Volwassenheidsmodel voor het beheer van mobiele apparaten in zakelijke omgevingen
Auteurs:
Saïed R. Mohamed Hoesein, MSc – 1613944 –
[email protected] Kar Ming Lam, MSc – 1689002 –
[email protected]
VU begeleider: PwC Begeleider:
Paul Harmzen RA RE Drs. Mark Tesselaar CISA
Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) – IT Audit opleiding
Voorwoord Deze scriptie is opgesteld ter afronding van de postdoctorale IT Audit opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam. Graag maken wij van deze gelegenheid gebruik om een aantal personen te bedanken voor hun hulp en steun gedurende de periode waarin wij deze scriptie hebben geschreven. Ten eerste danken wij onze begeleider van de Vrije Universiteit, Paul Harmzen, voor zijn meedenken, tips en adviezen bij het opzetten van de scriptie en het uitvoeren van het onderzoek. Zijn aanmoediging heeft ons geholpen om verder te komen in het proces van het schrijven van de scriptie en het verhogen van de kwaliteit van het onderzoek. Verder willen wij onze collega's en studiegenoten bedanken voor alle input die zij hebben geleverd in de vorm van discussies, meedenken en attenderen. Tot slot gaat onze dank uit naar onze familieleden en vrienden voor het begrip en de steun gedurende de vorming van deze scriptie.
SAIED R. MOHAMED HOESEIN & KAR MING LAM AMSTERDAM, SEPTEMBER 2013. Voorwoord
I
Managementsamenvatting Het gebruik van mobiele apparaten is in de afgelopen jaren explosief gegroeid. Waar vroeger organisaties al genoegen namen met het gebruik van een simpele mobiele telefoon voor zakelijke doeleinden, zien we tegenwoordig steeds vaker dat organisaties hun werknemers voorzien van smartphones en tablets. Kenmerkend voor deze apparaten is dat zij de gebruikers voorzien van de mogelijkheid om te communiceren en data te raadplegen en te bewerken, zowel binnen als buiten de kantooromgeving. Deze nieuwe ontwikkeling gaat gepaard met enkele risico’s in het kader van de informatiebeveiliging. Deze risico’s zijn te groeperen op basis van de CIA driehoek, waarbij er risico’s zijn ten aanzien van de betrouwbaarheid (confidentiality), integriteit (integrity) en beschikbaarheid (availability) van data. Aan deze risico’s liggen diverse bedreigingen ten grondslag, de uitdaging voor organisaties is om voldoende maatregelen te treffen om de impact van de bedreiging te minimaliseren. Op basis van literatuur en diverse interviews met experts wordt er in de scriptie een model gepresenteerd om de volwassenheid van het beheer van mobiele apparaten in de zakelijke omgeving te meten. Het model is gebaseerd op het CMMI model waarbij wij de CMMI filosofie hebben toegepast op mobiele apparaten. Het hieruit voortvloeiende model voor mobiele apparaten kent 5 niveaus van volwassenheid: initieel, intuïtief, gedefinieerd, beheerst en geoptimaliseerd. Het model gaat er van uit dat er een relatie is tussen de getroffen maatregelen en de impact van de bedreigingen. De bedreigingen zijn hierbij gegroepeerd in een viertal domeinen: Governance, Gebruikers, Mobiele apparaten en Applicaties en data. Het model beschrijft voor elke bedreiging een beheersdoelstelling en per volwassenheidsniveau de maatregelen die getroffen zouden moeten worden om het betreffende volwassenheidsniveau te behalen. Het model is getoetst met IT auditors en IT specialisten en op basis daarvan herzien. Om het model op een juiste manier te kunnen gebruiken en de resultaten hiervan adequaat te kunnen interpreteren is het van belang dat de IT auditor deze specifiek toespitst naar de unieke situatie van de betreffende organisatie en een onderscheid maakt naar de impact van een bedreiging. Het model biedt hiertoe ruimte door per beheersdoelstelling de relevantie hiervan te bepalen. De relevantie kan afhankelijk zijn van diverse factoren zoals de branche van de organisatie of de ambitie van het management. Wanneer de IT auditor hierin slaagt, is het mogelijk om de resultaten op een juiste manier te interpreteren en de organisatie handvatten toe te reiken om te groeien naar een hoger volwassenheidsniveau.
Managementsamenvatting
II
Inhoudsopgave 1
Inleiding ....................................................................................................................................... 1 1.1 1.2
Achtergrond ....................................................................................................................................... 1 Probleemstelling ................................................................................................................................ 1
1.2.1 1.2.2
1.3 1.4 1.5 1.6
2
Afbakening ......................................................................................................................................... 3 Relevantie van het onderzoek ......................................................................................................... 3 Onderzoeksmodel ............................................................................................................................. 4 Opbouw scriptie ................................................................................................................................ 4
Mobiele apparaten in zakelijke omgevingen........................................................................ 6 2.1
Mobiele apparaten ............................................................................................................................ 6
2.1.1 2.1.2
2.2
2.3 2.4
Het gebruik van het mobiele apparaat ..................................................................................................... 9 Het besturingssysteem van het mobiele apparaat ................................................................................ 11
Informatie als een asset .................................................................................................................. 14 De omgeving van de mobiele apparaten ..................................................................................... 17
Risico’s en bedreigingen ......................................................................................................... 19 3.1
Governance ...................................................................................................................................... 21
3.1.1 3.1.2 3.1.3 3.1.4 3.1.5
3.2
3.3
Verlies of diefstal van het mobiele apparaat .......................................................................................... 23 Medewerkersbewustzijn .......................................................................................................................... 23 Onveilige webpagina’s en webcontent ................................................................................................... 24
Mobiele apparaten .......................................................................................................................... 24
3.3.1 3.3.2 3.3.3 3.3.4 3.3.5 3.3.6 3.3.7
3.4
Eigenaarschap van het mobiele apparaat en de applicaties ................................................................ 21 Gestelde beveiligingsdoelstellingen........................................................................................................ 22 Naleving van wet- en regelgeving .......................................................................................................... 22 Onderhoud en ondersteuning ................................................................................................................. 22 Overeenkomsten met leveranciers .......................................................................................................... 23
Gebruikers ........................................................................................................................................ 23
3.2.1 3.2.2 3.2.3
Kwaliteit van het mobiele apparaat ........................................................................................................ 24 Verwijderen van data bij vervanging ..................................................................................................... 24 Gebruik van locatie services .................................................................................................................... 25 Onveilige transmissietechnieken ............................................................................................................. 25 Manipulatie of blootstelling van data ..................................................................................................... 25 Security zwakheden .................................................................................................................................. 26 Performance zwakheden .......................................................................................................................... 26
Applicaties en data.......................................................................................................................... 26
3.4.1 3.4.2 3.4.3 3.4.4
4
Smartphones ................................................................................................................................................ 7 Tablets ........................................................................................................................................................... 9
Ontwikkelingen ................................................................................................................................. 9
2.2.1 2.2.2
3
Hoofdvraag .................................................................................................................................................. 1 Deelvragen ................................................................................................................................................... 2
Installatie van onbetrouwbare applicaties ............................................................................................. 26 Interactie met externe systemen .............................................................................................................. 26 Datacorruptie ............................................................................................................................................. 27 Kopiëren van data naar verwijderbare media ....................................................................................... 27
Volwassenheidsmodel voor het beheer van mobiele apparaten ..................................... 28
Inhoudsopgave
4.1 4.2 4.3
5
Evaluatie van het volwassenheidsmodel ............................................................................. 46 5.1 5.2 5.3
6
De rol van de IT auditor ................................................................................................................. 46 Het volwassenheidsmodel in de praktijk .................................................................................... 47 Interpretatie van de resultaten ...................................................................................................... 49
Conclusie .................................................................................................................................... 52 6.1 6.2
7
Definiëren van volwassenheidsniveaus ....................................................................................... 28 Beheersdoelstellingen en beheersmaatregelen ............................................................................ 30 Risicolevel ........................................................................................................................................ 45
Antwoord op de hoofdvraag ......................................................................................................... 52 Beperkingen en aanvullend onderzoek ....................................................................................... 54
Referenties ................................................................................................................................. 56
Bijlage A: Begrippen en afkortingen ............................................................................................. 58 Bijlage B: Het volwassenheidsmodel in de praktijk .................................................................. 59
Inhoudsopgave
1 Inleiding 1.1
Achtergrond
Het gebruik van mobiele apparaten is in de afgelopen jaren explosief gegroeid. Anno 2012 leest 95% van de eigenaren van een smartphone hun e-mail op het toestel (Security.NL, 2012a). Deze trend zet zich voort in het bedrijfsleven, waarbij de medewerker altijd en overal toegang heeft tot bedrijfsinformatie. Waar vroeger organisaties al genoegen namen met het gebruik van een simpele mobiele telefoon voor zakelijke doeleinden, zien we tegenwoordig steeds vaker dat organisaties hun werknemers voorzien van smartphones en tablets. Aan de vele mogelijkheden van smartphones en tablets kleven echter ook risico’s. Zo bleek uit onderzoek van Symantec dat gegevens van verloren smartphones massaal worden bekeken (Security.NL, 2012b), wat tot gevolg kan hebben dat bedrijfsgevoelige informatie in handen komt van onbevoegden. Zowel organisaties als medewerkers zijn zich vaak niet bewust van de risico’s of onderschatten deze. Gartner (2013) stelt dat in de komende jaren het gebruik van mobiele apparaten in de zakelijke omgeving onderwerp zal blijven van gesprekken met CIO's. Het onderzoek dat gedaan wordt in deze scriptie zal zich richten op het identificeren en het beheersen van de risico’s van het gebruik van smartphones en tablets voor zakelijke doeleinden. Aan de hand van de risico’s en bijbehorende beheersmaatregelen, zal een volwassenheidsmodel worden opgesteld om organisaties en medewerkers inzicht te geven in welke mate zij de risico's van het gebruik van mobiele apparaten beheersen.
1.2
Probleemstelling
Naar aanleiding van de ontwikkelingen met betrekking tot mobiele apparaten, die we zien bij organisaties, hebben we een hoofdvraag gedefinieerd. Om deze hoofdvraag te beantwoorden hebben we aanvullend enkele deelvragen opgesteld. Deze worden in de volgende subparagrafen behandeld.
1.2.1 Hoofdvraag De hoofdvraag van deze scriptie luidt: Hoe kan de volwassenheid van het beheer van mobiele apparaten binnen organisaties gemeten worden?
Inleiding
1
1.2.2 Deelvragen Om bovenstaande hoofdvraag te kunnen beantwoorden hebben we de volgende deelvragen opgesteld die zullen helpen bij de beantwoording: 1.
Wat is de definitie van een mobiel apparaat? Nieuwe technologie heeft geleid tot geavanceerde mobiele apparaten, waaronder smartphones en tablets. De smartphone biedt de gebruiker rekencapaciteiten om meer te doen dan bellen. Met het beantwoorden van deze deelvraag kunnen wij de grens aangeven wat wel en niet als een mobiel apparaat getypeerd kan worden en komen wij tot een definitie die wij zullen hanteren in het vervolg van de scriptie.
2.
Hoe worden mobiele apparaten ingezet in zakelijke omgevingen? Er zijn diverse manieren van het inzetten van smartphones en tablets in zakelijke omgevingen. Er zijn organisaties die smartphones en tablets aan hun medewerkers verstrekken voor het enkel benaderen van email, maar andere organisaties bieden ook de mogelijkheid om te kunnen werken vanaf de smartphone of tablet door bijvoorbeeld databases te benaderen. Welke andere mogelijkheden zijn er nog meer en wat heeft dit voor consequenties?
3.
Welke risico’s zijn verbonden aan het gebruik van mobiele apparaten binnen een organisatie en welke bedreigingen liggen daaraan ten grondslag? Door mobiele apparaten aan medewerkers te verstrekken ontstaan er nieuwe risico’s voor de betreffende organisatie. Deze risico’s komen voor wanneer er onvoldoende aandacht wordt besteed aan de beheersing van de bedreigingen die hieraan ten grondslag liggen.
4.
Hoe kunnen de bedreigingen op het gebied van mobiele apparaten beheerst worden? Het gebruik van mobiele apparaten binnen organisaties vereist een goed beheer. Wat doe je namelijk als een medewerker zijn smartphone kwijt is of als deze gestolen is? Door middel van deze deelvraag zullen de verschillende mogelijkheden voor het beheer van mobiele apparaten nader onderzocht worden.
5.
Welke niveaus van volwassenheid in de beheersing van mobiele apparaten zijn er en wat zijn de randvoorwaarden voor elk niveau? Afhankelijk van de manier waarop organisaties hun beheer van mobiele apparaten hebben ingericht, kan er een oordeel geveld worden over de volwassenheid hiervan. Middels deze deelvraag zal er aansluiting worden gezocht met het CMMI model waarbij er specifieke
Inleiding
2
randvoorwaarden voor elk niveau gedefinieerd zullen worden met betrekking tot het beheer van mobiele apparaten. 6.
Op welke wijze kan de IT auditor bijdragen aan het beheer van mobiele apparaten binnen organisaties? De IT auditor speelt reeds een belangrijke rol in diverse processen binnen organisaties. Ook aan het beheer van mobiele apparaten binnen organisaties kan de IT auditor bijdragen. De IT auditor kan na het meten van de volwassenheidniveaus hierover rapporteren naar de organisatie en de organisatie helpen het beheer naar een hoger niveau te brengen.
1.3
Afbakening
Binnen het onderzoek zullen wij ons beperken tot smartphones en tablets (zie voor de definities hoofdstuk 2). Laptops en mobiele apparaten met minimale rekencapaciteiten vallen buiten de scope van dit onderzoek, aangezien deze risico’s in diverse onderzoeken zijn behandeld en er reeds werkbare normenkaders bestaan om deze risico’s in kaart te brengen. Dit onderzoek zal zich richten op zowel smartphones en tablets die door de organisatie beschikbaar worden gesteld als smartphones en tablets die eigendom zijn van de medewerker zelf (het zogenaamde Bring-Your-Own-Device principe). Wij zullen ons echter beperken tot kantoortoepassingen en niet ingaan op specifieke applicaties, daar er een ontelbaar aantal applicaties zijn en de ontwikkelingen ten aanzien van de applicaties dermate hoog is dat het onderzoek al verouderd zou zijn tegen de tijd dat deze is afgerond. Bij het opstellen van het volwassenheidsmodel zal er niet specifiek ingegaan worden op de beschikbare mobile device management tools, maar zullen wij ons beperken tot een algemene set van maatregelen die de relevante risico's bij het gebruik van smartphones en tablets mitigeren. Ook hierbij geldt weer dat de beschikbare mobile device management tools zich in een hoog tempo ontwikkelen en de resultaten van het onderzoek geen toegevoegde waarde zouden hebben wanneer een specifieke mobile device management tool onderzocht zou worden.
1.4
Relevantie van het onderzoek
Diverse bedrijven spelen op het moment met het idee om smartphones en tablets in te voeren binnen de bedrijfsvoering. Er komt echter veel meer bij kijken om te kunnen waarborgen dat na de invoering de risico's en bedreigingen ten aanzien van de apparaten ook beheerst kunnen worden. Veel risico’s worden door de organisaties over het hoofd gezien of niet erkend. Door middel van deze scriptie zal de business handvatten aangereikt worden om de beheersing van de risico's en bedreigingen ten aanzien van mobiele apparaten binnen de organisatie tot een hoger niveau te tillen.
Inleiding
3
1.5
Onderzoeksmodel
Het doel van het onderzoek is om te komen tot een model waarmee de volwassenheid van de beheersing van risico's en bedreigingen rondom mobiele apparaten binnen organisaties gemeten kan worden. Onderstaande tabel geeft een overzicht van de onderzoeksdoelstellingen en de bijbehorende onderzoeksmethodes. Onderzoeksdoelstelling
Onderzoeksmethode
Definiëren van het begrip " mobiel apparaat " in
Literatuurstudie.
het kader van deze scriptie. Een overzicht van de mogelijkheden waarop
Literatuurstudie.
mobiele apparaten binnen zakelijke omgevingen ingezet worden. Een overzicht van risico’s die verbonden zijn
Literatuurstudie en interviews met IT auditors
aan het gebruik van mobiele apparaten en
en IT specialisten.
bedreigingen die daaraan ten grondslag liggen. Een overzicht van de manieren waarop risico's
Literatuurstudie en interviews met IT auditors
en bedreigingen rondom mobiele apparaten
en IT specialisten op gebied van mobile device
beheerst kunnen worden.
management.
Een mapping van het CMMI model naar de
Literatuurstudie en interviews met IT auditors
beheersmaatregelen voor het beheersen van
en IT specialisten.
risico's en bedreigingen rondom mobiele apparaten. Toetsing van de praktische toepassing van het
Onderzoek bij de betreffende organisatie
volwassenheidsmodel in de praktijk bij een
middels interviews met IT specialisten en
organisatie.
betrokkenen.
Tabel 1 Onderzoeksdoelstelling en onderzoeksmethode
1.6
Opbouw scriptie
De scriptie zal bestaan uit zes hoofdstukken die allen van belang zijn voor het juist begrijpen en interpreteren van het onderzoek en de resultaten. Hoofdstuk 1 (dit hoofdstuk) beschrijft de opbouw van de scriptie door de fundamenten van het onderzoek te beschrijven zoals de hoofdvraag, de deelvragen en de methode waarop het onderzoek is uitgevoerd. Hoofdstuk 2 introduceert het onderwerp van onderzoek. Hierin worden de relevante begrippen en definities behandeld om de lezer een beeld te geven over het beheer en de ontwikkelingen op het gebied van mobiele apparaten in zakelijke omgevingen. Hiermee wordt antwoord gegeven op de deelvragen 1 en 2. Inleiding
4
Hoofdstuk 3 beschrijft de risico’s en bedreigingen ten aanzien van het gebruik van mobiele apparaten binnen zakelijke omgevingen op basis van de uitgevoerde literatuurstudie. Vervolgens worden deze geverifieerd middels interviews. In dit hoofdstuk wordt antwoord gegeven op de deelvragen 3 en 4. Hoofdstuk 4 combineert de resultaten van de literatuurstudie en interviews met elkaar tot een raamwerk dat helpt bij het bepalen van de volwassenheid van het beheer van mobiele apparaten. Volwassenheidsniveaus worden hierbij gedefinieerd aan de hand van het CMMI model. Dit geeft antwoord op de deelvraag 5. Hoofdstuk 5 geeft richting tot interpretatie van het model dat in hoofdstuk 4 gepresenteerd is. Dit wordt gedaan door het model te toetsen bij een organisatie en de resultaten hiervan te evalueren. De toegevoegde waarde van een IT auditor in dit proces wordt beschreven, wat antwoord geeft op deelvraag 6. Aanvullend wordt er besproken hoe het model toegepast moet worden en tot welke resultaten dit kan leiden. Afwegingen ten aanzien van het model en het gewenste niveau per type organisatie worden gepresenteerd. Hoofdstuk 6 behandelt de conclusie en geeft antwoord op de hoofdvraag van de scriptie. Aanvullend worden er enkele beperkingen van het onderzoek en aanbevelingen voor vervolgonderzoek gepresenteerd in dit hoofdstuk.
Hoofdstuk 1: Opbouw scriptie
Hoofdstuk 2: Introductie onderwerp
Hoofdstuk 3: Risico’s en bedreigingen
Hoofdstuk 4: Raamwerk tbv volwassenheidsmodel
Hoofdstuk 5: Evaluatie volwassenheidsmodel
Hoofdstuk 6: Conclusie en aanbevelingen
Figuur 1 Opbouw scriptie
Inleiding
5
2 Mobiele apparaten in zakelijke omgevingen In dit hoofdstuk zullen we ingaan op het gebruik van mobiele apparaten in zakelijke omgevingen. We zullen een definitie geven van de term “mobiele apparaten” die wij in het vervolg van deze scriptie zullen hanteren. Verder geven wij inzicht in de huidige ontwikkelingen en mogelijkheden op gebied van mobiele apparaten. De deelvragen die in dit hoofdstuk worden behandeld zijn: 1.
Wat is de definitie van een mobiel apparaat?
2.
Hoe worden mobiele apparaten ingezet in zakelijke omgevingen?
2.1
Mobiele apparaten
De ISACA (2012) definieert mobiele apparaten als:
Mobiele telefoons met functionaliteiten van desktops, ook wel smartphone;
Laptops en netbooks;
Tablets;
Portable Digital Assistants (PDA's);
Mobiele Universal Serial Bus (USB) apparaten voor opslag van data en connectiviteit doeleinden (zoals Wi-Fi, Bluetoooth, HSPDA/UMTS/EDGE/GPRS modemkaarten);
Digitale camera's;
Radio Frequency Identification (RFID) en mobiele RFID (M-RFID) apparaten voor opslag van data, identificatie en asset management;
Infrared-enabled (IrDA) apparaten zoals printers en smartcards;
Bovengenoemde apparaten voorzien de gebruikers van de mogelijkheid om te communiceren en data te raadplegen en bewerken in de kantooromgeving en elders. Communicatie kan op meerdere manieren plaatsvinden, zowel bedraad als draadloos. Veel van deze apparaten hebben toegang tot het internet, bedrijfsdocumentatie en netwerkschijven, video en foto. Voor het ontsluiten van bedrijfsgegevens wordt steeds vaker contact gelegd met onderdelen van het bedrijfsnetwerk. Kortom, de apparaten stellen de medewerker in staat om buiten het kantoor over alle gemakken te beschikken van de kantoorvoorzieningen. Mobiele apparaten in zakelijke omgevingen
6
Zoals beschreven in paragraaf 1.3 wordt in deze scriptie enkel het gebruik van smartphones en tablets in zakelijke omgevingen behandeld. Deze beperking hebben wij gesteld, omdat smartphones en tablets wezenlijk verschillen van de overige mobiele apparaten zoals gedefinieerd door de ISACA. Smartphones en tablets differentiëren zich op het gebied van interactie met de gebruiker en andere systemen en populariteit (frequent en toenemend gebruik). In de volgende paragrafen worden beide mobiele apparaten verder toegelicht.
2.1.1 Smartphones In de vorige paragraaf hebben wij de definitie van mobiele apparaten gegeven en tevens smartphones geïdentificeerd als een mobiel apparaat. Smartphones worden in de literatuur op verschillende manieren gedefinieerd. Het doel van deze scriptie is niet het opstellen van een uitputtende lijst van kenmerken van een smartphone, maar enkel het geven van een definitie voor verder gebruik in deze scriptie. Gartner (2012) definieert een smartphone als een mobiel communicatie apparaat dat gebruik maakt van een herkenbaar open besturingssysteem. Dit open besturingssysteem maakt het mogelijk om applicaties gecreëerd door derden te installeren en te verwijderen. Hiervoor dient een application programming interface (API) beschikbaar te zijn of ontwikkelaars moeten de API kunnen benaderen via een discrete laag zoals Java. Het besturingssysteem moet een multitasking-omgeving kunnen ondersteunen en de gebruikersinterface moet het mogelijk maken om meerdere applicaties tegelijk te gebruiken (zoals email lezen en muziek afspelen). Palm (Elgan, 2007) hanteert de volgende definitie: een draagbaar apparaat dat draadloze telefonie, email, internet toegang en een agenda mogelijk maakt in een enkel stuk hardware. Een andere definitie (Theoharidou, Mylonas, & Gritzalis, 2012) beschrijft een smartphone als volgt: een smartphone is een mobiele telefoon met geavanceerde mogelijkheden, welke gebruik maakt van een herkenbaar besturingssysteem. Dit besturingssysteem stelt de gebruikers in staat om de mogelijkheden van het apparaat uit te breiden aan de hand van applicaties van derden, die beschikbaar zijn in een applicatie markt. Hierbij dienen smartphones te beschikken over geavanceerde hardware met: 1.
Uitgebreide verwerkingsmogelijkheden (zoals moderne CPU’s en sensoren);
2.
Gelijktijdige en snelle verbindingsmogelijkheden (zoals Wi-Fi, HSDPA);
3.
Gelimiteerde scherm afmetingen (het apparaat moet compact zijn);
Mobiele apparaten in zakelijke omgevingen
7
4.
Het besturingssysteem moet duidelijk herkenbaar zijn (zoals Android, Blackberry, Windows Phone, Apple’s iOS, enz.);
5.
Het besturingssysteem moet installatie van applicaties van derden mogelijk maken middels een applicatiemarkt (zoals Android Market, BlackBerry App World, App Hub, App Store, enz.).
Door bovenstaande kenmerken van een smartphone te combineren en in het perspectief van deze scriptie te plaatsen zijn wij gekomen tot de volgende definitie: “Een smartphone is een draagbaar apparaat met een compact formaat waar een herkenbaar besturingssysteem op staat. Dit apparaat stelt de gebruiker in staat om applicaties van derden te installeren, gegevens in te voeren en op te slaan en verbinding te maken met andere apparaten middels een netwerk.” In de onderstaande tabel worden de kenmerken van de smartphone, zoals wij hanteren in deze definitie, verder toegelicht. Kenmerk
Toelichting
Formaat
Het apparaat is compact, werkt op een accu, is mobiel en kan bediend worden met de hand en/of een stylus.
Besturingssysteem
Het apparaat werkt op een besturingssysteem van een herkenbare leverancier, welke toestaat dat applicaties van derden worden geïnstalleerd.
Connectiviteit
Het apparaat heeft een of meerdere mogelijkheden om te verbinden met het internet of andere mobiele apparaten.
Invoer
Het apparaat beschikt over een hardwarematig of softwarematig toetsenbord of volgt handelingen van de vinger/stylus via het scherm.
Opslagcapaciteit
Het apparaat heeft een intern en/of extern geheugen.
Functionaliteiten
Naast reguliere telefoonmogelijkheden staat het apparaat toe om te emailen, notities te maken, agenda's bij te houden, te synchroniseren met laptops en computers of andere online web services. Daarnaast biedt het besturingssysteem de mogelijkheid om applicaties van derden te installeren.
Tabel 2Kenmerken van een smartphone
Mobiele apparaten in zakelijke omgevingen
8
2.1.2 Tablets Een tablet vertoont meerdere overeenkomsten met computers en smartphones. Hij kan worden gezien als een grote, krachtigere PDA, of als een kleine laptop. De tablet is een evolutie van de PDA die al sinds de jaren 90 op de markt was. Deze PDA’s werden voornamelijk bediend door het gebruik van een zogenaamde stylus. De huidige tablets worden echter voornamelijk met de vinger bediend. Sinds 2010 is de evolutie van PDA naar tablet in een stroomversnelling gegaan door de introductie van de iPad door Apple. Doorgaans werken tablets op hun eigen besturingssysteem. Bij de ontwikkeling van deze besturingssystemen werd echter duidelijk dat het besturingssysteem dat reeds was ontwikkeld voor de smartphone met enkele aanpassingen ook toegepast kon worden op een tablet. Leveranciers hebben hier veelvuldig gebruik van gemaakt, waardoor de meest populaire tablets dan ook als besturingssysteem iOS of Android hebben. Door deze ontwikkeling kunnen we tegenwoordig stellen dat een tablet niets anders is dan een grotere smartphone en beschikt over dezelfde kenmerken die in voorgaand hoofdstuk zijn benoemd, met als grootste verschil dat het scherm over het algemeen van een groter formaat is en het wel of niet hebben van telefoonfaciliteiten. Hoewel de onderliggende techniek veelal hetzelfde is, is de gebruikerservaring anders (Smeets & Ceelen, 2011).
2.2
Ontwikkelingen
2.2.1 Het gebruik van het mobiele apparaat Tegenwoordig is het meer regel dan uitzondering dat een persoon beschikt over meerdere mobiele apparaten, dit varieert van laptop tot smartphone. Deze mobiele apparaten komen voor in ons privéleven, maar verschijnen ook steeds meer op de werkvloer; dan wel als privé eigendom van de werknemer, dan wel beschikbaar gesteld door de werkgever. De opmars van de mobiele apparaten is niet meer te stoppen. Deze mobiele apparaten met een hoog gadget gehalte profileren zich in de huidige bedrijfsomgevingen als handige apparaten die het werken efficiënter moeten maken. Diverse fabrikanten spelen in op deze ontwikkelingen – Apple heeft zich op de markt gevestigd met de iPhone en iPad, Samsung biedt de Galaxy smartphones en tablets aan, Blackberry beschikt over een eigen smartphone en Playbook en zo zijn er nog diverse andere (opkomende) fabrikanten. Op basis van statistieken stelt het IDC (2013) dat de verkoop en daarmee de ingebruikname van de tablet op de consumentenmarkt in 2013 de laptop nog zal overstijgen en in 2015 de volledige computer. Ook verwacht het IDC (2013) dat de inzet van de tablet op de zakelijke markt zal toenemen in de periode 2011-2017:
Mobiele apparaten in zakelijke omgevingen
9
Figuur 2 Voorspelling van tablet verkoop aan de consumentenmarkt en zakelijke markt (IDC, 2013)
Garnter (2013) erkent een groei van mobiele apparaten, waarbij de verdeling een verschuiving meemaakt van de traditionele computer naar de tablet. De tabel hieronder geeft de voorspelling van Garnter weer van het aantal mobiele apparaten geleverd voor de consumentenmarkt voor de komende jaren: Leveringen van mobiele apparaten per segment (wereldwijd in duizenden) Type apparaat PC (Desktop en Notebook)
2012
2013
2014
2017
341,263
315,229
302,315
271,612
Ultramobile (Ultrabook)
9,822
23,592
38,687
96,350
116,113
197,202
265,731
467,951
1,746,176
1,875,774
1,949,722
2,128,871
2,213,373
2,411,796
2,556,455
2,964,783
Tablet Mobiele telefoon Totaal
Tabel 3 Voorspelling van verkoop van mobiele apparaten wereldwijd (Gartner, 2013)
Onderzoeksbureau Dimensional Research heeft in 2012 onderzoek gedaan naar het aantal mobiele apparaten, zoals een smartphone of een tablet, dat verbonden is met het bedrijfsnetwerk. Het onderzoek werd uitgevoerd onder 768 IT professionals uit de landen Verenigde Staten, Canada, Verenigd Koninkrijk, Duitsland en Japan. 89% van de ondervraagden had de beschikking over een apparaat dat verbonden is met het bedrijfsnetwerk, waarvan 65% naast het zakelijke mobiele apparaat tevens de beschikking had over een persoonlijk mobiel apparaat dat toegang had tot het bedrijfsnetwerk (Dimensional Research, 2012).
Mobiele apparaten in zakelijke omgevingen
10
Figuur 3 Mobiele apparaten verbonden met het bedrijfsnetwerk (Dimensional Research, 2012)
De deelnemers van het onderzoek merken een aanzienlijke toename op van het gebruik van persoonlijke mobiele apparaten in de bedrijfsomgeving in de periode 2010 tot en met 2012. Daarnaast wijst het onderzoek uit dat 47% van de deelnemers klantdata opslaat op de mobiele apparaten. Op basis van bovenstaande ontwikkelingen en gedane analyses verwachten wij dat de trend van de mobiele apparaten zich voort zal zetten in de zakelijke omgeving. Het gemak dat deze mobiele apparaten biedt aan de gebruikers in hun privéomgeving zullen zij immers meenemen naar de zakelijke omgeving.
2.2.2 Het besturingssysteem van het mobiele apparaat Op het vlak van besturingssystemen van de mobiele apparaten zijn er een viertal grote spelers:
Android wordt geleverd door Google en is een opensource platform voor mobiele telefoons en tablets gebaseerd op het Linux kernel en het java-programmeerplatform. Met name het succes van Samsung met de smartphone en de tablet heeft bijgedragen aan het gebruik van het Android besturingssysteem.
iOS is het mobiele besturingssysteem van Apple voor de iPhone, iPad, iPod touch en Apple TV.
Windows Phone wordt geleverd door Microsoft als besturingssysteem voor smartphones en tablets.
Mobiele apparaten in zakelijke omgevingen
11
BlackBerry OS is het besturingssysteem van RIM voor de BlackBerry toestellen. Het besturingssysteem voorziet in multitasking en in specifieke ondersteuning voor de gebruikte invoerapparatuur op de BlackBerry.
IDC (2013) heeft wereldwijd het marktaandeel per besturingssysteem geanalyseerd. In Q1 2013 maakte 75% van de smartphones gebruik van het Android besturingssysteem. Apple iOS is de tweede grootste speler met een aandeel van 17,3%, wat meer is dan het totale aantal smartphones dat opereert op de resterende besturingssystemen. Tabel 1 toont een nadere verdeling van het marktaandeel in het eerste kwartaal van 2013.
Besturingssysteem Android
1Q 2013 leveringen
1Q 2013 marktaandeel
1Q 2012 1Q2012 Groei 2012leveringen marktaandeel 2013 in %
162.1
75.0%
90.3
59.1%
79.5%
37.4
17.3%
35.1
23.0%
6.6%
Windows Phone
7.0
3.2%
3.0
2.0%
133.3%
BlackBerry OS
6.3
2.9%
9.7
6.4%
-35.1%
Linux
2.1
1.0%
3.6
2.4%
-41.7%
Symbian
1.2
0.6%
10.4
6.8%
-88.5%
Overige
0.1
0.0%
0.6
0.4%
-83.3%
216.2
100.0%
152.7
100.0%
41.6%
iOS
Totaal
Tabel 4 Smartphone besturingssysteem, levering (in miljoenen), marktaandeel en groei (IDC, 2013)
Ten opzichte van 2012 is wereldwijd het gebruik van Android toegenomen, mede door de Samsung toestellen die zijn voorzien van dit besturingssysteem. Ook Apple's iOS kent een groei van leveringen in Q1 2013. We zien echter vanwege de beperkte innovaties het marktaandeel van iOS langzamerhand dalen. Voor de Windows toestellen is een groei geconstateerd door de lancering van enkele belangrijke smartphones van onder andere Nokia in 2012. Blackberry, welk behoort tot een van de eerste smartphones voor zakelijke doeleinden, ziet haar aandeel dalen mede door het toetreden van Android en iOS tot de zakelijke omgeving. Hoe dan ook is Windows haar marktaandeel nog te beperkt om te kunnen concurreren met de grootste spelers Android en iOS. IDC heeft voor de periode Q1 2012 tot en met Q1 2013 per kwartaal inzichtelijk gemaakt wat het marktaandeel wereldwijd per besturingssysteem is, zie figuur 4.
Mobiele apparaten in zakelijke omgevingen
12
Figuur 4 Marktaandeel mobiele besturingssystemen (IDC, 2013)
In de zakelijke omgeving domineerde BlackBerry voor lange tijd. Echter zijn ook hier de invloeden van de consumentenmarkt in terug te vinden. Aan de hand van het onderzoek van Dimensional Research, dat eerder is aangehaald in paragraaf 2.1.1, is af te leiden dat het meest gangbare platform dat gebruikt wordt om verbinding te maken met het bedrijfsnetwerk, Apple iOS is. Kort daarop volgt BlackBerry OS.
Mobiele apparaten in zakelijke omgevingen
13
Figuur 5 Verbinding met het bedrijfsnetwerk (Dimensional Research, 2012)
2.3
Informatie als een asset
Doordat mobiele apparaten steeds vaker in zakelijke omgevingen worden ingezet is er ook in grote mate bedrijfsgevoelige informatie te vinden op deze apparaten. Een goed beheer van de mobiele apparaten is in dergelijke gevallen vereist om de veiligheid van de bedrijfsgevoelige data te kunnen waarborgen. Of dit apparaten betreffen die door de organisatie worden gefaciliteerd of zelf door de medewerkers worden aangeschaft (BYOD) maakt hierbij niets uit. Binnen het zakelijk gebruik van mobiele apparaten is het lezen van zakelijk email vaak de eerste toepassing die wordt gebruikt. Op basis van de literatuur (Smeets & Ceelen, 2011) hebben we gezien dat smartphones vaak als eerste aan het hogere management worden uitgereikt. De mailboxen van medewerkers op dit niveau bevatten over het algemeen de meest gevoelige gegevens. Het lekken van e-mails van de smartphone met gevoelige informatie, zoals een concept versie van het jaarverslag of andere vertrouwelijke data kan een directe invloed hebben op het bedrijf. Als we hierbij optellen dat de datacapaciteit van smartphones ook steeds groter wordt en bestanden niet meer zo snel worden verwijderd, kunnen we stellen dat, gegeven de informatiestroom die langs mobiele apparaten loopt, er belang is bij een degelijke beveiliging van de mobiele apparaten. Organisaties moeten hierbij echter het belang inzien van hun informatie. Dimensional Research (2012) heeft onderzoek gedaan naar de data die op mobiele apparaten wordt opgeslagen. Hieruit bleek dat 79% van de deelnemers aangaf mobiele apparaten te gebruiken voor email en 65% voor zakelijke contacten. De deelnemers gaven echter ook aan dat er in grote mate bedrijfsgevoelige data te vinden was op hun mobiele apparaten. In 47% van de gevallen ging het om klantengegevens, 38% had gebruikersnamen en wachtwoorden van de computer op hun mobiele Mobiele apparaten in zakelijke omgevingen
14
apparaat staan en 32% had applicaties geïnstalleerd van waaruit bedrijfsinformatie benaderd kan worden.
Figuur 6 Zakelijke informatie opgeslagen op het mobiele apparaat(Dimensional Research, 2012)
Het gebruik van mobiele apparaten binnen organisaties wordt door de vele toepassingen een zeer waardevolle aangelegenheid. Doordat bedrijfsdata via deze apparaten kan worden geraadpleegd wordt de waarde hiervan verder verhoogd. Hierdoor kunnen mobiele apparaten binnen organisaties gezien worden als een zeer waardevol bezit (asset). In onderzoeken verricht door Jeon, Kim, Lee, & Won (2011) en Theoharidou, Mylonas, & Gritzalis (2012) worden mobiele apparaten getypeerd als assets van een bedrijf. Ten aanzien van mobiele apparaten kan er een onderscheid worden gemaakt in 3 soorten assets: 1.
Informatie: Hieronder valt alle data die is opgeslagen en verzonden wordt naar en vanaf het mobiele apparaat. Dit omvat onder andere het adresboek, belhistorie, locatie informatie, notitieblok, kalender, email, opgeslagen wachtwoorden binnen de webbrowser en alle overige informatie.
2.
Apparaat: Hierbij gaat het specifiek om het fysieke apparaat (hardware). Omdat het bijvoorbeeld bij een smartphone mogelijk is te bellen of te verbinden naar een draadloos netwerk is het mogelijk om hier misbruik van te maken. Bovendien kunnen de resources van het apparaat zelf zoals de CPU, de RAM en de batterij, gezien worden als een asset omdat deze noodzakelijk zijn voor de beschikbaarheid van het mobiele apparaat. Ook hier kan misbruik van worden gemaakt, doordat bijvoorbeeld malware misbruik kan maken van de rekencapaciteit van het mobiele apparaat.
Mobiele apparaten in zakelijke omgevingen
15
3.
Applicaties: Ook applicaties kunnen volgens Rhee, Jeon, & Won (2012) gedefinieerd worden als een asset. Hierbij wordt er onderscheid gemaakt tussen twee typen applicaties. Het ene wordt gratis gedistribueerd door de gebruiker of de online applicatie winkel en de andere wordt commercieel gebruikt middels digitale rechten. De gebruiker dient hierbij te betalen en dus kan dit gezien worden als een asset.
Uit het onderzoek gedaan door Rhee, Jeon, & Won (2012) is daarnaast gebleken dat het aantal situaties waarbij vertrouwelijke informatie is uitgelekt middels mobiele apparaten nog steeds stijgende is. Als een gevolg hiervan starten steeds meer organisaties met de implementatie van zogenaamde Mobile Device Management (MDM) systemen. Deze systemen stellen de organisatie in de gelegenheid om de apparaten (zowel business mobiele apparaten als eigen mobiele apparaat/BYOD) die in bezit zijn van de medewerkers (zo nodig op afstand) te beheren. Dit betreft niet alleen het beheer van de data die reeds aanwezig is op het apparaat, maar MDM systemen beschikken doorgaans ook over de functionaliteit om applicaties, data en configuratie-instellingen over-the-air te kunnen distribueren. Hierbij is het bijvoorbeeld ook mogelijk om de camera op afstand te beheren en (USB) aansluitingen in of uit te schakelen. Randvoorwaarde in een BYOD situatie is echter wel dat de eigenaar toestemming heeft verleend om het apparaat op de MDM infrastructuur aan te sluiten en te laten beheren door de organisatie. De mobiliteit van de werknemers van vandaag blijft groeien, wat zorgt voor een minder strikte scheiding tussen werktijd en privétijd. Als gevolg hiervan neemt de informatiestroom binnen en buiten de organisatie significant toe en wordt het lastiger om deze stroom te beheren. De groei van de mobiliteit en de combinatie met het nieuwe werken vraagt om innovaties van de organisatie ten aanzien van de ondersteuning van haar personeel. De NOREA (2012) merkt op dat externe en interne klanten vragen om een raamwerk voor governance van mobiele apparaten (smartphones en tablets). Met de opkomst van Bring-Your-Own-Device zal het aantal mobiele apparaten op de werkvloer enkel toenemen. Het gebruik van deze apparaten met corporate data is vrijwel niet meer te voorkomen. "Een (MDM) goveranance en control framework staat nog in kinderschoenen", aldus de NOREA (2012). Door de mogelijkheden van mobiele apparaten en het gebruik hiervan in de bedrijfsomgeving ontstaan er diverse risico’s (zie hiervoor hoofdstuk 3). Deze risico’s kunnen we groeperen in een viertal domeinen (governance, gebruikers, apparaten en applicaties & data), maar hebben allen gemeen dat mogelijk de veiligheid van de data die op het apparaat staat in het geding komt. In het
Mobiele apparaten in zakelijke omgevingen
16
volgend hoofdstuk zullen we de mogelijke risico’s in kaart brengen en maatregelen benoemen om deze risico’s te beheersen.
2.4
De omgeving van de mobiele apparaten
Smartphones en tablets kunnen op meerdere manieren in contact komen met diverse netwerken. Zij kunnen middels een draadloos netwerk verbonden worden met andere computers en het internet en daarmee toegang verkrijgen tot het bedrijfsnetwerk, sociale media en andere websites. Maar ook een bedrade verbinding behoort tot de mo gelijkheden.
Figuur 7 Omgeving van smartphones en tablets (Smeets & Ceelen, 2011)
De gebruiker van het mobiele apparaat kan een gesprek beginnen of ontvangen, zijn/haar agenda beheren, een spel spelen of andere functies van het apparaat gebruiken. Bepaalde applicaties dienen hiervoor contact te maken met het internet of andere apparaten. Indien mogelijk kan middels GPS
Mobiele apparaten in zakelijke omgevingen
17
bepaald worden waar de gebruiker zich bevindt. Deze informatie kan op zijn beurt verder worden gebruikt door de applicaties.
Mobiele apparaten in zakelijke omgevingen
18
3 Risico’s en bedreigingen Hoewel mobiele apparaten legio aan nieuwe mogelijkheden bieden om de efficiëntie van werknemers te verhogen, leiden zij ook tot een aantal nieuwe beveiligingsrisico's. Zoals vanuit de informatiebeveiliging gebruikelijk is kunnen deze risico’s geclassificeerd worden op basis van de CIA driehoek. Dit houdt het volgende in:
Confidentiality (vertrouwelijkheid): is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerde personen toegang krijgen en dat informatie niet kan uitlekken.
Integrity (integriteit): geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en het wijzigen van data door enkel geautoriseerde personen.
Availability (beschikbaarheid): bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitval tijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid.
De Parkerian hexad is een andere variant op de CIA classificatie. Deze is verder uitgebreid met Authenticity, Possession en Utility. We hebben er echter bewust voor gekozen niet gebruik te maken van de Parkerian hexad, omdat binnen de toepassing hiervan op mobiele apparaten de factoren authenticiteit, eigenaarschap en toepasbaarheid beter geclassificeerd kunnen worden als bedreigingen die kunnen leiden tot het risico van het schenden van de vertrouwelijkheid, integriteit of beschikbaarheid. Wanneer we de CIA classificatie specifiek gaan toespitsen op mobiele apparaten geeft ons dit een drietal risico’s die zich voor kunnen doen binnen de mobiele omgeving:
Vertrouwelijkheid: hierbij bestaat het risico dat data in handen komt van ongeautoriseerde gebruikers en er sprake kan zijn van het uitlekken van data;
Integriteit: hierbij bestaat het risico dat data op het apparaat aangepast wordt waardoor de integriteit van de data niet meer gewaarborgd kan worden;
Beschikbaarheid: hierbij bestaat het risico dat kwaadwillende personen ervoor zorgen dat het apparaat en de data hierop niet beschikbaar is.
Risico’s en bedreigingen
19
Een mogelijk discussiepunt hierbij is of de risico’s afwijken binnen een organisatie die BYOD faciliteert of een organisatie die mobiele apparaten uitgeeft die eigendom zijn van de organisatie. Randvoorwaarde in het scenario van BYOD is dat de eigenaar hierbij toestemming dient te verlenen om het beheer van het mobiele apparaat over te dragen aan de organisatie. De risico’s op zich verschillen in deze scenario’s niet van elkaar. Het maakt niet uit of er sprake is van BYOD of apparaten die eigendom zijn van de organisatie. Het feit blijft dat er sprake is van zakelijk gebruik van een mobiel apparaat waarbij mogelijk de vertrouwelijkheid, integriteit of beschikbaarheid van het mobiele apparaat en de aanwezige data hierop geschonden kan worden. De risico’s op basis van CIA die hierboven zijn gepresenteerd worden ondersteund door een aantal bedreigingen. Wanneer organisaties het beheer en de volwassenheid van mobiele apparaten tot een hoger niveau willen brengen is het noodzakelijk om maatregelen te treffen zodat de impact van deze bedreigingen beperkt wordt of volledig gemitigeerd wordt. Het Information security forum (2011) heeft 4 domeinen geïdentificeerd met betrekking tot de bedreigingen van mobiele omgevingen. Governance Het gebruik van mobiele apparaten voor bedrijfsdoeleinden brengt diverse uitdagingen op het gebied van governance met zich mee. Huidige processen en procedures zijn mogelijk niet meer toereikend. Zo zijn er bedreigingen op het gebied van support en training, maar ook contractuele afspraken dienen mogelijk herzien te worden. Wanneer er onvoldoende richtlijnen zijn opgesteld is het mogelijk dat er potentieel inbreuk plaats kan vinden op de vertrouwelijkheid, integriteit en beschikbaarheid van de (data op) mobiele apparaten. Gebruikers Op het moment kunnen niet alle mobiele apparaten beveiligd worden zoals dat bijvoorbeeld bij een laptop mogelijk is, waardoor er bedreigingen ontstaan die betrekking hebben op het gebruik van het apparaat door medewerkers. Door onder andere bepaalde websites te bezoeken kan mogelijk de vertrouwelijkheid of integriteit van de data niet meer gegarandeerd worden. Apparaten De mobiele apparaten die binnen onze scope vallen hebben enkele eigenschappen die een bedreiging vormen voor de toepassing van deze apparaten in de bedrijfsomgeving. Dit komt met name vanwege het feit dat de meeste mobiele apparaten die worden gebruikt in de bedrijfsomgeving zijn ontwikkeld voor de consumentenmarkt. Consumenten hechten in mindere mate waarde aan beveiliging, maar hebben een grotere voorkeur aan gebruiksvriendelijkheid en gemak. Bovendien wil de consument alles met elkaar verbonden hebben waardoor zaken als een GPS en camera doorgaans in de apparaten
Risico’s en bedreigingen
20
aanwezig zijn. Deze eigenschappen kunnen een impact hebben op de vertrouwelijkheid, integriteit en beschikbaarheid van de (data op) mobiele apparaten. Applicaties en data De mobiele apparaten die wij in scope hebben voor het onderzoek, maken het mogelijk om applicaties te installeren op het apparaat. Ook is er een verregaande data-uitwisseling mogelijk tussen het apparaat en andere apparaten. Dit kan zowel door middel van een kabel, maar kan ook automatisch plaatsvinden doordat de apparaten doorgaans verbonden staan met het internet. Dit brengt bedreigingen met zich mee ten aanzien van de plaats waar de data wordt opgeslagen, waardoor er een risico bestaat dat de data in handen komt van kwaadwillende personen en de vertrouwelijkheid niet kan worden gegarandeerd.
Gebruikers
Apparaten
Applicaties & data
Governance
Figuur 8 Bedreigingen bij het gebruik van mobiele apparaten
3.1
Governance
3.1.1 Eigenaarschap van het mobiele apparaat en de applicaties Met de opkomst van het BYOD principe hoeft de eigenaar van een mobiel apparaat en/of applicaties niet langer de organisatie te zijn. Een werknemer kan de voorkeur geven aan zijn privé smartphone of tablet, welke wordt ingezet in de zakelijke omgeving. Voordat een mobiel apparaat of applicatie in gebruik wordt genomen, dient overeen te worden gekomen wie de eigenaar is en hoe het beheer zal
Risico’s en bedreigingen
21
worden uitgevoerd. De eigenaar zal gebonden zijn aan de verantwoordelijkheden ten aanzien van het mobiele apparaat of de applicatie. In een situatie waarbij er zowel sprake is van BYOD als mobiele apparaten die eigendom zijn van de organisatie, moet de verantwoordelijkheid en aansprakelijkheid van het beheer van het mobiele apparaat duidelijk gedefinieerd zijn.
3.1.2 Gestelde beveiligingsdoelstellingen Om het beheer van de mobiele omgeving in de juiste richting te leiden dient een adequaat beleid te worden geformuleerd. Met dit beleid wordt beoogd de beveiligingsdoelstellingen te realiseren. In het beleid wordt uiteengezet aan welke eisen de mobiele omgeving dient te voldoen om een veilige omgeving te kunnen waarborgen. Aspecten die onderdeel zouden kunnen uitmaken van dit beleid omvatten: de wijze waarop data wordt opgeslagen, de wijze waarop mobiele apparaten verbinding maken met het netwerk van de organisatie, een overzicht van de toegestane en ondersteunde applicaties, verantwoordelijkheden met betrekking tot het monitoren en op afstand wissen van het apparaat en de stappen ten aanzien van uitdiensttreding van werknemers. Naast deze aspecten dient tevens rekening te moeten worden gehouden met afhankelijkheden van andere beleidstukken zoals het HR beleid en de continuïteit van de omgeving zoals het gebruik van een gedegen testprocedure bij de implementatie.
3.1.3 Naleving van wet- en regelgeving Het gebruik van mobiele apparaten binnen de zakelijke omgeving raakt diverse wet- en regelgeving, zoals de wet op bescherming persoonsgegevens en regelgeving ten aanzien van belastingen. Wanneer de data op het toestel wordt opgeslagen op een buitenlandse locatie, geldt er bovendien andere weten regelgeving. Doordat de wet en regelgeving bovendien constant aan verandering onderhevig is, maakt dit een essentieel onderdeel uit om de vertrouwelijkheid, beschikbaarheid en integriteit van een mobiele omgeving te kunnen waarborgen.
3.1.4 Onderhoud en ondersteuning Inzet van mobiele apparaten in de zakelijke omgeving vraagt om specifieke kennis rondom het onderhoud en de ondersteuning van de apparaten. Het IT personeel moet hierbij in voldoende mate ondersteuning kunnen bieden aan de gebruikers om de beschikbaarheid van de mobiele apparaten te kunnen waarborgen. Bij BYOD zal de organisatie tevens moeten overwegen hoe zij de ondersteuning biedt, omdat hierbij mogelijk een grote verscheidenheid aan apparaten bestaat.
Risico’s en bedreigingen
22
3.1.5 Overeenkomsten met leveranciers Afhankelijk van de keuzes van de organisatie ten aanzien van de inzet van mobiele apparaten, moeten afspraken gemaakt worden met leveranciers van onder andere de mobiele apparaten en applicaties. Afspraken kunnen betrekking hebben op de beschikbaarheid van het netwerk, toelevering van het mobiele apparaat (inclusief prijzen), reparatie van het mobiele apparaat (inclusief vervangend apparaat), ontwikkeling van applicaties, enzovoort.
3.2
Gebruikers
3.2.1 Verlies of diefstal van het mobiele apparaat Mobiele apparaten worden over het algemeen gebruikt op diverse locaties buiten het kantoor zoals bij medewerkers thuis, in restaurants, hotels en bij conferenties. Op deze locaties zijn doorgaans minimale eisen getroffen ten aanzien van fysieke beveiliging, omdat ze openbaar toegankelijk zijn (Enck, 2011). Doordat een mobiel apparaat op een gemakkelijke manier getransporteerd kan worden naar deze plekken maakt dit het apparaat kwetsbaar voor verlies of diefstal. Zelfs wanneer een mobiel apparaat in het bezit is van de eigenaar zijn er andere fysieke beveiligingsrisico’s, zoals bijvoorbeeld een kwaadwillende die meekijkt over de schouder van de eigenaar wanneer deze gevoelige data op het scherm van het mobiele apparaat bekijkt. Door een gebrek aan fysieke beveiligingsmaatregelen bestaat er een verhoogd risico op het verlies of uitlekken van data. Om de impact hiervan te beperken is het van belang dat er een adequate procedure aanwezig is die uiteenzet hoe er gehandeld moet worden bij verlies of diefstal van het mobiele apparaat.
3.2.2 Medewerkersbewustzijn Het besef en de erkenning van de risico’s die gepaard gaan met het gebruik van mobiele apparaten door medewerkers is cruciaal voor de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens op het apparaat (Dimensional Research, 2012). Zonder dit besef en deze erkenning van een eventueel beleid zal dit onvoldoende worden nageleefd en kunnen medewerkers mogelijk onzorgvuldig omgaan met de mobiele apparaten die ze tot hun beschikking hebben. Gepaste maatregelen om dit bewustzijn te verhogen kunnen het aanbieden van awareness trainingen of het voeren van interne campagnes zijn.
Risico’s en bedreigingen
23
3.2.3 Onveilige webpagina’s en webcontent De gebruiker kan mogelijk zijn informatie blootstellen door het bezoeken van onveilige websites (bijvoorbeeld phising) of het gebruikmaken van messenger services (Jeon, Kim, & Won, 2011). Wanneer onveilige pagina’s worden bezocht, is het mogelijk dat er een opening wordt gecreëerd voor kwaadwillende personen. Een mobiel apparaat is extra gevoelig voor deze kwetsbaarheden doordat er doorgaans geen of minimale beveiligingsmaatregelen zijn getroffen (Dimensional Research, 2012). Ook kan er malware op het mobiele apparaat terechtkomen door het downloaden van geïnfecteerde bestanden van het internet (NIST, 2008). De bestanden kunnen daarbij gepresenteerd worden als bijvoorbeeld spellen, security patches of bruikbare applicaties. Ook het downloaden van legitieme applicaties kan leiden tot malware wanneer deze applicaties beschikken over zwakheden die geëxploiteerd kunnen worden door malware. De organisatie kan inspelen op deze bedreiging door de webpagina’s (al dan niet geautomatiseerd) te filteren.
3.3
Mobiele apparaten
3.3.1 Kwaliteit van het mobiele apparaat Een groot aantal apparaten, met name apparaten die door de medewerker zelf zijn aangeschaft (BYOD principe) kunnen onbetrouwbaar zijn (NIST, 2012). Het is namelijk mogelijk dat deze apparaten over onvoldoende certificaten beschikken waardoor de veiligheid niet kan worden gegarandeerd en impact kan hebben op de vertrouwelijkheid en integriteit van de data op het mobiele apparaat. Ook kan het mobiele apparaat onbetrouwbaar zijn doordat er materialen van onvoldoende kwaliteit zijn gebruikt wat een impact kan hebben op de beschikbaarheid van de data en het mobiele apparaat.
3.3.2 Verwijderen van data bij vervanging De gemiddelde levensduur van mobiele apparaten is 2 á 3 jaar. Aangezien de mobiele technologie zich in een rap tempo ontwikkelt brengen leveranciers doorgaans elk half jaar, of minstens eenmaal per jaar een nieuw mobiel apparaat uit. De huidige trend is bovendien om de nieuwste apparaten te bezitten, waardoor de vervangingscyclus van mobiele apparaten gemiddeld 1 á 2 jaar betreft. Na deze periode worden de apparaten vervangen door nieuwe. Bij dit vervangingsproces moet de data op het mobiele apparaat op adequate wijze worden verwijderd (Dimensional Research, 2012).
Risico’s en bedreigingen
24
3.3.3 Gebruik van locatie services De huidige mobiele apparaten beschikken over het algemeen over een GPS zender. Hierdoor is het mogelijk om de locatie van het apparaat op de wereld te bepalen. Een groot aantal applicaties maakt echter ook gebruik van de GPS zender om informatie mee te sturen. Voorbeelden hiervan zijn social media, navigatiesystemen, maar ook webbrowsers. Vanuit een organisatorisch perspectief gezien hebben mobiele apparaten waarbij locatie services zijn geactiveerd een verhoogd risico op gerichte aanvallen omdat het makkelijker is voor de potentiële aanvaller om te bepalen waar de gebruiker en het mobiele apparaat zijn. Wanneer bovendien deze informatie wordt gecombineerd met andere informatie zoals vrienden en andere activiteiten die de persoon in kwestie zou kunnen doen op de locatie kan dit een potentieel gevaar opleveren voor de medewerker en de organisatie (NIST, 2012). De locatie is informatie voor een kwaadwillend persoon.
3.3.4 Onveilige transmissietechnieken Onderzoek heeft aangetoond dat het GSM netwerk kwetsbaar is doordat de encryptie die gebruikt wordt gekraakt kan worden. De sleutel die hierbij wordt gegenereerd kan ook worden gebruikt om berichten en gesprekken af te luisteren kan ook worden gebruikt om iemands identiteit op het GSMnetwerk tijdelijk over te nemen. Deze kwetsbaarheid kan ernstige consequenties hebben, omdat er op het tegoed of abonnement van een ander gebeld kan worden. Ook kan iemands identiteit overgenomen worden voor zowel het voeren als beantwoorden van gesprekken, als het ontvangen en versturen van sms-berichten (Enck, 2011). Aan deze aanval zijn echter een tweetal beperkingen. Ten eerste dient de telefoon van de aanvaller in hetzelfde gebied (location area) te zijn als het slachtoffer om de opgevangen gegevens te misbruiken. Als een aanvaller het gesprek van een slachtoffer wil beantwoorden of een sms-bericht wil ontvangen, moet de mobiele telefoon van het slachtoffer uit staan (GOVCERT, 2011). Naast het gebruik van GSM is het mogelijk dat er verschillende andere onveilige transmissietechnieken gebruikt worden.
3.3.5 Manipulatie of blootstelling van data Malware is in staat data op het mobiele apparaat te manipuleren of bloot te stellen. Tevens kan malware invloed hebben op de beschikbaarheid van het toestel door bijvoorbeeld het uitvoeren van operaties (uitvoer van willekeurige opdrachten). Malware kan misbruik maken van services en functies waaraan kosten zijn verbonden, bijvoorbeeld het versturen van SMS/MMS, verbinding maken met draadloze netwerken (Jeon, Kim, Lee, & Won, 2011).
Risico’s en bedreigingen
25
3.3.6 Security zwakheden Het besturingssysteem wordt uitgegeven door de leverancier. In het verleden is gebleken dat hier doorgaans nog zwakheden in zitten, waarvan de gebruiker of een kwaadwillende persoon misbruik van kan maken en daarmee ongeautoriseerd toegang kan krijgen tot het mobiele apparaat. De gebruiker kan het besturingssysteem van het mobiele apparaat aanpassen door bijvoorbeeld het jailbreaken van een Apple toestel of rooten van een Android toestel (Jeon, Kim, Lee, & Won, 2011). Door het jailbreaken of rooten van het mobiele apparaat beschikt de gebruiker over extra functionaliteiten. Hiermee worden echter ook beveiligingsmaatregelen, zoals bedoeld door de leverancier van het apparaat of de organisatie die het apparaat ter beschikking heeft gesteld, verwijderd (Theoharidou, Mylonas, & Gritzalis, 2012).
3.3.7 Performance zwakheden Wanneer er bugs in het besturingssysteem zijn ontdekt, brengt de leverancier doorgaans patches uit om de betreffende bugs op te lossen. Wanneer deze patches niet worden geïnstalleerd, is het mogelijk dat het mobiele apparaat slecht presteert en als gevolg heeft dat het apparaat niet beschikbaar is (Theoharidou, Mylonas, & Gritzalis, 2012).
3.4
Applicaties en data
3.4.1 Installatie van onbetrouwbare applicaties Een eigenschap van mobiele apparaten is dat het relatief eenvoudig is om applicaties te vinden, te bemachtigen en de installeren (NIST, 2012). Deze eigenschap levert diverse veiligheidsrisico’s op. Dit is met name het geval bij platformen waarbij er geen beveiligingsrestricties of andere eisen worden gesteld aan de applicaties van derden en zodoende direct in de applicatie market (zoals bijvoorbeeld de Android Market) beschikbaar zijn. Deze onbetrouwbare applicaties kunnen namelijk toegang hebben tot het bestandssysteem en op die manier (ongemerkt) data naar een server versturen (Smeets & Ceelen, 2011).
3.4.2 Interactie met externe systemen Mobiele apparaten kunnen met andere systemen interactie uitoefenen onder andere op het gebied van datasynchronisatie en opslag (NIST, 2012). Dit gaat over het algemeen om mobiele apparaten die verbonden worden met een desktop of een laptop aan de hand van een kabel om deze te synchroniseren of het mobiele apparaat op te laden. Draadloze interactie is in enkele gevallen ook mogelijk met een desktop of laptop, maar draadloze synchronisatie kan ook plaatsvinden in geval van opslag in de cloud. Risico’s en bedreigingen
26
3.4.3 Datacorruptie Wanneer data lokaal wordt opgeslagen op het mobiele apparaat, is het mogelijk dat deze data corrupt raakt door toedoen van de gebruiker, kwaadwillende personen, onbetrouwbare applicaties, enzovoorts. Als gevolg is deze data niet meer beschikbaar. Dit brengt uitdagingen met zich mee met betrekking tot het back-uppen van de lokaal opgeslagen data.
3.4.4 Kopiëren van data naar verwijderbare media Mobiele apparaten kunnen de mogelijkheid bieden om verwijderbare media te gebruiken, zoals een externe geheugenkaart of usb-stick. Hierdoor kan een kwaadwillend persoon ongeautoriseerd data van het apparaat kopiëren naar een verwijderbaar medium.
Risico’s en bedreigingen
27
4 Volwassenheidsmodel voor het beheer van mobiele apparaten In het vorige hoofdstuk zijn de bedreigingen die ten grondslag liggen aan de CIA risico's benoemd. Om organisaties te helpen grip te krijgen op deze bedreigingen introduceren wij in dit hoofdstuk een volwassenheidsmodel voor het beheer van mobiele apparaten. Het doel van het model is het inzichtelijk en bespreekbaar maken van hoe organisaties ervoor staan met betrekking tot het beheer van mobiele apparaten. Met deze resultaten wordt het management in staat gesteld hun visie ten aanzien van het gebruik van mobiele apparaten te formuleren of te herzien en om verbeteringen in het proces door te voeren, op zodanige wijze dat het beheer naar een hoger niveau kan worden gebracht. Daarnaast biedt het model houvast voor het meten van de voortgang indien beheersmaatregelen worden geïmplementeerd of gewijzigd. Op langere termijn kunnen benchmarks met soortgelijke organisaties worden gerealiseerd. Het volwassenheidsmodel is gebaseerd op het Capability Maturity Model Integration (CMMI). Deze keuze is gebaseerd op de overweging dat het CMMI een wereldwijde best practice is voor het meten van volwassenheid. Binnen het vakgebied heeft het CMMI bovendien reeds zijn effectiviteit bewezen. De volwassenheidsniveaus van het CMMI hebben wij geprojecteerd op het beheer van de mobiele apparaten. Daarbij hebben wij de niveaus toegepast op de beheersmaatregelen. Per bedreiging, welke ten grondslag ligt aan één of meerdere risico's, kunnen beheersmaatregelen getroffen worden op een aantal volwassenheidsniveaus. Deze niveaus worden in de volgende paragraaf beschreven.
4.1
Definiëren van volwassenheidsniveaus
Het CMMI onderkent 5 volwassenheidsniveaus (PMWiki, 2013):
Level 1: Initieel (Initial) - In een organisatie worden processen niet of niet helemaal uitgevoerd conform de specifieke doelen van volwassenheidsniveau 2. Voor volwassenheidsniveau 1 gelden geen eisen.
Level 2: Beheerst (Managed) - Een organisatie op het volwassenheidsniveau 'beheerst' voldoet aan de specifieke doelen van de bij volwassenheidsniveau 2 behorende procesgebieden. Volwassenheidsniveau 2 richt zich op het uitvoeren van projecten en het voldoen van individuele projecten aan de CMMI-eisen. Voorspelbaarheid en beheersbaarheid van projecten staan hierbij centraal.
Volwassenheidsmodel voor het beheer van mobiele apparaten
28
Level 3: Gedefinieerd (Defined) - Een organisatie op het volwassenheidsniveau 'gedefinieerd' voldoet aan de specifieke doelen van de bij volwassenheidsniveau 2 en 3 behorende procesgebieden. Volwassenheidsniveau 3 richt zich op het standaardiseren van processen in een organisatie. Projecten worden daardoor uniformer uitgevoerd. Standaardisatie staat centraal. Aanpassingsrichtlijnen zijn beschikbaar om de standaardprocessen aan te passen aan de projecten.
Level 4: Kwantitatief beheerst (Quantitatively managed) - Een organisatie op het volwassenheidsniveau 'kwantitatief beheerst' voldoet aan de specifieke doelen van de bij volwassenheidsniveau 2, 3 en 4 behorende procesgebieden. Volwassenheidsniveau 4 richt zich op het sturen op basis van meetgegevens en het stellen van meetbare kwantitatieve verbeterdoelen. Meten staat centraal.
Level 5: Optimaliserend (Optimized) - Een organisatie op het volwassenheidsniveau 'optimaliserend' voldoet aan de specifieke doelen van de bij volwassenheidsniveau 2, 3, 4 en 5 behorende procesgebieden. Volwassenheidsniveau 5 richt zich op het continu verbeteren en optimaliseren van processen. Hierdoor worden processen zodanig uitgevoerd dat deze optimaal aansluiten bij het te ontwikkelen product. Dit alles op basis van expliciete meetgegevens. Optimaliseren staat centraal.
Bovenstaande 5 niveaus hebben wij geïnterpreteerd met het oog op het beheer van de mobiele apparaten. Dit heeft geleid tot een projectie van de niveaus op de beheersmaatregelen. In ons model hanteren wij de volgende 5 volwassenheidsniveaus:
Level 1: Initieel - De organisatie heeft geen effectieve beheersmaatregelen ten aanzien van de betreffende bedreiging.
Level 2: Intuïtief - De organisatie heeft enige beheersmaatregelen ten aanzien van de betreffende bedreiging, echter zijn deze niet formeel ingeregeld. Er zijn significante gaps of problemen met de uitvoering van deze beheersmaatregelen.
Level 3: Gedefinieerd - De organisatie heeft grotendeels adequate, effectieve en gedocumenteerde beheersmaatregelen ten aanzien van de betreffende bedreiging. Echter, er zijn nog enkele gaps en/of de beheersmaatregelen komen nog niet op niveau van good practices. Good practices blijven in ontwikkeling en zijn gebaseerd op industriestandaards.
Volwassenheidsmodel voor het beheer van mobiele apparaten
29
Level 4: Beheerst - De organisatie heeft adequate, effectieve en gedocumenteerde beheersmaatregelen ten aanzien van de betreffende bedreiging. Tevens zijn deze op niveau van good practices, de organisatie heeft bijvoorbeeld (technische) beheersmaatregelen getroffen om actieve monitoring uit te kunnen voeren op de mobiele apparaten. Er is periodieke evaluatie en rapportage aan het management over de effectieve werking van de beheersmaatregelen. Daarnaast is er consistente follow-up om zwakke punten te controleren.
Level 5: Geoptimaliseerd. De organisatie heeft beheersmaatregelen die de good practices voorbij gaan. Er is sprake van continu monitoring waaruit de organisatie lering trekt. Processen worden verbeterd en beheersmaatregelen worden aangescherpt.
4.2
Beheersdoelstellingen en beheersmaatregelen
De bedreigingen die we in hoofdstuk 3 hebben gepresenteerd hebben we in een raamwerk opgenomen om de volwassenheid van het beheer van mobiele apparaten te bepalen. Op basis van de definitie van de verschillende volwassenheidsniveaus hebben we gezocht naar gepaste maatregelen die getroffen zouden moeten worden om te kunnen voldoen aan een bepaald niveau. Het resultaat hiervan was een raamwerk met alle bedreigingen en een beschrijving van de situatie waaraan voldaan moet worden om een bepaald volwassenheidsniveau te behalen. Om dit raamwerk te evalueren hebben we vervolgens een workshopsessie gehouden met enkele IT-audit vakgenoten. Het doel van deze sessie was om te evalueren of de bedreigingen die we in het raamwerk hebben opgenomen herkenbaar waren in de praktijk en of de volwassenheidsniveaus juist waren gedefinieerd. De personen waarmee we het raamwerk hebben geëvalueerd betroffen allen IT auditors, uiteenlopend met 3 tot 8 jaar werkervaring. De workshop heeft ons als resultaat diverse handvatten gegeven om het raamwerk verder uit te werken. De volwassenheidsniveaus en de formulering van de bedreigingen zijn als gevolg van de ontvangen feedback deels herschreven. De belangrijkste opmerking die uit de sessie kwam was echter het feit dat de bedreigingen wel werden beschreven, maar niet waren beschreven als beheersdoestelling, wat in het audit vakgebied wel gebruikelijk is. Om het raamwerk ook daadwerkelijk in de praktijk te kunnen gebruiken hebben we derhalve beheersdoelstellingen toegevoegd aan de bedreigingen. De beheersmaatregelen hebben we vervolgens gedefinieerd op een directieve wijze en beschreven vanaf een hoger niveau dan de bedreiging. Om een dergelijk raamwerk juist en volledig te kunnen opstellen hebben we het raamwerk ook geëvalueerd met een IT-Architect met de focus op Mobile Device Management platforms. De feedback die we hebben gekregen had met name betrekking op de manier van formulering van de
Volwassenheidsmodel voor het beheer van mobiele apparaten
30
bedreigingen. In de conceptversie werden bedreigingen geformuleerd vanuit de techniek en minder vanuit de achterliggende bedreiging en het risico. Als gevolg hiervan hebben we de bedreigingen enigszins herschreven en hierbij geen afhankelijkheden gecreëerd van specifieke technieken. Het verwerken van de feedback van de IT auditors en de IT-architect heeft geresulteerd in onderstaand raamwerk.
Volwassenheidsmodel voor het beheer van mobiele apparaten
31
Nr
Bedreiging
Beheersdoelstelling
Level 1
Level 2
Level 3
Level 4
Level 5
3.1 3.1.1
Governance Eigenaarschap van het mobiele apparaat en de applicaties is onbekend
Eigenaarschap van het mobiele apparaat en de applicaties is gedefinieerd.
Het is onduidelijk wie de eigenaar is van het apparaat en de mobiele applicaties. Er zijn geen afspraken gemaakt ten aanzien van verantwoordelijkheden met betrekking tot het mobiele apparaat en eigendom van applicaties.
Er zijn richtlijnen met betrekking tot het eigenaarschap van het mobiele apparaat en applicaties. Deze richtlijnen zijn echter niet op papier geformaliseerd.
Er zijn richtlijnen met betrekking tot het eigenaarschap van het mobiele apparaat. Deze richtlijnen zijn bovendien gedocumenteerd en het eigenaarschap van het mobiele apparaat en de applicaties is helder overeengekomen.
Door de afdeling die verantwoordelijk is voor de mobiele apparaten worden de apparaten en applicaties geregistreerd die eigendom zijn van de organisatie. Ook worden de apparaten die zakelijk gebruikt worden maar eigendom zijn van de medewerker en applicaties die eigendom zijn van de medewerker geregistreerd.
Mobiele apparaten sluiten niet aan met de gestelde beveiligingsdoe lstellingen.
Er is een beleid dat een beheerste implementatie van mobiele apparaten ondersteunt.
Er is geen beleid opgesteld ten aanzien van de implementatie van mobiele apparaten binnen de zakelijke omgeving.
Er is een informeel beleid ten aanzien van de implementatie van mobiele apparaten binnen de zakelijke omgeving. Dit beleid dient te worden gevolgd door de organisatie. Het beleid is echter niet formeel gedocumenteerd.
Er is een formeel beleid ten aanzien van de implementatie van mobiele apparaten binnen de organisatie. Dit beleid beschrijft welke risico's er zijn bij implementatie en wat de richtlijnen zijn om de implementatie op een beheerste wijze uit te voeren.
Er zijn procedures gedefinieerd om de navolging van het beleid te monitoren. Medewerkers worden aangesproken wanneer zij het beleid niet volgen.
Er zijn procedures ingericht die als doel hebben om de registratie van de mobiele apparaten en applicaties te optimaliseren. Er wordt bovendien lering getrokken uit problemen die in het verleden zijn voorgevallen ten aanzien van het eigenaarschap van het mobiele apparaat en de applicaties. De organisatie trekt lering uit schending van het beleid en treft adequate maatregelen. Periodiek wordt het beleid geëvalueerd en worden waar nodig technische hulpmiddelen ingezet om het beleid af te dwingen.
3.1.2
Volwassenheidsmodel voor het beheer van mobiele apparaten
32
Nr
Bedreiging
3.1.3
Wet- en regelgeving wordt niet nageleefd.
3.1.4
Er is onvoldoende kennis beschikbaar binnen de organisatie om adequaat onderhoud en ondersteuning van de mobiele apparaten aan te bieden.
Beheersdoelstelling Er is een adequaat proces aanwezig ten behoeve van het naleven van weten regelgeving met betrekking tot mobiele apparaten.
Level 1 Er wordt door de organisatie niet nagedacht over de naleving van wet- en regelgeving.
Level 2
Er is nagedacht over wet- en regelgeving ten aanzien van de inzet van mobiele apparaten binnen de zakelijke omgeving. Dit is echter niet vertaald in een formele procedure om op voorhand kennis te kunnen nemen van nieuwe wet- en regelgeving. Er wordt op ad-hoc basis geacteerd op naleving van actuele wet- en regelgeving. Medewerkers die Mobiele apparaten Er is basiskennis ten ondersteuning worden ingezet zonder aanzien van onderhoud bieden zijn enige ondersteuning. De en ondersteuning voldoende medewerker is zelf aanwezig binnen de vakbekwaam om verantwoordelijk voor organisatie. Wanneer problemen juist, onderhoud aan het nieuwe apparaten tijdig en volledig toestel en applicaties. worden aangeschaft op te lossen. waar de kennis niet over aanwezig is dienen medewerkers de kennis te vergaren op basis van zelfstudie.
Volwassenheidsmodel voor het beheer van mobiele apparaten
Level 3
Level 4
Level 5
Er is een formele risicoanalyse uitgevoerd met betrekking tot de naleving van wet- en regelgeving in het kader van mobiele apparaten. De resultaten hiervan zijn gedocumenteerd en er is een formeel proces ingericht om te voldoen aan de huidige en toekomstige wet- en regelgeving die van toepassing is.
Er zijn procedures gedefinieerd om periodiek de naleving van wet- en regelgeving te controleren. Wanneer blijkt dat de organisatie niet voldoet aan bepaalde wet en regelgeving worden er adequate maatregelen getroffen.
Er is een procedure aanwezig waarbij de organisatie continue monitort of zij voldoet aan de actuele en toekomstige wet- en regelgeving. Indien hier negatieve resultaten uit komen wordt het proces geanalyseerd en indien nodig aangepast.
Er is geïnventariseerd welke kennis nodig is voor adequaat onderhoud en ondersteuning van de mobiele apparaten. Deze kennis is aanwezig bij de medewerkers die onderhoud en ondersteuning aanbieden.
Kennis is aanwezig en wordt geborgd middels werkinstructies of overige interne documenten. Hierdoor is kennisoverdracht op een gemakkelijke manier mogelijk. Er wordt periodiek gemonitord of problemen juist, tijdig en volledig worden opgelost.
Er wordt proactief gemonitord op de aanwezige kennis en de noodzakelijke kennis. Indien medewerkers over onvoldoende kennis beschikken dienen zijn cursussen te volgen om op een adequate manier onderhoud en ondersteuning aan te bieden. Er wordt bovendien continue gemonitord of problemen juist, tijdig en volledig zijn opgelost.
33
Nr
Bedreiging
3.1.5
Producten en diensten worden op adhoc basis ingekocht zonder specifieke overeenkomste n met leveranciers.
Beheersdoelstelling Er zijn afspraken met leveranciers gemaakt ten aanzien van het inkopen van producten en diensten.
Level 1
Level 2
Level 3
Level 4
Level 5
Er zijn geen specifieke overeenkomsten gesloten met leveranciers. Producten en diensten worden ingekocht conform de reguliere procedure die ook door consumenten wordt gevolgd.
Er wordt een vaste werkwijze gehanteerd ten aanzien van het inkopen van producten en diensten. Deze werkwijze is echter niet gedocumenteerd. Er is intern informeel afgesproken bestellingen bij een selecte groep van leveranciers te plaatsen.
Er is een gedocumenteerde werkwijze aanwezig die beschrijft op welke manier producten en diensten dienen te worden aangeschaft. Er zijn enkel een beperkt aantal leveranciers waar overeenkomsten mee zijn afgesloten waar aanschaf bij plaats mag vinden. Overeenkomsten zijn gebaseerd op eisen die aan de leverancier worden gesteld.
Er is een lijst aanwezig met goedgekeurde leveranciers waar producten en diensten bij mogen worden ingekocht. Periodiek dienen de leveranciers rapportages te overleggen waaruit blijkt dat zij nog steeds voldoen aan de gestelde eisen.
De organisatie evalueert periodiek (eventueel ook door het laten uitvoeren van externe audits) de rapportages om vast te stellen dat de leveranciers nog steeds voldoen aan de gestelde eisen. Indien dit niet meer het geval is worden de leveranciers gevraagd hun processen opnieuw in te richten om aan de eisen te kunnen voldoen.
Volwassenheidsmodel voor het beheer van mobiele apparaten
34
Nr
Bedreiging
3.2 3.2.1
Gebruikers Verlies of diefstal van het mobiele apparaat.
Beheersdoelstelling
Level 1
Level 2
Level 3
Level 4
Level 5
Fysieke toegang tot het mobiele apparaat is alleen mogelijk voor geautoriseerde personen.
Er is geen procedure aanwezig die gevolgd moet worden bij verlies of diefstal van het apparaat. Er zijn verder ook geen richtlijnen met betrekking tot het gebruik en de beperking van het gebruik van mobiele apparaten in openbare ruimtes.
De organisatie heeft een vaste werkwijze met activiteiten die uitgevoerd moeten worden na verlies of diefstal van een mobiel apparaat. De procedure is echter niet formeel gedocumenteerd. De medewerkers zijn ingelicht over de omgang met mobiele apparaten in openbare ruimtes.
Er is een formeel gedocumenteerde procedure aanwezig waarin wordt beschreven welke maatregelen getroffen moeten worden bij verlies of diefstal van een mobiel apparaat. Ook is er een beleid aanwezig waarin wordt beschreven hoe er met mobiele apparaten omgegaan moet worden in openbare ruimtes. Medewerkers dienen dit beleid te lezen en te ondertekenen bij ontvangst van hun mobiele apparaat.
De organisatie heeft maatregelen getroffen om fysieke toegang tot het mobiele apparaat door ongeautoriseerde personen zo veel mogelijk te beperken. Bij verlies of diefstal is het mogelijk om de data op het apparaat van afstand te verwijderen. Verder zijn er preventieve maatregelen getroffen om de impact van omgevingsfactoren te beperken zoals onder andere het gebruik van een privacy screenprotector.
Er is een procedure aanwezig waarbij periodiek een risico analyse wordt uitgevoerd en geanalyseerd wordt of er omgevingsfactoren aanwezig zijn waarvoor onvoldoende maatregelen zijn getroffen. Eventueel ontbrekende maatregelen worden geïnventariseerd en doorgevoerd.
Volwassenheidsmodel voor het beheer van mobiele apparaten
Organisatie is in staat locatieservices op afstand in te schakelen en te traceren waar het verloren apparaat zich bevindt.
35
Nr 3.2.2
3.2.3
Bedreiging
Beheersdoelstelling Medewerkers Medewerkers die zijn zich niet gebruik maken bewust van de van mobiele risico's ten apparaten zijn aanzien van het zich bewust van gebruik van de risico's en mobiele worden getraind apparaten. hier adequaat mee om te gaan.
Level 1
Level 2
Level 3
Level 4
Medewerkers gaan nonchalant om met het mobiele apparaat en de data die hierop staat. Medewerkers zijn zich niet bewust van de risico's.
Medewerkers zijn zich bewust van de risico's, maar weten niet hoe ze hier adequaat op kunnen reageren. Vanuit de organisatie zijn richtlijnen gegeven, maar niet formeel gedocumenteerd.
Risico's ten aanzien van het gebruik van mobiele apparaten zijn gedocumenteerd en medewerkers worden erop geattendeerd adequaat met de apparaten en de data hierop aanwezig, om te gaan.
Medewerkers worden periodiek op de hoogte gebracht van de risico's ten aanzien van het gebruik van mobiele apparaten. Hiertoe voort de organisatie campagnes in de vorm van posters en berichten op het intranet. Medewerkers worden op een awareness training gestuurd.
Onveilige webpagina’s en webcontent kunnen worden bezocht.
Er zijn geen beperkingen aanwezig met betrekking tot het bezoeken van webpagina's.
Medewerkers zijn zich bewust van de risico's en aanzien van onveilige webpagina's en webcontent. Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het bezoeken van mogelijk kwaadaardige webpagina's.
Alleen geverifieerde en goedgekeurde webpagina's en webcontent zijn toegankelijk.
Volwassenheidsmodel voor het beheer van mobiele apparaten
Level 5
Er wordt periodiek geïnventariseerd wat de status is van het besef van risico's die gepaard gaan met het gebruik van mobiele apparaten bij medewerkers door bijvoorbeeld een enquête. Resultaten hiervan worden geanalyseerd en er worden acties uitgevoerd om het besef bij medewerkers te verhogen. De organisatie heeft De organisatie is zich Er wordt periodiek afspraken gemaakt met bewust van de geëvalueerd of er medewerkers ten potentiële voldoende maatregelen aanzien van het kwetsbaarheden en zijn getroffen om bezoeken van potentieel probeert deze preventief onveilige websites onveilige webpagina's. te voorkomen, door proactief te blokkeren. Medewerkers hebben bijvoorbeeld gebruik te Indien dit niet zo is zich geconformeerd om maken van software die wordt periodiek de enkel veilige websites te de webpagina's blacklist of whitelist bezoeken door het classificeert en bijgewerkt. ondertekenen van het afhankelijk van de beleid. classificatie de webpagina blokkeert of toestaat. Ook wordt er gebruik gemaakt van een blacklist (of whitelist).
36
Nr 3.3 3.3.1
Bedreiging
Beheersdoelstelling Mobiele apparaten Het mobiele Enkel mobiele apparaat is apparaten van technisch van voldoende onvoldoende technische kwaliteit. kwaliteit worden in gebruik genomen.
Level 1
Level 2
Level 3
Level 4
Level 5
Er zijn geen restricties ten aanzien van het gebruik van mobiele apparaten. Medewerkers kunnen elk willekeurig apparaat aanschaffen en gebruiken in de zakelijke omgeving.
Er zijn informele afspraken gemaakt ten aanzien van het merk en type mobiele apparaten die gebruikt worden binnen de zakelijke omgeving. In geval van BYOD zijn medewerkers echter vrij om een apparaat naar keuze te gebruiken.
Er is een procedure aanwezig waarin wordt beschreven aan welke technische eisen een mobiel apparaat moet voldoen alvorens deze gebruikt mag worden binnen de zakelijke omgeving.
Elk mobiel apparaat dient voor gebruik in de zakelijke omgeving ter beoordeling worden voorgelegd aan de betreffende afdeling. Deze controleert het mobiele apparaat onder andere op functionaliteiten, veiligheidscertificaten en bouwkwaliteit. Nadat het apparaat formeel is goedgekeurd wordt deze aangemeld om te kunnen gebruiken binnen de zakelijke omgeving.
Periodiek vindt er een risicoanalyse plaats waarbij nieuwe beveiligingstechnieken in kaart worden gebracht. Deze technieken worden indien realistisch verwerkt in de vereisten van de mobiele apparaten.
Volwassenheidsmodel voor het beheer van mobiele apparaten
37
Nr
Bedreiging
3.3.2
Data op het mobiele apparaat wordt niet verwijderd van het apparaat bij vervanging.
3.3.3
De locatie van het mobiele apparaat wordt bekend gemaakt door het gebruik van locatie services aan kwaadwillende personen.
Beheersdoelstelling Data wordt juist, tijdig en volledig verwijderd van het mobiele apparaat bij vervanging.
Locatiegegevens zijn enkel zichtbaar voor geautoriseerde personen.
Level 1 Er is geen procedure ten aanzien van het vernietigen of wissen van data op mobiele apparaten die vervangen worden.
Level 2
Er zijn informele afspraken gemaakt met medewerkers ten aanzien van de vervanging van mobiele apparaten. Hierbij dienen medewerkers bij vervanging zelf hun apparaat te ontdoen van gevoelige informatie en te resetten naar de fabrieksinstellingen. Deze richtlijnen zijn echter niet gedocumenteerd en worden niet gecontroleerd. Er zijn geen Er zijn informele beperkingen ten aanzien afspraken gemaakt met van het gebruik van medewerkers ten locatieservices. aanzien van het gebruik van locatieservices. Medewerkers zijn geïnformeerd dat deze geen gevoelige informatie mogen uitlekken aan de hand van locatieservices.
Volwassenheidsmodel voor het beheer van mobiele apparaten
Level 3
Level 4
Level 5
De organisatie beschikt over een gedocumenteerde disposal procedure die ook wordt gevolgd. De disposal procedure beschrijft welke stappen uitgevoerd dienen te worden alvorens een apparaat volledig vervangen mag worden.
De organisatie heeft een adequate disposal procedure gedocumenteerd en deze wordt ook gevolgd. Er wordt bijgehouden wat de gemiddelde vervangingsduur is van de apparaten en indien noodzakelijk wordt de disposal procedure bijgewerkt.
Er vindt periodiek een evaluatie plaats waarbij er wordt geïnventariseerd hoe vaak en om welke reden er incidenten hebben plaatsgevonden waarbij data onvoldoende adequaat was verwijderd van het mobiele apparaat. Afhankelijk van de evaluatie wordt er gezocht naar oorzaken en wordt het proces bijgestuurd.
Er is een risicoanalyse uitgevoerd in het kader van locatieservices. De resultaten hiervan zijn vertaald in een formeel beleid ten aanzien van het gebruik van locatieservices. Medewerkers hebben zich hieraan geconformeerd.
De organisatie heeft maatregelen getroffen om de risico's ten aanzien van het gebruik van locatieservices preventief te mitigeren. Hierdoor is het bijvoorbeeld voor bepaalde risicovolle applicaties niet mogelijk om gebruik te maken van de locatieservices.
De organisatie doet periodiek een inventarisatie waarbij wordt gekeken naar de applicaties die wel toegang hebben tot locatieservices. Door updates in huidige applicaties is het namelijk mogelijk dat deze in een hoger risicocategorie vallen. Afhankelijk van de evaluatie wordt toegang tot de locatieservices voor de betreffende applicatie geblokkeerd.
38
Nr
Bedreiging
3.3.4
Er wordt gebruik gemaakt van onveilige transmissie technieken.
Beheersdoelstelling Gevoelige data is beveiligd tegen ongeautoriseerde toegang tijdens transmissie.
Level 1
Level 2
Level 3
Level 4
Level 5
Er zijn geen veilige transmissietechnieken in gebruik voor mobiele apparaten die gevoelige data ontvangen of verzenden. Gebruik van 2G, bluetooth en onbeveiligde verbindingen is toegestaan.
Er wordt in beperkte mate gebruik gemaakt van veilige transmissie technieken. Data is hierbij niet geclassificeerd in een datamodel.
Het gebruik van transmissietechnieken is gebaseerd op best practice, kennis, kunde en ervaring van medewerkers. Gevoeligheid van data wordt niet voor implementatie geclassificeerd in een datamodel.
Gevoeligheid van data is geclassificeerd in een datamodel. Afhankelijk van de classificatie van de data zijn transmissietechnieken (bijv VPN, two factor authentication, SSL, TSL) en encryptiemethodieken (bijv met paswoord beveiligd) gedefinieerd en geïmplementeerd. Ongewenste verbindingsmodelijkhed en zijn uitgeschakeld (bijv bluetooth) op het mobiele apparaat.
Periodiek wordt het datamodel geëvalueerd en worden de gedefinieerde transmissietechnieken en encryptiemethodieken heroverwogen. Indien effectievere technieken en methodieken beschikbaar zijn, worden deze in gebruik genomen.
Volwassenheidsmodel voor het beheer van mobiele apparaten
39
Nr 3.3.5
3.3.6
Bedreiging
Beheersdoelstelling Data op het Het mobiele mobiele apparaat is apparaat wordt beveiligd tegen gemanipuleerd malware en of bloot gesteld. brengt geen malware in de IT organisatie.
Level 1
Level 2
Level 3
Level 4
Level 5
Het mobiele apparaat is niet beveiligd tegen malware.
Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het downloaden, installeren en openen van onbekende bestanden (bijv scannen van random QR codes).
Anti-malware software is geïnstalleerd op het mobiele apparaat. De medewerkers zijn zich ervan bewust dat malware op het apparaat terecht kan komen door onjuist gebruik van het toestel. Via awareness trainingen zijn de medewerkers ingelicht.
Periodiek worden de mobiele apparaten gescand op malware. Gedetecteerde malware wordt verwijderd. Het awareness programma wordt periodiek geëvalueerd en geüpdate indien noodzakelijk. Management feedback over het gebruik en geïdentificeerde risico's door gebruikers wordt geanalyseerd en geadresseerd.
Security zwakheden in het besturingssyste em en applicaties.
Security zwakheden in het besturingssysteem en applicaties worden niet geadresseerd.
Updates op applicaties en het besturingssysteem worden beschikbaar gesteld door de fabrikant. Medewerkers zijn vrij om deze updates te implementeren.
Er is een risico analyse uitgevoerd om de risico's verbonden aan security zwakheden te identificeren. Updates op applicaties en het besturingssysteem, evenals security patches worden adequaat getest en getoetst aan het beveiligingsbeleid alvorens de uitrol op de mobiele apparaten. Updates worden tijdig geïmplementeerd.
De organisatie houdt bij dat alle mobiele apparaten zijn uitgerust met anti-malware software. Deze software is niet uit te schakelen en is up-to-date met laatste malwaredefinities. De organisatie monitort dat alle medewerkers die de beschikking hebben over een relevant mobiel apparaat de awareness trainingen hebben gevolgd. De organisatie houdt bij dat alle mobiele apparaten tijdig zijn voorzien van de laatst geteste en getoetste updates op applicaties en het besturingssysteem. Mobiele apparaten waarvan het besturingssysteem en de applicaties niet up-todate zijn worden niet toegelaten op het bedrijfsnetwerk.
Updates op applicaties en het besturingssystee m, evenals security patches worden adequaat getest en getoetst aan het beveiligingsbelei d en worden tijdig geïmplementeerd .
Volwassenheidsmodel voor het beheer van mobiele apparaten
Er vindt periodiek een evaluatie plaats (door bijvoorbeeld een penetratie test uit te laten voeren) waarbij er wordt geïnventariseerd welke restrisico's aanwezig zijn nadat de apparaten van de meest up-to-date security patches zijn voorzien. Afhankelijk van de resultaten worden adequate maatregelen getroffen om de kritieke risico's op te lossen.
40
Nr 3.3.7
Bedreiging
Beheersdoelstelling Performance Performance zwakheden bij problemen het gebruik van worden juist en het mobiele tijdig opgelost apparaat. om de beschikbaarheid van de data op het mobiele apparaat te garanderen.
Level 1
Level 2
Level 3
Level 4
Level 5
Er zijn geen maatregelen getroffen ten aanzien van het oplossen van performance zwakheden.
Er is een vaste werkwijze ten aanzien van het oplossen van performance problemen (zoals onder andere het updaten van de applicaties en het besturingssysteem). De medewerkers zijn hier echter zelf verantwoordelijk voor en de procedure is niet gedocumenteerd.
Er is een risico analyse uitgevoerd om de risico's verbonden aan performance zwakheden te identificeren. Er zijn richtlijnen opgesteld ten aanzien van het updaten van het mobiele apparaat. Het belang van het updaten van het besturingssysteem en de applicaties wordt periodiek middels awareness trainingen gecommuniceerd.
Er wordt gebruik gemaakt van een MDM platform waarmee updates ten aanzien van toestel worden geregeld. Daarnaast vindt een check plaats op de status van het mobiele apparaat.
Er vindt continu een check plaats op de status van de applicaties en het besturingssysteem. Periodiek wordt er geïnventariseerd of de hardware nog voldoende is voor het gebruik. Indien de hardware onvoldoende rekenkracht bevat wordt er een procedure opgestart om de hardware te vervangen.
Volwassenheidsmodel voor het beheer van mobiele apparaten
41
Nr 3.4 3.4.1
Bedreiging
Beheersdoelstelling Applicaties en data Onbetrouwbare Alleen applicaties geverifieerde en kunnen worden goedgekeurde gedownload en applicaties geïnstalleerd. kunnen worden gedownload en geïnstalleerd.
Level 1
Level 2
Level 3
Level 4
Level 5
Alle applicaties kunnen worden geïnstalleerd door medewerkers. Er zijn geen beperkingen ten aanzien van het downloaden en installeren van applicaties.
Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het downloaden en installeren van applicaties. De richtlijnen zijn echter niet formeel gedocumenteerd.
Er zijn formele afspraken gemaakt met medewerkers ten aanzien van het downloaden en installeren van applicaties. De medewerker dient het beleid te lezen en te ondertekenen bij ontvangst van hun mobiele apparaat.
Enkel applicaties die door de organisatie zijn geverifieerd en goedgekeurd, worden ter beschikking gesteld aan de medewerkers.
De organisatie houdt overzicht van alle geteste applicaties en monitort dat enkel goed bevonden applicaties ter beschikking worden gesteld.
Volwassenheidsmodel voor het beheer van mobiele apparaten
Feedback van gebruikers op applicaties wordt verzameld en geëvalueerd. Applicaties die niet zijn getest worden in acht genomen en goedgekeurde applicaties worden heroverwogen.
42
Nr
Bedreiging
3.4.2
Ongeautoriseer de interactie met externe systemen.
Beheersdoelstelling Interactie met externe systemen is alleen mogelijk met geautoriseerde externe systemen.
Level 1
Level 2
Level 3
Level 4
Level 5
Er zijn geen beperkingen ten aanzien van interactie met andere systemen.
De organisatie is zich bewust van het risico ten aanzien van interactie met externe systemen. Hiertoe zijn informele afspraken gemaakt met de medewerkers om interactie met externe systemen zo veel mogelijk te beperken. De beperking wordt echter niet technisch afgedwongen.
Er zijn formele afspraken gemaakt met medewerkers ten aanzien van interactie met externe systemen. De medewerker dient het beleid te lezen en te ondertekenen bij ontvangst van hun mobiele apparaat.
Interactie met externe systemen is alleen mogelijk met geautoriseerde externe systemen. Het wordt technisch afgedwongen dat interactie met onbekende systemen niet mogelijk is.
De organisatie houdt overzicht van alle geautoriseerde externe systemen en monitort dat enkel goed bevonden systemen interactie kunnen uitoefenen met het mobiele apparaat.
Volwassenheidsmodel voor het beheer van mobiele apparaten
De organisatie beschikt over een procedure ten aanzien van het periodiek controleren van de goedgekeurde systemen. Ook is het mogelijk om interactie met nieuwe systemen conform een procedure aan te vragen. Het systeem in kwestie wordt geëvalueerd en afhankelijk van de resultaten geaccepteerd of blijft geblokkeerd.
43
Nr
Bedreiging
3.4.3
Data is corrupt of niet meer beschikbaar.
3.4.4
Ongeautoriseer d kopiëren van data naar een verwijderbaar medium.
Beheersdoelstelling Data wordt periodiek juist, tijdig en volledig geback-uped.
Level 1
Level 2
Level 3
Level 4
Er wordt geen back-up van de data op het mobiele apparaat gemaakt.
Medewerkers zijn zich bewust van het maken van back-ups van data op het mobiele apparaat. Er zijn informele afspraken gemaakt ten aanzien van het maken van deze back-ups.
Er zijn richtlijnen met betrekking tot het backuppen van de data op het mobiele apparaat. De medewerker dient het beleid te lezen en te ondertekenen bij ontvangst van hun mobiele apparaat.
De organisatie is in staat te monitoren wanneer de laatste back-up van de data is gemaakt. Indien de laatste backup niet is gemaakt volgens het back-up schema zoals beschreven in het beleid, dan neemt de organisatie contact op met de betreffende medewerker.
Alleen geautoriseerde personen kunnen data van een mobiel apparaat kopiëren naar een verwijderbaar medium.
Er zijn geen richtlijnen of beperkingen ten aanzien van het kopiëren van data naar verwijderbare media.
Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het kopiëren van data naar verwijderbare media. Hierbij is afgesproken dit niet te doen. De procedure is echter niet formeel gedocumenteerd.
Volwassenheidsmodel voor het beheer van mobiele apparaten
Level 5
De organisatie is in staat te monitoren wanneer de laatste back-up van de data is gemaakt. Indien de laatste backup niet is gemaakt volgens het back-up schema zoals beschreven in het beleid, dan wordt automatisch een nieuwe back-up van de data op het mobiele apparaat gemaakt. Formele afspraken zijn Het is voor Periodiek wordt er er gemaakt met de medewerkers niet gecontroleerd of de medewerkers ten mogelijk om data te uitvoerpoorten die het aanzien van het kopiëren naar mogelijk maken om kopiëren van data naar verwijderbare media. data te kopiëren nog verwijderbare media. Er Alle uitvoerpoorten die steeds zijn geblokkeerd. is afgesproken dit niet te dit mogelijk kunnen Op basis van doen en medewerkers maken zijn logbestanden wordt hebben hiervoor een uitgeschakeld. Er is een geverifieerd of data overeenkomst procedure voor het daadwerkelijk is ondertekend. tijdelijk activeren van de gekopieerd naar een uitvoerpoorten wanneer ongeautoriseerd data naar een verwijderbaar medium. geautoriseerd verwijderbaar medium gekopieerd dient te worden.
44
4.3
Risicolevel
Tijdens de evaluatie van het gepresenteerde raamwerk hebben we ook een discussie gevoerd met de participanten ten aanzien van het risicolevel. Het is namelijk zo dat de ene bedreiging een grotere impact kan hebben op de risico’s dan de andere bedreiging. Na afloop van de discussie hebben we kunnen concluderen dat de bedreigingen niet voor alle type organisaties van gelijk belang zijn. Om het raamwerk goed te kunnen gebruiken voor het bepalen van de volwassenheid van het beheer van mobiele apparaten is het derhalve van belang om per type organisatie het raamwerk uit te breiden door per beheersmaatregel een nuancering aan te brengen. Dit kan bijvoorbeeld door de risico’s zoals dit gebruikelijk is binnen het vakgebied te verdelen naar de impact op hoog, midden en laag. Het adequaat verwijderen van data bij vervanging van het mobiele apparaat zal namelijk een hogere impact hebben binnen de publieke sector (bijvoorbeeld patiëntgegevens van ziekenhuizen of vertrouwelijke overheidsstukken) dan bij de bakker op de hoek. Door deze nuancering aan te brengen kan een beter beeld gegeven worden van de situatie en kunnen resultaten beter geïnterpreteerd worden.
Volwassenheidsmodel voor het beheer van mobiele apparaten
45
5 Evaluatie van het volwassenheidsmodel In hoofdstuk 4 hebben wij een model gepresenteerd voor het meten van de volwassenheid van het beheer van mobiele apparaten in zakelijke omgevingen. In dit hoofdstuk zetten wij uiteen wat de rol van de IT auditor is bij het meten van de volwassenheid. Verder hebben wij het volwassenheidsmodel bij een organisatie getoetst en zijn in dit hoofdstuk de resultaten van de toetsing beschreven.
5.1
De rol van de IT auditor
De IT auditor kan in meerdere stadia hulp bieden aan een organisatie rondom het beheer van mobiele apparaten in zakelijke omgevingen. Hieronder een niet-uitputtende lijst van de activiteiten die deel kunnen uitmaken van de rol van de IT auditor:
Risico's identificeren met mogelijke gevolgen voor de gestelde doelstellingen van de organisatie ten aanzien van mobiele apparaten.
Beoordelen van de relevantie van de risico's (afhankelijk van het type organisatie) en het benadrukken ervan.
In kaart brengen van bedreigingen die ten grondslag kunnen liggen aan de geïdentificeerde risico's.
Uitvoeren van een nulmeting met behulp van het volwassenheidsmodel. Hiermee wordt bepaald waar een organisatie qua beheer van mobiele apparaten staat.
Ondersteuning bieden bij de interpretatie van de actuele situatie en daarmee een juiste invulling van het volwassenheidsmodel waarborgen.
Beoordelen wat de volwassenheid is van het beheer van de mobiele apparaten en aangeven waarom die score is bereikt.
Vergelijking maken van de volwassenheidsniveaus van de organisatie met een andere organisatie van hetzelfde type.
Toelichten tot welk volwassenheidsniveau de betreffende organisatie zou moeten streven. Indien een hoger volwassenheidsniveau is gewenst, toelichten hoe dat kan worden bereikt.
Voortgang van een eventueel verbetertraject met betrekking tot het beheer inzichtelijk maken door het volwassenheidsmodel op meerdere momenten toe te passen.
Evaluatie van het volwassenheidsmodel
46
5.2
Het volwassenheidsmodel in de praktijk
Het volwassenheidsmodel is per interview getoetst bij de IT afdeling van een accountancy organisatie. Het gesprek is gevoerd met een IT specialist die zich vanuit zijn dagelijkse werkzaamheden focust op mobile device management. Gedurende het interview hebben wij naast de toetsing van het model tevens de bruikbaarheid en toepasbaarheid van het volwassenheidsmodel in de praktijk besproken. Hieruit kwam naar voren dat het ontwikkelde volwassenheidsmodel een goede aanvulling zou kunnen zijn op reeds bestaande assessments. Risico’s en bedreigingen die in het verleden onvoldoende of minder aandacht hebben gekregen, worden door het toepassen van het model beter belicht. Vanuit de organisatie worden Blackberry smartphones ter beschikking gesteld aan de medewerkers. Daarnaast wordt op kleine schaal BYOD toegepast, waarbij enkel iPhone's en iPad's worden toegelaten. De apparaten worden door de IT afdeling beheerd met behulp van een Mobile Device Management platform. De data die wordt bekeken op de mobiele apparaten bestaat met name uit contactgegevens van klanten en collega's, persoonlijke agenda's en klantinformatie in de vorm van emails inclusief bijlages. Het volwassenheidsmodel is ingevuld op 14 juni 2013. Voor de resultaten van het volwassenheidsmodel verwijzen wij naar bijlage B. Hieronder worden de algemene bevindingen per domein uiteengezet.
Governance: Op het gebied van governance zijn voldoende procedures gedefinieerd. Er wordt een duidelijk onderscheid gemaakt in mobiele apparaten die ter beschikking worden gesteld door de organisatie en mobiele apparaten die eigendom zijn van de medewerker. Daarnaast zijn beveiligingsdoelstellingen ten aanzien van mobiele apparaten opgesteld op basis van gedegen risicoanalyses en worden deze doelstellingen periodiek geëvalueerd. Voor het onderhoud en de ondersteuning van de mobiele apparaten zijn tevens voldoende maatregelen getroffen. Afspraken met leveranciers zijn dermate gemaakt dat er geen sprake is van een afhankelijkheid van een specifiek partij. Ten aanzien van de naleving van wet- en regelgeving wordt echter gehandeld op basis van een ad-hoc proces.
Gebruikers: De mobiele apparaten zijn voorzien van wachtwoorden alvorens toegang kan worden verkregen tot de data. Bij verlies of diefstal van het apparaat is de IT afdeling in staat de data op afstand te verwijderen. Medewerkers worden op de hoogte gebracht van de risico's en bedreigingen ten aanzien van het gebruik van mobiele apparaten via verschillende
Evaluatie van het volwassenheidsmodel
47
communicatiekanalen. Door het gebruik van Blackberry's worden medewerkers beschermd tegen onveilige webcontent, voor de BYOD apparaten is de afweging gemaakt om geen afscherming toe te passen.
Mobiele apparaten: Voor verwijdering van de data bij vervanging van het mobiele apparaat zijn geen specifieke procedures opgesteld. Waar mogelijk worden de apparaten hersteld naar fabrieksinstellingen. Het gebruik van locatieservices is procedureel ingeregeld, mede vanwege het feit dat deze niet technisch kunnen worden uitgeschakeld. Voor de transmissie van data zijn protocollen gedefinieerd aan de hand van een dataclassificatie, welke eenmalig in het verleden is opgesteld. Verder is de Blackberry smartphone beschermd tegen malware, voor de BYOD apparaten zijn echter geen anti-malware oplossingen geïmplementeerd. Tot slot zijn er nauwelijks beheersmaatregelen gedefinieerd ten aanzien van de security en performance zwakheden in de besturingssystemen van de mobiele apparaten.
Applicaties en data: Voor de applicaties hanteert de organisatie een black- en whitelist, waarmee is te bepalen welke applicaties kunnen worden geïnstalleerd. Met betrekking tot de interactie van het mobiele apparaat geldt voor de Blackberry dat alle data versleuteld wordt opgeslagen en daarmee niet benaderbaar is door andere systemen. Voor de BYOD apparaten zijn geen beperkingen ingesteld. Back-ups van de gegevens op de Blackberry en de BYOD apparaten worden niet nodig geacht, omdat alle data op de server staat; back-ups van foto's, films en muziek worden niet gemaakt. Tot slot staat de Blackberry toe dat data wordt gekopieerd naar een verwijderbaar medium, echter zijn deze op unieke wijze versleuteld voor het betreffende apparaat. Voor de BYOD apparaten is er geen ondersteuning voor verwijderbare media.
De resultaten van het volwassenheidsmodel zijn tevens visueel weergegeven in onderstaand radardiagram.
Evaluatie van het volwassenheidsmodel
48
Figuur 9 Volwassenheid beheer mobiele apparaten binnen de accountancy organisatie
5.3
Interpretatie van de resultaten
Het in kaart brengen van de volwassenheid van het beheer van mobiele apparaten is mogelijk met het raamwerk dat wij hebben gepresenteerd. Een grotere uitdaging is het juist interpreteren van de resultaten nadat de toetsing heeft plaatsgevonden. Om de resultaten op de juiste manier te interpreteren is het van belang om te bepalen naar welk volwassenheidsniveau een organisatie wil streven. Het is niet eenduidig te bepalen of organisaties altijd moeten streven naar een volwassenheidsniveau van bijvoorbeeld 3 of 4. Het streven naar een specifiek niveau dient door het management van de organisatie bepaald te worden (eventueel in overleg met de stakeholders en/of aandeelhouders). Het is denkbaar dat enkele bedreigingen geaccepteerd worden door de organisatie, eventueel op basis van dataclassificatie, en derhalve voor het adresseren van die bedreigingen niet gestreefd zal worden naar een maximaal haalbaar volwassenheidsniveau. Ook is het denkbaar dat een organisatie er bewust niet voor kiest om naar een volwassenheidsniveau van 5 te streven. In een dergelijke situatie kan de flexibiliteit namelijk in het geding komen, doordat er weinig ruimte overblijft voor eigen interpretatie en inbreng. Door de bedreigingen te koppelen aan de impact zoals is beschreven in paragraaf 4.3, kan het raamwerk specifiek gemaakt worden voor de organisatie en kan er bepaald worden naar welk volwassenheidsniveau gestreefd dient te worden. Dit kan per sector, branche, manier van besturen
Evaluatie van het volwassenheidsmodel
49
door het management of zelfs per operating systeem of fysiek apparaat verschillen. In de gesprekken die wij hebben gevoerd met experts hebben zij bijvoorbeeld aangegeven dat er bewust niet is gekozen voor een Android toestel, omdat de beveiliging hiervan nog te wensen overlaat. Mocht dus bijvoorbeeld de volwassenheid van de omgeving bij het gebruik van Android telefoons getoetst worden, dan zal deze vermoedelijk lager scoren. Nadat eenmaal is bepaald wat het niveau is waarnaar gestreefd wordt, kan de toetsing plaatsvinden. Bij de meeste organisaties zullen er hierbij nog enkele bedreigingen zijn waartoe onvoldoende maatregelen zijn getroffen. Om tot het gewenste volwassenheidsniveau te komen, kan vervolgens het raamwerk ter hand worden genomen. In het raamwerk is gedefinieerd aan welke eisen er voldaan moet worden om een hoger niveau van volwassenheid te bereiken. Het is hierbij belangrijk dat de eisen specifiek voor de organisatie vertaald worden naar concrete acties om derhalve tot een hoger volwassenheidsniveau te geraken. De accountancy organisatie waarbij wij het model hebben getoetst heeft als ambitie om op alle bedreigingen met een risicolevel van medium of hoog, minimaal een formeel proces gedefinieerd te hebben. Dit is door het management besloten om professioneel te werk te gaan en dit ook uit te kunnen stralen naar klanten. Dit betekent dat minimaal een score van 3 gewenst is ten aanzien van de maatregelen die zijn getroffen op de bedreigingen. Op basis van de resultaten zoals gepresenteerd in paragraaf 5.2 en bijlage B liggen onderstaande punten derhalve niet in lijn met de gestreefde ambitie. Wet- en regelgeving wordt niet nageleefd (3.1.3) De accountancy organisatie beschikt niet over een gedefinieerd proces en richtlijnen voor de naleving van wet- en regelgeving. Hierdoor bestaat het risico dat de organisatie in onvoldoende mate voldoet aan huidige of toekomstige wet- en regelgeving waardoor nieuwe maatregelen mogelijk te laat worden toegepast en de organisatie gedurende die periode niet compliant is. Het mogelijke gevolg is dat de organisatie te maken krijgt met claims en een slechte reputatie doordat data in handen komt van ongeautoriseerde personen. Om het volwassenheidsniveau te verhogen dient er een proces ingericht te worden ten aanzien van wet- en regelgeving om proactief de wet- en regelgeving te kunnen naleven. Data op het mobiele apparaat wordt niet verwijderd van het apparaat bij vervanging (3.3.2) De accountancy organisatie beschikt niet over een proces ten aanzien van het verwijderen van data op het mobiele apparaat bij vervanging. Het risico bestaat dat (vertrouwelijke) data in handen komt van derden bij de vervanging van het apparaat. Hierdoor is het mogelijk dat de organisatie te maken krijgt met een slechte reputatie of een verslechterde concurrentiepositie. Om de volwassenheid naar het
Evaluatie van het volwassenheidsmodel
50
gewenste niveau te brengen dient er een disposal proces ingericht te worden die het waarborgt dat data adequaat verwijderd of beveiligd wordt bij vervanging en reparatie van het mobiele apparaat. De locatie van het mobiele apparaat wordt bekend gemaakt door het gebruik van locatie services aan kwaadwillende personen (3.3.3) Vanuit het MDM systeem van de organisatie is het niet mogelijk om per applicatie aan te geven of het toegestaan is om locatieservices te gebruiken. Hierdoor is het mogelijk dat informatie uitlekt door handelen van de gebruiker of dat er verbanden gelegd kunnen worden bij het combineren van berichten en locaties. De accountancy organisatie heeft regelmatig te maken met vertrouwelijke informatie en doet ook zogenaamde due dilligence onderzoeken. Wanneer er berichten vanaf het mobiele apparaat worden verstuurd en de locatie hierbij mee wordt verzonden is het mogelijk dat vertrouwelijke informatie uitlekt. Om tot het gewenste volwassenheidsniveau te komen dient de organisatie te overwegen om locatieservices in zijn geheel uit te schakelen of te onderzoeken welke alternatieven er zijn om het gebruik van locatieservices te beperken. Indien dit technisch niet haalbaar is, adviseren wij de organisatie de gebruikers bewust te maken van het risico tot het gebruik van locatie services. Security zwakweden in het besturingssysteem en applicaties (3.3.6) De accountancy organisatie voert structureel niet de nieuwste versies van besturingssystemen door. Hierdoor is het mogelijk dat er door kwaadwillende personen gebruik wordt gemaakt van security zwakheden in het besturingssysteem. Kwaadwillende personen kunnen bijvoorbeeld via exploits toegang verkrijgen tot het bestandssysteem waardoor data kan worden aangepast of waardoor de data kan uitlekken. Ook is het mogelijk dat het mobiele apparaat niet meer beschikbaar is. Om tot het gewenste volwassenheidsniveau te komen dient de organisatie een proces in te richten waarbij periodiek de laatste iOS versie wordt afgedwongen middels het MDM beleid. Ten aanzien van de Blackberry apparaten dient de organisatie een procedure op te stellen om periodiek de apparaten die in gebruik zijn bij de medewerkers te updaten naar de laatste versie van het besturingssysteem.
Evaluatie van het volwassenheidsmodel
51
6 Conclusie In dit hoofdstuk wordt de conclusie van ons onderzoek beschreven. Wij geven antwoord op de hoofden deelvragen zoals geformuleerd in hoofdstuk 1. Verder worden de beperkingen van het onderzoek gepresenteerd en doen wij suggesties voor aanvullend onderzoek.
6.1
Antwoord op de hoofdvraag
In hoofdstuk 1 hebben wij de volgende hoofdvraag gesteld: Hoe kan de volwassenheid van het beheer van mobiele apparaten binnen organisaties gemeten worden? Om antwoord op deze vraag te kunnen geven, hebben wij aan de hand van de literatuur en een praktijkonderzoek onderstaande deelvragen geadresseerd. 1.
Wat is de definitie van een mobiel apparaat?
Mobiele apparaten zijn er in vele soorten. Kenmerkend voor deze apparaten is dat zij de gebruikers voorzien van de mogelijkheid om te communiceren en data te raadplegen en te bewerken, zowel binnen als buiten de kantooromgeving. Communicatie kan op meerdere manieren plaatsvinden, zowel bedraad als draadloos. Veel van deze apparaten hebben toegang tot het internet, toegang tot bedrijfsdocumentatie en netwerkschijven, video en foto. In het kader van deze scriptie heeft de focus gelegen op de smartphone en de tablet. Een smartphone is een draagbaar apparaat met een compact formaat waar een herkenbaar besturingssysteem op staat. Dit apparaat stelt de gebruiker in staat om applicaties van derden te installeren, gegevens in te voeren en op te slaan en verbinding te maken met andere apparaten middels een netwerk. Een tablet vertoont meerdere overeenkomsten met de smartphone. In dit onderzoek hebben wij de tablet geclassificeerd als een smartphone met een scherm van groter formaat, al dan niet met telefoonfaciliteiten. 2.
Hoe worden mobiele apparaten ingezet in zakelijke omgevingen?
Mobiele apparaten worden doorgaans door de werkgever verstrekt aan de werknemers. Een opkomend fenomeen is het Bring-Your-Own-Device principe, waarbij werknemers eigen mobiele apparaten gebruiken in de zakelijke omgeving. Beide vormen kunnen op gelijke wijze beheerd worden. In de zakelijke omgeving worden de mobiele apparaten ingezet voor diverse doeleinden. Zij worden onder andere gebruikt voor het lezen en versturen van zakelijke en privé e-mails, het beheren van contacten, het bijhouden van agenda's, het benaderen van bedrijfsspecifieke applicaties en het
Conclusie
52
maken van foto's. Doordat mobiele apparaten steeds vaker binnen de bedrijfsomgeving worden ingezet en verbonden zijn met het bedrijfsnetwerk, is er ook in grote mate bedrijfsgevoelige informatie te vinden op deze apparaten. 3.
Welke risico’s zijn verbonden aan het gebruik van mobiele apparaten binnen een organisatie en welke
bedreigingen liggen daaraan ten grondslag? Het gebruik van mobiele apparaten brengt een aantal beveiligingsrisico's met zich mee. Deze risico's kunnen geclassificeerd worden op basis van de CIA. De CIA refereert naar de confidentiality (vertrouwelijkheid), integrity (integriteit) en availability (beschikbaarheid) van informatie. Ten grondslag aan deze risico's liggen een aantal bedreigingen. Deze bedreigingen hebben wij in kaart gebracht en onderverdeeld in 4 groepen. Er zijn bedreigingen op het gebied van de governance rondom de mobiele apparaten, de gebruikers van de mobiele apparaten, de kwaliteiten van de mobiele apparaten en de applicaties en data op de mobiele apparaten. 4.
Hoe kunnen de bedreigingen op het gebied van mobiele apparaten beheerst worden?
De geïdentificeerde bedreigingen kunnen, voor zover dat gewenst is door een organisatie, op verschillende manieren beheerst worden. Er zijn maatregelen denkbaar op organisatorisch en technisch vlak. Organisatorische maatregelen richten zich op beleidstukken en procedures. Communicatie is hierbij het sleutelwoord. Op technisch vlak kunnen maatregelen bijvoorbeeld getroffen worden via een Mobile Device Management platform. Met dit platform is het mogelijk om onder andere verloren mobiele apparaten op afstand te wissen, de versies van de besturingssystemen te beheren en applicaties op het mobiele apparaat te verbieden. Op basis van de literatuur en interviews van IT auditors en IT specialisten hebben wij voor elke bedreiging een beheersdoelstelling en bijbehorende beheersmaatregelen geformuleerd. 5.
Welke niveaus van volwassenheid in de beheersing van mobiele apparaten zijn er en wat zijn de
randvoorwaarden voor elk niveau? Rondom de CIA driehoek en onderliggende bedreigingen hebben wij een volwassenheidsmodel ontwikkeld op basis van het CMMI model. Per bedreiging met bijbehorende beheersdoelstelling is een bepaald niveau van volwassenheid mogelijk. Het volwassenheidsmodel kent 5 niveaus van volwassenheid ten aanzien van de beheersmaatregelen: initieel, intuïtief, gedefinieerd, beheerst en geoptimaliseerd. Voor elk volgend niveau geldt dat er is voldaan aan alle gestelde randvoorwaarden van het vorige niveau. Op het niveau 'initieel' zijn er geen effectieve beheersmaatregelen getroffen om de bedreiging te beheersen. Op het niveau 'intuïtief' zijn enige beheersmaatregelen getroffen, echter
Conclusie
53
zijn deze niet formeel ingeregeld en bestaan nog significante gaps of problemen met de uitvoering van deze beheersmaatregelen. Op het niveau 'gedefinieerd' heeft de organisatie grotendeels adequate, effectieve en gedocumenteerde beheersmaatregelen. Echter, er zijn nog enkele gaps en/of de beheersmaatregelen komen nog niet op niveau van good practices. Good practices blijven in ontwikkeling en zijn gebaseerd op industriestandaarden. Op het niveau 'beheerst' zijn de beheersmaatregelen op het niveau van de good practices, de organisatie heeft bijvoorbeeld (technische) beheersmaatregelen getroffen om actieve monitoring uit te kunnen voeren op de mobiele apparaten. Ook zijn bijvoorbeeld periodieke evaluaties en rapportages beschikbaar over de effectieve werking van de beheersmaatregelen. Op het niveau 'geoptimaliseerd' is er sprake van continu monitoring waaruit de organisatie lering trekt. Processen worden hierbij verbeterd en beheersmaatregelen aangescherpt. 6.
Op welke wijze kan de IT auditor bijdragen aan het beheer van mobiele apparaten binnen organisaties?
De IT auditor kan op meerdere manieren bijdragen aan het beheer van mobiele apparaten binnen organisaties. Veel organisaties zijn zich niet bewust van achterliggende risico's en bedreigingen die gepaard gaan met het gebruik van mobiele apparaten. De IT auditor kan hierop inspelen door de relevante risico's te benadrukken. Het volwassenheidsmodel biedt de IT auditor de mogelijkheid om de volwassenheid van het beheer van de mobiele apparaten in kaart te brengen voor een organisatie en deze te gebruiken voor verdere discussie. Het ultieme doel is het in het lijn brengen van de ambitie van een organisatie ten aanzien van mobiele apparaten met de werkelijkheid. Door bovenstaande antwoorden te combineren, komen wij tot het antwoord op hoofdvraag. Het beheer van mobiele apparaten is te meten met het gepresenteerde volwassenheidsmodel die wij hebben opgesteld aan de hand van risico's en bedreigingen verzameld uit de literatuur en praktijk. Het is de taak van de IT auditor de beheeromgeving juist te interpreteren om vervolgens toegevoegde waarde te kunnen leveren aan de organisatie.
6.2
Beperkingen en aanvullend onderzoek
Gezien de beperkte tijd die er beschikbaar is voor het schrijven van een scriptie en de afbakening hiervan heeft ook deze scriptie enkele beperkingen en aanknopingspunten voor aanvullend onderzoek. Er is een raamwerk gepresenteerd waarmee het volwassenheidsniveau van de beheersing van mobiele apparaten gemeten kan worden. In de scriptie wordt echter geen rekenmodel gepresenteerd om een volledig beheersingsniveau aan te kunnen duiden. Hier is bewust voor gekozen omdat het
Conclusie
54
rekenmodel van diverse factoren afhankelijk is. De belangrijkste factor hierbij is de classificatie die plaats dient te vinden ten aanzien van de impact van een bepaalde bedreiging voor de organisatie. Op basis hiervan kan bepaald worden welke bedreigingen "belangrijker" zijn en derhalve zwaarder zouden moeten wegen in het vaststellen van het gemiddelde volwassenheidsniveau (per domein). Om dit op een juiste manier uit te kunnen voeren zal dit moeten gebeuren op basis van de ervaringen die de IT auditor opdoet bij het toepassen van het raamwerk. Het raamwerk is verder gebaseerd op het CMMI model. Ondertussen zijn er nieuwe volwassenheidsmodellen gepresenteerd zoals bijvoorbeeld PAM. Het volwassenheidskader dat wij hebben gepresenteerd is gebaseerd op het CMMI model, omdat dit model reeds een wereldwijde best practice is voor het meten van volwassenheid. Daarnaast heeft het CMMI binnen het vakgebied zijn effectiviteit bewezen. Om het raamwerk ook geschikt te maken voor gebruik in de toekomst is het mogelijk dat er verder onderzoek gedaan wordt om het raamwerk toe te passen op een recenter volwassenheidskader zoals bijvoorbeeld PAM. Toekomstig onderzoek kan zich verder nog richten op het vergelijken van de resultaten van diverse scenario’s. Er kan onderzocht worden of het mogelijk is om met mobiele apparaten die zijn uitgegeven door de organisatie een hoger volwassenheidsniveau te behalen. Ook kan in toekomstig onderzoek vergeleken worden of het type OS dat draait op het apparaat beperkend kan zijn voor het maximaal haalbare volwassenheidsniveau.
Conclusie
55
7 Referenties CSA. Mobile Device Management: Key Components. Dimensional Research. (2012). The Impact of Mobile Devices on Information Security: a Survey of IT Professionals - Dimensional Research and Check Point. Opgeroepen op januari 3, 2013, van http://www.checkpoint.com/downloads/products/check-point-mobile-security-survey-report.pdf Dimensional Research. (2012, January). The Impact of Mobile Devices on Information Security: a Survey of IT Professionals - Dimensional Research and Check Point. Opgeroepen op januari 3, 2013, van http://www.checkpoint.com/downloads/products/check-point-mobile-security-survey-report.pdf Enck, W. (2011). Defending users against smartphone apps: Techniques and future directions. ICISS'11 Proceedings of the 7th international conference on Information Systems Security , 49-70. ENISA. Mobile Identity Management. Ernst & Young. (2012). Mobile Device Security - Understanding vulnerabilities and managing risks. Insights on IT risks . Gartner. (sd). Gartner Glossary. Opgeroepen op januari 3, 2012, van Gartner: http://www.gartner.com/it-glossary/smartphone/ Gartner. (2013). Gartner Mobile Computing Research. Opgeroepen op juli 8, 2013, van http://www.gartner.com/technology/mobile/ Gartner. (2013, april 4). Gartner Says Worldwide PC, Tablet and Mobile Phone Combined Shipments to Reach 2.4 Billion Units in 2013. Opgeroepen op juli 8, 2013, van http://www.gartner.com/newsroom/id/2408515 GOVCERT. (2011). Factsheet Beveiligingsrisico's van GSM-communicatie. IDC. (2013, mei 16). Android and iOS Combine for 92.3% of All Smartphone Operating System Shipments in the First Quarter While Windows Phone Leapfrogs BlackBerry, According to IDC. Opgeroepen op juli 8, 2013, van http://www.idc.com/getdoc.jsp?containerId=prUS24108913 IDC. (2012). Android and iOS Surge to New Smartphone OS Record in Second Quarter. Opgeroepen op januari 3, 2012, van http://www.idc.com/getdoc.jsp?containerId=prUS23638712#.UOi6Lm_Wi84 IDC. (2013, mei 28). IDC Forecasts Worldwide Tablet Shipments to Surpass Portable PC Shipments in 2013, Total PC Shipments in 2015. Opgeroepen op juli 8, 2013, van http://www.idc.com/getdoc.jsp?containerId=prUS24129713 IDC. (2013). Worldwide and U.S. Tablet 2013–2017 Forecast. IDC. Information Security Forum. (2011). Securing consumer devices. ISACA. (2010). Managing Mobile Devices and Relevant Framework Processes. ISACA. Mobile Computing Security: Audit/Assurance Program.
Referenties
56
ISACA. (2012). Securing Mobile Devices. Jansen, W., & Scarfone, K. (sd). Guidelines on Cell Phone and PDA Security. National Institute of Standards and Technology (NIST) - Special Publication 800-124 . Jeon, W., Kim, J., & Won, D. (2011). A Practical Analysis of Smartphone Security. In Human Interface and the Management of Information. Interacting with Information (pp. 311-320). Springer Berlin Heidelberg. Jeon, W., Kim, J., Lee, Y., & Won, D. (2011). A Practical Analysis of Smartphone Security. Human Interface , 311-320. Mulliner, C. (June 2006). Security of SmartPhone. Master's Thesis of University of California . NIST. Guidelines for Managing and Securing Mobile Devices in the Enterprise. NIST. (2012). Guidelines for Managing and Securing Mobile Devices in the Enterprise. NIST. (2008). Guidelines on Cell Phone and PDA Security. NOREA. (2012). Factsheet Mobile Device Management (MDM). PMWiki. (2013). Opgeroepen op juli 2, 2013, van CMMi | Kenniscentrum over project management: http://www.pmwiki.nl/kennis/cmmi Rhee, K., Jeon, W., & Won, D. (2012). Security Requirements of a Mobile Device Management System. International Journal of Security and Its Applications , 353-358. Security.NL. (2012a, april 26). 95% leest e-mail op smartphone. Opgeroepen op juli 2, 2012, van Security.NL: http://www.security.nl/artikel/41266/1/95%25_leest_e-mail_op_smartphone.html Security.NL. (2012b, maart 12). Privégegevens verloren smartphones massaal bekeken. Opgeroepen op juli 2, 2012, van Security.NL: http://www.security.nl/artikel/40701/1/Priv%C3%A9gegevens_verloren_smartphones_massaal_bekek en.html Smeets, M., & Ceelen, P. (2011). Smartphones en tablets in de bedrijfsomgeving. IT-Auditor nummer 4 . Souppaya, M., & Scarfone, K. (2012). NIST Guidelines for Managing and Securing Mobile Devices in the Enterprise. Sybase. Mobile Advantage: Why Secure Your Mobile Devices. (2012). The impact of mobile devices on information security. Dimensional research. Theoharidou, M., Mylonas, A., & Gritzalis, D. (2012). A Risk Assessment Method for Smartphones. 27th IFIP TC 11 Information Security and Privacy Conference, SEC 2012, Heraklion, Crete, Greece, June 4-6, 2012. Proceedings , 443-456. Theoharidou, M., Mylonas, A., & Gritzalis, D. (2012). A Risk Assessment Method for Smartphones. IFIP Advances in Information and Communication Technology , 443-456.
Referenties
57
Bijlage A: Begrippen en afkortingen Begrippen Appstore = Een online winkel waar mobiele applicaties worden aangeboden. Ultramobile (ultrabook) = Krachtige netbook / kleine laptop.
Afkortingen BYOD = Bring Your Own Device CMDB = Configuration Management Database CMMI = Capability Maturity Model Integration DDoS = Distributed Denial-of-Service FAQ = Frequently Asked Questions GPS = Global Positioning System MDM = Mobile Device Management OS = Operating system PDA = Personal Digital Assistent QR code = Quick Response code USB = Universal Serial Bus
Bijlage A: Begrippen en afkortingen
58
Bijlage B: Het volwassenheidsmodel in de praktijk Nr
Bedreiging
Beheersdoelstelling
Risicolevel voor de organisatie
Resultaat
Volwassenheidsniveau
3.1 3.1.1
Governance Eigenaarschap van het mobiele apparaat en de applicaties is onbekend.
Eigenaarschap van het mobiele apparaat en de applicaties is gedefinieerd.
Hoog
4
3.1.2
Mobiele apparaten sluiten niet aan met de gestelde beveiligingsdoelstellingen.
Er is een beleid dat een beheerste implementatie van mobiele apparaten ondersteunt.
Hoog
Deze organisatie geeft Blackberry smartphones af aan de werknemers, het eigenaarschap ligt te allen tijde bij de organisatie. Wanneer medewerkers gebruik willen maken van de mobiele infrastructuur met een eigen apparaat is het noodzakelijk om een overeenkomst te tekenen. In de overeenkomst is opgenomen wie er verantwoordelijk is voor het eigenaarschap van de applicaties en het apparaat. De zakelijke apparaten worden bovendien in het CMDB geregistreerd waardoor het onderscheid kan worden gemaakt bij een apparaat wie hier de eigenaar van is. Binnen de organisatie zijn er security richtlijnen voor de verschillende apparaten. Er ligt een risico analyse ten grondslag aan de richtlijnen en de richtlijnen zijn op elkaar afgestemd. Voor mobile device management zijn er bovendien 2 standaarden aanwezig, waarin staat beschreven aan welke beleidstukken moeten worden voldaan om te voldoen aan de beveiligingsdoelstellingen. Jaarlijks vindt er aanvullend een audit plaats door een Global internal audit team om te beoordelen of de richtlijnen adequaat zijn geïmplementeerd.
Bijlage B: Het volwassenheidsmodel in de praktijk
4.5
59
Nr
Bedreiging
Beheersdoelstelling
3.1.3
Wet- en regelgeving wordt niet nageleefd.
Er is een adequaat proces aanwezig ten behoeve van het naleven van wet- en regelgeving met betrekking tot mobiele apparaten.
3.1.4
Er is onvoldoende kennis beschikbaar binnen de organisatie om adequaat onderhoud en ondersteuning van de mobiele apparaten aan te bieden.
Medewerkers die ondersteuning bieden zijn voldoende vakbekwaam om problemen juist, tijdig en volledig op te lossen.
3.1.5
Producten en diensten worden op ad-hoc basis ingekocht zonder specifieke overeenkomsten met leveranciers.
Er zijn afspraken met leveranciers Laag gemaakt ten aanzien van het inkopen van producten en diensten.
Bijlage B: Het volwassenheidsmodel in de praktijk
Risicolevel voor de organisatie Medium
Laag
Resultaat
Volwassenheidsniveau
Binnen de organisatie is er geen specifiek 2.5 proces ten aanzien van het naleven van weten regelgeving met betrekking tot mobiele apparaten. Men is zich wel bewust van de basis wet en regelgeving. Wanneer er verzoeken komen (zoals het verzoek een overzicht te genereren van gebelde nummers of het verzoek tot verstrekken van privacy gevoelige informatie), wordt er nagedacht over de impact hiervan en worden de gegevens niet verstrekt aan derden. Bij de implementatie van een nieuw apparaat 3.5 wordt er eerst een pilot uitgevoerd en worden er een aantal helpdesk sessies gehouden. Gedurende deze helpdesk sessies wordt er uitgelegd hoe het product werkt en hoe het in elkaar zit. Vooraf wordt er een FAQ opgesteld. Deze wordt behandeld tijdens de helpdesk sessie. De organisatie heeft contracten afgesloten met 4 voorkeursleveranciers op basis van een whitelist. Contracten worden vooraf afgesloten en er wordt hierbij onderhandeld. Elke keer als iets gekocht moet worden wordt het contract opnieuw bekeken en wordt er opnieuw onderhandeld. Wanneer hierbij geen overeenstemming over wordt bereikt, wordt er overgestapt naar een nieuwe leverancier.
60
Nr
Bedreiging
3.2 3.2.1
Gebruikers Verlies of diefstal van het mobiele apparaat.
3.2.2
Medewerkers zijn zich niet bewust van de risico's ten aanzien van het gebruik van mobiele apparaten.
Beheersdoelstelling
Risicolevel voor de organisatie
Resultaat
Fysieke toegang tot het mobiele apparaat is alleen mogelijk voor geautoriseerde personen.
Hoog
Er is een procedure opgesteld waarin wordt 3.5 beschreven welke handelingen er verricht moeten worden bij verlies of diefstal van het apparaat. De gebruiker dient het te melden wanneer het apparaat zoek is geraakt. Vervolgens wordt er een remote wipe commando verstuurd waarmee alle data op afstand wordt verwijderd van het apparaat. Het is bovendien op basis van GPS gegevens inzichtelijk te maken waar het apparaat zich bevindt. Aanvullend is elk apparaat dermate ingesteld dat de data na 10x het wachtwoord fout in te toetsen wordt verwijderd. Er zijn verder geen fysieke maatregelen getroffen zoals privacy screenprotectors om fysieke toegang tot het mobiele apparaat voor ongeautoriseerde personen te bemoeilijken. De organisatie voert periodiek campagnes om 4 medewerkers bewust te maken van de risico's die gepaard gaan met het gebruik van mobiele apparaten. Zo is er recentelijk voor BYOD een filmpje gemaakt om medewerkers te tonen welke bedreigingen er zijn bij het gebruik van BYOD. De organisatie maakt verder enkel gebruik van Blackberry's die in eigendom zijn van de organisatie zelf. Hierbij is nagenoeg alles afgeschermd, waardoor de risico's minimaal zijn. Aanvullend dienen medewerkers een verklaring te ondertekenen waarin de medewerker beloofd de richtlijnen te zullen volgen.
Medewerkers die gebruik maken van Medium mobiele apparaten zijn zich bewust van de risico's en worden getraind hier adequaat mee om te gaan.
Bijlage B: Het volwassenheidsmodel in de praktijk
Volwassenheidsniveau
61
Nr
Bedreiging
Beheersdoelstelling
3.2.3
Onveilige webpagina’s en Alleen geverifieerde en webcontent kunnen worden goedgekeurde webpagina's en bezocht. webcontent zijn toegankelijk.
3.3 3.3.1
Mobiele apparaten Het mobiele apparaat is technisch van onvoldoende kwaliteit.
Enkel mobiele apparaten van voldoende technische kwaliteit worden in gebruik genomen.
Bijlage B: Het volwassenheidsmodel in de praktijk
Risicolevel voor de organisatie Hoog
Resultaat
Volwassenheidsniveau
Bij het gebruik van mobiele apparaten die eigendom zijn van de organisatie zijn er beperkingen ingesteld ten aanzien van het bezoeken van webpagina's. Aangezien de organisatie enkel gebruik maakt van Blackberry apparaten loopt de internetverbinding altijd via de Blackberry server waarbij het is afgeschermd dat kwaadaardige scripts worden uitgevoerd. Verder loopt alle dataconnectie via de firewall, waarbij er op applicatieniveau beperkingen zijn ingesteld. Hierbij is er bijvoorbeeld onderscheid te maken door social media af te schermen of binnen bijvoorbeeld Facebook in te stellen dat het versturen van berichten wel is toegestaan, maar bestanden niet. Blokkeren van malware gaat via de firewall, die dagelijks een lijst binnenhaalt en deze automatisch blokkeert. Bij het gebruik van BYOD worden er geen webpagina's en webcontent geblokkeerd. Dit betreft namelijk een apparaat dat het eigendom is van de medewerker en derhalve niet beperkt zou mogen worden.
4
Medium
De organisatie ondersteunt slechts een beperkt aantal apparaten dat wordt toegelaten op het netwerk van de organisatie. Voordat er een nieuw apparaat wordt geadopteerd vindt er een risicoanalyse plaats en wordt er een pilot uitgevoerd.
4
62
Nr
Bedreiging
Beheersdoelstelling
3.3.2
Data op het mobiele Data wordt juist, tijdig en volledig apparaat wordt niet verwijderd van het mobiele apparaat verwijderd van het apparaat bij vervanging. bij vervanging.
3.3.3
De locatie van het mobiele apparaat wordt bekend gemaakt door het gebruik van locatie services aan kwaadwillende personen.
Locatiegegevens zijn enkel zichtbaar voor geautoriseerde personen.
Medium
3.3.4
Er wordt gebruik gemaakt van onveilige transmissie technieken.
Gevoelige data is beveiligd tegen ongeautoriseerde toegang tijdens transmissie.
Hoog
3.3.5
Data op het mobiele apparaat wordt gemanipuleerd of bloot gesteld.
Het mobiele apparaat is beveiligd tegen malware en brengt geen malware in de IT organisatie.
Hoog
Bijlage B: Het volwassenheidsmodel in de praktijk
Risicolevel voor de organisatie Hoog
Resultaat
Volwassenheidsniveau
De organisatie beschikt niet over een procedure ten aanzien van het verwijderen van data bij vervaninging van het mobiele apparaat. Wanneer het apparaat vervangen moet worden, wordt voor zover mogelijk is het apparaat hersteld naar de fabrieksinstellingen en wordt deze afgevoerd. Indien het apparaat niet meer op te starten is, wordt het apparaat niet vernietigd, maar weggegooid. De data op het apparaat wordt echter versleuteld opgeslagen en bij het 10x invoeren van een fout wachtwoord wordt de data verwijderd. Vanuit het MDM systeem van de organisatie is het niet mogelijk om per applicatie te zeggen of het toegestaan is om locatieservices te gebruiken. Het is hierbij aan de gebruiker om dit aan of uit te zetten. In de richtlijnen is echter wel beschreven hoe hiermee om te gaan. De organisatie heeft de data geclassificeerd op basis van gevoeligheid. Op basis van de classificatie is bepaald welke maatregelen er vereist zijn. Er vindt geen periodieke evaluatie plaats van de dataclassificatie De organisatie heeft de mobiele apparaten (Blackberry smartphones) afgeschermd tegen malware door zeer strikte beperkingen in te stellen. Voor BYOD apparaten (enkel iPhones en iPads) is aangegeven dat er geen antimalware software is geïnstalleerd door afwezigheid van malware.
2
2
4
3
63
Nr
Bedreiging
Beheersdoelstelling
3.3.6
Security zwakheden in het besturingssysteem en applicaties.
Updates op applicaties en het besturingssysteem, evenals security patches worden adequaat getest en getoetst aan het beveiligingsbeleid en worden tijdig geïmplementeerd.
3.3.7
Performance zwakheden bij het gebruik van het mobiele apparaat.
Performance problemen worden juist Laag en tijdig opgelost om de beschikbaarheid van de data op het mobiele apparaat te garanderen.
Bijlage B: Het volwassenheidsmodel in de praktijk
Risicolevel voor de organisatie Medium
Resultaat
Volwassenheidsniveau
Er worden minimale eisen gesteld aan de OS 2.5 versie. De medewerkers dienen het OS zelf te updaten. Vanuit het MDM platform is het niet mogelijk om dit centraal plaats te laten vinden bij apparaten (Blackberry's) die eigendom zijn van de organisatie. De policy binnen de organisatie is bovendien om de apparaten enkel te updaten wanneer een medewerker problemen ondervindt, omdat het Blackberry OS als een veilig OS wordt beschouwd. Bij BYOD (met name iPhones) worden er eisen gesteld aan de minimale iOS versie op het apparaat. Apparaten die een oudere iOS hebben, worden niet toegelaten tot de server. Periodiek wordt tevens geëvalueerd of de minimale versie verhoogd moet worden om de veiligheid te kunnen waarborgen. Op adhoc basis vinden er bovendien penetratietest plaats op de mobiele apparaten. Binnen het gebruikte MDM platform is het mogelijk om jailbreaks te detecteren. Er zijn richtlijnen opgesteld ten aanzien van 3 het oplossen van performance problemen. Wanneer er problemen zijn worden deze onderzocht en worden systemen eventueel geüpdate vanuit het MDM platform. De systemen worden eerst getest, daarna eventueel uitgerold en vervolgens geëvalueerd.
64
Nr
Bedreiging
Beheersdoelstelling
Risicolevel voor de organisatie
Resultaat
3.4 3.4.1
Applicaties en data Onbetrouwbare applicaties kunnen worden gedownload en geïnstalleerd.
Alleen geverifieerde en goedgekeurde applicaties kunnen worden gedownload en geïnstalleerd.
Medium
3.4.2
Ongeautoriseerde interactie met externe systemen.
Interactie met externe systemen is alleen mogelijk met geautoriseerde externe systemen.
Hoog
3.4.3
Data is corrupt of niet meer beschikbaar.
Data wordt periodiek juist, tijdig en volledig geback-uped.
Laag
Ten aanzien van het installeren van 4 applicaties op apparaten die eigendom zijn van de organisatie is er een beperkte lijst toegestaan. Hierbij wordt er gebruik gemaakt van een eigen app store waarin de applicaties beschikbaar zijn. In het geval van BYOD zijn alle applicaties toegestaan. Het is echter wel mogelijk om applicaties op de blacklist te zetten (hier wordt geen gebruik van gemaakt). Voor de organisatie is het ook mogelijk om via het MDM systeem te zien welke applicaties er zijn geïnstalleerd op een BYOD apparaat. Door het gebruik van Blackberry's wordt alle 3 data versleuteld opgeslagen en getransporteerd. Ten aanzien van BYOD (iPhones) is het technisch gezien niet mogelijk om interactie met externe systemen te verbieden. De verantwoordelijkheid ligt hierbij echter bij de gebruiker, aangezien deze een formele overeenkomst heeft ondertekend. Data ten aanzien van contacten en email 2 wordt centraal opgeslagen en enkel benaderd via het mobiele apparaat. Deze worden bovendien gesynchroniseerd met Lotus Notes en Outlook. Er worden geen back-ups gemaakt van foto's, films of muziek die op het mobiele apparaat aanwezig zijn.
Bijlage B: Het volwassenheidsmodel in de praktijk
Volwassenheidsniveau
65
Nr
Bedreiging
Beheersdoelstelling
3.4.4
Ongeautoriseerd kopiëren van data naar een verwijderbaar medium.
Alleen geautoriseerde personen kunnen data van een mobiel apparaat kopiëren naar een verwijderbaar medium.
Bijlage B: Het volwassenheidsmodel in de praktijk
Risicolevel voor de organisatie Hoog
Resultaat
Volwassenheidsniveau
Bij het gebruik van Blackberry's wordt data 4 versleuteld opgeslagen. Hierdoor is het niet mogelijk om het bestand terug te lezen op een ander apparaat. Met betrekking tot iOS is er geen sprake van verwijderbare media omdat het apparaat dit niet ondersteund. Derhalve is deze control niet van toepassing voor iOS.
66