestrategie. Bovendien moet de architectuur geschikt zijn voor verschillende merken en typen apparatuur. Tot slot moet het security-beleid gehandhaafd blijven. Dit alles uiteraard zonder de voordelen voor de gebruiker teniet te doen. (Bring IT, 2012) Zoals ook in paragraaf 2.3.1 is beschreven, behoort het risico dat vertrouwelijke informatie in verkeerde handen valt tot de grootste zorgen voor IT managers. Daarnaast hebben veel organisaties te maken met strikte regelgeving van toezichthouders. Een universiteit kan het zich niet permitteren dat medewerker- en studentgegevens in onbevoegde handen terecht komen. Uiteindelijk blijft de organisatie altijd verantwoordelijk voor haar data en heeft zij de plicht deze te beschermen. De samensmelting van privé en zakelijk gebruik van apparatuur zorgt hier echter voor een spanningsveld. Naast bescherming van organisatiegegevens raakt dit onderwerp ook privacy-aspecten en bestaat het risico op bemoeienis met privé-gegevens. Voor het slagen van een BYOD implementatie is het cruciaal dat een organisatie op voorhand duidelijk afspraken met haar medewerkers maakt. In een gebruikersovereenkomst of aanvulling op het arbeidscontract zijn de rechten en plichten rondom het omgaan met zakelijke data, beheer, kosten, privacy en monitoring goed te beschrijven. (Bring IT, 2012) Wanneer medewerkers hun eigen apparatuur gaan inzetten voor zakelijk gebruik verschuift de verantwoordelijkheid voor aanschaf en beheer van apparatuur, aldus Wouters en Schellevis (2012). Deze komt voor een deel bij de werknemer te liggen en de IT-afdeling is niet langer als enige betrokken bij het aanschaffen en beheren van de IT-voorziening. Daarnaast nemen ze volgens Bring IT (2012) ze ook een deel van de applicatie verantwoordelijkheid over van de IT-afdeling. De presentatie van deze applicaties op verschillende devices is door het ontbreken van een standaard een uitdaging. Zeker als het beleid is dat bedrijfsdata niet op onbeheerde devices achtergelaten mag worden. Wouters en Schellevis (2012) merken verder op dat ook als er geen BYOD-beleid is, vooral jongere medewerkers hun eigen apparaten meenemen, die ze (draadloos) verbinden of proberen te verbinden met de netwerkvoorzieningen. Dit maakt dat het bijna onvermijdelijk is om over BYOD na te denken en hiervoor beleid te ontwikkelen. De verschillende devices zorgen ervoor dat het beheer voor de IT-afdeling intensiever en complexer kan worden. Als BYOD wordt ondersteund, moet de IT-afdeling meer allround zijn en van meer apparaten kennis hebben en medewerkers kunnen helpen als ze niet kunnen werken door technische problemen. Uit het onderzoek van Citrix (2011) bij 700 ITbeslissers blijkt dat iets meer dan de helft (54 procent) van de organisaties al op enige manier vanuit de IT-afdeling ondersteuning biedt op eigen apparatuur. De verwachting is 26
dat dit gaat toenemen in 2013 tot circa 80 procent. Veel IT-afdelingen zijn ook nog niet klaar voor BYOD. Kaseya (2011), een grote leverancier van IT- beheersoftware deed onderzoek onder bijna 550 organisaties in Nederland, Groot-Brittannië, Duitsland en Frankrijk. Hieruit kwam net als uit andere onderzoeken naar voren dat beleid ontbreekt, waardoor er geen duidelijkheid is over de mate waarin de IT-afdeling de problemen kan of moet oplossen.
SANS (SysAdmin, Audit, Network, Security) is een bekende organisatie op het gebied van computerbeveiliging. Zij hebben onderzoek gedaan onder ruim 650 respondenten naar beleid en beheersmaatregelen ten aanzien van BYOD. Hierbij viel het op dat 97% van de respondenten het belangrijk vindt dat het mobiele toegangs- en veiligheidsbeleid onderdeel is van het algehele veiligheidsbeleid, echter blijkt dat 38% een dergelijk beleid heeft opgesteld en 25% het gebruik van persoonlijke apparaten voor zakelijke doeleinden simpelweg verbiedt. De conclusie van SANS is daarmee dat vrijwel iedereen weet welke maatregelen er genomen moeten worden, maar dat een beperkt deel hiervan ze ook daadwerkelijk implementeert. (bringyourowndevice.wordpress, 31-10-2012) Technisch gezien zijn er verschillende oplossingen beschikbaar om het beheer te vereenvoudigen. Zo zijn er voorbeelden te vinden waarbij de werkgever zijn eigen ‘appstore’ heeft of de apparaten heeft verdeeld in verschillende compartimenten met een beschermde zakelijke omgeving en een privéomgeving. Zonder goede maatregelen neemt het risico toe dat gegevens op verschillende plaatsen opgeslagen worden, zowel centraal als lokaal op de verschillende eigen apparaten. Hierdoor neemt de controle op bedrijfsgegevens af. De beheersbaarheid van gegevensopslag is een vraagstuk waar veel organisaties al tegenaan lopen en dat gezien wordt als een van de grootste BYOD uitdagingen. Doordat vanuit verschillende locaties en met verschillende apparaten gegevens worden opgehaald, vervaagt de grens tussen de beheersbare interne omgeving en de externe omgeving. Het is minder duidelijk wie waarmee toegang heeft en waar gegevens terechtkomen. Een voorbeeld hiervan is dat de iPhone en iPad met het iOS-besturingssysteem een back-up kan maken van het apparaat in de iCloud. Hierdoor kan het dus zijn dat lokaal opgeslagen gegevens toch in de cloud terechtkomen, zelfs als de organisatie ervoor kiest om informatie niet in de cloud op te slaan. Een werknemer zal zich hiervan vaak niet bewust zijn. Uit onderzoek van het bedrijf BT onder 2000 IT-gebruikers en -managers blijkt namelijk dat slechts 10 procent van de werknemers die eigen apparatuur gebruikt om toegang te krijgen tot het bedrijfsnetwerk de risico’s kent die dat met zich meebrengt. Door meer met mobiele apparaten te werken, neemt het risico op verlies en diefstal toe. Ook het doorvoeren van beveiligingsupdates op de software- en besturingssystemen van de verschillende apparaten is een belangrijk aandachtspunt. (Infosecurity-magazine, 30-42012) 27
Het artikel van De Vrede (2012) beschrijft dat de invoering van BYOD in organisaties een flinke impact heeft op het werk van de medewerkers die verantwoordelijk zijn voor IT beheer. Zij zijn immers verantwoordelijk voor goede ondersteuning van de mobiele apparaten. Het op een adequate manier inrichten van IT beheer begint bij het maken van keuzes. Organisaties moeten kiezen wat - welke diensten, op welke toestellen, tot op welk niveau - ze gaan aanbieden aan de medewerkers. Op het moment dat een organisatie het nalaat om keuzes te maken, dreigt onbeheersbaarheid. Volgens De Vrede kunnen organisaties niet alles, voor alle apparaten, tot op elk niveau ondersteunen. Als eenmaal geïnventariseerd is tot welke bedrijfssystemen de medewerkers met hun eigen apparatuur toegang krijgen, kunnen de gevolgen voor het beheer in kaart worden gebracht. Met BYOD komen nieuwe, andere technologieën de organisatie binnen. De IT afdeling moet daarom meer kennis vergaren om dit alles te kunnen beheren. Bestaande procedures moeten worden aangepast en er moeten nieuwe procedures komen. Het onderzoek beschrijft dat het aantal incidenten in de praktijk meevalt. Gebruikers kennen vaak hun eigen apparatuur erg goed en als er wat mee is, handelen ze dat vaak grotendeels zelf af. Bij het inrichten van het IT beheer moeten organisaties met het volgende rekening houden: • Configuratiebeheer: registreer de BYOD-toestellen. Dat kan als één generiek object, als één object per merk of type, of per afzonderlijk toestel • Kennissysteem: voeg hieraan extra informatie toe, zoals richtlijnen voor configuraties en aanspreekpunten • Selfservice desk: maak hierin kennisitems betreffende BYOD beschikbaar. Zorg voor eenvoudige aanmeldprocedures voor BYOD-meldingen en een transparante afhandeling voor gebruikers • Meldingenbeheer: stel extra behandelaars aan in de eerste lijn • Probleembeheer: besluit of je de BYOD-incidenten opneemt of niet. Bied specifieke BYOD-analyses. • Wijzigingsbeheer: Pas bestaande procedures voor test en update en voor mutaties aan. Maak nieuwe procedures voor BYOD. • Rapportage: Maak specifieke rapportages voor BYOD, zoals het aantal incidenten dat er aan gerelateerd is en wat de trends zijn bij de gebruikers en toestellen. NetIQ (2012) is een Amerikaans bedrijf dat zich heeft gespecialiseerd in ‘systems and security management software’. De organisatie heeft onderzoek gedaan naar maatregelen waarmee de BYOD-risico’s – beschreven in sub paragraaf 2.3.1 – gemitigeerd kunnen worden: 1. Zorg dat er een veiligheidscultuur ontstaat. Veiligheid moet gezien worden als integraal deel van het werk. 2. Zorg voor een goede opleiding en training van de medewerkers. De mensen zijn nog steeds de zwakste schakel in ieder pakket veiligheidsmaatregelen. Voor periodiek onderzoek uit naar het veiligheidsgedrag van de medewerkers en spreek ze erop aan als ze tekortschieten. 3. Ontwerp een duidelijk BYOD-beleid met eenduidige termen: geef aan wat er van de medewerkers wordt verwacht. 4. Dwing toegangscontroles af. Een apparaat dat niet aan de toegangsvereisten voldoet mag het netwerk niet op. Dus de identiteit van de gebruiker moet geverifieerd worden; het apparaat moet aan de afgesproken vereisten voldoen (bijvoorbeeld een wachtwoord om het te kunnen gebruiken); het apparaat moet de afgesproken software 28
5. 6. 7. 8. 9. 10.
geïnstalleerd hebben (bijvoorbeeld antivirus). De toegangsvereisten zijn afhankelijk van de gebruikers, hun rollen en de locatie van waaruit aangemeld wordt. Maak het voldoen aan de aanmeldingseisen zo eenvoudig mogelijk; automatiseer het proces waar mogelijk. Houd in de gaten wat gebruikers via hun persoonlijke apparaten op het netwerk doen. Je wilt weten wat (gedeeltelijk) onvertrouwde apparaten aan het doen zijn. Maak waar mogelijk gebruik van bestaande identiteitsdiensten, zoals OpenID, Facebook of Twitter, en kies voor bedrijfsspecifieke aanmelding voor bedrijfskritische applicaties. Voer een ‘Choose your own device’-beleid, met apparaten die aan de wensen van de medewerkers tegemoetkomen. Bewaak toegang tot bedrijfsgevoelige gegevens, bijvoorbeeld via virtualisatie, zodat de gegevens nooit op het persoonlijke apparaat terechtkomen. Versleutel alle bedrijfsgegevens die op een persoonlijk apparaat terecht (kunnen) komen, inclusief de zakelijke mail.
2.3.3. Samenvatting In dit hoofdstuk is literatuuronderzoek uitgevoerd om antwoord te krijgen op de eerste deelvragen: • Wat betekent BYOD voor een (universitaire) organisatie en welke risicogebieden kunnen ontstaan? • Welke risico’s zijn te onderkennen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens als gevolg van ‘Bring your own device’? • Welke maatregelen kunnen IT beheerorganisaties inrichten om de risico’s omtrent ‘Bring your own device’ te mitigeren? BYOD vond zijn oorsprong ongeveer zes jaar geleden in de Verenigde Staten. Vandaag de dag is BYOD een brede trend en maken steeds meer organisaties het gebruik van persoonlijke apparaten voor zakelijke doeleinden mogelijk. De constant toenemende vraag naar mobiliteit, flexibiliteit en moderne apparatuur toont aan dat Bring Your Own Device – vaak als onderdeel van Het Nieuwe Werken – een trend is die zich de komende jaren door zal zetten. De vraag is niet langer of organisaties BYOD toestaan, maar op welke manier organisaties inspelen op de veranderingen die het fenomeen met zich meebrengt. De informatie die zich verplaatst over de mobiele devices speelt hierbij een belangrijke rol. Deze informatie dient – afhankelijk van de waarde ervan voor de organisatie – passend beveiligd te zijn tegen allerlei bedreigingen. De mate van betrouwbaarheid geeft aan in hoeverre een organisatie kan vertrouwen op haar informatie. Betrouwbaarheid is de verzamelterm voor de drie CIA-factoren: beschikbaarheid, integriteit en vertrouwelijkheid en deze factoren staan voortdurend bloot aan bedreigingen. De verwachte gemiddelde schade die deze bedreigingen aanbrengen aan de beschikbaarheid, integriteit en vertrouwelijkheid van informatie wordt het risico genoemd. BYOD leidt dus tot risico’s met betrekking tot de betrouwbaarheid van informatie. Vooral het verlies van vertrouwelijkheid van gegevens (bijv. door verlies, diefstal) kent enkele belangrijke bedreigingen, maar ook de integriteit (bijv. door onbevoegde toegang, onzorgvuldig gebruik) en beschikbaarheid (bijv. door overbelast netwerk) van informatie kan worden ondermijnd. De mate waarin organisaties de bedreigingen identificeren en de risico’s succesvol mitigeren hangt af van een juiste inrichting van de IT beheerorganisatie, met daarin speciale aandacht voor een weloverwogen BYOD strategie en beleid en adequate maatregelen met betrekking tot informatiebeveiliging. 29
De impact van een gestolen laptop voor 34000 personen Het Howard University Hospital moest 34503 patiënten informeren over een mogelijk verlies van persoonlijke medische gegevens eind januari. De laptop van een ingehuurde medewerker, waarop die informatie stond, was gestolen. De CEO van het ziekenhuis, Larry Warren, verklaarde: “Deze informatie was opgeslagen in weerwil van een beleid dat dit verbood”. Onder de kwijtgeraakte gegevens bevond zich informatie over namen, adressen, burgerservicenummers, identiteitsgegevens, medische identiteitsgegevens, geboortedatums, opnamedatums, medische informatie en ontslagdatums. Het ging om patiënten die tussen december 2010 en oktober 2011 opgenomen waren. In sommige gevallen ging het om patiënten die al in 2007 een keer waren opgenomen. Volgens de verklaring van het ziekenhuis was er geen bewijs dat de gegevens door anderen waren ingezien en verder verklaarde men dat maatregelen waren genomen om herhaling te voorkomen. Highlight 2. (CMIO, 2-4-2011)
30
3. Praktijkonderzoek In dit hoofdstuk wordt antwoord gegeven op de volgende deelvragen: • Welke risico’s zijn te onderkennen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens als gevolg van ‘Bring your own device’ in een universiteit? • Welke maatregelen kunnen IT beheerorganisaties inrichten om de risico’s omtrent ‘Bring your own device’ te mitigeren in een universitaire omgeving? 3.1. BYOD op de Erasmus universiteit 3.1.1. Beschrijving van de onderzoeksomgeving Voor het praktijkonderzoek is een casestudy uitgevoerd bij de Erasmus universiteit in Rotterdam (EUR). Om inzicht te krijgen in de achtergrond van de BYOD implementatie, de gevolgen daarvan voor het IT beheer en de mate waarin risico’s worden onderkend en middels beheersmaatregelen worden gemitigeerd. Eventuele beheersmaatregelen zijn in opzet vastgesteld. Daarvoor hebben interviews plaatsgevonden met medewerkers die een rol vervullen binnen de BYOD implementatie: • Directeur SSC IT • Projectleider ‘ontwikkeling universitaire IT-werkplek’ • Security manager • Service manager Naast de interviews met bovenstaande functionarissen is het document ‘advies ontwikkeling universitaire IT-werkplek’ ontvangen. 3.1.2. Ontwikkeling universitaire IT-werkplek In het strategiedocument ‘advies ontwikkeling universitaire IT-werkplek’ heeft de Rotterdamse universiteit haar visie en ambitie op de ontwikkeling van de onderwijsinstelling beschreven. De EUR wijst hierin op de noodzaak van goede ondersteunende ITvoorzieningen binnen de universiteit. Deze noodzaak onderschrijft de onderwijsinstelling met drie argumenten: • Externe factoren op het vlak van financiering zoals het teruglopen van de eerste geldstroom middelen en de wijziging van de studiefinanciering nopen de EUR daar waar mogelijk de effectiviteit te verbeteren en de efficiëntie te verhogen. • Het voortschrijden van de technologische ontwikkelingen op het gebied van informatie en communicatietechnologie, de groei in snelheid en het aanbod daarvan, staan in belangrijke mate aan de basis van de ontwikkelingen in de wereld. Opereren in een concurrerende omgeving en de ambitie om hoogwaardig onderwijs en onderzoek te bieden vereist dat de universiteit haar IT-voorzieningen op een hoger niveau brengt. • De onderwijsinstelling richt zich vanuit strategisch perspectief op het ontwikkelen en accommoderen van groei in de aantallen studenten. De groei zal in hoge mate moeten komen uit het aantrekken van buitenlandse studenten. De kwaliteit van ITvoorzieningen zullen studenten betrekken in hun oordeel ten aanzien van de kwaliteit van de studie of opleiding. 31
(Erasmus universiteit Rotterdam (2010)) Volgens de EUR bevestigen trends in onderwijs en onderzoek de noodzaak van goede ITvoorzieningen en vragen om de ontwikkeling van een nieuwe werkplek en de invoering van BYOD. Onderzoek vindt immers steeds meer plaats in virtuele internetwijde communities en faculteit overstijgende onderzoeksscholen op zowel nationale als internationale schaal. Onderwijs vindt ook steeds meer plaats over de grenzen van de faculteiten heen. Onder invloed van de beschikbaarheid van een campus dekkend draadloos internet schaffen studenten massaal laptops en tablets aan en worden nomadische gebruikers van de ITinfrastructuur. Onderzoek en onderwijs hebben behoefte aan mobiliteit en flexibiliteit, zijn meer en meer plaats ongebonden. Dit vraagt om een inrichting waarbij de werkplek zich overal kan bevinden (any place), op elk moment beschikbaar is (any time) met de door de gebruiker te kiezen middelen (anyhow en any device). (Erasmus universiteit Rotterdam (2010)) De visie en ambitie van de universiteit in combinatie met de ontwikkelingen in het onderwijs en onderzoek hebben samen geleid tot het project ‘ontwikkeling van de nieuwe IT werkplek’. In het opgestelde advies wordt de opdracht als volgt geformuleerd: “het bieden van een IT-werkplek die geen onderscheid maakt bij welk organisatieonderdeel je werkt of bij welke opleiding je studeert en die volgens de principes van any place, any time, anyhow (any device) is ingericht en tegen aanvaardbare kosten geëxploiteerd wordt”. (Erasmus universiteit Rotterdam (2010)) Medio 2013 bevindt de EUR zich middenin bovenstaand project. “In de maand juli gaan we een pilot draaien op de IT afdeling en met de Stuurgroep hebben we afgesproken het project voor het einde van het jaar te realiseren. Dat wordt een fikse uitdaging”, aldus de directeur van het SSC IT. (Interview directeur SCC IT) 3.2. Bevindingen en analyse 3.2.1. Strategie en beleid Hierboven in subparagaaf 3.1.2. zijn de belangrijkste strategische overwegingen uit het ‘advies ontwikkeling universitaire IT-werkplek’ beschreven. Kort samengevat zijn de strategische overwegingen om een nieuwe IT-werkplek te ontwikkelen als volgt: • De terugloop van financiële middelen leidt tot de behoefte aan meer effectiviteit en efficiëntie. • De ambitie om hoogwaardig onderwijs te bieden in een wereld waar technologische ontwikkelingen snel voortschrijden • Het ontwikkelen van groei in de aantallen (buitenlandse) studenten, met de wetenschap dat studenten IT-voorzieningen betrekken in hun oordeel ten aanzien van de kwaliteit van de studie. • Het voldoen aan de toenemende vraag naar flexibiliteit en mobiliteit. De woorden van directeur SSC IT onderschrijven bovenstaande strategie: “Het is van belang te begrijpen dat dit plan niet wordt uitgerold met als doel ‘leuke technologie’ te implementeren. Ontwikkelingen in de markt tonen aan dat de traditionele werkplek (iedereen een eigen kantoor) aan het verdwijnen is en dat de vraag naar een moderne 32
werkplek (grote kantoorruimtes met flexibele werkplekken) toeneemt. Het recht op een eigen kantoor wordt vervangen door het recht op een eigen werkplek. Daaraan wil ik toevoegen dat de vraag naar mobiliteit ook een belangrijke oorzaak is. Medewerkers willen overal kunnen werken op verschillende devices. Middels dit project proberen we aan deze wens te voldoen”. (Interview directeur SCC IT) De projectleider benadrukt onder meer het belang van centralisatie: “Een aantal jaar geleden is een notitie geschreven door directeur SSC IT waarin hij zijn voorkeur uitsprak voor een Shared Service Center IT binnen de EUR. Op dat moment hadden faculteiten hun eigen netwerken, eigen IT afdelingen en was er dus sprake verschillende ‘IT-eilanden’ binnen de onderwijsinstelling. Een medewerker kon ik gebouw A inloggen, maar kon het bedrijfsnetwerk in gebouw B niet benaderen. De wens om te komen tot een centrale IT organisatie en een centraal netwerk is een belangrijke oorzaak geweest om het project op te starten. Op basis van een Proof of Concept is vervolgens gebleken dat de techniek aanwezig was om het vorm te geven. (Interview projectleider ‘ontwikkeling universitaire ITwerkplek’) Op de website van de Rotterdamse universiteit staat het informatiebeveiligingsbeleid. Deze is geschreven in 2009 en navraag leert dat deze versie nog steeds geldt en sindsdien niet meer is aangepast. In het beleidsstuk staat beschreven dat deze dient als uitgangspunt voor concrete plannen ten aanzien van informatiemanagement. Daarnaast beschrijft de notitie de problematiek rond informatiemanagement en hoe daar op de EUR mee om te gaan. Bij het beschrijven van de achtergrond van deze problematiek wordt allereerst de veelheid van gevoelige informatie aangehaald. Gegevens van studenten en personeel dienen adequaat beveiligd te worden, hetgeen ook wettelijk verplicht is. Daarnaast wordt geconstateerd dat de opslag en verwerking van deze kritische gegevens vooral gebeurt met geautomatiseerde systemen binnen de complexe en deels gedecentraliseerde IT-infrastructuur van de EUR. Om deze complexiteit te verminderen ontvouwt de universiteit het plan om Shared Service Centers (SSC’s) op te richten en corporate informatiemanagement in te stellen. Daarmee kunnen de huidige versnipperde beveiligingsmaatregelen en –verantwoordelijk onder worden gebracht in een structuur die het belang van de onderwijsinstelling als geheel beter dient, op gebied van aansprakelijkheid, continuïteit en eventuele imagoschade. Bij de ontwikkeling van deze nieuwe structuur dient volgens de EUR rekening worden gehouden met de natuurlijke spanning tussen beveiligingseisen die beperkingen stellen en geld kosten, en anderzijds de verwachting van gebruikers omtrent eenvoud, flexibiliteit en toegankelijkheid. Om de juiste balans te vinden benadrukt de universiteit dat risico’s moeten worden gewogen, zodat informatiemanagement niet als ‘show stopper’ wordt ervaren, maar als ‘enabler’ van de informatievoorziening. De onderwijsinstelling streeft ernaar een open en inspirerende leer- en werkomgeving te creëren. Deze werkomgeving moet breed beschikbaar zijn, met betrouwbare en veilige informatievoorzieningen. In het beleidsstuk wordt de ambitie uitgesproken om dit in 2013 gerealiseerd te hebben. (Erasmus universiteit Rotterdam (2009))
33
Concrete beveiligingsmaatregelen (bijv. eisen wachtwoord- en accountbeleid) staan niet beschreven in dit informatiebeveiligingsbeleid. In hoofdstuk 2 wordt het kader geschetst middels definitie van begrippen, reikwijdte van informatiemanagement en de (wettelijke) randvoorwaarden. In hoofdstuk 3 worden taken en verantwoordelijkheden uiteengezet. Faculteiten zijn verantwoordelijk voor de primaire processen onderwijs en onderzoek en de SSC’s moeten zorgdragen voor de ondersteunende processen (zoals IT en dus ook informatiemanagement). Tot slot worden in hoofdstuk 4 enkele duidelijke uit te voeren acties opgesomd. Zo moet er een classificatiesysteem voor informatie(-systemen) worden opgezet om alle informatie en informatiesystemen te classificeren, dient een voorlichtingsprogramma opgesteld te worden om bewustwording ten aanzien van het belang van informatiemanagement te vergroten en moeten risicoanalyses uitgevoerd worden om te bepalen welke authenticatiemiddelen gepast en realiseerbaar zijn bij de verschillende informatiesystemen. (Erasmus universiteit Rotterdam (2009)) Het in 2009 opgesteld informatiebeveiligingsbeleid dient dus als kader voor informatiemanagement en kan volgens de directeur SSC IT “aangescherpt te worden op een aantal punten, maar is vooralsnog eeuwigdurend”. (Interview directeur SCC IT) De security manager beaamt dit: “Het beleid dient als uitgangspunt voor projecten waar we mee starten. Zo zijn we onder andere gestart met het toewijzen van eigenaren van bepaalde (kritische) data en zijn willen we security incidenten in de incident management procedure inbedden. Omdat het beleidsstuk geen concrete maatregelen bevat, ben ik begonnen een security baseline uit te werken, waarin maatregelen rondom informatiemanagement specifiek worden benoemd. Ik krijg dit echter moeilijk van de grond. De bewustwording ten aanzien van de risico’s van informatiemanagement is beperkt binnen de EUR, waardoor het voor mij lastig is om steun te krijgen voor bepaalde maatregelen die ik in mijn baselines wil beschrijven. Daarom heb ik er nu voor gekozen de baseline uit te werken in kleine stapjes. Ik ben begonnen met een aanscherping van het wachtwoorden accountbeleid. De implementatie daarvan heeft me veel moeite gekost, maar wordt – als het goed is – binnenkort geaccepteerd door de Stuurgroep.” Zoals hierboven beschreven wordt in het beleidsstuk het belang van een classificatiesysteem voor informatie(-systemen) benadrukt om uiteindelijk een open en inspirerende leer- en werkomgeving te creëren. Gezien de fase van het project ‘ontwikkeling universitaire IT-werkplek’ waarin de universiteit zich bevindt – in de maand juli wordt een pilot gedraaid op de IT afdeling en voor het einde van het jaar moet het gehele project zijn afgerond – zou je verwachten dat deze classificatie van informatie(systemen) heeft plaatsgevonden. De security manager weerspreekt dit: “We zijn begonnen met de classificatie van informatie(-systemen), maar hebben dit nog niet afgerond. In mijn optiek moet er voor de implementatie van de nieuwe IT-werkplek en BYOD een classificatie van informatie(-systemen) worden uitgevoerd op basis van een risicoanalyse. Het is jammer dat dit niet is gebeurd”. Andere concrete actiepunten uit het informatiebeveiligingsbeleid hebben ook (nog) geen vervolg gehad. Zo zijn er geen risicoanalyses uitgevoerd om de gepaste authenticatiemethoden voor de verschillen informatiesystemen te bepalen en zijn delen van de organisatie zich volgens de security manager niet steeds niet bewust van de risico’s 34
omtrent informatiebeveiliging: “Sommige medewerkers werken hier al tientallen jaren en hebben geen idee van de risico’s omtrent informatiebeveiliging. Ik merk tijdens gesprekken die ik voer op de werkvloer dat het bewustzijn erg matig is”. (Interview security manager) In de theorie wordt het belang van een BYOD strategie en beleid beschreven. In hoofdstuk 2 beschrijven Adelaar en Peek (2013) dat organisaties voorafgaand aan de implementatie van BYOD allereerst de juiste keuzes moeten maken met betrekking tot de BYOD strategie en beleid. Organisaties kunnen kiezen voor een verschillende BYOD-strategieën. Bring IT (2012) onderstreept dit door te beweren dat elke organisatie uniek is in haar benadering en in de verwachtingen van de transitie naar BYOD. Daarom is het belangrijk een keuze te maken in het spectrum van mogelijke strategieën (van behoudend traditioneel tot volledige adoptie). Daarnaast geven zij aan dat de strategie en visie van de organisatie op BYOD en het informatiebeveiligingsbeleid de uiteindelijke rol voor de IT-afdeling bepalen. Computerwoche (2012) spreekt op basis van een onderzoek onder CIO’s en IT managers het belang uit van een BYOD-beleid. Zij blijken namelijk de toenemende druk van gebruikers voor de ontwikkeling van een dergelijk beleid te voelen. Omdat gebruikers steeds vaker een eigen manier vinden om gebruik te maken van privéapparaten en daarmee de IT afdeling passeren is er des te meer reden om een beleid te ontwikkelen met aandacht voor veilige omgang met bedrijfsgevoelige gegevens, centrale sturing op configuratie en heldere richtlijnen rondom toegang. Wouters en Schellevis (2012) beamen deze stelling en vinden het daarom onvermijdelijk om een BYOD-beleid te ontwikkelen. Uit het onderzoek van eWeek (2012) blijkt dat één van de tien grootste risico’s bij de invoer van BYOD is: het achterlopen van het BYOD-beleid ten opzichte van de BYOD-praktijk rond verantwoordelijkheden, veiligheid en privacy, gebruik van apparaten en toegang tot het netwerk. Bring IT (2012) voegt hieraan toe dat de invoering van BYOD ertoe leidt dat meerdere partijen in het beheerdomein verantwoordelijkheid krijgen of nemen. Daarmee groeit de noodzaak van een goed beschreven beleid waarin deze verantwoordelijkheden vastliggen. Tot slot onderzocht NetIQ (2012) dat het ontwerpen van een duidelijk BYOD-beleid met eenduidige termen één van de tien belangrijkste maatregelen is om de BYOD-risico’s te mitigeren. Hoewel diverse studies en onderzoeken het belang van een BYOD strategie en beleid benadrukken, laten de activiteiten van de EUR met betrekking tot met name een BYOD beleid te wensen over. In het document ‘advies ontwikkeling IT-werkplek’ is de BYOD strategie uitgewerkt en met heldere, valide punten onderbouwd. De vertaling van deze strategie naar een beleidsstuk met beheersmaatregelen heeft echter niet plaatsgevonden. Er is een informatiebeveiligingsbeleid uit 2009, maar deze dient als kader voor projecten als ‘ontwikkeling van de nieuwe IT-werkplek’. Een BYOD-beleidsstuk met o.a. aanwezige beheersmaatregelen en een classificatie van informatie(-systemen) op basis van een risicoanalyse ontbreekt.
35
3.2.2. IT beheerorganisatie “Voordat ik in details treed over onze BYOD implementatie, zal ik eerst vertellen hoe we het hebben ingericht”, zo begint de projectleider het vraaggesprek. Om een goed beeld ter schetsen van de ontwikkelingen met betrekking tot de IT beheerorganisatie (3.2.2.) en ook ten aanzien van informatiebeveiliging (3.2.3.) is het zinvol de inrichting toe te lichten. “Op dit moment heeft iedere medewerker op de campus zijn eigen pc op het bureau staan. Deze richt de medewerker naar zijn eigen smaak in, met in sommige gevallen eigen software. Deze situatie leidt tot inflexibiliteit, want dezelfde medewerker heeft, als hij bijvoorbeeld thuis wil werken, een andere werkplek dan de werkplek die hij op de campus naar eigen smaak heeft ingericht. Daarom is allereerst besloten om alle pc’s uniformeren. De pc’s worden voorzien van het besturingssysteem Windows 7 en de applicaties worden centraal vanuit ons datacenter aangeboden (virtuele packages) en niet meer lokaal op de pc geïnstalleerd”. “Hiermee benadert de gebruiker zijn complete werkplek vanuit het primaire data center van de universiteit. Als deze virtuele werkplek eenmaal is gerealiseerd, kan BYOD geïmplementeerd worden. Citrix wordt gebruikt als platform waarmee devices met diverse besturingssystemen (iOS, Andriod, Linux, Microsoft) hun virtuele werkplek kunnen benaderen. Citrix heeft namelijk voor al deze besturingssystemen zogenaamde ‘Citrix receivers’ ontwikkeld. De medewerker of student hoeft enkel deze receiver te downloaden en installeren op het persoonlijke device”. (Interview projectleider) De Rotterdamse universiteit implementeert dus BYOD volgens de ‘mobile display’ variant (zie subparagraaf 1.2.1.). Hiermee wordt een virtuele werkplek op het device weergegeven. Volgens de directeur SSC IT heeft het project impact op de IT beheerorganisatie: “De implementatie van BYOD resulteert in een verschuiving voor de IT medewerkers. Waar ze voorheen vooral technisch georiënteerd waren, zullen ze zich nu meer gaan richten op dienstverlening en communicatie. Een gevolg daarvan is dat we binnen de IT afdeling naar een hoger opleidingsniveau zullen gaan. De service desk medewerkers zijn nu nog vooral MBO-geschoold, maar zullen op termijn waarschijnlijk hoger opgeleid moeten zijn om te voldoen aan de eisen van een moderne IT afdeling”. (Interview directeur SCC IT) De service manager is het eens met deze verandering: “Ik verwacht niet direct een verandering in het aantal IT medewerkers, maar wel in de competenties die mijn medewerkers moeten bezitten. Medewerkers moeten meer gefocust zijn op de klant in plaats van op de techniek. Deze klantgerichtheid moet er toe leiden dat we – ongeacht het probleem van de klant (medewerker of student) – moeten denken in oplossingen voor de klant. De rol van IT wordt steeds meer ondersteunend in plaats van dirigerend. Mijn medewerkers zullen handleidingen opstellen voor de configuratie van courante modellen en kennis opdoen over het kernassortiment van devices”. De service manager verwacht dat de impact van de BYOD implementatie op de ITIL processen beperkt zal zijn: “Onze IT beheerprocessen zijn veelal gebaseerd op ITIL. De klassieke ITIL-processen gaan uit van een gestandaardiseerde omgeving. Met de invoering van BYOD vallen deze standaarden weg, want iedereen heeft straks een eigen – niet standaard – device. Wij moeten bepalen hoe en op welke manier wij onze dienstverlening daaraan gaan aanpassen. Overigens verwacht ik niet dat de ITIL-processen – op enkele details na – zullen veranderen. Operationele processen als change management, patch 36
management, incident management, problem management en configuratie management blijven dezelfde activiteiten bevatten, waarbij de verandering zit in het feit dat wij meer afstand gaan nemen van de devices. Wij doen een stapje terug naar de virtuele omgeving, voeren daar de wijzigingen door en installeren de patches. Met betrekking tot incident management en problem management verwacht ik geen toename van het aantal incidenten of problemen door de invoering van BYOD. Applicaties worden steeds meer web based en dus device onafhankelijk. Op het moment zijn ze binnen de IT afdeling al bezig met een BYOD pilot en ook hier zien we geen duidelijke verandering in het aantal incidenten of problemen. Ik heb nog geen enkele keer gehoord dat een device niet overweg kon met een van onze applicaties”. (Interview service manager) Overigens gaat de behoefte van de klant naar meer flexibiliteit en mobiliteit, gepaard met de behoefte naar meer snelheid. Volgens directeur SCC IT voldoet de huidige IT beheerorganisatie nog niet voldoende aan de eisen van de klant: “Onze sevice desk medewerker is bij een relatief groot aantal incidenten (30 á 40%) afhankelijk van onze tweedelijns support. In de huidige omgeving moet dit aantal worden teruggebracht en moet het streven zijn 80 á 90% van de incidenten in de eerste lijn op te lossen. Om dit te realiseren zal het niveau van onze service desk verder omhoog moeten, zoals ik eerder al aangaf”. Dit is dus geen direct gevolg van de invoering van BYOD, maar heeft wel te maken met de veranderende behoeftes van klanten. (Interview directeur SCC IT) Een ander ITIL-proces is configuratiemanagement. Via dit proces worden de componenten van de IT-infrastructuur geregistreerd. Mobile Device Management (MDM) is de variant waarmee mobiele devices waarmee toegang wordt verkregen tot het bedrijfsnetwerk worden gemonitord, gemanaged en geregistreerd. Binnen de EUR wordt MDM beperkt toegepast: “Er is geen centrale registratie met alle devices die ons netwerk benaderen”, aldus de service manager. (Interview service manager) Volgens de directeur SCC IT wordt toegang van deze devices wel gelogd: “We loggen alle IP-adressen die ons netwerk binnendringen. Op het moment dat we een apparaat detecteren waarvan we het vermoeden hebben dat deze mogelijk niet goed geconfigureerd is, zetten we deze onmiddellijk over op een ander netwerk waar het apparaat geen kwaad kan doen. Zo proberen we virussen op te sporen”. (Interview directeur SCC IT) De impact van BYOD op de IT beheerorganisatie lijkt dus niet zo groot voor de operationele processen, maar daarentegen zal de rol van de afdeling/medewerker wel anders worden. De service manager ziet de relatie tussen de IT afdeling en de klant ook veranderen: “De relatie en de afspraken tussen IT afdeling en de klant veranderen. De vanzelfsprekendheid dat een IT gerelateerde vraag terecht komt bij afdeling IT is aan het verdwijnen. Allereerst omdat wij niet de kennis in huis (kunnen) hebben met betrekking tot alle devices die op de markt zijn. Daarnaast zijn medewerkers en studenten niet meer afhankelijk van onze afdeling en onze apparatuur. Zij kunnen bij wijze van spreken bij elke elektronicazaak een device aanschaffen en gebruik maken van de service van deze zaak”. “Daarmee verliezen we een stuk controle, maar deze geven we ook bewust uit handen. We zullen bijvoorbeeld enkel verantwoordelijk zijn voor het technisch beheer van de apparaten die via ons besteld zijn. Een Europese aanbesteding heeft bepaald dat wij onze hardware moeten inkopen bij een bepaalde leverancier en deze levert ons courante types. Ik verwacht van mijn medewerkers dat ze de kennis beschikken over deze devices, want 37
hierover dragen wij immers de verantwoordelijkheid. De apparaten die medewerkers/studenten zelf aanschaffen zullen we in redelijke mate ondersteunen, maar daar worden we niet op afgerekend. Hoe dit ‘in redelijke mate ondersteunen’ er precies uit gaat zien weten we nog niet. Sommige IT medewerkers vinden dat wij niets moeten doen met devices die privé-eigendom zijn, anderen vinden dat we ook de eindgebruiker met een privé-device moeten ondersteunen, ook al ontbreekt in eerste instantie de kennis over het device. Tussen deze twee uitersten zullen we uiteindelijk een middenweg kiezen. Deze afspraken zullen worden vastgelegd in de vernieuwde versie van de producten- en dienstencatalogus”. (Interview service manager) De controle op de devices die het bedrijfsnetwerk van de EUR benaderen neemt af. Deze afnemende controle maakt de mogelijkheid voor uitbesteding van bepaalde werkzaamheden relevanter. “Universiteiten zijn daar over het algemeen huiverig voor”, aldus de service manager. “Het verliezen van de controle over kritische gegevens (intellectueel eigendom) vinden we beangstigend. We willen onze gegevens niet in – bijvoorbeeld – Amerikaanse handen hebben. Aan de andere kant zijn er minder kritische gegevens die wel in aanmerking komen voor uitbesteding. Afhankelijk van het type data moet deze afweging worden gemaakt”. (Interview service manager) De security manager ziet ook een toekomst voor uitbesteding en eventueel cloud computing. “In de toekomst zullen we veel gegevens in de cloud hebben staan. We moeten echter starten met een classificatie van onze informatie(-systemen) om te bepalen welke gegevens daarvoor in aanmerking komen en welke niet. Vervolgens is het belangrijk goede afspraken (bijvoorbeeld via Service Level Agreement) te maken met en zekerheid (bijvoorbeeld via ISAE 3402 verklaring) te verkrijgen over de leveranciers waar we onze gegevens plaatsen”. (Interview security manager) De directeur SSC IT heeft dezelfde mening: “Voor bepaalde processen is uitbesteding een mogelijkheid die bestudeerd moet worden. Hierbij moeten we ons telkens afvragen wat de toegevoegde waarde is om voor uitbesteding te kiezen en of we op een goede manier de regie kunnen blijven voeren. We kunnen leveranciers vragen werkzaamheden voor ons uit te voeren, maar we moeten vervolgens wel kunnen controleren of ze het goede doen. Dan wordt leveranciers- en contractmanagement heel belangrijk”. (Interview directeur SCC IT) De literatuurstudie in hoofdstuk 2 heeft de gevolgen van BYOD voor de IT beheerorganisatie op velerlei wijzen beschreven. In 2012 stelde het Baseline Magazine de 10 BYOD-geboden op. De eerste van deze richtlijnen luidde ‘u zult alle apparaten registreren bij de manager’, waarmee de aandacht wordt gevestigd op een adequaat Mobile Device Management (MDM). Onderzoek van eWeek (2012) waarin de 10 grootste risico’s bij de invoer van BYOD op een rij worden gezet toont aan dat het wel voeren van een MDM risicovol is (IT beheerorganisatie wordt – deels – verantwoordelijk voor persoonlijke devices), maar ook dat het niet voeren van een MDM risico’s met zich meebrengt (leidt tot groot aantal onbeheerde apparaten). Dit geeft aan dat het vraagstuk ‘in welke mate ondersteuning moet worden verleend’ tot hoofdbrekens leidt. Volgens Citrix (2011) bood 54% van de organisaties in 2011 ondersteuning aan privé devices, maar zal dit percentage eind 2013 groeien tot 80 à 90%. Desondanks lijken 38
eindgebruikers niet overtuigd over de kwaliteit van de ondersteuning. Uit hetzelfde onderzoek blijkt dat 40% van de ondervraagden zich hier zorgen om maakt. VMware (2012) onderzocht dat medewerkers in Japan weinig (22% van de medewerkers) gebruik maken van privé devices, omdat de ondersteuning volgens hen te wensen over laat. Een succesvolle implementatie van BYOD valt of staat met een goede ondersteuning. Dat het niet eenvoudig is een goede ondersteuning te bieden blijkt ook uit de theorie. Computerwoche (2012) ondervroeg CIO’s en IT managers en stelde dat van deze groep professionals: • 76% verwacht dat de druk op beheer en ondersteuning gaat toenemen; • 80% van mening is dat zij door BYOD de controle over het bedrijfsnetwerk kwijtraken; • 74% het als lastig omschrijft om persoonlijke apparaten in het netwerk in te passen. Het eerder genoemde onderzoek van eWeek (2012) onderkent tevens als één van de tien risico’s dat ‘IT ondersteuning vaak onvoldoende toegerust is voor het ondersteunen van eindgebruikers die problemen hebben met smartphones en tablets, in combinatie met bedrijfsapplicaties en zakelijke documenten’. Adelaar en Peek (2013) wijzen erop dat elke organisatie uniek is en er geen blauwdruk bestaat om bovenstaande vraagstukken te ondervangen. Zij stellen dat de inrichting van de IT beheerorganisatie in een BYOD-situatie de overkoepelende en belangrijkste uitdaging is voor organisaties. Volgens Bring IT (2012) verschuift hierbij de rol van dicteren en dirigeren naar faciliteren en mogelijk controleren. Ook het artikel van De Vrede (2012) onderschrijft dat de invoering van BYOD een flinke impact heeft op het IT beheer. Zij benadrukt van keuzes maken, want organisaties kunnen niet alles, voor alle apparaten, tot op elk niveau ondersteunen. Verrichte onderzoeken tonen aan dat het inrichten van een adequate IT beheerorganisatie complex is, voor elke organisatie anders is en dat het begint met het maken van de juiste keuzes met betrekking tot hetgeen je wel en niet ondersteunt. Binnen de EUR is men zich bewust van dit belangrijke vraagstuk. De service manager en de directeur SSC IT hebben beide aandacht voor deze kwestie, maar hebben nog niet alle beslissingen genomen. Op het moment dat er al een pilot loopt en BYOD nog in 2013 in de gehele organisatie wordt geïmplementeerd, moeten dus in een laat stadium nog een aantal heel belangrijke knopen worden doorgehakt. “Mijn functie is security manager en ik ben verantwoordelijk voor informatiebeveiliging binnen de gehele universiteit, waarbij ik me focus op IT gerelateerde zaken”. Op deze manier stelde de security manager zich voor. Het wekte de verbazing toen hij vervolgens zijn rol binnen het project ‘ontwikkeling van de nieuwe IT werkplek’ beschreef: “Mijn rol binnen het project is beperkt, ik maak geen deel uit van de projectgroep. Omdat ik hoorde van het project en het mijn interesse aanwakkerde, ben ik op een gegeven moment naar de projectgroep toegestapt om erover te informeren. Ik heb die ene keer dus met de projectgroep gesproken over de ontwikkeling van de nieuwe IT-werkplek, BYOD en informatiebeveiliging in deze context, maar tot verdere betrokkenheid is het niet gekomen. In mijn ogen is dit te weinig”. (Interview security manager) Aangezien informatiebeveiliging een belangrijk aspect is binnen de implementatie van BYOD, had ik andere verwachtingen. Het gesprek met de directeur SSC IT had me echter ook al geleerd dat bewustwording over informatiebeveiliging beperkt aanwezig is binnen de gehele organisatie: “Een paar jaar geleden hebben we een security manager aangetrokken 39
binnen de universiteit. We hebben hem gevraagd te beginnen bij de basis: bewustwording creëren met betrekking tot informatiebeveiliging. In een organisatie als deze vinden de meeste professionals in het onderwijs en onderzoek iedere drempel die opgeworpen wordt een beperking van de vrijheid. Daarom is het des te belangrijker deze mensen er goed van te doorgronden dat deze maatregelen niet worden genomen om de ‘medewerker te pesten’, maar om de betrouwbaarheid van gegevens en de beschikbaarheid van de voorzieningen te waarborgen. Daarmee zijn ze uiteindelijk ook voordelig voor de professional”. (Interview directeur SCC IT) Hoewel de bewustwording over het algemeen dus beperkt is, zijn bepaalde afdelingen zich wel degelijk bewust van de mogelijke risico’s rondom BYOD, zo vertelt de security manager: “Afdeling Juridische Zaken vind de gegevens die door haar systemen loopt erg kritisch en de beveiligingsmaatregelen die zijn getroffen met betrekking tot de implementatie van BYOD te beperkt. Daarom hebben ze al bij ons aangeklopt voor additionele maatregelen. Wij willen ze helpen en zullen de devices van deze afdeling extra beveiligen met bijvoorbeeld een ‘screen lock-out’ na 15 minuten. Deze wordt niet centraal afgedwongen en dus kunnen wij ons enkel beperken tot een advies. We zullen een handleiding maken, zodat gebruikers de schermbeveiliging zelf op het apparaat kunnen configureren. Helaas hangt het van de gebruiker zelf af of hij deze maatregel daadwerkelijk implementeert. We zijn niet in control”. De security manager ziet meer tekortkomingen: “Ik zie risico’s met betrekking tot dit project en de verwerking van de gegevens op de devices. In mijn optiek had er een risicoanalyse moeten plaatsvinden op basis waarvan we een classificatie van informatie(systemen) hadden kunnen maken. Deze had geresulteerd in (1) kritische gegevens die niet via BYOD benaderd mogen worden en (2) minder kritische gegevens waar men wel via BYOD toegang tot kan verkrijgen. Volgens mij toont dit ook aan dat de gebruikersorganisatie onvoldoende betrokken is bij het project. Er zijn namelijk afdelingen (zoals Juridische Zaken) die voor zichzelf wel het onderscheid maken tussen kritische gegevens en minder kritische gegevens. Het is een gemiste kans dat deze vragen niet in de beginfase zijn gesteld aan de gebruikersorganisatie. Ik ben bang dat dit er uiteindelijk toe kan leiden dat we aan de achterkant herstelwerkzaamheden moeten uitvoeren, omdat aan de voorkant onvoldoende aandacht is besteed aan de eindgebruikers”. Ook met betrekking tot andere belangrijke beheersmaatregelen ten aanzien van informatiebeveiliging is de security manager overwegend somber: “Gebruikers leggen via een Citrix receiver contact met het bedrijfsnetwerk. Vervolgens loggen ze in met gebruikersnaam (medewerker- of studentennummer) en wachtwoord. Het wachtwoord- en accountbeleid voldoet vooralsnog niet aan de gestelde eisen. We hebben wel (zoals hierboven beschreven in subparagraaf 3.2.1.) een voorstel gedaan voor een nieuw beleid. Binnen dit beleid moeten gebruikers het wachtwoord elke 180 dagen wijzigen (voorheen: geen periodieke wijziging), moet de lengte van het wachtwoord minimaal tien tekens zijn en wordt ook complexiteit afgedwongen. Het is typerend dat wij van informatiebeveiliging onafhankelijk van het project ‘ontwikkeling van de nieuwe IT-werkplek’ deze aanscherping hebben moeten doorvoeren, maar het is in elk geval een verbetering op het gebied van informatiebeveiliging. Zoals ook al eerder vermeld wordt ook een met wachtwoord beveiligde schermbeveiliging na een periode van inactiviteit niet centraal afgedwongen. Het 40
lijkt er daarmee op dat de focus van het project vooral is gericht op het mogelijk maken van BYOD en dat het waarborgen van de betrouwbaarheid van informatie geen prioriteit heeft”. (Interview security manager) Een terugblik naar de theorie leert ons allereerst dat de situatie op de Erasmus universiteit niet zeldzaam is. Uit onderzoek van Avenade (2012) bleek namelijk dat 60% van de bedrijven bezig is met het aanpassen van de IT-infrastructuur om BYOD mogelijk te maken. Deze bedrijven maken zich ook zorgen over risico’s met betrekking tot informatiebeveiliging, maar weigeren vervolgens te investeren in het aanpakken van de risico’s. Deze organisaties zijn zich nog bewust zijn van de risico’s, maar Stedehouder (2012) stelt dat consumentenelektronica zich focust op gebruikersgemak en weinig aandacht schenkt aan de (on)mogelijkheden, voor- en nadelen en kansen en risico’s van de technologie. NAE/NRC (2002) constateerden ruim tien jaar geleden al dat het gemak waarmee technologie gebruikt wordt (vaardigheden), niets te maken heeft met begrip van de technologie (kennis). Het gevaar van bovenstaande constatering is dat gebruikers (medewerkers/studenten) weliswaar heel vaardig kunnen zijn in het gebruik van technologie, maar zich desondanks beperkt bewust zijn van de risico’s die het gebruik van technologie met zich meebrengt. Waar het risicobewustzijn dus niet altijd aanwezig is, wijzen Adelaar en Peek (2013) op het belang van de juiste maatregelen met betrekking tot informatiebeveiliging. De juiste beveiligingsmaatregelen moeten worden genomen om de betrouwbaarheid van informatie te waarborgen. Beveiliging is een complex, gelaagd vraagstuk en omvat de mobiele apparaten, de netwerkomgeving, data en informatie. Voor elk niveau kunnen beveiligingsmaatregelen worden getroffen. In subparagraaf 3.3 zal nader aandacht worden besteed aan concrete risico’s en maatregelen zoals deze in de theorie en de praktijk worden geïdentificeerd. De theorie laat zien dat het bewustzijn over de risico’s met betrekking tot BYOD en informatiebeveiliging vaak te wensen over laat. De focus van consumentenelektronica ligt primair op gebruikersgemak. Desondanks tonen onderzoekers aan dat de juiste beveiligingsmaatregelen moeten worden genomen om de betrouwbaarheid van informatie te waarborgen. Deze theorieën zijn door te vertalen naar de EUR. Ook daar lijkt men zich niet bewust van de risico’s, is er vooral aandacht voor het gebruikersgemak en zijn bepaalde beveiligingsmaatregelen niet genomen die wel genomen hadden moeten worden om de betrouwbaarheid van gegevens te waarborgen. 3.2.3. Vertrouwelijkheid van gegevens Onderzoekers hebben diverse studies gedaan naar de risico’s met betrekking tot de vertrouwelijkheid van gegevens. In vergelijking met de risico’s die zijn beschreven over integriteit en beschikbaarheid van data, brengt het verlies van vertrouwelijkheid van gegevens de meeste risico’s met zich mee. Hilhorst en Schrama (2012) wijzen hier op het risico van verlies van gegevens (verlies, diefstal), onbevoegde toegang tot gegevens, opslag van gegevens buiten het device, hacking en beveiligingslekken. ENISA (2010) onderschrijft deze risico’s en voegt hier een achttal aan toe: onbedoelde onthulling van gegevens, beperkt vernietigen van data, connectie met onbetrouwbaar netwerk, gebruik van onbetrouwbare app, spyware, phishing, diallerware en malware. 41
Andere onderzoeken bevestigen dat de zojuist genoemde risico’s de belangrijkste zijn en bekijken bepaalde risico’s vanuit een bepaalde invalshoek. Zo beschrijft eWeek (2012) specifiek het risico van back-up en dan met name de opslag van deze gegevens. In iets meer algemene bewoordingen is dit risico echter al door eerdere onderzoekers benoemd (opslag van gegevens buiten het device). Maatregelen om deze risico’s te mitigeren worden ook beschreven in de theorie. Adelaar & Peek (2013) noemen beveiliging een complex, gelaagd vraagstuk waar verschillende maatregelen genomen moeten worden om de vertrouwelijkheid van gegevens te waarborgen. Deze maatregelen zijn authenticatie, encryptie, het instellen van een PIN, ‘lock screen time out’ en ‘remote lock en/of wipe’. NetIQ (2013) heeft onderzoek gedaan naar de tien belangrijkste maatregelen om BYODrisico’s te kunnen mitigeren. Maatregelen die onder meer de vertrouwelijkheid van gegevens bevorderen zijn: dwing toegangscontroles af, bewaak toegang tot bedrijfsgevoelige gegevens en versleutel alle bedrijfsgegevens die op een persoonlijk apparaat terecht (kunnen) komen. Deze maatregelen komen voor een groot deel overeen met hetgeen door Adelaar & Peek is beschreven. Het praktijkonderzoek bij de Erasmus universiteit in Rotterdam heeft inzicht gegeven in de maatregelen die door deze onderwijsinstelling zijn genomen. Hieronder een overzicht van de maatregelen die de vertrouwelijkheid van gegevens waarborgen: • Gebruikers loggen in via hun persoonlijke device op een virtuele werkplek. Hiermee is het in principe niet mogelijk om kritische documenten lokaal (op het device) op te slaan. • Gebruikers loggen in middels gebruikersnaam en wachtwoord. Het wachtwoord- en accountbeleid voldoet – mits het wordt goedgekeurd door de Stuurgroep – aan een aantal belangrijke eisen: o Verplichte periodieke wijziging elke 180 dagen; o Minimale lengte van tien tekens; o Wachtwoordcomplexiteit (hoofdletters, cijfers, tekens) wordt afgedwongen Een adequaat wachtwoord- en accountbeleid mitigeert het risico op onbevoegde toegang tot de virtuele omgeving. • Alle gegevens (kritisch en minder kritisch) worden dagelijks geback-upt via de back-up server op de campus. Hiermee wordt het risico van opslag (back-up) van gegevens buiten het device gemitigeerd. • De EUR beschikt over een virusscanner op de virtuele omgeving. Deze virusscanner beveiligt het bedrijfsnetwerk tegen allerlei bedreigingen. • Alle apparaten die het bedrijfsnetwerk benaderen worden gelogd. Als een apparaat wordt gedetecteerd die mogelijke gevaren met zich meebrengt, wordt deze onmiddellijk uit het bedrijfsnetwerk gehaald. (Interviews met diverse medewerkers EUR) Een aantal andere maatregelen zijn niet genomen: • Een met wachtwoord beveiligde schermbeveiliging na een periode van inactiviteit wordt niet centraal (via de Citrix policy) afgedwongen. Hiermee wordt het risico op onbevoegde toegang vergroot. • De EUR is niet in staat een ‘remote lock en/of wipe’ van een device te verrichten. Omdat de onderwijsinstelling een virtuele werkplek heeft gecreëerd, heeft het ontbreken van deze maatregel niet veel impact. Bij verlies of diefstal hoeft de 42
universiteit enkel te zorgen dat ze het account om toegang te krijgen tot de virtuele werkplek blokkeert. • Een procedure of stappenplan die moet worden gevolgd bij diefstal of verlies is niet aanwezig. Om het account na diefstal of verlies zo snel mogelijk te blokkeren zou je een dergelijke procedure verwachten. Het ontbreken hiervan vergroot het risico op onbevoegde toegang. • Uitdienstgetreden medewerkers kunnen gedurende twee maanden (‘grace period’) na uitdiensttreding nog gebruik maken van het account. Zeker nu medewerkers met behulp van BYOD overal en altijd kunnen inloggen, vergroot dit het risico van onbevoegde toegang. (Interviews met diverse medewerkers EUR) Samenvattend kan worden gesteld dat verschillende maatregelen zijn genomen. Deze maatregelen mitigeren o.a. een aantal belangrijke risico’s: verlies van gegevens (verlies, diefstal), opslag van gegevens buiten het device, onbedoelde onthulling van gegevens en beveiligingslekken. De maatregelen met betrekking tot het risico op onbevoegde toegang tot het bedrijfsnetwerk kunnen verder worden aangescherpt. 3.2.4. Integriteit van gegevens In de theorie worden de risico’s ten aanzien van de integriteit van gegevens in verschillende onderzoeken beschreven. Hilhorst en Schrama (2012) benoemen de volgende risico’s: onzorgvuldig gebruik, doorbreken van beveiliging, installatie van kwaadaardige software en problemen met de synchronisatie. ENISA (2010) vult aan dat onbevoegde toegang tot gegevens niet alleen leidt tot een verlies van vertrouwelijkheid, maar ook risico is voor de integriteit van gegevens. Het is overigens over het algemeen een relevantie constatering dat het ene type risico automatisch leidt tot een ander type risico. Als er bijvoorbeeld een beveiligingslek blijkt te zijn (risico op verlies van vertrouwelijkheid van data), leidt dat tot het risico dat deze data niet meer juist en volledig zijn (risico op verlies van integriteit van data). eWeek (2012) voegt hier tenslotte het risico van het niet voeren van een Mobile Device Management (MDM) aan toe, want dit leidt mogelijk tot onbeheerde apparaten. Risico’s met betrekking tot de integriteit van gegevens kunnen ook gemitigeerd worden via verschillende maatregelen. Deze maatregelen zijn voor een groot deel al beschreven in de vorige subparagraaf, want waar bijvoorbeeld authenticatie ervoor zorgt dat niet iedereen op het device kan inloggen (bevordert vertrouwelijkheid), verkleint hiermee ook de kans dat een ongeautoriseerd persoon gegevens kan muteren (bevordert integriteit). Naast deze geautomatiseerde maatregelen is het minstens zo belangrijk het contact met de eindgebruikers te zoeken inzake deze risico’s. Bring IT (2012) betitelt het op voorhand maken van duidelijke afspraken met de gebruikers als cruciaal voor het slagen van een BYOD implementatie. De mate van de integriteit van gegevens binnen een organisatie valt of staat met de bewustwording van de aanwezige risico’s bij de eindgebruikers. Via een gebruikersovereenkomst of aanvulling op het arbeidscontract kunnen de rechten en plichten omtrent het omgaan met zakelijke data, beheer en privacy beschreven worden. Ook NetIQ benadrukt het belang van bewustwording. De top drie van maatregelen die BYOD tot een succes helpen maken helpen ook mee deze bewustwording binnen een 43
organisatie te creëren of te vergroten: (1) zorg voor een veiligheidscultuur, (2) zorg voor goede opleiding en training van de medewerkers en (3) ontwerp een duidelijk BYOD-beleid. Met betrekking tot de integriteitsrisico’s heeft de Rotterdamse universiteit ook verschillende maatregelen genomen. De onderwijsinstelling beschikt over een virusscanner op de virtuele werkplek, logt alle activiteiten op het netwerk en detecteert eventuele devices die mogelijk de integriteit van gegevens in gevaar brengen. Hiermee worden een aantal belangrijke risico’s gemitigeerd: doorbreken van beveiliging en installatie van kwaadaardige software. Daarnaast bevorderen de overige maatregelen die in subparagraaf 3.3.1. zijn genoemd naast de vertrouwelijkheid van gegevens ook de integriteit van gegevens. Het risico van onzorgvuldig gebruik wordt echter onvoldoende gemitigeerd. De EUR beschikt weliswaar over een integriteitsverklaring die door elke medewerker moet worden getekend, maar een BYOD-beleid is niet opgesteld en opleiding/training van de eindgebruikers met betrekking tot de risico’s omtrent BYOD blijft ook beperkt tot de medewerkers van de IT afdeling. (Interviews met diverse medewerkers EUR) 3.2.5. Beschikbaarheid van gegevens De beschreven literatuur wijdt – in vergelijking tot vertrouwelijkheid en integriteit – minder uit over risico’s in relatie met de beschikbaarheid van gegevens. Onvoldoende beschikbaarheid van het communicatiekanaal is het enige risico dat door Hilhorst en Schrama (2012) wordt aangeduid in deze categorie. Ook ENISA (2010) benoemt enkel het risico van een overbelast netwerk in deze categorie. Hoewel er telkens maar één risico wordt aangehaald, is het wel een zeer relevant risico. Het is er organisaties alles aan gelegen om de beschikbaarheid van het netwerk te waarborgen. Onderzoek van eWeek (2012) levert niet direct een risico met betrekking tot de beschikbaarheid van gegevens op, maar deze studie benadrukt het belang van goede IT ondersteuning en een helder BYOD beleid. Als dit onvoldoende aandacht krijgt kan dit wel directe gevolgen hebben voor de beschikbaarheid van gegevens. Net zoals over de risico’s wordt ook over mogelijke maatregelen ten aanzien van beschikbaarheid van gegevens niet uitgebreid geschreven in de aanwezige literatuur. Om het risico dat het netwerk overbelast wordt of onvoldoende beschikbaar is te mitigeren geven onderzoekers aan dat organisaties rekening moeten houden met een toename van devices. Waar de eindgebruikers voorheen enkel met zijn pc op kantoor en in sommige gevallen met een pc thuis het bedrijfsnetwerk benaderden, wordt dit scala aan mogelijke apparaten die toegang tot het netwerk verkrijgen flink uitgebreid met laptops, tablets en smartphones. Het bedrijfsnetwerk moet daar klaar voor zijn. Goede IT ondersteuning en een helder IT beleid helpen hier bij, zoals in de vorige alinea is beschreven. Daarnaast is eerder al beschreven dat de verschillende risico’s en maatregelen niet los van elkaar gezien kunnen worden. Op het moment dat maatregelen zijn genomen die de integriteit en vertrouwelijkheid van de gegevens waarborgen, bevordert dat in veel gevallen ook de beschikbaarheid van gegevens.
44
“Bij de EUR is beschikbaarheid geen issue”, zo luidt de unanieme mening van de contactpersonen op de EUR. Volgens de directeur SSC IT wordt de volgende stelregel gehanteerd: ‘het netwerk mag nooit limitatief zijn voor het verkeer dat erover kan gaan’. “Binnen de universiteit wordt het netwerk op een dermate hoog technologisch niveau gehouden dat de beschikbaarheid – voor alle applicaties – is gegarandeerd, ook met de invoering van BYOD”. Dit betekent wel dat we regelmatig moeten investeren in ons netwerk”, aldus de directeur SSC IT. Het lijkt er dus op dat het risico op onvoldoende beschikbaarheid of overbelasting van het communicatiekanaal voldoende is gemitigeerd. De security manager verwoordde het al treffend: “Beschikbaarheid lijkt voor deze universiteit veel belangrijker dan vertrouwelijkheid en integriteit”. (Interviews met diverse medewerkers EUR) 3.3. Samenvatting praktijkonderzoek In dit hoofdstuk is literatuuronderzoek uitgevoerd om antwoord te krijgen op onderstaande deelvragen: • Welke risico’s zijn te onderkennen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens als gevolg van ‘Bring your own device’ in een universiteit? • Welke maatregelen kunnen IT beheerorganisaties inrichten om de risico’s omtrent ‘Bring your own device’ te mitigeren in een universitaire omgeving? De casestudy bij de Erasmus universiteit in Rotterdam heeft aangetoond waar een IT organisatie mee te maken krijgt bij de invoering van BYOD. Er is gesproken met medewerkers die direct betrokken zijn bij het project, of van wie directe betrokkenheid kon worden verwacht. Tijdens het eerste gesprek met de directeur SSC IT is het strategisch document ‘advies ontwikkeling IT-werkplek’ ontvangen. Hierin wordt uiteengezet dat ontwikkelingen als de toenemende vraag naar flexibiliteit en mobiliteit en de ambitie om hoogwaardig onderwijs te bieden uiteindelijk hebben geleid tot de naderende implementatie van BYOD, als onderdeel van het grotere project ‘ontwikkeling van de nieuwe IT-werkplek’. De vertaling van de zojuist beschreven strategie naar een beleidsstuk met o.a. een classificatie van informatie(-systemen) op basis van een risicoanalyse en concrete maatregelen heeft niet plaatsgevonden. De implementatie van BYOD zal volgens de planning nog in 2013 worden afgerond en dit heeft ook impact op de IT beheerorganisatie. Naar verwachting zullen de operationele processen (bijv. change management, incident management) in grote lijnen hetzelfde blijven, maar zit de verandering met name in de houding en competenties van de mensen. De medewerkers zullen klantgerichter moeten worden en de focus moet niet zozeer meer liggen op het dicteren en dirigeren, maar op het faciliteren en – waar mogelijk – controleren. Om dit allemaal vorm te geven moet eerst besloten worden hoe de nieuwe dienstverlening eruit gaat zien (wat ondersteunen we wel en wat niet?). Gezien de fase waarin het project zich bevindt is het aan te raden voor de EUR deze beslissingen snel te nemen. Op het gebied van informatiebeveiliging zie je dat de Rotterdamse universiteit voldoet aan het algemene beeld dat beschreven wordt in de theorie. De onderwijsinstelling is zich nog 45
niet heel bewust van de risico’s die de invoering van BYOD met zich meebrengt en focust zich met name op het technisch mogelijk maken van BYOD. Daardoor zie je dat bepaalde beveiligingsmaatregelen (nog) niet zijn genomen, waar je deze wel zou verwachten. Hoewel niet alle verwachte maatregelen geïmplementeerd zijn, leren de gesprekken dat de EUR wel degelijk maatregelen heeft ingevoerd om een aantal belangrijke risico’s te mitigeren. Zo is het wachtwoord- en accountbeleid voor toegang tot het bedrijfsnetwerk aangescherpt, worden activiteiten op de virtuele omgeving gelogd en kunnen devices die een mogelijk gevaar zijn voor de betrouwbaarheid van gegevens worden verwijderd. Risicogebieden die nog onvoldoende ondervangen zijn met maatregelen zijn het risico op onbevoegde toegang (verlies van vertrouwelijkheid) en het risico op onzorgvuldig gebruik (verlies van integriteit). Op basis van interview is vastgesteld dat de beschikbaarheid van gegevens ook in de nieuwe situatie is gegarandeerd. De focus binnen de EUR concentreert zich wellicht te veel op beschikbaarheid, waar het waarborgen van de vertrouwelijkheid en integriteit van gegevens nog aandacht nodig heeft.
Nederland raakt BYOD-voorsprong kwijt Nederlandse bedrijven zijn minder tolerant geworden in het toestaan van privéapparaten op de werkvloer. Vorig jaar liep ons land nog voorop in het toestaan van Bring Your Own Device, inmiddels zijn we ingehaald door andere westerse landen. Dat blijkt uit het onderzoek 'Workplace of the Future', dat is uitgevoerd door Vanson Bourne in opdracht van Citrix. In het onderzoek werden 1900 IT-managers in negentien landen ondervraagd naar de werkplek van de toekomst. Slechts 26 procent van de Nederlandse werknemers wordt gestimuleerd om een eigen apparaat mee te nemen naar de werkvloer. Internationaal is dat 36 procent. Ook hebben Nederlandse IT-managers er minder moeite mee om privéapparaten te verbannen van de werkvloer. Opvallend is ook dat Nederlandse werknemers relatief weinig apparaten (desktops, laptops, tablets of smartphones) gebruiken op de werkvloer: gemiddeld 2,6 tegenover 4,4 internationaal. De daling van de populariteit van BYOD is voor een deel te verklaren door het lage vertrouwen van IT-managers in technologie. Slechts driekwart van de ondervraagden gelooft dat het nu al technisch mogelijk is om medewerkers buiten kantoor dezelfde toegang te geven tot data en applicaties als wanneer ze op kantoor zijn. Internationaal is dat 87 procent, in China zelfs tegen de 100 procent. 'Het is opvallend dat de voorsprong van Nederland zo snel lijkt te zijn omgebogen in een achterstand', zegt Peter van Leest, acting area vice president bij Citrix Benelux. 'Blijkbaar zijn managers terughoudender aan het worden in hun BYOD-beleid.' Er is echter ook een lichtpuntje in het onderzoek: het gebruik van desktopvirtualisatie is hoger in Nederland dan in alle andere onderzochte landen. Zeven op de tien bedrijven is van plan om desktopvirtualisatie te gaan gebruiken om mobiele werkstijlen te ondersteunen, tegenover 58 procent internationaal. Ook scoort Nederland met 65 procent tegenover 57 procent internationaal hoog in het gebruik van mobile device management (MDM). Highlight 3 (Computable, 15-10-2012) 46
4. Beantwoording centrale vraagstelling De centrale vraag van het onderzoek luidt als volgt: Wat zijn de gevolgen voor IT beheer als gevolg van de invoering van BYOD in een universitaire omgeving, in relatie tot de CIA-factoren? Hiertoe is antwoord gegeven op de volgende deelvragen: Wat betekent BYOD voor een (universitaire) organisatie en welke risicogebieden kunnen ontstaan? BYOD is ongeveer zes jaar geleden ontstaan en inmiddels een brede trend. Onderzoek wijst uit dat steeds meer organisaties het gebruik van persoonlijk apparaten voor zakelijke doeleinden mogelijk maken. BYOD is een antwoord op de steeds toenemende vraag naar mobiliteit, flexibiliteit en moderne apparatuur en vaak onderdeel van Het Nieuwe Werken. Een BYOD implementatie betekent voor een organisatie dat zij een hernieuwde blik moet werpen op de inrichting van de IT beheerorganisatie, waarbij een weloverwogen BYOD strategie, een helder BYOD beleid als uitgangspunt moeten dienen. Het leidt er ook toe dat maatregelen met betrekking tot informatiebeveiliging opnieuw onder de loep genomen moeten worden en dat van de IT medewerkers een andere attitude wordt gevraagd. Waar het dicteren en dirigeren voorheen centraal stond, wordt het steeds meer faciliteren en controleren in de nieuwe situatie. Deze overgang brengt ook risico’s en risicogebieden met zich mee. In dit onderzoek hebben we ons gericht op de risico’s op gebied van vertrouwelijkheid, integriteit en beschikbaarheid. Welke risico’s zijn te onderkennen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens als gevolg van ‘Bring your own device’ in een universiteit? Literatuur- en praktijkonderzoek hebben in kaart gebracht welke risico’s voor een universitaire omgeving te onderkennen zijn met betrekking tot de risicogebieden vertrouwelijkheid, integriteit en beschikbaarheid. Hieronder een aantal belangrijke risico’s: • Verlies van vertrouwelijkheid van gegevens o Verlies van het device; o Diefstal van het device; o Onbevoegde toegang tot het bedrijfsnetwerk; o Back-up naar externe plek (personal computer of leverancier); o Beveiligings- en datalekken. • Verlies van integriteit van gegevens o Onbevoegde toegang tot het bedrijfsnetwerk; o Onzorgvuldig gebruik van het device; o Doorbreken van de beveiliging van het bedrijfsnetwerk; o Niet voeren van een vorm van Mobile Device Management (leidt tot onbeheerde apparaten). • Verlies van beschikbaarheid van gegevens o Overbelast netwerk; o Beperkte dekking van het mobiele netwerk; o Onvoldoende ondersteuning van IT. Welke maatregelen kunnen IT beheerorganisaties inrichten om de risico’s omtrent ‘Bring your own device’ te mitigeren? Voor het daadwerkelijk inrichten van maatregelen om BYOD risico’s in een universitaire organisatie te mitigeren, gaan een aantal stappen vooraf. Allereerst moet op basis van de BYOD strategie (waarom implementeren we BYOD?) een BYOD beleid worden geformuleerd (op welke manier implementeren we BYOD?). Dit beleid bevat 47
achtergrondinformatie over BYOD, maar ook de bijbehorende risico’s en maatregelen. Het beleid kan tevens gebruikt worden om bewustwording te creëren binnen de universitaire omgeving. Als een universiteit erin slaagt middels het beleid, maar ook via nieuwsbrieven, presentaties en bijeenkomsten de medewerkers en studenten te bereiken en te informeren over de risico’s omtrent BYOD is de grootste stap gezet. Daarnaast is het heel belangrijk de IT beheerorganisatie op een adequate manier in te richten. Dit complexe vraagstuk is voor elke organisatie anders en begint met het maken van keuzes. Organisaties kunnen niet alles, voor alle apparaten, tot op elk niveau ondersteunen. Het is van belang te bepalen én te communiceren wat de IT beheerorganisatie wel ondersteunt, voor welke apparaten en tot op welk niveau. Voor aspecten die de IT beheerorganisatie niet ondersteunt kunnen alternatieven geboden worden. Zoals eerder geopperd zal de nadruk van het IT beheer immers vooral komen te liggen op de dienstverlening. Tenslotte kunnen universiteiten diverse concrete maatregelen nemen die bovenstaande risico’s mitigeren. Hieronder de belangrijkste maatregelen: • Verlies van vertrouwelijkheid van gegevens o Een adequaat wachtwoord- en accountbeleid voor toegang tot het bedrijfsnetwerk; o Voorkomen dat documenten lokaal op het device opgeslagen kunnen worden; o Centrale back-up van gegevens; o Het device van afstand kunnen ‘wipen’; o Afdwingen van een (met wachtwoord beveiligde) schermbeveiliging. • Verlies van integriteit van gegevens o Installeren van een goede virusscanner; o Voeren van een Mobile Device Management; o Een helder BYOD beleid ontwikkelen/communiceren. • Verlies van beschikbaarheid van gegevens o Opleiden/trainen van medewerkers; o Investeren in de capaciteit van het bedrijfsnetwerk. Samenvattend kan daarmee als antwoord op de centrale vraag worden geformuleerd dat de invoering van BYOD in een universitaire omgeving ertoe leidt dat IT beheer een hernieuwde blik moet werpen op de inrichting van de IT beheerorganisatie. Dit heeft allereerst een gedragsverandering van de medewerkers in de IT beheerorganisatie tot gevolg (van dicteren en dirigeren naar faciliteren en controleren). Daarnaast resulteert het in een herschikking van het pakket aan maatregelen om de risico’s met betrekking tot de CIA-factoren (vertrouwelijkheid, integriteit, beschikbaarheid) voldoende te mitigeren. Hierbij is het belangrijk aandacht te besteden aan een heldere BYOD strategie (waarom implementeren we BYOD), een adequaat beleid (op welke manier implementeren we BYOD) en met name aan het ontwikkelen van bewustwording ten opzichte van de risico’s omtrent BYOD bij de medewerkers en studenten.
48
Afsluiting In mijn eerste twee jaar als IT auditor ben ik in aanraking gekomen met diverse ontwikkelingen, en trends bij verschillende organisaties. Cloud computing, cybercrime, social media en Bring Your Own Device waren termen die ik regelmatig hoorde tijdens mijn klantenbezoeken. Waar cloud computing en social media vaak voldoende aandacht kregen en cybercrime door organisaties niet als een groot risico werd gezien, vroegen klanten zich geregeld af of BYOD een goed antwoord zou zijn op de toenemende vraag naar mobiliteit en flexibiliteit. Hierdoor werd mijn interesse voor het fenomeen BYOD aangewakkerd en besloot ik dat het een interessant onderwerp was voor mijn scriptie. Tijdens het literatuuronderzoek heb ik verschillende interessante studies en artikelen gelezen over de intrede van BYOD, de ontwikkeling van het verschijnsel over het afgelopen decennia en de mate waarin organisaties deze nieuwe trend hebben omarmd. Het viel me op dat er in relatief korte tijd al veel literatuur geschreven is en dat diverse toonaangevende organisaties op gebied van IT hun licht hebben laten schijnen over het fenomeen. Het praktijkonderzoek heb ik ook als zeer interessant ervaren. Bij de Erasmus Universiteit heb ik boeiende gesprekken gevoerd met de directeur SSC IT, de projectmanager, de security manager en de service manager. Het was opvallend duidelijk dat deze medewerkers BYOD alle vier vanuit een andere invalshoek benaderen. Deze verschillende perspectieven wezen me op de complexiteit van het realiseren van een uniform, breed gedragen beleid rondom het verschijnsel. Al met al was het uitvoeren van het onderzoek en het schrijven van de scriptie een leerzame uitdaging. Ik heb veel geleerd over BYOD en over de gevolgen hiervan voor een organisatie als de Erasmus Universiteit. Daarnaast heb ik ervaren dat het schrijven van een scriptie naast het reguliere werk meer inspanning vergt dan ik had verwacht.
49
Literatuurlijst Artikelen • Accenture (2012); Always on, always connected; Accenture • Adelaar T., Peek B. (2013); Casestudy naar het managen van de implementatie en de effecten; IT-Auditor • AIVD (2012); Bring your own device, choose your own device; AIVD • Baars, H., Hintzbergen J., Hintzbergen K., Smulders A. (2008); Basiskennis Beveiliging van Informatie; EXIN • Boom, Bos (2012); Informatiebeveiliging is van levensbelang; Boom en Bos • Bring IT (2012); Whitepaper Bring Your Own Device; Bring IT • Cisco (2012); Cisco Bring Your Own Device – Device Freedom Without Compromising the IT Network; Cisco • Citrix (2011); IT Organizations Embrace Bring-Your-Own Devices; Citrix • Dam M., Wessels K. (2008); The human firewall of behavioral information security; Radboud Universiteit Nijmegen • Erasmus universiteit Rotterdam (2010); Advies ontwikkeling universitaire werkplek; Erasmus universiteit Rotterdam • Erasmus universiteit Rotterdam (2009); Informatiebeveiligingsbeleid – naar een gewenst informatiebeviligingsniveau; Erasmus universiteit Rotterdam • Hilhorst, G., Schrama K. (2012); Bring your own device. Een verantwoord gebruik binnen uw organisatie; PwC, Advisory Services • CPB (2013); CBP Richtsnoeren - Beveiliging van persoonsgegevens; College Bescherming Persoonsgegevens • IT Governance Institute (2001); Board briefing on IT governance; IT Governance Institute • Kadenza (2011); Survey 2011 – Bezit, gedrag en gebruik smartphone/tablet; Kadenza • Kaseya (2011); De Uitdagingen van Mobiele Apparaten Managen; Kaseya • Overbeek P.L., Roos Lindgreen E., Spruit M.E.M. (2005); Informatiebeveiliging onder controle; Pearson Education • Looijen M. (2004); Beheer van informatiesystemen; Ten HageStam • NAE & NRC (2006); Tech Tally: Approaches to assessing technological literacy; National academies of press. • NEN (2007); NEN-ISO/IEC 27002 Informatietechnologie – beveiligingstechnieken – code voor informatiebeviliging; NEN • NOREA (2002); Raamwerk voor ontwikkeling normenstelsels en standaarden; NOREA • Purdue University (2004); RASC: Confidentiality, Integrity and Availability (CIA); Purdue University. • Schellevis, L., Wauters, C. (2012); De impact van Bring Your Own: Verschuivende verantwoordelijkheden; IT-auditor • Spruit, M.E.M. (2003) ; Waardevol maakt kwetsbaar: het belang van informatiebeveiliging; Haagse Hogeschool • Time Inc. (2012); A biometric day in the life; Time Inc. • Tip, Y. (2012); Hoe pak ik de BYOD-risico’s aan; NetIQ • Van Grembergen, W. (2002); Introduction to the minitrack IT Governance and its Mechansims; Proceedings of the 35th Hawaii International Conference on System Sciences (HICSS). • Vrede de, T. (2012); Beter branden blussen met je iPad; Automatiseringsgids • VMware (2012); New Way of Work; VMware
50
Boeken • Stedehouder J. (2012); Bring Your Own Device, toepassing voor werkgevers en professionals; Sdu uitgevers • Van Grembergen, W., De Haes, S. (2009); Enterprise governance of Information Technology; Springer Citaten • Louis Boyle, VP Gartner EXP, 2006 Colleges • Vrije Universiteit Amsterdam; Wireless networks, E-mail, VoIP, Mobile devidces security (30-1-2012) • Vrije Universiteit Amsterdam; Risk IT: Risk Management (7-5-2013) • Vrije Universiteit Amsterdam; Kosten en baten van risicomanagement (1-1-2013) • Vrije Universiteit Amsterdam; Sociale media, beheersing en beoordeling (19-11-2012) • Vrije Universiteit Amsterdam; Trends in IT (11-2-2013) Interviews • Interview directeur SCC IT • Interview projectleider ‘ontwikkeling universitaire IT-werkplek’ • Interview security manager • Interview service manager In overleg met mijn begeleider is bepaald dat de resultaten van de interviews op de Erasmus Universiteit niet worden gedeeld om de reden van vertrouwelijkheid Websites • bringyourowndevice.wordpress.com • www.baselinemagazine.com • www.computable.nl • www.computerwoche.de • www.cmiomagazine.com • www.eweek.com • www.ic.uva.nl • www.infosecurity-magazine.com • www.noordbeek.com • www.nu.nl • www.security.nl • www.wikipedia.org
51
