Vertrouwelijk. Onderzoek Ernst & Young in het kader van Beurs Overheid en ICT April Voortschrijdende techniek Valkuil of goudmijn?

Vertrouwelijk

Onderzoek Ernst & Young in het kader van Beurs Overheid en ICT 2012 April 2012

Voortschrijdende techniek Valkuil of goudmijn?

Voorwoord

Vind ons op:

► ► ►

Facebook Twitter Xchange

In de App store:

► ►

EY Insights EY ICT Barometer

In een wereld die steeds opener wordt en waarin de scheiding tussen privé en zakelijk steeds verder vervaagt, komt beveiliging vaker onder druk te staan. Zaken die voor velen integraal onderdeel zijn geworden van het communicatieve leven, zoals het gebruik van social media als Facebook en Twitter, brengen bij gebruik binnen de organisatie plotseling risico’s met zich mee. Overheidsorganisaties staan vervolgens voor een grote uitdaging als het gaat om het creëren van bewustzijn bij medewerkers, wanneer deze nieuwe technische ontwikkelingen hun intrede doen binnen de organisatie. Het zakelijk gebruik van tablets en smartphones gecombineerd met de mogelijkheden die deze apparatuur biedt met een diversiteit aan ‘apps’, stelt organisaties enerzijds voor een technische uitdaging om de organisatie te beschermen tegen ongewenst gegevensverlies. Anderzijds is de organisatie ook hier genoodzaakt om een beroep te doen op het beveiligingsbewustzijn van de medewerkers, omdat het praktisch gezien onmogelijk is de apparatuur 100% te beveiligen zonder in te boeten aan functionaliteit. Een belangrijke andere ontwikkeling die op subtiele wijze de intrede in het privéleven van medewerkers heeft gedaan, is cloud computing. E-mail wordt ondergebracht in de cloud (Gmail, Hotmail). Hetzelfde geldt voor muziek (iCloud) en documenten (Google Docs, Dropbox, Picasa). Door middel van dit onderzoek proberen wij de publieke sector inzage te geven in kansen en risico’s gerelateerd aan nieuwe ICT ontwikkelingen. Gegeven de vooraanstaande positie van Nederland op het gebied van de elektronische overheid in de wereld is de snelheid waarmee de nieuwe ontwikkelingen hun intrede doen binnen organisaties hoog. Om inzicht te krijgen in het gebruik van deze nieuwe ontwikkelingen binnen de overheid en gerelateerd daaraan het belang dat in het licht van deze ontwikkelingen wordt toegekend aan beveiliging, heeft Ernst & Young onderzoek uitgevoerd onder 934 ambtenaren. Het onderzoek heeft plaatsgevonden in maart 2012. Tijdens ons onderzoek hebben wij met een aantal materiedeskundigen gesproken het onderzoek wat meer gezicht te geven. De resultaten van het onderzoek worden gepresenteerd tijdens de beurs Overheid & ICT 2012. Onze dank gaat uit naar de personen die aan het onderzoek hebben deelgenomen. In het bijzonder willen wij de materiedeskundigen de heren H. Nijman (CIO gemeente Rotterdam) en P. Verhulst (Security officer gemeente Rotterdam) bedanken voor hun tijd en de gedeelde inzichten. Den Haag, april 2012 Ernst & Young Advisory Public Sector Guill van den Boom Ad Buckens

Alle rechten voorbehouden - Ernst & Young

Voortschrijdende techniek: Valkuil of goudmijn?

Inhoudsopgave

►

Samenvatting

1

►

Informatiebeveiliging

6

►

Social media

13

►

Mobiele apparatuur

17

►

Cloud computing

23

Bijlagen


►

Deelnemers

►

Bibliografie


Samenvatting

Nederland heeft een vooraanstaande positie in de wereld als het gaat om de elektronische overheid. Nieuwe technologieën worden snel omarmd en geïncorporeerd. Volgens een recent onderzoek van de Verenigde Naties is Nederland inmiddels de nummer twee in de wereld als het gaat om de elektronische overheid. Wij moeten slechts Zuid Korea voorlaten (United Nations Economic & Social Affairs, 2012). Het onderzoek geeft aan dat Nederland deze hoge positie onder andere te danken heeft aan het actieve gebruik van social media. De enorme groei van gebruik van social media is te danken aan de groei van het gebruik van mobiele apparatuur. Interessant in dit kader is in welke mate de Nederlandse overheid social media inzet. Om hier beter zicht op te krijgen heeft Ernst & Young in samenwerking met de Beurs Overheid & ICT onderzocht of de overheid de kansen benut en of zij de risico’s beheerst. In totaal 934 ambtenaren werkten mee aan het onderzoek gericht op het gebruik van nieuwe technologie binnen de overheid. Het onderzoek heeft geresulteerd in een aantal conclusies die wij in dit hoofdstuk zullen behandelen.

Social media

Gebruik social media staat in de kinderschoenen

Grote mogelijkheden door slimmere inzet social media

Social media strategie ontbreekt tot dusver meestal

Te weinig aandacht voor risico's social media

Social media staat nog in de kinderschoenen Het gebruik van social media is niet meer weg te denken uit onze maatschappij. Nederlandse overheden blijken nog te worstelen met de wijze waarop zij social media inzetten. Nog steeds maakt ruim 30% in het geheel geen gebruik van social media. Een ruime meerderheid van de overheidsinstanties die wel gebruik maken van social media zit nog in de fase waarin pilots lopen om nut en noodzaak van de inzet van social media af te tasten.



1

Grote mogelijkheden door slimmere inzet social media De ondervraagde ambtenaren zien grote mogelijkheden op het vlak van social media. Driekwart van de ondervraagden geeft aan dat inzet van social media over vijf jaar niet meer uit de bedrijfsprocessen is weg te denken. Voor publieke instanties die gaan voor efficiënte en effectieve dienstverlening, participatie en werving blijkt er geen andere optie dan meedoen. Social media zal de komende jaren dan ook verder in de bedrijfsprocessen van overheidsinstanties moeten worden geïntegreerd. Alleen door goede integratie in de bestaande processen kunnen social media effectief worden ingezet. Social media strategie ontbreekt tot dusver meestal Minder dan 30% van de Nederlandse overheidsinstanties blijkt op dit moment een social media strategie te hebben. Als een social media strategie is opgesteld, is deze vaak niet bekend binnen de organisatie. Om de kansen optimaal te benutten moeten overheden een strategie definiëren voor de inzet van social media. Slimme inzet van social media vraagt om structuur. Van belang is te starten met het bepalen van de doelstellingen, doelgroepen, middelen risico’s en de wijze van monitoring. Uitwerking vindt plaats in een op maat gemaakt social media beleid en een hierop gebaseerd social media actieplan. Risico's social media onderschat Over het algemeen lijken de respondenten vrij tevreden over de mate waarin het risico van nieuwe ontwikkelingen wordt ingeschat. Een uitzondering hierop vormen de risico’s gerelateerd aan het gebruik van social media. Zorgelijk is dat driekwart van de respondenten de mening deelt dat de risico’s ten aanzien van social media worden onderschat. Risicoanalyses gericht op social media blijken meer uitzondering dan regel. Verder constateren wij dat slechts een minderheid van de overheidsinstanties richtlijnen heeft opgesteld ten aanzien van social media (38%), terwijl dit wel door een grote meerderheid van de ondervraagden (88%) als belangrijk wordt beschouwd.

Beveiliging

Beveiliging schreeuwt om meer vroegtijdige aandacht


Technische beveiligingsrisico’s krijgen te weinig aandacht


Beveiligingsbewustzijn onvoldoende

2

Beveiliging schreeuwt om meer vroegtijdige aandacht Beveiliging vraagt om meer aandacht van de overheid, zo blijkt uit de reacties van de ondervraagde ambtenaren. Tot dusver blijkt nog steeds te laat aandacht aan beveiliging te worden besteed. Beveiliging blijkt geen uitgangspunt maar een sluitstuk. Nader onderzoek ten aanzien van de incidenten rondom ‘Lektober’ toont eveneens aan dat beveiliging onder grote druk staat van het ‘moeten slagen’ van digitalisering. Om deze reden worden soms concessies gedaan ten aanzien van het niveau van beveiliging. Daarnaast speelt bij de intrede van nieuwe technologieën de druk vanuit de organisatie en de ‘noodzaak om bij te blijven’ een belangrijkere rol dan beveiliging. Hierdoor lopen overheden met name in de experimentele fase risico’s. Nog altijd is het zo dat beveiliging onvoldoende aandacht krijgt bij het implementeren van nieuwe ontwikkelingen. Onderstaande schematische weergave toont dat de aandacht voor beveiliging pas enige tijd na het adopteren van een nieuwe technologie ontstaat. Hierdoor is het vaak zo dat zich met name in de opstartfase risico’s ten aanzien van de nieuwe ontwikkelingen openbaren.

Ontwikkeling Beveiliging



Tijd



Technische beveiligingsrisico’s krijgen te weinig aandacht Wij constateren dat beveiligingsrisico’s over het algemeen goed worden ingeschat op strategisch niveau. Het bewustzijn op operationeel niveau is echter vaak onvoldoende. Een consequentie is dat overheden er voor een vrij groot deel vanuit gaan dat de risico’s van nieuwe technologieën door middel van procedures voldoende worden beperkt. De technische beveiligingsmaatregelen gerelateerd aan nieuwe technologische ontwikkelingen krijgen echter onvoldoende aandacht. Beveiligingsbewustzijn onvoldoende De mens is steeds vaker de zwakste schakel binnen de keten van informatiebeveiligingsmaatregelen. Dit wordt versterkt door het feit dat bij nieuwe technologieën veelal wordt gekozen voor organisatorische maatregelen in plaats van technische maatregelen. Wij constateren dat het beveiligingsbewustzijn bij veel overheidsinstanties nog onvoldoende is. Dat geldt zowel voor het bewustzijn ten aanzien van de fysieke wereld als ten aanzien van de digitale wereld. Het bewustzijn ten aanzien van het veilige gebruik van applicaties, social media en bijvoorbeeld mobiele apparatuur is nog altijd onvoldoende.



3

Mobiele apparatuur

Driekwart overheidsinstanties maakt gebruik van tablets

Meer dan de helft heeft niet gecommuniceerd over de risico's van mobiele apparatuur

Organisaties kiezen voor traditionele beveiliging

Driekwart overheidsinstanties maakt gebruik van tablets Het onderzoek toont aan dat de inburgering van de tablets binnen overheidsinstellingen in Nederland al vergevorderd is. 73% van de respondenten geeft aan zakelijk gebruik te maken van een tablet en nog eens 19% geeft aan te denken over implementatie danwel binnen 12 maanden te implementeren. Dit betekent dat binnen een jaar meer dan 92% van de respondenten in een organisatie werkt waar de tablet zakelijk wordt gebruikt. Meer dan de helft heeft niet gecommuniceerd over de risico's van mobiele apparatuur Wij constateren dat meer dan de helft van de respondenten aangeeft dat niet is gecommuniceerd over de risico’s van mobiele apparatuur. Voor tablets is het aantal nog iets hoger dan voor smartphones, waarbij het interessant is dat organisaties vaak veel meer mogelijkheden faciliteren op de tablet dan op de smartphone. Organisaties kiezen voor traditionele beveiliging Ten aanzien van de gehanteerde beveiligingsmaatregelen valt op dat veel organisaties geneigd zijn terug te vallen op traditionele maatregelen, zoals het hanteren van sterke wachtwoorden (35%). Het feit dat mobiele apparatuur een aanvullend fysiek risico met zich meebrengen, blijft bij het selecteren van beveiligingsmaatregelen vaak onderbelicht. De gekozen oplossingen zijn vaak onvoldoende doordacht waardoor zich risico’s openbaren die zeer specifiek zijn voor de nieuwe technologie. Wij besteden in dit rapport aan twee ontwikkelingen bijzondere aandacht: het doorsturen van vertrouwelijke informatie via privé email accounts en het installeren van apps. Uit het onderzoek is gebleken dat 29% van de respondenten e-mail doorstuurt via privé email accounts. Hierbij worden in voorkomende gevallen vertrouwelijke zaken verstuurd naar een locatie buiten het beveiligde domein van de organisatie en komen daarbij in een ongecontroleerde omgeving van een provider of een partij als Google of Microsoft. Daarnaast mag meer dan de helft van de respondenten zonder toestemming van de organisatie apps installeren.



4

Cloud computing

Cloud computing kent een geleidelijke toename

Aandacht voor beveiliging en privacy bij het opstellen van de eisen

Cloud computing kent een geleidelijke toename Uit de Global Information Security Survey van Ernst & Young blijkt dat meer dan de helft van de respondenten (61%) momenteel gebruikmaakt, evalueert of van plan is het cloud computing concept binnen zijn organisatie binnen een jaar tijd te realiseren (Ernst & Young, 2011). Hierin is een duidelijke toename te zien ten opzichte van 2010. Iets minder dan de helft van de ondervraagde overheidsfunctionarissen in Nederland geeft aan dat de technologie over een vijftal jaren niet meer is weg te denken. Aandacht voor beveiliging en privacy bij het opstellen van de eisen De respondenten zijn het eens over het belang van beveiliging (79%) en privacy bescherming (74%) als het gaat om de inzet van cloud computing. Uit het onderzoek blijkt tevens dat bij voorkeur bij het opstellen van de eisen aan een cloud computing contract aandacht aan beveiliging moet worden besteed. Hierbij geeft men aan dat wet- en regelgeving met name een doorslaggevende factor is bij het kiezen voor cloud computing (73%). Dit betekent echter dat ruim 25% van de respondenten hier anders over denkt. In de volgende paragrafen lichten wij onze conclusies in meer detail toe.



5

Informatiebeveiliging

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede de procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken (Wikipedia). Interessant in de definitie is het laatste deel. Om te komen tot een evenwichtige beveiliging en daarmee tot beveiliging die geen onnodige impact heeft op nieuwe ontwikkelingen is het van belang tijdig de risico’s van nieuwe ontwikkelingen in te schatten. Het door ons uitgevoerde onderzoek toont het belang van het bepalen van het juiste beveiligingsniveau. Uit de antwoorden van de respondenten blijkt dat men het er wel over eens is dat een dubbeltje niet met een kwartje moet worden beveiligd. In het verlengde hiervan is het van belang een strategie te hebben die het gewenste beveiligingsniveau beschrijft en ook voorkomt dat een kwartje met een dubbeltje wordt beveiligd. Uit onderzoek van Ernst & Young blijkt dat 56% van de deelnemers aan de Global Information Security Survey aangeeft dat de huidige informatiebeveiligingsstrategie moet worden aangepast aan de nieuwe ontwikkelingen (Ernst & Young, 2011). Uit onderzoek onder overheidsorganisaties in Nederland komt een vergelijkbaar resultaat. Ruim 40% van de respondenten vindt dat in het bestaande informatiebeveiligingsbeleid onvoldoende aandacht aan nieuwe ontwikkelingen als social media, mobiele apparatuur en cloud computing wordt besteed.

Aandacht in beveiligingsplan

Aandacht voor nieuwe ontwikkelingen

42% 58%

Aandacht voor nieuwe ontwikkelingen ontbreekt

Verder is het zo dat het beleid vaak op strategische niveau wordt gedefinieerd, waarbij de vertaling naar het tactische en operationele niveau ontbreekt, danwel onvoldoende handvatten geeft om daadwerkelijk proportionele beveiligingsmaatregelen door te voeren.



6

Bewustzijn Het is van groot belang de risico’s van nieuwe ontwikkelingen in kaart te brengen. Risicoanalyse helpt om niet zonder de benodigde voorbereidingen hypes achterna te gaan. Zodra de risico’s in kaart zijn gebracht, wordt het mogelijk om proportionele maatregelen te treffen. Interessant binnen het vakgebied van informatiebeveiliging is dat vele preventieve, detectieve, repressieve en correctieve maatregelen kunnen worden getroffen, maar dat beveiliging vaak staat of valt met het bewustzijn van medewerkers. De respondenten geven aan dat het bewustzijn binnen de organisatie veelal onvoldoende is.

Bewustzijn

37%

63%

Voldoende Onvoldoende

De respondenten geven aan dat het bewustzijn op strategisch niveau aanwezig is, maar dat het bewustzijn op operationeel niveau onvoldoende is. Uit het door ons uitgevoerde onderzoek blijkt dat de risico inschatting zich vertaalt in het feit dat organisaties voor een vrij groot deel steunen op procedures en veel minder op technische beveiligingsmaatregelen. Dit wordt met name veroorzaakt door het feit dat beveiliging veelal pas later in het proces aandacht krijgt, waardoor het voor een beheerorganisatie vaak nog de enige snelle oplossing is om beveiliging (deels) te verankeren. Dit hoeft geen probleem te zijn, als het bewustzijn hoog genoeg is om de procedurele maatregelen na te leven. Dit blijkt echter op basis van het onderzoek niet het geval te zijn.

Incidenten Informatiebeveiligingsincidenten kunnen een indicatie geven van de risico’s die kleven aan het gebruik van nieuwe ontwikkelingen en de maatregelen die zijn getroffen om deze risico’s te mitigeren. Wat opvalt bij incidenten op het gebied van informatiebeveiliging is dat ze in veel gevallen onopgemerkt blijven voor de reguliere gebruiker van de technologie. In onderstaande overzichten maken wij daarom onderscheid tussen de antwoorden van de personen met beslissingsinvloed op het gebied van informatiebeveiliging en personen zonder deze invloed.



7

Is uw organisatie afgelopen jaar geconfronteerd met beveiligingsincidenten op het gebied van social media?

352

400 350 300 250 200

120

150 100 50

227

193

20

21

0 Ja

Nee

Beslissingsbevoegd

Onbekend

Niet beslissingsbevoegd

Is uw organisatie afgelopen jaar geconfronteerd met beveiligingsincidenten op het gebied van mobiele apparatuur?

266

300 250

211

200 150

151 106

100

120 79

50 0 Ja

Nee

Beslissingsbevoegd

Onbekend


Is uw organisatie afgelopen jaar geconfronteerd met beveiligingsincidenten op het gebied van Bring Your Own Device? 118

107

120 100 72

80

57

60 40 20

4

3

0 Ja Beslissingsbevoegd



Nee

Onbekend


8

Is uw organisatie afgelopen jaar geconfronteerd met beveiligingsincidenten op het gebied van cloud computing?

140

121

120 100 80 60

42

39

44

40 20

9

2

0 Ja

Nee

Beslissingsbevoegd

Onbekend


Risico’s social media onderschat Over het algemeen lijken de respondenten vrij tevreden over de mate waarin het risico van nieuwe ontwikkelingen wordt ingeschat. De personen die invloed uit kunnen oefenen op het gebied van informatiebeveiliging geven aan dat slechts op het gebied van social media de risico’s ernstig worden onderschat. Risico's van social media onderschat

Risico's van Cloud computing onderschat

Oneens

Eens

Eens

Oneens

Risico's van BYOD onderschat

Eens

Oneens

Risico's van mobile computing onderschat

Eens

Oneens

Risico's van Het Nieuwe Werken onderschat

Eens

Oneens

Het is interessant om vast te stellen dat de huidige beveiliging van informatie met name onder druk staat, omdat fysieke barrières verdwijnen. Veel van de informatie van organisaties wordt via internet verstuurd. Medewerkers, klanten en leveranciers hebben de mogelijkheid om gegevens waar en wanneer ze maar willen te raadplegen. De hausse in het gebruik van mobiele apparatuur versterkt dit effect alleen maar (Ernst & Young, 2011).

Beveiliging leidt tot vertraging Wij constateren dat de risico’s naar de mening van de respondenten niet ernstig worden onderschat. In algemene zin lijkt het erop dat de beveiliging in de perceptie van de respondenten leidt tot een vertraging in de implementatie van de nieuwe ontwikkelingen. Dit is een beeld dat in de praktijk wordt herkend, waarbij geldt dat organisaties die beveiliging hebben ingebed in het implementatieproces dit vaak veel minder als barrière zien.



9

Beveiliging leidt tot vertraging 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

5% 22%

9%

14%

8%

25%

18%

30%

19% 15%

Geen zicht op Helemaal oneens

34%

31%

Social media

34%

26% Mobile

36%

24% BYOD

34% 19% HNW

33%

Oneens Neutraal

25%

Eens Helemaal eens

Cloud

Te weinig aandacht voor beveiliging Ongeveer 66% van de respondenten geeft aan dat onvoldoende aandacht wordt besteed aan beveiligingsaspecten wanneer zich nieuwe ontwikkelingen aandienen.

Onvoldoende aandacht voor beveiliging 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

11% 20%

11%

19%

9%

16% 16% 29%

35%

12%

32%

25% 12% 33%

33%

Geen zicht op Helemaal oneens Oneens Neutraal

23% Social media

36%

Mobile

38% 23% BYOD

24%

Eens Helemaal eens

HNW

Cloud

Interessant is dus dat de respondenten vinden dat de risico’s niet extreem worden onderschat, dat de perceptie bestaat dat beveiliging de ontwikkeling afremt en dat beveiliging aandacht behoeft. Wij concluderen uit het onderzoek dat beveiliging nog steeds geen uitgangspunt maar een sluitstuk is. Bij de intrede van nieuwe technologieën speelt de druk vanuit de organisatie en de ‘noodzaak om bij te blijven’ een belangrijkere rol dan beveiliging. Hierdoor lopen organisaties met name in de ‘early adopter’ fase risico’s. De vertragende werking die beveiliging zou hebben op de implementatie van nieuwe technologieën wordt overschat. Een belangrijke vraag is echter in hoeverre overheidsorganisaties nog in staat zijn te investeren in beveiliging na de recente bezuinigingen.



10

Budget Gegeven de economische situatie op dit moment wordt door organisaties nauwlettend naar de kosten gekeken. Taakstellingen binnen de overheid leiden ertoe dat de organisatie efficiënter moet gaan werken. Tijdens ons onderzoek hebben wij geconstateerd dat het budget dat beschikbaar is voor informatiebeveiliging het afgelopen jaar gelijk is gebleven, danwel is toegenomen. Kijkend naar de toekomst kunnen we concluderen dat het budget verder gaat toenemen. Uit wereldwijd onderzoek van Ernst & Young blijkt 59% van de ondervraagden van menig was dat het budget in 2012 toe zou nemen (Ernst & Young, 2011).

Informatiebeveiligingsbudget over de afgelopen 12 maanden Toegenomen Afgenomen Gelijk gebleven Weet niet

Eindbeslisser

Medebeslisser

Adviseur

Informatiebeveiligingsbudget over de komende 12 maanden

Toegenomen Afgenomen Gelijk gebleven Weet niet Eindbeslisser


Medebeslisser


Adviseur

11

Op basis van de toelichtingen van diverse respondenten kunnen we echter opmerken dat hoewel de budgetten in ieder geval niet afnemen, het uiterst belangrijk blijft kosten en baten af te wegen. Voor de overheid is beveiliging een zeer groot goed, waardoor nut en noodzaak van nieuwe (technologische) ontwikkeling goed moet worden afgewogen. Hoe voorkomt u dat beveiliging een valkuil voor u wordt?


►

Voer een gedegen risicoanalyse uit voordat nieuwe ontwikkelingen worden geïncorporeerd.

►

Werk het bestaande beleid en de daarbij behorende procedures bij op het gebied van nieuwe ontwikkelingen.

►

Selecteer proportionele en passende maatregelen. De nieuwe ontwikkelingen bieden tevens nieuwe beveiligingsmogelijkheden.

►

Veranker het onderwerp informatiebeveiliging in de projectorganisatie van uw organisatie, zodat bij de start van nieuwe projecten aandacht wordt besteed aan beveiliging.


12

Social media

Social media is een verzamelbegrip voor online platformen waar de gebruikers, zonder of met minimale tussenkomst van een professionele redactie, de inhoud verzorgen. Hoofdkenmerken zijn interactie en dialoog tussen de gebruikers onderling (Wikipedia). Voorbeelden van deze media zijn Facebook en Twitter. Het gebruik van deze social media is inmiddels wijdverbreid. Het onderzoek van de Verenigde Naties toont aan dat in de Europese Unie meer dan een derde van alle inwoners sociale netwerksites gebruikt (United Nations Economic & Social Affairs, 2012). Uit ons onderzoek blijkt dat 69% van onze respondenten aangeeft social media binnen de eigen organisatie in te zetten.

Interessant om te realiseren is dat geen enkel bericht op internet verloren gaat. Zo zijn websites te vinden waar verwijderde tweets worden verzameld.

Huidig gebruik social media In gebruik

69%

Wordt geïnventariseerd Gepland Niet gepland Onbekend

14% 2% 8% 6%

Het gebruik van social media binnen de publieke sector kan worden verklaard door het gemak en snelheid van deze kanalen. Het onderzoek van de Universiteit Twente wijst uit dat deze factoren cruciaal zijn als men informatie wil zoeken (Van de Wijgaert, Van Dijk, & Ten Tije, 2011). Aangezien vrijwel elke burger met een internetverbinding vrij toegang heeft tot een verzameling van laagdrempelige sociale platformen, spreekt het voor zich dat overheidsorganisaties anticiperen op deze ontwikkelingen. In de praktijk blijkt dat organisaties door de inzet van social media in staat zijn de dienstverlening verder te verbeteren, beter te communiceren in crisissituaties, de eigen profilering te versterken, burgerparticipatie te vergroten en te volgen wat er speelt onder burgers. Ook kan social media helpen om werving van ambtenaren aanzienlijk te verbeteren en kennisdeling onder ketenpartners of burgers te bevorderen. Gemeenten denken na over diverse initiatieven op het gebied van burgerparticipatie. Dit kan zijn door social media in te zetten, maar ook door de inzet van apps als BuitenBeter. Door middel van deze app hebben burgers de mogelijkheid problemen buiten op straat of in de buurt te melden. Diverse gemeenten, waaronder Rotterdam en Veghel, zijn hier inmiddels op aangehaakt.



13

Hoewel veel organisaties al met de gedachte spelen om mee te gaan in de social media tendens, heeft een organisatie feitelijk gezien weinig keuze. Het negeren van social media weerhoudt de burger niet om te spreken over een organisatie op online platformen. Het op zijn minst structureel luisteren naar online conversaties maakt het mogelijk voor organisaties om kansen te benutten met minimale investering. Het is daarom ook niet vreemd dat een ruime meerderheid van de respondenten ervan overtuigd is dat social media over een vijftal jaren niet meer als organisatietoepassing is weg te denken.

Toekomstig gebruik social media

17%

Niet meer weg te denken

10%

Weg te denken

74%

Neutraal

Volgens diverse trendwatchers is door social media niet alleen de manier van communiceren aan het veranderen. Een typisch voorbeeld van een verandering is de verandering in het traditionele klantenservicemodel waarin de burger geen genoegen zal nemen met een telefonische contact, webformulier of ‘veel gestelde vragen-lijst’. In plaats daarvan zal de burger eerder geneigd zijn om ‘de massa’ op online fora op te zoeken voor informatie en advies (De Bruin, 2011). Overigens wordt in de praktijk ook meer en meer aandacht besteed aan het gebruik van social media. Zo wil de Gemeente Den Haag meer gaan doen met social media, mede om de burgerparticipatie te bevorderen (Blankena, Haagse ambtenaren moeten aan de social media, 2012). De gemeente is al een voorloper op het gebied van het gebruik van Twitter, Facebook en LinkedIn, maar is ervan overtuigd dat veel meer mogelijk is, met name om de interactie en de participatie te verbeteren. De benodigde 'organisatiebrede cultuurverandering' is door de gemeente Den Haag in richtlijnen vastgelegd. In het verlengde daarvan komt ook meer aandacht voor elektronische participatie en bijbehorende instrumenten die het mogelijk maken verantwoordelijkheden in de stad te delen met bewoners. De regie over de social media-aanpak is belegd bij de content management organisatie. Een voorloper als de gemeente Den Haag toont hiermee aan dat de inzet van social media in ontwikkeling is, maar zeker nog niet alle kansen worden benut.



14

Gebruik door medewerkers Social media biedt vele kansen maar kent ook risico’s. Uit de Global Information Security Survey (Ernst & Young, 2011) van Ernst in Young blijkt dat volgens de meeste respondenten (72%) kwaadaardige aanvallen van buitenaf het grootste risico voor de organisatie vormen. Bij dergelijke aanvallen wordt vaak gebruik gemaakt van informatie die via sociale media is verkregen en vervolgens gericht wordt ingezet om aan bepaalde personen gegevens te ontfutselen (phishing). Ook worden de social media sites zelf ingezet om informatie te ontfutselen. Zo zouden recent Chinese spionnen via Facebook militaire geheimen hebben achterhaald bij topgeneraals van de NAVO. De spionnen zouden een account hebben aangemaakt met de naam van de hoogste NAVO-militair in Europa. Met dat account nodigden ze verschillende andere generaals en topdiplomaten uit om vrienden te worden op Facebook (NOS, 2012).

“Social media emerged suddenly, and is here to stay. Companies of all sizes and industries are already developing social media strategies as rapidly as they can.” Ferdinand Kobelt Partner Ernst & Young

In de poging om de potentiële risico’s van sociale media te beteugelen lijken veel organisaties te kiezen voor de harde lijn. Ruim de helft (53%) heeft de toegang tot specifieke websites simpelweg geblokkeerd, in plaats van ondernemingsbrede maatregelen te treffen die de verandering op zich juist bevorderen (Ernst & Young, 2011). Uit ons onderzoek blijkt dat een zeer ruime meerderheid van de respondenten (88%) voor het opstellen van richtlijnen ten aanzien van social media is. In 38% van de gevallen zijn deze ook daadwerkelijk opgesteld. Momenteel bestaat nog een grote behoefte als het gaat om richtlijnen aan de hand waarvan maatregelen kunnen worden geïmplementeerd. De te treffen maatregelen zijn divers en worden ook zeer divers toegepast. Te denken valt aan:

► ► ► ►

Aanpassen bestaande procedures Beperken van toegang tot social media sites Uitvoeren van bewustzijnscampagnes Inrichten van monitoring

Uit onderzoek blijkt dat 53% van de wereldwijd onderzochte organisaties de toegang tot social media sites heeft beperkt of geblokkeerd als maatregel om het risico te mitigeren (Ernst & Young, 2011). Wij hebben in de praktijk vastgesteld dat dit echter geen houdbare oplossing is.

Gebruik door de organisatie

Potentieel gebruikt? 57%

Onvoldoende benut

43%

Voldoende benut 0%

20%

40%

60%

80%

100%

Als gezegd bieden social media ook vele kansen. Overheden zouden volgens het onderzoek van de Verenigde Naties veel meer gezamenlijke inspanningen moeten leveren om het volledige potentieel van social media te benutten. Dit houdt in dat overheden social media voor meer elektronische overheidsdiensten moeten gaan gebruiken, waaronder in het bijzonder, mensen met lage inkomens, ouderen en andere kansarme groepen.



15

Overheden moeten daarom hun aanwezigheid op bestaande social media sites versterken en elektronische diensten promoten (United Nations Economic & Social Affairs, 2012). Op basis van het door ons uitgevoerde onderzoek komen wij tot de conclusie dat de respondenten nog niet van de optimale inzet van social media binnen hun organisatie overtuigd zijn.

Strategie Om de kansen optimaal te benutten moeten organisaties een strategie definiëren. Op basis hiervan kan worden bepaald op welke wijze invulling wordt gegeven aan de ambities op het gebied van social media. Momenteel is het zo dat slechts 28% van de respondenten binnen de eigen organisatie een social media strategie heeft. Slimme inzet van social media vraagt om structuur. Van belang is te starten met het bepalen van de doelstellingen, doelgroepen, middelen risico’s en de wijze van monitoring. Uitwerking vindt plaats in een op maat gemaakt social media beleid en een hierop gebaseerd social media actieplan. Voor publieke instanties die gaan voor efficiënte en effectieve dienstverlening, participatie en werving is er geen andere optie dan meedoen.

Monitoring Als eerste stap op weg naar actief gebruik van social media kiezen veel organisaties naast het voorzichtig starten met een twitter account voor het monitoren van de diverse kanalen in webcare pilots. Uit onderzoek van Harvard Business Review blijkt dat driekwart van de respondenten niet wist op welke kanalen over hun merk werd gesproken (Harvard Business Review, 2011). Om deze kanalen daadwerkelijk in te zetten zal de hiervoor beschreven strategie met operationele uitwerking moeten worden opgesteld, maar het monitoren biedt alvast een eerste inzicht in de online aanwezigheid van de organisatie. Hierbij kan gekozen worden om alleen te monitoren of het monitoren te combineren met actieve participatie. Van de respondenten geeft 46% aan dat monitoring van verschillende kanalen plaatsvindt. Hoe voorkomt u dat social media een valkuil voor u worden?


►

Inventariseer de risico’s alvorens u voor organisatiedoeleinden gebruik van social media gaat maken.

►

Bepaal uw doelgroep, online reputatie en interne draagvlak voordat u social media in zet in uw organisatieproces.

►

Definieer uw doelstellingen met het gebruik van social media en welke kanalen daarvoor geschikt zijn.

►

Bepaal de impact op uw organisatie ten aanzien van het wijzigen van processen door de inzet van social media.

►

Ontwikkel social media beleid met een bijbehorend actieplan waarin uw uitgangspunten en toekomstvisie in worden belegd.

►

Stel procedures op voor het persoonlijk gebruik van social media door medewerkers.

►

Communiceer richting uw medewerkers over de verwachtingen ten aanzien van communicatie op social media sites.

►

Beheer social media kanalen om ruis te filteren en relevante informatie ten aanzien van positieve en negatieve berichtgeving te volgen.


16

Mobiele apparatuur

Mobile computing Bij mobile computing wordt de computerapparatuur draagbaar geacht, denk hierbij aan tablets (bijvoorbeeld iPad, Galaxy Tab) en smartphones (bijvoorbeeld Blackberry, iPhone) (Wikipedia). Veel organisaties hebben al jaren geleden de introductie van de mobiele telefoon meegemaakt die nu door de smartphone wordt vervangen. Daarnaast doet sinds enige tijd de tablet haar intrede in bijvoorbeeld veel raadszalen. In het licht van papierloos werken is dit een belangrijke ontwikkeling. Het brengt echter ook beheervraagstukken met zich mee en stelt tevens gewijzigde eisen aan beveiliging. Het onderzoek toont aan dat het gebruik van tablets binnen overheidsinstellingen in Nederland al vergevorderd is. 73% van de respondenten geeft aan gebruik te maken van de tablet en nog eens 18% geeft aan te denken over implementatie of implementatie binnen 12 maanden. Dit betekent dat binnen een jaar meer dan 92% van de respondenten in een organisatie werkt waar de tablet voor bedrijfstoepassingen wordt gehanteerd. Nederland bevindt zich hier in de voorhoede van de ontwikkelingen. Uit ons internationale onderzoek blijkt dat 80% van de wereldwijde organisaties al van tablets gebruik maakt of in gebruik name overweegt. Het is daarom ook niet vreemd dat een zeer ruime meerderheid van de respondenten ervan overtuigd is dat mobiele apparatuur over een vijftal jaren niet meer is weg te denken als organisatietoepassing.

Toekomstig gebruik mobiele apparatuur

13%


3%

Weg te denken Neutraal 84%

De introductie van mobiele apparatuur op de werkvloer is een typische voorbeeld van een ontwikkeling die medewerkers al hadden meegemaakt in hun privéleven, wat zich heeft verplaatst naar de organisatie. Hierbij is echter in een groot aantal gevallen voorbijgegaan aan de implicaties op beveiligingsgebied. Overigens zijn de meeste respondenten het eens over het belang van beveiliging (75%) en privacy bescherming (73%) als het gaat om de inzet van mobiele apparatuur.



17

Onderstaand overzicht geeft aan in hoeverre de organisaties van de respondenten hebben gecommuniceerd over de risico’s van het gebruik van smartphones en tablets.

“Mobiliteit, cloud computing en bring your own device moeten in dienst staan van het primaire doel van de organisatie. Niet andersom.”

Communicatie over risico's 100% 80%

Respondent

52%

58%

60%

Communicatie heeft niet plaatsgevonden

40%

Communicatie heeft plaatsgevonden

20%

48%

42%

0% Smartphones

Tablets

Ten aanzien van de gehanteerde beveiligingsmaatregelen valt op dat veel organisaties geneigd zijn terug te vallen op bestaande maatregelen, zoals het hanteren van sterke wachtwoorden (35%). Het feit dat mobiele apparatuur een aanvullend fysiek risico met zich meebrengt, blijft bij het selecteren van beveiligingsmaatregelen vaak onderbelicht. Uit internationaal onderzoek blijkt dat 57% van de organisaties aanpassingen in procedures heeft doorgevoerd om de risico’s van mobiele apparatuur te mitigeren.

Beveiligingsmaatregelen mobiele apparatuur Geen Onbekend 15% 5%

Encryptie 15%

Anders 2% Wachtwoordbeleid 35%

Op afstand verwijderen 17%

Schoning na aantal foutieve inlogpogingen 11%

Door de explosieve groei van mobiele apparatuur is het belangrijk om verschillende aspecten te beveiligen en niet de focus bij één onderdeel te leggen. Veel van de organisaties kiezen voor een traditioneel wachtwoordbeleid. Hiervoor geldt echter dat het gehanteerde beleid vaak beperkte beveiliging biedt en gemakkelijk te omzeilen is. Door het wachtwoordbeleid met andere beveiligingsmaatregelen te combineren kan de veiligheid van apparatuur worden vergroot. Door gebruik te maken van verschillende beveiligingstechnieken kan de integriteit van het apparaat maximaal worden gewaarborgd. Hierbij valt te denken aan :

► ► ► ► ►


Full disk encryptie Beveiligingsrichtlijnen met mobiele apparatuur Centrale configuratie en monitoring Wachtwoordcomplexiteit Lock-out en remote wipe mogelijkheden


18

De gekozen oplossingen zijn vaak onvoldoende doordacht waardoor zich risico’s openbaren die zeer specifiek zijn voor de nieuwe technologie. In het door ons uitgevoerde onderzoek hebben wij aandacht besteed aan twee van deze ontwikkelingen. De eerste betreft het gebruik van privé email accounts om zakelijke e-mails te kunnen lezen. Uit het onderzoek is gebleken dat 29% van de respondenten e-mail doorstuurt via privé email accounts. Hierbij worden in voorkomende gevallen vertrouwelijke zaken verstuurd naar een locatie buiten het beveiligde domein van de organisatie en komen daarbij in een ongecontroleerde omgeving van een provider of een partij als Google of Microsoft. Hierbij kan het dus zomaar gebeuren dat doorgestuurde, zakelijke, informatie plotseling onder de Patriot Act vallen. De Patriot Act is een Amerikaans wetsvoorstel (H.R.3162) dat in 2003 door het Amerikaanse Congres met een meerderheid is aangenomen. De wet heeft als doel meer mogelijkheden te geven aan de Amerikaanse overheid om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. Er is veel kritiek op de Patriot Act omdat ze de burgerrechten van de Amerikaanse bevolking te veel zou schenden, met name op het gebied van privacy. Daarnaast is er de kritiek dat de wet stigmatiserend zou werken omdat het vooral mogelijkheden biedt om immigranten en buitenlandse bezoekers te onderzoeken en het land uit te zetten (Wikipedia).

De tweede ontwikkeling betreft het gebruik van zogenoemde ‘apps’. Apps zijn programma's voor smartphones. De App Store van Apple Inc. is met meer dan 550.000 applicaties1 de grootste online softwarewinkel. Tweede is de Android Market van Google Android met ongeveer 350.000 applicaties2. Andere bekende online softwarewinkels zijn BlackBerry App World (ongeveer 60.000 apps3) en de Ovi Store van Nokia (ongeveer 50.000 apps4) (Wikipedia). De ‘apps’ worden door de aanbieders van de app-winkels beoordeeld, maar op dit proces heeft een organisatie zelf geen invloed. Door het downloaden van ‘apps’ toe te staan kunnen conflicten ontstaan tussen bedrijfsapplicaties en applicaties die zijn gedownload. Daarnaast kan ook kwaadaardige software worden gedownload indien deze niet goed is geverifieerd door de app-winkel. Uit ons onderzoek blijkt dat een groot aantal organisaties het downloaden van ‘apps’ toestaat.

Gebruik van apps

100% 80%

18%

Ik weet niet of we 'apps' mogen installeren

27%

Nee, we mogen geen 'apps' installeren

60% 40%

55%

Ja we mogen 'apps' installeren

20% 0%

1 2 3 4


Per maart 2012 Per oktober 2011 Per februari 2012 Datum telling onbekend


19

Hoe voorkomt u dat mobile computing een valkuil voor u wordt?

► ►

Inventariseer de risico’s van mobiele apparatuur.

►

Overweeg de voor- en nadelen van het gebruik van de app-functionaliteit van mobiele apparatuur.

►

Zorg voor een aangepaste fysieke en technische beveiligingsrichtlijn waarbij rekening wordt gehouden met mobiele apparatuur.

►

Classificeer uw gegevens en beveilig de gegevens op basis van deze classificatie.

►

Bepaal aan de hand van de risicoanalyse welke maatregelen, zoals bijvoorbeeld encryptie, moeten worden getroffen om de mobiele apparatuur te beschermen.

►

Review uw privacy procedures ten aanzien van het gebruik van mobiele apparatuur.

►

Maak gebruik van een Mobile Device Management systeem, dit biedt u de mogelijkheid om beveiligingsrichtlijnen te implementeren en uw devices te monitoren.

►

Geef awareness trainingen om de werknemers bewust te maken van de gegevens die ze bij zich dragen en uitwisselen en wat de consequenties hiervan zijn bij een eventuele data leakage.

►

Stel een duidelijke procedure op voor gestolen of verloren toestellen.

Overweeg de voor- en nadelen van het gebruik van de functionaliteit van mobiele apparatuur en specifieke gerelateerde technologie als geolocatie informatie.

Bring Your Own Device Waarom krijgen veel timmermannen geen hamer en zaag van hun werkgever, maar een vergoeding om die zelf te kopen? Het antwoord is logisch. Wanneer je zelf je gereedschap mag uitzoeken, kies jij als vakman of –vrouw altijd het gereedschap waar jij het beste mee kunt werken. Het is daarom slim om medewerkers tot een bepaald niveau (niet iedere timmerman heeft een eigen zaagmachine) zijn eigen gereedschap te laten uitzoeken. Het gaat de werkgever immers niet om het gereedschap dat zijn mensen gebruiken, maar om het resultaat van de klus. Bovendien zijn de meeste mensen zuiniger op hun privé eigendommen, wat ook een voordeel is (Smit, 2011). Zoals we eerder in dit rapport hebben opgemerkt heeft menig werknemer thuis betere faciliteiten en apparatuur dan op het werk, wat leidt tot onvrede over de door het bedrijf gefaciliteerde zaken. Het Bring Your Own Device concept is het concept waarbij medewerkers gebruik maken van (computer)apparatuur die niet het eigendom is van de organisatie (Wikipedia). Uiteraard speelt hierbij het beveiligingsaspect, waarbij men zich af kan vragen in hoeverre het mogelijk is dergelijke apparatuur afdoende te beveiligen (Ubert, 2011).

Huidig gebruik BYOD 26,4%

7,0%

In gebruik


38,7%

28,0%

Wordt geïnventariseerd


Gepland

Niet gepland

20

Bijna 40% van de respondenten in ons onderzoek geeft aan dat ze momenteel de mogelijkheid hebben eigen apparatuur binnen de organisatie te gebruiken. Daarnaast is het opvallend om te zien dat de respondenten vaak een bepaalde schifting aanbrengen tussen de geaccepteerde apparatuur. Slechts 25,8% geeft aan geen beperkingen ten aanzien van de geaccepteerde apparatuur te kennen.

Beperking BYOD apparatuur

smartphones

laptops

tablets

onbeperkt

Hoewel Bring Your Own Device een concept is dat in de wandelgangen druk wordt besproken binnen overheidsorganisaties valt het op dat in ons onderzoek slechts de helft van de respondenten ervan overtuigd is dat het concept over een vijftal jaren niet meer is weg te denken als organisatietoepassing.

Toekomstig gebruik BYOD


34,3% 50,4%

Weg te denken Neutraal

15,3%

Ook ten aanzien van het Bring Your Own Device concept is het zo dat organisaties geneigd zijn terug te vallen op bestaande maatregelen, zoals het hanteren van sterke wachtwoorden (41%). De beveiliging van apparatuur die door de medewerker zelf wordt ingebracht is momenteel nog onvoldoende ingericht. Overigens zijn de meeste respondenten het eens over het belang van beveiliging (68%) en privacy bescherming (65%) als het gaat om de inzet van mobiele apparatuur.



21

Beveiligingsmaatregelen BYOD Encryptie 9% Onbekend 25% Geen 13%

Wachtwoordbeleid 31%

Op afstand verwijderen 9% Schoning na aantal foutieve inlogpogingen 6%

Anders 7%

Hoe voorkomt u dat het meebrengen van eigen apparatuur een valkuil voor u wordt?


►

Inventariseer de juridische consequenties van het gebruik van eigen apparatuur en software voor organisatietoepassingen.

►

Zorg voor een aangepaste fysieke en technische beveiligingsrichtlijn waarbij rekening wordt gehouden met mobiele apparatuur.

►

Classificeer uw gegevens en beveilig de gegevens op basis van deze classificatie.

►

Geef awareness trainingen om de werknemers bewust te maken van de gegevens die ze bij zich dragen en uitwisselen en wat de consequenties hiervan zijn bij een eventuele data leakage.


22

Cloud computing

“Privacy concerns remain a significant impediment to the adoption of cloud computing for many potential customers. To ensure that society can maximize the benefits of cloud computing, removing the blockers around privacy is critical. Cloud service providers can start by building customers’ confidence in the cloud. They can do this by demonstrating an inherent respect for privacy that is embodied in transparent business practices and a commitment to accountability.”

Cloud computing is een model dat het mogelijk maakt om door middel van een computernetwerk gedeelde configureerbare computermiddelen (zoals netwerken, servers, opslag, applicaties en diensten) op aanvraag beschikbaar te stellen op een snelle, gemakkelijke en alomtegenwoordige manier (Wikipedia). Organisaties gaan van de meer traditionele outsourcing contracten over op de cloud service providers, omdat de meeste organisaties zich realiseren wat de voordelen hiervan kunnen zijn. De verwachtingen zijn onder andere kostenreducties, flexibiliteit en schaalbaarheid van de IT. Uit de Global Information Security Survey van Ernst & Young blijkt dat meer dan de helft van de respondenten (61%) momenteel gebruikmaakt, evalueert of van plan is het cloud computing concept binnen zijn organisatie binnen een jaar tijd te realiseren (Ernst & Young, 2011).

Ontwikkeling gebruik cloud computing 39%

55%

Niet gepland

Brendon Lynch, Chief Privacy Officer, Microsoft

16%

9%

36%

15%

7%

23%

Gepland

Wordt geïnventariseerd

In gebruik

2010

2011

Ten aanzien van de toekomst van cloud computing over een vijftal jaren zien we iets bijzonders in het door ons uitgevoerde onderzoek. Iets minder dan de helft geeft aan dat de technologie over een vijftal jaren niet meer is weg te denken. Iets meer dan 40% geeft aan hier neutraal tegenover te staan. Dit lijkt, mede op basis van de toelichtingen van de respondenten, te worden verklaard door onduidelijkheid over het concept. Kijkend naar de praktijk waarin vele organisaties gebruik maken van SaaS, Paas en/of IaaS5 oplossingen zijn wij van mening dat nog veel informatieverstrekking rondom cloud computing noodzakelijk is.

5


Software as a Service, Platform as a Service, Infrastructure as a Service


23

Toekomstig gebruik cloud computing


40% 48%

Weg te denken Neutraal

12%

De respondenten die helder op het netvlies hadden wat cloud computing inhoudt, gaven aan dat cloud computing met name voor ondersteunende processen (83%) wordt ingezet. Voor de primaire processen, die direct de klant ondersteunen geldt dat nog beperkt (45%).

Huidig gebruik cloud computing 19%

5%

25%

Onbekend In gebruik

24%

28%

Wordt geïnventariseerd Gepland Niet gepland

Omdat cloud computing niet meer is weg te denken en het gebruik binnen organisaties toeneemt, speelt de veiligheid van de cloud een grote rol. Zo toont onderzoek door Trend Micro aan dat bijna de helft van 1200 IT-professionals uit Amerika, Europa, Canada, India en Japan afkomstig van organisaties met meer dan 500 medewerkers in 2011 een aanval te verduren heeft gekregen (Trend Micro, 2011). Overigens zijn de meeste respondenten het eens over het belang van beveiliging (79%) en privacy bescherming (74%) als het gaat om de inzet van cloud computing. Uit het uitgevoerde onderzoek blijkt tevens dat bij voorkeur al bij het opstellen van de eisen aan een cloud computing contract aandacht aan beveiliging moet worden besteed.



24

Eisen ten aanzien van cloud computing Bij het opstellen van de eisen

78%

In het contract

55%

Door het uitvoeren van…

44%

In de rapportage vereisten Anders

30% 8%

Van de respondenten geeft 73% aan dat wet- en regelgeving van belang is bij de keuze voor cloud computing . Dit lijkt hoog, maar dat betekent tevens dat ruim 25% van de respondenten meent dat dit niet het geval is. Om de voordelen van cloud computing optimaal te kunnen realiseren is het opstellen van een goede aanpak belangrijk. Cloud computing onderscheid zich met name door het aanbieden van applicaties, platformen of infrastructuren in een flexibele omgeving onafhankelijk van de geografische locatie. Op het gebied van de infrastructuur kan dit tot een grote flexibiliteit leiden, maar juridisch gezien zitten hier veel haken en ogen aan. Uit de Global Information Security Survey van Ernst & Young blijkt dat het merendeel van de respondenten (89%) van mening is dat externe certificering hun vertrouwen vergroot in cloud computing. Het stellen van eisen op certificeringsvlak is dan ook essentieel. Hoe voorkomt u dat cloud computing een valkuil voor u wordt?


►

Bepaal voor uw organisatieprocessen en gerelateerde persoonlijke informatie welke niveaus van beveiliging noodzakelijk zijn bij het naar de cloud brengen ervan.

►

Bepaal welke contractuele en juridische beperkingen bestaan bij een cloud leverancier. Denk hierbij aan geografische locatie, data opslag en beveiliging.

►

Bepaal uw mogelijkheden ten aanzien van het controleren van de naleving van de contractafspraken met uw cloud leverancier.

►

Bepaal voor uw organisatie een duidelijk gedefinieerde strategie voorafgaand aan de implementatie van de cloud.

►

Zorg ervoor dat uw kosten van interne diensten vergelijkt met de kosten van de cloud diensten. Hierdoor wordt duidelijk welke applicaties, platform e.d. beheerd moeten worden en welke klaar zijn om overgezet te worden naar de cloud.

►

Ontwerp voor uw organisatie een roadmap om het beoogde succes van de cloud te behalen. De roadmap gaat verder in op hoe de weg naar een succesvolle implementatie expliciet en concreet gemaakt wordt.

►

Zorg ervoor dat de cloud diensten zijn gecertificeerd, zodat u inzicht heeft in de kwaliteit van de beheerorganisatie.


25

Deelnemers In dit hoofdstuk vindt u de detailinformatie over de deelnemers van het onderzoek. In totaliteit hebben 934 personen gereageerd op de vragenlijst die wij elektronisch hebben voorgelegd.

Sector Wij hebben alle respondenten gevraagd aan te geven in welke sector van de overheid zij werkzaam zijn. Hieronder vindt u de verdeling van respondenten.

10,8%

Gemeente

6,4% 2,5%

Onderwijs Politie/Brandweer

10,0%

Provincie 58,3%

4,0% 2,8% 5,2%

Rijksoverheid Waterschap Overig non-profit Anders

Functie Wij hebben alle respondenten gevraagd aan te geven in welke functie zij werkzaam zijn.

Organisatieomvang

Beleidsadviseur / -medewerker Bestuurder

179 11

Consultant / Adviseaur

57

Eigenaar / Directeur

28

Functioneel manager

81

Functioneel medewerker

82

ICT manager

83

ICT medewerker / professional

165

Projectmanager / Productmanager

69

Sales/ accountmanager Secretaris / Griffier Anders



30 6 143

26

Om de ontwikkelingen en de aandacht voor beveiliging goed te kunnen plaatsen hebben wij de respondenten gevraagd aan te geven wat de omvang is van de organisatie waarin ze werken.

11,6% 27,2%

27,1%

34,2% < 50 personen

51 - 250 personen

251 - 1000 personen

> 1000 personen

Beslissingsbevoegdheid Om de antwoorden op het gebied van de nieuwe ontwikkelingen en beveiliging goed te kunnen plaatsen hebben wij geïnventariseerd in hoeverre zij beslisser danwel beïnvloeder zijn.

Adviseur

Eindbeslisser

405

79

Medebeslisser

Geen beslissingsbevoegdheid



329

121

27

Beslissingsbevoegdheid op het gebied van informatiebeveiliging Om nog concreter te kunnen toespitsen is aan de respondenten gevraagd in hoeverre ze beslissingsbevoegdheid hebben op het gebied van informatiebeveiliging.

Nee 47,3%



Ja 52,7%

28

Bibliografie Blankena, F. (2012). Haagse ambtenaren moeten aan de social media. Binnenlands Bestuur . Blankena, F. (2012). Nederlandse e-Overheid scoort hoog in VN-onderzoek. Binnenlands Bestuur . De Bruin, M. (2011, januari 15). 5 social media trends voor 2011 van trendwatcher Lieke Lamb. Opgeroepen op April 5, 2012, van Marketingfacts: http://www.marketingfacts.nl/berichten/20110115_5_social_media_trends_voor_2011_volgens_trendwatcher_lieke_lam b/ Donston-Miller, D. (2011, Augustus 29). 5 Enterprise Social Trends For Next 5 Years. Opgeroepen op April 5, 2012, van Informationweek: http://www.informationweek.com/thebrainyard/news/social_crm/231600408 Ernst & Young. (sd). Global Information Security Survey 2011. Opgehaald van http://www.ey.com/GL/en/Services/Advisory/IT-Risk-and-Assurance/Information-security Ernst & Young. (2011). Global Information Security Survey 2011. Opgehaald van http://www.ey.com/GL/en/Services/Advisory/IT-Risk-and-Assurance/Information-security Ernst & Young. (2012). How will consumers communicate in 2020? Ernst & Young. Ernst & Young. (2011). ICT Barometer. Opgehaald van ict-barometer.nl Ernst & Young. (sd). Privacy trends 2011 - Cloud computing. Opgehaald van http://www.ey.com/GL/en/Services/Advisory/IT-Risk-and-Assurance/Top-11-privacy-trends-for-2011---4--Cloudcomputing Ernst & Young. (2011). Privacy trends 2011 - Cloud computing. Opgehaald van http://www.ey.com/GL/en/Services/Advisory/IT-Risk-and-Assurance/Top-11-privacy-trends-for-2011---4--Cloudcomputing Ernst & Young. (sd). Privacy trends 2011 - Mobile devices. Opgehaald van http://www.ey.com/GL/en/Services/Advisory/IT-Risk-and-Assurance/Top-11-privacy-trends-for-2011---5--Mobile-devices Ernst & Young. (2011). Privacy trends 2011 - Mobile devices. Opgehaald van http://www.ey.com/GL/en/Services/Advisory/IT-Risk-and-Assurance/Top-11-privacy-trends-for-2011---5--Mobile-devices Ernst & Young. (sd). Privacy trends 2011 - Social networking. Opgehaald van http://www.ey.com/GL/en/Services/Advisory/IT-Risk-and-Assurance/Top-11-privacy-trends-for-2011---10--Socialnetworking Ernst & Young. (2011). Privacy trends 2011 - Social networking. Opgehaald van http://www.ey.com/GL/en/Services/Advisory/IT-Risk-and-Assurance/Top-11-privacy-trends-for-2011---10--Socialnetworking Harvard Business Review. (2011). Marketing Weekly News . Harvard Business Review Analytic Services. (2011). Study on the Impact of Social Media. USA: Harvard Business Review Analytic Services. Harvard Business Review Analytic Services. (2011). Study on the Impact of Social Media. USA: Harvard Business Review Analytic Services. Kok, D. (2011). Alleen aanwezig zijn op social media is niet genoeg. NOS. (sd). Spionage op Facebook. Opgehaald van http://nos.nl/op3/artikel/350580-spionage-op-facebook-met-valsnavoaccount.html NOS. (2012). Spionage op Facebook. Opgehaald van http://nos.nl/op3/artikel/350580-spionage-op-facebook-met-valsnavoaccount.html Reezigt, P. (2012). ICT-ontwikkelingen bij Het Nieuwe Werken. Vrije Universiteit Amsterdam. Smit, R. (2011). Bring your own device: werken zoals je zelf wil. Opgehaald van http://www.gemeente.nu/web/Bestuurszaken/Personeelszaken-Artikel/53963/Bring-your-own-device-werken-zoals-jezelf-wil.htm Trend Micro. (2011). Global Cloud Security onderzoek. Ubert, T. (2011). 'Bring your own device' heeft de toekomst. Computable . United Nations Economic & Social Affairs. (2012). E-Government Survey 2012. United Nations. Van de Wijgaert, L., Van Dijk, J., & Ten Tije, S. (2011). De e-overheid vanuit gebruikersperspectief. Twente: Universiteit Twente. Wikipedia. (sd). Wikipedia. Opgehaald van www.wikipedia.nl



29

Ernst & Young Assurance | Tax | Transactions | Advisory Over Ernst & Young Ernst & Young is wereldwijd toonaangevend op het gebied van assurance, tax, transactions en advisory. Juridische en notariële dienstverlening wordt in een strategische alliantie met Ernst & Young Belastingadviseurs LLP verzorgd door Holland Van Gijzen Advocaten en Notarissen LLP. Onze 141.000 mensen delen wereldwijd dezelfde waarden en staan voor kwaliteit. Wij maken het verschil door onze mensen, onze cliënten en de samenleving te helpen hun mogelijkheden optimaal te benutten. Waar sprake is van Ernst & Young wordt de wereldwijde organisatie van lidfirma’s van Ernst & Young Global Limited bedoeld, die elk een aparte rechtspersoon zijn. Ernst & Young Global Limited is een UK company limited by guarantee en verleent zelf geen diensten aan cliënten. Voor meer informatie over onze organisatie, kijk op www.ey.com. Ernst & Young Public Sector Overheidsorganisaties hebben een belangrijke maatschappelijke verantwoordelijkheid. Met transparante verantwoording en adequate controle op haar beleid laat de overheid zien waar zij voor staat. Het vertrouwen van burgers en ondernemers is daarbij essentieel. De overheidsprofessionals van Ernst & Young bundelen hun kennis en ervaring in de sectorgroep Public Sector van Ernst & Young. Zo bieden wij u passende oplossingen om doelstellingen te realiseren. Samen maken wij uw kansen waar. Van accountant tot fiscalist en van jurist tot adviseur spelen wij samen met u in op actuele ontwikkelingen. Met praktische oplossingen benutten wij alle mogelijkheden die bijdragen aan een transparante, betrouwbare en doelmatige lokale overheid. Zo maakt Ernst & Young het verschil. Over Ernst & Young IT Risk & Assurance Informatie is onmisbaar voor het realiseren van een effectieve en efficiënte gemeentelijke organisatie. Beheersing van informatiestromen en IT-infrastructuur is een kritische succesfactor voor de positie van de gemeente. Ernst & Young IT Risk & Assurance (ITRA) is de geschikte partner voor het uitvoeren van opdrachten binnen de discipline van ITaudits, IT-advies, reviews en (contra-) expertise opdrachten. Veel ervaring is aanwezig met vraagstukken binnen de lokale overheid met betrekking tot de betrouwbaarheid, beveiliging, effectiviteit en efficiency van de informatievoorziening in het algemeen en digitale dienstverlening in het bijzonder. © 2012 Ernst & Young Accountants LLP. Alle rechten voorbehouden. Deze publicatie bevat informatie in samengevatte vorm en is daarom enkel bedoeld als algemene leidraad. Ze is niet bedoeld om te dienen als een substituut voor gedetailleerd onderzoek of voor het aanwenden van een professioneel oordeel. Noch EYGM Limited noch enig ander lid van de wereldwijde Ernst & Young organisatie kan aansprakelijk worden gesteld voor het verlies van iemand die handelde of die ervan afzag te handelen ten gevolge van enige informatie in deze publicatie. Bij elke specifieke aangelegenheid, dient steeds een geschikte adviseur geraadpleegd te worden. www.ey.com/nl

Vertrouwelijk. Onderzoek Ernst & Young in het kader van Beurs Overheid en ICT April Voortschrijdende techniek Valkuil of goudmijn?

Recommend Documents