Security en privacy bij BYOD - DSpace at Open Universiteit
Security en privacy bij BYOD - DSpace at Open Universiteit
Security en privacy bij BYOD - DSpace at Open Universiteit
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Security</strong> <strong>en</strong> <strong>privacy</strong> <strong>bij</strong> <strong>BYOD</strong><br />
E<strong>en</strong> verk<strong>en</strong>ning van het toegepaste <strong>BYOD</strong> security-beleid <strong>en</strong><br />
geïmplem<strong>en</strong>teerde security-ma<strong>at</strong>regel<strong>en</strong> binn<strong>en</strong> organis<strong>at</strong>ies <strong>en</strong><br />
de impact daarvan op de <strong>privacy</strong> van werknemers<br />
André Schild<br />
850675504<br />
18 juni 2013
<strong>Security</strong> and <strong>privacy</strong> with <strong>BYOD</strong><br />
A survey of the applied <strong>BYOD</strong> security policy and implem<strong>en</strong>ted<br />
security measures within organiz<strong>at</strong>ions and their impact on<br />
employee <strong>privacy</strong><br />
Colofon<br />
Auteur André Schild<br />
Stud<strong>en</strong>tnummer 850675504<br />
Email andreschild@hotmail.com<br />
<strong>Universiteit</strong> Op<strong>en</strong> <strong>Universiteit</strong><br />
Faculteit Inform<strong>at</strong>ica<br />
Opleiding Business Process Managem<strong>en</strong>t & IT<br />
Cursuscode T89317<br />
Afstudeercommissie<br />
1e begeleider/examin<strong>at</strong>or dr. ir. H.P.E. (Harald) Vrank<strong>en</strong><br />
2e begeleider dr. ir. A.J.F. (Arjan) Kok / dr. A.D. (Anda)<br />
Counotte-Potman<br />
Pagina | 2
Inhoudsopgave<br />
Sam<strong>en</strong>v<strong>at</strong>ting .......................................................................................... 5<br />
1. Inleiding ............................................................................................ 8<br />
2. Probleemstelling ............................................................................... 9<br />
2.1 Hoofdvraag ................................................................................................................................................................ 9<br />
2.2 Onderzoeksdoel ...................................................................................................................................................... 9<br />
2.3 Deelvrag<strong>en</strong> ................................................................................................................................................................ 9<br />
2.4 Aanpak van het onderzoek .............................................................................................................................. 10<br />
3. Methode van onderzoek .................................................................. 12<br />
3.1 Liter<strong>at</strong>uurstudie ................................................................................................................................................... 12<br />
3.2 Empirisch onderzoek ......................................................................................................................................... 16<br />
4. Resulta<strong>at</strong> liter<strong>at</strong>uurstudie ............................................................... 23<br />
4.1 De opkomst van mobiele appar<strong>at</strong><strong>en</strong> ............................................................................................................ 23<br />
4.2 De risico’s van mobiele appar<strong>at</strong><strong>en</strong> ............................................................................................................... 24<br />
4.3 Beveiliging <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong> ................................................................................................................ 27<br />
4.4 Aanbeveling<strong>en</strong> <strong>bij</strong> het gebruik van mobiele appar<strong>at</strong><strong>en</strong> ....................................................................... 28<br />
4.5 Conclusies liter<strong>at</strong>uurstudie ............................................................................................................................. 30<br />
5. Resulta<strong>at</strong> empirisch onderzoek ....................................................... 32<br />
5.1 Beschrijving van de gegev<strong>en</strong>s......................................................................................................................... 32<br />
5.2 Result<strong>at</strong><strong>en</strong> m.b.t. contextvrag<strong>en</strong> .................................................................................................................... 32<br />
5.3 Result<strong>at</strong><strong>en</strong> m.b.t. deelvraag 1.......................................................................................................................... 34<br />
5.4 Result<strong>at</strong><strong>en</strong> m.b.t. deelvraag 2.......................................................................................................................... 38<br />
5.5 Result<strong>at</strong><strong>en</strong> m.b.t. deelvraag 3.......................................................................................................................... 43<br />
5.6 Result<strong>at</strong><strong>en</strong> m.b.t. de op<strong>en</strong> <strong>en</strong> afsluit<strong>en</strong>de vrag<strong>en</strong> .................................................................................... 44<br />
5.7 Liter<strong>at</strong>uurstudie vs. empirisch onderzoek ................................................................................................ 45<br />
6. Conclusies <strong>en</strong> aanbeveling<strong>en</strong> ........................................................... 48<br />
6.1 Conclusies m.b.t. deelvraag 1 .......................................................................................................................... 48<br />
6.2 Conclusies m.b.t. deelvraag 2 .......................................................................................................................... 53<br />
6.3 Conclusies m.b.t. deelvraag 3 .......................................................................................................................... 57<br />
6.4 Conclusies hoofdvraag ...................................................................................................................................... 58<br />
6.5 Aanbeveling<strong>en</strong> voor organis<strong>at</strong>ies ................................................................................................................. 58<br />
6.6 Aanbeveling<strong>en</strong> voor vervolgonderzoek ..................................................................................................... 60<br />
7. Reflectie .......................................................................................... 61<br />
7.1 Productreflectie .................................................................................................................................................... 61<br />
7.2 Procesreflectie ...................................................................................................................................................... 62<br />
8. Refer<strong>en</strong>ties ...................................................................................... 67<br />
8.1 Wet<strong>en</strong>schappelijke public<strong>at</strong>ies ...................................................................................................................... 67<br />
8.2 Vakliter<strong>at</strong>uur ......................................................................................................................................................... 70<br />
Bijlage 1: Liter<strong>at</strong>uurstudie ..................................................................... 73<br />
Bijlage 2: Organis<strong>at</strong>ieprofiel<strong>en</strong> ............................................................ 142<br />
Bijlage 3: Interviewvrag<strong>en</strong> .................................................................. 146<br />
Bijlage 4: Antwoord<strong>en</strong>m<strong>at</strong>rix............................................................... 151<br />
Bijlage 5: Interviewresult<strong>at</strong><strong>en</strong> ............................................................. 162<br />
Bijlage 6: Communic<strong>at</strong>ie empirisch onderzoek .................................... 212<br />
Pagina | 3
Pagina | 4
Sam<strong>en</strong>v<strong>at</strong>ting<br />
De hoofdvraag van dit onderzoek luidt: Hoe hebb<strong>en</strong> organis<strong>at</strong>ies de security<br />
rondom <strong>BYOD</strong> geregeld (beleid <strong>en</strong> ma<strong>at</strong>regel<strong>en</strong>) <strong>en</strong> w<strong>at</strong> is de invloed daarvan op<br />
de <strong>privacy</strong> van hun werknemers?<br />
<strong>BYOD</strong> sta<strong>at</strong> voor Bring Your Own Device <strong>en</strong> houdt in d<strong>at</strong> werknemers hun privé<br />
appar<strong>at</strong><strong>en</strong>, zoals smartphones <strong>en</strong> tablets, kunn<strong>en</strong> <strong>en</strong> mog<strong>en</strong> gebruik<strong>en</strong> voor<br />
zakelijke doeleind<strong>en</strong>. E<strong>en</strong> probleem <strong>bij</strong> <strong>BYOD</strong> is security. De organis<strong>at</strong>ie is<br />
namelijk ge<strong>en</strong> eig<strong>en</strong>aar van het mobiele appara<strong>at</strong> <strong>en</strong> heeft er initieel daarom<br />
ge<strong>en</strong> bevoegdheid <strong>en</strong> zegg<strong>en</strong>schap over. Daar<strong>en</strong>teg<strong>en</strong> faciliteert het mobiele<br />
appara<strong>at</strong> wel de opslag van (vertrouwelijke) bedrijfsgegev<strong>en</strong>s <strong>en</strong> toegang tot de<br />
bedrijfsinfrastructuur. Pas wanneer de eig<strong>en</strong>aar (werknemer) hiervoor expliciet<br />
toestemming geeft, mag de organis<strong>at</strong>ie zich ontferm<strong>en</strong> over zijn mobiele<br />
appara<strong>at</strong>. Wanneer de organis<strong>at</strong>ie echter zonder deze toestemming toch het<br />
beheer over het mobiele appara<strong>at</strong> overneemt, kan inbreuk ontstaan op de<br />
<strong>privacy</strong> van de werknemers.<br />
Dit onderzoek is verk<strong>en</strong>n<strong>en</strong>d van aard <strong>en</strong> heeft twee doelstelling<strong>en</strong>:<br />
1. Allereerst heeft dit onderzoek als doel om het <strong>BYOD</strong> security-beleid <strong>en</strong> de<br />
daaruit voortvloei<strong>en</strong>de <strong>BYOD</strong> security-ma<strong>at</strong>regel<strong>en</strong>, in kaart te br<strong>en</strong>g<strong>en</strong> <strong>bij</strong><br />
organis<strong>at</strong>ies die <strong>BYOD</strong> al hebb<strong>en</strong> geïmplem<strong>en</strong>teerd of dit serieus overweg<strong>en</strong>.<br />
2. De tweede doelstelling is om in kaart te br<strong>en</strong>g<strong>en</strong> in hoeverre dit <strong>BYOD</strong><br />
security-beleid <strong>en</strong> de daaruit voortvloei<strong>en</strong>de <strong>BYOD</strong> security-ma<strong>at</strong>regel<strong>en</strong>, e<strong>en</strong><br />
neg<strong>at</strong>ieve invloed hebb<strong>en</strong> op de <strong>privacy</strong> van de werknemers <strong>en</strong> w<strong>at</strong> daar<br />
vanuit de organis<strong>at</strong>ie aan wordt gedaan.<br />
De volg<strong>en</strong>de deelvrag<strong>en</strong> vrag<strong>en</strong> zijn gaandeweg het onderzoek beantwoord:<br />
1. Hoe is het security-beleid van organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept<br />
geïmplem<strong>en</strong>teerd hebb<strong>en</strong> of dit serieus overweg<strong>en</strong>, tot stand gekom<strong>en</strong>, w<strong>at</strong> is<br />
de inhoud van dit security-beleid <strong>en</strong> welke security-ma<strong>at</strong>regel<strong>en</strong> zijn<br />
geïmplem<strong>en</strong>teerd?<br />
2. Welke <strong>privacy</strong>problem<strong>en</strong> (spanningsveld<strong>en</strong>) spel<strong>en</strong> <strong>bij</strong> e<strong>en</strong> <strong>BYOD</strong>implem<strong>en</strong>t<strong>at</strong>ie<br />
tuss<strong>en</strong> de hardware van de medewerker <strong>en</strong>erzijds <strong>en</strong> de<br />
inform<strong>at</strong>iebeveiliging van (vertrouwelijke) gegev<strong>en</strong>s van de organis<strong>at</strong>ie<br />
anderzijds, die zijn ontstaan door het gekoz<strong>en</strong> security-beleid <strong>en</strong> de getroff<strong>en</strong><br />
security-ma<strong>at</strong>regel<strong>en</strong>?<br />
3. W<strong>at</strong> do<strong>en</strong> organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept hebb<strong>en</strong> geïmplem<strong>en</strong>teerd of dit<br />
serieus overweg<strong>en</strong>, eraan om te voorkom<strong>en</strong> d<strong>at</strong> het security-beleid <strong>en</strong> de<br />
security-ma<strong>at</strong>regel<strong>en</strong> e<strong>en</strong> inbreuk vorm<strong>en</strong> op de <strong>privacy</strong> van de werknemers?<br />
Het onderzoek bestond uit e<strong>en</strong> uitgebreide liter<strong>at</strong>uurstudie waar<strong>bij</strong> is gezocht<br />
naar al aanwezige <strong>en</strong> relevante wet<strong>en</strong>schappelijke k<strong>en</strong>nis over <strong>BYOD</strong>-security.<br />
Helaas blek<strong>en</strong> wet<strong>en</strong>schappelijke public<strong>at</strong>ies over <strong>BYOD</strong>-security nog niet<br />
beschikbaar. Daarom heeft de liter<strong>at</strong>uurstudie zich gericht op achterligg<strong>en</strong>de<br />
concept<strong>en</strong> <strong>en</strong> onderwerp<strong>en</strong> m.b.t. inform<strong>at</strong>iebeveiliging (van mobiele appar<strong>at</strong><strong>en</strong>).<br />
Het gebrek aan e<strong>en</strong> specifiek wet<strong>en</strong>schappelijk <strong>BYOD</strong>-kader heeft ervoor gezorgd<br />
Pagina | 5
d<strong>at</strong> de aard van dit onderzoek verk<strong>en</strong>n<strong>en</strong>d <strong>en</strong> inductief werd. Vervolg<strong>en</strong>s is e<strong>en</strong><br />
pass<strong>en</strong>de onderzoeksaanpak geformuleerd om ontbrek<strong>en</strong>de k<strong>en</strong>nis aan te vull<strong>en</strong>.<br />
Dit is gedaan door uitgebreid verschill<strong>en</strong>de aspect<strong>en</strong> m.b.t. <strong>BYOD</strong>-security<br />
(beleid, ma<strong>at</strong>regel<strong>en</strong>, totstandkoming, inhoud, <strong>privacy</strong>) te onderzoek<strong>en</strong> <strong>bij</strong><br />
(middel) grote organis<strong>at</strong>ies uit verschill<strong>en</strong>de sector<strong>en</strong>. Het empirisch onderzoek<br />
omv<strong>at</strong>te e<strong>en</strong> interviewsessie <strong>bij</strong> 5 organis<strong>at</strong>ies die <strong>BYOD</strong> al toestond<strong>en</strong> of op het<br />
punt stond<strong>en</strong> dit te do<strong>en</strong>. De interviewresult<strong>at</strong><strong>en</strong> zijn vervolg<strong>en</strong>s geanalyseerd <strong>en</strong><br />
gebruikt om conclusies uit te trekk<strong>en</strong>. Op basis van de conclusies word<strong>en</strong> tev<strong>en</strong>s<br />
aanbeveling<strong>en</strong> gedaan, zowel voor organis<strong>at</strong>ies als vervolgonderzoek.<br />
De belangrijkste deelconclusies van dit onderzoek zijn:<br />
Organis<strong>at</strong>ies do<strong>en</strong> niet of nauwelijks vooronderzoek naar de risico’s van <strong>BYOD</strong><br />
voord<strong>at</strong> ze eraan beginn<strong>en</strong>. Hierdoor anticiper<strong>en</strong> organis<strong>at</strong>ies niet, te la<strong>at</strong>,<br />
onjuist of onvolledig op de gevar<strong>en</strong> die inher<strong>en</strong>t zijn aan <strong>BYOD</strong>.<br />
Organis<strong>at</strong>ies met e<strong>en</strong> tekort aan specifieke <strong>BYOD</strong>-k<strong>en</strong>nis zijn bereid om<br />
gaandeweg van hun fout<strong>en</strong> te ler<strong>en</strong>, e<strong>en</strong> trial-and-error methode erop na te<br />
houd<strong>en</strong> <strong>en</strong> dus ook mogelijk verlies van vertrouwelijke bedrijfsgegev<strong>en</strong>s te<br />
accepter<strong>en</strong>.<br />
Bij de ontwikkeling van <strong>BYOD</strong> security-beleid zijn weinig verschill<strong>en</strong>de<br />
afdeling<strong>en</strong> betrokk<strong>en</strong>. In de meeste gevall<strong>en</strong> dicteert vooral de IT-afdeling de<br />
te volg<strong>en</strong> koers.<br />
De technische security-ma<strong>at</strong>regel<strong>en</strong> die uit het <strong>BYOD</strong> security-beleid<br />
voortvloei<strong>en</strong>, mitiger<strong>en</strong> de risico’s niet effectief <strong>en</strong> efficiënt. Bov<strong>en</strong>di<strong>en</strong><br />
hebb<strong>en</strong> ze invloed op privégegev<strong>en</strong>s <strong>en</strong> privégebruik. Juist ma<strong>at</strong>regel<strong>en</strong> die<br />
voor e<strong>en</strong> betere beveiliging kunn<strong>en</strong> zorg<strong>en</strong>, zoals VPN <strong>en</strong> versleuteling van<br />
gegev<strong>en</strong>s, word<strong>en</strong> niet gebruikt.<br />
Ondanks de inadequ<strong>at</strong>e bescherming <strong>en</strong> neg<strong>at</strong>ieve invloed op de <strong>privacy</strong> van<br />
werknemers vind<strong>en</strong> organis<strong>at</strong>ies hun <strong>BYOD</strong>-security effectief <strong>en</strong> goed g<strong>en</strong>oeg.<br />
Ge<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie gebruikt Mobile Device Managem<strong>en</strong>t (MDM)software.<br />
Inzet hiervan komt niet alle<strong>en</strong> de security t<strong>en</strong> goede, maar heeft<br />
ook e<strong>en</strong> positieve invloed op de <strong>privacy</strong> van werknemers. Met MDM-software<br />
kan e<strong>en</strong> strikte scheiding gemaakt word<strong>en</strong> tuss<strong>en</strong> zakelijke <strong>en</strong> privégegev<strong>en</strong>s.<br />
Privacyproblem<strong>en</strong> ontstaan doord<strong>at</strong> er onduidelijkheid heerst over de<br />
spelregels m.b.t. <strong>BYOD</strong>. Organis<strong>at</strong>ies hebb<strong>en</strong> nauwelijks specifieke<br />
voorwaard<strong>en</strong> <strong>en</strong>/of communicer<strong>en</strong> daarover gebrekkig waardoor de recht<strong>en</strong><br />
<strong>en</strong> plicht<strong>en</strong> m.b.t. <strong>BYOD</strong> veelal onbek<strong>en</strong>d zijn.<br />
Omd<strong>at</strong> organis<strong>at</strong>ies nog volop worstel<strong>en</strong> met <strong>BYOD</strong>-security, is de <strong>privacy</strong> van<br />
werknemers nog van ondergeschikt belang aan de security.<br />
Organis<strong>at</strong>ies hebb<strong>en</strong> met weinig <strong>privacy</strong> gerel<strong>at</strong>eerde spanningsveld<strong>en</strong> of<br />
incid<strong>en</strong>t<strong>en</strong> te mak<strong>en</strong> gehad. Voorkom<strong>en</strong> van toekomstige inbreuk op de<br />
<strong>privacy</strong> sta<strong>at</strong> daardoor niet hoog op de prioriteit<strong>en</strong>lijst.<br />
Pagina | 6
Algem<strong>en</strong>e conclusie<br />
Organis<strong>at</strong>ies hebb<strong>en</strong> zowel het <strong>BYOD</strong> security-beleid ev<strong>en</strong>als de daaruit<br />
voortvloei<strong>en</strong>de security-ma<strong>at</strong>regel<strong>en</strong> niet adequa<strong>at</strong> geregeld. Ze bereid<strong>en</strong> zich<br />
niet of nauwelijks voor op de risico’s van <strong>BYOD</strong> waardoor niet pass<strong>en</strong>d<br />
geanticipeerd kan word<strong>en</strong> op de inher<strong>en</strong>te gevar<strong>en</strong> van <strong>BYOD</strong>. Bov<strong>en</strong>di<strong>en</strong> kan dit<br />
resulter<strong>en</strong> in security-beleid <strong>en</strong> security-ma<strong>at</strong>regel<strong>en</strong> die de gevar<strong>en</strong> van <strong>BYOD</strong><br />
niet effectief <strong>en</strong> efficiënt kunn<strong>en</strong> mitiger<strong>en</strong>. Daarnaast hebb<strong>en</strong> zowel het<br />
security-beleid als de security-ma<strong>at</strong>regel<strong>en</strong> veelal e<strong>en</strong> neg<strong>at</strong>ieve invloed op de<br />
<strong>privacy</strong> van de werknemers door gebrek aan MDM-software. Specifieke <strong>BYOD</strong>voorwaard<strong>en</strong><br />
ontbrek<strong>en</strong> vaak of word<strong>en</strong> niet of nauwelijks gecommuniceerd.<br />
Werknemers zijn hierdoor niet altijd op de hoogte van recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> m.b.t.<br />
<strong>BYOD</strong>. Ondanks d<strong>at</strong> er niet of nauwelijks wordt voorbereid, ge<strong>en</strong> MDM-software<br />
wordt gebruikt, voorwaard<strong>en</strong> ontbrek<strong>en</strong> of nauwelijks word<strong>en</strong> gecommuniceerd<br />
<strong>en</strong> <strong>privacy</strong> van werknemers in gevaar kan kom<strong>en</strong>, vind<strong>en</strong> organis<strong>at</strong>ies hun<br />
<strong>BYOD</strong>-security effectief <strong>en</strong> goed g<strong>en</strong>oeg.<br />
Aanbeveling<strong>en</strong><br />
Naar aanleiding van dit onderzoek word<strong>en</strong> de volg<strong>en</strong>de aanbeveling<strong>en</strong> gedaan<br />
voor organis<strong>at</strong>ies die <strong>BYOD</strong> will<strong>en</strong> toestaan of dit al do<strong>en</strong>.<br />
1. Organis<strong>at</strong>ies di<strong>en</strong><strong>en</strong> adequa<strong>at</strong> voorbereid te zijn op <strong>BYOD</strong> door uitgebreid<br />
vooronderzoek te verricht<strong>en</strong>. Betere voorbereiding resulteert in beter beleid<br />
<strong>en</strong> efficiëntere mitig<strong>at</strong>ie van de risico’s.<br />
2. Organis<strong>at</strong>ies moet<strong>en</strong> zich kritisch afvrag<strong>en</strong> of er wel g<strong>en</strong>oeg interne k<strong>en</strong>nis<br />
aanwezig is om goed vooronderzoek te do<strong>en</strong>, effectief <strong>en</strong> efficiënt beleid te<br />
bepal<strong>en</strong> <strong>en</strong> adequ<strong>at</strong>e technische ma<strong>at</strong>regel<strong>en</strong> te implem<strong>en</strong>ter<strong>en</strong>. Bij twijfel is<br />
het aan te rad<strong>en</strong> om extern k<strong>en</strong>nis te bemachtig<strong>en</strong>. Gebrek aan k<strong>en</strong>nis, trialand-error<br />
methodiek <strong>en</strong> e<strong>en</strong> learn-as-we-go instelling kunn<strong>en</strong> e<strong>en</strong> neg<strong>at</strong>ief<br />
effect hebb<strong>en</strong> op de beveiliging van vertrouwelijke bedrijfsgegev<strong>en</strong>s.<br />
3. Bij het bepal<strong>en</strong> (<strong>en</strong> <strong>bij</strong>houd<strong>en</strong>) van het <strong>BYOD</strong> security-beleid zoud<strong>en</strong><br />
meerdere afdeling<strong>en</strong> betrokk<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> <strong>en</strong> niet alle<strong>en</strong> de IT-afdeling.<br />
Door meerdere afdeling<strong>en</strong>, belang<strong>en</strong> <strong>en</strong> gezichtspunt<strong>en</strong> te betrekk<strong>en</strong> <strong>bij</strong> het<br />
ontwerpproces van het <strong>BYOD</strong>-beleid ontsta<strong>at</strong> e<strong>en</strong> beter eindproduct.<br />
4. Elke organis<strong>at</strong>ie die <strong>BYOD</strong> toe wil staan, wordt geadviseerd om MDM-software<br />
te gebruik<strong>en</strong>. Met behulp van MDM-software kan beleid beter gehandhaafd<br />
word<strong>en</strong>, kunn<strong>en</strong> risico’s effectiever word<strong>en</strong> gemitigeerd <strong>en</strong> is e<strong>en</strong> striktere<br />
scheiding tuss<strong>en</strong> zakelijke- <strong>en</strong> privégegev<strong>en</strong>s mogelijk. MDM-software zorgt<br />
voor betere security <strong>en</strong> meer <strong>privacy</strong>, e<strong>en</strong> win-win situ<strong>at</strong>ie.<br />
5. Elke organis<strong>at</strong>ie die <strong>BYOD</strong> toe wil staan, moet specifieke voorwaard<strong>en</strong><br />
opstell<strong>en</strong> m.b.t. gebruik van eig<strong>en</strong> hardware voor zakelijke doeleind<strong>en</strong>. In<br />
deze voorwaard<strong>en</strong> di<strong>en</strong><strong>en</strong> de spelregels, de recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> m.b.t. <strong>BYOD</strong><br />
helder beschrev<strong>en</strong> te word<strong>en</strong>. Deze voorwaard<strong>en</strong> moet<strong>en</strong> transparant <strong>en</strong><br />
duidelijk gecommuniceerd (blijv<strong>en</strong>) word<strong>en</strong> naar de rest van de organis<strong>at</strong>ie.<br />
6. Elke organis<strong>at</strong>ie die <strong>BYOD</strong> toe wil staan, di<strong>en</strong>t de <strong>privacy</strong> van werknemers net<br />
zo belangrijk te vind<strong>en</strong> als de security van bedrijfsgegev<strong>en</strong>s. Ondermijning<br />
van de <strong>privacy</strong> kan namelijk leid<strong>en</strong> tot ondermijning van de security.<br />
Pagina | 7
1. Inleiding<br />
Dit onderzoek ga<strong>at</strong> over inform<strong>at</strong>iebeveiliging <strong>bij</strong> invoering van het Bring Your<br />
Own Device (<strong>BYOD</strong>) concept binn<strong>en</strong> organis<strong>at</strong>ies. <strong>BYOD</strong> houdt in d<strong>at</strong> werknemers<br />
hun eig<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> (devices), die ze zelf hebb<strong>en</strong> aangeschaft, kunn<strong>en</strong><br />
<strong>en</strong> mog<strong>en</strong> gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong> zoals email, opslag van bedrijfsgegev<strong>en</strong>s<br />
<strong>en</strong> toegang tot het intranet. Mobiele appar<strong>at</strong><strong>en</strong> die voornamelijk<br />
geschikt zijn voor <strong>BYOD</strong> zijn smartphones, tablets <strong>en</strong> notebooks.<br />
Deze mobiele appar<strong>at</strong><strong>en</strong> zijn in rel<strong>at</strong>ief korte tijd zeer populair geword<strong>en</strong>. Ze zijn<br />
krachtig, rijk aan functionaliteit, gebruiksvri<strong>en</strong>delijk <strong>en</strong> daardoor ook zeer<br />
geschikt voor zakelijk gebruik. Doord<strong>at</strong> de ontwikkeling<strong>en</strong> op het gebied van<br />
consum<strong>en</strong>t<strong>en</strong>elektronica sneller zijn gegaan dan de corpor<strong>at</strong>e IT-afdeling bereid<br />
was <strong>bij</strong> te houd<strong>en</strong>, zijn werknemers op e<strong>en</strong> gegev<strong>en</strong> mom<strong>en</strong>t hun eig<strong>en</strong> mobiele<br />
appar<strong>at</strong><strong>en</strong> mee gaan nem<strong>en</strong> naar de werkvloer. Uit onderzoek (Schadler, Brown,<br />
Gray & Burns, 2009) blijkt namelijk d<strong>at</strong> werknemers productiever zijn <strong>bij</strong> gebruik<br />
van eig<strong>en</strong> appar<strong>at</strong>uur. Bov<strong>en</strong>di<strong>en</strong> bespaart de IT-afdeling op aanschafkost<strong>en</strong> van<br />
hardware. <strong>BYOD</strong> is overig<strong>en</strong>s ook e<strong>en</strong> populair onderwerp voor vakliter<strong>at</strong>uur, zie<br />
de refer<strong>en</strong>ties in hoofdstuk 8.<br />
Tot zover lijkt <strong>BYOD</strong> alle<strong>en</strong> maar voordel<strong>en</strong> te bied<strong>en</strong>. Er klev<strong>en</strong> echter ook twee<br />
belangrijke nadel<strong>en</strong> aan, namelijk inform<strong>at</strong>iebeveiliging <strong>en</strong> <strong>privacy</strong>. E<strong>en</strong> uniek<br />
k<strong>en</strong>merk van <strong>BYOD</strong> t.o.v. de laptop van de zaak, is d<strong>at</strong> het mobiele appara<strong>at</strong><br />
ge<strong>en</strong> eig<strong>en</strong>dom is van de organis<strong>at</strong>ie, maar van de medewerker zelf. Hierdoor<br />
heeft de organis<strong>at</strong>ie er initieel dan ook ge<strong>en</strong> <strong>en</strong>kele controle <strong>en</strong>/of bevoegdheid<br />
over <strong>en</strong> kan daardoor niet, of slechts deels, het organis<strong>at</strong>iebreed beveiligingsbeleid<br />
afdwing<strong>en</strong> <strong>en</strong> bekrachtig<strong>en</strong>. De bedrijfsgegev<strong>en</strong>s die op het mobiele<br />
appara<strong>at</strong> van de medewerker staan, ev<strong>en</strong>als de toegang die het hiertoe<br />
faciliteert, behor<strong>en</strong> echter wel toe aan de organis<strong>at</strong>ie. Doord<strong>at</strong> de organis<strong>at</strong>ie<br />
ge<strong>en</strong> zegg<strong>en</strong>schap heeft over het appara<strong>at</strong>, is het de regie kwijt over de<br />
beschikbaarheid, integriteit <strong>en</strong> vertrouwelijkheid van de bedrijfsgegev<strong>en</strong>s. <strong>BYOD</strong>appar<strong>at</strong><strong>en</strong><br />
kunn<strong>en</strong> hierdoor e<strong>en</strong> ernstig beveiligingslek vorm<strong>en</strong>. Er ontsta<strong>at</strong><br />
bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> interessant spanningsveld tuss<strong>en</strong> w<strong>at</strong> de organis<strong>at</strong>ie wel/niet kan<br />
<strong>en</strong> mag afdwing<strong>en</strong> <strong>bij</strong> e<strong>en</strong> mobiel appara<strong>at</strong> waar het zelf ge<strong>en</strong> eig<strong>en</strong>aar van is.<br />
Daarnaast is het maar de vraag in hoeverre de medewerker toesta<strong>at</strong> d<strong>at</strong> de<br />
organis<strong>at</strong>ie controle heeft over zijn/haar bezit, ev<strong>en</strong>als de toegang tot<br />
privédocum<strong>en</strong>t<strong>en</strong> <strong>en</strong> -bestand<strong>en</strong>.<br />
Het doel van dit verk<strong>en</strong>n<strong>en</strong>de <strong>en</strong> inductieve onderzoek is het in kaart br<strong>en</strong>g<strong>en</strong><br />
van hoe organis<strong>at</strong>ies de inform<strong>at</strong>iebeveiliging (security) rondom <strong>BYOD</strong> hebb<strong>en</strong><br />
geregeld, zowel op str<strong>at</strong>egisch (beleid) als tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau.<br />
Daarnaast wordt de invloed hiervan op de <strong>privacy</strong> van de werknemers<br />
onderzocht. Het onderzoek is uitgevoerd in het kader van de afstudeeropdracht<br />
voor de masteropleiding Business Process Managem<strong>en</strong>t & IT aan de Op<strong>en</strong><br />
<strong>Universiteit</strong>. Allereerst wordt in hoofdstuk 2 de probleemstelling gedefinieerd<br />
zod<strong>at</strong> de vraagstelling <strong>en</strong> doelstelling helder is. Hierna wordt de gehanteerde<br />
methode van onderzoek in hoofdstuk 3 beschrev<strong>en</strong> zod<strong>at</strong> duidelijk wordt hoe te<br />
werk is gegaan. Vervolg<strong>en</strong>s word<strong>en</strong> de result<strong>at</strong><strong>en</strong> van zowel de liter<strong>at</strong>uurstudie<br />
als het empirische onderzoek gepres<strong>en</strong>teerd in hoofdstuk 4 <strong>en</strong> 5. Daarna word<strong>en</strong><br />
conclusies getrokk<strong>en</strong> <strong>en</strong> aanbeveling<strong>en</strong> gedaan in hoofdstuk 6. De scriptie eindigt<br />
in hoofdstuk 7 met e<strong>en</strong> reflectie op het product <strong>en</strong> het proces.<br />
Pagina | 8
2. Probleemstelling<br />
2.1 Hoofdvraag<br />
De hoofdvraag van dit onderzoek is als volgt:<br />
Hoe hebb<strong>en</strong> organis<strong>at</strong>ies de security rondom <strong>BYOD</strong> geregeld (beleid <strong>en</strong><br />
ma<strong>at</strong>regel<strong>en</strong>) <strong>en</strong> w<strong>at</strong> is de invloed daarvan op de <strong>privacy</strong> van hun<br />
werknemers?<br />
2.2 Onderzoeksdoel<br />
Het <strong>bij</strong>behor<strong>en</strong>de onderzoeksdoel is tweeledig.<br />
Doelstelling 1:<br />
In kaart br<strong>en</strong>g<strong>en</strong> welk security-beleid <strong>en</strong> welke security-ma<strong>at</strong>regel<strong>en</strong> zijn of<br />
word<strong>en</strong> ingevoerd door organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept al<br />
geïmplem<strong>en</strong>teerd hebb<strong>en</strong> of dit op zijn minst serieus overweg<strong>en</strong>.<br />
Doelstelling 2:<br />
Onderzoek<strong>en</strong> in hoeverre dit toegepaste security-beleid <strong>en</strong> de getroff<strong>en</strong><br />
security-ma<strong>at</strong>regel<strong>en</strong> e<strong>en</strong> neg<strong>at</strong>ieve invloed heeft op de <strong>privacy</strong> van de<br />
werknemers <strong>en</strong> w<strong>at</strong> daar vanuit de organis<strong>at</strong>ie aan wordt gedaan.<br />
2.3 Deelvrag<strong>en</strong><br />
Om tot e<strong>en</strong> beantwoording van de hoofdvraag te kom<strong>en</strong>, is e<strong>en</strong> aantal<br />
deelvrag<strong>en</strong> geformuleerd die gaandeweg het onderzoek zijn beantwoord.<br />
Deelvraag 1:<br />
Hoe is het security-beleid van organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept<br />
geïmplem<strong>en</strong>teerd hebb<strong>en</strong> of dit serieus overweg<strong>en</strong>, tot stand gekom<strong>en</strong>, w<strong>at</strong><br />
is de inhoud van dit security-beleid <strong>en</strong> welke security-ma<strong>at</strong>regel<strong>en</strong> zijn<br />
geïmplem<strong>en</strong>teerd?<br />
Deelvraag 2:<br />
Welke <strong>privacy</strong>problem<strong>en</strong> (spanningsveld<strong>en</strong>) spel<strong>en</strong> <strong>bij</strong> e<strong>en</strong> <strong>BYOD</strong>implem<strong>en</strong>t<strong>at</strong>ie<br />
tuss<strong>en</strong> de hardware van de medewerker <strong>en</strong>erzijds <strong>en</strong> de<br />
inform<strong>at</strong>iebeveiliging van (vertrouwelijke) gegev<strong>en</strong>s van de organis<strong>at</strong>ie<br />
anderzijds, die zijn ontstaan door het gekoz<strong>en</strong> security-beleid <strong>en</strong> de<br />
getroff<strong>en</strong> security-ma<strong>at</strong>regel<strong>en</strong>?<br />
Pagina | 9
Deelvraag 3:<br />
W<strong>at</strong> do<strong>en</strong> organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept hebb<strong>en</strong> geïmplem<strong>en</strong>teerd of<br />
dit serieus overweg<strong>en</strong>, eraan om te voorkom<strong>en</strong> d<strong>at</strong> het security-beleid <strong>en</strong><br />
de security-ma<strong>at</strong>regel<strong>en</strong> e<strong>en</strong> inbreuk vorm<strong>en</strong> op de <strong>privacy</strong> van de<br />
werknemers?<br />
De deelvrag<strong>en</strong> kunn<strong>en</strong> als volgt word<strong>en</strong> getypeerd: Deelvrag<strong>en</strong> 1, 2 <strong>en</strong> 3 zijn<br />
verk<strong>en</strong>n<strong>en</strong>d van aard omd<strong>at</strong> er nog nauwelijks wet<strong>en</strong>schappelijke liter<strong>at</strong>uur<br />
beschikbaar is over dit specifieke onderwerp. De deelvrag<strong>en</strong> zijn algeme<strong>en</strong>, maar<br />
de antwoord<strong>en</strong> erop zijn specifiek voor de geïnterviewde organis<strong>at</strong>ies. Deelvraag<br />
2 is daarnaast ook nog evaluer<strong>en</strong>d van aard. Er wordt immers gekek<strong>en</strong> naar het<br />
gevolg van het toegepaste security-beleid <strong>en</strong> de geïmplem<strong>en</strong>teerde securityma<strong>at</strong>regel<strong>en</strong><br />
voor de <strong>privacy</strong> van werknemers in e<strong>en</strong> <strong>BYOD</strong>-omgeving.<br />
2.4 Aanpak van het onderzoek<br />
De structuur van het onderzoek wordt zichtbaar in onderstaand figuur.<br />
Voorlopige<br />
probleemstelling<br />
Liter<strong>at</strong>uurstudie<br />
(H4)<br />
<strong>BYOD</strong> <strong>Security</strong><br />
Definitieve<br />
Probleemstelling<br />
(H2)<br />
Methode van Onderzoek<br />
(H3)<br />
Reflectie<br />
(H7)<br />
Empirisch onderzoek<br />
(H5)<br />
Interviews<br />
(Bijlage 5)<br />
Analyse<br />
(H5)<br />
Figuur 1: Conceptueel model<br />
Conclusies <strong>en</strong><br />
aanbeveling<strong>en</strong><br />
(H6)<br />
Initieel is e<strong>en</strong> voorlopige probleemstelling gedefinieerd. Deze komt inhoudelijk<br />
verder niet aan bod binn<strong>en</strong> deze afstudeerscriptie, maar zal zo nu <strong>en</strong> dan nog<br />
wel g<strong>en</strong>oemd word<strong>en</strong>. Op basis van de voorlopige probleemstelling is e<strong>en</strong><br />
uitgebreide liter<strong>at</strong>uurstudie naar <strong>BYOD</strong>-security gestart. Dit resulteerde in de<br />
k<strong>en</strong>nis d<strong>at</strong> er nog ge<strong>en</strong> bruikbare <strong>en</strong> relevante wet<strong>en</strong>schappelijke public<strong>at</strong>ies<br />
bestond<strong>en</strong> over (de effect<strong>en</strong> van) <strong>BYOD</strong>-security, maar wel over g<strong>en</strong>erieke<br />
inform<strong>at</strong>iebeveiliging van mobiele appar<strong>at</strong><strong>en</strong>. Toch hanter<strong>en</strong> organis<strong>at</strong>ies (of<br />
gaan d<strong>at</strong> op korte termijn do<strong>en</strong>) e<strong>en</strong> <strong>BYOD</strong> security-beleid <strong>en</strong> daaruit<br />
voortvloei<strong>en</strong>de security-ma<strong>at</strong>regel<strong>en</strong>, terwijl wet<strong>en</strong>schappelijke k<strong>en</strong>nis daarover<br />
ontbreekt.<br />
Pagina | 10
Daarom is beslot<strong>en</strong> om de probleemstelling aanzi<strong>en</strong>lijk <strong>bij</strong> te stell<strong>en</strong> <strong>en</strong> drie<br />
deelvrag<strong>en</strong> te formuler<strong>en</strong>. Deze drie deelvrag<strong>en</strong> zijn ondersteun<strong>en</strong>d aan de<br />
hoofdvraag. Deelvraag 1 heeft als doel om antwoord te gev<strong>en</strong> op de vraag hoe<br />
de <strong>BYOD</strong>-security, zowel het beleid als de ma<strong>at</strong>regel<strong>en</strong>, tot stand is gekom<strong>en</strong> <strong>en</strong><br />
w<strong>at</strong> de inhoud ervan is. Vervolg<strong>en</strong>s is onderzocht welke <strong>privacy</strong>problem<strong>en</strong> <strong>bij</strong><br />
werknemers ontstaan door de gekoz<strong>en</strong> <strong>BYOD</strong>-security (deelvraag 2). Hierna is<br />
onderzocht welke ma<strong>at</strong>regel<strong>en</strong> organis<strong>at</strong>ies hebb<strong>en</strong> g<strong>en</strong>om<strong>en</strong> om inbreuk op de<br />
<strong>privacy</strong> van de medewerkers te voorkom<strong>en</strong> (deelvraag 3).<br />
Vervolg<strong>en</strong>s is gezocht naar e<strong>en</strong> pass<strong>en</strong>de methode voor het empirisch<br />
onderzoek. Tijd<strong>en</strong>s dit empirisch onderzoek zijn <strong>BYOD</strong> experts <strong>bij</strong> 5 organis<strong>at</strong>ies<br />
onderworp<strong>en</strong> aan e<strong>en</strong> uitgebreid interview. De result<strong>at</strong><strong>en</strong> van deze interviews<br />
zijn vervolg<strong>en</strong>s geanalyseerd <strong>en</strong> verwerkt tot antwoord<strong>en</strong> m.b.t. de drie<br />
deelvrag<strong>en</strong>. Hierna zijn conclusies getrokk<strong>en</strong> voor de deelvrag<strong>en</strong> <strong>en</strong> uiteindelijk<br />
de hoofdvraag. Het onderzoek sluit af met aanbeveling<strong>en</strong> voor organis<strong>at</strong>ies die<br />
<strong>BYOD</strong> overweg<strong>en</strong> <strong>en</strong> aanbeveling<strong>en</strong> voor wet<strong>en</strong>schappelijk vervolgonderzoek.<br />
Pagina | 11
3. Methode van onderzoek<br />
In dit hoofdstuk wordt de aanpak van de liter<strong>at</strong>uurstudie <strong>en</strong> het empirisch<br />
onderzoek beschrev<strong>en</strong>. Eerst wordt uitgelegd hoe de liter<strong>at</strong>uurstudie is<br />
uitgevoerd, welke beslissing<strong>en</strong> zijn g<strong>en</strong>om<strong>en</strong> <strong>en</strong> de motiv<strong>at</strong>ie daarachter. Daarna<br />
wordt beschrev<strong>en</strong> uit welke stapp<strong>en</strong> het empirisch onderzoek bestond <strong>en</strong> waarom<br />
deze stapp<strong>en</strong> zijn g<strong>en</strong>om<strong>en</strong>.<br />
3.1 Liter<strong>at</strong>uurstudie<br />
In deze paragraaf wordt toegelicht hoe de liter<strong>at</strong>uurstudie heeft pla<strong>at</strong>sgevond<strong>en</strong>.<br />
Allereerst wordt het specifieke doel toegelicht. Hierna wordt e<strong>en</strong> eerste korte<br />
verk<strong>en</strong>ning beschrev<strong>en</strong> ev<strong>en</strong>als de gehanteerde zoekstr<strong>at</strong>egie, geraadpleegde<br />
bronn<strong>en</strong> <strong>en</strong> gebruikte term<strong>en</strong>. Vervolg<strong>en</strong>s wordt in deze paragraaf beschrev<strong>en</strong><br />
aan welke eis<strong>en</strong> de bronn<strong>en</strong> moest<strong>en</strong> voldo<strong>en</strong>, hoe de result<strong>at</strong><strong>en</strong> van gevond<strong>en</strong><br />
liter<strong>at</strong>uur gerapporteerd zijn <strong>en</strong> hoe dit tot conclusies heeft geleid.<br />
3.1.1 Doel liter<strong>at</strong>uurstudie<br />
Het doel van de liter<strong>at</strong>uurstudie was om aansluiting te vind<strong>en</strong> <strong>bij</strong> de inzicht<strong>en</strong><br />
(theoretische vraagstelling<strong>en</strong>) van andere onderzoekers <strong>en</strong> om tot e<strong>en</strong> sterkere<br />
<strong>en</strong> betere onderzoeksfocus te kom<strong>en</strong>. Met de liter<strong>at</strong>uurstudie is de huidige stand<br />
van zak<strong>en</strong> rondom <strong>BYOD</strong>-security in kaart gebracht. Op basis hiervan kon<br />
word<strong>en</strong> beslot<strong>en</strong> of dit onderzoek zich kon toespits<strong>en</strong> op tekort<strong>en</strong> uit eerder<br />
uitgevoerd onderzoek of juist nieuw terrein moest word<strong>en</strong> ontdekt. Bov<strong>en</strong>di<strong>en</strong><br />
was het doel om te onderzoek<strong>en</strong> of de voorlopige probleemstelling, op basis van<br />
beschikbare relevante <strong>en</strong> wet<strong>en</strong>schappelijke liter<strong>at</strong>uur, ingevuld kon word<strong>en</strong>.<br />
3.1.2 Eerste verk<strong>en</strong>ning<br />
Voorafgaand aan de daadwerkelijke zoektocht naar geschikte liter<strong>at</strong>uur, is e<strong>en</strong><br />
eerste (korte) verk<strong>en</strong>ning uitgevoerd. Hier<strong>bij</strong> is gezocht naar mogelijke<br />
definitie(s) <strong>en</strong> overzichtsartikel<strong>en</strong> om e<strong>en</strong> beeld te krijg<strong>en</strong> <strong>bij</strong> de ideeën <strong>en</strong><br />
d<strong>en</strong>kwijz<strong>en</strong> m.b.t. <strong>BYOD</strong> in het algeme<strong>en</strong> <strong>en</strong> beveiligingsproblem<strong>en</strong> <strong>bij</strong> het <strong>BYOD</strong>concept<br />
in het <strong>bij</strong>zonder. Tev<strong>en</strong>s is gezocht naar artikel<strong>en</strong> waarin de effect<strong>en</strong> op<br />
de inform<strong>at</strong>iebeveiliging staan beschrev<strong>en</strong>. Met behulp van de digitale bibliotheek<br />
van de Op<strong>en</strong> <strong>Universiteit</strong> is gezocht op de term<strong>en</strong>:<br />
1. <strong>BYOD</strong> definition<br />
2. <strong>BYOD</strong> overview<br />
3. <strong>BYOD</strong> security<br />
4. <strong>BYOD</strong><br />
5. Bring Your Own Device<br />
Om deze initiële verk<strong>en</strong>ning qua tijd beheersbaar te mak<strong>en</strong>, is gekoz<strong>en</strong> om<br />
bov<strong>en</strong>staande 5 zoekterm<strong>en</strong> eerst <strong>bij</strong> e<strong>en</strong> beperkt aantal bek<strong>en</strong>de zoekmachines<br />
in te voer<strong>en</strong>. De zoekmachines die voor deze eerste verk<strong>en</strong>ning zijn gebruikt:<br />
1. Academic Search Elite<br />
2. ACM Digital Library<br />
3. IEEE Digital Library<br />
4. Google Scholar<br />
5. Sci<strong>en</strong>ceDirect (Elsevier)<br />
Pagina | 12
In onderstaande tabel is het resulta<strong>at</strong> van deze korte verk<strong>en</strong>ning te zi<strong>en</strong>.<br />
Op basis van deze eerste korte verk<strong>en</strong>ning naar beschikbare liter<strong>at</strong>uur kon<br />
word<strong>en</strong> geconcludeerd d<strong>at</strong> <strong>en</strong>ige vakliter<strong>at</strong>uur m.b.t. het <strong>BYOD</strong>-concept <strong>en</strong><br />
<strong>bij</strong>behor<strong>en</strong>de beveiligingsimplic<strong>at</strong>ies aanwezig is (zie Hoofdstuk 8). Deze<br />
vakliter<strong>at</strong>uur is dan ook gebruikt om de actuele stand van zak<strong>en</strong> over dit<br />
onderwerp te peil<strong>en</strong>. Er is tijd<strong>en</strong>s deze eerste, korte verk<strong>en</strong>ning echter ge<strong>en</strong><br />
<strong>en</strong>kele wet<strong>en</strong>schappelijke public<strong>at</strong>ie gevond<strong>en</strong> over <strong>BYOD</strong>-security.<br />
3.1.3 Zoekstr<strong>at</strong>egie<br />
Omd<strong>at</strong> de eerste, korte verk<strong>en</strong>ning ge<strong>en</strong> relevante <strong>en</strong> bruikbare<br />
wet<strong>en</strong>schappelijke public<strong>at</strong>ies had opgeleverd, is vervolg<strong>en</strong>s e<strong>en</strong> uitgebreide<br />
zoektocht gestart. Dit is gedaan door breder te zoek<strong>en</strong> dan specifiek <strong>en</strong> alle<strong>en</strong> op<br />
<strong>BYOD</strong>-security, maar ook op achterligg<strong>en</strong>de onderwerp<strong>en</strong> m.b.t. g<strong>en</strong>erieke<br />
security (van mobiele appar<strong>at</strong><strong>en</strong>). Bov<strong>en</strong>di<strong>en</strong> zijn meer bronn<strong>en</strong> <strong>en</strong> zoekterm<strong>en</strong><br />
gebruikt. De verwachting was d<strong>at</strong> door uitgebreider <strong>en</strong> breder te zoek<strong>en</strong> wellicht<br />
toch relevante <strong>en</strong> wet<strong>en</strong>schappelijke public<strong>at</strong>ies gevond<strong>en</strong> kond<strong>en</strong> word<strong>en</strong>.<br />
Gevond<strong>en</strong> public<strong>at</strong>ies werd<strong>en</strong> pas als relevant bestempeld<br />
wanneer ze e<strong>en</strong> inhoudelijk aanknopingspunt met het<br />
onderwerp hadd<strong>en</strong> én niet ouder war<strong>en</strong> dan 2006, gezi<strong>en</strong> de<br />
actuele aard van dit afstudeeronderwerp. Door het actuele<br />
karakter van dit afstudeeronderzoek is ook gezocht naar<br />
liter<strong>at</strong>uur <strong>bij</strong> ger<strong>en</strong>ommeerde, betrouwbare, wet<strong>en</strong>schappelijk<br />
georiënteerde technologie tr<strong>en</strong>dw<strong>at</strong>ching institut<strong>en</strong> 1 .<br />
In tabel 2 is te zi<strong>en</strong> d<strong>at</strong> hoe rec<strong>en</strong>ter e<strong>en</strong> gevond<strong>en</strong> public<strong>at</strong>ie Tabel 2: Relevante<br />
was, des groter de kans d<strong>at</strong> de public<strong>at</strong>ie mogelijk bruikbaar <strong>en</strong> public<strong>at</strong>ies per jaar<br />
relevant kon zijn voor dit onderzoek. Dit is te verklar<strong>en</strong> doord<strong>at</strong> het concept<br />
achter <strong>BYOD</strong> erg actueel is. Bov<strong>en</strong>di<strong>en</strong> is de term zelf rel<strong>at</strong>ief jong. Omd<strong>at</strong> de<br />
liter<strong>at</strong>uurstudie eind 2011/begin 2012 is uitgevoerd, was er slechts e<strong>en</strong> beperkte<br />
1 O.a. Forrester, Gartner <strong>en</strong> IDC<br />
Tabel 1: Resulta<strong>at</strong> korte verk<strong>en</strong>ning<br />
Pagina | 13
toegang tot public<strong>at</strong>ies uit 2011. Hierdoor is de waarde van 2011 in de tabel iets<br />
lager dan die van 2010.<br />
De gevond<strong>en</strong> public<strong>at</strong>ies zijn verwerkt <strong>en</strong> g<strong>en</strong>ummerd m.b.v. Microsoft Excel <strong>en</strong><br />
EndNote X4. Daarna zijn de gevond<strong>en</strong> relevante <strong>en</strong> wet<strong>en</strong>schappelijke public<strong>at</strong>ies<br />
gerangschikt op relevantie. Elk artikel kreeg e<strong>en</strong> score voor de relevantie van 1,0<br />
t/m 3,0, overe<strong>en</strong>kom<strong>en</strong>d met de labels Weinig/Redelijk/Zeer relevant. Bij het<br />
bepal<strong>en</strong> van de relevantie zijn <strong>bij</strong> elke public<strong>at</strong>ie zowel de sam<strong>en</strong>v<strong>at</strong>ting als de<br />
conclusie nauwlett<strong>en</strong>d gelez<strong>en</strong> <strong>en</strong> geanalyseerd.<br />
Vervolg<strong>en</strong>s zijn de public<strong>at</strong>ies die als “zeer relevant” werd<strong>en</strong> gelabeld, volledig <strong>en</strong><br />
goed gelez<strong>en</strong> om te beoordel<strong>en</strong> in hoeverre er aansluiting met de (voorlopige)<br />
probleemstelling was. Public<strong>at</strong>ies die als “redelijk relevant” werd<strong>en</strong> bestempeld,<br />
zijn van begin tot einde gescand op bruikbare del<strong>en</strong>. Weinig relevante public<strong>at</strong>ies<br />
zijn niet verder gelez<strong>en</strong>.<br />
Bij het doornem<strong>en</strong> van de relevante public<strong>at</strong>ies is in sommige gevall<strong>en</strong> weer<br />
aanvull<strong>en</strong>d m<strong>at</strong>eriaal gevond<strong>en</strong> via de refer<strong>en</strong>ties. Het label m.b.t. de relevantie<br />
kon na het lez<strong>en</strong> van e<strong>en</strong> public<strong>at</strong>ie ev<strong>en</strong>tueel nog verander<strong>en</strong>, <strong>bij</strong>voorbeeld<br />
wanneer e<strong>en</strong> public<strong>at</strong>ie na verdere bestudering toch meer/minder relevant bleek<br />
dan initieel werd aang<strong>en</strong>om<strong>en</strong>.<br />
Om vanuit de bestaande liter<strong>at</strong>uur nog meer <strong>en</strong> beter invulling te kunn<strong>en</strong> gev<strong>en</strong><br />
aan de specifieke vraagstelling<strong>en</strong> m.b.t. <strong>BYOD</strong>-security, zijn twee zijpad<strong>en</strong><br />
gekoz<strong>en</strong>:<br />
E<strong>en</strong> aantal onderzoeksdocum<strong>en</strong>t<strong>en</strong> van ger<strong>en</strong>ommeerde (non-commerciële)<br />
institut<strong>en</strong> <strong>en</strong> organis<strong>at</strong>ies, die tr<strong>en</strong>ds <strong>en</strong> actuele ontwikkeling<strong>en</strong> volg<strong>en</strong>, is<br />
gebruikt.<br />
De focus is (tijdelijk) verlegd van specifieke beveiligingsvraagstukk<strong>en</strong><br />
behor<strong>en</strong>de <strong>bij</strong> het <strong>BYOD</strong>-concept naar g<strong>en</strong>erieke inform<strong>at</strong>iebeveiliging (van<br />
mobiele appar<strong>at</strong><strong>en</strong>).<br />
3.1.4 Geraadpleegde bronn<strong>en</strong><br />
Voor de liter<strong>at</strong>uurstudie zijn de volg<strong>en</strong>de bronn<strong>en</strong> gebruikt om naar relevante,<br />
wet<strong>en</strong>schappelijke <strong>en</strong> bruikbare public<strong>at</strong>ies te zoek<strong>en</strong>:<br />
ACM Digital Library<br />
Google Scholar<br />
Sci<strong>en</strong>ceDirect (Elsevier)<br />
Emerald<br />
Jstor<br />
Wiley<br />
OU (studi<strong>en</strong>et)<br />
Academic Search Elite<br />
IEEE Digital Library<br />
Springerlink<br />
Pagina | 14
3.1.5 Zoekterm<strong>en</strong><br />
De volg<strong>en</strong>de zoekterm<strong>en</strong> zijn gebruikt om vanuit de liter<strong>at</strong>uur antwoord te<br />
kunn<strong>en</strong> gev<strong>en</strong> op de voorlopige probleemstelling:<br />
Inform<strong>at</strong>iebeveiliging, Inform<strong>at</strong>ion security<br />
BYOC, Bring Your Own Computer, BYOPC, Bring Your Own PC<br />
<strong>BYOD</strong>, Bring Your Own Device<br />
Survey security mobile devices<br />
Survey BYOC/<strong>BYOD</strong><br />
ISO/IEC 27001/27002/27003/27004/27005/27006<br />
ISO/IEC 17799, BS ISO/IEC 17799:2005<br />
Mobile device(s), mobiele appar<strong>at</strong><strong>en</strong><br />
Malware, virus, mobile virus/malware<br />
Corpor<strong>at</strong>e security policy<br />
Mobile device security/risks/policy/managem<strong>en</strong>t/awar<strong>en</strong>ess/thre<strong>at</strong>(s)<br />
Risicomanagem<strong>en</strong>t, Riskmanagem<strong>en</strong>t<br />
Consumeriz<strong>at</strong>ion (of IT)<br />
Veiligheidsrisico’s<br />
Bruce Schneider<br />
Beveiligingsstr<strong>at</strong>egie, security str<strong>at</strong>egy<br />
Smartphone security, tablet security<br />
Beschikbaarheid, Integriteit <strong>en</strong> Vertrouwelijkheid (BIV)<br />
Technologie, Organis<strong>at</strong>ie <strong>en</strong> Process<strong>en</strong><br />
Smartphones, Tablets<br />
Notebooks/Laptops<br />
<strong>Security</strong> awar<strong>en</strong>ess/culture<br />
Inside thre<strong>at</strong><br />
Notebook security (policy)<br />
Mobile malware<br />
Hackers<br />
(Risks of) social networks<br />
Beveiliging, veiligheid<br />
Risk of Social Networks<br />
Risk of mobile devices<br />
Mitig<strong>at</strong>e security risk<br />
Effect(s) of security policy<br />
Intrusion Detection System<br />
(Mobile) Malware tr<strong>en</strong>ds/tactics/implic<strong>at</strong>ions<br />
Bov<strong>en</strong>staande zoekterm<strong>en</strong> zijn op alle bronn<strong>en</strong> uit de vorige paragraaf<br />
geprobeerd. Er zijn tev<strong>en</strong>s combin<strong>at</strong>ies van verschill<strong>en</strong>de zoekterm<strong>en</strong> gebruikt<br />
om te onderzoek<strong>en</strong> of dit meer, of betere result<strong>at</strong><strong>en</strong> oplevert. Bov<strong>en</strong>di<strong>en</strong> is zowel<br />
op Nederlandse term<strong>en</strong> als Engelstalige gezocht.<br />
3.1.6 Wet<strong>en</strong>schappelijke validiteit<br />
Om te bepal<strong>en</strong> of e<strong>en</strong> bron (public<strong>at</strong>ie) als wet<strong>en</strong>schappelijk <strong>en</strong> geschikt<br />
bestempeld mocht word<strong>en</strong>, is gelet op de volg<strong>en</strong>de eig<strong>en</strong>schapp<strong>en</strong>:<br />
De public<strong>at</strong>ie moet voor iedere<strong>en</strong> te raadpleg<strong>en</strong> zijn (in het kader van<br />
betrouwbaarheid <strong>en</strong> herhaalbaarheid).<br />
De public<strong>at</strong>ie mag ge<strong>en</strong> commerciële insteek hebb<strong>en</strong>.<br />
Pagina | 15
Het onderzoek d<strong>at</strong> t<strong>en</strong> grondslag ligt aan de public<strong>at</strong>ie di<strong>en</strong>t objectief <strong>en</strong><br />
wet<strong>en</strong>schappelijk verantwoord te zijn.<br />
De public<strong>at</strong>ie is peer-reviewed, experts in het vakgebied hebb<strong>en</strong> het<br />
gelez<strong>en</strong> <strong>en</strong> akkoord bevond<strong>en</strong>.<br />
De public<strong>at</strong>ie is transparant, volledig <strong>en</strong> duidelijk over de gebruikte<br />
bronn<strong>en</strong>.<br />
3.1.7 Result<strong>at</strong><strong>en</strong> <strong>en</strong> conclusies<br />
De gevond<strong>en</strong> public<strong>at</strong>ies zijn geanalyseerd <strong>en</strong> er is onderzocht met welke<br />
deelvrag<strong>en</strong> uit de voorlopige probleemstelling de public<strong>at</strong>ies aanknopingspunt<strong>en</strong><br />
bied<strong>en</strong>. Relevante, wet<strong>en</strong>schappelijk liter<strong>at</strong>uur over specifiek <strong>BYOD</strong>-security<br />
bleek niet beschikbaar, wel g<strong>en</strong>erieke public<strong>at</strong>ies over achterligg<strong>en</strong>de (security)<br />
concept<strong>en</strong> <strong>en</strong> onderwerp<strong>en</strong>.<br />
Er bleek uit de liter<strong>at</strong>uurstudie overduidelijk d<strong>at</strong> er sprake was van e<strong>en</strong><br />
k<strong>en</strong>nistekort tuss<strong>en</strong> de praktijk (organis<strong>at</strong>ies die <strong>BYOD</strong> implem<strong>en</strong>ter<strong>en</strong>) <strong>en</strong> de<br />
theorie in de vorm van wet<strong>en</strong>schappelijke <strong>BYOD</strong>-security gerel<strong>at</strong>eerde<br />
public<strong>at</strong>ies. Blijkbaar was het <strong>BYOD</strong>-concept dusdanig actueel d<strong>at</strong> relevante,<br />
wet<strong>en</strong>schappelijke liter<strong>at</strong>uur nog niet voorradig was. De voorlopige deelvrag<strong>en</strong><br />
kond<strong>en</strong> daardoor niet beantwoord kond<strong>en</strong> word<strong>en</strong> <strong>en</strong> er is beslot<strong>en</strong> om de<br />
voorlopige probleemstelling <strong>bij</strong> te stell<strong>en</strong>.<br />
Dit betek<strong>en</strong>de overig<strong>en</strong>s niet d<strong>at</strong> er totaal ge<strong>en</strong> public<strong>at</strong>ies m.b.t. <strong>BYOD</strong>-security<br />
aangetroff<strong>en</strong> zijn, integ<strong>en</strong>deel zelfs. Ze war<strong>en</strong> alle<strong>en</strong> niet wet<strong>en</strong>schappelijk van<br />
aard. Tijd<strong>en</strong>s de liter<strong>at</strong>uurstudie is veel vakliter<strong>at</strong>uur gevond<strong>en</strong> over het <strong>BYOD</strong>concept<br />
<strong>en</strong> de inher<strong>en</strong>te beveiligingsuitdaging. Deze niet-wet<strong>en</strong>schappelijke<br />
vakliter<strong>at</strong>uur (zie hoofdstuk 8) is gebruikt om de actuele stand van zak<strong>en</strong> in<br />
kaart te br<strong>en</strong>g<strong>en</strong>, maar niet om naar te referer<strong>en</strong>.<br />
De voor dit onderzoek gebruikte wet<strong>en</strong>schappelijke public<strong>at</strong>ies m.b.t.<br />
overe<strong>en</strong>komstige, achterligg<strong>en</strong>de concept<strong>en</strong> <strong>en</strong> onderwerp<strong>en</strong> zijn g<strong>en</strong>eriek van<br />
aard <strong>en</strong> niet specifiek toegespitst op de beveiliging m.b.t. het <strong>BYOD</strong>-concept.<br />
Hierdoor kond<strong>en</strong> deze public<strong>at</strong>ies als startpunt (basis) voor dit<br />
afstudeeronderzoek di<strong>en</strong>st do<strong>en</strong>. In hoofdstuk 4 word<strong>en</strong> de belangrijkste <strong>en</strong><br />
meest relevant result<strong>at</strong><strong>en</strong> b<strong>en</strong>oemd. Zie <strong>bij</strong>lage 1 voor e<strong>en</strong> totaaloverzicht van<br />
alle 42 geselecteerde <strong>en</strong> relevante wet<strong>en</strong>schappelijke public<strong>at</strong>ies, inclusief eig<strong>en</strong><br />
sam<strong>en</strong>v<strong>at</strong>ting.<br />
Doord<strong>at</strong> uit het liter<strong>at</strong>uuronderzoek bleek d<strong>at</strong> wet<strong>en</strong>schappelijke public<strong>at</strong>ies over<br />
<strong>BYOD</strong>-security nog niet beschikbaar war<strong>en</strong>, is beslot<strong>en</strong> om het onderzoek<br />
verk<strong>en</strong>n<strong>en</strong>d <strong>en</strong> inductief van aard te mak<strong>en</strong>. Het doel van het empirisch<br />
onderzoek werd om het wet<strong>en</strong>schappelijke k<strong>en</strong>nistekort m.b.t. <strong>BYOD</strong>-security<br />
kleiner te mak<strong>en</strong>.<br />
3.2 Empirisch onderzoek<br />
In deze paragraaf wordt allereerst de gekoz<strong>en</strong> onderzoeksstr<strong>at</strong>egie beschrev<strong>en</strong><br />
<strong>en</strong> beargum<strong>en</strong>teerd. Ook de keuze voor de manier waarop gegev<strong>en</strong>s zijn<br />
verzameld, wordt toegelicht. Vervolg<strong>en</strong>s wordt de voorbereiding op het empirisch<br />
onderzoek <strong>en</strong> uitwerking van de onderzoeksstr<strong>at</strong>egie beschrev<strong>en</strong>. Hierna wordt<br />
toegelicht hoe de analyse van de verzamelde gegev<strong>en</strong>s is verlop<strong>en</strong>. Daarna<br />
Pagina | 16
kom<strong>en</strong> ethische kwesties <strong>en</strong> de toegang tot gegev<strong>en</strong>s aan bod. Als la<strong>at</strong>ste wordt<br />
de validiteit <strong>en</strong> betrouwbaarheid van de onderzoeksgegev<strong>en</strong>s belicht.<br />
3.2.1 Onderzoeksstr<strong>at</strong>egie<br />
Er is e<strong>en</strong> kwalit<strong>at</strong>ief onderzoek uitgevoerd, waarmee primaire gegev<strong>en</strong>s zijn<br />
verzameld. Dit onderzoek was immers gericht op het verkrijg<strong>en</strong> van inform<strong>at</strong>ie<br />
over w<strong>at</strong> er leeft onder e<strong>en</strong> bepaalde doelgroep, <strong>en</strong> waarom. Van alle<br />
onderzoeksstr<strong>at</strong>egieën die beschikbaar war<strong>en</strong>, is gekoz<strong>en</strong> voor de<br />
<strong>en</strong>quêtestr<strong>at</strong>egie. Deze str<strong>at</strong>egie past het best omd<strong>at</strong> er o.a. door middel van<br />
e<strong>en</strong> aantal semigestructureerde interviews gegev<strong>en</strong>s verzameld word<strong>en</strong>, waar<strong>bij</strong><br />
alle geïnterviewd<strong>en</strong> gestandaardiseerde vrag<strong>en</strong> krijg<strong>en</strong>.<br />
Er is specifiek voor semigestructureerde interviews gekoz<strong>en</strong> omd<strong>at</strong> het voor e<strong>en</strong><br />
belangrijk deel om e<strong>en</strong> verk<strong>en</strong>n<strong>en</strong>d onderzoek ga<strong>at</strong> <strong>en</strong> op die wijze dieper kan<br />
word<strong>en</strong> ingegaan op e<strong>en</strong> gegev<strong>en</strong> antwoord, wanneer noodzakelijk. Er is<br />
bov<strong>en</strong>di<strong>en</strong> gekoz<strong>en</strong> voor deze vorm van interview<strong>en</strong> zod<strong>at</strong> de grote lijn<strong>en</strong><br />
(onderwerp<strong>en</strong>) voor het interview zijn vastgesteld, maar in het gesprek nog<br />
ruimte <strong>en</strong> vrijheid is voor de geïnterviewde om d<strong>at</strong>g<strong>en</strong>e in te br<strong>en</strong>g<strong>en</strong> w<strong>at</strong> hij/zij<br />
relevant vindt binn<strong>en</strong> de kaders van de vooraf vastgestelde onderwerp<strong>en</strong>. Het<br />
gebruik van semigestructureerde interviews bood de flexibiliteit om de<br />
complexiteit van het onderwerp te onderzoek<strong>en</strong>. Tijd<strong>en</strong>s de interviews is dan ook<br />
e<strong>en</strong> aantal keer doorgevraagd om extra inform<strong>at</strong>ie, of interessante feit<strong>en</strong>, bov<strong>en</strong><br />
tafel te krijg<strong>en</strong>. De vraagstelling <strong>en</strong> methodiek zijn tijd<strong>en</strong>s de looptijd van het<br />
empirisch onderzoek niet <strong>bij</strong>gesteld a.d.h.v. al behaalde result<strong>at</strong><strong>en</strong><br />
Omd<strong>at</strong> uit de liter<strong>at</strong>uurstudie bleek d<strong>at</strong> er e<strong>en</strong> k<strong>en</strong>nistekort was m.b.t. <strong>BYOD</strong>security,<br />
kon de theorie niet met behulp van deductie aan de empirie word<strong>en</strong><br />
gevalideerd. Dit onderzoek is daarom dan ook verk<strong>en</strong>n<strong>en</strong>d <strong>en</strong> inductief van aard.<br />
De result<strong>at</strong><strong>en</strong> van dit afstudeeronderzoek lever<strong>en</strong> ge<strong>en</strong> logisch onontkoombare<br />
conclusies op, maar conclusies die aannemelijk zijn <strong>en</strong> e<strong>en</strong> zekere<br />
waarschijnlijkheid hebb<strong>en</strong>. Uit e<strong>en</strong> beperkte verzameling specifieke gevall<strong>en</strong>,<br />
namelijk de vijf geïnterviewde organis<strong>at</strong>ies, word<strong>en</strong> algem<strong>en</strong>e conclusies <strong>en</strong><br />
aanbeveling<strong>en</strong> afgeleid. De conclusies <strong>en</strong> aanbeveling<strong>en</strong> hebb<strong>en</strong> ook betrekking<br />
op organis<strong>at</strong>ies die niet zijn onderzocht tijd<strong>en</strong>s dit afstudeertraject.<br />
3.2.2 Voorbereiding <strong>en</strong> uitwerking<br />
Bereidwillige <strong>en</strong> geschikte organis<strong>at</strong>ies <strong>en</strong> person<strong>en</strong> zijn gevond<strong>en</strong> via het<br />
zakelijke <strong>en</strong> privé netwerk van de onderzoeker. Bov<strong>en</strong>di<strong>en</strong> is gebruik gemaakt<br />
van sociale netwerk<strong>en</strong> als LinkedIn <strong>en</strong> Twitter <strong>bij</strong> de zoektocht naar geschikte<br />
organis<strong>at</strong>ies. E<strong>en</strong> organis<strong>at</strong>ie <strong>en</strong> persoon kwam<strong>en</strong> pas in aanmerking voor het<br />
interview wanneer ze volded<strong>en</strong> aan de volg<strong>en</strong>de twee criteria:<br />
1. De te interview<strong>en</strong> contactpersoon moet werkzaam zijn <strong>bij</strong> e<strong>en</strong> organis<strong>at</strong>ie<br />
die <strong>BYOD</strong> nu al toesta<strong>at</strong> of zich daar al uitgebreid op georiënteerd heeft.<br />
2. De te interview<strong>en</strong> contactpersoon heeft daadwerkelijke k<strong>en</strong>nis van zowel<br />
<strong>BYOD</strong> als inform<strong>at</strong>iebeveiliging.<br />
Bov<strong>en</strong>di<strong>en</strong> was er e<strong>en</strong> minimale omvang van de organis<strong>at</strong>ie, gemet<strong>en</strong> in aantal<br />
werknemers, van toepassing. Er is <strong>bij</strong> de selectie van te onderzoek<strong>en</strong><br />
organis<strong>at</strong>ies gekoz<strong>en</strong> voor middelgrote (minimaal 200 werknemers) tot grote<br />
organis<strong>at</strong>ies. Hier war<strong>en</strong> drie argum<strong>en</strong>t<strong>en</strong> voor:<br />
Pagina | 17
1. Middelgrote tot grote organis<strong>at</strong>ies hebb<strong>en</strong> meer werknemers <strong>en</strong> dus zijn er<br />
meer mobiele appar<strong>at</strong><strong>en</strong>. Dit maakt de kans op <strong>privacy</strong> gerel<strong>at</strong>eerde<br />
incid<strong>en</strong>t<strong>en</strong> groter.<br />
2. Middelgrote tot grote organis<strong>at</strong>ies hebb<strong>en</strong> meer geld voor innov<strong>at</strong>ie <strong>en</strong> dus<br />
ook voor implem<strong>en</strong>t<strong>at</strong>ie van <strong>BYOD</strong>.<br />
3. Middelgrote tot grote organis<strong>at</strong>ies hebb<strong>en</strong> door de omvang meer belang <strong>bij</strong><br />
e<strong>en</strong> goed doordacht <strong>en</strong> organis<strong>at</strong>iebreed beleid d<strong>at</strong> op alle werknemers<br />
van toepassing is.<br />
Vanwege beperkte tijd is het empirisch onderzoek gelimiteerd tot vijf interviews.<br />
De gevolg<strong>en</strong> hiervan op de g<strong>en</strong>eraliseerbaarheid word<strong>en</strong> in hoofdstuk 7<br />
besprok<strong>en</strong>. Uiteindelijk zijn vijf organis<strong>at</strong>ies gevond<strong>en</strong> die volded<strong>en</strong> aan<br />
bov<strong>en</strong>staande eis<strong>en</strong> <strong>en</strong> mee wild<strong>en</strong> werk<strong>en</strong>. Zie onderstaande tabel voor e<strong>en</strong><br />
overzicht van b<strong>en</strong>aderde <strong>en</strong> geïnterviewde organis<strong>at</strong>ies. Bov<strong>en</strong>di<strong>en</strong> wordt in deze<br />
tabel gemotiveerd toegelicht waarom e<strong>en</strong> aantal organis<strong>at</strong>ies is afgevall<strong>en</strong> <strong>en</strong>/of<br />
ongeschikt bleek voor e<strong>en</strong> interview. In <strong>bij</strong>lage 2 zijn korte organis<strong>at</strong>ieprofiel<strong>en</strong><br />
te vind<strong>en</strong>.<br />
Organis<strong>at</strong>ie<br />
<strong>BYOD</strong><br />
toegestaan<br />
Geschikt<br />
contactpersoon<br />
Interview<br />
afg<strong>en</strong>om<strong>en</strong><br />
Tabel 3: Overzicht b<strong>en</strong>aderde organis<strong>at</strong>ies<br />
Toelichting<br />
1 Consum<strong>en</strong>t<strong>en</strong>bond √ √ √<br />
2 E<strong>en</strong> grote verzekeringsma<strong>at</strong>schappij √ √ √ W<strong>en</strong>ste anoniem te blijv<strong>en</strong> in afstudeeronderzoek.<br />
3 Microsoft Nederland X n.v.t. X<br />
Medewerkers word<strong>en</strong> voorzi<strong>en</strong> van Microsoft product<strong>en</strong>,<br />
eig<strong>en</strong> hardware niet toegestaan.<br />
4 Thales Groep X √ X<br />
<strong>BYOD</strong> was wel toegestaan, maar sinds kort vanuit<br />
security-optiek verbod<strong>en</strong>.<br />
5 KPN ? √ X<br />
Juiste persoon gevond<strong>en</strong>, maar hij gaf aan d<strong>at</strong> KPN niet<br />
wilde meewerk<strong>en</strong> aan het onderzoek.<br />
6 Google B<strong>en</strong>elux ? n.v.t. X<br />
Heeft aangegev<strong>en</strong> het beleid te hebb<strong>en</strong> om niet aan dit<br />
soort (afstudeer)onderzoek<strong>en</strong> mee te werk<strong>en</strong>.<br />
7 Rabobank √ √ √<br />
<strong>BYOD</strong> nog niet toegestaan, war<strong>en</strong> er wel <strong>en</strong>igszins mee<br />
8 BAM X n.v.t. X bezig. Blek<strong>en</strong> uiteindelijk niet ver g<strong>en</strong>oeg om mee te<br />
nem<strong>en</strong> in afstudeeronderzoek.<br />
9 Kaseya √ √ √<br />
10 Global Systems Integr<strong>at</strong>or √ √ √ W<strong>en</strong>ste anoniem te blijv<strong>en</strong> in afstudeeronderzoek.<br />
Nooit tot e<strong>en</strong> interview gekom<strong>en</strong> aangezi<strong>en</strong> er al 5<br />
11 Sogeti √ √ X contactperson<strong>en</strong> <strong>bij</strong> andere organis<strong>at</strong>ies war<strong>en</strong><br />
geinterviewd.<br />
Tijd<strong>en</strong>s e<strong>en</strong> eerste gesprek, via mail of telefoon, met e<strong>en</strong> contactpersoon binn<strong>en</strong><br />
de organis<strong>at</strong>ie is het onderzoek nader toegelicht. Er is gevraagd of de organis<strong>at</strong>ie<br />
<strong>BYOD</strong> al toesta<strong>at</strong> of serieus aan het overweg<strong>en</strong> is. Dit om te controler<strong>en</strong> of de<br />
organis<strong>at</strong>ie geschikt is voor dit onderzoek. Vervolg<strong>en</strong>s is gevraagd of de<br />
contactpersoon de juiste is, met de meeste str<strong>at</strong>egische <strong>en</strong> tactische k<strong>en</strong>nis van<br />
<strong>BYOD</strong> <strong>en</strong> security. Wanneer aan beide voorwaard<strong>en</strong> werd voldaan, is e<strong>en</strong><br />
afspraak gemaakt voor het daadwerkelijke interview. Omd<strong>at</strong> de deelvrag<strong>en</strong> zich<br />
op str<strong>at</strong>egisch (beleid) <strong>en</strong> tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau afspel<strong>en</strong>, was het<br />
wellicht noodzakelijk om per organis<strong>at</strong>ie twee person<strong>en</strong> te interview<strong>en</strong>. In de<br />
praktijk bleek dit niet nodig <strong>en</strong> blek<strong>en</strong> de geïnterviewde contactperson<strong>en</strong> op<br />
beide niveaus de juiste te zijn.<br />
E<strong>en</strong> week voor het interview ontving<strong>en</strong> de geïnterviewd<strong>en</strong> e<strong>en</strong> briefing (zie<br />
<strong>bij</strong>lage 6) met de beschrijving van het afstudeeronderzoek, de probleemstelling<br />
<strong>en</strong> de interviewopzet. Het doel hiervan was om de geïnterviewde in sta<strong>at</strong> te<br />
stell<strong>en</strong> alvast inform<strong>at</strong>ie te verzamel<strong>en</strong> over de <strong>BYOD</strong>-security, mogelijke<br />
<strong>privacy</strong>problem<strong>en</strong> <strong>en</strong> <strong>privacy</strong>-inbreuk voorkom<strong>en</strong>de ma<strong>at</strong>regel<strong>en</strong>. In de briefing<br />
Pagina | 18
werd nogmaals gevraagd voor toestemming om het interview op te nem<strong>en</strong> <strong>en</strong><br />
om (beleids)docum<strong>en</strong>t<strong>at</strong>ie t<strong>en</strong> aanzi<strong>en</strong> van de <strong>BYOD</strong>-security ter beschikking te<br />
stell<strong>en</strong>. Indi<strong>en</strong> de geïnterviewd<strong>en</strong> hier ge<strong>en</strong> bezwaar teg<strong>en</strong> hadd<strong>en</strong>, werd<strong>en</strong> de<br />
interviews opg<strong>en</strong>om<strong>en</strong> door middel van e<strong>en</strong> voice recorder app op de iPhone <strong>en</strong><br />
iPad. Hierdoor kon de beantwoording in e<strong>en</strong> l<strong>at</strong>er stadium nog e<strong>en</strong> keer word<strong>en</strong><br />
beluisterd <strong>en</strong> kond<strong>en</strong> mogelijke belangrijke details beter naar vor<strong>en</strong> kom<strong>en</strong><br />
tijd<strong>en</strong>s de analyse.<br />
Bov<strong>en</strong>di<strong>en</strong> kon, door gebruik te mak<strong>en</strong> van e<strong>en</strong> digitale audio-opname,<br />
naderhand sneller naar bepaalde del<strong>en</strong> uit het interview word<strong>en</strong> gesprong<strong>en</strong>.<br />
Aan het begin van elk interview is de structuur steeds uitgelegd. Daarnaast is<br />
kort iets verteld over de achtergrond van de onderzoeker <strong>en</strong> het<br />
afstudeeronderzoek. Tev<strong>en</strong>s is gevraagd aan de geïnterviewd<strong>en</strong> of de briefing<br />
gelez<strong>en</strong> <strong>en</strong> begrep<strong>en</strong> is. Dit werd met behulp van VR-0 geverifieerd (zie tabel 4).<br />
Vraag nr: Vraag Antwoord op<br />
VR-0 Zijn er nog vrag<strong>en</strong>/onduidelijkhed<strong>en</strong> m.b.t. de toegezond<strong>en</strong> briefing? N.v.t.<br />
VR-1 Hoeveel werknemers telt uw organis<strong>at</strong>ie? Context<br />
VR-2 In welke sector opereert uw organis<strong>at</strong>ie? Context<br />
VR-3<br />
Hoe groot is de IT-organis<strong>at</strong>ie (aantal medewerkers, aantal servers,<br />
aantal te beher<strong>en</strong> applic<strong>at</strong>ies, etc)?<br />
Context<br />
VR-4<br />
Is <strong>BYOD</strong>-reeds geïmplem<strong>en</strong>teerd in uw organis<strong>at</strong>ie? Ja? Sinds wanneer?<br />
Nee, vanaf wanneer?<br />
Hoeveel medewerkers binn<strong>en</strong> uw organis<strong>at</strong>ie kom<strong>en</strong> in aanmerking voor<br />
Context<br />
VR-5<br />
<strong>BYOD</strong> of hoeveel mak<strong>en</strong> er daadwerkelijk gebruik van? Is er e<strong>en</strong><br />
bepaalde m<strong>at</strong>e van zelfredzaamheid waar medewerkers aan moet<strong>en</strong><br />
voldo<strong>en</strong> will<strong>en</strong> ze in aanmerking kunn<strong>en</strong> kom<strong>en</strong> voor <strong>BYOD</strong>?<br />
Context<br />
VR-6 W<strong>at</strong> is uw functie in de organis<strong>at</strong>ie? Context<br />
VR-7<br />
VR-8<br />
B<strong>en</strong>t u betrokk<strong>en</strong> geweest <strong>bij</strong> de totstandkoming van het <strong>BYOD</strong>-beleid,<br />
<strong>en</strong> w<strong>at</strong> was uw rol daarin?<br />
B<strong>en</strong>t u goed op de hoogte van de inhoud van de <strong>BYOD</strong>-security, op zowel<br />
str<strong>at</strong>egisch (beleid) als tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau?<br />
Tabel 4: Voorbereiding interviewvrag<strong>en</strong><br />
Context<br />
Context<br />
VR-9 W<strong>at</strong> was de belangrijkste motiv<strong>at</strong>ie om <strong>BYOD</strong>-te implem<strong>en</strong>ter<strong>en</strong>? Context<br />
Elk van de geïnterviewde organis<strong>at</strong>ies is verschill<strong>en</strong>d, ondanks d<strong>at</strong> sommig<strong>en</strong> in<br />
dezelfde sector zitt<strong>en</strong>. Er zijn vooraf ge<strong>en</strong> beperk<strong>en</strong>de criteria gesteld anders dan<br />
e<strong>en</strong> minimaal aantal werknemers van 200. De verschill<strong>en</strong> tuss<strong>en</strong> de<br />
organis<strong>at</strong>iesoort<strong>en</strong> hebb<strong>en</strong> wel invloed op de g<strong>en</strong>eraliseerbaarheid. Daarom is<br />
aan het begin van elk interview ruimte gemaakt om de context te bepal<strong>en</strong>. Zie<br />
tabel 4, VR-1 tot <strong>en</strong> met VR-9.<br />
Om vanuit de empirie tot beantwoording van de drie deelvrag<strong>en</strong> <strong>en</strong> uiteindelijk<br />
de hoofdvraag (zie hoofdstuk 2) te kom<strong>en</strong>, zijn ze geoper<strong>at</strong>ionaliseerd in de<br />
vorm van interviewvrag<strong>en</strong> VR-10 tot <strong>en</strong> met VR-46 (zie <strong>bij</strong>lage 3). Bij het<br />
vormgev<strong>en</strong> van deze interviewvrag<strong>en</strong> heeft d<strong>at</strong>g<strong>en</strong>e w<strong>at</strong> in de liter<strong>at</strong>uur is<br />
gevond<strong>en</strong> e<strong>en</strong> minimale rol gespeeld. Vooral w<strong>at</strong> expliciet niet is gevond<strong>en</strong> in de<br />
liter<strong>at</strong>uur heeft e<strong>en</strong> aanzi<strong>en</strong>lijk rol gespeeld <strong>en</strong> richting gegev<strong>en</strong> aan het<br />
bed<strong>en</strong>k<strong>en</strong> <strong>en</strong> formuler<strong>en</strong> van deze interviewvrag<strong>en</strong>.<br />
Uiteindelijk zijn er interviews afg<strong>en</strong>om<strong>en</strong> <strong>bij</strong> vijf organis<strong>at</strong>ies in de periode van<br />
oktober 2012 t/m januari 2013. Per interview is e<strong>en</strong> periode van 1,5 - 2 uur<br />
uitgetrokk<strong>en</strong> om alle 46 vrag<strong>en</strong> te behandel<strong>en</strong>. In onderstaande tabel word<strong>en</strong> de<br />
gegev<strong>en</strong>s van elk interview opgesomd. E<strong>en</strong> volledig verslag van elk interview is<br />
te vind<strong>en</strong> in <strong>bij</strong>lage 5.<br />
Pagina | 19
D<strong>at</strong>um Pla<strong>at</strong>s Organis<strong>at</strong>ie Contactpersoon Sector Werknemers<br />
04-10-2012 D<strong>en</strong> Haag Consum<strong>en</strong>t<strong>en</strong>bond<br />
10-10-2012 Anoniem<br />
3.2.3 Analyse<br />
Grote<br />
Verzekeringsma<strong>at</strong>schappij<br />
09-11-2012 Zeist Rabobank<br />
21-12-2012 Amsterdam Kaseya<br />
14-01-2013 Anoniem<br />
Global Systems<br />
Integr<strong>at</strong>or<br />
Dhr. D. Verweij<br />
(Manager ICT)<br />
Anoniem<br />
(Medewerker CIO<br />
Office)<br />
Dhr. Abe Boersma<br />
(Manager Unified<br />
Communic<strong>at</strong>ions)<br />
Dhr. M. Smit<br />
(Technical Director<br />
EMEA)<br />
Anoniem (Director<br />
Solutions)<br />
Tabel 5: Overzicht interviews<br />
Non-profit,<br />
belang<strong>en</strong>behartiging &<br />
uitgeverij<br />
Financieel,<br />
di<strong>en</strong>stverl<strong>en</strong>ing<br />
Financieel,<br />
di<strong>en</strong>stverl<strong>en</strong>ing<br />
Het gespreksgeluid van alle interviews is opg<strong>en</strong>om<strong>en</strong> <strong>en</strong> naderhand afgeluisterd<br />
om e<strong>en</strong> concept-interviewverslag te mak<strong>en</strong>. Hierin is per vraag het antwoord<br />
sam<strong>en</strong>v<strong>at</strong>t<strong>en</strong>d <strong>en</strong> concluder<strong>en</strong>d beschrev<strong>en</strong>. De geïnterviewd<strong>en</strong> hebb<strong>en</strong> elk<br />
achteraf hun interviewverslag ingezi<strong>en</strong> <strong>en</strong> de mogelijkheid gehad om de<br />
interpret<strong>at</strong>ie van hun antwoord<strong>en</strong> te verifiër<strong>en</strong> <strong>en</strong> waar nodig te corriger<strong>en</strong>. Alle<br />
organis<strong>at</strong>ies hebb<strong>en</strong> ingestemd met de initieel aangeleverde conceptantwoord<strong>en</strong><br />
in de interviewverslag<strong>en</strong>. Zie <strong>bij</strong>lage 5 voor e<strong>en</strong> totaaloverzicht van alle 230<br />
geverifieerde <strong>en</strong> goedgekeurde antwoord<strong>en</strong> op de interviewvrag<strong>en</strong>. De<br />
goedgekeurde interviewresult<strong>at</strong><strong>en</strong> zijn geanalyseerd met e<strong>en</strong> antwoord<strong>en</strong>m<strong>at</strong>rix.<br />
Deze antwoord<strong>en</strong>m<strong>at</strong>rix is e<strong>en</strong> sterk vere<strong>en</strong>voudigde, <strong>en</strong> daardoor overzichtelijk<br />
weergave van alle 230 antwoord<strong>en</strong> op de interviewvrag<strong>en</strong>. Ondanks d<strong>at</strong> veel<br />
achterligg<strong>en</strong>de details ontbrek<strong>en</strong> in deze m<strong>at</strong>rix, is getracht om de kern van elk<br />
antwoord zo kort <strong>en</strong> bondig mogelijk sam<strong>en</strong> te v<strong>at</strong>t<strong>en</strong>. Het doel van deze m<strong>at</strong>rix<br />
is om transparanter <strong>en</strong> e<strong>en</strong>voudiger tot e<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting <strong>en</strong> eindconclusie per<br />
vraag te kom<strong>en</strong>, zowel voor de onderzoeker als de lezer van dit afstudeerverslag.<br />
Bov<strong>en</strong>di<strong>en</strong> kunn<strong>en</strong> verschill<strong>en</strong>de antwoord<strong>en</strong> snel <strong>en</strong> e<strong>en</strong>voudig met elkaar<br />
word<strong>en</strong> vergelek<strong>en</strong> om de verschill<strong>en</strong> <strong>en</strong>/of overe<strong>en</strong>komst<strong>en</strong> inzichtelijk te<br />
mak<strong>en</strong>. Zie <strong>bij</strong>lage 4.<br />
Met behulp van de antwoord<strong>en</strong>m<strong>at</strong>rix zijn de antwoord<strong>en</strong> op alle 46 vrag<strong>en</strong><br />
geanalyseerd <strong>en</strong> sam<strong>en</strong>gev<strong>at</strong>, zie paragraaf 5.2 – 5.6. De sam<strong>en</strong>v<strong>at</strong>ting<strong>en</strong> per<br />
vraag beperk<strong>en</strong> zich tot de waarg<strong>en</strong>om<strong>en</strong> feit<strong>en</strong>. Bij de analyse van de<br />
verschill<strong>en</strong>de antwoord<strong>en</strong> per vraag is vooral aandacht besteed aan punt<strong>en</strong> waar<br />
de geïnterviewd<strong>en</strong> het (unaniem) met elkaar e<strong>en</strong>s war<strong>en</strong> <strong>en</strong>/of punt<strong>en</strong> waar de<br />
m<strong>en</strong>ing<strong>en</strong> flink uite<strong>en</strong> liep<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> zijn in de sam<strong>en</strong>v<strong>at</strong>ting per<br />
interviewvraag opmerkelijke uitsprak<strong>en</strong>, <strong>bij</strong>zonderhed<strong>en</strong> <strong>en</strong> m<strong>en</strong>ing<strong>en</strong> die vooraf<br />
niet war<strong>en</strong> verwacht, onderstreept. Zie 5.2 – 5.6.<br />
Met deze result<strong>at</strong><strong>en</strong> is e<strong>en</strong> conclusie per deelvraag geformuleerd, zie hoofdstuk<br />
6. Per deelconclusie wordt expliciet verwez<strong>en</strong> naar de nummers van het<br />
onderzoeksresulta<strong>at</strong> uit hoofdstuk 5 waar de conclusie op gebaseerd is. Vanuit de<br />
deelconclusies is vervolg<strong>en</strong>s het antwoord op de hoofdvraag geformuleerd. Op<br />
basis van de deelconclusies <strong>en</strong> hoofdconclusie zijn tev<strong>en</strong>s aanbeveling<strong>en</strong> voor<br />
organis<strong>at</strong>ies <strong>en</strong> wet<strong>en</strong>schappelijk vervolgonderzoek gedaan. Zie hoofdstuk 6. In<br />
figuur 2 wordt de workflow van de verwerking van de empirische gegev<strong>en</strong>s<br />
getoond.<br />
200<br />
Duiz<strong>en</strong>d<strong>en</strong><br />
80000<br />
ICT 460<br />
ICT Duiz<strong>en</strong>d<strong>en</strong><br />
Pagina | 20
Antwoord<strong>en</strong> op 230 interviewvrag<strong>en</strong> (Bijlage 5)<br />
Antwoord<strong>en</strong>m<strong>at</strong>rix (Bijlage 4)<br />
Resulta<strong>at</strong> per interviewvraag, gegroepeerd per<br />
deelvraag. (Hoofdstuk 5)<br />
Conclusie per deelvraag<br />
(Hoofdstuk 6)<br />
Conclusie op<br />
hoofdvraag<br />
(Hoofdstuk 6)<br />
Figuur 2: Workflow empirisch gegev<strong>en</strong>s<br />
3.2.4 Validiteit, betrouwbaarheid <strong>en</strong> houdbaarheid<br />
Aanbeveling<strong>en</strong><br />
(Hoofdstuk 6)<br />
Er di<strong>en</strong>t kritisch gekek<strong>en</strong> te word<strong>en</strong> naar de validiteit <strong>en</strong> betrouwbaarheid van de<br />
verzamelde gegev<strong>en</strong>s. Zo zou het kunn<strong>en</strong> zijn d<strong>at</strong> de geïnterviewde zelf net e<strong>en</strong><br />
aantal slechte ervaring<strong>en</strong> heeft gehad met <strong>BYOD</strong> in het kader van security <strong>en</strong><br />
zich daarom (onredelijk) neg<strong>at</strong>ief zou kunn<strong>en</strong> uitl<strong>at</strong><strong>en</strong> hierover, terwijl de<br />
organis<strong>at</strong>ie er mogelijk in totaal wel profijt van heeft gehad. Het interview is dus<br />
e<strong>en</strong> mom<strong>en</strong>topname.<br />
Bov<strong>en</strong>di<strong>en</strong> is gevraagd om beleidsdocum<strong>en</strong>t<strong>en</strong>. Deze zijn in de meeste gevall<strong>en</strong><br />
niet aangeleverd. De docum<strong>en</strong>t<strong>en</strong> die wel zijn ontvang<strong>en</strong>, war<strong>en</strong> niet van<br />
toegevoegde waarde. Daarnaast zijn de interviews in alle gevall<strong>en</strong> met slechts 1<br />
persoon in de organis<strong>at</strong>ie geweest. Deze beperking<strong>en</strong> van het onderzoek hebb<strong>en</strong><br />
e<strong>en</strong> neg<strong>at</strong>ief effect op de betrouwbaarheid van de onderzoeksgegev<strong>en</strong>s. Het<br />
resulta<strong>at</strong> is immers afhankelijk van hoe die <strong>en</strong>e geïnterviewde per organis<strong>at</strong>ie er<br />
op d<strong>at</strong> mom<strong>en</strong>t over d<strong>en</strong>kt. Het onderzoek is daardoor moeilijk reproduceerbaar<br />
<strong>en</strong> weinig g<strong>en</strong>eraliseerbaar (dus lage externe validiteit). De lage m<strong>at</strong>e van<br />
g<strong>en</strong>eraliseerbaarheid komt doord<strong>at</strong> het slechts om e<strong>en</strong> beperkt aantal interviews<br />
ga<strong>at</strong> <strong>en</strong> er ge<strong>en</strong> duidelijke beperking<strong>en</strong> zijn gesteld aan het type organis<strong>at</strong>ie,<br />
anders dan e<strong>en</strong> minimale omvang. Vervolgonderzoek kan op de beschrev<strong>en</strong> lage<br />
m<strong>at</strong>e van betrouwbaarheid anticiper<strong>en</strong> door meerdere werknemers, op meerdere<br />
verschill<strong>en</strong>de tijdstipp<strong>en</strong>, te interview<strong>en</strong>.<br />
Pagina | 21
Om de betrouwbaarheid te vergrot<strong>en</strong>, is de antwoord<strong>en</strong>m<strong>at</strong>rix (<strong>bij</strong>lage 4)<br />
gebruikt om overe<strong>en</strong>komstige antwoord<strong>en</strong> te ontdekk<strong>en</strong>. Wanneer antwoord<strong>en</strong><br />
van organis<strong>at</strong>ies op e<strong>en</strong> specifieke interviewvraag hetzelfde war<strong>en</strong>, is d<strong>at</strong> als e<strong>en</strong><br />
g<strong>en</strong>eraliseerbaarder resulta<strong>at</strong> gepres<strong>en</strong>teerd dan wanneer ze elkaar<br />
teg<strong>en</strong>sprak<strong>en</strong>. Door het interviewverslag achteraf te l<strong>at</strong><strong>en</strong> verifiër<strong>en</strong> <strong>en</strong><br />
bevestig<strong>en</strong> door de geïnterviewd<strong>en</strong>, is ook getracht om de betrouwbaarheid te<br />
vergrot<strong>en</strong>. Ook door werknemers te interview<strong>en</strong> die deskundige zijn op het<br />
gebied van <strong>BYOD</strong>-security, <strong>en</strong> binn<strong>en</strong> hun organis<strong>at</strong>ie de aangewez<strong>en</strong> persoon<br />
zijn voor dit onderzoek, is de betrouwbaarheid verhoogd. Door middel van e<strong>en</strong><br />
zorgvuldige voorbereiding <strong>en</strong> uitvoering van het empirisch onderzoek is getracht<br />
om de validiteit van de onderzoeksgegev<strong>en</strong>s te vergrot<strong>en</strong>.<br />
Gezi<strong>en</strong> de populariteit van het <strong>BYOD</strong>-concept zal het onderzoek mogelijk e<strong>en</strong><br />
rel<strong>at</strong>ief beperkte houdbaarheid kunn<strong>en</strong> hebb<strong>en</strong>, maar toch goed di<strong>en</strong>st kunn<strong>en</strong><br />
do<strong>en</strong> als voorwerk voor toekomstig onderzoek. Ondanks d<strong>at</strong> het empirisch<br />
onderzoek rel<strong>at</strong>ief kleinschalig van opzet is <strong>en</strong> e<strong>en</strong> mogelijk beperkte validiteit <strong>en</strong><br />
betrouwbaarheid k<strong>en</strong>t, is het onderzoek zowel praktisch als theoretisch relevant.<br />
Temeer omd<strong>at</strong> het onderwerp actueel <strong>en</strong> zeer relevant is <strong>en</strong> voor veel ITmanagers<br />
<strong>en</strong> IT-afdeling<strong>en</strong> e<strong>en</strong> heet hangijzer blijkt. Bov<strong>en</strong>di<strong>en</strong> is er nog ge<strong>en</strong><br />
wet<strong>en</strong>schappelijke liter<strong>at</strong>uur over beschikbaar, zoals bleek uit de uitgebreide <strong>en</strong><br />
omvangrijke liter<strong>at</strong>uurstudie.<br />
3.2.5 Ethische kwesties<br />
Vooraf is door e<strong>en</strong> aantal organis<strong>at</strong>ies <strong>en</strong> person<strong>en</strong> <strong>en</strong>ige zorg<strong>en</strong> geuit over de<br />
vertrouwelijkheid van bepaalde antwoord<strong>en</strong>. Om h<strong>en</strong> comfort te gev<strong>en</strong>, is<br />
afgesprok<strong>en</strong> d<strong>at</strong> ze achteraf mocht<strong>en</strong> bepal<strong>en</strong> welke gegev<strong>en</strong>s <strong>en</strong> antwoord<strong>en</strong><br />
definitief in de afstudeerscriptie terecht zoud<strong>en</strong> kom<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is h<strong>en</strong> de<br />
mogelijkheid gebod<strong>en</strong> om anoniem in dit afstudeerverslag opg<strong>en</strong>om<strong>en</strong> te<br />
word<strong>en</strong>. Uiteindelijk heeft ge<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie gegev<strong>en</strong>s of antwoord<strong>en</strong><br />
achteraf <strong>bij</strong>gesteld of verwijderd. Wel hebb<strong>en</strong> twee organis<strong>at</strong>ies aangegev<strong>en</strong> d<strong>at</strong><br />
ze anoniem will<strong>en</strong> blijv<strong>en</strong> in dit afstudeeronderzoek. Kortom: er war<strong>en</strong> <strong>en</strong>kele<br />
ethische kwesties tijd<strong>en</strong>s het empirisch onderzoek.<br />
3.2.6 Toegang tot gegev<strong>en</strong>s<br />
Met betrekking tot de toegang tot gegev<strong>en</strong>s is tijd<strong>en</strong>s de empirische studie<br />
geblek<strong>en</strong> d<strong>at</strong> van de vijf geïnterviewde organis<strong>at</strong>ies, slechts twee daarvan <strong>en</strong>ige<br />
vorm van interne <strong>BYOD</strong>-beleidsdocum<strong>en</strong>t<strong>at</strong>ie aan hebb<strong>en</strong> geleverd. Deze<br />
docum<strong>en</strong>t<strong>at</strong>ie bleek echter van ge<strong>en</strong> toegevoegde waarde <strong>en</strong> was daarom niet<br />
bruikbaar voor dit onderzoek. De twee organis<strong>at</strong>ies die anoniem w<strong>en</strong>st<strong>en</strong> te<br />
blijv<strong>en</strong>, wild<strong>en</strong> ook hun interne docum<strong>en</strong>t<strong>at</strong>ie niet del<strong>en</strong>. De toegang tot<br />
gegev<strong>en</strong>s was daardoor niet optimaal.<br />
Pagina | 22
4. Resulta<strong>at</strong> liter<strong>at</strong>uurstudie<br />
In dit hoofdstuk word<strong>en</strong> de belangrijkste <strong>en</strong> meest relevante result<strong>at</strong><strong>en</strong> van de<br />
liter<strong>at</strong>uurstudie sam<strong>en</strong>gev<strong>at</strong> <strong>en</strong> beschrev<strong>en</strong>. Tijd<strong>en</strong>s de liter<strong>at</strong>uurstudie zijn ge<strong>en</strong><br />
specifieke public<strong>at</strong>ies gevond<strong>en</strong> over <strong>BYOD</strong>-security. Daarom heeft de<br />
liter<strong>at</strong>uurstudie zich gericht op achterligg<strong>en</strong>de concept<strong>en</strong> <strong>en</strong> onderwerp<strong>en</strong> m.b.t.<br />
g<strong>en</strong>erieke inform<strong>at</strong>iebeveiliging (van mobiele appar<strong>at</strong><strong>en</strong>). Bov<strong>en</strong>di<strong>en</strong> zijn<br />
onderzoeksdocum<strong>en</strong>t<strong>en</strong> gebruikt van ger<strong>en</strong>ommeerde institut<strong>en</strong> <strong>en</strong> organis<strong>at</strong>ies<br />
die tr<strong>en</strong>ds <strong>en</strong> actuele ontwikkeling<strong>en</strong> volg<strong>en</strong>.<br />
4.1 De opkomst van mobiele appar<strong>at</strong><strong>en</strong><br />
De manier waarop we communicer<strong>en</strong>, de toegang tot bedrijfsnetwerk<strong>en</strong> <strong>en</strong> hoe<br />
we daarmee aangeslot<strong>en</strong> word<strong>en</strong>, is de afgelop<strong>en</strong> jar<strong>en</strong> significant veranderd<br />
volg<strong>en</strong>s Markelj & Bernik (2012) <strong>en</strong> Al-Muhtadi et al. (2011). Het gebruik van<br />
mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> het grote belang van adequ<strong>at</strong>e beveiliging ervan is<br />
toeg<strong>en</strong>om<strong>en</strong> volg<strong>en</strong>s deze auteurs. Ook de beveiliging is volg<strong>en</strong>s deze auteurs<br />
e<strong>en</strong> nieuwe uitdaging voor zowel de gebruikers als IT-managers. Beid<strong>en</strong> groep<strong>en</strong><br />
moet<strong>en</strong> zich dan ook bewust zijn van de mogelijke risico’s <strong>en</strong> gevar<strong>en</strong>, ev<strong>en</strong>als<br />
de ma<strong>at</strong>regel<strong>en</strong> die g<strong>en</strong>om<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> om tot e<strong>en</strong> adequ<strong>at</strong>e beveiliging te<br />
kom<strong>en</strong>.<br />
Mobiele appar<strong>at</strong><strong>en</strong> met geavanceerde software blijk<strong>en</strong> zeer functioneel <strong>en</strong> zijn<br />
begonn<strong>en</strong> om PC’s (traditionele computers) te vervang<strong>en</strong> volg<strong>en</strong>s Markelj &<br />
Bernik (2012). Het aantal m<strong>en</strong>s<strong>en</strong> d<strong>at</strong> e<strong>en</strong> smartphone <strong>en</strong>/of tablet gebruikt, is<br />
significant gesteg<strong>en</strong>, vind<strong>en</strong> Markelj & Bernik (2012) <strong>en</strong> Becher et al. (2011).<br />
M<strong>en</strong>s<strong>en</strong> zijn daarnaast ook afhankelijker geword<strong>en</strong> van smartphones volg<strong>en</strong>s<br />
Androulikadis & Kandus (2011).<br />
Door de <strong>en</strong>orme pot<strong>en</strong>tie is e<strong>en</strong> to<strong>en</strong>ame in gebruik <strong>en</strong> mogelijkhed<strong>en</strong> van<br />
mobiele appar<strong>at</strong><strong>en</strong> onvermijdelijk voor de kom<strong>en</strong>de jar<strong>en</strong> volg<strong>en</strong>s Dimitriadis et<br />
al. (2010). Juist daarom moet aan risicomanagem<strong>en</strong>t word<strong>en</strong> gedaan <strong>en</strong> moet<strong>en</strong><br />
controletechniek<strong>en</strong> geïmplem<strong>en</strong>teerd word<strong>en</strong>. Het uiteindelijke doel is dan ook<br />
volg<strong>en</strong>s deze auteurs om de voordel<strong>en</strong> te maximaliser<strong>en</strong> <strong>en</strong> (security) nadel<strong>en</strong> te<br />
minimaliser<strong>en</strong>.<br />
Voordel<strong>en</strong> van mobiele appar<strong>at</strong><strong>en</strong> volg<strong>en</strong>s Dimitriadis et al. (2010):<br />
Verhoogde productiviteit van het personeel<br />
Verbeterde klant<strong>en</strong>service<br />
Op ieder mom<strong>en</strong>t e<strong>en</strong> reactie op problem<strong>en</strong> van klant<strong>en</strong> of vrag<strong>en</strong><br />
Verbeterde doorlooptijd<strong>en</strong> voor de oplossing van het probleem<br />
Verhoogde efficiëntie van bedrijfsprocess<strong>en</strong><br />
Medewerker beveiliging <strong>en</strong> veiligheid<br />
Behoud van medewerkers<br />
Dimitriadis et al. (2010) zijn van m<strong>en</strong>ing d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> de pot<strong>en</strong>tie<br />
hebb<strong>en</strong> om de grootste bedreiging voor het lekk<strong>en</strong> van vertrouwelijke<br />
bedrijfsinform<strong>at</strong>ie te word<strong>en</strong>. De bescherming van mobiele appar<strong>at</strong><strong>en</strong>, tot nu toe<br />
erg verwaarloosd, zal uitgroei<strong>en</strong> tot e<strong>en</strong> primaire taak voor bedrijv<strong>en</strong> <strong>en</strong><br />
organis<strong>at</strong>ies volg<strong>en</strong>s deze auteurs.<br />
Pagina | 23
Organis<strong>at</strong>ies kunn<strong>en</strong> niet iets monitor<strong>en</strong> w<strong>at</strong> ze niet kunn<strong>en</strong> id<strong>en</strong>tificer<strong>en</strong>, aldus<br />
Markelj & Bernik (2012). Ook zijn deze auteurs van m<strong>en</strong>ing d<strong>at</strong> bewustwording<br />
van de beveiliging <strong>en</strong> veiligheid m.b.t. mobiele appar<strong>at</strong><strong>en</strong> e<strong>en</strong> concurrer<strong>en</strong>d<br />
voordeel kan oplever<strong>en</strong> voor organis<strong>at</strong>ies. Volg<strong>en</strong>s Markelj & Bernik (2012) is het<br />
cruciaal voor organis<strong>at</strong>ies om zich bewust te word<strong>en</strong> d<strong>at</strong> de ontwikkeling van<br />
steeds meer geavanceerde mobiele appar<strong>at</strong><strong>en</strong> niet kan word<strong>en</strong> gestopt. Ook<br />
stell<strong>en</strong> ze d<strong>at</strong> gebruik van mobiele appar<strong>at</strong><strong>en</strong> niet kan word<strong>en</strong> beperkt, alle<strong>en</strong><br />
maar omd<strong>at</strong> ze e<strong>en</strong> inform<strong>at</strong>ieveiligheidsrisico vorm<strong>en</strong>.<br />
4.2 De risico’s van mobiele appar<strong>at</strong><strong>en</strong><br />
Volg<strong>en</strong>s de gevond<strong>en</strong> liter<strong>at</strong>uur br<strong>en</strong>gt de opkomst <strong>en</strong> populariteit van mobiele<br />
ook e<strong>en</strong> aantal nadel<strong>en</strong>, gevar<strong>en</strong> <strong>en</strong> valkuil<strong>en</strong> met zich mee. Hieronder wordt<br />
vanuit de gevond<strong>en</strong> liter<strong>at</strong>uur e<strong>en</strong> aantal belangrijke hiervan beschrev<strong>en</strong>.<br />
4.2.1 Inform<strong>at</strong>iebeveiliging op het juiste organis<strong>at</strong>i<strong>en</strong>iveau<br />
Anderson & Choobineh (2008) stell<strong>en</strong> d<strong>at</strong> besluit<strong>en</strong> rondom beveiliging van<br />
inform<strong>at</strong>ion assets word<strong>en</strong> gemaakt op alle niveaus binn<strong>en</strong> e<strong>en</strong> organis<strong>at</strong>ie. De<br />
vraag die echter op str<strong>at</strong>egisch niveau gesteld moet word<strong>en</strong>, is w<strong>at</strong> het optimale<br />
budget is om verliez<strong>en</strong> te minimaliser<strong>en</strong>. Het doel op str<strong>at</strong>egisch niveau is dan<br />
ook om zo weinig mogelijk geld aan inform<strong>at</strong>iebeveiliging te sp<strong>en</strong>der<strong>en</strong>. Het doel<br />
op tactisch <strong>en</strong> oper<strong>at</strong>ioneel niveau is juist om zoveel mogelijk geld vrij te krijg<strong>en</strong><br />
voor inform<strong>at</strong>iebeveiliging <strong>en</strong> daarmee de kans kleiner te mak<strong>en</strong> d<strong>at</strong> er<br />
ingebrok<strong>en</strong> wordt of gevoelige inform<strong>at</strong>ie lekt.<br />
Ruighaver et al. (2007) stell<strong>en</strong> d<strong>at</strong> het managem<strong>en</strong>t e<strong>en</strong> cruciale rol speelt <strong>bij</strong><br />
inform<strong>at</strong>iebeveiliging binn<strong>en</strong> e<strong>en</strong> bedrijf of organis<strong>at</strong>ie. De bedrijfscultuur is e<strong>en</strong><br />
belangrijke factor om e<strong>en</strong> adequ<strong>at</strong>e m<strong>at</strong>e van inform<strong>at</strong>iebeveiliging te behal<strong>en</strong>,<br />
vind<strong>en</strong> deze auteurs. Techniek kan tot op e<strong>en</strong> zeker hoogte de beveiliging van<br />
mobiele appar<strong>at</strong><strong>en</strong> zoals smartphones verbeter<strong>en</strong>, maar er is e<strong>en</strong> fundam<strong>en</strong>tele<br />
verandering in de filosofie nodig om daadwerkelijke bescherming te bied<strong>en</strong> aan<br />
belangrijke bedrijfsinform<strong>at</strong>iesystem<strong>en</strong>, aldus Traynor et al. (2011).<br />
Omd<strong>at</strong> smartphones vaak voor professionele <strong>en</strong> privé doeleinde wordt gebruikt,<br />
is het opstell<strong>en</strong> <strong>en</strong> handhav<strong>en</strong> van e<strong>en</strong> goed beveiligingsmodel <strong>en</strong> beleid lastig,<br />
volg<strong>en</strong>s Landman (2010).<br />
Risicomanagem<strong>en</strong>t is e<strong>en</strong> cruciale taak <strong>bij</strong> het minimaliser<strong>en</strong> van de risico´s <strong>en</strong><br />
bedreiging<strong>en</strong> die e<strong>en</strong> inher<strong>en</strong>t onderdeel zijn van inform<strong>at</strong>ietechnologie.<br />
Risicomanagem<strong>en</strong>t omv<strong>at</strong> volg<strong>en</strong>s Bojanc & Jermanblazic (2008):<br />
Id<strong>en</strong>tific<strong>at</strong>ie van de bedrijfs- <strong>en</strong> inform<strong>at</strong>ie-assets.<br />
Id<strong>en</strong>tific<strong>at</strong>ie <strong>en</strong> insch<strong>at</strong>ting van de schade van bedreiging<strong>en</strong> <strong>bij</strong> e<strong>en</strong><br />
succesvolle inbraak/aanval.<br />
Kwetsbaarhed<strong>en</strong> die door de aanval/inbraak misbruik kunn<strong>en</strong> word<strong>en</strong><br />
Evalu<strong>at</strong>ie van beveiligingsrisico's<br />
Ma<strong>at</strong>regel<strong>en</strong> die risico beperk<strong>en</strong>d moet<strong>en</strong> werk<strong>en</strong> wanneer de juiste<br />
middel<strong>en</strong> zijn ingezet<br />
Toezicht houd<strong>en</strong> op de effectiviteit van de geïmplem<strong>en</strong>teerde ma<strong>at</strong>regel<strong>en</strong><br />
Pagina | 24
Risico-minimalis<strong>at</strong>iestr<strong>at</strong>egie moet de volg<strong>en</strong>de aandachtspunt<strong>en</strong> bev<strong>at</strong>t<strong>en</strong><br />
volg<strong>en</strong>s Bojanc & Jermanblazic (2008):<br />
Vermijd<strong>en</strong> van bedreiging<strong>en</strong> <strong>en</strong> aanvall<strong>en</strong> door de blootstelling van de<br />
asset, of de bron van het risico, te eliminer<strong>en</strong>.<br />
Verminder<strong>en</strong> van de blootstelling van de asset aan het risico door de juiste<br />
technologische middel<strong>en</strong> te gebruik<strong>en</strong>.<br />
Verpla<strong>at</strong>s<strong>en</strong> van de verantwoordelijkheid m.b.t. het risico door deels het<br />
risico te spreid<strong>en</strong> (outsourc<strong>en</strong>).<br />
Accepter<strong>en</strong> van de beveiligingsma<strong>at</strong>regel<strong>en</strong> als inher<strong>en</strong>t onderdeel van het<br />
zak<strong>en</strong>do<strong>en</strong>.<br />
Sve<strong>en</strong> et al. (2009) stell<strong>en</strong> d<strong>at</strong> inform<strong>at</strong>iebeveiliging wordt gezi<strong>en</strong> als e<strong>en</strong> puur<br />
technische aangeleg<strong>en</strong>heid, maar het wordt steeds duidelijker d<strong>at</strong> er ook e<strong>en</strong><br />
organis<strong>at</strong>orische (m<strong>en</strong>selijke) kant aan zit. Daarnaast reager<strong>en</strong> bedrijv<strong>en</strong> volg<strong>en</strong>s<br />
deze auteurs reactief op incid<strong>en</strong>t<strong>en</strong> in pla<strong>at</strong>s van proactief.<br />
4.2.2 Mobiele Malware<br />
Mobiele appar<strong>at</strong><strong>en</strong> zijn op verschill<strong>en</strong>de manier<strong>en</strong> te besmett<strong>en</strong> met malware.<br />
E<strong>en</strong>maal besmet kan malware verschill<strong>en</strong>de soort<strong>en</strong> aanvall<strong>en</strong> uitvoer<strong>en</strong> <strong>en</strong><br />
zichzelf verspreid<strong>en</strong> over andere appar<strong>at</strong><strong>en</strong>. (Jans<strong>en</strong> & Scarfone, 2008; Hogb<strong>en</strong><br />
& Dekker, 2010).<br />
Er e<strong>en</strong> positieve correl<strong>at</strong>ie tuss<strong>en</strong> het aantal verkochte mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> het<br />
aantal besmetting<strong>en</strong> met mobiele malware volg<strong>en</strong>s Markelj & Bernik, (2012) <strong>en</strong><br />
er zijn tev<strong>en</strong>s andere beveiligingsproblem<strong>en</strong>, aldus Androulikadis & Kandus<br />
(2011). Het aantal beveiligingsincid<strong>en</strong>t<strong>en</strong> d<strong>at</strong> gebruik maakt van social<br />
<strong>en</strong>gineering malware is de afgelop<strong>en</strong> jar<strong>en</strong> explosief gesteg<strong>en</strong>.<br />
De zwakste schakel in de ket<strong>en</strong> van inform<strong>at</strong>iebeveiliging is de m<strong>en</strong>s zelf. Social<br />
<strong>en</strong>gineering malware ga<strong>at</strong> zowel psychologisch als technologisch te werk <strong>en</strong><br />
omzeilt huidige (technische) ma<strong>at</strong>regel<strong>en</strong>. Het <strong>en</strong>ige w<strong>at</strong> nodig is, is één<br />
medewerker die erin trapt, goedgelovig is. De result<strong>at</strong><strong>en</strong> lieg<strong>en</strong> er niet om,<br />
organis<strong>at</strong>ies moet<strong>en</strong> hier goed op voorbereid zijn <strong>en</strong> bewustwording van de<br />
risico’s <strong>en</strong> verhog<strong>en</strong> (Abraham & Ch<strong>en</strong>galur-Smith, 2010).<br />
Wanneer deze malware e<strong>en</strong>maal door de beveiliging barrières is gebrok<strong>en</strong>, is het<br />
uiteindelijke doel volg<strong>en</strong>s Abraham & Ch<strong>en</strong>galur-Smith (2010):<br />
Toetsaanslag<strong>en</strong> vastlegg<strong>en</strong> <strong>en</strong> verstur<strong>en</strong><br />
Verborg<strong>en</strong> communic<strong>at</strong>iepoort<strong>en</strong> op<strong>en</strong><strong>en</strong><br />
Zichzelf nog dieper <strong>en</strong> onopvall<strong>en</strong>der nestel<strong>en</strong> in het systeem (Rootkits)<br />
Op zoek gaan naar opgeslag<strong>en</strong> wachtwoord<strong>en</strong> of andere vertrouwelijke<br />
gegev<strong>en</strong>s.<br />
Communic<strong>at</strong>iesessie kap<strong>en</strong>, zoals tuss<strong>en</strong> e<strong>en</strong> medewerker <strong>en</strong> e<strong>en</strong><br />
bedrijfsinform<strong>at</strong>iesysteem.<br />
Organis<strong>at</strong>ies moet<strong>en</strong> e<strong>en</strong> meerledige manier toepass<strong>en</strong> om dit soort malware<br />
teg<strong>en</strong> te gaan. Dit in teg<strong>en</strong>stelling tot alle<strong>en</strong> maar technologische<br />
teg<strong>en</strong>ma<strong>at</strong>regel<strong>en</strong> <strong>en</strong> e<strong>en</strong> beveiligingsbeleid. Technologie is alle<strong>en</strong> effectief<br />
wanneer medewerkers dit ook accepter<strong>en</strong> <strong>en</strong> toepass<strong>en</strong>. Medewerkers spel<strong>en</strong> e<strong>en</strong><br />
grote (misschi<strong>en</strong> wel de grootste) rol in technologische <strong>en</strong> beleidsm<strong>at</strong>ige<br />
Pagina | 25
eveiligingsma<strong>at</strong>regel<strong>en</strong> binn<strong>en</strong> e<strong>en</strong> organis<strong>at</strong>ie. Daarom moet<strong>en</strong> de volg<strong>en</strong>de<br />
ma<strong>at</strong>regel<strong>en</strong> word<strong>en</strong> g<strong>en</strong>om<strong>en</strong>, vind<strong>en</strong> Abraham & Ch<strong>en</strong>galur-Smith (2010):<br />
Verhog<strong>en</strong> van bewustwording m.b.t. inform<strong>at</strong>iebeveiliging <strong>en</strong> risico’s<br />
Toezicht houd<strong>en</strong> op bedrijfsinform<strong>at</strong>ie <strong>en</strong> medewerkers, ook buit<strong>en</strong> de<br />
mur<strong>en</strong> van de organis<strong>at</strong>ie.<br />
Toezicht houd<strong>en</strong> op persoonlijk gebruik van bedrijfseig<strong>en</strong><br />
computersystem<strong>en</strong>.<br />
Medewerkers motiver<strong>en</strong> om beveiligingsprocedures <strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> te<br />
hanter<strong>en</strong>.<br />
4.2.3 Traditionele beveiliging <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong><br />
G<strong>en</strong>erieke PC beveiliging wordt in compactere <strong>en</strong> aangepaste vorm<br />
teruggevond<strong>en</strong> op moderne mobiele appar<strong>at</strong><strong>en</strong>. Toch voldoet traditionele,<br />
g<strong>en</strong>erieke beveiliging van de gewone PC niet voor gebruik op mobiele appar<strong>at</strong><strong>en</strong><br />
volg<strong>en</strong>s Shabtai et al. (2010) <strong>en</strong> Becher et al. (2011). Hier<strong>bij</strong> is de kwestie van<br />
eig<strong>en</strong>aarschap e<strong>en</strong> groot struikelblok (Landman, 2010).<br />
Mobiele appar<strong>at</strong><strong>en</strong> bied<strong>en</strong> nieuwe kans<strong>en</strong> <strong>en</strong> mogelijkhed<strong>en</strong>, maar ook nieuwe<br />
soort<strong>en</strong> bedreiging<strong>en</strong> <strong>en</strong> risico’s, vooral omd<strong>at</strong> ze draadloos communicer<strong>en</strong> <strong>en</strong><br />
mobiel van aard zijn (Boukerche & R<strong>en</strong>, 2008). De besturingssystem<strong>en</strong> van<br />
mobiele appar<strong>at</strong><strong>en</strong> zoals smartphones zijn nog niet volwass<strong>en</strong> <strong>en</strong> veilig g<strong>en</strong>oeg<br />
zijn om ze te gebruik<strong>en</strong> voor bedrijfskritische activiteit<strong>en</strong>, aldus Traynor et al.<br />
(2011).<br />
De beveiliging (<strong>en</strong> het gebruiksgemak) van de mobiele system<strong>en</strong> schiet nog<br />
tekort t.o.v. de rel<strong>at</strong>ief volwass<strong>en</strong> beveiligingsmogelijkhed<strong>en</strong> van de PC. Dit is<br />
verontrust<strong>en</strong>d omd<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> zich vaak bevind<strong>en</strong> in omgeving<strong>en</strong> waar<br />
e<strong>en</strong> organis<strong>at</strong>ie weinig controle heeft over d<strong>at</strong> appara<strong>at</strong> <strong>en</strong> ze bov<strong>en</strong>di<strong>en</strong> vaker<br />
gestol<strong>en</strong> of verlor<strong>en</strong> rak<strong>en</strong>. En als ze dan in de verkeerde hand<strong>en</strong> vall<strong>en</strong>, gev<strong>en</strong><br />
ze rel<strong>at</strong>ief e<strong>en</strong>voudig toegang tot lokaal opgeslag<strong>en</strong> inform<strong>at</strong>ie of op afstand tot<br />
bedrijfsinform<strong>at</strong>ie (Jans<strong>en</strong> & Scarfone, 2008; Markelj & Bernik, 2012; Landman,<br />
2010; Hogb<strong>en</strong> & Dekker, 2010; Botha et al., 2009).<br />
Elektronisch meeluister<strong>en</strong> met (d<strong>at</strong>a)communic<strong>at</strong>ie is op verschill<strong>en</strong>de manier<strong>en</strong><br />
mogelijk <strong>en</strong> d<strong>en</strong>kbaar. Verzamel<strong>en</strong> <strong>en</strong> doorstur<strong>en</strong> van (gevoelige)<br />
bedrijfsinform<strong>at</strong>ie of communic<strong>at</strong>ie zijn mogelijke manier<strong>en</strong> om deze appar<strong>at</strong><strong>en</strong><br />
te exploiter<strong>en</strong> (Jans<strong>en</strong> & Scarfone, 2008; Markelj & Bernik, 2012; Al-Muhtadi et<br />
al., 2011; Hogb<strong>en</strong> & Dekker, 2010).<br />
Gezi<strong>en</strong> het op<strong>en</strong> karakter <strong>en</strong> de architectuur van het Android besturingssysteem<br />
is het nodig om e<strong>en</strong> extra laag van beveiligingssoftware aan te br<strong>en</strong>g<strong>en</strong>. Deze<br />
laag bezit anti-malware functionaliteit, e<strong>en</strong> firewall, betere toegangscontrole <strong>en</strong><br />
e<strong>en</strong> Intrusion Detection systeem (Shabtai et al., 2010). Dit br<strong>en</strong>gt ook weer<br />
nadel<strong>en</strong> met zich mee zoals integr<strong>at</strong>ie- <strong>en</strong> beheerproblem<strong>en</strong> ev<strong>en</strong>als e<strong>en</strong> neg<strong>at</strong>ief<br />
effect op het gebruiksgemak (Jans<strong>en</strong> et al., 2006). Net als <strong>bij</strong> het PC pl<strong>at</strong>form is<br />
er ge<strong>en</strong> "zilver<strong>en</strong> kogel" voor het beveiligingsprobleem volg<strong>en</strong>s Shabtai et al.<br />
(2010).<br />
Pagina | 26
4.2.4 De zwakste schakel <strong>en</strong> de inside thre<strong>at</strong><br />
Er schuilt e<strong>en</strong> aanzi<strong>en</strong>lijk risico <strong>bij</strong> de (eig<strong>en</strong>) medewerker, ook wel de insider<br />
g<strong>en</strong>oemd of interne bedreiging<strong>en</strong>. Individu<strong>en</strong> gebruik<strong>en</strong> smartphones vaak voor<br />
gevoelige gegev<strong>en</strong>s, zelfs als dit in strijd is met het geld<strong>en</strong>de beveiligingsbeleid<br />
(Landman, 2010). Hierdoor kom<strong>en</strong> bedrijfsgegev<strong>en</strong>s, expres of per ongeluk, in<br />
gevaar (Sarkar, 2010; Niekerk & Von Solms, 2010). Het grootste gevaar voor<br />
organis<strong>at</strong>ies is het uitlekk<strong>en</strong> van allerlei (vertrouwelijke) bedrijfsgegev<strong>en</strong>s zoals<br />
st<strong>at</strong>istische inform<strong>at</strong>ie waar andere partij<strong>en</strong> of concurr<strong>en</strong>t<strong>en</strong> voordeel mee<br />
kunn<strong>en</strong> behal<strong>en</strong> (Langheinrich & Karjoth, 2010).<br />
Succesvolle inform<strong>at</strong>iebeveiliging is sterk afhankelijk van het gedrag van de<br />
gebruiker. E<strong>en</strong> juiste beveiligingscultuur binn<strong>en</strong> organis<strong>at</strong>ies is dan ook de beste<br />
manier om de risico's behor<strong>en</strong>de <strong>bij</strong> de zwakke schakel, de m<strong>en</strong>s, zo efficiënt<br />
mogelijk te mitiger<strong>en</strong> (Niekerk & Von Solms, 2010; Rhee et al., 2009; Ashd<strong>en</strong>,<br />
2008; Dlamini et al., 2009; Da Veiga & Eloff, 2010). Naast e<strong>en</strong> aantal<br />
technologische ma<strong>at</strong>regel<strong>en</strong> is het "opvoed<strong>en</strong>" van het eig<strong>en</strong> personeel de<br />
sleutel, aldus Langheinrich & Karjoth (2010).<br />
De volg<strong>en</strong>de instructies kunn<strong>en</strong> aan medewerkers word<strong>en</strong> gegev<strong>en</strong> om h<strong>en</strong> meer<br />
beveiligingsbewust te mak<strong>en</strong>, stelt Santa (2009):<br />
1. Gebruik van e<strong>en</strong> wachtwoord:<br />
gebruik e<strong>en</strong> sterk wachtwoord<br />
verander wachtwoord frequ<strong>en</strong>t<br />
hou het wachtwoord geheim<br />
gebruik verschill<strong>en</strong>de wachtwoord<strong>en</strong><br />
2. Bescherm je computer.<br />
3. Maak met gepaste voorzichtigheid gebruik van email <strong>en</strong> Internet.<br />
4. Ga veilig <strong>en</strong> voorzichtig <strong>en</strong> verstandig om met bedrijfseig<strong>en</strong> mobiele<br />
appar<strong>at</strong><strong>en</strong>.<br />
5. Ga met gepaste voorzichtigheid om met bedrijfsgegev<strong>en</strong>s.<br />
6. Registreer bezoekers, la<strong>at</strong> ze e<strong>en</strong> pasje drag<strong>en</strong> <strong>en</strong> la<strong>at</strong> ze niet alle<strong>en</strong>.<br />
7. Meld verlor<strong>en</strong>, gestol<strong>en</strong> of beschadigde bedrijfseig<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong><br />
overige incid<strong>en</strong>t<strong>en</strong>.<br />
8. Bescherm inform<strong>at</strong>ie wanneer je buit<strong>en</strong> de mur<strong>en</strong> van het bedrijf b<strong>en</strong>t.<br />
9. Hou je aan het beveiligingsbeleid van de organis<strong>at</strong>ie ev<strong>en</strong>als de procedures.<br />
10.Geef feedback terug aan het bedrijf om zo de beveiligingstechniek, het<br />
beveiligingsbeleid of de beveiligingsprocedures nog beter te mak<strong>en</strong>.<br />
Daarnaast moet<strong>en</strong> medewerkers oppass<strong>en</strong> voor phishing (Hogb<strong>en</strong> & Dekker,<br />
2010).<br />
4.3 Beveiliging <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong><br />
1. Procedures zoud<strong>en</strong> moet<strong>en</strong> zegg<strong>en</strong> welke smartphones <strong>en</strong> applic<strong>at</strong>ies wel<br />
toegestaan zijn, d<strong>at</strong> er beveiligingssoftware op moet staan <strong>en</strong> d<strong>at</strong> de<br />
smartphones zo zijn ingesteld d<strong>at</strong> het beveiligingsbeleid gehanteerd kan<br />
word<strong>en</strong> (Landman, 2010).<br />
2. Techniek zou gebruikt moet<strong>en</strong> word<strong>en</strong> om de toegang te beher<strong>en</strong> ev<strong>en</strong>als het<br />
voorkom<strong>en</strong> <strong>en</strong> id<strong>en</strong>tificer<strong>en</strong> van inbraakpoging<strong>en</strong> (Landman, 2010).<br />
3. Beleid moet e<strong>en</strong> integraal onderdeel vorm<strong>en</strong> van het volledige<br />
beveiligingsstr<strong>at</strong>egie van e<strong>en</strong> bedrijf (Landman, 2010). Het beleid di<strong>en</strong>t de<br />
volg<strong>en</strong>de aspect<strong>en</strong> te bev<strong>at</strong>t<strong>en</strong> (Dimitriadis et al., 2010):<br />
Pagina | 27
a. Bepal<strong>en</strong> welke appar<strong>at</strong><strong>en</strong> wel of niet toegestaan word<strong>en</strong>.<br />
b. Bepal<strong>en</strong> welke di<strong>en</strong>st<strong>en</strong>, mogelijkhed<strong>en</strong> of functionaliteit via deze<br />
mobiele appar<strong>at</strong><strong>en</strong> toegankelijk zijn, met hier<strong>bij</strong> de huidige ICTarchitectuur<br />
in het achterhoofd.<br />
c. Uitzoek<strong>en</strong> waar (<strong>en</strong> hoe) medewerkers de mobiele appar<strong>at</strong><strong>en</strong> allemaal<br />
voor gebruik<strong>en</strong>.<br />
d. Integrer<strong>en</strong> van alle bedrijfseig<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> in e<strong>en</strong> "asset<br />
managem<strong>en</strong>t program".<br />
e. Beschrijv<strong>en</strong> welk type van auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> versleuteling aanwezig<br />
moet zijn op de mobiele appar<strong>at</strong><strong>en</strong>.<br />
f. Omschrijv<strong>en</strong> van de tak<strong>en</strong>/werkzaamhed<strong>en</strong> waar medewerkers de<br />
mobiele appar<strong>at</strong><strong>en</strong> allemaal voor mog<strong>en</strong> gebruik<strong>en</strong>, w<strong>at</strong> toegestaan is.<br />
g. Duidelijk mak<strong>en</strong> (middels bewustwording <strong>en</strong> training) hoe gegev<strong>en</strong>s<br />
beveiligd opgeslag<strong>en</strong> <strong>en</strong> verstuurd moet<strong>en</strong> word<strong>en</strong>.<br />
4. Sandboxing <strong>en</strong> capaciteit-gebaseerde toegangscontrole (Hogb<strong>en</strong> & Dekker,<br />
2010).<br />
5. Gecontroleerde distributie van software (Hogb<strong>en</strong> & Dekker, 2010).<br />
6. Op afstand applic<strong>at</strong>ies kunn<strong>en</strong> verwijder<strong>en</strong> (Hogb<strong>en</strong> & Dekker, 2010).<br />
7. Backup <strong>en</strong> herstell<strong>en</strong> (Hogb<strong>en</strong> & Dekker, 2010).<br />
8. Extra auth<strong>en</strong>tic<strong>at</strong>iemogelijkhed<strong>en</strong> (Hogb<strong>en</strong> & Dekker, 2010).<br />
9. Extra versleutelingmogelijkhed<strong>en</strong> (Hogb<strong>en</strong> & Dekker, 2010).<br />
10.Zorg voor diversiteit in mobiele appar<strong>at</strong><strong>en</strong> (Hogb<strong>en</strong> & Dekker, 2010).<br />
11.Mobile Device Managem<strong>en</strong>t (MDM) is e<strong>en</strong> manier om de opkomst van mobiele<br />
appar<strong>at</strong><strong>en</strong>, of die nu bezit zijn van het bedrijf of de medewerker, vanuit<br />
beveiligingsoptiek te kunn<strong>en</strong> beher<strong>en</strong>. E<strong>en</strong> volledige Mobile Device<br />
Managem<strong>en</strong>t oplossing bev<strong>at</strong> volg<strong>en</strong>s Redman et al. (2011):<br />
Software distributie - de mogelijkheid om mobiele applic<strong>at</strong>ies te<br />
beher<strong>en</strong> <strong>en</strong> ondersteun<strong>en</strong>, inclusief uitrol, install<strong>at</strong>ie, upd<strong>at</strong><strong>en</strong>,<br />
verwijder<strong>en</strong> of blokker<strong>en</strong>.<br />
Ondersteuning van het beleid - ontwikkel<strong>en</strong>, beher<strong>en</strong> <strong>en</strong> oper<strong>at</strong>ionele<br />
tak<strong>en</strong> rondom het beleid m.b.t. mobiele appar<strong>at</strong><strong>en</strong>.<br />
Inv<strong>en</strong>taris managem<strong>en</strong>t - meer dan standaard beheer van bezitting<strong>en</strong><br />
<strong>en</strong> inv<strong>en</strong>taris, maar ook voorzi<strong>en</strong>ing <strong>en</strong> ondersteuning.<br />
Beveiligingsmanagem<strong>en</strong>t - Handhaving van de standaard appara<strong>at</strong><br />
beveiliging, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> versleuteling.<br />
Service managem<strong>en</strong>t - beoordeling van telecom di<strong>en</strong>st<strong>en</strong><br />
4.4 Aanbeveling<strong>en</strong> <strong>bij</strong> het gebruik van mobiele appar<strong>at</strong><strong>en</strong><br />
1. Alle lag<strong>en</strong> <strong>bij</strong> het bedrijf meekrijg<strong>en</strong>, maar specifiek het managem<strong>en</strong>t<br />
(Landman, 2010). De IT-afdeling moet het managem<strong>en</strong>t informer<strong>en</strong> over<br />
de risico's <strong>bij</strong> gebruik van consum<strong>en</strong>t<strong>en</strong>elektronica, ev<strong>en</strong>als de kost<strong>en</strong> van<br />
het mitiger<strong>en</strong> van deze risico's (MacDonald et al., 2010).<br />
2. Organis<strong>at</strong>ies moet<strong>en</strong> de beveiligingsaspect<strong>en</strong>/risico’s van bedrijfseig<strong>en</strong><br />
smartphones organiser<strong>en</strong> <strong>en</strong> aanpakk<strong>en</strong> (Jans<strong>en</strong> & Scarfone, 2008;<br />
Landman, 2010).<br />
3. Organis<strong>at</strong>ies moet<strong>en</strong> t.b.v. mobiele appar<strong>at</strong><strong>en</strong> geschikte<br />
beveiligingsma<strong>at</strong>regel<strong>en</strong> treff<strong>en</strong> ev<strong>en</strong>als de juiste beheermiddel<strong>en</strong> (Jans<strong>en</strong><br />
& Scarfone, 2008). D<strong>en</strong>k aan:<br />
Organis<strong>at</strong>ie breed beveiligingsbeleid voor alle mobiele appar<strong>at</strong><strong>en</strong><br />
Risicosch<strong>at</strong>ting <strong>en</strong> managem<strong>en</strong>t<br />
Bewustwording van beveiliging <strong>en</strong> training<br />
Configur<strong>at</strong>iecontrole <strong>en</strong> managem<strong>en</strong>t<br />
Pagina | 28
Certific<strong>at</strong>ie <strong>en</strong> accredit<strong>at</strong>ie<br />
4. Bedrijv<strong>en</strong> <strong>en</strong> organis<strong>at</strong>ies moet<strong>en</strong> ervoor zorg<strong>en</strong> d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> op<br />
dusdanige wijze word<strong>en</strong> ingezet, ingesteld, beheerd d<strong>at</strong> de werking ervan<br />
voldoet aan de organis<strong>at</strong>ie-eig<strong>en</strong> beveiligingsvereist<strong>en</strong> <strong>en</strong> doelstelling<strong>en</strong><br />
door de volg<strong>en</strong>de acties (Jans<strong>en</strong> & Scarfone, 2008):<br />
Belangrijke upd<strong>at</strong>es <strong>en</strong> p<strong>at</strong>ches m.b.t. het besturingssysteem<br />
installer<strong>en</strong><br />
Onnodige, of niet-bedrijf kritische applic<strong>at</strong>ies <strong>en</strong> achterligg<strong>en</strong>de<br />
di<strong>en</strong>st<strong>en</strong>/process<strong>en</strong> op het mobiele appara<strong>at</strong> uitschakel<strong>en</strong> of uitzett<strong>en</strong>.<br />
Installer<strong>en</strong> <strong>en</strong> instell<strong>en</strong> van additionele, noodzakelijke applic<strong>at</strong>ies<br />
Toegangscontrole <strong>en</strong> auth<strong>en</strong>tic<strong>at</strong>ie instell<strong>en</strong><br />
Instell<strong>en</strong> van resource controlemiddel<strong>en</strong><br />
Installer<strong>en</strong> <strong>en</strong> instell<strong>en</strong> van extra beveiligingssoftware/middel<strong>en</strong> zoals<br />
versleuteling, remote beheer/wipe, firewall, anti-malware software,<br />
IDS, anti-spam <strong>en</strong> VPN software.<br />
Uitvoer<strong>en</strong> van veiligheidstests (audits)<br />
5. Bedrijv<strong>en</strong> <strong>en</strong> organis<strong>at</strong>ies moet<strong>en</strong> continue lett<strong>en</strong> op de beveiliging van<br />
mobiele appar<strong>at</strong><strong>en</strong>. Dit moet e<strong>en</strong> dynamisch <strong>en</strong> lop<strong>en</strong>d proces zijn met de<br />
volg<strong>en</strong>de aandachtspunt<strong>en</strong> (Jans<strong>en</strong> & Scarfone, 2008):<br />
Gebruikers instruer<strong>en</strong> over procedures <strong>en</strong> stapp<strong>en</strong> die ze moet<strong>en</strong><br />
volg<strong>en</strong> <strong>en</strong> voorzorgsma<strong>at</strong>regel<strong>en</strong> die ze moet<strong>en</strong> nem<strong>en</strong> zoals backups,<br />
w<strong>at</strong> te do<strong>en</strong> wanneer het appara<strong>at</strong> verlor<strong>en</strong>/gestol<strong>en</strong> is <strong>en</strong> hoe ze<br />
uitlekk<strong>en</strong> van gevoelige gegev<strong>en</strong>s kunn<strong>en</strong> voorkom<strong>en</strong>.<br />
Inschakel<strong>en</strong>, verkrijg<strong>en</strong> <strong>en</strong> analyser<strong>en</strong> van logbestand<strong>en</strong>.<br />
Procedures ontwikkel<strong>en</strong>, <strong>en</strong> ze ook volg<strong>en</strong>, over w<strong>at</strong> te do<strong>en</strong> wanneer<br />
het mobiele appara<strong>at</strong> zoek of gestol<strong>en</strong> is.<br />
Test <strong>en</strong> pas belangrijke upd<strong>at</strong>es <strong>en</strong> p<strong>at</strong>ches op tijd toe.<br />
Periodieke evalu<strong>at</strong>ie van de beveiliging van het mobiele appara<strong>at</strong>.<br />
6. Het creër<strong>en</strong> van e<strong>en</strong> transparant, begrijpelijk, flexibel <strong>en</strong> uitvoerbaar<br />
beleid zal het managem<strong>en</strong>t help<strong>en</strong> om intellectueel eig<strong>en</strong>dom te<br />
bescherm<strong>en</strong> <strong>en</strong> str<strong>at</strong>egisch voordeel te blijv<strong>en</strong> behoud<strong>en</strong>. E<strong>en</strong> str<strong>at</strong>egie<br />
m.b.t. mobiele appar<strong>at</strong><strong>en</strong> moet bedacht, ontworp<strong>en</strong> <strong>en</strong> geïmplem<strong>en</strong>teerd<br />
word<strong>en</strong> die helpt om de risico's te verantwoord<strong>en</strong> <strong>en</strong> pass<strong>en</strong>d gemanaged<br />
kunn<strong>en</strong> word<strong>en</strong>. IT managers moet<strong>en</strong> nad<strong>en</strong>k<strong>en</strong> over aspect<strong>en</strong> zoals de<br />
bedrijfs- cultuur, technologie <strong>en</strong> governance (bestuur) <strong>bij</strong> het bed<strong>en</strong>k<strong>en</strong><br />
van deze str<strong>at</strong>egie m.b.t. mobiele appar<strong>at</strong><strong>en</strong>. De str<strong>at</strong>egie moet beginn<strong>en</strong><br />
<strong>bij</strong> e<strong>en</strong> uitgebreid <strong>en</strong> veelomv<strong>at</strong>t<strong>en</strong>d beveiligingsbeleid <strong>en</strong> eindig<strong>en</strong> met<br />
e<strong>en</strong> programma ter ondersteuning van de lev<strong>en</strong>scyclus van het<br />
betreff<strong>en</strong>de mobiele appara<strong>at</strong> zelf (Dimitriadis et al., 2010).<br />
7. Uit onderzoek naar MDM’s kom<strong>en</strong> de volg<strong>en</strong>de conclusies (Basso &<br />
Redman, 2011):<br />
Niet alle MDM's voorzi<strong>en</strong> in versleuteling wanneer het mobiele appara<strong>at</strong><br />
dit zelf ook niet ondersteunt.<br />
Ondanks d<strong>at</strong> e<strong>en</strong> afsluit<strong>en</strong>de/beperk<strong>en</strong>de aanpak resulteert in e<strong>en</strong> hoge<br />
m<strong>at</strong>e van beveiliging, zorg<strong>en</strong> beperking<strong>en</strong> van de gebruikerservaring<br />
met mobiel email tev<strong>en</strong>s voor e<strong>en</strong> beperkte accept<strong>at</strong>ie van de<br />
gebruiker. Bov<strong>en</strong>di<strong>en</strong> heeft dit e<strong>en</strong> neg<strong>at</strong>ieve invloed op de<br />
haalbaarheid <strong>en</strong> lev<strong>en</strong>sv<strong>at</strong>baarheid wanneer het betreff<strong>en</strong>de mobiele<br />
appara<strong>at</strong> eig<strong>en</strong>dom is van de medewerker zelf (<strong>BYOD</strong>).<br />
Vijf ontwikkelaars van MDM's gebruik<strong>en</strong> software van Apple's eig<strong>en</strong> iOS<br />
besturingssysteem om functies te implem<strong>en</strong>ter<strong>en</strong> zoals over-the-air<br />
(OTA) software upd<strong>at</strong>es <strong>en</strong> certifica<strong>at</strong> gebaseerde auth<strong>en</strong>tic<strong>at</strong>ie.<br />
Pagina | 29
Grote bedrijv<strong>en</strong> <strong>en</strong> organis<strong>at</strong>ies do<strong>en</strong> er goed aan om e<strong>en</strong> MDM rondom<br />
draadloos mail te gebruik<strong>en</strong>. Dit is omd<strong>at</strong> veel beheer <strong>en</strong><br />
beveiligingsmogelijkhed<strong>en</strong> alle<strong>en</strong> beschikbaar zijn in combin<strong>at</strong>ie met<br />
e<strong>en</strong> specifieke mailapplic<strong>at</strong>ie.<br />
8. Bij de uitrol van e<strong>en</strong> <strong>BYOD</strong>-programma moet<strong>en</strong> de bedrijfsdoelstelling<strong>en</strong><br />
niet uit het oog verlor<strong>en</strong> word<strong>en</strong> ev<strong>en</strong>als het voorkom<strong>en</strong> van extra kost<strong>en</strong>.<br />
Conclusies uit onderzoek van Fiering (2011) zijn:<br />
Voordel<strong>en</strong> van <strong>BYOD</strong> zijn o.a.<br />
1. Bedrijv<strong>en</strong> hoev<strong>en</strong> zich niet meer bezig hoev<strong>en</strong> te houd<strong>en</strong> met het<br />
beher<strong>en</strong> van de hardware.<br />
2. De IT-afdeling heeft meer tijd over om zich op andere<br />
belangrijke tak<strong>en</strong> te richt<strong>en</strong>.<br />
3. Hoge Return On Investm<strong>en</strong>t (ROI).<br />
4. Aantrekkelijkere werkplek, trekt nieuw personeel aan.<br />
5. Positief effect op productiviteit van werknemer.<br />
Kost<strong>en</strong>beperking lijkt teg<strong>en</strong> te vall<strong>en</strong> op korte tot middellange termijn.<br />
Dit kan teleurstell<strong>en</strong>d zijn voor bedrijv<strong>en</strong> die goed op de kost<strong>en</strong> <strong>en</strong> het<br />
budget moet<strong>en</strong> lett<strong>en</strong>. Kost<strong>en</strong> m.b.t. de PC kunn<strong>en</strong> verzet word<strong>en</strong>,<br />
maar niet volledig verdwijn<strong>en</strong>, door verandering<strong>en</strong> in het<br />
eig<strong>en</strong>aarschap van de hardware.<br />
Ondanks d<strong>at</strong> nog e<strong>en</strong> klein deel van de medewerkers ervoor kiest om<br />
e<strong>en</strong> traditionele PC op e<strong>en</strong> vaste plek te behoud<strong>en</strong>, will<strong>en</strong> de meest<strong>en</strong><br />
toch e<strong>en</strong> notebook zod<strong>at</strong> ze e<strong>en</strong>voudig <strong>en</strong> flexibel op verschill<strong>en</strong>de<br />
plekk<strong>en</strong>, zoals thuis of buit<strong>en</strong> de deur, kunn<strong>en</strong> werk<strong>en</strong>.<br />
Door virtualis<strong>at</strong>ie-software te gebruik<strong>en</strong> in combin<strong>at</strong>ie met het <strong>BYOD</strong>concept,<br />
kan e<strong>en</strong> goede, veilige <strong>en</strong> haalbare omgeving word<strong>en</strong><br />
gecreëerd, ondanks d<strong>at</strong> het op e<strong>en</strong> onbeheerd, <strong>en</strong> mogelijk "vijandig"<br />
appara<strong>at</strong> draait.<br />
4.5 Conclusies liter<strong>at</strong>uurstudie<br />
Uit de liter<strong>at</strong>uur die gevond<strong>en</strong> is, kunn<strong>en</strong> de volg<strong>en</strong>de conclusies word<strong>en</strong><br />
getrokk<strong>en</strong> m.b.t. g<strong>en</strong>erieke beveiliging (van mobiele appar<strong>at</strong><strong>en</strong>):<br />
1. De manier waarop we communicer<strong>en</strong>, is de afgelop<strong>en</strong> jar<strong>en</strong> significant<br />
veranderd. Mobiele appar<strong>at</strong><strong>en</strong> spel<strong>en</strong> hier e<strong>en</strong> grote rol in.<br />
2. Gebruik van mobiele appar<strong>at</strong><strong>en</strong> in e<strong>en</strong> zakelijke omgeving, vraagt om e<strong>en</strong><br />
pass<strong>en</strong>de beveiliging.<br />
3. Mobiele appar<strong>at</strong><strong>en</strong> word<strong>en</strong> steeds vaker gebruikt voor bedrijfsdoeleind<strong>en</strong>.<br />
4. Bewustzijn van de mogelijke gevar<strong>en</strong> <strong>en</strong> risico’s, ev<strong>en</strong>als de ma<strong>at</strong>regel<strong>en</strong><br />
die g<strong>en</strong>om<strong>en</strong> moet<strong>en</strong> word<strong>en</strong>, zijn van belang om tot e<strong>en</strong> adequ<strong>at</strong>e<br />
beveiliging te kom<strong>en</strong>.<br />
5. Mobiele appar<strong>at</strong><strong>en</strong> zijn e<strong>en</strong> gewild <strong>en</strong> rel<strong>at</strong>ief e<strong>en</strong>voudig doelwit voor<br />
diev<strong>en</strong> <strong>en</strong> kunn<strong>en</strong> door de afmeting<strong>en</strong> eerder verlor<strong>en</strong> rak<strong>en</strong> dan<br />
traditionele PC’s.<br />
6. Mobiele appar<strong>at</strong><strong>en</strong> word<strong>en</strong> ook geplaagd door malware <strong>en</strong> viruss<strong>en</strong>.<br />
7. Mobiele appar<strong>at</strong><strong>en</strong> hebb<strong>en</strong> vaak e<strong>en</strong> verbinding met internet <strong>en</strong> dus met<br />
organis<strong>at</strong>ie-inform<strong>at</strong>iesystem<strong>en</strong>. Hierdoor faciliter<strong>en</strong> ze manipul<strong>at</strong>ie <strong>en</strong><br />
overdracht van d<strong>at</strong>a.<br />
Pagina | 30
8. Mobiele appar<strong>at</strong><strong>en</strong> introducer<strong>en</strong> nieuwe gevar<strong>en</strong> <strong>en</strong> beveiligingsrisico’s.<br />
9. Beveiliging die gebruikt wordt <strong>bij</strong> gewone PC´s kan niet zomaar ingezet<br />
kan word<strong>en</strong> <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong>, daarvoor zijn ze te verschill<strong>en</strong>d.<br />
Traditionele, g<strong>en</strong>erieke beveiliging van de gewone PC voldoet niet voor<br />
mobiele appar<strong>at</strong><strong>en</strong>.<br />
10.De dreiging van opzettelijk of niet opzettelijk misbruik door medewerkers<br />
van mobiele appar<strong>at</strong><strong>en</strong> is e<strong>en</strong> belangrijke bedreiging voor het<br />
bedrijfslev<strong>en</strong>.<br />
11.Inform<strong>at</strong>iebeveiliging (van mobiele appar<strong>at</strong><strong>en</strong>) moet ook op de ag<strong>en</strong>da van<br />
het str<strong>at</strong>egisch managem<strong>en</strong>t kom<strong>en</strong> te staan.<br />
12.Elke organis<strong>at</strong>ie di<strong>en</strong>t e<strong>en</strong> pass<strong>en</strong>d beveiligingsbeleid te hebb<strong>en</strong> <strong>en</strong> d<strong>at</strong><br />
transparant <strong>en</strong> begrijpelijk te communicer<strong>en</strong>.<br />
13.Mobiele appar<strong>at</strong><strong>en</strong> hebb<strong>en</strong> de pot<strong>en</strong>tie om de grootste bedreiging voor het<br />
lekk<strong>en</strong> van vertrouwelijke bedrijfsinform<strong>at</strong>ie te word<strong>en</strong>.<br />
14.MDM-software kan help<strong>en</strong> <strong>bij</strong> de beveiliging van mobiele appar<strong>at</strong><strong>en</strong>.<br />
15.Inform<strong>at</strong>iebeveiliging is niet puur e<strong>en</strong> technisch aangeleg<strong>en</strong>heid, er zit ook<br />
e<strong>en</strong> organis<strong>at</strong>orische (m<strong>en</strong>selijke) kant aan.<br />
16.De bedrijfscultuur speelt e<strong>en</strong> belangrijke rol <strong>bij</strong> inform<strong>at</strong>iebeveiliging.<br />
17.Risicomanagem<strong>en</strong>t speelt e<strong>en</strong> cruciale rol <strong>bij</strong> het minimaliser<strong>en</strong> van de<br />
risico´s <strong>en</strong> bedreiging<strong>en</strong> die e<strong>en</strong> inher<strong>en</strong>t onderdeel zijn van<br />
inform<strong>at</strong>ietechnologie.<br />
18.Gedrag <strong>en</strong> bewustwording van medewerkers kunn<strong>en</strong> help<strong>en</strong> om de<br />
gevar<strong>en</strong> <strong>en</strong> risico’s van mobiele appar<strong>at</strong><strong>en</strong> te mitiger<strong>en</strong>.<br />
Pagina | 31
5. Resulta<strong>at</strong> empirisch onderzoek<br />
In dit hoofdstuk word<strong>en</strong> de result<strong>at</strong><strong>en</strong> van het empirisch onderzoek besprok<strong>en</strong>.<br />
Het hoofdstuk begint met e<strong>en</strong> beschrijving van de onderzoeksgegev<strong>en</strong>s. Hierna<br />
kom<strong>en</strong> de result<strong>at</strong><strong>en</strong> van de context-interviewvrag<strong>en</strong> aan bod, gevolgd door de<br />
result<strong>at</strong><strong>en</strong> van de interviews. De interviewvrag<strong>en</strong> zijn gegroepeerd op deelvrag<strong>en</strong><br />
waar ze aan gerel<strong>at</strong>eerd zijn. Vervolg<strong>en</strong>s word<strong>en</strong> de inhoudelijke aspect<strong>en</strong> die<br />
niet aan bod zijn gekom<strong>en</strong> tijd<strong>en</strong>s de interviews besprok<strong>en</strong>. Het hoofdstuk sluit<br />
af met e<strong>en</strong> toelichting op de rel<strong>at</strong>ie tuss<strong>en</strong> de empirische result<strong>at</strong><strong>en</strong> <strong>en</strong> de<br />
result<strong>at</strong><strong>en</strong> uit de liter<strong>at</strong>uurstudie.<br />
5.1 Beschrijving van de gegev<strong>en</strong>s<br />
Er wordt e<strong>en</strong> aantal verschill<strong>en</strong>de onderzoeksresult<strong>at</strong><strong>en</strong> gedefinieerd:<br />
Geverifieerde <strong>en</strong> goedgekeurde antwoord<strong>en</strong> op alle 230 interviewvrag<strong>en</strong>.<br />
Zie <strong>bij</strong>lage 5.<br />
De antwoord<strong>en</strong>m<strong>at</strong>rix. Dit is e<strong>en</strong> sterk vere<strong>en</strong>voudigde, <strong>en</strong> daardoor<br />
overzichtelijk weergave, van alle 230 antwoord<strong>en</strong> op de interviewvrag<strong>en</strong>.<br />
Zie <strong>bij</strong>lage 4.<br />
Geanalyseerde result<strong>at</strong><strong>en</strong> per interviewvraag, zie paragraaf 5.2 - 5.6.<br />
Opmerkelijke uitsprak<strong>en</strong>, <strong>bij</strong>zonderhed<strong>en</strong> <strong>en</strong> m<strong>en</strong>ing<strong>en</strong> die vooraf niet<br />
war<strong>en</strong> verwacht. Deze zijn in paragraaf 5.2 – 5.6 herk<strong>en</strong>baar aan het<br />
onderstreepte lettertype.<br />
Conclusies per deelvraag, zie hoofdstuk 6.<br />
E<strong>en</strong> antwoord op de hoofdvraag vanuit de deelconclusies. Zie hoofdstuk 6.<br />
5.2 Result<strong>at</strong><strong>en</strong> m.b.t. contextvrag<strong>en</strong><br />
VR-1 Hoeveel werknemers telt uw organis<strong>at</strong>ie?<br />
Er is grote diversiteit in de omvang (in werknemers) <strong>bij</strong> de geïnterviewde<br />
organis<strong>at</strong>ies. De organis<strong>at</strong>ie met de minste (230) werknemers is de<br />
Consum<strong>en</strong>t<strong>en</strong>bond. De Rabobank is de organis<strong>at</strong>ie met veruit de meeste<br />
werknemers, ongeveer 80.000.<br />
VR-2 In welke sector opereert uw organis<strong>at</strong>ie?<br />
De sector waar de geïnterviewde organis<strong>at</strong>ies zich in bevind<strong>en</strong>, zijn ook divers.<br />
Twee organis<strong>at</strong>ies zitt<strong>en</strong> primair in de financiële sector, twee organis<strong>at</strong>ies hebb<strong>en</strong><br />
ICT als core business <strong>en</strong> één organis<strong>at</strong>ie is e<strong>en</strong> belang<strong>en</strong>behartig<strong>en</strong>de, non-profit<br />
ver<strong>en</strong>iging.<br />
VR-3 Hoe groot is de IT-organis<strong>at</strong>ie (aantal medewerkers, aantal servers,<br />
aantal te beher<strong>en</strong> applic<strong>at</strong>ies, etc.)?<br />
De omvang (in medewerkers) van de IT-organis<strong>at</strong>ie verschilt sterk, tuss<strong>en</strong> de 3<br />
<strong>en</strong> 3000 IT-medewerkers. Het aantal te beher<strong>en</strong> servers loopt van 45 t/m<br />
Pagina | 32
16.500. Ook in het aantal te beher<strong>en</strong> applic<strong>at</strong>ies variër<strong>en</strong> de geïnterviewde<br />
organis<strong>at</strong>ies sterk, van <strong>en</strong>kele ti<strong>en</strong>tall<strong>en</strong> tot honderd<strong>en</strong>.<br />
VR-4 Is <strong>BYOD</strong>-reeds geïmplem<strong>en</strong>teerd in uw organis<strong>at</strong>ie? Ja? Sinds<br />
wanneer? Nee, vanaf wanneer?<br />
Vier van de vijf geïnterviewde organis<strong>at</strong>ies staan <strong>BYOD</strong> officieel toe. Twee van<br />
deze geïnterviewde organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> dit wel met beperking<strong>en</strong> komt<br />
voor de gebruiker. Eén van de geïnterviewde organis<strong>at</strong>ies geeft aan d<strong>at</strong> <strong>BYOD</strong>,<br />
sinds de oprichting in 2002, e<strong>en</strong> onderdeel van de bedrijfscultuur is <strong>en</strong> ge<strong>en</strong><br />
<strong>en</strong>kele beperking<strong>en</strong> heeft voor werknemers. Drie van deze geïnterviewde<br />
organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> <strong>BYOD</strong> serieus werd bekek<strong>en</strong> <strong>en</strong> geïmplem<strong>en</strong>teerd<br />
vanaf 2011. Eén organis<strong>at</strong>ie gedoogt het op kleine schaal, sta<strong>at</strong> het oogluik<strong>en</strong>d<br />
toe, maar meldt d<strong>at</strong> <strong>BYOD</strong> nog in de verk<strong>en</strong>ningsfase zit <strong>en</strong> dus nog niet officieel<br />
wordt toegestaan.<br />
VR-5 Hoeveel medewerkers binn<strong>en</strong> uw organis<strong>at</strong>ie kom<strong>en</strong> in aanmerking voor<br />
<strong>BYOD</strong> of hoeveel mak<strong>en</strong> er daadwerkelijk gebruik van? Is er e<strong>en</strong><br />
bepaalde m<strong>at</strong>e van zelfredzaamheid waar medewerkers aan moet<strong>en</strong><br />
voldo<strong>en</strong> will<strong>en</strong> ze in aanmerking kunn<strong>en</strong> kom<strong>en</strong> voor <strong>BYOD</strong>?<br />
Vier van de vijf geïnterviewde organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> elke werknemer in<br />
aanmerking komt voor <strong>BYOD</strong> <strong>en</strong> er ge<strong>en</strong> gespecificeerde m<strong>at</strong>e van<br />
zelfredzaamheid is om eig<strong>en</strong> appar<strong>at</strong>uur te mog<strong>en</strong> gebruik<strong>en</strong> voor zakelijke<br />
doeleind<strong>en</strong>. De organis<strong>at</strong>ie waar <strong>BYOD</strong> nog in de verk<strong>en</strong>n<strong>en</strong>de fase zit, meldt d<strong>at</strong><br />
het <strong>bij</strong> slechts <strong>en</strong>kel<strong>en</strong> werknemers wordt toegestaan, als e<strong>en</strong> soort van pilot.<br />
VR-6 W<strong>at</strong> is uw functie in de organis<strong>at</strong>ie?<br />
Vier van de vijf geïnterviewd<strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> hoge, leidinggev<strong>en</strong>de functie binn<strong>en</strong><br />
de organis<strong>at</strong>ie. Eén geïnterviewde werkt direct voor de CIO <strong>en</strong> is “kwartiermaker”<br />
m.b.t. het <strong>BYOD</strong>-concept.<br />
VR-7 B<strong>en</strong>t u betrokk<strong>en</strong> geweest <strong>bij</strong> de totstandkoming van het <strong>BYOD</strong>-beleid, <strong>en</strong><br />
w<strong>at</strong> was uw rol daarin?<br />
Alle geïnterviewd<strong>en</strong> zijn betrokk<strong>en</strong>, of adviser<strong>en</strong>d, <strong>bij</strong> het definiër<strong>en</strong> <strong>en</strong> opstell<strong>en</strong><br />
van het <strong>BYOD</strong> (security) beleid. Drie geïnterviewd<strong>en</strong> zijn tev<strong>en</strong>s betrokk<strong>en</strong><br />
geweest <strong>bij</strong> de technische <strong>BYOD</strong> ma<strong>at</strong>regel<strong>en</strong>.<br />
VR-8 B<strong>en</strong>t u goed op de hoogte van de inhoud van de <strong>BYOD</strong>-security, op zowel<br />
str<strong>at</strong>egisch (beleid) als tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau?<br />
Alle vijf de geïnterviewd<strong>en</strong> gev<strong>en</strong> aan goed op de hoogte te zijn van <strong>BYOD</strong>security<br />
op zowel str<strong>at</strong>egisch (beleid) als tactisch (technische ma<strong>at</strong>regel<strong>en</strong>)<br />
niveau.<br />
VR-9 W<strong>at</strong> was de belangrijkste motiv<strong>at</strong>ie om <strong>BYOD</strong>-te implem<strong>en</strong>ter<strong>en</strong>?<br />
Alle vijf de organis<strong>at</strong>ies meld<strong>en</strong> d<strong>at</strong> voor h<strong>en</strong> e<strong>en</strong> belangrijke red<strong>en</strong> om <strong>BYOD</strong> te<br />
onderzoek<strong>en</strong> <strong>en</strong> implem<strong>en</strong>ter<strong>en</strong>, was om mee te gaan met de tr<strong>en</strong>d, innov<strong>at</strong>ief te<br />
Pagina | 33
lijv<strong>en</strong> <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> aan de vraag vanuit de organis<strong>at</strong>ie te will<strong>en</strong> voldo<strong>en</strong>. Alle<br />
geïnterviewde organis<strong>at</strong>ies war<strong>en</strong> van m<strong>en</strong>ing d<strong>at</strong> <strong>BYOD</strong> e<strong>en</strong> ontwikkeling is die<br />
onmogelijk is teg<strong>en</strong> te houd<strong>en</strong>.<br />
Andere argum<strong>en</strong>t<strong>en</strong> voor <strong>BYOD</strong> war<strong>en</strong>:<br />
voorkom<strong>en</strong> van gegev<strong>en</strong>sverlies (D<strong>at</strong>a Leakage Prev<strong>en</strong>tion)<br />
<strong>BYOD</strong> is e<strong>en</strong> tr<strong>en</strong>d die niet te stopp<strong>en</strong> is, werknemers vind<strong>en</strong> toch wel e<strong>en</strong><br />
manier om zakelijke gegev<strong>en</strong>s op persoonlijke appar<strong>at</strong><strong>en</strong> te krijg<strong>en</strong>. Door<br />
deze tr<strong>en</strong>d niet formeel te omarm<strong>en</strong>, mist e<strong>en</strong> organis<strong>at</strong>ie de kans op controle<br />
<strong>en</strong> overzicht van zakelijke gegev<strong>en</strong>s. Door <strong>BYOD</strong> juist wel formeel te<br />
accepter<strong>en</strong> <strong>en</strong> omarm<strong>en</strong>, kunn<strong>en</strong> str<strong>at</strong>egische <strong>en</strong> tactische middel<strong>en</strong> (beleid,<br />
procedures <strong>en</strong> tools) word<strong>en</strong> bedacht <strong>en</strong> ingezet om verlies van vertrouwelijke<br />
gegev<strong>en</strong>s zoveel mogelijk te voorkom<strong>en</strong> <strong>en</strong>/of beperk<strong>en</strong>.<br />
aantrekk<strong>en</strong> van werknemers met voorkeur voor nieuwe technologie<br />
aantrekk<strong>en</strong> jonge werknemers<br />
Twee organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> de verhoging van de productiviteit niet de<br />
belangrijkste red<strong>en</strong> was om <strong>BYOD</strong> toe te staan. Twee organis<strong>at</strong>ies gev<strong>en</strong><br />
bov<strong>en</strong>di<strong>en</strong> aan d<strong>at</strong> kost<strong>en</strong>besparing ge<strong>en</strong> primaire red<strong>en</strong> was om <strong>BYOD</strong> te<br />
accepter<strong>en</strong>.<br />
Drie van de vijf organis<strong>at</strong>ies gev<strong>en</strong> verhoging van de productiviteit (efficiëntie,<br />
bereikbaarheid) aan als e<strong>en</strong> andere belangrijke red<strong>en</strong> om <strong>BYOD</strong> te omarm<strong>en</strong>.<br />
5.3 Result<strong>at</strong><strong>en</strong> m.b.t. deelvraag 1<br />
Hoe is het security-beleid van organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept<br />
geïmplem<strong>en</strong>teerd hebb<strong>en</strong> of dit serieus overweg<strong>en</strong>, tot stand gekom<strong>en</strong>, w<strong>at</strong><br />
is de inhoud van dit security-beleid <strong>en</strong> welke security-ma<strong>at</strong>regel<strong>en</strong> zijn<br />
geïmplem<strong>en</strong>teerd?<br />
VR-10 Welke definitie wordt binn<strong>en</strong> uw organis<strong>at</strong>ie gehanteerd voor het<br />
<strong>BYOD</strong>-concept?<br />
Vier organis<strong>at</strong>ies d<strong>en</strong>k<strong>en</strong> grofweg hetzelfde over de definitie van <strong>BYOD</strong> <strong>en</strong> vind<strong>en</strong><br />
twee onderdel<strong>en</strong> daarin k<strong>en</strong>merk<strong>en</strong>d. T<strong>en</strong> eerste d<strong>at</strong> het appara<strong>at</strong> van de<br />
werknemer zelf is <strong>en</strong> t<strong>en</strong> tweede d<strong>at</strong> dit appara<strong>at</strong> (ook) gebruikt wordt voor<br />
zakelijke doeleind<strong>en</strong>. Ze definiër<strong>en</strong> <strong>BYOD</strong> als: Toestaan d<strong>at</strong> werknemers zelf<br />
aangeschafte mobiele appar<strong>at</strong><strong>en</strong> kunn<strong>en</strong> koppel<strong>en</strong> aan zakelijke gegev<strong>en</strong>s,<br />
applic<strong>at</strong>ies <strong>en</strong> infrastructuur. Eén organis<strong>at</strong>ie ziet <strong>BYOD</strong> als kleine schakel in e<strong>en</strong><br />
groter geheel (Enterprise Mobility) <strong>en</strong> vindt het niet relevant wi<strong>en</strong>s eig<strong>en</strong>dom e<strong>en</strong><br />
mobiel appara<strong>at</strong> is, zolang de gebruiker maar toegang heeft tot de noodzakelijke<br />
inform<strong>at</strong>ie.<br />
VR-11 Om welke red<strong>en</strong> heeft uw organis<strong>at</strong>ie overwog<strong>en</strong> om het <strong>BYOD</strong>concept<br />
te onderzoek<strong>en</strong> <strong>en</strong> mogelijk te implem<strong>en</strong>ter<strong>en</strong>?<br />
Pagina | 34
Zie vraag 9.<br />
VR-12 Heeft u, of uw organis<strong>at</strong>ie onderzoek gedaan naar de voor- <strong>en</strong><br />
nadel<strong>en</strong> van <strong>BYOD</strong> voorafgaand aan de implem<strong>en</strong>t<strong>at</strong>ie ervan? Welke<br />
voor- <strong>en</strong> nadel<strong>en</strong> kwam<strong>en</strong> naar vor<strong>en</strong> a.d.h.v. dit vooronderzoek?<br />
Slechts twee geïnterviewde organis<strong>at</strong>ies hebb<strong>en</strong> vooronderzoek gedaan naar de<br />
voor- <strong>en</strong> nadel<strong>en</strong> van <strong>BYOD</strong>. Eén van die twee organis<strong>at</strong>ies geeft aan eerst<br />
onderzoek naar de techniek te hebb<strong>en</strong> gedaan, <strong>en</strong> daarna pas naar het beleid.<br />
De andere organis<strong>at</strong>ie die vooronderzoek heeft gedaan, maar als <strong>en</strong>ige <strong>BYOD</strong><br />
nog niet officieel toesta<strong>at</strong>, meldt het voorkom<strong>en</strong> van d<strong>at</strong>a leakage als grootste<br />
voordeel (zie motiv<strong>at</strong>ie <strong>bij</strong> vraag 9) <strong>en</strong> extra kost<strong>en</strong> <strong>en</strong> risico’s als belangrijkste<br />
nadel<strong>en</strong>.<br />
Drie geïnterviewde organis<strong>at</strong>ies hebb<strong>en</strong> ge<strong>en</strong> <strong>en</strong>kele vorm van vooronderzoek<br />
gedaan naar de voor- <strong>en</strong> nadel<strong>en</strong> van <strong>BYOD</strong>. Eén van deze organis<strong>at</strong>ies geeft aan<br />
dit in de toekomst wel meer te gaan do<strong>en</strong>. Verder wordt door e<strong>en</strong> andere<br />
organis<strong>at</strong>ie, die ge<strong>en</strong> vooronderzoek heeft gedaan, wel aangegev<strong>en</strong> d<strong>at</strong> ze<br />
hebb<strong>en</strong> nagedacht over de risico’s.<br />
VR-13 Hoe heeft uw organis<strong>at</strong>ie, voorafgaand aan de daadwerkelijke<br />
accept<strong>at</strong>ie <strong>en</strong> implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept, geanticipeerd op<br />
mogelijke extra risico’s <strong>en</strong> m.b.t. de inform<strong>at</strong>iebeveiliging?<br />
De manier waarop de vijf verschill<strong>en</strong>de organis<strong>at</strong>ies anticiper<strong>en</strong> op mogelijke<br />
risico’s die <strong>BYOD</strong> met zich meebr<strong>en</strong>gt, verschilt nogal. Zo wordt <strong>en</strong>erzijds gemeld<br />
d<strong>at</strong> er helemaal niet is geanticipeerd op risico’s <strong>en</strong> “on the fly” wordt geleerd.<br />
Anderzijds meld<strong>en</strong> twee organis<strong>at</strong>ies d<strong>at</strong> ze e<strong>en</strong> aantal technische securityma<strong>at</strong>regel<strong>en</strong><br />
hebb<strong>en</strong> ingezet, zoals e<strong>en</strong> <strong>BYOD</strong>-specifiek wachtwoordbeleid,<br />
autom<strong>at</strong>ische device lock <strong>en</strong> de mogelijkheid tot e<strong>en</strong> remote wipe/block.<br />
VR-14 Er is nog weinig wet<strong>en</strong>schappelijke k<strong>en</strong>nis m.b.t. <strong>BYOD</strong> <strong>en</strong> de effect<strong>en</strong><br />
daarvan op organis<strong>at</strong>ies, inform<strong>at</strong>iebeveiliging <strong>en</strong> werknemers. Op<br />
basis waarvan heeft u invulling gegev<strong>en</strong> aan uw huidige <strong>BYOD</strong>security?<br />
Op de vraag naar hoe de vijf organis<strong>at</strong>ies invulling hebb<strong>en</strong> gegev<strong>en</strong> aan hun<br />
specifieke <strong>BYOD</strong>-security, zijn de antwoord<strong>en</strong> niet zo heel verschill<strong>en</strong>d. Ze<br />
hebb<strong>en</strong> namelijk allemaal zelf onderzoek gedaan, op basis van zelf uitprober<strong>en</strong><br />
(trial-and-error) k<strong>en</strong>nis verkreg<strong>en</strong> <strong>en</strong> gebruik gemaakt van al aanwezige k<strong>en</strong>nis<br />
in de organis<strong>at</strong>ie. Twee organis<strong>at</strong>ies hebb<strong>en</strong> gekek<strong>en</strong> naar hoe andere<br />
organis<strong>at</strong>ies het <strong>BYOD</strong> vraagstuk aan hebb<strong>en</strong> gepakt.<br />
VR-15 Welke afdeling<strong>en</strong> <strong>en</strong> medewerkers zijn betrokk<strong>en</strong> geweest <strong>bij</strong> de<br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept <strong>en</strong> de inform<strong>at</strong>iebeveiliging daar<br />
omhe<strong>en</strong>?<br />
Bij de totstandkoming van de <strong>BYOD</strong>-security zijn <strong>bij</strong> vier organis<strong>at</strong>ies vooral de<br />
IT-afdeling<strong>en</strong> <strong>en</strong> IT-specialist<strong>en</strong> betrokk<strong>en</strong> geweest. Bij één organis<strong>at</strong>ie, waar<br />
<strong>BYOD</strong> onderdeel is van de bedrijfscultuur, is niemand formeel betrokk<strong>en</strong> <strong>bij</strong> de<br />
totstandkoming van de <strong>BYOD</strong>-security. Bij twee organis<strong>at</strong>ies was ook het<br />
Pagina | 35
managem<strong>en</strong>t zijdelings betrokk<strong>en</strong>. Bij één organis<strong>at</strong>ie was tev<strong>en</strong>s de<br />
ondernemingsraad betrokk<strong>en</strong>.<br />
VR-16 Kunt u gedetailleerd beschrijv<strong>en</strong> hoe d<strong>at</strong> proces, de totstandkoming<br />
van de <strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ie <strong>en</strong> de inform<strong>at</strong>iebeveiliging daaromhe<strong>en</strong>,<br />
tot stand is gekom<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie?<br />
Vier organis<strong>at</strong>ies gev<strong>en</strong> duidelijk aan d<strong>at</strong> <strong>BYOD</strong> voornamelijk is ontstaan vanuit<br />
de werkvloer (bottom-up). Medewerkers nam<strong>en</strong> zelf steeds meer hun eig<strong>en</strong><br />
smartphones <strong>en</strong> tablets mee, met de vraag of deze aan het organis<strong>at</strong>i<strong>en</strong>etwerk<br />
gekoppeld kond<strong>en</strong> <strong>en</strong> mocht<strong>en</strong> word<strong>en</strong>. Slechts <strong>bij</strong> één organis<strong>at</strong>ie, de <strong>en</strong>ige<br />
waar <strong>BYOD</strong> nog niet officieel is toegestaan, initieerde de <strong>BYOD</strong>-gedachte topdown.<br />
De Chief Inform<strong>at</strong>ion Officer heeft daar de opdracht gegev<strong>en</strong> <strong>BYOD</strong> te<br />
verk<strong>en</strong>n<strong>en</strong>.<br />
VR-17 Hoe wijkt de inform<strong>at</strong>iebeveiliging m.b.t. de implem<strong>en</strong>t<strong>at</strong>ie van het<br />
<strong>BYOD</strong>-concept binn<strong>en</strong> uw organis<strong>at</strong>ie af van die <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong><br />
die ge<strong>en</strong> eig<strong>en</strong>dom zijn van de werknemers, maar uw IT-afdeling?<br />
Vier organis<strong>at</strong>ies vind<strong>en</strong> het concept <strong>en</strong> principe achter <strong>BYOD</strong>-security niet heel<br />
verschill<strong>en</strong>d t.o.v. g<strong>en</strong>erieke (mobiele) security. Deze organis<strong>at</strong>ies zijn echter wel<br />
van m<strong>en</strong>ing d<strong>at</strong> <strong>BYOD</strong>-security technisch anders aangepakt <strong>en</strong> b<strong>en</strong>aderd moet<br />
word<strong>en</strong>. Drie van deze vier organis<strong>at</strong>ies noem<strong>en</strong> voornamelijk het<br />
eig<strong>en</strong>domsrecht (juridisch) <strong>en</strong> de verminderde zegg<strong>en</strong>schap (controle <strong>en</strong><br />
beperking<strong>en</strong>), als belangrijke, niet-technische verschill<strong>en</strong>. Slechts één organis<strong>at</strong>ie<br />
is expliciet van m<strong>en</strong>ing d<strong>at</strong> <strong>BYOD</strong>-security e<strong>en</strong> compleet andere tak van sport is<br />
dan g<strong>en</strong>erieke (mobiele) security.<br />
VR-18 Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>,<br />
van het security-beleid d<strong>at</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie wordt gehanteerd<br />
m.b.t. <strong>BYOD</strong>?<br />
De antwoord<strong>en</strong> op de interviewvraag om de belangrijkste hoofdlijn<strong>en</strong> van de<br />
<strong>BYOD</strong> security-beleid te beschrijv<strong>en</strong>, lop<strong>en</strong> flink uite<strong>en</strong>. Zo wordt o.a. gesprok<strong>en</strong><br />
over e<strong>en</strong> jaarlijkse audit <strong>en</strong> evalu<strong>at</strong>ie, waarna het <strong>BYOD</strong> security-beleid wordt<br />
aangepast. Bij ad-hoc ontwikkeling<strong>en</strong> of incid<strong>en</strong>t<strong>en</strong> wordt het beleid echter wel<br />
direct aangepast. Ook het uitgangspunt d<strong>at</strong> d<strong>at</strong>a-<strong>at</strong>-rest <strong>en</strong> d<strong>at</strong>a-in-transport<br />
altijd veilig moet zijn, komt voor<strong>bij</strong>. Net zoals het uitgangspunt d<strong>at</strong> e<strong>en</strong> eerste<br />
aanmelding van e<strong>en</strong> <strong>BYOD</strong>-appara<strong>at</strong> altijd vanaf e<strong>en</strong> vertrouwde loc<strong>at</strong>ie moet<br />
gebeur<strong>en</strong>.<br />
Eén organis<strong>at</strong>ie, waar <strong>BYOD</strong> onderdeel is van de bedrijfscultuur, geeft aan d<strong>at</strong> er<br />
helemaal ge<strong>en</strong> security-beleid is, <strong>en</strong> er voorlopig ook niet zal kom<strong>en</strong>. E<strong>en</strong> andere<br />
organis<strong>at</strong>ie, waar <strong>BYOD</strong> nog niet officieel is uitgerold, meldt d<strong>at</strong> ook het beleid<br />
nog volop in ontwikkeling is. E<strong>en</strong> derde organis<strong>at</strong>ie meldt d<strong>at</strong> er wordt gewerkt<br />
met e<strong>en</strong> verouderd security-beleid uit 2011 <strong>en</strong> de 2013 versie nog uitgewerkt<br />
moet word<strong>en</strong>.<br />
VR-19 Hoe effectief is dit security-beleid?<br />
Pagina | 36
Slechts drie organis<strong>at</strong>ies kunn<strong>en</strong> hier inhoudelijk antwoord op gev<strong>en</strong> omd<strong>at</strong> ze op<br />
mom<strong>en</strong>t van het interview daadwerkelijk e<strong>en</strong> <strong>BYOD</strong> security-beleid actief<br />
hadd<strong>en</strong>. Alle drie vind<strong>en</strong> het beleid in beginsel effectief <strong>en</strong> goed g<strong>en</strong>oeg. Eén<br />
organis<strong>at</strong>ie van deze drie vindt het echter niet effectief m.b.t. specifiek <strong>BYOD</strong><br />
vanwege e<strong>en</strong> reactieve i.p.v. proactieve houding. E<strong>en</strong> andere organis<strong>at</strong>ie van<br />
deze drie zegt d<strong>at</strong> het beleid de grootste problem<strong>en</strong> opvangt, maar d<strong>at</strong> het nog<br />
wel erg minimalistisch <strong>en</strong> e<strong>en</strong>voudig van opzet is.<br />
VR-20 Wordt in dit security-beleid ook voorgeschrev<strong>en</strong> d<strong>at</strong> bepaalde software<br />
(apps) wel/niet gebruikt mag word<strong>en</strong>?<br />
Twee organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> hun <strong>BYOD</strong> security-beleid niet voorschrijft of<br />
bepaalde software (apps) wel of niet geïnstalleerd mag word<strong>en</strong>. Eén organis<strong>at</strong>ie<br />
geeft aan d<strong>at</strong> dit binn<strong>en</strong>kort wordt opg<strong>en</strong>om<strong>en</strong> in hun security-beleid. E<strong>en</strong><br />
andere organis<strong>at</strong>ie heeft ge<strong>en</strong> <strong>BYOD</strong> security-beleid, <strong>en</strong> dus mag alles<br />
geïnstalleerd word<strong>en</strong>. Eén organis<strong>at</strong>ie zit nog in de verk<strong>en</strong>ningsfase <strong>en</strong> heeft dus<br />
nog ge<strong>en</strong> actief security-beleid. Deze organis<strong>at</strong>ie kan wel meld<strong>en</strong> d<strong>at</strong> niet zomaar<br />
alle software <strong>en</strong> apps toegestaan gaan word<strong>en</strong> wanneer <strong>BYOD</strong> daadwerkelijk<br />
wordt gerealiseerd.<br />
VR-21 Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van<br />
de (technische) security-ma<strong>at</strong>regel<strong>en</strong> die binn<strong>en</strong> uw organis<strong>at</strong>ie zijn<br />
geïmplem<strong>en</strong>teerd m.b.t. <strong>BYOD</strong>?<br />
Vier organis<strong>at</strong>ies noem<strong>en</strong> de remote wipe/block <strong>en</strong> e<strong>en</strong> pincode als gebruikte<br />
tactische <strong>BYOD</strong> security-ma<strong>at</strong>regel. Drie daarvan noem<strong>en</strong> ook nog <strong>en</strong>cryptie. Eén<br />
organis<strong>at</strong>ie noemt compliance checking ter voorkoming van gejailbreakde (iOS)<br />
of geroote (Android) appar<strong>at</strong><strong>en</strong> 2 . Daarnaast word<strong>en</strong> d<strong>at</strong>aret<strong>en</strong>tie 3 , VPNverbinding<br />
4 <strong>en</strong> applic<strong>at</strong>ion control 5 door één van de organis<strong>at</strong>ies g<strong>en</strong>oemd als<br />
technische middel<strong>en</strong>.<br />
VR-22 Hoe effectief zijn deze security-ma<strong>at</strong>regel<strong>en</strong>?<br />
Alle vijf de geïnterviewde organis<strong>at</strong>ies gev<strong>en</strong> aan bov<strong>en</strong>g<strong>en</strong>oemde securityma<strong>at</strong>regel<strong>en</strong><br />
vrij effectief te vind<strong>en</strong>. De één noemt het zelfs te effectief, omd<strong>at</strong><br />
<strong>bij</strong> e<strong>en</strong> remote wipe ook privégegev<strong>en</strong>s word<strong>en</strong> gewist. De ander bekijkt het<br />
theoretischer <strong>en</strong> red<strong>en</strong>eert d<strong>at</strong> het effectief is omd<strong>at</strong> er controle is vanuit de<br />
organis<strong>at</strong>ie. Er wordt ook door één organis<strong>at</strong>ie gezegd d<strong>at</strong> het desondanks niet<br />
w<strong>at</strong>erdicht is.<br />
VR-23 Kan met deze security-ma<strong>at</strong>regel<strong>en</strong> ook word<strong>en</strong> afgedwong<strong>en</strong> welke<br />
software (apps) wel/niet gebruikt kan word<strong>en</strong> door ze op afstand te<br />
verwijder<strong>en</strong> of blokker<strong>en</strong>?<br />
Drie van de onderzochte organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> het nu nog niet mogelijk is<br />
om software of apps op afstand te verwijder<strong>en</strong> of te blokker<strong>en</strong>. Eén organis<strong>at</strong>ie<br />
2<br />
Bij jailbreak<strong>en</strong> of root<strong>en</strong> wordt de originele firmware vervang<strong>en</strong> door e<strong>en</strong> aangepaste versie. Hierdoor word<strong>en</strong><br />
beperking<strong>en</strong> omzeild <strong>en</strong> kom<strong>en</strong> extra functies beschikbaar.<br />
3<br />
Afdwing<strong>en</strong> hoeveel <strong>en</strong> hoelang zakelijke mail lokaal wordt bewaard op e<strong>en</strong> mobiel appara<strong>at</strong>.<br />
4<br />
<strong>BYOD</strong> appara<strong>at</strong> maakt e<strong>en</strong> versleutelde <strong>en</strong> veilige verbinding met bedrijfsinfrastructuur via VPN.<br />
5 Id<strong>en</strong>tificer<strong>en</strong>, monitor<strong>en</strong>, beher<strong>en</strong> <strong>en</strong> rapporter<strong>en</strong> m.b.t. geïnstalleerde software <strong>en</strong> apps<br />
Pagina | 37
geeft aan d<strong>at</strong> ze dit wel kunn<strong>en</strong>, maar nog niet do<strong>en</strong>. De organis<strong>at</strong>ie waar <strong>BYOD</strong><br />
nog in de verk<strong>en</strong>ningsfase zit, geeft aan dit alle<strong>en</strong> binn<strong>en</strong> het zakelijke deel te<br />
will<strong>en</strong> kunn<strong>en</strong> <strong>en</strong> expliciet niet in het privé-deel.<br />
VR-24 Stelt uw organis<strong>at</strong>ie ook zelf software (apps) beschikbaar?<br />
Twee van de vijf organis<strong>at</strong>ies gev<strong>en</strong> aan zelf ge<strong>en</strong> software of apps beschikbaar<br />
te stell<strong>en</strong>. Twee andere organis<strong>at</strong>ies gev<strong>en</strong> aan dit wel te do<strong>en</strong>, er is echter e<strong>en</strong><br />
klein aanbod <strong>en</strong> alles verloopt dan via de Enterprise app store. De organis<strong>at</strong>ie<br />
waar <strong>BYOD</strong> nog in de verk<strong>en</strong>ningsfase zit, geeft aan d<strong>at</strong> corpor<strong>at</strong>e apps in de<br />
toekomst beschikbaar zull<strong>en</strong> word<strong>en</strong> gesteld.<br />
VR-25 Welke aanpassing<strong>en</strong> aan het security-beleid <strong>en</strong> technische securityma<strong>at</strong>regel<strong>en</strong><br />
in het kader van <strong>BYOD</strong> zou u <strong>bij</strong> e<strong>en</strong> volg<strong>en</strong>de herzi<strong>en</strong>ing<br />
will<strong>en</strong> doorvoer<strong>en</strong>? En waarom?<br />
W<strong>at</strong> de vijf organis<strong>at</strong>ies <strong>bij</strong> e<strong>en</strong> kom<strong>en</strong>de herzi<strong>en</strong>ing van het <strong>BYOD</strong> securitybeleid<br />
will<strong>en</strong> bereik<strong>en</strong>, is tamelijk divers. De belangrijkste zijn:<br />
Vier organis<strong>at</strong>ies gev<strong>en</strong> aan binn<strong>en</strong>kort Mobile Device Managem<strong>en</strong>t<br />
software te gaan gebruik<strong>en</strong> om effectief security-risico’s te kunn<strong>en</strong><br />
mitiger<strong>en</strong>.<br />
Twee organis<strong>at</strong>ies will<strong>en</strong> antivirussoftware voor Android gebaseerde<br />
appar<strong>at</strong><strong>en</strong> verplicht<strong>en</strong>.<br />
Eén organis<strong>at</strong>ie wil <strong>BYOD</strong> ontmoedig<strong>en</strong> <strong>en</strong> werknemers stimuler<strong>en</strong> om voor<br />
het Choose Your Own Device concept te kiez<strong>en</strong>.<br />
Eén organis<strong>at</strong>ie ziet e<strong>en</strong> grotere rol voor de Enterprise app store<br />
Eén organis<strong>at</strong>ie wil bredere ondersteuning voor appar<strong>at</strong><strong>en</strong> <strong>en</strong> e<strong>en</strong> pass<strong>en</strong>d<br />
beleid daar<strong>bij</strong>.<br />
Eén organis<strong>at</strong>ie wil alle verantwoordelijkheid, recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> <strong>bij</strong> de<br />
werknemers neerlegg<strong>en</strong> (via HR).<br />
5.4 Result<strong>at</strong><strong>en</strong> m.b.t. deelvraag 2<br />
Welke <strong>privacy</strong>problem<strong>en</strong> (spanningsveld<strong>en</strong>) spel<strong>en</strong> <strong>bij</strong> e<strong>en</strong> <strong>BYOD</strong>implem<strong>en</strong>t<strong>at</strong>ie,<br />
tuss<strong>en</strong> de hardware van de medewerker <strong>en</strong>erzijds <strong>en</strong> de<br />
inform<strong>at</strong>iebeveiliging van (vertrouwelijke) gegev<strong>en</strong>s van de organis<strong>at</strong>ie<br />
anderzijds, die zijn ontstaan door het gekoz<strong>en</strong> security-beleid <strong>en</strong> de<br />
getroff<strong>en</strong> security-ma<strong>at</strong>regel<strong>en</strong>?<br />
VR-26 Zijn er voorwaard<strong>en</strong> waar uw werknemers mee akkoord moet<strong>en</strong> gaan<br />
voord<strong>at</strong> ze gebruik kunn<strong>en</strong> mak<strong>en</strong> van het <strong>BYOD</strong>-concept binn<strong>en</strong> uw<br />
organis<strong>at</strong>ie? Kunt u deze voorwaard<strong>en</strong> op hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Twee van de vijf geïnterviewde organis<strong>at</strong>ies meld<strong>en</strong> d<strong>at</strong> er specifieke<br />
voorwaard<strong>en</strong> geld<strong>en</strong> m.b.t. het gebruik van eig<strong>en</strong> appar<strong>at</strong>uur voor zakelijke<br />
doeleind<strong>en</strong>. Deze voorwaard<strong>en</strong> word<strong>en</strong> echter niet duidelijk <strong>en</strong> expliciet<br />
gecommuniceerd naar de werknemers, gev<strong>en</strong> deze twee organis<strong>at</strong>ies toe. Eén<br />
organis<strong>at</strong>ie meldt d<strong>at</strong> er ge<strong>en</strong> specifieke <strong>BYOD</strong>-voorwaard<strong>en</strong> zijn, <strong>en</strong> d<strong>at</strong> de<br />
algem<strong>en</strong>e arbeidsvoorwaard<strong>en</strong> geld<strong>en</strong>. E<strong>en</strong> andere organis<strong>at</strong>ie meldt d<strong>at</strong> de<br />
Pagina | 38
gebruiker autom<strong>at</strong>isch akkoord ga<strong>at</strong> met de spelregels wanneer de verplichte<br />
softwarecli<strong>en</strong>t wordt geïnstalleerd na aanmelding van het <strong>BYOD</strong>-appara<strong>at</strong> <strong>bij</strong> de<br />
IT-afdeling. De organis<strong>at</strong>ie die nog in het verk<strong>en</strong>ningstraject zit, la<strong>at</strong> wet<strong>en</strong> d<strong>at</strong><br />
de huidige voorwaard<strong>en</strong> teg<strong>en</strong> het licht zull<strong>en</strong> word<strong>en</strong> gehoud<strong>en</strong> <strong>en</strong> mogelijk<br />
aangepast word<strong>en</strong> m.b.t. <strong>BYOD</strong>.<br />
VR-27 W<strong>at</strong> gebeurt er wanneer e<strong>en</strong> medewerker niet akkoord ga<strong>at</strong> met deze<br />
voorwaard<strong>en</strong>, maar wel de eig<strong>en</strong> hardware (met daarop eig<strong>en</strong><br />
software) wil gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>?<br />
Wanneer de arbeidsvoorwaard<strong>en</strong> (<strong>BYOD</strong>-specifieke of g<strong>en</strong>eriek) niet word<strong>en</strong><br />
geaccepteerd door e<strong>en</strong> werknemer, dan mag hij/zijn de functie niet uitoef<strong>en</strong><strong>en</strong><br />
<strong>bij</strong> twee van de vijf geïnterviewde organis<strong>at</strong>ies. Drie organis<strong>at</strong>ies meld<strong>en</strong> d<strong>at</strong> de<br />
werknemer dan beperkte toegang krijgt tot de bedrijfsinfrastructuur <strong>en</strong><br />
gegev<strong>en</strong>s.<br />
VR-28 Welke technische security-ma<strong>at</strong>regel<strong>en</strong> zorg<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie,<br />
in de context van het <strong>BYOD</strong>-concept voor id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong><br />
autoris<strong>at</strong>ie van de werknemers-eig<strong>en</strong> hardware op het bedrijfsnetwerk?<br />
Kunt u deze ma<strong>at</strong>regel<strong>en</strong> in hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
De technische security-ma<strong>at</strong>regel<strong>en</strong> die de vijf organis<strong>at</strong>ies in (gaan) zett<strong>en</strong> ter<br />
id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie kom<strong>en</strong> aardig overe<strong>en</strong>. Vier organis<strong>at</strong>ies<br />
noem<strong>en</strong> het gebruik van e<strong>en</strong> username <strong>en</strong> password <strong>en</strong> e<strong>en</strong> pincode. Twee<br />
daarvan meld<strong>en</strong> ook nog versleuteling van d<strong>at</strong>a <strong>en</strong> VPN. Eén organis<strong>at</strong>ie la<strong>at</strong><br />
wet<strong>en</strong> deze technische security-ma<strong>at</strong>regel<strong>en</strong> alle<strong>en</strong> af te kunn<strong>en</strong> dwing<strong>en</strong> als e<strong>en</strong><br />
softwarecli<strong>en</strong>t is geïnstalleerd. De organis<strong>at</strong>ie die nog in de verk<strong>en</strong>ningsfase zit,<br />
noemt verder ook nog de fysieke tok<strong>en</strong> als technische security-ma<strong>at</strong>regel.<br />
VR-29 Hebb<strong>en</strong> deze technische security-ma<strong>at</strong>regel<strong>en</strong> alle<strong>en</strong> invloed op de<br />
zakelijke applic<strong>at</strong>ies, mogelijkhed<strong>en</strong> <strong>en</strong> (toegang tot)<br />
bedrijfsgegev<strong>en</strong>s? Of hebb<strong>en</strong> ze ook invloed op het privégebruik,<br />
privésoftware (apps) <strong>en</strong> privégegev<strong>en</strong>s van de werknemer?<br />
Drie van de vijf geïnterviewde organis<strong>at</strong>ies gev<strong>en</strong> toe d<strong>at</strong> de technische securityma<strong>at</strong>regel<strong>en</strong>,<br />
die ze in het kader van <strong>BYOD</strong> hanter<strong>en</strong>, ook invloed hebb<strong>en</strong> op het<br />
privé-deel van het betreff<strong>en</strong>de appara<strong>at</strong>. De remote wipe/block <strong>en</strong> verplichte<br />
pincode is namelijk ook van toepassing buit<strong>en</strong> werktijd <strong>en</strong> op privégegev<strong>en</strong>s. Eén<br />
organis<strong>at</strong>ie meldt d<strong>at</strong> er niets geforceerd wordt (want ge<strong>en</strong> <strong>BYOD</strong>-beleid) <strong>en</strong> er<br />
dus ook ge<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> zijn die zowel zakelijk als privégebruik (<strong>en</strong> gegev<strong>en</strong>s)<br />
beïnvloed<strong>en</strong>. De organis<strong>at</strong>ie die nog in de verk<strong>en</strong>ningsfase zit, geeft aan als<br />
uitgangspunt te hebb<strong>en</strong> om e<strong>en</strong> strikte scheiding tuss<strong>en</strong> zakelijk <strong>en</strong> privé te<br />
will<strong>en</strong> aanbr<strong>en</strong>g<strong>en</strong>. Toekomstige technische security-ma<strong>at</strong>regel<strong>en</strong> zull<strong>en</strong> daarom<br />
alle<strong>en</strong> op het zakelijke deel (via het sandbox-concept) van toepassing zijn.<br />
VR-30 Maakt uw organis<strong>at</strong>ie gebruik van Mobile Device Managem<strong>en</strong>t (MDM)<br />
of Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t (MAM) software om <strong>BYOD</strong>hardware,<br />
<strong>en</strong> de software (apps) <strong>en</strong> gegev<strong>en</strong>s daarop, te beveilig<strong>en</strong><br />
<strong>en</strong> beher<strong>en</strong>? Zo Ja, hoe effectief is dit? Zo Nee, waarom niet?<br />
Pagina | 39
Ge<strong>en</strong> van de organis<strong>at</strong>ies heeft tijd<strong>en</strong>s het interview Mobile Device Managem<strong>en</strong>t 6<br />
(MDM) of Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t 7 (MAM) software geïmplem<strong>en</strong>teerd.<br />
Vier daarvan gev<strong>en</strong> aan d<strong>at</strong> in 2013 wel te will<strong>en</strong>. De red<strong>en</strong> hiervoor is d<strong>at</strong> ze<br />
van m<strong>en</strong>ing zijn d<strong>at</strong> gebruik van MDM-software e<strong>en</strong> effectieve manier kan zijn<br />
om de security- <strong>en</strong> <strong>privacy</strong>problem<strong>en</strong>, die inher<strong>en</strong>t zijn aan <strong>BYOD</strong>, te mitiger<strong>en</strong>.<br />
Eén organis<strong>at</strong>ie verkoopt weliswaar zelf aan externe klant<strong>en</strong> MDM/MAM software,<br />
maar zal het voorlopig niet intern gaan gebruik<strong>en</strong>.<br />
VR-31 Is deze Mobile Device Managem<strong>en</strong>t software in sta<strong>at</strong> om te controler<strong>en</strong><br />
of het besturingssysteem of de firmware van de <strong>BYOD</strong>-hardware<br />
aangepast is zod<strong>at</strong> software <strong>en</strong> functionaliteit toegevoegd kan word<strong>en</strong><br />
die oorspronkelijk niet door de fabrikant is toegestaan?<br />
(Jailbreak<strong>en</strong>/Root<strong>en</strong>)<br />
Alle vier de organis<strong>at</strong>ies die in de toekomst MDM software will<strong>en</strong> gaan gebruik<strong>en</strong>,<br />
gev<strong>en</strong> aan d<strong>at</strong> e<strong>en</strong> id<strong>en</strong>tific<strong>at</strong>ie <strong>en</strong> integriteitscheck op de firmware of het<br />
besturingssysteem mogelijk wordt. De organis<strong>at</strong>ie die voorlopig niet aan MDM<br />
ga<strong>at</strong> beginn<strong>en</strong>, maar dit wel zelf verkoopt, geeft aan d<strong>at</strong> hun product dit ook<br />
kan.<br />
VR-32 Volg<strong>en</strong>s rec<strong>en</strong>te vakliter<strong>at</strong>uur kan mobile malware e<strong>en</strong> grote<br />
bedreiging vorm<strong>en</strong> voor vertrouwelijke bedrijfsgegev<strong>en</strong>s op <strong>BYOD</strong>hardware.<br />
Zijn uw werknemers daarom verplicht om mobile security<br />
software te installer<strong>en</strong>? Zo Ja, wie is dan verantwoordelijk voor<br />
upd<strong>at</strong>es, p<strong>at</strong>ches <strong>en</strong> e<strong>en</strong> optimale bescherming? Zo Nee, hoe<br />
voorkomt uw organis<strong>at</strong>ie dan d<strong>at</strong> <strong>BYOD</strong>-hardware besmet raakt met<br />
malware <strong>en</strong> vertrouwelijke bedrijfsgegev<strong>en</strong>s (<strong>en</strong> privé gegev<strong>en</strong>s)<br />
daardoor in verkeerde hand<strong>en</strong> vall<strong>en</strong>?<br />
Drie organis<strong>at</strong>ies verplicht<strong>en</strong> hun werknemers niet om antivirus-software op het<br />
betreff<strong>en</strong>de <strong>BYOD</strong>-appara<strong>at</strong> te installer<strong>en</strong>. Ze gev<strong>en</strong> daar<strong>bij</strong> wel aan d<strong>at</strong> het<br />
gew<strong>en</strong>st is <strong>en</strong>/of in de toekomst verplicht zal word<strong>en</strong>. Drie organis<strong>at</strong>ies noem<strong>en</strong><br />
Google’s Android mobiele besturingssysteem als e<strong>en</strong> kwetsbaar pl<strong>at</strong>form waar in<br />
de toekomst als eerste antivirussoftware voor geïnstalleerd zal moet<strong>en</strong> word<strong>en</strong>.<br />
Drie organis<strong>at</strong>ies zi<strong>en</strong> hier e<strong>en</strong> rol voor de toekomstige MDM-software om de<br />
antivirussoftware te verplicht<strong>en</strong>, remote te installer<strong>en</strong> <strong>en</strong> te beher<strong>en</strong>. Eén<br />
organis<strong>at</strong>ie geeft aan d<strong>at</strong> het <strong>bij</strong> <strong>BYOD</strong>-laptops op mom<strong>en</strong>t van interview<strong>en</strong> wel<br />
verplicht is, maar nog niet op smartphones of tablets. Vier organis<strong>at</strong>ies nem<strong>en</strong><br />
het toekomstige beheer voor p<strong>at</strong>ches, upd<strong>at</strong>es <strong>en</strong> voorkom<strong>en</strong> van besmetting<strong>en</strong><br />
op zich. Slechts één organis<strong>at</strong>ie legt dit in de hand<strong>en</strong> van haar eig<strong>en</strong><br />
werknemers.<br />
VR-33 Binn<strong>en</strong> de context van het <strong>BYOD</strong>-concept, doet uw organis<strong>at</strong>ie aan<br />
D<strong>at</strong>a Leakage Protection (DLP)? D<strong>en</strong>k hier<strong>bij</strong> aan <strong>en</strong>cryptie van het<br />
interne geheug<strong>en</strong> <strong>en</strong>/of verwisselbare opslag. Zo Ja, omv<strong>at</strong> dit dan<br />
alle<strong>en</strong> zakelijke of ook privé gegev<strong>en</strong>s? Zo Nee, waarom niet?<br />
6<br />
Software die mobiele appar<strong>at</strong><strong>en</strong> beveiligt, controleert, beheert <strong>en</strong> ondersteunt. Zorgt voor distributie van<br />
applic<strong>at</strong>ies, upd<strong>at</strong>es, gegev<strong>en</strong>s <strong>en</strong> configur<strong>at</strong>ie-instelling<strong>en</strong>.<br />
7<br />
Software die zorgt voor distributie <strong>en</strong> beheer van zakelijke software aan mobiele appar<strong>at</strong><strong>en</strong>.<br />
Pagina | 40
Drie organis<strong>at</strong>ies meld<strong>en</strong> in het interview niet aan D<strong>at</strong>a Leakage Protection (DLP)<br />
te do<strong>en</strong>. Eén van die drie zegt d<strong>at</strong> dit niet mogelijk is omd<strong>at</strong> er nog ge<strong>en</strong> MDMsoftware<br />
is geïmplem<strong>en</strong>teerd. E<strong>en</strong> andere van die drie zegt d<strong>at</strong> werknemers hier<br />
zelf verantwoordelijk voor zijn. De organis<strong>at</strong>ie die nog in de verk<strong>en</strong>ningsfase zit,<br />
ziet <strong>BYOD</strong> als e<strong>en</strong> vorm van DLP. Slechts één organis<strong>at</strong>ie doet aan DLP <strong>en</strong> ziet in<br />
de toekomst e<strong>en</strong> grotere rol daarin voor de nog te implem<strong>en</strong>ter<strong>en</strong> MDM-software.<br />
VR-34 Welke controle <strong>en</strong>/of bevoegdheid heeft uw organis<strong>at</strong>ie over de<br />
(privé)inform<strong>at</strong>ie die aanwezig is op de hardware die eig<strong>en</strong>dom is van<br />
de medewerker?<br />
Eén organis<strong>at</strong>ie geeft aan ge<strong>en</strong> <strong>en</strong>kele vorm van controle <strong>en</strong>/of bevoegdheid te<br />
hebb<strong>en</strong> over de (privé)inform<strong>at</strong>ie die aanwezig is op de <strong>BYOD</strong>-hardware. Twee<br />
organis<strong>at</strong>ies gev<strong>en</strong> aan dit alle<strong>en</strong> met remote wipe/block te hebb<strong>en</strong>, maar d<strong>at</strong><br />
inzicht of manipul<strong>at</strong>ie van deze gegev<strong>en</strong>s niet tot de mogelijkhed<strong>en</strong> behoort. Eén<br />
organis<strong>at</strong>ie zegt de bevoegdheid te hebb<strong>en</strong> om zowel zakelijke als privégegev<strong>en</strong>s<br />
te kunn<strong>en</strong> verwijder<strong>en</strong> wanneer d<strong>at</strong> als noodzakelijk wordt gezi<strong>en</strong>. Tegelijkertijd<br />
geeft deze organis<strong>at</strong>ie aan d<strong>at</strong> met de MDM-software, die in 2013<br />
geïmplem<strong>en</strong>teerd ga<strong>at</strong> word<strong>en</strong>, beter onderscheid tuss<strong>en</strong> zakelijke- <strong>en</strong><br />
privégegev<strong>en</strong>s kan <strong>en</strong> zal word<strong>en</strong> gemaakt. De organis<strong>at</strong>ie die nog in de<br />
verk<strong>en</strong>ningsfase zit, la<strong>at</strong> wet<strong>en</strong> waarschijnlijk beperking<strong>en</strong> te gaan aanbr<strong>en</strong>g<strong>en</strong><br />
m.b.t. privégebruik wanneer het appara<strong>at</strong> gekoppeld is aan het<br />
organis<strong>at</strong>i<strong>en</strong>etwerk.<br />
VR-35 Kunt u beschrijv<strong>en</strong> wanneer, <strong>en</strong> in welke gevall<strong>en</strong> uw organis<strong>at</strong>ie deze<br />
controle <strong>en</strong> bevoegdheid kan <strong>en</strong> mag uitoef<strong>en</strong><strong>en</strong>?<br />
Twee organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> ze de bevoegdheid <strong>en</strong> controle uit vraag 34<br />
mog<strong>en</strong> <strong>en</strong> zull<strong>en</strong> uitvoer<strong>en</strong> <strong>bij</strong> o.a. diefstal of vermissing van het betreff<strong>en</strong>de<br />
<strong>BYOD</strong>-appara<strong>at</strong>. Eén organis<strong>at</strong>ie geeft aan d<strong>at</strong> dit alle<strong>en</strong> mag wanneer hier de<br />
opdracht vanuit de top van de organis<strong>at</strong>ie voor wordt gegev<strong>en</strong>, w<strong>at</strong> volg<strong>en</strong>s de<br />
geïnterviewde zeer uitzonderlijk is. Eén organis<strong>at</strong>ie geeft aan d<strong>at</strong> ze dit te all<strong>en</strong><br />
tijde mog<strong>en</strong>, <strong>en</strong> kunn<strong>en</strong> do<strong>en</strong> wanneer hier e<strong>en</strong> gegronde red<strong>en</strong> voor is. D<strong>en</strong>k<br />
aan (maar niet beperk<strong>en</strong>d tot) ontslag, diefstal of verlies. De organis<strong>at</strong>ie die nog<br />
in het verk<strong>en</strong>ningstraject zit, meldt d<strong>at</strong> nog niet definitief is vastgesteld wanneer<br />
ze deze bevoegdheid <strong>en</strong>/of controle mog<strong>en</strong> uitoef<strong>en</strong><strong>en</strong>.<br />
VR-36 Kunn<strong>en</strong> uw werknemers (privé)inform<strong>at</strong>ie op hardware, die ook wordt<br />
gebruikt voor zakelijke doeleind<strong>en</strong>, afscherm<strong>en</strong> teg<strong>en</strong> deze controle<br />
of bevoegdhed<strong>en</strong>?<br />
Twee organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> hun werknemers de privégegev<strong>en</strong>s op hun<br />
<strong>BYOD</strong>-appara<strong>at</strong> niet teg<strong>en</strong> de bevoegdhed<strong>en</strong> <strong>en</strong>/of controle uit vraag 34 kunn<strong>en</strong><br />
afscherm<strong>en</strong>. Eén organis<strong>at</strong>ie zegt d<strong>at</strong> afscherm<strong>en</strong> mogelijk wordt wanneer de<br />
werknemer het betreff<strong>en</strong>de <strong>BYOD</strong>-appara<strong>at</strong> niet verbindt met Internet. Het<br />
<strong>BYOD</strong>-appara<strong>at</strong> zal dan namelijk nooit het remote wipe/block commando<br />
ontvang<strong>en</strong>. Bij de andere organis<strong>at</strong>ie is deze vraag niet van toepassing, want<br />
ge<strong>en</strong> <strong>BYOD</strong>-beleid, dus ge<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> <strong>en</strong> dus ge<strong>en</strong> bevoegdheid/controle<br />
(alle<strong>en</strong> met zeer hoge uitzondering vanuit de top). Bij de organis<strong>at</strong>ie die nog in<br />
de verk<strong>en</strong>ningsfase zit, is m<strong>en</strong> er nog niet uit of werknemers hun privégegev<strong>en</strong>s<br />
moet<strong>en</strong> kunn<strong>en</strong> afscherm<strong>en</strong> hierteg<strong>en</strong>.<br />
Pagina | 41
VR-37 Hoe voorkomt u d<strong>at</strong> (IT)medewerkers van de organis<strong>at</strong>ie software of<br />
gegev<strong>en</strong>s, die aanwezig zijn op de hardware van de medewerker,<br />
zonder toestemming kunn<strong>en</strong> inzi<strong>en</strong>, aanpass<strong>en</strong>, vergr<strong>en</strong>del<strong>en</strong>,<br />
kopiër<strong>en</strong> of verwijder<strong>en</strong>?<br />
Alle vijf de geïnterviewde organis<strong>at</strong>ies zijn unaniem van m<strong>en</strong>ing d<strong>at</strong> het niet te<br />
voorkom<strong>en</strong> is d<strong>at</strong> medewerkers van de IT-afdeling zonder toestemming software<br />
of gegev<strong>en</strong>s op het <strong>BYOD</strong>-appara<strong>at</strong> van e<strong>en</strong> andere werknemer kunn<strong>en</strong> inzi<strong>en</strong>,<br />
aanpass<strong>en</strong>, vergr<strong>en</strong>del<strong>en</strong>, kopiër<strong>en</strong> of verwijder<strong>en</strong>. E<strong>en</strong> medewerker van de ITafdeling<br />
zou <strong>bij</strong>voorbeeld per ongeluk, of uit rancune, e<strong>en</strong> remote wipe/block<br />
kunn<strong>en</strong> uitvoer<strong>en</strong> op het mobiele appara<strong>at</strong> van e<strong>en</strong> andere werknemer. Eén<br />
organis<strong>at</strong>ie geeft aan d<strong>at</strong> alle<strong>en</strong> bevoegd<strong>en</strong> toegang <strong>en</strong> autoris<strong>at</strong>ie daartoe zull<strong>en</strong><br />
hebb<strong>en</strong>. E<strong>en</strong> andere organis<strong>at</strong>ie meldt stellig d<strong>at</strong> dieg<strong>en</strong>e te all<strong>en</strong> tijde getraceerd<br />
kan <strong>en</strong> zal word<strong>en</strong>, <strong>en</strong> dit einde arbeidscontract kan betek<strong>en</strong><strong>en</strong>.<br />
VR-38 Wanneer, <strong>en</strong> in welke gevall<strong>en</strong>, mag e<strong>en</strong> werknemer van uw ITafdeling<br />
overgaan tot op afstand wiss<strong>en</strong> of blokker<strong>en</strong> van het<br />
werknemers-eig<strong>en</strong> appara<strong>at</strong>?<br />
Drie organis<strong>at</strong>ies meld<strong>en</strong> d<strong>at</strong> e<strong>en</strong> remote wipe/block o.a. wordt uitgevoerd <strong>bij</strong><br />
e<strong>en</strong> gestol<strong>en</strong> of vermist <strong>BYOD</strong>-appara<strong>at</strong>. De organis<strong>at</strong>ie die in de verk<strong>en</strong>n<strong>en</strong>de<br />
fase zit, geeft daarnaast ook uit di<strong>en</strong>st tred<strong>en</strong> <strong>en</strong> fraude als red<strong>en</strong>. E<strong>en</strong> andere<br />
organis<strong>at</strong>ie geeft aan d<strong>at</strong> dit kan wanneer daar e<strong>en</strong> goede red<strong>en</strong> voor is, maar<br />
w<strong>at</strong> die dan exact zijn, wordt niet gedefinieerd. De la<strong>at</strong>ste organis<strong>at</strong>ie, waar ge<strong>en</strong><br />
<strong>BYOD</strong>-beleid aanwezig is, geeft aan d<strong>at</strong> e<strong>en</strong> remote wipe/block niet mogelijk is.<br />
VR-39 Kan er <strong>bij</strong> op afstand wiss<strong>en</strong> of blokker<strong>en</strong> onderscheid gemaakt<br />
word<strong>en</strong> tuss<strong>en</strong> software/gegev<strong>en</strong>s behor<strong>en</strong>de <strong>bij</strong> de organis<strong>at</strong>ie<br />
<strong>en</strong>erzijds of de eig<strong>en</strong>aar van de hardware, anderzijds?<br />
Vier van de geïnterviewde organis<strong>at</strong>ies, waar e<strong>en</strong> remote wipe/block tot de<br />
mogelijkhed<strong>en</strong> behoort, l<strong>at</strong><strong>en</strong> wet<strong>en</strong> d<strong>at</strong> het onmogelijk is om hier<strong>bij</strong> onderscheid<br />
te mak<strong>en</strong> tuss<strong>en</strong> zakelijke <strong>en</strong> privé. Twee daarvan zegg<strong>en</strong> d<strong>at</strong> dit wel mogelijk<br />
zal word<strong>en</strong> <strong>bij</strong> de toekomstige implem<strong>en</strong>t<strong>at</strong>ie van e<strong>en</strong> MDM. De derde organis<strong>at</strong>ie<br />
spreekt uit d<strong>at</strong> dit onderscheid wel e<strong>en</strong> w<strong>en</strong>s is voor de toekomst.<br />
VR-40 Welk beleid, <strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong>, zijn <strong>bij</strong> uw organis<strong>at</strong>ie van<br />
toepassing wanneer e<strong>en</strong> werknemer hardware als verlor<strong>en</strong> of<br />
gestol<strong>en</strong> opgeeft, <strong>en</strong> waar bedrijfsgegev<strong>en</strong>s op staan of toegang<br />
daartoe?<br />
Drie organis<strong>at</strong>ies l<strong>at</strong><strong>en</strong> wet<strong>en</strong> d<strong>at</strong> e<strong>en</strong> werknemer zelf e<strong>en</strong> melding moet mak<strong>en</strong><br />
<strong>bij</strong> de betreff<strong>en</strong>de IT-afdeling van e<strong>en</strong> gestol<strong>en</strong> of verlor<strong>en</strong> <strong>BYOD</strong>-appara<strong>at</strong>.<br />
Daarna wordt e<strong>en</strong> remote wipe/block ingepland. Bij één van deze drie<br />
organis<strong>at</strong>ies wordt de id<strong>en</strong>titeit van de werknemer geauth<strong>en</strong>tiseerd <strong>en</strong> ga<strong>at</strong> het<br />
betreff<strong>en</strong>de appara<strong>at</strong> bov<strong>en</strong>di<strong>en</strong> van e<strong>en</strong> whitelist af. Bij de organis<strong>at</strong>ie waar<br />
ge<strong>en</strong> <strong>BYOD</strong>-beleid aanwezig is, moet<strong>en</strong> medewerkers zelf de koppeling tuss<strong>en</strong><br />
cloud-di<strong>en</strong>st<strong>en</strong> <strong>en</strong> het gestol<strong>en</strong>/verlor<strong>en</strong> appara<strong>at</strong> ongedaan mak<strong>en</strong>. Bij de<br />
organis<strong>at</strong>ie die nog in e<strong>en</strong> verk<strong>en</strong>n<strong>en</strong>de fase zit, is deze procedure nog in<br />
ontwikkeling.<br />
Pagina | 42
VR-41 Zijn er in het verled<strong>en</strong> spanningsveld<strong>en</strong> geweest m.b.t. de <strong>privacy</strong> van<br />
uw medewerkers als gevolg van uw <strong>BYOD</strong>-security?<br />
Ge<strong>en</strong> <strong>en</strong>kele van de vijf geïnterviewde organis<strong>at</strong>ies zegt d<strong>at</strong> er ooit<br />
spanningsveld<strong>en</strong> zijn geweest m.b.t. de <strong>privacy</strong> van werknemers als gevolg van<br />
het gehanteerde <strong>BYOD</strong> security-beleid. Bij één organis<strong>at</strong>ie is <strong>BYOD</strong> nog niet<br />
officieel geïmplem<strong>en</strong>teerd, dus d<strong>at</strong> zou e<strong>en</strong> verklaring hiervoor kunn<strong>en</strong> zijn. Bij<br />
twee organis<strong>at</strong>ies geeft de geïnterviewde aan d<strong>at</strong> er ge<strong>en</strong> spanningsveld<strong>en</strong> zijn<br />
geweest, juist omd<strong>at</strong> er niets geforceerd wordt <strong>en</strong> <strong>BYOD</strong> helemaal de eig<strong>en</strong><br />
keuze <strong>en</strong> verantwoordelijkheid van de werknemers is. E<strong>en</strong> andere organis<strong>at</strong>ie<br />
geeft aan d<strong>at</strong> er slechts e<strong>en</strong> paar vrag<strong>en</strong> vanuit de organis<strong>at</strong>ie over de <strong>privacy</strong><br />
binn<strong>en</strong> zijn gekom<strong>en</strong>, maar d<strong>at</strong> het daar<strong>bij</strong> is geblev<strong>en</strong>. E<strong>en</strong> andere organis<strong>at</strong>ie<br />
la<strong>at</strong> wet<strong>en</strong> d<strong>at</strong> ev<strong>en</strong>tuele spanningsveld<strong>en</strong> m.b.t. de <strong>privacy</strong> in ieder geval nog<br />
nooit tot str<strong>at</strong>egisch niveau geëscaleerd zijn, <strong>en</strong> daarom <strong>bij</strong> de geïnterviewde<br />
onbek<strong>en</strong>d zijn.<br />
5.5 Result<strong>at</strong><strong>en</strong> m.b.t. deelvraag 3<br />
W<strong>at</strong> do<strong>en</strong> organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept hebb<strong>en</strong> geïmplem<strong>en</strong>teerd of<br />
dit serieus overweg<strong>en</strong>, eraan om te voorkom<strong>en</strong> d<strong>at</strong> het security-beleid <strong>en</strong><br />
de security-ma<strong>at</strong>regel<strong>en</strong> e<strong>en</strong> inbreuk vorm<strong>en</strong> op de <strong>privacy</strong> van de<br />
werknemers?<br />
VR-42 Heeft uw organis<strong>at</strong>ie ma<strong>at</strong>regel<strong>en</strong> getroff<strong>en</strong> om inbreuk op de<br />
<strong>privacy</strong> van werknemers t<strong>en</strong> gevolge van de <strong>BYOD</strong>-security, te<br />
voorkom<strong>en</strong>?<br />
Bij de vier organis<strong>at</strong>ies waar <strong>BYOD</strong> al toegestaan is, word<strong>en</strong> ge<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong><br />
getroff<strong>en</strong> om inbreuk op de <strong>privacy</strong> van werknemers t<strong>en</strong> gevolge van de <strong>BYOD</strong>security,<br />
te voorkom<strong>en</strong>. Eén van deze organis<strong>at</strong>ies zegt op<strong>en</strong>lijk d<strong>at</strong> ze <strong>privacy</strong><br />
ondergeschikt vind<strong>en</strong> aan security. E<strong>en</strong> andere organis<strong>at</strong>ie zegt dit wel van plan<br />
te zijn <strong>bij</strong> de introductie van MDM-software in 2013. Bij de organis<strong>at</strong>ie waar ge<strong>en</strong><br />
<strong>BYOD</strong>-beleid aanwezig is, is er volg<strong>en</strong>s de geïnterviewde ge<strong>en</strong> sprake van<br />
inbreuk op de <strong>privacy</strong> van werknemers, dus zijn er ook ge<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> nodig.<br />
De la<strong>at</strong>ste van deze vier organis<strong>at</strong>ies is van m<strong>en</strong>ing d<strong>at</strong> ma<strong>at</strong>regel<strong>en</strong> teg<strong>en</strong><br />
<strong>privacy</strong>-inbreuk helemaal niet nodig zijn omd<strong>at</strong> er <strong>bij</strong> e<strong>en</strong> remote wipe ge<strong>en</strong><br />
onderscheid tuss<strong>en</strong> zakelijk <strong>en</strong> privégegev<strong>en</strong>s wordt gemaakt (alles of niets<br />
principe). De organis<strong>at</strong>ie die nog in de verk<strong>en</strong>n<strong>en</strong>de fase zit, geeft aan d<strong>at</strong> er<br />
daardoor per definitie nog ge<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> teg<strong>en</strong> <strong>privacy</strong>-inbreuk zijn<br />
getroff<strong>en</strong>. Daar wordt echter <strong>bij</strong> de toekomstige <strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ie goed over<br />
nagedacht, onder andere door de ondernemingsraad. Als uitgangspunt zal<br />
daarom e<strong>en</strong> strikte scheiding tuss<strong>en</strong> zakelijke <strong>en</strong> privégegev<strong>en</strong>s geld<strong>en</strong>, juist om<br />
toekomstige inbreuk op de <strong>privacy</strong> van werknemers te voorkom<strong>en</strong>.<br />
VR-43.1 Zo Nee, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> waarom niet?<br />
Alle organis<strong>at</strong>ies verwijz<strong>en</strong> naar hun antwoord op vraag 42 voor de motiv<strong>at</strong>ie<br />
waarom er (nog) ge<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> teg<strong>en</strong> inbreuk op de <strong>privacy</strong> van<br />
Pagina | 43
werknemers, t<strong>en</strong> gevolge van het (te implem<strong>en</strong>ter<strong>en</strong>) <strong>BYOD</strong>-beleid, zijn<br />
getroff<strong>en</strong>.<br />
VR-43.2 Is uw organis<strong>at</strong>ie in de toekomst wel van plan om deze<br />
ma<strong>at</strong>regel<strong>en</strong> te overweg<strong>en</strong>?<br />
Vier organis<strong>at</strong>ies, ook waar <strong>BYOD</strong> in de verk<strong>en</strong>ningsfase zit, gev<strong>en</strong> aan in de<br />
toekomst van plan te zijn ma<strong>at</strong>regel<strong>en</strong> ter voorkoming van <strong>privacy</strong> inbreuk door<br />
het gehanteerde <strong>BYOD</strong> security-beleid te overweg<strong>en</strong>. Twee organis<strong>at</strong>ies gev<strong>en</strong><br />
daar<strong>bij</strong> e<strong>en</strong> expliciete rol voor MDM-software aan. De <strong>en</strong>ige organis<strong>at</strong>ie die ge<strong>en</strong><br />
<strong>BYOD</strong> security-beleid heeft, <strong>en</strong> dit voorlopig ook niet zal hanter<strong>en</strong>, geeft aan d<strong>at</strong><br />
er ook ge<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> teg<strong>en</strong> <strong>privacy</strong>-inbreuk kom<strong>en</strong>. Deze organis<strong>at</strong>ie geeft<br />
aan d<strong>at</strong> de huidige m<strong>at</strong>e van <strong>BYOD</strong>-vrijheid, <strong>en</strong> ontbrek<strong>en</strong> van beperking<strong>en</strong>,<br />
alle<strong>en</strong> nog maar groter zal word<strong>en</strong> in de toekomst.<br />
VR-44.1 Zo Ja, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong> dit zijn?<br />
Twee organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> de inzet van MDM-software toekomstige<br />
ma<strong>at</strong>regel<strong>en</strong> zijn om de inbreuk op <strong>privacy</strong> van werknemers, als gevolg van het<br />
gekoz<strong>en</strong> <strong>BYOD</strong> security-beleid, te voorkom<strong>en</strong>. De organis<strong>at</strong>ie die nog in de<br />
verk<strong>en</strong>ningsfase zit, geeft aan nog ge<strong>en</strong> concrete, toekomstige ma<strong>at</strong>regel<strong>en</strong> te<br />
kunn<strong>en</strong> noem<strong>en</strong>. Op de organis<strong>at</strong>ie die ge<strong>en</strong> <strong>BYOD</strong> security-beleid hanteert, is<br />
deze vraag niet van toepassing. De vijfde organis<strong>at</strong>ie noemt betere<br />
communic<strong>at</strong>ie van de organis<strong>at</strong>ie naar werknemers over <strong>privacy</strong>, <strong>BYOD</strong><br />
ontmoedig<strong>en</strong> <strong>en</strong> CYOD stimuler<strong>en</strong> <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> additioneel<br />
<strong>privacy</strong>reglem<strong>en</strong>t toevoeg<strong>en</strong> aan het standaard arbeidscontract.<br />
VR-44.2 Zijn de getroff<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> effectief in het oploss<strong>en</strong> van de<br />
<strong>privacy</strong>problem<strong>en</strong> van uw medewerkers?<br />
Aangezi<strong>en</strong> ge<strong>en</strong> <strong>en</strong>kele van de vijf geïnterviewde organis<strong>at</strong>ies meldt d<strong>at</strong> er ooit<br />
spanningsveld<strong>en</strong> zijn geweest m.b.t. de <strong>privacy</strong> van werknemers door het<br />
gehanteerde <strong>BYOD</strong> security-beleid, kan ge<strong>en</strong> uitspraak word<strong>en</strong> gedaan over de<br />
effectiviteit van de getroff<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong>. Zie vraag 41, 42 <strong>en</strong> 43.<br />
5.6 Result<strong>at</strong><strong>en</strong> m.b.t. de op<strong>en</strong> <strong>en</strong> afsluit<strong>en</strong>de vrag<strong>en</strong><br />
VR-45 Zijn er nog aspect<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Drie organis<strong>at</strong>ies gev<strong>en</strong> aan ge<strong>en</strong> belangrijke aspect<strong>en</strong> te miss<strong>en</strong>, die aan bod<br />
hadd<strong>en</strong> moet<strong>en</strong> kom<strong>en</strong>. De organis<strong>at</strong>ie die ge<strong>en</strong> <strong>BYOD</strong>-beleid hanteert, geeft als<br />
tip mee d<strong>at</strong> je er vanuit moet gaan d<strong>at</strong> het systeem d<strong>at</strong> wordt gebruikt per<br />
definitie onveilig is <strong>en</strong> daarom te anticiper<strong>en</strong> op uitlekk<strong>en</strong> van gegev<strong>en</strong>s.<br />
Daarnaast geeft deze organis<strong>at</strong>ie aan d<strong>at</strong> de support-kant <strong>bij</strong> <strong>BYOD</strong> e<strong>en</strong><br />
interessant vraagstuk blijft. Moet<strong>en</strong> IT-afdeling<strong>en</strong> <strong>BYOD</strong> appar<strong>at</strong><strong>en</strong> eig<strong>en</strong>lijk wel<br />
ondersteun<strong>en</strong>? Welke rol spel<strong>en</strong> IT-afdeling<strong>en</strong> daarin (alle<strong>en</strong> adviser<strong>en</strong>d?), welke<br />
bevoegdhed<strong>en</strong> hebb<strong>en</strong> ze <strong>en</strong> hoe ver ga<strong>at</strong> de ondersteuning dan? E<strong>en</strong> andere<br />
organis<strong>at</strong>ie bevestigt de interessante rol van support <strong>bij</strong> <strong>BYOD</strong>, maar ook de<br />
lic<strong>en</strong>tiekwestie wordt aangestipt als interessant onderzoekstopic. Deze<br />
organis<strong>at</strong>ie ziet in de toekomst e<strong>en</strong> rol voor “loc<strong>at</strong>ion based security” waar<strong>bij</strong><br />
verschill<strong>en</strong>de security-profiel<strong>en</strong> van toepassing zijn, afhankelijk van de loc<strong>at</strong>ie<br />
Pagina | 44
van het mobiele appara<strong>at</strong>. Daarnaast is deze organis<strong>at</strong>ie van m<strong>en</strong>ing d<strong>at</strong> <strong>BYOD</strong><br />
als subonderdeel van het grotere geheel rondom mobiel werk<strong>en</strong> gezi<strong>en</strong> moet<br />
word<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is deze organis<strong>at</strong>ie van m<strong>en</strong>ing d<strong>at</strong> de rol <strong>en</strong> mogelijkhed<strong>en</strong><br />
van MDM in de toekomst toe zal nem<strong>en</strong>.<br />
VR-46 Zijn er nog aanbeveling<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn<br />
gekom<strong>en</strong>?<br />
Twee van de geïnterviewde organis<strong>at</strong>ie hebb<strong>en</strong> ge<strong>en</strong> verdere aanbeveling<strong>en</strong> te<br />
noem<strong>en</strong> die aan bod hadd<strong>en</strong> moet<strong>en</strong> kom<strong>en</strong>. E<strong>en</strong> organis<strong>at</strong>ie b<strong>en</strong>adrukt het<br />
tijdelijke karakter van <strong>BYOD</strong> <strong>en</strong> zi<strong>en</strong> meer toekomst in CYOD (of andere<br />
tuss<strong>en</strong>variant<strong>en</strong>). E<strong>en</strong> andere organis<strong>at</strong>ie raadt aan om ook e<strong>en</strong>s naar de<br />
juridische- <strong>en</strong> lic<strong>en</strong>tiekant te kijk<strong>en</strong>. Daarnaast wordt Gartner g<strong>en</strong>oemd als goede<br />
<strong>en</strong> actuele inform<strong>at</strong>iebron m.b.t. ontwikkeling<strong>en</strong> op MDM-vlak.<br />
5.7 Liter<strong>at</strong>uurstudie vs. empirisch onderzoek<br />
Zoals is beschrev<strong>en</strong> in hoofdstuk 4 <strong>en</strong> te zi<strong>en</strong> is in <strong>bij</strong>lage 1, was het resulta<strong>at</strong><br />
van de uitgebreide liter<strong>at</strong>uurstudie d<strong>at</strong> wet<strong>en</strong>schappelijk public<strong>at</strong>ies over<br />
specifiek <strong>BYOD</strong>-security ontbrek<strong>en</strong>. Het bleek d<strong>at</strong> er rond uitvoering van de<br />
liter<strong>at</strong>uurstudie (eind 2011/begin 2012) nog ge<strong>en</strong> wet<strong>en</strong>schappelijk liter<strong>at</strong>uur<br />
aanwezig was over het te voer<strong>en</strong> security-beleid <strong>bij</strong> implem<strong>en</strong>t<strong>at</strong>ie van het<br />
<strong>BYOD</strong>-concept. Ook wet<strong>en</strong>schappelijk liter<strong>at</strong>uur m.b.t. technische securityma<strong>at</strong>regel<strong>en</strong><br />
in e<strong>en</strong> <strong>BYOD</strong> omgeving is niet gevond<strong>en</strong> tijd<strong>en</strong>s deze<br />
liter<strong>at</strong>uurstudie.<br />
Dit komt overe<strong>en</strong> met w<strong>at</strong> geobserveerd is tijd<strong>en</strong>s het empirisch onderzoek.<br />
Hieruit kwam o.a. naar vor<strong>en</strong> d<strong>at</strong> nog niet alle organis<strong>at</strong>ies e<strong>en</strong> <strong>BYOD</strong> securitybeleid<br />
hebb<strong>en</strong> ingevoerd. De organis<strong>at</strong>ies die d<strong>at</strong> wel hebb<strong>en</strong> gedaan, zijn zonder<br />
goed vooronderzoek, <strong>en</strong> met gebrek aan specifieke k<strong>en</strong>nis, hals over kop van<br />
start gegaan. Er war<strong>en</strong> immers ge<strong>en</strong> wet<strong>en</strong>schappelijke best practices <strong>en</strong> do’s &<br />
don’ts beschikbaar. Bov<strong>en</strong>di<strong>en</strong> bleek uit het empirisch onderzoek d<strong>at</strong> het<br />
gehanteerde “beleid” <strong>en</strong> de daaruit voortvloei<strong>en</strong>de technische securityma<strong>at</strong>regel<strong>en</strong>,<br />
de gevar<strong>en</strong> van <strong>BYOD</strong> niet effectief <strong>en</strong>/of efficiënt mitiger<strong>en</strong>.<br />
Daarnaast wordt het beleid, <strong>en</strong> de spelregels van <strong>BYOD</strong>, niet of nauwelijks<br />
gecommuniceerd naar de werknemer. Zowel het gehanteerde beleid als de<br />
getroff<strong>en</strong> technische ma<strong>at</strong>regel<strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> neg<strong>at</strong>ieve invloed op de <strong>privacy</strong><br />
van de werknemer.<br />
Om toch invulling te kunn<strong>en</strong> gev<strong>en</strong> aan de liter<strong>at</strong>uurstudie, zijn twee zijpad<strong>en</strong><br />
gekoz<strong>en</strong>. Onderzoeksdocum<strong>en</strong>t<strong>en</strong> van ger<strong>en</strong>ommeerde tr<strong>en</strong>dw<strong>at</strong>ching-institut<strong>en</strong><br />
(o.a. Gartner) zijn gebruikt. Bov<strong>en</strong>di<strong>en</strong> is ook gezocht op public<strong>at</strong>ies over<br />
g<strong>en</strong>erieke inform<strong>at</strong>iebeveiliging van mobiele appar<strong>at</strong><strong>en</strong> i.p.v. specifiek <strong>BYOD</strong>security.<br />
Dit heeft geleid tot veel gevond<strong>en</strong> public<strong>at</strong>ies over achterligg<strong>en</strong>de<br />
concept<strong>en</strong> <strong>en</strong> onderwerp<strong>en</strong> ev<strong>en</strong>als de conclusies zoals te vind<strong>en</strong> in paragraaf<br />
4.5. Na afronding van het empirisch onderzoek bleek er e<strong>en</strong> aantal<br />
overe<strong>en</strong>komst<strong>en</strong> <strong>en</strong> verschill<strong>en</strong> tuss<strong>en</strong> g<strong>en</strong>erieke security van mobiele appar<strong>at</strong><strong>en</strong><br />
<strong>en</strong> specifiek <strong>BYOD</strong>-security te zijn. De 10 belangrijkste overe<strong>en</strong>komst<strong>en</strong> <strong>en</strong><br />
verschill<strong>en</strong> word<strong>en</strong> hieronder toegelicht. Per punt wordt expliciet g<strong>en</strong>oemd of het<br />
e<strong>en</strong> overe<strong>en</strong>komst of verschil betreft.<br />
Pagina | 45
1. Bewustwording door managem<strong>en</strong>t <strong>en</strong> werknemers (overe<strong>en</strong>komst)<br />
Niet alle<strong>en</strong> <strong>bij</strong> g<strong>en</strong>erieke security van mobiele appar<strong>at</strong><strong>en</strong>, maar ook in het geval<br />
van <strong>BYOD</strong>, is het van belang d<strong>at</strong> het managem<strong>en</strong>t zich goed bewust is van de<br />
voor- <strong>en</strong> nadel<strong>en</strong>, risico’s <strong>en</strong> kans<strong>en</strong>.<br />
2. Aanwezigheid van beleid (overe<strong>en</strong>komst)<br />
Bij inform<strong>at</strong>iebeveiliging van g<strong>en</strong>erieke mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> <strong>BYOD</strong> is het van<br />
belang om e<strong>en</strong> duidelijk <strong>en</strong> consist<strong>en</strong>t beveiligingsbeleid te hanter<strong>en</strong>. Het beleid<br />
di<strong>en</strong>t helder, transparant <strong>en</strong> voor iedere<strong>en</strong> e<strong>en</strong>voudig toegankelijk te zijn, zowel<br />
<strong>bij</strong> <strong>BYOD</strong> als corpor<strong>at</strong>e hardware.<br />
3. K<strong>en</strong>nis van beveiliging (overe<strong>en</strong>komst)<br />
Zowel <strong>bij</strong> g<strong>en</strong>erieke inform<strong>at</strong>iebeveiliging als <strong>BYOD</strong>-security is goede <strong>en</strong><br />
specifieke k<strong>en</strong>nis van beveiliging van groot belang. Gebrek aan k<strong>en</strong>nis kan voor<br />
serieuze problem<strong>en</strong> zorg<strong>en</strong>. De m<strong>at</strong>e van beveiliging die het beleid <strong>en</strong><br />
ma<strong>at</strong>regel<strong>en</strong> daadwerkelijk bied<strong>en</strong>, moet<strong>en</strong> geëvalueerd <strong>en</strong> beoordeeld (kunn<strong>en</strong>)<br />
word<strong>en</strong>. Hierdoor wordt inzichtelijk of de result<strong>at</strong><strong>en</strong> strok<strong>en</strong> met de<br />
verwachting<strong>en</strong>.<br />
4. Risicomanagem<strong>en</strong>t (overe<strong>en</strong>komst)<br />
Zowel <strong>bij</strong> inform<strong>at</strong>iebeveiliging van g<strong>en</strong>erieke mobiele appar<strong>at</strong><strong>en</strong> als <strong>bij</strong> <strong>BYOD</strong><br />
di<strong>en</strong>t <strong>en</strong>ige vorm van risicomanagem<strong>en</strong>t gedaan te zijn. De risico’s <strong>en</strong><br />
bedreiging<strong>en</strong> moet<strong>en</strong> in kaart zijn gebracht <strong>en</strong> word<strong>en</strong> geminimaliseerd. Ook de<br />
kost<strong>en</strong> vs. b<strong>at</strong><strong>en</strong> discussie di<strong>en</strong>t <strong>bij</strong> <strong>BYOD</strong> gevoerd te word<strong>en</strong>.<br />
5. Techniek (verschil)<br />
Dezelfde technische security-ma<strong>at</strong>regel<strong>en</strong> die voor g<strong>en</strong>erieke mobiele appar<strong>at</strong><strong>en</strong><br />
wordt gebruikt, volsta<strong>at</strong> niet <strong>bij</strong> <strong>BYOD</strong> hardware. Dit is geblek<strong>en</strong> door de<br />
technische middel<strong>en</strong>, die tijd<strong>en</strong>s de liter<strong>at</strong>uurstudie bek<strong>en</strong>d werd<strong>en</strong>, te<br />
vergelijk<strong>en</strong> met de b<strong>en</strong>odigde technische functionaliteit <strong>bij</strong> <strong>BYOD</strong>. Omd<strong>at</strong> <strong>bij</strong><br />
<strong>BYOD</strong> sprake is van hardware waar de organis<strong>at</strong>ie ge<strong>en</strong> eig<strong>en</strong>aar van is, <strong>en</strong> dus<br />
ge<strong>en</strong> zegg<strong>en</strong>schap over heeft, is andere software nodig met specifieke<br />
mogelijkhed<strong>en</strong>. MDM-software kan specifieke <strong>BYOD</strong> security-risico’s effectiever<br />
<strong>en</strong> efficiënter mitiger<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> kan met MDM-software e<strong>en</strong> striktere<br />
scheiding tuss<strong>en</strong> zakelijke <strong>en</strong> privégegev<strong>en</strong>s word<strong>en</strong><br />
gemaakt.<br />
6. <strong>Security</strong> is e<strong>en</strong> continue cyclus (overe<strong>en</strong>komst)<br />
Ondanks d<strong>at</strong> tijd<strong>en</strong>s de liter<strong>at</strong>uurstudie ge<strong>en</strong> <strong>BYOD</strong>specifieke<br />
public<strong>at</strong>ies zijn gevond<strong>en</strong>, werd wel duidelijk d<strong>at</strong><br />
g<strong>en</strong>erieke inform<strong>at</strong>iebeveiliging (van mobiele appar<strong>at</strong><strong>en</strong>) e<strong>en</strong><br />
continue cyclus is van vier stapp<strong>en</strong>. Zie figuur 3. Deze cyclus<br />
is net zo goed van toepassing <strong>bij</strong> <strong>BYOD</strong>.<br />
7. Beveiliging op de str<strong>at</strong>egische ag<strong>en</strong>da<br />
Figuur 3:<br />
(overe<strong>en</strong>komst)<br />
Beveiligingscyclus<br />
Bov<strong>en</strong>di<strong>en</strong> bleek uit de liter<strong>at</strong>uurstudie d<strong>at</strong><br />
inform<strong>at</strong>iebeveiliging maar <strong>bij</strong> weinig organis<strong>at</strong>ies hoog op de str<strong>at</strong>egische<br />
ag<strong>en</strong>da stond. Uit het empirisch onderzoek blijkt d<strong>at</strong> dit ook het geval is <strong>bij</strong><br />
<strong>BYOD</strong>-security. Verlies van vertrouwelijke gegev<strong>en</strong>s vindt m<strong>en</strong> blijkbaar<br />
acceptabel <strong>en</strong> de risico’s word<strong>en</strong> ondersch<strong>at</strong>. Bov<strong>en</strong>di<strong>en</strong> is <strong>BYOD</strong> <strong>en</strong> de<br />
inform<strong>at</strong>iebeveiliging daar omhe<strong>en</strong> vooral e<strong>en</strong> aangeleg<strong>en</strong>heid van de IT-<br />
Pagina | 46
afdeling. <strong>BYOD</strong>-security lijkt daarmee net zo laag op de ag<strong>en</strong>da te staan van het<br />
str<strong>at</strong>egisch managem<strong>en</strong>t als g<strong>en</strong>erieke inform<strong>at</strong>iebeveiliging.<br />
8. Rel<strong>at</strong>ie met g<strong>en</strong>erieke inform<strong>at</strong>iebeveiliging (verschil)<br />
Uit de gevond<strong>en</strong> liter<strong>at</strong>uur is bov<strong>en</strong>di<strong>en</strong> geblek<strong>en</strong> d<strong>at</strong> de m<strong>en</strong>ing<strong>en</strong> verdeeld<br />
war<strong>en</strong> over de overe<strong>en</strong>komst<strong>en</strong> <strong>en</strong> verschill<strong>en</strong> tuss<strong>en</strong> de inform<strong>at</strong>iebeveiliging<br />
van traditionele PC (desktop) system<strong>en</strong> <strong>en</strong>erzijds <strong>en</strong> beveiliging m.b.t. specifiek<br />
mobiele appar<strong>at</strong><strong>en</strong> anderzijds. In de meeste public<strong>at</strong>ies die tijd<strong>en</strong>s de<br />
liter<strong>at</strong>uurstudie zijn gevond<strong>en</strong>, war<strong>en</strong> de auteurs echter van m<strong>en</strong>ing (zie<br />
hoofdstuk 4.5) d<strong>at</strong> traditionele <strong>en</strong> g<strong>en</strong>erieke beveiliging niet voldeed <strong>bij</strong> mobiele<br />
appar<strong>at</strong><strong>en</strong> omd<strong>at</strong> deze te verschill<strong>en</strong>d war<strong>en</strong> t.o.v. de PC. Uit het empirisch<br />
onderzoek bleek d<strong>at</strong> de meeste onderzochte organis<strong>at</strong>ies het concept <strong>en</strong> principe<br />
achter <strong>BYOD</strong>-security niet heel verschill<strong>en</strong>d vind<strong>en</strong> t.o.v. g<strong>en</strong>erieke (mobiele)<br />
security. Deze organis<strong>at</strong>ies zijn echter wel van m<strong>en</strong>ing d<strong>at</strong> <strong>BYOD</strong>-security op<br />
technisch vlak anders aangepakt <strong>en</strong> b<strong>en</strong>aderd moet word<strong>en</strong>.<br />
9. <strong>BYOD</strong>-checklist Gartner public<strong>at</strong>ie (overe<strong>en</strong>komst <strong>en</strong> verschil)<br />
In de public<strong>at</strong>ies van MacDonald et al. (2010) <strong>en</strong> Fiering (2011) wordt e<strong>en</strong> aantal<br />
interessante stelling<strong>en</strong> beschrev<strong>en</strong>. Zo wordt geopperd om de kost<strong>en</strong>, die word<strong>en</strong><br />
bespaard doord<strong>at</strong> m<strong>en</strong>s<strong>en</strong> hun eig<strong>en</strong> hardware me<strong>en</strong>em<strong>en</strong>, te stek<strong>en</strong> in de extra<br />
beveiliging die daar<strong>bij</strong> gemoeid is. E<strong>en</strong> logische red<strong>en</strong>ering die de moeite waard<br />
is om verder te onderzoek<strong>en</strong>. Verder wordt gemeld d<strong>at</strong> organis<strong>at</strong>ies zich niet<br />
meer bezig hoev<strong>en</strong> te houd<strong>en</strong> met het beher<strong>en</strong> van <strong>BYOD</strong>-hardware. Uit het<br />
empirisch onderzoek is het teg<strong>en</strong>overgestelde waarg<strong>en</strong>om<strong>en</strong>. Organis<strong>at</strong>ies<br />
moet<strong>en</strong> zich wel degelijk bezig houd<strong>en</strong> met het beher<strong>en</strong> van de hardware,<br />
namelijk in de vorm van Mobile Device Managem<strong>en</strong>t software, om<br />
gegev<strong>en</strong>sverlies te mitiger<strong>en</strong>.<br />
Ook de tweede stelling in de public<strong>at</strong>ie van Gartner is opmerkelijk. Er wordt<br />
gesteld d<strong>at</strong> de IT-afdeling door bov<strong>en</strong>staande meer tijd overhoudt voor<br />
belangrijke tak<strong>en</strong>. T<strong>en</strong> eerste kost het de IT-afdeling juist meer tijd, de hardware<br />
moet namelijk alsnog beheerd word<strong>en</strong> met behulp van MDM-software. T<strong>en</strong><br />
tweede impliceert deze uitspraak van Gartner t<strong>en</strong> onrechte d<strong>at</strong> <strong>BYOD</strong>-security<br />
géén belangrijke taak is. Ook d<strong>at</strong> is tijd<strong>en</strong>s de empirische studie onjuist<br />
geblek<strong>en</strong>.<br />
Gartner heeft het <strong>bij</strong> het rechte eind in deze public<strong>at</strong>ie met de conclusie d<strong>at</strong><br />
<strong>BYOD</strong> voor e<strong>en</strong> aantrekkelijke werkplek zorgt <strong>en</strong> nieuw personeel aantrekt. D<strong>at</strong> is<br />
ook uit het empirisch onderzoek geblek<strong>en</strong>. Daarnaast adviseert Gartner in deze<br />
public<strong>at</strong>ie om virtualis<strong>at</strong>ie in te zett<strong>en</strong> om e<strong>en</strong> veilige <strong>en</strong> haalbare omgeving te<br />
creër<strong>en</strong>. Ook dit is door <strong>en</strong>kele organis<strong>at</strong>ies tijd<strong>en</strong>s het empirisch onderzoek<br />
bevestigd.<br />
10. Gebruiker bepaalt m<strong>at</strong>e van beveiliging (overe<strong>en</strong>komst)<br />
Succesvolle inform<strong>at</strong>iebeveiliging is volg<strong>en</strong>s de gevond<strong>en</strong> liter<strong>at</strong>uur sterk<br />
afhankelijk van het gedrag (<strong>en</strong> k<strong>en</strong>nisniveau) van de gebruiker. Dit geldt niet<br />
alle<strong>en</strong> voor inform<strong>at</strong>iebeveiliging <strong>bij</strong> traditionele desktop PC’s of notebooks van<br />
de zaak, maar net zo goed <strong>bij</strong> <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong>.<br />
Pagina | 47
6. Conclusies <strong>en</strong> aanbeveling<strong>en</strong><br />
In dit hoofdstuk word<strong>en</strong> de conclusies m.b.t. de deelvrag<strong>en</strong> in aparte paragraf<strong>en</strong><br />
behandeld. Na elke conclusie wordt in dikgedrukt lettertype naar het<br />
corresponder<strong>en</strong>de nummer van de interviewvraag <strong>en</strong> <strong>bij</strong>behor<strong>en</strong>d empirisch<br />
onderzoeksresulta<strong>at</strong> verwez<strong>en</strong> (zie hoofdstuk 5) waar deze conclusie op<br />
gebaseerd is. E<strong>en</strong> persoonlijke m<strong>en</strong>ing wordt expliciet aangegev<strong>en</strong>. In sommige<br />
gevall<strong>en</strong> bleek e<strong>en</strong> onderzoeksresulta<strong>at</strong> bruikbaar voor het beantwoord<strong>en</strong> van<br />
meerdere deelvrag<strong>en</strong>. Nad<strong>at</strong> per deelvraag e<strong>en</strong> concluder<strong>en</strong>d antwoord is<br />
gegev<strong>en</strong>, wordt op basis daarvan de hoofdvraag van dit afstudeeronderzoek<br />
beantwoord. Aan het einde van dit hoofdstuk wordt e<strong>en</strong> aantal aanbeveling<strong>en</strong><br />
gedaan voor organis<strong>at</strong>ies die <strong>BYOD</strong> overweg<strong>en</strong>, gevolgd door aanbeveling<strong>en</strong> voor<br />
wet<strong>en</strong>schappelijk vervolgonderzoek.<br />
6.1 Conclusies m.b.t. deelvraag 1<br />
Hoe is het security-beleid van organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept<br />
geïmplem<strong>en</strong>teerd hebb<strong>en</strong> of dit serieus overweg<strong>en</strong>, tot stand gekom<strong>en</strong>, w<strong>at</strong><br />
is de inhoud van dit security-beleid <strong>en</strong> welke security-ma<strong>at</strong>regel<strong>en</strong> zijn<br />
geïmplem<strong>en</strong>teerd?<br />
Deze deelvraag wordt opgesplitst in drie onderdel<strong>en</strong>:<br />
6.1.1 Hoe komt e<strong>en</strong> <strong>BYOD</strong> security-beleid tot stand?<br />
Voorafgaand aan de vraag hoe het security beleid tot stand is gekom<strong>en</strong>, is<br />
tijd<strong>en</strong>s dit onderzoek <strong>bij</strong> de geïnterviewde organis<strong>at</strong>ies geïnv<strong>en</strong>tariseerd waarom<br />
ze überhaupt <strong>BYOD</strong> toestond<strong>en</strong>. Alle onderzochte organis<strong>at</strong>ies gav<strong>en</strong> als red<strong>en</strong> op<br />
d<strong>at</strong> ze graag innov<strong>at</strong>ief will<strong>en</strong> blijv<strong>en</strong> <strong>en</strong> mee will<strong>en</strong> gaan met de tr<strong>en</strong>d.<br />
Bov<strong>en</strong>di<strong>en</strong> will<strong>en</strong> ze voldo<strong>en</strong> aan de vraag vanuit de organis<strong>at</strong>ie, van zowel<br />
managem<strong>en</strong>t als de werkvloer.<br />
Alle organis<strong>at</strong>ies zag<strong>en</strong> in d<strong>at</strong> <strong>BYOD</strong> e<strong>en</strong> tr<strong>en</strong>d was die niet teg<strong>en</strong> te houd<strong>en</strong> is, of<br />
moet word<strong>en</strong>. Daarnaast gaf het mer<strong>en</strong>deel van de onderzochte organis<strong>at</strong>ies aan<br />
d<strong>at</strong> ze <strong>BYOD</strong> toestond<strong>en</strong> omd<strong>at</strong> het de productiviteit zou verhog<strong>en</strong>. Minder dan<br />
de helft van de onderzochte organis<strong>at</strong>ies stond daar lijnrecht teg<strong>en</strong>over <strong>en</strong> gaf<br />
expliciet aan d<strong>at</strong> productiviteitsverhoging <strong>en</strong> kost<strong>en</strong>besparing niet de<br />
belangrijkste red<strong>en</strong> war<strong>en</strong> om <strong>BYOD</strong> toe te staan. E<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie zag<br />
accept<strong>at</strong>ie van <strong>BYOD</strong> als manier om jonge, technische werknemers aan te<br />
trekk<strong>en</strong> <strong>en</strong> te behoud<strong>en</strong>. (9, 11)<br />
Uit dit onderzoek blijkt allereerst d<strong>at</strong> de meeste geïnterviewde organis<strong>at</strong>ies <strong>bij</strong> de<br />
totstandkoming van het <strong>BYOD</strong> security-beleid grofweg dezelfde definitie hanter<strong>en</strong><br />
van de term Bring Your Own Device. Ze definiër<strong>en</strong> <strong>BYOD</strong> als: Toestaan d<strong>at</strong><br />
werknemers zelf aangeschafte mobiele appar<strong>at</strong><strong>en</strong> kunn<strong>en</strong> koppel<strong>en</strong> aan zakelijke<br />
gegev<strong>en</strong>s, applic<strong>at</strong>ies <strong>en</strong> infrastructuur. Opmerkelijk g<strong>en</strong>oeg bleek d<strong>at</strong> één<br />
organis<strong>at</strong>ie het “Y(our) O(wn)”-deel niet correct interpreteert <strong>en</strong> daar ook<br />
organis<strong>at</strong>ie-eig<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> onder versta<strong>at</strong>. (10) Hier is tijd<strong>en</strong>s het<br />
onderzoek rek<strong>en</strong>ing mee gehoud<strong>en</strong> door het <strong>bij</strong> deze organis<strong>at</strong>ie expliciet over<br />
medewerker-eig<strong>en</strong> hardware te hebb<strong>en</strong>.<br />
Bov<strong>en</strong>di<strong>en</strong> blijkt uit dit onderzoek d<strong>at</strong> de meeste organis<strong>at</strong>ies <strong>bij</strong> de<br />
totstandkoming van het security-beleid, slecht voorbereid zijn. Er wordt namelijk<br />
Pagina | 48
weinig, niet voldo<strong>en</strong>de, of in de verkeerde volgorde vooronderzoek gedaan naar<br />
de voor- <strong>en</strong> nadel<strong>en</strong> van <strong>BYOD</strong>. Dit kan resulter<strong>en</strong> in e<strong>en</strong> security-beleid d<strong>at</strong> niet<br />
effectief <strong>en</strong>/of efficiënt is in het mitiger<strong>en</strong> van de nadel<strong>en</strong>. (12)<br />
Bij de totstandkoming van het <strong>BYOD</strong> security-beleid anticiper<strong>en</strong> organis<strong>at</strong>ies niet,<br />
te la<strong>at</strong> of onjuist op mogelijke risico’s die (zonder vooronderzoek) verondersteld<br />
zijn. (13)<br />
Bij de totstandkoming van e<strong>en</strong> <strong>BYOD</strong> security-beleid blijkt verder d<strong>at</strong> alle<br />
organis<strong>at</strong>ies van m<strong>en</strong>ing zijn de b<strong>en</strong>odigde k<strong>en</strong>nis <strong>en</strong> ervaring primair zelf<br />
(intern) te kunn<strong>en</strong> bemachtig<strong>en</strong>. Ontbrek<strong>en</strong>de k<strong>en</strong>nis wordt verkreg<strong>en</strong> door zelf,<br />
op basis van trial-and-error, w<strong>at</strong> uit te prober<strong>en</strong> <strong>en</strong> daar van te ler<strong>en</strong> (learn as<br />
we go). Organis<strong>at</strong>ies zoud<strong>en</strong> <strong>bij</strong> het ontwikkel<strong>en</strong> van e<strong>en</strong> <strong>BYOD</strong> security-beleid<br />
meer over de schutting moet<strong>en</strong> kijk<strong>en</strong> naar hoe ander<strong>en</strong> het do<strong>en</strong> <strong>en</strong> w<strong>at</strong> best<br />
practices zijn. D<strong>en</strong>k aan seminars, congress<strong>en</strong> of training<strong>en</strong>. Deze “doe-het-zelf”<br />
m<strong>en</strong>taliteit, in e<strong>en</strong> productieomgeving met pot<strong>en</strong>tieel vertrouwelijke gegev<strong>en</strong>s, is<br />
het recept voor beveiligingsincid<strong>en</strong>t<strong>en</strong>. De kans op, <strong>en</strong> gevolg<strong>en</strong> van,<br />
gegev<strong>en</strong>sverlies wordt blijkbaar niet alle<strong>en</strong> ondersch<strong>at</strong>, maar lijkt zelfs<br />
acceptabel.(14)<br />
Uit dit onderzoek is geblek<strong>en</strong> d<strong>at</strong> alle organis<strong>at</strong>ies die e<strong>en</strong> <strong>BYOD</strong> security-beleid<br />
(gaan) hanter<strong>en</strong>, vooral de IT-afdeling <strong>en</strong>/of IT-specialist<strong>en</strong> daarvoor<br />
inschakel<strong>en</strong>. Bij weinig organis<strong>at</strong>ies word<strong>en</strong> ook andere afdeling<strong>en</strong> betrokk<strong>en</strong>,<br />
zoals het managem<strong>en</strong>t (helicopterview), de ondernemingsraad, HR <strong>en</strong> zelfs de<br />
eindgebruikers. (15) Daarnaast blijkt uit dit onderzoek d<strong>at</strong> er tegelijkertijd, <strong>bij</strong><br />
diezelfde organis<strong>at</strong>ies, veel te verbeter<strong>en</strong> valt aan het <strong>BYOD</strong> security-beleid <strong>en</strong><br />
de daaruit voortvloei<strong>en</strong>de ma<strong>at</strong>regel<strong>en</strong>. (12, 13, 21, 26, 29, 30, 32, 39, 42)<br />
Toch zijn de onderzochte organis<strong>at</strong>ies van m<strong>en</strong>ing d<strong>at</strong> hun <strong>BYOD</strong>-security vrij<br />
effectief <strong>en</strong> goed g<strong>en</strong>oeg is. (19, 22) Op basis hiervan kan geconcludeerd<br />
word<strong>en</strong> d<strong>at</strong> organis<strong>at</strong>ies, waar voornamelijk de IT-afdeling belast is met <strong>BYOD</strong>security,<br />
niet kritisch g<strong>en</strong>oeg zijn m.b.t. de risico’s <strong>en</strong> gevar<strong>en</strong> van <strong>BYOD</strong>.<br />
Door meerdere afdeling<strong>en</strong> <strong>bij</strong> het <strong>BYOD</strong> security-beleid (<strong>en</strong> securityma<strong>at</strong>regel<strong>en</strong>)<br />
te betrekk<strong>en</strong>, wordt de inhoud (<strong>en</strong> de gevolg<strong>en</strong> ervan) vanuit<br />
diverse belang<strong>en</strong> <strong>en</strong> optiek<strong>en</strong> sam<strong>en</strong>gesteld <strong>en</strong> waardoor e<strong>en</strong> meer gebalanceerd<br />
<strong>BYOD</strong> security-beleid kan ontstaan. Het beleid weerspiegelt dan namelijk ook de<br />
belang<strong>en</strong>, eis<strong>en</strong> <strong>en</strong> w<strong>en</strong>s<strong>en</strong> van andere stakeholders <strong>en</strong> niet alle<strong>en</strong> die van de ITafdeling<br />
<strong>en</strong> haar specialist<strong>en</strong> (tunnelvisie). Er kan kritisch, <strong>en</strong> vanuit<br />
verschill<strong>en</strong>de gezichtspunt<strong>en</strong>, naar (de effectiviteit van) het beleid <strong>en</strong><br />
ma<strong>at</strong>regel<strong>en</strong> word<strong>en</strong> gekek<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> word<strong>en</strong> mogelijke spanningsveld<strong>en</strong><br />
beter in kaart gebracht. Deze theorie is echter nog onbewez<strong>en</strong> <strong>en</strong> di<strong>en</strong>t dan ook<br />
aan wet<strong>en</strong>schappelijk vervolgonderzoek onderworp<strong>en</strong> te word<strong>en</strong>.<br />
Uit dit onderzoek blijkt d<strong>at</strong> de w<strong>en</strong>s om eig<strong>en</strong> appar<strong>at</strong><strong>en</strong> te mog<strong>en</strong> gebruik<strong>en</strong><br />
voor zakelijke doeleind<strong>en</strong> in de meeste gevall<strong>en</strong> vanuit de werkvloer is ontstaan.<br />
Het is dan ook e<strong>en</strong> goede ontwikkeling d<strong>at</strong> organis<strong>at</strong>ies deze tr<strong>en</strong>d omarm<strong>en</strong> in<br />
pla<strong>at</strong>s van krampachtig teg<strong>en</strong> prober<strong>en</strong> te houd<strong>en</strong>. (16)<br />
6.1.2 Hoe ziet de inhoud eruit van e<strong>en</strong> <strong>BYOD</strong> security-beleid?<br />
De rol <strong>en</strong> noodzaak van e<strong>en</strong> specifiek <strong>BYOD</strong> security-beleid wordt door veel<br />
organis<strong>at</strong>ies ondersch<strong>at</strong>. Dit blijkt o.a. uit de empirische observ<strong>at</strong>ie d<strong>at</strong><br />
organis<strong>at</strong>ies niet of nauwelijks vooronderzoek do<strong>en</strong> naar risico’s <strong>en</strong> gevar<strong>en</strong> van<br />
Pagina | 49
<strong>BYOD</strong>. (12, 13) Ook blijk<strong>en</strong> ze ontbrek<strong>en</strong>de k<strong>en</strong>nis <strong>en</strong> expertise over <strong>BYOD</strong>security<br />
via e<strong>en</strong> trial-and-error methode, in e<strong>en</strong> productieomgeving <strong>en</strong> met<br />
vertrouwelijke bedrijfsgegev<strong>en</strong>s, te vergar<strong>en</strong>. (14) Daarnaast blijkt uit dit<br />
onderzoek d<strong>at</strong> er vaak helemaal ge<strong>en</strong> specifiek <strong>BYOD</strong> security-beleid aanwezig is.<br />
Er blijkt <strong>bij</strong> veel organis<strong>at</strong>ies nog veel werk te verricht<strong>en</strong> om tot e<strong>en</strong> goed <strong>en</strong><br />
pass<strong>en</strong>d <strong>BYOD</strong> security-beleid te kom<strong>en</strong>. Soms ontbreekt beleid volledig, is deze<br />
nog in ontwikkeling of geldt e<strong>en</strong> verouderd <strong>en</strong> ontoereik<strong>en</strong>d beleid. Bij de<br />
organis<strong>at</strong>ies die wel e<strong>en</strong> (actueel) <strong>BYOD</strong> security-beleid hanter<strong>en</strong>, blijkt dit beleid<br />
ondoordacht <strong>en</strong> onvolledig te zijn waardoor de <strong>BYOD</strong>-risico’s niet effectief <strong>en</strong><br />
efficiënt gemitigeerd kunn<strong>en</strong> word<strong>en</strong>. (13, 14, 18, 19, 20, 21, 23, 28, 30, 32)<br />
Ook <strong>BYOD</strong>-voorwaard<strong>en</strong>, met daarin de recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> van werknemers,<br />
ontbrek<strong>en</strong> vaak. Wanneer ze wel bestaan, word<strong>en</strong> ze niet of nauwelijks<br />
gecommuniceerd naar werknemers. (26)<br />
Bov<strong>en</strong>di<strong>en</strong> bleek ge<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie MDM-software geïmplem<strong>en</strong>teerd te<br />
hebb<strong>en</strong> waarmee het <strong>BYOD</strong> security-beleid beter afgedwong<strong>en</strong> kon word<strong>en</strong> dan<br />
met traditionele security ma<strong>at</strong>regel<strong>en</strong>. (30, 31) Ook antivirus-software bleek op<br />
(vooral Android) <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> niet verplicht terwijl tegelijkertijd werd erk<strong>en</strong>d<br />
d<strong>at</strong> dit e<strong>en</strong> kwetsbaar pl<strong>at</strong>form was. (32) Deze observ<strong>at</strong>ies kunn<strong>en</strong> verklaard<br />
word<strong>en</strong> doord<strong>at</strong> veel organis<strong>at</strong>ies aangev<strong>en</strong> d<strong>at</strong> ze <strong>BYOD</strong>-security vergelijkbaar<br />
vind<strong>en</strong> met g<strong>en</strong>erieke (mobiele) security. Ze zijn echter wel van m<strong>en</strong>ing d<strong>at</strong><br />
vooral de technische kant van <strong>BYOD</strong>-security anders aangepakt <strong>en</strong> b<strong>en</strong>aderd<br />
moet word<strong>en</strong>. (17)<br />
Uit dit onderzoek blijkt d<strong>at</strong> de effectiviteit van het gehanteerde <strong>BYOD</strong> securitybeleid<br />
wordt oversch<strong>at</strong>. Organis<strong>at</strong>ies vind<strong>en</strong> hun <strong>BYOD</strong> security-beleid, wanneer<br />
aanwezig, vrij effectief <strong>en</strong> goed g<strong>en</strong>oeg (19, 22) terwijl veel observ<strong>at</strong>ies erop<br />
wijz<strong>en</strong> d<strong>at</strong> specifieke <strong>BYOD</strong>-risico’s niet effectief <strong>en</strong> efficiënt gemitigeerd kunn<strong>en</strong><br />
word<strong>en</strong>. (13, 14, 18, 19, 20, 21, 23, 28, 30, 32). E<strong>en</strong> concreet voorbeeld is<br />
het ontbrek<strong>en</strong> van MDM-software waarmee mobiele appar<strong>at</strong><strong>en</strong> met e<strong>en</strong><br />
aangepaste firmware (of besturingssysteem) gedetecteerd <strong>en</strong> geblokkeerd<br />
kunn<strong>en</strong> word<strong>en</strong> (30, 31). Al aanwezige, <strong>en</strong> in gebruik zijnde smartphones of<br />
tablets met deze aangepaste firmware vorm<strong>en</strong> e<strong>en</strong> beveiligingsrisico <strong>en</strong> kunn<strong>en</strong><br />
zonder MDM-software niet of zeer moeilijk word<strong>en</strong> ontdekt. Desondanks vind<strong>en</strong><br />
de onderzochte organis<strong>at</strong>ies hun <strong>BYOD</strong>-security effectief <strong>en</strong> goed g<strong>en</strong>oeg, <strong>en</strong> d<strong>at</strong><br />
is opmerkelijk.<br />
Weinig organis<strong>at</strong>ies durv<strong>en</strong> hun vingers te brand<strong>en</strong> aan het voorschrijv<strong>en</strong> van<br />
welke software of apps <strong>BYOD</strong>-gebruikers wel of niet op hun eig<strong>en</strong> hardware<br />
mog<strong>en</strong> installer<strong>en</strong>. Opmerkelijk g<strong>en</strong>oeg zijn er organis<strong>at</strong>ies die dit in de toekomst<br />
wel will<strong>en</strong> gaan do<strong>en</strong>. (20) Via e<strong>en</strong> <strong>en</strong>terprise app store kunn<strong>en</strong> <strong>BYOD</strong>gebruikers<br />
vanuit betrouwbare bron apps <strong>en</strong> software bemachtig<strong>en</strong>, installer<strong>en</strong><br />
<strong>en</strong> upd<strong>at</strong><strong>en</strong>. Weinig organis<strong>at</strong>ies bied<strong>en</strong> op deze manier apps of software aan. De<br />
organis<strong>at</strong>ies die d<strong>at</strong> wel do<strong>en</strong>, hebb<strong>en</strong> e<strong>en</strong> klein aanbod. (24)<br />
Uit dit onderzoek blijkt d<strong>at</strong> <strong>bij</strong> doorvrag<strong>en</strong>, veel organis<strong>at</strong>ies zelf e<strong>en</strong> vrij goed<br />
idee hebb<strong>en</strong> waar hun <strong>BYOD</strong> security-beleid tekort schiet <strong>en</strong> de zwakke plekk<strong>en</strong><br />
zitt<strong>en</strong>. Tijd<strong>en</strong>s dit onderzoek kwam<strong>en</strong> veel verschill<strong>en</strong>de aangekaarte<br />
tekortkoming<strong>en</strong> naar bov<strong>en</strong>. Zo wordt door veel organis<strong>at</strong>ies aangegev<strong>en</strong> d<strong>at</strong><br />
Mobile Device Managem<strong>en</strong>t (MDM) software helaas ontbreekt, maar wel e<strong>en</strong><br />
absoluut noodzakelijk is om toekomstig <strong>BYOD</strong> security-beleid (<strong>en</strong> technische<br />
ma<strong>at</strong>regel<strong>en</strong>) te kunn<strong>en</strong> handhav<strong>en</strong>. Daarnaast zijn organis<strong>at</strong>ies overtuigd d<strong>at</strong><br />
Pagina | 50
het met MDM-software mogelijk kan zijn om effectief de security-risico’s van<br />
<strong>BYOD</strong> te mitiger<strong>en</strong>. (25, 30)<br />
Verder zijn organis<strong>at</strong>ies zich goed bewust van het kwetsbare, <strong>en</strong> door malware<br />
geplaagde, karakter van Google’s mobiele besturingssysteem Android. Ook daar<br />
zi<strong>en</strong> ze e<strong>en</strong> rol voor MDM-software. Desondanks word<strong>en</strong> bezitters van Android<br />
<strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> op ge<strong>en</strong> <strong>en</strong>kele manier verplicht om beveiligingssoftware te<br />
installer<strong>en</strong> op hun mobiele appara<strong>at</strong>. De meeste organis<strong>at</strong>ies do<strong>en</strong> er niets aan<br />
om de risico’s van dit onveilige <strong>en</strong> kwetsbare pl<strong>at</strong>form te mitiger<strong>en</strong> (32), <strong>en</strong> d<strong>at</strong><br />
is opmerkelijk. Met name omd<strong>at</strong> deze organis<strong>at</strong>ies van m<strong>en</strong>ing zijn d<strong>at</strong> hun<br />
<strong>BYOD</strong>-security vrij effectief is <strong>en</strong> goed g<strong>en</strong>oeg. (19, 22) Zonder MDM-software is<br />
beveiligingssoftware overig<strong>en</strong>s technisch lastig af te dwing<strong>en</strong>.<br />
Slechts e<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie is van m<strong>en</strong>ing d<strong>at</strong> het huidige <strong>BYOD</strong> securitybeleid<br />
juist weinig verschill<strong>en</strong>de soort<strong>en</strong> appar<strong>at</strong><strong>en</strong> <strong>en</strong> pl<strong>at</strong>form<strong>en</strong> ondersteunt <strong>en</strong><br />
pleit daarom voor e<strong>en</strong> bredere ondersteuning inclusief e<strong>en</strong> pass<strong>en</strong>d beleid per<br />
appara<strong>at</strong>/pl<strong>at</strong>form. Maar weinig organis<strong>at</strong>ies zi<strong>en</strong> <strong>BYOD</strong> als e<strong>en</strong> onhoudbare<br />
situ<strong>at</strong>ie, omd<strong>at</strong> er ge<strong>en</strong> controle vanuit de organis<strong>at</strong>ie mogelijk is, <strong>en</strong> stimuler<strong>en</strong><br />
daarom Choose Your Own Device (CYOD). E<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie wil de<br />
complete verantwoordelijkheid, de recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> volledig <strong>bij</strong> de eig<strong>en</strong><br />
werknemers neerlegg<strong>en</strong>. E<strong>en</strong> gedachtegang die haaks sta<strong>at</strong> op de meeste andere<br />
organis<strong>at</strong>ies uit dit onderzoek. (25, 30)<br />
Weinig organis<strong>at</strong>ies hebb<strong>en</strong>, aangr<strong>en</strong>z<strong>en</strong>d aan het security-beleid, specifieke<br />
<strong>BYOD</strong>-voorwaard<strong>en</strong> waar werknemers expliciet mee akkoord moet<strong>en</strong> gaan. De<br />
organis<strong>at</strong>ies die dit wel hebb<strong>en</strong>, communicer<strong>en</strong> deze voorwaard<strong>en</strong> niet of<br />
onduidelijk. Er wordt vanuit gegaan d<strong>at</strong> werknemers autom<strong>at</strong>isch, zonder zich<br />
hier bewust van te zijn, akkoord met de <strong>BYOD</strong>-specifieke voorwaard<strong>en</strong> gaan. De<br />
organis<strong>at</strong>ies die (nog) ge<strong>en</strong> specifieke <strong>BYOD</strong>-voorwaard<strong>en</strong> hebb<strong>en</strong>, verschuil<strong>en</strong><br />
zich achter de algem<strong>en</strong>e arbeidsvoorwaard<strong>en</strong>. (26) Werknemers die hun eig<strong>en</strong><br />
appar<strong>at</strong>uur will<strong>en</strong> gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong> <strong>en</strong> de (<strong>BYOD</strong>)<br />
voorwaard<strong>en</strong> niet accepter<strong>en</strong>, kunn<strong>en</strong> beperkt word<strong>en</strong> in hun toegang tot de<br />
organis<strong>at</strong>ie infrastructuur <strong>en</strong> vertrouwelijke gegev<strong>en</strong>s. (27)<br />
De meeste organis<strong>at</strong>ies hebb<strong>en</strong> niets opg<strong>en</strong>om<strong>en</strong> in hun <strong>BYOD</strong> security-beleid<br />
over het voorkom<strong>en</strong> van uitlekk<strong>en</strong> van bedrijfsgegev<strong>en</strong>s (DLP). Ontbrek<strong>en</strong>de<br />
MDM-software krijgt hier soms de schuld van. De belangrijke rol van MDMsoftware<br />
<strong>bij</strong> DLP wordt echter wel erk<strong>en</strong>d. Er zijn organis<strong>at</strong>ies die prober<strong>en</strong> om<br />
de schuld, <strong>bij</strong> het uitlekk<strong>en</strong> van vertrouwelijke bedrijfsgegev<strong>en</strong>s, compleet <strong>bij</strong> de<br />
werknemer neer te legg<strong>en</strong> <strong>en</strong> alle aansprakelijkheid af te w<strong>en</strong>d<strong>en</strong>. E<strong>en</strong><br />
opvall<strong>en</strong>de gedachte is d<strong>at</strong> juist het toestaan van <strong>BYOD</strong> als e<strong>en</strong> vorm van DLP<br />
gezi<strong>en</strong> kan word<strong>en</strong>. E<strong>en</strong> vereiste zou dan uiteraard zijn d<strong>at</strong> er e<strong>en</strong> effectief <strong>en</strong><br />
efficiënt <strong>BYOD</strong> security-beleid actief is. (33)<br />
6.1.3 Welke security-ma<strong>at</strong>regel<strong>en</strong> word<strong>en</strong> door e<strong>en</strong> <strong>BYOD</strong> securitybeleid<br />
voorgeschrev<strong>en</strong>?<br />
Veruit de meest organis<strong>at</strong>ies gebruik<strong>en</strong> primair slechts twee technische <strong>BYOD</strong><br />
security-ma<strong>at</strong>regel<strong>en</strong>. Dit zijn de remote wipe/block <strong>en</strong> e<strong>en</strong> 4-cijferige pincode.<br />
Andere serieuze bedreiging<strong>en</strong> die de veiligheid van opgeslag<strong>en</strong> bedrijfsgegev<strong>en</strong>s<br />
ondermijn<strong>en</strong>, zoals jailbreaks <strong>en</strong> besmetting met malware, word<strong>en</strong> door de<br />
meeste organis<strong>at</strong>ies sterk ondersch<strong>at</strong> (13, 14, 18, 19, 20, 21, 23, 28, 30, 32).<br />
Pagina | 51
Uit het empirisch onderzoek bleek namelijk d<strong>at</strong> ge<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie MDMsoftware<br />
gebruikt om <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> met e<strong>en</strong> aangepaste firmware (jailbreak)<br />
of besturingssysteem te detecter<strong>en</strong> <strong>en</strong> blokker<strong>en</strong> (30, 31). Ook verplicht<strong>en</strong> de<br />
meeste organis<strong>at</strong>ies werknemers niet om hun <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> te voorzi<strong>en</strong> van<br />
beveiligingssoftware, <strong>en</strong> d<strong>at</strong> terwijl met name Google’s Android bek<strong>en</strong>d sta<strong>at</strong> als<br />
e<strong>en</strong> kwetsbaar <strong>en</strong> onveilig pl<strong>at</strong>form. (32)<br />
De remote wipe/block k<strong>en</strong>t veel nadel<strong>en</strong>. E<strong>en</strong> belangrijke daarvan is d<strong>at</strong> <strong>bij</strong><br />
activering ge<strong>en</strong> onderscheid gemaakt kan word<strong>en</strong> tuss<strong>en</strong> zakelijke <strong>en</strong><br />
privégegev<strong>en</strong>s. E<strong>en</strong> ander groot nadeel is d<strong>at</strong> het remote wipe/block signaal zeer<br />
e<strong>en</strong>voudig omzeild kan word<strong>en</strong> door het betreff<strong>en</strong>de appara<strong>at</strong> niet te verbind<strong>en</strong><br />
met Internet. Het zwakke punt van de pincode is d<strong>at</strong> hij niet direct geactiveerd<br />
wordt <strong>en</strong> het betreff<strong>en</strong>de appara<strong>at</strong> dus e<strong>en</strong> bepaalde tijd voor iedere<strong>en</strong><br />
toegankelijk is. Daarnaast is e<strong>en</strong> 4-cijferige pincode met w<strong>at</strong> tijd rel<strong>at</strong>ief<br />
e<strong>en</strong>voudig te achterhal<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> ondermijnt ook aanwezige malware deze<br />
pincode. Daarnaast heeft de pincode ook (ongew<strong>en</strong>ste) invloed op het<br />
privégebruik van het appara<strong>at</strong>.<br />
Weinig organis<strong>at</strong>ies zorg<strong>en</strong> ervoor d<strong>at</strong> opgeslag<strong>en</strong> gegev<strong>en</strong>s (d<strong>at</strong>a <strong>at</strong> rest) op e<strong>en</strong><br />
<strong>BYOD</strong>-appara<strong>at</strong> versleuteld word<strong>en</strong>. Ook het gebruik van verplichte <strong>en</strong><br />
versleutelde VPN-verbinding<strong>en</strong> (d<strong>at</strong>a in transport) is iets w<strong>at</strong> organis<strong>at</strong>ies maar<br />
sporadisch do<strong>en</strong>. (21) En d<strong>at</strong> terwijl zowel versleuteling (<strong>en</strong>cryptie) van<br />
bestand<strong>en</strong> ev<strong>en</strong>als VPN-technologie volg<strong>en</strong>s de public<strong>at</strong>ies van Markelj & Bernik<br />
(2012), Landman (2010) <strong>en</strong> Jans<strong>en</strong> & Scarfone (2008) als bewez<strong>en</strong> <strong>en</strong> adequ<strong>at</strong>e<br />
beveiligingsma<strong>at</strong>regel<strong>en</strong> zijn bestempeld.<br />
Ondanks d<strong>at</strong> de g<strong>en</strong>oemde technische <strong>BYOD</strong> security-ma<strong>at</strong>regel<strong>en</strong> de risico’s niet<br />
effectief <strong>en</strong> efficiënt mitiger<strong>en</strong>, daar<strong>bij</strong> wel e<strong>en</strong> gevaar voor de <strong>privacy</strong> van<br />
werknemers kunn<strong>en</strong> oplever<strong>en</strong> <strong>en</strong> bewez<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> zoals VPN slechts<br />
sporadisch word<strong>en</strong> ingezet, vind<strong>en</strong> alle organis<strong>at</strong>ies uit dit onderzoek de securityma<strong>at</strong>regel<strong>en</strong><br />
effectief. Slechts één organis<strong>at</strong>ie zegt op<strong>en</strong>lijk d<strong>at</strong> de ma<strong>at</strong>regel<strong>en</strong><br />
niet w<strong>at</strong>erdicht zijn. (22)<br />
Weinig organis<strong>at</strong>ies kunn<strong>en</strong> (of will<strong>en</strong>) software, die schadelijk kan voor de<br />
organis<strong>at</strong>ie-infrastructuur of bedrijfsgegev<strong>en</strong>s, op afstand verwijder<strong>en</strong> of<br />
blokker<strong>en</strong>. (23) Bov<strong>en</strong>di<strong>en</strong> bied<strong>en</strong> weinig organis<strong>at</strong>ies apps of software aan via<br />
e<strong>en</strong> <strong>en</strong>terprise app store. De organis<strong>at</strong>ies die d<strong>at</strong> wel do<strong>en</strong>, hebb<strong>en</strong> e<strong>en</strong> klein<br />
aanbod. (24)<br />
Pagina | 52
6.2 Conclusies m.b.t. deelvraag 2<br />
Welke <strong>privacy</strong>problem<strong>en</strong> (spanningsveld<strong>en</strong>) spel<strong>en</strong> <strong>bij</strong> e<strong>en</strong> <strong>BYOD</strong>implem<strong>en</strong>t<strong>at</strong>ie<br />
tuss<strong>en</strong> de hardware van de medewerker <strong>en</strong>erzijds <strong>en</strong> de<br />
inform<strong>at</strong>iebeveiliging van (vertrouwelijke) gegev<strong>en</strong>s van de organis<strong>at</strong>ie<br />
anderzijds, die zijn ontstaan door het gekoz<strong>en</strong> security-beleid <strong>en</strong> de<br />
getroff<strong>en</strong> security-ma<strong>at</strong>regel<strong>en</strong>?<br />
Deze deelvraag wordt opgesplitst in twee onderdel<strong>en</strong>:<br />
6.2.1 Welke <strong>privacy</strong>problem<strong>en</strong> ontstaan door het gekoz<strong>en</strong> <strong>BYOD</strong><br />
security-beleid?<br />
Uit dit onderzoek kwam naar vor<strong>en</strong> d<strong>at</strong> <strong>privacy</strong>problem<strong>en</strong> kunn<strong>en</strong> ontstaan<br />
doord<strong>at</strong> er veel onduidelijkheid heerst over de precieze recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> m.b.t<br />
het gebruik van eig<strong>en</strong> hardware voor zakelijk doeleind<strong>en</strong>. Bij de meeste<br />
organis<strong>at</strong>ies word<strong>en</strong> de specifieke <strong>BYOD</strong>-voorwaard<strong>en</strong>, met daarin de regels<br />
m.b.t. <strong>BYOD</strong>, dan ook niet of nauwelijks gecommuniceerd. In sommige<br />
organis<strong>at</strong>ies ga<strong>at</strong> de werkgever er maar vanuit d<strong>at</strong> de werknemer autom<strong>at</strong>isch<br />
akkoord ga<strong>at</strong> met de voorwaard<strong>en</strong>, zonder d<strong>at</strong> ze bek<strong>en</strong>d zijn. Werknemers zijn<br />
zich vaak ook niet e<strong>en</strong>s bewust d<strong>at</strong> ze akkoord zijn gegaan met de voorwaard<strong>en</strong>.<br />
Bij sommige gevall<strong>en</strong> ontbrek<strong>en</strong> specifieke voorwaard<strong>en</strong> m.b.t. gebruik van<br />
<strong>BYOD</strong>-hardware, waardoor niet duidelijk is w<strong>at</strong> werkgever <strong>en</strong> werknemer van<br />
elkaar mog<strong>en</strong> verwacht<strong>en</strong>. Dit kan leid<strong>en</strong> tot <strong>privacy</strong>problem<strong>en</strong>. (26)<br />
Werknemers die hun eig<strong>en</strong> appar<strong>at</strong>uur will<strong>en</strong> gebruik<strong>en</strong> voor zakelijke<br />
doeleind<strong>en</strong>, <strong>en</strong> de (<strong>BYOD</strong>) voorwaard<strong>en</strong> niet accepter<strong>en</strong>, kunn<strong>en</strong> beperkt word<strong>en</strong><br />
in hun toegang tot de organis<strong>at</strong>ie-infrastructuur <strong>en</strong> vertrouwelijke gegev<strong>en</strong>s.<br />
(27)<br />
Omd<strong>at</strong> ge<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie uit dit onderzoek Mobile Device Managem<strong>en</strong>t<br />
(MDM) software gebruikt, kan niet (of zeer lastig) onderscheid gemaakt word<strong>en</strong><br />
tuss<strong>en</strong> gegev<strong>en</strong>s die zakelijk gerel<strong>at</strong>eerd zijn <strong>en</strong> gegev<strong>en</strong>s die privé gerel<strong>at</strong>eerd<br />
zijn. Hierdoor ontsta<strong>at</strong> de ongew<strong>en</strong>ste situ<strong>at</strong>ie d<strong>at</strong> de betreff<strong>en</strong>de organis<strong>at</strong>ies<br />
controle <strong>en</strong> bevoegdheid toe-eig<strong>en</strong><strong>en</strong>, zoals e<strong>en</strong> remote wipe/block, op<br />
persoonlijke gegev<strong>en</strong>s die aanwezig zijn op e<strong>en</strong> persoonlijk appara<strong>at</strong>. De<br />
organis<strong>at</strong>ie heeft daar vanuit het eig<strong>en</strong>domsrecht, <strong>en</strong> dus juridisch, niets over te<br />
zegg<strong>en</strong>. Hierdoor ontsta<strong>at</strong> e<strong>en</strong> serieus <strong>privacy</strong>probleem aan de kant van de<br />
werknemer. De organis<strong>at</strong>ie is namelijk in sta<strong>at</strong> om te all<strong>en</strong> tijde, wanneer d<strong>at</strong><br />
(terecht of onterecht) als noodzakelijk wordt gezi<strong>en</strong>, e<strong>en</strong> mobiel appara<strong>at</strong> d<strong>at</strong><br />
eig<strong>en</strong>dom is van e<strong>en</strong> werknemer volledig te wiss<strong>en</strong> <strong>en</strong> onbruikbaar te mak<strong>en</strong>. In<br />
de praktijk zegg<strong>en</strong> organis<strong>at</strong>ies hier echter heel terughoud<strong>en</strong>d mee om te gaan.<br />
Omd<strong>at</strong> specifieke <strong>BYOD</strong>-voorwaard<strong>en</strong> niet of nauwelijks gecommuniceerd word<strong>en</strong><br />
naar werknemers, zijn ze zich veelal niet bewust van het “recht” van de<br />
organis<strong>at</strong>ie om zijn/haar mobiele appara<strong>at</strong> <strong>bij</strong> noodzaak te wiss<strong>en</strong> of onbruikbaar<br />
te mak<strong>en</strong>. Werknemers zijn hier dan ook niet expliciet mee akkoord gegaan<br />
wanneer ze hun mobiele appar<strong>at</strong><strong>en</strong> gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>. (26,<br />
30, 34, 35, 36, 38, 39)<br />
Alle organis<strong>at</strong>ies die in de toekomst MDM-software will<strong>en</strong> gaan inzett<strong>en</strong>, zijn van<br />
plan om daarmee e<strong>en</strong> compliance check te do<strong>en</strong> of de firmware, het<br />
besturingssysteem, voldoet aan de eis<strong>en</strong> die de organis<strong>at</strong>ie stelt. D<strong>at</strong> is e<strong>en</strong><br />
Pagina | 53
prima manier om appar<strong>at</strong><strong>en</strong> met e<strong>en</strong> aangepaste firmware, of gehackte versie<br />
van het besturingssysteem, te onderschepp<strong>en</strong> <strong>en</strong> te blokker<strong>en</strong>. (31) Dit di<strong>en</strong>t<br />
dan echter wel duidelijk opg<strong>en</strong>om<strong>en</strong> te word<strong>en</strong> in het toekomstige <strong>BYOD</strong>security-beleid,<br />
<strong>en</strong> nog belangrijker de <strong>BYOD</strong>-voorwaard<strong>en</strong>. Het is namelijk wel<br />
zo netjes om, in het kader van transparantie <strong>en</strong> <strong>privacy</strong>, werknemers te l<strong>at</strong><strong>en</strong><br />
wet<strong>en</strong> (<strong>en</strong> ze hier expliciet akkoord mee te l<strong>at</strong><strong>en</strong> gaan) d<strong>at</strong> de organis<strong>at</strong>ie inzicht<br />
heeft in de geïnstalleerde firmware <strong>en</strong> het gebruikte besturingssysteem. Dit is<br />
echter e<strong>en</strong> persoonlijke m<strong>en</strong>ing, mijn eig<strong>en</strong> visie, <strong>en</strong> ge<strong>en</strong> conclusie vanuit de<br />
empirie.<br />
Veel organis<strong>at</strong>ies gev<strong>en</strong> terecht aan d<strong>at</strong> ze Android als e<strong>en</strong> onveilig <strong>en</strong> risicovol<br />
pl<strong>at</strong>form zi<strong>en</strong>. Daarom gaan ze in 2013, via MDM-software, antivirussoftware<br />
verplicht stell<strong>en</strong> <strong>en</strong> remote installer<strong>en</strong> op <strong>BYOD</strong>-hardware. Ook het beheer van<br />
p<strong>at</strong>ches, upd<strong>at</strong>es <strong>en</strong> periodieke scans nem<strong>en</strong> de meeste organis<strong>at</strong>ies op zich. E<strong>en</strong><br />
prima ontwikkeling die de risico’s van Android kan mitiger<strong>en</strong>. Er is echter wel e<strong>en</strong><br />
<strong>privacy</strong>probleem wanneer ge<strong>en</strong> goede afsprak<strong>en</strong> tuss<strong>en</strong> werkgever <strong>en</strong><br />
werknemer word<strong>en</strong> gemaakt over de recht<strong>en</strong>, plicht<strong>en</strong> <strong>en</strong> verwachting<strong>en</strong>. Deze<br />
antivirussoftware heeft namelijk ook invloed (<strong>en</strong> toegang) tot privégegev<strong>en</strong>s,<br />
privégebruik <strong>en</strong> e<strong>en</strong> deel van de systeemresources (opslag, geheug<strong>en</strong>, CPU) van<br />
het appara<strong>at</strong> d<strong>at</strong> eig<strong>en</strong>dom is van de werknemer zelf, ook buit<strong>en</strong> werktijd. (32)<br />
Veel organis<strong>at</strong>ies hebb<strong>en</strong> in hun security-beleid opg<strong>en</strong>om<strong>en</strong> d<strong>at</strong> elk <strong>BYOD</strong>appara<strong>at</strong><br />
op afstand gewist of geblokkeerd (remote wipe/block) kan word<strong>en</strong><br />
wanneer d<strong>at</strong> door h<strong>en</strong> als noodzakelijk wordt gezi<strong>en</strong>. Wanneer die noodzaak er<br />
exact is, wordt in veel gevall<strong>en</strong> niet volledig <strong>en</strong>/of duidelijk gedefinieerd. Verder<br />
dan in het geval van diefstal of verlies kom<strong>en</strong> de meeste organis<strong>at</strong>ies niet, terwijl<br />
wordt aangegev<strong>en</strong> d<strong>at</strong> dit slechts <strong>en</strong>kele voorbeeld<strong>en</strong> zijn <strong>en</strong> andere sc<strong>en</strong>ario’s<br />
niet uit te sluit<strong>en</strong> zijn. (35, 38)<br />
Bij e<strong>en</strong> remote wipe/block gaan te all<strong>en</strong> tijde, per definitie ook privébestand<strong>en</strong><br />
verlor<strong>en</strong>. De meeste organis<strong>at</strong>ies zijn ervan overtuigd d<strong>at</strong> dit met de komst van<br />
MDM-software zal verbeter<strong>en</strong>. (39) Bov<strong>en</strong>di<strong>en</strong> krijgt de organis<strong>at</strong>ie controle <strong>en</strong><br />
zegg<strong>en</strong>schap over wanneer iemand zijn eig<strong>en</strong> smartphone of tablet kan<br />
gebruik<strong>en</strong>, ook buit<strong>en</strong> werktijd. Dit is e<strong>en</strong> ernstige sch<strong>en</strong>ding van de <strong>privacy</strong> <strong>en</strong><br />
het eig<strong>en</strong>domsrecht. Om het nog pijnlijker te mak<strong>en</strong>, blijkt uit dit onderzoek d<strong>at</strong><br />
de meeste organis<strong>at</strong>ies deze “bevoegdheid” helemaal niet, of slecht<br />
communicer<strong>en</strong> richting werknemers. Werknemers gaan daardoor niet expliciet <strong>en</strong><br />
bewust akkoord met dit beleid <strong>en</strong> de daaruit voortvloei<strong>en</strong>de ma<strong>at</strong>regel<strong>en</strong>. (34)<br />
Daar komt bov<strong>en</strong>op d<strong>at</strong> werknemers deze remote wipe/block, die ook t<strong>en</strong><br />
onrechte privégebruik- <strong>en</strong> gegev<strong>en</strong>s beïnvloedt, niet kunn<strong>en</strong> blokker<strong>en</strong>. Met als<br />
<strong>en</strong>ige uitzondering d<strong>at</strong> het <strong>BYOD</strong>-appara<strong>at</strong> nooit meer e<strong>en</strong> verbinding maakt met<br />
Internet. (36) Als klap op de vuurpijl gev<strong>en</strong> alle geïnterviewde organis<strong>at</strong>ies ook<br />
nog e<strong>en</strong>s toe d<strong>at</strong> ze niet kunn<strong>en</strong> voorkom<strong>en</strong> d<strong>at</strong> e<strong>en</strong> IT-medewerker per ongeluk<br />
(vergissing) of expres (rancune) e<strong>en</strong> remote wipe/block uitvoert <strong>en</strong> daarmee<br />
privégebruik belemmert <strong>en</strong>/of privégegev<strong>en</strong>s verwijdert of anderzijds<br />
ontoegankelijk maakt. (37) Dit alles wijst op e<strong>en</strong> onhoudbare situ<strong>at</strong>ie waar <strong>bij</strong><br />
de meeste organis<strong>at</strong>ies snel iets aan gedaan moet word<strong>en</strong>.<br />
Uit dit onderzoek komt nog e<strong>en</strong> serieus minpunt naar vor<strong>en</strong> in de procedure die<br />
de meeste organis<strong>at</strong>ies hanter<strong>en</strong> in geval van e<strong>en</strong> remote wipe/block. De<br />
werknemer moet namelijk zelf diefstal of vermissing van het appara<strong>at</strong> meld<strong>en</strong>.<br />
Pagina | 54
Zolang dit niet direct wordt gedaan (schaamte, verget<strong>en</strong>, laksheid, onzekerheid)<br />
blijv<strong>en</strong> de gegev<strong>en</strong>s op het appara<strong>at</strong> intact <strong>en</strong> aanwezig, ev<strong>en</strong>als de toegang tot<br />
de organis<strong>at</strong>ie-infrastructuur. (40)<br />
Opmerkelijk g<strong>en</strong>oeg geeft ge<strong>en</strong> <strong>en</strong>kele van de geïnterviewde organis<strong>at</strong>ies aan d<strong>at</strong><br />
er ooit spanningsveld<strong>en</strong> m.b.t. <strong>privacy</strong>-inbreuk zijn geweest als gevolg van het<br />
gehanteerde <strong>BYOD</strong> security-beleid. E<strong>en</strong> aantal onderzochte organis<strong>at</strong>ies legt e<strong>en</strong><br />
causaal verband tuss<strong>en</strong> het niet forcer<strong>en</strong> van <strong>BYOD</strong> security-beleid <strong>en</strong> het<br />
ontbrek<strong>en</strong> van spanningsveld<strong>en</strong>. (41)<br />
6.2.2 Welke <strong>privacy</strong>problem<strong>en</strong> ontstaan door de getroff<strong>en</strong> <strong>BYOD</strong><br />
security-ma<strong>at</strong>regel<strong>en</strong>?<br />
Uit dit onderzoek is geblek<strong>en</strong> d<strong>at</strong> alle onderzochte organis<strong>at</strong>ies primair het<br />
inlogg<strong>en</strong> met username/password <strong>en</strong> de 4-cijferige pincode inzett<strong>en</strong> <strong>bij</strong> <strong>BYOD</strong>appar<strong>at</strong><strong>en</strong><br />
ter id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie van gebruikers. Deze<br />
ma<strong>at</strong>regel<strong>en</strong> hebb<strong>en</strong> ge<strong>en</strong> neg<strong>at</strong>ieve invloed op de <strong>privacy</strong> van <strong>BYOD</strong>-gebruikers.<br />
E<strong>en</strong> aantal organis<strong>at</strong>ies noemt ook versleuteling van de opgeslag<strong>en</strong> gegev<strong>en</strong>s <strong>en</strong><br />
gebruik van e<strong>en</strong> VPN verbinding voor de versleuteling van te<br />
verz<strong>en</strong>d<strong>en</strong>/ontvang<strong>en</strong> gegev<strong>en</strong>s. Ook deze <strong>BYOD</strong> security-ma<strong>at</strong>regel<strong>en</strong> hebb<strong>en</strong><br />
ge<strong>en</strong> neg<strong>at</strong>ieve invloed op de <strong>privacy</strong> van <strong>BYOD</strong>-gebruikers. (28)<br />
Veel organis<strong>at</strong>ies gev<strong>en</strong> op<strong>en</strong>lijk toe d<strong>at</strong> de technische <strong>BYOD</strong> securityma<strong>at</strong>regel<strong>en</strong>,<br />
die voortvloei<strong>en</strong> uit hun security-beleid, ook t<strong>en</strong> onrechte <strong>en</strong> soms<br />
zonder k<strong>en</strong>nis <strong>en</strong> goedkeuring van de gebruiker, invloed hebb<strong>en</strong> op het<br />
privégebruik <strong>en</strong> privégegev<strong>en</strong>s van het <strong>BYOD</strong>-appara<strong>at</strong> (29). Het ga<strong>at</strong> vooral om<br />
de omstred<strong>en</strong> (35, 38, 39) remote wipe/block <strong>en</strong> in mindere m<strong>at</strong>e om de 4cijferige<br />
pincode (21).<br />
De remote wipe/block is klaarblijkelijk e<strong>en</strong> paard<strong>en</strong>middel d<strong>at</strong> meer doet dan<br />
gew<strong>en</strong>st. Helaas heeft ge<strong>en</strong> <strong>en</strong>kele organis<strong>at</strong>ie MDM-software geïmplem<strong>en</strong>teerd,<br />
maar gev<strong>en</strong> ze wel aan dit van plan te zijn om <strong>privacy</strong>problem<strong>en</strong> als gevolg van<br />
de remote wipe/block te voorkom<strong>en</strong>. (30)<br />
De pincode, die ook tijd<strong>en</strong>s privégebruik <strong>en</strong> buit<strong>en</strong> werktijd<strong>en</strong>, ingetoetst zal<br />
moet<strong>en</strong> word<strong>en</strong>, leidt niet tot serieuze <strong>privacy</strong>problem<strong>en</strong>. De remote wipe/block<br />
kan echter wel leid<strong>en</strong> tot serieuze <strong>en</strong> vergaande <strong>privacy</strong>-inbreuk, zie 6.2.1 <strong>en</strong><br />
(30). Weinig organis<strong>at</strong>ies hebb<strong>en</strong> als uitgangspunt om e<strong>en</strong> strikte, technische<br />
scheiding tuss<strong>en</strong> zakelijk <strong>en</strong> privé toe te pass<strong>en</strong>. (21)<br />
Alle organis<strong>at</strong>ies die in de toekomst MDM-software will<strong>en</strong> gaan inzett<strong>en</strong>, gaan<br />
daarmee ook controler<strong>en</strong> op firmware <strong>en</strong> het besturingssysteem. Mits <strong>BYOD</strong>gebruikers<br />
hier toestemming voor hebb<strong>en</strong> gegev<strong>en</strong>, zal dit niet tot inbreuk op de<br />
<strong>privacy</strong> leid<strong>en</strong>. (31)<br />
Tijd<strong>en</strong>s het onderzoek was antivirussoftware nog niet verplicht. Er is daarom ook<br />
nog ge<strong>en</strong> <strong>privacy</strong>problem<strong>en</strong>. Veel organis<strong>at</strong>ies hebb<strong>en</strong> echter aangegev<strong>en</strong> dit in<br />
2013 wel verplicht te gaan stell<strong>en</strong>, <strong>en</strong> door middel van MDM-software op afstand<br />
installer<strong>en</strong> <strong>en</strong> beher<strong>en</strong>. E<strong>en</strong> prima ontwikkeling die de risico’s van Android kan<br />
mitiger<strong>en</strong>. Er is echter wel e<strong>en</strong> <strong>privacy</strong>probleem wanneer ge<strong>en</strong> goede afsprak<strong>en</strong>,<br />
tuss<strong>en</strong> werkgever <strong>en</strong> werknemer, word<strong>en</strong> gemaakt over de recht<strong>en</strong>, plicht<strong>en</strong> <strong>en</strong><br />
verwachting<strong>en</strong>. Deze antivirussoftware heeft namelijk ook invloed (<strong>en</strong> toegang)<br />
Pagina | 55
tot privégegev<strong>en</strong>s, privégebruik <strong>en</strong> e<strong>en</strong> deel van de systeemresources (opslag,<br />
geheug<strong>en</strong>, CPU) van het appara<strong>at</strong> d<strong>at</strong> eig<strong>en</strong>dom is van de werknemer zelf. (32)<br />
Meer dan de helft van de onderzochte organis<strong>at</strong>ies geeft aan e<strong>en</strong> remote<br />
wipe/block te kunn<strong>en</strong> <strong>en</strong> mog<strong>en</strong> uitvoer<strong>en</strong> (34, 35), zelfs zonder d<strong>at</strong> de<br />
gebruiker daar k<strong>en</strong>nis van heeft <strong>en</strong> akkoord voor heeft gegev<strong>en</strong>. Dit kan leid<strong>en</strong><br />
tot serieuze <strong>privacy</strong>problem<strong>en</strong>, zie 6.2.1.<br />
Privacyproblem<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> veroorzaakt juist doord<strong>at</strong> werknemers zich<br />
niet teg<strong>en</strong> deze ma<strong>at</strong>regel<strong>en</strong> kunn<strong>en</strong> afscherm<strong>en</strong>. Twee van de vijf onderzochte<br />
organis<strong>at</strong>ies gev<strong>en</strong> aan d<strong>at</strong> afscherm<strong>en</strong> niet mogelijk is. Dit is niet helemaal<br />
correct, want zolang het appara<strong>at</strong> ge<strong>en</strong> verbinding met Internet heeft, kan de<br />
remote wipe/block word<strong>en</strong> uitgesteld. D<strong>at</strong> zou echter ook betek<strong>en</strong><strong>en</strong> d<strong>at</strong> de<br />
gebruiker nooit meer online zou kunn<strong>en</strong> gaan met d<strong>at</strong> specifieke appara<strong>at</strong>. (36)<br />
Alle organis<strong>at</strong>ies die deelnem<strong>en</strong> aan dit afstudeeronderzoek gav<strong>en</strong> eerlijk <strong>en</strong><br />
op<strong>en</strong>lijk toe d<strong>at</strong> ze niet kunn<strong>en</strong> voorkom<strong>en</strong> d<strong>at</strong> medewerkers van de IT-afdeling,<br />
zonder toestemming, aan de haal kond<strong>en</strong> gaan met privégegev<strong>en</strong>s op<br />
andermans <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> (37). D<strong>en</strong>k aan het inzi<strong>en</strong>, aanpass<strong>en</strong>, kopiër<strong>en</strong>,<br />
vergr<strong>en</strong>del<strong>en</strong> of verwijder<strong>en</strong> van privédocum<strong>en</strong>t<strong>en</strong>. Ook e<strong>en</strong> ongeoorloofde<br />
remote wipe/block kan niet voorkom<strong>en</strong> word<strong>en</strong>. Slechts één organis<strong>at</strong>ies geeft<br />
aan d<strong>at</strong> de betreff<strong>en</strong>de IT-medewerker, die zonder toestemming heeft<br />
gehandeld, getraceerd wordt <strong>en</strong> mogelijk ontslag kan verwacht<strong>en</strong>. D<strong>at</strong> is echter<br />
mosterd na de maaltijd. Alle<strong>en</strong> al het idee d<strong>at</strong> de organis<strong>at</strong>ies ge<strong>en</strong> volledige grip<br />
hebb<strong>en</strong> op w<strong>at</strong> IT-medewerkers kunn<strong>en</strong> do<strong>en</strong> met andermans privégegev<strong>en</strong>s, is<br />
zorgwekk<strong>en</strong>d. Omd<strong>at</strong> <strong>BYOD</strong>-gebruikers nooit zeker wet<strong>en</strong> d<strong>at</strong> hun privégegev<strong>en</strong>s<br />
ook daadwerkelijk privé blijv<strong>en</strong>, is hier sprake van e<strong>en</strong> serieus <strong>privacy</strong>probleem.<br />
(37)<br />
De meeste onderzochte organis<strong>at</strong>ies meld<strong>en</strong> d<strong>at</strong> de remote wipe/block alle<strong>en</strong><br />
uitgevoerd mag word<strong>en</strong> wanneer daar e<strong>en</strong> (volg<strong>en</strong>s h<strong>en</strong>) goede red<strong>en</strong> voor is,<br />
zoals verlies of diefstal van het betreff<strong>en</strong>de <strong>BYOD</strong>-appara<strong>at</strong>. Andere sc<strong>en</strong>ario’s<br />
zijn ook mogelijk, maar die zijn vreemd g<strong>en</strong>oeg niet gedefinieerd. Door deze<br />
onzekerheid aan de kant van de organis<strong>at</strong>ie, ontsta<strong>at</strong> ook onzekerheid aan de<br />
kant van de <strong>BYOD</strong>-gebruiker. Hij/zij weet immers nooit zeker of zijn eig<strong>en</strong><br />
appara<strong>at</strong> gewist of geblokkeerd is of ga<strong>at</strong> word<strong>en</strong>. (38)<br />
Wanneer e<strong>en</strong> remote wipe/block wordt uitgevoerd (met/zonder toestemming<br />
<strong>en</strong>/of valide red<strong>en</strong>) kan ge<strong>en</strong> <strong>en</strong>kele onderzochte organis<strong>at</strong>ie daar<strong>bij</strong> onderscheid<br />
mak<strong>en</strong> tuss<strong>en</strong> zakelijke gegev<strong>en</strong>s <strong>en</strong> privégegev<strong>en</strong>s. De gebruiker is daardoor<br />
alles kwijt w<strong>at</strong> op zijn eig<strong>en</strong> appara<strong>at</strong> sta<strong>at</strong> <strong>en</strong> zal moet<strong>en</strong> terugvall<strong>en</strong> op e<strong>en</strong><br />
backup. Door de tekortkoming van deze organis<strong>at</strong>ies, <strong>en</strong> het paard<strong>en</strong>middel d<strong>at</strong><br />
ze gebruik<strong>en</strong>, is de <strong>privacy</strong> van de gebruiker ernstig in het geding. (39)<br />
Kortom: organis<strong>at</strong>ies kunn<strong>en</strong> niet voorkom<strong>en</strong> d<strong>at</strong> e<strong>en</strong> appara<strong>at</strong> t<strong>en</strong> onrechte<br />
wordt gewist of geblokkeerd (37), ze kunn<strong>en</strong> niet exact aangev<strong>en</strong> wanneer ze<br />
hiertoe over mog<strong>en</strong> gaan (38) <strong>en</strong> als ze het do<strong>en</strong>, wordt ook het privé-deel<br />
gewist (39). Bov<strong>en</strong>di<strong>en</strong> kunn<strong>en</strong> werknemers zich in de meeste gevall<strong>en</strong> niet<br />
bescherm<strong>en</strong> teg<strong>en</strong> deze remote wipe/block (36). <strong>BYOD</strong>-gebruikers zijn<br />
weliswaar eig<strong>en</strong>aar van het appara<strong>at</strong>, maar uit dit onderzoek blijkt d<strong>at</strong> ze er<br />
weinig over te zegg<strong>en</strong> hebb<strong>en</strong>. D<strong>at</strong> maakt het des te opvall<strong>en</strong>der d<strong>at</strong> ge<strong>en</strong> <strong>en</strong>kele<br />
onderzochte organis<strong>at</strong>ie meldt d<strong>at</strong> in het verled<strong>en</strong> spanningsveld<strong>en</strong> zijn geweest<br />
Pagina | 56
m.b.t. de <strong>privacy</strong> van werknemers. E<strong>en</strong> verklaring zou kunn<strong>en</strong> zijn d<strong>at</strong><br />
spanningsveld<strong>en</strong> nooit tot het niveau van de geïnterviewde zijn geëscaleerd <strong>en</strong> in<br />
lagere region<strong>en</strong> van de organis<strong>at</strong>ie zijn opgelost. (41)<br />
6.3 Conclusies m.b.t. deelvraag 3<br />
W<strong>at</strong> do<strong>en</strong> organis<strong>at</strong>ies die het <strong>BYOD</strong>-concept hebb<strong>en</strong> geïmplem<strong>en</strong>teerd of<br />
dit serieus overweg<strong>en</strong>, eraan om te voorkom<strong>en</strong> d<strong>at</strong> het security-beleid <strong>en</strong><br />
de security-ma<strong>at</strong>regel<strong>en</strong> e<strong>en</strong> inbreuk vorm<strong>en</strong> op de <strong>privacy</strong> van de<br />
werknemers?<br />
6.3.1 Welke ma<strong>at</strong>regel<strong>en</strong> word<strong>en</strong> g<strong>en</strong>om<strong>en</strong> om <strong>privacy</strong> inbreuk te<br />
voorkom<strong>en</strong>?<br />
Uit dit onderzoek blijkt d<strong>at</strong> organis<strong>at</strong>ies op dit mom<strong>en</strong>t weinig do<strong>en</strong> om <strong>privacy</strong><br />
inbreuk <strong>bij</strong> werknemers als gevolg van de gekoz<strong>en</strong> <strong>BYOD</strong>-security, te<br />
voorkom<strong>en</strong>. <strong>Security</strong> blijkt e<strong>en</strong> hogere prioriteit te hebb<strong>en</strong> dan <strong>privacy</strong>. Omd<strong>at</strong> de<br />
onderzochte organis<strong>at</strong>ies nog worstel<strong>en</strong> met <strong>BYOD</strong>-security <strong>en</strong> allereerst aan<br />
zichzelf d<strong>en</strong>k<strong>en</strong>, is er weinig oog voor het standpunt van de werknemer.<br />
Aandacht voor security hoeft echter ev<strong>en</strong>redige aandacht (respect) voor de<br />
<strong>privacy</strong> van de werknemers niet uit te sluit<strong>en</strong>.<br />
Daarnaast ondersch<strong>at</strong>t<strong>en</strong> <strong>en</strong> bag<strong>at</strong>elliser<strong>en</strong> de onderzochte organis<strong>at</strong>ies ook de<br />
gevolg<strong>en</strong> van hun <strong>BYOD</strong> security beleid <strong>en</strong> ma<strong>at</strong>regel<strong>en</strong>. Ze gaan ervan uit d<strong>at</strong><br />
de werknemer zelf wel zorgt voor e<strong>en</strong> goede <strong>en</strong> actuele backup mocht het<br />
verkeerd lop<strong>en</strong>. Het risico op verlies van privégegev<strong>en</strong>s wordt gepres<strong>en</strong>teerd als<br />
e<strong>en</strong> voorwaarde waar werknemers maar akkoord mee moet<strong>en</strong> gaan omd<strong>at</strong><br />
organis<strong>at</strong>ies nog niet de juiste middel<strong>en</strong> hebb<strong>en</strong> om e<strong>en</strong> strikte scheiding tuss<strong>en</strong><br />
zakelijk <strong>en</strong> privé aan te br<strong>en</strong>g<strong>en</strong>. Dit zou ge<strong>en</strong> probleem voor de werknemer<br />
moet<strong>en</strong> zijn, maar voor de organis<strong>at</strong>ie.<br />
E<strong>en</strong> klein deel van de onderzochte organis<strong>at</strong>ies ziet helemaal ge<strong>en</strong><br />
<strong>privacy</strong>probleem <strong>en</strong> is dus ook niet van plan om ma<strong>at</strong>regel<strong>en</strong> daarteg<strong>en</strong> te<br />
nem<strong>en</strong>. De meeste van de onderzochte organis<strong>at</strong>ies gev<strong>en</strong> wel aan d<strong>at</strong> de<br />
<strong>privacy</strong> van werknemers <strong>bij</strong> <strong>BYOD</strong> in de toekomst op de ag<strong>en</strong>da zal kom<strong>en</strong> te<br />
staan <strong>en</strong>/of met de komst van MDM-software efficiënter kan word<strong>en</strong> aangepakt.<br />
Slechts één van de vijf onderzochte organis<strong>at</strong>ies wil het <strong>privacy</strong>probleem op e<strong>en</strong><br />
volledig andere manier voorkom<strong>en</strong>. Deze organis<strong>at</strong>ie geeft aan <strong>BYOD</strong> in de<br />
toekomst te will<strong>en</strong> ontmoedig<strong>en</strong> <strong>en</strong> CYOD te stimuler<strong>en</strong>. Omd<strong>at</strong> het appara<strong>at</strong> <strong>bij</strong><br />
CYOD volledig eig<strong>en</strong>dom is van de organis<strong>at</strong>ie, zal het <strong>privacy</strong>probleem word<strong>en</strong><br />
gemitigeerd. (42, 43, 44)<br />
Pagina | 57
6.4 Conclusies hoofdvraag<br />
Op basis van bov<strong>en</strong>staande conclusies van de drie deelvrag<strong>en</strong>, kan tot de<br />
volg<strong>en</strong>de conclusie word<strong>en</strong> gekom<strong>en</strong> m.b.t. de hoofdvraag van dit onderzoek.<br />
Hoe hebb<strong>en</strong> organis<strong>at</strong>ies de security rondom <strong>BYOD</strong> geregeld (beleid <strong>en</strong><br />
ma<strong>at</strong>regel<strong>en</strong>) <strong>en</strong> w<strong>at</strong> is de invloed daarvan op de <strong>privacy</strong> van hun<br />
werknemers?<br />
Hoofdconclusie:<br />
Organis<strong>at</strong>ies hebb<strong>en</strong> zowel het <strong>BYOD</strong> security-beleid ev<strong>en</strong>als de daaruit<br />
voortvloei<strong>en</strong>de security-ma<strong>at</strong>regel<strong>en</strong> niet adequa<strong>at</strong> geregeld.<br />
Organis<strong>at</strong>ies bereid<strong>en</strong> zich niet of nauwelijks voor op de risico’s van <strong>BYOD</strong>.<br />
Hierdoor kan niet pass<strong>en</strong>d geanticipeerd word<strong>en</strong> op de inher<strong>en</strong>te gevar<strong>en</strong> van<br />
<strong>BYOD</strong>. Bov<strong>en</strong>di<strong>en</strong> kan dit resulter<strong>en</strong> in security-beleid <strong>en</strong> security-ma<strong>at</strong>regel<strong>en</strong><br />
die de gevar<strong>en</strong> van <strong>BYOD</strong> niet effectief <strong>en</strong> efficiënt kunn<strong>en</strong> mitiger<strong>en</strong>.<br />
Daarnaast hebb<strong>en</strong> zowel het security-beleid als de security-ma<strong>at</strong>regel<strong>en</strong> veelal<br />
e<strong>en</strong> neg<strong>at</strong>ieve invloed op de <strong>privacy</strong> van de werknemers. Dit wordt veroorzaakt<br />
doord<strong>at</strong> organis<strong>at</strong>ies ge<strong>en</strong> MDM-software implem<strong>en</strong>ter<strong>en</strong> <strong>en</strong> daardoor niet in<br />
sta<strong>at</strong> zijn om onderscheid te kunn<strong>en</strong> mak<strong>en</strong> tuss<strong>en</strong> zakelijke- <strong>en</strong> privégegev<strong>en</strong>s<br />
op e<strong>en</strong> <strong>BYOD</strong>-appara<strong>at</strong>. Organis<strong>at</strong>ies zijn echter wel van m<strong>en</strong>ing d<strong>at</strong> MDMsoftware<br />
e<strong>en</strong> effectieve oplossing kan zijn voor het security- <strong>en</strong> <strong>privacy</strong>probleem<br />
<strong>bij</strong> <strong>BYOD</strong>.<br />
Specifieke voorwaard<strong>en</strong> m.b.t. het gebruik van <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> ontbrek<strong>en</strong> vaak<br />
of word<strong>en</strong> niet of nauwelijks gecommuniceerd naar werknemers. Werknemers<br />
zijn hierdoor niet altijd op de hoogte van recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> m.b.t. <strong>BYOD</strong>.<br />
Organis<strong>at</strong>ies gev<strong>en</strong> daar<strong>en</strong>teg<strong>en</strong> aan nog ge<strong>en</strong> spanningsveld<strong>en</strong> m.b.t. <strong>privacy</strong><br />
inbreuk te hebb<strong>en</strong> meegemaakt. Voorkom<strong>en</strong> van inbreuk op de <strong>privacy</strong> heeft<br />
daarom nog ge<strong>en</strong> hoge prioriteit. In de toekomst zal dit echter meer aandacht<br />
krijg<strong>en</strong>, aldus de onderzochte organis<strong>at</strong>ies.<br />
<strong>BYOD</strong>-security is vooral e<strong>en</strong> aangeleg<strong>en</strong>heid van de IT-afdeling. Ontbrek<strong>en</strong>de<br />
k<strong>en</strong>nis <strong>en</strong> expertise van specifiek <strong>BYOD</strong>-security wordt door veel organis<strong>at</strong>ies<br />
intern opgebouwd. Dit wordt gedaan via de trial-and-error methode, in e<strong>en</strong><br />
productieomgeving <strong>en</strong> met vertrouwelijke bedrijfsgegev<strong>en</strong>s.<br />
Ondanks d<strong>at</strong> er niet of nauwelijks wordt voorbereid, ge<strong>en</strong> MDM-software wordt<br />
gebruikt, voorwaard<strong>en</strong> niet aanwezig zijn of nauwelijks word<strong>en</strong> gecommuniceerd<br />
<strong>en</strong> <strong>privacy</strong> van werknemers in gevaar kan kom<strong>en</strong>, vind<strong>en</strong> organis<strong>at</strong>ies hun<br />
<strong>BYOD</strong>-security effectief <strong>en</strong> goed g<strong>en</strong>oeg.<br />
6.5 Aanbeveling<strong>en</strong> voor organis<strong>at</strong>ies<br />
Hieronder word<strong>en</strong> praktische aanbeveling<strong>en</strong> beschrev<strong>en</strong> die hoofdzakelijk gericht<br />
zijn op organis<strong>at</strong>ies die <strong>BYOD</strong> overweg<strong>en</strong> <strong>en</strong> nog niet geïmplem<strong>en</strong>teerd hebb<strong>en</strong>.<br />
D<strong>at</strong> neemt niet weg d<strong>at</strong> ook organis<strong>at</strong>ies die <strong>BYOD</strong> al geïmplem<strong>en</strong>teerd hebb<strong>en</strong><br />
hieruit lering kunn<strong>en</strong> trekk<strong>en</strong> <strong>en</strong> hun voordeel ermee kunn<strong>en</strong> do<strong>en</strong>.<br />
1. Organis<strong>at</strong>ies di<strong>en</strong><strong>en</strong> adequa<strong>at</strong> voorbereid te zijn op <strong>BYOD</strong> door uitgebreid<br />
vooronderzoek te verricht<strong>en</strong>. E<strong>en</strong> SWOT-analyse zou e<strong>en</strong> manier kunn<strong>en</strong> zijn<br />
Pagina | 58
om de voor- <strong>en</strong> nadel<strong>en</strong> in kaart te br<strong>en</strong>g<strong>en</strong>. Goed vooronderzoek zorgt<br />
ervoor d<strong>at</strong> zowel beleid als techniek effectief <strong>en</strong> efficiënt afgestemd kunn<strong>en</strong><br />
word<strong>en</strong> op vooral de risico’s <strong>en</strong> valkuil<strong>en</strong>. Gevar<strong>en</strong> kunn<strong>en</strong> daardoor beter <strong>en</strong><br />
eerder gemitigeerd word<strong>en</strong>. Het is bov<strong>en</strong>di<strong>en</strong> aan te bevel<strong>en</strong> om eerst beleid<br />
te bepal<strong>en</strong> <strong>en</strong> daarna pas de techniek in te duik<strong>en</strong>. Techniek zonder beleid<br />
zorgt voor verwarring <strong>en</strong> onduidelijkheid m.b.t. de randvoorwaard<strong>en</strong>.<br />
2. Organis<strong>at</strong>ies moet<strong>en</strong> zich kritisch afvrag<strong>en</strong> of er wel g<strong>en</strong>oeg interne k<strong>en</strong>nis<br />
aanwezig is om goed vooronderzoek te do<strong>en</strong>, effectief <strong>en</strong> efficiënt beleid te<br />
bepal<strong>en</strong> <strong>en</strong> adequ<strong>at</strong>e technische ma<strong>at</strong>regel<strong>en</strong> te implem<strong>en</strong>ter<strong>en</strong>. Bij twijfel is<br />
het aan te rad<strong>en</strong> om extern k<strong>en</strong>nis te bemachtig<strong>en</strong>. D<strong>en</strong>k aan seminars,<br />
congress<strong>en</strong>, opleiding<strong>en</strong>, professionele contact<strong>en</strong> of best practices <strong>bij</strong><br />
soortgelijke organis<strong>at</strong>ies. Wanneer met beperkte k<strong>en</strong>nis vooronderzoek wordt<br />
gedaan, beleid wordt bepaald <strong>en</strong> technische ma<strong>at</strong>regel<strong>en</strong> word<strong>en</strong><br />
geïmplem<strong>en</strong>teerd ontsta<strong>at</strong> de kans d<strong>at</strong> deze in de praktijk tekort blijk<strong>en</strong> te<br />
schiet<strong>en</strong>. Niet alle risico’s word<strong>en</strong> daardoor (volledig) afgedekt. Dit kan leid<strong>en</strong><br />
tot schade voor de organis<strong>at</strong>ie, <strong>bij</strong>voorbeeld door verlies van vertrouwelijke<br />
bedrijfsgegev<strong>en</strong>s. Daarnaast lop<strong>en</strong> organis<strong>at</strong>ies die zelf k<strong>en</strong>nis <strong>en</strong> ervaring<br />
will<strong>en</strong> opbouw<strong>en</strong> in e<strong>en</strong> productieomgeving via de trial-and-error <strong>en</strong> learn-aswe-go<br />
methode, kans op ernstig verlies van vertrouwelijke bedrijfsgegev<strong>en</strong>s.<br />
3. Bij het bepal<strong>en</strong> (<strong>en</strong> <strong>bij</strong>houd<strong>en</strong>) van het <strong>BYOD</strong> security-beleid zoud<strong>en</strong><br />
meerdere afdeling<strong>en</strong> betrokk<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> <strong>en</strong> niet primair de IT-afdeling.<br />
D<strong>en</strong>k aan HR (Personeelszak<strong>en</strong>), het managem<strong>en</strong>t, juridische afdeling<strong>en</strong>, riskmanagem<strong>en</strong>t<br />
<strong>en</strong> de ondernemingsraad. Ook de eindgebruikers moet<strong>en</strong> er<strong>bij</strong><br />
betrokk<strong>en</strong> word<strong>en</strong> (<strong>en</strong> blijv<strong>en</strong>), <strong>bij</strong>voorbeeld in de vorm van e<strong>en</strong> <strong>en</strong>quête.<br />
Door meerdere afdeling<strong>en</strong> <strong>bij</strong> het <strong>BYOD</strong> security-beleid te betrekk<strong>en</strong>, wordt de<br />
inhoud (<strong>en</strong> de gevolg<strong>en</strong> ervan) vanuit diverse belang<strong>en</strong> <strong>en</strong> optiek<strong>en</strong><br />
sam<strong>en</strong>gesteld. Er zal kritisch, <strong>en</strong> vanuit verschill<strong>en</strong>de gezichtspunt<strong>en</strong>, naar<br />
(de effectiviteit van) het beleid moet<strong>en</strong> word<strong>en</strong> gekek<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> word<strong>en</strong><br />
w<strong>en</strong>s<strong>en</strong>, eis<strong>en</strong>, verwachting<strong>en</strong> <strong>en</strong> mogelijke spanningsveld<strong>en</strong> beter in kaart<br />
gebracht. De IT-afdeling moet overig<strong>en</strong>s wel primair verantwoordelijk blijv<strong>en</strong><br />
<strong>bij</strong> het uitvoer<strong>en</strong> van het vooronderzoek <strong>en</strong> zorg<strong>en</strong> voor voldo<strong>en</strong>de interne<br />
k<strong>en</strong>nis.<br />
4. Elke organis<strong>at</strong>ie die <strong>BYOD</strong> toe wil staan, wordt geadviseerd om MDM-software<br />
gebruik<strong>en</strong>. De tekortschiet<strong>en</strong>de <strong>en</strong> <strong>privacy</strong>-sch<strong>en</strong>d<strong>en</strong>de remote wipe/block<br />
wordt hiermee vervang<strong>en</strong>. Met behulp van MDM-software heeft de organis<strong>at</strong>ie<br />
meer overzicht <strong>en</strong> controle over de <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> <strong>en</strong> bedrijfsgegev<strong>en</strong>s.<br />
<strong>Security</strong>-beleid kan met behulp van MDM-software beter gehandhaafd word<strong>en</strong><br />
<strong>en</strong> e<strong>en</strong> striktere scheiding tuss<strong>en</strong> zakelijke gegev<strong>en</strong>s <strong>en</strong> privégegev<strong>en</strong>s wordt<br />
mogelijk. MDM-software kan zorg<strong>en</strong> voor betere security <strong>en</strong> meer <strong>privacy</strong>,<br />
e<strong>en</strong> win-win situ<strong>at</strong>ie.<br />
5. Elke organis<strong>at</strong>ie die <strong>BYOD</strong> toe wil staan, moet specifieke voorwaard<strong>en</strong><br />
opstell<strong>en</strong> m.b.t. gebruik van eig<strong>en</strong> hardware voor zakelijke doeleind<strong>en</strong>. In<br />
deze voorwaard<strong>en</strong> di<strong>en</strong><strong>en</strong> de spelregels, de recht<strong>en</strong> <strong>en</strong> plicht<strong>en</strong> m.b.t. <strong>BYOD</strong>gebruik<br />
duidelijk beschrev<strong>en</strong> te word<strong>en</strong>. Bij de ontwikkeling van de <strong>BYOD</strong>voorwaard<strong>en</strong><br />
zoud<strong>en</strong> meerdere afdeling<strong>en</strong> betrokk<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> om de<br />
kwaliteit, praktische haalbaarheid <strong>en</strong> relevantie te verhog<strong>en</strong>. De voorwaard<strong>en</strong><br />
di<strong>en</strong><strong>en</strong> expliciet gecommuniceerd te word<strong>en</strong>, ook wijziging<strong>en</strong> aan de<br />
voorwaard<strong>en</strong>. <strong>BYOD</strong>-gebruikers moet<strong>en</strong> bewust, expliciet <strong>en</strong> volledig akkoord<br />
Pagina | 59
gaan met deze voorwaard<strong>en</strong> als ze hun eig<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> will<strong>en</strong><br />
gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>. Het security-beleid moet wijz<strong>en</strong> naar<br />
deze voorwaard<strong>en</strong>, de voorwaard<strong>en</strong> moet<strong>en</strong> wijz<strong>en</strong> naar het security-beleid.<br />
6. Elke organis<strong>at</strong>ie die <strong>BYOD</strong> toe wil staan, moet als uitgangpunt hebb<strong>en</strong>, <strong>en</strong><br />
daar ook naar handel<strong>en</strong>, d<strong>at</strong> <strong>privacy</strong> net zo belangrijk is als security. Dit kan<br />
door te all<strong>en</strong> tijde e<strong>en</strong> beleidsm<strong>at</strong>ige <strong>en</strong> technische strikte scheiding tuss<strong>en</strong><br />
zakelijk <strong>en</strong> privé te hanter<strong>en</strong>. De <strong>privacy</strong> van de werknemers mag nooit<br />
ondergeschikt zijn aan security van de organis<strong>at</strong>ie. Ondermijning van de<br />
<strong>privacy</strong> kan namelijk leid<strong>en</strong> tot ondermijning van de security. E<strong>en</strong> werknemer<br />
die ontevred<strong>en</strong> is over hoe de organis<strong>at</strong>ie omga<strong>at</strong> met zijn <strong>privacy</strong>, kan<br />
mogelijk ook (bewust) minder verstandig omgaan met de security.<br />
6.6 Aanbeveling<strong>en</strong> voor vervolgonderzoek<br />
Onderstaande onderzoeksvrag<strong>en</strong> volg<strong>en</strong> uit de result<strong>at</strong><strong>en</strong> <strong>en</strong> conclusies van dit<br />
afstudeeronderzoek. De vrag<strong>en</strong> l<strong>en</strong><strong>en</strong> zich voor het do<strong>en</strong> van vervolgonderzoek<br />
naar <strong>BYOD</strong>-security.<br />
W<strong>at</strong> is de impact van MDM-software <strong>bij</strong> e<strong>en</strong> organis<strong>at</strong>ie die <strong>BYOD</strong> toesta<strong>at</strong>?<br />
Hoe effectief is MDM-software in het oploss<strong>en</strong> van de security- <strong>en</strong><br />
<strong>privacy</strong>problem<strong>en</strong> <strong>bij</strong> <strong>BYOD</strong>?<br />
W<strong>at</strong> zijn de rec<strong>en</strong>te ontwikkeling<strong>en</strong> met betrekking tot <strong>BYOD</strong>-security?<br />
W<strong>at</strong> is zijn de rec<strong>en</strong>te ontwikkeling<strong>en</strong> met betrekking tot CYOD?<br />
W<strong>at</strong> zijn de voor- <strong>en</strong> nadel<strong>en</strong> van CYOD bov<strong>en</strong> <strong>BYOD</strong> voor organis<strong>at</strong>ies?<br />
Aan welke criteria di<strong>en</strong>t e<strong>en</strong> <strong>BYOD</strong>-vooronderzoek te voldo<strong>en</strong> wil het beleid<br />
effectief <strong>en</strong> efficiënt de risico’s kunn<strong>en</strong> mitiger<strong>en</strong>?<br />
Hoe zi<strong>en</strong> <strong>BYOD</strong>-voorwaard<strong>en</strong> eruit, hoe zijn ze tot stand gekom<strong>en</strong> <strong>en</strong> hoe<br />
kunn<strong>en</strong> ze optimaal word<strong>en</strong> gecommuniceerd?<br />
Welke security-incid<strong>en</strong>t<strong>en</strong> hebb<strong>en</strong> zich voorgedaan <strong>bij</strong> implem<strong>en</strong>t<strong>at</strong>ie van<br />
<strong>BYOD</strong>/CYOD?<br />
Hoe kan de <strong>privacy</strong> van de werknemer word<strong>en</strong> gerespecteerd, zonder in te<br />
lever<strong>en</strong> op de m<strong>at</strong>e van inform<strong>at</strong>iebeveiliging, binn<strong>en</strong> e<strong>en</strong> <strong>BYOD</strong>/CYOD<br />
implem<strong>en</strong>t<strong>at</strong>ie?<br />
Hoe kunn<strong>en</strong> de kost<strong>en</strong>, die bespaard word<strong>en</strong> doord<strong>at</strong> medewerkers hun eig<strong>en</strong><br />
hardware me<strong>en</strong>em<strong>en</strong>, word<strong>en</strong> gebruikt voor extra beveiliging?<br />
Welke pl<strong>at</strong>form<strong>en</strong>, besturingssystem<strong>en</strong> <strong>en</strong> soort<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> hebb<strong>en</strong><br />
e<strong>en</strong> positief of neg<strong>at</strong>ief r<strong>en</strong>dem<strong>en</strong>t op e<strong>en</strong> <strong>BYOD</strong> of CYOD investering?<br />
Pagina | 60
7. Reflectie<br />
7.1 Productreflectie<br />
De onderzoeksresult<strong>at</strong><strong>en</strong> moet<strong>en</strong> kritisch word<strong>en</strong> bekek<strong>en</strong>. Het onderzoek kan<br />
niet zonder meer geg<strong>en</strong>eraliseerd word<strong>en</strong>, doord<strong>at</strong> het maar om e<strong>en</strong> beperkt<br />
aantal interviews ga<strong>at</strong>. Bov<strong>en</strong>di<strong>en</strong> zijn er ge<strong>en</strong> expliciete beperking<strong>en</strong> gesteld aan<br />
het type organis<strong>at</strong>ie, met uitzondering van e<strong>en</strong> minimaal aantal werknemers van<br />
200. Er is dus sprake van e<strong>en</strong> lage m<strong>at</strong>e van externe validiteit. Bov<strong>en</strong>di<strong>en</strong> is dit<br />
onderzoek e<strong>en</strong> mom<strong>en</strong>topname <strong>en</strong> daardoor moeilijk reproduceerbaar.<br />
Vervolgonderzoek kan zich richt<strong>en</strong> op e<strong>en</strong> grotere <strong>en</strong> meer gevarieerde groep<br />
organis<strong>at</strong>ies, <strong>bij</strong>voorbeeld door e<strong>en</strong> kwantit<strong>at</strong>ief onderzoek uit te voer<strong>en</strong> door<br />
middel van e<strong>en</strong> <strong>en</strong>quête.<br />
7.1.1 Liter<strong>at</strong>uurstudie<br />
De liter<strong>at</strong>uurstudie is e<strong>en</strong> uitgebreid <strong>en</strong> omvangrijk stuk geword<strong>en</strong>. De red<strong>en</strong><br />
hiervoor is d<strong>at</strong> specifieke public<strong>at</strong>ies over <strong>BYOD</strong>-security niet beschikbaar blek<strong>en</strong><br />
<strong>en</strong> daarom is gezocht naar relevante, achterligg<strong>en</strong>de concept<strong>en</strong> <strong>en</strong> onderwerp<strong>en</strong>.<br />
Deze zijn in grote aantall<strong>en</strong> gevond<strong>en</strong> <strong>en</strong> gebruikt om e<strong>en</strong> goede <strong>en</strong> solide basis<br />
voor het (verk<strong>en</strong>n<strong>en</strong>d) empirisch onderzoek te legg<strong>en</strong>. Achteraf was het beter<br />
geweest om de liter<strong>at</strong>uurstudie eerder in te kader<strong>en</strong> om tot e<strong>en</strong> beknopter <strong>en</strong><br />
compacter resulta<strong>at</strong> te kom<strong>en</strong>.<br />
7.1.2 Empirisch onderzoek<br />
Tijd<strong>en</strong>s het empirisch onderzoek was het wellicht beter geweest wanneer ik het<br />
aantal interviewvrag<strong>en</strong> w<strong>at</strong> meer had beperkt. Bov<strong>en</strong>di<strong>en</strong> realiseerde ik me<br />
tijd<strong>en</strong>s de interviews d<strong>at</strong> e<strong>en</strong> aantal vrag<strong>en</strong> scherper hadd<strong>en</strong> gekund, overlapt<strong>en</strong><br />
met andere vrag<strong>en</strong> <strong>en</strong> sommige achteraf minder relevant blek<strong>en</strong>. Dit had voor<br />
e<strong>en</strong> beknopter <strong>en</strong> compacter verslag van het empirisch onderzoek gezorgd, naast<br />
e<strong>en</strong> kortere doorlooptijd. Voordeel van het aanzi<strong>en</strong>lijk aantal vrag<strong>en</strong> is d<strong>at</strong> veel in<br />
kaart is gebracht <strong>en</strong> erg veel inform<strong>at</strong>ie bov<strong>en</strong> tafel is gekom<strong>en</strong>. D<strong>at</strong> is niet<br />
onbelangrijk <strong>bij</strong> e<strong>en</strong> onderzoek d<strong>at</strong> verk<strong>en</strong>n<strong>en</strong>d van aard is.<br />
7.1.3 Theoretische relevantie<br />
De nieuwe k<strong>en</strong>nis over specifiek <strong>BYOD</strong>-security, zowel het beleid als technische<br />
ma<strong>at</strong>regel<strong>en</strong>, ev<strong>en</strong>als de <strong>privacy</strong>aspect<strong>en</strong> daaromhe<strong>en</strong> kunn<strong>en</strong> word<strong>en</strong> gebruikt<br />
om de huidige stand van wet<strong>en</strong>schappelijke k<strong>en</strong>nis <strong>en</strong> liter<strong>at</strong>uur aan te vull<strong>en</strong>. De<br />
result<strong>at</strong><strong>en</strong> kunn<strong>en</strong> als basis voor vervolgonderzoek word<strong>en</strong> gebruikt. Het<br />
onderzoek, <strong>en</strong> de result<strong>at</strong><strong>en</strong> zijn daardoor theoretisch relevant.<br />
7.1.4 Praktische relevantie<br />
D<strong>at</strong> de result<strong>at</strong><strong>en</strong> ook praktisch relevant zijn, wordt duidelijk door de uitkomst<strong>en</strong><br />
van dit onderzoek. Het onderzoek heeft aangetoond d<strong>at</strong> veel organis<strong>at</strong>ies slecht<br />
voorbereid zijn <strong>en</strong> daardoor ge<strong>en</strong> of ge<strong>en</strong> adequa<strong>at</strong> <strong>BYOD</strong> security-beleid<br />
hanter<strong>en</strong> <strong>en</strong> dit niet of nauwelijks communicer<strong>en</strong>. Dit resulteert in <strong>BYOD</strong><br />
security-ma<strong>at</strong>regel<strong>en</strong> die de risico’s niet effectief <strong>en</strong> efficiënt mitiger<strong>en</strong>.<br />
Bov<strong>en</strong>di<strong>en</strong> raakt de <strong>privacy</strong> van de werknemer hierdoor in het gevaar. Door<br />
lering hieruit te trekk<strong>en</strong>, bewust te zijn van de ontdekte valkuil<strong>en</strong> <strong>en</strong><br />
tekortkoming<strong>en</strong> <strong>en</strong> de aanbeveling<strong>en</strong> ter hand te nem<strong>en</strong>, kunn<strong>en</strong> organis<strong>at</strong>ies die<br />
<strong>BYOD</strong> overweg<strong>en</strong> (of al toestaan) nog beter anticiper<strong>en</strong> op risico’s zonder d<strong>at</strong> dit<br />
neg<strong>at</strong>ieve invloed heeft op de <strong>privacy</strong> van werknemers.<br />
Pagina | 61
7.1.5 Terugblik op verwachting<strong>en</strong><br />
Voor aanvang van het onderzoek noteerde ik de volg<strong>en</strong>de verwachting<strong>en</strong>:<br />
“Omd<strong>at</strong> de te interview<strong>en</strong> medewerkers deskundig<strong>en</strong> zijn op hun gebied (<strong>BYOD</strong>,<br />
security) <strong>en</strong> binn<strong>en</strong> hun organis<strong>at</strong>ie de aangewez<strong>en</strong> persoon zijn voor dit<br />
onderzoek, verwacht ik goede result<strong>at</strong><strong>en</strong> te boek<strong>en</strong>. Op basis van het empirische<br />
onderzoek zal voor e<strong>en</strong> groot deel antwoord word<strong>en</strong> verkreg<strong>en</strong> over hoe de<br />
organis<strong>at</strong>ies omgaan met het <strong>BYOD</strong>-concept <strong>en</strong> daaruit voortvloei<strong>en</strong>de<br />
<strong>privacy</strong>problem<strong>en</strong> voor de eig<strong>en</strong> werknemers.<br />
Ondanks d<strong>at</strong> het empirisch onderzoek rel<strong>at</strong>ief kleinschalig van opzet is <strong>en</strong> e<strong>en</strong><br />
mogelijk beperkte validiteit <strong>en</strong> betrouwbaarheid k<strong>en</strong>t, verwacht ik d<strong>at</strong> het<br />
onderzoek toch waardevol zal blijk<strong>en</strong>. Het is zowel praktisch als theoretisch<br />
relevant. Temeer omd<strong>at</strong> het onderwerp actueel <strong>en</strong> zeer relevant is <strong>en</strong> voor veel<br />
IT-managers <strong>en</strong> IT-afdeling<strong>en</strong> e<strong>en</strong> heet hangijzer blijkt. Bov<strong>en</strong>di<strong>en</strong> is er nog ge<strong>en</strong><br />
wet<strong>en</strong>schappelijke liter<strong>at</strong>uur over beschikbaar, zoals bleek uit de uitgebreide <strong>en</strong><br />
omvangrijke liter<strong>at</strong>uurstudie <strong>en</strong> er is dus ook nog ge<strong>en</strong> wet<strong>en</strong>schappelijk<br />
onderzoek naar verricht. Gezi<strong>en</strong> de populariteit van het <strong>BYOD</strong>-concept zal het<br />
onderzoek mogelijk e<strong>en</strong> rel<strong>at</strong>ief beperkte houdbaarheid kunn<strong>en</strong> hebb<strong>en</strong>, maar<br />
toch goed di<strong>en</strong>st kunn<strong>en</strong> do<strong>en</strong> als voorwerk voor toekomstig onderzoek. Ik<br />
verwacht de volg<strong>en</strong>de concrete result<strong>at</strong><strong>en</strong> te boek<strong>en</strong>:<br />
1. Nieuwe <strong>en</strong> actuele k<strong>en</strong>nis over de implem<strong>en</strong>t<strong>at</strong>ies van het <strong>BYOD</strong>-concept<br />
binn<strong>en</strong> organis<strong>at</strong>ies (beleid <strong>en</strong> ma<strong>at</strong>regel<strong>en</strong>) in het algeme<strong>en</strong>.<br />
2. Nieuwe <strong>en</strong> actuele k<strong>en</strong>nis over de invloed van <strong>BYOD</strong>-security op de <strong>privacy</strong><br />
van werknemers<br />
3. Inzicht in w<strong>at</strong> organis<strong>at</strong>ies (kunn<strong>en</strong>) do<strong>en</strong> om <strong>privacy</strong>-inbreuk als gevolg<br />
van de <strong>BYOD</strong>-security, <strong>bij</strong> werknemers te voorkom<strong>en</strong>.<br />
4. Aanbeveling<strong>en</strong> over w<strong>at</strong> organis<strong>at</strong>ies wel of niet moet<strong>en</strong> do<strong>en</strong> m.b.t. het<br />
gekoz<strong>en</strong> <strong>BYOD</strong> security-beleid <strong>en</strong> <strong>BYOD</strong> security-ma<strong>at</strong>regel<strong>en</strong>.”<br />
De verwachting<strong>en</strong> (zie 3.2.4) over de beperkte validiteit, betrouwbaarheid <strong>en</strong><br />
beperkte houdbaarheid blijk<strong>en</strong> reëel. Daarnaast is nieuwe <strong>en</strong> actuele k<strong>en</strong>nis over<br />
<strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ies ontdekt ev<strong>en</strong>als de invloed ervan op de <strong>privacy</strong> <strong>en</strong> het<br />
voorkom<strong>en</strong> van inbreuk op deze <strong>privacy</strong>. Aan de hand van de conclusies uit<br />
hoofdstuk 6 zijn <strong>en</strong>kele belangrijke aanbeveling<strong>en</strong> gedaan waar organis<strong>at</strong>ies, die<br />
<strong>BYOD</strong> overweg<strong>en</strong> of al toestaan, hun voordeel mee kunn<strong>en</strong> do<strong>en</strong>. De<br />
verwachting<strong>en</strong> die vooraf zijn geschept, blek<strong>en</strong> dus reëel. Doord<strong>at</strong> er tijd<strong>en</strong>s de<br />
uitgebreide liter<strong>at</strong>uurstudie ge<strong>en</strong> direct bruikbare, relevante <strong>en</strong> geschikte<br />
wet<strong>en</strong>schappelijke liter<strong>at</strong>uur over specifiek <strong>BYOD</strong>-security is gevond<strong>en</strong>, kunn<strong>en</strong><br />
de result<strong>at</strong><strong>en</strong> van het empirisch onderzoek lastig afgezet word<strong>en</strong> teg<strong>en</strong>over de<br />
gevond<strong>en</strong> liter<strong>at</strong>uur. Achterligg<strong>en</strong>de concept<strong>en</strong> <strong>en</strong> onderwerp<strong>en</strong><br />
(aanknopingspunt<strong>en</strong>) over g<strong>en</strong>erieke security (van mobiele appar<strong>at</strong><strong>en</strong>) die wel<br />
tijd<strong>en</strong>s de liter<strong>at</strong>uurstudie zijn gevond<strong>en</strong>, word<strong>en</strong> in hoofdstuk 4 besprok<strong>en</strong>.<br />
7.2 Procesreflectie<br />
In deze paragraaf wordt teruggekek<strong>en</strong> op het onderzoeksproces <strong>en</strong><br />
leerervaring<strong>en</strong>. De focus zal primair ligg<strong>en</strong> op de liter<strong>at</strong>uurstudie <strong>en</strong> empirisch<br />
onderzoek. Daarnaast zal e<strong>en</strong> reflectie op het algehele proces word<strong>en</strong><br />
beschrev<strong>en</strong>. De reflectie op het empirisch onderzoek wordt voor de<br />
overzichtelijkheid opgesplitst in drie fas<strong>en</strong>.<br />
Pagina | 62
7.2.1 Liter<strong>at</strong>uurstudie<br />
Bij aanvang van de liter<strong>at</strong>uurstudie had ik al het vermoed<strong>en</strong> d<strong>at</strong> het onderwerp<br />
<strong>BYOD</strong>-security rel<strong>at</strong>ief nieuw was, <strong>en</strong> bruikbare wet<strong>en</strong>schappelijke liter<strong>at</strong>uur<br />
daarom kon ontbrek<strong>en</strong>. Om d<strong>at</strong> vermoed<strong>en</strong> te bevestig<strong>en</strong>, b<strong>en</strong> ik de<br />
liter<strong>at</strong>uurstudie begonn<strong>en</strong> door e<strong>en</strong> aantal g<strong>en</strong>erieke <strong>BYOD</strong> zoekterm<strong>en</strong> af te<br />
vur<strong>en</strong> op de digitale bibliothek<strong>en</strong> die de Op<strong>en</strong> <strong>Universiteit</strong> beschikbaar stelt. Mijn<br />
vermoed<strong>en</strong> werd bevestigd, weinig bruikbare liter<strong>at</strong>uur.<br />
Ik heb daarom beslot<strong>en</strong> om de zoektocht uit te breid<strong>en</strong> met meer gerel<strong>at</strong>eerde<br />
zoekterm<strong>en</strong>, zoals security rondom mobiele appar<strong>at</strong><strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> heb ik meer<br />
digitale bronn<strong>en</strong> gebruikt. D<strong>at</strong> bleek e<strong>en</strong> goede stap, er kwam<strong>en</strong> namelijk meer<br />
public<strong>at</strong>ies naar bov<strong>en</strong> die in de richting van het afstudeeronderwerp kwam<strong>en</strong>. Er<br />
was e<strong>en</strong> duidelijke positieve correl<strong>at</strong>ie tuss<strong>en</strong> het aantal mogelijk interessante<br />
public<strong>at</strong>ies <strong>en</strong> het gepubliceerde jaartal.<br />
Op d<strong>at</strong> mom<strong>en</strong>t b<strong>en</strong> ik het programma EndNote gaan gebruik<strong>en</strong> om de gevond<strong>en</strong><br />
public<strong>at</strong>ies te archiver<strong>en</strong> <strong>en</strong> sorter<strong>en</strong>. Ook d<strong>at</strong> bleek e<strong>en</strong> goede stap. Via EndNote<br />
kon ik o.a. e<strong>en</strong>voudig zoek<strong>en</strong> naar specifieke passages in public<strong>at</strong>ies <strong>en</strong><br />
autom<strong>at</strong>isch e<strong>en</strong> bibliografie l<strong>at</strong><strong>en</strong> g<strong>en</strong>erer<strong>en</strong> in Word.<br />
Helaas blek<strong>en</strong> veel gevond<strong>en</strong> public<strong>at</strong>ies niet te voldo<strong>en</strong> aan de eis<strong>en</strong> m.b.t.<br />
wet<strong>en</strong>schappelijk validiteit. Bijna alle inhoudelijk bruikbare public<strong>at</strong>ies die ik had<br />
gevond<strong>en</strong> over het afstudeeronderwerp blek<strong>en</strong> uit vakblad<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> was ik<br />
van m<strong>en</strong>ing d<strong>at</strong> sommige public<strong>at</strong>ies e<strong>en</strong> commercieel doel hadd<strong>en</strong>. Daarnaast<br />
bleek e<strong>en</strong> aantal, initieel bruikbare public<strong>at</strong>ies, niet transparant over de<br />
gebruikte bronn<strong>en</strong>.<br />
Op d<strong>at</strong> mom<strong>en</strong>t, na al veel ur<strong>en</strong> in het zoek<strong>en</strong> te hebb<strong>en</strong> gestok<strong>en</strong>, kwam ik tot<br />
de conclusie d<strong>at</strong> ik vast was gelop<strong>en</strong>. Ik heb daarom e<strong>en</strong> aantal keer met mijn<br />
afstudeerbegeleider via mail contact gehad over de geschiktheid van de<br />
gevond<strong>en</strong> public<strong>at</strong>ies. Aan de hand van deze gesprekk<strong>en</strong>, <strong>en</strong> hernieuwd inzicht,<br />
b<strong>en</strong> ik weer begonn<strong>en</strong> aan e<strong>en</strong> nieuwe zoektocht naar geschikte public<strong>at</strong>ies.<br />
Ik heb to<strong>en</strong>, in overleg met mijn afstudeerbegeleider, afgesprok<strong>en</strong> om vanuit de<br />
bestaande liter<strong>at</strong>uur onderligg<strong>en</strong>de (security) concept<strong>en</strong> in kaart te br<strong>en</strong>g<strong>en</strong>.<br />
Door de focus dus iets te verbred<strong>en</strong> naar g<strong>en</strong>erieke security (van mobiele<br />
appar<strong>at</strong><strong>en</strong>) in pla<strong>at</strong>s van specifiek <strong>BYOD</strong>-security, vond ik zeer veel<br />
wet<strong>en</strong>schappelijke public<strong>at</strong>ies. De meest relevante heb ik verwerkt in de<br />
liter<strong>at</strong>uurstudie. De 42 gekoz<strong>en</strong> public<strong>at</strong>ies (zie <strong>bij</strong>lage 1) heb ik in het proces<br />
doorg<strong>en</strong>om<strong>en</strong> <strong>en</strong> gerangschikt op relevantie. Ondanks d<strong>at</strong> de Op<strong>en</strong> <strong>Universiteit</strong><br />
stelt d<strong>at</strong> er “slechts” minimaal 15 geschikte public<strong>at</strong>ies moet<strong>en</strong> word<strong>en</strong><br />
geraadpleegd, b<strong>en</strong> ik daar ver overhe<strong>en</strong> gegaan. De red<strong>en</strong> daarvoor was d<strong>at</strong> ik<br />
<strong>bij</strong> ge<strong>en</strong> <strong>en</strong>kele public<strong>at</strong>ie van m<strong>en</strong>ing was d<strong>at</strong> het g<strong>en</strong>oeg op specifiek <strong>BYOD</strong> van<br />
toepassing was. Omd<strong>at</strong> er zoveel public<strong>at</strong>ies war<strong>en</strong> over onderligg<strong>en</strong>de<br />
concept<strong>en</strong>, was ik vastberad<strong>en</strong> om door te gaan totd<strong>at</strong> ik de juiste public<strong>at</strong>ie<br />
over <strong>BYOD</strong>-security had gevond<strong>en</strong>. Ik wilde zeker wet<strong>en</strong> d<strong>at</strong> ik niets over het<br />
hoofd had gezi<strong>en</strong>, die <strong>en</strong>e ultieme public<strong>at</strong>ie had gemist of overgeslag<strong>en</strong>. Helaas<br />
moest ik na 42 public<strong>at</strong>ies <strong>en</strong> vele, vele ur<strong>en</strong> tot de eindconclusie kom<strong>en</strong> d<strong>at</strong> op<br />
mom<strong>en</strong>t van de liter<strong>at</strong>uurstudie, eind 2011/begin 2012, wet<strong>en</strong>schappelijk<br />
liter<strong>at</strong>uur over specifiek <strong>BYOD</strong>-security gewoonweg ontbrak. De meest relevante<br />
public<strong>at</strong>ies ging<strong>en</strong> over de g<strong>en</strong>erieke beveiliging <strong>en</strong> risico’s van mobiele<br />
appar<strong>at</strong><strong>en</strong> zoals de notebook van de zaak.<br />
Pagina | 63
Achteraf gezi<strong>en</strong> was het beter geweest om al eerder het onderzoeksgebied<br />
verder in te kader<strong>en</strong>. D<strong>at</strong> had werk <strong>en</strong> tijd gescheeld. Met de omvangrijke <strong>en</strong><br />
uitgebreide liter<strong>at</strong>uurstudie, e<strong>en</strong> zoektocht naar iets w<strong>at</strong> er nog niet was, is<br />
echter e<strong>en</strong> solide basis voor het vervolg van dit onderzoek gelegd. Na<br />
communic<strong>at</strong>ie met mijn afstudeerbegeleider is beslot<strong>en</strong> om dit onderzoek, door<br />
gebrek aan wet<strong>en</strong>schappelijk public<strong>at</strong>ies, inductief (g<strong>en</strong>eraliser<strong>en</strong>d,<br />
theorievorm<strong>en</strong>d) <strong>en</strong> verk<strong>en</strong>n<strong>en</strong>d van aard te mak<strong>en</strong>. De k<strong>en</strong>nis n.a.v. het<br />
empirisch onderzoek zal kunn<strong>en</strong> funger<strong>en</strong> als aanvulling op bestaande<br />
wet<strong>en</strong>schappelijke k<strong>en</strong>nis over inform<strong>at</strong>iebeveiliging van mobiele appar<strong>at</strong><strong>en</strong>,<br />
ongeacht wi<strong>en</strong>s bezit ze zijn.<br />
7.2.2 Empirisch onderzoek<br />
Fase 1: Op zoek naar geschikte organis<strong>at</strong>ies<br />
1. Ik b<strong>en</strong> pas serieus begonn<strong>en</strong> met het zoek<strong>en</strong> naar geschikte organis<strong>at</strong>ies<br />
nad<strong>at</strong> ik mijlpaal 4 (formulering onderzoeksaanpak) volledig had afgerond.<br />
Het was achteraf gezi<strong>en</strong> veel efficiënter geweest om tijd<strong>en</strong>s het formuler<strong>en</strong><br />
van de onderzoeksaanpak al te beginn<strong>en</strong> met b<strong>en</strong>ader<strong>en</strong> van mogelijk<br />
geschikte organis<strong>at</strong>ies.<br />
2. Vind<strong>en</strong> van 5 geschikte organis<strong>at</strong>ies, die <strong>BYOD</strong> al toestond<strong>en</strong> of op zijn minst<br />
serieus aan het overweg<strong>en</strong> war<strong>en</strong>, bleek zeer lastig. Nad<strong>at</strong> ik exact 5<br />
organis<strong>at</strong>ies had gevond<strong>en</strong>, b<strong>en</strong> ik gestopt met doorzoek<strong>en</strong>. Bij nog verder<br />
doorvrag<strong>en</strong>, blek<strong>en</strong> 3 van de 5 organis<strong>at</strong>ies toch niet geschikt of bereid om<br />
mee te werk<strong>en</strong>. Het resulta<strong>at</strong> was d<strong>at</strong> ik weer mijn zoektocht moest<br />
voortzett<strong>en</strong>. D<strong>at</strong> voelde als e<strong>en</strong> kleine setback. Het was verstandiger geweest<br />
om gelijk in het begin e<strong>en</strong> aantal reserveorganis<strong>at</strong>ies achter de hand te<br />
hebb<strong>en</strong> om de doorlooptijd van deze fase te versnell<strong>en</strong>.<br />
3. Initieel heb ik slechts e<strong>en</strong> klein deel van mijn professionele netwerk<br />
aangesprok<strong>en</strong>. Ik was van m<strong>en</strong>ing d<strong>at</strong> ik daarbinn<strong>en</strong> wel 5 geschikte<br />
organis<strong>at</strong>ies kon vind<strong>en</strong>. Pas nad<strong>at</strong> ik inzag d<strong>at</strong> het vind<strong>en</strong> van 5 geschikte <strong>en</strong><br />
bereidwillige organis<strong>at</strong>ies e<strong>en</strong> hele klus zou word<strong>en</strong>, omd<strong>at</strong> <strong>BYOD</strong> rel<strong>at</strong>ief<br />
nieuw terrein is, b<strong>en</strong> ik o.a. sociale media in gaan zett<strong>en</strong>. Achteraf gezi<strong>en</strong> had<br />
ik eerder LinkedIn, Facebook <strong>en</strong> Twitter kunn<strong>en</strong> gebruik<strong>en</strong> om mijn zoektocht<br />
naar <strong>BYOD</strong>-organis<strong>at</strong>ies breder te trekk<strong>en</strong> <strong>en</strong> verder bek<strong>en</strong>d te mak<strong>en</strong>.<br />
Fase 2: Het interview<br />
1. Er war<strong>en</strong> teveel interviewvrag<strong>en</strong>, w<strong>at</strong> het interview <strong>en</strong> verwerking van de<br />
conceptantwoord<strong>en</strong> zeer bewerkelijk maakte. Sommige vrag<strong>en</strong> war<strong>en</strong> te lang,<br />
zoals vraag 32, <strong>en</strong> daardoor niet mete<strong>en</strong> duidelijk. Bov<strong>en</strong>di<strong>en</strong> was er overlap<br />
tuss<strong>en</strong> sommige vrag<strong>en</strong>. Alle geïnterviewde contactperson<strong>en</strong> vond<strong>en</strong> 46<br />
vrag<strong>en</strong> ook erg veel. Ze war<strong>en</strong> echter wel erg tevred<strong>en</strong> over hoe uitgebreid <strong>en</strong><br />
allesomv<strong>at</strong>t<strong>en</strong>d het interview was.<br />
2. Omd<strong>at</strong> de interviewvrag<strong>en</strong> in alle gevall<strong>en</strong> ruim e<strong>en</strong> week voor het interview<br />
zelf werd<strong>en</strong> toegestuurd, verliep<strong>en</strong> de interviews vrij soepel. De interviews<br />
duurde, ondanks 46 vrag<strong>en</strong> per interview, tuss<strong>en</strong> de 1,5 <strong>en</strong> 2 uur.<br />
Pagina | 64
3. Tijd<strong>en</strong>s de interviewgesprekk<strong>en</strong> kwam<strong>en</strong> alle vrag<strong>en</strong> aan bod. E<strong>en</strong> efficiënt<br />
altern<strong>at</strong>ief daarop zou kunn<strong>en</strong> zijn om aan de geïnterviewde te verzoek<strong>en</strong> de<br />
conceptantwoord<strong>en</strong> voor het interview alvast retour te mail<strong>en</strong>. Op basis<br />
daarvan had ik kunn<strong>en</strong> besluit<strong>en</strong> om slechts e<strong>en</strong> selectie van de 46 vrag<strong>en</strong><br />
tijd<strong>en</strong>s het face-to-face interview te behandel<strong>en</strong>. Dit zou voor meer focus<br />
kunn<strong>en</strong> zorg<strong>en</strong> op belangrijke <strong>en</strong>/of opvall<strong>en</strong>de antwoord<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> zou<br />
het de interviewduur kunn<strong>en</strong> verkort<strong>en</strong>.<br />
Fase 3: Verific<strong>at</strong>ie interviewantwoord<strong>en</strong><br />
1. Ik heb beslot<strong>en</strong> om pas te beginn<strong>en</strong> aan het verwerk<strong>en</strong> van de 230<br />
interviewvrag<strong>en</strong> nad<strong>at</strong> alle 5 de organis<strong>at</strong>ies war<strong>en</strong> bezocht. Achteraf had ik<br />
beter het betreff<strong>en</strong>de interviewgesprek na thuiskomst kunn<strong>en</strong> beluister<strong>en</strong>, de<br />
concept-antwoord<strong>en</strong> docum<strong>en</strong>ter<strong>en</strong> <strong>en</strong> binn<strong>en</strong> <strong>en</strong>kele dag<strong>en</strong> ter verific<strong>at</strong>ie<br />
mail<strong>en</strong> aan de geïnterviewde. Het interview zou dan nog vers in mijn (<strong>en</strong> zijn)<br />
geheug<strong>en</strong> ligg<strong>en</strong> <strong>en</strong> het zou de doorlooptijd van deze fase versnell<strong>en</strong>. Nu heb<br />
ik 3,5 wek<strong>en</strong> moet<strong>en</strong> wacht<strong>en</strong> totd<strong>at</strong> de la<strong>at</strong>ste organis<strong>at</strong>ie feedback gaf <strong>en</strong><br />
b<strong>en</strong> daarna pas aan de slag gegaan met alle 230 antwoord<strong>en</strong>. E<strong>en</strong> parallel<br />
traject in pla<strong>at</strong>s van sequ<strong>en</strong>tieel traject was efficiënter geweest.<br />
2. Ondanks nadrukkelijk verzoek om de conceptversie van de interviewvrag<strong>en</strong><br />
goed te controler<strong>en</strong> op actualiteit, volledigheid, correctheid <strong>en</strong> duidelijkheid<br />
(zie <strong>bij</strong>lage 6), ging<strong>en</strong> alle 5 de geïnterviewde organis<strong>at</strong>ies akkoord met<br />
praktisch alle conceptversies van de door mij geïnterpreteerde antwoord<strong>en</strong>.<br />
Alle<strong>en</strong> de grote verzekeringsma<strong>at</strong>schappij had problem<strong>en</strong> met naar buit<strong>en</strong><br />
br<strong>en</strong>g<strong>en</strong> van antwoord<strong>en</strong> 4, 5 <strong>en</strong> 25. Nad<strong>at</strong> in overleg is beslot<strong>en</strong> om deze<br />
organis<strong>at</strong>ie te anonimiser<strong>en</strong>, war<strong>en</strong> er ge<strong>en</strong> bezwar<strong>en</strong> teg<strong>en</strong> deze 3 conceptantwoord<strong>en</strong>.<br />
3. De organis<strong>at</strong>ie die ik het eerst heb geïnterviewd, namelijk de<br />
Consum<strong>en</strong>t<strong>en</strong>bond in oktober 2012, deed er het langst over om met e<strong>en</strong><br />
reactie op de conceptversie van het interviewverslag te kom<strong>en</strong>, namelijk 3,5<br />
wek<strong>en</strong>. Dit is wellicht te verklar<strong>en</strong> doord<strong>at</strong> dit interview het minst vers in het<br />
geheug<strong>en</strong> lag van de geïnterviewde. Maand<strong>en</strong> war<strong>en</strong> al verstrek<strong>en</strong> tuss<strong>en</strong> het<br />
daadwerkelijk interview <strong>en</strong> de terugkoppeling van de concept-antwoord<strong>en</strong>. De<br />
Rabobank <strong>en</strong> Kaseya gav<strong>en</strong> beid<strong>en</strong> binn<strong>en</strong> <strong>en</strong>kele dag<strong>en</strong> feedback op de<br />
conceptversie van het interviewverslag.<br />
4. De organis<strong>at</strong>ies “E<strong>en</strong> grote verzekeringsma<strong>at</strong>schappij” <strong>en</strong> “Global Systems<br />
Integr<strong>at</strong>or” hebb<strong>en</strong> pas in de feedback op de conceptversie van het<br />
interviewverslag aangegev<strong>en</strong> anoniem opg<strong>en</strong>om<strong>en</strong> te will<strong>en</strong> word<strong>en</strong> in de<br />
definitieve versie van de afstudeerscriptie. Dit hebb<strong>en</strong> ze tijd<strong>en</strong>s het interview<br />
zelf niet aangegev<strong>en</strong> of g<strong>en</strong>oemd.<br />
5. Slechts twee organis<strong>at</strong>ies (Rabobank <strong>en</strong> Kaseya) hebb<strong>en</strong> <strong>en</strong>ige interne<br />
docum<strong>en</strong>t<strong>at</strong>ie aangeleverd m.b.t hun <strong>BYOD</strong>-beleid. Deze docum<strong>en</strong>t<strong>at</strong>ie bleek<br />
helaas ge<strong>en</strong> toegevoegde waarde te hebb<strong>en</strong>. De twee organis<strong>at</strong>ies die<br />
anoniem w<strong>en</strong>ste te blijv<strong>en</strong>, gav<strong>en</strong> aan dit wel te hebb<strong>en</strong>, maar niet te will<strong>en</strong><br />
del<strong>en</strong>. De Consum<strong>en</strong>t<strong>en</strong>bond gaf aan nog ge<strong>en</strong> specifieke interne <strong>BYOD</strong>docum<strong>en</strong>t<strong>at</strong>ie<br />
beschikbaar te hebb<strong>en</strong>.<br />
Pagina | 65
7.2.3 Geheel onderzoeksproces<br />
Dit afstudeeronderzoek is gestart in november 2010 <strong>en</strong> zal in juni 2013 word<strong>en</strong><br />
afgeslot<strong>en</strong>. Daarmee heeft het gehele traject dus 2,5 jaar in beslag g<strong>en</strong>om<strong>en</strong>.<br />
Het afstudeeronderzoek is uitgevoerd naast e<strong>en</strong> fulltime functie als ICT-redacteur<br />
<strong>en</strong> onderzoeker <strong>bij</strong> de Consum<strong>en</strong>t<strong>en</strong>bond. Daarnaast b<strong>en</strong> ik in 2011 in het<br />
huwelijk getred<strong>en</strong> <strong>en</strong> in 2012 vader geword<strong>en</strong>. Mede hierdoor, maar ook door<br />
reorganis<strong>at</strong>ies <strong>en</strong> <strong>en</strong>ergievret<strong>en</strong>de arbeidsconflict<strong>en</strong> met mijn nieuwe<br />
leidinggev<strong>en</strong>de, bleek het lastig om soms tijd <strong>en</strong> <strong>en</strong>ergie te vind<strong>en</strong> om aan mijn<br />
afstudeeronderzoek te werk<strong>en</strong>. Er zijn mom<strong>en</strong>t<strong>en</strong> geweest d<strong>at</strong> ik erg<br />
gemotiveerd was, meer tijd vrij had <strong>en</strong> daardoor zeer productief kon zijn.<br />
Daarnaast is er ook, voorafgaand aan de liter<strong>at</strong>uurstudie, e<strong>en</strong> lange tijd geweest<br />
waarin ik door tijdgebrek <strong>en</strong> vervel<strong>en</strong>de conflict<strong>en</strong> op werk, helaas weinig aan dit<br />
onderzoek heb kunn<strong>en</strong> werk<strong>en</strong>. Ik kan me herinner<strong>en</strong> d<strong>at</strong> dit me erg frustreerde.<br />
Desondanks kijk ik terug op e<strong>en</strong> zeer leerzame <strong>en</strong> prettige ervaring. Dit is mede<br />
te dank<strong>en</strong> aan de goede sam<strong>en</strong>werking <strong>en</strong> communic<strong>at</strong>ie met mijn<br />
studiebegeleider. Op mom<strong>en</strong>t<strong>en</strong> d<strong>at</strong> ik vastliep, kond<strong>en</strong> wij uitstek<strong>en</strong>d<br />
overlegg<strong>en</strong> over de richting, aanpak <strong>en</strong> voortgang van dit afstudeeronderzoek.<br />
De initiële planning, die uitging van afronding eind 2011, was veel te ambitieus.<br />
Bov<strong>en</strong>di<strong>en</strong> had ik <strong>bij</strong> aanvang van dit afstudeeronderzoek nog ge<strong>en</strong> rek<strong>en</strong>ing<br />
gehoud<strong>en</strong> met e<strong>en</strong> aankom<strong>en</strong>d huwelijk, geboorte van e<strong>en</strong> dochter <strong>en</strong> slep<strong>en</strong>de<br />
arbeidsconflict<strong>en</strong>. De Op<strong>en</strong> <strong>Universiteit</strong> begroot dit afstudeeronderzoek op 400<br />
uur. Daar b<strong>en</strong> ik, mede door de omvangrijke liter<strong>at</strong>uurstudie <strong>en</strong> uitgebreid<br />
empirisch onderzoek dik overhe<strong>en</strong> gegaan. Aangezi<strong>en</strong> ik mijn ur<strong>en</strong> niet <strong>bij</strong> heb<br />
gehoud<strong>en</strong>, weet ik niet exact met welke factor. De liter<strong>at</strong>uurstudie heb ik<br />
achteraf veel te breed aangepakt. Had ik daar meer focus in aangebracht, dan<br />
was het eindproduct compacter geweest <strong>en</strong> het proces korter. Echter, omd<strong>at</strong> er<br />
hier sprake is van e<strong>en</strong> verk<strong>en</strong>n<strong>en</strong>d onderzoek over e<strong>en</strong> rel<strong>at</strong>ief nieuw onderwerp,<br />
wilde ik er zeker van zijn d<strong>at</strong> ik niets had gemist, over het hoofd had gezi<strong>en</strong> of<br />
had overgeslag<strong>en</strong>. De empirische studie had korter kunn<strong>en</strong> zijn qua eindproduct<br />
<strong>en</strong> doorlooptijd wanneer ik het aantal vrag<strong>en</strong> beperkter had gehoud<strong>en</strong>. Omd<strong>at</strong><br />
het onderzoeksonderwerp nog weinig verk<strong>en</strong>d is in de wet<strong>en</strong>schap, zag ik echter<br />
mijn kans schoon om tijd<strong>en</strong>s de interviews zoveel mogelijk inform<strong>at</strong>ie te<br />
bemachtig<strong>en</strong>.<br />
Doord<strong>at</strong> ik dit afstudeeronderzoek naar <strong>BYOD</strong>-security heb uitgevoerd, alle<br />
noodzakelijke stapp<strong>en</strong> heb doorlop<strong>en</strong> <strong>en</strong> ook talloze valkuil<strong>en</strong> b<strong>en</strong><br />
teg<strong>en</strong>gekom<strong>en</strong>, heb ik veel inzicht verkreg<strong>en</strong> in wet<strong>en</strong>schappelijk onderzoek. Alle<br />
stapp<strong>en</strong> <strong>en</strong> d<strong>en</strong>kwijz<strong>en</strong> moet<strong>en</strong> verantwoord <strong>en</strong> uitgelegd kunn<strong>en</strong> word<strong>en</strong>.<br />
Bov<strong>en</strong>di<strong>en</strong> moet alles secuur <strong>en</strong> precies word<strong>en</strong> aangepakt. Daarnaast is<br />
complete transparantie over bronn<strong>en</strong> van groot belang voor de<br />
controleerbaarheid <strong>en</strong> reproduceerbaarheid. Verder di<strong>en</strong><strong>en</strong> bronn<strong>en</strong> kritisch<br />
bekek<strong>en</strong> te word<strong>en</strong>, iets w<strong>at</strong> <strong>bij</strong> deze liter<strong>at</strong>uurstudie zeer veel tijd heeft gekost.<br />
Omd<strong>at</strong> ik ervar<strong>en</strong> heb d<strong>at</strong> het kritisch lez<strong>en</strong> van al aanwezige gegev<strong>en</strong>s <strong>en</strong><br />
inform<strong>at</strong>ie zeer complex <strong>en</strong> tijdrov<strong>en</strong>d kan zijn, heb ik veel respect gekreg<strong>en</strong><br />
voor wet<strong>en</strong>schappelijk onderzoek. Ik heb tev<strong>en</strong>s veel steun gehad aan het boek<br />
“Method<strong>en</strong> <strong>en</strong> techniek<strong>en</strong> van onderzoek” van Saunders et al (2008).<br />
Pagina | 66
8. Refer<strong>en</strong>ties<br />
8.1 Wet<strong>en</strong>schappelijke public<strong>at</strong>ies<br />
Abraham, S., & Ch<strong>en</strong>galur-Smith, I. (2010). An overview of social <strong>en</strong>gineering<br />
malware: Tr<strong>en</strong>ds, tactics, and implic<strong>at</strong>ions. Technology in Society, 32(3), 183-<br />
196.<br />
Al-Muhtadi, J., Hill, R., & Al-Rwais, S. (2011). Access control using threshold<br />
cryptography for ubiquitous computing <strong>en</strong>vironm<strong>en</strong>ts. Journal of King Saud<br />
University - Computer and Inform<strong>at</strong>ion Sci<strong>en</strong>ces, 23(2), 71-78.<br />
Anderson, E., & Choobineh, J. (2008). Enterprise inform<strong>at</strong>ion security str<strong>at</strong>egies.<br />
Computers & <strong>Security</strong>, 27(1-2), 22-29.<br />
Androulidakis, I., & Kandus, G. (2011). Differ<strong>en</strong>ces in Users’ St<strong>at</strong>e of Awar<strong>en</strong>ess<br />
and Practices Regarding Mobile Phones <strong>Security</strong> Among EU Countries.<br />
Ljubljana, Slov<strong>en</strong>ia: Departm<strong>en</strong>t of Communic<strong>at</strong>ion Systems.<br />
Ash<strong>en</strong>d<strong>en</strong>, D. (2008). Inform<strong>at</strong>ion <strong>Security</strong> managem<strong>en</strong>t: A human chall<strong>en</strong>ge?<br />
Inform<strong>at</strong>ion <strong>Security</strong> Technical Report, 13(4), 195-201.<br />
Basso, M., & Redman, P. (2011). Critical Capabilities for Mobile Device<br />
Managem<strong>en</strong>t (No. Research Note G00213877): Gartner.<br />
Becher, M., Freiling, F. C., Hoffmann, J., Holz, T., Uell<strong>en</strong>beck, S., & Wolf, C.<br />
(2011). Mobile <strong>Security</strong> C<strong>at</strong>ching Up? Revealing the Nuts and Bolts of the<br />
<strong>Security</strong> of Mobile Devices. Paper pres<strong>en</strong>ted <strong>at</strong> the IEEE Symposium on<br />
<strong>Security</strong> and Privacy.<br />
Bojanc, R., & Jermanblazic, B. (2008). An economic modelling approach to<br />
inform<strong>at</strong>ion security risk managem<strong>en</strong>t. Intern<strong>at</strong>ional Journal of<br />
Inform<strong>at</strong>ion Managem<strong>en</strong>t, 28(5), 413-422.<br />
Botha, R. A., Furnell, S. M., & Clarke, N. L. (2009). From desktop to mobile:<br />
Examining the security experi<strong>en</strong>ce. Computers & <strong>Security</strong>, 28(3-4), 130-<br />
137.<br />
Boukerche, A., & R<strong>en</strong>, Y. (2008). A trust-based security system for ubiquitous<br />
and pervasive computing <strong>en</strong>vironm<strong>en</strong>ts. Computer Communic<strong>at</strong>ions,<br />
31(18), 4343-4351.<br />
Broderick, J. S. (2006). ISMS, security standards and security regul<strong>at</strong>ions.<br />
Inform<strong>at</strong>ion <strong>Security</strong> Technical Report, 11(1), 26-31.<br />
Cheremushkin, D. V., & Lyubimov, A. V. (2010, 7-11 September). An Applic<strong>at</strong>ion<br />
of Integral Engineering Technique to Inform<strong>at</strong>ion <strong>Security</strong> Standards<br />
Analysis and Refinem<strong>en</strong>t. Paper pres<strong>en</strong>ted <strong>at</strong> the Intern<strong>at</strong>ional Confer<strong>en</strong>ce<br />
on <strong>Security</strong> of Inform<strong>at</strong>ion and Networks (SIN) 2010, Taganrog, Rostovon-Don,<br />
Russia.<br />
Pagina | 67
Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessm<strong>en</strong>t instrum<strong>en</strong>t<br />
for inform<strong>at</strong>ion security culture. Computers & <strong>Security</strong>, 29(2), 196-207.<br />
Dimitriadis, C. K., Lobel, M. A., Meyers, A., & Nedelchev, N. (2010). Securing<br />
Mobile Devices (Whitepaper). Rolling Meadows, IL 60008 USA: Inform<strong>at</strong>ion<br />
Systems Audit and Control Associ<strong>at</strong>ion (ISACA).<br />
Dlamini, M. T., Eloff, J. H. P., & Eloff, M. M. (2009). Inform<strong>at</strong>ion security: The<br />
moving target. Computers & <strong>Security</strong>, 28(3-4), 189-198.<br />
F<strong>en</strong>z, S. (2010, March 22-26). Ontology-based G<strong>en</strong>er<strong>at</strong>ion of IT-<strong>Security</strong> Metrics.<br />
Paper pres<strong>en</strong>ted <strong>at</strong> the SAC '10, Sierre, Switserland.<br />
Fiering, L. (2011). Checklist for an Employee-Owned Notebook or PC Program<br />
(Research Note No. RA1110252011): Gartner.<br />
Hogb<strong>en</strong>, D. G., & Dekker, D. M. (2010). Smartphones: Inform<strong>at</strong>ion security risks,<br />
opportunities and recomm<strong>en</strong>d<strong>at</strong>ions for users (Research public<strong>at</strong>ion).<br />
Heraklion, Crete, Greece: European Network and Inform<strong>at</strong>ion <strong>Security</strong><br />
Ag<strong>en</strong>cy (ENISA).<br />
Huang, D.-L., P<strong>at</strong>rick Rau, P.-L., Salv<strong>en</strong>dy, G., Gao, F., & Zhou, J. (2011).<br />
Factors affecting perception of inform<strong>at</strong>ion security and their impacts on IT<br />
adoption and security practices. Intern<strong>at</strong>ional Journal of Human-Computer<br />
Studies, 69(12), 870-883.<br />
Humphreys, E. (2008). Inform<strong>at</strong>ion security managem<strong>en</strong>t standards:<br />
Compliance, governance and risk managem<strong>en</strong>t. Inform<strong>at</strong>ion <strong>Security</strong><br />
Technical Report, 13(4), 247-255.<br />
Jans<strong>en</strong>, W., Gavrila, S., Korolev, V., Heute, T., & Séveillac, C. (2006). A Unified<br />
Framework for Mobile Device <strong>Security</strong>. Gaithersburg, MD, US: N<strong>at</strong>ional<br />
Institute of Standards and Technology (NIST).<br />
Jans<strong>en</strong>, W., & Scarfone, K. (2008). Guidelines on Cell Phone and PDA <strong>Security</strong><br />
(Recomm<strong>en</strong>d<strong>at</strong>ions of the N<strong>at</strong>ional Institute of Standards and Technology).<br />
Gaithersburg, MD: N<strong>at</strong>ional Institute of Standards and Technology (NIST).<br />
Kalinin, M. O. (2010, 7-11 September). Perman<strong>en</strong>t Protection of Inform<strong>at</strong>ion<br />
Systems with Method of Autom<strong>at</strong>ed <strong>Security</strong> and Integrity Control. Paper<br />
pres<strong>en</strong>ted <strong>at</strong> the SINCONF 2010, Taganrog, Rostov-on-Don, Russia.<br />
Kim, W., Jeong, O.-R., Kim, C., & So, J. (2011). The dark side of the Internet:<br />
Attacks, costs and responses. Inform<strong>at</strong>ion Systems, 36(3), 675-705.<br />
Kritzinger, E., & Smith, E. (2008). Inform<strong>at</strong>ion security managem<strong>en</strong>t: An<br />
inform<strong>at</strong>ion security retrieval and awar<strong>en</strong>ess model for industry.<br />
Computers & <strong>Security</strong>, 27(5-6), 224-231.<br />
Landman, M. (2010). Managing smart phone security risks. Paper pres<strong>en</strong>ted <strong>at</strong><br />
the InfoSecCD '10, K<strong>en</strong>nesaw, GA, USA.<br />
Pagina | 68
Langheinrich, M., & Karjoth, G. (2010). Social networking and the risk to<br />
companies and institutions. Inform<strong>at</strong>ion <strong>Security</strong> Technical Report, 15(2),<br />
51-56.<br />
MacDonald, N., Litan, A., Wagner, J. G. R., & Orans, L. (2010). Predicts 2011:<br />
Infrastructure Protection Is Becoming More Complex, More Difficult and<br />
More Business-Critical Than Ever (Research Report): Gartner.<br />
Markelj, B., & Bernik, I. (2012). Mobile Devices and Corpor<strong>at</strong>e <strong>Security</strong>.<br />
Intern<strong>at</strong>ional Journal of Educ<strong>at</strong>ion and Inform<strong>at</strong>ion Technologies, 6(1), 97-<br />
104.<br />
Moore, T. (2010). The economics of cybersecurity: Principles and policy options.<br />
Intern<strong>at</strong>ional Journal of Critical Infrastructure Protection, 3(3-4), 103-117.<br />
Parkin, S. E., & Moorsel, A. v. (2009, October 6-10). An Inform<strong>at</strong>ion <strong>Security</strong><br />
Ontology Incorpor<strong>at</strong>ing Human-Behavioral Implic<strong>at</strong>ions. Paper pres<strong>en</strong>ted<br />
<strong>at</strong> the SINCONF '09, North Cyprus, Turkey.<br />
Redman, P., Girard, J., & Wallin, L.-O. (2011). Magic Quadrant for Mobile Device<br />
Managem<strong>en</strong>t Software (No. G00211101). Stamford, Connecticut, VS:<br />
Gartner.<br />
Rhee, H.-S., Kim, C., & Ryu, Y. U. (2009). Self-efficacy in inform<strong>at</strong>ion security:<br />
Its influ<strong>en</strong>ce on <strong>en</strong>d users' inform<strong>at</strong>ion security practice behavior.<br />
Computers & <strong>Security</strong>, 28(8), 816-826.<br />
Roy Sarkar, K. (2010). Assessing insider thre<strong>at</strong>s to inform<strong>at</strong>ion security using<br />
technical, behavioural and organis<strong>at</strong>ional measures. Inform<strong>at</strong>ion <strong>Security</strong><br />
Technical Report, 15(3), 112-133.<br />
Ruighaver, A., Maynard, S., & Chang, S. (2007). Organis<strong>at</strong>ional security culture:<br />
Ext<strong>en</strong>ding the <strong>en</strong>d-user perspective. Computers & <strong>Security</strong>, 26(1), 56-62.<br />
Santa, I. (2009). ENISA’s t<strong>en</strong> security awar<strong>en</strong>ess good practices. Heraklion,<br />
Greece: European Network and Inform<strong>at</strong>ion <strong>Security</strong> Ag<strong>en</strong>cy (ENISA).<br />
Saunders, M., Lewis, P., Thornhill, A. “Method<strong>en</strong> <strong>en</strong> techniek<strong>en</strong> van onderzoek”.<br />
Pearson Educ<strong>at</strong>ion B<strong>en</strong>elux, 2008, vierde editie.<br />
Schadler, T., Brown, M., Gray, B., & Burnes, S. (2009). Making iPhone Work In<br />
The Enterprise: Early Lessons Learned. New York, New York, VS: Forrester<br />
Research.<br />
Shabtai, A., Kanonov, U., & Elovici, Y. (2010). Intrusion detection for mobile<br />
devices using the knowledge-based, temporal abstraction method. Journal<br />
of Systems and Software, 83(8), 1524-1537.<br />
Shabtai, A., Kanonov, U., Elovici, Y., Glezer, C., & Weiss, Y. (2011).<br />
“Andromaly”: a behavioral malware detection framework for android<br />
devices. Journal of Intellig<strong>en</strong>t Inform<strong>at</strong>ion Systems, 38(1), 161-190.<br />
Pagina | 69
Sve<strong>en</strong>, F. O., Torres, J. M., & Sarriegi, J. M. (2009). Blind inform<strong>at</strong>ion security<br />
str<strong>at</strong>egy. Intern<strong>at</strong>ional Journal of Critical Infrastructure Protection, 2(3),<br />
95-109.<br />
Traynor, P., Amrutkar, C., Rao, V., Jaeger, T., McDaniel, P., & La Porta, T.<br />
(2011). From mobile phones to responsible devices. <strong>Security</strong> and<br />
Communic<strong>at</strong>ion Networks, 4(6), 719-726.<br />
Van Niekerk, J. F., & Von Solms, R. (2010). Inform<strong>at</strong>ion security culture: A<br />
managem<strong>en</strong>t perspective. Computers & <strong>Security</strong>, 29(4), 476-486.<br />
Walker, S. (2012). Economics and the cyber chall<strong>en</strong>ge. Inform<strong>at</strong>ion <strong>Security</strong><br />
Technical Report, 17(1-2), 9-18.<br />
8.2 Vakliter<strong>at</strong>uur<br />
Van Hek, R., 6 augustus 2008<br />
Gartner waarschuwt voor zakelijk gebruik iPhone. Webwereld<br />
http://webwereld.nl/nieuws/52159/gartner-waarschuwt-voor-zakelijk-gebruikiphone.html<br />
De Winter, B., 21 augustus 2010<br />
Vijf red<strong>en</strong><strong>en</strong> om ge<strong>en</strong> BlackBerry te nem<strong>en</strong>. Webwereld<br />
http://webwereld.nl/de-vijf/66865/vijf-red<strong>en</strong><strong>en</strong>-om-ge<strong>en</strong>-blackberry-t<strong>en</strong>em<strong>en</strong>.html<br />
Cox, J., 3 januari 2011<br />
Jailbreaking iOS is gevaarlijk voor organis<strong>at</strong>ies. Webwereld<br />
http://webwereld.nl/nieuws/105260/jailbreaking-ios-is-gevaarlijk-voororganis<strong>at</strong>ies.html<br />
Essers, R., 14 juli 2010<br />
Verhag<strong>en</strong> forceert iPhone van de zaak. Webwereld<br />
http://webwereld.nl/nieuws/66563/verhag<strong>en</strong>-forceert-iphone-van-de-zaak.html<br />
Gart<strong>en</strong>berg, M., 20 november 2009<br />
Voorzichtig met Androids in de organis<strong>at</strong>ie. Webwereld<br />
http://webwereld.nl/tips---tools/80878/voorzichtig-met-androids-in-hetbedrijf.html<br />
Grimes, R., 4 november 2010<br />
Androids <strong>en</strong> iPads: bedreiging of uitdaging. Webwereld<br />
http://webwereld.nl/tips---tools/102321/androids-<strong>en</strong>-ipads--bedreiging-ofuitdaging.html<br />
Van der Meijs, S., 26 maart 2010<br />
'De iPhone is het grootste gevaar voor organis<strong>at</strong>ies'. Webwereld<br />
http://webwereld.nl/tips---tools/88174/-de-iphone-is-het-grootste-gevaar-voororganis<strong>at</strong>ies--.html<br />
Pagina | 70
Van der Sloot, J., (Redactie) 20 december 2010<br />
Android <strong>en</strong> iPhone apps lekk<strong>en</strong> privégegev<strong>en</strong>s. <strong>Security</strong>.nl<br />
http://security.nl/artikel/35566/1/Android_<strong>en</strong>_iPhone_apps_lekk<strong>en</strong>_priv%C3%A<br />
9gegev<strong>en</strong>s.html<br />
Van der Sloot, J., (Redactie) 08 september 2010<br />
Vier virusscanners voor smartphones getest<br />
http://security.nl/artikel/34395/1/Vier_virusscanners_voor_smartphones_getest.<br />
html<br />
Schoemaker, R., 26 augustus 2010<br />
Zakelijk gebruik iPad wint populariteit. Webwereld<br />
http://webwereld.nl/nieuws/66962/zakelijk-gebruik-ipad-wint-populariteit.html<br />
Bakker, J., 15 april 2009<br />
'iPhone rijp voor zakelijke markt'. Webwereld<br />
http://webwereld.nl/nieuws/56870/-iphone-rijp-voor-zakelijke-markt-.html<br />
Van Lintel, P., 25 februari 2010<br />
Jonge medewerker lapt ict-beleid aan laars. Nu.nl<br />
http://www.nu.nl/werk-<strong>en</strong>-prive/2192988/jonge-medewerker-lapt-ict-beleidlaars.html<br />
Lai, E., 4 juni 2010<br />
The Year of 'Bring Your Own Computer' to Work. ZDNET<br />
http://www.zdnet.com/blog/sybase/the-year-of-bring-your-own-computer-towork/113<br />
Hooyer, A., 25 januari 2011<br />
Rethink the desktop: Bring Your Own PC. BrainForce<br />
http://www.brainforce.nl/OverBRAINFORCE/Ev<strong>en</strong>tInform<strong>at</strong>ie/tabid/124/xmmid/4<br />
58/xmid/232/Default.aspx<br />
Van Zant<strong>en</strong>, G., 27 juli 2009<br />
Is het Bring Your Own PC Concept betaalbaarder? NGN<br />
http://www.ngn.nl/ngn/nieuws/aflevering<strong>en</strong>-archief/juli-2009/is-het-bring-yourown-pc-concept-betaalbaarder/?waxtrapp=ofdbrLsHyoOtvOXEAuBkiwWxjwW<br />
Madkour, R., 25 september 2008<br />
BYOC: Bring Your Own Computer — to work. MSNBC<br />
http://www.msnbc.msn.com/id/26889537/ns/technology_and_sci<strong>en</strong>cetech_and_gadgets/<br />
Atherton, M., 23 juni 2010<br />
Bring your own PC: Finance, warranty, support...can this model really work? The<br />
Register<br />
http://www.theregister.co.uk/2010/06/23/pc_finance_warranty/<br />
Pagina | 71
Meints, B., 30 augustus 2010<br />
Citrix <strong>en</strong> het Bring Your Own Computer Concept (BYOC). Onlosmakelijk<br />
verbond<strong>en</strong>? NGN<br />
http://www.ngn.nl/ngn/weblogs/citrix-blog/citrix-<strong>en</strong>-het-bring-your-owncomputer-concept-byoc-onlosmakelijkverbond<strong>en</strong>/?waxtrapp=ydfnkkBsHyoOtvOXEGJG<br />
Nijkamp, R., 27 februari 2010<br />
De nieuwe manier van werk<strong>en</strong>: Bring Your Own Computer concept. About The<br />
Cloud<br />
http://www.aboutthecloud.nl/cloud-tr<strong>en</strong>ds-str<strong>at</strong>egy/bring-your-own-computerconcept.aspx<br />
Scho<strong>en</strong>maker, R., 24 januari 2011<br />
Ambt<strong>en</strong>ar<strong>en</strong> met eig<strong>en</strong> iPad de werkvloer op. Webwereld.<br />
http://webwereld.nl/nieuws/105492/ambt<strong>en</strong>ar<strong>en</strong>-met-eig<strong>en</strong>-ipad-de-werkvloerop.html#utm_source=front_curr<strong>en</strong>t_7&utm_medium=website&utm_campaign=<br />
ww<br />
Kraak, J., 02 maart 2011<br />
De voordel<strong>en</strong> van Bring Your Own PC. Computable.<br />
http://itknowledgebase.computable.nl/rapportdetailpagina.183112.lynkx?rapportPointer=9-212013-212015-<br />
312746&filterValue=bring%20your&filterType=Zoek<strong>en</strong>&pageStart<br />
Pagina | 72
Bijlage 1: Liter<strong>at</strong>uurstudie<br />
Per relevante <strong>en</strong> bruikbare public<strong>at</strong>ie is eerst de originele abstract van de<br />
public<strong>at</strong>ie getoond. Hierna volgt e<strong>en</strong> eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting van de gehele<br />
public<strong>at</strong>ie. In deze eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting is de rode draad van de public<strong>at</strong>ie kort<br />
sam<strong>en</strong>gev<strong>at</strong>, inclusief de relevante <strong>en</strong> aanwezige wet<strong>en</strong>schappelijk k<strong>en</strong>nis.<br />
Achterligg<strong>en</strong>de concept<strong>en</strong> <strong>en</strong> onderwerp<strong>en</strong>, die binn<strong>en</strong> de kaders van dit<br />
afstudeeronderwerp relevant <strong>en</strong> belangrijk zijn, zijn tev<strong>en</strong>s besprok<strong>en</strong> <strong>en</strong><br />
toegelicht. Naarm<strong>at</strong>e er meer relevante <strong>en</strong> belangrijke del<strong>en</strong> werd<strong>en</strong> gevond<strong>en</strong> in<br />
de public<strong>at</strong>ies, is de eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting dan ook uitgebreider opgesteld. De<br />
liter<strong>at</strong>uurverwijzing van elk artikel is gedaan in de APA 5th stijl. Elk artikel is<br />
afzonderlijk g<strong>en</strong>ummerd. Er is voor deze stijl van verwijz<strong>en</strong> gekoz<strong>en</strong> zod<strong>at</strong> het<br />
betreff<strong>en</strong>de artikel snel <strong>en</strong> e<strong>en</strong>voudig teruggevond<strong>en</strong> kan word<strong>en</strong> in het<br />
uitgebreide docum<strong>en</strong>t van de liter<strong>at</strong>uurstudie.<br />
[1] Markelj, B., & Bernik, I. (2012). Mobile Devices and Corpor<strong>at</strong>e<br />
<strong>Security</strong>. Intern<strong>at</strong>ional Journal of Educ<strong>at</strong>ion and Inform<strong>at</strong>ion<br />
Technologies, 6(1), 97-104.<br />
Original public<strong>at</strong>ion abstract<br />
Ensuring protection of corpor<strong>at</strong>e d<strong>at</strong>a has only rec<strong>en</strong>tly become a main concern<br />
in the inform<strong>at</strong>ion and communic<strong>at</strong>ion technology industry. In the past two years<br />
or so the use of mobile devices to access d<strong>at</strong>a has become a lot more frequ<strong>en</strong>t,<br />
therefore d<strong>at</strong>a security is now a new chall<strong>en</strong>ge for users and managers of<br />
inform<strong>at</strong>ion and computer systems alike – they all have to be aware of cyber<br />
thre<strong>at</strong>s, and the measures, which must necessarily be undertak<strong>en</strong> to maintain an<br />
adequ<strong>at</strong>e level of inform<strong>at</strong>ion security. Software for mobile devices, combined<br />
with the Internet, now provides easy and fast access to d<strong>at</strong>a and inform<strong>at</strong>ion;<br />
this rel<strong>at</strong>ively new technology facilit<strong>at</strong>es rapid decision-making. Sophistic<strong>at</strong>ed<br />
software <strong>en</strong>ables users to manage d<strong>at</strong>a and carry out various tasks on-line. The<br />
security of corpor<strong>at</strong>e d<strong>at</strong>a, in incid<strong>en</strong>ces wh<strong>en</strong> mobile devices are used to access<br />
inform<strong>at</strong>ion systems, can only be upheld, if users comply with certain safety<br />
measures.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze public<strong>at</strong>ie b<strong>en</strong>adrukk<strong>en</strong> de auteurs het toeg<strong>en</strong>om<strong>en</strong> gebruik van mobiele<br />
appar<strong>at</strong><strong>en</strong> <strong>en</strong> het grote belang van adequ<strong>at</strong>e beveiliging ervan. Deze beveiliging<br />
is e<strong>en</strong> nieuwe uitdaging voor zowel de gebruikers als IT-managers. Beid<strong>en</strong><br />
groep<strong>en</strong> moet<strong>en</strong> zich bewust zijn van de mogelijke risico’s <strong>en</strong> gevar<strong>en</strong>, ev<strong>en</strong>als<br />
de ma<strong>at</strong>regel<strong>en</strong> die g<strong>en</strong>om<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> om tot e<strong>en</strong> adequ<strong>at</strong>e beveiliging te<br />
kom<strong>en</strong>. Volg<strong>en</strong>s de auteurs kan de bescherming van bedrijfsgegev<strong>en</strong>s alle<strong>en</strong><br />
intact blijv<strong>en</strong> als gebruikers bepaalde veiligheidsma<strong>at</strong>regel<strong>en</strong> treff<strong>en</strong>. De<br />
public<strong>at</strong>ie beschrijft het nieuwe werk<strong>en</strong>/lev<strong>en</strong> met mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> de<br />
voordel<strong>en</strong> die ze bied<strong>en</strong>. Hierna word<strong>en</strong> de nadel<strong>en</strong> beschrev<strong>en</strong> <strong>en</strong> risico’s voor<br />
gebruikers <strong>en</strong> organis<strong>at</strong>ies.<br />
Volg<strong>en</strong>s de auteurs is het voordeel van de compacte afmeting<strong>en</strong> van e<strong>en</strong><br />
moderne smartphone of tablet tev<strong>en</strong>s e<strong>en</strong> belangrijk nadeel. Ze kunn<strong>en</strong> namelijk<br />
e<strong>en</strong>voudiger (dan e<strong>en</strong> rel<strong>at</strong>ief grote laptop) gestol<strong>en</strong> word<strong>en</strong> op publieke plekk<strong>en</strong><br />
zoals op e<strong>en</strong> vliegveld, bibliotheek of e<strong>en</strong> café. Vertrouwelijke bedrijfsgegev<strong>en</strong>s<br />
kom<strong>en</strong> op die manier in hand<strong>en</strong> van ander<strong>en</strong>. Er is volg<strong>en</strong>s Markelj & Bernik e<strong>en</strong><br />
correl<strong>at</strong>ie tuss<strong>en</strong> de afnem<strong>en</strong>de omvang van mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> de<br />
Pagina | 73
aantrekkingskracht ervan op diev<strong>en</strong>. E<strong>en</strong> ander risico <strong>bij</strong> gebruik van mobiele<br />
appar<strong>at</strong><strong>en</strong> in e<strong>en</strong> zakelijke omgeving is d<strong>at</strong> <strong>bij</strong>na alle mobiele appar<strong>at</strong><strong>en</strong> e<strong>en</strong><br />
verbinding hebb<strong>en</strong> met internet <strong>en</strong> dus met organis<strong>at</strong>ie-inform<strong>at</strong>iesystem<strong>en</strong>.<br />
Hierdoor faciliter<strong>en</strong> deze mobiele appar<strong>at</strong><strong>en</strong> manipul<strong>at</strong>ie <strong>en</strong> overdracht van d<strong>at</strong>a.<br />
Mobiele appar<strong>at</strong><strong>en</strong> zijn het doelwit van e<strong>en</strong> m<strong>en</strong>gsel van bedreiging<strong>en</strong>, de<br />
auteurs noem<strong>en</strong> dit bl<strong>en</strong>ded thre<strong>at</strong>s (e<strong>en</strong> mix van soort<strong>en</strong> bedreiging<strong>en</strong>), met als<br />
doel om onwetm<strong>at</strong>ige toegang te krijg<strong>en</strong> tot afgeschermde inform<strong>at</strong>ie, <strong>en</strong> hier<br />
voordeel uit te behal<strong>en</strong>. Deze bedreiging werk<strong>en</strong> op verschill<strong>en</strong>de niveaus <strong>en</strong><br />
kunn<strong>en</strong> simultaan hun werk do<strong>en</strong>, vandaar ook de term. Deze bedreiging<strong>en</strong><br />
vorm<strong>en</strong> e<strong>en</strong> significant gevaar voor organis<strong>at</strong>ies, werknemers maar ook<br />
individu<strong>en</strong>. Wanneer het betreff<strong>en</strong>de mobiele appara<strong>at</strong> e<strong>en</strong> verbinding heeft met<br />
internet (<strong>en</strong> dus met het organis<strong>at</strong>i<strong>en</strong>etwerk) loopt de organis<strong>at</strong>ie gevaar.<br />
Bedreiging<strong>en</strong> kunn<strong>en</strong> direct of indirect zijn, <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> individueel of<br />
gecombineerd. De meest direct bedreiging is volg<strong>en</strong>s de auteurs diefstal van e<strong>en</strong><br />
mobiel appara<strong>at</strong>. Geavanceerdere, indirect, bedreiging<strong>en</strong> zijn die waar<strong>bij</strong><br />
d<strong>at</strong>acommunic<strong>at</strong>ie wordt onderschept <strong>en</strong>/of apps (software) die geïnstalleerd is<br />
<strong>en</strong> autom<strong>at</strong>ische inform<strong>at</strong>ie oogst. Volg<strong>en</strong>s de auteurs zijn deze indirecte<br />
bedreiging<strong>en</strong> meestal schadelijker door hun onvoorspelbare karakter. Bov<strong>en</strong>di<strong>en</strong><br />
is volledige bescherming teg<strong>en</strong> deze indirecte bedreiging<strong>en</strong>, volg<strong>en</strong>s de auteurs,<br />
praktisch onmogelijk.<br />
Verandering<strong>en</strong> de afgelop<strong>en</strong> jar<strong>en</strong><br />
De manier waarop we communicer<strong>en</strong>, toegang tot<br />
bedrijfsnetwerk<strong>en</strong> <strong>en</strong> de manier waarop we daarmee<br />
aangeslot<strong>en</strong> word<strong>en</strong>, is volg<strong>en</strong>s de auteurs de afgelop<strong>en</strong> jar<strong>en</strong><br />
significant veranderd. In figuur 4 is te zi<strong>en</strong> hoe communic<strong>at</strong>ie in<br />
het verled<strong>en</strong> tuss<strong>en</strong> e<strong>en</strong> c<strong>en</strong>traal inform<strong>at</strong>iesysteem (Intranet)<br />
<strong>en</strong> het internet verliep. In het verled<strong>en</strong> was het voldo<strong>en</strong>de d<strong>at</strong><br />
e<strong>en</strong> bedrijfsinform<strong>at</strong>iesysteem werd beschermd door e<strong>en</strong><br />
firewall die de inkom<strong>en</strong>de communic<strong>at</strong>ie in de g<strong>at</strong><strong>en</strong> hield. Op<br />
d<strong>at</strong> mom<strong>en</strong>t bestond<strong>en</strong> er nog ge<strong>en</strong> externe, mobiele appar<strong>at</strong><strong>en</strong><br />
die gekoppeld zoud<strong>en</strong> word<strong>en</strong> met bedrijfsnetwerk<strong>en</strong> <strong>en</strong> die<br />
zoud<strong>en</strong> communicer<strong>en</strong> met de wereld via Wifi, UMTS etc.<br />
Figuur 4: Communic<strong>at</strong>ie in<br />
Vandaag de dag, zie figuur 5, word<strong>en</strong> verschill<strong>en</strong>de<br />
het verled<strong>en</strong><br />
soort<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> gebruikt om te verbind<strong>en</strong> <strong>en</strong><br />
communicer<strong>en</strong> met verschill<strong>en</strong>de netwerk<strong>en</strong>, ongeachte de<br />
firewall. E<strong>en</strong> firewall reguleert de verbinding tuss<strong>en</strong> e<strong>en</strong> mobiel<br />
appara<strong>at</strong> <strong>en</strong> het inform<strong>at</strong>iesysteem d<strong>at</strong> het beschermt. E<strong>en</strong><br />
zwak punt hierin is, volg<strong>en</strong>s de auteurs van deze public<strong>at</strong>ie, het<br />
mobiele appara<strong>at</strong> d<strong>at</strong> verbond<strong>en</strong> is met e<strong>en</strong> publiekelijk<br />
netwerk. Op het mom<strong>en</strong>t d<strong>at</strong> de beveiliging van e<strong>en</strong> mobiel<br />
appara<strong>at</strong> gebrok<strong>en</strong> is, <strong>en</strong> hij ook verbond<strong>en</strong> is met internet, is<br />
e<strong>en</strong> onbeschermde route naar het organis<strong>at</strong>ieinform<strong>at</strong>iesysteem<br />
geop<strong>en</strong>d. Dit komt volg<strong>en</strong>s de auteurs<br />
doord<strong>at</strong> de firewall al goedkeuring heeft gegev<strong>en</strong> tuss<strong>en</strong> het<br />
mobiele appara<strong>at</strong> <strong>en</strong> het organis<strong>at</strong>ie-inform<strong>at</strong>iesysteem.<br />
Figuur 5: Moderne<br />
communic<strong>at</strong>ie<br />
Pagina | 74
Aangezi<strong>en</strong> het mobiele appara<strong>at</strong> communiceert met verschill<strong>en</strong>de netwerk<strong>en</strong><br />
tegelijk, <strong>en</strong> de firewall al de toegang tot bedrijfsinform<strong>at</strong>iesysteem heeft<br />
goedgekeurd, zit de medewerker volg<strong>en</strong>s de auteurs in de positie waar<strong>bij</strong> het<br />
mobiele appara<strong>at</strong> op<strong>en</strong> sta<strong>at</strong> voor bl<strong>en</strong>ded thre<strong>at</strong>s. Het mobiele appara<strong>at</strong> is e<strong>en</strong><br />
doorgeefluik geword<strong>en</strong> richting de “Sch<strong>at</strong>kist” van e<strong>en</strong> organis<strong>at</strong>ie <strong>en</strong> de<br />
gegev<strong>en</strong>s die opgeslag<strong>en</strong> zit in haar inform<strong>at</strong>iesystem<strong>en</strong>. Bedreiging<strong>en</strong> uit het<br />
verled<strong>en</strong>, die veelal te mak<strong>en</strong> hadd<strong>en</strong> met de communic<strong>at</strong>ie “p<strong>at</strong>hway” zijn nu,<br />
door hun verscheid<strong>en</strong>heid <strong>en</strong> gecombineerde effect<strong>en</strong>, e<strong>en</strong> serieus risico voor<br />
bedrijfsnetwerk<strong>en</strong>. Oplossing<strong>en</strong> hiervoor word<strong>en</strong> op dit mom<strong>en</strong>t bedacht <strong>en</strong><br />
ontwikkeld, maar omd<strong>at</strong> er nog ge<strong>en</strong> algem<strong>en</strong>e standaard<strong>en</strong> voor zijn, zull<strong>en</strong><br />
nieuwe beveiligingsmethodes niet optimaal effectief zijn volg<strong>en</strong>s de auteurs van<br />
deze public<strong>at</strong>ie, t<strong>en</strong>minste niet op de lange termijn. Daarom is e<strong>en</strong> constante<br />
verandering, aanpassing <strong>en</strong> verbetering noodzakelijk. Volg<strong>en</strong>s Markelj & Bernik is<br />
het dan ook aan de organis<strong>at</strong>ies hoe ze ervoor zorg<strong>en</strong> d<strong>at</strong> de verbinding<strong>en</strong> met<br />
bedrijfsinform<strong>at</strong>iesystem<strong>en</strong> veilig zijn <strong>en</strong> hoe de vertrouwelijke bedrijfsgegev<strong>en</strong>s<br />
adequa<strong>at</strong> te bescherm<strong>en</strong>.<br />
Zwakste schakel<br />
Waar in het verled<strong>en</strong> de beveiliging van bedrijfsgegev<strong>en</strong>s de aandacht kreeg,<br />
wordt vandaag de dag steeds duidelijker d<strong>at</strong> het ook van ess<strong>en</strong>tieel belang is om<br />
veilig gebruik van mobiele appar<strong>at</strong><strong>en</strong> door werknemers te bevorder<strong>en</strong>. Elk<br />
inform<strong>at</strong>iesysteem is zo veilig als zijn zwakste schakel, daarom is het volg<strong>en</strong>s<br />
Markelj & Bernik belangrijk om je als organis<strong>at</strong>ie te richt<strong>en</strong> op de factor waar je<br />
de minste controle over hebt, vooral mobiele appar<strong>at</strong><strong>en</strong>. Volg<strong>en</strong>s Markelj &<br />
Bernik is e<strong>en</strong> belangrijke stap richting betere beveiliging de bewustwording van<br />
de verschill<strong>en</strong>de bedreiging<strong>en</strong>/gevar<strong>en</strong>/risico’s voor e<strong>en</strong> inform<strong>at</strong>iesysteem, <strong>en</strong><br />
de gevolg<strong>en</strong> ervan. E<strong>en</strong> manier waarop e<strong>en</strong> organis<strong>at</strong>ie zich volg<strong>en</strong>s Markelj &<br />
Bernik kan bescherm<strong>en</strong> (bewap<strong>en</strong><strong>en</strong>) is door e<strong>en</strong> solide beleid te hanter<strong>en</strong> om zo<br />
de veiligheid van de inform<strong>at</strong>iesystem<strong>en</strong> te waarborg<strong>en</strong>. Volg<strong>en</strong>s de auteurs<br />
omv<strong>at</strong> e<strong>en</strong> goed beveiligingsbeleid gestandaardiseerde regels voor veiliger<br />
gebruik van mobiele appar<strong>at</strong><strong>en</strong>. Dit is volg<strong>en</strong>s h<strong>en</strong> dan ook de basis waarop<br />
organis<strong>at</strong>ies moet<strong>en</strong> bepal<strong>en</strong> welke hardware <strong>en</strong> software wel/niet geschikt is<br />
voor de organis<strong>at</strong>ie.<br />
Daarnaast is het volg<strong>en</strong>s Markelj & Bernik van belang d<strong>at</strong> e<strong>en</strong> organis<strong>at</strong>ie in sta<strong>at</strong><br />
is om:<br />
1. Al het netwerk verkeer te monitor<strong>en</strong>;<br />
2. Firewalls op te zett<strong>en</strong>;<br />
3. D<strong>at</strong>a te versleutel<strong>en</strong>;<br />
4. Wiss<strong>en</strong> op afstand van d<strong>at</strong>a op gestol<strong>en</strong> of verlor<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> te<br />
faciliter<strong>en</strong>.<br />
Mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> malware<br />
En ook de autoris<strong>at</strong>ie van toegang tot bedrijfsinform<strong>at</strong>iesystem<strong>en</strong> di<strong>en</strong>t volg<strong>en</strong>s<br />
standaard<strong>en</strong> <strong>en</strong> aanbeveling<strong>en</strong> te verlop<strong>en</strong> om de hoogst mogelijke m<strong>at</strong>e van<br />
inform<strong>at</strong>iebeveiliging te garander<strong>en</strong>. De snelle ontwikkeling <strong>en</strong> uitbreiding van<br />
grote inform<strong>at</strong>iesystem<strong>en</strong> wordt gevolgd door, in dit specifieke geval vooruitgang<br />
op het vlak van technologie van mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> de software de daarvoor<br />
beschikbaar is. Volg<strong>en</strong>s de auteurs is het aantal m<strong>en</strong>s<strong>en</strong> d<strong>at</strong> e<strong>en</strong> smartphone<br />
<strong>en</strong>/of tablet gebruikt significant gesteg<strong>en</strong>. (bron: rapport van IDC). In 2011<br />
namelijk 55% meer dan het jaar ervoor. Volg<strong>en</strong>s de auteurs is het aannemelijk<br />
Pagina | 75
om deze lijn door te trekk<strong>en</strong> <strong>en</strong> de groei 200% is in 2015. Mobiele appar<strong>at</strong><strong>en</strong><br />
met geavanceerde software blijk<strong>en</strong> zeer functioneel <strong>en</strong><br />
zijn begonn<strong>en</strong> om PC’s (traditionele computers) te<br />
vervang<strong>en</strong>. In figuur 6 is de correl<strong>at</strong>ie te zi<strong>en</strong> tuss<strong>en</strong><br />
het aantal malware besmetting<strong>en</strong> in rel<strong>at</strong>ie tot het<br />
aantal verkochte smartphones. Op basis van<br />
historische gegev<strong>en</strong>s in 2010/2011 hebb<strong>en</strong> Markelj &<br />
Bernik e<strong>en</strong> voorspelling gedaan voor de kom<strong>en</strong>de<br />
jar<strong>en</strong>. De grafiek toont e<strong>en</strong> lineair verband, dit komt<br />
volg<strong>en</strong>s Markelj & Bernik doord<strong>at</strong> de bescherming van<br />
de mobiele besturingssystem<strong>en</strong> steeds beter wordt,<br />
maar de “kwaliteit” van malware ook verbeterd. Hun<br />
conclusie: betere beschermingsma<strong>at</strong>regel<strong>en</strong> in<br />
mobiele appar<strong>at</strong><strong>en</strong> leid<strong>en</strong> ook tot geavanceerdere <strong>en</strong> subtielere poging<strong>en</strong> om<br />
deze beveiliging te omzeil<strong>en</strong>.<br />
Figuur 6: Verkoop smartphones<br />
vs. malware besmetting<strong>en</strong><br />
Bescherm<strong>en</strong>de omgeving<br />
Markelj & Bernik stell<strong>en</strong> d<strong>at</strong> zolang als d<strong>at</strong> e<strong>en</strong> medewerker binn<strong>en</strong> de<br />
bescherm<strong>en</strong>de omgeving van e<strong>en</strong> bedrijfsinform<strong>at</strong>iesysteem blijft, de beveiliging<br />
van deze inform<strong>at</strong>ie bereikbaar/haalbaar is. De veiligheid van e<strong>en</strong><br />
bedrijfsinform<strong>at</strong>iesysteem wordt gehandhaafd volg<strong>en</strong>s gestandaardiseerde<br />
richtlijn<strong>en</strong> voor procedures, die zijn gedefinieerd in de afgelop<strong>en</strong> vijftig jaar. Het<br />
gevaar is volg<strong>en</strong>s Markelj & Bernik het grootst wanneer iemand gebruik maakt<br />
van op<strong>en</strong>bare netwerk<strong>en</strong> <strong>en</strong> simpele (onveilige) protocoll<strong>en</strong> of software gebruikt<br />
om toegang te krijg<strong>en</strong> tot de virtuele omgeving van e<strong>en</strong> organis<strong>at</strong>ie. Gebruikers<br />
moet<strong>en</strong> zich ervan bewust zijn d<strong>at</strong> telk<strong>en</strong>s wanneer e<strong>en</strong> dergelijk verbinding is<br />
gemaakt, e<strong>en</strong> "deur" in de bescherm<strong>en</strong>de "muur" van e<strong>en</strong> inform<strong>at</strong>iesysteem<br />
wordt geop<strong>en</strong>d. Deze "op<strong>en</strong>ing" is e<strong>en</strong> groot risico voor de organis<strong>at</strong>ieinform<strong>at</strong>iesysteem.<br />
Vanuit het gebruikersoogpunt is er ge<strong>en</strong> verschil tuss<strong>en</strong> de<br />
aansluiting op e<strong>en</strong> bedrijfsinform<strong>at</strong>iesysteem of het internet in het algeme<strong>en</strong>.<br />
Backdoors <strong>en</strong> verborg<strong>en</strong> functionaliteit op mobiele appar<strong>at</strong><strong>en</strong><br />
Volg<strong>en</strong>s Markelj & Bernik hebb<strong>en</strong> computerwet<strong>en</strong>schappers opgemerkt d<strong>at</strong><br />
software in het algeme<strong>en</strong> (<strong>en</strong> dus ook m.b.t. mobiele appar<strong>at</strong><strong>en</strong>) in hoog tempo<br />
wordt ontwikkeld <strong>en</strong> er daardoor weinig aandacht is voor standaardis<strong>at</strong>ie <strong>en</strong><br />
certific<strong>at</strong>ie. De oorzaak ligt dus volg<strong>en</strong>s Markelj & Bernik <strong>bij</strong> de<br />
leveranciers/ontwikkelaars van deze software. Dit neemt niet weg d<strong>at</strong> gebruikers<br />
zich ook bewust moet<strong>en</strong> zijn van inform<strong>at</strong>iebeveiliging <strong>en</strong> di<strong>en</strong>overe<strong>en</strong>komstig<br />
handel<strong>en</strong>. Vaak is dit volg<strong>en</strong>s Markelj & Bernik niet het geval waardoor bepaalde<br />
software op e<strong>en</strong> mobiel appara<strong>at</strong> draait zonder d<strong>at</strong> dit bek<strong>en</strong>d is. Bij e<strong>en</strong> mobiel<br />
appara<strong>at</strong> d<strong>at</strong> verbond<strong>en</strong> is met e<strong>en</strong> bepaald (bedrijfs) netwerk is niet altijd<br />
bek<strong>en</strong>d welke software nog meer draait. E<strong>en</strong> goed voorbeeld van deze risico’s<br />
zijn gr<strong>at</strong>is programma’s (apps) die online betaling<strong>en</strong> (in app purchases)<br />
faciliter<strong>en</strong>. Het is onbek<strong>en</strong>d w<strong>at</strong> er nog meer gebeurd op de achtergrond <strong>bij</strong> zo’n<br />
betaling. Deze software kan kwaadaardige code bev<strong>at</strong>t<strong>en</strong> waardoor d<strong>at</strong>a of geld<br />
gestol<strong>en</strong> kan word<strong>en</strong>. Daarom hebb<strong>en</strong> veel bank<strong>en</strong> al hun eig<strong>en</strong> software<br />
ontwikkeld <strong>en</strong> geïmplem<strong>en</strong>teerd voor mobiele appar<strong>at</strong><strong>en</strong> zod<strong>at</strong> cliënt<strong>en</strong> hun<br />
financiële zak<strong>en</strong> kunn<strong>en</strong> regel<strong>en</strong> met hun mobiele appara<strong>at</strong>.<br />
E<strong>en</strong> mobiel appara<strong>at</strong> kan ook het doelwit word<strong>en</strong> van software fragm<strong>en</strong>t<strong>en</strong> met<br />
als doel om in te brek<strong>en</strong> op het mobiele appara<strong>at</strong> met behulp van malware,<br />
spyware, botnets, wanneer e<strong>en</strong> draadloze verbinding (zoals Bluetooth) tot stand<br />
Pagina | 76
komt of zelfs via sociale netwerk<strong>en</strong>. Volg<strong>en</strong>s Markelj & Bernik is er e<strong>en</strong> kans d<strong>at</strong><br />
1% - 4% van alle mobiele appar<strong>at</strong><strong>en</strong> geïnfecteerd zijn omd<strong>at</strong> gebruikers gr<strong>at</strong>is<br />
software erop hebb<strong>en</strong> gezet. Volg<strong>en</strong>s de public<strong>at</strong>ie van Markelj & Bernik is er e<strong>en</strong><br />
stijging van 400% in het aantal besmette Android-gebaseerde smartphones <strong>en</strong><br />
tablets. Tev<strong>en</strong>s stell<strong>en</strong> de auteurs d<strong>at</strong> volg<strong>en</strong>s onderzoek 85% van de gebruikers<br />
ge<strong>en</strong> adequ<strong>at</strong>e beveiliging op hun mobiele appar<strong>at</strong><strong>en</strong> heeft staan. Volg<strong>en</strong>s<br />
Markelj & Bernik installer<strong>en</strong> leveranciers van software voor mobiele appar<strong>at</strong><strong>en</strong><br />
veelal backdoors waardoor instelling<strong>en</strong> <strong>en</strong> ander andere software op deze<br />
appar<strong>at</strong><strong>en</strong> kan word<strong>en</strong> beheerd, zonder d<strong>at</strong> de gebruiker hier vanaf weet. Deze<br />
backdoors stur<strong>en</strong> autom<strong>at</strong>isch GPS gegev<strong>en</strong>s door om de gebruiker <strong>en</strong> het<br />
appara<strong>at</strong> te lokaliser<strong>en</strong>. Het is volg<strong>en</strong>s Markelj & Bernik zelfs mogelijk d<strong>at</strong> deze<br />
backdoors de controle overnem<strong>en</strong> over het mobiele appara<strong>at</strong>. Volg<strong>en</strong>s de<br />
liter<strong>at</strong>uur van Markelj & Bernik is e<strong>en</strong> ander risico d<strong>at</strong> door gebruik van<br />
ongeautoriseerde, niet-standaard software op mobiele appar<strong>at</strong><strong>en</strong> (zoals<br />
Jailbreak, nieuwe firmware, of gewoon apps uit e<strong>en</strong> onfrisse bron) e<strong>en</strong> deur<br />
geop<strong>en</strong>d kan word<strong>en</strong> tot bedrijfsinform<strong>at</strong>iesystem<strong>en</strong> of zelf e<strong>en</strong> “Cloud”. Hierdoor<br />
wordt het risico vergroot d<strong>at</strong> bedrijfsgegev<strong>en</strong>s gestol<strong>en</strong> of misbruikt word<strong>en</strong>. Dit<br />
br<strong>en</strong>gt de integriteit <strong>en</strong> business (bedrijfsgang) van de hele organis<strong>at</strong>ie in<br />
gevaar. Verder stell<strong>en</strong> Markelj & Bernik d<strong>at</strong> de inhoud, die overgedrag<strong>en</strong> wordt<br />
tuss<strong>en</strong> servers <strong>en</strong> cli<strong>en</strong>t applic<strong>at</strong>ies, niet goed g<strong>en</strong>oeg beveiligd is <strong>en</strong> rel<strong>at</strong>ief<br />
e<strong>en</strong>voudig toegankelijk is voor iedere<strong>en</strong> die zijn zinn<strong>en</strong> erop gezet heeft.<br />
Kwaadwill<strong>en</strong>de hoev<strong>en</strong> teg<strong>en</strong>woordig ge<strong>en</strong> computerwet<strong>en</strong>schappers te zijn om<br />
hun doel<strong>en</strong> te bereik<strong>en</strong>, stell<strong>en</strong> Markelj & Bernik. Het gebruik van e<strong>en</strong> mobiel<br />
appara<strong>at</strong> is de zwakke schakel in inform<strong>at</strong>iebeveiliging, <strong>en</strong> dus moet<strong>en</strong><br />
werkgevers ervoor zorg drag<strong>en</strong> d<strong>at</strong> werknemers g<strong>en</strong>oeg inform<strong>at</strong>ie ontvang<strong>en</strong><br />
over veilig gebruik ervan. Adequ<strong>at</strong>e interne reglem<strong>en</strong>t<strong>en</strong> moet<strong>en</strong> details <strong>en</strong><br />
inform<strong>at</strong>ie bev<strong>at</strong>t<strong>en</strong> over de juiste procedure, lijst<strong>en</strong> van toegestane software,<br />
Internet protocoll<strong>en</strong> etc. Bov<strong>en</strong>di<strong>en</strong> moet<strong>en</strong> werknemers goed geïnformeerd<br />
word<strong>en</strong> over de mogelijke gevolg<strong>en</strong> van schadelijke activiteit<strong>en</strong> <strong>en</strong>/of onveilig<br />
gebruik van e<strong>en</strong> mobiel appara<strong>at</strong>.<br />
G<strong>en</strong>erieke oplossing volg<strong>en</strong>s Markelj & Bernik<br />
Markelj & Bernik stell<strong>en</strong> d<strong>at</strong> mobiele beveiligingsrisico’s in vele vorm<strong>en</strong><br />
kom<strong>en</strong>/bestaan <strong>en</strong> tev<strong>en</strong>s snel evoluer<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> stell<strong>en</strong> ze d<strong>at</strong> veel<br />
organis<strong>at</strong>ies mobiliteit als c<strong>en</strong>trum van hun IT str<strong>at</strong>egie hebb<strong>en</strong> staan. Hier<strong>bij</strong> is<br />
het verstandig om opnieuw te b<strong>en</strong>adrukk<strong>en</strong> hoe belangrijk de mobile device<br />
security str<strong>at</strong>egie dan is. Volg<strong>en</strong>s de public<strong>at</strong>ie van Markelj & Bernik kunn<strong>en</strong><br />
organis<strong>at</strong>ies niet iets monitor<strong>en</strong>, in de g<strong>at</strong><strong>en</strong> houd<strong>en</strong>, w<strong>at</strong> ze niet kunn<strong>en</strong><br />
id<strong>en</strong>tificer<strong>en</strong>. Hiermee bedoel<strong>en</strong> ze d<strong>at</strong> bedreiging<strong>en</strong> (risico’s) die kom<strong>en</strong> uit de<br />
hoek van snel evoluer<strong>en</strong>de ontwikkeling<strong>en</strong> m.b.t. mobiele appar<strong>at</strong><strong>en</strong>, maar ook<br />
IT in het algeme<strong>en</strong>. Volg<strong>en</strong> Markelj & Bernik moet<strong>en</strong> organis<strong>at</strong>ies continue hun<br />
bedrijfs securitypolicy upgrad<strong>en</strong>/aanpass<strong>en</strong>/<strong>bij</strong>werk<strong>en</strong> <strong>en</strong> bov<strong>en</strong>di<strong>en</strong><br />
continue/frequ<strong>en</strong>t/periodiek beoordel<strong>en</strong> w<strong>at</strong> de risico’s <strong>en</strong> gevolg<strong>en</strong> dan kunn<strong>en</strong><br />
zijn wanneer alsnog in bedrijfsinform<strong>at</strong>iesystem<strong>en</strong> is ingebrok<strong>en</strong>.<br />
Organis<strong>at</strong>ies kunn<strong>en</strong> de risico’s volg<strong>en</strong>s Markelj & Bernik beperk<strong>en</strong> door speciale<br />
hardware te implem<strong>en</strong>ter<strong>en</strong> die het d<strong>at</strong>averkeer controleert op mogelijke<br />
gevar<strong>en</strong>, op IP niveau, <strong>en</strong> voorkomt d<strong>at</strong> er wordt ingebrok<strong>en</strong>. E<strong>en</strong> voorbeeld<br />
hiervan zijn Intrusing Detection System<strong>en</strong> (IDS). Er zijn al organis<strong>at</strong>ies die<br />
beveiligingssoftware aan het ontwikkel<strong>en</strong> zijn die goede bescherming moet<br />
bied<strong>en</strong> aan mobiele appar<strong>at</strong><strong>en</strong>. Er zijn ook al firewalls voor mobiele appar<strong>at</strong><strong>en</strong> in<br />
ontwikkeling. Bov<strong>en</strong>di<strong>en</strong> besta<strong>at</strong> al software die het mogelijk maakt waarmee<br />
organis<strong>at</strong>ies hun eig<strong>en</strong> beveiligingsbeleid kunn<strong>en</strong> definiër<strong>en</strong> voor het gebruik van<br />
Pagina | 77
mobiele appar<strong>at</strong><strong>en</strong> zoals de iPhone <strong>en</strong> iPad 8 . Verder stell<strong>en</strong> Markelj & Bernik d<strong>at</strong><br />
organis<strong>at</strong>ies hun d<strong>at</strong>a kunn<strong>en</strong> bescherm<strong>en</strong> door versleuteling toe te pass<strong>en</strong>,<br />
maar deze methode is zo sterk als d<strong>at</strong> versleutelingwachtwoord zelf is.<br />
Organis<strong>at</strong>ies strev<strong>en</strong> naar betere inform<strong>at</strong>iebeveiliging, in het <strong>bij</strong>zonder <strong>bij</strong><br />
inlogprocedures (want toegang) <strong>en</strong>/of overdracht van cruciale gegev<strong>en</strong>s <strong>en</strong><br />
inform<strong>at</strong>ie. Dit kunn<strong>en</strong> organis<strong>at</strong>ies do<strong>en</strong> door veiligere http protocoll<strong>en</strong> (zoals<br />
HTTPS) <strong>en</strong> door te auth<strong>en</strong>ticer<strong>en</strong> met behulp van certific<strong>at</strong><strong>en</strong>. Certific<strong>at</strong><strong>en</strong> word<strong>en</strong><br />
gebruikt om de id<strong>en</strong>titeit van e<strong>en</strong> werknemer te auth<strong>en</strong>ticer<strong>en</strong> (kijk<strong>en</strong> of hij/zij<br />
het echt is). Ook door versleuteling <strong>en</strong> ontsleuteling van d<strong>at</strong>a (SSL) <strong>en</strong> ook door<br />
VPN te gebruik<strong>en</strong>. Organis<strong>at</strong>ies gebruik<strong>en</strong> ook sterke wachtwoord<strong>en</strong> om<br />
gegev<strong>en</strong>s te bescherm<strong>en</strong> ev<strong>en</strong>als auth<strong>en</strong>tic<strong>at</strong>ie met smartcards. Smartcard<br />
kunn<strong>en</strong> volg<strong>en</strong>s Markelj & Bernik alle<strong>en</strong> werk<strong>en</strong> als ze ondersteund word<strong>en</strong> door<br />
geavanceerde technologie op de achtergrond.<br />
Virtual Priv<strong>at</strong>e Network<br />
De meeste organis<strong>at</strong>ies gebruik<strong>en</strong> e<strong>en</strong> VPN (Virtual Priv<strong>at</strong>e Network) om direct<br />
communic<strong>at</strong>ie tuss<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> bedrijfsinform<strong>at</strong>iesystem<strong>en</strong> te<br />
faciliter<strong>en</strong>. Deze VPN-technologie maakt gebruik van het principe d<strong>at</strong> er e<strong>en</strong><br />
“kanaal” is tuss<strong>en</strong> VPN-software op het mobiele appara<strong>at</strong> <strong>en</strong> VPN-software op de<br />
bedrijfseig<strong>en</strong> inform<strong>at</strong>iesystem<strong>en</strong>. Verific<strong>at</strong>ie tuss<strong>en</strong> e<strong>en</strong> mobiel appara<strong>at</strong> <strong>en</strong><br />
bedrijfsinform<strong>at</strong>iesysteem met behulp van VPN verloopt d.m.v. certific<strong>at</strong><strong>en</strong>.<br />
Toegang tot het systeem wordt alle<strong>en</strong> verle<strong>en</strong>d wanneer de id<strong>en</strong>titeit van de<br />
medewerker gecontroleerd is met Gebruikersnaam <strong>en</strong> Wachtwoord. Volg<strong>en</strong>s de<br />
liter<strong>at</strong>uur van Markelj & Bernik zitt<strong>en</strong> er twee cruciale beveiligingszwakhed<strong>en</strong> in<br />
de VPN-technologie.<br />
1. Software voor mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> cli<strong>en</strong>ts voor VPN zijn dusdanig divers d<strong>at</strong><br />
het onmogelijk is om 100% perfecte werking van deze technologie te<br />
garander<strong>en</strong>;<br />
2. Het is maar de vraag of de VPN-software op mobiele appar<strong>at</strong><strong>en</strong> volledig te<br />
vertrouw<strong>en</strong> is.<br />
Volg<strong>en</strong>s de public<strong>at</strong>ie van Markelj & Bernik zijn sommige beveiligingsma<strong>at</strong>regel<strong>en</strong>,<br />
die vandaag de dag zijn geïmplem<strong>en</strong>teerd, onvoldo<strong>en</strong>de om ook<br />
mobiele appar<strong>at</strong><strong>en</strong> goed te beveilig<strong>en</strong> teg<strong>en</strong> de bl<strong>en</strong>ded thre<strong>at</strong>s. In de public<strong>at</strong>ie<br />
van Markelj & Bernik wordt ook gesprok<strong>en</strong> over welke ma<strong>at</strong>regel<strong>en</strong> e<strong>en</strong><br />
aanzi<strong>en</strong>lijke verbetering zoud<strong>en</strong> kunn<strong>en</strong> betek<strong>en</strong><strong>en</strong> <strong>bij</strong> gebruik van mobiele<br />
appar<strong>at</strong><strong>en</strong> in e<strong>en</strong> zakelijke omgeving. Zie onderstaande tabell<strong>en</strong>.<br />
Tabel 6: Onvoldo<strong>en</strong>de bescherming<br />
8 http://itunes.apple.com/nl/app/apple-configur<strong>at</strong>or/id434433123?mt=12<br />
Tabel 7: Verbetersuggesties<br />
Pagina | 78
Veiligheidsstandaard<strong>en</strong> <strong>en</strong> reglem<strong>en</strong>t<strong>en</strong> voor mobiele appar<strong>at</strong><strong>en</strong><br />
Markelj & Bernik stell<strong>en</strong> in hun public<strong>at</strong>ie d<strong>at</strong> bewustwording van de beveiliging<br />
<strong>en</strong> veiligheid m.b.t. mobiele appar<strong>at</strong><strong>en</strong> e<strong>en</strong> concurrer<strong>en</strong>d voordeel kan oplever<strong>en</strong><br />
voor organis<strong>at</strong>ies.<br />
Ze stell<strong>en</strong> bov<strong>en</strong>di<strong>en</strong> d<strong>at</strong> de beveiliging/veiligheid van bedrijfsgegev<strong>en</strong>s de sleutel<br />
is tot de integriteit van elke organis<strong>at</strong>ie, haar werknemers, bedrijfsprocess<strong>en</strong> <strong>en</strong><br />
totaal van bedrijfsd<strong>at</strong>a. Bov<strong>en</strong>di<strong>en</strong> stell<strong>en</strong> ze d<strong>at</strong> gebrek aan k<strong>en</strong>nis <strong>bij</strong> e<strong>en</strong><br />
bedrijf of organis<strong>at</strong>ie over de veiligheidsrisico’s van mobiele appar<strong>at</strong><strong>en</strong>, maar ook<br />
interne veiligheidsstandaard<strong>en</strong>, voor serieuze problem<strong>en</strong> kan zorg<strong>en</strong>.<br />
E<strong>en</strong> onwet<strong>en</strong>de gebruiker is volg<strong>en</strong>s Markelj & Bernik het eerste zwakke punt in<br />
elk inform<strong>at</strong>iesysteem, tweede zwakke punt is de afwezigheid van norm<strong>en</strong> m.b.t.<br />
hoe medewerkers hard- <strong>en</strong> software moet<strong>en</strong> gebruik<strong>en</strong>. Door snelle<br />
ontwikkeling<strong>en</strong>, <strong>en</strong> grootschalig gebruik door medewerkers, in de IT is het<br />
noodzaak om op continue basis medewerkers te informer<strong>en</strong> <strong>en</strong><br />
opvoed<strong>en</strong>/onderwijz<strong>en</strong> over de valkuil<strong>en</strong> van moderne technologie. Volg<strong>en</strong>s<br />
Markelj & Bernik moet het doel van elke organis<strong>at</strong>ie zijn om er zeker van te zijn<br />
d<strong>at</strong> IT op veilige manier wordt ingezet <strong>en</strong> gebruikt. Markelj & Bernik do<strong>en</strong> e<strong>en</strong><br />
aantal voorstell<strong>en</strong> voor het verbeter<strong>en</strong> van inform<strong>at</strong>iebeveiliging:<br />
Veiligheidsvoorschrift<strong>en</strong><br />
Mobiele appar<strong>at</strong><strong>en</strong> kunn<strong>en</strong> veilig zijn, <strong>en</strong> gebruikt word<strong>en</strong>, <strong>bij</strong> naleving van e<strong>en</strong><br />
aantal veiligheidsvoorschrift<strong>en</strong>. Deze moet<strong>en</strong> volg<strong>en</strong>s Markelj & Bernik gebaseerd<br />
zijn op de volg<strong>en</strong>de principes:<br />
Betere inform<strong>at</strong>iebeveiliging kan word<strong>en</strong> behaald wanneer e<strong>en</strong> organis<strong>at</strong>ie zelf<br />
zijn eig<strong>en</strong> beveiligingsnorm<strong>en</strong> <strong>en</strong> reglem<strong>en</strong>t<strong>en</strong> definieert.<br />
Beveiligingsreglem<strong>en</strong>t<strong>en</strong> zijn instrum<strong>en</strong>t<strong>en</strong> om te beheers<strong>en</strong>, ze moet<strong>en</strong><br />
functioner<strong>en</strong> als prev<strong>en</strong>tieve ma<strong>at</strong>regel<strong>en</strong> <strong>bij</strong> onverantwoordelijk gebruik van<br />
mobiele appar<strong>at</strong><strong>en</strong> in e<strong>en</strong> zakelijke omgeving.<br />
Beveiligingsreglem<strong>en</strong>t<strong>en</strong> bepal<strong>en</strong> hoe <strong>en</strong> waarom mobiele appar<strong>at</strong><strong>en</strong> gebruikt<br />
kunn<strong>en</strong> word<strong>en</strong>.<br />
Beveiligingsreglem<strong>en</strong>t<strong>en</strong> bepal<strong>en</strong> ook de juridische verantwoordelijkhed<strong>en</strong> van<br />
de medewerker <strong>en</strong>/of de organis<strong>at</strong>ie wanneer schade is ontstaan als gevolg<br />
van onverantwoordelijk gebruik van mobiele appar<strong>at</strong><strong>en</strong>.<br />
Markelj & Bernik zijn van m<strong>en</strong>ing d<strong>at</strong> wanneer het e<strong>en</strong> organis<strong>at</strong>ie lukt om haar<br />
medewerkers te l<strong>at</strong><strong>en</strong> voldo<strong>en</strong> aan de beveiligingsnorm<strong>en</strong> <strong>en</strong> reglem<strong>en</strong>t<strong>en</strong> <strong>bij</strong><br />
gebruik van mobiele appar<strong>at</strong><strong>en</strong>, het dan ook de risico’s van de bl<strong>en</strong>ded thre<strong>at</strong><br />
maximaal beperkt heeft.<br />
Vergelijkbaar met traditionele PC<br />
Om ervoor te kunn<strong>en</strong> zorg<strong>en</strong> d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> veilig zijn, moet<strong>en</strong> volg<strong>en</strong>s<br />
Markelj & Bernik op zijn minst de meest basale beveiligingsma<strong>at</strong>regel<strong>en</strong> van<br />
kracht zijn. Ze stell<strong>en</strong> dan ook d<strong>at</strong> huidige bedreiging<strong>en</strong> van mobiele appar<strong>at</strong><strong>en</strong><br />
vergelijkbaar zijn met die van computers in het algeme<strong>en</strong>. Volg<strong>en</strong>s de auteurs is<br />
de implic<strong>at</strong>ie daarom helder; er zijn str<strong>at</strong>egieën <strong>en</strong> hulpmiddel<strong>en</strong> nodig die<br />
opmerkelijk gelijk zijn aan die al langere tijd gebruikt word<strong>en</strong> <strong>bij</strong> de traditionele<br />
desktop <strong>en</strong> notebook Pc’s. De volg<strong>en</strong>de punt<strong>en</strong> zijn volg<strong>en</strong>s Markelj & Bernik<br />
belangrijke vereist<strong>en</strong> om te kunn<strong>en</strong> werk<strong>en</strong> aan hulpmiddel<strong>en</strong> ter verbetering<br />
van de beveiliging m.b.t. mobiele appar<strong>at</strong><strong>en</strong>:<br />
Pagina | 79
- Malware: anti-malware software voor mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> hun<br />
besturingssystem<strong>en</strong> is beschikbaar, maar niet altijd aan te rad<strong>en</strong>. Het is<br />
nog steeds beter om medewerkers/gebruikers de basale do’s <strong>en</strong> don’ts aan<br />
te ler<strong>en</strong>. D<strong>en</strong>k aan:<br />
niet bezoek<strong>en</strong> van bed<strong>en</strong>kelijke website.<br />
sta niets toe d<strong>at</strong> niet door de IT-afdeling is goedgekeurd.<br />
gebruik managem<strong>en</strong>tsoftware <strong>en</strong> mogelijkhed<strong>en</strong> van moderne<br />
mobiele appar<strong>at</strong><strong>en</strong> zoals aangereikt door de fabrikant, provider of<br />
de organis<strong>at</strong>ie zelf. Doel is om de configur<strong>at</strong>ie van het mobiele<br />
appara<strong>at</strong> te verifiër<strong>en</strong> <strong>en</strong> beher<strong>en</strong>.<br />
- Versleuteling: de netwerk<strong>en</strong> van providers bied<strong>en</strong> adequ<strong>at</strong>e versleuteling<br />
van de draadloze verbinding, maar de rest van de communic<strong>at</strong>ieketting<br />
tuss<strong>en</strong> de softwarecliënt op het mobiele appara<strong>at</strong> <strong>en</strong> de<br />
bedrijfsinform<strong>at</strong>iesystem<strong>en</strong> blijft op<strong>en</strong> <strong>en</strong> dus v<strong>at</strong>baar, t<strong>en</strong>zij uitdrukkelijk<br />
beheerd. Gebruik daarom altijd e<strong>en</strong> VPN-verbinding wanneer er<br />
gevoelige/vertrouwelijke gegev<strong>en</strong>s in het spel zijn. SSL g<strong>en</strong>iet hierin e<strong>en</strong><br />
voorkeursoplossing, maar er zijn talloze andere goede VPN-str<strong>at</strong>egieën<br />
beschikbaar. Bov<strong>en</strong>di<strong>en</strong> moet<strong>en</strong> gevoelige/vertrouwelijke gegev<strong>en</strong>s te<br />
all<strong>en</strong> tijde alle<strong>en</strong> maar toegankelijk <strong>en</strong> beschikbaar zijn voor<br />
geautoriseerde gebruikers. Versleuteling op bestands- <strong>en</strong> volume niveau<br />
moet altijd word<strong>en</strong> gebruikt.<br />
- Auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie: deze vereist<strong>en</strong> sluit<strong>en</strong> goed aan <strong>bij</strong> de<br />
RADIUS 9 of soortgelijke oplossing die veel organis<strong>at</strong>ies al gebruik<strong>en</strong> <strong>bij</strong><br />
toegang op afstand. Het is ook aan te rad<strong>en</strong> om mogelijke, ingebouwde<br />
firewall functionaliteit in het besturingssysteem van het mobiele appara<strong>at</strong><br />
te bemachtig<strong>en</strong>, of aan te zett<strong>en</strong>. Precies zoals dit ook wordt gedaan op<br />
gewone Pc's.<br />
- Fysieke beveiliging: mobiele appar<strong>at</strong><strong>en</strong> rak<strong>en</strong> verlor<strong>en</strong> of word<strong>en</strong> gestol<strong>en</strong>.<br />
Daarom is auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie van groot belang. Software om<br />
mobiele appar<strong>at</strong><strong>en</strong> te beher<strong>en</strong> kan ervoor zorg<strong>en</strong> d<strong>at</strong> het mobiele appara<strong>at</strong><br />
van zich la<strong>at</strong> hor<strong>en</strong>, GPS loc<strong>at</strong>ie doorstuurt of het mobiele appara<strong>at</strong> op<br />
afstand schoon wordt geveegd van bedrijfsgegev<strong>en</strong>s. Het blijft verstandig<br />
om er rek<strong>en</strong>ing mee te houd<strong>en</strong> d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> uit bezit rak<strong>en</strong><br />
(verliez<strong>en</strong>/diefstal), het zal vaker gebeur<strong>en</strong> dan d<strong>at</strong> je d<strong>en</strong>kt.<br />
Zorg<strong>en</strong> voor e<strong>en</strong> hoog niveau van<br />
inform<strong>at</strong>iebeveiliging voor mobiele appar<strong>at</strong><strong>en</strong><br />
Figuur 7 toont welke beveiligingsrisico’s volg<strong>en</strong>s de<br />
auteurs van deze public<strong>at</strong>ie bestaan voor (gebruikers<br />
van) mobiele appar<strong>at</strong><strong>en</strong>, inclusief hoe ze zich er<br />
teg<strong>en</strong> kunn<strong>en</strong> bewap<strong>en</strong><strong>en</strong>. Specifieke<br />
bedreiging<strong>en</strong>/risico’s zijn:<br />
1. Onbevoegde toegang tot gevoelige gegev<strong>en</strong>s die<br />
zijn opgeslag<strong>en</strong> in het appara<strong>at</strong>.<br />
9 Remote Auth<strong>en</strong>tic<strong>at</strong>ion Dial In User Service<br />
Figuur 7: Beveiligingsrisico's<br />
mobiele appar<strong>at</strong><strong>en</strong><br />
Pagina | 80
2. Onbevoegde toegang tot gegev<strong>en</strong>s die zijn opgeslag<strong>en</strong> op bedrijfsnetwerk<strong>en</strong>.<br />
3. Aanvall<strong>en</strong> van kwaadaardige software.<br />
4. De mogelijkheid om de id<strong>en</strong>titeit van e<strong>en</strong><br />
geautoriseerde gebruiker na te boots<strong>en</strong>.<br />
Bescherming teg<strong>en</strong> bl<strong>en</strong>ded thre<strong>at</strong>s kan volg<strong>en</strong>s<br />
Markelj & Bernik alle<strong>en</strong> word<strong>en</strong> behaald wanneer<br />
e<strong>en</strong> bedrijf of organis<strong>at</strong>ie e<strong>en</strong> intern<br />
veiligheidsbeleid heeft die de inform<strong>at</strong>iebeveiliging<br />
kan reguler<strong>en</strong>. In figuur 8 is te zi<strong>en</strong> hoe bepaalde<br />
beveiligingstechniek<strong>en</strong> <strong>en</strong> method<strong>en</strong> kunn<strong>en</strong><br />
word<strong>en</strong> ingezet om de risico’s <strong>en</strong> bedreiging<strong>en</strong><br />
van mobiele appar<strong>at</strong><strong>en</strong> te mitiger<strong>en</strong>.<br />
Conclusies van Markelj & Bernik<br />
Technologische innov<strong>at</strong>ies <strong>en</strong> ontwikkeling<strong>en</strong><br />
hebb<strong>en</strong> e<strong>en</strong> einde gemaakt aan traditionele<br />
werkprocess<strong>en</strong>. Voordel<strong>en</strong> van zakelijk gebruik<br />
van mobiele appar<strong>at</strong><strong>en</strong> spel<strong>en</strong> e<strong>en</strong> belangrijke rol<br />
op de werkvloer, maar zorg<strong>en</strong> ook voor nieuwe Figuur 8: Mitiger<strong>en</strong> van risico's<br />
bedreiging<strong>en</strong> <strong>en</strong> risico’s voor de<br />
inform<strong>at</strong>iebeveiliging van e<strong>en</strong> organis<strong>at</strong>ie. Met dit in het achterhoofd, achtt<strong>en</strong><br />
Markelj & Bernik het noodzakelijk om activiteit<strong>en</strong> <strong>en</strong> werkzaamhed<strong>en</strong> in alle<br />
lag<strong>en</strong> van e<strong>en</strong> bedrijf of organis<strong>at</strong>ie in te plann<strong>en</strong>, die op één of andere manier<br />
verband hebb<strong>en</strong> met het gebruik van mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> geavanceerde<br />
inform<strong>at</strong>ie technologie.<br />
Bov<strong>en</strong>di<strong>en</strong> vind<strong>en</strong> Markelj & Bernik het van belang d<strong>at</strong> werkprocess<strong>en</strong><br />
gestandaardiseerd word<strong>en</strong>, om te bepal<strong>en</strong> welke procedures in overe<strong>en</strong>stemming<br />
zijn met standaard<strong>en</strong> <strong>en</strong> norm<strong>en</strong> op het gebied van inform<strong>at</strong>ie beveiliging (ISO<br />
27001) <strong>en</strong> om e<strong>en</strong> veiligheidsbeleid voor gebruik van mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong><br />
draadloze netwerk<strong>en</strong> in te stell<strong>en</strong>. E<strong>en</strong> belangrijk onderdeel van<br />
inform<strong>at</strong>iebeveiliging is volg<strong>en</strong>s Markelj & Bernik dan ook het <strong>privacy</strong>problem<strong>en</strong>.<br />
Standaard<strong>en</strong> <strong>en</strong> norm<strong>en</strong> moet<strong>en</strong> daarom ook gedefinieerd word<strong>en</strong> binn<strong>en</strong> e<strong>en</strong><br />
bedrijf of organis<strong>at</strong>ie. Technologische ontwikkeling van inform<strong>at</strong>iesystem<strong>en</strong> zijn<br />
gericht op analyser<strong>en</strong> van internetverkeer <strong>en</strong> het gedrag van<br />
inform<strong>at</strong>iesystem<strong>en</strong>. De ontwikkeling<strong>en</strong> zijn erg gefocust op het ontdekk<strong>en</strong> van<br />
discrepanties <strong>en</strong> afwijking<strong>en</strong> van standaard gedrag van internetverkeer of de<br />
inform<strong>at</strong>iesystem<strong>en</strong>. De m<strong>en</strong>selijke factor wordt daar<strong>bij</strong> nog te vaak over het<br />
hoofd gezi<strong>en</strong> concluder<strong>en</strong> Markelj & Bernik in hun public<strong>at</strong>ie. M<strong>en</strong>s<strong>en</strong> gebruik<strong>en</strong><br />
<strong>en</strong> beher<strong>en</strong> immers inform<strong>at</strong>ie technologie, <strong>en</strong> zijn daarmee dus altijd de zwakste<br />
schakel in inform<strong>at</strong>iebeveiliging.<br />
Niet neger<strong>en</strong>, maar onderzoek<strong>en</strong><br />
Het is cruciaal voor organis<strong>at</strong>ies om zich bewust te word<strong>en</strong> d<strong>at</strong> de ontwikkeling<br />
van steeds meer geavanceerde mobiele appar<strong>at</strong><strong>en</strong> niet kan word<strong>en</strong> gestopt. Het<br />
is belangrijk voor organis<strong>at</strong>ies om e<strong>en</strong> constante training <strong>en</strong> opleiding van hun<br />
werknemers aan te bied<strong>en</strong> <strong>en</strong> te faciliter<strong>en</strong>, <strong>en</strong> daarmee de risico’s van<br />
inform<strong>at</strong>iebeveiliging te verlicht<strong>en</strong>. Het is noodzakelijk d<strong>at</strong> organis<strong>at</strong>ies interne<br />
reglem<strong>en</strong>t<strong>en</strong> hebb<strong>en</strong> voor het meest veilige gebruik van mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong>,<br />
Pagina | 81
op basis van hun bestaande technologie, te bepal<strong>en</strong> welke mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong><br />
software het meest geschikt zijn voor h<strong>en</strong>. Gebruik van mobiele appar<strong>at</strong><strong>en</strong> kan<br />
niet word<strong>en</strong> beperkt, alle<strong>en</strong> maar omd<strong>at</strong> ze e<strong>en</strong> inform<strong>at</strong>ieveiligheidsrisico<br />
vorm<strong>en</strong>. Deze nieuwe technologische mogelijkhed<strong>en</strong> moet<strong>en</strong> wel verstandig<br />
word<strong>en</strong> gebruikt <strong>en</strong> ingezet. Markelj & Bernik adviser<strong>en</strong> dan ook:<br />
1. Organis<strong>at</strong>ies moet<strong>en</strong> alle verschill<strong>en</strong>de mobiele appar<strong>at</strong><strong>en</strong>, waarmee<br />
werkzaamhed<strong>en</strong> <strong>en</strong> bedrijfsprocess<strong>en</strong> binn<strong>en</strong> de organis<strong>at</strong>ie kunn<strong>en</strong><br />
word<strong>en</strong> verbeterd, niet neger<strong>en</strong> maar juist onderzoek<strong>en</strong>.<br />
2. Organis<strong>at</strong>ies moet<strong>en</strong> e<strong>en</strong> str<strong>at</strong>egie bepal<strong>en</strong> <strong>en</strong> zich realiser<strong>en</strong> d<strong>at</strong> mobiele<br />
<strong>en</strong> draadloze technologieën onvermijdelijk nieuwe uitdaging<strong>en</strong> op het vlak<br />
van <strong>privacy</strong> <strong>en</strong> veiligheid met zich mee zull<strong>en</strong> br<strong>en</strong>g<strong>en</strong>. Dit vraagt om<br />
nieuw beleid <strong>en</strong> technische beheermiddel<strong>en</strong>. Organis<strong>at</strong>ies moet<strong>en</strong> daar<strong>bij</strong><br />
niet verget<strong>en</strong> om appara<strong>at</strong> eig<strong>en</strong>dom, ondersteuning <strong>en</strong> onderhoud hierin<br />
op te nem<strong>en</strong>.<br />
3. Organis<strong>at</strong>ies moet<strong>en</strong> <strong>bij</strong> de integr<strong>at</strong>ie van mobiele appar<strong>at</strong><strong>en</strong> zoveel<br />
mogelijk gebruik mak<strong>en</strong> van al bestaande standaard<strong>en</strong>.<br />
4. Organis<strong>at</strong>ies moet<strong>en</strong> blijv<strong>en</strong> bewak<strong>en</strong> <strong>en</strong> beher<strong>en</strong>.<br />
Nieuwe mobiele appar<strong>at</strong><strong>en</strong>, <strong>en</strong> software daarvoor, word<strong>en</strong> in rap tempo<br />
ontwikkeld; dit proces is onvoorspelbaar. Het is dan ook van cruciaal belang om<br />
e<strong>en</strong> flexibel <strong>en</strong> veilig inform<strong>at</strong>iesysteem te handhav<strong>en</strong>. De huidige<br />
veiligheidsma<strong>at</strong>regel<strong>en</strong> hebb<strong>en</strong> de neiging om slechts gedeeltelijk betrekking te<br />
hebb<strong>en</strong> op mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> de <strong>bij</strong>behor<strong>en</strong>de software volg<strong>en</strong>s Markelj &<br />
Bernik. Op dit mom<strong>en</strong>t is er volg<strong>en</strong>s Markelj & Bernik nog ge<strong>en</strong> systeem d<strong>at</strong><br />
organis<strong>at</strong>ies in sta<strong>at</strong> stelt om de prest<strong>at</strong>ies van hun inform<strong>at</strong>iesystem<strong>en</strong> te<br />
monitor<strong>en</strong> met betrekking tot de toegang <strong>en</strong> d<strong>at</strong>aoverdracht via mobiele<br />
appar<strong>at</strong><strong>en</strong>.<br />
[2] Anderson, E., & Choobineh, J. (2008). Enterprise inform<strong>at</strong>ion<br />
security str<strong>at</strong>egies. Computers & <strong>Security</strong>, 27(1-2), 22-29.<br />
Original public<strong>at</strong>ion abstract<br />
<strong>Security</strong> decisions are made <strong>at</strong> every level of an organiz<strong>at</strong>ion and from diverse<br />
perspectives. At the tactical and oper<strong>at</strong>ional levels of an organiz<strong>at</strong>ion, decision<br />
making focuses on the optimiz<strong>at</strong>ion of security resources, th<strong>at</strong> is, an integr<strong>at</strong>ed<br />
combin<strong>at</strong>ion of plans, personnel, procedures, guidelines and technology th<strong>at</strong><br />
minimize damages and losses. While these actions and tactics reduce the<br />
frequ<strong>en</strong>cy and/or consequ<strong>en</strong>ces of security breaches, they are bounded by the<br />
organiz<strong>at</strong>ion’s global security budget. At the str<strong>at</strong>egic, <strong>en</strong>terprise level<br />
managem<strong>en</strong>t must answer the question, ‘‘Wh<strong>at</strong> is the security budget (cost<br />
exp<strong>en</strong>ditures), where each dollar sp<strong>en</strong>t on security must be weighed against<br />
altern<strong>at</strong>ive non-security exp<strong>en</strong>ditures, th<strong>at</strong> is justified by the foregone<br />
(prev<strong>en</strong>ted) losses and damages?’’ The answer to th<strong>at</strong> question dep<strong>en</strong>ds on the<br />
tolerances of decision makers for risk and the inform<strong>at</strong>ion employed to reach it.<br />
Pagina | 82
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
Deze public<strong>at</strong>ie ga<strong>at</strong> over (inform<strong>at</strong>ion) assets van organis<strong>at</strong>ies, de<br />
kwetsbaarheid ervan waarom je ze moet bescherm<strong>en</strong> <strong>en</strong> de kost<strong>en</strong> die ermee<br />
gepaard gaan. De auteurs stell<strong>en</strong> bov<strong>en</strong>di<strong>en</strong> d<strong>at</strong> besluit<strong>en</strong> rondom beveiliging<br />
van deze inform<strong>at</strong>ion assets word<strong>en</strong> gemaakt op alle niveaus binn<strong>en</strong> e<strong>en</strong><br />
organis<strong>at</strong>ie. Op str<strong>at</strong>egisch niveau word<strong>en</strong> kost<strong>en</strong> <strong>en</strong> b<strong>at</strong><strong>en</strong> teg<strong>en</strong> elkaar afgezet<br />
terwijl op tactisch <strong>en</strong> oper<strong>at</strong>ioneel niveau wordt bepaald hoe zo efficiënt <strong>en</strong><br />
optimaal effectief als mogelijk met de gekoz<strong>en</strong> resources kunn<strong>en</strong> word<strong>en</strong> ingezet.<br />
De auteurs beschrijv<strong>en</strong> het ontstaan van inform<strong>at</strong>iebeveiliging vanuit de<br />
geschied<strong>en</strong>is <strong>en</strong> hoe de afgelop<strong>en</strong> jar<strong>en</strong> de k<strong>en</strong>nis <strong>en</strong> bewustwording is gegroeid.<br />
Toch heeft de huidige stand van zak<strong>en</strong> (best practices) drie belangrijke<br />
beperking<strong>en</strong> volg<strong>en</strong>s de auteurs:<br />
1. Ze richt<strong>en</strong> zich vooral op het incid<strong>en</strong>t <strong>en</strong> de karakterisering daarvan, <strong>en</strong> de<br />
combin<strong>at</strong>ie van dreiging <strong>en</strong> kwetsbaarheid die kan leid<strong>en</strong> tot mogelijke<br />
verliez<strong>en</strong>. Er wordt beslot<strong>en</strong> op basis van de oplossing<strong>en</strong>, niet op basis van<br />
kost<strong>en</strong> <strong>en</strong> resources versus andere, altern<strong>at</strong>ieve manier<strong>en</strong> ter bescherming<br />
van assets.<br />
2. Ze bev<strong>at</strong>t<strong>en</strong> ge<strong>en</strong> organis<strong>at</strong>iebreed perspectief.<br />
3. Bestaande security richtlijn<strong>en</strong>, voorschrift<strong>en</strong> <strong>en</strong> best practices houd<strong>en</strong><br />
rek<strong>en</strong>ing met e<strong>en</strong> oper<strong>at</strong>ioneel uitzicht op risico’s <strong>en</strong> niet str<strong>at</strong>egisch.<br />
De auteurs stell<strong>en</strong>, ondanks d<strong>at</strong> inform<strong>at</strong>iebeveiliging <strong>bij</strong> organis<strong>at</strong>ies op alle<br />
niveaus speelt <strong>en</strong> verdeeld is over middel<strong>en</strong> als het beleid, tools, technologie,<br />
procedures <strong>en</strong> personeel, het op managem<strong>en</strong>tniveau e<strong>en</strong> andere kwestie is. De<br />
vraag die op str<strong>at</strong>egisch niveau gesteld moet word<strong>en</strong> is, w<strong>at</strong> het optimale budget<br />
is om verliez<strong>en</strong> te minimaliser<strong>en</strong>. Het doel op str<strong>at</strong>egisch niveau is dan ook om<br />
zo weinig mogelijk geld eraan te sp<strong>en</strong>der<strong>en</strong>. Het doel op tactisch <strong>en</strong> oper<strong>at</strong>ioneel<br />
niveau is juist om zoveel mogelijk geld vrij te krijg<strong>en</strong> zod<strong>at</strong> de kans kleiner<br />
maakt d<strong>at</strong> er ingebrok<strong>en</strong> wordt of gevoelige inform<strong>at</strong>ie uitlekt.<br />
De auteurs zijn van m<strong>en</strong>ing d<strong>at</strong> voor e<strong>en</strong> succesvolle implem<strong>en</strong>t<strong>at</strong>ie van best<br />
practices inform<strong>at</strong>ie nodig is net zoals steun <strong>en</strong> leiderschap van het<br />
managem<strong>en</strong>t. Beslissing<strong>en</strong> <strong>en</strong> actiepunt<strong>en</strong> moet<strong>en</strong>, om effectief te zijn, word<strong>en</strong><br />
gebaseerd op gegev<strong>en</strong>s <strong>en</strong> inform<strong>at</strong>ie m.b.t. assets <strong>en</strong> de process<strong>en</strong> die<br />
beschermd moet<strong>en</strong> word<strong>en</strong>. Ook moet gekek<strong>en</strong> word<strong>en</strong> naar de impact van<br />
inform<strong>at</strong>ieverlies <strong>en</strong> de kans d<strong>at</strong> dit voor kan kom<strong>en</strong>. De kost<strong>en</strong> moet<strong>en</strong> ook niet<br />
uit het oog word<strong>en</strong> verlor<strong>en</strong> volg<strong>en</strong>s de auteurs. Ze vind<strong>en</strong> bov<strong>en</strong>di<strong>en</strong> d<strong>at</strong> het<br />
managem<strong>en</strong>t in sta<strong>at</strong> moet zijn om de huidige st<strong>at</strong>us van id<strong>en</strong>tificer<strong>en</strong>de <strong>en</strong><br />
bescherm<strong>en</strong>de ma<strong>at</strong>regel<strong>en</strong> te kunn<strong>en</strong> evaluer<strong>en</strong> om te kunn<strong>en</strong> beoordel<strong>en</strong> of ze<br />
strok<strong>en</strong> met de vooraf besprok<strong>en</strong> beveiligingsplann<strong>en</strong>, ook om zwakhed<strong>en</strong> voor<br />
de toekomst te onderk<strong>en</strong>n<strong>en</strong>. De implem<strong>en</strong>t<strong>at</strong>ie van inform<strong>at</strong>iebeveiliging moet<br />
bov<strong>en</strong>di<strong>en</strong> volg<strong>en</strong>de de auteurs niet word<strong>en</strong> gezi<strong>en</strong> als e<strong>en</strong> st<strong>at</strong>ische uitvoering<br />
van plann<strong>en</strong>. Inform<strong>at</strong>iebeveiliging moet werk<strong>en</strong> met metriek<strong>en</strong>, periodieke<br />
herzi<strong>en</strong>ing van de plann<strong>en</strong> <strong>en</strong> aanmoediging<strong>en</strong> om de doelstelling<strong>en</strong> te behal<strong>en</strong>.<br />
Pagina | 83
[3] Shabtai, A., Kanonov, U., & Elovici, Y. (2010). Intrusion detection<br />
for mobile devices using the knowledge-based, temporal abstraction<br />
method. Journal of Systems and Software, 83(8), 1524-1537.<br />
Original public<strong>at</strong>ion abstract<br />
In this paper, a new approach for detecting previously un<strong>en</strong>countered malware<br />
targeting mobile device is proposed. In the proposed approach, time-stamped<br />
security d<strong>at</strong>a is continuously monitored within the target mobile device (i.e.,<br />
smartphones, PDAs) and th<strong>en</strong> processed by the knowledge-based temporal<br />
abstraction (KBTA) methodology. Using KBTA, continuously measured d<strong>at</strong>a (e.g.,<br />
the number of s<strong>en</strong>t SMSs) and ev<strong>en</strong>ts (e.g., software install<strong>at</strong>ion) are integr<strong>at</strong>ed<br />
with a mobile device security domain knowledge-base (i.e., an ontology for<br />
abstracting meaningful p<strong>at</strong>terns from raw, time-ori<strong>en</strong>ted security d<strong>at</strong>a), to cre<strong>at</strong>e<br />
higher level, time-ori<strong>en</strong>ted concepts and p<strong>at</strong>terns, also known as temporal<br />
abstractions. Autom<strong>at</strong>ically-g<strong>en</strong>er<strong>at</strong>ed temporal abstractions are th<strong>en</strong> monitored<br />
to detect suspicious temporal p<strong>at</strong>terns and to issue an alert. These p<strong>at</strong>terns are<br />
comp<strong>at</strong>ible with a set of predefined classes of malware as defined by a security<br />
expert (or the owner) employing a set of time and value constraints. The goal is<br />
to id<strong>en</strong>tify malicious behavior th<strong>at</strong> other def<strong>en</strong>sive technologies (e.g., antivirus or<br />
firewall) failed to detect. Since the abstraction deriv<strong>at</strong>ion process is complex, the<br />
KBTA method was adapted for mobile devices th<strong>at</strong> are limited in resources (i.e.,<br />
CPU, memory, b<strong>at</strong>tery). To evalu<strong>at</strong>e the proposed modified KBTA method a<br />
lightweight host-based intrusion detection system (HIDS), combined with c<strong>en</strong>tral<br />
managem<strong>en</strong>t capabilities for Android-based mobile phones, was developed.<br />
Evalu<strong>at</strong>ion results demonstr<strong>at</strong>ed the effectiv<strong>en</strong>ess of the new approach in<br />
detecting malicious applic<strong>at</strong>ions on mobile devices (detection r<strong>at</strong>e above 94% in<br />
most sc<strong>en</strong>arios) and the feasibility of running such a system on mobile devices<br />
(CPU consumption was 3% on average).<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs van deze public<strong>at</strong>ie beschrijv<strong>en</strong> e<strong>en</strong> nieuwe manier om onbek<strong>en</strong>de<br />
malware, gericht op mobiele appar<strong>at</strong><strong>en</strong>, te onderschepp<strong>en</strong>. De voordel<strong>en</strong> van<br />
kleine mobiele appar<strong>at</strong><strong>en</strong> word<strong>en</strong> kort beschrev<strong>en</strong> ev<strong>en</strong>als de <strong>bij</strong>behor<strong>en</strong>de<br />
risico’s, waarvan de meeste volg<strong>en</strong>de de auteurs bek<strong>en</strong>d zijn vanuit de PComgeving.<br />
G<strong>en</strong>erieke PC beveiliging wordt dan ook in compactere <strong>en</strong> aangepaste<br />
vorm teruggevond<strong>en</strong> op modern mobiele appar<strong>at</strong><strong>en</strong>. Toch voldoet dit niet, dus<br />
pres<strong>en</strong>ter<strong>en</strong> de auteurs e<strong>en</strong> innov<strong>at</strong>ieve manier om malware te id<strong>en</strong>tificer<strong>en</strong>.<br />
De public<strong>at</strong>ie toont eerder uitgevoerd academisch onderzoek (zie tabel 8) over<br />
beveiliging van mobiele appar<strong>at</strong><strong>en</strong> die vooral ga<strong>at</strong> over detectie <strong>en</strong> id<strong>en</strong>tific<strong>at</strong>ie<br />
van malware <strong>en</strong> digitale aanvall<strong>en</strong>.<br />
Pagina | 84
Tabel 8: Eerder uitgevoerd academisch onderzoek<br />
Daarnaast beschrijv<strong>en</strong> de auteurs in deze public<strong>at</strong>ie het proces waarmee<br />
malware toegang krijgt tot e<strong>en</strong> mobile appara<strong>at</strong>, zoals e<strong>en</strong> Android smartphone.<br />
Zie figuur 9.<br />
Figuur 9: Smartphone wordt besmet met malware door PC<br />
Pagina | 85
[4] Kim, W., Jeong, O.-R., Kim, C., & So, J. (2011). The dark side of the<br />
Internet: Attacks, costs and responses. Inform<strong>at</strong>ion Systems, 36(3),<br />
675-705.<br />
Original public<strong>at</strong>ion abstract<br />
The Internet and Web technologies have originally be<strong>en</strong> developed assuming an<br />
ideal world where all users are honorable. However, the dark side has emerged<br />
and bedeviled the world. This includes spam, malware, hacking, phishing, d<strong>en</strong>ial<br />
of service <strong>at</strong>tacks, click fraud, invasion of <strong>privacy</strong>, defam<strong>at</strong>ion, frauds, viol<strong>at</strong>ion<br />
of digital property rights, etc. The responses to the dark side of the Internet have<br />
included technologies, legisl<strong>at</strong>ion, law <strong>en</strong>forcem<strong>en</strong>t, litig<strong>at</strong>ion, public awar<strong>en</strong>ess<br />
efforts, etc. In this paper, we explore and provide taxonomies of the causes and<br />
costs of the <strong>at</strong>tacks, and types of responses to the <strong>at</strong>tacks.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
Deze omvangrijke public<strong>at</strong>ie beschrijft op uitgebreide wijze de keerzijde, de<br />
donkere kant<strong>en</strong>, van het internet <strong>en</strong> w<strong>at</strong> voor teg<strong>en</strong>ma<strong>at</strong>regel<strong>en</strong> getroff<strong>en</strong><br />
kunn<strong>en</strong> word<strong>en</strong>. De auteurs verk<strong>en</strong>n<strong>en</strong> de oorzak<strong>en</strong> <strong>en</strong> de kost<strong>en</strong> van<br />
cyberaanvall<strong>en</strong> <strong>en</strong> de verschill<strong>en</strong>de manier<strong>en</strong> waar hierop gereageerd kan<br />
word<strong>en</strong>. De auteurs pres<strong>en</strong>ter<strong>en</strong> in deze public<strong>at</strong>ie e<strong>en</strong> overzicht van risico’s van<br />
het Internet <strong>en</strong> groeper<strong>en</strong> ze vervolg<strong>en</strong>s in technisch <strong>en</strong> niet-technische aard.<br />
Tabel 9: Taxonomie<br />
Vervolg<strong>en</strong>s b<strong>en</strong>oem<strong>en</strong> <strong>en</strong> definiër<strong>en</strong> de auteurs zeer uitgebreid zev<strong>en</strong><br />
technologische <strong>en</strong> acht niet-technologische neg<strong>at</strong>ieve elem<strong>en</strong>t<strong>en</strong> van Internet:<br />
Technologisch<br />
1. Spam<br />
2. Malware<br />
3. Hack<strong>en</strong><br />
4. D<strong>en</strong>ial of Service (DoS) aanvall<strong>en</strong><br />
5. Phishing<br />
6. Click fraude<br />
7. Overtreding van digitale eig<strong>en</strong>domsrecht<strong>en</strong><br />
Tabel 10: Mogelijke schade<br />
Pagina | 86
Niet-technologisch<br />
1. Online diefstal<br />
2. Online oplichting <strong>en</strong> fraude<br />
3. Fysieke schade aan m<strong>en</strong>s<strong>en</strong><br />
4. Pest<strong>en</strong><br />
5. Laster <strong>en</strong> inbreuk op <strong>privacy</strong><br />
6. Ondersteuning <strong>en</strong> help<strong>en</strong> van criminaliteit<br />
7. Illegaal online gokk<strong>en</strong><br />
8. Andere alomteg<strong>en</strong>woordig verwerpelijk gedrag (overige)<br />
De auteurs beschrijv<strong>en</strong> vervolg<strong>en</strong>s vijf oorzak<strong>en</strong> waarom m<strong>en</strong>s<strong>en</strong> het internet<br />
gebruik<strong>en</strong> voor illegale <strong>en</strong> criminele doeleind<strong>en</strong>, ev<strong>en</strong>als de psychologische<br />
oorzak<strong>en</strong> erachter.<br />
Tabel 11: Motiv<strong>at</strong>ie<br />
Tabel 12: Psychologische<br />
elem<strong>en</strong>t<strong>en</strong><br />
De auteurs beschrijv<strong>en</strong> verder uitgebreid per<br />
technologisch, <strong>en</strong> niet-technologische neg<strong>at</strong>ieve elem<strong>en</strong>t<strong>en</strong> van internet welke<br />
soort<strong>en</strong> er bestaan (vari<strong>at</strong>ies, subgroep<strong>en</strong>), hoe ze werk<strong>en</strong>, ze zich<br />
onderscheid<strong>en</strong> <strong>en</strong> welke manier<strong>en</strong> of techniek<strong>en</strong> er bestaan om ze te mitiger<strong>en</strong>,<br />
inclusief hoe effectief ze (kunn<strong>en</strong>) zijn.<br />
[5] Dlamini, M. T., Eloff, J. H. P., & Eloff, M. M. (2009). Inform<strong>at</strong>ion<br />
security: The moving target. Computers & <strong>Security</strong>, 28(3-4), 189-198.<br />
Original public<strong>at</strong>ion abstract<br />
Inform<strong>at</strong>ion security has evolved from addressing minor and harmless security<br />
breaches to managing those with a huge impact on organiz<strong>at</strong>ions' economic<br />
growth. This paper investig<strong>at</strong>es the evolution of inform<strong>at</strong>ion security; where it<br />
came from, where it is today and the direction in which it is moving. It is argued<br />
th<strong>at</strong> inform<strong>at</strong>ion security is not about looking <strong>at</strong> the past in anger of an <strong>at</strong>tack<br />
once faced; neither is it about looking <strong>at</strong> the pres<strong>en</strong>t in fear of being <strong>at</strong>tacked;<br />
nor about looking <strong>at</strong> the future with uncertainty about wh<strong>at</strong> might befall us. The<br />
message is th<strong>at</strong> organiz<strong>at</strong>ions and individuals must be alert <strong>at</strong> all times.<br />
Research conducted for this paper explored liter<strong>at</strong>ure on past security issues to<br />
set the sc<strong>en</strong>e. This is followed by the assessm<strong>en</strong>t and analysis of inform<strong>at</strong>ion<br />
security public<strong>at</strong>ions in conjunction with surveys conducted in industry. Results<br />
obtained are compared and analyzed, <strong>en</strong>abling the developm<strong>en</strong>t of a<br />
compreh<strong>en</strong>sive view regarding the curr<strong>en</strong>t st<strong>at</strong>us of the inform<strong>at</strong>ion security<br />
landscape. Furthermore, this paper also highlights critical inform<strong>at</strong>ion security<br />
issues th<strong>at</strong> are being overlooked or not being addressed by research efforts<br />
curr<strong>en</strong>tly undertak<strong>en</strong>. New research efforts are required th<strong>at</strong> minimize the gap<br />
betwe<strong>en</strong> regul<strong>at</strong>ory issues and technical implem<strong>en</strong>t<strong>at</strong>ions.<br />
Pagina | 87
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
Deze <strong>en</strong>igszins verouderde public<strong>at</strong>ie uit 2008, beschrijft de ontwikkeling van<br />
inform<strong>at</strong>iebeveiliging <strong>bij</strong> computers vanaf de jar<strong>en</strong> 40 tot 2008, inclusief <strong>en</strong> het<br />
to<strong>en</strong>em<strong>en</strong>de belang ervan voor (de economische groei van) organis<strong>at</strong>ies. De<br />
auteurs besprek<strong>en</strong> e<strong>en</strong> aantal historische beveiligingsincid<strong>en</strong>t<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong><br />
beoordel<strong>en</strong> <strong>en</strong> analyser<strong>en</strong> de auteurs eerdere beveiliging gerel<strong>at</strong>eerde public<strong>at</strong>ies<br />
in combin<strong>at</strong>ie met e<strong>en</strong> door h<strong>en</strong> zelf uitgevoerde <strong>en</strong>quête. De auteurs b<strong>en</strong>oem<strong>en</strong><br />
tev<strong>en</strong>s beveiligingsaspect<strong>en</strong> die over het hoofd zijn gezi<strong>en</strong> of niet besprok<strong>en</strong> zijn<br />
in academische public<strong>at</strong>ies.<br />
De auteurs citer<strong>en</strong> e<strong>en</strong> uitspraak van Bruce Schneier uit 2008 waarin hij zegt d<strong>at</strong><br />
er e<strong>en</strong> verschuiving heeft pla<strong>at</strong>sgevond<strong>en</strong> waar<strong>bij</strong> serieuze computercriminel<strong>en</strong><br />
niet meer de machines zelf als doelwit hebb<strong>en</strong>, maar de m<strong>en</strong>s<strong>en</strong> die ermee<br />
werk<strong>en</strong>. Ook de motiev<strong>en</strong> zijn veranderd, van gewoon w<strong>at</strong> lol naar serieus<br />
financieel gewin. Hackers zijn volg<strong>en</strong>s de auteurs geëvolueerd van slechts l<strong>at</strong><strong>en</strong><br />
zi<strong>en</strong> d<strong>at</strong> e<strong>en</strong> auth<strong>en</strong>tic<strong>at</strong>ieproces te omzeil<strong>en</strong> is, naar het ook daadwerkelijk<br />
uitbuit<strong>en</strong> daarvan. Het resulta<strong>at</strong> zijn inform<strong>at</strong>iebeveiligingsbedreiging<strong>en</strong> zoals<br />
id<strong>en</strong>titeitsdiefstal, social <strong>en</strong>gineering <strong>en</strong> phishing. Ook viruss<strong>en</strong>, aanvall<strong>en</strong>,<br />
worm<strong>en</strong> etc. zijn complexer geword<strong>en</strong> <strong>en</strong> daardoor e<strong>en</strong> serieuze bedreiging voor<br />
organis<strong>at</strong>ies, medewerkers <strong>en</strong> individu<strong>en</strong>. De auteurs hebb<strong>en</strong> onderzoek gedaan<br />
naar tr<strong>en</strong>ds in inform<strong>at</strong>iebeveiliging door veel journals <strong>en</strong> wet<strong>en</strong>schappelijke<br />
artikel<strong>en</strong> te bestuder<strong>en</strong> ev<strong>en</strong>als reeds uitgevoerde onderzoek<strong>en</strong> door de CSI/FBI<br />
<strong>en</strong> SANS instituut. Het resulta<strong>at</strong> is de top vijf in onderstaande tabel van<br />
probleem/aandachtsgebied<strong>en</strong> voor de toekomst.<br />
Tabel 13: Belangrijkste probleemgebied<strong>en</strong><br />
De auteurs b<strong>en</strong>adrukk<strong>en</strong> richting het einde van het artikel d<strong>at</strong> uit hun onderzoek<br />
blijkt d<strong>at</strong> de m<strong>en</strong>selijke factor (zoals bewustwording) sterk onderbelicht is. Ze<br />
opper<strong>en</strong> d<strong>at</strong> organis<strong>at</strong>ies goed moet<strong>en</strong> begrijp<strong>en</strong> d<strong>at</strong> zelfs de beste<br />
beveiligingstechnologieën ge<strong>en</strong> adequ<strong>at</strong>e bescherming bied<strong>en</strong> teg<strong>en</strong> o.a. social<br />
<strong>en</strong>gineering. Erger nog, ze kunn<strong>en</strong> volg<strong>en</strong>s de auteurs niet e<strong>en</strong>s voorkom<strong>en</strong> d<strong>at</strong><br />
e<strong>en</strong> wildvreemde e<strong>en</strong> bedrijfsgebouw binn<strong>en</strong>loopt <strong>en</strong> met e<strong>en</strong> notebook vol met<br />
gevoelige d<strong>at</strong>a weer het gebouw uitloopt. Daarom vind<strong>en</strong> de auteurs het dan ook<br />
belangrijk d<strong>at</strong> bewustwording e<strong>en</strong> onderdeel moet zijn van de gehele<br />
beveiligings-str<strong>at</strong>egie. E<strong>en</strong> goed opgezette <strong>en</strong> uitgevoerde<br />
bewustwordingscampagne zou volg<strong>en</strong>s de auteurs help<strong>en</strong>. De auteurs<br />
concluder<strong>en</strong> d<strong>at</strong> het landschap van moderne inform<strong>at</strong>iebeveiliging steeds meer<br />
e<strong>en</strong> str<strong>at</strong>egische aangeleg<strong>en</strong>heid wordt. De str<strong>at</strong>egische, multidisciplinaire<br />
aanpak op inform<strong>at</strong>ietechnologie wordt volg<strong>en</strong>s de auteurs ook wel Inform<strong>at</strong>ion<br />
Pagina | 88
<strong>Security</strong> Governance g<strong>en</strong>oemd. De auteurs zijn bov<strong>en</strong>di<strong>en</strong> van m<strong>en</strong>ing d<strong>at</strong><br />
nieuwe b<strong>en</strong>adering<strong>en</strong> in onderzoek nodig zijn om het g<strong>at</strong> te dicht<strong>en</strong> tuss<strong>en</strong><br />
regelgeving <strong>en</strong>erzijds <strong>en</strong> technische implem<strong>en</strong>t<strong>at</strong>ies anderzijds.<br />
[6] Da Veiga, A., & Eloff, J. H. P. (2010). A framework and assessm<strong>en</strong>t<br />
instrum<strong>en</strong>t for inform<strong>at</strong>ion security culture. Computers & <strong>Security</strong>,<br />
29(2), 196-207.<br />
Original public<strong>at</strong>ion abstract<br />
An organis<strong>at</strong>ion’s approach to inform<strong>at</strong>ion security should focus on employee<br />
behaviour, as the organis<strong>at</strong>ion’s success or failure effectively dep<strong>en</strong>ds on the<br />
things th<strong>at</strong> its employees do or fail to do. An inform<strong>at</strong>ion security-aware culture<br />
will minimise risks to inform<strong>at</strong>ion assets and specifically reduce the risk of<br />
employee misbehaviour and harmful interaction with inform<strong>at</strong>ion assets.<br />
Organis<strong>at</strong>ions require guidance in establishing an inform<strong>at</strong>ion security-aware or<br />
implem<strong>en</strong>ting an acceptable inform<strong>at</strong>ion security culture. They need to measure<br />
and report on the st<strong>at</strong>e of inform<strong>at</strong>ion security culture in the organis<strong>at</strong>ion.<br />
Various approaches exist to address the thre<strong>at</strong>s th<strong>at</strong> employee behaviour could<br />
pose. However, these approaches do not focus specifically on the interaction<br />
betwe<strong>en</strong> the behaviour of an employee and the culture in an organis<strong>at</strong>ion.<br />
Organis<strong>at</strong>ions therefore have need of a compreh<strong>en</strong>sive framework to cultiv<strong>at</strong>e a<br />
security-aware culture. The objective of this paper is to propose a framework to<br />
cultiv<strong>at</strong>e an inform<strong>at</strong>ion security culture within an organis<strong>at</strong>ion and to illustr<strong>at</strong>e<br />
how to use it. An empirical study is performed to aid in valid<strong>at</strong>ing the proposed<br />
Inform<strong>at</strong>ion <strong>Security</strong> Culture Framework.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs van deze<br />
public<strong>at</strong>ie zijn van m<strong>en</strong>ing<br />
d<strong>at</strong> e<strong>en</strong> organis<strong>at</strong>ie zich<br />
moet richt<strong>en</strong> op het gedrag<br />
<strong>en</strong> de bewustwording van<br />
medewerkers om zo de<br />
risico’s m.b.t. inform<strong>at</strong>ion<br />
assets te minimaliser<strong>en</strong>. Er<br />
zijn volg<strong>en</strong>s deze public<strong>at</strong>ie al<br />
Figuur 10: Gedrag <strong>en</strong> cultuur<br />
poging<strong>en</strong> gedaan om de mogelijke<br />
risico’s van medewerkersgedrag te mitiger<strong>en</strong>, maar deze war<strong>en</strong> beperkt.<br />
Deze public<strong>at</strong>ie pres<strong>en</strong>teert e<strong>en</strong> handv<strong>at</strong> (kader) voor organis<strong>at</strong>ies om de<br />
bewustwording binn<strong>en</strong> e<strong>en</strong> bedrijf te verbeter<strong>en</strong>. De auteurs besprek<strong>en</strong> in deze<br />
public<strong>at</strong>ie eerder uitgevoerd onderzoek, de rol van de ISO 27002 standaard, w<strong>at</strong><br />
e<strong>en</strong> Inform<strong>at</strong>ion <strong>Security</strong> Culture Framework (ISCF) is <strong>en</strong> waar het uit zou<br />
moet<strong>en</strong> bestaan. Volg<strong>en</strong>s de auteurs is de cultuur e<strong>en</strong>voudig te beschrijv<strong>en</strong> als<br />
“de manier waarop ding<strong>en</strong> binn<strong>en</strong> e<strong>en</strong> bedrijf gebeur<strong>en</strong>”.<br />
Pagina | 89
Hieronder is de rel<strong>at</strong>ie volg<strong>en</strong>s de auteurs te zi<strong>en</strong> tuss<strong>en</strong> de compon<strong>en</strong>t<strong>en</strong> van<br />
e<strong>en</strong> inform<strong>at</strong>ie beveiliging, het gedrag als resulta<strong>at</strong> daarvan <strong>en</strong> de cultuur binn<strong>en</strong><br />
e<strong>en</strong> bedrijf als eindresulta<strong>at</strong>. De auteurs gev<strong>en</strong> in deze public<strong>at</strong>ie e<strong>en</strong> voorbeeld<br />
van hoe e<strong>en</strong> Inform<strong>at</strong>ion <strong>Security</strong> Culture Framework (ISCF) eruit zou kunn<strong>en</strong><br />
zi<strong>en</strong>.<br />
De auteurs stell<strong>en</strong> d<strong>at</strong> het doel van e<strong>en</strong> ISCF is om de organis<strong>at</strong>ie te help<strong>en</strong> <strong>bij</strong><br />
het implem<strong>en</strong>ter<strong>en</strong> van inform<strong>at</strong>iebeveiliging, op dusdanige manier d<strong>at</strong> het e<strong>en</strong><br />
directe positieve invloed heeft op de medewerkers zod<strong>at</strong> de inform<strong>at</strong>ion assets<br />
optimaal beschermd word<strong>en</strong>. Het framework (kader) moet door het str<strong>at</strong>egische<br />
managem<strong>en</strong>t word<strong>en</strong> ingezet om tot de betreff<strong>en</strong>de bedrijfscultuur te kom<strong>en</strong>,<br />
volg<strong>en</strong>s de auteurs.<br />
Figuur 11: Voorbeeld van e<strong>en</strong> Inform<strong>at</strong>ion <strong>Security</strong> Culture Framework<br />
[7] Boukerche, A., & R<strong>en</strong>, Y. (2008). A trust-based security system for<br />
ubiquitous and pervasive computing <strong>en</strong>vironm<strong>en</strong>ts. Computer<br />
Communic<strong>at</strong>ions, 31(18), 4343-4351.<br />
Original public<strong>at</strong>ion abstract<br />
Traditionally, auth<strong>en</strong>tic<strong>at</strong>ion and access control based users are the main<br />
methods used to provide security for individual computers and small networks.<br />
However, now th<strong>at</strong> pervasive computing is <strong>en</strong>compassing new technologies and<br />
<strong>at</strong>tracting more interest, these str<strong>at</strong>egies are inadequ<strong>at</strong>e for meeting the special<br />
characteristics of ubiquitous and pervasive computing <strong>en</strong>vironm<strong>en</strong>ts because<br />
such distributed systems lack c<strong>en</strong>tral control and have flexible topologies.<br />
Malicious nodes are a major thre<strong>at</strong> during the construction of a reliable pervasive<br />
network. A reput<strong>at</strong>ion-based trust system can track the behavior of nodes and<br />
thereby proceed by rewarding well-behaved nodes and punishing misbehaving<br />
ones. In this paper, we propose a security system based on trust managem<strong>en</strong>t<br />
th<strong>at</strong> involves developing a trust model, assigning cred<strong>en</strong>tials to nodes, upd<strong>at</strong>ing<br />
priv<strong>at</strong>e keys, managing the trust value of each node, and making appropri<strong>at</strong>e<br />
decisions about nodes’ access rights. Through the pres<strong>en</strong>t<strong>at</strong>ion of a formal<br />
security analysis of the trust system, we verify th<strong>at</strong> the st<strong>at</strong>ed goals are achieved<br />
and th<strong>at</strong> malicious nodes can be effectively excluded from ubiquitous and<br />
pervasive computing <strong>en</strong>vironm<strong>en</strong>ts.<br />
Pagina | 90
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs pres<strong>en</strong>ter<strong>en</strong> e<strong>en</strong> nieuwe manier om mobiele appar<strong>at</strong><strong>en</strong> te<br />
bescherm<strong>en</strong>. Deze nieuwe manier heeft te mak<strong>en</strong> met e<strong>en</strong> vertrouw<strong>en</strong>salgoritme<br />
tuss<strong>en</strong> (mobiele) appar<strong>at</strong><strong>en</strong> onderling. Mobiele appar<strong>at</strong><strong>en</strong> die verdachte<br />
activiteit<strong>en</strong> uitvoer<strong>en</strong>, ontvang<strong>en</strong> e<strong>en</strong> lagere vertrouw<strong>en</strong>sr<strong>at</strong>ing <strong>en</strong> zull<strong>en</strong><br />
uiteindelijk geblokkeerd/buit<strong>en</strong>geslot<strong>en</strong> word<strong>en</strong>. De auteurs realiser<strong>en</strong> zich d<strong>at</strong><br />
mobiele appar<strong>at</strong><strong>en</strong>, ook wel ubiquitous (alomteg<strong>en</strong>woordig) <strong>en</strong> pervasive<br />
(doordring<strong>en</strong>d, overal om ons he<strong>en</strong>) appar<strong>at</strong><strong>en</strong> g<strong>en</strong>oemd, e<strong>en</strong> andere tak van<br />
sport zijn op gebied van beveiliging d<strong>at</strong> de traditionele PC. Mobiele appar<strong>at</strong><strong>en</strong><br />
bied<strong>en</strong> nieuwe kans<strong>en</strong> <strong>en</strong> mogelijkhed<strong>en</strong>, maar volg<strong>en</strong>s de auteurs ook nieuwe<br />
soort<strong>en</strong> bedreiging<strong>en</strong> <strong>en</strong> risico’s, met name omd<strong>at</strong> ze draadloos communicer<strong>en</strong><br />
<strong>en</strong> mobiel van aard zijn. De auteurs concluder<strong>en</strong> aan het einde van de public<strong>at</strong>ie<br />
d<strong>at</strong> hun systeem, Trust Comput<strong>at</strong>ion and Managem<strong>en</strong>t System (TOMS)<br />
aantoonbaar de (onderlinge) veiligheid van mobiele appar<strong>at</strong><strong>en</strong> kan verbeter<strong>en</strong>.<br />
[8] Jans<strong>en</strong>, W., Gavrila, S., Korolev, V., Heute, T., & Séveillac, C.<br />
(2006). A Unified Framework for Mobile Device <strong>Security</strong>. Gaithersburg,<br />
MD, US: N<strong>at</strong>ional Institute of Standards and Technology (NIST).<br />
Original public<strong>at</strong>ion abstract<br />
Pres<strong>en</strong>t-day handheld devices, such as PDAs, are a useful bl<strong>en</strong>d of hardware and<br />
software ori<strong>en</strong>ted toward the mobile workforce. While they provide the capability<br />
to review docum<strong>en</strong>ts, correspond via electronic mail, manage appointm<strong>en</strong>ts and<br />
contacts, etc., they typically lack a number of important security fe<strong>at</strong>ures.<br />
Concerned individuals and organiz<strong>at</strong>ions aware of the associ<strong>at</strong>ed risks involved,<br />
mitig<strong>at</strong>e them with such add-on mechanisms as improved user auth<strong>en</strong>tic<strong>at</strong>ion,<br />
cont<strong>en</strong>t <strong>en</strong>cryption, organiz<strong>at</strong>ional policy controls, virus protection, firewall and<br />
intrusion detection filtering, and virtual priv<strong>at</strong>e network communic<strong>at</strong>ion.<br />
Unfortun<strong>at</strong>ely, such piecemeal solutions oft<strong>en</strong> pres<strong>en</strong>t problems in software<br />
integr<strong>at</strong>ion, usability, and administr<strong>at</strong>ion. This paper describes a framework for<br />
incorpor<strong>at</strong>ing core security mechanisms in a unified manner th<strong>at</strong> avoids these<br />
problems.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
Ondanks d<strong>at</strong> deze public<strong>at</strong>ies uit 2006 is, mak<strong>en</strong> de auteurs duidelijk d<strong>at</strong> ook<br />
to<strong>en</strong> al e<strong>en</strong> tr<strong>en</strong>d waarneembaar was waar<strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong> voordel<strong>en</strong>, maar<br />
ook security-gerel<strong>at</strong>eerde nadel<strong>en</strong> hadd<strong>en</strong>. Organis<strong>at</strong>ies kunn<strong>en</strong> allerlei<br />
ma<strong>at</strong>regel<strong>en</strong> nem<strong>en</strong> om de nadel<strong>en</strong> te mitiger<strong>en</strong>, zoals e<strong>en</strong> firewall, beleid, IDS<br />
<strong>en</strong> versleuteling. Dit br<strong>en</strong>gt volg<strong>en</strong>s de auteurs ook weer nadel<strong>en</strong> met zich mee<br />
zoals integr<strong>at</strong>ie- <strong>en</strong> beheerproblem<strong>en</strong> ev<strong>en</strong>als e<strong>en</strong> neg<strong>at</strong>ief effect op het<br />
gebruiksgemak. De auteurs pres<strong>en</strong>ter<strong>en</strong> daarom e<strong>en</strong> kader uniform kader voor<br />
de integr<strong>at</strong>ie van kernbeveiligings-mechanism<strong>en</strong> die deze problem<strong>en</strong> zou moet<strong>en</strong><br />
voorkom<strong>en</strong>. Hun aanpak biedt gebruikers de flexibiliteit om te kiez<strong>en</strong> tuss<strong>en</strong><br />
beveiligingscontext<strong>en</strong> om hun tak<strong>en</strong> in uit te voer<strong>en</strong>. Tegelijkertijd biedt het de<br />
organis<strong>at</strong>ie middel<strong>en</strong> om het beveiligingsbeleid toe te pass<strong>en</strong>, ook aan de rand<strong>en</strong><br />
van de organis<strong>at</strong>ie waar mobiele appar<strong>at</strong><strong>en</strong>/gebruikers zitt<strong>en</strong>.<br />
Pagina | 91
[9] Al-Muhtadi, J., Hill, R., & Al-Rwais, S. (2011). Access control using<br />
threshold cryptography for ubiquitous computing <strong>en</strong>vironm<strong>en</strong>ts. Journal<br />
of King Saud University - Computer and Inform<strong>at</strong>ion Sci<strong>en</strong>ces, 23(2), 71-<br />
78.<br />
Original public<strong>at</strong>ion abstract<br />
Ubiquitous computing is revolutionizing the way humans interact with machines<br />
and carry out everyday tasks. It ext<strong>en</strong>ds everyday computing into the physical<br />
world, cre<strong>at</strong>ing comput<strong>at</strong>ionally smart <strong>en</strong>vironm<strong>en</strong>ts th<strong>at</strong> fe<strong>at</strong>ure seamless<br />
interactions and autom<strong>at</strong>ion. As a result of the highly distributed n<strong>at</strong>ure of<br />
ubiquitous computing, it is ess<strong>en</strong>tial to develop security mechanisms th<strong>at</strong> l<strong>en</strong>d<br />
themselves well to the delic<strong>at</strong>e properties of smart ubiquitous computing<br />
<strong>en</strong>vironm<strong>en</strong>ts. In this paper, we introduce a context-aware access control<br />
mechanism th<strong>at</strong> utilizes threshold cryptography and multilayer <strong>en</strong>cryption to<br />
provide a dynamic and truly distributed method for access control. We simul<strong>at</strong>e<br />
our access control scheme and show th<strong>at</strong> access control decisions can be made<br />
in a timely manner ev<strong>en</strong> as we increase key and file sizes. This mechanism is<br />
closely coupled with the context-capturing services and security policy service<br />
resulting in a fully context-aware and seamless access control mechanism for<br />
typical ubiquitous computing sc<strong>en</strong>arios.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs beschrijv<strong>en</strong> de opkomst van mobiele appar<strong>at</strong><strong>en</strong> die teg<strong>en</strong>woordig<br />
vanuit verschill<strong>en</strong>de plekk<strong>en</strong> ter wereld aansluiting zoek<strong>en</strong> met<br />
bedrijfsnetwerk<strong>en</strong>. Door deze nieuwe tr<strong>en</strong>d moet volg<strong>en</strong>s de auteurs ook<br />
opnieuw word<strong>en</strong> gekek<strong>en</strong> naar inform<strong>at</strong>iebeveiliging rondom deze appar<strong>at</strong><strong>en</strong>. De<br />
auteurs pres<strong>en</strong>ter<strong>en</strong> daarom dan ook e<strong>en</strong> contextbewuste manier om de toegang<br />
van deze nieuwe mobiele appar<strong>at</strong><strong>en</strong>, met gevoelige bedrijfsinform<strong>at</strong>ie, beter te<br />
regel<strong>en</strong>.<br />
[10] Abraham, S., & Ch<strong>en</strong>galur-Smith, I. (2010). An overview of social<br />
<strong>en</strong>gineering malware: Tr<strong>en</strong>ds, tactics, and implic<strong>at</strong>ions. Technology in<br />
Society, 32(3), 183-196.<br />
Original public<strong>at</strong>ion abstract<br />
Social <strong>en</strong>gineering continues to be an increasing <strong>at</strong>tack vector for the<br />
propag<strong>at</strong>ion of malicious programs. For this article, we collected d<strong>at</strong>a on malware<br />
incid<strong>en</strong>ts and highlighted the preval<strong>en</strong>ce and longevity of social <strong>en</strong>gineering<br />
malware. We developed a framework th<strong>at</strong> shows the steps social <strong>en</strong>gineering<br />
malware executes to be successful. To explain its pervasiv<strong>en</strong>ess and persist<strong>en</strong>ce,<br />
we discuss some common av<strong>en</strong>ues through which such <strong>at</strong>tacks occur. The <strong>at</strong>tack<br />
vector is a combin<strong>at</strong>ion of psychological and technical ploys, which includes<br />
luring a computer user to execute the malware, and comb<strong>at</strong>ing any existing<br />
technical countermeasures. We describe some of the preval<strong>en</strong>t psychological<br />
ploys and technical countermeasures used by social <strong>en</strong>gineering malware. We<br />
show how the techniques used by purveyors of such malware have evolved to<br />
circumv<strong>en</strong>t existing countermeasures. The implic<strong>at</strong>ions of our analyses lead us to<br />
emphasize (1) the importance for organiz<strong>at</strong>ions to plan a compreh<strong>en</strong>sive<br />
inform<strong>at</strong>ion security program, and (2) the shared social responsibility required to<br />
comb<strong>at</strong> social <strong>en</strong>gineering malware.<br />
Pagina | 92
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs beschrijv<strong>en</strong> de rol van de zwakste schakel in de ket<strong>en</strong> van<br />
inform<strong>at</strong>iebeveiliging, namelijk de m<strong>en</strong>s zelf. De auteurs hebb<strong>en</strong> gegev<strong>en</strong>s over<br />
malware verzameld die inspringt op m<strong>en</strong>selijke zwakhed<strong>en</strong>. Daar<strong>bij</strong> is gekek<strong>en</strong><br />
naar nieuwe ontwikkeling<strong>en</strong>, hoe het werkt <strong>en</strong> w<strong>at</strong> de mogelijke gevolg<strong>en</strong><br />
kunn<strong>en</strong> zijn. Er wordt uitgelegd d<strong>at</strong> deze social <strong>en</strong>gineering malware zowel<br />
psychologisch als technologisch te werk ga<strong>at</strong> <strong>en</strong> huidige (technische)<br />
ma<strong>at</strong>regel<strong>en</strong> vaak omzeild. Het <strong>en</strong>ige w<strong>at</strong> nodig is, is één medewerker die erin<br />
trapt, goedgelovig is.<br />
De result<strong>at</strong><strong>en</strong> lieg<strong>en</strong> er niet om, organis<strong>at</strong>ies moet<strong>en</strong> hier goed op voorbereid zijn<br />
<strong>en</strong> bewustwording van de risico’s <strong>en</strong> verhog<strong>en</strong>. De auteurs stell<strong>en</strong> d<strong>at</strong> het aantal<br />
beveiligingsincid<strong>en</strong>t<strong>en</strong> d<strong>at</strong> gebruik maakt van social <strong>en</strong>gineering malware de<br />
afgelop<strong>en</strong> jar<strong>en</strong> explosief is gesteg<strong>en</strong>, zie figuur 12. De red<strong>en</strong> hiervoor is volg<strong>en</strong>s<br />
de auteurs d<strong>at</strong> het veel e<strong>en</strong>voudiger is voor kwaadwill<strong>en</strong>de om <strong>bij</strong> e<strong>en</strong><br />
medewerker het wachtwoord te ontfutsel<strong>en</strong> dan om <strong>bij</strong> het betreff<strong>en</strong>de systeem<br />
in te brek<strong>en</strong>.<br />
Figuur 12: Incid<strong>en</strong>t<strong>en</strong> m.b.t. social <strong>en</strong>gineering<br />
De auteurs stell<strong>en</strong> d<strong>at</strong> er e<strong>en</strong> aantal veelvoorkom<strong>en</strong>de kanal<strong>en</strong> zijn waarmee<br />
deze malware kan infiltrer<strong>en</strong>. Dit zijn:<br />
1. E-mail<br />
2. Websites<br />
3. Sociale software<br />
4. Mobiele opslag<br />
Hieronder in figuur 13 zijn de stapp<strong>en</strong> te zi<strong>en</strong> die sociale malware neemt om e<strong>en</strong><br />
inform<strong>at</strong>iesysteem te infiltrer<strong>en</strong>.<br />
Pagina | 93
Figuur 13: Malware infiltreert inform<strong>at</strong>iesysteem<br />
Volg<strong>en</strong>s de auteurs springt deze malware handig in op e<strong>en</strong> aantal psychologische<br />
aspect<strong>en</strong>, zoals:<br />
1. Angst<br />
2. Emp<strong>at</strong>hie<br />
3. Hebzucht<br />
4. Onwet<strong>en</strong>dheid<br />
Deze public<strong>at</strong>ie geeft ook verduidelijking over w<strong>at</strong> deze soort malware dan <strong>bij</strong><br />
activering doet:<br />
1. Bestrijd<strong>en</strong> van al geïmplem<strong>en</strong>teerde beveiligingsma<strong>at</strong>regel<strong>en</strong>.<br />
2. IP-adress<strong>en</strong> die betrokk<strong>en</strong> zijn <strong>bij</strong> de aanval, snel variër<strong>en</strong>. Hierdoor<br />
kunn<strong>en</strong> prev<strong>en</strong>tieve ma<strong>at</strong>regel<strong>en</strong> die de organis<strong>at</strong>ie heeft g<strong>en</strong>om<strong>en</strong>, de<br />
betreff<strong>en</strong>de IP-adress<strong>en</strong> niet blokker<strong>en</strong>.<br />
3. Uitschakel<strong>en</strong> van al geïmplem<strong>en</strong>teerd beveiligingsma<strong>at</strong>regel<strong>en</strong>.<br />
4. E<strong>en</strong> eig<strong>en</strong> SMTP-mailserver opzett<strong>en</strong>, o.a. om mail te kunn<strong>en</strong><br />
onderschepp<strong>en</strong>.<br />
5. Zichzelf bescherm<strong>en</strong> door technische ma<strong>at</strong>regel<strong>en</strong> te bestok<strong>en</strong> met DDosaanvall<strong>en</strong>.<br />
De auteurs beschrijv<strong>en</strong> verder w<strong>at</strong> deze malware doet wanneer het e<strong>en</strong>maal door<br />
de beveiligingsbarrières is gebrok<strong>en</strong>:<br />
1. Toetsaanslag<strong>en</strong> vastlegg<strong>en</strong> <strong>en</strong> verstur<strong>en</strong><br />
2. Verborg<strong>en</strong> communic<strong>at</strong>iepoort<strong>en</strong> op<strong>en</strong><strong>en</strong><br />
3. Zichzelf nog dieper <strong>en</strong> onopvall<strong>en</strong>der nestel<strong>en</strong> in het systeem (Rootkits)<br />
4. Op zoek gaan naar opgeslag<strong>en</strong> wachtwoord<strong>en</strong> of andere vertrouwelijke<br />
gegev<strong>en</strong>s.<br />
5. Communic<strong>at</strong>iesessie kap<strong>en</strong>, zoals tuss<strong>en</strong> e<strong>en</strong> medewerker <strong>en</strong> e<strong>en</strong><br />
bedrijfsinform<strong>at</strong>iesysteem.<br />
Pagina | 94
De auteurs stell<strong>en</strong> d<strong>at</strong> de tr<strong>en</strong>ds <strong>en</strong> tactiek<strong>en</strong> die zij geobserveerd hebb<strong>en</strong> <strong>bij</strong><br />
deze malware ervoor moet zorg<strong>en</strong> d<strong>at</strong> organis<strong>at</strong>ies e<strong>en</strong> meerledige manier<br />
moet<strong>en</strong> toepass<strong>en</strong> om dit soort malware teg<strong>en</strong> te gaan. Dit in tegelstelling tot<br />
alle<strong>en</strong> maar technologische teg<strong>en</strong>ma<strong>at</strong>regel<strong>en</strong> <strong>en</strong> e<strong>en</strong> beveiligingsbeleid.<br />
Technologie is volg<strong>en</strong>s de auteurs alle<strong>en</strong> effectief wanneer medewerkers dit ook<br />
accepter<strong>en</strong> <strong>en</strong> toepass<strong>en</strong>. Medewerkers spel<strong>en</strong> e<strong>en</strong> grote (misschi<strong>en</strong> wel de<br />
grootste) rol in technologische <strong>en</strong> beleidsm<strong>at</strong>ige beveiligingsma<strong>at</strong>regel<strong>en</strong> binn<strong>en</strong><br />
e<strong>en</strong> organis<strong>at</strong>ie, stell<strong>en</strong> de auteurs in deze public<strong>at</strong>ie.<br />
De auteurs publicer<strong>en</strong> dan ook de volg<strong>en</strong>de implic<strong>at</strong>ies:<br />
1. Verhog<strong>en</strong> van bewustwording m.b.t.<br />
inform<strong>at</strong>iebeveiliging <strong>en</strong> risico’s<br />
2. Toezicht houd<strong>en</strong> op bedrijfsinform<strong>at</strong>ie<br />
<strong>en</strong> medewerkers, ook buit<strong>en</strong> de mur<strong>en</strong><br />
van de organis<strong>at</strong>ie.<br />
3. Toezicht houd<strong>en</strong> op persoonlijk gebruik<br />
van bedrijfseig<strong>en</strong> computersystem<strong>en</strong>.<br />
4. Medewerkers motiver<strong>en</strong> om<br />
beveiligingsprocedures <strong>en</strong> ma<strong>at</strong>regel<strong>en</strong><br />
te hanter<strong>en</strong>.<br />
In de public<strong>at</strong>ie gev<strong>en</strong> de auteurs e<strong>en</strong> kort<br />
overzicht van e<strong>en</strong> aantal intern<strong>at</strong>ionale<br />
organis<strong>at</strong>ies die de strijd aan zijn gegaan<br />
teg<strong>en</strong> computercriminaliteit <strong>en</strong> de<br />
<strong>bij</strong>behor<strong>en</strong>de initi<strong>at</strong>iev<strong>en</strong>.<br />
Figuur 14: Overzicht intern<strong>at</strong>ionale<br />
organis<strong>at</strong>ies<br />
[11] Roy Sarkar, K. (2010). Assessing insider thre<strong>at</strong>s to inform<strong>at</strong>ion<br />
security using technical, behavioural and organis<strong>at</strong>ional measures.<br />
Inform<strong>at</strong>ion <strong>Security</strong> Technical Report, 15(3), 112-133.<br />
Original public<strong>at</strong>ion abstract<br />
The UK governm<strong>en</strong>t took a bruising in the headlines (Sep 2008) after a Home<br />
Office contractor lost a USB stick containing un<strong>en</strong>crypted d<strong>at</strong>a on all 84,000<br />
prisoners in England and Wales. As a result, the Home Office termin<strong>at</strong>ed the £1.5<br />
million contract with the managem<strong>en</strong>t consultancy firm. The world woke up to<br />
the largest <strong>at</strong>tempted bank fraud ever wh<strong>en</strong> the UK’s N<strong>at</strong>ional Hi-Tech Crime<br />
Unit foiled the world’s largest pot<strong>en</strong>tial bank robbery in March 2005. With the<br />
help of the security supervisor, thieves masquerading as cleaning staff installed<br />
hardware keystroke loggers on computers within the London branch of a<br />
Japanese bank, to steal £220m. It is indeed sobering to imagine th<strong>at</strong> any<br />
organis<strong>at</strong>ion could fall victim to such ev<strong>en</strong>ts and the damage an insider can do.<br />
The consulting firm lost the contract worth £1.5 million due to a small mistake by<br />
an employee. The London branch of the Japanese Bank would have lost £220<br />
million had not the crime be<strong>en</strong> foiled. Insider thre<strong>at</strong> is a reality. Insiders commit<br />
fraud or steal s<strong>en</strong>sitive inform<strong>at</strong>ion wh<strong>en</strong> motiv<strong>at</strong>ed by money or rev<strong>en</strong>ge. Wellmeaning<br />
employees can compromise the security of an organis<strong>at</strong>ion with their<br />
overzealousness in getting their job done. Every organis<strong>at</strong>ion has a varied mix of<br />
employees, consultants, managem<strong>en</strong>t, partners and complex infrastructure and<br />
th<strong>at</strong> makes handling insider thre<strong>at</strong>s a daunting chall<strong>en</strong>ge. With insider <strong>at</strong>tacks,<br />
Pagina | 95
organis<strong>at</strong>ions face pot<strong>en</strong>tial damage through loss of rev<strong>en</strong>ue, loss of reput<strong>at</strong>ion,<br />
loss of intellectual property or ev<strong>en</strong> loss of human life. The insider thre<strong>at</strong> problem<br />
is more elusive and perplexing than any other thre<strong>at</strong>. Assessing the insider<br />
thre<strong>at</strong> is the first step to determine the likelihood of any insider <strong>at</strong>tack. Technical<br />
solutions do not suffice since insider thre<strong>at</strong>s are fundam<strong>en</strong>tally a people issue.<br />
Therefore, a three-pronged approach - technological, behavioral and<br />
organis<strong>at</strong>ional assessm<strong>en</strong>t is ess<strong>en</strong>tial in facilit<strong>at</strong>ing the prediction of insider<br />
thre<strong>at</strong>s and pre-empt any insider <strong>at</strong>tack thus improving the organiz<strong>at</strong>ion’s<br />
security, survivability, and resili<strong>en</strong>cy in light of insider thre<strong>at</strong>s.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteur van deze public<strong>at</strong>ie ga<strong>at</strong> in op de bescherming van organis<strong>at</strong>ies teg<strong>en</strong><br />
invloed<strong>en</strong> <strong>en</strong> bedreiging<strong>en</strong> vanuit de buit<strong>en</strong>wereld, maar b<strong>en</strong>adrukt d<strong>at</strong> er nog<br />
steeds e<strong>en</strong> aanzi<strong>en</strong>lijk risico schuilt <strong>bij</strong> de (eig<strong>en</strong>) medewerker, ook wel de<br />
insider g<strong>en</strong>oemd of interne bedreiging<strong>en</strong>. Zowel bewust als onbewust, waar<strong>bij</strong><br />
expres of per ongeluk bedrijfsgegev<strong>en</strong>s in gevaar kom<strong>en</strong>. Er wordt e<strong>en</strong> aantal<br />
interessante <strong>en</strong> relevante uitsprak<strong>en</strong> geponeerd in het begin van deze public<strong>at</strong>ie:<br />
1. Het risico-effect op inform<strong>at</strong>iebeveiliging, afkomstig van de eig<strong>en</strong>, interne<br />
medewerker is aanwezig, echt <strong>en</strong> serieus.<br />
2. Eig<strong>en</strong>, interne medewerkers kunn<strong>en</strong> net zo’n groot risico vorm<strong>en</strong> voor de<br />
inform<strong>at</strong>iebeveiliging als bedreiging<strong>en</strong> afkomstig van buit<strong>en</strong> de<br />
(organis<strong>at</strong>orische) bedrijfsmur<strong>en</strong>.<br />
3. Ondersch<strong>at</strong> de risico’s van e<strong>en</strong> ontslag<strong>en</strong> systeembeheerder niet.<br />
4. Organis<strong>at</strong>ies zijn zich niet (g<strong>en</strong>oeg) bewust van de interne bedreiging.<br />
5. Aanvall<strong>en</strong> op inform<strong>at</strong>iesystem<strong>en</strong> van binn<strong>en</strong>uit, eig<strong>en</strong> medewerkers, zijn<br />
e<strong>en</strong>voudig uit te voer<strong>en</strong>, maar lastig te detecter<strong>en</strong>.<br />
6. De hacker aan de binn<strong>en</strong>kant is gevaarlijk.<br />
Figuur 15: Overzicht interne risico's<br />
Pagina | 96
Tabel 14: Soort interne dreiging<strong>en</strong> <strong>en</strong> schadelijkheid<br />
De public<strong>at</strong>ie ga<strong>at</strong> vervolg<strong>en</strong>s uitgebreid in op de werkwijze van e<strong>en</strong> interne<br />
medewerker met kwade bedoeling<strong>en</strong>. Daarnaast wordt deze medewerker in<br />
verschill<strong>en</strong>de groep<strong>en</strong> ingedeeld. Interessant is de motiv<strong>at</strong>ie achter het misbruik,<br />
vaak onbewust <strong>en</strong>/of door onwet<strong>en</strong>dheid of per ongeluk. Het resulta<strong>at</strong> is echter<br />
hetzelfde, omzeiling van alle technologische beveiligingsma<strong>at</strong>regel<strong>en</strong> die<br />
uitlekk<strong>en</strong> van bedrijfsgegev<strong>en</strong>s zou moet<strong>en</strong> voorkom<strong>en</strong>.<br />
Figuur 16: Indeling o.b.v. red<strong>en</strong> tot misbruik<br />
In de public<strong>at</strong>ie wordt ook ingegaan hoe/waar misbruik pla<strong>at</strong>s kan vind<strong>en</strong>. De<br />
auteur stelt d<strong>at</strong> dit op e<strong>en</strong> aantal verschill<strong>en</strong>de technische vlakk<strong>en</strong> kan<br />
pla<strong>at</strong>svind<strong>en</strong>: OS, netwerk, hardware <strong>en</strong> applic<strong>at</strong>i<strong>en</strong>iveau.<br />
Figuur 17: Indeling o.b.v. gevolg<strong>en</strong> voor systeem<br />
De auteur legt in deze public<strong>at</strong>ie ook uit w<strong>at</strong> de mogelijke gevolg<strong>en</strong> zoud<strong>en</strong><br />
kunn<strong>en</strong> zijn van e<strong>en</strong> intern geïnitieerde aanval.<br />
1. Imagoschade/reput<strong>at</strong>ie<br />
2. Diefstal van intellectueel eig<strong>en</strong>dom<br />
3. Sabotage door e<strong>en</strong> interne medewerker<br />
4. Spionage door e<strong>en</strong> interne medewerker<br />
Pagina | 97
In de public<strong>at</strong>ie legt de auteur bov<strong>en</strong>di<strong>en</strong> w<strong>at</strong> de nadel<strong>en</strong> zijn van de huidige<br />
aanpak om bedrijfsinform<strong>at</strong>ie te bescherm<strong>en</strong>. Die zijn namelijk teveel gericht op<br />
e<strong>en</strong> externe dreiging. De nadel<strong>en</strong> zijn volg<strong>en</strong>s hem:<br />
1. Teveel focus op bescherming van de “rand<strong>en</strong>” van de organis<strong>at</strong>ie<br />
2. Onbek<strong>en</strong>dheid met de gedragsk<strong>en</strong>merk<strong>en</strong> van e<strong>en</strong> interne dreiging<br />
3. Gebrek aan consist<strong>en</strong>t beveiligingsbeleid<br />
Zie onderstaande tabel voor e<strong>en</strong> overzicht van het causale verband tuss<strong>en</strong> e<strong>en</strong><br />
interne dreiging <strong>en</strong> de gevolg<strong>en</strong> daarvan.<br />
Tabel 15: Voorbeeld van consequ<strong>en</strong>ties<br />
De auteur b<strong>en</strong>oemt e<strong>en</strong> aantal toekomstige bedreiging<strong>en</strong> <strong>en</strong> tr<strong>en</strong>ds waar<br />
organis<strong>at</strong>ies op zoud<strong>en</strong> moet<strong>en</strong> lett<strong>en</strong>:<br />
1. Framing<br />
2. Planting<br />
3. Social Engineering<br />
4. Moles<br />
5. Outsourcing<br />
6. Social Networking<br />
In deze public<strong>at</strong>ie bespreekt de auteur ook e<strong>en</strong> analyse op de impact van de<br />
interne dreiging op de Beschikbaarheid, Integriteit <strong>en</strong> Vertrouwelijkheid van<br />
bedrijfsgegev<strong>en</strong>s.<br />
Tabel 16: Impact op beschikbaarheid, integriteit <strong>en</strong> vertrouwelijkheid<br />
Pagina | 98
[12] Sve<strong>en</strong>, F. O., Torres, J. M., & Sarriegi, J. M. (2009). Blind<br />
inform<strong>at</strong>ion security str<strong>at</strong>egy. Intern<strong>at</strong>ional Journal of Critical<br />
Infrastructure Protection, 2(3), 95-109.<br />
Original public<strong>at</strong>ion abstract<br />
How do <strong>en</strong>terprises rel<strong>at</strong>e to and manage inform<strong>at</strong>ion security controls? This<br />
paper docum<strong>en</strong>ts a study of tw<strong>en</strong>ty <strong>en</strong>terprises, six of them in the critical<br />
infrastructure (CI) domain. The st<strong>at</strong>e of security in the CI <strong>en</strong>terprises differed<br />
little from th<strong>at</strong> in the other <strong>en</strong>terprises. Inform<strong>at</strong>ion security was se<strong>en</strong> as a<br />
technical problem with technical solutions. However, vulnerabilities in processes<br />
and human fallibility cre<strong>at</strong>e a need for formal and informal controls in addition to<br />
technical controls. These three controls are interdep<strong>en</strong>d<strong>en</strong>t. They vary widely in<br />
implem<strong>en</strong>t<strong>at</strong>ion time and resource needs, which r<strong>en</strong>der the task of building<br />
security resources a chall<strong>en</strong>ging problem. This paper pres<strong>en</strong>ts a system<br />
dynamics model th<strong>at</strong> illustr<strong>at</strong>es how security controls are interconnected and are<br />
interdep<strong>en</strong>d<strong>en</strong>t <strong>at</strong> a high level. The model is int<strong>en</strong>ded to aid security managers in<br />
CI domains to better understand inform<strong>at</strong>ion security managem<strong>en</strong>t str<strong>at</strong>egies,<br />
especially the complexities involved in managing a socio-technical system where<br />
human, organiz<strong>at</strong>ional and technical factors interact. The model also<br />
demonstr<strong>at</strong>es how the knowledge gained from proactive security activities can<br />
help managers improve the effectiv<strong>en</strong>ess of security controls, risk assessm<strong>en</strong>ts<br />
and incid<strong>en</strong>t detection capabilities.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs van deze public<strong>at</strong>ie hebb<strong>en</strong> e<strong>en</strong> onderzoek uitgevoerd <strong>bij</strong> 20 grote<br />
organis<strong>at</strong>ies naar de manier waarop ze omgaan met inform<strong>at</strong>ie-beveiliging. Waar<br />
inform<strong>at</strong>iebeveiliging eerst werd gezi<strong>en</strong> als puur e<strong>en</strong> technische aangeleg<strong>en</strong>heid<br />
wordt steeds duidelijker d<strong>at</strong> er ook e<strong>en</strong> organis<strong>at</strong>orische (m<strong>en</strong>selijke) kant aan<br />
zit. De auteurs pres<strong>en</strong>ter<strong>en</strong> e<strong>en</strong> dynamisch model waarin technische, procedurele<br />
<strong>en</strong> organis<strong>at</strong>orische ma<strong>at</strong>regel<strong>en</strong> met elkaar verworv<strong>en</strong> zijn <strong>en</strong> op hoog niveau<br />
afhankelijk van elkaar zijn. De auteurs hal<strong>en</strong> er e<strong>en</strong> treff<strong>en</strong>d cita<strong>at</strong> van Bruce<br />
Schneier <strong>bij</strong> “If you think technology can solve all your security problems, th<strong>en</strong><br />
you neither understand the problems nor the technology”.<br />
Het resulta<strong>at</strong> van het onderzoek <strong>bij</strong> de 20 grote organis<strong>at</strong>ies was d<strong>at</strong><br />
inform<strong>at</strong>iebeveiliging in <strong>bij</strong>na ge<strong>en</strong> <strong>en</strong>kel geval op de ag<strong>en</strong>da van het str<strong>at</strong>egisch<br />
managem<strong>en</strong>t stond. De organis<strong>at</strong>ies zag<strong>en</strong> inform<strong>at</strong>ie-beveiliging bov<strong>en</strong>di<strong>en</strong> als<br />
e<strong>en</strong> puur technische aangeleg<strong>en</strong>heid <strong>en</strong> ging<strong>en</strong> niet voor e<strong>en</strong> holistische aanpak<br />
ervan. Daarnaast reageerde de organis<strong>at</strong>ies reactief op incid<strong>en</strong>t<strong>en</strong> in pla<strong>at</strong>s van<br />
proactief. Er war<strong>en</strong> ge<strong>en</strong> beveiligings-indic<strong>at</strong>or<strong>en</strong> aanwezig die de IT-managers<br />
van de 20 organis<strong>at</strong>ies informeerde over de st<strong>at</strong>us van de inform<strong>at</strong>iebeveiliging.<br />
De auteurs stell<strong>en</strong> verder d<strong>at</strong> veel organis<strong>at</strong>ies hun eig<strong>en</strong> versie van<br />
inform<strong>at</strong>iebeveiliging weliswaar hadd<strong>en</strong> gebaseerd op ISO 1799/27001 norm<strong>en</strong>,<br />
maar d<strong>at</strong> ze dit te complex vond<strong>en</strong> <strong>en</strong> certificering bov<strong>en</strong>di<strong>en</strong> als tijdsint<strong>en</strong>sief<br />
ervar<strong>en</strong>.<br />
Pagina | 99
[13] Botha, R. A., Furnell, S. M., & Clarke, N. L. (2009). From desktop to<br />
mobile: Examining the security experi<strong>en</strong>ce. Computers & <strong>Security</strong>, 28(3-<br />
4), 130-137.<br />
Original public<strong>at</strong>ion abstract<br />
The use of mobile devices is becoming more commonplace, with d<strong>at</strong>a regularly<br />
able to make the transition from desktop systems to pocket and handheld<br />
devices such as smartphones and PDAs. However, although these devices may<br />
consequ<strong>en</strong>tly contain or manipul<strong>at</strong>e the same d<strong>at</strong>a, their security capabilities are<br />
not as m<strong>at</strong>ure as those offered in fully-fledged desktop oper<strong>at</strong>ing systems. This<br />
paper explores the availability of security mechanisms from the perspective of a<br />
user who is security-aware in the desktop <strong>en</strong>vironm<strong>en</strong>t and wishes to consider<br />
utilizing similar protection in a mobile context. Key issues of concern are whether<br />
analogous functionality can be found, and if so, whether it is offered in a manner<br />
th<strong>at</strong> parallels the desktop experi<strong>en</strong>ce (i.e. to <strong>en</strong>sure understanding and<br />
usability). The discussion is supported by an examin<strong>at</strong>ion of the Windows XP and<br />
Windows Mobile <strong>en</strong>vironm<strong>en</strong>ts, with specific consider<strong>at</strong>ion giv<strong>en</strong> to the facilities<br />
available for user auth<strong>en</strong>tic<strong>at</strong>ion, secure connectivity, and cont<strong>en</strong>t protection on<br />
the devices. It is concluded th<strong>at</strong> although security aspects receive some<br />
<strong>at</strong>t<strong>en</strong>tion, the provided means g<strong>en</strong>erally suffer from usability issues or limit<strong>at</strong>ions<br />
th<strong>at</strong> would prev<strong>en</strong>t a user from achieving the same level of protection th<strong>at</strong> they<br />
might <strong>en</strong>joy in the desktop <strong>en</strong>vironm<strong>en</strong>t.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze public<strong>at</strong>ie beschrijv<strong>en</strong> de auteurs de overe<strong>en</strong>komst<strong>en</strong> <strong>en</strong> verschill<strong>en</strong><br />
tuss<strong>en</strong> de traditionele (desktop) PC <strong>en</strong> de nieuwe g<strong>en</strong>er<strong>at</strong>ie mobiele appar<strong>at</strong><strong>en</strong>.<br />
Ze stell<strong>en</strong> d<strong>at</strong> de beveiligingsmogelijkhed<strong>en</strong> van nieuwe, mobiele appar<strong>at</strong><strong>en</strong> nog<br />
niet zo ver gevorderd is als de traditionele PC. In de public<strong>at</strong>ie beschrijv<strong>en</strong> ze<br />
dan ook de verk<strong>en</strong>ning van beschikbare beveiligingsmanier<strong>en</strong> <strong>en</strong> techniek<strong>en</strong><br />
specifiek gericht op mobiele appar<strong>at</strong><strong>en</strong>. De c<strong>en</strong>trale vraag die de auteurs stell<strong>en</strong>,<br />
is of dezelfde functionaliteit <strong>en</strong> mogelijkhed<strong>en</strong> (op het vlak van<br />
inform<strong>at</strong>iebeveiliging) m.b.t. de traditionele PC ook te vind<strong>en</strong> is <strong>bij</strong> mobiele<br />
appar<strong>at</strong><strong>en</strong>. En als d<strong>at</strong> het geval is, of dit dan g<strong>en</strong>oeg beveiliging biedt <strong>en</strong><br />
duidelijk g<strong>en</strong>oeg is voor de gebruiker. Omd<strong>at</strong> deze public<strong>at</strong>ie al w<strong>at</strong> ouder is,<br />
hebb<strong>en</strong> de auteurs hun onderzoek uitgevoerd op verouderde system<strong>en</strong>, Windows<br />
XP <strong>en</strong> Windows Mobile. In deze public<strong>at</strong>ie wordt vooral ingegaan op<br />
1. Auth<strong>en</strong>tic<strong>at</strong>ie, w<strong>at</strong> zijn de overe<strong>en</strong>komst<strong>en</strong> verschill<strong>en</strong> op dit onderdeel<br />
tuss<strong>en</strong> de PC <strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong>? Welke mogelijkhed<strong>en</strong> zijn er, w<strong>at</strong> zijn<br />
zwakke punt<strong>en</strong>?<br />
2. Connectiviteit, overe<strong>en</strong>komst<strong>en</strong> <strong>en</strong> verschill<strong>en</strong> met PC, welke extra<br />
communic<strong>at</strong>iemogelijkhed<strong>en</strong> bied<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> welk risico br<strong>en</strong>gt<br />
dit met zich mee?<br />
3. Bescherming van opgeslag<strong>en</strong> gegev<strong>en</strong>s, hoe verhoudt het opslaan van<br />
gegev<strong>en</strong>s zich met de PC? Hoe ver is de techniek hierin, w<strong>at</strong> zijn de risico's <strong>en</strong><br />
welke mogelijkhed<strong>en</strong> zijn er?<br />
De auteurs concluder<strong>en</strong> in deze public<strong>at</strong>ie d<strong>at</strong> de beveiliging (<strong>en</strong> gebruiksgemak)<br />
van de mobiele system<strong>en</strong> nog tekort schiet t.o.v. de rel<strong>at</strong>ief volwass<strong>en</strong><br />
beveiligingsmogelijkhed<strong>en</strong> van de PC. De auteurs sprek<strong>en</strong> d<strong>at</strong> ook hun<br />
Pagina | 100
ezorgdheid hierover uit met het oog op de toekomst. De red<strong>en</strong> hiervoor is d<strong>at</strong><br />
de betreff<strong>en</strong>de mobiele appar<strong>at</strong><strong>en</strong> zich vaak bevind<strong>en</strong> in omgeving<strong>en</strong> waar e<strong>en</strong><br />
organis<strong>at</strong>ie weinig controle heeft over d<strong>at</strong> appara<strong>at</strong> <strong>en</strong> ze bov<strong>en</strong>di<strong>en</strong> vaker<br />
gestol<strong>en</strong> of verlor<strong>en</strong> rak<strong>en</strong>. Waarschijnlijk zonder d<strong>at</strong> ze er zich van bewust<br />
war<strong>en</strong>, stipp<strong>en</strong> de auteurs in de la<strong>at</strong>ste alinea van hun conclusie het security<br />
probleem in e<strong>en</strong> <strong>BYOD</strong>-omgeving aan. Hoe zit het namelijk met de grote groep<br />
gebruikers die gevoelige (bedrijfs)inform<strong>at</strong>ie hebb<strong>en</strong> staan op hun eig<strong>en</strong> mobiele<br />
appara<strong>at</strong>?<br />
[14] Van Niekerk, J. F., & Von Solms, R. (2010). Inform<strong>at</strong>ion security<br />
culture: A managem<strong>en</strong>t perspective. Computers & <strong>Security</strong>, 29(4), 476-<br />
486.<br />
Original public<strong>at</strong>ion abstract<br />
Inform<strong>at</strong>ion technology has become an integral part of modern life. Today, the<br />
use of inform<strong>at</strong>ion perme<strong>at</strong>es every aspect of both business and priv<strong>at</strong>e lives.<br />
Most organiz<strong>at</strong>ions need inform<strong>at</strong>ion systems to survive and prosper and thus<br />
need to be serious about protecting their inform<strong>at</strong>ion assets. Many of the<br />
processes needed to protect these inform<strong>at</strong>ion assets are, to a large ext<strong>en</strong>t,<br />
dep<strong>en</strong>d<strong>en</strong>t on human cooper<strong>at</strong>ed behavior. Employees, whether int<strong>en</strong>tionally or<br />
through neglig<strong>en</strong>ce, oft<strong>en</strong> due to a lack of knowledge, are the gre<strong>at</strong>est thre<strong>at</strong> to<br />
inform<strong>at</strong>ion security. It has become widely accepted th<strong>at</strong> the establishm<strong>en</strong>t of an<br />
organiz<strong>at</strong>ional sub-culture of inform<strong>at</strong>ion security is key to managing the human<br />
factors involved in inform<strong>at</strong>ion security. This paper briefly examines the g<strong>en</strong>eric<br />
concept of corpor<strong>at</strong>e culture and th<strong>en</strong> borrows from the managem<strong>en</strong>t and<br />
economical sci<strong>en</strong>ces to pres<strong>en</strong>t a conceptual model of inform<strong>at</strong>ion security<br />
culture. The pres<strong>en</strong>ted model incorpor<strong>at</strong>es the concept of elasticity from the<br />
economical sci<strong>en</strong>ces in order to show how various variables in an inform<strong>at</strong>ion<br />
security culture influ<strong>en</strong>ce each other. The purpose of the pres<strong>en</strong>ted model is to<br />
facilit<strong>at</strong>e conceptual thinking and argum<strong>en</strong>t<strong>at</strong>ion about inform<strong>at</strong>ion security<br />
culture.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs b<strong>en</strong>adrukk<strong>en</strong> het belang van inform<strong>at</strong>ietechnologie, niet alle<strong>en</strong> in de<br />
sam<strong>en</strong>leving, maar ook in alle lag<strong>en</strong> <strong>en</strong> onderdel<strong>en</strong> van de moderne<br />
bedrijfsvoering. Ze stell<strong>en</strong> d<strong>at</strong> de meeste organis<strong>at</strong>ies IT nodig hebb<strong>en</strong> om te<br />
overlev<strong>en</strong> <strong>en</strong> winst te mak<strong>en</strong>, <strong>en</strong> dus moet<strong>en</strong> ze serieus naar de bescherming<br />
van inform<strong>at</strong>ie-assets kijk<strong>en</strong>. In de public<strong>at</strong>ie wordt de rol van de m<strong>en</strong>s in ITbeveiliging<br />
nog maar e<strong>en</strong>s b<strong>en</strong>adrukt. Vooral d<strong>at</strong> ze door onwet<strong>en</strong>dheid <strong>en</strong><br />
incompet<strong>en</strong>tie e<strong>en</strong> grote dreiging kunn<strong>en</strong> zijn voor inform<strong>at</strong>iebeveiliging, of d<strong>at</strong><br />
nou bewust of onbewust is. E<strong>en</strong> juiste beveiligingscultuur binn<strong>en</strong> organis<strong>at</strong>ies is<br />
dan ook de beste manier om de risico's behor<strong>en</strong>de <strong>bij</strong> de zwakke schakel, de<br />
m<strong>en</strong>s, zo efficiënt als mogelijk te mitiger<strong>en</strong>. De auteurs onderzoek<strong>en</strong> <strong>en</strong><br />
beschrijv<strong>en</strong> in deze public<strong>at</strong>ie op g<strong>en</strong>eriek wijze het concept van bedrijfscultuur<br />
<strong>en</strong> pres<strong>en</strong>ter<strong>en</strong> e<strong>en</strong> kader om de beveiligingscultuur binn<strong>en</strong> e<strong>en</strong> bedrijf op de<br />
kaart te krijg<strong>en</strong> of te verbeter<strong>en</strong>. De auteurs beschrijv<strong>en</strong> drie niveaus van<br />
g<strong>en</strong>erieke bedrijfscultuur <strong>en</strong> vergelijk<strong>en</strong> die over e<strong>en</strong> specifieke inform<strong>at</strong>ie<br />
beveiligingscultuur.<br />
Pagina | 101
Figuur 18: Inform<strong>at</strong>ie beveiligingscultuur<br />
De auteurs concluder<strong>en</strong> in deze public<strong>at</strong>ie d<strong>at</strong> er, om e<strong>en</strong> effectieve inform<strong>at</strong>ie<br />
beveiligingscultuur te bereik<strong>en</strong>, e<strong>en</strong> vierde niveau moet kom<strong>en</strong> (Knowledge). Ze<br />
concluder<strong>en</strong> ook d<strong>at</strong> de eis<strong>en</strong> van het managem<strong>en</strong>t <strong>en</strong> de deelname van de<br />
werknemers e<strong>en</strong> sterk verband hebb<strong>en</strong>. Alle lag<strong>en</strong> in e<strong>en</strong> organis<strong>at</strong>ie moet<strong>en</strong><br />
bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> bepaalde m<strong>at</strong>e van flexibiliteit (elasticiteit) bezitt<strong>en</strong> om nu <strong>en</strong> in<br />
de toekomst goed om te kunn<strong>en</strong> gaan met inform<strong>at</strong>iebeveiliging.<br />
[15] Huang, D.-L., P<strong>at</strong>rick Rau, P.-L., Salv<strong>en</strong>dy, G., Gao, F., & Zhou, J.<br />
(2011). Factors affecting perception of inform<strong>at</strong>ion security and their<br />
impacts on IT adoption and security practices. Intern<strong>at</strong>ional Journal of<br />
Human-Computer Studies, 69(12), 870-883.<br />
Original public<strong>at</strong>ion abstract<br />
The gap betwe<strong>en</strong> the perceived security of an inform<strong>at</strong>ion system and its real<br />
security level can influ<strong>en</strong>ce people’ decisions and behavior. The objective of this<br />
study is to find effective ways to adjust people’s perception of inform<strong>at</strong>ion<br />
security, in order to <strong>en</strong>hance their int<strong>en</strong>tion to adopt IT appliances and<br />
compliance to security practices. Two separ<strong>at</strong>e experim<strong>en</strong>ts were conducted. In<br />
experim<strong>en</strong>t I, 64 participants were asked to transfer money through an ebanking<br />
system. Their int<strong>en</strong>tion to adopt e-banking was measured by a<br />
questionnaire. In experim<strong>en</strong>t II, 64 participants were asked to register on an<br />
online forum. Their subjective int<strong>en</strong>tion to cre<strong>at</strong>e a strong password was<br />
measured by a questionnaire, and the objective str<strong>en</strong>gth of the passwords they<br />
cre<strong>at</strong>ed was calcul<strong>at</strong>ed. Results of the ANOVA and the p<strong>at</strong>h models derived from<br />
the p<strong>at</strong>h analysis indic<strong>at</strong>ed th<strong>at</strong> people’s adoption int<strong>en</strong>tion, such as their<br />
int<strong>en</strong>tion to adopt e-banking, can be <strong>en</strong>hanced by changing their perceived<br />
Knowledge, Controllability and Awar<strong>en</strong>ess, while changing the perceived<br />
Controllability is most effective. The results also indic<strong>at</strong>ed th<strong>at</strong> people’s<br />
compliance to security practices, such as setting strong passwords for IT<br />
systems, can be <strong>en</strong>hanced by changing their perceived Knowledge, Severity and<br />
Possibility, while changing their perceived Knowledge and Severity is most<br />
effective. Implic<strong>at</strong>ions for further research and practice were also discussed.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
Deze public<strong>at</strong>ie is gericht op de kloof tuss<strong>en</strong> het gevoel, de perceptie, die<br />
m<strong>en</strong>s<strong>en</strong> hebb<strong>en</strong> <strong>bij</strong> de m<strong>at</strong>e van beveiliging/veiligheid van e<strong>en</strong><br />
inform<strong>at</strong>iesysteem, <strong>en</strong> de daadwerkelijke m<strong>at</strong>e van beveiliging/veiligheid ervan.<br />
Pagina | 102
Het doel van de auteurs was dan ook om te onderzoek<strong>en</strong> hoe die kloof kleiner<br />
gemaakt kan word<strong>en</strong>, namelijk door de perceptie van m<strong>en</strong>s<strong>en</strong> dichter <strong>bij</strong> de<br />
werkelijkheid te krijg<strong>en</strong>. De auteurs hebb<strong>en</strong> daarom dan ook twee experim<strong>en</strong>t<strong>en</strong><br />
uitgevoerd onder 128 person<strong>en</strong>. Uit het onderzoek bleek d<strong>at</strong> k<strong>en</strong>nis e<strong>en</strong> zeer<br />
belangrijke factor is die de kloof tuss<strong>en</strong> waarg<strong>en</strong>om<strong>en</strong> <strong>en</strong> werkelijke ITbeveiliging<br />
kan verklein<strong>en</strong>. Onwet<strong>en</strong>dheid <strong>bij</strong> medewerkers over dreiging<strong>en</strong> <strong>en</strong><br />
risico's van hun handel<strong>en</strong>, bleek e<strong>en</strong> belangrijk aspect. Bov<strong>en</strong>di<strong>en</strong> bleek uit het<br />
onderzoek d<strong>at</strong> door de auteurs is uitgevoerd d<strong>at</strong> de manier waarop medewerkers<br />
de beveiliging ervar<strong>en</strong>, (waarnem<strong>en</strong>) ook kan help<strong>en</strong> om de kloof met de<br />
werkelijkheid kleiner te mak<strong>en</strong> <strong>en</strong> accept<strong>at</strong>ie van IT te verbeter<strong>en</strong>. E<strong>en</strong><br />
applic<strong>at</strong>ie/programma/di<strong>en</strong>st die de medewerker correct, volledig <strong>en</strong> tijdig op de<br />
hoogte houdt van mogelijke beveiligingsrisico's, is hier e<strong>en</strong> goed voorbeeld van.<br />
De derde conclusie die de auteurs trokk<strong>en</strong> n.a.v. hun experim<strong>en</strong>t was d<strong>at</strong> de<br />
bereidwilligheid van medewerkers om veiliger te werk<strong>en</strong>, positief wordt beïnvloed<br />
door hun perceptie m.b.t. inform<strong>at</strong>iebeveiliging te verander<strong>en</strong>.<br />
[16] Rhee, H.-S., Kim, C., & Ryu, Y. U. (2009). Self-efficacy in<br />
inform<strong>at</strong>ion security: Its influ<strong>en</strong>ce on <strong>en</strong>d users' inform<strong>at</strong>ion security<br />
practice behavior. Computers & <strong>Security</strong>, 28(8), 816-826.<br />
Original public<strong>at</strong>ion abstract<br />
The ultim<strong>at</strong>e success of inform<strong>at</strong>ion security dep<strong>en</strong>ds on appropri<strong>at</strong>e inform<strong>at</strong>ion<br />
security practice behaviors by the <strong>en</strong>d users. Based on social cognitive theory,<br />
this study models and tests rel<strong>at</strong>ionships among self-efficacy in inform<strong>at</strong>ion<br />
security, security practice behavior and motiv<strong>at</strong>ion to str<strong>en</strong>gth<strong>en</strong> security efforts.<br />
This study also explores anteced<strong>en</strong>ts to individuals’ self-efficacy beliefs in<br />
inform<strong>at</strong>ion security. Results provide support for the many hypothesized<br />
rel<strong>at</strong>ionships. This study provides an initial step toward understanding of the<br />
applicability of social cognitive theory in a new domain of inform<strong>at</strong>ion security.<br />
The results suggest th<strong>at</strong> simply listing wh<strong>at</strong> not to do and p<strong>en</strong>alties associ<strong>at</strong>ed<br />
with a wrong doing in the users’ inform<strong>at</strong>ion security policy alone will have a<br />
limited impact on effective implem<strong>en</strong>t<strong>at</strong>ion of security measures. The findings<br />
may help inform<strong>at</strong>ion security professionals design security awar<strong>en</strong>ess programs<br />
th<strong>at</strong> more effectively increase the self-efficacy in inform<strong>at</strong>ion security.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
Ook in deze public<strong>at</strong>ie stell<strong>en</strong> de auteurs d<strong>at</strong> succesvolle inform<strong>at</strong>iebeveiliging<br />
sterk afhankelijk is van het gedrag van de gebruiker. Ze stell<strong>en</strong> d<strong>at</strong> gebruikers<br />
(medewerkers) goed betrokk<strong>en</strong> moet<strong>en</strong> word<strong>en</strong> <strong>bij</strong> inform<strong>at</strong>iebeveiliging, de<br />
risico's <strong>en</strong> gevar<strong>en</strong>. Alle<strong>en</strong> zegg<strong>en</strong> w<strong>at</strong> ze wel of niet mog<strong>en</strong> do<strong>en</strong>, heeft e<strong>en</strong><br />
beperkt effect. De auteurs hop<strong>en</strong> d<strong>at</strong> de public<strong>at</strong>ie zal leid<strong>en</strong> tot e<strong>en</strong> betere<br />
bewustwordingscampagne binn<strong>en</strong> organis<strong>at</strong>ies <strong>en</strong> d<strong>at</strong> medewerkers hun eig<strong>en</strong><br />
rol/<strong>bij</strong>drag<strong>en</strong> hierin gaan herk<strong>en</strong>n<strong>en</strong>. De auteurs stell<strong>en</strong> e<strong>en</strong> zestal hypothes<strong>en</strong><br />
voor:<br />
Hypothese 1a: Person<strong>en</strong> die in het algeme<strong>en</strong> goed om kunn<strong>en</strong> gaan met IT<br />
(zelfredzaamheid) gebruik<strong>en</strong> meer beveiligingssoftware.<br />
Hypothese 1b: Person<strong>en</strong> die in het algeme<strong>en</strong> goed om kunn<strong>en</strong> gaan met IT<br />
(zelfredzaamheid) ton<strong>en</strong> meer beveiligingsbewust gedrag.<br />
Pagina | 103
Hypothese 2: Person<strong>en</strong> die in het algeme<strong>en</strong> goed om kunn<strong>en</strong> gaan met IT<br />
(zelfredzaamheid) zijn meer g<strong>en</strong>eigd om hun best te do<strong>en</strong> de beveiliging nog<br />
verder te verbeter<strong>en</strong>.<br />
Hypothese 3a: Hoe meer ervaring iemand heeft met computers <strong>en</strong> internet, des<br />
te beter hij/zij om kan gaan met IT in het algeme<strong>en</strong> (zelfredzaamheid).<br />
Hypothese 3b: Beveiligingsincid<strong>en</strong>t<strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> neg<strong>at</strong>ief effect op de<br />
zelfredzaamheid van person<strong>en</strong>.<br />
Hypothese 4: Wanneer iemand waarneemt d<strong>at</strong> de risico's behor<strong>en</strong>de <strong>bij</strong><br />
inform<strong>at</strong>iebeveiliging beheersbaar zijn, neemt zijn/haar zelfredzaamheid in IT<br />
ook toe.<br />
Figuur 19: Onderzoeksmodel<br />
De result<strong>at</strong><strong>en</strong> uit het onderzoek d<strong>at</strong> door de auteurs is uitgevoerd, ondersteun<strong>en</strong><br />
hypothes<strong>en</strong> 1a <strong>en</strong> 1b. Meer k<strong>en</strong>nis <strong>en</strong> kunde in de IT leidt tot meer<br />
beveiligingsma<strong>at</strong>regel<strong>en</strong> <strong>en</strong> beveiligingsbewust gedrag. Ook hypothese 2 kon<br />
door het uitgevoerd onderzoek word<strong>en</strong> bevestigd. Meer k<strong>en</strong>nis <strong>en</strong> kunde in de IT<br />
leidt tot de drang naar nog betere beveiliging. Hypothese 3a <strong>en</strong> 3b kond<strong>en</strong><br />
tev<strong>en</strong>s word<strong>en</strong> ondersteund door het uitgevoerde onderzoek. Ervaring in IT leidt<br />
tot meer zelfredzaamheid <strong>en</strong> beveiligingsincid<strong>en</strong>t<strong>en</strong> hebb<strong>en</strong> inderdaad e<strong>en</strong><br />
neg<strong>at</strong>ief effect op deze zelfredzaamheid in de IT. Hypothese 4 kon ook word<strong>en</strong><br />
ondersteund door het onderzoek, bewust word<strong>en</strong> van beheersbaarheid m.b.t.<br />
inform<strong>at</strong>iebeveiliging heeft e<strong>en</strong> positieve invloed op de zelfredzaamheid. De<br />
auteurs concluder<strong>en</strong> d<strong>at</strong> het de kom<strong>en</strong>de jar<strong>en</strong> de grootste uitdaging is om<br />
gebruikers om te vorm<strong>en</strong> van de zwakste schakel naar de eerste<br />
verdedigingslinie.<br />
[17] Langheinrich, M., & Karjoth, G. (2010). Social networking and the<br />
risk to companies and institutions. Inform<strong>at</strong>ion <strong>Security</strong> Technical<br />
Report, 15(2), 51-56.<br />
Original public<strong>at</strong>ion abstract<br />
Social networks op<strong>en</strong> up new business opportunities for customer acquisition and<br />
ret<strong>en</strong>tion, facilit<strong>at</strong>e knowledge transfer within the company, and can positively<br />
influ<strong>en</strong>ce work clim<strong>at</strong>e. However, they can also quickly destroy a company image<br />
th<strong>at</strong> took years to build, while the use of social networks <strong>at</strong> work not only risks a<br />
loss in productivity but may also undermine legal oblig<strong>at</strong>ions. Eager networkers<br />
might also divulge company internals to competitors or the public <strong>at</strong> large. And<br />
last but not least, “fri<strong>en</strong>dships” op<strong>en</strong> up completely new <strong>at</strong>tack vectors for<br />
Pagina | 104
professional hackers, thus significantly increasing company exposure to online<br />
break-ins. This article briefly summarizes the opportunities and dangers th<strong>at</strong> this<br />
developm<strong>en</strong>t poses for business. This contribution is based on an earlier article<br />
by the same authors (in German) (Langheinrich and Karjoth, 2010).<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs van deze public<strong>at</strong>ie richt<strong>en</strong> zich specifiek op de risico's van sociale<br />
netwerk<strong>en</strong> voor organis<strong>at</strong>ies. De auteurs v<strong>at</strong>t<strong>en</strong> kort de voordel<strong>en</strong> <strong>en</strong> de sam<strong>en</strong><br />
van sociale netwerk<strong>en</strong>. Ze legg<strong>en</strong> uit w<strong>at</strong> sociale netwerk<strong>en</strong> zijn, w<strong>at</strong> je er al<br />
bedrijf mee kunt <strong>en</strong> hoe het (str<strong>at</strong>egisch) voordeel kan bied<strong>en</strong>. De nadel<strong>en</strong> voor<br />
organis<strong>at</strong>ies ligg<strong>en</strong> volg<strong>en</strong>s de auteurs o.a. in tijd die werknemers sp<strong>en</strong>der<strong>en</strong> op<br />
sociale netwerk<strong>en</strong> terwijl ze eig<strong>en</strong>lijk aan het werk zoud<strong>en</strong> moet<strong>en</strong> zijn, maar d<strong>at</strong><br />
is niet het ergste. Het grootste gevaar voor organis<strong>at</strong>ies is uitlekk<strong>en</strong> van allerlei<br />
(vertrouwelijke) bedrijfsgegev<strong>en</strong>s. D<strong>en</strong>k hier<strong>bij</strong> aan st<strong>at</strong>istische inform<strong>at</strong>ie waar<br />
andere partij<strong>en</strong> of concurr<strong>en</strong>t<strong>en</strong> voordeel mee kunn<strong>en</strong> behal<strong>en</strong>. Dit uitlekk<strong>en</strong>, kan<br />
zowel bewust als onbewust gebeur<strong>en</strong>. Ook communic<strong>at</strong>ie tuss<strong>en</strong> werknemers <strong>en</strong><br />
ander<strong>en</strong> via sociale netwerk<strong>en</strong>, zoals Facebook of Twitter, kan e<strong>en</strong> groot gevaar<br />
voor de inform<strong>at</strong>ieveiligheid betek<strong>en</strong><strong>en</strong>. Daarnaast vorm<strong>en</strong> sociale netwerk<strong>en</strong><br />
volg<strong>en</strong>s de auteurs nieuwe ingang<strong>en</strong> voor hackers. D<strong>en</strong>k aan social <strong>en</strong>gineering<br />
of phishing doord<strong>at</strong> bepaalde gegev<strong>en</strong>s via sociale netwerk<strong>en</strong> bek<strong>en</strong>d rak<strong>en</strong>. Of<br />
malware die via sociale netwerk<strong>en</strong> de inform<strong>at</strong>iesystem<strong>en</strong> kunn<strong>en</strong> bereik<strong>en</strong> <strong>en</strong><br />
infecter<strong>en</strong>. De auteurs concluder<strong>en</strong> d<strong>at</strong> het "opvoed<strong>en</strong>" van het eig<strong>en</strong> personeel<br />
de sleutel is, naast e<strong>en</strong> aantal technologische ma<strong>at</strong>regel<strong>en</strong>.<br />
[18] Moore, T. (2010). The economics of cybersecurity: Principles and<br />
policy options. Intern<strong>at</strong>ional Journal of Critical Infrastructure Protection,<br />
3(3-4), 103-117.<br />
Original public<strong>at</strong>ion abstract<br />
Economics puts the chall<strong>en</strong>ges facing cybersecurity into perspective better than a<br />
purely technical approach does. Systems oft<strong>en</strong> fail because the organiz<strong>at</strong>ions<br />
th<strong>at</strong> def<strong>en</strong>d them do not bear the full costs of failure. For instance, companies<br />
oper<strong>at</strong>ing critical infrastructures have integr<strong>at</strong>ed control systems with the<br />
Internet to reduce near-term, measurable costs while raising the risk of<br />
c<strong>at</strong>astrophic failures, whose losses will be primarily borne by society. As long as<br />
anti-virus software is left to individuals to purchase and install, there may be a<br />
less than optimal level of protection wh<strong>en</strong> infected machines cause trouble for<br />
other machines r<strong>at</strong>her than their owners. In order to solve the problems<br />
of growing vulnerability and increasing crime, policy and legisl<strong>at</strong>ion must<br />
coher<strong>en</strong>tly alloc<strong>at</strong>e responsibilities and liabilities so th<strong>at</strong> the parties in a position<br />
to fix problems have an inc<strong>en</strong>tive to do so. In this paper, we examine the<br />
economic chall<strong>en</strong>ges th<strong>at</strong> plague cybersecurity: misaligned inc<strong>en</strong>tives,<br />
inform<strong>at</strong>ion asymmetries, and externalities. We th<strong>en</strong> discuss the regul<strong>at</strong>ory<br />
options th<strong>at</strong> are available to overcome these barriers in the cybersecurity<br />
context: ex ante safety regul<strong>at</strong>ion, ex post liability, inform<strong>at</strong>ion disclosure, and<br />
indirect intermediary liability. Finally, we make several recomm<strong>en</strong>d<strong>at</strong>ions for<br />
policy changes to improve cybersecurity: mitig<strong>at</strong>ing malware infections via ISPs<br />
by subsidized cleanup, mand<strong>at</strong>ory disclosure of fraud losses and security<br />
incid<strong>en</strong>ts, mand<strong>at</strong>ory disclosure of control system incid<strong>en</strong>ts and intrusions, and<br />
aggreg<strong>at</strong>ing reports of cyber espionage and providing them to the World Trade<br />
Organiz<strong>at</strong>ion (WTO).<br />
Pagina | 105
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs van deze public<strong>at</strong>ie richt<strong>en</strong> zich op de economie achter<br />
inform<strong>at</strong>iebeveiliging <strong>en</strong> gaan op zoek naar de uitdaging<strong>en</strong> daarin. De public<strong>at</strong>ie<br />
begint met de belangrijkste bedreiging<strong>en</strong> volg<strong>en</strong>s de auteurs:<br />
1. Online id<strong>en</strong>titeitsdiefstal<br />
2. Industriële cyberspionage<br />
3. Bescherming van kritieke infrastructuur<br />
4. Botnets<br />
In deze public<strong>at</strong>ie gaan de auteurs ook in op de economische barrières <strong>bij</strong> het<br />
verbeter<strong>en</strong> van de inform<strong>at</strong>iebeveiliging:<br />
1. Verkeerd afgestemde stimuli om te bescherm<strong>en</strong>; er blijkt e<strong>en</strong> groot<br />
verschil te zitt<strong>en</strong> tuss<strong>en</strong> deg<strong>en</strong><strong>en</strong> die verantwoordelijk zijn voor de<br />
beveiliging <strong>en</strong>erzijds <strong>en</strong> deg<strong>en</strong><strong>en</strong> die ba<strong>at</strong> hebb<strong>en</strong> <strong>bij</strong> voldo<strong>en</strong>de beveiliging<br />
anderzijds.<br />
2. Ongelijkheid in de inform<strong>at</strong>ievoorzi<strong>en</strong>ing; exacte inform<strong>at</strong>ie over<br />
hoeveel geld er door hackers wordt buit gemaakt, hoeveel schade<br />
organis<strong>at</strong>ies lijd<strong>en</strong> <strong>en</strong> hoe vaak er succesvol ingebrok<strong>en</strong> wordt, is niet<br />
bek<strong>en</strong>d. Sommige partij<strong>en</strong> zijn er<strong>bij</strong> geba<strong>at</strong> om cijfers <strong>en</strong> getall<strong>en</strong> te<br />
overdrijv<strong>en</strong>, ander<strong>en</strong> juist niet.<br />
3. Externe factor<strong>en</strong>; de IT industrie k<strong>en</strong>merkt zich door aanwezigheid van<br />
e<strong>en</strong> veelvoud aan verschill<strong>en</strong>de externe factor<strong>en</strong> waar<strong>bij</strong> individuele acties<br />
invloed hebb<strong>en</strong> op ander<strong>en</strong>.<br />
Vervolg<strong>en</strong>s kom<strong>en</strong> de auteurs met e<strong>en</strong> aantal g<strong>en</strong>erieke, mogelijke oplossing<strong>en</strong><br />
voor bov<strong>en</strong>g<strong>en</strong>oemde drie barrières:<br />
1. Wettelijk ingrijp<strong>en</strong>; er word<strong>en</strong> e<strong>en</strong> aantal mogelijkhed<strong>en</strong> besprok<strong>en</strong>,<br />
maar die geld<strong>en</strong> alle<strong>en</strong> de VS, zoals ex ante regul<strong>at</strong>ion <strong>en</strong> ex post liability.<br />
2. Inform<strong>at</strong>ie op<strong>en</strong>baar mak<strong>en</strong>; inform<strong>at</strong>ie over beveiligingsincid<strong>en</strong>t<strong>en</strong><br />
op<strong>en</strong>baar mak<strong>en</strong>, kan ervoor zorg<strong>en</strong> d<strong>at</strong> organis<strong>at</strong>ies het hoger op de<br />
ag<strong>en</strong>da gaan zett<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> moet de sam<strong>en</strong>leving meer op de hoogte<br />
zijn hiervan, zorgt voor meer begrip <strong>en</strong> wellicht meed<strong>en</strong>k<strong>en</strong>.<br />
3. Verzeker<strong>en</strong> teg<strong>en</strong> de gevolg<strong>en</strong> van beveiligingsincid<strong>en</strong>t<strong>en</strong>;<br />
verzeker<strong>en</strong> is e<strong>en</strong> instrum<strong>en</strong>t om risico's te manag<strong>en</strong>. Verzeker<strong>en</strong><br />
hierteg<strong>en</strong> is e<strong>en</strong> aanmoediging voor organis<strong>at</strong>ies om hun<br />
inform<strong>at</strong>iebeveiliging nog beter op orde te krijg<strong>en</strong>. Helaas will<strong>en</strong> maar<br />
weinig verzekeraars hun hand<strong>en</strong> aan deze nieuwe tak van sport brand<strong>en</strong>.<br />
De auteurs pres<strong>en</strong>ter<strong>en</strong> e<strong>en</strong> viertal aanbeveling<strong>en</strong> in deze public<strong>at</strong>ie:<br />
1. Mitiger<strong>en</strong> van malware infecties; Internet providers gesubsidieerd e<strong>en</strong><br />
grote schoonmaak l<strong>at</strong><strong>en</strong> uitvoer<strong>en</strong>. Deze ma<strong>at</strong>regel moet de dreiging <strong>en</strong><br />
gevar<strong>en</strong> van botnets teg<strong>en</strong>gaan, volg<strong>en</strong>s de auteurs.<br />
Pagina | 106
2. Opgelegde op<strong>en</strong>baarmaking van verliez<strong>en</strong> door fraude <strong>en</strong><br />
beveiligingsincid<strong>en</strong>t<strong>en</strong>; periodieke public<strong>at</strong>ie van cijfers over relevante<br />
<strong>en</strong> belangrijke beveiligingsincid<strong>en</strong>t<strong>en</strong>. D<strong>en</strong>k aan de hoeveelheid incid<strong>en</strong>t<strong>en</strong>,<br />
w<strong>at</strong> is buitgemaakt <strong>en</strong> w<strong>at</strong> is de waarde daarvan, wie war<strong>en</strong> de<br />
slachtoffers <strong>en</strong> hoe zijn die demografisch gepla<strong>at</strong>st? Maar ook inform<strong>at</strong>ie<br />
over hoe is aangevall<strong>en</strong> (welke techniek, vector).<br />
3. Opgelegde op<strong>en</strong>baarmaking van inform<strong>at</strong>ie over incid<strong>en</strong>t<strong>en</strong><br />
rondom beveiligingssystem<strong>en</strong> <strong>en</strong> daadwerkelijke inbrak<strong>en</strong>; zelfs als<br />
er ge<strong>en</strong> zicht/merkbare schade aangericht of geconst<strong>at</strong>eerd is, is van<br />
belang d<strong>at</strong> poging<strong>en</strong> tot inbraak of inbrak<strong>en</strong> zonder zichtbaar effect, toch<br />
publiekelijk gemaakt moet<strong>en</strong> word<strong>en</strong>.<br />
4. Aggregeer alle melding<strong>en</strong> van cyberspionage <strong>en</strong> meld dit <strong>bij</strong> de World<br />
Trade Organis<strong>at</strong>ion; het is e<strong>en</strong> globaal probleem d<strong>at</strong> op globale schaal<br />
erk<strong>en</strong>d <strong>en</strong> aangepakt moet word<strong>en</strong>.<br />
[19] Shabtai, A., Kanonov, U., Elovici, Y., Glezer, C., & Weiss, Y. (2011).<br />
“Andromaly”: a behavioral malware detection framework for android<br />
devices. Journal of Intellig<strong>en</strong>t Inform<strong>at</strong>ion Systems, 38(1), 161-190.<br />
Original public<strong>at</strong>ion abstract<br />
This article pres<strong>en</strong>ts Andromaly—a framework for detecting malware on<br />
Android mobile devices. The proposed framework realizes a Host-based Malware<br />
Detection System th<strong>at</strong> continuously monitors various fe<strong>at</strong>ures and ev<strong>en</strong>ts<br />
obtained from the mobile device and th<strong>en</strong> applies Machine Learning anomaly<br />
detectors to classify the collected d<strong>at</strong>a as normal (b<strong>en</strong>ign) or abnormal<br />
(malicious). Since no malicious applic<strong>at</strong>ions are yet available for Android, we<br />
developed four malicious applic<strong>at</strong>ions, and evalu<strong>at</strong>ed Andromaly’s ability to<br />
detect new malware based on samples of known malware. We evalu<strong>at</strong>ed several<br />
combin<strong>at</strong>ions of anomaly detection algorithms, fe<strong>at</strong>ure selection method and the<br />
number of top fe<strong>at</strong>ures in order to find the combin<strong>at</strong>ion th<strong>at</strong> yields the best<br />
performance in detecting new malware on Android. Empirical results suggest th<strong>at</strong><br />
the proposed framework is effective in detecting malware on mobile devices in<br />
g<strong>en</strong>eral and on Android in particular.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze public<strong>at</strong>ie beschrijv<strong>en</strong> de auteurs de opkomst van mobiele appar<strong>at</strong><strong>en</strong>,<br />
hun voor- <strong>en</strong> nadel<strong>en</strong>. Ze stell<strong>en</strong> bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> theoretisch framework (kader)<br />
voor Android-gebaseerde appar<strong>at</strong><strong>en</strong> voor. Omd<strong>at</strong> er op mom<strong>en</strong>t van schrijv<strong>en</strong>,<br />
volg<strong>en</strong>s de auteurs nog ge<strong>en</strong> Android malware beschikbaar was, hebb<strong>en</strong> ze zelf<br />
malware gecreëerd. Hun oplossing is gericht op detectie van nog onbek<strong>en</strong>de<br />
malware voor dit pl<strong>at</strong>form. De voorgestelde oplossing heeft weinig<br />
systeembronn<strong>en</strong> nodig <strong>en</strong> moet op het mobiele appara<strong>at</strong> zelf geïnstalleerd moet<br />
word<strong>en</strong>. Het houdt continue e<strong>en</strong> aantal systeemmetriek<strong>en</strong> in de g<strong>at</strong><strong>en</strong> <strong>en</strong><br />
analyseert deze. Verdacht gedrag van process<strong>en</strong> of tak<strong>en</strong>, <strong>en</strong> afwijk<strong>en</strong>de<br />
activiteit<strong>en</strong>, kunn<strong>en</strong> volg<strong>en</strong>s de auteurs hiermee word<strong>en</strong> geïd<strong>en</strong>tificeerd <strong>en</strong><br />
gedetecteerd. Hier<strong>bij</strong> nem<strong>en</strong> de auteurs aan d<strong>at</strong> systeemmetriek<strong>en</strong> zoals CPU<br />
verbruik, het aantal <strong>en</strong> soort draai<strong>en</strong>de process<strong>en</strong>, d<strong>at</strong>apakkett<strong>en</strong> verstuurt via<br />
Wifi, accuconsumptie etc. gebruikt kunn<strong>en</strong> word<strong>en</strong> om p<strong>at</strong>ron<strong>en</strong> <strong>en</strong><br />
overe<strong>en</strong>komst<strong>en</strong> met al bek<strong>en</strong>de malware te ontdekk<strong>en</strong>. De auteurs hebb<strong>en</strong> e<strong>en</strong><br />
Pagina | 107
mooi overzicht (Tabel 17) gemaakt van eerder, relevant <strong>en</strong> vergelijkbaar<br />
academisch onderzoek m.b.t. beveiliging van mobiele appar<strong>at</strong><strong>en</strong>.<br />
Tabel 17: Eerder uitgevoerd academisch onderzoek<br />
De auteurs concluder<strong>en</strong> in deze public<strong>at</strong>ie d<strong>at</strong> ze het nodig acht<strong>en</strong>, gezi<strong>en</strong> het<br />
op<strong>en</strong> karakter <strong>en</strong> architectuur van het Android besturingssysteem, om e<strong>en</strong> extra<br />
laag van beveiligingssoftware aan te br<strong>en</strong>g<strong>en</strong>. Deze laag bezit dan anti-malware<br />
functionaliteit, e<strong>en</strong> firewall, betere toegangscontrole <strong>en</strong> e<strong>en</strong> Intrusion Detection<br />
systeem. Ze stell<strong>en</strong> bov<strong>en</strong>di<strong>en</strong> d<strong>at</strong>, net als <strong>bij</strong> het PC pl<strong>at</strong>form, er ge<strong>en</strong> "zilver<strong>en</strong><br />
kogel" is voor het beveiligingsprobleem.<br />
[20] Androulidakis, I., & Kandus, G. (2011). Differ<strong>en</strong>ces in Users’ St<strong>at</strong>e<br />
of Awar<strong>en</strong>ess and Practices Regarding Mobile Phones <strong>Security</strong> Among EU<br />
Countries. Ljubljana, Slov<strong>en</strong>ia: Departm<strong>en</strong>t of Communic<strong>at</strong>ion Systems.<br />
Original public<strong>at</strong>ion abstract<br />
As a style st<strong>at</strong>em<strong>en</strong>t and useful communic<strong>at</strong>ion device, the mobile phone has<br />
become a vital part of daily life for the majority of popul<strong>at</strong>ion in the developed<br />
world. While we are <strong>en</strong>joying the technological advances th<strong>at</strong> mobile phones<br />
offer, we are also facing new security risks coming as a cost of our increasing<br />
dep<strong>en</strong>d<strong>en</strong>ce on the b<strong>en</strong>efits of wireless communic<strong>at</strong>ions. In order to investig<strong>at</strong>e<br />
users’ security awar<strong>en</strong>ess and practices with regard to security in mobile phones,<br />
in this paper, we pres<strong>en</strong>t the results of a survey conducted in 17 Universities of<br />
10 Eastern and Southern Europe countries. 7172 questionnaires were g<strong>at</strong>hered<br />
and processed with the results showing th<strong>at</strong> users feel th<strong>at</strong> mobile phone<br />
communic<strong>at</strong>ion is moder<strong>at</strong>ely secure. The survey further showed th<strong>at</strong> users are<br />
unaware of the necessary measures to avoid a possible unauthorized access<br />
and/or s<strong>en</strong>sitive d<strong>at</strong>a retrieval from their phones and th<strong>at</strong> they lack proper<br />
security educ<strong>at</strong>ion. It is unquestionable th<strong>at</strong> since users fail to secure their<br />
phones, industry and academia should proceed in educ<strong>at</strong>ing them and designing<br />
better user interfaces in order to mitig<strong>at</strong>e the risks.<br />
Pagina | 108
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De twee auteurs van deze public<strong>at</strong>ie beginn<strong>en</strong> met e<strong>en</strong> introductie over de<br />
toeg<strong>en</strong>om<strong>en</strong> afhankelijkheid van mobiele appar<strong>at</strong><strong>en</strong>, vooral smartphones. Ze<br />
erk<strong>en</strong>n<strong>en</strong> d<strong>at</strong> de huidige mobiele appar<strong>at</strong><strong>en</strong> veel nieuwe mogelijkhed<strong>en</strong> bied<strong>en</strong>,<br />
maar tegelijkertijd ook nieuwe beveiligingsproblem<strong>en</strong> met zich meebr<strong>en</strong>g<strong>en</strong>. Ze<br />
hebb<strong>en</strong> daarom e<strong>en</strong> onderzoek uitgevoerd onder ruim 7000 m<strong>en</strong>s<strong>en</strong>, uit 10<br />
verschill<strong>en</strong>de Europese land<strong>en</strong>, naar hoe bewust m<strong>en</strong>s<strong>en</strong> zijn van de risico's van<br />
smartphones. De result<strong>at</strong><strong>en</strong> lieg<strong>en</strong> er niet om, ruim 2\3 van de respond<strong>en</strong>t<strong>en</strong><br />
bleek helemaal niet, slecht of maar m<strong>at</strong>ig op de hoogte te zijn van de<br />
beveiligingsmogelijkhed<strong>en</strong> <strong>en</strong>/of risico's.<br />
[21] Traynor, P., Amrutkar, C., Rao, V., Jaeger, T., McDaniel, P., & La<br />
Porta, T. (2011). From mobile phones to responsible devices. <strong>Security</strong><br />
and Communic<strong>at</strong>ion Networks, 4(6), 719-726.<br />
Original public<strong>at</strong>ion abstract<br />
Mobile phones have evolved from simple voice terminals into highly-capable,<br />
g<strong>en</strong>eral-purpose computing pl<strong>at</strong>forms. While people are becoming increasingly<br />
more dep<strong>en</strong>d<strong>en</strong>t on such devices to perform s<strong>en</strong>sitive oper<strong>at</strong>ions, protect secret<br />
d<strong>at</strong>a, and be available for emerg<strong>en</strong>cy use, it is clear th<strong>at</strong> phone oper<strong>at</strong>ing<br />
systems are not ready to become mission-critical systems. Through a pair of<br />
vulnerabilities and a simul<strong>at</strong>ed <strong>at</strong>tack on a cellular network, we demonstr<strong>at</strong>e th<strong>at</strong><br />
there are a myriad of unmanaged mechanisms on mobile phones, and th<strong>at</strong><br />
control of these mechanisms is vital to achieving reliable use. Through such<br />
vectors, mobile phones introduce a variety of new thre<strong>at</strong>s to their own<br />
applic<strong>at</strong>ions and the telecommunic<strong>at</strong>ions infrastructure itself. In this paper, we<br />
examine the requirem<strong>en</strong>ts for providing effective medi<strong>at</strong>ion and access control<br />
for mobile phones. We th<strong>en</strong> discuss the converg<strong>en</strong>ce of cellular networks with the<br />
Internet and its impact on effective resource managem<strong>en</strong>t and quality of service.<br />
Based on these results, we argue for user devices th<strong>at</strong> <strong>en</strong>able predictable<br />
behavior in a network—where their trusted computing bases can protect key<br />
applic<strong>at</strong>ions and cre<strong>at</strong>e predictable network impact.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs van deze public<strong>at</strong>ie stell<strong>en</strong> d<strong>at</strong> de besturingssystem<strong>en</strong> van mobiele<br />
appar<strong>at</strong><strong>en</strong> zoals smartphones nog niet volwass<strong>en</strong> <strong>en</strong> veilig g<strong>en</strong>oeg zijn om ze te<br />
gebruik<strong>en</strong> voor bedrijfskritische activiteit<strong>en</strong>. Dit ton<strong>en</strong> ze ook aan in deze<br />
public<strong>at</strong>ie. Volg<strong>en</strong>s de auteurs bezitt<strong>en</strong> moderne smartphones e<strong>en</strong> groot aantal<br />
zwakhed<strong>en</strong> waardoor nieuwe bedreiging<strong>en</strong> ontstaan. De auteurs analyser<strong>en</strong> de<br />
kwetsbaarhed<strong>en</strong> van het (verouderde) Symbian mobiele besturingssysteem:<br />
1. Key logging; alle invoer via het toets<strong>en</strong>bord, wordt opgeslag<strong>en</strong>.<br />
2. Remote command execution; aanvaller kan op afstand e<strong>en</strong> smartphone<br />
tak<strong>en</strong> l<strong>at</strong><strong>en</strong> uitvoer<strong>en</strong>.<br />
3. Network impact; smartphones die gecompromitteerd zijn, kunn<strong>en</strong> e<strong>en</strong><br />
aanzi<strong>en</strong>lijke neg<strong>at</strong>ieve invloed hebb<strong>en</strong> op de bandbreedte van het<br />
mobiele/draadloze netwerk waar ze mee verbond<strong>en</strong> zijn.<br />
Ze concluder<strong>en</strong> d<strong>at</strong> techniek tot op e<strong>en</strong> zeker hoogte de beveiliging van mobiele<br />
appar<strong>at</strong><strong>en</strong> zoals smartphones kan verbeter<strong>en</strong>, maar d<strong>at</strong> e<strong>en</strong> fundam<strong>en</strong>tele<br />
verandering in de filosofie nodig is om daadwerkelijke bescherming te bied<strong>en</strong> aan<br />
belangrijke bedrijfsinform<strong>at</strong>iesystem<strong>en</strong>.<br />
Pagina | 109
[22] Becher, M., Freiling, F. C., Hoffmann, J., Holz, T., Uell<strong>en</strong>beck, S., &<br />
Wolf, C. (2011). Mobile <strong>Security</strong> C<strong>at</strong>ching Up? Revealing the Nuts and<br />
Bolts of the <strong>Security</strong> of Mobile Devices. Paper pres<strong>en</strong>ted <strong>at</strong> the IEEE<br />
Symposium on <strong>Security</strong> and Privacy.<br />
Original public<strong>at</strong>ion abstract<br />
We are curr<strong>en</strong>tly moving from the Internet society to a mobile society where<br />
more and more access to inform<strong>at</strong>ion is done by previously dumb phones. For<br />
example, the number of mobile phones using a full blown OS has ris<strong>en</strong> to nearly<br />
200% from Q3/2009 to Q3/2010. As a result, mobile security is no longer<br />
imman<strong>en</strong>t, but imper<strong>at</strong>ive. This survey paper provides a concise overview of<br />
mobile network security, <strong>at</strong>tack vectors using the back <strong>en</strong>d system and the web<br />
browser, but also the hardware layer and the user as <strong>at</strong>tack <strong>en</strong>abler. We show<br />
differ<strong>en</strong>ces and similarities betwe<strong>en</strong> “normal” security and mobile security, and<br />
draw conclusions for further research opportunities in this area.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteurs van deze public<strong>at</strong>ie bevestig<strong>en</strong> de to<strong>en</strong>ame in gebruik van mobiele<br />
appar<strong>at</strong><strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is het aantal smartphones met e<strong>en</strong> volledig<br />
besturingssysteem de la<strong>at</strong>ste tijd flink toeg<strong>en</strong>om<strong>en</strong>. Dit maakt mobiele<br />
beveiliging tot e<strong>en</strong> absolute noodzaak. Deze public<strong>at</strong>ie toont e<strong>en</strong> beknopt<br />
overzicht van mobiele netwerkbeveiliging, verschill<strong>en</strong>de aanvalsmanier<strong>en</strong> ev<strong>en</strong>als<br />
de kwetsbaarheid van de hardware <strong>en</strong> de gebruiker zelf. De auteurs b<strong>en</strong>oem<strong>en</strong><br />
tev<strong>en</strong>s overe<strong>en</strong>komst<strong>en</strong> <strong>en</strong> verschill<strong>en</strong> tuss<strong>en</strong> mobiele <strong>en</strong> "normale" beveiliging.<br />
De auteurs vrag<strong>en</strong> zich hardop af op welke wijze onderzoek naar de specifieke<br />
beveiliging van mobiele appar<strong>at</strong><strong>en</strong> afwijkt van d<strong>at</strong> van onderzoek naar g<strong>en</strong>eriek<br />
beveiliging. Is het mogelijk om de al aanwezig k<strong>en</strong>nis over beveiliging van de<br />
gewone desktop PC over te zett<strong>en</strong> naar mobiele appar<strong>at</strong><strong>en</strong>? De auteurs vind<strong>en</strong><br />
van niet. Ze stell<strong>en</strong> d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> teveel specifieke k<strong>en</strong>merk<strong>en</strong> bezitt<strong>en</strong><br />
om nieuw onderzoek te rechtvaardig<strong>en</strong>. Dit zijn volg<strong>en</strong>s de auteurs:<br />
1. Mak<strong>en</strong> van kost<strong>en</strong>; e<strong>en</strong> inher<strong>en</strong>te mogelijkheid van mobiele appar<strong>at</strong><strong>en</strong> is<br />
om kost<strong>en</strong> voor de gebruiker, <strong>en</strong> opbr<strong>en</strong>gst<strong>en</strong> voor de aanvall<strong>en</strong>, te<br />
g<strong>en</strong>erer<strong>en</strong>. Deze c<strong>at</strong>egorie is volg<strong>en</strong>s de auteurs onder te verdel<strong>en</strong> in:<br />
Billed ev<strong>en</strong>ts (zoals inbell<strong>en</strong>)<br />
Paym<strong>en</strong>t Systems (zoals apps kop<strong>en</strong>)<br />
2. Netwerk omgeving; besta<strong>at</strong> uit drie sub-aspect<strong>en</strong>:<br />
Strong connection (provider heeft veel invloed op appara<strong>at</strong>)<br />
Firmware upd<strong>at</strong>e process (op afstand firmware,<br />
besturingssysteem of applic<strong>at</strong>ies <strong>bij</strong>werk<strong>en</strong>)<br />
Remote Device managem<strong>en</strong>t (de mogelijkheid om beheerd te<br />
word<strong>en</strong> door e<strong>en</strong> externe <strong>en</strong>titeit)<br />
3. Beperkte systeembronn<strong>en</strong>;<br />
Processor <strong>en</strong> RAM<br />
Accu<br />
4. Dubbel belasting door de draadloze connectie<br />
Belasting op de rek<strong>en</strong> hardware<br />
Kost<strong>en</strong> van de draadloze connectie<br />
Pagina | 110
5. Reput<strong>at</strong>ie; de specifieke reput<strong>at</strong>ie van mobiele appar<strong>at</strong><strong>en</strong> kan gezi<strong>en</strong><br />
word<strong>en</strong> als zwak. De provider stuurt voor elke activiteit e<strong>en</strong> rek<strong>en</strong>ing, ook<br />
al wordt het veroorzaakt door malware.<br />
Figuur 20: Specifieke k<strong>en</strong>merk<strong>en</strong> van mobiele appar<strong>at</strong><strong>en</strong><br />
De auteurs pres<strong>en</strong>ter<strong>en</strong> in deze public<strong>at</strong>ie e<strong>en</strong> aantal c<strong>at</strong>egorieën van<br />
aanvalsmanier<strong>en</strong> (vector<strong>en</strong>) m.b.t. smartphones:<br />
1. Op de hardware gerichte aanvall<strong>en</strong><br />
2. Appara<strong>at</strong> onafhankelijke aanvall<strong>en</strong><br />
3. Op de software gerichte aanvall<strong>en</strong><br />
4. Aanvall<strong>en</strong> op het niveau van de gebruiker<br />
Aanvallers hebb<strong>en</strong> volg<strong>en</strong>s de auteurs één van de volg<strong>en</strong>de doelstelling<strong>en</strong>:<br />
1. Afluister<strong>en</strong><br />
2. D<strong>en</strong>ial of Service aanvall<strong>en</strong> (availability <strong>at</strong>tacks)<br />
3. Aanval op iemands <strong>privacy</strong><br />
4. Id<strong>en</strong>titeitsdiefstal<br />
De auteurs concluder<strong>en</strong> de public<strong>at</strong>ie door e<strong>en</strong> aantal ontwikkeling<strong>en</strong> te<br />
beschrijv<strong>en</strong> die de result<strong>at</strong><strong>en</strong> van hun onderzoek in de toekomst zoud<strong>en</strong> kunn<strong>en</strong><br />
beïnvloed<strong>en</strong>, dit zijn:<br />
1. Het "mak<strong>en</strong> van kost<strong>en</strong>" zal in de toekomst e<strong>en</strong> nog veel belangrijker<br />
onderwerp word<strong>en</strong>.<br />
2. De netwerkomgeving zal hoogst waarschijnlijk ongewijzigd blijv<strong>en</strong>.<br />
3. Het belang van e<strong>en</strong> dure, draadloze verbinding zal in de toekomst kleiner<br />
word<strong>en</strong>.<br />
4. De beperking van systeembronn<strong>en</strong> zal minder word<strong>en</strong> in de toekomst, met<br />
als resulta<strong>at</strong> meer rek<strong>en</strong>kracht <strong>en</strong> meer geheug<strong>en</strong>.<br />
5. De onwet<strong>en</strong>de gebruiker zal zich meer bewust gaan word<strong>en</strong> van de<br />
beveiliging <strong>en</strong> risico's wanneer mobiele appar<strong>at</strong><strong>en</strong> het grote publiek<br />
bereik<strong>en</strong>.<br />
6. Heterog<strong>en</strong>iteit in mobiele appar<strong>at</strong><strong>en</strong>, besturingssystem<strong>en</strong> <strong>en</strong> applic<strong>at</strong>ies<br />
neemt af, w<strong>at</strong> de beveiligingsproblem<strong>en</strong> <strong>en</strong> risico's kan mitiger<strong>en</strong>.<br />
Pagina | 111
[23] Landman, M. (2010). Managing smart phone security risks. Paper<br />
pres<strong>en</strong>ted <strong>at</strong> the InfoSecCD '10, K<strong>en</strong>nesaw, GA, USA.<br />
Original public<strong>at</strong>ion abstract<br />
Smart phones, their oper<strong>at</strong>ing systems and security characteristics have rapidly<br />
evolved as has the reliance upon them by organiz<strong>at</strong>ions to conduct business. The<br />
unusual mix of personal and business use for smart phones as well as their<br />
unique combin<strong>at</strong>ion of capabilities cre<strong>at</strong>es a number of chall<strong>en</strong>ges to managing<br />
their risk. This paper explores the types and n<strong>at</strong>ure of thre<strong>at</strong>s to the organiz<strong>at</strong>ion<br />
from the use of smart phones along with controls, available security software and<br />
tools. The curr<strong>en</strong>t st<strong>at</strong>e of corpor<strong>at</strong>e smart phone security programs and policies<br />
is examined. Smart phone security policy consider<strong>at</strong>ions are discussed and<br />
recomm<strong>en</strong>d<strong>at</strong>ions are made for building a smartphone security program.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteur van deze public<strong>at</strong>ie erk<strong>en</strong>t d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong>, zoals smartphones,<br />
steeds vaker word<strong>en</strong> gebruikt voor bedrijfsdoeleind<strong>en</strong>. Ze bied<strong>en</strong> volg<strong>en</strong>s de<br />
auteur dan ook vanuit beveiligingsperspectief, nieuwe managem<strong>en</strong>tuitdaging<strong>en</strong>.<br />
In deze public<strong>at</strong>ie word<strong>en</strong> de verschill<strong>en</strong>de soort<strong>en</strong> bedreiging<strong>en</strong> voor<br />
organis<strong>at</strong>ies, <strong>bij</strong> het gebruik van smartphones, in kaart gebracht. De auteur<br />
onderzoekt tev<strong>en</strong>s de huidige sta<strong>at</strong> van beveiligingsimplem<strong>en</strong>t<strong>at</strong>ies <strong>en</strong><br />
<strong>bij</strong>behor<strong>en</strong>d beleid.<br />
De auteur stelt in het begin van de public<strong>at</strong>ie d<strong>at</strong> de beveiliging die gebruikt word<br />
<strong>bij</strong> gewone Pc’s niet zomaar ingezet kan word<strong>en</strong> <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong>, daarvoor<br />
zijn ze te verschill<strong>en</strong>d. Ze ondermijn<strong>en</strong> zelfs het huidige beveiligingsbeleid voor<br />
gewone Pc’s. Omd<strong>at</strong> smartphones vaan voor professionele <strong>en</strong> privé doeleinde<br />
wordt gebruikt, is het opstell<strong>en</strong> <strong>en</strong> handhav<strong>en</strong> van e<strong>en</strong> goed beveiligingsmodel<br />
<strong>en</strong> beleid volg<strong>en</strong>s de auteur lastig. Conv<strong>en</strong>tionele viruss<strong>en</strong> zijn niet de grootste<br />
bedreiging voor smartphones volg<strong>en</strong>s de auteur, zoals ze d<strong>at</strong> zijn op pc's. Vaker<br />
is de dreiging gewoon slechte code of niet goed functioner<strong>en</strong>de toepassing<strong>en</strong>. De<br />
dreiging van opzettelijk of niet opzettelijk misbruik door medewerkers is e<strong>en</strong><br />
belangrijkere bedreiging voor organis<strong>at</strong>ies. Smartphones word<strong>en</strong> vaak verlor<strong>en</strong><br />
of gestol<strong>en</strong> <strong>en</strong> individu<strong>en</strong> gebruik<strong>en</strong> ze vaak voor gevoelige gegev<strong>en</strong>s, zelfs als<br />
dit in strijd is met de het geld<strong>en</strong>de beveiligingsbeleid. Wachtwoord<strong>en</strong> <strong>en</strong><br />
<strong>en</strong>cryptie zijn volg<strong>en</strong>s de auteur van ge<strong>en</strong> nut in deze gevall<strong>en</strong>.<br />
Systeembeheerders kunn<strong>en</strong> vaak niet op afstand de inhoud van smartphones<br />
beher<strong>en</strong> zoals voorgeschrev<strong>en</strong> wordt in de Intern<strong>at</strong>ional Organis<strong>at</strong>ion for<br />
Standardiz<strong>at</strong>ion (ISO) 27001 veiligheidseis<strong>en</strong>. Ze wet<strong>en</strong> vaak niet welke<br />
inform<strong>at</strong>ie is opgeslag<strong>en</strong> op de telefoon <strong>en</strong> zijn wellicht niet in sta<strong>at</strong> om hem op<br />
afstand te wiss<strong>en</strong> of het appara<strong>at</strong> volledig uit te schakel<strong>en</strong>.<br />
De auteur ga<strong>at</strong> in deze public<strong>at</strong>ie in op de volg<strong>en</strong>de bedreiging<strong>en</strong> <strong>en</strong> risico´s:<br />
1. Malware<br />
2. Phishing <strong>en</strong> social <strong>en</strong>gineering<br />
3. Directe hackaanval<br />
4. Onderschepp<strong>en</strong> van communic<strong>at</strong>ie<br />
5. Gestol<strong>en</strong> <strong>en</strong> verlor<strong>en</strong> smartphones<br />
6. Gebruikersgedrag<br />
Pagina | 112
Als oplossing stelt de auteur voor d<strong>at</strong> organis<strong>at</strong>ies:<br />
1. Gebruikers aansprek<strong>en</strong> <strong>en</strong> manag<strong>en</strong> op hun omgang met het mobiele<br />
appara<strong>at</strong><br />
2. Volledige toegang krijg<strong>en</strong> tot de smartphones <strong>en</strong> het netwerk<br />
3. Volledige toegang krijg<strong>en</strong> tot alle communic<strong>at</strong>ie <strong>en</strong> opslag van d<strong>at</strong>a<br />
Concreet zegt hij d<strong>at</strong> de volg<strong>en</strong>de technische ma<strong>at</strong>regel<strong>en</strong> aan e<strong>en</strong> veiliger<br />
geheel kunn<strong>en</strong> <strong>bij</strong>drag<strong>en</strong>:<br />
1. Versleuteling<br />
1. Firewalls<br />
2. Antivirus software<br />
3. Digitale certific<strong>at</strong><strong>en</strong><br />
4. Beheer op afstand (remote d<strong>at</strong>a deletion, remote kill)<br />
Bov<strong>en</strong>di<strong>en</strong> adviseert hij het gebruik van VPN voor veilige d<strong>at</strong>acommunic<strong>at</strong>ie <strong>en</strong><br />
RADIUS voor de auth<strong>en</strong>tic<strong>at</strong>ie. Bij draadloze communic<strong>at</strong>ie adviseert hij WPA,<br />
e<strong>en</strong> verouderde vorm van draadloze versleuteling.<br />
Om de toegang van mobiele appar<strong>at</strong><strong>en</strong> met bedrijfsinform<strong>at</strong>iesystem<strong>en</strong> te<br />
kunn<strong>en</strong> beher<strong>en</strong>, zijn er e<strong>en</strong> aantal relevante technische ma<strong>at</strong>regel<strong>en</strong>. De auteur<br />
bespreekt in zijn public<strong>at</strong>ie de volg<strong>en</strong>de:<br />
1. Auth<strong>en</strong>tic<strong>at</strong>ie<br />
2. Intrusion Detection<br />
3. Firewalls<br />
4. Context-aware access control<br />
5. Remote managem<strong>en</strong>t<br />
6. Digital signing and certific<strong>at</strong>es<br />
7. Sandboxing<br />
8. Encryption <strong>en</strong> Antivirus software<br />
Bov<strong>en</strong>di<strong>en</strong> ga<strong>at</strong> hij verder in op het beveilig<strong>en</strong> van communic<strong>at</strong>iekanal<strong>en</strong>. Hij<br />
bespreekt daar<strong>bij</strong> kort de volg<strong>en</strong>de techniek<strong>en</strong>:<br />
1. Versleuteling <strong>en</strong> VPN<br />
1. WWAN<br />
2. WLAN<br />
3. Bluetooth<br />
De auteur stelt d<strong>at</strong> beleid, procedures <strong>en</strong> techniek drie manier<strong>en</strong> zijn waarmee<br />
e<strong>en</strong> bedrijf de risico's kan beher<strong>en</strong> die inher<strong>en</strong>t zijn aan gebruik van mobiele<br />
appar<strong>at</strong><strong>en</strong>. Het beleid zou zak<strong>en</strong> als spelletjes <strong>en</strong> ringtones moet<strong>en</strong> verbied<strong>en</strong>,<br />
net zoals andere niet-ess<strong>en</strong>tiële applic<strong>at</strong>ies op bedrijfseig<strong>en</strong> smartphones. De<br />
procedures zoud<strong>en</strong> moet<strong>en</strong> zegg<strong>en</strong> welke smartphones <strong>en</strong> applic<strong>at</strong>ies wel<br />
toegestaan zijn, d<strong>at</strong> er beveiligings-software op moet staan <strong>en</strong> d<strong>at</strong> de<br />
smartphones zo zijn ingesteld d<strong>at</strong> het beveiligingsbeleid gehanteerd kan word<strong>en</strong>.<br />
De techniek zou gebruikt moet<strong>en</strong> word<strong>en</strong> om de toegang te beher<strong>en</strong> <strong>en</strong> het<br />
voorkom<strong>en</strong> <strong>en</strong> id<strong>en</strong>tificer<strong>en</strong> van inbraakpoging<strong>en</strong>. De procedures <strong>en</strong> het beleid<br />
moet<strong>en</strong> volg<strong>en</strong>s de auteur e<strong>en</strong> integraal onderdeel vorm<strong>en</strong> van het volledige<br />
Pagina | 113
eveiligingsbeleid/programma van e<strong>en</strong> organis<strong>at</strong>ie. Bov<strong>en</strong>di<strong>en</strong> moet het goed<br />
gedocum<strong>en</strong>teerd, gedistribueerd <strong>en</strong> gehandhaafd word<strong>en</strong>.<br />
De auteur verwijst naar het docum<strong>en</strong>t van de NIST [31] waarin aanbeveling<strong>en</strong><br />
word<strong>en</strong> gedaan voor het beher<strong>en</strong> van de beveiliging van mobiele appar<strong>at</strong><strong>en</strong>.<br />
Deze aanbeveling besta<strong>at</strong> uit 5 stapp<strong>en</strong> volg<strong>en</strong>s de auteur:<br />
1. Maak e<strong>en</strong> specifiek beleid<br />
2. Stel e<strong>en</strong> beveiligingsplan op<br />
3. Voer e<strong>en</strong> risicoanalyse uit<br />
4. Voorzie medewerkers van opleiding <strong>en</strong> training om bewustwording te<br />
kwek<strong>en</strong><br />
5. Voorzi<strong>en</strong> in e<strong>en</strong> c<strong>en</strong>traal managem<strong>en</strong>t <strong>en</strong> configur<strong>at</strong>iesysteem voor<br />
mobiele appar<strong>at</strong><strong>en</strong><br />
De auteur concludeert in deze public<strong>at</strong>ie d<strong>at</strong> organis<strong>at</strong>ies zo snel als mogelijk aan<br />
de slag moet<strong>en</strong> om e<strong>en</strong> security programma voor mobiele appar<strong>at</strong><strong>en</strong> te<br />
ontwikkel<strong>en</strong> <strong>en</strong> integrer<strong>en</strong> met e<strong>en</strong> organis<strong>at</strong>iebreed security programma. De<br />
eerste stap is volg<strong>en</strong>s de auteur dan ook om alle lag<strong>en</strong> <strong>bij</strong> de organis<strong>at</strong>ie mee te<br />
krijg<strong>en</strong>, maar specifiek het managem<strong>en</strong>t. Hij concludeert d<strong>at</strong> oplossing<strong>en</strong>,<br />
procedures <strong>en</strong> beleid d<strong>at</strong> eerder voor laptops <strong>en</strong> Pc's werd bedacht, niet zomaar<br />
uitgebreid kan word<strong>en</strong> naar mobiele appar<strong>at</strong><strong>en</strong>. Hier<strong>bij</strong> is de kwestie van<br />
eig<strong>en</strong>aarschap e<strong>en</strong> groot struikelblok.<br />
[24] Kalinin, M. O. (2010, 7-11 September). Perman<strong>en</strong>t Protection of<br />
Inform<strong>at</strong>ion Systems with Method of Autom<strong>at</strong>ed <strong>Security</strong> and Integrity<br />
Control. Paper pres<strong>en</strong>ted <strong>at</strong> the SINCONF 2010, Taganrog, Rostov-on-<br />
Don, Russia.<br />
Original public<strong>at</strong>ion abstract<br />
Inform<strong>at</strong>ion security is very important nowadays. Every IT system needs<br />
protection mechanisms for stability and safety of work. To solve this task, there<br />
are proposed a variety of security providing solutions, but most of them are very<br />
exp<strong>en</strong>sive and nonsystem<strong>at</strong>ic. The paper discusses up-to-d<strong>at</strong>e techniques<br />
implem<strong>en</strong>ted for security aims and addresses to the technique of security control<br />
based on settings monitoring of variable program compon<strong>en</strong>ts of the trusted<br />
inform<strong>at</strong>ion <strong>en</strong>vironm<strong>en</strong>t. There is proposed a formal basis of security control<br />
based on finding the security settings which provide the system with stability and<br />
integrity. The specified technique allows proposing a schema of dynamic <strong>Security</strong><br />
and Integrity Control System which provides an autom<strong>at</strong>ed process of security<br />
assurance and managem<strong>en</strong>t. These security control technique and system ext<strong>en</strong>d<br />
security-relevant approaches making security reachable, perman<strong>en</strong>t, and<br />
effective.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze rel<strong>at</strong>ief rec<strong>en</strong>te public<strong>at</strong>ie ga<strong>at</strong> de auteur in op het belang, de huidige<br />
tekortkoming<strong>en</strong> <strong>en</strong> oplossing<strong>en</strong> binn<strong>en</strong> de context van inform<strong>at</strong>iebeveiliging. De<br />
auteur bespreekt de rol van Inform<strong>at</strong>ion <strong>Security</strong> Managem<strong>en</strong>t Systems (ISMS)<br />
<strong>en</strong> legt uit d<strong>at</strong> dit e<strong>en</strong> verzameling is van ma<strong>at</strong>regel<strong>en</strong> die zich ontferm<strong>en</strong> over<br />
het ontwerp (architectuur) van de inform<strong>at</strong>iebeveiliging, de implem<strong>en</strong>t<strong>at</strong>ie, het<br />
onderhoud <strong>en</strong> de evalu<strong>at</strong>ie ervan. Het doel van e<strong>en</strong> ISMS is het effectief<br />
manag<strong>en</strong> van de Betrouwbaarheid, Integriteit <strong>en</strong> Vertrouwelijkheid van<br />
Pagina | 114
inform<strong>at</strong>ie. De auteur ga<strong>at</strong> verder in op de ISO/IEC 27000 serie. Hij legt uit d<strong>at</strong><br />
dit e<strong>en</strong> verzameling is van regelgeving over inform<strong>at</strong>iebeveiliging <strong>en</strong><br />
gepubliceerd is door de Intern<strong>at</strong>ional Organis<strong>at</strong>ion for Standardis<strong>at</strong>ion (ISO) <strong>en</strong><br />
de Intern<strong>at</strong>ional Electrical Commission (IEC). De ISO/IEC 27000 series zijn e<strong>en</strong><br />
vervolg op de ISO 17799:2005 standaard.<br />
Al deze docum<strong>en</strong>t<strong>en</strong> stell<strong>en</strong> e<strong>en</strong> manier voor (best practice) waarop m<strong>en</strong> zo goed<br />
mogelijk om kan gaan met inform<strong>at</strong>iebeveiliging, risico's <strong>en</strong><br />
controlemechanismes binn<strong>en</strong> de context van het gebruik van e<strong>en</strong> ISMS. De ISO<br />
27000 standaard pres<strong>en</strong>teert de beschikbaarheid van inform<strong>at</strong>iebeveiliging als<br />
het resulta<strong>at</strong> van effectief gebruik van e<strong>en</strong> ISMS. Het hoofdconcept achter e<strong>en</strong><br />
ISMS is om e<strong>en</strong> coher<strong>en</strong>te verzameling van process<strong>en</strong> te ontwerp<strong>en</strong>,<br />
implem<strong>en</strong>ter<strong>en</strong> <strong>en</strong> onderhoud<strong>en</strong> om zo effectief om te gaan met de<br />
beschikbaarheid van e<strong>en</strong> inform<strong>at</strong>iesysteem. Hier<strong>bij</strong> moet het ISMS toegespitst<br />
zijn op mogelijk toekomstige verandering<strong>en</strong> <strong>en</strong> aanpassing<strong>en</strong>. De ISO/IEC 27001<br />
standaard bev<strong>at</strong> daarom de "Plan-Do-Check-Act" cyclus ter bevordering van<br />
constante verbetering van beveiliging.<br />
1. Plan - ISMS ontwerp<strong>en</strong>, insch<strong>at</strong>t<strong>en</strong> van risico's <strong>en</strong> de juiste ma<strong>at</strong>regel<strong>en</strong><br />
kiez<strong>en</strong><br />
2. Do - De ma<strong>at</strong>regel<strong>en</strong> implem<strong>en</strong>ter<strong>en</strong><br />
3. Check - De effectiviteit van het ISMS controler<strong>en</strong><br />
4. Act - Aanpass<strong>en</strong> van de ma<strong>at</strong>regel<strong>en</strong> om de effectiviteit van het ISMS te<br />
verbeter<strong>en</strong><br />
Figuur 21: Plan-Do-Check-Act cyclus<br />
Deze aanpak heeft volg<strong>en</strong>s de auteur echter e<strong>en</strong> aantal serieuze nadel<strong>en</strong>. Het<br />
legt namelijk de nadruk op de noodzaak van security managem<strong>en</strong>t, <strong>en</strong><br />
pres<strong>en</strong>teert beveiligingscriteria daar<strong>bij</strong>. Het zegt echter niets over hoe je die<br />
criteria dan moet bereik<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> ga<strong>at</strong> deze standaard over het beher<strong>en</strong> van<br />
inform<strong>at</strong>iebeveiliging op e<strong>en</strong> hoog <strong>en</strong> abstract niveau in e<strong>en</strong> bedrijf of<br />
organis<strong>at</strong>ie. Dit sta<strong>at</strong> erg ver af van de tak<strong>en</strong> die e<strong>en</strong> systeembeheerder moet<br />
do<strong>en</strong> om alles te beveilig<strong>en</strong>. Er is dus e<strong>en</strong> flink g<strong>at</strong> tuss<strong>en</strong> het doel <strong>en</strong> de<br />
Pagina | 115
oplossing. De auteur stelt dan ook voor om de beveiligingsproblem<strong>at</strong>iek te<br />
verpla<strong>at</strong>s<strong>en</strong> van g<strong>en</strong>erieke term<strong>en</strong> m.b.t. inform<strong>at</strong>iebeveiliging naar specifieke <strong>en</strong><br />
praktische term<strong>en</strong>.<br />
[25] Parkin, S. E., & Moorsel, A. v. (2009, October 6-10). An Inform<strong>at</strong>ion<br />
<strong>Security</strong> Ontology Incorpor<strong>at</strong>ing Human-Behavioral Implic<strong>at</strong>ions. Paper<br />
pres<strong>en</strong>ted <strong>at</strong> the SINCONF '09, North Cyprus, Turkey.<br />
Original public<strong>at</strong>ion abstract<br />
In this paper we explore the need to understand the human-behavioral factors<br />
within an organiz<strong>at</strong>ion's inform<strong>at</strong>ion security managem<strong>en</strong>t processes. We frame<br />
this investig<strong>at</strong>ion around developm<strong>en</strong>t of an inform<strong>at</strong>ion security ontology. This<br />
ontology is int<strong>en</strong>ded for use within organiz<strong>at</strong>ions th<strong>at</strong> aim not only to maintain<br />
compliance with external standards, but also to consider and adjust the <strong>at</strong>titude<br />
towards security as exhibited by those within the organiz<strong>at</strong>ion. We provide an<br />
ontology th<strong>at</strong> combines inform<strong>at</strong>ion security standards (in this case ISO27002)<br />
and repres<strong>en</strong>t<strong>at</strong>ion of the human-behavioral implic<strong>at</strong>ions of inform<strong>at</strong>ion security<br />
managem<strong>en</strong>t decisions. Our ontology explicitly repres<strong>en</strong>ts the human-behavioral<br />
concerns <strong>at</strong>tached to specific security processes and policy decisions. As such it<br />
<strong>en</strong>courages consider<strong>at</strong>ion of the security behavior of individuals towards technical<br />
security controls. We demonstr<strong>at</strong>e use of our ontology with an applied example<br />
concerning managem<strong>en</strong>t of an organiz<strong>at</strong>ion's password policy. This example<br />
illustr<strong>at</strong>es how password configur<strong>at</strong>ion may be perceived by individuals within the<br />
organiz<strong>at</strong>ion, and how this perception alters their behavior and consequ<strong>en</strong>tly the<br />
<strong>at</strong>titude to inform<strong>at</strong>ion security in the workplace.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze public<strong>at</strong>ie gaan de auteurs in op de rol van m<strong>en</strong>selijk gedrag binn<strong>en</strong> het<br />
kader van inform<strong>at</strong>iebeveiliging. Ze pres<strong>en</strong>ter<strong>en</strong> e<strong>en</strong> zi<strong>en</strong>swijze voor organis<strong>at</strong>ies<br />
die als doel hebb<strong>en</strong> om certificeert te word<strong>en</strong> <strong>en</strong> blijv<strong>en</strong> m.b.t. de ISO<br />
27001/27002 norm <strong>en</strong> daar<strong>bij</strong> toch rek<strong>en</strong>ing te houd<strong>en</strong> met de m<strong>en</strong>selijke kant<br />
van inform<strong>at</strong>iebeveiliging. Volg<strong>en</strong>s de auteurs zoek<strong>en</strong> organis<strong>at</strong>ies in<br />
to<strong>en</strong>em<strong>en</strong>de m<strong>at</strong>e naar externe, <strong>en</strong> door de industrie erk<strong>en</strong>de, best practices<br />
standaard<strong>en</strong> <strong>en</strong>/of certificering, zoals ISO 27001/2, m.b.t. advies over hoe ze het<br />
beste hun inform<strong>at</strong>iebeveiliging infrastructuur kunn<strong>en</strong> beher<strong>en</strong>. De auteurs<br />
stell<strong>en</strong> dan ook d<strong>at</strong> door te strev<strong>en</strong> naar naleving, <strong>en</strong> in sommige gevall<strong>en</strong> zelfs<br />
certificering, aan de ISO norm<strong>en</strong>, organis<strong>at</strong>ies kunn<strong>en</strong> aanton<strong>en</strong> d<strong>at</strong> hun<br />
inform<strong>at</strong>ie veel veiliger is. Bov<strong>en</strong>di<strong>en</strong> kunn<strong>en</strong> ze dit illustrer<strong>en</strong> aan klant<strong>en</strong> <strong>en</strong><br />
zakelijke partners. Ook kan gemotiveerd word<strong>en</strong> gecommuniceerd d<strong>at</strong> de<br />
organis<strong>at</strong>ie in kwestie vertrouwd kan word<strong>en</strong> om zakelijke <strong>en</strong> belangrijke<br />
inform<strong>at</strong>ie adequa<strong>at</strong> te bescherm<strong>en</strong>. E<strong>en</strong> grote tekortkoming van toepassing van<br />
inform<strong>at</strong>iebeveiliging standaard<strong>en</strong> <strong>en</strong> norm<strong>en</strong> op e<strong>en</strong> "one-size-fits-all" manier is<br />
volg<strong>en</strong>s de auteurs d<strong>at</strong> er ge<strong>en</strong> rek<strong>en</strong>ing wordt gehoud<strong>en</strong> met specifieke<br />
beveiligingsprioriteit<strong>en</strong> <strong>en</strong> werkcultuur van alle verschill<strong>en</strong>de organis<strong>at</strong>ies.<br />
De door de auteurs aangehaalde ISO 27001/2 standaard bev<strong>at</strong> bov<strong>en</strong>di<strong>en</strong> niets<br />
over m<strong>en</strong>selijke factor<strong>en</strong>. De auteurs bouw<strong>en</strong> in deze public<strong>at</strong>ie voort op deze<br />
ISO 2700x norm, maar voeg<strong>en</strong> er e<strong>en</strong> eig<strong>en</strong> deel aan toe d<strong>at</strong> gericht is op<br />
m<strong>en</strong>selijke gedragsfactor<strong>en</strong>.<br />
De auteurs besprek<strong>en</strong> in deze public<strong>at</strong>ie kort de betek<strong>en</strong>is van e<strong>en</strong> asset,<br />
vulnerability <strong>en</strong> e<strong>en</strong> thre<strong>at</strong>. E<strong>en</strong> asset wordt gedefinieerd als e<strong>en</strong> id<strong>en</strong>tificeerbaar<br />
inform<strong>at</strong>iedeel d<strong>at</strong> voor e<strong>en</strong> bedrijf of organis<strong>at</strong>ie van waarde is. Door assets, <strong>en</strong><br />
Pagina | 116
de middel<strong>en</strong> om ze te beveilig<strong>en</strong>, te id<strong>en</strong>tificer<strong>en</strong> zoals beschrev<strong>en</strong> in de ISO<br />
27002 standaard, kan word<strong>en</strong> begonn<strong>en</strong> aan het ontwerp van intern beleid om<br />
deze assets te bescherm<strong>en</strong>. E<strong>en</strong> asset kan zwakhed<strong>en</strong> bezitt<strong>en</strong> waardoor het<br />
gevoelig wordt voor exploit<strong>at</strong>ie. E<strong>en</strong> dergelijk zwakheid wordt ook wel<br />
kwetsbaarheid (vulnerability) g<strong>en</strong>oemd. Wanneer e<strong>en</strong> dergelijke kwetsbaarheid<br />
ook daadwerkelijk geëxploiteerd wordt, heet d<strong>at</strong> e<strong>en</strong> bedreiging (thre<strong>at</strong>).<br />
[26] F<strong>en</strong>z, S. (2010, March 22-26). Ontology-based G<strong>en</strong>er<strong>at</strong>ion of IT-<br />
<strong>Security</strong> Metrics. Paper pres<strong>en</strong>ted <strong>at</strong> the SAC '10, Sierre, Switserland.<br />
Original public<strong>at</strong>ion abstract<br />
Legal regul<strong>at</strong>ions and industry standards require organiz<strong>at</strong>ions to measure and<br />
maintain a specified IT-security level. Although several IT-security metrics<br />
approaches have be<strong>en</strong> developed, a methodology for autom<strong>at</strong>ically g<strong>en</strong>er<strong>at</strong>ing<br />
ISO 27001-based IT-security metrics based on concrete organiz<strong>at</strong>ion-specific<br />
control implem<strong>en</strong>t<strong>at</strong>ion knowledge is missing. Based on the security ontology by<br />
F<strong>en</strong>z et al., including inform<strong>at</strong>ion security domain knowledge and the necessary<br />
structures to incorpor<strong>at</strong>e organiz<strong>at</strong>ion-specific facts into the ontology, this paper<br />
proposes a methodology for autom<strong>at</strong>ically g<strong>en</strong>er<strong>at</strong>ing ISO 27001-based ITsecurity<br />
metrics. The conducted valid<strong>at</strong>ion has shown th<strong>at</strong> the research results<br />
are a first step towards increasing the degree of autom<strong>at</strong>ion in the field of ITsecurity<br />
metrics. Using the introduced methodology, organiz<strong>at</strong>ions are <strong>en</strong>abled to<br />
evalu<strong>at</strong>e their compliance with inform<strong>at</strong>ion security standards, and to evalu<strong>at</strong>e<br />
control implem<strong>en</strong>t<strong>at</strong>ions' effectiv<strong>en</strong>ess <strong>at</strong> the same time.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteur bespreekt in deze public<strong>at</strong>ie de rol van standaard<strong>en</strong> zoals ISO 2700x.<br />
Hij stelt d<strong>at</strong> wettelijke bepaling<strong>en</strong> <strong>en</strong> industriestandaards ervoor zorg drag<strong>en</strong> d<strong>at</strong><br />
organis<strong>at</strong>ies e<strong>en</strong> holistische aanpak kiez<strong>en</strong> om naar inform<strong>at</strong>iebeveiliging te<br />
kijk<strong>en</strong>. ISO 27001/2 is volg<strong>en</strong>s deze public<strong>at</strong>ie dan ook e<strong>en</strong> prima manier voor<br />
organis<strong>at</strong>ies om concrete ICT k<strong>en</strong>nis te vergar<strong>en</strong> om zo het niveau van<br />
inform<strong>at</strong>iebeveiliging te behoud<strong>en</strong> of verbeter<strong>en</strong>. Het grote probleem van dit<br />
soort standaard<strong>en</strong>, of best practices richtlijn<strong>en</strong>, is d<strong>at</strong> ze niet zegg<strong>en</strong> over de<br />
daadwerkelijke effectiviteit van de voorgestelde ma<strong>at</strong>regel<strong>en</strong>, reglem<strong>en</strong>t<strong>en</strong> <strong>en</strong><br />
certificering <strong>en</strong> standaard<strong>en</strong>. De auteur stelt dan ook voor om e<strong>en</strong> nieuwe manier<br />
te gebruik<strong>en</strong> die autom<strong>at</strong>isch <strong>en</strong> conform de ISO 27001 norm<strong>en</strong> IT-security<br />
gerel<strong>at</strong>eerde metriek<strong>en</strong> g<strong>en</strong>ereert.<br />
[27] Broderick, J. S. (2006). ISMS, security standards and security<br />
regul<strong>at</strong>ions. Inform<strong>at</strong>ion <strong>Security</strong> Technical Report, 11(1), 26-31.<br />
Original public<strong>at</strong>ion abstract<br />
This article briefly describes the introduction and evolution of Inform<strong>at</strong>ion<br />
<strong>Security</strong> Managem<strong>en</strong>t Systems (ISMS), their applic<strong>at</strong>ion and the introduction of<br />
n<strong>at</strong>ional and regul<strong>at</strong>ory requirem<strong>en</strong>ts to protect inform<strong>at</strong>ion and how these<br />
regul<strong>at</strong>ions may be mapped into an ISMS.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteur van deze ietw<strong>at</strong> verouderde public<strong>at</strong>ie ga<strong>at</strong> in op de introductie <strong>en</strong><br />
evolutie van het Inform<strong>at</strong>ion <strong>Security</strong> Managem<strong>en</strong>t Systeem <strong>en</strong> norm<strong>en</strong> zoals<br />
ISO 27001 <strong>en</strong> ISO 17799. De auteur heeft e<strong>en</strong> overzicht gemaakt van de<br />
beveiligingsstandaard<strong>en</strong> die op mom<strong>en</strong>t van schrijv<strong>en</strong> bestond<strong>en</strong>.<br />
Pagina | 117
Tabel 18: Overzicht ISMS frameworks <strong>en</strong> beveiligingsstandaard<strong>en</strong><br />
ISO 27001 is e<strong>en</strong> ISO standaard voor inform<strong>at</strong>iebeveiliging. De standaard<br />
besta<strong>at</strong> feitelijk uit Deel 2 van de BS 7799, de standaard waarin wordt<br />
beschrev<strong>en</strong> hoe inform<strong>at</strong>iebeveiliging procesm<strong>at</strong>ig ingericht zou kunn<strong>en</strong> word<strong>en</strong>,<br />
om de beveiligingsma<strong>at</strong>regel<strong>en</strong> uit ISO/IEC 17799 te effectuer<strong>en</strong>. In Nederland is<br />
het vastgesteld als NEN norm NEN-ISO/IEC 27001:2005 <strong>en</strong> vertaald naar het<br />
Nederlands <strong>en</strong> verplicht gesteld voor Nederlandse overhed<strong>en</strong> door het College<br />
standaardis<strong>at</strong>ie. Deze intern<strong>at</strong>ionale norm is van toepassing op alle typ<strong>en</strong><br />
organis<strong>at</strong>ies (<strong>bij</strong>voorbeeld commerciële onderneming<strong>en</strong>, overheidsinstanties,<br />
non-profitorganis<strong>at</strong>ies). De norm specificeert eis<strong>en</strong> voor het vaststell<strong>en</strong>,<br />
implem<strong>en</strong>ter<strong>en</strong>, uitvoer<strong>en</strong>, controler<strong>en</strong>, beoordel<strong>en</strong>, <strong>bij</strong>houd<strong>en</strong> <strong>en</strong> verbeter<strong>en</strong> van<br />
e<strong>en</strong> gedocum<strong>en</strong>teerd Inform<strong>at</strong>ion <strong>Security</strong> Managem<strong>en</strong>t System (ISMS) in het<br />
kader van de algem<strong>en</strong>e bedrijfsrisico's voor de organis<strong>at</strong>ie. De norm specificeert<br />
eis<strong>en</strong> voor de implem<strong>en</strong>t<strong>at</strong>ie van beveiligingsma<strong>at</strong>regel<strong>en</strong> die zijn aangepast aan<br />
de behoeft<strong>en</strong> van afzonderlijke organis<strong>at</strong>ies of del<strong>en</strong> daarvan. Het ISMS is<br />
ontworp<strong>en</strong> om de keuze van adequ<strong>at</strong>e <strong>en</strong> proportionele beveiligingsma<strong>at</strong>regel<strong>en</strong><br />
die de inform<strong>at</strong>ie bescherm<strong>en</strong> <strong>en</strong> vertrouw<strong>en</strong> bied<strong>en</strong> aan belanghebb<strong>en</strong>d<strong>en</strong> te<br />
waarborg<strong>en</strong>. De eis<strong>en</strong> in deze intern<strong>at</strong>ionale norm zijn algeme<strong>en</strong> <strong>en</strong> bedoeld om<br />
van toepassing te zijn voor alle organis<strong>at</strong>ies, ongeacht type, omvang of aard. Het<br />
uitsluit<strong>en</strong> van e<strong>en</strong> of meer van de eis<strong>en</strong> van hoofdstukk<strong>en</strong> 4, 5, 6, 7, <strong>en</strong> 8 is niet<br />
aanvaardbaar als e<strong>en</strong> organis<strong>at</strong>ie naleving van deze intern<strong>at</strong>ionale norm wil<br />
claim<strong>en</strong>.<br />
Op dit mom<strong>en</strong>t bestaan er de volg<strong>en</strong>de onderdel<strong>en</strong> van de ISO/IEC 27000 serie:<br />
ISO/IEC 27000: ISMS Overview and vocabulary<br />
ISO/IEC 27001: ISMS Requirem<strong>en</strong>ts<br />
ISO/IEC 27002: Code of practice for inform<strong>at</strong>ion security managem<strong>en</strong>t<br />
ISO/IEC 27003: ISMS implem<strong>en</strong>t<strong>at</strong>ion guidance<br />
ISO/IEC 27004: ISMS Measurem<strong>en</strong>t<br />
ISO/IEC 27005: Inform<strong>at</strong>ion security risk managem<strong>en</strong>t<br />
ISO/IEC 27006: Requirem<strong>en</strong>ts for bodies providing audit and certific<strong>at</strong>ion of<br />
ISMS<br />
Pagina | 118
ISO/IEC 27011: ISMS guidelines for telecommunic<strong>at</strong>ions organiz<strong>at</strong>ions based<br />
on ISO/IEC 27002<br />
ISO/IEC 27031: Guidelines for inform<strong>at</strong>ion and communic<strong>at</strong>ions technology<br />
readiness for business continuity<br />
ISO/IEC 27033-1: Network security overview and concepts<br />
ISO/IEC 27035: <strong>Security</strong> incid<strong>en</strong>t managem<strong>en</strong>t<br />
De ISO/IEC 27001/27002 standaard besta<strong>at</strong> uit de volg<strong>en</strong>de 12<br />
aandachtsgebied<strong>en</strong>:<br />
1. Risk assessm<strong>en</strong>t - insch<strong>at</strong>t<strong>en</strong> van risico's <strong>en</strong> bedreiging<strong>en</strong><br />
2. <strong>Security</strong> policy - de koers van het managem<strong>en</strong>t<br />
3. Organiz<strong>at</strong>ion of inform<strong>at</strong>ion security - governance van inform<strong>at</strong>iebeveiliging<br />
4. Asset managem<strong>en</strong>t - inv<strong>en</strong>taris<strong>at</strong>ie <strong>en</strong> id<strong>en</strong>tific<strong>at</strong>ie of inform<strong>at</strong>ie assets<br />
5. Human resources security - securityaspect<strong>en</strong> rondom medewerkers die <strong>bij</strong><br />
de organis<strong>at</strong>ie kom<strong>en</strong> werk<strong>en</strong>, van plek verander<strong>en</strong> of de organis<strong>at</strong>ie verl<strong>at</strong><strong>en</strong><br />
6. Physical and <strong>en</strong>vironm<strong>en</strong>tal security - bescherming van<br />
computerfaciliteit<strong>en</strong><br />
7. Communic<strong>at</strong>ions and oper<strong>at</strong>ions managem<strong>en</strong>t - managem<strong>en</strong>t van<br />
technische security controlemiddel<strong>en</strong> in system<strong>en</strong> and netwerk<strong>en</strong><br />
8. Access control - beperking van of toegangsrecht<strong>en</strong> tot netwerk<strong>en</strong>,<br />
system<strong>en</strong>, applic<strong>at</strong>ies, functies <strong>en</strong> gegev<strong>en</strong>s.<br />
9. Inform<strong>at</strong>ion systems acquisition, developm<strong>en</strong>t and maint<strong>en</strong>ance - bouw<strong>en</strong> van<br />
beveiligingsma<strong>at</strong>regel<strong>en</strong> in applic<strong>at</strong>ie<br />
10.Inform<strong>at</strong>ion security incid<strong>en</strong>t managem<strong>en</strong>t - correct anticiper<strong>en</strong> <strong>en</strong><br />
reager<strong>en</strong> op beveiligingsincid<strong>en</strong>t<strong>en</strong> <strong>en</strong> inbrak<strong>en</strong><br />
11.Business continuity managem<strong>en</strong>t - bescherm<strong>en</strong>, onderhoud<strong>en</strong> <strong>en</strong><br />
herstell<strong>en</strong> van bedrijfskritische process<strong>en</strong> <strong>en</strong> system<strong>en</strong>.<br />
12.Compliance - verzeker<strong>en</strong> van conformiteit met inform<strong>at</strong>ie beveiligingsbeleid,<br />
standaard<strong>en</strong>, wet- <strong>en</strong> regelgeving<br />
De ISO/IEC 17799:2005 standaard die de auteur in deze public<strong>at</strong>ie beschrijft, is<br />
in 2007 van e<strong>en</strong> nieuwe aanduiding voorzi<strong>en</strong> <strong>en</strong> ging vanaf d<strong>at</strong> mom<strong>en</strong>t als naar<br />
ISO/IEC 27002:2005 door het lev<strong>en</strong>. Doel hiervan was om ISO/IEC 17799:2005<br />
in de ISO/IEC 27000 familie te krijg<strong>en</strong>. De inhoud is echter woord voor woord<br />
ongewijzigd geblev<strong>en</strong>.<br />
ISO/IEC 27002 'Code voor inform<strong>at</strong>iebeveiliging' geeft richtlijn<strong>en</strong> <strong>en</strong> principes<br />
voor het initiër<strong>en</strong>, het implem<strong>en</strong>ter<strong>en</strong>, het onderhoud<strong>en</strong> <strong>en</strong> het verbeter<strong>en</strong> van<br />
inform<strong>at</strong>iebeveiliging binn<strong>en</strong> e<strong>en</strong> organis<strong>at</strong>ie. ISO/IEC 27002 kan di<strong>en</strong><strong>en</strong> als e<strong>en</strong><br />
praktische richtlijn voor het ontwerp<strong>en</strong> van veiligheidsstandaard<strong>en</strong> binn<strong>en</strong> e<strong>en</strong><br />
organis<strong>at</strong>ie <strong>en</strong> effectieve method<strong>en</strong> voor het bereik<strong>en</strong> van deze veiligheid. De<br />
doelstelling<strong>en</strong> die in ISO/IEC 27002 word<strong>en</strong> beschrev<strong>en</strong>, gev<strong>en</strong> g<strong>en</strong>erieke<br />
richtlijn<strong>en</strong> voor de algeme<strong>en</strong> aanvaarde doel<strong>en</strong> van inform<strong>at</strong>iebeveiliging. De<br />
beheerdoelstelling<strong>en</strong> <strong>en</strong> beheerma<strong>at</strong>regel<strong>en</strong> van ISO/IEC 27002 zijn bedoeld<br />
voor implem<strong>en</strong>t<strong>at</strong>ie, om te voldo<strong>en</strong> aan de eis<strong>en</strong> die in e<strong>en</strong> risicobeoordeling zijn<br />
vastgesteld. Deze intern<strong>at</strong>ionale standaard kan di<strong>en</strong><strong>en</strong> als e<strong>en</strong> praktische<br />
handleiding voor het opstell<strong>en</strong> van beveiligingsnorm<strong>en</strong> <strong>en</strong> doeltreff<strong>en</strong>d beheer<br />
van inform<strong>at</strong>iebeveiliging voor de organis<strong>at</strong>ie <strong>en</strong> om te help<strong>en</strong> vertrouw<strong>en</strong> te<br />
schepp<strong>en</strong> in rel<strong>at</strong>ies tuss<strong>en</strong> organis<strong>at</strong>ies onderling.<br />
Pagina | 119
[28] Walker, S. (2012). Economics and the cyber chall<strong>en</strong>ge. Inform<strong>at</strong>ion<br />
<strong>Security</strong> Technical Report, 17(1-2), 9-18.<br />
Original public<strong>at</strong>ion abstract<br />
Economics can be used as a tool to explain, describe, and to a certain ext<strong>en</strong>t<br />
predict many forms of human behaviour. However, there is only a limited body of<br />
work on its applic<strong>at</strong>ion to inform<strong>at</strong>ion security, much of which is acknowledged as<br />
partial or incomplete. As a consequ<strong>en</strong>ce, there is a paucity of robust explan<strong>at</strong>ory<br />
or predictive models th<strong>at</strong> are tuned for the peculiarities of the “cyber” chall<strong>en</strong>ge,<br />
either to organis<strong>at</strong>ions, or, <strong>at</strong> a higher level, the n<strong>at</strong>ion st<strong>at</strong>e. The effect of this is<br />
th<strong>at</strong> the base argum<strong>en</strong>ts for inform<strong>at</strong>ion security business cases are oft<strong>en</strong> weak<br />
or flawed; as a result, there is an argum<strong>en</strong>t th<strong>at</strong> both organis<strong>at</strong>ions and n<strong>at</strong>ion<br />
st<strong>at</strong>es will therefore t<strong>en</strong>d to underinvest in inform<strong>at</strong>ion security. To improve this<br />
position, there would be b<strong>en</strong>efits for inform<strong>at</strong>ion security, as a profession<br />
adopting economic models used in other areas of <strong>en</strong>deavor th<strong>at</strong> historically have<br />
suffered similar problems. One pot<strong>en</strong>tial model is full-cost accounting. However,<br />
there are a number of further implic<strong>at</strong>ions. These include an underlining of the<br />
importance of inform<strong>at</strong>ion security professional “speaking business language”.<br />
Also highlighted is the pot<strong>en</strong>tial value of building a common knowledge base of<br />
the true cost of security failures, akin to the actuarial bodies of knowledge used<br />
in the insurance industry, r<strong>at</strong>her than the partial and imperfect measures in use<br />
today.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteur van deze public<strong>at</strong>ie stelt d<strong>at</strong> er nog weinig echte (voorspell<strong>en</strong>de)<br />
k<strong>en</strong>nis is m.b.t. inform<strong>at</strong>iebeveiliging. Daarom wordt er volg<strong>en</strong>s de auteur dan<br />
ook structureel te weinig geïnvesteerd in goede beveiliging. Hij stelt dan ook<br />
voor om economische principes te gebruik<strong>en</strong> <strong>bij</strong> beslissing<strong>en</strong> rondom<br />
inform<strong>at</strong>iebeveiliging. De auteur legt in de public<strong>at</strong>ie uit d<strong>at</strong> er e<strong>en</strong> security<br />
variant is op het Return On Investm<strong>en</strong>t (ROI) concept uit de economie. Deze<br />
security variant heeft ROSI, Return On <strong>Security</strong> Investm<strong>en</strong>t. ROSI is bedacht <strong>en</strong><br />
ontwikkeld door ISACA <strong>en</strong> wordt gezi<strong>en</strong> als het globaal geaccepteerde model om<br />
kost<strong>en</strong> van inform<strong>at</strong>iebeveiliging in kaart te br<strong>en</strong>g<strong>en</strong>. De auteur heeft twee<br />
kritiekpunt<strong>en</strong> op ISACA ROSI. T<strong>en</strong> eerste wordt het weinig gebruikt door ICT<br />
professionals, veel zijn zich niet e<strong>en</strong>s bewust van het bestaan ervan. T<strong>en</strong> tweede<br />
de manier waarop het ROSI gepres<strong>en</strong>teerd wordt, impliceert d<strong>at</strong> de uitkomst e<strong>en</strong><br />
zekere monetaire waarde is, in pla<strong>at</strong>s van e<strong>en</strong> perc<strong>en</strong>tage of r<strong>at</strong>io zoals <strong>bij</strong><br />
andere Return On Investm<strong>en</strong>t berek<strong>en</strong>ing<strong>en</strong>.<br />
Verder beschrijft de auteur nog e<strong>en</strong> aantal andere economische principes <strong>en</strong><br />
spiegelt deze op inform<strong>at</strong>iebeveiliging. Ook ISO 27001 komt aan bod. De auteur<br />
van deze public<strong>at</strong>ie is van m<strong>en</strong>ing d<strong>at</strong> het e<strong>en</strong> gemis is d<strong>at</strong> deze ISO standaard<br />
het alle<strong>en</strong> heeft over "w<strong>at</strong>" <strong>en</strong> niet over het "hoe". Omd<strong>at</strong> ISO 27001 alle<strong>en</strong> iets<br />
zegt over specifieke del<strong>en</strong> van de organis<strong>at</strong>ie, zoals e<strong>en</strong> bepaald proces,<br />
technische omgeving of afdeling, zegt het niets over het bredere beeld van<br />
inform<strong>at</strong>iebeveiliging <strong>bij</strong> e<strong>en</strong> organis<strong>at</strong>ie. Bov<strong>en</strong>di<strong>en</strong> is ISO 27001 zeer g<strong>en</strong>eriek<br />
<strong>en</strong> niet specifiek gericht op bepaalde sector<strong>en</strong>. Ook houdt het volg<strong>en</strong>s de auteur<br />
ge<strong>en</strong> rek<strong>en</strong>ing met de m<strong>en</strong>selijke kant van inform<strong>at</strong>iebeveiliging. De auteur<br />
concludeert d<strong>at</strong> echte d<strong>at</strong> nog ontbreekt waarop e<strong>en</strong> goede kost<strong>en</strong>/b<strong>at</strong><strong>en</strong> analyse<br />
kan word<strong>en</strong> gemaakt binn<strong>en</strong> de context van inform<strong>at</strong>iebeveiliging. Hij vraagt zich<br />
dan ook af waar huidige kost<strong>en</strong>/b<strong>at</strong><strong>en</strong> analyses m.b.t. inform<strong>at</strong>iebeveiliging dan<br />
exact op gebaseerd zijn. Verder concludeert hij d<strong>at</strong> er weinig uniformiteit is <strong>bij</strong><br />
het mak<strong>en</strong> van relevante business cases.<br />
Pagina | 120
[29] Ash<strong>en</strong>d<strong>en</strong>, D. (2008). Inform<strong>at</strong>ion <strong>Security</strong> managem<strong>en</strong>t: A human<br />
chall<strong>en</strong>ge? Inform<strong>at</strong>ion <strong>Security</strong> Technical Report, 13(4), 195-201.<br />
Original public<strong>at</strong>ion abstract<br />
This paper considers to wh<strong>at</strong> ext<strong>en</strong>t the managem<strong>en</strong>t of Inform<strong>at</strong>ion <strong>Security</strong> is a<br />
human chall<strong>en</strong>ge. It suggests th<strong>at</strong> the human chall<strong>en</strong>ge lies in accepting th<strong>at</strong><br />
individuals in the organis<strong>at</strong>ion have not only an id<strong>en</strong>tity conferred by their role<br />
but also a personal and social id<strong>en</strong>tity th<strong>at</strong> they bring with them to work. The<br />
chall<strong>en</strong>ge th<strong>at</strong> faces organis<strong>at</strong>ions is to manage this while trying to achieve the<br />
optimum configur<strong>at</strong>ion of resources in order to meet business objectives. The<br />
paper considers the chall<strong>en</strong>ges for Inform<strong>at</strong>ion <strong>Security</strong> from an organis<strong>at</strong>ional<br />
perspective and develops an argum<strong>en</strong>t th<strong>at</strong> builds on research from the fields of<br />
managem<strong>en</strong>t and organis<strong>at</strong>ional behaviour. It concludes th<strong>at</strong> the human<br />
chall<strong>en</strong>ge of Inform<strong>at</strong>ion <strong>Security</strong> managem<strong>en</strong>t has largely be<strong>en</strong> neglected and<br />
suggests th<strong>at</strong> to address the issue we need to look <strong>at</strong> the skills needed to change<br />
organis<strong>at</strong>ional culture, the id<strong>en</strong>tity of the Inform<strong>at</strong>ion <strong>Security</strong> Manager and<br />
effective communic<strong>at</strong>ion betwe<strong>en</strong> Inform<strong>at</strong>ion <strong>Security</strong> Managers, <strong>en</strong>d users and<br />
S<strong>en</strong>ior Managers.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze public<strong>at</strong>ie wordt onderzocht in hoeverre inform<strong>at</strong>iebeveiliging wordt<br />
beïnvloed door m<strong>en</strong>selijk gedrag. De auteur onderzoekt de uitdaging<strong>en</strong> die<br />
hier<strong>bij</strong> hor<strong>en</strong> <strong>en</strong> bekijkt ze vanuit e<strong>en</strong> organis<strong>at</strong>orische optiek. De public<strong>at</strong>ie<br />
begint met w<strong>at</strong> exact wordt verstaan onder de m<strong>en</strong>selijke uitdaging (human<br />
chall<strong>en</strong>ge) <strong>bij</strong> inform<strong>at</strong>iebeveiliging <strong>en</strong> w<strong>at</strong> de rol is van m<strong>en</strong>s<strong>en</strong> binn<strong>en</strong><br />
organis<strong>at</strong>ies <strong>en</strong> inform<strong>at</strong>iebeveiliging. Daarna ga<strong>at</strong> de auteur in op de<br />
organis<strong>at</strong>orisch uitdaging<strong>en</strong>, zoals het maximaliser<strong>en</strong> <strong>en</strong> optimaliser<strong>en</strong> van<br />
resources zoals de medewerkers zelf. De auteur stelt d<strong>at</strong> de oplossing is om<br />
medewerkers te manag<strong>en</strong> op e<strong>en</strong> mix van organis<strong>at</strong>orische, sociale <strong>en</strong><br />
persoonlijke elem<strong>en</strong>t<strong>en</strong>. Dit moet dan zo gedaan word<strong>en</strong> d<strong>at</strong> de organis<strong>at</strong>ie er<br />
maximaal profijt uit haalt. Hierna beschrijft de auteur w<strong>at</strong> exact wordt verstaan<br />
onder inform<strong>at</strong>iebeveiliging, hoe organis<strong>at</strong>ies gemanaged kunn<strong>en</strong> word<strong>en</strong> <strong>en</strong> hoe<br />
zich dit verhoudt tot managem<strong>en</strong>t van inform<strong>at</strong>iebeveiliging. Daarna wordt<br />
beschrev<strong>en</strong> w<strong>at</strong> de uitdaging<strong>en</strong> zijn <strong>bij</strong> managem<strong>en</strong>t van inform<strong>at</strong>iebeveiliging,<br />
naast de m<strong>en</strong>selijke uitdaging.<br />
De auteur concludeert in deze public<strong>at</strong>ie d<strong>at</strong> de m<strong>en</strong>selijke kant van<br />
inform<strong>at</strong>iebeveiliging grot<strong>en</strong>deels verwaarloosd wordt, anno 2008. Bov<strong>en</strong>di<strong>en</strong><br />
stelt de auteur d<strong>at</strong> goed managem<strong>en</strong>t van inform<strong>at</strong>iebeveiliging zich over heel de<br />
organis<strong>at</strong>ie, <strong>en</strong> al haar aspect<strong>en</strong>, ontfermt. En dus ook over de m<strong>en</strong>selijke<br />
aspect<strong>en</strong>, die toevallig ook de zwakke schakel in het geheel blijk<strong>en</strong>, <strong>en</strong> tev<strong>en</strong>s<br />
moeilijk te manag<strong>en</strong> zijn. E<strong>en</strong> cultuurverandering binn<strong>en</strong> de organis<strong>at</strong>ie is<br />
volg<strong>en</strong>s de auteur dan ook e<strong>en</strong> goede, eerste stap.<br />
Pagina | 121
[30] Cheremushkin, D. V., & Lyubimov, A. V. (2010, 7-11 September). An<br />
Applic<strong>at</strong>ion of Integral Engineering Technique to Inform<strong>at</strong>ion <strong>Security</strong><br />
Standards Analysis and Refinem<strong>en</strong>t. Paper pres<strong>en</strong>ted <strong>at</strong> the<br />
Intern<strong>at</strong>ional Confer<strong>en</strong>ce on <strong>Security</strong> of Inform<strong>at</strong>ion and Networks (SIN)<br />
2010, Taganrog, Rostov-on-Don, Russia.<br />
Original public<strong>at</strong>ion abstract<br />
The work demonstr<strong>at</strong>es practical applic<strong>at</strong>ion of inform<strong>at</strong>ion security integral<br />
<strong>en</strong>gineering technique to solve standards analysis and refinem<strong>en</strong>t problem. The<br />
applic<strong>at</strong>ion was exemplified by the developm<strong>en</strong>t and analysis of the ISMS<br />
standards (ISO/IEC 27000 series) dictionary object model. Standards refinem<strong>en</strong>t<br />
process consisting of model developm<strong>en</strong>t, model and standards modific<strong>at</strong>ion was<br />
described. As a result of the research the weaknesses rel<strong>at</strong>ed to “Asset”, “Risk<br />
managem<strong>en</strong>t”, “Inform<strong>at</strong>ion security policy” and “Certific<strong>at</strong>ion docum<strong>en</strong>t”<br />
concepts were revealed and proposals on their elimin<strong>at</strong>ion were formul<strong>at</strong>ed. The<br />
paper shows th<strong>at</strong> semiformal modeling techniques can be successfully applied<br />
and effici<strong>en</strong>tly used to analyze and am<strong>en</strong>d intern<strong>at</strong>ional standards.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze public<strong>at</strong>ie beginn<strong>en</strong> de auteurs met e<strong>en</strong> stukje achtergrond over<br />
intern<strong>at</strong>ionale standaard<strong>en</strong>, hoe ze tot stand kom<strong>en</strong> <strong>en</strong> w<strong>at</strong> hun nut/voordeel is.<br />
Echter, er hang<strong>en</strong> volg<strong>en</strong>s de auteurs ook e<strong>en</strong> aantal nadel<strong>en</strong> aan, ondanks d<strong>at</strong><br />
ze grondig word<strong>en</strong> ontwikkeld <strong>en</strong> gereviseerd. Ze bev<strong>at</strong>t<strong>en</strong> nog steeds zwakke<br />
plekk<strong>en</strong> volg<strong>en</strong>s de auteurs, zoals onvolledigheid <strong>en</strong> inconsist<strong>en</strong>tie in taalgebruik.<br />
In deze public<strong>at</strong>ie wordt de ISO 27000 standaard als onderzoeksobject gebruikt<br />
om de integrale technische b<strong>en</strong>adering die de auteurs voorstell<strong>en</strong>, verder te<br />
beschrijv<strong>en</strong>.<br />
Volg<strong>en</strong>s de auteurs lop<strong>en</strong> organis<strong>at</strong>ies teg<strong>en</strong> e<strong>en</strong> aantal problem<strong>en</strong> aan wanneer<br />
ze standaard<strong>en</strong> zoals ISO 27000 implem<strong>en</strong>ter<strong>en</strong> <strong>en</strong> gebruik<strong>en</strong>. Zo zijn er veel<br />
andere standaard<strong>en</strong> <strong>en</strong> blijft dit aantal alle<strong>en</strong> nog maar groei<strong>en</strong>, standaard<strong>en</strong><br />
zoals ISO 27000 zijn omslachtig <strong>en</strong> tell<strong>en</strong> veel pagina’s. Bov<strong>en</strong>di<strong>en</strong> bev<strong>at</strong>t<strong>en</strong> ze<br />
verschill<strong>en</strong>de manier<strong>en</strong> om concept<strong>en</strong> <strong>en</strong> achterligg<strong>en</strong>de principes uit te legg<strong>en</strong>.<br />
Ook zijn veel intern<strong>at</strong>ionale standaard<strong>en</strong> bedacht vanuit e<strong>en</strong> bottom-up<br />
uitgangspunt <strong>en</strong> verton<strong>en</strong> daardoor onvermijdelijke inconsist<strong>en</strong>ties. Standaard<strong>en</strong><br />
zijn dus erg gefragm<strong>en</strong>teerd volg<strong>en</strong>s de auteurs. Ook kunn<strong>en</strong> revisies de<br />
verandering<strong>en</strong> niet <strong>bij</strong>b<strong>en</strong><strong>en</strong> <strong>en</strong> lop<strong>en</strong> ze dus altijd achter. De auteurs stell<strong>en</strong> dan<br />
ook d<strong>at</strong> het noodzakelijk is om de huidige standaard<strong>en</strong> te analyser<strong>en</strong> <strong>en</strong><br />
verfijn<strong>en</strong>. Organis<strong>at</strong>ies kunn<strong>en</strong> dan nog beter gecoördineerd <strong>en</strong> efficiënter<br />
standaard<strong>en</strong> selecter<strong>en</strong>, implem<strong>en</strong>ter<strong>en</strong> <strong>en</strong> gebruik<strong>en</strong>. Op mom<strong>en</strong>t van schrijv<strong>en</strong>,<br />
concludeerde de auteurs d<strong>at</strong> standaard<strong>en</strong> op de volg<strong>en</strong>de manier tot stand<br />
kom<strong>en</strong>:<br />
1. Herk<strong>en</strong>n<strong>en</strong> van de noodzaak tot e<strong>en</strong> standaard <strong>en</strong> zijn technische<br />
afbak<strong>en</strong>ing.<br />
2. Besprek<strong>en</strong> <strong>en</strong> onderhandel<strong>en</strong> over de gedetailleerde inform<strong>at</strong>ie binn<strong>en</strong> de<br />
standaard.<br />
3. Formele goedkeuring van de conceptversie, waarop volgt d<strong>at</strong> de<br />
goedgekeurde tekst gepubliceerd wordt als e<strong>en</strong> intern<strong>at</strong>ionaal geld<strong>en</strong>de<br />
standaard.<br />
Pagina | 122
Standaard<strong>en</strong> word<strong>en</strong> om de zoveel jaar herbekek<strong>en</strong> <strong>en</strong> waar nodig gereviseerd.<br />
Dit is het geval wanneer er e<strong>en</strong> incompleetheid besta<strong>at</strong> in het woord<strong>en</strong>boek van<br />
e<strong>en</strong> standaard, inconsist<strong>en</strong>tie is in sommige definities of <strong>bij</strong> teg<strong>en</strong>strijdighed<strong>en</strong>.<br />
E<strong>en</strong> voorbeeld is de term “asset”, volg<strong>en</strong>s de huidige ISO 27000 standaard is<br />
deze term hetzelfde als e<strong>en</strong> “Bedrijfs asset” of e<strong>en</strong> “Organis<strong>at</strong>orische asset”. De<br />
term asset wordt in deze standaard echter veel vaker gebruik in de context van<br />
e<strong>en</strong> “Inform<strong>at</strong>ie asset”. Bov<strong>en</strong>di<strong>en</strong> bestaan er inconsist<strong>en</strong>ties <strong>bij</strong> de<br />
eig<strong>en</strong>schapp<strong>en</strong> van e<strong>en</strong> dergelijke inform<strong>at</strong>ie asset. De eig<strong>en</strong>schap Integriteit<br />
wordt gedefinieerd als e<strong>en</strong> eig<strong>en</strong>schap van e<strong>en</strong> asset terwijl de eig<strong>en</strong>schap<br />
Vertrouwelijkheid wordt gedefinieerd als e<strong>en</strong> eig<strong>en</strong>schap van inform<strong>at</strong>ie. De<br />
eig<strong>en</strong>schap Beschikbaarheid wordt vervolg<strong>en</strong>s helemaal niet gedefinieerd als e<strong>en</strong><br />
eig<strong>en</strong>schap van <strong>en</strong>ige <strong>en</strong>titeit. De auteurs stell<strong>en</strong> dan ook voor verandering voor<br />
die de lading beter dekt, zie hieronder.<br />
Figuur 22: Huidige st<strong>at</strong>us van de "Asset" concept context<br />
Figuur 23: Voorgestelde, nieuwe versie van de "Asset" concept context<br />
In de public<strong>at</strong>ie stell<strong>en</strong> de auteurs ook verfijning voor m.b.t. de term<strong>en</strong><br />
“Risicomanagem<strong>en</strong>t” <strong>en</strong> “inform<strong>at</strong>ie beveiligingsbeleid”. Conclusie van deze<br />
public<strong>at</strong>ie: standaard<strong>en</strong> <strong>en</strong> norm<strong>en</strong> zoals ISO 27000 zoud<strong>en</strong> meer naar context<br />
aangepast (verfijnd) moet<strong>en</strong> word<strong>en</strong> zod<strong>at</strong> organis<strong>at</strong>ies er maximaal <strong>en</strong> optimaal<br />
(str<strong>at</strong>egisch) voordeel mee kunn<strong>en</strong> behal<strong>en</strong>.<br />
Pagina | 123
[31] Jans<strong>en</strong>, W., & Scarfone, K. (2008). Guidelines on Cell Phone and<br />
PDA <strong>Security</strong> (Recomm<strong>en</strong>d<strong>at</strong>ions of the N<strong>at</strong>ional Institute of Standards<br />
and Technology). Gaithersburg, MD: N<strong>at</strong>ional Institute of Standards and<br />
Technology (NIST).<br />
Original public<strong>at</strong>ion abstract<br />
Cell phones and personal digital assistants (PDAs) have become indisp<strong>en</strong>sable<br />
tools for today's highly mobile workforce. Small and rel<strong>at</strong>ively inexp<strong>en</strong>sive, these<br />
devices can be used for many functions, including s<strong>en</strong>ding and receiving<br />
electronic mail, storing docum<strong>en</strong>ts, delivering pres<strong>en</strong>t<strong>at</strong>ions, and remotely<br />
accessing d<strong>at</strong>a. While these devices provide productivity b<strong>en</strong>efits, they also pose<br />
new risks to organiz<strong>at</strong>ions. This docum<strong>en</strong>t provides an overview of cell phone<br />
and PDA devices in use today and offers insights into making informed<br />
inform<strong>at</strong>ion technology security decisions on their tre<strong>at</strong>m<strong>en</strong>t. The docum<strong>en</strong>t<br />
gives details about the thre<strong>at</strong>s and technology risks associ<strong>at</strong>ed with the use of<br />
these devices and the available safeguards to mitig<strong>at</strong>e them. Organiz<strong>at</strong>ions can<br />
use this inform<strong>at</strong>ion to <strong>en</strong>hance security and reduce incid<strong>en</strong>ts involving cell<br />
phone and PDA devices.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In dit docum<strong>en</strong>t uit 2008 wordt door NIST e<strong>en</strong> overzicht gegev<strong>en</strong> van mobiele<br />
appar<strong>at</strong><strong>en</strong>, zoals smartphones <strong>en</strong> Pda’s, die op mom<strong>en</strong>t van schrijv<strong>en</strong> gebruikt<br />
werd<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> biedt het docum<strong>en</strong>t inzicht<strong>en</strong> over hoe m<strong>en</strong> veilig met dit<br />
soort technologie om kan gaan. De risico’s <strong>en</strong> bedreiging<strong>en</strong>, inher<strong>en</strong>t aan<br />
(gebruik van) dit soort mobiele appar<strong>at</strong><strong>en</strong>, word<strong>en</strong> gedetailleerd beschrev<strong>en</strong>.<br />
Daarnaast ga<strong>at</strong> het docum<strong>en</strong>t in op hoe (<strong>en</strong> waarmee) m<strong>en</strong> deze risico’s <strong>en</strong><br />
bedreiging<strong>en</strong> kan mitiger<strong>en</strong>. Doel van dit rapport is om organis<strong>at</strong>ies te help<strong>en</strong><br />
hun inform<strong>at</strong>iebeveiliging te verbeter<strong>en</strong> <strong>en</strong> beveiligingsincid<strong>en</strong>t<strong>en</strong> met mobiele<br />
appar<strong>at</strong><strong>en</strong> te verminder<strong>en</strong>. Ondanks d<strong>at</strong> dit ge<strong>en</strong> wet<strong>en</strong>schappelijke public<strong>at</strong>ie is,<br />
blijkt het docum<strong>en</strong>t toch geschikt om in deze liter<strong>at</strong>uurstudie op te nem<strong>en</strong><br />
doord<strong>at</strong> er veel relevante inform<strong>at</strong>ie in sta<strong>at</strong> <strong>en</strong> achterligg<strong>en</strong>de concept<strong>en</strong> helder<br />
word<strong>en</strong> gemaakt.<br />
De auteurs van dit docum<strong>en</strong>t erk<strong>en</strong>n<strong>en</strong> d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> zoals smartphones<br />
<strong>en</strong> Pda’s onmisbare middel<strong>en</strong> zijn voor moderne, mobiele werkers. Ze zijn klein<br />
<strong>en</strong> rel<strong>at</strong>ief goedkoop <strong>en</strong> kunn<strong>en</strong> voor veel zakelijke doeleind<strong>en</strong> word<strong>en</strong> gebruikt.<br />
Ze bied<strong>en</strong> hierdoor aanzi<strong>en</strong>lijke voordel<strong>en</strong> die de productiviteit van medewerkers<br />
verhoogt, maar er klev<strong>en</strong> ook belangrijke nadel<strong>en</strong> aan het gebruik van dit soort<br />
mobiele appar<strong>at</strong><strong>en</strong>.<br />
In het docum<strong>en</strong>t word<strong>en</strong> de volg<strong>en</strong>de nadel<strong>en</strong> opgesomd:<br />
Omd<strong>at</strong> ze zo klein zijn <strong>en</strong> vaak buit<strong>en</strong> het kantoorpand word<strong>en</strong> gebruikt,<br />
rak<strong>en</strong> dit soort mobiele appar<strong>at</strong><strong>en</strong> vaker verlor<strong>en</strong> of gestol<strong>en</strong> dan e<strong>en</strong><br />
laptop/notebook. En als ze dan in de verkeerde hand<strong>en</strong> vall<strong>en</strong>, gev<strong>en</strong> ze<br />
rel<strong>at</strong>ief e<strong>en</strong>voudig toegang tot lokaal opgeslag<strong>en</strong> inform<strong>at</strong>ie of op afstand tot<br />
bedrijfsinform<strong>at</strong>ie.<br />
Deze mobiele appar<strong>at</strong><strong>en</strong> zijn op verschill<strong>en</strong>de manier<strong>en</strong> te besmett<strong>en</strong> met<br />
malware. E<strong>en</strong>maal besmet kan malware verschill<strong>en</strong>de soort<strong>en</strong> aanvall<strong>en</strong><br />
uitvoer<strong>en</strong> <strong>en</strong> zichzelf verspreid<strong>en</strong> over andere appar<strong>at</strong><strong>en</strong>.<br />
Pagina | 124
Net zoals Pc’s zijn deze mobiele appar<strong>at</strong><strong>en</strong> onderhevig aan Spam. Naast het<br />
feit d<strong>at</strong> dit vervel<strong>en</strong>d is <strong>en</strong> voor extra d<strong>at</strong>akost<strong>en</strong> kan zorg<strong>en</strong>, kan spam<br />
gebruikt word<strong>en</strong> voor phishing.<br />
Elektronisch meeluister<strong>en</strong> met (d<strong>at</strong>a)communic<strong>at</strong>ie is op verschill<strong>en</strong>de<br />
manier<strong>en</strong> mogelijk <strong>en</strong> d<strong>en</strong>kbaar. Verzamel<strong>en</strong> <strong>en</strong> doorstur<strong>en</strong> van (gevoelige)<br />
bedrijfsinform<strong>at</strong>ie of communic<strong>at</strong>ie zijn mogelijke manier<strong>en</strong> om deze<br />
appar<strong>at</strong><strong>en</strong> te exploiter<strong>en</strong>.<br />
Loc<strong>at</strong>iebepaling kan de plek van telefoongesprekk<strong>en</strong> vastlegg<strong>en</strong> <strong>en</strong><br />
monitor<strong>en</strong>. Dit kan voor legale <strong>en</strong> goedgekeurde doeleind<strong>en</strong> zijn, ook zonder<br />
d<strong>at</strong> iemand dit weet (<strong>en</strong> wil).<br />
Gegev<strong>en</strong>s die op e<strong>en</strong> server staan, zoals mail <strong>en</strong> docum<strong>en</strong>t<strong>en</strong>, kunn<strong>en</strong><br />
vertrouwelijke inform<strong>at</strong>ie prijsgev<strong>en</strong> doord<strong>at</strong> de server kwetsbaarhed<strong>en</strong><br />
bev<strong>at</strong>.<br />
De auteurs meld<strong>en</strong> in dit docum<strong>en</strong>t d<strong>at</strong> het op mom<strong>en</strong>t van schrijv<strong>en</strong> meeviel<br />
met de dreiging van malware voor dit soort mobiele appar<strong>at</strong><strong>en</strong>. Maar, d<strong>at</strong><br />
wanneer meer op<strong>en</strong> system<strong>en</strong> (zoals Google Android) beschikbaar kom<strong>en</strong>, dit de<br />
ontwikkeling <strong>en</strong> distributie van malware zal versnell<strong>en</strong> <strong>en</strong> meer manier<strong>en</strong> van<br />
besmetting <strong>en</strong> aanvall<strong>en</strong> zal faciliter<strong>en</strong>.<br />
In dit docum<strong>en</strong>t gev<strong>en</strong> de auteurs e<strong>en</strong> aantal adviez<strong>en</strong> aan organis<strong>at</strong>ies om de<br />
inform<strong>at</strong>iebeveiliging naar e<strong>en</strong> hoger niveau te till<strong>en</strong>:<br />
1. Organis<strong>at</strong>ies moet<strong>en</strong> de beveiligingsaspect<strong>en</strong>/risico’s van bedrijfseig<strong>en</strong><br />
smartphones organiser<strong>en</strong> <strong>en</strong> aanpakk<strong>en</strong>.<br />
2. Organis<strong>at</strong>ies moet<strong>en</strong> t.b.v. mobiele appar<strong>at</strong><strong>en</strong> geschikte<br />
beveiligingsma<strong>at</strong>regel<strong>en</strong> treff<strong>en</strong> ev<strong>en</strong>als de juiste beheermiddel<strong>en</strong> zoals:<br />
a. Organis<strong>at</strong>iebreed beveiligingsbeleid voor alle mobiele appar<strong>at</strong><strong>en</strong><br />
b. Risicosch<strong>at</strong>ting <strong>en</strong> managem<strong>en</strong>t<br />
c. Bewustwording van beveiliging <strong>en</strong> training<br />
d. Configur<strong>at</strong>iecontrole <strong>en</strong> managem<strong>en</strong>t<br />
e. Certific<strong>at</strong>ie <strong>en</strong> accredit<strong>at</strong>ie<br />
3. Organis<strong>at</strong>ies moet<strong>en</strong> ervoor zorg<strong>en</strong> d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> op dusdanige<br />
wijze word<strong>en</strong> ingezet, ingesteld <strong>en</strong> beheerd d<strong>at</strong> de werking ervan voldoet<br />
aan de organis<strong>at</strong>ie-eig<strong>en</strong> beveiligingsvereist<strong>en</strong> <strong>en</strong> doelstelling<strong>en</strong>. Dit kan<br />
door:<br />
a. Belangrijke upd<strong>at</strong>es <strong>en</strong> p<strong>at</strong>ches m.b.t. het besturingssysteem<br />
installer<strong>en</strong><br />
b. Onnodige, of niet-bedrijf kritische applic<strong>at</strong>ies <strong>en</strong> achterligg<strong>en</strong>de<br />
di<strong>en</strong>st<strong>en</strong>/process<strong>en</strong> op het mobiele appara<strong>at</strong> uitschakel<strong>en</strong> of<br />
uitzett<strong>en</strong>.<br />
c. Installer<strong>en</strong> <strong>en</strong> instell<strong>en</strong> van additionele, noodzakelijke applic<strong>at</strong>ies<br />
d. Toegangscontrole <strong>en</strong> auth<strong>en</strong>tic<strong>at</strong>ie instell<strong>en</strong><br />
e. Instell<strong>en</strong> van resource controlemiddel<strong>en</strong><br />
Pagina | 125
f. Installer<strong>en</strong> <strong>en</strong> instell<strong>en</strong> van extra beveiligingssoftware/middel<strong>en</strong><br />
zoals versleuteling, remote beheer/wipe, firewall, anti-malware<br />
software, IDS, anti-spam <strong>en</strong> VPN software.<br />
g. Uitvoer<strong>en</strong> van veiligheidstests (audits)<br />
4. Organis<strong>at</strong>ies moet<strong>en</strong> continue lett<strong>en</strong> op de beveiliging van mobiele<br />
appar<strong>at</strong><strong>en</strong>. Dit moet e<strong>en</strong> dynamisch <strong>en</strong> lop<strong>en</strong>d proces zijn. Dit kan o.a.<br />
door:<br />
a. Gebruikers instruer<strong>en</strong> over procedures <strong>en</strong> stapp<strong>en</strong> die ze moet<strong>en</strong><br />
volg<strong>en</strong> <strong>en</strong> voorzorgsma<strong>at</strong>regel<strong>en</strong> die ze moet<strong>en</strong> nem<strong>en</strong> zoals over<br />
backups, w<strong>at</strong> te do<strong>en</strong> wanneer het appara<strong>at</strong> verlor<strong>en</strong>/gestol<strong>en</strong> is <strong>en</strong><br />
hoe ze uitlekk<strong>en</strong> van gevoelige gegev<strong>en</strong>s kunn<strong>en</strong> voorkom<strong>en</strong>.<br />
b. Inschakel<strong>en</strong>, verkrijg<strong>en</strong> <strong>en</strong> analyser<strong>en</strong> van logbestand<strong>en</strong>.<br />
c. Procedures ontwikkel<strong>en</strong>, <strong>en</strong> ze ook volg<strong>en</strong>, over w<strong>at</strong> te do<strong>en</strong><br />
wanneer het mobiele appara<strong>at</strong> zoek of gestol<strong>en</strong> is.<br />
d. Test <strong>en</strong> pas belangrijke upd<strong>at</strong>es <strong>en</strong> p<strong>at</strong>ches op tijd toe.<br />
e. Periodieke evalu<strong>at</strong>ie van de beveiliging van het mobiele appara<strong>at</strong>.<br />
In het docum<strong>en</strong>t wordt ook ingegaan op hoe m<strong>en</strong> gec<strong>en</strong>traliseerd<br />
beveiligingsmanagem<strong>en</strong>t kunt toepass<strong>en</strong> in het geval van bedrijfseig<strong>en</strong><br />
appar<strong>at</strong><strong>en</strong> (dus niet <strong>BYOD</strong>). Voorbeeld<strong>en</strong> hiervan:<br />
Registreer het appara<strong>at</strong>.<br />
Installeer cli<strong>en</strong>t software, regels m.b.t. het beveiligingsbeleid <strong>en</strong> beheer<br />
middel<strong>en</strong>.<br />
Stel het verplichte aantal karakters (<strong>en</strong> de sam<strong>en</strong>stelling) van het<br />
wachtwoord in, <strong>en</strong> hoe vaak er maximaal met verkeerde username/password<br />
geprobeerd mag word<strong>en</strong> om toegang te verkrijg<strong>en</strong> of in te logg<strong>en</strong>.<br />
Probeer het remote wachtwoord uit.<br />
Op afstand wiss<strong>en</strong> of op slot zett<strong>en</strong> van het appara<strong>at</strong>.<br />
Middel<strong>en</strong> om applic<strong>at</strong>ie download<strong>en</strong>, toegang <strong>en</strong> gebruik te kunn<strong>en</strong> beperk<strong>en</strong>.<br />
Controle over communic<strong>at</strong>iekanal<strong>en</strong> zoals Bluetooth <strong>en</strong> Wifi<br />
Controle over het beperk<strong>en</strong> van de camerafunctie, microfoon <strong>en</strong><br />
verwijderbare media/opslag.<br />
Middel<strong>en</strong> om controle uit te oef<strong>en</strong><strong>en</strong> over de cont<strong>en</strong>t/inhoud van het appara<strong>at</strong><br />
<strong>en</strong> versleuteling van verwijderbare media/opslag.<br />
Middel<strong>en</strong> om controle uit te oef<strong>en</strong><strong>en</strong> over beveiligingsma<strong>at</strong>regel<strong>en</strong> zoals VPN,<br />
firewall, anti-malware, IDS <strong>en</strong> anti-spam<br />
Op afstand <strong>bij</strong>werk<strong>en</strong> van cli<strong>en</strong>t software, beveiligingsbeleid <strong>en</strong><br />
beheermiddel<strong>en</strong>.<br />
Op afstand diagnostiek <strong>en</strong> audits uit kunn<strong>en</strong> voer<strong>en</strong>.<br />
Device compliance st<strong>at</strong>us reporting<br />
Functionaliteit/di<strong>en</strong>st<strong>en</strong> kunn<strong>en</strong> afsluit<strong>en</strong> voor mobiele appar<strong>at</strong><strong>en</strong> die niet aan<br />
de regels voldo<strong>en</strong> of niet bek<strong>en</strong>d/geregistreerd zijn.<br />
Pagina | 126
[32] Dimitriadis, C. K., Lobel, M. A., Meyers, A., & Nedelchev, N. (2010).<br />
Securing Mobile Devices (Whitepaper). Rolling Meadows, IL, USA:<br />
Inform<strong>at</strong>ion Systems Audit and Control Associ<strong>at</strong>ion (ISACA).<br />
Original public<strong>at</strong>ion abstract<br />
Mobile computing devices have become a critical tool in today’s networked world.<br />
Enterprises and individuals alike rely on mobile devices to remain reachable<br />
wh<strong>en</strong> away from the office or home. While mobile devices such as smartphones,<br />
laptops, personal digital assistants (PDAs) and Universal Serial Bus (USB)<br />
memory sticks have facilit<strong>at</strong>ed increased conv<strong>en</strong>i<strong>en</strong>ce for individuals as well as<br />
the pot<strong>en</strong>tial for increased productivity in the workplace, these b<strong>en</strong>efits are not<br />
without risks. Mobile devices have be<strong>en</strong>, and continue to be, a source of various<br />
types of security incid<strong>en</strong>ts. These stem from issues such as device loss, malware<br />
and external breaches. As the availability of human resources and systems<br />
continues to be critical to society and business oper<strong>at</strong>ions, it stands to reason<br />
th<strong>at</strong> mobile device usage will continue to escal<strong>at</strong>e as will the fe<strong>at</strong>ures these<br />
devices offer. It is, therefore, imper<strong>at</strong>ive th<strong>at</strong> proper risk managem<strong>en</strong>t be applied<br />
and security controls implem<strong>en</strong>ted to maximize the b<strong>en</strong>efits while minimizing the<br />
risks associ<strong>at</strong>ed with such devices.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze whitepaper van ISACA uit 2010 beschrijv<strong>en</strong> de auteurs de voor- <strong>en</strong><br />
nadel<strong>en</strong> van mobiele appar<strong>at</strong><strong>en</strong> voor organis<strong>at</strong>ies. Ze stell<strong>en</strong> d<strong>at</strong> door de <strong>en</strong>orme<br />
pot<strong>en</strong>tie e<strong>en</strong> to<strong>en</strong>ame in gebruik <strong>en</strong> mogelijkhed<strong>en</strong> onvermijdelijk is voor de<br />
kom<strong>en</strong>de jar<strong>en</strong>. Juist daarom moet aan risicomanagem<strong>en</strong>t word<strong>en</strong> gedaan <strong>en</strong><br />
controletechniek<strong>en</strong> geïmplem<strong>en</strong>teerd word<strong>en</strong>. Het uiteindelijke doel is dan ook<br />
om de voordel<strong>en</strong> te maximaliser<strong>en</strong> <strong>en</strong> (security) nadel<strong>en</strong> te minimaliser<strong>en</strong>. De<br />
auteurs zi<strong>en</strong> als voordeel van het gebruik van mobiele appar<strong>at</strong><strong>en</strong>, e<strong>en</strong> to<strong>en</strong>ame<br />
in productiviteit <strong>en</strong> e<strong>en</strong> snelle/hoge Return On Investm<strong>en</strong>t. Ondanks d<strong>at</strong> dit ge<strong>en</strong><br />
wet<strong>en</strong>schappelijke public<strong>at</strong>ie is, blijkt het docum<strong>en</strong>t toch geschikt om in deze<br />
liter<strong>at</strong>uurstudie op te nem<strong>en</strong> doord<strong>at</strong> er veel relevante inform<strong>at</strong>ie in sta<strong>at</strong> <strong>en</strong><br />
achterligg<strong>en</strong>de concept<strong>en</strong> helder word<strong>en</strong> gemaakt.<br />
De auteurs beginn<strong>en</strong> in deze whitepaper met w<strong>at</strong> zij verstaan onder mobiele<br />
appar<strong>at</strong><strong>en</strong>:<br />
1. Smartphones<br />
2. Notebooks <strong>en</strong> netbooks<br />
3. Tablets<br />
4. Pda’s<br />
5. Externe opslagmedia zoals USB-sticks, extern harde schijv<strong>en</strong><br />
6. USB-connectiviteitsoplossing<strong>en</strong> zoals losse Wifi/Bluetooth adapters<br />
7. Digitale camera's<br />
8. RFID-hardware<br />
9. Infrarood appar<strong>at</strong><strong>en</strong> zoals printers <strong>en</strong> smart cards<br />
Hierna beschrijv<strong>en</strong> de auteurs de voordel<strong>en</strong> van gebruik van dit soort appar<strong>at</strong><strong>en</strong>.<br />
De auteurs merk<strong>en</strong> hier<strong>bij</strong> op d<strong>at</strong> deze voordel<strong>en</strong> alle<strong>en</strong> van kracht kunn<strong>en</strong> zijn<br />
wanneer het managem<strong>en</strong>t van de organis<strong>at</strong>ie de technologie effectief inzet.<br />
1. Verhoogde productiviteit van het personeel<br />
2. Verbeterde klant<strong>en</strong>service<br />
Pagina | 127
3. Op ieder mom<strong>en</strong>t e<strong>en</strong> reactie op problem<strong>en</strong> van klant<strong>en</strong> of vrag<strong>en</strong><br />
4. Verbeterde doorlooptijd<strong>en</strong> voor de oplossing van het probleem<br />
5. Verhoogde efficiëntie van bedrijfsprocess<strong>en</strong><br />
6. Medewerker beveiliging <strong>en</strong> veiligheid<br />
7. Behoud van medewerkers<br />
Vervolg<strong>en</strong>s pres<strong>en</strong>ter<strong>en</strong> de auteurs e<strong>en</strong> fraai overzicht van de kwetsbaarhed<strong>en</strong>,<br />
bedreiging<strong>en</strong> <strong>en</strong> risico's rondom deze mobiele appar<strong>at</strong><strong>en</strong> in onderstaande tabel.<br />
Tabel 19: Kwetsbaarhed<strong>en</strong>, bedreiging<strong>en</strong> <strong>en</strong> risico's<br />
Vervolg<strong>en</strong>s stell<strong>en</strong> de auteurs d<strong>at</strong> e<strong>en</strong> str<strong>at</strong>egie m.b.t. mobiele appar<strong>at</strong><strong>en</strong><br />
bedacht, ontworp<strong>en</strong> <strong>en</strong> geïmplem<strong>en</strong>teerd moet word<strong>en</strong> die helpt om de risico's te<br />
verantwoord<strong>en</strong> <strong>en</strong> pass<strong>en</strong>d gemanaged te krijg<strong>en</strong>. IT managers moet<strong>en</strong><br />
nad<strong>en</strong>k<strong>en</strong> over aspect<strong>en</strong> zoals de bedrijfscultuur, technologie <strong>en</strong> governance<br />
(bestuur) <strong>bij</strong> het bed<strong>en</strong>k<strong>en</strong> van deze str<strong>at</strong>egie m.b.t. mobiele appar<strong>at</strong><strong>en</strong>. De<br />
str<strong>at</strong>egie moet volg<strong>en</strong>s de auteurs beginn<strong>en</strong> <strong>bij</strong> e<strong>en</strong> uitgebreid <strong>en</strong> veelomv<strong>at</strong>t<strong>en</strong>d<br />
beveiligingsbeleid <strong>en</strong> eindig<strong>en</strong> met e<strong>en</strong> programma ter ondersteuning van de<br />
lev<strong>en</strong>scyclus van het betreff<strong>en</strong>de mobiele appara<strong>at</strong> zelf.<br />
In het beleid waar de str<strong>at</strong>egiedoelstelling<strong>en</strong> in staan, zoud<strong>en</strong> volg<strong>en</strong>s de auteurs<br />
van deze whitepaper de volg<strong>en</strong>de aspect<strong>en</strong> in terug moet<strong>en</strong> kom<strong>en</strong>:<br />
1. Bepal<strong>en</strong> welke appar<strong>at</strong><strong>en</strong> wel of niet toegestaan word<strong>en</strong><br />
2. Bepal<strong>en</strong> welke di<strong>en</strong>st<strong>en</strong>, mogelijkhed<strong>en</strong> of functionaliteit via deze mobiele<br />
appar<strong>at</strong><strong>en</strong> toegankelijk zijn, met hier<strong>bij</strong> de huidige ICT-architectuur in het<br />
achterhoofd<br />
3. Uitzoek<strong>en</strong> waar (<strong>en</strong> hoe) medewerkers de mobiele appar<strong>at</strong><strong>en</strong> allemaal<br />
voor gebruik<strong>en</strong>.<br />
Pagina | 128
4. Integrer<strong>en</strong> van alle bedrijfseig<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> in e<strong>en</strong> "asset<br />
managem<strong>en</strong>t program".<br />
5. Beschrijv<strong>en</strong> welk type van auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> versleuteling aanwezig moet<br />
zijn op de mobiele appar<strong>at</strong><strong>en</strong>.<br />
6. Omschrijv<strong>en</strong> van de tak<strong>en</strong>/werkzaamhed<strong>en</strong> waar medewerkers de mobiele<br />
appar<strong>at</strong><strong>en</strong> allemaal voor mog<strong>en</strong> gebruik<strong>en</strong>, w<strong>at</strong> toegestaan is.<br />
7. Duidelijk mak<strong>en</strong> (door middel van bewustwording <strong>en</strong> training) hoe<br />
gegev<strong>en</strong>s beveiligd opgeslag<strong>en</strong> <strong>en</strong> verstuurd moet<strong>en</strong> word<strong>en</strong>.<br />
Dit beleid zou volg<strong>en</strong>s de auteurs tev<strong>en</strong>s aan de volg<strong>en</strong>de k<strong>en</strong>merk<strong>en</strong> moet<strong>en</strong><br />
voldo<strong>en</strong>:<br />
1. Toepasbaar op verschill<strong>en</strong>de soort<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong><br />
2. C<strong>en</strong>traal door de organis<strong>at</strong>ie zelf beheerd word<strong>en</strong><br />
3. E<strong>en</strong>voudig om te implem<strong>en</strong>ter<strong>en</strong> <strong>en</strong> onderhoud<strong>en</strong><br />
4. Flexibel zijn zod<strong>at</strong> gebruikers <strong>en</strong> appar<strong>at</strong><strong>en</strong> e<strong>en</strong>voudig <strong>en</strong> snel toegevoegd<br />
kunn<strong>en</strong> word<strong>en</strong><br />
5. Gericht zijn op voorkom<strong>en</strong> van verlies <strong>en</strong>/of diefstal<br />
6. Alle onderdel<strong>en</strong> moet<strong>en</strong> controleerbaar zijn<br />
7. Getest <strong>en</strong> controle van volledig functioner<strong>en</strong> <strong>bij</strong> e<strong>en</strong> grote calamiteit<br />
8. Oplett<strong>en</strong>d voor mogelijke externe bedreiging<strong>en</strong><br />
De auteurs stell<strong>en</strong> d<strong>at</strong> mobiele appar<strong>at</strong><strong>en</strong> de pot<strong>en</strong>tie hebb<strong>en</strong> om de grootste<br />
bedreiging voor het lekk<strong>en</strong> van vertrouwelijke bedrijfsinform<strong>at</strong>ie te kunn<strong>en</strong><br />
word<strong>en</strong>. De bescherming van mobiele appar<strong>at</strong><strong>en</strong>, tot nu toe erg verwaarloost, zal<br />
uitgroei<strong>en</strong> tot e<strong>en</strong> primaire taak voor organis<strong>at</strong>ies, stell<strong>en</strong> de auteurs. Het<br />
creër<strong>en</strong> van e<strong>en</strong> transparant, begrijpelijk, flexibel <strong>en</strong> uitvoerbaar beleid zal het<br />
managem<strong>en</strong>t help<strong>en</strong> om intellectueel eig<strong>en</strong>dom te bescherm<strong>en</strong> <strong>en</strong> str<strong>at</strong>egisch<br />
voordeel te blijv<strong>en</strong> behoud<strong>en</strong>. In deze whitepaper word<strong>en</strong> de volg<strong>en</strong>de<br />
str<strong>at</strong>egieën geopperd om risico's te mitiger<strong>en</strong>.<br />
Tabel 20: Risico mitiger<strong>en</strong>de str<strong>at</strong>egieën<br />
Vervolg<strong>en</strong>s stell<strong>en</strong> de auteurs d<strong>at</strong>, om er zeker van te zijn d<strong>at</strong> de introductie van<br />
mobiele appar<strong>at</strong><strong>en</strong> in e<strong>en</strong> bedrijf aansluit <strong>bij</strong> de bedrijfsstr<strong>at</strong>egie <strong>en</strong><br />
doelstelling<strong>en</strong>, het noodzakelijk is om e<strong>en</strong> beproefd framework (raamwerk) te<br />
gebruik<strong>en</strong> zoals COBIT 10 . Dit framework moet ervoor zorg<strong>en</strong> d<strong>at</strong> het gebruik van<br />
mobiele technologie:<br />
10 Control OBjectives for Inform<strong>at</strong>ion and rel<strong>at</strong>ed Technology<br />
Pagina | 129
1. E<strong>en</strong> toegevoegde waarde br<strong>en</strong>gt <strong>bij</strong> de ondersteuning van<br />
bedrijfsprocess<strong>en</strong><br />
2. Wordt ingezet op e<strong>en</strong> wijze die de daaraan verbond<strong>en</strong> risico aanpakt<br />
3. Past binn<strong>en</strong> de bedrijfscultuur<br />
4. Ver<strong>en</strong>igbaar is met het k<strong>en</strong>nisniveau van medewerkers<br />
5. Past binn<strong>en</strong> de technische architectuur van de organis<strong>at</strong>ie<br />
6. Externe factor<strong>en</strong> in acht neemt, zoals productvolwass<strong>en</strong>heid <strong>en</strong> legale<br />
kaders<br />
7. Wordt ondersteund door pass<strong>en</strong>de resources zoals additionele technologie<br />
<strong>en</strong> inzet van personeel m.b.t. inform<strong>at</strong>iebeveiliging<br />
8. Toezicht houd<strong>en</strong>, vanuit de organis<strong>at</strong>ieperspectief, door pass<strong>en</strong>de <strong>en</strong><br />
geschikte prest<strong>at</strong>ie metriek<strong>en</strong> in te zett<strong>en</strong>.<br />
[33] MacDonald, N., Litan, A., Wagner, J. G. R., & Orans, L. (2010).<br />
Predicts 2011: Infrastructure Protection Is Becoming More Complex,<br />
More Difficult and More Business-Critical Than Ever (Research Report):<br />
Gartner.<br />
Original public<strong>at</strong>ion abstract<br />
Sophistic<strong>at</strong>ed new thre<strong>at</strong>s, increasingly rigorous governm<strong>en</strong>tal control of<br />
inform<strong>at</strong>ion flows, and the growing "consumeriz<strong>at</strong>ion" of IT are among the<br />
factors increasing the complexity and difficulty — and criticality — of protecting<br />
<strong>en</strong>terprise IT infrastructure.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In dit onderzoeksrapport van onderzoeksinstituut Gartner sprek<strong>en</strong> de auteurs<br />
hun zorg<strong>en</strong> uit over de to<strong>en</strong>em<strong>en</strong>de m<strong>at</strong>e van complexiteit m.b.t.<br />
inform<strong>at</strong>iebeveiliging <strong>bij</strong> organis<strong>at</strong>ies. De groei<strong>en</strong>de populariteit van <strong>BYOD</strong>concept,<br />
door de auteurs ook wel "consumeriz<strong>at</strong>ion of IT" g<strong>en</strong>oemd, is hier debet<br />
aan. Ondanks d<strong>at</strong> dit ge<strong>en</strong> wet<strong>en</strong>schappelijke public<strong>at</strong>ie is, blijkt het docum<strong>en</strong>t<br />
toch geschikt om in deze liter<strong>at</strong>uurstudie op te nem<strong>en</strong> doord<strong>at</strong> er veel relevante<br />
<strong>en</strong> actuele inform<strong>at</strong>ie in sta<strong>at</strong> <strong>en</strong> achterligg<strong>en</strong>de concept<strong>en</strong> helder word<strong>en</strong><br />
gemaakt. Bov<strong>en</strong>di<strong>en</strong> gaan de auteurs van dit docum<strong>en</strong>t concreet in op het <strong>BYOD</strong>concept<br />
<strong>en</strong> word<strong>en</strong> interessante <strong>en</strong> relevante voorspelling<strong>en</strong> gedaan.<br />
De auteurs kom<strong>en</strong> n.a.v. dit onderzoeksrapport tot drie belangrijke<br />
hoofdconclusies:<br />
1. Financieel gerichte malware aanvall<strong>en</strong> kom<strong>en</strong> vaker voor, zijn meer verfijnd<br />
<strong>en</strong> effectiever. Bov<strong>en</strong>di<strong>en</strong> is deze malware aan de winn<strong>en</strong>de hand t.o.v.<br />
huidige beveiligingstechniek<strong>en</strong> <strong>en</strong> process<strong>en</strong>.<br />
2. Regering<strong>en</strong> over de hele wereld, gemotiveerd door zeer uite<strong>en</strong>lop<strong>en</strong>de<br />
problem<strong>en</strong>, nem<strong>en</strong> sterke acties om meer inzicht te krijg<strong>en</strong> in, <strong>en</strong> controle<br />
over, Internetverkeer binn<strong>en</strong> hun bevoegdheidsgebied.<br />
3. De kost<strong>en</strong> die gemoeid zijn <strong>bij</strong> het mitiger<strong>en</strong> van inbrak<strong>en</strong> of uitlekk<strong>en</strong> van<br />
gegev<strong>en</strong>s zijn waarschijnlijk flink groter dan de kost<strong>en</strong> die gemoeid zijn <strong>bij</strong><br />
het vooraf voorkom<strong>en</strong> ervan. De auteurs sch<strong>at</strong>t<strong>en</strong> d<strong>at</strong> dit wel e<strong>en</strong>s e<strong>en</strong><br />
verhouding van 70:1 zou kunn<strong>en</strong> zijn.<br />
Pagina | 130
Met betrekking tot deze hoofdconclusies do<strong>en</strong> de auteurs de volg<strong>en</strong>de<br />
aanbeveling<strong>en</strong>:<br />
1. Implem<strong>en</strong>teer bedrijfsprocess<strong>en</strong> <strong>en</strong> beveiligingstechniek<strong>en</strong> die zorg<strong>en</strong> voor<br />
e<strong>en</strong> betere beveiliging teg<strong>en</strong> de toekom<strong>en</strong>de <strong>en</strong> gerichte aanvall<strong>en</strong> met<br />
financieel motief.<br />
2. Wees voorbereid op e<strong>en</strong> grotere rol van de overheid in de toezicht op, <strong>en</strong><br />
controle van, Internetverkeer. En dan in het <strong>bij</strong>zonder verkeer d<strong>at</strong><br />
intern<strong>at</strong>ionale gr<strong>en</strong>z<strong>en</strong> (zowel fysiek als logisch) kruist.<br />
3. Implem<strong>en</strong>teer technologie <strong>en</strong> techniek die de gegev<strong>en</strong>s beveiligt op alle<br />
mobiele appar<strong>at</strong><strong>en</strong>, inclusief die eig<strong>en</strong>dom zijn van de medewerkers zelf<br />
(<strong>BYOD</strong>), met als doel het voorkom<strong>en</strong> van uitlekk<strong>en</strong> van gegev<strong>en</strong>s.<br />
Met betrekking tot het <strong>BYOD</strong>-concept do<strong>en</strong> de auteurs van deze public<strong>at</strong>ie nog<br />
twee interessante aanbeveling<strong>en</strong>:<br />
1. Investeer e<strong>en</strong> deel van het geld, d<strong>at</strong> je als bedrijf bespaart doord<strong>at</strong> m<strong>en</strong>s<strong>en</strong><br />
hun eig<strong>en</strong> appara<strong>at</strong> me<strong>en</strong>em<strong>en</strong> <strong>en</strong> gebruik<strong>en</strong>, in beschermingsmiddel<strong>en</strong> teg<strong>en</strong><br />
botnets <strong>en</strong> andere gerichte aanvall<strong>en</strong>.<br />
2. Let erop d<strong>at</strong> de IT-afdeling (belast met inform<strong>at</strong>iebeveiliging) het<br />
managem<strong>en</strong>t informeert over de risico's <strong>bij</strong> gebruik van<br />
consum<strong>en</strong>t<strong>en</strong>elektronica, ev<strong>en</strong>als de kost<strong>en</strong> van het mitiger<strong>en</strong> van deze<br />
risico's.<br />
[34] Redman, P., Girard, J., & Wallin, L.-O. (2011). Magic Quadrant for<br />
Mobile Device Managem<strong>en</strong>t Software (No. G00211101). Stamford,<br />
Connecticut, VS: Gartner.<br />
Original public<strong>at</strong>ion abstract<br />
As smartphones prolifer<strong>at</strong>e in the <strong>en</strong>terprise, companies are struggling to<br />
manage policy, security and support. Enterprise mobile device managem<strong>en</strong>t<br />
software is evolving to offer smartphone (and other device) support across a<br />
variety of pl<strong>at</strong>forms.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In dit rec<strong>en</strong>te docum<strong>en</strong>t van onderzoeksinstituut Gartner gaan de auteurs in op<br />
(de markt van) beheersoftware voor mobiele appar<strong>at</strong><strong>en</strong>. Mobile Device<br />
Managem<strong>en</strong>t (MDM) besta<strong>at</strong> al langer, maar de markt is nog erg<br />
ongestructureerd <strong>en</strong> inconsist<strong>en</strong>t. Op papier is het echter wel e<strong>en</strong> manier om de<br />
opkomst van mobiele appar<strong>at</strong><strong>en</strong>, of die nu bezit zijn van de organis<strong>at</strong>ie of de<br />
medewerker, vanuit beveiligingsoptiek te kunn<strong>en</strong> beher<strong>en</strong>. Ondanks d<strong>at</strong> dit ge<strong>en</strong><br />
wet<strong>en</strong>schappelijke public<strong>at</strong>ie is, blijkt het docum<strong>en</strong>t toch geschikt om in deze<br />
liter<strong>at</strong>uurstudie op te nem<strong>en</strong> doord<strong>at</strong> er relevante <strong>en</strong> actuele inform<strong>at</strong>ie in sta<strong>at</strong><br />
over MDM's <strong>en</strong> het mitiger<strong>en</strong> van de risico's <strong>bij</strong> gebruik van mobiele appar<strong>at</strong><strong>en</strong>.<br />
Gartner heeft e<strong>en</strong> <strong>en</strong>quête gestuurd naar de meer dan 60 organis<strong>at</strong>ies die deze<br />
software ontwikkel<strong>en</strong>.<br />
Pagina | 131
E<strong>en</strong> volledige Mobile Device Managem<strong>en</strong>t oplossing bev<strong>at</strong> volg<strong>en</strong>s de auteurs:<br />
1. Software distributie - de mogelijkheid om mobiele applic<strong>at</strong>ies te beher<strong>en</strong><br />
<strong>en</strong> ondersteun<strong>en</strong>, inclusief uitrol, install<strong>at</strong>ie, upd<strong>at</strong><strong>en</strong>, verwijder<strong>en</strong> of<br />
blokker<strong>en</strong>.<br />
2. Ondersteuning van het beleid - ontwikkel<strong>en</strong>, beher<strong>en</strong> <strong>en</strong> oper<strong>at</strong>ionele<br />
tak<strong>en</strong> rondom het beleid m.b.t. mobiele appar<strong>at</strong><strong>en</strong>.<br />
3. Inv<strong>en</strong>taris managem<strong>en</strong>t - meer dan standaard beheer van bezitting<strong>en</strong> <strong>en</strong><br />
inv<strong>en</strong>taris, maar ook voorzi<strong>en</strong>ing <strong>en</strong> ondersteuning.<br />
4. Beveiligingsmanagem<strong>en</strong>t - Handhaving van de standaard appara<strong>at</strong><br />
beveiliging, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> versleuteling.<br />
5. Service managem<strong>en</strong>t - beoordeling van telecom di<strong>en</strong>st<strong>en</strong><br />
[35] Basso, M., & Redman, P. (2011). Critical Capabilities for Mobile<br />
Device Managem<strong>en</strong>t (No. Research Note G00213877): Gartner.<br />
Original public<strong>at</strong>ion abstract<br />
This research provides quantit<strong>at</strong>ive r<strong>at</strong>ings for a selection of <strong>en</strong>terprise mobile<br />
device managem<strong>en</strong>t (MDM) offerings, evalu<strong>at</strong>ing them in typical use cases,<br />
across 10 critical capabilities. Enterprises should use these critical capabilities,<br />
use cases and product r<strong>at</strong>ings to id<strong>en</strong>tify the most suitable <strong>en</strong>terprise MDM<br />
products or services to meet their managem<strong>en</strong>t and security requirem<strong>en</strong>ts.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In dit onderzoeksrapport van Gartner word<strong>en</strong> kwantit<strong>at</strong>ieve beoordeling<strong>en</strong><br />
gegev<strong>en</strong> aan e<strong>en</strong> selectie van Enterprise Mobile Device Managem<strong>en</strong>t (MDM)<br />
oplossing<strong>en</strong>. Hier<strong>bij</strong> is gekek<strong>en</strong> naar 10 ess<strong>en</strong>tiële functies van de MDM's.<br />
Ondanks d<strong>at</strong> dit ge<strong>en</strong> wet<strong>en</strong>schappelijke public<strong>at</strong>ie is, blijkt het docum<strong>en</strong>t toch<br />
geschikt om in deze liter<strong>at</strong>uurstudie op te nem<strong>en</strong> doord<strong>at</strong> er relevante <strong>en</strong> actuele<br />
inform<strong>at</strong>ie in sta<strong>at</strong> over Mobile Device Managem<strong>en</strong>t oplossing<strong>en</strong>, inclusief hun<br />
mogelijkhed<strong>en</strong> <strong>en</strong> sterke/zwakke punt<strong>en</strong>.<br />
De auteurs kwam<strong>en</strong> n.a.v. dit onderzoek met de volg<strong>en</strong>de hoofdconclusies:<br />
1. Niet alle MDM's voorzi<strong>en</strong> in versleuteling wanneer het mobiele appara<strong>at</strong> dit<br />
zelf ook niet ondersteunt.<br />
2. Ondanks d<strong>at</strong> e<strong>en</strong> afsluit<strong>en</strong>de/beperk<strong>en</strong>de aanpak resulteert in e<strong>en</strong> hoge m<strong>at</strong>e<br />
van beveiliging, zorg<strong>en</strong> beperking<strong>en</strong> van de gebruikerservaring met mobiel<br />
email tev<strong>en</strong>s voor e<strong>en</strong> beperkte accept<strong>at</strong>ie van de gebruiker. Bov<strong>en</strong>di<strong>en</strong> heeft<br />
dit e<strong>en</strong> neg<strong>at</strong>ieve invloed op de haalbaarheid/lev<strong>en</strong>sv<strong>at</strong>baarheid wanneer het<br />
betreff<strong>en</strong>de mobiele appara<strong>at</strong> eig<strong>en</strong>dom is van de medewerker zelf (<strong>BYOD</strong>).<br />
3. Vijf ontwikkelaars van MDM's gebruik<strong>en</strong> software van Apple's eig<strong>en</strong> iOS<br />
besturingssysteem om functies te implem<strong>en</strong>ter<strong>en</strong> zoals over-the-air (OTA)<br />
software upd<strong>at</strong>es <strong>en</strong> certifica<strong>at</strong> gebaseerde auth<strong>en</strong>tic<strong>at</strong>ie.<br />
Pagina | 132
4. Grote organis<strong>at</strong>ies do<strong>en</strong> er goed aan om e<strong>en</strong> MDM rondom draadloos mail te<br />
gebruik<strong>en</strong>. Dit is omd<strong>at</strong> veel beheer <strong>en</strong> beveiligings-mogelijkhed<strong>en</strong> alle<strong>en</strong><br />
beschikbaar zijn in combin<strong>at</strong>ie met e<strong>en</strong> specifieke mailapplic<strong>at</strong>ie.<br />
[36] Fiering, L. (2011). Checklist for an Employee-Owned Notebook or<br />
PC Program (Research Note No. RA1110252011):Gartner.<br />
Original public<strong>at</strong>ion abstract<br />
Interest in offering employee-owned notebook programs (also referred to as<br />
“BYOC,” “Bring Your Own Computer” programs by the press) is growing due to<br />
better technology, rising user demand and increasing pressure on organiz<strong>at</strong>ions<br />
to reduce costs. A realistic preparedness assessm<strong>en</strong>t prior to planning and<br />
deploying an employee-owned notebook program is critical to meeting business<br />
objectives and avoiding additional costs.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In dit korte docum<strong>en</strong>t van Gartner word<strong>en</strong> aanbeveling<strong>en</strong> gedaan voor specifiek<br />
<strong>BYOD</strong>-situ<strong>at</strong>ies. Met deze checklist wil het onderzoeksinstituut organis<strong>at</strong>ies<br />
voorbereid<strong>en</strong> (aan het d<strong>en</strong>k<strong>en</strong> zett<strong>en</strong>) op de uitrol van e<strong>en</strong> <strong>BYOD</strong>-programma.<br />
Hier<strong>bij</strong> moet<strong>en</strong> de bedrijfsdoelstelling<strong>en</strong> niet uit het oog word<strong>en</strong> verlor<strong>en</strong> ev<strong>en</strong>als<br />
het voorkom<strong>en</strong> van extra kost<strong>en</strong>. Het docum<strong>en</strong>t anticipeert overig<strong>en</strong>s ook op<br />
organis<strong>at</strong>ies die nadrukkelijk niet aan <strong>BYOD</strong> zoud<strong>en</strong> moet<strong>en</strong> beginn<strong>en</strong>. Ondanks<br />
d<strong>at</strong> dit ge<strong>en</strong> wet<strong>en</strong>schappelijke public<strong>at</strong>ie is, blijkt het docum<strong>en</strong>t toch geschikt<br />
om in deze liter<strong>at</strong>uurstudie op te nem<strong>en</strong> doord<strong>at</strong> er relevante <strong>en</strong> specifieke<br />
inform<strong>at</strong>ie in sta<strong>at</strong> over het <strong>BYOD</strong>-concept <strong>en</strong> hoe organis<strong>at</strong>ies hier verstandig op<br />
in kunn<strong>en</strong> spring<strong>en</strong>. Gartner komt met de volg<strong>en</strong>de hoofdconclusies:<br />
1. Voordel<strong>en</strong> van <strong>BYOD</strong> zijn o.a.<br />
Organis<strong>at</strong>ies hoev<strong>en</strong> zich niet meer bezig hoev<strong>en</strong> te houd<strong>en</strong> met het<br />
beher<strong>en</strong> van de hardware.<br />
De IT-afdeling heeft meer tijd over om zich op andere belangrijke<br />
tak<strong>en</strong> te richt<strong>en</strong>.<br />
E<strong>en</strong> hoge Return On Investm<strong>en</strong>t (ROI).<br />
Aantrekkelijkere werkplek, trekt nieuw personeel aan.<br />
Positief effect op productiviteit van werknemer<br />
2. Kost<strong>en</strong>beperking lijkt teg<strong>en</strong> te vall<strong>en</strong> op korte tot middellange termijn. Kan<br />
teleurstell<strong>en</strong>d zijn voor organis<strong>at</strong>ies die goed op de kost<strong>en</strong> <strong>en</strong> het budget<br />
moet<strong>en</strong> lett<strong>en</strong>. Kost<strong>en</strong> m.b.t. de PC kunn<strong>en</strong> verzet word<strong>en</strong>, maar niet volledig<br />
verdwijn<strong>en</strong>, door verandering<strong>en</strong> in het eig<strong>en</strong>aarschap van de hardware.<br />
3. Ondanks d<strong>at</strong> nog e<strong>en</strong> klein deel van de medewerkers ervoor kiest om e<strong>en</strong><br />
traditionele PC op e<strong>en</strong> vaste plek te behoud<strong>en</strong>, will<strong>en</strong> de meest<strong>en</strong> toch e<strong>en</strong><br />
notebook zod<strong>at</strong> ze e<strong>en</strong>voudig <strong>en</strong> flexibel op verschill<strong>en</strong>de plekk<strong>en</strong>, zoals thuis<br />
of buit<strong>en</strong> de deur, kunn<strong>en</strong> werk<strong>en</strong>.<br />
4. Door virtualis<strong>at</strong>ie-software te gebruik<strong>en</strong> in combin<strong>at</strong>ie met het <strong>BYOD</strong>-concept,<br />
kan e<strong>en</strong> goede, veilige <strong>en</strong> haalbare omgeving word<strong>en</strong> gecreëerd, ondanks d<strong>at</strong><br />
het op e<strong>en</strong> onbeheerd, <strong>en</strong> mogelijk "vijandig" appara<strong>at</strong> draait.<br />
Pagina | 133
[37] Hogb<strong>en</strong>, D. G., & Dekker, D. M. (2010). Smartphones: Inform<strong>at</strong>ion<br />
security risks, opportunities and recomm<strong>en</strong>d<strong>at</strong>ions for users (Research<br />
public<strong>at</strong>ion). Heraklion, Greece: European Network and Inform<strong>at</strong>ion<br />
<strong>Security</strong> Ag<strong>en</strong>cy (ENISA).<br />
Original public<strong>at</strong>ion abstract<br />
Eighty million smartphones were sold worldwide in the third quarter of 2010,<br />
accounting for 20% of the total of mobile phones sold (1). In the UK, Germany,<br />
France, Spain, and Italy the number of smartphone users increased to sixty<br />
million (2). Smartphones offer new opportunities in every sector of society from<br />
mobile productivity to e-health, augm<strong>en</strong>ted reality and electronic paym<strong>en</strong>ts.<br />
Smartphones have a rich cocktail of fe<strong>at</strong>ures: an array of s<strong>en</strong>sors, multiple radio<br />
and network interfaces, as well as gigabytes of storage and powerful processors.<br />
They are oft<strong>en</strong> within a meter of their owners 24 hours a day. In fact,<br />
smartphones have already realized many aspects of the vision of ambi<strong>en</strong>t<br />
intellig<strong>en</strong>ce which includes, for example, providing augm<strong>en</strong>ted reality<br />
applic<strong>at</strong>ions, applic<strong>at</strong>ions th<strong>at</strong> adapt to and anticip<strong>at</strong>e the user’s physical<br />
<strong>en</strong>vironm<strong>en</strong>t using smart s<strong>en</strong>sors – ev<strong>en</strong> providing smart health applic<strong>at</strong>ions<br />
using biometric monitoring. Many of the security and <strong>privacy</strong> issues raised in the<br />
context of ambi<strong>en</strong>t intellig<strong>en</strong>ce apply to smartphones as well. The objective of<br />
this report is to allow an informed assessm<strong>en</strong>t of the inform<strong>at</strong>ion security and<br />
<strong>privacy</strong> risks of using smartphones. Most importantly, we make practical<br />
recomm<strong>en</strong>d<strong>at</strong>ions on how to address these risks. The ultim<strong>at</strong>e objective is to<br />
<strong>en</strong>able users, businesses and governm<strong>en</strong>ts to take advantage of the<br />
opportunities offered by smartphones while minimizing the inform<strong>at</strong>ion security<br />
risks to which they are exposed. We assess and rank the most important<br />
inform<strong>at</strong>ion security risks and opportunities for smartphone users and give<br />
prioritized recomm<strong>en</strong>d<strong>at</strong>ions on how to address them. The report analyses 10<br />
inform<strong>at</strong>ion security risks for smartphone users and 7 inform<strong>at</strong>ion security<br />
opportunities. It makes 20 recomm<strong>en</strong>d<strong>at</strong>ions to address the risks.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze omvangrijke public<strong>at</strong>ie van ENISA word<strong>en</strong> de beveiligings- <strong>en</strong><br />
<strong>privacy</strong>risico’s beschrev<strong>en</strong> <strong>bij</strong> gebruik van mobiele appar<strong>at</strong><strong>en</strong> (in dit geval<br />
smartphones). Bov<strong>en</strong>di<strong>en</strong> wordt ingegaan op de kans<strong>en</strong> om deze risico's te<br />
mitiger<strong>en</strong> <strong>en</strong> word<strong>en</strong> aanbeveling<strong>en</strong> gedaan. Ondanks d<strong>at</strong> dit ge<strong>en</strong><br />
wet<strong>en</strong>schappelijke public<strong>at</strong>ie is, blijkt het docum<strong>en</strong>t toch geschikt om in deze<br />
liter<strong>at</strong>uurstudie op te nem<strong>en</strong> omd<strong>at</strong> het relevante inform<strong>at</strong>ie bev<strong>at</strong> over (de<br />
risico's van) mobiele appar<strong>at</strong><strong>en</strong>. De auteurs van deze public<strong>at</strong>ie b<strong>en</strong>oem<strong>en</strong> 10<br />
beveiligingsrisico's <strong>bij</strong> gebruik van smartphones:<br />
Uitlekk<strong>en</strong> van gegev<strong>en</strong>s<br />
Onjuiste uitgebruikname<br />
Onbewust gegev<strong>en</strong>s op<strong>en</strong>baar mak<strong>en</strong><br />
Phishing<br />
Spyware<br />
Nep hotspots/access points<br />
Bespioner<strong>en</strong>/afluister<strong>en</strong><br />
Diallerware<br />
Financieel gemotiveerde malware<br />
Neg<strong>at</strong>ieve impact op bandbreedte<br />
Pagina | 134
Bov<strong>en</strong>di<strong>en</strong> b<strong>en</strong>oem<strong>en</strong> de auteurs 7 kans<strong>en</strong> om de beveiligingsrisico's van<br />
smartphones te mitiger<strong>en</strong>:<br />
Sandboxing <strong>en</strong> capaciteit gebaseerde toegangscontrole<br />
Gecontroleerde distributie van software<br />
Op afstand applic<strong>at</strong>ies kunn<strong>en</strong> verwijder<strong>en</strong><br />
Backup <strong>en</strong> herstell<strong>en</strong><br />
Extra auth<strong>en</strong>tic<strong>at</strong>ie mogelijkhed<strong>en</strong><br />
Extra versleutelingmogelijkhed<strong>en</strong><br />
Zorg voor diversiteit in mobiele appar<strong>at</strong><strong>en</strong><br />
Als la<strong>at</strong>ste do<strong>en</strong> de auteurs e<strong>en</strong> aantal aanbeveling<strong>en</strong>, voor zowel consum<strong>en</strong>t<strong>en</strong>,<br />
medewerkers als hoge ambt<strong>en</strong>ar<strong>en</strong>:<br />
Consum<strong>en</strong>t<strong>en</strong><br />
1. Stel autom<strong>at</strong>ische vergr<strong>en</strong>deling in<br />
2. Controleer de reput<strong>at</strong>ie van applic<strong>at</strong>ies<br />
3. Let goed op permissieverzoek tot gebruik van functionaliteit op de<br />
smartphone<br />
4. Wis de smartphone <strong>en</strong> zet hem terug naar fabrieksinstelling<strong>en</strong> <strong>bij</strong><br />
uitgebruikname<br />
Werknemers<br />
1. Volg de uitgebruikname-procedure, zoals alles wiss<strong>en</strong>, wanneer je de<br />
smartphone niet meer ga<strong>at</strong> gebruik<strong>en</strong> of van eig<strong>en</strong>aar wisselt.<br />
2. Als de smartphone contact maakt met de organis<strong>at</strong>i<strong>en</strong>etwerk, of<br />
vertrouwelijke gegev<strong>en</strong>s erdoor word<strong>en</strong> verwerkt, dan moet er e<strong>en</strong> lijst<br />
van goedgekeurde apps word<strong>en</strong> bepaald <strong>en</strong> gehandhaafd.<br />
3. Gebruik versleuteling voor de interne <strong>en</strong> verwijderbare opslag van de<br />
smartphone.<br />
Hoge ambt<strong>en</strong>ar<strong>en</strong><br />
1. Bewaar op de smartphone ge<strong>en</strong> gevoelige gegev<strong>en</strong>s <strong>en</strong> zorg ervoor d<strong>at</strong><br />
toegang tot gevoelige gegev<strong>en</strong>s niet wordt gecached.<br />
2. Bij zeer gevoelige gegev<strong>en</strong>s extra versleutelingsoftware gebruik<strong>en</strong> voor<br />
zowel gesprekk<strong>en</strong>, bericht<strong>en</strong> <strong>en</strong> d<strong>at</strong>averkeer.<br />
3. Periodieke herinstall<strong>at</strong>ie.<br />
[38] Santa, I. (2009). ENISA’s t<strong>en</strong> security awar<strong>en</strong>ess good practices.<br />
Heraklion, Greece: European Network and Inform<strong>at</strong>ion <strong>Security</strong> Ag<strong>en</strong>cy<br />
(ENISA).<br />
Original public<strong>at</strong>ion abstract<br />
This booklet touches upon crucial and important issues of awar<strong>en</strong>ess of<br />
inform<strong>at</strong>ion and communic<strong>at</strong>ion technologies (ICT) for organis<strong>at</strong>ions. It does so<br />
by providing security good practices to focus employees’ <strong>at</strong>t<strong>en</strong>tion on inform<strong>at</strong>ion<br />
security and allow them to recognize IT security concerns and respond<br />
accordingly. Good practices can be used as guidance for the main steps to<br />
undertake wh<strong>en</strong> promoting inform<strong>at</strong>ion security awar<strong>en</strong>ess. ENISA has produced<br />
this booklet to s<strong>en</strong>sitize employees to inform<strong>at</strong>ion security risks and remind them<br />
of the basic gold<strong>en</strong> rules. It is available for use in any inform<strong>at</strong>ion security<br />
training programme, awar<strong>en</strong>ess activity and company website. The ENISA’s t<strong>en</strong><br />
Pagina | 135
security good practices are part of the set of tools developed in line with the<br />
inform<strong>at</strong>ion security awar<strong>en</strong>ess campaign th<strong>at</strong> the Ag<strong>en</strong>cy has launched across<br />
Europe.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In dit docum<strong>en</strong>t van ENISA wordt ingegaan op de bewustwording van<br />
inform<strong>at</strong>iebeveiliging, waar op te lett<strong>en</strong> <strong>en</strong> hoe te reager<strong>en</strong> <strong>bij</strong> incid<strong>en</strong>t<strong>en</strong>. De<br />
auteurs do<strong>en</strong> dan ook ti<strong>en</strong> aanbeveling<strong>en</strong> hiervoor. Ondanks d<strong>at</strong> dit ge<strong>en</strong><br />
wet<strong>en</strong>schappelijke public<strong>at</strong>ie is, blijkt het docum<strong>en</strong>t toch geschikt om in deze<br />
liter<strong>at</strong>uurstudie op te nem<strong>en</strong> omd<strong>at</strong> het relevante <strong>en</strong> concrete inform<strong>at</strong>ie bev<strong>at</strong><br />
over het mitiger<strong>en</strong> van beveiligingsrisico's. ENISA adviseert organis<strong>at</strong>ies, die hun<br />
medewerkers meer beveiligingsbewust will<strong>en</strong> mak<strong>en</strong>, het volg<strong>en</strong>de:<br />
1. Gebruik van e<strong>en</strong> wachtwoord:<br />
- gebruik e<strong>en</strong> sterk wachtwoord<br />
- verander wachtwoord frequ<strong>en</strong>t<br />
- hou het wachtwoord geheim<br />
- gebruik verschill<strong>en</strong>de wachtwoord<strong>en</strong><br />
2. Bescherm je computer.<br />
3. Maak met gepaste voorzichtigheid gebruik van email <strong>en</strong> Internet.<br />
4. Ga veilig <strong>en</strong> voorzichtig <strong>en</strong> verstandig om met bedrijfseig<strong>en</strong> mobiele<br />
appar<strong>at</strong><strong>en</strong>.<br />
5. Ga met gepaste voorzichtigheid om met bedrijfsgegev<strong>en</strong>s.<br />
6. Registreer bezoekers, la<strong>at</strong> ze e<strong>en</strong> pasje drag<strong>en</strong> <strong>en</strong> la<strong>at</strong> ze niet alle<strong>en</strong>.<br />
7. Meld verlor<strong>en</strong>, gestol<strong>en</strong> of beschadigde bedrijfseig<strong>en</strong> mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong><br />
overige incid<strong>en</strong>t<strong>en</strong>.<br />
8. Bescherm inform<strong>at</strong>ie wanneer je buit<strong>en</strong> de mur<strong>en</strong> van de organis<strong>at</strong>ie b<strong>en</strong>t.<br />
9. Houd je aan het beveiligingsbeleid van de organis<strong>at</strong>ie ev<strong>en</strong>als de<br />
procedures.<br />
10.Geef feedback terug aan de organis<strong>at</strong>ie om zo de beveiligingstechniek, het<br />
beveiligingsbeleid of de beveiligingsprocedures nog beter te mak<strong>en</strong>.<br />
[39] Ruighaver, A., Maynard, S., & Chang, S. (2007). Organis<strong>at</strong>ional<br />
security culture: Ext<strong>en</strong>ding the <strong>en</strong>d-user perspective. Computers &<br />
<strong>Security</strong>, 26(1), 56-62.<br />
Original public<strong>at</strong>ion abstract<br />
The concept of security culture is rel<strong>at</strong>ively new. It is oft<strong>en</strong> investig<strong>at</strong>ed in a<br />
simplistic manner focusing on <strong>en</strong>d-users and on the technical aspects of security.<br />
<strong>Security</strong>, however, is a managem<strong>en</strong>t problem and as a result, the investig<strong>at</strong>ion<br />
of security culture should also have a managem<strong>en</strong>t focus. This paper describes a<br />
framework of eight dim<strong>en</strong>sions of culture. Each dim<strong>en</strong>sion is discussed in terms<br />
of how they rel<strong>at</strong>e specifically to security culture based on a number of<br />
previously published case studies. We believe th<strong>at</strong> use of this framework in<br />
security culture research will reduce the inher<strong>en</strong>t biases of researchers who t<strong>en</strong>d<br />
to focus on only technical aspects of culture from an <strong>en</strong>d-users perspective.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze ietw<strong>at</strong> verouderde public<strong>at</strong>ie gaan de auteurs diep in op de cruciale rol<br />
van het managem<strong>en</strong>t <strong>bij</strong> inform<strong>at</strong>ieveiling binn<strong>en</strong> e<strong>en</strong> bedrijf of organis<strong>at</strong>ie. De<br />
bedrijfscultuur is e<strong>en</strong> belangrijke factor om e<strong>en</strong> adequ<strong>at</strong>e m<strong>at</strong>e van<br />
inform<strong>at</strong>iebeveiliging te behal<strong>en</strong>, stell<strong>en</strong> ze dan ook. De auteurs do<strong>en</strong><br />
Pagina | 136
verk<strong>en</strong>n<strong>en</strong>d onderzoek naar de betek<strong>en</strong>is van, <strong>en</strong> het concept achter, de<br />
organis<strong>at</strong>orische beveiligingscultuur. Hier<strong>bij</strong> grijp<strong>en</strong> ze terug op eerder<br />
uitgevoerd onderzoek. Bov<strong>en</strong>di<strong>en</strong> besprek<strong>en</strong> de auteurs in deze public<strong>at</strong>ie de<br />
rel<strong>at</strong>ie tuss<strong>en</strong> stabiliteit binn<strong>en</strong> e<strong>en</strong> bedrijf <strong>en</strong>erzijds <strong>en</strong> verandering, innov<strong>at</strong>ie <strong>en</strong><br />
persoonlijke groei anderzijds. Ook aspect<strong>en</strong> zoals isol<strong>at</strong>ie van de<br />
beveiligingstak<strong>en</strong>, teg<strong>en</strong>over sam<strong>en</strong>werking daarin met ander<strong>en</strong> binn<strong>en</strong> de<br />
organis<strong>at</strong>ie, passeert de revue in deze public<strong>at</strong>ie.<br />
De auteurs concluder<strong>en</strong> met de observ<strong>at</strong>ie d<strong>at</strong> er, zelfs in 2006 al, veel<br />
onderzoek is gedaan naar organis<strong>at</strong>orische inform<strong>at</strong>iebeveiliging, maar nog<br />
weinig naar het combiner<strong>en</strong> van alle beveiligingsonderdel<strong>en</strong> binn<strong>en</strong> e<strong>en</strong> bedrijf.<br />
Bov<strong>en</strong>di<strong>en</strong> concluder<strong>en</strong> ze d<strong>at</strong> alle elem<strong>en</strong>t<strong>en</strong>, aspect<strong>en</strong> <strong>en</strong> onderdel<strong>en</strong><br />
behor<strong>en</strong>de <strong>bij</strong> e<strong>en</strong> beveiligingscultuur moeilijk in e<strong>en</strong> <strong>en</strong>kel kader kunn<strong>en</strong> word<strong>en</strong><br />
gepla<strong>at</strong>st, daar is het volg<strong>en</strong>s de auteurs te complex voor. Daarom gev<strong>en</strong> ze ook<br />
toe nog niet exact te kunn<strong>en</strong> zegg<strong>en</strong> w<strong>at</strong> e<strong>en</strong> goede of juist slechte aanpak is om<br />
de organis<strong>at</strong>orische beveiligingscultuur te verbeter<strong>en</strong>.<br />
[40] Bojanc, R., & Jermanblazic, B. (2008). An economic modelling<br />
approach to inform<strong>at</strong>ion security risk managem<strong>en</strong>t. Intern<strong>at</strong>ional<br />
Journal of Inform<strong>at</strong>ion Managem<strong>en</strong>t, 28(5), 413-422.<br />
Original public<strong>at</strong>ion abstract<br />
This paper pres<strong>en</strong>ts an approach <strong>en</strong>abling economic modelling of inform<strong>at</strong>ion<br />
security risk managem<strong>en</strong>t in contemporaneous businesses and other<br />
organiz<strong>at</strong>ions. In the world of perman<strong>en</strong>t cyber-<strong>at</strong>tacks to ICT systems, risk<br />
managem<strong>en</strong>t is becoming a crucial task for minimiz<strong>at</strong>ion of the pot<strong>en</strong>tial risks<br />
th<strong>at</strong> can <strong>en</strong>deavor their oper<strong>at</strong>ion. The prev<strong>en</strong>tion of the heavy losses th<strong>at</strong> may<br />
happ<strong>en</strong> due to cyber-<strong>at</strong>tacks and other inform<strong>at</strong>ion system failures in an<br />
organiz<strong>at</strong>ion is usually associ<strong>at</strong>ed with continuous investm<strong>en</strong>t in differ<strong>en</strong>t security<br />
measures and purchase of d<strong>at</strong>a protection systems. With the rise of the pot<strong>en</strong>tial<br />
risks the investm<strong>en</strong>t in security services and d<strong>at</strong>a protection is growing and is<br />
becoming a serious economic issue to many organiz<strong>at</strong>ions and <strong>en</strong>terprises. This<br />
paper analyzes several approaches <strong>en</strong>abling assessm<strong>en</strong>t of the necessary<br />
investm<strong>en</strong>t in security technology from the economic point of view. The paper<br />
introduces methods for id<strong>en</strong>tific<strong>at</strong>ion of the assets, the thre<strong>at</strong>s, the vulnerabilities<br />
of the ICT systems and proposes a procedure th<strong>at</strong> <strong>en</strong>ables selection of the<br />
optimal investm<strong>en</strong>t of the necessary security technology based on the<br />
quantific<strong>at</strong>ion of the values of the protected systems. The possibility of using the<br />
approach for an external insurance based on the quantified risk analyses is also<br />
provided.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze public<strong>at</strong>ie wordt door de auteurs dieper ingegaan op risicomanagem<strong>en</strong>t<br />
binn<strong>en</strong> de context van inform<strong>at</strong>iebeveiliging. De auteurs stell<strong>en</strong> d<strong>at</strong> ook d<strong>at</strong><br />
risicomanagem<strong>en</strong>t e<strong>en</strong> cruciale taak is <strong>bij</strong> het minimaliser<strong>en</strong> van de risico´s <strong>en</strong><br />
bedreiging<strong>en</strong> die e<strong>en</strong> inher<strong>en</strong>t onderdeel zijn van inform<strong>at</strong>ietechnologie. De<br />
auteurs hebb<strong>en</strong> onderzoek gedaan naar verschill<strong>en</strong>de methodes om te kunn<strong>en</strong><br />
bepal<strong>en</strong> hoeveel geïnvesteerd moet word<strong>en</strong>. Zo pres<strong>en</strong>ter<strong>en</strong> de auteurs manier<strong>en</strong><br />
om bedreiging<strong>en</strong> <strong>en</strong> assets te kunn<strong>en</strong> id<strong>en</strong>tificer<strong>en</strong> (<strong>en</strong> op waarde te kunn<strong>en</strong><br />
insch<strong>at</strong>t<strong>en</strong>) <strong>en</strong> kwetsbaarhed<strong>en</strong> in de ICT te kunn<strong>en</strong> ontdekk<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong><br />
kom<strong>en</strong> de auteurs met e<strong>en</strong> procedure om de optimale balans <strong>bij</strong> investering in<br />
noodzakelijke beveiligingsmiddel<strong>en</strong> te bepal<strong>en</strong>. Daarnaast wordt de functie <strong>en</strong> rol<br />
Pagina | 137
van de ISO 27000 series besprok<strong>en</strong>. Risicomanagem<strong>en</strong>t <strong>bij</strong> organis<strong>at</strong>ies bev<strong>at</strong><br />
meestal:<br />
1. Id<strong>en</strong>tific<strong>at</strong>ie van de bedrijfs- <strong>en</strong> inform<strong>at</strong>ie-assets.<br />
2. Id<strong>en</strong>tific<strong>at</strong>ie <strong>en</strong> insch<strong>at</strong>ting van de schade van<br />
bedreiging<strong>en</strong> <strong>bij</strong> e<strong>en</strong> succesvolle inbraak/aanval.<br />
3. Kwetsbaarhed<strong>en</strong> die door de aanval/inbraak misbruik<br />
kunn<strong>en</strong> word<strong>en</strong>.<br />
4. Evalu<strong>at</strong>ie van beveiligingsrisico's.<br />
5. Ma<strong>at</strong>regel<strong>en</strong> die risico beperk<strong>en</strong>d moet<strong>en</strong><br />
werk<strong>en</strong> wanneer de juiste middel<strong>en</strong> zijn ingezet.<br />
6. Toezicht houd<strong>en</strong> op de effectiviteit van de<br />
geïmplem<strong>en</strong>teerde ma<strong>at</strong>regel<strong>en</strong>.<br />
De auteurs besprek<strong>en</strong> in deze public<strong>at</strong>ie e<strong>en</strong> viertal<br />
onderdel<strong>en</strong> die e<strong>en</strong> risicominimalis<strong>at</strong>ie-str<strong>at</strong>egie moet<br />
bev<strong>at</strong>t<strong>en</strong>:<br />
1. Vermijd<strong>en</strong> van bedreiging<strong>en</strong> <strong>en</strong> aanvall<strong>en</strong> door de<br />
blootstelling van de asset, of de bron van het risico, te<br />
eliminer<strong>en</strong>.<br />
2. Verminder<strong>en</strong> van de blootstelling van de asset aan het<br />
risico door de juiste technologische middel<strong>en</strong> te<br />
gebruik<strong>en</strong>.<br />
3. Verpla<strong>at</strong>s<strong>en</strong> van de verantwoordelijkheid m.b.t. het<br />
risico door deels het risico te spreid<strong>en</strong> (outsourc<strong>en</strong>).<br />
4. Accepter<strong>en</strong> van de beveiligingsma<strong>at</strong>regel<strong>en</strong> als inher<strong>en</strong>t<br />
onderdeel van het zak<strong>en</strong>do<strong>en</strong>.<br />
Figuur 24: Risico<br />
minimalis<strong>at</strong>ie str<strong>at</strong>egieën<br />
[41] Kritzinger, E., & Smith, E. (2008).<br />
Figuur 25: Keuzeprocedure<br />
Inform<strong>at</strong>ion security managem<strong>en</strong>t: An<br />
mitig<strong>at</strong>iestr<strong>at</strong>egie<br />
inform<strong>at</strong>ion security retrieval and awar<strong>en</strong>ess<br />
model for industry. Computers & <strong>Security</strong>, 27(5-6), 224-231.<br />
Original public<strong>at</strong>ion abstract<br />
The purpose of this paper is to pres<strong>en</strong>t a conceptual view of an Inform<strong>at</strong>ion<br />
<strong>Security</strong> Retrieval and Awar<strong>en</strong>ess (ISRA) model th<strong>at</strong> can be used by industry to<br />
<strong>en</strong>hance inform<strong>at</strong>ion security awar<strong>en</strong>ess among employees. A common body of<br />
knowledge for inform<strong>at</strong>ion security th<strong>at</strong> is suited to industry and th<strong>at</strong> forms the<br />
basis of this model is accordingly proposed. This common body of knowledge will<br />
<strong>en</strong>sure th<strong>at</strong> the technical inform<strong>at</strong>ion security issues do not overshadow the nontechnical<br />
human-rel<strong>at</strong>ed inform<strong>at</strong>ion security issues. The proposed common body<br />
Pagina | 138
of knowledge also focuses on both professionals and low-level users of<br />
inform<strong>at</strong>ion. The ISRA model proposed in this paper consists of three parts,<br />
namely the ISRA dim<strong>en</strong>sions (non-technical inform<strong>at</strong>ion security issues, IT<br />
authority levels and inform<strong>at</strong>ion security docum<strong>en</strong>ts), inform<strong>at</strong>ion security<br />
retrieval and awar<strong>en</strong>ess, and measuring and monitoring. The model specifically<br />
focuses on the non-technical inform<strong>at</strong>ion security th<strong>at</strong> forms part of the proposed<br />
common body of knowledge because these issues have, in comparison with the<br />
technical inform<strong>at</strong>ion security issues, always be<strong>en</strong> neglected.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
In deze public<strong>at</strong>ie beschrijv<strong>en</strong> de auteurs e<strong>en</strong> ISRA model d<strong>at</strong> gebruikt zou<br />
kunn<strong>en</strong> word<strong>en</strong> om de bewustwording van inform<strong>at</strong>iebeveiliging <strong>bij</strong> medewerkers<br />
te verhog<strong>en</strong>. De auteurs pleit<strong>en</strong> voor e<strong>en</strong> algem<strong>en</strong>e, c<strong>en</strong>trale IT-security<br />
k<strong>en</strong>nisbank.<br />
Figuur 26: K<strong>en</strong>nisbank IT-beveiliging<br />
Pagina | 139
Bov<strong>en</strong>di<strong>en</strong> beschrijv<strong>en</strong> <strong>en</strong> definiër<strong>en</strong> de auteurs, voor verschill<strong>en</strong>de<br />
organis<strong>at</strong>orische niveaus, de bevoegdheid om beveiligingsincid<strong>en</strong>t<strong>en</strong> te<br />
rapporter<strong>en</strong> <strong>en</strong> beschermingsma<strong>at</strong>regel<strong>en</strong> te implem<strong>en</strong>ter<strong>en</strong>.<br />
Figuur 27: IT bevoegdheidsniveaus<br />
Pagina | 140
[42] Humphreys, E. (2008). Inform<strong>at</strong>ion security managem<strong>en</strong>t<br />
standards: Compliance, governance and risk managem<strong>en</strong>t. Inform<strong>at</strong>ion<br />
<strong>Security</strong> Technical Report, 13(4), 247-255.<br />
Original public<strong>at</strong>ion abstract<br />
Managing inform<strong>at</strong>ion security as opposed to the IT security is an area th<strong>at</strong> is<br />
now ev<strong>en</strong>tually coming of age. For many years the focus has be<strong>en</strong> mainly on IT<br />
security and with the implem<strong>en</strong>t<strong>at</strong>ion of such security left to the IT departm<strong>en</strong>t<br />
and technical experts. Early in the 90s things started to change with the first<br />
draft of an inform<strong>at</strong>ion security managem<strong>en</strong>t standard BS 7799 focusing in on<br />
security rel<strong>at</strong>ed to people, processes, inform<strong>at</strong>ion as well as IT. Since th<strong>en</strong> there<br />
has be<strong>en</strong> many developm<strong>en</strong>ts taking us to where we are today with these early<br />
security managem<strong>en</strong>t standards being transformed in intern<strong>at</strong>ional standards<br />
published by ISO/IEC. These standards are being used by hundreds of thousands<br />
of organis<strong>at</strong>ions using these standards worldwide. Based on the authors<br />
previously copyrighted writings, this article explores wh<strong>at</strong> these standards have<br />
got to offer organis<strong>at</strong>ions, wh<strong>at</strong> b<strong>en</strong>efits are to be gained and how such<br />
standards have helped with compliance. In particular it focuses in on the insider<br />
thre<strong>at</strong> as an example of one of the growing problems th<strong>at</strong> organis<strong>at</strong>ions need to<br />
deal with and how these intern<strong>at</strong>ional standards are useful in helping to solve the<br />
insider thre<strong>at</strong> problem.<br />
Eig<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting<br />
De auteur van deze public<strong>at</strong>ie bespreekt <strong>en</strong> b<strong>en</strong>oemt de dreiging van interne<br />
medewerkers, de cruciale rol van het managem<strong>en</strong>t <strong>bij</strong> inform<strong>at</strong>iebeveiliging <strong>en</strong><br />
(ISMS) standaard<strong>en</strong> zoals ISO/IEC 277001/2. De auteur ga<strong>at</strong> bov<strong>en</strong>di<strong>en</strong> in op<br />
het ISO 27000 proces van risicomanagem<strong>en</strong>t, monitor<strong>en</strong> <strong>en</strong> security-audits.<br />
Daarnaast word<strong>en</strong> best-practises beschrev<strong>en</strong> over o.a. backups, mobiele<br />
appar<strong>at</strong><strong>en</strong> <strong>en</strong> social <strong>en</strong>gineering. De auteur sluit af met e<strong>en</strong> bespreking van de<br />
zekerheid (veiligheid) die tot op bepaalde m<strong>at</strong>e gebracht kan word<strong>en</strong> door<br />
voorgeschrev<strong>en</strong> standaard<strong>en</strong> zoals ISO 27001. Dit in teg<strong>en</strong>stelling tot<br />
onzekerheid (onveiligheid) die eig<strong>en</strong> medewerkers kunn<strong>en</strong> veroorzak<strong>en</strong>.<br />
Figuur 28: ISO 27001<br />
proces<br />
Figuur 29: Balans tuss<strong>en</strong> kost<strong>en</strong><br />
<strong>en</strong> risico<br />
Pagina | 141
Bijlage 2: Organis<strong>at</strong>ieprofiel<strong>en</strong><br />
Organis<strong>at</strong>ie 1<br />
Website : www.consum<strong>en</strong>t<strong>en</strong>bond.nl<br />
Omvang : 200 werknemers<br />
Domein : Non-profit, belang<strong>en</strong>behartiging, uitgeverij<br />
Werkgebied : N<strong>at</strong>ionaal<br />
Contactpersoon : Dhr. D. Verweij (LinkedIn), Manager ICT<br />
Profiel<br />
“De Consum<strong>en</strong>t<strong>en</strong>bond is e<strong>en</strong> belang<strong>en</strong>organis<strong>at</strong>ie voor consum<strong>en</strong>t<strong>en</strong>. De<br />
Consum<strong>en</strong>t<strong>en</strong>bond stelt consum<strong>en</strong>t<strong>en</strong> in sta<strong>at</strong> op ma<strong>at</strong>schappelijk verantwoorde<br />
wijze beter <strong>en</strong> makkelijker keuzes te mak<strong>en</strong>, met respect voor m<strong>en</strong>s <strong>en</strong> milieu.<br />
De Consum<strong>en</strong>t<strong>en</strong>bond is de grootste consum<strong>en</strong>t<strong>en</strong>organis<strong>at</strong>ie in Europa <strong>en</strong> heeft<br />
e<strong>en</strong> grote verantwoordelijkheid binn<strong>en</strong> de Europese <strong>en</strong> de intern<strong>at</strong>ionale<br />
consum<strong>en</strong>t<strong>en</strong>beweging. De Consum<strong>en</strong>t<strong>en</strong>bond speelt zowel bestuurlijk als<br />
inhoudelijk e<strong>en</strong> belangrijke rol in de diverse organis<strong>at</strong>ies <strong>en</strong> overlegorgan<strong>en</strong> op<br />
dit gebied.<br />
De Consum<strong>en</strong>t<strong>en</strong>bond is e<strong>en</strong> ver<strong>en</strong>iging met e<strong>en</strong> professionele werkorganis<strong>at</strong>ie<br />
die het ‘bedrijf' voert. Om alle activiteit<strong>en</strong> uit te kunn<strong>en</strong> voer<strong>en</strong>, is e<strong>en</strong> gezonde<br />
bedrijfsvoering onontbeerlijk. Maar het uiteindelijke doel van al onze activiteit<strong>en</strong><br />
is <strong>en</strong> blijft: opkom<strong>en</strong> voor de belang<strong>en</strong> van consum<strong>en</strong>t<strong>en</strong> <strong>en</strong> h<strong>en</strong> het kiez<strong>en</strong><br />
makkelijker mak<strong>en</strong>.<br />
Naast de algem<strong>en</strong>e Consum<strong>en</strong>t<strong>en</strong>gids <strong>en</strong> Consum<strong>en</strong>t<strong>en</strong>gids Online geeft de<br />
Consum<strong>en</strong>t<strong>en</strong>bond e<strong>en</strong> aantal specifieke gids<strong>en</strong> uit: de Reisgids, de Geldgids, de<br />
Digitaalgids <strong>en</strong> de Gezondgids. Ook geeft de Consum<strong>en</strong>t<strong>en</strong>bond veel boek<strong>en</strong> uit<br />
over allerlei consum<strong>en</strong>t<strong>en</strong>onderwerp<strong>en</strong>.<br />
Belangrijke functies van de Consum<strong>en</strong>t<strong>en</strong>bond zijn onder andere het<br />
beleidsm<strong>at</strong>ig lobbywerk om voor consum<strong>en</strong>t<strong>en</strong> goede regels te l<strong>at</strong><strong>en</strong> creër<strong>en</strong> door<br />
de overheid <strong>en</strong> het deelnem<strong>en</strong> aan overleg met brancheorganis<strong>at</strong>ies om<br />
algem<strong>en</strong>e voorwaard<strong>en</strong> te l<strong>at</strong><strong>en</strong> opstell<strong>en</strong> die recht do<strong>en</strong> aan de positie van de<br />
consum<strong>en</strong>t. Daarnaast word<strong>en</strong> voor groep<strong>en</strong> consum<strong>en</strong>t<strong>en</strong> die problem<strong>en</strong> hebb<strong>en</strong><br />
met hetzelfde bedrijf, gezam<strong>en</strong>lijke acties opgezet om de problem<strong>en</strong> opgelost te<br />
krijg<strong>en</strong>.<br />
De bond is e<strong>en</strong> ver<strong>en</strong>iging met getrapte verteg<strong>en</strong>woordiging: de algem<strong>en</strong>e<br />
led<strong>en</strong>vergadering wordt gevormd door de Bondsraad, waarin honderd led<strong>en</strong> van<br />
de ver<strong>en</strong>iging zitting hebb<strong>en</strong>.”<br />
Bron: website, Wikipedia<br />
Pagina | 142
Organis<strong>at</strong>ie 2: <br />
Website : <br />
Omvang : 6000 werknemers (NL)<br />
Domein : Financieel, di<strong>en</strong>stverl<strong>en</strong>ing<br />
Werkgebied : Intern<strong>at</strong>ionaal<br />
Contactpersoon : <br />
Profiel<br />
“Deze grote verzekeringsma<strong>at</strong>schappij is in 1962 ontstaan <strong>en</strong> één van de<br />
grootste in Nederland. Naast verzekering<strong>en</strong> biedt de verzekeraar ook bancaire<br />
product<strong>en</strong> (voornamelijk hypothek<strong>en</strong>) aan. Deze grote verzekeringsma<strong>at</strong>schappij<br />
biedt haar di<strong>en</strong>st<strong>en</strong> op verschill<strong>en</strong>de manier<strong>en</strong> aan: via onafhankelijk adviseurs,<br />
bank<strong>en</strong>, gevolmachtigd ag<strong>en</strong>t<strong>en</strong> <strong>en</strong> haar eig<strong>en</strong> gespecialiseerde<br />
accountmanagers. Deze grote verzekeringsma<strong>at</strong>schappij behoort met ruim 5<br />
miljo<strong>en</strong> particuliere <strong>en</strong> zakelijke klant<strong>en</strong> tot de grootste <strong>en</strong> meest<br />
toonaangev<strong>en</strong>de verzekeraars van Nederland. De combin<strong>at</strong>ie van 6000<br />
deskundige <strong>en</strong> betrokk<strong>en</strong> medewerkers, goede product<strong>en</strong> <strong>en</strong> di<strong>en</strong>st<strong>en</strong> <strong>en</strong> e<strong>en</strong><br />
juiste verhouding tuss<strong>en</strong> prijs <strong>en</strong> kwaliteit stelt ons in sta<strong>at</strong> de beste oplossing<br />
voor de klant<strong>en</strong>, te vind<strong>en</strong>.<br />
Met ruim 170 jaar ervaring in verzekering<strong>en</strong> heeft deze grote<br />
verzekeringsma<strong>at</strong>schappij e<strong>en</strong> deskundigheid opgebouwd die we dagelijks<br />
inzett<strong>en</strong> om ons in te lev<strong>en</strong> in w<strong>at</strong> u als klant beweegt. Hier<strong>bij</strong> staan duidelijkheid<br />
<strong>en</strong> transparantie hoog in het vaandel. Wij will<strong>en</strong> u duidelijk mak<strong>en</strong> w<strong>at</strong> u van<br />
onze di<strong>en</strong>st<strong>en</strong> kunt verwacht<strong>en</strong>.<br />
Consum<strong>en</strong>t<strong>en</strong>, kleine, midd<strong>en</strong>- of grootzakelijke organis<strong>at</strong>ies hebb<strong>en</strong><br />
verschill<strong>en</strong>de w<strong>en</strong>s<strong>en</strong> <strong>en</strong> andere behoeft<strong>en</strong> aan verzekeringsproduct<strong>en</strong> <strong>en</strong><br />
financiële di<strong>en</strong>st<strong>en</strong>. Vanwege de aard van onze di<strong>en</strong>st<strong>en</strong> <strong>en</strong> de behoeft<strong>en</strong> van<br />
onze klant<strong>en</strong> ligt de nadruk op persoonlijk advies. Deze grote<br />
verzekeringsma<strong>at</strong>schappij biedt e<strong>en</strong> breed pakket aan financiële product<strong>en</strong> <strong>en</strong><br />
di<strong>en</strong>st<strong>en</strong>: collectieve p<strong>en</strong>sio<strong>en</strong><strong>en</strong> (voor werkgevers <strong>en</strong> hun werknemers),<br />
individuele p<strong>en</strong>sio<strong>en</strong><strong>en</strong>, lev<strong>en</strong>sverzekering<strong>en</strong> <strong>en</strong> bankspaarproduct<strong>en</strong> voor<br />
consum<strong>en</strong>t<strong>en</strong>, schadeverzekering<strong>en</strong>, inkom<strong>en</strong>sverzekering<strong>en</strong> <strong>en</strong> hypothek<strong>en</strong>.”<br />
Bron: website, Wikipedia<br />
Het <strong>BYOD</strong>-contactpersoon <strong>bij</strong> deze organis<strong>at</strong>ie heeft aangegev<strong>en</strong>, i.v.m.<br />
op<strong>en</strong>baring van gevoelige onderzoeksuitkomst<strong>en</strong>, alle<strong>en</strong> anoniem in de<br />
definitieve versie van de afstudeerscriptie g<strong>en</strong>oemd te will<strong>en</strong> word<strong>en</strong>. Daarom<br />
wordt deze organis<strong>at</strong>ie b<strong>en</strong>oemd met de titel “E<strong>en</strong> grote<br />
verzekeringsma<strong>at</strong>schappij”.<br />
Pagina | 143
Organis<strong>at</strong>ie 3<br />
Website : www.rabobank.nl<br />
Omvang : 80.000 wereldwijd, 60.000 in Nederland<br />
Domein : Financieel, di<strong>en</strong>stverl<strong>en</strong>ing<br />
Werkgebied : Intern<strong>at</strong>ionaal<br />
Contactpersoon : Dhr. Abe Boersma (LinkedIn), manager Unified<br />
Communic<strong>at</strong>ions<br />
Profiel<br />
“De Rabobank is e<strong>en</strong> Nederlandse bank, bestaande uit 139 (2012) zelfstandige<br />
coöper<strong>at</strong>ies die alle e<strong>en</strong> eig<strong>en</strong> bankvergunning van De Nederlandsche Bank<br />
bezitt<strong>en</strong>. De Rabobank is onderdeel van de Rabobank Groep, <strong>en</strong> naar eig<strong>en</strong><br />
zegg<strong>en</strong> de grootste financiële di<strong>en</strong>stverl<strong>en</strong>er in Nederland. In 2012 beheerd<strong>en</strong> de<br />
139 lokale Rabobank<strong>en</strong> 853 vestiging<strong>en</strong> <strong>en</strong> 2.956 geldautom<strong>at</strong><strong>en</strong>. Het totale<br />
personeelsbestand van de lokale bank<strong>en</strong> omv<strong>at</strong> ongeveer 27.200<br />
form<strong>at</strong>iepla<strong>at</strong>s<strong>en</strong>. De lokale Rabo-coöper<strong>at</strong>ies bedi<strong>en</strong><strong>en</strong> gezam<strong>en</strong>lijk ongeveer 7,5<br />
miljo<strong>en</strong> klant<strong>en</strong>, waarvan <strong>bij</strong>na 6,8 miljo<strong>en</strong> particulier<strong>en</strong>. 1,9 miljo<strong>en</strong> (2012)<br />
klant<strong>en</strong> zijn lid van de Rabobank. Wereldwijd hebb<strong>en</strong> de Rabobank <strong>en</strong> al haar<br />
dochteronderneming<strong>en</strong> 61.103 medewerkers form<strong>at</strong>iepla<strong>at</strong>s<strong>en</strong>. De Rabobank<br />
Groep is e<strong>en</strong> in Nederland gewortelde intern<strong>at</strong>ionale financiële di<strong>en</strong>stverl<strong>en</strong>er op<br />
coöper<strong>at</strong>ieve grondslag. We zijn actief op het gebied van bankier<strong>en</strong>,<br />
vermog<strong>en</strong>sbeheer, leasing, verzeker<strong>en</strong> <strong>en</strong> vastgoed. In Nederland ligt de nadruk<br />
op brede financiële di<strong>en</strong>stverl<strong>en</strong>ing, intern<strong>at</strong>ionaal richt<strong>en</strong> we ons vooral op de<br />
food- <strong>en</strong> agribusiness.”<br />
Bron: website, Wikipedia<br />
Organis<strong>at</strong>ie 4<br />
Website : www.kaseya.nl<br />
Omvang : 460 werknemers (wereldwijd), 13 in Nederland<br />
Domein : ICT<br />
Werkgebied : Intern<strong>at</strong>ionaal<br />
Contactpersoon : Dhr. M. Smit, (LinkedIn), Technical Director EMEA<br />
Profiel<br />
“Kaseya is e<strong>en</strong> intern<strong>at</strong>ionaal bedrijf d<strong>at</strong> remote-managem<strong>en</strong>t software voor de<br />
IT-industrie produceert. Kaseya ontwikkelt <strong>en</strong> verkoopt commerciële software<br />
waarmee Windows, OSX <strong>en</strong> Linux system<strong>en</strong> op afstand zijn te beher<strong>en</strong>. Met deze<br />
remote-managem<strong>en</strong>t oplossing<strong>en</strong> kan de implem<strong>en</strong>t<strong>at</strong>ie van het IT-beleid <strong>en</strong><br />
procedures word<strong>en</strong> doorgevoerd over <strong>bij</strong> e<strong>en</strong> sterk gedistribueerde<br />
verzameling<strong>en</strong> van computers, servers, werkst<strong>at</strong>ions, laptops of mobiele<br />
appar<strong>at</strong><strong>en</strong>. Kaseya werd in 2000 opgericht in Silicon Valley, California door Mark<br />
Sutherland (huidige bedrijf voorzitter), Paul Wong (huidige Chief Technical<br />
Officer), <strong>en</strong> Robert Davis (huidige Chief Marketing Officer). Actueel Kaseya CEO,<br />
Gerald Blackie, <strong>bij</strong> de organis<strong>at</strong>ie in 2003 door middel van e<strong>en</strong> 50/50 fusie.<br />
Kaseya is e<strong>en</strong> software systeem d<strong>at</strong> verkocht wordt aan IT-professionals <strong>en</strong><br />
wordt gebruikt voor de autom<strong>at</strong>isering van IT-tak<strong>en</strong>.”<br />
Bron: website, Wikipedia<br />
Pagina | 144
Organis<strong>at</strong>ie 5: Global Systems Integr<strong>at</strong>or<br />
Website : <br />
Omvang : 15.000 werknemers wereldwijd, 220 in Nederland<br />
Domein : ICT<br />
Werkgebied : Intern<strong>at</strong>ionaal<br />
Contactpersoon : <br />
Profiel<br />
“In 1983 is deze Global Systems Integr<strong>at</strong>or in Johannesburg opgericht tijd<strong>en</strong>s het<br />
eerste ontstaan van netwerkcommunic<strong>at</strong>ie, met slechts e<strong>en</strong> doel voor og<strong>en</strong>:<br />
baanbrek<strong>en</strong>de ding<strong>en</strong> realiser<strong>en</strong>. Deze Global Systems Integr<strong>at</strong>or is e<strong>en</strong><br />
gespecialiseerde IT systems integr<strong>at</strong>or <strong>en</strong> solutions <strong>en</strong> services provider die<br />
klant<strong>en</strong> helpt hun IT-infrastructuur te ontwerp<strong>en</strong>, implem<strong>en</strong>ter<strong>en</strong>, onderhoud<strong>en</strong><br />
<strong>en</strong> manag<strong>en</strong>. Vandaag de dag zijn wij toonaangev<strong>en</strong>d op het gebied van<br />
netwerk<strong>en</strong> <strong>en</strong> communic<strong>at</strong>ie <strong>en</strong> zijn we actief in 51 land<strong>en</strong> verdeeld over vijf<br />
regio’s – Midd<strong>en</strong> Oost<strong>en</strong> & Afrika, Europa, Azië, Australië <strong>en</strong> Noord-, Midd<strong>en</strong>-, <strong>en</strong><br />
Zuid-Amerika.<br />
Door onze expertise <strong>en</strong> k<strong>en</strong>nis van IT-infrastructuurtechnologieën voortdur<strong>en</strong>d<br />
uit te breid<strong>en</strong>, zijn we uitgegroeid tot wereldleider voor het lever<strong>en</strong> <strong>en</strong> manag<strong>en</strong><br />
van gespecialiseerde IT-infrastructuurservices <strong>en</strong> -oplossing<strong>en</strong>. Met e<strong>en</strong> sterk<br />
team van meer dan 14.000 medewerkers <strong>en</strong> 28 jaar ervaring, pass<strong>en</strong> wij onze<br />
expertise toe op het gebied van netwerk<strong>en</strong>, converged communic<strong>at</strong>ions, security,<br />
d<strong>at</strong>ac<strong>en</strong>teroplossing<strong>en</strong>, Microsoft <strong>en</strong> contactc<strong>en</strong>ter-technologieën. Met onze<br />
unieke vaardighed<strong>en</strong> in consulting, integr<strong>at</strong>ie <strong>en</strong> managed services ontwerp<strong>en</strong> wij<br />
op ma<strong>at</strong> gemaakte oplossing<strong>en</strong> die ervoor zorg<strong>en</strong> d<strong>at</strong> meer dan 6.000 klant<strong>en</strong><br />
hun bedrijfsdoelstelling<strong>en</strong> kunn<strong>en</strong> realiser<strong>en</strong>.”<br />
Bron: website, Wikipedia<br />
Het <strong>BYOD</strong>-contactpersoon <strong>bij</strong> deze organis<strong>at</strong>ie heeft aangegev<strong>en</strong>, i.v.m.<br />
op<strong>en</strong>baring van gevoelige onderzoeksuitkomst<strong>en</strong>, alle<strong>en</strong> anoniem in de<br />
definitieve versie van de afstudeerscriptie g<strong>en</strong>oemd te will<strong>en</strong> word<strong>en</strong>. Deze<br />
organis<strong>at</strong>ie zal daarom de titel “Global Systems Integr<strong>at</strong>or” krijg<strong>en</strong>.<br />
Pagina | 145
Bijlage 3: Interviewvrag<strong>en</strong><br />
Het interview heeft de volg<strong>en</strong>de structuur:<br />
1. Algeme<strong>en</strong> deel met als doel het bepal<strong>en</strong> van de context.<br />
2. Inhoudelijk deel met vrag<strong>en</strong> over het onderzoek zelf:<br />
a. Deel 1: totstandkoming <strong>en</strong> inhoud van de <strong>BYOD</strong>-security <strong>en</strong><br />
geïmplem<strong>en</strong>teerde security-ma<strong>at</strong>regel<strong>en</strong><br />
b. Deel 2: <strong>privacy</strong>problem<strong>en</strong> van medewerkers door gekoz<strong>en</strong> <strong>BYOD</strong>security<br />
c. Deel 3: ma<strong>at</strong>regel<strong>en</strong> om de <strong>privacy</strong>problem<strong>en</strong> te voorkom<strong>en</strong><br />
3. Op<strong>en</strong>, afsluit<strong>en</strong>d deel om aspect<strong>en</strong> <strong>en</strong>/of aanbeveling<strong>en</strong>, die tijd<strong>en</strong>s het<br />
interview niet aan bod zijn gekom<strong>en</strong>, te besprek<strong>en</strong>.<br />
1. Algeme<strong>en</strong> deel met als doel het bepal<strong>en</strong> van de context.<br />
Vraag<br />
Vraag Antwoord<br />
nr:<br />
op<br />
VR-1 Hoeveel werknemers telt uw organis<strong>at</strong>ie?<br />
Context<br />
VR-2 In welke sector opereert uw organis<strong>at</strong>ie?<br />
VR-3 Hoe groot is de IT-organis<strong>at</strong>ie (aantal medewerkers, aantal<br />
servers, aantal te beher<strong>en</strong> applic<strong>at</strong>ies, etc)?<br />
VR-4 Is <strong>BYOD</strong>-reeds geïmplem<strong>en</strong>teerd in uw organis<strong>at</strong>ie? Ja? Sinds<br />
wanneer? Nee, vanaf wanneer?<br />
VR-5 Hoeveel medewerkers binn<strong>en</strong> uw organis<strong>at</strong>ie kom<strong>en</strong> in<br />
aanmerking voor <strong>BYOD</strong> of hoeveel mak<strong>en</strong> er daadwerkelijk<br />
gebruik van? Is er e<strong>en</strong> bepaalde m<strong>at</strong>e van zelfredzaamheid<br />
waar medewerkers aan moet<strong>en</strong> voldo<strong>en</strong> will<strong>en</strong> ze in<br />
aanmerking kunn<strong>en</strong> kom<strong>en</strong> voor <strong>BYOD</strong>?<br />
VR-6 W<strong>at</strong> is uw functie in de organis<strong>at</strong>ie?<br />
VR-7 B<strong>en</strong>t u betrokk<strong>en</strong> geweest <strong>bij</strong> de totstandkoming van het<br />
<strong>BYOD</strong>-beleid, <strong>en</strong> w<strong>at</strong> was uw rol daarin?<br />
VR-8 B<strong>en</strong>t u goed op de hoogte van de inhoud van de <strong>BYOD</strong>security,<br />
op zowel str<strong>at</strong>egisch (beleid) als tactisch<br />
(ma<strong>at</strong>regel<strong>en</strong>) niveau?<br />
VR-9 W<strong>at</strong> was de belangrijkste motiv<strong>at</strong>ie om <strong>BYOD</strong>-te<br />
implem<strong>en</strong>ter<strong>en</strong>?<br />
Pagina | 146<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context
2a. Vrag<strong>en</strong> m.b.t. Deelvraag 1: de totstandkoming <strong>en</strong> inhoud van de<br />
<strong>BYOD</strong>-security, <strong>en</strong> geïmplem<strong>en</strong>teerde security-ma<strong>at</strong>regel<strong>en</strong><br />
Vraag<br />
Vraag Antwoord<br />
nr:<br />
op<br />
VR-10 Welke definitie wordt binn<strong>en</strong> uw organis<strong>at</strong>ie gehanteerd voor<br />
het <strong>BYOD</strong>-concept?<br />
Deelvraag 1<br />
VR-11 Om welke red<strong>en</strong> heeft uw organis<strong>at</strong>ie overwog<strong>en</strong> om het<br />
<strong>BYOD</strong>-concept te onderzoek<strong>en</strong> <strong>en</strong> mogelijk te implem<strong>en</strong>ter<strong>en</strong>?<br />
VR-12 Heeft u, of uw organis<strong>at</strong>ie onderzoek gedaan naar de voor- <strong>en</strong><br />
nadel<strong>en</strong> van <strong>BYOD</strong> voorafgaand aan de implem<strong>en</strong>t<strong>at</strong>ie ervan?<br />
Welke voor- <strong>en</strong> nadel<strong>en</strong> kwam<strong>en</strong> naar vor<strong>en</strong> a.d.h.v. dit<br />
vooronderzoek?<br />
VR-13 Hoe heeft uw organis<strong>at</strong>ie, voorafgaand aan de daadwerkelijke<br />
accept<strong>at</strong>ie <strong>en</strong> implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept,<br />
geanticipeerd op mogelijke extra risico’s <strong>en</strong> m.b.t. de<br />
inform<strong>at</strong>iebeveiliging?<br />
VR-14 Er is nog weinig wet<strong>en</strong>schappelijke k<strong>en</strong>nis m.b.t. <strong>BYOD</strong> <strong>en</strong> de<br />
effect<strong>en</strong> daarvan op organis<strong>at</strong>ies, inform<strong>at</strong>iebeveiliging <strong>en</strong><br />
werknemers. Op basis waarvan heeft u invulling gegev<strong>en</strong> aan<br />
uw huidige <strong>BYOD</strong>-security?<br />
VR-15 Welke afdeling<strong>en</strong> <strong>en</strong> medewerkers zijn betrokk<strong>en</strong> geweest <strong>bij</strong><br />
de implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept <strong>en</strong> de<br />
inform<strong>at</strong>iebeveiliging daar omhe<strong>en</strong>?<br />
VR-16 Kunt u gedetailleerd beschrijv<strong>en</strong> hoe d<strong>at</strong> proces, de<br />
totstandkoming van de <strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ie <strong>en</strong> de<br />
inform<strong>at</strong>iebeveiliging daaromhe<strong>en</strong>, tot stand is gekom<strong>en</strong><br />
binn<strong>en</strong> uw organis<strong>at</strong>ie?<br />
VR-17 Hoe wijkt de inform<strong>at</strong>iebeveiliging m.b.t. de implem<strong>en</strong>t<strong>at</strong>ie van<br />
het <strong>BYOD</strong>-concept binn<strong>en</strong> uw organis<strong>at</strong>ie af van die <strong>bij</strong> mobiele<br />
appar<strong>at</strong><strong>en</strong> die ge<strong>en</strong> eig<strong>en</strong>dom zijn van de werknemers, maar<br />
uw IT-afdeling?<br />
VR-18 Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor<br />
motiver<strong>en</strong>, van het security-beleid d<strong>at</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie<br />
wordt gehanteerd m.b.t. <strong>BYOD</strong>?<br />
VR-19 Hoe effectief is dit security-beleid?<br />
VR-20 Wordt in dit security-beleid ook voorgeschrev<strong>en</strong> d<strong>at</strong> bepaalde<br />
software (apps) wel/niet gebruikt mag word<strong>en</strong>?<br />
VR-21 Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor<br />
motiver<strong>en</strong>, van de (technische) security-ma<strong>at</strong>regel<strong>en</strong> die<br />
binn<strong>en</strong> uw organis<strong>at</strong>ie zijn geïmplem<strong>en</strong>teerd m.b.t. <strong>BYOD</strong>?<br />
Pagina | 147<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
VR-22 Hoe effectief zijn deze security-ma<strong>at</strong>regel<strong>en</strong>? Deelvraag 1<br />
VR-23 Kan met deze security-ma<strong>at</strong>regel<strong>en</strong> ook word<strong>en</strong> afgedwong<strong>en</strong><br />
welke software (apps) wel/niet gebruikt kan word<strong>en</strong> door ze op<br />
afstand te verwijder<strong>en</strong> of blokker<strong>en</strong>?<br />
VR-24 Stelt uw organis<strong>at</strong>ie ook zelf software (apps) beschikbaar?<br />
VR-25 Welke aanpassing<strong>en</strong> aan het security-beleid <strong>en</strong> technische<br />
security-ma<strong>at</strong>regel<strong>en</strong> in het kader van <strong>BYOD</strong> zou u <strong>bij</strong> e<strong>en</strong><br />
volg<strong>en</strong>de herzi<strong>en</strong>ing will<strong>en</strong> doorvoer<strong>en</strong>? En waarom?<br />
2b. Vrag<strong>en</strong> m.b.t. Deelvraag 2: <strong>privacy</strong>problem<strong>en</strong> van medewerkers door<br />
de gekoz<strong>en</strong> <strong>BYOD</strong>-security<br />
Pagina | 148<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Vraag<br />
Vraag Antwoord<br />
nr:<br />
op<br />
VR-26 Zijn er voorwaard<strong>en</strong> waar uw werknemers mee akkoord<br />
moet<strong>en</strong> gaan voord<strong>at</strong> ze gebruik kunn<strong>en</strong> mak<strong>en</strong> van het<br />
<strong>BYOD</strong>-concept binn<strong>en</strong> uw organis<strong>at</strong>ie? Kunt u deze<br />
voorwaard<strong>en</strong> op hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Deelvraag 2<br />
VR-27 W<strong>at</strong> gebeurt er wanneer e<strong>en</strong> medewerker niet akkoord ga<strong>at</strong><br />
met deze voorwaard<strong>en</strong>, maar wel de eig<strong>en</strong> hardware (met<br />
daarop eig<strong>en</strong> software) wil gebruik<strong>en</strong> voor zakelijke<br />
doeleind<strong>en</strong>?<br />
VR-28 Welke technische security-ma<strong>at</strong>regel<strong>en</strong> zorg<strong>en</strong> binn<strong>en</strong> uw<br />
organis<strong>at</strong>ie, in de context van het <strong>BYOD</strong>-concept voor<br />
id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie van de werknemerseig<strong>en</strong><br />
hardware op het bedrijfsnetwerk? Kunt u deze<br />
ma<strong>at</strong>regel<strong>en</strong> in hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
VR-29 Hebb<strong>en</strong> deze technische security-ma<strong>at</strong>regel<strong>en</strong> alle<strong>en</strong> invloed<br />
op de zakelijke applic<strong>at</strong>ies, mogelijkhed<strong>en</strong> <strong>en</strong> (toegang tot)<br />
bedrijfsgegev<strong>en</strong>s? Of hebb<strong>en</strong> ze ook invloed op het<br />
privégebruik, privésoftware (apps) <strong>en</strong> privégegev<strong>en</strong>s van de<br />
werknemer?<br />
VR-30 Maakt uw organis<strong>at</strong>ie gebruik van Mobile Device Managem<strong>en</strong>t<br />
(MDM) of Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t (MAM) software om<br />
<strong>BYOD</strong>-hardware, <strong>en</strong> de software (apps) <strong>en</strong> gegev<strong>en</strong>s daarop,<br />
te beveilig<strong>en</strong> <strong>en</strong> beher<strong>en</strong>? Zo Ja, hoe effectief is dit? Zo Nee,<br />
waarom niet?<br />
VR-31 Is deze Mobile Device Managem<strong>en</strong>t software in sta<strong>at</strong> om te<br />
controler<strong>en</strong> of het besturingssysteem of de firmware van de<br />
<strong>BYOD</strong>-hardware aangepast is zod<strong>at</strong> software <strong>en</strong> functionaliteit<br />
toegevoegd kan word<strong>en</strong> die oorspronkelijk niet door de<br />
fabrikant is toegestaan? (Jailbreak<strong>en</strong>/Root<strong>en</strong>)<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
VR-32 Volg<strong>en</strong>s rec<strong>en</strong>te vakliter<strong>at</strong>uur kan mobile malware e<strong>en</strong> grote Deelvraag 2
edreiging vorm<strong>en</strong> voor vertrouwelijke bedrijfsgegev<strong>en</strong>s op<br />
<strong>BYOD</strong>-hardware. Zijn uw werknemers daarom verplicht om<br />
mobile security software te installer<strong>en</strong>? Zo Ja, wie is dan<br />
verantwoordelijk voor upd<strong>at</strong>es, p<strong>at</strong>ches <strong>en</strong> e<strong>en</strong> optimale<br />
bescherming? Zo Nee, hoe voorkomt uw organis<strong>at</strong>ie dan d<strong>at</strong><br />
<strong>BYOD</strong>-hardware besmet raakt met malware <strong>en</strong> vertrouwelijke<br />
bedrijfsgegev<strong>en</strong>s (<strong>en</strong> privé gegev<strong>en</strong>s) daardoor in verkeerde<br />
hand<strong>en</strong> vall<strong>en</strong>?<br />
VR-33 Binn<strong>en</strong> de context van het <strong>BYOD</strong>-concept, doet uw organis<strong>at</strong>ie<br />
aan D<strong>at</strong>a Leakage Protection (DLP)? D<strong>en</strong>k hier<strong>bij</strong> aan <strong>en</strong>cryptie<br />
van het interne geheug<strong>en</strong> <strong>en</strong>/of verwisselbare opslag. Zo Ja,<br />
omv<strong>at</strong> dit dan alle<strong>en</strong> zakelijke of ook privé gegev<strong>en</strong>s? Zo Nee,<br />
waarom niet?<br />
VR-34 Welke controle <strong>en</strong>/of bevoegdheid heeft uw organis<strong>at</strong>ie over de<br />
(privé)inform<strong>at</strong>ie die aanwezig is op de hardware die eig<strong>en</strong>dom<br />
is van de medewerker?<br />
VR-35 Kunt u beschrijv<strong>en</strong> wanneer, <strong>en</strong> in welke gevall<strong>en</strong> uw<br />
organis<strong>at</strong>ie deze controle <strong>en</strong> bevoegdheid kan <strong>en</strong> mag<br />
uitoef<strong>en</strong><strong>en</strong>?<br />
VR-36 Kunn<strong>en</strong> uw werknemers (privé)inform<strong>at</strong>ie op hardware, die<br />
ook wordt gebruikt voor zakelijke doeleind<strong>en</strong>, afscherm<strong>en</strong><br />
teg<strong>en</strong> deze controle of bevoegdhed<strong>en</strong>?<br />
VR-37 Hoe voorkomt u d<strong>at</strong> (IT)medewerkers van de organis<strong>at</strong>ie<br />
software of gegev<strong>en</strong>s, die aanwezig zijn op de hardware van<br />
de medewerker, zonder toestemming kunn<strong>en</strong> inzi<strong>en</strong>,<br />
aanpass<strong>en</strong>, vergr<strong>en</strong>del<strong>en</strong>, kopiër<strong>en</strong> of verwijder<strong>en</strong>?<br />
VR-38 Wanneer, <strong>en</strong> in welke gevall<strong>en</strong>, mag e<strong>en</strong> werknemer van uw<br />
IT-afdeling overgaan tot op afstand wiss<strong>en</strong> of blokker<strong>en</strong> van<br />
het werknemers-eig<strong>en</strong> appara<strong>at</strong>?<br />
VR-39 Kan er <strong>bij</strong> op afstand wiss<strong>en</strong> of blokker<strong>en</strong> onderscheid gemaakt<br />
word<strong>en</strong> tuss<strong>en</strong> software/gegev<strong>en</strong>s behor<strong>en</strong>de <strong>bij</strong> de organis<strong>at</strong>ie<br />
<strong>en</strong>erzijds of de eig<strong>en</strong>aar van de hardware, anderzijds?<br />
VR-40 Welk beleid, <strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong>, zijn <strong>bij</strong> uw organis<strong>at</strong>ie van<br />
toepassing wanneer e<strong>en</strong> werknemer hardware als verlor<strong>en</strong> of<br />
gestol<strong>en</strong> opgeeft, <strong>en</strong> waar bedrijfsgegev<strong>en</strong>s op staan of<br />
toegang daartoe?<br />
VR-41 Zijn er in het verled<strong>en</strong> spanningsveld<strong>en</strong> geweest m.b.t. de<br />
<strong>privacy</strong> van uw medewerkers als gevolg van uw <strong>BYOD</strong>security?<br />
Pagina | 149<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
2c. Vrag<strong>en</strong> m.b.t. Deelvraag 3: ma<strong>at</strong>regel<strong>en</strong> om de <strong>privacy</strong>problem<strong>en</strong> te<br />
voorkom<strong>en</strong><br />
Vraag<br />
Vraag Antwoord<br />
nr:<br />
op<br />
VR-42 Heeft uw organis<strong>at</strong>ie ma<strong>at</strong>regel<strong>en</strong> getroff<strong>en</strong> om inbreuk op de<br />
<strong>privacy</strong> van werknemers t<strong>en</strong> gevolge van de <strong>BYOD</strong>-security, te<br />
voorkom<strong>en</strong>?<br />
Deelvraag 3<br />
VR-<br />
43.1<br />
VR-<br />
43.2<br />
VR-<br />
44.1<br />
VR-<br />
44.2<br />
Zo Nee, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> waarom niet?<br />
Is uw organis<strong>at</strong>ie in de toekomst wel van plan om deze<br />
ma<strong>at</strong>regel<strong>en</strong> te overweg<strong>en</strong>?<br />
Zo Ja, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong> dit<br />
zijn?<br />
Zijn de getroff<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> effectief in het oploss<strong>en</strong> van de<br />
<strong>privacy</strong>problem<strong>en</strong> van uw medewerkers?<br />
3. Op<strong>en</strong> <strong>en</strong> afsluit<strong>en</strong>d deel: aspect<strong>en</strong> <strong>en</strong>/of aanbeveling<strong>en</strong> die tijd<strong>en</strong>s het<br />
interview niet aan bod zijn gekom<strong>en</strong>.<br />
Pagina | 150<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Vraag<br />
nr:<br />
Vraag Antwoord op<br />
VR-45 Zijn er nog aspect<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn<br />
gekom<strong>en</strong>?<br />
Overig<br />
VR-46 Zijn er nog aanbeveling<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn<br />
gekom<strong>en</strong>?<br />
Overig
Vraag <br />
Bijlage 4: Antwoord<strong>en</strong>m<strong>at</strong>rix<br />
Deze antwoord<strong>en</strong>m<strong>at</strong>rix is e<strong>en</strong> sterk vere<strong>en</strong>voudigde, <strong>en</strong> daardoor overzichtelijk weergave, van alle 230 antwoord<strong>en</strong> op de<br />
interviewvrag<strong>en</strong>. Ondanks d<strong>at</strong> veel achterligg<strong>en</strong>de details ontbrek<strong>en</strong> in deze m<strong>at</strong>rix, is getracht om de kern van elk antwoord<br />
zo kort <strong>en</strong> bondig mogelijk sam<strong>en</strong> te v<strong>at</strong>t<strong>en</strong>. Voor meer details <strong>en</strong> inform<strong>at</strong>ie over e<strong>en</strong> antwoord, wordt verwez<strong>en</strong> naar <strong>bij</strong>lage<br />
5. Het doel van deze m<strong>at</strong>rix is om transparanter <strong>en</strong> e<strong>en</strong>voudiger tot e<strong>en</strong> sam<strong>en</strong>v<strong>at</strong>ting <strong>en</strong> eindconclusie per vraag te kom<strong>en</strong>,<br />
zowel voor de onderzoeker als de lezer van dit afstudeerverslag. Bov<strong>en</strong>di<strong>en</strong> kunn<strong>en</strong> verschill<strong>en</strong>de antwoord<strong>en</strong> snel <strong>en</strong><br />
e<strong>en</strong>voudig met elkaar word<strong>en</strong> vergelek<strong>en</strong> om de verschill<strong>en</strong> <strong>en</strong>/of overe<strong>en</strong>komst<strong>en</strong> inzichtelijk te mak<strong>en</strong>.<br />
Organis<strong>at</strong>ie <br />
Consum<strong>en</strong>t<strong>en</strong>bond<br />
Grote<br />
verzekeringsma<strong>at</strong>schappij<br />
Rabobank Kaseya<br />
Global Systems<br />
Integr<strong>at</strong>or<br />
1. Aantal werknemers? 230 6.000 80.000 460 15.000<br />
2. Sector? Non-profit,<br />
Financieel,<br />
Financiële sector ICT<br />
ICT, systemintegr<strong>at</strong>ie<br />
belang<strong>en</strong>behartiging, verzekering<strong>en</strong> <strong>en</strong><br />
softwareontwikkeling<br />
uitgeverij<br />
di<strong>en</strong>stverl<strong>en</strong>ing<br />
3. Omvang IT-<br />
37 mdw, 45 servers, Enkele honderd<strong>en</strong> 3.000 mdw, 16.500 3 dedic<strong>at</strong>ed IT- Ti<strong>en</strong>tall<strong>en</strong> ITorganis<strong>at</strong>ie?<br />
25 applic<strong>at</strong>ies (mdw, servers <strong>en</strong> servers, <strong>en</strong>kele beheerders,medewerkers,<br />
applic<strong>at</strong>ies)<br />
honderd<strong>en</strong> applic<strong>at</strong>ies honderd<strong>en</strong> servers <strong>en</strong> honderd<strong>en</strong> servers<br />
20 applic<strong>at</strong>ies. <strong>en</strong> ti<strong>en</strong>tall<strong>en</strong><br />
applic<strong>at</strong>ies.<br />
4. <strong>BYOD</strong><br />
Ja, maar met Nog niet officieel, Ja, <strong>bij</strong> tablets <strong>en</strong> Ja, <strong>BYOD</strong> m<strong>en</strong>taliteit Ja, sinds 2005 maar<br />
geïmplem<strong>en</strong>teerd, vanaf beperking<strong>en</strong>. Sinds wordt wel gedoogd smartphones, maar is onderdeel van had to<strong>en</strong> nog ge<strong>en</strong><br />
wanneer?<br />
2011.<br />
<strong>en</strong> oogluik<strong>en</strong>d beperkte<br />
bedrijfscultuur. Vanaf naam. Was to<strong>en</strong> ook<br />
toegestaan.<br />
functionaliteit. Vanaf het begin<br />
nog ge<strong>en</strong> beleid. Is<br />
2011.<br />
toegestaan, rond pas in 2011<br />
2002.<br />
gekom<strong>en</strong>.<br />
5. Gebruik <strong>BYOD</strong>,<br />
Iedere<strong>en</strong>, maar Enkel<strong>en</strong> mog<strong>en</strong> aan Iedere<strong>en</strong>, zolang Iedere<strong>en</strong> mag aan Iedere<strong>en</strong> mag aan<br />
zelfredzaamheid?<br />
leidinggev<strong>en</strong>de <strong>BYOD</strong> do<strong>en</strong>. Niets appara<strong>at</strong> pincode <strong>en</strong> <strong>BYOD</strong> do<strong>en</strong>. Ge<strong>en</strong> <strong>BYOD</strong> do<strong>en</strong>, rond de<br />
bepaalt. Ge<strong>en</strong> m<strong>at</strong>e over<br />
versleuteling aan kan. zelfredzaamheid als 150 mak<strong>en</strong> daar<br />
van<br />
zelfredzaamheid Ge<strong>en</strong> zelfredzaamheid criterium, iedere<strong>en</strong> is gebruik van.
zelfredzaamheid. bek<strong>en</strong>d, zull<strong>en</strong> zich<br />
aan voorschrift<strong>en</strong><br />
moet<strong>en</strong> houd<strong>en</strong>.<br />
6. Functie? Hoofd ICT afdeling Medewerker CIO<br />
office.<br />
7. Betrokk<strong>en</strong> <strong>bij</strong> <strong>BYOD</strong>beleid<br />
<strong>en</strong> rol?<br />
8. Op de hoogte van<br />
<strong>BYOD</strong>-security?<br />
9. Motiv<strong>at</strong>ie om <strong>BYOD</strong> te<br />
implem<strong>en</strong>ter<strong>en</strong>?<br />
Ja, ik adviser<strong>en</strong>d <strong>en</strong><br />
uitvoer<strong>en</strong>d.<br />
Ja, zowel str<strong>at</strong>egisch<br />
als tactisch.<br />
Vraag vanuit<br />
organis<strong>at</strong>ie, niet<br />
teg<strong>en</strong> te houd<strong>en</strong>.<br />
Productiviteit<br />
verhog<strong>en</strong>d.<br />
10. Definitie <strong>BYOD</strong>? M<strong>en</strong> mag eig<strong>en</strong><br />
appara<strong>at</strong> me<strong>en</strong>em<strong>en</strong><br />
<strong>en</strong> gebruik<strong>en</strong> voor<br />
zakelijk gerel<strong>at</strong>eerd<br />
werk.<br />
Ja, <strong>bij</strong> ontwikkeling<br />
<strong>BYOD</strong>-beleid. B<strong>en</strong><br />
verk<strong>en</strong>ner van <strong>BYOD</strong><br />
concept.<br />
Ja, zowel op<br />
beleidsm<strong>at</strong>ig als<br />
technisch niveau.<br />
Voorkom<strong>en</strong> d<strong>at</strong>a<br />
leakage, innov<strong>at</strong>ie.<br />
Verhoging<br />
productiviteit <strong>en</strong><br />
verlaging kost<strong>en</strong> zijn<br />
secundair.<br />
Het appara<strong>at</strong> is<br />
eig<strong>en</strong>dom van de<br />
medewerker <strong>en</strong><br />
bev<strong>at</strong> o.a. zakelijke<br />
gegev<strong>en</strong>s.<br />
als criterium. zelf verantwoordelijk<br />
voor hardware <strong>en</strong><br />
gegev<strong>en</strong>s.<br />
Hoofd<br />
werkplekservices <strong>en</strong><br />
communic<strong>at</strong>ions<br />
Ja, beleid <strong>en</strong><br />
implem<strong>en</strong>t<strong>at</strong>ieontwerp.<br />
Tev<strong>en</strong>s technische<br />
kant <strong>en</strong> procedures.<br />
Ja, zowel op beleid <strong>en</strong><br />
technisch vlak.<br />
Ge<strong>en</strong> sprake van<br />
implem<strong>en</strong>t<strong>at</strong>ie, is zo<br />
gegroeid <strong>en</strong> nooit<br />
teg<strong>en</strong>gehoud<strong>en</strong> door<br />
organis<strong>at</strong>ie. Gebeurde<br />
gewoon <strong>en</strong> organis<strong>at</strong>ie<br />
is meegegaan in de<br />
tr<strong>en</strong>d. Hogere<br />
productiviteit was<br />
ge<strong>en</strong> motiv<strong>at</strong>ie voor<br />
<strong>BYOD</strong>, meer mobiele<br />
devices in algeme<strong>en</strong>.<br />
Medewerkers mog<strong>en</strong><br />
zelf aangeschafte<br />
appar<strong>at</strong>uur koppel<strong>en</strong><br />
aan zakelijke<br />
infrastructuur <strong>en</strong><br />
gegev<strong>en</strong>s.<br />
Technisch directeur<br />
EMEA<br />
Ja, op alle vlakk<strong>en</strong> <strong>en</strong><br />
niveaus.<br />
Ja, goed op de<br />
hoogte.<br />
Belangrijkste<br />
motiv<strong>at</strong>ie was<br />
efficiëntie. Will<strong>en</strong><br />
minimale overhead.<br />
<strong>BYOD</strong> ligt in het<br />
verl<strong>en</strong>gde van de<br />
organis<strong>at</strong>iecultuur <strong>en</strong><br />
soort werknemers.<br />
Die hebb<strong>en</strong> voorkeur<br />
voor nieuwe<br />
technologie, moet je<br />
niet teg<strong>en</strong>houd<strong>en</strong>.<br />
Dan blijf je bezig.<br />
Werk<strong>en</strong> met je eig<strong>en</strong><br />
appar<strong>at</strong>uur.<br />
Zelfredzaamheid is<br />
ge<strong>en</strong> criterium.<br />
Solutions Director.<br />
Ja, vanaf 2005<br />
onofficieel <strong>en</strong> vanaf<br />
2011 officieel. Beleid<br />
<strong>en</strong> adviser<strong>en</strong>de rol.<br />
Ja, goed op de<br />
hoogte van beleid <strong>en</strong><br />
tech. ma<strong>at</strong>regel<strong>en</strong>.<br />
Verhoging<br />
productiviteit,<br />
verbetering<br />
bereikbaarheid.<br />
Meegaan met de<br />
flow, aantrekk<strong>en</strong><br />
jonge medewerkers.<br />
Kost<strong>en</strong>besparing was<br />
ge<strong>en</strong> red<strong>en</strong>.<br />
<strong>BYOD</strong> is onderdeel<br />
van Enterprise<br />
Mobility, d<strong>at</strong> houdt in<br />
d<strong>at</strong> e<strong>en</strong> gebruiker<br />
mobiel is <strong>en</strong> het<br />
bov<strong>en</strong>di<strong>en</strong> irrelevant<br />
is w<strong>at</strong> voor device<br />
Pagina | 152
11. Red<strong>en</strong><br />
onderzoek/implem<strong>en</strong>t<strong>at</strong>ie<br />
<strong>BYOD</strong>?<br />
12. Onderzoek gedaan<br />
naar voor/nadel<strong>en</strong><br />
<strong>BYOD</strong>?<br />
13. Hoe geanticipeerd op<br />
risico’s?<br />
14. Hoe invulling gegev<strong>en</strong><br />
aan <strong>BYOD</strong>-security?<br />
Niet teg<strong>en</strong> te<br />
houd<strong>en</strong>, meegaan<br />
met tr<strong>en</strong>ds. Vraag<br />
vanuit organis<strong>at</strong>ie.<br />
Niet<br />
kost<strong>en</strong>besparing.<br />
Ja, eerst de techniek<br />
<strong>en</strong> daarna het<br />
beleid.<br />
Beperkte recht<strong>en</strong>,<br />
wachtwoordbeleid,<br />
accountblokkering,<br />
backups <strong>en</strong> remote<br />
wipe/block.<br />
Eig<strong>en</strong> onderzoek,<br />
trial-and-error,<br />
gekek<strong>en</strong> naar<br />
andere organis<strong>at</strong>ies<br />
<strong>en</strong> g<strong>en</strong>erieke<br />
security van mobiele<br />
Zie antwoord op<br />
vraag 9.<br />
Ja. Voordeel is<br />
voorkom<strong>en</strong> van d<strong>at</strong>a<br />
leakage. Nadel<strong>en</strong><br />
zijn kost<strong>en</strong> <strong>en</strong><br />
introductie nieuwe<br />
risico’s.<br />
Dit is nog in<br />
ontwikkeling, zijn<br />
security/<strong>BYOD</strong> mee<br />
bezig.<br />
Niet o.b.v.<br />
wet<strong>en</strong>schap, maar<br />
industrie<br />
standaard<strong>en</strong>, advies<br />
van specialist<strong>en</strong> <strong>en</strong><br />
compliance-eis<strong>en</strong>.<br />
Het was er altijd al,<br />
het kwam de<br />
organis<strong>at</strong>ie binn<strong>en</strong> <strong>en</strong><br />
was onvermijdelijk.<br />
Onmogelijk om teg<strong>en</strong><br />
te houd<strong>en</strong>.<br />
Nee, ondervond<strong>en</strong> ter<br />
plekke de voor- <strong>en</strong><br />
nadel<strong>en</strong>. 2 e golf wordt<br />
wel meer onderzoek<br />
gedaan naar security.<br />
Niet gedaan. Learn as<br />
we go.<br />
Trial-and-error,<br />
onderbuik gevoel.<br />
Ge<strong>en</strong> best practices<br />
bek<strong>en</strong>d. Vertrouw<strong>en</strong><br />
op expertise eig<strong>en</strong><br />
medewerkers.<br />
Efficiëntie. <strong>BYOD</strong> was<br />
er altijd al, maar had<br />
nog ge<strong>en</strong> naam.<br />
Nee, wel <strong>en</strong>quête<br />
uitgezet maar d<strong>at</strong><br />
was puur<br />
marktverk<strong>en</strong>ning.<br />
Nooit op de<br />
tweespong gestaan<br />
om <strong>BYOD</strong> toe te<br />
staan of te<br />
verbied<strong>en</strong>.<br />
Door de juiste<br />
system<strong>en</strong> te kiez<strong>en</strong>,<br />
o.a. Google Apps.<br />
Eig<strong>en</strong> ag<strong>en</strong>t is<br />
optioneel. Bij<br />
toegang tot vertrouwelijke<br />
d<strong>at</strong>a is VPN<br />
verbinding nodig.<br />
Ge<strong>en</strong><br />
wet<strong>en</strong>schappelijke<br />
papers gelez<strong>en</strong>, er is<br />
veel k<strong>en</strong>nis <strong>en</strong><br />
ervaring in eig<strong>en</strong><br />
organis<strong>at</strong>ie. Die is<br />
iemand gebruikt om<br />
tot de noodzakelijke<br />
inform<strong>at</strong>ie te kom<strong>en</strong>.<br />
Was niet teg<strong>en</strong> te<br />
houd<strong>en</strong>, als ITorganis<strong>at</strong>ie<br />
moest<strong>en</strong><br />
we daarin meegaan.<br />
To<strong>en</strong>ame<br />
productiviteit is niet<br />
in kaart gebracht.<br />
Ge<strong>en</strong> onderzoek, wel<br />
e<strong>en</strong> <strong>en</strong>quête m.b.t.<br />
verwachting<strong>en</strong> van<br />
<strong>BYOD</strong>. Daar<strong>bij</strong> is<br />
d<strong>at</strong>averlies als extra<br />
risico erk<strong>en</strong>d. Is wel<br />
nagedacht over<br />
mogelijke risico’s van<br />
<strong>BYOD</strong>.<br />
Mobile Device policy<br />
opgesteld. Daarin<br />
sta<strong>at</strong> o.a. password,<br />
device lock, remote<br />
<strong>en</strong> local wipe,<br />
<strong>en</strong>cryptie <strong>en</strong><br />
applic<strong>at</strong>ion control.<br />
Best practices, <strong>bij</strong><br />
andere organis<strong>at</strong>ies<br />
gekek<strong>en</strong> naar<br />
implem<strong>en</strong>t<strong>at</strong>ie. Zelf<br />
onderzoek gedaan<br />
want zelf veel k<strong>en</strong>nis<br />
Pagina | 153
15. Wie betrokk<strong>en</strong> <strong>bij</strong><br />
<strong>BYOD</strong> (security)?<br />
16. Hoe is <strong>BYOD</strong> tot stand<br />
gekom<strong>en</strong>?<br />
17. Hoe wijkt <strong>BYOD</strong>security<br />
af van gewone<br />
(mobiele) security?<br />
appar<strong>at</strong><strong>en</strong>. Tev<strong>en</strong>s<br />
Citrix <strong>en</strong> VDI<br />
onderzocht.<br />
ICT-afdeling/ICTspecialist<strong>en</strong><br />
Organis<strong>at</strong>ie <strong>en</strong><br />
werknemers vroeg<strong>en</strong><br />
erom. Na opdracht<br />
managem<strong>en</strong>t heeft<br />
ICT-afdeling het<br />
onderzocht <strong>en</strong><br />
geïmplem<strong>en</strong>teerd.<br />
Nu nog niet perfect,<br />
nog veel te do<strong>en</strong>.<br />
Niet heel<br />
verschill<strong>en</strong>d, <strong>BYOD</strong>appar<strong>at</strong><strong>en</strong><br />
hebb<strong>en</strong><br />
andere recht<strong>en</strong> <strong>en</strong><br />
wachtwoordbeleid.<br />
ICT-afdeling heeft<br />
minder controle op<br />
<strong>BYOD</strong>-hardware.<br />
IT-architect<strong>en</strong>, risk<br />
<strong>en</strong> security<br />
specialist<strong>en</strong>,<br />
projectmanagem<strong>en</strong>t,<br />
CIO <strong>en</strong> directie.<br />
CIO wilde het l<strong>at</strong><strong>en</strong><br />
verk<strong>en</strong>n<strong>en</strong>.<br />
Vooronderzoek<br />
gedaan, project<br />
gestart, voorstel<br />
gemaakt,<br />
werkgroep<strong>en</strong><br />
sam<strong>en</strong>gesteld. Dan<br />
beslissingsstuk. Na<br />
ontwerpfase komt<br />
implem<strong>en</strong>t<strong>at</strong>ie.<br />
Concept is niet heel<br />
verschill<strong>en</strong>d van<br />
elkaar, moet alle<strong>en</strong><br />
net anders<br />
aangepakt word<strong>en</strong>.<br />
Niemand <strong>bij</strong> de<br />
totstandkoming, was<br />
er gewoon. L<strong>at</strong>er wel<br />
met juridische zak<strong>en</strong><br />
gesprek gehad. 2 e golf<br />
meer overleg met<br />
legal, security <strong>en</strong><br />
fiscale experts.<br />
Werknemers name<br />
eig<strong>en</strong> spull<strong>en</strong> mee,<br />
organis<strong>at</strong>ie stond d<strong>at</strong><br />
toe. I.v.m. mogelijke<br />
risico’s is CYOD<br />
aangebod<strong>en</strong> <strong>en</strong> aantrekkelijk<br />
gemaakt,<br />
zod<strong>at</strong> <strong>BYOD</strong><br />
onaantrekkelijk werd.<br />
<strong>BYOD</strong> verleiding wegnem<strong>en</strong><br />
door nieuwste<br />
high-<strong>en</strong>d CYOD appar<strong>at</strong><strong>en</strong><br />
aan te bied<strong>en</strong>.<br />
Andere tak van sport,<br />
dus ook anders<br />
aanpakk<strong>en</strong>. Vooral<br />
juridisch. Verschil zijn<br />
de recht<strong>en</strong> over de<br />
hardware.<br />
gebruikt. in huis. Ook Gartner<br />
gebruikt ev<strong>en</strong>als<br />
k<strong>en</strong>nis binn<strong>en</strong> eig<strong>en</strong><br />
rel<strong>at</strong>ies <strong>en</strong> v<strong>en</strong>dor<strong>en</strong>.<br />
CEO, technisch<br />
directeur <strong>en</strong> de<br />
werknemers zelf.<br />
Is binn<strong>en</strong> de<br />
organis<strong>at</strong>ie vanuit<br />
alle lag<strong>en</strong> gegroeid,<br />
daardoor onderdeel<br />
van de<br />
organis<strong>at</strong>iecultuur.<br />
Technologisch is het<br />
vergelijkbaar,<br />
juridisch is het echter<br />
e<strong>en</strong> heel ander<br />
verhaal i.v.m.<br />
eig<strong>en</strong>domsrecht.<br />
Ondernemingsraad<br />
<strong>en</strong> stakeholders.<br />
Wereldwijde ITafdeling<strong>en</strong><br />
hebb<strong>en</strong><br />
sam<strong>en</strong>gewerkt.<br />
Vanaf 2005 begon de<br />
tr<strong>en</strong>d, niet teg<strong>en</strong><br />
gehoud<strong>en</strong>, to<strong>en</strong> nog<br />
ge<strong>en</strong> beleid. In 2011<br />
geformaliseerd <strong>en</strong><br />
beleid opgesteld.<br />
Ook meer<br />
standaardisering<br />
vanuit IT-afdeling<strong>en</strong>.<br />
Praktisch hetzelfde,<br />
veel overlap.<br />
Werknemers zijn zelf<br />
verantwoordelijk<br />
voor hardware,<br />
software <strong>en</strong><br />
gegev<strong>en</strong>s.<br />
Pagina | 154
18.Hoofdlijn<strong>en</strong> <strong>BYOD</strong>security?<br />
19. Hoe effectief is deze<br />
<strong>BYOD</strong>-security?<br />
20. Software wel/niet<br />
toegestaan?<br />
21. Beschrijf <strong>BYOD</strong><br />
security-ma<strong>at</strong>regel<strong>en</strong>.<br />
Jaarlijkse evalu<strong>at</strong>ie<br />
<strong>en</strong> audit op beleid,<br />
daarna aanpassing.<br />
Bij ad-hoc incid<strong>en</strong>t<strong>en</strong><br />
of ontwikkeling<strong>en</strong><br />
directe aanpassing<br />
beleid.<br />
Effectief, maar niet<br />
effectief g<strong>en</strong>oeg voor<br />
<strong>BYOD</strong>. Reactief i.p.v.<br />
proactief.<br />
Ge<strong>en</strong> beperking<strong>en</strong><br />
op <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong>,<br />
alles is toegestaan.<br />
Remote wipe/block<br />
<strong>en</strong> lock na aantal<br />
minut<strong>en</strong> inactiviteit.<br />
Is met 4-cijferige<br />
pincode op te<br />
Nog in ontwikkeling.<br />
Uitgangspunt is d<strong>at</strong><br />
transport <strong>en</strong> opslag<br />
van d<strong>at</strong>a moet veilig<br />
zijn.<br />
Nog in ontwikkeling,<br />
doel is om zo<br />
effectief mogelijk te<br />
zijn.<br />
Nog in ontwikkeling.<br />
Niet alle software<br />
wordt zomaar<br />
toegestaan. No ge<strong>en</strong><br />
concrete beslissing<br />
gemaakt welke<br />
wel/niet.<br />
Nog in ontwikkeling.<br />
D<strong>en</strong>k aan remote<br />
wipe/block,<br />
compliance detectie<br />
ter voorkoming<br />
Pincode <strong>en</strong> mogelijk<br />
versleuteling.<br />
Aanmeld<strong>en</strong> appara<strong>at</strong><br />
vanaf e<strong>en</strong> vertrouwde<br />
loc<strong>at</strong>ie.<br />
Vrij effectief,<br />
goedkopere modell<strong>en</strong><br />
soms wel e<strong>en</strong><br />
probleem want ge<strong>en</strong><br />
versleuteling mogelijk.<br />
Wanneer het nieuwe<br />
security beleid in 2013<br />
wordt uitgerold zull<strong>en</strong><br />
er op d<strong>at</strong> vlak<br />
beperking<strong>en</strong> zijn. Bij<br />
Android zal met<br />
blacklists word<strong>en</strong><br />
gewerkt.<br />
Pincode, <strong>en</strong>cryptie,<br />
remote wipe <strong>en</strong><br />
ret<strong>en</strong>tie van d<strong>at</strong>a.<br />
Er is ge<strong>en</strong> <strong>BYOD</strong><br />
security-beleid, zal<br />
ongetwijfeld wel<br />
kom<strong>en</strong> in de<br />
toekomst.<br />
Nieuwe <strong>BYOD</strong> policy<br />
is nog niet klaar.<br />
Wordt nog gebruik<br />
gemaakt van 2011<br />
policy, die moet<br />
word<strong>en</strong> <strong>bij</strong>gewerkt<br />
<strong>en</strong> wordt niet meer<br />
strikt gehandhaafd.<br />
Uitgangspunt is nu<br />
d<strong>at</strong> werknemers zelf<br />
verantwoordelijk<br />
zijn.<br />
Zie vraag 18, n.v.t. Policy van 2011 is<br />
goed g<strong>en</strong>oeg om de<br />
grootste problem<strong>en</strong><br />
af te kunn<strong>en</strong> vang<strong>en</strong>,<br />
maar wel erg<br />
Spartaans.<br />
Zie vraag 18, n.v.t.<br />
In de toekomst wordt<br />
eig<strong>en</strong> ag<strong>en</strong>t wellicht<br />
verplicht.<br />
Bij toegang tot<br />
vertrouwelijke<br />
gegev<strong>en</strong>s is eig<strong>en</strong><br />
ag<strong>en</strong>t <strong>en</strong> VPN<br />
verbinding vereist.<br />
Wel over gesprok<strong>en</strong>,<br />
maar niet in huidige<br />
policy aanwezig.<br />
Strikt zegg<strong>en</strong> w<strong>at</strong><br />
werknemers wel/niet<br />
mog<strong>en</strong> installer<strong>en</strong>,<br />
zal op weerstand<br />
stuit<strong>en</strong>, dus is eig<strong>en</strong><br />
verantwoordelijkheid<br />
<strong>en</strong> beslissing.<br />
Password, pincode,<br />
device lock,<br />
versleuteling, remote<br />
<strong>en</strong> local wipe,<br />
applic<strong>at</strong>ion control.<br />
Pagina | 155
22. Hoe effectief zijn deze<br />
security-ma<strong>at</strong>regel<strong>en</strong>?<br />
heff<strong>en</strong>. jailbreak. Versleutel<strong>en</strong> van alle<br />
verzond<strong>en</strong>/ontvang<strong>en</strong><br />
d<strong>at</strong>a. Werknemers<br />
moet<strong>en</strong> zelf, naar<br />
eig<strong>en</strong> inzicht security<br />
ma<strong>at</strong>regel<strong>en</strong> instell<strong>en</strong><br />
Remote wipe/block<br />
is zeer effectief.<br />
Zelfs te effectief,<br />
want privégegev<strong>en</strong>s<br />
word<strong>en</strong> ook<br />
verwijderd.<br />
Erg effectief, want<br />
er is controle vanuit<br />
de organis<strong>at</strong>ie. MDM<br />
zal nog veel<br />
effectiever zijn.<br />
23. Remote delete/block? Nee, niet mogelijk. Ja, maar dan wel<br />
binn<strong>en</strong> het zakelijke<br />
deel (sandbox) <strong>en</strong><br />
firmware. Privé deel<br />
niet mogelijk.<br />
24. Software of apps zelf<br />
beschikbaar stell<strong>en</strong>?<br />
25. Aanpassing<strong>en</strong> <strong>BYOD</strong>security<br />
volg<strong>en</strong>de<br />
herzi<strong>en</strong>ing?<br />
Nee, do<strong>en</strong> we niet. Zie vraag 20. Ja, in<br />
de toekomst<br />
corpor<strong>at</strong>e apps<br />
beschikbaar.<br />
Aanschaf <strong>en</strong> gebruik<br />
van MDM. Daarnaast<br />
nieuwe werknemer<br />
tuss<strong>en</strong> ICT <strong>en</strong><br />
Business.<br />
Bredere<br />
ondersteuning<br />
appar<strong>at</strong><strong>en</strong> <strong>en</strong><br />
pass<strong>en</strong>d beleid,<br />
zoals verplichte<br />
virusscanner voor<br />
Android.<br />
Ondersteuning voor<br />
<strong>BYOD</strong>-laptops.<br />
Vrij effectief, maar<br />
niet w<strong>at</strong>erdicht.<br />
Nu nog niet, wel<br />
wanneer MDM in 2013<br />
word<br />
geïmplem<strong>en</strong>teerd.<br />
Ja, via <strong>en</strong>terprise appstore.<br />
<strong>BYOD</strong> wordt CYOD.<br />
Grotere rol <strong>en</strong>terprise<br />
app-store, betere<br />
definitie de-facto<br />
mobiele appara<strong>at</strong>.<br />
Support accessoires,<br />
MDM dus meer<br />
managed. Nadruk op<br />
d<strong>at</strong>a. DLP. Classific<strong>at</strong>ie<br />
van d<strong>at</strong>a <strong>en</strong> daar<br />
security op<br />
VPN is vrij effectief,<br />
eig<strong>en</strong> ag<strong>en</strong>t ook.<br />
Vrij effectief,<br />
ondanks de e<strong>en</strong>voud<br />
ervan. In de<br />
toekomst werk<strong>en</strong><br />
met meerdere<br />
security profiel<strong>en</strong>.<br />
Nee, niet mogelijk. D<strong>at</strong> kan, maar wordt<br />
nu nog niet gedaan.<br />
Alle<strong>en</strong> eig<strong>en</strong> ag<strong>en</strong>t,<br />
maar dis is nu meer<br />
voor externe klant<strong>en</strong><br />
<strong>en</strong> niet voor intern<br />
gebruik.<br />
Kleine lettertjes om<br />
verantwoordelijkheid<br />
af te schuiv<strong>en</strong> op<br />
werknemer. Fair Use<br />
Policy. Nieuwe<br />
voorwaard<strong>en</strong> vanuit<br />
HR om recht<strong>en</strong> <strong>en</strong><br />
plicht<strong>en</strong> af te<br />
schuiv<strong>en</strong> op eig<strong>en</strong><br />
werknemers.<br />
Slechts e<strong>en</strong> paar.<br />
MDM software (Air<br />
W<strong>at</strong>ch), verplichting<br />
antivirus software <strong>bij</strong><br />
Android devices,<br />
meer virtualis<strong>at</strong>ie,<br />
loc<strong>at</strong>ion based<br />
security (meerdere<br />
security profiel<strong>en</strong>).<br />
Pagina | 156
26. Voorwaard<strong>en</strong> <strong>BYOD</strong>? Ja, maar wordt<br />
slecht<br />
gecommuniceerd <strong>en</strong><br />
niet expliciet<br />
akkoord ermee<br />
gegaan.<br />
27. Niet accepter<strong>en</strong><br />
voorwaard<strong>en</strong>?<br />
28. Beschrijf technische<br />
security-ma<strong>at</strong>regel<strong>en</strong><br />
id<strong>en</strong>tific<strong>at</strong>ie, autoris<strong>at</strong>ie<br />
<strong>en</strong> autoris<strong>at</strong>ie.<br />
29. Deze ma<strong>at</strong>regel<strong>en</strong><br />
invloed op zakelijk of<br />
privé?<br />
30. MDM/MAM? Hoe<br />
effectief?<br />
Dan ge<strong>en</strong> toegang<br />
tot Exchange <strong>en</strong><br />
Citrix.<br />
Username, password<br />
<strong>en</strong> pincode.<br />
In principe alle<strong>en</strong><br />
zakelijke, maar<br />
remote wipe-block<br />
<strong>en</strong> pincode hebb<strong>en</strong><br />
ook invloed op<br />
privégebruik <strong>en</strong><br />
gegev<strong>en</strong>s.<br />
Nee, maar will<strong>en</strong> we<br />
wel, zodra er budget<br />
Zie vraag 18, nog in<br />
ontwikkeling.<br />
Huidige<br />
voorwaard<strong>en</strong><br />
word<strong>en</strong> teg<strong>en</strong> licht<br />
gehoud<strong>en</strong> <strong>en</strong><br />
mogelijk aangepast<br />
voor specifiek<br />
<strong>BYOD</strong>.<br />
Ge<strong>en</strong> gebruik <strong>BYOD</strong>appara<strong>at</strong><br />
<strong>en</strong> ge<strong>en</strong><br />
toegang tot<br />
bedrijfsgegev<strong>en</strong>s <strong>en</strong><br />
infrastructuur.<br />
Nog in ontwikkeling.<br />
D<strong>en</strong>k aan VPN,<br />
<strong>en</strong>cryptie, username<br />
<strong>en</strong> password, tok<strong>en</strong>.<br />
Nog in ontwikkeling.<br />
Waarschijnlijk alle<strong>en</strong><br />
op zakelijk deel.<br />
Uitgangspunt is<br />
strikte scheiding<br />
tuss<strong>en</strong> zakelijk <strong>en</strong><br />
privé, dus weinig<br />
ma<strong>at</strong>regel<strong>en</strong> te<br />
nem<strong>en</strong>.<br />
MDM komt eraan,<br />
want meer<br />
afstemm<strong>en</strong>.<br />
Ja, staan in add<strong>en</strong>dum<br />
algem<strong>en</strong>e<br />
werkvoorwaard<strong>en</strong>. Met<br />
name over remote<br />
wipe. Deze<br />
voorwaard<strong>en</strong> zijn niet<br />
duidelijk <strong>en</strong> expliciet<br />
gecommuniceerd naar<br />
werknemers.<br />
Nee, iedere<strong>en</strong> ga<strong>at</strong><br />
akkoord met de<br />
algem<strong>en</strong>e<br />
voorwaard<strong>en</strong>. Niet<br />
specifiek <strong>BYOD</strong>.<br />
<strong>BYOD</strong> appara<strong>at</strong> moet<br />
word<strong>en</strong> aangemeld<br />
<strong>bij</strong> IT-organis<strong>at</strong>ie,<br />
dan wordt cli<strong>en</strong>t<br />
geïnstalleerd <strong>en</strong><br />
policy geforceerd.<br />
Gebruiker ga<strong>at</strong><br />
daarmee akkoord<br />
met de policy, is<br />
onderdeel van<br />
algem<strong>en</strong>e<br />
arbeidsvoorwaard<strong>en</strong>.<br />
Ge<strong>en</strong> arbeidscontract. Niet in di<strong>en</strong>st. Dan Blackberry<br />
appara<strong>at</strong> <strong>en</strong> ge<strong>en</strong><br />
toegang tot<br />
bedrijfsinfrastructuur<br />
<strong>en</strong> gegev<strong>en</strong>s.<br />
Username, password,<br />
smartcards, pincode.<br />
Ge<strong>en</strong> onderscheid<br />
tuss<strong>en</strong> privé <strong>en</strong><br />
zakelijk hierin.<br />
Versleuteling in<br />
toekomst via MDM<br />
alle<strong>en</strong> op zakelijke<br />
d<strong>at</strong>a. Ret<strong>en</strong>tie van<br />
d<strong>at</strong>a (zie vraag 21)<br />
alle<strong>en</strong> op zakelijk deel.<br />
MDM <strong>en</strong> MAM pas<br />
erg<strong>en</strong>s in 2013, nu<br />
Goed beveiligde <strong>en</strong><br />
beheerde Wifi<br />
access-points op alle<br />
kantor<strong>en</strong>. En VPN.<br />
Niets wordt<br />
geforceerd d<strong>at</strong><br />
impact heeft op<br />
privégegev<strong>en</strong>s.<br />
Voor externe klant<strong>en</strong><br />
besta<strong>at</strong> eig<strong>en</strong> MDM<br />
Cli<strong>en</strong>t is verplicht,<br />
die forceert<br />
wachtwoord <strong>en</strong><br />
pincode.<br />
Ook op privégebruik,<br />
maar niet op<br />
privégegev<strong>en</strong>s.<br />
Nog niet, binn<strong>en</strong>kort<br />
MDM <strong>en</strong> MAM in de<br />
Pagina | 157
31. MDM firmware/OS<br />
check?<br />
32. <strong>Security</strong> software<br />
verplicht? Wie beheert,<br />
hoe besmetting<br />
voorkom<strong>en</strong>?<br />
33. DLP? Zakelijk of<br />
privé?<br />
34. Controle <strong>en</strong>/of<br />
bevoegdheid<br />
privégegev<strong>en</strong>s <strong>BYOD</strong>appara<strong>at</strong>?<br />
voor is. MDM kan<br />
risico’s beter<br />
mitiger<strong>en</strong>.<br />
N.v.t., wel w<strong>en</strong>s<br />
voor toekomst.<br />
Niet verplicht, wel<br />
gew<strong>en</strong>st. Met MDM<br />
in toekomst meer<br />
mogelijkhed<strong>en</strong>.<br />
Werk<strong>en</strong> in Citrix<br />
voorkomt deels<br />
besmetting. Android<br />
is kwetsbaar,<br />
daarom gescheid<strong>en</strong><br />
Wifi netwerk<strong>en</strong>.<br />
Nee, niet mogelijk<br />
want ge<strong>en</strong> MDM.<br />
Met remote<br />
wipe/block hebb<strong>en</strong><br />
we controle over<br />
privégegev<strong>en</strong>s.<br />
Echter ge<strong>en</strong> inzage.<br />
overzicht, mitig<strong>at</strong>ie<br />
van risico’s <strong>en</strong><br />
controle op <strong>BYOD</strong>appar<strong>at</strong><strong>en</strong>.<br />
Nu in<br />
fase MDMpakketselectie.<br />
nog niet. Verwacht d<strong>at</strong><br />
MDM/MAM grootste<br />
deel van risico’s kan<br />
mitiger<strong>en</strong> of<br />
voorkom<strong>en</strong>.<br />
Ja, wordt mogelijk. MDM zal d<strong>at</strong> initieel op<br />
vrij e<strong>en</strong>voudig niveau<br />
mogelijk mak<strong>en</strong>.<br />
Nog in ontwikkeling.<br />
Voor Apple’s iOS<br />
niet nodig, Android<br />
devices wel. Wordt<br />
via MDM mogelijk<br />
verplicht <strong>en</strong><br />
gepushed, ITafdeling<br />
is dan<br />
verantwoordelijke<br />
voor beheer.<br />
Zie vraag 9 <strong>en</strong> 12.<br />
Ja, <strong>BYOD</strong> is e<strong>en</strong><br />
vorm van DLP.<br />
Nog in ontwikkeling<br />
<strong>en</strong> niet definitief<br />
vastgesteld.<br />
Waarschijnlijk<br />
beperking op<br />
Voorlopig nog niet, <strong>bij</strong><br />
eerste versie van MDM<br />
nog in de<br />
kinderscho<strong>en</strong><strong>en</strong>. Komt<br />
l<strong>at</strong>er. Wordt dan via<br />
MDM gemanaged <strong>en</strong><br />
gepushed.<br />
Ja, do<strong>en</strong> aan DLP.<br />
Komt ook in<br />
toekomstige MDM<br />
voor. MDM dwingt<br />
security compliance<br />
dan af. DLP zal<br />
middels MDM alle<strong>en</strong><br />
voor zakelijk geld<strong>en</strong>.<br />
Bevoegdheid om te<br />
verwijder<strong>en</strong>. Zal met<br />
MDM beter<br />
onderscheid kunn<strong>en</strong><br />
mak<strong>en</strong>.<br />
<strong>en</strong> MAM software. Is<br />
ook beschikbaar voor<br />
eig<strong>en</strong> werknemers,<br />
maar wordt niet<br />
gebruikt.<br />
Ja, de MDM maakt<br />
id<strong>en</strong>tific<strong>at</strong>ie van<br />
aangepast firmware<br />
<strong>en</strong> OS mogelijk.<br />
Bij eig<strong>en</strong> <strong>en</strong><br />
corpor<strong>at</strong>e laptops<br />
wel, tablets <strong>en</strong><br />
smartphones niet.<br />
Werknemers zijn zelf<br />
verantwoordelijk voor<br />
beheer <strong>en</strong><br />
voorkom<strong>en</strong> van<br />
besmetting.<br />
Nee, wordt wel over<br />
nagedacht.<br />
Medewerkers zijn<br />
daar zelf<br />
verantwoordelijk<br />
voor.<br />
Ge<strong>en</strong> controle, ge<strong>en</strong><br />
bevoegdheid.<br />
vorm van het Air<br />
W<strong>at</strong>ch pakket. MDM<br />
biedt betere<br />
beveiliging.<br />
Kan nu nog niet, met<br />
nieuwe MDM wel.<br />
Bij Android<br />
appar<strong>at</strong><strong>en</strong> wordt het<br />
wel verplicht, maar is<br />
het nu nog niet.<br />
Organis<strong>at</strong>ie stelt<br />
antivirus software<br />
beschikbaar <strong>en</strong><br />
neemt beheer ervan<br />
op zich.<br />
Wordt nog niet aan<br />
DLP gedaan.<br />
Alle<strong>en</strong> remote<br />
wipe/block. Inzicht of<br />
manipul<strong>at</strong>ie van<br />
gegev<strong>en</strong>s op<br />
appara<strong>at</strong> is niet<br />
Pagina | 158
35. Wanneer bevoegdheid<br />
<strong>en</strong>/of controle<br />
uitoef<strong>en</strong><strong>en</strong>?<br />
36. Privégegev<strong>en</strong>s<br />
afscherm<strong>en</strong> hierteg<strong>en</strong>?<br />
37. Hoe voorkom<strong>en</strong><br />
inzicht of manipul<strong>at</strong>ie<br />
privégegev<strong>en</strong>s?<br />
38. Wanneer remote<br />
wipe/block?<br />
privégebruik zoals<br />
blokker<strong>en</strong> bepaalde<br />
sites vanuit<br />
corpor<strong>at</strong>e<br />
infrastructuur.<br />
Vermist of gestol<strong>en</strong>. Nog niet definitief<br />
vastgesteld.<br />
Nee, niet mogelijk. Nog niet definitief<br />
vastgesteld, maar<br />
zal kunn<strong>en</strong> door<br />
d<strong>at</strong>a te versleutel<strong>en</strong>.<br />
Heeft IT-afdeling<br />
ge<strong>en</strong> zegg<strong>en</strong>schap<br />
over namelijk.<br />
Niet te voorkom<strong>en</strong>,<br />
maar inzicht of<br />
manipul<strong>at</strong>ie van<br />
privégegev<strong>en</strong>s is nu<br />
niet mogelijk. Met<br />
MDM wel.<br />
O.a. <strong>bij</strong> melding<br />
vermist/gestol<strong>en</strong> of<br />
verzoek van<br />
medewerker zelf.<br />
Nog niet te<br />
voorkom<strong>en</strong>, alle<strong>en</strong><br />
bevoegd<strong>en</strong> hebb<strong>en</strong><br />
toegang tot MDM.<br />
Uit di<strong>en</strong>st tred<strong>en</strong>,<br />
fraude of misbruik,<br />
diefstal of<br />
vermissing. Nog niet<br />
definitief<br />
vastgesteld.<br />
Wanneer organis<strong>at</strong>ie<br />
d<strong>en</strong>kt d<strong>at</strong> het nodig is,<br />
zoals diefstal, verlies<br />
of ontslag.<br />
Ja, door appara<strong>at</strong> niet<br />
te verbind<strong>en</strong> met<br />
Internet. Met MDM<br />
meer mogelijkhed<strong>en</strong><br />
<strong>en</strong> controle hierover.<br />
Kan niet word<strong>en</strong><br />
voorkom<strong>en</strong>. Tracer<strong>en</strong><br />
wel.<br />
Bij goede red<strong>en</strong>, zijn<br />
niet gedefinieerd.<br />
Bij opdracht vanuit<br />
top van de<br />
organis<strong>at</strong>ie. Dit is wel<br />
uitzonderlijk.<br />
mogelijk.<br />
Bij diefstal of verlies.<br />
Dan volgt remote<br />
wipe wanneer het<br />
gemeld is <strong>bij</strong> ITafdeling.<br />
Simkaart of<br />
gekoppelde di<strong>en</strong>st<strong>en</strong><br />
word<strong>en</strong> dan<br />
geblokkeerd.<br />
Zie vraag 35, n.v.t. Nee, <strong>bij</strong> remote wipe<br />
zijn ook<br />
privégegev<strong>en</strong>s weg.<br />
Werknemer moet zelf<br />
voor goede backup<br />
zorg<strong>en</strong>.<br />
Niet te voorkom<strong>en</strong>,<br />
eig<strong>en</strong> ag<strong>en</strong>t werkt<br />
niet op iPad. Op<br />
andere <strong>BYOD</strong> is<br />
ag<strong>en</strong>t niet verplicht<br />
<strong>en</strong> dus ook niet<br />
aanwezig.<br />
Niet mogelijk want<br />
daar is eig<strong>en</strong> ag<strong>en</strong>t<br />
voor nodig. Die is<br />
vrijwel nooit<br />
geïnstalleerd.<br />
Dit is niet te<br />
voorkom<strong>en</strong>. Eig<strong>en</strong><br />
device, eig<strong>en</strong><br />
verantwoordelijkheid.<br />
Met name <strong>bij</strong><br />
verlor<strong>en</strong> of gestol<strong>en</strong><br />
appara<strong>at</strong>.<br />
Pagina | 159
39. Onderscheid zakelijk<br />
<strong>en</strong> privé <strong>bij</strong> remote<br />
wipe/block?<br />
40. Procedure verlor<strong>en</strong> of<br />
gestol<strong>en</strong> <strong>BYOD</strong>-appara<strong>at</strong>?<br />
41. Spanningsveld<strong>en</strong><br />
<strong>BYOD</strong>-security?<br />
42. Ma<strong>at</strong>regel<strong>en</strong> inbreuk<br />
<strong>privacy</strong> door <strong>BYOD</strong>beleid?<br />
Nee, is er niet. Ja, wanneer MDM is<br />
geïmplem<strong>en</strong>teerd.<br />
Nu nog niet<br />
mogelijk.<br />
Werknemer meldt,<br />
ICT-afdeling voert<br />
remote wipe/block<br />
uit.<br />
Nee, slechts vrag<strong>en</strong><br />
vanuit de<br />
organis<strong>at</strong>ie.<br />
Nee, nog niet. We<br />
vind<strong>en</strong> <strong>privacy</strong> dan<br />
ook ondergeschikt<br />
aan security.<br />
Zie vraag 38, nog in<br />
ontwikkeling.<br />
Remote wipe/block<br />
is d<strong>en</strong>kbaar <strong>bij</strong><br />
vermissing <strong>en</strong><br />
gestol<strong>en</strong> appara<strong>at</strong>,<br />
of uit di<strong>en</strong>sttreding.<br />
Ge<strong>en</strong><br />
spanningsveld<strong>en</strong>,<br />
<strong>BYOD</strong> nog niet<br />
officieel toegestaan.<br />
<strong>BYOD</strong> nog niet<br />
officieel toegestaan,<br />
dus per definitie<br />
niet. Wordt wel over<br />
nagedacht om<br />
zakelijk <strong>en</strong> privé<br />
goed te scheid<strong>en</strong> om<br />
inbreuk op <strong>privacy</strong><br />
in de toekomst te<br />
voorkom<strong>en</strong>. Zoals<br />
door de<br />
ondernemingsraad.<br />
Nu nog niet, wel <strong>bij</strong><br />
implem<strong>en</strong>t<strong>at</strong>ie MDM.<br />
Nog niet bek<strong>en</strong>d of het<br />
dan e<strong>en</strong> selectieve of<br />
remote wipe wordt.<br />
Werknemer meldt,<br />
auth<strong>en</strong>tic<strong>at</strong>ie van<br />
werknemer. Remote<br />
wipe geïnitieerd.<br />
Appara<strong>at</strong> ga<strong>at</strong> uit<br />
whitelist.<br />
Niet bek<strong>en</strong>d <strong>en</strong>/of<br />
nooit tot str<strong>at</strong>egisch<br />
niveau geëscaleerd.<br />
Wanneer de MDM er<br />
komt in 2013 wel.<br />
Meer selectieve wipe<br />
van alle<strong>en</strong> zakelijke<br />
gegev<strong>en</strong>s. Nu<br />
technisch nog<br />
onmogelijk.<br />
Zie vraag 38, niet<br />
mogelijk.<br />
Medewerker moet<br />
zelf de koppeling<br />
tuss<strong>en</strong> de clouddi<strong>en</strong>st<br />
<strong>en</strong> gestol<strong>en</strong><br />
appara<strong>at</strong> ongedaan<br />
mak<strong>en</strong>. Zelf oploss<strong>en</strong><br />
dus.<br />
Nee, juist omd<strong>at</strong><br />
niets wordt<br />
geforceerd vanuit de<br />
organis<strong>at</strong>ie.<br />
Er is ge<strong>en</strong> sprake van<br />
inbreuk op de <strong>privacy</strong><br />
van werknemers, dus<br />
ook ge<strong>en</strong><br />
ma<strong>at</strong>regel<strong>en</strong> nodig<br />
om d<strong>at</strong> te<br />
voorkom<strong>en</strong>.<br />
Nu nog niet mogelijk,<br />
in de toekomst wel<br />
gew<strong>en</strong>st.<br />
M<strong>en</strong> belt met ITafdeling,<br />
die stuurt<br />
remote wipe signaal.<br />
Appara<strong>at</strong> moet met<br />
internet verbond<strong>en</strong><br />
zijn <strong>en</strong> cli<strong>en</strong>t hebb<strong>en</strong><br />
geïnstalleerd.<br />
Nee, nog nooit.<br />
Keuze ligt ook <strong>bij</strong><br />
werknemer zelf <strong>en</strong><br />
dus weinig conflict<strong>en</strong>.<br />
Nee, ook niet van<br />
toepassing. Het is nu<br />
remote wipe, <strong>en</strong> dus<br />
alles of niets<br />
verwijder<strong>en</strong>. Dit is<br />
niet gecommuniceerd<br />
naar onze<br />
werknemers.<br />
43.1 Motiv<strong>at</strong>ie vraag 42 Zie vraag 42. Zie vraag 42. Zie vraag 42. Zie vraag 42. Zie vraag 42.<br />
43.2 Toekomstige<br />
ma<strong>at</strong>regel<strong>en</strong>?<br />
Ja, <strong>bij</strong> toekomstige<br />
implem<strong>en</strong>t<strong>at</strong>ie van<br />
MDM.<br />
Zie vraag 42. Zie vraag 42. Nee, want de vrijheid<br />
die werknemers<br />
hebb<strong>en</strong> met eig<strong>en</strong><br />
appar<strong>at</strong>uur zal alle<strong>en</strong><br />
Betere<br />
communic<strong>at</strong>ie, <strong>BYOD</strong><br />
ontmoedig<strong>en</strong> door<br />
zelf mobiele devices<br />
Pagina | 160
44.1 Beschrijf<br />
ma<strong>at</strong>regel<strong>en</strong>.<br />
44.2 Getroff<strong>en</strong><br />
ma<strong>at</strong>regel<strong>en</strong> effectief?<br />
45. Ontbrek<strong>en</strong>de<br />
aspect<strong>en</strong>?<br />
nog maar groter<br />
word<strong>en</strong> in de<br />
toekomst.<br />
beschikbaar te<br />
stell<strong>en</strong>. Extra regels<br />
toevoeg<strong>en</strong> aan<br />
standaard arbeidscontract<br />
m.b.t.<br />
<strong>privacy</strong>.<br />
Zie 42 <strong>en</strong> 43 Zie vraag 42. Zie vraag 42. Zie vraag 43.2. Zie vraag 43.2.<br />
N.v.t., zie 42 - 44.1 Zie vraag 42. Doel is<br />
om het effectief te<br />
mak<strong>en</strong>, anders<br />
ontstaan incid<strong>en</strong>t<strong>en</strong><br />
of spanningsveld<strong>en</strong>.<br />
Zie vraag 42. Zie vraag 43.2. Niet van toepassing.<br />
Nee Nee Nee Het is goed om ervan<br />
uit te gaan d<strong>at</strong> het<br />
systeem d<strong>at</strong> je<br />
gebruik, per definitie<br />
onveilig is <strong>en</strong> daarom<br />
te anticiper<strong>en</strong> op<br />
uitlekk<strong>en</strong> van<br />
gegev<strong>en</strong>s. Support<br />
<strong>bij</strong> <strong>BYOD</strong> blijft e<strong>en</strong><br />
interessant<br />
vraagstuk.<br />
46. Aanbeveling<strong>en</strong>? Nee Nee. <strong>BYOD</strong> is e<strong>en</strong> tr<strong>en</strong>d, zal<br />
richting CYOD gaan of<br />
andere<br />
tuss<strong>en</strong>variant<strong>en</strong>. Daar<br />
wellicht aandacht aan<br />
bested<strong>en</strong>. Kies <strong>bij</strong><br />
CYOD voor goede<br />
hardware, <strong>en</strong> niet de<br />
goedkoopste.<br />
Kijk e<strong>en</strong>s naar de<br />
juridische kant. Hoe<br />
zit het met de legaliteit<br />
van software op<br />
<strong>BYOD</strong> appar<strong>at</strong><strong>en</strong>?<br />
Wirwar van lokale<br />
wetgeving <strong>en</strong> lic<strong>en</strong>ties<br />
is interessant<br />
aandachtspunt.<br />
Lic<strong>en</strong>ties <strong>bij</strong> <strong>BYOD</strong>,<br />
loc<strong>at</strong>ion based<br />
security, <strong>BYOD</strong> zi<strong>en</strong><br />
als onderdeel van<br />
mobiel werk<strong>en</strong>. Rol<br />
<strong>en</strong> k<strong>en</strong>nis van<br />
support afdeling <strong>bij</strong><br />
<strong>BYOD</strong>. Rol <strong>en</strong><br />
mogelijkhed<strong>en</strong> van<br />
MDM zal to<strong>en</strong>em<strong>en</strong>.<br />
Let goed op Gartner,<br />
die hebb<strong>en</strong> al<br />
onderzoek gedaan<br />
naar MDM.<br />
Vasthoud<strong>en</strong> van<br />
werknemers door<br />
<strong>BYOD</strong>? Opslagloc<strong>at</strong>ie<br />
van gegev<strong>en</strong>s wordt<br />
steeds belangrijker.<br />
Pagina | 161
Bijlage 5: Interviewresult<strong>at</strong><strong>en</strong><br />
Interviewverslag 1: Consum<strong>en</strong>t<strong>en</strong>bond<br />
1. Algeme<strong>en</strong> deel met als doel het bepal<strong>en</strong> van de context.<br />
Vraag nr: Vraag Antwoord op<br />
VR-1<br />
A-1<br />
VR-2<br />
A-2<br />
VR-3<br />
A-3<br />
VR-4<br />
A-4<br />
VR-5<br />
A-5<br />
VR-6<br />
A-6<br />
VR-7<br />
Hoeveel werknemers telt uw organis<strong>at</strong>ie?<br />
200, met extern<strong>en</strong> er<strong>bij</strong> rond de 230 werknemers<br />
In welke sector opereert uw organis<strong>at</strong>ie?<br />
Non-profit, belang<strong>en</strong>behartiging, uitgeverij (adviesorganis<strong>at</strong>ie)<br />
Hoe groot is de IT-organis<strong>at</strong>ie (aantal medewerkers, aantal servers, aantal te<br />
beher<strong>en</strong> applic<strong>at</strong>ies, etc)?<br />
IT medewerkers: 12 interne medewerkers, 25 externe (inhuur)<br />
Servers: 40 – 45<br />
Applic<strong>at</strong>ies: 20 - 25<br />
Is <strong>BYOD</strong>-reeds geïmplem<strong>en</strong>teerd in uw organis<strong>at</strong>ie? Ja? Sinds wanneer? Nee,<br />
vanaf wanneer?<br />
Ja, maar beperkt. Eig<strong>en</strong> hardware mag niet op het producti<strong>en</strong>etwerk word<strong>en</strong><br />
aangeslot<strong>en</strong>. Alle<strong>en</strong> op het losse Wifi netwerk.<br />
In 2011 is de tr<strong>en</strong>d gesignaleerd d<strong>at</strong> medewerkers hun eig<strong>en</strong> appar<strong>at</strong><strong>en</strong><br />
wilde gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>. To<strong>en</strong> is als eerste ervoor gezorgd<br />
d<strong>at</strong> medewerkers mail kond<strong>en</strong> lez<strong>en</strong> op eig<strong>en</strong> appar<strong>at</strong>uur. In 2013 wordt<br />
<strong>BYOD</strong> grootschaliger <strong>en</strong> serieuzer toegestaan, ondersteund,<br />
geïmplem<strong>en</strong>teerd.<br />
Hoeveel medewerkers binn<strong>en</strong> uw organis<strong>at</strong>ie kom<strong>en</strong> in aanmerking voor<br />
<strong>BYOD</strong> of hoeveel mak<strong>en</strong> er daadwerkelijk gebruik van? Is er e<strong>en</strong> bepaalde<br />
m<strong>at</strong>e van zelfredzaamheid waar medewerkers aan moet<strong>en</strong> voldo<strong>en</strong> will<strong>en</strong> ze<br />
in aanmerking kunn<strong>en</strong> kom<strong>en</strong> voor <strong>BYOD</strong>?<br />
Iedere<strong>en</strong> mag van de IT-organis<strong>at</strong>ie aan <strong>BYOD</strong> do<strong>en</strong>, het is echter<br />
afhankelijk van de leidinggev<strong>en</strong>de of het ook daadwerkelijk mag. Onbek<strong>en</strong>d<br />
hoeveel er in de praktijk gebruik van mak<strong>en</strong>.<br />
Er is ge<strong>en</strong> m<strong>at</strong>e van zelfredzaamheid waar medewerkers aan moet<strong>en</strong><br />
voldo<strong>en</strong>. Uiteindelijk ligt de verantwoordelijkheid ook hier <strong>bij</strong> de<br />
leidinggev<strong>en</strong>de. Helaas blijk<strong>en</strong> leidinggev<strong>en</strong>d<strong>en</strong> veelal altijd autom<strong>at</strong>isch “Ja”<br />
te zegg<strong>en</strong>.<br />
W<strong>at</strong> is uw functie in de organis<strong>at</strong>ie?<br />
Hoofd ICT afdeling<br />
B<strong>en</strong>t u betrokk<strong>en</strong> geweest <strong>bij</strong> de totstandkoming van het <strong>BYOD</strong>-beleid, <strong>en</strong><br />
w<strong>at</strong> was uw rol daarin?<br />
Ja, ik b<strong>en</strong> betrokk<strong>en</strong> geweest <strong>bij</strong> het beleidsm<strong>at</strong>ige deel <strong>en</strong> de technische<br />
uitrol, met name <strong>bij</strong> het security aspect van <strong>BYOD</strong>. Mijn rol was adviser<strong>en</strong>d<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context
A-7 <strong>en</strong> uitvoer<strong>en</strong>d.<br />
VR-8<br />
A-8<br />
VR-9<br />
A-9<br />
B<strong>en</strong>t u goed op de hoogte van de inhoud van de <strong>BYOD</strong>-security, op zowel<br />
str<strong>at</strong>egisch (beleid) als tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau?<br />
Ja ik b<strong>en</strong> daar goed van op de hoogte, zowel het str<strong>at</strong>egische deel (beleid,<br />
voorwaard<strong>en</strong>, regels <strong>en</strong> afsprak<strong>en</strong>) <strong>en</strong> tactisch (de technische ma<strong>at</strong>regel<strong>en</strong>).<br />
W<strong>at</strong> was de belangrijkste motiv<strong>at</strong>ie om <strong>BYOD</strong>-te implem<strong>en</strong>ter<strong>en</strong>?<br />
De belangrijkste red<strong>en</strong> was om aan e<strong>en</strong> vraag vanuit de organis<strong>at</strong>ie te<br />
voldo<strong>en</strong>. We kond<strong>en</strong> het niet verkop<strong>en</strong> om <strong>BYOD</strong> niet toe te staan. Ik merkte<br />
d<strong>at</strong> werknemers graag <strong>en</strong> makkelijk op eig<strong>en</strong> appar<strong>at</strong>uur werk<strong>en</strong>.<br />
Voor e<strong>en</strong> deel was de motiv<strong>at</strong>ie tev<strong>en</strong>s zod<strong>at</strong> werknemers productiever zijn.<br />
E<strong>en</strong> Mac-gebruiker wordt niet vrolijk, of productiever, wanneer hij<br />
gedwong<strong>en</strong> de hele dag op e<strong>en</strong> Windows machine moet werk<strong>en</strong>. <strong>BYOD</strong> is e<strong>en</strong><br />
tr<strong>en</strong>d die niet teg<strong>en</strong> te houd<strong>en</strong> is, het zou raar zijn om d<strong>at</strong> te do<strong>en</strong>.<br />
2a. Vrag<strong>en</strong> m.b.t. Deelvraag 1: de totstandkoming <strong>en</strong> inhoud van de<br />
<strong>BYOD</strong>-security, <strong>en</strong> geïmplem<strong>en</strong>teerde security-ma<strong>at</strong>regel<strong>en</strong><br />
Pagina | 163<br />
Context<br />
Context<br />
Vraag nr: Vraag Antwoord op<br />
VR-10<br />
A-10<br />
VR-11<br />
A-11<br />
VR-12<br />
A-12<br />
Welke definitie wordt binn<strong>en</strong> uw organis<strong>at</strong>ie gehanteerd voor het <strong>BYOD</strong>concept?<br />
Onder <strong>BYOD</strong> versta ik d<strong>at</strong> werknemers zelf e<strong>en</strong> appara<strong>at</strong> mee nem<strong>en</strong> vanuit<br />
huis om daarmee Consum<strong>en</strong>t<strong>en</strong>bond gerel<strong>at</strong>eerd werk mee uit te voer<strong>en</strong> op<br />
ons kantoor.<br />
Ik zie d<strong>at</strong> <strong>BYOD</strong> toch ook wel heel erg lijkt op CYOD (Choose Your Own<br />
Device) waar<strong>bij</strong> de organis<strong>at</strong>ie weliswaar de hardware levert, maar de<br />
werknemer vrij is om er ook privé ding<strong>en</strong> op te do<strong>en</strong> <strong>en</strong> zett<strong>en</strong>. Ik d<strong>en</strong>k d<strong>at</strong><br />
werknemers CYOD dan ook wel als e<strong>en</strong> soort van secundaire<br />
arbeidsvoorwaard<strong>en</strong> zi<strong>en</strong>.<br />
Om welke red<strong>en</strong> heeft uw organis<strong>at</strong>ie overwog<strong>en</strong> om het <strong>BYOD</strong>-concept te<br />
onderzoek<strong>en</strong> <strong>en</strong> mogelijk te implem<strong>en</strong>ter<strong>en</strong>?<br />
Je kan het als ICT-afdeling niet teg<strong>en</strong>houd<strong>en</strong>, je moet niet te star zijn. We<br />
will<strong>en</strong> meegaan met de tr<strong>en</strong>ds, voor de organis<strong>at</strong>ie is dit belangrijk. Als de<br />
organis<strong>at</strong>ie <strong>en</strong> de business dit vraagt, dan volgt ICT-afdeling. En werknemers<br />
werk<strong>en</strong> prettiger op e<strong>en</strong> eig<strong>en</strong> appara<strong>at</strong>, als ze d<strong>at</strong> will<strong>en</strong>. Kost<strong>en</strong>besparing<br />
was ge<strong>en</strong> red<strong>en</strong> om <strong>BYOD</strong> toe te staan.<br />
Heeft u, of uw organis<strong>at</strong>ie onderzoek gedaan naar de voor- <strong>en</strong> nadel<strong>en</strong> van<br />
<strong>BYOD</strong> voorafgaand aan de implem<strong>en</strong>t<strong>at</strong>ie ervan? Welke voor- <strong>en</strong> nadel<strong>en</strong><br />
kwam<strong>en</strong> naar vor<strong>en</strong> a.d.h.v. dit vooronderzoek?<br />
Ja, er is onderzoek naar gedaan. Daar zijn we al e<strong>en</strong> tijdje mee bezig, met<br />
name op technisch vlak. We hebb<strong>en</strong> e<strong>en</strong> SWOT-analyse uitgevoerd, de<br />
risico’s in kaart gebracht. Het security-aspect <strong>en</strong> het beleid is pas l<strong>at</strong>er<br />
gekom<strong>en</strong>. Eerst hebb<strong>en</strong> we techniek onderzocht, daarna pas de security.<br />
Uit dan onderzoek kwam ook naar vor<strong>en</strong> d<strong>at</strong> de beheerkost<strong>en</strong> omhoog<br />
zoud<strong>en</strong> gaan. Als ieder zijn eig<strong>en</strong> appara<strong>at</strong> me<strong>en</strong>eemt <strong>en</strong> daar soms de<br />
helpdesk <strong>bij</strong> nodig heeft, is d<strong>at</strong> e<strong>en</strong> extra belasting van deze helpdesk. De<br />
helpdesk heeft bov<strong>en</strong>di<strong>en</strong> meer k<strong>en</strong>nis nodig van veel verschill<strong>en</strong>de devices,<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
VR-13<br />
A-13<br />
VR-14<br />
A-14<br />
kost ook tijd <strong>en</strong> geld. De richtlijn zal voor de helpdesk zal zijn om tot e<strong>en</strong><br />
zekere hoogte in die k<strong>en</strong>nisopbouw mee te gaan. Feit blijft d<strong>at</strong> de paar<br />
helpdeskmedewerkers vaak niet veel meer wet<strong>en</strong> dan de werknemers zelf<br />
van zijn eig<strong>en</strong> appara<strong>at</strong>.<br />
Hoe heeft uw organis<strong>at</strong>ie, voorafgaand aan de daadwerkelijke accept<strong>at</strong>ie <strong>en</strong><br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept, geanticipeerd op mogelijke extra<br />
risico’s <strong>en</strong> m.b.t. de inform<strong>at</strong>iebeveiliging?<br />
Ja, d<strong>en</strong>k aan d<strong>at</strong> email op e<strong>en</strong> persoonlijk appara<strong>at</strong> door iemand anders<br />
wordt gelez<strong>en</strong>. Die kans sch<strong>at</strong> ik echter niet heel groot in.<br />
E<strong>en</strong> ander risico is d<strong>at</strong> e<strong>en</strong> werknemer gevoelige d<strong>at</strong>a, of alle d<strong>at</strong>a, van het<br />
interne netwerk me<strong>en</strong>eemt. Dit is echter niet inher<strong>en</strong>t aan <strong>BYOD</strong>, kan ook al<br />
lange tijd met o.a. e<strong>en</strong> USB-stick.<br />
Daarom heeft elke werknemer (beperkte) recht<strong>en</strong>. Zo kunn<strong>en</strong> ze niet <strong>bij</strong><br />
bestand<strong>en</strong> waar ze niet hoev<strong>en</strong> te kom<strong>en</strong>. Hiermee voorkom<strong>en</strong> we dus d<strong>at</strong><br />
iedere<strong>en</strong> zomaar alle gevoelige bestand<strong>en</strong> kan kopiër<strong>en</strong> <strong>en</strong> me<strong>en</strong>em<strong>en</strong>.<br />
Verder hebb<strong>en</strong> we e<strong>en</strong> sterker wachtwoordbeleid gehanteerd, met e<strong>en</strong> vooraf<br />
opgestelde m<strong>at</strong>e van complexiteit <strong>en</strong> vernieuwingsperiode. Bov<strong>en</strong>di<strong>en</strong> mag<br />
het wachtwoord niet lijk<strong>en</strong> op, of hetzelfde zijn, als eerdere wachtwoord<strong>en</strong>.<br />
Helaas is het voor iedere<strong>en</strong>, met e<strong>en</strong> portable keylogger, mogelijk om<br />
iemands wachtwoord te achterhal<strong>en</strong>.<br />
Bov<strong>en</strong>di<strong>en</strong> is er e<strong>en</strong> accountblokkering wanneer iemand 7 keer zijn<br />
wachtwoord verkeerd intikt. Dit houdt ook e<strong>en</strong> D<strong>en</strong>ial of Service in wanneer<br />
iemand <strong>bij</strong>voorbeeld via de Webmail interface 7 keer expres e<strong>en</strong> verkeerd<br />
wachtwoord van de directeur intikt.<br />
Uiteraard mak<strong>en</strong> we backups, do<strong>en</strong> we aan remote block of wipe van e<strong>en</strong><br />
<strong>BYOD</strong> wanneer e<strong>en</strong>malig e<strong>en</strong> koppeling is gemaakt met de Exchange<br />
mailserver. We verplicht<strong>en</strong> ge<strong>en</strong> beveiligingspakket of virusscanner op <strong>BYOD</strong><br />
devices. De Exchange-koppeling van eig<strong>en</strong> appar<strong>at</strong><strong>en</strong> hebb<strong>en</strong> we overig<strong>en</strong>s<br />
uitgeschakeld voor extern<strong>en</strong>.<br />
Verder do<strong>en</strong> we ook ge<strong>en</strong> check op de firmware, het besturingssysteem, van<br />
<strong>BYOD</strong> appar<strong>at</strong><strong>en</strong>. Daar hebb<strong>en</strong> we te weinig k<strong>en</strong>nis voor in huis. Voor de<br />
toekomst staan dit wel op de planning, is belangrijk.<br />
Speciaal voor <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> hebb<strong>en</strong> we e<strong>en</strong> str<strong>en</strong>ger wachtwoordbeleid<br />
dan voor niet-<strong>BYOD</strong> appar<strong>at</strong><strong>en</strong>.<br />
Voor de toekomst will<strong>en</strong> we d<strong>at</strong> iedere<strong>en</strong> met e<strong>en</strong> eig<strong>en</strong> appara<strong>at</strong>, die<br />
zakelijke werkzaamhed<strong>en</strong> daarop verricht, e<strong>en</strong> set met voorwaard<strong>en</strong> moet<br />
tek<strong>en</strong><strong>en</strong>.<br />
Daarnaast is er wel goed gekek<strong>en</strong> naar <strong>BYOD</strong>-security (het beleid), maar is<br />
dit door tijd tekort nog niet goed geïmplem<strong>en</strong>teerd.<br />
Er is nog weinig wet<strong>en</strong>schappelijke k<strong>en</strong>nis m.b.t. <strong>BYOD</strong> <strong>en</strong> de effect<strong>en</strong><br />
daarvan op organis<strong>at</strong>ies, inform<strong>at</strong>iebeveiliging <strong>en</strong> werknemers. Op basis<br />
waarvan heeft u invulling gegev<strong>en</strong> aan uw huidige <strong>BYOD</strong>-security?<br />
Eig<strong>en</strong> onderzoek, trial-and-error. Er is deels gekek<strong>en</strong> naar andere<br />
organis<strong>at</strong>ies, maar daar is niet veel uitgekom<strong>en</strong>. Uiteraard is gekek<strong>en</strong> naar<br />
g<strong>en</strong>erieke security van mobiele appar<strong>at</strong><strong>en</strong>. Dit bleek toch e<strong>en</strong> andere zaak<br />
i.v.m. de beperkte recht<strong>en</strong> van gebruikers. Er is ook gekek<strong>en</strong> naar Citrix<br />
omgeving<strong>en</strong> <strong>en</strong> e<strong>en</strong> Virtuele Desktop Infrastructuur (VDI), om aan te bied<strong>en</strong><br />
aan <strong>BYOD</strong>-werknemers.<br />
Pagina | 164<br />
Deelvraag 1<br />
Deelvraag 1
VR-15<br />
A-15<br />
VR-16<br />
A-16<br />
VR-17<br />
A-17<br />
VR-18<br />
A-18<br />
VR-19<br />
A-19<br />
VR-20<br />
A-20<br />
VR-21<br />
Welke afdeling<strong>en</strong> <strong>en</strong> medewerkers zijn betrokk<strong>en</strong> geweest <strong>bij</strong> de<br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept <strong>en</strong> de inform<strong>at</strong>iebeveiliging daar<br />
omhe<strong>en</strong>?<br />
De ICT-afdeling (ICT-specialist<strong>en</strong>)<br />
Kunt u gedetailleerd beschrijv<strong>en</strong> hoe d<strong>at</strong> proces, de totstandkoming van de<br />
<strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ie <strong>en</strong> de inform<strong>at</strong>iebeveiliging daaromhe<strong>en</strong>, tot stand is<br />
gekom<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie?<br />
De werknemers, business <strong>en</strong> de organis<strong>at</strong>ie in het algeme<strong>en</strong> vroeg<strong>en</strong> erom.<br />
M<strong>en</strong>s<strong>en</strong> nam<strong>en</strong> steeds meer hun eig<strong>en</strong> smartphone mee <strong>en</strong> verzocht<strong>en</strong> de<br />
ICT-afdeling (helpdesk) of ze die kond<strong>en</strong> gebruik<strong>en</strong> voor o.a. zakelijke mail.<br />
De ICT afdeling heeft na het signaler<strong>en</strong> van deze tr<strong>en</strong>d, in opdracht van het<br />
managem<strong>en</strong>t gekek<strong>en</strong> naar w<strong>at</strong> mogelijk is, <strong>en</strong> welk beleid gevoerd moet<br />
word<strong>en</strong>. D<strong>at</strong> beleid moet nu nog wel beter word<strong>en</strong> ingezet. De technische<br />
ma<strong>at</strong>regel<strong>en</strong> die nu zijn ingesteld, zijn basaal <strong>en</strong> kunn<strong>en</strong> nog wel beter. Op<br />
dit mom<strong>en</strong>t is het <strong>en</strong>ige controlemiddel de remote wipe/block. D<strong>at</strong> is e<strong>en</strong><br />
paard<strong>en</strong>middel, maar er is nog niets beters voorhand<strong>en</strong>.<br />
Hoe wijkt de inform<strong>at</strong>iebeveiliging m.b.t. de implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>concept<br />
binn<strong>en</strong> uw organis<strong>at</strong>ie af van die <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong> die ge<strong>en</strong><br />
eig<strong>en</strong>dom zijn van de werknemers, maar uw IT-afdeling?<br />
Daar zit niet heel veel verschil in. Iets ander wachtwoordbeleid <strong>bij</strong> <strong>BYOD</strong>.<br />
<strong>BYOD</strong> devices kunn<strong>en</strong> niet direct <strong>bij</strong> het producti<strong>en</strong>etwerk. De ICT-afdeling<br />
heeft meer controle over de laptop van de zaak, want beperkte recht<strong>en</strong> voor<br />
de gebruiker. Bov<strong>en</strong>di<strong>en</strong> is het appara<strong>at</strong> van de organis<strong>at</strong>ie, dus volledige<br />
zegg<strong>en</strong>schap.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van het<br />
security-beleid d<strong>at</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie wordt gehanteerd m.b.t. <strong>BYOD</strong>?<br />
Het (<strong>BYOD</strong>) security-beleid wordt jaarlijks geëvalueerd, door e<strong>en</strong> externe<br />
partij (audit). Voorafgaand aan de audit wordt het huidige security-beleid<br />
nog e<strong>en</strong>s doorg<strong>en</strong>om<strong>en</strong>. Na advies van de auditor wordt het security beleid<br />
aangepast. Bij incid<strong>en</strong>t<strong>en</strong>, ad hoc-ontwikkeling<strong>en</strong>, wordt het beleid daarop<br />
direct aangepast, wordt niet gewacht tot jaarlijkse audit. In het geval van<br />
<strong>BYOD</strong> werd dus direct het beleid aangepast.<br />
Hoe effectief is dit security-beleid?<br />
Dit beleid is effectief, maar <strong>bij</strong> <strong>BYOD</strong> is het niet effectief g<strong>en</strong>oeg <strong>en</strong> sta<strong>at</strong> dit<br />
beleid nog teveel in de kinderscho<strong>en</strong><strong>en</strong>. Bij laptop van de zaak is het beleid<br />
goed. Het is echter niet-pro-actief, maar reactief.<br />
Pas wanneer we e<strong>en</strong> dedic<strong>at</strong>ed security-officer hier zoud<strong>en</strong> krijg<strong>en</strong>, zal d<strong>at</strong><br />
beleid pas proactief word<strong>en</strong>.<br />
Wordt in dit security-beleid ook voorgeschrev<strong>en</strong> d<strong>at</strong> bepaalde software<br />
(apps) wel/niet gebruikt mag word<strong>en</strong>?<br />
Nee. Er sta<strong>at</strong> dus ook niet d<strong>at</strong> het verbod<strong>en</strong> is om je device te<br />
jailbreak<strong>en</strong>/root<strong>en</strong>. Heel vrij beleid dus.<br />
In het huidige algem<strong>en</strong>e “beleid” sta<strong>at</strong> vrij g<strong>en</strong>eriek d<strong>at</strong> je op werk-PC’s<br />
algeme<strong>en</strong> ge<strong>en</strong> illegale software mag installer<strong>en</strong>. Bij <strong>BYOD</strong> sta<strong>at</strong> er niets<br />
specifieks over.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van de<br />
(technische) security-ma<strong>at</strong>regel<strong>en</strong> die binn<strong>en</strong> uw organis<strong>at</strong>ie zijn<br />
geïmplem<strong>en</strong>teerd m.b.t. <strong>BYOD</strong>?<br />
Pagina | 165<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
A-21 Remote wipe/block is de belangrijkste. Daarnaast wordt het appara<strong>at</strong><br />
gelocked na e<strong>en</strong> aantal minut<strong>en</strong> inactiviteit, alle<strong>en</strong> met de juiste 4 cijferige<br />
pincode is die lock op te heff<strong>en</strong>.<br />
VR-22<br />
A-22<br />
VR-23<br />
A-23<br />
VR-24<br />
A-24<br />
VR-25<br />
A-25<br />
Ander<strong>en</strong> technische security-ma<strong>at</strong>regel<strong>en</strong> <strong>bij</strong> <strong>BYOD</strong> zijn wel onderzocht,<br />
maar blijk<strong>en</strong> voor nu lastig te implem<strong>en</strong>ter<strong>en</strong>.<br />
We realiser<strong>en</strong> ons d<strong>at</strong> met de juiste Mobile Device Managem<strong>en</strong>t (MDM)<br />
software meer technische security-ma<strong>at</strong>regel<strong>en</strong> mogelijk zijn. Meer controle<br />
op <strong>bij</strong>voorbeeld de juiste firmware <strong>bij</strong> de <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong>. Bij voldo<strong>en</strong>de tijd<br />
<strong>en</strong> geld komt er e<strong>en</strong> MDM.<br />
Hoe effectief zijn deze security-ma<strong>at</strong>regel<strong>en</strong>?<br />
De remote wipe/block (killswitch noem ik d<strong>at</strong>) is zeer effectief.<br />
Zelfs te effectief, want echt alles is van het appara<strong>at</strong>, <strong>en</strong> dus ook<br />
privébestand<strong>en</strong>. E<strong>en</strong> e<strong>en</strong>malige koppeling met de Exchange-server zorgt<br />
voor e<strong>en</strong> complete controle over het <strong>BYOD</strong>-appara<strong>at</strong>. Dit is e<strong>en</strong> lastige<br />
discussie, e<strong>en</strong> lastig onderwerp. Het verschil tuss<strong>en</strong> privé <strong>en</strong> werk vervaagt<br />
steeds meer, <strong>en</strong> daar<strong>bij</strong> dus ook de controle van de organis<strong>at</strong>ie.<br />
Kan met deze security-ma<strong>at</strong>regel<strong>en</strong> ook word<strong>en</strong> afgedwong<strong>en</strong> welke<br />
software (apps) wel/niet gebruikt kan word<strong>en</strong> door ze op afstand te<br />
verwijder<strong>en</strong> of blokker<strong>en</strong>?<br />
Nee, d<strong>at</strong> kan niet. We kunn<strong>en</strong> wel de koppeling tuss<strong>en</strong> het <strong>BYOD</strong>-appara<strong>at</strong><br />
<strong>en</strong> onze Exchange-server verwijder<strong>en</strong>. Maar dan sta<strong>at</strong> de mail, inclusief alle<br />
<strong>bij</strong>lag<strong>en</strong> nog gewoon op het appara<strong>at</strong>. Met MDM software wordt dit wel<br />
mogelijk, daarom is d<strong>at</strong> voor onze organis<strong>at</strong>ie e<strong>en</strong> interessante optie om in<br />
2013 te verk<strong>en</strong>n<strong>en</strong>. Maar ook met MDM-software blijft het lastig, welke<br />
app/software mag wel, welke niet, welke versie wel/niet. Ga je dan<br />
blacklist<strong>en</strong> of juist whitelist<strong>en</strong>? Allemaal zak<strong>en</strong> waar we dan over na moet<strong>en</strong><br />
d<strong>en</strong>k<strong>en</strong>.<br />
Stelt uw organis<strong>at</strong>ie ook zelf software (apps) beschikbaar?<br />
Nee, ge<strong>en</strong> apps <strong>en</strong> ge<strong>en</strong> software. Zodra Office voor de iPad er is, zal ik wel<br />
adviser<strong>en</strong> aan het managem<strong>en</strong>t om d<strong>at</strong> beschikbaar te stell<strong>en</strong> voor<br />
werknemers. Voor Android zoud<strong>en</strong> we graag beveiligingssoftware verplicht<br />
will<strong>en</strong> stell<strong>en</strong> <strong>en</strong> in de toekomst, met MDM, will<strong>en</strong> push<strong>en</strong> naar die<br />
appar<strong>at</strong><strong>en</strong>. Bij iOS hoeft d<strong>at</strong> niet, want d<strong>at</strong> is van zichzelf al e<strong>en</strong> geslot<strong>en</strong> <strong>en</strong><br />
dus veiliger systeem. Het geslot<strong>en</strong> systeem van iPad is e<strong>en</strong> voordeel voor<br />
behoud<strong>en</strong>de karakter van de Consum<strong>en</strong>t<strong>en</strong>bond.<br />
Welke aanpassing<strong>en</strong> aan het security-beleid <strong>en</strong> technische securityma<strong>at</strong>regel<strong>en</strong><br />
in het kader van <strong>BYOD</strong> zou u <strong>bij</strong> e<strong>en</strong> volg<strong>en</strong>de herzi<strong>en</strong>ing will<strong>en</strong><br />
doorvoer<strong>en</strong>? En waarom?<br />
MDM-software aanschaff<strong>en</strong> <strong>en</strong> gebruik<strong>en</strong> voor alle <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong>. We<br />
will<strong>en</strong> meer controle over apps <strong>en</strong> firmware, zie het als e<strong>en</strong> doorstart van de<br />
remote wipe/block mogelijkheid. MDM biedt betere bescherming teg<strong>en</strong><br />
beveiligingsrisico’s van <strong>BYOD</strong>.<br />
Het goed inricht<strong>en</strong> van e<strong>en</strong> MDM zal ook tijd kost<strong>en</strong>, nu ligt onze prioriteit <strong>bij</strong><br />
de uitrol van Windows 7 op de werkst<strong>at</strong>ions <strong>en</strong> verbeter<strong>en</strong> van het draadloze<br />
netwerk waar o.a. <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> gebruik van kunn<strong>en</strong> mak<strong>en</strong>.<br />
Ik zie verder graag e<strong>en</strong> nieuwe functie verschijn<strong>en</strong>. Iemand die echt tuss<strong>en</strong><br />
de ICT <strong>en</strong> de business zit, die twee zitt<strong>en</strong> nu nog niet op 1 lijn. Business is<br />
leading, ICT volgt. Er moet dus e<strong>en</strong> koppelstuk kom<strong>en</strong> tuss<strong>en</strong> de<br />
str<strong>at</strong>egische doelstelling<strong>en</strong> van de Consum<strong>en</strong>t<strong>en</strong>bond <strong>en</strong> de ICT.<br />
Pagina | 166<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
2b. Vrag<strong>en</strong> m.b.t. Deelvraag 2: <strong>privacy</strong>problem<strong>en</strong> van medewerkers door<br />
de gekoz<strong>en</strong> <strong>BYOD</strong>-security<br />
Vraag nr: Vraag Antwoord op<br />
VR-26<br />
A-26<br />
VR-27<br />
A-27<br />
VR-28<br />
A-28<br />
VR-29<br />
A-29<br />
VR-30<br />
A-30<br />
VR-31<br />
A-31<br />
Zijn er voorwaard<strong>en</strong> waar uw werknemers mee akkoord moet<strong>en</strong> gaan<br />
voord<strong>at</strong> ze gebruik kunn<strong>en</strong> mak<strong>en</strong> van het <strong>BYOD</strong>-concept binn<strong>en</strong> uw<br />
organis<strong>at</strong>ie? Kunt u deze voorwaard<strong>en</strong> op hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Die voorwaard<strong>en</strong> zijn er wel, zoals akkoord gaan met de remote wipe/block.<br />
Maar die voorwaard<strong>en</strong> zi<strong>en</strong> ze niet op het appara<strong>at</strong>, ze word<strong>en</strong> daar dus niet<br />
goed gecommuniceerd met de gebruiker. Wel sta<strong>at</strong> er op het Intranet e<strong>en</strong><br />
stukje tekst over. Er mist nu e<strong>en</strong> duidelijke akkoord-knop waar ze op moet<strong>en</strong><br />
drukk<strong>en</strong>, of e<strong>en</strong> handtek<strong>en</strong>ing die ze erg<strong>en</strong>s moet<strong>en</strong> pla<strong>at</strong>s<strong>en</strong>.<br />
W<strong>at</strong> gebeurt er wanneer e<strong>en</strong> medewerker niet akkoord ga<strong>at</strong> met deze<br />
voorwaard<strong>en</strong>, maar wel de eig<strong>en</strong> hardware (met daarop eig<strong>en</strong> software) wil<br />
gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>?<br />
Dan krijgt hij/zij ge<strong>en</strong> toegang tot de Exchange-mailserver, maar wel tot<br />
Wifi. Verder kan hij niet inlogg<strong>en</strong> op de Citrix-omgeving, want hij/zij krijgt<br />
ge<strong>en</strong> security-tok<strong>en</strong> als er niet getek<strong>en</strong>d wordt.<br />
Welke technische security-ma<strong>at</strong>regel<strong>en</strong> zorg<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie, in de<br />
context van het <strong>BYOD</strong>-concept voor id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie<br />
van de werknemers-eig<strong>en</strong> hardware op het bedrijfsnetwerk? Kunt u deze<br />
ma<strong>at</strong>regel<strong>en</strong> in hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Bij Exchange alle<strong>en</strong> Windows username <strong>en</strong> password. En n<strong>at</strong>uurlijk de<br />
verplichte 4-cijferige pincode op je eig<strong>en</strong> appara<strong>at</strong> zodra je e<strong>en</strong> koppeling<br />
met de Exchange-server hebt gemaakt.<br />
Hebb<strong>en</strong> deze technische security-ma<strong>at</strong>regel<strong>en</strong> alle<strong>en</strong> invloed op de zakelijke<br />
applic<strong>at</strong>ies, mogelijkhed<strong>en</strong> <strong>en</strong> (toegang tot) bedrijfsgegev<strong>en</strong>s? Of hebb<strong>en</strong> ze<br />
ook invloed op het privégebruik, privésoftware (apps) <strong>en</strong> privégegev<strong>en</strong>s van<br />
de werknemer?<br />
In principe alle<strong>en</strong> zakelijk. De remote wipe/block (de killswitch) heeft echter<br />
ook invloed op privé d<strong>at</strong>a, bestand<strong>en</strong> <strong>en</strong> foto’s. Bov<strong>en</strong>di<strong>en</strong> heeft de 4cijferige<br />
pincode ook invloed op gebruik van het <strong>BYOD</strong>-appara<strong>at</strong> buit<strong>en</strong><br />
werktijd<strong>en</strong>.<br />
Maakt uw organis<strong>at</strong>ie gebruik van Mobile Device Managem<strong>en</strong>t (MDM) of<br />
Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t (MAM) software om <strong>BYOD</strong>-hardware, <strong>en</strong> de<br />
software (apps) <strong>en</strong> gegev<strong>en</strong>s daarop, te beveilig<strong>en</strong> <strong>en</strong> beher<strong>en</strong>? Zo Ja, hoe<br />
effectief is dit? Zo Nee, waarom niet?<br />
Nee, d<strong>at</strong> hebb<strong>en</strong> we niet, maar will<strong>en</strong> we wel <strong>en</strong> zal er in de toekomst ook<br />
wel kom<strong>en</strong>. Met MDM-software verwacht ik de <strong>BYOD</strong>-beveiliging naar e<strong>en</strong><br />
hoger niveau te kunn<strong>en</strong> till<strong>en</strong>. Nog ge<strong>en</strong> budget voor vrijgemaakt <strong>en</strong><br />
prioriteit<strong>en</strong> ligg<strong>en</strong> nu <strong>bij</strong> Windows 7 migr<strong>at</strong>ie <strong>en</strong> draadloos netwerk.<br />
Is deze Mobile Device Managem<strong>en</strong>t software in sta<strong>at</strong> om te controler<strong>en</strong> of<br />
het besturingssysteem of de firmware van de <strong>BYOD</strong>-hardware aangepast is<br />
zod<strong>at</strong> software <strong>en</strong> functionaliteit toegevoegd kan word<strong>en</strong> die oorspronkelijk<br />
niet door de fabrikant is toegestaan? (Jailbreak<strong>en</strong>/Root<strong>en</strong>)<br />
Nog niet van toepassing, want ge<strong>en</strong> MDM. Maar d<strong>at</strong> is voor ons in de<br />
toekomst wel de bedoeling d<strong>at</strong> de MDM dit kan. Het zal zelfs e<strong>en</strong> eis word<strong>en</strong><br />
<strong>bij</strong> de pakketselectie. Want we kunn<strong>en</strong> nog zoveel security-ma<strong>at</strong>regel<strong>en</strong><br />
Pagina | 167<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
VR-32<br />
A-32<br />
VR-33<br />
A-33<br />
VR-34<br />
A-34<br />
VR-35<br />
A-35<br />
VR-36<br />
A-36<br />
hanter<strong>en</strong>, met e<strong>en</strong> gejailbreakte iPad glipp<strong>en</strong> werknemers onder die securityma<strong>at</strong>regel<strong>en</strong><br />
door.<br />
Volg<strong>en</strong>s rec<strong>en</strong>te vakliter<strong>at</strong>uur kan mobile malware e<strong>en</strong> grote bedreiging<br />
vorm<strong>en</strong> voor vertrouwelijke bedrijfsgegev<strong>en</strong>s op <strong>BYOD</strong>-hardware. Zijn uw<br />
werknemers daarom verplicht om mobile security software te installer<strong>en</strong>? Zo<br />
Ja, wie is dan verantwoordelijk voor upd<strong>at</strong>es, p<strong>at</strong>ches <strong>en</strong> e<strong>en</strong> optimale<br />
bescherming? Zo Nee, hoe voorkomt uw organis<strong>at</strong>ie dan d<strong>at</strong> <strong>BYOD</strong>-hardware<br />
besmet raakt met malware <strong>en</strong> vertrouwelijke bedrijfsgegev<strong>en</strong>s (<strong>en</strong> privé<br />
gegev<strong>en</strong>s) daardoor in verkeerde hand<strong>en</strong> vall<strong>en</strong>?<br />
Nee, d<strong>at</strong> zijn ze niet verplicht. Het is echter wel gew<strong>en</strong>st. Met MDM software<br />
in de toekomst hebb<strong>en</strong> we daar meer overzicht <strong>en</strong> controle op <strong>en</strong> kunn<strong>en</strong> het<br />
zelfs verplicht push<strong>en</strong> naar de <strong>BYOD</strong>-devices.<br />
Nu werk<strong>en</strong> werknemers nog via de Citrix-omgeving, die wordt als best veilig<br />
gezi<strong>en</strong>. Het is e<strong>en</strong> afgeschermde omgeving met e<strong>en</strong> voorgeïnstalleerde<br />
virusscanner. Maar er wordt <strong>bij</strong>voorbeeld niet gecontroleerd of de computer<br />
waar de Citrix-cli<strong>en</strong>t op draait, wel e<strong>en</strong> beveiligingspakket heeft.<br />
Mobile malware zi<strong>en</strong> we zeker als e<strong>en</strong> risico, met name <strong>bij</strong> het op<strong>en</strong> Android<br />
besturingssysteem. Onder andere daarom hebb<strong>en</strong> we nu ook twee<br />
gescheid<strong>en</strong> netwerk<strong>en</strong>, het Wifi netwerk <strong>en</strong> e<strong>en</strong> producti<strong>en</strong>etwerk.<br />
Binn<strong>en</strong> de context van het <strong>BYOD</strong>-concept, doet uw organis<strong>at</strong>ie aan D<strong>at</strong>a<br />
Leakage Protection (DLP)? D<strong>en</strong>k hier<strong>bij</strong> aan <strong>en</strong>cryptie van het interne<br />
geheug<strong>en</strong> <strong>en</strong>/of verwisselbare opslag. Zo Ja, omv<strong>at</strong> dit dan alle<strong>en</strong> zakelijke<br />
of ook privé gegev<strong>en</strong>s? Zo Nee, waarom niet?<br />
Nee, d<strong>at</strong> is nog niet mogelijk, want we hebb<strong>en</strong> ge<strong>en</strong> MDM. DLP sta<strong>at</strong> ook niet<br />
in het huidige beleid rondom <strong>BYOD</strong>. Medewerkers stell<strong>en</strong> we zelf<br />
verantwoordelijk voor het niet uitlekk<strong>en</strong> van gegev<strong>en</strong>s.<br />
Welke controle <strong>en</strong>/of bevoegdheid heeft uw organis<strong>at</strong>ie over de<br />
(privé)inform<strong>at</strong>ie die aanwezig is op de hardware die eig<strong>en</strong>dom is van de<br />
medewerker?<br />
We hebb<strong>en</strong> de remote wipe/block waarmee we alle d<strong>at</strong>a, ook privé, kunn<strong>en</strong><br />
verwijder<strong>en</strong> of ontoegankelijk mak<strong>en</strong>. We kunn<strong>en</strong> die privé-d<strong>at</strong>a echter niet<br />
inzi<strong>en</strong>. Deze bevoegdheid die de ICT-afdeling heeft om tot remote wipe/block<br />
over te gaan hebb<strong>en</strong> we stilzwijg<strong>en</strong>d gekreg<strong>en</strong> na e<strong>en</strong> bericht hierover op<br />
ons intranet. Het klopt d<strong>at</strong> werknemers hier niet expliciet akkoord mee gaan.<br />
Kunt u beschrijv<strong>en</strong> wanneer, <strong>en</strong> in welke gevall<strong>en</strong> uw organis<strong>at</strong>ie deze<br />
controle <strong>en</strong> bevoegdheid kan <strong>en</strong> mag uitoef<strong>en</strong><strong>en</strong>?<br />
Wanneer e<strong>en</strong> <strong>BYOD</strong>-appara<strong>at</strong> als vermist of gestol<strong>en</strong> wordt opgegev<strong>en</strong>.<br />
Medewerkers moet<strong>en</strong> zelf met het initi<strong>at</strong>ief kom<strong>en</strong> om de remote wipe/block<br />
aan te vrag<strong>en</strong> <strong>bij</strong> de ICT-afdeling, ze kunn<strong>en</strong> het overig<strong>en</strong>s ook zelf do<strong>en</strong> via<br />
de webinterface van Exchange.<br />
Kunn<strong>en</strong> uw werknemers (privé)inform<strong>at</strong>ie op hardware, die ook wordt<br />
gebruikt voor zakelijke doeleind<strong>en</strong>, afscherm<strong>en</strong> teg<strong>en</strong> deze controle of<br />
bevoegdhed<strong>en</strong>?<br />
Nee, d<strong>at</strong> kunn<strong>en</strong> ze niet. Alle<strong>en</strong> als ze in de webinterface, <strong>bij</strong> de instelling<strong>en</strong><br />
van hun account, zelf de hele exchange koppeling weghal<strong>en</strong> kunn<strong>en</strong> ze de<br />
remote wipe/block omzeil<strong>en</strong>. Maar dan kunn<strong>en</strong> ze ook niet meer mail<strong>en</strong>.<br />
Bov<strong>en</strong>di<strong>en</strong> kunn<strong>en</strong> ze zelf hun <strong>BYOD</strong>, via de webinterface van Exchange,<br />
resett<strong>en</strong> of form<strong>at</strong>ter<strong>en</strong>.<br />
Wanneer e<strong>en</strong> ICT-medewerker e<strong>en</strong> Exchange-account van e<strong>en</strong> medewerker<br />
deactiveert, blijft echter de mogelijkheid bestaan om e<strong>en</strong> remote wip/block<br />
Pagina | 168<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
VR-37<br />
A-37<br />
VR-38<br />
A-38<br />
VR-39<br />
A-39<br />
VR-40<br />
A-40<br />
VR-41<br />
A-41<br />
uit te voer<strong>en</strong>. Als e<strong>en</strong> Exchange account definitief weg wordt gehaald, dan is<br />
de remote wipe/blok ook onmogelijk.<br />
Hoe voorkomt u d<strong>at</strong> (IT)medewerkers van de organis<strong>at</strong>ie software of<br />
gegev<strong>en</strong>s, die aanwezig zijn op de hardware van de medewerker, zonder<br />
toestemming kunn<strong>en</strong> inzi<strong>en</strong>, aanpass<strong>en</strong>, vergr<strong>en</strong>del<strong>en</strong>, kopiër<strong>en</strong> of<br />
verwijder<strong>en</strong>?<br />
D<strong>at</strong> kunn<strong>en</strong> we niet voorkom<strong>en</strong>, maar inzi<strong>en</strong>/aanpass<strong>en</strong>/kopiër<strong>en</strong> van deze<br />
d<strong>at</strong>a is nu sowieso niet mogelijk. Met MDM zou d<strong>at</strong> wel kunn<strong>en</strong>. Met e<strong>en</strong><br />
remote wipe/block kunn<strong>en</strong> we wel vergr<strong>en</strong>del<strong>en</strong> of ontoegankelijk mak<strong>en</strong>.<br />
Mocht e<strong>en</strong> IT-medewerker dit zonder toestemming toch do<strong>en</strong>, dan is het<br />
red<strong>en</strong> voor ontslag. Het liefst zi<strong>en</strong> we dan ook d<strong>at</strong> werknemers zelf remote<br />
wip<strong>en</strong>/block<strong>en</strong>. Daar moet dan nog wel e<strong>en</strong> handleiding voor geschrev<strong>en</strong><br />
word<strong>en</strong>. Ik zie graag d<strong>at</strong> werknemers zelfredzamer word<strong>en</strong>.<br />
Wanneer, <strong>en</strong> in welke gevall<strong>en</strong>, mag e<strong>en</strong> werknemer van uw IT-afdeling<br />
overgaan tot op afstand wiss<strong>en</strong> of blokker<strong>en</strong> van het werknemers-eig<strong>en</strong><br />
appara<strong>at</strong>?<br />
De werknemer meldt zijn eig<strong>en</strong> appara<strong>at</strong> als gestol<strong>en</strong> of gemist <strong>bij</strong> de ICTafdeling.<br />
Alle<strong>en</strong> als medewerker het zelf aangeeft <strong>en</strong> goedkeuring geeft voor<br />
remote wipe/block wordt dit door de ICT-afdeling uitgevoerd. Uitzondering<br />
zou zijn wanneer de directeur de opdracht geeft om e<strong>en</strong> <strong>BYOD</strong>-device van<br />
iemand anders te remote wip<strong>en</strong>/block<strong>en</strong>, dan zou de ICT-afdeling dit ook<br />
nog wel do<strong>en</strong>.<br />
Kan er <strong>bij</strong> op afstand wiss<strong>en</strong> of blokker<strong>en</strong> onderscheid gemaakt word<strong>en</strong><br />
tuss<strong>en</strong> software/gegev<strong>en</strong>s behor<strong>en</strong>de <strong>bij</strong> de organis<strong>at</strong>ie <strong>en</strong>erzijds of de<br />
eig<strong>en</strong>aar van de hardware, anderzijds?<br />
Nee, de killswitch is echt alles of niet. Of alle d<strong>at</strong>a <strong>en</strong> instelling<strong>en</strong> van het<br />
<strong>BYOD</strong>-appara<strong>at</strong>, of niets.<br />
Welk beleid, <strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong>, zijn <strong>bij</strong> uw organis<strong>at</strong>ie van toepassing<br />
wanneer e<strong>en</strong> werknemer hardware als verlor<strong>en</strong> of gestol<strong>en</strong> opgeeft, <strong>en</strong> waar<br />
bedrijfsgegev<strong>en</strong>s op staan of toegang daartoe?<br />
Heel simpel. Werknemer meldt <strong>en</strong> verzoekt tot remote wipe/block <strong>en</strong> de ICTafdeling<br />
voert hem uit. Omd<strong>at</strong> het e<strong>en</strong> paard<strong>en</strong>middel is moet de werknemer<br />
toestemming gev<strong>en</strong>. Privégegev<strong>en</strong>s zijn voor ons secundair, zakelijke<br />
gegev<strong>en</strong>s primair. De directeur kan wel <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> van werknemers<br />
l<strong>at</strong><strong>en</strong> remote wip<strong>en</strong>/block<strong>en</strong>, maar d<strong>at</strong> is echt e<strong>en</strong> uitzondering.<br />
Zijn er in het verled<strong>en</strong> spanningsveld<strong>en</strong> geweest m.b.t. de <strong>privacy</strong> van uw<br />
medewerkers als gevolg van uw <strong>BYOD</strong>-security?<br />
Nee, die zijn er niet geweest. Alle<strong>en</strong> e<strong>en</strong> aantal ICT-onderzoekers, zoals<br />
jijzelf, hebb<strong>en</strong> er vrag<strong>en</strong> (aan mij) over gesteld.<br />
Pagina | 169<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
2c. Vrag<strong>en</strong> m.b.t. Deelvraag 3: ma<strong>at</strong>regel<strong>en</strong> om de <strong>privacy</strong>problem<strong>en</strong> te<br />
voorkom<strong>en</strong><br />
Vraag nr: Vraag Antwoord op<br />
VR-42<br />
A-42<br />
VR-43.1<br />
A-43.1<br />
VR-43.2<br />
A-43.2<br />
VR-44.1<br />
A-44.1<br />
VR-44.2<br />
A-44.2<br />
Heeft uw organis<strong>at</strong>ie ma<strong>at</strong>regel<strong>en</strong> getroff<strong>en</strong> om inbreuk op de <strong>privacy</strong> van<br />
werknemers t<strong>en</strong> gevolge van de <strong>BYOD</strong>-security, te voorkom<strong>en</strong>?<br />
Nee, nog niet. We vind<strong>en</strong> <strong>privacy</strong> dan ook ondergeschikt aan security. Je<br />
d<strong>at</strong>a b<strong>en</strong> je gewoon kwijt als je eig<strong>en</strong> appara<strong>at</strong> gestol<strong>en</strong> of verlor<strong>en</strong> raakt.<br />
We hebb<strong>en</strong> niets met de <strong>privacy</strong> van do<strong>en</strong>.<br />
Werknemers verwacht<strong>en</strong> dan ook niet d<strong>at</strong> de ICT-afdeling mee kan kijk<strong>en</strong>,<br />
d<strong>en</strong>k ik. Ze wet<strong>en</strong> dan ook formeel niet d<strong>at</strong> de ICT-afdeling ge<strong>en</strong> toegang<br />
heeft tot hun privé gegev<strong>en</strong>s.<br />
Bij de implem<strong>en</strong>t<strong>at</strong>ie van MDM-software gaan we wel meer uitlegg<strong>en</strong> w<strong>at</strong> de<br />
ICT-organis<strong>at</strong>ie wel/niet kan <strong>en</strong> mag. Dan komt er ook meer inzicht in<br />
mogelijke ma<strong>at</strong>regel<strong>en</strong> <strong>en</strong> moet<strong>en</strong> werknemers dan ook expliciet<br />
toestemming gaan gev<strong>en</strong>.<br />
MDM is wellicht nu nog e<strong>en</strong> toekomstverhaal, het ga<strong>at</strong> er kom<strong>en</strong>. De<br />
Consum<strong>en</strong>t<strong>en</strong>bond wil meer duidelijkheid gaan bied<strong>en</strong> richting hun<br />
werknemers m.b.t. <strong>BYOD</strong>.<br />
Aangezi<strong>en</strong> de ICT-afdeling niets kan inzi<strong>en</strong> op de <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong>, is er in<br />
mijn optiek dus ge<strong>en</strong> sch<strong>en</strong>ding van <strong>privacy</strong> <strong>en</strong>/of e<strong>en</strong> <strong>privacy</strong>probleem.<br />
Zo Nee, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> waarom niet?<br />
Niet van toepassing, er is immers ge<strong>en</strong> sch<strong>en</strong>ding van de <strong>privacy</strong> van<br />
werknemers van de Consum<strong>en</strong>t<strong>en</strong>bond.<br />
Is uw organis<strong>at</strong>ie in de toekomst wel van plan om deze ma<strong>at</strong>regel<strong>en</strong> te<br />
overweg<strong>en</strong>?<br />
Ja, zie antwoord<strong>en</strong> op vraag 42 <strong>en</strong> 43.1. De Consum<strong>en</strong>t<strong>en</strong>bond ga<strong>at</strong> in de<br />
toekomst, <strong>bij</strong> implem<strong>en</strong>t<strong>at</strong>ie van MDM-software de werknemers meer <strong>en</strong><br />
beter informer<strong>en</strong> over w<strong>at</strong> <strong>en</strong> hoe de ICT-afdeling kan do<strong>en</strong> om de<br />
<strong>privacy</strong>problem<strong>en</strong> <strong>en</strong> sch<strong>en</strong>ding te voorkom<strong>en</strong>.<br />
Zo Ja, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong> dit zijn?<br />
Zie antwoord<strong>en</strong> op vrag<strong>en</strong> 42 <strong>en</strong> 43.<br />
Zijn de getroff<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> effectief in het oploss<strong>en</strong> van de<br />
<strong>privacy</strong>problem<strong>en</strong> van uw medewerkers?<br />
Er zijn ge<strong>en</strong> <strong>privacy</strong>problem<strong>en</strong>, zie antwoord<strong>en</strong> op vrag<strong>en</strong> 42 – 44. Bij<br />
toekomstige implem<strong>en</strong>t<strong>at</strong>ie van MDM-software zal het <strong>BYOD</strong>-beleid word<strong>en</strong><br />
herzi<strong>en</strong> <strong>en</strong> aangepast. Er zull<strong>en</strong> duidelijke afsprak<strong>en</strong> met de werknemers<br />
word<strong>en</strong> gemaakt.<br />
Pagina | 170<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3
3. Op<strong>en</strong> <strong>en</strong> afsluit<strong>en</strong>d deel: aspect<strong>en</strong> <strong>en</strong>/of aanbeveling<strong>en</strong> die tijd<strong>en</strong>s het<br />
interview niet aan bod zijn gekom<strong>en</strong>.<br />
Vraag nr: Vraag Antwoord op<br />
VR-45<br />
A-45<br />
VR-46<br />
A-46<br />
Zijn er nog aspect<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Nee, we zijn vrij uitgebreid geweest.<br />
Losse opmerking<strong>en</strong>:<br />
ICT wordt als kost<strong>en</strong>post gezi<strong>en</strong>. M<strong>en</strong> wil voor e<strong>en</strong> dubbeltje op de eerste<br />
rij, <strong>en</strong> d<strong>at</strong> biedt beperkt mogelijkhed<strong>en</strong>. Er is helaas ge<strong>en</strong> geld voor e<strong>en</strong><br />
gespecialiseerde security-officer.<br />
Slechts e<strong>en</strong> marginaal deel van het hele jaarbudget budget ga<strong>at</strong> naar ICT.<br />
De afgelop<strong>en</strong> tijd is d<strong>at</strong> jaarbudget dan ook elke keer minder geword<strong>en</strong>,<br />
terwijl de verwachting<strong>en</strong> <strong>en</strong> risico’s alle<strong>en</strong> maar groter word<strong>en</strong>.<br />
De ICT-afdeling moet zich steeds meer gaan profiler<strong>en</strong>, l<strong>at</strong><strong>en</strong> zi<strong>en</strong> w<strong>at</strong> ze<br />
waard zijn <strong>en</strong> d<strong>at</strong> ze de kost<strong>en</strong> rechtvaardig<strong>en</strong>.<br />
Zijn er nog aanbeveling<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Nee, alles is aan bod gekom<strong>en</strong> w<strong>at</strong> belangrijk is.<br />
Interviewverslag 2: E<strong>en</strong> grote verzekeringsma<strong>at</strong>schappij<br />
1. Algeme<strong>en</strong> deel met als doel het bepal<strong>en</strong> van de context.<br />
Overig<br />
Overig<br />
Vraag nr: Vraag Antwoord op<br />
VR-1<br />
A-1<br />
VR-2<br />
A-2<br />
VR-3<br />
A-3<br />
VR-4<br />
A-4<br />
Hoeveel werknemers telt uw organis<strong>at</strong>ie?<br />
Ongeveer 6000 werknemers<br />
In welke sector opereert uw organis<strong>at</strong>ie?<br />
Financieel, verzekering<strong>en</strong> <strong>en</strong> di<strong>en</strong>stverl<strong>en</strong>ing<br />
Hoe groot is de IT-organis<strong>at</strong>ie (aantal medewerkers, aantal servers, aantal te<br />
beher<strong>en</strong> applic<strong>at</strong>ies, etc)?<br />
IT-organis<strong>at</strong>ie: <strong>en</strong>kele honderd<strong>en</strong> werknemers<br />
Aantal servers: <strong>en</strong>kele honderd<strong>en</strong> servers<br />
Aantal te beher<strong>en</strong> applic<strong>at</strong>ies: <strong>en</strong>kele honderd<strong>en</strong> applic<strong>at</strong>ies<br />
Is <strong>BYOD</strong>-reeds geïmplem<strong>en</strong>teerd in uw organis<strong>at</strong>ie? Ja? Sinds wanneer? Nee,<br />
vanaf wanneer?<br />
Het is officieel nog niet geïmplem<strong>en</strong>teerd, er is wel e<strong>en</strong> verk<strong>en</strong>n<strong>en</strong>d project<br />
geïnitieerd. Het wordt wel oogluik<strong>en</strong>d gedoogd. Er wordt wel vaart achter<br />
gezet. Er zijn echter medewerkers die met ActiveSync mog<strong>en</strong> werk<strong>en</strong>, maar<br />
d<strong>at</strong> voldoet nog niet aan de policy waar NN breed naartoe wil.<br />
ActiveSync is de koppeling (protocol) tuss<strong>en</strong> de Exchange server <strong>en</strong> de<br />
cli<strong>en</strong>ts zoals iPhones, <strong>en</strong> iPads. ActiveSync kan e<strong>en</strong> e<strong>en</strong>voudig beleid<br />
afdwing<strong>en</strong> (pincode) <strong>en</strong> remote wipe uitvoer<strong>en</strong>.<br />
Pagina | 171<br />
Context<br />
Context<br />
Context<br />
Context
VR-5<br />
A-5<br />
VR-6<br />
A-6<br />
VR-7<br />
A-7<br />
VR-8<br />
A-8<br />
VR-9<br />
A-9<br />
Maar officieel mag het nog niet, het is gedoogd, maar het wordt niet<br />
uitgedrag<strong>en</strong> door de hele organis<strong>at</strong>ie om op je eig<strong>en</strong> device zakelijke mail<br />
binn<strong>en</strong>hal<strong>en</strong>.<br />
Hoeveel medewerkers binn<strong>en</strong> uw organis<strong>at</strong>ie kom<strong>en</strong> in aanmerking voor<br />
<strong>BYOD</strong> of hoeveel mak<strong>en</strong> er daadwerkelijk gebruik van? Is er e<strong>en</strong> bepaalde<br />
m<strong>at</strong>e van zelfredzaamheid waar medewerkers aan moet<strong>en</strong> voldo<strong>en</strong> will<strong>en</strong> ze<br />
in aanmerking kunn<strong>en</strong> kom<strong>en</strong> voor <strong>BYOD</strong>?<br />
Enkel<strong>en</strong>, het mag officieel ook niet. De pilotproject is selecte groep m<strong>en</strong>s<strong>en</strong>.<br />
2 e fase is naar meer medewerkers. Nu nog weinig werknemers. Het is niet<br />
toegestaan, wordt wel gedoogd.<br />
Officieel wordt het <strong>BYOD</strong>-concept nerg<strong>en</strong>s toegestaan. Als het verk<strong>en</strong>n<strong>en</strong>d<br />
project t<strong>en</strong> einde is, <strong>en</strong> wordt beslot<strong>en</strong> om door te gaan, dan meerdere<br />
m<strong>en</strong>s<strong>en</strong>.<br />
Er komt e<strong>en</strong> aparte werkgroep over het <strong>BYOD</strong>-beleid. Zowel HR als ICT zijn<br />
dan betrokk<strong>en</strong>, die zull<strong>en</strong> dan d<strong>en</strong>k<strong>en</strong> over o.a. de gedragscode, security, <strong>en</strong><br />
compliance-regels. NN is bank <strong>en</strong> verzekeringswez<strong>en</strong>, dan is d<strong>at</strong>abeveiliging<br />
nog extra belangrijk.<br />
Het is nog niet beslot<strong>en</strong> hoeveel medewerkers in aanmerking kom<strong>en</strong> voor<br />
<strong>BYOD</strong>. Medewerkers zull<strong>en</strong> zich moet<strong>en</strong> houd<strong>en</strong> aan de voorschrift<strong>en</strong> van het<br />
<strong>BYOD</strong> beleid (in ontwikkeling) om t.z.t. in aanmerking te kom<strong>en</strong> voor <strong>BYOD</strong>.<br />
W<strong>at</strong> is uw functie in de organis<strong>at</strong>ie?<br />
E<strong>en</strong> van de twee medewerkers van de CIO Office. CIO Office werkt voor de<br />
Chief Inform<strong>at</strong>ion Officier van NN.<br />
B<strong>en</strong>t u betrokk<strong>en</strong> geweest <strong>bij</strong> de totstandkoming van het <strong>BYOD</strong>-beleid, <strong>en</strong><br />
w<strong>at</strong> was uw rol daarin?<br />
Ja, ik b<strong>en</strong> betrokk<strong>en</strong> <strong>bij</strong> de huidige ontwikkeling van het <strong>BYOD</strong> beleid.<br />
Zie mij als kwartiermaker (verk<strong>en</strong>n<strong>en</strong>d). Er komt e<strong>en</strong> werkgroep waar ik<br />
mijn k<strong>en</strong>nis van het voortraject in zal meegev<strong>en</strong>. Met name security/risico-<br />
specialist<strong>en</strong> zull<strong>en</strong> met name het beleid bepal<strong>en</strong>.<br />
B<strong>en</strong>t u goed op de hoogte van de inhoud van de <strong>BYOD</strong>-security, op zowel<br />
str<strong>at</strong>egisch (beleid) als tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau?<br />
Ja, ik b<strong>en</strong> vrij goed op de hoogte van de security issues inzake <strong>BYOD</strong> op<br />
zowel beleidsm<strong>at</strong>ig als technisch niveau. De inhoudelijke details word<strong>en</strong><br />
ingevuld door de specialist<strong>en</strong> op dit gebied.<br />
W<strong>at</strong> was de belangrijkste motiv<strong>at</strong>ie om <strong>BYOD</strong>-te implem<strong>en</strong>ter<strong>en</strong>?<br />
Het uiteindelijke besluit rondom <strong>BYOD</strong> is nog niet g<strong>en</strong>om<strong>en</strong>, maar e<strong>en</strong><br />
belangrijke motiv<strong>at</strong>ie is om D<strong>at</strong>a Leakage te voorkom<strong>en</strong>. Er is <strong>bij</strong> NN<br />
uiteraard veel aan geleg<strong>en</strong> om de veiligheid <strong>en</strong> integriteit van gegev<strong>en</strong>s te<br />
waarborg<strong>en</strong>. En daarnaast innov<strong>at</strong>ie, want d<strong>at</strong> sta<strong>at</strong> hoog op de kal<strong>en</strong>der <strong>bij</strong><br />
NN. Ev<strong>en</strong>tuele voordel<strong>en</strong> van <strong>BYOD</strong> in productiviteit <strong>en</strong> kost<strong>en</strong> zijn secundair,<br />
slechts <strong>bij</strong>vangst.<br />
Pagina | 172<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context
2a. Vrag<strong>en</strong> m.b.t. Deelvraag 1: de totstandkoming <strong>en</strong> inhoud van de<br />
<strong>BYOD</strong>-security, <strong>en</strong> geïmplem<strong>en</strong>teerde security-ma<strong>at</strong>regel<strong>en</strong><br />
Vraag nr: Vraag Antwoord op<br />
VR-10<br />
A-10<br />
VR-11<br />
A-11<br />
VR-12<br />
A-12<br />
VR-13<br />
A-13<br />
VR-14<br />
Welke definitie wordt binn<strong>en</strong> uw organis<strong>at</strong>ie gehanteerd voor het <strong>BYOD</strong>concept?<br />
In concept is de definitie is als volgt geformuleerd: “With <strong>BYOD</strong> the device is<br />
owned by the employee and it is also used to store company d<strong>at</strong>a. <strong>BYOD</strong><br />
provides a secure way to manage company-owned inform<strong>at</strong>ion within a userowned<br />
device.”<br />
Er is ook Choose Your Own Device, corpor<strong>at</strong>e owned devices met daar ook<br />
privé gegev<strong>en</strong>s erop. Die mogelijkheid is voor NN ook interessant. Technisch<br />
weinig onderscheid met <strong>BYOD</strong>, het is vooral e<strong>en</strong> HR kwestie. De weg naar<br />
CYOD zie ik als evolutionair, we gaan eerst 1 soort device ondersteun<strong>en</strong> <strong>en</strong><br />
aanbied<strong>en</strong> (Apple iPad) <strong>en</strong> het jaar erna de volg<strong>en</strong>de, wellicht Android. Elk<br />
jaar is er dan meer keuze voor NN werknemers.<br />
Om welke red<strong>en</strong> heeft uw organis<strong>at</strong>ie overwog<strong>en</strong> om het <strong>BYOD</strong>-concept te<br />
onderzoek<strong>en</strong> <strong>en</strong> mogelijk te implem<strong>en</strong>ter<strong>en</strong>?<br />
Zie antwoord op vraag 9, D<strong>at</strong>a Leakage Prev<strong>en</strong>tion <strong>en</strong> Innov<strong>at</strong>ie. Ge<strong>en</strong><br />
productiviteit <strong>en</strong> kost<strong>en</strong>besparing.<br />
Heeft u, of uw organis<strong>at</strong>ie onderzoek gedaan naar de voor- <strong>en</strong> nadel<strong>en</strong> van<br />
<strong>BYOD</strong> voorafgaand aan de implem<strong>en</strong>t<strong>at</strong>ie ervan? Welke voor- <strong>en</strong> nadel<strong>en</strong><br />
kwam<strong>en</strong> naar vor<strong>en</strong> a.d.h.v. dit vooronderzoek?<br />
In aanvulling op het antwoord op vraag 9, het onderzoek naar de voor- <strong>en</strong><br />
nadel<strong>en</strong> van <strong>BYOD</strong> is al deels gedaan <strong>en</strong> de planvorming ter voorbereiding op<br />
de besluitvorming is gaande.<br />
Voordel<strong>en</strong><br />
Voorkom<strong>en</strong> d<strong>at</strong>a leakage, dus veiligheid<br />
Nadel<strong>en</strong><br />
Kost geld (technische oplossing bouw<strong>en</strong>, HR-afdeling moet aan de<br />
slag). Het is e<strong>en</strong> investering<br />
Mogelijk nieuwe risico’s introducer<strong>en</strong><br />
Hoe heeft uw organis<strong>at</strong>ie, voorafgaand aan de daadwerkelijke accept<strong>at</strong>ie <strong>en</strong><br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept, geanticipeerd op mogelijke extra<br />
risico’s <strong>en</strong> m.b.t. de inform<strong>at</strong>iebeveiliging?<br />
De risico’s met betrekking tot de inform<strong>at</strong>iebeveiliging word<strong>en</strong> door de<br />
inhoudelijke inbr<strong>en</strong>g van interne <strong>en</strong> externe security/<strong>BYOD</strong> specialist<strong>en</strong><br />
meeg<strong>en</strong>om<strong>en</strong>. Er zijn gesprekk<strong>en</strong> geweest met security m<strong>en</strong>s<strong>en</strong>, dit is<br />
gaande. Er zijn al discussies geweest <strong>bij</strong> deze security m<strong>en</strong>s<strong>en</strong>, maar nog<br />
ge<strong>en</strong> besluit g<strong>en</strong>om<strong>en</strong>.<br />
Er is nog weinig wet<strong>en</strong>schappelijke k<strong>en</strong>nis m.b.t. <strong>BYOD</strong> <strong>en</strong> de effect<strong>en</strong><br />
daarvan op organis<strong>at</strong>ies, inform<strong>at</strong>iebeveiliging <strong>en</strong> werknemers. Op basis<br />
waarvan heeft u invulling gegev<strong>en</strong> aan uw huidige <strong>BYOD</strong>-security?<br />
In het <strong>BYOD</strong>-beleid <strong>en</strong> de technische <strong>BYOD</strong>-oplossing zull<strong>en</strong> de te<br />
beschouw<strong>en</strong> security aspect<strong>en</strong> niet gebaseerd word<strong>en</strong> op de wet<strong>en</strong>schap,<br />
Pagina | 173<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
A-14 maar eerder op industriestandaard<strong>en</strong>, het advies van specialist<strong>en</strong> <strong>en</strong><br />
compliance-eis<strong>en</strong>.<br />
VR-15<br />
A-15<br />
VR-16<br />
A-16<br />
VR-17<br />
A-17<br />
VR-18<br />
A-18<br />
Technisch wordt de security <strong>bij</strong>voorbeeld geborgd met standaard<strong>en</strong> voor<br />
d<strong>at</strong><strong>at</strong>ransport zoals VPN <strong>en</strong> voor d<strong>at</strong>a-<strong>at</strong>-rest met docum<strong>en</strong>t-<strong>en</strong>cryptie.<br />
Beleidsm<strong>at</strong>ig wordt er <strong>bij</strong>voorbeeld van de medewerkers gevraagd om<br />
vertrouwelijk met gegev<strong>en</strong>s om te gaan.<br />
Ik heb zelf vooronderzoek gedaan, ge<strong>en</strong> wet<strong>en</strong>schappelijk vooronderzoek.<br />
Wel k<strong>en</strong>nis in brede zin opgedaan, welke leveranciers zijn er, w<strong>at</strong> bied<strong>en</strong> die<br />
voor product<strong>en</strong> aan, w<strong>at</strong> is hu argum<strong>en</strong>t om het te verkop<strong>en</strong>. En n<strong>at</strong>uurlijk<br />
aan welke veiligheidsaspect<strong>en</strong> <strong>en</strong> functionaliteit<strong>en</strong> die leveranciers dan<br />
hebb<strong>en</strong> gedacht. NN heeft wel contact met e<strong>en</strong> leverancier die als systemintegr<strong>at</strong>or<br />
werkt van organis<strong>at</strong>ies die <strong>BYOD</strong>-oplossing<strong>en</strong> bied<strong>en</strong>. Er is dus<br />
communic<strong>at</strong>ie met e<strong>en</strong> expert-organis<strong>at</strong>ie.<br />
Welke afdeling<strong>en</strong> <strong>en</strong> medewerkers zijn betrokk<strong>en</strong> geweest <strong>bij</strong> de<br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept <strong>en</strong> de inform<strong>at</strong>iebeveiliging daar<br />
omhe<strong>en</strong>?<br />
De implem<strong>en</strong>t<strong>at</strong>ie van <strong>BYOD</strong> concept vraagt de betrokk<strong>en</strong>heid van e<strong>en</strong> breed<br />
scala aan medewerkers <strong>en</strong> afdeling<strong>en</strong>, variër<strong>en</strong>d van IT-architect<strong>en</strong>, Risk,<br />
security, IT, afdeling die het l<strong>at</strong>er in beheer gaan nem<strong>en</strong>,<br />
projectmanagem<strong>en</strong>t, CIO <strong>en</strong> de directie. Heel breed dus.<br />
Kunt u gedetailleerd beschrijv<strong>en</strong> hoe d<strong>at</strong> proces, de totstandkoming van de<br />
<strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ie <strong>en</strong> de inform<strong>at</strong>iebeveiliging daaromhe<strong>en</strong>, tot stand is<br />
gekom<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie?<br />
Er was e<strong>en</strong> CIO die innov<strong>at</strong>ief is <strong>en</strong> <strong>BYOD</strong> verder wilde l<strong>at</strong><strong>en</strong> verk<strong>en</strong>n<strong>en</strong>. Na<br />
e<strong>en</strong> kort vooronderzoek is e<strong>en</strong> project opgericht, is e<strong>en</strong> projectvoorstel<br />
gemaakt <strong>en</strong> zijn er werkgroep<strong>en</strong> sam<strong>en</strong>gesteld die zich over o.a. het beleid<br />
gaan buig<strong>en</strong>. Uiteindelijk wordt gewerkt aan e<strong>en</strong> beslissingsstuk. D<strong>at</strong> was de<br />
ontwerpfase, daarna komt de implem<strong>en</strong>t<strong>at</strong>ie. Die is ook weer opgedeeld in<br />
e<strong>en</strong> pilot <strong>en</strong> grotere groep<strong>en</strong>. De CIO is de ankeiler geweest, hij is innov<strong>at</strong>ief<br />
van aard <strong>en</strong> dus ook “sponsor” van <strong>BYOD</strong>.<br />
Hoe wijkt de inform<strong>at</strong>iebeveiliging m.b.t. de implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>concept<br />
binn<strong>en</strong> uw organis<strong>at</strong>ie af van die <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong> die ge<strong>en</strong><br />
eig<strong>en</strong>dom zijn van de werknemers, maar uw IT-afdeling?<br />
Het concept achter <strong>BYOD</strong>-security <strong>en</strong> g<strong>en</strong>erieke security van mobiele<br />
appar<strong>at</strong><strong>en</strong>, zoals CYOD, is hetzelfde. Het moet alle<strong>en</strong> anders ingekopt<br />
word<strong>en</strong>. Het <strong>BYOD</strong> <strong>en</strong> CYOD concept word<strong>en</strong> dan ook beid<strong>en</strong> tegelijk in de<br />
planvorming meeg<strong>en</strong>om<strong>en</strong>.<br />
In concept is de CYOD definitie als volgt geformuleerd: The device is owned<br />
by the company and it is also used to store personal d<strong>at</strong>a. Main<br />
Requirem<strong>en</strong>t: “Provide a secure company-owned device which also has userowned<br />
inform<strong>at</strong>ion”.<br />
Door deze aanpak is het waarschijnlijk d<strong>at</strong> beide concept<strong>en</strong> aan dezelfde<br />
hoge security-eis<strong>en</strong> gaan voldo<strong>en</strong> <strong>en</strong> daarmee de huidige<br />
inform<strong>at</strong>iebeveiliging van mobiele appar<strong>at</strong><strong>en</strong> wordt herzi<strong>en</strong>.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van het<br />
security-beleid d<strong>at</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie wordt gehanteerd m.b.t. <strong>BYOD</strong>?<br />
Het security-beleid is nog in ontwikkeling. De hoofdpunt<strong>en</strong> zijn echter d<strong>at</strong> de<br />
d<strong>at</strong>a in transport veilig moet zijn, zoals met gebruik van e<strong>en</strong> VPN-verbinding.<br />
De d<strong>at</strong>a <strong>at</strong> rest moet veilig zijn, door o.a. sandboxing, <strong>en</strong>cryptie, pincode.<br />
Pagina | 174<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
VR-19<br />
A-19<br />
VR-20<br />
A-20<br />
VR-21<br />
A-21<br />
VR-22<br />
A-22<br />
VR-23<br />
A-23<br />
VR-24<br />
A-24<br />
VR-25<br />
Hoe effectief is dit security-beleid?<br />
Beleid is nog in ontwikkeling, maar de doelstelling is het om het zo effectief<br />
als mogelijk te krijg<strong>en</strong>.<br />
Wordt in dit security-beleid ook voorgeschrev<strong>en</strong> d<strong>at</strong> bepaalde software<br />
(apps) wel/niet gebruikt mag word<strong>en</strong>?<br />
Beleid is nog in ontwikkeling, maar in de aftrap naar officiële ondersteuning<br />
van <strong>BYOD</strong> <strong>bij</strong> de NN zull<strong>en</strong> zeker niet alle apps word<strong>en</strong> toegestaan <strong>en</strong><br />
ondersteund. In het begin zull<strong>en</strong> werknemers absoluut niet zomaar alles<br />
mog<strong>en</strong> do<strong>en</strong>. Er is echter nog niets beslot<strong>en</strong> t.o.v. de vrijheid van<br />
werknemers op <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong>.<br />
Ik zie <strong>BYOD</strong> in twee onderdel<strong>en</strong>, het privé deel <strong>en</strong> het zakelijke deel<br />
(sandbox). Binn<strong>en</strong> de sandbox bepaalt de organis<strong>at</strong>ie, d<strong>at</strong> is <strong>bij</strong>voorbeeld<br />
met MDM-software goed mogelijk. Ik b<strong>en</strong> dan ook voor e<strong>en</strong> hele strikte<br />
scheiding tuss<strong>en</strong> zakelijk <strong>en</strong> privé. Er komt <strong>bij</strong>voorbeeld ook e<strong>en</strong> remote<br />
selective wipe/block, met behulp van MDM-software. In de pilot nu, waar het<br />
ActiveSync protocol wordt gebruikt, is alle<strong>en</strong> e<strong>en</strong> volledige remote<br />
wipe/block mogelijk.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van de<br />
(technische) security-ma<strong>at</strong>regel<strong>en</strong> die binn<strong>en</strong> uw organis<strong>at</strong>ie zijn<br />
geïmplem<strong>en</strong>teerd m.b.t. <strong>BYOD</strong>?<br />
Beleid is nog in ontwikkeling, e<strong>en</strong> voorbeeld van e<strong>en</strong> ma<strong>at</strong>regel is remote<br />
selective wipe, waar<strong>bij</strong> op afstand de corpor<strong>at</strong>e d<strong>at</strong>a van e<strong>en</strong> device kan<br />
word<strong>en</strong> gewist. Bijvoorbeeld <strong>bij</strong> verlies van het device. E<strong>en</strong> ander voorbeeld<br />
van e<strong>en</strong> ma<strong>at</strong>regel is compliance detectie, waar<strong>bij</strong> <strong>bij</strong>voorbeeld kan word<strong>en</strong><br />
gecontroleerd of er ge<strong>en</strong> jailbreak is uitgevoerd op e<strong>en</strong> iPhone of iPad.<br />
Hoe effectief zijn deze security-ma<strong>at</strong>regel<strong>en</strong>?<br />
Erg effectief, de organis<strong>at</strong>ie houdt immers controle over zakelijke d<strong>at</strong>a. W<strong>at</strong><br />
betreft <strong>privacy</strong> is selective wipe van e<strong>en</strong> MDM veel effectiever dan e<strong>en</strong><br />
volledige wipe via ActiveSync. De technische <strong>en</strong> niet-technische securityma<strong>at</strong>regel<strong>en</strong><br />
word<strong>en</strong> zeer serieus g<strong>en</strong>om<strong>en</strong> door NN, zod<strong>at</strong> de veiligheid van<br />
d<strong>at</strong>a zo optimaal mogelijk is geborgd.<br />
Kan met deze security-ma<strong>at</strong>regel<strong>en</strong> ook word<strong>en</strong> afgedwong<strong>en</strong> welke<br />
software (apps) wel/niet gebruikt kan word<strong>en</strong> door ze op afstand te<br />
verwijder<strong>en</strong> of blokker<strong>en</strong>?<br />
Ja, t<strong>en</strong>minste binn<strong>en</strong> de sandbox omgeving (het corpor<strong>at</strong>e gedeelte). Binn<strong>en</strong><br />
privé gedeelte wordt ervan uitgegaan d<strong>at</strong> dit niet mogelijk is, los van<br />
compliance-check op e<strong>en</strong> aanpassing van de firmware (jailbreak). En daar<br />
kom je al vrij ver mee, elke firmware die niet valide is, wordt niet<br />
toegestaan.<br />
Stelt uw organis<strong>at</strong>ie ook zelf software (apps) beschikbaar?<br />
Zie antwoord op vraag 20. Ja, in de toekomstige functionaliteit zull<strong>en</strong> er<br />
zeker corpor<strong>at</strong>e apps beschikbaar word<strong>en</strong> gesteld. Er is nu al corpor<strong>at</strong>e<br />
software zoals verzekering-specifieke applic<strong>at</strong>ies. Die moet<strong>en</strong> eerst<br />
omgebouwd word<strong>en</strong> naar <strong>BYOD</strong> geschikte apps.<br />
Welke aanpassing<strong>en</strong> aan het security-beleid <strong>en</strong> technische securityma<strong>at</strong>regel<strong>en</strong><br />
in het kader van <strong>BYOD</strong> zou u <strong>bij</strong> e<strong>en</strong> volg<strong>en</strong>de herzi<strong>en</strong>ing will<strong>en</strong><br />
doorvoer<strong>en</strong>? En waarom?<br />
Het security beleid <strong>en</strong> de security ma<strong>at</strong>regel<strong>en</strong> word<strong>en</strong> voor de gehele<br />
Pagina | 175<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
A-25 toekomstige lev<strong>en</strong>sloop van <strong>BYOD</strong> gepland. D<strong>at</strong> is nu nog in ontwikkeling. Er<br />
wordt e<strong>en</strong> bepaalde vorm van str<strong>at</strong>egisch d<strong>en</strong>k<strong>en</strong> gehanteerd. W<strong>at</strong> wil je in<br />
de toekomst <strong>en</strong> w<strong>at</strong> kunn<strong>en</strong> we nu als eerste stap nem<strong>en</strong> om daar naartoe te<br />
werk<strong>en</strong>?<br />
Ik zie voor me d<strong>at</strong> de NN steeds meer soort<strong>en</strong> appar<strong>at</strong><strong>en</strong> ga<strong>at</strong> ondersteun<strong>en</strong>,<br />
zowel technisch als qua support. In e<strong>en</strong> herzi<strong>en</strong>ing kom<strong>en</strong> er dus meer<br />
pl<strong>at</strong>form<strong>en</strong> <strong>bij</strong>, waar e<strong>en</strong> pass<strong>en</strong>d beleid <strong>bij</strong> hoort. Zoals e<strong>en</strong> verplichte<br />
virusscanner voor <strong>bij</strong>voorbeeld Android appar<strong>at</strong><strong>en</strong>.<br />
We richt<strong>en</strong> ons eerst op de nieuwe g<strong>en</strong>er<strong>at</strong>ie mobiele appar<strong>at</strong><strong>en</strong>, zoals<br />
tablets <strong>en</strong> smartphones. In e<strong>en</strong> kom<strong>en</strong>de herzi<strong>en</strong>ing van beleid <strong>en</strong><br />
ma<strong>at</strong>regel<strong>en</strong> zull<strong>en</strong> we ons dan ook focuss<strong>en</strong> op de laptops van werknemers.<br />
2b. Vrag<strong>en</strong> m.b.t. Deelvraag 2: <strong>privacy</strong>problem<strong>en</strong> van medewerkers door<br />
de gekoz<strong>en</strong> <strong>BYOD</strong>-security<br />
Vraag nr: Vraag Antwoord op<br />
VR-26<br />
A-26<br />
VR-27<br />
A-27<br />
VR-28<br />
A-28<br />
VR-29<br />
Zijn er voorwaard<strong>en</strong> waar uw werknemers mee akkoord moet<strong>en</strong> gaan<br />
voord<strong>at</strong> ze gebruik kunn<strong>en</strong> mak<strong>en</strong> van het <strong>BYOD</strong>-concept binn<strong>en</strong> uw<br />
organis<strong>at</strong>ie? Kunt u deze voorwaard<strong>en</strong> op hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Ja, zie antwoord op vraag 18, d<strong>at</strong> is nog in ontwikkeling. Op hoofdlijn<strong>en</strong> is de<br />
filosofie d<strong>at</strong>, ondanks alle technische ma<strong>at</strong>regel<strong>en</strong> die word<strong>en</strong> g<strong>en</strong>om<strong>en</strong>, om<br />
de veiligheid van d<strong>at</strong>a te waarborg<strong>en</strong>. NN medewerkers moet<strong>en</strong> altijd<br />
vertrouwelijk met d<strong>at</strong>a om gaan. Met andere woord<strong>en</strong>: de veiligheid van d<strong>at</strong>a<br />
moet op zowel technische als op niet-technisch vlak word<strong>en</strong> geregeld.<br />
De gedragscode zal zeker e<strong>en</strong> onderdeel van het van beleid zijn. De huidige<br />
gedragscode wordt teg<strong>en</strong> het licht gehoud<strong>en</strong> om te kijk<strong>en</strong> of het nog goed<br />
g<strong>en</strong>oeg is voor de nieuwe ontwikkeling<strong>en</strong> zoals <strong>BYOD</strong>.<br />
W<strong>at</strong> gebeurt er wanneer e<strong>en</strong> medewerker niet akkoord ga<strong>at</strong> met deze<br />
voorwaard<strong>en</strong>, maar wel de eig<strong>en</strong> hardware (met daarop eig<strong>en</strong> software) wil<br />
gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>?<br />
Bij ge<strong>en</strong> akkoord mag je niet je eig<strong>en</strong> hardware gebruik<strong>en</strong> <strong>en</strong> krijg je ge<strong>en</strong><br />
toegang tot bedrijfsgegev<strong>en</strong>s of infrastructuur.<br />
Welke technische security-ma<strong>at</strong>regel<strong>en</strong> zorg<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie, in de<br />
context van het <strong>BYOD</strong>-concept voor id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie<br />
van de werknemers-eig<strong>en</strong> hardware op het bedrijfsnetwerk? Kunt u deze<br />
ma<strong>at</strong>regel<strong>en</strong> in hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
De mogelijke implem<strong>en</strong>t<strong>at</strong>ie ligt nog op de tek<strong>en</strong>tafel. Technisch wordt de<br />
security <strong>bij</strong>voorbeeld geborgd met standaard<strong>en</strong> voor d<strong>at</strong><strong>at</strong>ransport zoals VPN<br />
<strong>en</strong> <strong>bij</strong> d<strong>at</strong>a-<strong>at</strong>-rest met docum<strong>en</strong>t-<strong>en</strong>cryptie. Hiervoor moet je o.a. e<strong>en</strong><br />
username <strong>en</strong> password invoer<strong>en</strong>. Er zal mogelijk gebruik word<strong>en</strong> gemaakt<br />
van e<strong>en</strong> tok<strong>en</strong>. Er zal e<strong>en</strong> opbouw in veiligheidsma<strong>at</strong>regel<strong>en</strong> te zi<strong>en</strong> zijn, die<br />
over de tijd g<strong>en</strong>om<strong>en</strong> word<strong>en</strong>.<br />
Hebb<strong>en</strong> deze technische security-ma<strong>at</strong>regel<strong>en</strong> alle<strong>en</strong> invloed op de zakelijke<br />
applic<strong>at</strong>ies, mogelijkhed<strong>en</strong> <strong>en</strong> (toegang tot) bedrijfsgegev<strong>en</strong>s? Of hebb<strong>en</strong> ze<br />
ook invloed op het privégebruik, privésoftware (apps) <strong>en</strong> privégegev<strong>en</strong>s van<br />
de werknemer?<br />
De mogelijke implem<strong>en</strong>t<strong>at</strong>ie ligt nog op de tek<strong>en</strong>tafel. Het is waarschijnlijk<br />
d<strong>at</strong> deze ma<strong>at</strong>regel<strong>en</strong> ge<strong>en</strong> invloed zull<strong>en</strong> hebb<strong>en</strong> op het privégebruik <strong>en</strong> de<br />
Pagina | 176<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
A-29 privésoftware, t<strong>en</strong>zij dit op bepaalde punt<strong>en</strong> niet voldoet aan de compliancerichtlijn<strong>en</strong><br />
of bedrijfsrisico’s met zich meebr<strong>en</strong>gt. Ik ga ervan uit d<strong>at</strong> privé <strong>en</strong><br />
zakelijk zeer strikt gescheid<strong>en</strong> word<strong>en</strong>, <strong>en</strong> dus ge<strong>en</strong> tot weinig ma<strong>at</strong>regel<strong>en</strong><br />
hoev<strong>en</strong> te word<strong>en</strong> g<strong>en</strong>om<strong>en</strong> om <strong>privacy</strong> te regel<strong>en</strong>.<br />
VR-30<br />
A-30<br />
VR-31<br />
A-31<br />
VR-32<br />
A-32<br />
VR-33<br />
A-33<br />
VR-34<br />
Maakt uw organis<strong>at</strong>ie gebruik van Mobile Device Managem<strong>en</strong>t (MDM) of<br />
Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t (MAM) software om <strong>BYOD</strong>-hardware, <strong>en</strong> de<br />
software (apps) <strong>en</strong> gegev<strong>en</strong>s daarop, te beveilig<strong>en</strong> <strong>en</strong> beher<strong>en</strong>? Zo Ja, hoe<br />
effectief is dit? Zo Nee, waarom niet?<br />
Nog niet, maar dit is voor NN de eerste stap m.b.t. <strong>BYOD</strong>. MDM geeft meer<br />
overzicht <strong>en</strong> controle over de werknemers-eig<strong>en</strong> appar<strong>at</strong><strong>en</strong> die aangeslot<strong>en</strong><br />
will<strong>en</strong> word<strong>en</strong> op de NN-infrastructuur <strong>en</strong> uiteindelijk betere bescherming <strong>en</strong><br />
mitig<strong>at</strong>ie van de gevar<strong>en</strong>. Technisch is e<strong>en</strong> MDM vrij e<strong>en</strong>voudig te<br />
implem<strong>en</strong>ter<strong>en</strong>. We zitt<strong>en</strong> nu in de fase van pakketselectie <strong>en</strong><br />
leveranciersselectie.<br />
Is deze Mobile Device Managem<strong>en</strong>t software in sta<strong>at</strong> om te controler<strong>en</strong> of<br />
het besturingssysteem of de firmware van de <strong>BYOD</strong>-hardware aangepast is<br />
zod<strong>at</strong> software <strong>en</strong> functionaliteit toegevoegd kan word<strong>en</strong> die oorspronkelijk<br />
niet door de fabrikant is toegestaan? (Jailbreak<strong>en</strong>/Root<strong>en</strong>)<br />
Ja, d<strong>at</strong> zal mogelijk zijn.<br />
Volg<strong>en</strong>s rec<strong>en</strong>te vakliter<strong>at</strong>uur kan mobile malware e<strong>en</strong> grote bedreiging<br />
vorm<strong>en</strong> voor vertrouwelijke bedrijfsgegev<strong>en</strong>s op <strong>BYOD</strong>-hardware. Zijn uw<br />
werknemers daarom verplicht om mobile security software te installer<strong>en</strong>? Zo<br />
Ja, wie is dan verantwoordelijk voor upd<strong>at</strong>es, p<strong>at</strong>ches <strong>en</strong> e<strong>en</strong> optimale<br />
bescherming? Zo Nee, hoe voorkomt uw organis<strong>at</strong>ie dan d<strong>at</strong> <strong>BYOD</strong>-hardware<br />
besmet raakt met malware <strong>en</strong> vertrouwelijke bedrijfsgegev<strong>en</strong>s (<strong>en</strong> privé<br />
gegev<strong>en</strong>s) daardoor in verkeerde hand<strong>en</strong> vall<strong>en</strong>?<br />
De mogelijke implem<strong>en</strong>t<strong>at</strong>ie ligt nog op de tek<strong>en</strong>tafel. Door het geslot<strong>en</strong><br />
systeem van iOS zal het voor die gebruikersgroep niet nodig/verplicht zijn<br />
om beveiligingssoftware op <strong>en</strong>d-point niveau te installer<strong>en</strong>. Bij Android is d<strong>at</strong><br />
e<strong>en</strong> ander verhaal, want e<strong>en</strong> volledig op<strong>en</strong> systeem. In de toekomst kunn<strong>en</strong><br />
we het via MDM-software verplicht mak<strong>en</strong> <strong>en</strong> push<strong>en</strong> naar de device. In d<strong>at</strong><br />
geval zal de IT-afdeling verantwoordelijk word<strong>en</strong> voor de upd<strong>at</strong>es <strong>en</strong><br />
p<strong>at</strong>ches.<br />
Het op<strong>en</strong> karakter kan ook e<strong>en</strong> red<strong>en</strong> zijn waarom we Android niet in de<br />
eerste <strong>BYOD</strong>-ronde me<strong>en</strong>em<strong>en</strong>. Teg<strong>en</strong> die tijd d<strong>at</strong> Android net zo volwass<strong>en</strong><br />
is als IOS, is het e<strong>en</strong> mooi mom<strong>en</strong>t om Android er<strong>bij</strong> te pakk<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong><br />
word<strong>en</strong> bewez<strong>en</strong> onveilige pl<strong>at</strong>form<strong>en</strong> g<strong>en</strong>egeerd om m<strong>en</strong>s<strong>en</strong> niet te<br />
stimuler<strong>en</strong> om ze te gebruik<strong>en</strong>.<br />
Binn<strong>en</strong> de context van het <strong>BYOD</strong>-concept, doet uw organis<strong>at</strong>ie aan D<strong>at</strong>a<br />
Leakage Protection (DLP)? D<strong>en</strong>k hier<strong>bij</strong> aan <strong>en</strong>cryptie van het interne<br />
geheug<strong>en</strong> <strong>en</strong>/of verwisselbare opslag. Zo Ja, omv<strong>at</strong> dit dan alle<strong>en</strong> zakelijke<br />
of ook privé gegev<strong>en</strong>s? Zo Nee, waarom niet?<br />
Zie antwoord op vraag 9 <strong>en</strong> 12. Het feit d<strong>at</strong> de NN bezig is met d<strong>en</strong>k<strong>en</strong> over<br />
<strong>BYOD</strong> is voor ons e<strong>en</strong> vorm van DLP. Daarnaast ga<strong>at</strong> het mogelijk word<strong>en</strong><br />
om alle<strong>en</strong> zakelijke gegev<strong>en</strong>s te versleutel<strong>en</strong> <strong>bij</strong> sandboxing <strong>en</strong> MDMsoftware.<br />
Welke controle <strong>en</strong>/of bevoegdheid heeft uw organis<strong>at</strong>ie over de<br />
(privé)inform<strong>at</strong>ie die aanwezig is op de hardware die eig<strong>en</strong>dom is van de<br />
medewerker?<br />
Dit is nog niet definitief vastgesteld. Hier is nog ge<strong>en</strong> strakke visie op, op dit<br />
Pagina | 177<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
A-34 mom<strong>en</strong>t. Zal de kom<strong>en</strong>de maand<strong>en</strong> nog verder word<strong>en</strong> belicht.<br />
VR-35<br />
A-35<br />
VR-36<br />
A-36<br />
VR-37<br />
A-37<br />
VR-38<br />
A-38<br />
VR-39<br />
A-39<br />
VR-40<br />
A-40<br />
VR-41<br />
We zoud<strong>en</strong> <strong>bij</strong> <strong>BYOD</strong>-devices <strong>bij</strong>voorbeeld bepaalde bezoek van bepaalde<br />
sites kunn<strong>en</strong> blokker<strong>en</strong>, zoals goksites. Dit kan belast<strong>en</strong>d zijn voor de NN. Er<br />
zal dus vanuit die hoek wel e<strong>en</strong> soort van limit<strong>at</strong>ie op privégebruik word<strong>en</strong><br />
gezet.<br />
Kunt u beschrijv<strong>en</strong> wanneer, <strong>en</strong> in welke gevall<strong>en</strong> uw organis<strong>at</strong>ie deze<br />
controle <strong>en</strong> bevoegdheid kan <strong>en</strong> mag uitoef<strong>en</strong><strong>en</strong>?<br />
Dit is nog niet definitief vastgesteld.<br />
Kunn<strong>en</strong> uw werknemers (privé)inform<strong>at</strong>ie op hardware, die ook wordt<br />
gebruikt voor zakelijke doeleind<strong>en</strong>, afscherm<strong>en</strong> teg<strong>en</strong> deze controle of<br />
bevoegdhed<strong>en</strong>?<br />
Ook dit is nog niet definitief vastgesteld. Maar het zal mogelijk zijn wanneer<br />
werknemers hun privé gegev<strong>en</strong>s versleutel<strong>en</strong>. De NN heeft weinig te zegg<strong>en</strong><br />
over of d<strong>at</strong> wel/niet mag namelijk.<br />
Hoe voorkomt u d<strong>at</strong> (IT)medewerkers van de organis<strong>at</strong>ie software of<br />
gegev<strong>en</strong>s, die aanwezig zijn op de hardware van de medewerker, zonder<br />
toestemming kunn<strong>en</strong> inzi<strong>en</strong>, aanpass<strong>en</strong>, vergr<strong>en</strong>del<strong>en</strong>, kopiër<strong>en</strong> of<br />
verwijder<strong>en</strong>?<br />
Voorkom<strong>en</strong> kan nog niet, maar alle<strong>en</strong> bevoegde medewerkers zull<strong>en</strong> toegang<br />
hebb<strong>en</strong> tot de MDM software waarmee dit mogelijk wordt. Er zal<br />
waarschijnlijk wel e<strong>en</strong> procedure kom<strong>en</strong> ter voorkoming van e<strong>en</strong> onbevoegde<br />
wipe van het zakelijke deel van e<strong>en</strong> <strong>BYOD</strong>-appara<strong>at</strong>.<br />
Wanneer, <strong>en</strong> in welke gevall<strong>en</strong>, mag e<strong>en</strong> werknemer van uw IT-afdeling<br />
overgaan tot op afstand wiss<strong>en</strong> of blokker<strong>en</strong> van het werknemers-eig<strong>en</strong><br />
appara<strong>at</strong>?<br />
Wanneer e<strong>en</strong> werknemer uit di<strong>en</strong>st treedt, of in geval van fraude of<br />
misbruik. Verder <strong>bij</strong> verlies of diefstal. Ook hier is het <strong>BYOD</strong> beleid nog in<br />
ontwikkeling. Bij verlies/diefstal zal er in ieder geval word<strong>en</strong> over gegaan op<br />
e<strong>en</strong> selective remote wipe van de corpor<strong>at</strong>e gegev<strong>en</strong>s. E<strong>en</strong> werknemer kan<br />
dan ook aangev<strong>en</strong> of hij/zij de privé gegev<strong>en</strong>s wil l<strong>at</strong><strong>en</strong> wiss<strong>en</strong>.<br />
Kan er <strong>bij</strong> op afstand wiss<strong>en</strong> of blokker<strong>en</strong> onderscheid gemaakt word<strong>en</strong><br />
tuss<strong>en</strong> software/gegev<strong>en</strong>s behor<strong>en</strong>de <strong>bij</strong> de organis<strong>at</strong>ie <strong>en</strong>erzijds of de<br />
eig<strong>en</strong>aar van de hardware, anderzijds?<br />
Ja, wanneer we de MDM-software geïmplem<strong>en</strong>teerd hebb<strong>en</strong>, is d<strong>at</strong> mogelijk.<br />
Nu, met het ActiveSync protocol kan d<strong>at</strong> nog niet.<br />
Welk beleid, <strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong>, zijn <strong>bij</strong> uw organis<strong>at</strong>ie van toepassing<br />
wanneer e<strong>en</strong> werknemer hardware als verlor<strong>en</strong> of gestol<strong>en</strong> opgeeft, <strong>en</strong> waar<br />
bedrijfsgegev<strong>en</strong>s op staan of toegang daartoe?<br />
Zie antwoord op vraag 38. Het <strong>BYOD</strong> beleid is nog in ontwikkeling. Het is te<br />
verwacht<strong>en</strong>, d<strong>at</strong> er e<strong>en</strong> remote selective wipe wordt toegepast op corpor<strong>at</strong>e<br />
d<strong>at</strong>a <strong>bij</strong> verlies/diefstal van e<strong>en</strong> device of uit di<strong>en</strong>st tred<strong>en</strong> van de<br />
medewerker.<br />
Zijn er in het verled<strong>en</strong> spanningsveld<strong>en</strong> geweest m.b.t. de <strong>privacy</strong> van uw<br />
medewerkers als gevolg van uw <strong>BYOD</strong>-security?<br />
Niet van toepassing, want <strong>BYOD</strong> sta<strong>at</strong> nog in de kinderscho<strong>en</strong><strong>en</strong> <strong>en</strong> wordt<br />
nog niet officieel toegestaan <strong>en</strong> breed uitgedrag<strong>en</strong> binn<strong>en</strong> de NN.<br />
Pagina | 178<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
A-41 Desondanks zijn er nog ge<strong>en</strong> spanningsveld<strong>en</strong> bek<strong>en</strong>d.<br />
2c. Vrag<strong>en</strong> m.b.t. Deelvraag 3: ma<strong>at</strong>regel<strong>en</strong> om de <strong>privacy</strong>problem<strong>en</strong> te<br />
voorkom<strong>en</strong><br />
Vraag nr: Vraag Antwoord op<br />
VR-42<br />
A-42<br />
VR-43.1<br />
A-43.1<br />
VR-43.2<br />
A-43.2<br />
VR-44.1<br />
A-44.1<br />
VR-44.2<br />
A-44.2<br />
Heeft uw organis<strong>at</strong>ie ma<strong>at</strong>regel<strong>en</strong> getroff<strong>en</strong> om inbreuk op de <strong>privacy</strong> van<br />
werknemers t<strong>en</strong> gevolge van de <strong>BYOD</strong>-security, te voorkom<strong>en</strong>?<br />
Het <strong>BYOD</strong> beleid is nog in ontwikkeling. Dus per definitie nog niet. Er wordt<br />
wel over nagedacht, o.a. door strikte scheiding tuss<strong>en</strong> privé <strong>en</strong> zakelijk<br />
middels e<strong>en</strong> sandbox-omgeving op het <strong>BYOD</strong>-appara<strong>at</strong>. D<strong>at</strong> deze strikte<br />
scheiding blijft, zal ook wel door de ondernemingsraad goed in de g<strong>at</strong><strong>en</strong><br />
word<strong>en</strong> gehoud<strong>en</strong> <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> <strong>bij</strong> toekomstige audits word<strong>en</strong><br />
meeg<strong>en</strong>om<strong>en</strong>.<br />
Zo Nee, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> waarom niet?<br />
Zie antwoord op vraag 42.<br />
Is uw organis<strong>at</strong>ie in de toekomst wel van plan om deze ma<strong>at</strong>regel<strong>en</strong> te<br />
overweg<strong>en</strong>?<br />
Zie antwoord op vraag 42.<br />
Zo Ja, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong> dit zijn?<br />
Zie antwoord op vraag 42.<br />
Zijn de getroff<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> effectief in het oploss<strong>en</strong> van de<br />
<strong>privacy</strong>problem<strong>en</strong> van uw medewerkers?<br />
Zie antwoord op vraag 42. Dit hop<strong>en</strong> we n<strong>at</strong>uurlijk wel, anders ga<strong>at</strong> d<strong>at</strong><br />
blijk<strong>en</strong> door toekomstige spanningsveld<strong>en</strong> of incid<strong>en</strong>t<strong>en</strong>. Dan zull<strong>en</strong> er<br />
vanzelf aanpassing<strong>en</strong> in het beleid <strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> word<strong>en</strong> doorgevoerd om<br />
dit verder te voorkom<strong>en</strong>.<br />
3. Op<strong>en</strong> <strong>en</strong> afsluit<strong>en</strong>d deel: aspect<strong>en</strong> <strong>en</strong>/of aanbeveling<strong>en</strong> die tijd<strong>en</strong>s het<br />
interview niet aan bod zijn gekom<strong>en</strong>.<br />
Pagina | 179<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Vraag nr: Vraag Antwoord op<br />
VR-45<br />
A-45<br />
VR-46<br />
A-46<br />
Zijn er nog aspect<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Nee, je was heel volledig.<br />
Zijn er nog aanbeveling<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Nee<br />
Overig<br />
Overig
Interviewverslag 3: Rabobank<br />
1. Algeme<strong>en</strong> deel met als doel het bepal<strong>en</strong> van de context.<br />
Vraag nr: Vraag Antwoord op<br />
VR-1<br />
A-1<br />
VR-2<br />
A-2<br />
VR-3<br />
A-3<br />
VR-4<br />
A-4<br />
VR-5<br />
Hoeveel werknemers telt uw organis<strong>at</strong>ie?<br />
80.000 werknemers (wereldwijd), 60.000 in Nederland<br />
In welke sector opereert uw organis<strong>at</strong>ie?<br />
Financiële sector<br />
Hoe groot is de IT-organis<strong>at</strong>ie (aantal medewerkers, aantal servers, aantal te<br />
beher<strong>en</strong> applic<strong>at</strong>ies, etc)?<br />
De gehele IT organis<strong>at</strong>ie telt zo’n 3000 man in totaal, ze bedi<strong>en</strong><strong>en</strong> de 60.000<br />
Nederlandse werknemers. Verder 16.500 servers <strong>en</strong> <strong>en</strong>kele honderd<strong>en</strong><br />
applic<strong>at</strong>ies.<br />
Is <strong>BYOD</strong>-reeds geïmplem<strong>en</strong>teerd in uw organis<strong>at</strong>ie? Ja? Sinds wanneer? Nee,<br />
vanaf wanneer?<br />
Bij smartphones <strong>en</strong> tablets wordt <strong>BYOD</strong> toegestaan. D<strong>en</strong>k daar<strong>bij</strong> aan alle<br />
functionaliteit die via Exchange kan word<strong>en</strong> ontslot<strong>en</strong> zoals mail, ag<strong>en</strong>da,<br />
contact<strong>en</strong> <strong>en</strong> tak<strong>en</strong>. Andere activiteit<strong>en</strong> zijn niet ontslot<strong>en</strong>.<br />
Met betrekking tot telewerk<strong>en</strong> kunn<strong>en</strong> m<strong>en</strong>s<strong>en</strong> met hun <strong>BYOD</strong>-appara<strong>at</strong> via<br />
VPN verbinding mak<strong>en</strong> met e<strong>en</strong> virtuele desktop (VDI). Verder hebb<strong>en</strong> we<br />
Citrix (webinterface) waar <strong>BYOD</strong> appar<strong>at</strong><strong>en</strong> gebruik van kunn<strong>en</strong> mak<strong>en</strong>.<br />
Er zijn zo’n 25.000 smartphones <strong>en</strong> tablets in gebruik <strong>bij</strong> heel Rabobank<br />
Nederland. 17.000 daarvan zijn corpor<strong>at</strong>e eig<strong>en</strong>dom, 7.500 is bezit van de<br />
werknemer zelf.<br />
Externe medewerkers krijg<strong>en</strong> alle<strong>en</strong> e<strong>en</strong> VDI account <strong>en</strong> hebb<strong>en</strong> zelf vaak al<br />
e<strong>en</strong> eig<strong>en</strong> device. (You must Bring Your Own Device, Y<strong>BYOD</strong>).<br />
In februari 2011 zijn tablets <strong>en</strong> smartphones professioneler door de<br />
Rabobank aangepakt. We zijn in 2 jaar van 2000 naar 25.000 connected<br />
devices gegaan. In februari 2011 is allereerst Choose Your Own Device<br />
(CYOD) uitgeprobeerd waar<strong>bij</strong> werknemers uit 12 verschill<strong>en</strong>de modell<strong>en</strong><br />
appar<strong>at</strong><strong>en</strong> kond<strong>en</strong> kiez<strong>en</strong>. Nu is het alle<strong>en</strong> nog maar de iPhone, Samsung<br />
Galaxy SIII of de iPad.<br />
We zijn nu bezig met Mobile Device Managem<strong>en</strong>t (MDM) software om meer<br />
grip te krijg<strong>en</strong> <strong>en</strong> andere functionaliteit<strong>en</strong> dan mail <strong>en</strong> de ag<strong>en</strong>da te kunn<strong>en</strong><br />
ontsluit<strong>en</strong>.<br />
Het geslot<strong>en</strong> ecosysteem zoals iOS is krachtig <strong>en</strong> bov<strong>en</strong>di<strong>en</strong> gew<strong>en</strong>st.<br />
Android blijkt lastig tot niet te manag<strong>en</strong>. E<strong>en</strong> les die we al hebb<strong>en</strong> geleerd, is<br />
om je assortim<strong>en</strong>t <strong>bij</strong> CYOD klein te houd<strong>en</strong> <strong>en</strong> de product<strong>en</strong> high-<strong>en</strong>d.<br />
Hoeveel medewerkers binn<strong>en</strong> uw organis<strong>at</strong>ie kom<strong>en</strong> in aanmerking voor<br />
<strong>BYOD</strong> of hoeveel mak<strong>en</strong> er daadwerkelijk gebruik van? Is er e<strong>en</strong> bepaalde<br />
m<strong>at</strong>e van zelfredzaamheid waar medewerkers aan moet<strong>en</strong> voldo<strong>en</strong> will<strong>en</strong> ze<br />
in aanmerking kunn<strong>en</strong> kom<strong>en</strong> voor <strong>BYOD</strong>?<br />
Zie vorige vraag. Iedere<strong>en</strong> mag zijn eig<strong>en</strong> spull<strong>en</strong> me<strong>en</strong>em<strong>en</strong> <strong>en</strong> aansluit<strong>en</strong>,<br />
zolang het appara<strong>at</strong> maar aan het EAS (Exchange Active Sync) beleid<br />
Pagina | 180<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context
A-5 voldoet. D<strong>at</strong> wil zegg<strong>en</strong> e<strong>en</strong> pincode <strong>en</strong> device <strong>en</strong>cryptie moet ondersteun<strong>en</strong>.<br />
VR-6<br />
A-6<br />
VR-7<br />
A-7<br />
VR-8<br />
A-8<br />
VR-9<br />
A-9<br />
Zelfredzaamheid: in het begin was het alle<strong>en</strong> voor nerd, alle<strong>en</strong> met ICT<br />
achtergrond kon je het aan de pra<strong>at</strong> krijg<strong>en</strong>. De handleiding was dan ook<br />
door nerds geschrev<strong>en</strong>. Nu nis er e<strong>en</strong> nieuwe handleiding, die is interactief<br />
<strong>en</strong> met pla<strong>at</strong>jes. Gemaakt door niet-techneut<strong>en</strong> <strong>en</strong> daardoor kan nu iedere<strong>en</strong><br />
zijn eig<strong>en</strong> appara<strong>at</strong> (draadloos) verbind<strong>en</strong>. <strong>BYOD</strong> is <strong>bij</strong> de Rabobank ook<br />
“zoek het zelf maar uit”, er wordt alle<strong>en</strong> ondersteuning gebod<strong>en</strong> aan<br />
bepaalde eig<strong>en</strong> gekoz<strong>en</strong> appar<strong>at</strong><strong>en</strong>.<br />
W<strong>at</strong> is uw functie in de organis<strong>at</strong>ie?<br />
Hoofd werkplekservices <strong>en</strong> communic<strong>at</strong>ions<br />
B<strong>en</strong>t u betrokk<strong>en</strong> geweest <strong>bij</strong> de totstandkoming van het <strong>BYOD</strong>-beleid, <strong>en</strong><br />
w<strong>at</strong> was uw rol daarin?<br />
Ja, het was onze taak om het beleid te former<strong>en</strong> <strong>en</strong> te vertal<strong>en</strong> naar e<strong>en</strong><br />
implem<strong>en</strong>t<strong>at</strong>ieontwerp. Daarnaast was het onze taak om technische, <strong>en</strong><br />
procedurele ma<strong>at</strong>regel<strong>en</strong>, verder af te dwing<strong>en</strong> <strong>en</strong> dit te rapporter<strong>en</strong>. Het<br />
hele traject dus, van A tot Z.<br />
B<strong>en</strong>t u goed op de hoogte van de inhoud van de <strong>BYOD</strong>-security, op zowel<br />
str<strong>at</strong>egisch (beleid) als tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau?<br />
Ja, ik b<strong>en</strong> goed op de hoogte van het beleid (str<strong>at</strong>egisch) <strong>en</strong> technische<br />
ma<strong>at</strong>regel<strong>en</strong>. <strong>BYOD</strong> (<strong>en</strong> CYOD) behoort <strong>bij</strong> de Top-3 van prioriteit<strong>en</strong> <strong>bij</strong> de<br />
ICT-afdeling van de Rabobank.<br />
W<strong>at</strong> was de belangrijkste motiv<strong>at</strong>ie om <strong>BYOD</strong>-te implem<strong>en</strong>ter<strong>en</strong>?<br />
Implem<strong>en</strong>t<strong>at</strong>ie van <strong>BYOD</strong> is nooit e<strong>en</strong> welbewuste keuze geweest. M<strong>en</strong>s<strong>en</strong><br />
bracht<strong>en</strong> hun eig<strong>en</strong> appar<strong>at</strong><strong>en</strong> al mee, iPhones etc. De Rabobank heeft het<br />
nooit teg<strong>en</strong>gehoud<strong>en</strong>. <strong>BYOD</strong> was dus niet echt e<strong>en</strong> keus, het gebeurde<br />
gewoon <strong>en</strong> de organis<strong>at</strong>ie moest mee met deze tr<strong>en</strong>d.<br />
Productiviteit is nooit e<strong>en</strong> motiv<strong>at</strong>ie geweest, ik d<strong>en</strong>k d<strong>at</strong> dit dan ook niet<br />
gekoppeld is aan puur <strong>BYOD</strong>. Productieverhoging is meer gekoppeld aan<br />
mobiliteit, zoals smartphones <strong>en</strong> tablets in het algeme<strong>en</strong>.<br />
Ik b<strong>en</strong> van m<strong>en</strong>ing d<strong>at</strong> <strong>BYOD</strong> alweer van vorig jaar is, we hebb<strong>en</strong> het nu<br />
eerder over managed devices. De Rabobank geeft dan toch e<strong>en</strong> appara<strong>at</strong>,<br />
maar je mag daar dan ook weer privé ding<strong>en</strong> op do<strong>en</strong> tot op zekere hoogte.<br />
<strong>BYOD</strong> is namelijk niet meer houdbaar naarm<strong>at</strong>e we meer functionaliteit<br />
ontsluit<strong>en</strong>. Er ontsta<strong>at</strong> dan teveel wildgroei, zoals alle versies van het<br />
besturingssysteem Android <strong>en</strong> alle soort<strong>en</strong> telefoons waar d<strong>at</strong> dan op draait.<br />
<strong>BYOD</strong> is dus in mijn optiek van last year. Het is nu Choose (niet Your Own<br />
Device) tuss<strong>en</strong> appara<strong>at</strong> A of B.<br />
2a. Vrag<strong>en</strong> m.b.t. Deelvraag 1: de totstandkoming <strong>en</strong> inhoud van de<br />
<strong>BYOD</strong>-security, <strong>en</strong> geïmplem<strong>en</strong>teerde security-ma<strong>at</strong>regel<strong>en</strong><br />
Pagina | 181<br />
Context<br />
Context<br />
Context<br />
Context<br />
Vraag nr: Vraag Antwoord op<br />
VR-10<br />
Welke definitie wordt binn<strong>en</strong> uw organis<strong>at</strong>ie gehanteerd voor het <strong>BYOD</strong>concept?<br />
Medewerkers in sta<strong>at</strong> stell<strong>en</strong> om zelf aangeschafte appar<strong>at</strong>uur te kunn<strong>en</strong><br />
koppel<strong>en</strong> aan zakelijke appar<strong>at</strong>uur die de Rabobank ter beschikking stelt. De<br />
Deelvraag 1
A-10 Rabobank geeft dan de beschikking over functionaliteit, maar niet alle. Met<br />
<strong>BYOD</strong> heb je <strong>bij</strong> de Rabobank minder mogelijkhed<strong>en</strong> (functionaliteit) dan<br />
C(YOD). D<strong>en</strong>k aan het koppel<strong>en</strong> aan de zakelijke infrastructuur of toegang<br />
tot specifieke vertrouwelijke gegev<strong>en</strong>s.<br />
VR-11<br />
A-11<br />
VR-12<br />
A-12<br />
VR-13<br />
A-13<br />
VR-14<br />
M.b.t. eig<strong>en</strong>aarschap is de d<strong>at</strong>a op <strong>BYOD</strong> devices eig<strong>en</strong>dom van de<br />
Rabobank, ook alle ma<strong>at</strong>regel<strong>en</strong> die noodzakelijk zijn om de d<strong>at</strong>a <strong>en</strong><br />
integriteit te waarborg<strong>en</strong> zijn daarmee ook toegestaan voor de Rabobank. Er<br />
zit dus ook e<strong>en</strong> risico aan, <strong>BYOD</strong> is niet alle<strong>en</strong> maar leuk. Het wordt<br />
toegestaan, maar werknemers moet<strong>en</strong> niet zeur<strong>en</strong> als er e<strong>en</strong> remote wipe<br />
wordt uitgevoerd. Dan moet je maar e<strong>en</strong> goede backup hebb<strong>en</strong>, als<br />
teg<strong>en</strong>prest<strong>at</strong>ie.<br />
Om welke red<strong>en</strong> heeft uw organis<strong>at</strong>ie overwog<strong>en</strong> om het <strong>BYOD</strong>-concept te<br />
onderzoek<strong>en</strong> <strong>en</strong> mogelijk te implem<strong>en</strong>ter<strong>en</strong>?<br />
Het was er al, het kwam de organis<strong>at</strong>ie binn<strong>en</strong> <strong>en</strong> was onvermijdelijk om<br />
teg<strong>en</strong> te houd<strong>en</strong>.<br />
Heeft u, of uw organis<strong>at</strong>ie onderzoek gedaan naar de voor- <strong>en</strong> nadel<strong>en</strong> van<br />
<strong>BYOD</strong> voorafgaand aan de implem<strong>en</strong>t<strong>at</strong>ie ervan? Welke voor- <strong>en</strong> nadel<strong>en</strong><br />
kwam<strong>en</strong> naar vor<strong>en</strong> a.d.h.v. dit vooronderzoek?<br />
Nee. Het f<strong>en</strong>ome<strong>en</strong> was er, ter plekke ondervond<strong>en</strong> we de beveiligingsrisico’s.<br />
In de twee de golf van de visie op mobiliteit, wordt beveiliging pas<br />
echt meeg<strong>en</strong>om<strong>en</strong>.<br />
Hou er rek<strong>en</strong>ing mee d<strong>at</strong> functionaliteit de “launching customer” is, daarna<br />
gaan m<strong>en</strong>s<strong>en</strong> zich zorg<strong>en</strong> mak<strong>en</strong> over hoe veilig het is. Dit kan ook niet<br />
anders, je moet met iets beginn<strong>en</strong> van uit opportunistisch perspectief.<br />
Anders zie je alle<strong>en</strong> de ber<strong>en</strong> op de weg. Eerst kom<strong>en</strong> de voordel<strong>en</strong>, dan pas<br />
de nadel<strong>en</strong>.<br />
<strong>BYOD</strong> heeft hoogste waarschijnlijk voor e<strong>en</strong> mom<strong>en</strong>t gezorgd d<strong>at</strong> er<br />
gevoelige info is kwijtgeraakt. Daar b<strong>en</strong> ik vrij zeker van. Google Transl<strong>at</strong>e<br />
wordt veel gebruikt, maar alles wordt opgeslag<strong>en</strong> w<strong>at</strong> je daardoor la<strong>at</strong><br />
vertal<strong>en</strong>. Soms zijn complete beleidsnotities daar doorhe<strong>en</strong> gehaald. Erg<strong>en</strong>s<br />
blijft d<strong>at</strong> dus opgeslag<strong>en</strong>. En de iCloud di<strong>en</strong>st van Apple, daar staan<br />
waarschijnlijk ook veel bedrijfsdocum<strong>en</strong>t<strong>en</strong> van de Rabobank in.<br />
Stukje <strong>bij</strong> beetje word<strong>en</strong> de g<strong>at</strong><strong>en</strong> gedicht. Daarmee ga je functionaliteit<br />
beperk<strong>en</strong>, <strong>en</strong> d<strong>at</strong> doet zeer. We beginn<strong>en</strong> dan met procedures, zoals<br />
uitzett<strong>en</strong> van de iCloud di<strong>en</strong>st. Nu kan d<strong>at</strong> nog niet technisch word<strong>en</strong><br />
afgedwong<strong>en</strong>. Begin 2013 wordt Mobile Device Managem<strong>en</strong>t (MDM)<br />
software uitgerold, dan kunn<strong>en</strong> we o.a. de iCloud optie zelf uitzett<strong>en</strong>. Het<br />
Exchange ActiveSync (EAS) protocol heeft slechts e<strong>en</strong> controler<strong>en</strong>de taak.<br />
Hoe heeft uw organis<strong>at</strong>ie, voorafgaand aan de daadwerkelijke accept<strong>at</strong>ie <strong>en</strong><br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept, geanticipeerd op mogelijke extra<br />
risico’s <strong>en</strong> m.b.t. de inform<strong>at</strong>iebeveiliging?<br />
Nee, dit hebb<strong>en</strong> we on the flight gedaan, learn as we go. En we kom<strong>en</strong> nog<br />
steeds ding<strong>en</strong> teg<strong>en</strong>. We prober<strong>en</strong> verstandige keuze te mak<strong>en</strong> tuss<strong>en</strong><br />
functionaliteit <strong>en</strong>erzijds <strong>en</strong> risico’s anderzijds. Alle nieuwe technologie ga<strong>at</strong><br />
gepaard met e<strong>en</strong> gespann<strong>en</strong> periode waarin je hoopt d<strong>at</strong> niet ernstigs ga<strong>at</strong><br />
gebeur<strong>en</strong>.<br />
Er is nog weinig wet<strong>en</strong>schappelijke k<strong>en</strong>nis m.b.t. <strong>BYOD</strong> <strong>en</strong> de effect<strong>en</strong><br />
daarvan op organis<strong>at</strong>ies, inform<strong>at</strong>iebeveiliging <strong>en</strong> werknemers. Op basis<br />
waarvan heeft u invulling gegev<strong>en</strong> aan uw huidige <strong>BYOD</strong>-security?<br />
Pagina | 182<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
A-14 Gut feeling, eer <strong>en</strong> gewet<strong>en</strong>. Er war<strong>en</strong> ge<strong>en</strong> best practices, dus niet naar<br />
gekek<strong>en</strong>. Het is ook e<strong>en</strong> kwestie van geluk, zoals met Dropbox. Daar is nog<br />
nooit iets echt verkeerd gegaan. Dropbox wordt al veel gebruikt, maar d<strong>at</strong> is<br />
pas onlangs geformaliseerd. Bij Dropbox was de behoefte aan functionaliteit<br />
groter dan het risico van verlies van inform<strong>at</strong>ie/d<strong>at</strong>a. Functionaliteit is er<br />
altijd eerder dan beveiligde functionaliteit. Dus tot nu toe is het goed<br />
gegaan. En als je veel IT-werknemers in huis hebt, met veel k<strong>en</strong>nis, dan<br />
kan je daar ook op vertrouw<strong>en</strong>.<br />
VR-15<br />
A-15<br />
VR-16<br />
A-16<br />
VR-17<br />
A-17<br />
Welke afdeling<strong>en</strong> <strong>en</strong> medewerkers zijn betrokk<strong>en</strong> geweest <strong>bij</strong> de<br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept <strong>en</strong> de inform<strong>at</strong>iebeveiliging daar<br />
omhe<strong>en</strong>?<br />
Bij het tot stand kom<strong>en</strong> van <strong>BYOD</strong> niemand. Het was er gewoon. Toch is<br />
geprobeerd om met basale techniek af te dwing<strong>en</strong>, zoals de pincode met<br />
Exchange ActiveSync.<br />
Met de afdeling Juridische Zak<strong>en</strong> is add<strong>en</strong>dum geprobeerd te mak<strong>en</strong> <strong>bij</strong> het<br />
norm<strong>en</strong>kader, de algem<strong>en</strong>e werkvoorwaard<strong>en</strong>. D<strong>en</strong>k aan d<strong>at</strong> werknemers<br />
zich netjes moet<strong>en</strong> gedrag<strong>en</strong>, e<strong>en</strong> soort fair use policy. De add<strong>en</strong>dum m.b.t.<br />
<strong>BYOD</strong> hield daar<strong>bij</strong> in d<strong>at</strong> <strong>BYOD</strong>-gebruikers netjes <strong>en</strong> verstandig om moest<strong>en</strong><br />
gaan met de gegev<strong>en</strong>s van de Rabobank.<br />
Bij de tweede golf van <strong>BYOD</strong> komt de Legal-afdeling kijk<strong>en</strong>, ev<strong>en</strong>als securityarchitect<strong>en</strong>,<br />
weer juridisch <strong>en</strong> ook fiscaal. Dus juridisch <strong>en</strong> het<br />
beveiligingskader.<br />
Kunt u gedetailleerd beschrijv<strong>en</strong> hoe d<strong>at</strong> proces, de totstandkoming van de<br />
<strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ie <strong>en</strong> de inform<strong>at</strong>iebeveiliging daaromhe<strong>en</strong>, tot stand is<br />
gekom<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie?<br />
Werknemers nam<strong>en</strong> steeds meer hun eig<strong>en</strong> spull<strong>en</strong> mee, de Rabobank<br />
moest daar mee omgaan. Het is low level gegroeid. Daar<strong>bij</strong> groeide ook het<br />
besef van de risico’s. Er is beslot<strong>en</strong> om, na <strong>en</strong>ig doord<strong>en</strong>k<strong>en</strong>, <strong>BYOD</strong> niet<br />
meer te ondersteun<strong>en</strong> <strong>en</strong> meer naar CYOD te gaan. We will<strong>en</strong> de verleiding<br />
wegnem<strong>en</strong> voor werknemers om eig<strong>en</strong> spull<strong>en</strong> mee te nem<strong>en</strong>. Dit do<strong>en</strong> we<br />
door CYOD aan te bied<strong>en</strong>, het aantrekkelijk te mak<strong>en</strong> door de allernieuwste<br />
smartphones <strong>en</strong> tablets aan te bied<strong>en</strong>.<br />
Lokale managers bepal<strong>en</strong> het device-beleid zelf. Die managers nem<strong>en</strong> vaak<br />
zelf e<strong>en</strong> dure iPhone, <strong>en</strong> de werknemers krijg<strong>en</strong> goedkope telefoons. Ook om<br />
kost<strong>en</strong> te bespar<strong>en</strong>. Werknemers will<strong>en</strong> d<strong>at</strong> niet <strong>en</strong> kiez<strong>en</strong> hun eig<strong>en</strong><br />
telefoon, maar gebruik<strong>en</strong> vervolg<strong>en</strong>s de Rabobank simkaart.<br />
D<strong>at</strong> werkt dus niet <strong>en</strong> daarom heeft de Rabobank beslot<strong>en</strong> om alle<strong>en</strong> nog<br />
maar high-<strong>en</strong>d toestell<strong>en</strong> aan te bied<strong>en</strong> aan haar werknemers. Daar<strong>bij</strong><br />
kunn<strong>en</strong> ze alle<strong>en</strong> kiez<strong>en</strong> tuss<strong>en</strong> zwart of wit. Elk jaar ga<strong>at</strong> de Rabobank mee<br />
met de nieuwste iPhones. Dit omd<strong>at</strong> de vraag er vanzelf is of omd<strong>at</strong><br />
werknemers hem anders zelf gaan kop<strong>en</strong> <strong>en</strong> gebruik<strong>en</strong>.<br />
Hoe wijkt de inform<strong>at</strong>iebeveiliging m.b.t. de implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>concept<br />
binn<strong>en</strong> uw organis<strong>at</strong>ie af van die <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong> die ge<strong>en</strong><br />
eig<strong>en</strong>dom zijn van de werknemers, maar uw IT-afdeling?<br />
D<strong>at</strong> is absoluut principieel e<strong>en</strong> andere tak van sport, <strong>en</strong> dus niet op dezelfde<br />
manier aan te pakk<strong>en</strong>. D<strong>at</strong> is te e<strong>en</strong>voudig <strong>en</strong> naïef gedacht. Vooral juridisch<br />
is het e<strong>en</strong> ander verhaal. Wez<strong>en</strong>lijk anders. Alles w<strong>at</strong> je verstrekt nam<strong>en</strong>s de<br />
werkgever, daar heb je alle recht<strong>en</strong> om te eis<strong>en</strong> w<strong>at</strong> je daarmee wil. Je komt<br />
in e<strong>en</strong> veel complexer, grijzer gebied terecht als m<strong>en</strong>s<strong>en</strong> het zelf me<strong>en</strong>em<strong>en</strong><br />
<strong>en</strong> daar ook recht<strong>en</strong> op hebb<strong>en</strong>.<br />
Pagina | 183<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
VR-18 Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van het Deelvraag 1
A-18<br />
VR-19<br />
A-19<br />
VR-20<br />
A-20<br />
VR-21<br />
A-21<br />
security-beleid d<strong>at</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie wordt gehanteerd m.b.t. <strong>BYOD</strong>?<br />
We staan gebruik van <strong>BYOD</strong>-devices altijd toe, we verbied<strong>en</strong> het niet. Wel<br />
bied<strong>en</strong> we <strong>bij</strong> <strong>BYOD</strong> beperkte functionaliteit aan, zoals mail <strong>en</strong> de<br />
ag<strong>en</strong>dafunctie. Bij managed (CYOD) devices ontsluit<strong>en</strong> we meer<br />
functionaliteit.<br />
We will<strong>en</strong> werknemers verleid<strong>en</strong> niet aan <strong>BYOD</strong> te do<strong>en</strong> door telk<strong>en</strong>s nieuwe<br />
modell<strong>en</strong> aan te bied<strong>en</strong>. Maar lokaal managem<strong>en</strong>t (financieel<br />
verantwoordelijk) bepaalt uiteindelijk daarover.<br />
Het beleid is d<strong>at</strong> er e<strong>en</strong> pincode op het appara<strong>at</strong> moet kom<strong>en</strong>, wanneer<br />
mogelijk versleuteling. Bij de eerste keer koppel<strong>en</strong> moet vanuit e<strong>en</strong><br />
Rabobank account, <strong>en</strong> op e<strong>en</strong> Rabobank loc<strong>at</strong>ie goedkeuring word<strong>en</strong><br />
gegev<strong>en</strong>. Daarna word<strong>en</strong> zak<strong>en</strong>, zoals versleuteling, autom<strong>at</strong>isch geregeld<br />
mits het appara<strong>at</strong> het ondersteund.<br />
Hoe effectief is dit security-beleid?<br />
Best wel effectief, er zijn wel w<strong>at</strong> uitzondering<strong>en</strong>. D<strong>en</strong>k aan e<strong>en</strong> aantal<br />
instelling<strong>en</strong> zoals versleuteling van externe media (sd-kaartjes) in Android<br />
appar<strong>at</strong><strong>en</strong>. D<strong>at</strong> kan k<strong>en</strong>nelijk niet altijd aangezet word<strong>en</strong>. Het technisch<br />
protocol vraagt aan het betreff<strong>en</strong>de Android toestel of versleuteling wordt<br />
ondersteund. Somme modell<strong>en</strong> van fabrikant HTC lieg<strong>en</strong> daarover. Ze<br />
koppel<strong>en</strong> terug d<strong>at</strong> versleuteling wel degelijk wordt ondersteund, maar blijkt<br />
dan toch niet het geval te zijn. D<strong>at</strong> is lastig <strong>en</strong> inher<strong>en</strong>t aan low/mid-<strong>en</strong>d<br />
product<strong>en</strong>.<br />
Het Exchange ActiveSync protocol biedt e<strong>en</strong> twintigtal instelling<strong>en</strong> die je kunt<br />
afdwing<strong>en</strong>. D<strong>en</strong>k aan Wifi aan/uit, Bluetooth aan/uit etc. De Rabobank<br />
gebruikt daar maar e<strong>en</strong> paar van <strong>en</strong> doet het niet om werknemers te pest<strong>en</strong>.<br />
Het wordt alle<strong>en</strong> uitgezet als de functionaliteit e<strong>en</strong> bedreiging kan vorm<strong>en</strong>.<br />
Wordt in dit security-beleid ook voorgeschrev<strong>en</strong> d<strong>at</strong> bepaalde software<br />
(apps) wel/niet gebruikt mag word<strong>en</strong>?<br />
Ja, in het nieuwe security-beleid per begin 2013 geldt d<strong>at</strong> als je e<strong>en</strong> eig<strong>en</strong><br />
appara<strong>at</strong> wil koppel<strong>en</strong> aan <strong>bij</strong>voorbeeld Sharepoint, dan moet je in e<strong>en</strong><br />
managed schil werk<strong>en</strong>. Daarin wordt afgedwong<strong>en</strong> welke software of app wel<br />
of niet gebruikt mag word<strong>en</strong>. Enterprise apps kom<strong>en</strong> niet via de reguliere<br />
app-store, maar via de Rabobank Enterprise app-store.<br />
<strong>BYOD</strong> is beperkt, maar <strong>bij</strong> CYOD is het van bedrijf <strong>en</strong> mag je eig<strong>en</strong>lijk ge<strong>en</strong><br />
spelletjes spel<strong>en</strong>. De kracht van dit soort appar<strong>at</strong><strong>en</strong> is juist d<strong>at</strong> privé <strong>en</strong><br />
zakelijk, ook op CYOD, op d<strong>at</strong>zelfde appara<strong>at</strong> kan. E<strong>en</strong> CYOD tablet mag ook<br />
thuis voor privé word<strong>en</strong> gebruikt, daardoor gaan m<strong>en</strong>s<strong>en</strong> ook thuis <strong>en</strong> in<br />
eig<strong>en</strong> tijd zakelijke ding<strong>en</strong> do<strong>en</strong>. Geeft niet, je b<strong>en</strong>t er continue mee aan het<br />
spel<strong>en</strong>. Is niet erg. Het mooie is juist d<strong>at</strong> je op 1 appara<strong>at</strong> van Angry Birds<br />
naar je zakelijke mail kan schakel<strong>en</strong>, <strong>en</strong> d<strong>at</strong> vind<strong>en</strong> wij prima.<br />
Bepaalde apps zull<strong>en</strong> niet word<strong>en</strong> toegestaan, maar in eerste beleidsvorm zal<br />
daar niet op gecontroleerd word<strong>en</strong>. Er wordt eerder op jailbreaks<br />
gecontroleerd. Apple heeft al e<strong>en</strong> heel goed proces w.b.t. apps. Bij Android<br />
appar<strong>at</strong><strong>en</strong> is d<strong>at</strong> wel anders. We zull<strong>en</strong> dan met blacklists gaan werk<strong>en</strong>. Alles<br />
w<strong>at</strong> op die lijst sta<strong>at</strong>, wordt geblokkeerd.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van de<br />
(technische) security-ma<strong>at</strong>regel<strong>en</strong> die binn<strong>en</strong> uw organis<strong>at</strong>ie zijn<br />
geïmplem<strong>en</strong>teerd m.b.t. <strong>BYOD</strong>?<br />
Pincode: ongeoorloofde toegang voorkom<strong>en</strong>. na 4 keer foute pincode<br />
autom<strong>at</strong>ische wipe.<br />
Pagina | 184<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
VR-22<br />
A-22<br />
VR-23<br />
A-23<br />
VR-24<br />
A-24<br />
VR-25<br />
A-25<br />
Device <strong>en</strong>cryptie: <strong>bij</strong> verlies <strong>en</strong> diefstal ongeoorloofde toegang<br />
voorkom<strong>en</strong><br />
Remote wipe: gevoelige gegev<strong>en</strong>s uit hand<strong>en</strong> van iemand anders<br />
houd<strong>en</strong>, appara<strong>at</strong> onbruikbaar mak<strong>en</strong>.<br />
Afdwing<strong>en</strong> hoeveel mail <strong>en</strong> hoe lang (ret<strong>en</strong>tie) mail wordt bewaard<br />
op lokaal appara<strong>at</strong>. Namelijk 200 mailtjes <strong>en</strong> 2 wek<strong>en</strong>. Is hooguit<br />
mitiger<strong>en</strong>d. Hoeft maar 1 verkeerde <strong>bij</strong> te zitt<strong>en</strong> voor e<strong>en</strong> ernstig<br />
incid<strong>en</strong>t. Is ook gedacht om <strong>bij</strong>lages niet toe te staan, maar d<strong>at</strong> was<br />
niet effectief g<strong>en</strong>oeg. Functionaliteit l<strong>at</strong><strong>en</strong> winn<strong>en</strong>. Bijlag<strong>en</strong> is<br />
grootste risico, <strong>bij</strong> op<strong>en</strong><strong>en</strong> word<strong>en</strong> <strong>bij</strong>lag<strong>en</strong> lokaal opgeslag<strong>en</strong>.<br />
Hoe effectief zijn deze security-ma<strong>at</strong>regel<strong>en</strong>?<br />
Deze security-ma<strong>at</strong>regel<strong>en</strong> bied<strong>en</strong> zeker e<strong>en</strong> drempel, maar er is omhe<strong>en</strong> te<br />
kom<strong>en</strong>. Zijn ondanks d<strong>at</strong> wel vrij effectief.<br />
Kan met deze security-ma<strong>at</strong>regel<strong>en</strong> ook word<strong>en</strong> afgedwong<strong>en</strong> welke<br />
software (apps) wel/niet gebruikt kan word<strong>en</strong> door ze op afstand te<br />
verwijder<strong>en</strong> of blokker<strong>en</strong>?<br />
Nee, nu nog niet, wel met MDM. Dan kunn<strong>en</strong> apps geblokkeerd of verwijderd<br />
word<strong>en</strong>. Nu nog niet met EAS. EAS is dan ook e<strong>en</strong> paard<strong>en</strong>middel <strong>en</strong> erg<br />
basaal, maar gr<strong>at</strong>is want zit <strong>bij</strong> Exchange in.<br />
Stelt uw organis<strong>at</strong>ie ook zelf software (apps) beschikbaar?<br />
Ja, via de interne Rabobank Enterprise app-store. D<strong>en</strong>k aan<br />
factuurgoedkeuring-apps. Is voor e<strong>en</strong> specifieke groep werknemers met de<br />
juist autoris<strong>at</strong>ie <strong>en</strong> auth<strong>en</strong>tic<strong>at</strong>ie te download<strong>en</strong>.<br />
In deze interne app-store staan, na invoer<strong>en</strong> van e<strong>en</strong> username/password,<br />
de apps van de Rabobank. Het zijn slechts e<strong>en</strong> paar apps, alle<strong>en</strong> de<br />
belangrijkste. Upd<strong>at</strong>es word<strong>en</strong> ook via deze Enterprise apps-store geregeld.<br />
Upd<strong>at</strong>es word<strong>en</strong> gepushed, via MDM vanaf begin 2013.<br />
Ook het upgrad<strong>en</strong> van de iOS versie zal via deze Enterprise app-store<br />
verlop<strong>en</strong>. De Rabobank bepaalt dan welke versie van het besturingssysteem<br />
(firmware) wel/niet mag word<strong>en</strong> geïnstalleerd, <strong>en</strong> per wanneer. Zo is er<br />
meer controle van de Rabobank over deze devices.<br />
Welke aanpassing<strong>en</strong> aan het security-beleid <strong>en</strong> technische securityma<strong>at</strong>regel<strong>en</strong><br />
in het kader van <strong>BYOD</strong> zou u <strong>bij</strong> e<strong>en</strong> volg<strong>en</strong>de herzi<strong>en</strong>ing will<strong>en</strong><br />
doorvoer<strong>en</strong>? En waarom?<br />
<strong>BYOD</strong> wordt CYOD.<br />
Bij volg<strong>en</strong>de ronde, de derde wave:<br />
1. Veel meer app-delivery, modulair HTML 5 ter beschikking gestelde<br />
software. Meer <strong>en</strong> meer business functionaliteit, via de Enterprise appstore<br />
ter beschikking stell<strong>en</strong> aan mobiele appar<strong>at</strong><strong>en</strong>.<br />
2. Er moet duidelijk word<strong>en</strong> w<strong>at</strong> nou het de facto mobiele appara<strong>at</strong> ga<strong>at</strong><br />
word<strong>en</strong> voor Rabobank werknemers. W<strong>at</strong> is nou het ultieme appara<strong>at</strong>?<br />
3. Ondersteuning van accessoires ter verbreding van het aantal<br />
mogelijkhed<strong>en</strong> <strong>en</strong> functionaliteit<strong>en</strong> van het mobiele appara<strong>at</strong>. D<strong>en</strong>k aan<br />
extern toets<strong>en</strong>bord <strong>bij</strong> e<strong>en</strong> iPad <strong>en</strong> via NFC koppel<strong>en</strong> aan e<strong>en</strong> beamer.<br />
4. MDM, meer <strong>en</strong> meer managed.<br />
5. Meer <strong>en</strong> meer cont<strong>en</strong>t driv<strong>en</strong>, het ga<strong>at</strong> allemaal om d<strong>at</strong>a, d<strong>at</strong>a <strong>en</strong> nog<br />
meer d<strong>at</strong>a.<br />
6. Bescherming van d<strong>at</strong>a, niet pest<strong>en</strong> van gebruikers.<br />
Pagina | 185<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
7. DLP, d<strong>at</strong>a leakage prev<strong>en</strong>tion<br />
8. Classific<strong>at</strong>ie van d<strong>at</strong>a, zoals e<strong>en</strong> mail-infrastructuur die waarborgt d<strong>at</strong><br />
bepaalde type gegev<strong>en</strong> niet naar buit<strong>en</strong> mog<strong>en</strong> kom<strong>en</strong>. Exchange 2013<br />
is zo in te stell<strong>en</strong> d<strong>at</strong> mailtjes met bepaalde d<strong>at</strong>a nooit naar buit<strong>en</strong><br />
mog<strong>en</strong>, zoals waar social securitynumbers in staan.<br />
9. D<strong>at</strong>a is van belang, de rest is <strong>bij</strong>zaak.<br />
2b. Vrag<strong>en</strong> m.b.t. Deelvraag 2: <strong>privacy</strong>problem<strong>en</strong> van medewerkers door<br />
de gekoz<strong>en</strong> <strong>BYOD</strong>-security<br />
Vraag nr: Vraag Antwoord op<br />
VR-26<br />
A-26<br />
VR-27<br />
A-27<br />
VR-28<br />
A-28<br />
VR-29<br />
A-29<br />
Zijn er voorwaard<strong>en</strong> waar uw werknemers mee akkoord moet<strong>en</strong> gaan<br />
voord<strong>at</strong> ze gebruik kunn<strong>en</strong> mak<strong>en</strong> van het <strong>BYOD</strong>-concept binn<strong>en</strong> uw<br />
organis<strong>at</strong>ie? Kunt u deze voorwaard<strong>en</strong> op hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Ja, die staan in het add<strong>en</strong>dum op de algem<strong>en</strong>e werkvoorwaard<strong>en</strong>.<br />
Belangrijkste daarvan is de remote wipe. Als de Rabobank d<strong>en</strong>kt d<strong>at</strong> er e<strong>en</strong><br />
gevaar is, dan kunn<strong>en</strong> we altijd <strong>en</strong> zonder goedkeuring e<strong>en</strong> remote wipe<br />
uitvoer<strong>en</strong>. De Rabobank hoeft dan niets aan te ton<strong>en</strong>. De Rabobank heeft het<br />
recht voor om t<strong>en</strong> alle tijd<strong>en</strong> deze wipe uit te voer<strong>en</strong>.<br />
D<strong>at</strong> wet<strong>en</strong> medewerkers niet, w<strong>at</strong> d<strong>at</strong> dan exact inhoudt. Maar ze moet<strong>en</strong> er<br />
wel akkoord mee gaan. “It would never hold up in court”. Dit valt dan ook<br />
onder redelijkheid <strong>en</strong> billijkheid van het arbeidsrecht. Bov<strong>en</strong>di<strong>en</strong> maakt m<strong>en</strong><br />
zich er niet zo druk om. Nieuwe werknemers krijg<strong>en</strong> deze add<strong>en</strong>dum<br />
expliciet te zi<strong>en</strong>, oudere werknemers zijn zich hier niet bewust van.<br />
Er is ge<strong>en</strong> case bek<strong>en</strong>d waar<strong>bij</strong> iemand protesteerde hierteg<strong>en</strong>. Wellicht is<br />
het ooit wel voorgekom<strong>en</strong>, maar in de lagere del<strong>en</strong> van de organis<strong>at</strong>ie<br />
gemanaged. Het is nooit tot mijn niveau geëscaleerd. Maar het moet haast<br />
wel e<strong>en</strong> keer gebeurd zijn.<br />
W<strong>at</strong> gebeurt er wanneer e<strong>en</strong> medewerker niet akkoord ga<strong>at</strong> met deze<br />
voorwaard<strong>en</strong>, maar wel de eig<strong>en</strong> hardware (met daarop eig<strong>en</strong> software) wil<br />
gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>?<br />
Bij niet tek<strong>en</strong><strong>en</strong>, ge<strong>en</strong> arbeidscontract. Het is absoluut niet optioneel.<br />
Welke technische security-ma<strong>at</strong>regel<strong>en</strong> zorg<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie, in de<br />
context van het <strong>BYOD</strong>-concept voor id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie<br />
van de werknemers-eig<strong>en</strong> hardware op het bedrijfsnetwerk? Kunt u deze<br />
ma<strong>at</strong>regel<strong>en</strong> in hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Username/password, smartcards, 4-cijferige pincode.<br />
Hebb<strong>en</strong> deze technische security-ma<strong>at</strong>regel<strong>en</strong> alle<strong>en</strong> invloed op de zakelijke<br />
applic<strong>at</strong>ies, mogelijkhed<strong>en</strong> <strong>en</strong> (toegang tot) bedrijfsgegev<strong>en</strong>s? Of hebb<strong>en</strong> ze<br />
ook invloed op het privégebruik, privésoftware (apps) <strong>en</strong> privégegev<strong>en</strong>s van<br />
de werknemer?<br />
Ge<strong>en</strong> onderscheid. Maximaal 5 appar<strong>at</strong><strong>en</strong> koppel<strong>en</strong> met username/password.<br />
De 4-cijferige pincode geldt ook voor privé gebruik <strong>en</strong> buit<strong>en</strong> werktijd<strong>en</strong>.<br />
Versleuteling will<strong>en</strong> we wel, via MDM-software, afdwing<strong>en</strong> op alle<strong>en</strong> het<br />
zakelijke deel. De mailret<strong>en</strong>tie, zie antwoord 21, geldt bov<strong>en</strong>di<strong>en</strong> alle<strong>en</strong> voor<br />
de Rabobank mailaccount.<br />
VR-30 Maakt uw organis<strong>at</strong>ie gebruik van Mobile Device Managem<strong>en</strong>t (MDM) of<br />
Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t (MAM) software om <strong>BYOD</strong>-hardware, <strong>en</strong> de<br />
software (apps) <strong>en</strong> gegev<strong>en</strong>s daarop, te beveilig<strong>en</strong> <strong>en</strong> beher<strong>en</strong>? Zo Ja, hoe<br />
Pagina | 186<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
A-30<br />
VR-31<br />
A-31<br />
VR-32<br />
A-32<br />
VR-33<br />
A-33<br />
VR-34<br />
A-34<br />
effectief is dit? Zo Nee, waarom niet?<br />
Op mom<strong>en</strong>t van dit interview nog niet, begin 2013 gaan we d<strong>at</strong> wel do<strong>en</strong>.<br />
D<strong>at</strong> geldt voor zowel MDM als Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t (MAM). Ik<br />
verwacht d<strong>at</strong> MDM zeer effectief is <strong>en</strong> 80 – 90% van alle gevar<strong>en</strong> <strong>en</strong> risico’s<br />
kan mitiger<strong>en</strong> of voorkom<strong>en</strong>. D<strong>en</strong>k aan het onderschepp<strong>en</strong>/blokker<strong>en</strong> van<br />
appar<strong>at</strong><strong>en</strong> waar<strong>bij</strong> het besturingssysteem of de firmware is aangepast.<br />
Is deze Mobile Device Managem<strong>en</strong>t software in sta<strong>at</strong> om te controler<strong>en</strong> of<br />
het besturingssysteem of de firmware van de <strong>BYOD</strong>-hardware aangepast is<br />
zod<strong>at</strong> software <strong>en</strong> functionaliteit toegevoegd kan word<strong>en</strong> die oorspronkelijk<br />
niet door de fabrikant is toegestaan? (Jailbreak<strong>en</strong>/Root<strong>en</strong>)<br />
Ik verwacht d<strong>at</strong> dit <strong>bij</strong> eerste implem<strong>en</strong>t<strong>at</strong>ie van de MDM software technisch<br />
mogelijk is, maar nog vrij e<strong>en</strong>voudig. Er zal nog ge<strong>en</strong> actieve scanning<br />
hierop zijn. E<strong>en</strong> verder implem<strong>en</strong>t<strong>at</strong>ie kan <strong>bij</strong>voorbeeld autom<strong>at</strong>isch, <strong>en</strong> op<br />
gezette tijd<strong>en</strong>, alle gekoppelde mobiele appar<strong>at</strong><strong>en</strong> kunn<strong>en</strong> controler<strong>en</strong> op<br />
e<strong>en</strong> goede versie van het besturingssysteem of de firmware.<br />
Bov<strong>en</strong>di<strong>en</strong> biedt e<strong>en</strong> vroege implem<strong>en</strong>t<strong>at</strong>ie van MDM nog ge<strong>en</strong><br />
virusscanning. D<strong>at</strong> is nog niet heel volwass<strong>en</strong> op deze pl<strong>at</strong>form<strong>en</strong>. Is meer<br />
iets voor e<strong>en</strong> 3 e of 4 e versie van e<strong>en</strong> MDM implem<strong>en</strong>t<strong>at</strong>ie, t<strong>en</strong>zij dit niet<br />
teveel performance problem<strong>en</strong> oplevert n<strong>at</strong>uurlijk. Overig<strong>en</strong>s is dit zelfs <strong>bij</strong><br />
CYOD e<strong>en</strong> probleem.<br />
P<strong>at</strong>ches <strong>en</strong> upd<strong>at</strong>e word<strong>en</strong> gepushed vanaf de MDM. Lijkt dan op e<strong>en</strong><br />
Blackberry server. Het wordt weer w<strong>at</strong> meer e<strong>en</strong> managed-device, maar met<br />
de hoop op voldo<strong>en</strong>de privé mogelijkhed<strong>en</strong>.<br />
MDM- software heeft overig<strong>en</strong>s e<strong>en</strong> rel<strong>at</strong>ief snelle lifecycle. Om de 3<br />
maand<strong>en</strong> is er wel e<strong>en</strong> nieuwe versie. De ontwikkelaars prober<strong>en</strong> op<br />
functioneel vlak meer <strong>en</strong> beter hun domein te bedi<strong>en</strong><strong>en</strong>. Meer mogelijkhed<strong>en</strong><br />
dus, Bov<strong>en</strong>di<strong>en</strong> zie je <strong>bij</strong> elke nieuwe versie meer security, meer policies,<br />
meer beveiliging etc.<br />
Volg<strong>en</strong>s rec<strong>en</strong>te vakliter<strong>at</strong>uur kan mobile malware e<strong>en</strong> grote bedreiging<br />
vorm<strong>en</strong> voor vertrouwelijke bedrijfsgegev<strong>en</strong>s op <strong>BYOD</strong>-hardware. Zijn uw<br />
werknemers daarom verplicht om mobile security software te installer<strong>en</strong>? Zo<br />
Ja, wie is dan verantwoordelijk voor upd<strong>at</strong>es, p<strong>at</strong>ches <strong>en</strong> e<strong>en</strong> optimale<br />
bescherming? Zo Nee, hoe voorkomt uw organis<strong>at</strong>ie dan d<strong>at</strong> <strong>BYOD</strong>-hardware<br />
besmet raakt met malware <strong>en</strong> vertrouwelijke bedrijfsgegev<strong>en</strong>s (<strong>en</strong> privé<br />
gegev<strong>en</strong>s) daardoor in verkeerde hand<strong>en</strong> vall<strong>en</strong>?<br />
Zie antwoord op vraag 31.<br />
Binn<strong>en</strong> de context van het <strong>BYOD</strong>-concept, doet uw organis<strong>at</strong>ie aan D<strong>at</strong>a<br />
Leakage Protection (DLP)? D<strong>en</strong>k hier<strong>bij</strong> aan <strong>en</strong>cryptie van het interne<br />
geheug<strong>en</strong> <strong>en</strong>/of verwisselbare opslag. Zo Ja, omv<strong>at</strong> dit dan alle<strong>en</strong> zakelijke<br />
of ook privé gegev<strong>en</strong>s? Zo Nee, waarom niet?<br />
Ja, daar do<strong>en</strong> wij aan. Zit ook in de MDM software die we begin 2013 gaan<br />
implem<strong>en</strong>ter<strong>en</strong>. Zie vraag 31. We gaan ook secure kanal<strong>en</strong> afdwing<strong>en</strong>, zoals<br />
HTTPS verbinding<strong>en</strong>. Bij verwisselbare opslag wordt gecheckt of het SDkaartje<br />
ook versleuteld is. Beter nog, alle<strong>en</strong> <strong>bij</strong> het zakelijke deel wordt<br />
gecheckt of er versleuteld wordt.<br />
Welke controle <strong>en</strong>/of bevoegdheid heeft uw organis<strong>at</strong>ie over de<br />
(privé)inform<strong>at</strong>ie die aanwezig is op de hardware die eig<strong>en</strong>dom is van de<br />
medewerker?<br />
De bevoegdheid om het weg te gooi<strong>en</strong>. Het is nu alles of niet, e<strong>en</strong><br />
paard<strong>en</strong>middel. Met de komst van MDM-software zal d<strong>at</strong> in de loop der tijd<br />
Pagina | 187<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
VR-35<br />
A-35<br />
VR-36<br />
A-36<br />
VR-37<br />
A-37<br />
VR-38<br />
A-38<br />
VR-39<br />
A-39<br />
VR-40<br />
A-40<br />
verander<strong>en</strong>.<br />
Kunt u beschrijv<strong>en</strong> wanneer, <strong>en</strong> in welke gevall<strong>en</strong> uw organis<strong>at</strong>ie deze<br />
controle kan <strong>en</strong> mag uitvoer<strong>en</strong>.?<br />
In alle gevall<strong>en</strong> waar<strong>bij</strong> de Rabobank d<strong>en</strong>kt d<strong>at</strong> het nodig is. D<strong>en</strong>k aan<br />
diefstal, verlies of ontslag van boze werknemer. Dit is expres niet<br />
gedetailleerd geclassificeerd omd<strong>at</strong> je er dan altijd wel e<strong>en</strong> vergeet. In de<br />
praktijk wordt het altijd door de werknemer zelf geïnitieerd.<br />
Kunn<strong>en</strong> uw werknemers (privé)inform<strong>at</strong>ie op hardware, die ook wordt<br />
gebruikt voor zakelijke doeleind<strong>en</strong>, afscherm<strong>en</strong> teg<strong>en</strong> deze controle of<br />
bevoegdhed<strong>en</strong>?<br />
Ja, de remote wipe heeft altijd e<strong>en</strong> (factory reset) instructie nodig. Die wordt<br />
via Internet verstuurd. Als het appara<strong>at</strong> in kwestie nooit e<strong>en</strong> verbinding<br />
maakt daarmee, ontvangt hij deze instructie dus ook niet <strong>en</strong> wordt het<br />
appara<strong>at</strong> dus niet gewiped.<br />
Via MDM is er de mogelijkheid om autom<strong>at</strong>isch e<strong>en</strong> remote wipe uit te<br />
voer<strong>en</strong> na e<strong>en</strong> bepaalde tijd waarin ge<strong>en</strong> contact meer is gezocht met de<br />
Rabobank infrastructuur. Die mogelijkheid zal voorlopig niet word<strong>en</strong> gebruik,<br />
maar is wel mogelijk. Heet de timeout-killswitch.<br />
Hoe voorkomt u d<strong>at</strong> (IT)medewerkers van de organis<strong>at</strong>ie software of<br />
gegev<strong>en</strong>s, die aanwezig zijn op de hardware van de medewerker, zonder<br />
toestemming kunn<strong>en</strong> inzi<strong>en</strong>, aanpass<strong>en</strong>, vergr<strong>en</strong>del<strong>en</strong>, kopiër<strong>en</strong> of<br />
verwijder<strong>en</strong>?<br />
D<strong>at</strong> kan niet word<strong>en</strong> voorkom<strong>en</strong>, zou iets als e<strong>en</strong> 4-og<strong>en</strong> principe voor nodig<br />
zijn. Het kan achteraf wel word<strong>en</strong> getraceerd, wie d<strong>at</strong> gedaan heeft. Alles<br />
wordt namelijk gelegd. Dan heeft die medewerker w<strong>at</strong> uit te legg<strong>en</strong>. ICTwerknemers<br />
moet<strong>en</strong> ieder jaar opnieuw tek<strong>en</strong><strong>en</strong> voor hoge bevoegdhed<strong>en</strong>.<br />
Bij financiële transacties geldt overig<strong>en</strong>s wel het 4-og<strong>en</strong> principe.<br />
Voorkom<strong>en</strong> is dus onmogelijk, tracer<strong>en</strong> is het hoogste gedacht<strong>en</strong>goed.<br />
Wanneer, <strong>en</strong> in welke gevall<strong>en</strong>, mag e<strong>en</strong> werknemer van uw IT-afdeling<br />
overgaan tot op afstand wiss<strong>en</strong> of blokker<strong>en</strong> van het werknemers-eig<strong>en</strong><br />
appara<strong>at</strong>?<br />
Bij goede red<strong>en</strong>, die zijn niet gedefinieerd.<br />
Kan er <strong>bij</strong> op afstand wiss<strong>en</strong> of blokker<strong>en</strong> onderscheid gemaakt word<strong>en</strong><br />
tuss<strong>en</strong> software/gegev<strong>en</strong>s behor<strong>en</strong>de <strong>bij</strong> de organis<strong>at</strong>ie <strong>en</strong>erzijds of de<br />
eig<strong>en</strong>aar van de hardware, anderzijds?<br />
Nu nog niet, <strong>bij</strong> implem<strong>en</strong>t<strong>at</strong>ie van MDM wel. Onbek<strong>en</strong>d of d<strong>at</strong> <strong>bij</strong> de nieuwe<br />
situ<strong>at</strong>ie begin 2013 selective of complete wipe is. Het komt er dus wel aan.<br />
Zelfs <strong>bij</strong> CYOD, is het toch lullig als persoonlijke foto’s word<strong>en</strong> gewiped.<br />
Uitgangspunt is respect voor medewerkers <strong>en</strong> hun gebruik.<br />
Welk beleid, <strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong>, zijn <strong>bij</strong> uw organis<strong>at</strong>ie van toepassing<br />
wanneer e<strong>en</strong> werknemer hardware als verlor<strong>en</strong> of gestol<strong>en</strong> opgeeft, <strong>en</strong> waar<br />
bedrijfsgegev<strong>en</strong>s op staan of toegang daartoe?<br />
Werknemer neemt contact op met de servicedesk <strong>en</strong> geeft aan w<strong>at</strong> er aan de<br />
hand is. Er wordt geauth<strong>en</strong>tiseerd of de medewerker is wie hij/zij zegt te<br />
zijn. Dan wordt er e<strong>en</strong> remote wipe instructie klaargezet. Bij de eerste<br />
verbinding met het appara<strong>at</strong> in kwestie wordt die uitgevoerd. Appara<strong>at</strong> wordt<br />
bov<strong>en</strong>di<strong>en</strong> verwijderd uit lijst met goedgekeurde appar<strong>at</strong><strong>en</strong> voor toegang tot<br />
Pagina | 188<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
VR-41<br />
A-41<br />
mail etc. Wanneer het appara<strong>at</strong> ge<strong>en</strong> contact maakt met Internet, wordt de<br />
reset-instructie niet ontvang<strong>en</strong> <strong>en</strong> blijft de d<strong>at</strong>a erop staan.<br />
Zijn er in het verled<strong>en</strong> spanningsveld<strong>en</strong> geweest m.b.t. de <strong>privacy</strong> van uw<br />
medewerkers als gevolg van uw <strong>BYOD</strong>-security?<br />
Nee, <strong>bij</strong> mij niet bek<strong>en</strong>d. In ieder geval nooit tot mijn niveau geëscaleerd.<br />
2c. Vrag<strong>en</strong> m.b.t. Deelvraag 3: ma<strong>at</strong>regel<strong>en</strong> om de <strong>privacy</strong>problem<strong>en</strong> te<br />
voorkom<strong>en</strong><br />
Pagina | 189<br />
Deelvraag 2<br />
Vraag nr: Vraag Antwoord op<br />
VR-42<br />
A-42<br />
VR-43.1<br />
A-43.1<br />
VR-43.2<br />
A-43.2<br />
VR-44.1<br />
A-44.1<br />
VR-44.2<br />
A-44.2<br />
Heeft uw organis<strong>at</strong>ie ma<strong>at</strong>regel<strong>en</strong> getroff<strong>en</strong> om inbreuk op de <strong>privacy</strong> van<br />
werknemers t<strong>en</strong> gevolge van de <strong>BYOD</strong>-security, te voorkom<strong>en</strong>?<br />
Ja, via de MDM-software die begin 2013 wordt uitgerold. We gaan prober<strong>en</strong><br />
om selectiever te wip<strong>en</strong>. Niet de privé gegev<strong>en</strong>s, maar alle<strong>en</strong> het zakelijke<br />
deel. Nu is d<strong>at</strong> technisch nog niet mogelijk. Bov<strong>en</strong>di<strong>en</strong> heeft het ge<strong>en</strong><br />
prioriteit want er zijn nog ge<strong>en</strong> <strong>privacy</strong> gerel<strong>at</strong>eerde incid<strong>en</strong>t<strong>en</strong> geweest.<br />
Pas <strong>bij</strong> e<strong>en</strong> eerste escal<strong>at</strong>ie (iemand van raad van bestuur <strong>bij</strong>voorbeeld)<br />
wordt het e<strong>en</strong> prioriteit Zou e<strong>en</strong> trigger kunn<strong>en</strong> zijn. Nog ge<strong>en</strong> aanleiding<br />
nu dus.<br />
Als er toch ge<strong>en</strong> grote escal<strong>at</strong>ie pla<strong>at</strong>s ga<strong>at</strong> vind<strong>en</strong>, dan gaan we via MDMsoftware<br />
toch e<strong>en</strong> scheidslijn tuss<strong>en</strong> privé <strong>en</strong> zakelijk aanbr<strong>en</strong>g<strong>en</strong>, omd<strong>at</strong> we<br />
d<strong>at</strong> netjes vind<strong>en</strong>. Daarmee erk<strong>en</strong>n<strong>en</strong> we als Rabobank ook d<strong>at</strong> het appara<strong>at</strong><br />
voor meer dan alle<strong>en</strong> zakelijke activiteit<strong>en</strong> gebruikt mag word<strong>en</strong>.<br />
Zo Nee, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> waarom niet?<br />
Zie antwoord op vraag 42.<br />
Is uw organis<strong>at</strong>ie in de toekomst wel van plan om deze ma<strong>at</strong>regel<strong>en</strong> te<br />
overweg<strong>en</strong>?<br />
Zie antwoord op vraag 42.<br />
Zo Ja, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong> dit zijn?<br />
Zie antwoord op vraag 42.<br />
Zijn de getroff<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> effectief in het oploss<strong>en</strong> van de<br />
<strong>privacy</strong>problem<strong>en</strong> van uw medewerkers?<br />
Zie antwoord op vraag 42.<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3
3. Op<strong>en</strong> <strong>en</strong> afsluit<strong>en</strong>d deel: aspect<strong>en</strong> <strong>en</strong>/of aanbeveling<strong>en</strong> die tijd<strong>en</strong>s het<br />
interview niet aan bod zijn gekom<strong>en</strong>.<br />
Vraag nr: Vraag Antwoord op<br />
VR-45<br />
A-45<br />
VR-46<br />
A-46<br />
Zijn er nog aspect<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Volg<strong>en</strong>s mij niet, veel besprok<strong>en</strong>.<br />
Zijn er nog aanbeveling<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Wellicht meer richting CYOD d<strong>en</strong>k<strong>en</strong>. Het is mijn overtuiging d<strong>at</strong> e<strong>en</strong><br />
tijdelijke tr<strong>en</strong>d is. Die tr<strong>en</strong>d heeft geholp<strong>en</strong> om pl<strong>at</strong>form<strong>en</strong> te lancer<strong>en</strong> die<br />
er anders niet geweest zoud<strong>en</strong> zijn. Het is e<strong>en</strong> tijdelijke s<strong>en</strong>s<strong>at</strong>ie.<br />
Waar je niet naar gevraagd hebt, is e<strong>en</strong> tuss<strong>en</strong>variant. D<strong>en</strong>k aan<br />
werknemers e<strong>en</strong> budget gev<strong>en</strong> waar ze zelf e<strong>en</strong> specifiek appara<strong>at</strong> van<br />
mog<strong>en</strong> kop<strong>en</strong>. Daar zijn organis<strong>at</strong>ies ook mee bezig.<br />
En e<strong>en</strong> wijze les die geleerd is <strong>bij</strong> de Rabobank, is om werknemers ge<strong>en</strong><br />
rommel te gev<strong>en</strong> als er beter is. De aanschafprijs is namelijk maar e<strong>en</strong><br />
deel van de totale kost<strong>en</strong>.<br />
Interviewverslag 4: Kaseya<br />
1. Algeme<strong>en</strong> deel met als doel het bepal<strong>en</strong> van de context.<br />
Overig<br />
Overig<br />
Vraag nr: Vraag Antwoord op<br />
VR-1<br />
A-1<br />
VR-2<br />
A-2<br />
VR-3<br />
A-3<br />
VR-4<br />
A-4<br />
Hoeveel werknemers telt uw organis<strong>at</strong>ie?<br />
Kaseya telt zo’n 460 werknemers wereldwijd waarvan er in Nederland 13<br />
werk<strong>en</strong>.<br />
In welke sector opereert uw organis<strong>at</strong>ie?<br />
ICT, namelijk softwareontwikkeling (softwarefabrikant, systeembeheer,<br />
support)<br />
Hoe groot is de IT-organis<strong>at</strong>ie (aantal medewerkers, aantal servers, aantal te<br />
beher<strong>en</strong> applic<strong>at</strong>ies, etc)?<br />
Servers: <strong>en</strong>kele honderd<strong>en</strong>, voor intern gebruik 6 servers. Veel test- <strong>en</strong><br />
ontwikkelservers.<br />
Applic<strong>at</strong>ies: verschilt per afdeling, stuk of 15 - 20<br />
IT-beheerders: 3, echter veel medewerkers zijn IT-experts <strong>en</strong> nem<strong>en</strong> dus<br />
tak<strong>en</strong> over van w<strong>at</strong> normaal de IT-afdeling zou do<strong>en</strong>.<br />
Is <strong>BYOD</strong>-reeds geïmplem<strong>en</strong>teerd in uw organis<strong>at</strong>ie? Ja? Sinds wanneer? Nee,<br />
vanaf wanneer?<br />
Ja. Het idee achter <strong>BYOD</strong> zit heel diep geworteld in deze organis<strong>at</strong>ie. Kaseya<br />
is dan ook begonn<strong>en</strong> als e<strong>en</strong> “cowboyclub” in de VS zo’n 10 jaar geled<strong>en</strong>. De<br />
organis<strong>at</strong>ie is snel gegroeid, <strong>en</strong> de <strong>BYOD</strong> m<strong>en</strong>taliteit is zo geblev<strong>en</strong>. Onze<br />
m<strong>en</strong>s<strong>en</strong> kom<strong>en</strong> snel <strong>en</strong> veel met nieuwe technologie in aanraking. Onze CEO<br />
<strong>bij</strong>voorbeeld, had als e<strong>en</strong> van de eerste e<strong>en</strong> iPhone. Het zit heel diep in<br />
Kaseya geworteld d<strong>at</strong> iedere<strong>en</strong> zijn eig<strong>en</strong> device me<strong>en</strong>eemt <strong>en</strong> gebruikt.<br />
Pagina | 190<br />
Context<br />
Context<br />
Context<br />
Context
VR-5<br />
A-5<br />
VR-6<br />
A-6<br />
VR-7<br />
A-7<br />
VR-8<br />
A-8<br />
Veel gebruikte software <strong>en</strong> applic<strong>at</strong>ies binn<strong>en</strong> Kaseya zijn dan ook ingericht<br />
daarop, ze zijn pl<strong>at</strong>formonafhankelijk. D<strong>en</strong>k aan Google Apps <strong>en</strong><br />
Salesforce.com. De d<strong>at</strong>a is daar<strong>bij</strong> gec<strong>en</strong>traliseerd. Je zou kunn<strong>en</strong> zegg<strong>en</strong><br />
d<strong>at</strong> <strong>BYOD</strong> binn<strong>en</strong> Kaseya in e<strong>en</strong> “unmanaged”-fase zit, de d<strong>at</strong>a is echter wel<br />
goed gemanaged.<br />
Je mag n<strong>at</strong>uurlijk ook kiez<strong>en</strong> voor e<strong>en</strong> laptop van de zaak. De organis<strong>at</strong>ie<br />
geeft m<strong>en</strong>s<strong>en</strong> high-<strong>en</strong>d laptops mee. We zi<strong>en</strong> d<strong>at</strong> m<strong>en</strong>s<strong>en</strong> daar dan ook<br />
gebruik van mak<strong>en</strong>, maar daarnaast ook gewoon hun eig<strong>en</strong> devices<br />
me<strong>en</strong>em<strong>en</strong> <strong>en</strong> gebruik<strong>en</strong>.<br />
Hoeveel medewerkers binn<strong>en</strong> uw organis<strong>at</strong>ie kom<strong>en</strong> in aanmerking voor<br />
<strong>BYOD</strong> of hoeveel mak<strong>en</strong> er daadwerkelijk gebruik van? Is er e<strong>en</strong> bepaalde<br />
m<strong>at</strong>e van zelfredzaamheid waar medewerkers aan moet<strong>en</strong> voldo<strong>en</strong> will<strong>en</strong> ze<br />
in aanmerking kunn<strong>en</strong> kom<strong>en</strong> voor <strong>BYOD</strong>?<br />
Iedere<strong>en</strong> gebruik wel zijn eig<strong>en</strong> devices. Iedere<strong>en</strong> heeft e<strong>en</strong> smartphone.<br />
Werknemers krijg<strong>en</strong> vergoeding voor mobiele telefonie, maar werknemers<br />
hebb<strong>en</strong> dan wel e<strong>en</strong> eig<strong>en</strong> toestel. Werknemers werk<strong>en</strong> vanaf waar ze zijn,<br />
er zitt<strong>en</strong> ook werknemers <strong>bij</strong> die alle<strong>en</strong> maar thuiswerk<strong>en</strong>.<br />
Er geldt d<strong>at</strong> medewerkers helemaal verantwoordelijk zijn voor hun eig<strong>en</strong><br />
appara<strong>at</strong>, <strong>en</strong> de corpor<strong>at</strong>e d<strong>at</strong>a die daarop staan. Het maakt niet uit welk<br />
besturingssysteem ze gebruik<strong>en</strong>. Google Apps <strong>en</strong> SalesForce.com zijn cloud<br />
di<strong>en</strong>st<strong>en</strong>, pl<strong>at</strong>formonafhankelijk, <strong>en</strong> werk<strong>en</strong> dus op alle devices.<br />
W<strong>at</strong> is uw functie in de organis<strong>at</strong>ie?<br />
Technisch directeur voor EMEA<br />
Bij grote project<strong>en</strong> in het buit<strong>en</strong>land b<strong>en</strong> ik ook vaak aanwezig.<br />
Verder b<strong>en</strong> ik het aanspreekpunt vanuit de IT-afdeling. Ik doe ook aan<br />
begeleiding van seminars <strong>en</strong> implem<strong>en</strong>t<strong>at</strong>ieproject<strong>en</strong>. B<strong>en</strong> daarnaast het<br />
aanspreekpunt voor externe, maar ook interne, klant<strong>en</strong>.<br />
B<strong>en</strong>t u betrokk<strong>en</strong> geweest <strong>bij</strong> de totstandkoming van het <strong>BYOD</strong>-beleid, <strong>en</strong><br />
w<strong>at</strong> was uw rol daarin?<br />
B<strong>en</strong> betrokk<strong>en</strong> geweest vanaf begin <strong>bij</strong> nieuwe system<strong>en</strong> <strong>en</strong> hoe die ingericht<br />
moet<strong>en</strong> gaan word<strong>en</strong>. Het is echter e<strong>en</strong> bewuste keuze geweest om<br />
werknemers vrijheid te gev<strong>en</strong> qua device selectie.<br />
Er zijn ge<strong>en</strong> officiële richtlijn<strong>en</strong> m.b.t. <strong>BYOD</strong>. We handel<strong>en</strong> conform de<br />
normale richtlijn<strong>en</strong> m.b.t. computergebruik, de algem<strong>en</strong>e<br />
arbeidsvoorwaard<strong>en</strong>. D<strong>en</strong>k aan d<strong>at</strong> werknemers system<strong>en</strong> niet mog<strong>en</strong><br />
misbruik<strong>en</strong>, goed om moet<strong>en</strong> gaan met gevoelige gegev<strong>en</strong>s etc. Die<br />
voorwaard<strong>en</strong> geld<strong>en</strong> net zo goed voor <strong>BYOD</strong>.<br />
De algem<strong>en</strong>e richtlijn<strong>en</strong> moet<strong>en</strong> in de toekomst aangepast gaan word<strong>en</strong>, d<strong>at</strong><br />
lijkt mij onvermijdelijk. D<strong>at</strong> zal gebeur<strong>en</strong> wanneer er e<strong>en</strong> security-incid<strong>en</strong>t<br />
zal zijn, e<strong>en</strong> slechte case.<br />
In de richtlijn<strong>en</strong> kom<strong>en</strong> waarschijnlijk ook nog specifieke <strong>BYOD</strong> zak<strong>en</strong>, de<br />
organis<strong>at</strong>ie groeit ook dus d<strong>at</strong> zit er wel in de toekomst aan te kom<strong>en</strong>.<br />
B<strong>en</strong>t u goed op de hoogte van de inhoud van de <strong>BYOD</strong>-security, op zowel<br />
str<strong>at</strong>egisch (beleid) als tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau?<br />
Ja, b<strong>en</strong> goed van op de hoogte. Ook omd<strong>at</strong> <strong>BYOD</strong> veel raakvlakk<strong>en</strong> heeft<br />
met w<strong>at</strong> Kaseya voor softwareproduct<strong>en</strong> naar haar eig<strong>en</strong> klant<strong>en</strong> levert. B<strong>en</strong><br />
dus ook vanuit de achtergrond geïnteresseerd <strong>en</strong> goed op de hoogte. Ik weet<br />
goed w<strong>at</strong> mogelijk is <strong>en</strong> w<strong>at</strong> de beperking<strong>en</strong> van oplossing<strong>en</strong> in de markt<br />
zijn.<br />
Pagina | 191<br />
Context<br />
Context<br />
Context<br />
Context
VR-9<br />
A-9<br />
Er heerst binn<strong>en</strong> Kaseya wel het idee d<strong>at</strong> de risico’s van <strong>BYOD</strong> wel<br />
meevall<strong>en</strong>. Als m<strong>en</strong>s<strong>en</strong> kwaadwill<strong>en</strong>, kan d<strong>at</strong> ook op andere manier<strong>en</strong>, buit<strong>en</strong><br />
het <strong>BYOD</strong>-concept om. Er is wel e<strong>en</strong>s eerder e<strong>en</strong> lijst met klantgegev<strong>en</strong>s op<br />
stra<strong>at</strong> gekom<strong>en</strong>. Het zou vervel<strong>en</strong>d zijn wanneer <strong>bij</strong>voorbeeld<br />
omzetgegev<strong>en</strong>s op stra<strong>at</strong> zoud<strong>en</strong> kom<strong>en</strong>, <strong>bij</strong>voorbeeld via e<strong>en</strong> verlor<strong>en</strong><br />
telefoon.<br />
Er is niets te verberg<strong>en</strong> door Kaseya d<strong>at</strong> wanneer het op stra<strong>at</strong> zou kom<strong>en</strong> te<br />
ligg<strong>en</strong>, de schade <strong>en</strong>orm is. We prober<strong>en</strong> goede technologie te mak<strong>en</strong> <strong>en</strong> op<br />
dit manier dominant op de markt te zijn. Worst case zou de softwarecode<br />
van product<strong>en</strong> zijn. Die bescherm<strong>en</strong> we wel zo goed als mogelijk. Als die<br />
uitlekt, via e<strong>en</strong> <strong>BYOD</strong> device. Dan nog steeds, als concurr<strong>en</strong>t de code zou<br />
hebb<strong>en</strong>, is het leed nog steeds te overzi<strong>en</strong>. Het wordt al snel duidelijk d<strong>at</strong><br />
iemand anders Kaseya-code heeft, dan volgt e<strong>en</strong> rechtszaak. Ook al zoud<strong>en</strong><br />
ander<strong>en</strong> die code kopiër<strong>en</strong>, dan is d<strong>at</strong> niet w<strong>at</strong> e<strong>en</strong> product succesvol maakt,<br />
d<strong>at</strong> zijn namelijk de randvoorwaard<strong>en</strong>. Voor externe klant<strong>en</strong> zou d<strong>at</strong> wel<br />
vervel<strong>en</strong>d kunn<strong>en</strong> zijn.<br />
Er zijn ge<strong>en</strong> str<strong>en</strong>ge richtlijn m.b.t. inform<strong>at</strong>iebeveiliging. Kaseya is e<strong>en</strong> heel<br />
transparant bedrijf d<strong>at</strong> niet veel te verberg<strong>en</strong> heeft, maar wel de source code<br />
te bescherm<strong>en</strong>. Alle system<strong>en</strong> zijn zo ingericht d<strong>at</strong> ze risico’s kunn<strong>en</strong><br />
mitiger<strong>en</strong>.<br />
W<strong>at</strong> was de belangrijkste motiv<strong>at</strong>ie om <strong>BYOD</strong>-te implem<strong>en</strong>ter<strong>en</strong>?<br />
De m<strong>en</strong>s<strong>en</strong> in deze organis<strong>at</strong>ie hebb<strong>en</strong> e<strong>en</strong> duidelijke voorkeur voor nieuwe<br />
technologie. Als je d<strong>at</strong> als organis<strong>at</strong>ie ga<strong>at</strong> prober<strong>en</strong> <strong>bij</strong> te b<strong>en</strong><strong>en</strong>, <strong>en</strong> te<br />
lever<strong>en</strong>, blijf je bezig. Het leek ons beter om werknemers zelf te l<strong>at</strong><strong>en</strong><br />
besliss<strong>en</strong>, <strong>en</strong> de kost<strong>en</strong> te vergoed<strong>en</strong>.<br />
Het is e<strong>en</strong> hele pl<strong>at</strong>te organis<strong>at</strong>ie, weinig overhead. M<strong>en</strong>s<strong>en</strong> hebb<strong>en</strong> e<strong>en</strong> hele<br />
duidelijke rol. Iedere<strong>en</strong> runt zijn eig<strong>en</strong> kleine winkeltje. Iedere<strong>en</strong> regelt<br />
ding<strong>en</strong> zelf, ge<strong>en</strong> zin om m<strong>en</strong>s<strong>en</strong> daarvoor aan te nem<strong>en</strong>.<br />
De belangrijkste motiv<strong>at</strong>ie was dus efficiëntie. We will<strong>en</strong> ge<strong>en</strong> organis<strong>at</strong>ie<br />
zijn met veel overhead.<br />
2a. Vrag<strong>en</strong> m.b.t. Deelvraag 1: de totstandkoming <strong>en</strong> inhoud van de<br />
<strong>BYOD</strong>-security, <strong>en</strong> geïmplem<strong>en</strong>teerde security-ma<strong>at</strong>regel<strong>en</strong><br />
Pagina | 192<br />
Context<br />
Vraag nr: Vraag Antwoord op<br />
VR-10<br />
A-10<br />
VR-11<br />
A-11<br />
Welke definitie wordt binn<strong>en</strong> uw organis<strong>at</strong>ie gehanteerd voor het <strong>BYOD</strong>concept?<br />
Werk<strong>en</strong> met je eig<strong>en</strong> appar<strong>at</strong>uur. Werk kunn<strong>en</strong> do<strong>en</strong> a.d.h.v. devices die in<br />
je eig<strong>en</strong> bezit zijn, <strong>en</strong> d<strong>at</strong> op e<strong>en</strong> goede manier kan do<strong>en</strong>. Helemaal vrij dus .<br />
Om welke red<strong>en</strong> heeft uw organis<strong>at</strong>ie overwog<strong>en</strong> om het <strong>BYOD</strong>-concept te<br />
onderzoek<strong>en</strong> <strong>en</strong> mogelijk te implem<strong>en</strong>ter<strong>en</strong>?<br />
Efficiëntie<br />
<strong>BYOD</strong> is niet ingevoerd binn<strong>en</strong> Kaseya, het is gegroeid. Het was er eig<strong>en</strong>lijk<br />
altijd al. In 2003 was de term “<strong>BYOD</strong>” er nog niet, maar m<strong>en</strong>s<strong>en</strong> binn<strong>en</strong><br />
Kaseya hadd<strong>en</strong> to<strong>en</strong> al hun eig<strong>en</strong> devices mee voor zakelijke doeleind<strong>en</strong>.<br />
Deelvraag 1<br />
Deelvraag 1<br />
VR-12 Heeft u, of uw organis<strong>at</strong>ie onderzoek gedaan naar de voor- <strong>en</strong> nadel<strong>en</strong> van Deelvraag 1
A-12<br />
VR-13<br />
A-13<br />
VR-14<br />
A-14<br />
<strong>BYOD</strong> voorafgaand aan de implem<strong>en</strong>t<strong>at</strong>ie ervan? Welke voor- <strong>en</strong> nadel<strong>en</strong><br />
kwam<strong>en</strong> naar vor<strong>en</strong> a.d.h.v. dit vooronderzoek?<br />
We hebb<strong>en</strong> nooit op de tweesprong gestaan om te stopp<strong>en</strong> met <strong>BYOD</strong> of<br />
juist verdergaan. Zijn gewoon meegegaan we ze het niet als gevaar zag<strong>en</strong>.<br />
Als commercieel bedrijf lift<strong>en</strong> we namelijk mee op diezelfde tr<strong>en</strong>d.<br />
Er is ge<strong>en</strong> intern onderzoek gedaan naar de voor- of nadel<strong>en</strong>. Er is wel e<strong>en</strong><br />
<strong>en</strong>quête uitgezet onder e<strong>en</strong> paar honderd IT-managers. Dit was puur markt<br />
verk<strong>en</strong>n<strong>en</strong>d onderzoek om te kijk<strong>en</strong> w<strong>at</strong> de markt wil, in het kader van de<br />
product<strong>en</strong> die Kaseya maakt <strong>en</strong> aanbiedt. Niet voor intern gebruik.<br />
Omd<strong>at</strong> het vanaf het begin al zo was d<strong>at</strong> iedere<strong>en</strong> zijn eig<strong>en</strong> appar<strong>at</strong>uur<br />
mocht gebruik<strong>en</strong> voor zakelijke doeleinde, is er nooit d<strong>at</strong> beslissingsmom<strong>en</strong>t<br />
m.b.t. <strong>BYOD</strong> geweest. Het was meer e<strong>en</strong> evolutie, heeft er altijd zo<br />
ingezet<strong>en</strong> binn<strong>en</strong> Kaseya. D<strong>at</strong> heb je m<strong>en</strong> e<strong>en</strong> rel<strong>at</strong>ief jonge organis<strong>at</strong>ie. En<br />
ook de IT-sector. Daarom is het zo gegroeid.<br />
Hoe heeft uw organis<strong>at</strong>ie, voorafgaand aan de daadwerkelijke accept<strong>at</strong>ie <strong>en</strong><br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept, geanticipeerd op mogelijke extra<br />
risico’s <strong>en</strong> m.b.t. de inform<strong>at</strong>iebeveiliging?<br />
Ja, met de selectie van system<strong>en</strong>. Google Apps <strong>bij</strong>voorbeeld. Tuurlijk staan<br />
gegev<strong>en</strong>s ook in de lokale cache, als je die account blokkeert. Dan is de d<strong>at</strong>a<br />
echter niet meer aanspreekbaar, <strong>en</strong> de toegang geblokkeerd. Bij uit di<strong>en</strong>st<br />
gaan van de werknemers is het risico geminimaliseerd van lekk<strong>en</strong> van d<strong>at</strong>a.<br />
Corpor<strong>at</strong>e eig<strong>en</strong>domm<strong>en</strong>, zoals e<strong>en</strong> laptop moet<strong>en</strong> wel voorzi<strong>en</strong> zijn van e<strong>en</strong><br />
eig<strong>en</strong> Kaseya ag<strong>en</strong>t. Daarmee kan de laptop beveiligd word<strong>en</strong>, ev<strong>en</strong>als<br />
track<strong>en</strong> <strong>en</strong> wip<strong>en</strong>. Kaseya wil namelijk wel PCI compliant zijn, er word<strong>en</strong><br />
namelijk wel o.a. creditcard transacties intern uitgevoerd. IT policies zijn dus<br />
wel strikter <strong>bij</strong> corpor<strong>at</strong>e devices. Interne assests vs. externe assets.<br />
Kaseya maakt het niet verplicht om deze eig<strong>en</strong> Kaseya ag<strong>en</strong>t te installer<strong>en</strong><br />
op <strong>BYOD</strong> devices. Wellicht in de toekomst als de organis<strong>at</strong>ie nog groter<br />
wordt.<br />
Wil je echter <strong>bij</strong> ontwikkelservers, of lic<strong>en</strong>tie managem<strong>en</strong>t system<strong>en</strong> kom<strong>en</strong>,<br />
dan moet je gebruik mak<strong>en</strong> van e<strong>en</strong> verplichte VPN verbinding <strong>en</strong> moet de<br />
Kaseya ag<strong>en</strong>t geïnstalleerd zijn. Die checkt namelijk op miss<strong>en</strong>de p<strong>at</strong>ches <strong>en</strong><br />
upd<strong>at</strong>es, heeft antivirus aan boord. De ag<strong>en</strong>t checkt of alles in orde is<br />
voord<strong>at</strong> je toegang krijgt tot kritieke Kaseya system<strong>en</strong>. Deze ag<strong>en</strong>t werkt<br />
nog niet op tablets.<br />
Er is nog weinig wet<strong>en</strong>schappelijke k<strong>en</strong>nis m.b.t. <strong>BYOD</strong> <strong>en</strong> de effect<strong>en</strong><br />
daarvan op organis<strong>at</strong>ies, inform<strong>at</strong>iebeveiliging <strong>en</strong> werknemers. Op basis<br />
waarvan heeft u invulling gegev<strong>en</strong> aan uw huidige <strong>BYOD</strong>-security?<br />
We hebb<strong>en</strong> ge<strong>en</strong> specifieke papers of wet<strong>en</strong>schappelijke public<strong>at</strong>ies gelez<strong>en</strong>.<br />
Er is veel k<strong>en</strong>nis <strong>en</strong> ervaring in onze organis<strong>at</strong>ie, die gebruik<strong>en</strong> we dan ook<br />
<strong>en</strong> volg<strong>en</strong> onze eig<strong>en</strong> intuïtie daarin.<br />
In onze optiek zitt<strong>en</strong> er veel voordel<strong>en</strong> aan <strong>BYOD</strong> <strong>en</strong> weinig nadel<strong>en</strong>.<br />
Het verlaagt <strong>bij</strong>voorbeeld de supportdruk, werknemers zoek<strong>en</strong> het zelf wel<br />
uit want het is immers hun eig<strong>en</strong> appara<strong>at</strong>.<br />
Kaseya draait 24/7 door, soms in de nacht e<strong>en</strong> meeting, of ’s-avonds op mail<br />
reager<strong>en</strong>. D<strong>at</strong> kan heel goed met <strong>BYOD</strong> devices <strong>en</strong> m<strong>en</strong>taliteit. <strong>Security</strong> is<br />
het <strong>en</strong>ige nadeel, maar daar zijn wel goede oplossing<strong>en</strong>. Kortom: de<br />
voordel<strong>en</strong> weg<strong>en</strong> op teg<strong>en</strong> de nadel<strong>en</strong> vind<strong>en</strong> wij.<br />
Pagina | 193<br />
Deelvraag 1<br />
Deelvraag 1
VR-15<br />
A-15<br />
VR-16<br />
A-16<br />
VR-17<br />
A-17<br />
VR-18<br />
A-18<br />
VR-19<br />
A-19<br />
Welke afdeling<strong>en</strong> <strong>en</strong> medewerkers zijn betrokk<strong>en</strong> geweest <strong>bij</strong> de<br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept <strong>en</strong> de inform<strong>at</strong>iebeveiliging daar<br />
omhe<strong>en</strong>?<br />
Het is begonn<strong>en</strong> <strong>bij</strong> onze CEO, die had e<strong>en</strong> duidelijke visie (ge<strong>en</strong> overhead).<br />
M<strong>en</strong>s<strong>en</strong> moet<strong>en</strong> binn<strong>en</strong> Kaseya verantwoordelijk zijn voor hun eig<strong>en</strong> gedrag<br />
<strong>en</strong> w<strong>at</strong> ze do<strong>en</strong>. Bij het aannem<strong>en</strong> van andere m<strong>en</strong>s<strong>en</strong> is d<strong>at</strong> voortgezet, het<br />
is <strong>bij</strong> de top begonn<strong>en</strong>, die zeer vooruitstrev<strong>en</strong>d is. D<strong>at</strong> is naar b<strong>en</strong>ed<strong>en</strong><br />
gesijpeld naar alle werknemers van Kaseya. <strong>BYOD</strong> zit in onze<br />
organis<strong>at</strong>iecultuur. En ik b<strong>en</strong> er zelf <strong>bij</strong> betrokk<strong>en</strong> geweest.<br />
Het “beslissingsmom<strong>en</strong>t” (zie antwoord op vraag 12) om door te gaan met<br />
<strong>BYOD</strong> zou eerder terugdraai<strong>en</strong> zijn. D<strong>at</strong> was de <strong>en</strong>ige beslissing die we<br />
kond<strong>en</strong> nem<strong>en</strong>, want verdergaan is ge<strong>en</strong> beslissing. De <strong>en</strong>ige beslissing was<br />
dus om de kraan dicht te draai<strong>en</strong>. D<strong>at</strong> neemt echter privileges weg <strong>bij</strong><br />
werknemers, die zoud<strong>en</strong> dan gaan steiger<strong>en</strong>. Het zou weinig voordel<strong>en</strong><br />
hebb<strong>en</strong> gehad om <strong>BYOD</strong> te beëindig<strong>en</strong>, mede omd<strong>at</strong> werknemers al zo hard<br />
werk<strong>en</strong> met de mogelijkhed<strong>en</strong> die er zijn.<br />
Kunt u gedetailleerd beschrijv<strong>en</strong> hoe d<strong>at</strong> proces, de totstandkoming van de<br />
<strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ie <strong>en</strong> de inform<strong>at</strong>iebeveiliging daaromhe<strong>en</strong>, tot stand is<br />
gekom<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie?<br />
Het is binn<strong>en</strong> Kaseya echt gegroeid, zie eerdere antwoord<strong>en</strong>. Dit is dan ook<br />
het nieuwe werk<strong>en</strong>. Werknemers werk<strong>en</strong> waar ze zijn met de middel<strong>en</strong> die<br />
ze hebb<strong>en</strong>, online. Er wordt niet op ur<strong>en</strong>, maar prest<strong>at</strong>ie afgerek<strong>en</strong>d. Het hoe<br />
<strong>en</strong> wanneer, is aan de werknemer zelf.<br />
Hoe wijkt de inform<strong>at</strong>iebeveiliging m.b.t. de implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>concept<br />
binn<strong>en</strong> uw organis<strong>at</strong>ie af van die <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong> die ge<strong>en</strong><br />
eig<strong>en</strong>dom zijn van de werknemers, maar uw IT-afdeling?<br />
Technologisch gezi<strong>en</strong> is het ongeveer vergelijkbaar d<strong>en</strong>k ik. Het grootste<br />
verschil is het pl<strong>at</strong>form, Apple’s iOS is zo anders opgezet dan <strong>bij</strong>voorbeeld<br />
Microsoft Windows. iOS is erg geslot<strong>en</strong>, d<strong>at</strong> heeft zo zijn voordel<strong>en</strong> op<br />
security vlak <strong>en</strong> dus minder risico’s.<br />
Ik b<strong>en</strong> van m<strong>en</strong>ing d<strong>at</strong> corpor<strong>at</strong>e devices veel lastiger <strong>en</strong> moeilijker te<br />
manag<strong>en</strong> zijn. D<strong>en</strong>k aan alle tools die je moet gebruik<strong>en</strong> om USB poort<strong>en</strong> <strong>en</strong><br />
devices te blokker<strong>en</strong>, applic<strong>at</strong>ies te blokk<strong>en</strong>, track<strong>en</strong>, wip<strong>en</strong>, antivirus<br />
manag<strong>en</strong> etc. Nieuwe appar<strong>at</strong><strong>en</strong> zoals tablets, zitt<strong>en</strong> simpeler in elkaar, echt<br />
e<strong>en</strong> nieuwe g<strong>en</strong>er<strong>at</strong>ie. De beveiligingsrisico’s zijn daardoor minder.<br />
Grootste verschil is het eig<strong>en</strong>domsverhaal, het juridische aspect. Bij<br />
corpor<strong>at</strong>e devices kan je wip<strong>en</strong> zonder d<strong>at</strong> het vraagtek<strong>en</strong>s oproept, maar <strong>bij</strong><br />
<strong>BYOD</strong> devices is er op d<strong>at</strong> vlak<strong>en</strong> e<strong>en</strong> zegg<strong>en</strong>schapsprobleem.<br />
De overe<strong>en</strong>komst tuss<strong>en</strong> g<strong>en</strong>erieke beveiliging van mobiele appar<strong>at</strong><strong>en</strong><br />
<strong>en</strong>erzijds <strong>en</strong> <strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> anderzijds, is de bescherming van gegev<strong>en</strong>s.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van het<br />
security-beleid d<strong>at</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie wordt gehanteerd m.b.t. <strong>BYOD</strong>?<br />
Er is ge<strong>en</strong> <strong>BYOD</strong> security-beleid, d<strong>at</strong> ga<strong>at</strong> er (onvermijdelijk) wel kom<strong>en</strong>. Zal<br />
wel erg<strong>en</strong>s in de arbeidsvoorwaard<strong>en</strong> kom<strong>en</strong> te staan.<br />
Hoe effectief is dit security-beleid?<br />
Zie vorig antwoord, niet van toepassing want er is ge<strong>en</strong> <strong>BYOD</strong> securitybeleid.<br />
Pagina | 194<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
VR-20 Wordt in dit security-beleid ook voorgeschrev<strong>en</strong> d<strong>at</strong> bepaalde software Deelvraag 1
A-20<br />
VR-21<br />
A-21<br />
VR-22<br />
A-22<br />
VR-23<br />
A-23<br />
VR-24<br />
A-24<br />
VR-25<br />
A-25<br />
(apps) wel/niet gebruikt mag word<strong>en</strong>?<br />
Zie vorig antwoord, niet van toepassing want er is ge<strong>en</strong> <strong>BYOD</strong> securitybeleid.<br />
In de toekomst kan ik me voorstell<strong>en</strong> d<strong>at</strong> onze Kaseya cli<strong>en</strong>t voor alle<br />
medewerkers met <strong>BYOD</strong> verplicht zou kunn<strong>en</strong> word<strong>en</strong>.<br />
Omd<strong>at</strong> er allemaal cloud-di<strong>en</strong>st<strong>en</strong> word<strong>en</strong> gebruikt, is d<strong>at</strong> moeilijk te<br />
realiser<strong>en</strong>. Je kan niet overal op persoonlijke appar<strong>at</strong><strong>en</strong> Google Apps gaan<br />
blokker<strong>en</strong>. Enige w<strong>at</strong> ze kunn<strong>en</strong> do<strong>en</strong>, is de cloud-di<strong>en</strong>st<strong>en</strong> niet meer<br />
gebruik<strong>en</strong> <strong>en</strong> alles naar e<strong>en</strong> eig<strong>en</strong> netwerk toetrekk<strong>en</strong>. Maar ik verwacht niet<br />
d<strong>at</strong> dit ga<strong>at</strong> gebeur<strong>en</strong>.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van de<br />
(technische) security-ma<strong>at</strong>regel<strong>en</strong> die binn<strong>en</strong> uw organis<strong>at</strong>ie zijn<br />
geïmplem<strong>en</strong>teerd m.b.t. <strong>BYOD</strong>?<br />
Bij Kaseya ontwikkel <strong>en</strong> lic<strong>en</strong>tieservers is VPN nodig <strong>en</strong> de Kaseya ag<strong>en</strong>t.<br />
Verder begint het <strong>bij</strong> de applic<strong>at</strong>ies die je als organis<strong>at</strong>ie selecteert, zoals<br />
Google Apps/Docs. Verder versleutel<strong>en</strong> van alle verzond<strong>en</strong>/ontvang<strong>en</strong> d<strong>at</strong>a.<br />
Verder forcer<strong>en</strong> we <strong>bij</strong> <strong>BYOD</strong> appar<strong>at</strong>uur ge<strong>en</strong> andere technische security<br />
ma<strong>at</strong>regel<strong>en</strong>, zelfs ge<strong>en</strong> pincode. Werknemers moet<strong>en</strong> dit naar eig<strong>en</strong> inzicht<br />
zelf instell<strong>en</strong> <strong>en</strong>/of regel<strong>en</strong>.<br />
Hoe effectief zijn deze security-ma<strong>at</strong>regel<strong>en</strong>?<br />
De VPN server versleuteld al het verkeer, dus d<strong>at</strong> is vrij effectief. Onze<br />
Kaseya ag<strong>en</strong>t controleert ook of alle andere randvoorwaard<strong>en</strong> in orde zijn,<br />
zoals p<strong>at</strong>ches, antivirus <strong>en</strong> upd<strong>at</strong>es. D<strong>at</strong> is dus ook effectief.<br />
Kan met deze security-ma<strong>at</strong>regel<strong>en</strong> ook word<strong>en</strong> afgedwong<strong>en</strong> welke<br />
software (apps) wel/niet gebruikt kan word<strong>en</strong> door ze op afstand te<br />
verwijder<strong>en</strong> of blokker<strong>en</strong>?<br />
Nee, d<strong>at</strong> is niet mogelijk.<br />
Stelt uw organis<strong>at</strong>ie ook zelf software (apps) beschikbaar?<br />
Alle<strong>en</strong> de Kaseya device ag<strong>en</strong>t, maar die is meer voor externe klant<strong>en</strong> <strong>en</strong><br />
niet voor intern gebruik. Verder gebruik<strong>en</strong> we apps van partij<strong>en</strong> die Kaseya<br />
werknemers gebruik<strong>en</strong>, zoals de app van SalesForce.com <strong>en</strong> Google Apps.<br />
Welke aanpassing<strong>en</strong> aan het security-beleid <strong>en</strong> technische securityma<strong>at</strong>regel<strong>en</strong><br />
in het kader van <strong>BYOD</strong> zou u <strong>bij</strong> e<strong>en</strong> volg<strong>en</strong>de herzi<strong>en</strong>ing will<strong>en</strong><br />
doorvoer<strong>en</strong>? En waarom?<br />
Wij zijn e<strong>en</strong> Amerikaans bedrijf, dus er zull<strong>en</strong> wel w<strong>at</strong> kleine lettertjes <strong>bij</strong><br />
kom<strong>en</strong>. Die zull<strong>en</strong> gaan over w<strong>at</strong> allemaal niet mag <strong>en</strong> welke straf je kan<br />
krijg<strong>en</strong>. Hiermee schuift Kaseya verantwoordelijkheid van zich af om<br />
rechtszak<strong>en</strong> te voorkom<strong>en</strong>. Zijn e<strong>en</strong> Amerikaans bedrijf he? <br />
E<strong>en</strong> fair use policy, je draagt zorg voor je eig<strong>en</strong> beveiliging van je device. Als<br />
jij ding<strong>en</strong> doet die echt niet door de beugel kunn<strong>en</strong>, zoals illegale software,<br />
dan b<strong>en</strong> je daar zelf verantwoordelijk voor. Omd<strong>at</strong> <strong>BYOD</strong> appar<strong>at</strong><strong>en</strong> ge<strong>en</strong><br />
company assets zijn, kan je niets verbied<strong>en</strong>. Ook Jailbreak<strong>en</strong> niet. Dus d<strong>at</strong><br />
zal in de toekomst ook niet gebeur<strong>en</strong>. Er komt vanuit HR wel e<strong>en</strong> aanpassing<br />
van de voorwaard<strong>en</strong>. Dit hoort <strong>bij</strong> het volwass<strong>en</strong> word<strong>en</strong> van het <strong>BYOD</strong>concept.<br />
Voornamelijk met de int<strong>en</strong>tie van het van het afschuiv<strong>en</strong> van de<br />
plicht<strong>en</strong> <strong>en</strong> recht<strong>en</strong>, d<strong>at</strong> is de primaire red<strong>en</strong>. Amerikaanse insteek.<br />
Pagina | 195<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
2b. Vrag<strong>en</strong> m.b.t. Deelvraag 2: <strong>privacy</strong>problem<strong>en</strong> van medewerkers door<br />
de gekoz<strong>en</strong> <strong>BYOD</strong>-security<br />
Vraag nr: Vraag Antwoord op<br />
VR-26<br />
A-26<br />
VR-27<br />
A-27<br />
VR-28<br />
A-28<br />
VR-29<br />
A-29<br />
VR-30<br />
A-30<br />
Zijn er voorwaard<strong>en</strong> waar uw werknemers mee akkoord moet<strong>en</strong> gaan<br />
voord<strong>at</strong> ze gebruik kunn<strong>en</strong> mak<strong>en</strong> van het <strong>BYOD</strong>-concept binn<strong>en</strong> uw<br />
organis<strong>at</strong>ie? Kunt u deze voorwaard<strong>en</strong> op hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Nee, iedere<strong>en</strong> ga<strong>at</strong> akkoord met dezelfde algem<strong>en</strong>e voorwaard<strong>en</strong>. Dit<br />
arbeidsreglem<strong>en</strong>t ga<strong>at</strong> niet specifiek in op <strong>BYOD</strong> <strong>en</strong> is voor iedere<strong>en</strong> gelijk.<br />
W<strong>at</strong> gebeurt er wanneer e<strong>en</strong> medewerker niet akkoord ga<strong>at</strong> met deze<br />
voorwaard<strong>en</strong>, maar wel de eig<strong>en</strong> hardware (met daarop eig<strong>en</strong> software) wil<br />
gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>?<br />
Niet akkoord met het arbeidsreglem<strong>en</strong>t? Dan tek<strong>en</strong> je je contract niet, dus<br />
niet in di<strong>en</strong>st.<br />
Welke technische security-ma<strong>at</strong>regel<strong>en</strong> zorg<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie, in de<br />
context van het <strong>BYOD</strong>-concept voor id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie<br />
van de werknemers-eig<strong>en</strong> hardware op het bedrijfsnetwerk? Kunt u deze<br />
ma<strong>at</strong>regel<strong>en</strong> in hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Alle kantor<strong>en</strong> hebb<strong>en</strong> Wifi access points, die word<strong>en</strong> op e<strong>en</strong> g<strong>en</strong>erieke, goeie<br />
manier beveiligd. Is niet specifiek voor <strong>BYOD</strong>, ook <strong>bij</strong> corpor<strong>at</strong>e devices,<br />
maar is wel e<strong>en</strong> belangrijke randvoorwaard<strong>en</strong> om op de kantor<strong>en</strong> goed veilig<br />
te werk<strong>en</strong>. De infrastructuur is dus veilig want de router firmware wordt ook<br />
goed <strong>bij</strong>gehoud<strong>en</strong>, er is WPA 2 versleuteling e<strong>en</strong> goed wachtwoord op de<br />
router <strong>en</strong> het netwerk zelf etc.<br />
Hebb<strong>en</strong> deze technische security-ma<strong>at</strong>regel<strong>en</strong> alle<strong>en</strong> invloed op de zakelijke<br />
applic<strong>at</strong>ies, mogelijkhed<strong>en</strong> <strong>en</strong> (toegang tot) bedrijfsgegev<strong>en</strong>s? Of hebb<strong>en</strong> ze<br />
ook invloed op het privégebruik, privésoftware (apps) <strong>en</strong> privégegev<strong>en</strong>s van<br />
de werknemer?<br />
Ze forcer<strong>en</strong> niets w<strong>at</strong> impact ga<strong>at</strong> hebb<strong>en</strong> op je privé d<strong>at</strong>a. De Kaseya ag<strong>en</strong>t,<br />
als je die zou installer<strong>en</strong> op je <strong>BYOD</strong> heeft echter wel toegang tot het hele<br />
systeem. D<strong>at</strong> moet vanuit security perspectief. Maar deze ag<strong>en</strong>t doet niets<br />
met privé bestand<strong>en</strong>.<br />
Maakt uw organis<strong>at</strong>ie gebruik van Mobile Device Managem<strong>en</strong>t (MDM) of<br />
Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t (MAM) software om <strong>BYOD</strong>-hardware, <strong>en</strong> de<br />
software (apps) <strong>en</strong> gegev<strong>en</strong>s daarop, te beveilig<strong>en</strong> <strong>en</strong> beher<strong>en</strong>? Zo Ja, hoe<br />
effectief is dit? Zo Nee, waarom niet?<br />
Er is voor de software voor externe klant<strong>en</strong> e<strong>en</strong> module voor Mobiel Device<br />
Managem<strong>en</strong>t (MDM). Die module kan niet differ<strong>en</strong>tiër<strong>en</strong> tuss<strong>en</strong> zakelijk <strong>en</strong><br />
privé d<strong>at</strong>a. De ag<strong>en</strong>t kan wel beleid forcer<strong>en</strong>, mail <strong>en</strong> Wifi configurer<strong>en</strong>,<br />
security instelling<strong>en</strong> doorvoer<strong>en</strong>, track<strong>en</strong>, remote wip<strong>en</strong> etc.<br />
De huidige pl<strong>at</strong>form<strong>en</strong> waar Kaseya-software voor ontworp<strong>en</strong> is, mak<strong>en</strong> het<br />
onmogelijk om sommige corpor<strong>at</strong>e apps te verwijder<strong>en</strong>. T<strong>en</strong>zij jailbreak<br />
(want recht<strong>en</strong>kwestie), d<strong>at</strong> zou het e<strong>en</strong> stuk simpeler mak<strong>en</strong>.<br />
Met die MDM module van Kaseya kan <strong>bij</strong> Apple appar<strong>at</strong><strong>en</strong> apps blokker<strong>en</strong>, de<br />
apps-store blokker<strong>en</strong>, expliciete cont<strong>en</strong>t <strong>bij</strong> Safari of YouTube blokker<strong>en</strong>, de<br />
camera functie blokker<strong>en</strong> etc. D<strong>at</strong> ga<strong>at</strong> w<strong>at</strong> dieper op iOS devices dan <strong>bij</strong><br />
andere pl<strong>at</strong>form<strong>en</strong>, want iOS biedt meer mogelijkhed<strong>en</strong>.<br />
Pagina | 196<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
VR-31<br />
A-31<br />
VR-32<br />
A-32<br />
VR-33<br />
A-33<br />
Die MDM module is beschikbaar voor interne klant<strong>en</strong>, maar wordt niet<br />
gebruikt. De k<strong>en</strong>nis <strong>en</strong> het product is er al voor externe klant<strong>en</strong>, kan dus ook<br />
intern word<strong>en</strong> gebruikt. Voor Android is er ook e<strong>en</strong> MDM cli<strong>en</strong>t/apps. Deze<br />
scant echter niet op malware of op<strong>en</strong> poort<strong>en</strong>.<br />
Kaseya ga<strong>at</strong> ervan uit d<strong>at</strong>, omd<strong>at</strong> ze alles al in de cloud gebruik<strong>en</strong>, d<strong>at</strong> het<br />
pl<strong>at</strong>form als onveilig gezi<strong>en</strong> moet word<strong>en</strong>.<br />
Is deze Mobile Device Managem<strong>en</strong>t software in sta<strong>at</strong> om te controler<strong>en</strong> of<br />
het besturingssysteem of de firmware van de <strong>BYOD</strong>-hardware aangepast is<br />
zod<strong>at</strong> software <strong>en</strong> functionaliteit toegevoegd kan word<strong>en</strong> die oorspronkelijk<br />
niet door de fabrikant is toegestaan? (Jailbreak<strong>en</strong>/Root<strong>en</strong>)<br />
Ja, onze MDM module checkt <strong>en</strong> kan ook aanton<strong>en</strong> d<strong>at</strong> de iPad gejailbreakt<br />
is. Onder andere wanneer de bek<strong>en</strong>de Cydia app erop sta<strong>at</strong>, d<strong>at</strong> kan<br />
namelijk alle<strong>en</strong> na e<strong>en</strong> jailbreak. Bij Android appar<strong>at</strong><strong>en</strong> kan gezi<strong>en</strong> word<strong>en</strong><br />
welke firmware erop sta<strong>at</strong>. Op basis daarvan kunn<strong>en</strong> wij zi<strong>en</strong> of hij “geroot”<br />
is.<br />
Volg<strong>en</strong>s rec<strong>en</strong>te vakliter<strong>at</strong>uur kan mobile malware e<strong>en</strong> grote bedreiging<br />
vorm<strong>en</strong> voor vertrouwelijke bedrijfsgegev<strong>en</strong>s op <strong>BYOD</strong>-hardware. Zijn uw<br />
werknemers daarom verplicht om mobile security software te installer<strong>en</strong>? Zo<br />
Ja, wie is dan verantwoordelijk voor upd<strong>at</strong>es, p<strong>at</strong>ches <strong>en</strong> e<strong>en</strong> optimale<br />
bescherming? Zo Nee, hoe voorkomt uw organis<strong>at</strong>ie dan d<strong>at</strong> <strong>BYOD</strong>-hardware<br />
besmet raakt met malware <strong>en</strong> vertrouwelijke bedrijfsgegev<strong>en</strong>s (<strong>en</strong> privé<br />
gegev<strong>en</strong>s) daardoor in verkeerde hand<strong>en</strong> vall<strong>en</strong>?<br />
Ja, <strong>bij</strong> laptops zeker. Bij Android <strong>en</strong> iOS niet. Ik sluit niet uit d<strong>at</strong> die alsnog<br />
ga<strong>at</strong> gebeur<strong>en</strong> in de toekomst. Voor wie het wil kan er e<strong>en</strong> manag<strong>en</strong>d ag<strong>en</strong>t<br />
met Kaspersky-<strong>en</strong>gine word<strong>en</strong> geïnstalleerd.<br />
Voor corpor<strong>at</strong>e devices is het verplicht, voor privé (<strong>BYOD</strong>) devices kunn<strong>en</strong><br />
we het niet verplicht<strong>en</strong>. En d<strong>at</strong> will<strong>en</strong> we ook niet. Keuze is aan de<br />
werknemers zelf <strong>bij</strong> <strong>BYOD</strong> appara<strong>at</strong>. Bij company (corpor<strong>at</strong>e) appar<strong>at</strong><strong>en</strong><br />
prober<strong>en</strong> we n<strong>at</strong>uurlijk om het lekk<strong>en</strong> van gegev<strong>en</strong>s <strong>en</strong> veiligheidsrisico’s te<br />
beperk<strong>en</strong>, d<strong>at</strong> lukt ons aardig goed. Bij <strong>BYOD</strong> devices zijn werknemers zelf<br />
verantwoordelijk daarvoor.<br />
E<strong>en</strong> besmetting met mobile malware zou in theorie niet teveel schade mog<strong>en</strong><br />
oplever<strong>en</strong> door de aard van de cloud-applic<strong>at</strong>ies die word<strong>en</strong> gebruikt door<br />
Kaseya. Er wordt namelijk al uitgegaan van e<strong>en</strong> standaard onveilig systeem<br />
<strong>en</strong> daarop is geanticipeerd. Er wordt al uitgegaan van e<strong>en</strong> worst case, maar<br />
kan nog steeds e<strong>en</strong> stapje beter.<br />
Bij keyloggers <strong>bij</strong>voorbeeld kan nog steeds username/password word<strong>en</strong><br />
onderschept. Ik verwacht d<strong>at</strong> er binn<strong>en</strong>kort wellicht wordt beslot<strong>en</strong> om<br />
auth<strong>en</strong>tic<strong>at</strong>ie op de smartphone extra te forcer<strong>en</strong> geforceerd. D<strong>at</strong> is nu al zo<br />
<strong>bij</strong> Salesforce.com <strong>en</strong> VPN, de extra laag in auth<strong>en</strong>tic<strong>at</strong>ie. Kan dus stapje<br />
verder nog.<br />
Binn<strong>en</strong> de context van het <strong>BYOD</strong>-concept, doet uw organis<strong>at</strong>ie aan D<strong>at</strong>a<br />
Leakage Protection (DLP)? D<strong>en</strong>k hier<strong>bij</strong> aan <strong>en</strong>cryptie van het interne<br />
geheug<strong>en</strong> <strong>en</strong>/of verwisselbare opslag. Zo Ja, omv<strong>at</strong> dit dan alle<strong>en</strong> zakelijke<br />
of ook privé gegev<strong>en</strong>s? Zo Nee, waarom niet?<br />
Nee, daar doet Kaseya niets aan. Wordt niet echt over nagedacht. Blijft de<br />
verantwoordelijkheid van werknemer zelf. Ook ge<strong>en</strong> <strong>en</strong>cryptie van corpor<strong>at</strong>e<br />
system<strong>en</strong>. Wordt ook niet verwacht d<strong>at</strong> dit ga<strong>at</strong> kom<strong>en</strong>, eerder<br />
gec<strong>en</strong>traliseerd oploss<strong>en</strong> dan op de <strong>en</strong>d-points.<br />
VR-34 Welke controle <strong>en</strong>/of bevoegdheid heeft uw organis<strong>at</strong>ie over de<br />
(privé)inform<strong>at</strong>ie die aanwezig is op de hardware die eig<strong>en</strong>dom is van de<br />
Pagina | 197<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
A-34<br />
VR-35<br />
A-35<br />
VR-36<br />
A-36<br />
VR-37<br />
A-37<br />
VR-38<br />
A-38<br />
VR-39<br />
A-39<br />
VR-40<br />
A-40<br />
medewerker?<br />
Ge<strong>en</strong> controle, ge<strong>en</strong> bevoegdheid.<br />
Kunt u beschrijv<strong>en</strong> wanneer, <strong>en</strong> in welke gevall<strong>en</strong> uw organis<strong>at</strong>ie deze<br />
controle <strong>en</strong> bevoegdheid kan <strong>en</strong> mag uitoef<strong>en</strong><strong>en</strong>?<br />
Het is nog nooit gebeurd, maar er zijn sc<strong>en</strong>ario’s d<strong>en</strong>kbaar. Bijvoorbeeld<br />
wanneer iemand in de managem<strong>en</strong>tlaag dit aangeeft. Bij wijze van<br />
uitzondering kan vanaf bov<strong>en</strong>af in de organis<strong>at</strong>ie e<strong>en</strong> remote wipe geïnitieerd<br />
kunn<strong>en</strong> word<strong>en</strong>. Het is echt alle<strong>en</strong> de bov<strong>en</strong>ste organis<strong>at</strong>ielaag, managem<strong>en</strong>t<br />
of CEO, die d<strong>at</strong> kan afdwing<strong>en</strong> als daar e<strong>en</strong> <strong>bij</strong>zonder goede red<strong>en</strong> voor is.<br />
Dan moet er ook echt wel iets serieus aan de hand zijn.<br />
Kunn<strong>en</strong> uw werknemers (privé)inform<strong>at</strong>ie op hardware, die ook wordt<br />
gebruikt voor zakelijke doeleind<strong>en</strong>, afscherm<strong>en</strong> teg<strong>en</strong> deze controle of<br />
bevoegdhed<strong>en</strong>?<br />
Niet van toepassing<br />
Hoe voorkomt u d<strong>at</strong> (IT)medewerkers van de organis<strong>at</strong>ie software of<br />
gegev<strong>en</strong>s, die aanwezig zijn op de hardware van de medewerker, zonder<br />
toestemming kunn<strong>en</strong> inzi<strong>en</strong>, aanpass<strong>en</strong>, vergr<strong>en</strong>del<strong>en</strong>, kopiër<strong>en</strong> of<br />
verwijder<strong>en</strong>?<br />
D<strong>at</strong> is niet mogelijk, want de software draait niet op o.a. iPads. Bij andere<br />
<strong>BYOD</strong>-appar<strong>at</strong><strong>en</strong> is die software niet verplicht <strong>en</strong> dus ook niet geïnstalleerd.<br />
Wanneer, <strong>en</strong> in welke gevall<strong>en</strong>, mag e<strong>en</strong> werknemer van uw IT-afdeling<br />
overgaan tot op afstand wiss<strong>en</strong> of blokker<strong>en</strong> van het werknemers-eig<strong>en</strong><br />
appara<strong>at</strong>?<br />
Zie vorige vraag, is niet mogelijk want dan moet die Kaseya ag<strong>en</strong>t erop<br />
staan. Die is niet verplicht. Als deze Kaseya ag<strong>en</strong>t er wel op sta<strong>at</strong>, dan is het<br />
wel mogelijk. D<strong>en</strong>k dan aan e<strong>en</strong> verlor<strong>en</strong> of gestol<strong>en</strong> appara<strong>at</strong>.<br />
Kan er <strong>bij</strong> op afstand wiss<strong>en</strong> of blokker<strong>en</strong> onderscheid gemaakt word<strong>en</strong><br />
tuss<strong>en</strong> software/gegev<strong>en</strong>s behor<strong>en</strong>de <strong>bij</strong> de organis<strong>at</strong>ie <strong>en</strong>erzijds of de<br />
eig<strong>en</strong>aar van de hardware, anderzijds?<br />
Remote wipe is e<strong>en</strong> paard<strong>en</strong>middel, dan is het echt alles eraf ook privé<br />
gegev<strong>en</strong>s. Kan alle<strong>en</strong> als de Kaseya ag<strong>en</strong>t geïnstalleerd is, <strong>en</strong> d<strong>at</strong> is het <strong>bij</strong><br />
<strong>BYOD</strong> appar<strong>at</strong><strong>en</strong> <strong>bij</strong>na nooit, want niet verplicht. Vaak kan remote wipe dus<br />
niet. Ook m<strong>en</strong>s<strong>en</strong> hoog in de organis<strong>at</strong>ie, met veel gevoelige gegev<strong>en</strong>s op<br />
hun device, hebb<strong>en</strong> vrijwel nooit deze Kaseya ag<strong>en</strong>t geïnstalleerd om erger<br />
te voorkom<strong>en</strong> <strong>bij</strong> diefstal of verlies. De ag<strong>en</strong>t is primair voor demo<br />
doeleind<strong>en</strong>.<br />
M<strong>en</strong>s<strong>en</strong> werk<strong>en</strong> primair met cloudoplossing<strong>en</strong>, dus wanneer e<strong>en</strong> device is<br />
gestol<strong>en</strong> of verlor<strong>en</strong> kan je hem ontkoppel<strong>en</strong> van die cloud-di<strong>en</strong>st <strong>en</strong> ze<br />
kunn<strong>en</strong> nerg<strong>en</strong>s meer <strong>bij</strong>.<br />
Welk beleid, <strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong>, zijn <strong>bij</strong> uw organis<strong>at</strong>ie van toepassing<br />
wanneer e<strong>en</strong> werknemer hardware als verlor<strong>en</strong> of gestol<strong>en</strong> opgeeft, <strong>en</strong> waar<br />
bedrijfsgegev<strong>en</strong>s op staan of toegang daartoe?<br />
Onlangs is er e<strong>en</strong> corpor<strong>at</strong>e laptop uit iemands auto gestol<strong>en</strong>, waar ook privé<br />
gegev<strong>en</strong>s op staan <strong>en</strong> de werknemer local admin was. Dan wordt het<br />
incid<strong>en</strong>t <strong>bij</strong> de IT-afdeling gemeld, word<strong>en</strong> w<strong>at</strong> ding<strong>en</strong> klaargezet. Zodra de<br />
laptop dan weer online is, komt er e<strong>en</strong> melding binn<strong>en</strong>, inclusief waar de<br />
laptop is. Er wordt e<strong>en</strong> remote wipe ingepland <strong>en</strong> e<strong>en</strong> nieuwe laptop besteld<br />
Pagina | 198<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
VR-41<br />
A-41<br />
of toegek<strong>en</strong>d. In dit voorbeeld stond er e<strong>en</strong> ag<strong>en</strong>t op deze gestol<strong>en</strong> laptop.<br />
Bij <strong>BYOD</strong> appar<strong>at</strong><strong>en</strong> of laptops waar ge<strong>en</strong> Kaseya ag<strong>en</strong>t op sta<strong>at</strong>, moet de<br />
medewerker zelf de koppeling tuss<strong>en</strong> de cloud-di<strong>en</strong>st<strong>en</strong> <strong>en</strong> zijn/haar account<br />
<strong>en</strong> gestol<strong>en</strong> appara<strong>at</strong> ongedaan mak<strong>en</strong>.<br />
Zijn er in het verled<strong>en</strong> spanningsveld<strong>en</strong> geweest m.b.t. de <strong>privacy</strong> van uw<br />
medewerkers als gevolg van uw <strong>BYOD</strong>-security?<br />
Nee, juist omd<strong>at</strong> wij hier niet strikt <strong>en</strong> rigide in zijn. Er wordt vanuit de<br />
organis<strong>at</strong>ies niets geforceerd richting Kaseya werknemers.<br />
2c. Vrag<strong>en</strong> m.b.t. Deelvraag 3: ma<strong>at</strong>regel<strong>en</strong> om de <strong>privacy</strong>problem<strong>en</strong> te<br />
voorkom<strong>en</strong><br />
Pagina | 199<br />
Deelvraag 2<br />
Vraag nr: Vraag Antwoord op<br />
VR-42<br />
A-42<br />
VR-43.1<br />
A-43.1<br />
VR-43.2<br />
A-43.2<br />
VR-44.1<br />
A-44.1<br />
VR-44.2<br />
A-44.2<br />
Heeft uw organis<strong>at</strong>ie ma<strong>at</strong>regel<strong>en</strong> getroff<strong>en</strong> om inbreuk op de <strong>privacy</strong> van<br />
werknemers t<strong>en</strong> gevolge van de <strong>BYOD</strong>-security, te voorkom<strong>en</strong>?<br />
Wij nem<strong>en</strong> ge<strong>en</strong> strakke houding in, dus er is ge<strong>en</strong> <strong>en</strong>kele sprake van<br />
inbreuk op de <strong>privacy</strong> van werknemers.<br />
Zo Nee, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> waarom niet?<br />
Zie vorige vraag.<br />
Is uw organis<strong>at</strong>ie in de toekomst wel van plan om deze ma<strong>at</strong>regel<strong>en</strong> te<br />
overweg<strong>en</strong>?<br />
Nee, de teugels word<strong>en</strong> op d<strong>at</strong> vlak niet stakker aangetrokk<strong>en</strong>. Hoogst<strong>en</strong>s op<br />
papier om onszelf in te dekk<strong>en</strong>. De vrijheid die er is, wordt alle<strong>en</strong> nog maar<br />
meer. Deze tr<strong>en</strong>d is niet te stopp<strong>en</strong>, je kan je als organis<strong>at</strong>ie hier wel teg<strong>en</strong><br />
verzett<strong>en</strong>, maar d<strong>at</strong> heeft ge<strong>en</strong> nut.<br />
Bij Kaseya werk<strong>en</strong> alle<strong>en</strong> IT-experts, jonger<strong>en</strong> m<strong>en</strong>s<strong>en</strong>. Die hou je dan niet<br />
binn<strong>en</strong> als je strakker hierin ga<strong>at</strong> zijn.<br />
Zo Ja, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong> dit zijn?<br />
Zie vorige vraag.<br />
Zijn de getroff<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> effectief in het oploss<strong>en</strong> van de<br />
<strong>privacy</strong>problem<strong>en</strong> van uw medewerkers?<br />
Zie vorige vraag.<br />
3. Op<strong>en</strong> <strong>en</strong> afsluit<strong>en</strong>d deel: aspect<strong>en</strong> <strong>en</strong>/of aanbeveling<strong>en</strong> die tijd<strong>en</strong>s het<br />
interview niet aan bod zijn gekom<strong>en</strong>.<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Vraag nr: Vraag Antwoord op<br />
VR-45<br />
A-45<br />
Zijn er nog aspect<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
<strong>Security</strong> is steeds meer op de account gebaseerd, policies zitt<strong>en</strong> in<br />
complexe wachtwoord<strong>en</strong>, multifactor auth<strong>en</strong>tic<strong>at</strong>ie. Die tr<strong>en</strong>ds word<strong>en</strong><br />
Overig
VR-46<br />
A-46<br />
groter. E<strong>en</strong> ander probleem is de keuze van wachtwoord<strong>en</strong>, m<strong>en</strong>s<strong>en</strong><br />
kiez<strong>en</strong> soms hele suffe wachtwoord<strong>en</strong> om het zichzelf maar makkelijk te<br />
mak<strong>en</strong>.<br />
Gelukkig is e<strong>en</strong> complex wachtwoord technisch prima af te dwing<strong>en</strong>,<br />
ev<strong>en</strong>als de frequ<strong>en</strong>tie <strong>en</strong> voorwaard<strong>en</strong> voor e<strong>en</strong> nieuw wachtwoord. Als je<br />
d<strong>at</strong> wachtwoordverhaal niet goed op orde hebt, dan kan <strong>BYOD</strong> e<strong>en</strong> groot<br />
security probleem vorm<strong>en</strong>.<br />
En verder is het goed om ervan uit te gaan d<strong>at</strong> je systeem al onveilig is <strong>en</strong><br />
daarop te anticiper<strong>en</strong>.<br />
Het support gedeelde <strong>bij</strong> <strong>BYOD</strong> is interessant. Werknemers zoek<strong>en</strong> het zelf<br />
uit. Of moet je juist je support afdeling uitbreid<strong>en</strong>? En w<strong>at</strong> als werknemers<br />
het niet op kunn<strong>en</strong> loss<strong>en</strong> op hun eig<strong>en</strong> appara<strong>at</strong>?<br />
Zijn er nog aanbeveling<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
B<strong>en</strong>ieuwd naar juridisch gedeelte hiervan. Wordt het geforceerd, hoe zit<br />
het met illegale software op <strong>BYOD</strong> appar<strong>at</strong><strong>en</strong>, wie is daar verantwoordelijk<br />
voor?<br />
Of w<strong>at</strong> dacht je van e<strong>en</strong> illegale Windows-versie op eig<strong>en</strong> laptop, die voor<br />
commerciële doeleinde wordt gebruikt. Hoe zit het met software die voor<br />
persoonlijke doeleinde gr<strong>at</strong>is is, maar ine<strong>en</strong>s gebruikt wordt voor<br />
commerciële activiteit<strong>en</strong>. B<strong>en</strong> je dan illegaal bezig? De wirwar van lokale<br />
wetgeving <strong>en</strong> lic<strong>en</strong>ties is ook wel iets om <strong>bij</strong> stil te staan.<br />
Interviewverslag 5: Global Systems Integr<strong>at</strong>or<br />
1. Algeme<strong>en</strong> deel met als doel het bepal<strong>en</strong> van de context.<br />
Overig<br />
Vraag nr: Vraag Antwoord op<br />
VR-1<br />
A-1<br />
VR-2<br />
A-2<br />
VR-3<br />
A-3<br />
Hoeveel werknemers telt uw organis<strong>at</strong>ie?<br />
210.000 intern<strong>at</strong>ionaal, want we zijn e<strong>en</strong> onderdeel van de Japanse<br />
moederorganis<strong>at</strong>ie NTT.<br />
Global Systems Integr<strong>at</strong>or is wereldwijd 15.000 man, in 52 land<strong>en</strong>.<br />
In Nederland werk<strong>en</strong> 220 m<strong>en</strong>s<strong>en</strong>.<br />
In welke sector opereert uw organis<strong>at</strong>ie?<br />
ICT (ICT-systemintegr<strong>at</strong>ie)<br />
Hoe groot is de IT-organis<strong>at</strong>ie (aantal medewerkers, aantal servers, aantal te<br />
beher<strong>en</strong> applic<strong>at</strong>ies, etc)?<br />
Exact aantal servers is onbek<strong>en</strong>d, wordt c<strong>en</strong>traal geregeld vanuit Europa.<br />
Enkele honderd<strong>en</strong> waarschijnlijk.<br />
Aantal applic<strong>at</strong>ies: ik sch<strong>at</strong> in <strong>en</strong>kele ti<strong>en</strong>tall<strong>en</strong><br />
Aantal IT-medewerkers: <strong>en</strong>kele ti<strong>en</strong>tall<strong>en</strong>, maar veel van onze werknemers<br />
zijn zelf IT-expert<br />
Pagina | 200<br />
Context<br />
Context<br />
Context<br />
VR-4 Is <strong>BYOD</strong>-reeds geïmplem<strong>en</strong>teerd in uw organis<strong>at</strong>ie? Ja? Sinds wanneer? Nee, Context
A-4<br />
VR-5<br />
A-5<br />
VR-6<br />
A-6<br />
VR-7<br />
A-7<br />
VR-8<br />
A-8<br />
vanaf wanneer?<br />
Ja, <strong>BYOD</strong> is toegestaan. Al sinds 2005 nam<strong>en</strong> de eerste werknemers hun<br />
eig<strong>en</strong> appar<strong>at</strong><strong>en</strong> mee, zoals e<strong>en</strong> telefoon. Het heette to<strong>en</strong> alle<strong>en</strong> ge<strong>en</strong> <strong>BYOD</strong>.<br />
Er was ook ge<strong>en</strong> beleid. Iedere<strong>en</strong> die het adres van de Exchange server wist,<br />
kon inlogg<strong>en</strong> met zijn eig<strong>en</strong> appara<strong>at</strong>. <strong>BYOD</strong> gebeurde gewoon <strong>bij</strong> Global<br />
Systems Integr<strong>at</strong>or, het is zo gegroeid. We zijn ook e<strong>en</strong> ICT-organis<strong>at</strong>ie, dan<br />
heb je d<strong>at</strong> al snel.<br />
Pas in 2011 zijn we <strong>BYOD</strong> serieus gaan aanpakk<strong>en</strong> met e<strong>en</strong> echt beleid <strong>en</strong><br />
technische ma<strong>at</strong>regel<strong>en</strong> om d<strong>at</strong> beleid te forcer<strong>en</strong>. Iedere<strong>en</strong> die <strong>BYOD</strong> wil,<br />
moet voldo<strong>en</strong> aan d<strong>at</strong> beleid.<br />
Hoeveel medewerkers binn<strong>en</strong> uw organis<strong>at</strong>ie kom<strong>en</strong> in aanmerking voor<br />
<strong>BYOD</strong> of hoeveel mak<strong>en</strong> er daadwerkelijk gebruik van? Is er e<strong>en</strong> bepaalde<br />
m<strong>at</strong>e van zelfredzaamheid waar medewerkers aan moet<strong>en</strong> voldo<strong>en</strong> will<strong>en</strong> ze<br />
in aanmerking kunn<strong>en</strong> kom<strong>en</strong> voor <strong>BYOD</strong>?<br />
Iedere<strong>en</strong> komt in aanmerking. Policy is d<strong>at</strong> dieg<strong>en</strong>e die recht<strong>en</strong> hebb<strong>en</strong> op<br />
e<strong>en</strong> mobile device, e<strong>en</strong> Blackberry krijgt of kan kiez<strong>en</strong> voor e<strong>en</strong> eig<strong>en</strong><br />
smartphone. D<strong>at</strong> verschilt per functie of iemand recht heeft op e<strong>en</strong> mobile<br />
device. Van de 220 werknemers hebb<strong>en</strong> er ongeveer 150 recht op e<strong>en</strong><br />
mobiel appara<strong>at</strong>. De helft van die 150 werknemers gebruikt echter e<strong>en</strong> eig<strong>en</strong><br />
appara<strong>at</strong>. Zelfredzaamheid is ge<strong>en</strong> criterium.<br />
W<strong>at</strong> is uw functie in de organis<strong>at</strong>ie?<br />
Ik b<strong>en</strong> Solutions director, verantwoordelijk van de positionering van de<br />
oplossing<strong>en</strong> die deze Global Systems Integr<strong>at</strong>or aan haar klant<strong>en</strong> biedt.<br />
Bov<strong>en</strong>di<strong>en</strong> verantwoordelijk voor de keuze van v<strong>en</strong>dor<strong>en</strong> <strong>en</strong> leveranciers.<br />
B<strong>en</strong>t u betrokk<strong>en</strong> geweest <strong>bij</strong> de totstandkoming van het <strong>BYOD</strong>-beleid, <strong>en</strong><br />
w<strong>at</strong> was uw rol daarin?<br />
Ja, vanaf 2005 onofficieel, in met ingang van 2011 serieus <strong>en</strong> officieel<br />
(policy). Ik was 1 van de eerste die <strong>BYOD</strong>-device had.<br />
Het beleid is geschrev<strong>en</strong> door e<strong>en</strong> andere medewerker die in NL werkt. Die<br />
persoon heeft het beleid teg<strong>en</strong> de Nederlandse tak van deze Global Systems<br />
Integr<strong>at</strong>or aangehoud<strong>en</strong>. Daar heb ik ook e<strong>en</strong> rol in gehad.<br />
Het <strong>BYOD</strong>-beleid op zich is bov<strong>en</strong>di<strong>en</strong> in sam<strong>en</strong>spraak met de Europese <strong>en</strong><br />
Globale IT-organis<strong>at</strong>ies uitgedacht. Er wordt wereldwijd dan ook hetzelfde<br />
beleid uitgerold <strong>en</strong> gehanteerd binn<strong>en</strong> heel deze Global Systems Integr<strong>at</strong>or.<br />
Tijd<strong>en</strong>s het bed<strong>en</strong>k<strong>en</strong> ervan kwam<strong>en</strong> ook de knelpunt<strong>en</strong> naar vor<strong>en</strong> waar ook<br />
veel andere IT-organis<strong>at</strong>ies mee wortel<strong>en</strong>. Namelijk d<strong>at</strong> de IT wil <strong>en</strong> w<strong>at</strong> de<br />
business wil, inclusief de misalignm<strong>en</strong>t tuss<strong>en</strong> die twee. De IT wil namelijk<br />
ding<strong>en</strong> die de business niet wil.<br />
Ik had verder e<strong>en</strong> adviser<strong>en</strong>de rol in m.b.t. de <strong>BYOD</strong> policy. De eerste versie<br />
van de <strong>BYOD</strong>-policy was teveel gericht op de IT organis<strong>at</strong>ie. De gebruiker wil<br />
echter vrijheid, de IT organis<strong>at</strong>ie wil controle, d<strong>at</strong> zorgde voor w<strong>at</strong> frictie.<br />
B<strong>en</strong>t u goed op de hoogte van de inhoud van de <strong>BYOD</strong>-security, op zowel<br />
str<strong>at</strong>egisch (beleid) als tactisch (ma<strong>at</strong>regel<strong>en</strong>) niveau?<br />
Ja, b<strong>en</strong> goed op de hoogte van het beleid, zie vrag<strong>en</strong> hiervoor. En b<strong>en</strong> ook<br />
goed op de hoogte van de technische security-ma<strong>at</strong>regel<strong>en</strong>.<br />
VR-9 W<strong>at</strong> was de belangrijkste motiv<strong>at</strong>ie om <strong>BYOD</strong>-te implem<strong>en</strong>ter<strong>en</strong>?<br />
Verschill<strong>en</strong>de motiv<strong>at</strong>ies:<br />
Pagina | 201<br />
Context<br />
Context<br />
Context<br />
Context<br />
Context
A-9 1. Productiviteitverhoging <strong>en</strong> verbetering van de bereikbaarheid<br />
2. Het is niet teg<strong>en</strong> te houd<strong>en</strong>, meegaan met de flow<br />
3. Type medewerkers is rel<strong>at</strong>ief jong <strong>en</strong> weet niet beter<br />
Kost<strong>en</strong>besparing was ge<strong>en</strong> red<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> hoort het heel erg <strong>bij</strong> de<br />
g<strong>en</strong>er<strong>at</strong>ie die nu <strong>bij</strong> deze Global Systems Integr<strong>at</strong>or werkzaam is.<br />
Het zou vreemd zijn voor e<strong>en</strong> organis<strong>at</strong>ie als deze Global Systems<br />
Integr<strong>at</strong>or, die zelf <strong>BYOD</strong>-oplossing<strong>en</strong> adviseert <strong>en</strong> verkoopt, om het principe<br />
daarachter niet zelf te hanter<strong>en</strong>. W<strong>at</strong> we op dit mom<strong>en</strong>t <strong>bij</strong> klant<strong>en</strong><br />
neerlegg<strong>en</strong> <strong>en</strong> uitroll<strong>en</strong>, is beter dan hoe deze Global Systems Integr<strong>at</strong>or het<br />
intern heeft geregeld. Daar zit w<strong>at</strong> vertraging in, maar de k<strong>en</strong>nis is<br />
aanwezig.<br />
Deze Global Systems Integr<strong>at</strong>or biedt haar klant<strong>en</strong> Enterprise Mobility aan.<br />
Dit ga<strong>at</strong> over het inricht<strong>en</strong> van <strong>BYOD</strong> <strong>bij</strong> organis<strong>at</strong>ies op zowel str<strong>at</strong>egisch,<br />
tactisch <strong>en</strong> oper<strong>at</strong>ioneel niveau. D<strong>en</strong>k aan oplossing<strong>en</strong> waar<strong>bij</strong> m<strong>en</strong>s<strong>en</strong> op<br />
e<strong>en</strong> hotelkamer andere recht<strong>en</strong> hebb<strong>en</strong> dan binn<strong>en</strong> de mur<strong>en</strong> van de<br />
organis<strong>at</strong>ie waar ze voor werk<strong>en</strong>. In e<strong>en</strong> hotel is e<strong>en</strong> deel van de verbinding<br />
namelijk af te luister<strong>en</strong>. Deze Global Systems Integr<strong>at</strong>or biedt hiervoor<br />
oplossing<strong>en</strong> voor haar klant<strong>en</strong>.<br />
2a. Vrag<strong>en</strong> m.b.t. Deelvraag 1 de totstandkoming <strong>en</strong> inhoud van de<br />
<strong>BYOD</strong>-security, <strong>en</strong> geïmplem<strong>en</strong>teerde security-ma<strong>at</strong>regel<strong>en</strong><br />
Vraag nr: Vraag Antwoord op<br />
VR-10<br />
A-10<br />
VR-11<br />
A-11<br />
Welke definitie wordt binn<strong>en</strong> uw organis<strong>at</strong>ie gehanteerd voor het <strong>BYOD</strong>concept?<br />
Als gebruiker b<strong>en</strong> je mobiel, <strong>en</strong> w<strong>at</strong> voor vorm <strong>en</strong> type device hij/zij gebruikt<br />
om tot de noodzakelijk inform<strong>at</strong>ie te kom<strong>en</strong>, is irrelevant. Dit ga<strong>at</strong> verder<br />
dan <strong>BYOD</strong> zelf, Enterprise Mobility.<br />
Als werknemers met hun eig<strong>en</strong> appara<strong>at</strong> op het netwerk van deze Global<br />
Systems Integr<strong>at</strong>or will<strong>en</strong>, moet<strong>en</strong> ze zich conformer<strong>en</strong> aan de Global<br />
Systems Integr<strong>at</strong>or policy. Die houdt o.a. in d<strong>at</strong> de IT-afdeling het device<br />
mag wip<strong>en</strong> wanneer d<strong>at</strong> nodig zou zijn.<br />
IT afdeling van deze Global Systems Integr<strong>at</strong>or heeft recht op controle van<br />
<strong>BYOD</strong> devices, maar of ze het afdwing<strong>en</strong> <strong>en</strong> gebruik<strong>en</strong>, is e<strong>en</strong> tweede. Het<br />
hoeft niet, remote wipe <strong>en</strong> controle van <strong>BYOD</strong> policy, maar het kan.<br />
Het klopt d<strong>at</strong> je op 1 appara<strong>at</strong> e<strong>en</strong> conflict hebt, namelijk hardware van<br />
medewerker <strong>en</strong> d<strong>at</strong>a van de organis<strong>at</strong>ie. Daarom zie je dan ook steeds vaker<br />
e<strong>en</strong> stukje virtualis<strong>at</strong>ie, e<strong>en</strong> container in het appara<strong>at</strong> waar de organis<strong>at</strong>ie<br />
zegg<strong>en</strong>schap over heeft <strong>en</strong> strak is afgeschermd van het privé deel van zo’n<br />
device. Daarbinn<strong>en</strong> is dus alles van de organis<strong>at</strong>ie, daarbuit<strong>en</strong> mag je<br />
helemaal niets zakelijks opslaan <strong>en</strong> heeft de organis<strong>at</strong>ie ge<strong>en</strong> controle of<br />
zegg<strong>en</strong>schap.<br />
Om welke red<strong>en</strong> heeft uw organis<strong>at</strong>ie overwog<strong>en</strong> om het <strong>BYOD</strong>-concept te<br />
onderzoek<strong>en</strong> <strong>en</strong> mogelijk te implem<strong>en</strong>ter<strong>en</strong>?<br />
Het was niet teg<strong>en</strong> de houd<strong>en</strong>. We moest<strong>en</strong> meegaan, zeker omd<strong>at</strong> deze<br />
Global Systems Integr<strong>at</strong>or e<strong>en</strong> ICT-organis<strong>at</strong>ie is. Eerst kreeg iedere<strong>en</strong> e<strong>en</strong><br />
Blackberry, maar dan mis je veel functionaliteit. Dan pakk<strong>en</strong> m<strong>en</strong>s<strong>en</strong> hun<br />
eig<strong>en</strong> telefoon er<strong>bij</strong>, om functionaliteit die ze miss<strong>en</strong>, toch te krijg<strong>en</strong>. Dan<br />
lop<strong>en</strong> ze met 2 devices rond. Niet handig.<br />
Voordeel: je hebt e<strong>en</strong> device die alle tak<strong>en</strong> kan uitvoer<strong>en</strong> die je met je laptop<br />
Pagina | 202<br />
Deelvraag 1<br />
Deelvraag 1
VR-12<br />
A-12<br />
VR-13<br />
A-13<br />
VR-14<br />
A-14<br />
kan do<strong>en</strong>, daarom kan je het dan ook altijd do<strong>en</strong>.<br />
Nadeel: De gewoonte, de verwachting, d<strong>at</strong> je altijd bereikbaar b<strong>en</strong>t <strong>en</strong> snel<br />
reageert. Legt ook e<strong>en</strong> bepaalde druk op m<strong>en</strong>s<strong>en</strong>.<br />
Productiviteit to<strong>en</strong>ame is niet gemet<strong>en</strong>. Grootste productiviteitswinst is om<br />
email altijd ter beschikking te hebb<strong>en</strong>. D<strong>at</strong> heeft niet perse me <strong>BYOD</strong> te<br />
mak<strong>en</strong>, ook in het algeme<strong>en</strong> met mobiele appar<strong>at</strong><strong>en</strong> <strong>en</strong> dus ook van Global<br />
Systems Integr<strong>at</strong>or zelf.<br />
Heeft u, of uw organis<strong>at</strong>ie onderzoek gedaan naar de voor- <strong>en</strong> nadel<strong>en</strong> van<br />
<strong>BYOD</strong> voorafgaand aan de implem<strong>en</strong>t<strong>at</strong>ie ervan? Welke voor- <strong>en</strong> nadel<strong>en</strong><br />
kwam<strong>en</strong> naar vor<strong>en</strong> a.d.h.v. dit vooronderzoek?<br />
Er is vanuit de IT-organis<strong>at</strong>ie, binn<strong>en</strong> de medewerkers van DD e<strong>en</strong> <strong>en</strong>quête<br />
gehoud<strong>en</strong> om te zi<strong>en</strong> w<strong>at</strong> de verwachting<strong>en</strong> war<strong>en</strong> <strong>bij</strong> <strong>BYOD</strong>. D<strong>at</strong>averlies is<br />
to<strong>en</strong> wel g<strong>en</strong>oemd als extra risico. Als je <strong>BYOD</strong> wil gebruik<strong>en</strong> <strong>en</strong> connectie<br />
met het Global Systems Integr<strong>at</strong>or netwerk wil mak<strong>en</strong>, richt je je tot de<br />
policies van de IT-afdeling. Dan gev<strong>en</strong> zij het recht om bepaalde ding<strong>en</strong> te<br />
do<strong>en</strong>.<br />
D<strong>at</strong>avertrouwelijkheid is e<strong>en</strong> standaard onderdeel van standaard<br />
arbeidsvoorwaard<strong>en</strong>. Vertrouwelijk omgaan met gegev<strong>en</strong>s, niet specifiek<br />
<strong>BYOD</strong>. Dus er is wel nagedacht over mogelijke risico’s.<br />
Hoe heeft uw organis<strong>at</strong>ie, voorafgaand aan de daadwerkelijke accept<strong>at</strong>ie <strong>en</strong><br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept, geanticipeerd op mogelijke extra<br />
risico’s <strong>en</strong> m.b.t. de inform<strong>at</strong>iebeveiliging?<br />
Er is e<strong>en</strong> Mobile device security policy is opgesteld om lekk<strong>en</strong> van<br />
vertrouwelijke bedrijfsgegev<strong>en</strong>s teg<strong>en</strong> te gaan.<br />
D<strong>en</strong>k aan:<br />
- password protection<br />
- autom<strong>at</strong>ic device lock<br />
- remote & local wipe<br />
- device <strong>en</strong>cryption<br />
- applic<strong>at</strong>ion control<br />
D<strong>at</strong> soort ding<strong>en</strong> zijn opgelegd door de IT-afdeling. Zo will<strong>en</strong> ze de risico’s<br />
mitiger<strong>en</strong>. Ook hoe je omga<strong>at</strong> met cloud-di<strong>en</strong>st<strong>en</strong>. Officieel mog<strong>en</strong><br />
medewerkers <strong>bij</strong>voorbeeld ge<strong>en</strong> Dropbox gebruik<strong>en</strong>.<br />
Er is nog weinig wet<strong>en</strong>schappelijke k<strong>en</strong>nis m.b.t. <strong>BYOD</strong> <strong>en</strong> de effect<strong>en</strong><br />
daarvan op organis<strong>at</strong>ies, inform<strong>at</strong>iebeveiliging <strong>en</strong> werknemers. Op basis<br />
waarvan heeft u invulling gegev<strong>en</strong> aan uw huidige <strong>BYOD</strong>-security?<br />
Er is goed gekek<strong>en</strong> naar de best practices, <strong>en</strong> hoe andere organis<strong>at</strong>ies het<br />
geïmplem<strong>en</strong>teerd/toegestaan hebb<strong>en</strong>. We hebb<strong>en</strong> zelf ook onderzoek<br />
gedaan, d<strong>at</strong> is inher<strong>en</strong>t aan Global Systems Integr<strong>at</strong>or. We gev<strong>en</strong> zelf ook<br />
whitepapers uit. Bijvoorbeeld over waar je aan moet d<strong>en</strong>k<strong>en</strong> als je <strong>BYOD</strong><br />
ga<strong>at</strong> uitroll<strong>en</strong>, zoals device risk profiles, SLA’s <strong>en</strong> lic<strong>en</strong>tieovere<strong>en</strong>komst<strong>en</strong>.<br />
Veel hebb<strong>en</strong> we dus, als ICT-organis<strong>at</strong>ie zelf bedacht <strong>en</strong> ontworp<strong>en</strong>. Wij<br />
hebb<strong>en</strong> veel k<strong>en</strong>nis van ICT in huis. D<strong>at</strong> moet wel, want we verkop<strong>en</strong> <strong>BYOD</strong><br />
oplossing<strong>en</strong> aan klant<strong>en</strong>. Er is ook Gartner gebruikt <strong>en</strong> gekek<strong>en</strong> naar andere<br />
partij<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is er ook gekek<strong>en</strong> <strong>en</strong> geleerd van andere rel<strong>at</strong>ies <strong>en</strong><br />
v<strong>en</strong>dor<strong>en</strong>. We do<strong>en</strong> ook onderzoek binn<strong>en</strong> ons eig<strong>en</strong> klant<strong>en</strong>bestand <strong>en</strong><br />
mak<strong>en</strong> daar e<strong>en</strong> wet<strong>en</strong>schappelijk docum<strong>en</strong>t van.<br />
Pagina | 203<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
VR-15<br />
A-15<br />
VR-16<br />
A-16<br />
VR-17<br />
A-17<br />
VR-18<br />
A-18<br />
Welke afdeling<strong>en</strong> <strong>en</strong> medewerkers zijn betrokk<strong>en</strong> geweest <strong>bij</strong> de<br />
implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>-concept <strong>en</strong> de inform<strong>at</strong>iebeveiliging daar<br />
omhe<strong>en</strong>?<br />
Eén iemand in NL heeft het beleid geschrev<strong>en</strong>, wereldwijde IT-afdeling<strong>en</strong><br />
hebb<strong>en</strong> de kopp<strong>en</strong> daarnaast <strong>bij</strong> elkaar gestok<strong>en</strong>. De OR is er<strong>bij</strong> betrokk<strong>en</strong><br />
geweest. Onbek<strong>en</strong>d of HR d<strong>at</strong> ook is geweest. Bov<strong>en</strong>di<strong>en</strong> e<strong>en</strong> aantal<br />
stakeholders binn<strong>en</strong> Nederland.<br />
Kunt u gedetailleerd beschrijv<strong>en</strong> hoe d<strong>at</strong> proces, de totstandkoming van de<br />
<strong>BYOD</strong>-implem<strong>en</strong>t<strong>at</strong>ie <strong>en</strong> de inform<strong>at</strong>iebeveiliging daaromhe<strong>en</strong>, tot stand is<br />
gekom<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie?<br />
Zie vraag 4. Vanaf 2011 is er e<strong>en</strong> beleid gekom<strong>en</strong> waar werknemers van<br />
deze Global Systems Integr<strong>at</strong>or zich aan moest<strong>en</strong> houd<strong>en</strong>. Bov<strong>en</strong>di<strong>en</strong> is er<br />
e<strong>en</strong> stuk standaardisering van IT naar e<strong>en</strong> c<strong>en</strong>trale afdeling van deze Global<br />
Systems Integr<strong>at</strong>or Europe gegaan. Voorhe<strong>en</strong> lag de IT-afdeling, <strong>en</strong> dus de<br />
beleidsbepaling, <strong>bij</strong> de land<strong>en</strong> zelf. Uiteindelijk is er <strong>BYOD</strong> 1 beleid uitgedacht<br />
d<strong>at</strong> voor heel deze Global Systems Integr<strong>at</strong>or geldt. D<strong>en</strong>k verder aan<br />
standaardis<strong>at</strong>ie van toegang tot inform<strong>at</strong>ie <strong>bij</strong> <strong>BYOD</strong>.<br />
Heeft vooral te mak<strong>en</strong> met de professionalisering van de IT-afdeling <strong>en</strong><br />
Global Systems Integr<strong>at</strong>or zelf. De organis<strong>at</strong>ie is gegroeid, policies zijn<br />
gesteld. In andere vestiging<strong>en</strong> van deze Global Systems Integr<strong>at</strong>or in Europa<br />
is <strong>BYOD</strong> ongeveer op hetzelfde niveau.<br />
Hoe wijkt de inform<strong>at</strong>iebeveiliging m.b.t. de implem<strong>en</strong>t<strong>at</strong>ie van het <strong>BYOD</strong>concept<br />
binn<strong>en</strong> uw organis<strong>at</strong>ie af van die <strong>bij</strong> mobiele appar<strong>at</strong><strong>en</strong> die ge<strong>en</strong><br />
eig<strong>en</strong>dom zijn van de werknemers, maar uw IT-afdeling?<br />
Ik zie d<strong>at</strong> als praktisch hetzelfde, met veel overlap.<br />
Werknemers die e<strong>en</strong> laptop van de zaak hebb<strong>en</strong>, do<strong>en</strong> daar ook vaak privé<br />
ding<strong>en</strong> mee <strong>en</strong> zett<strong>en</strong> daar persoonlijke bestand<strong>en</strong> op. Het is dan ook<br />
toegestaan voor Global Systems Integr<strong>at</strong>or werknemers om eig<strong>en</strong> applic<strong>at</strong>ies<br />
op Global Systems Integr<strong>at</strong>or laptops te zett<strong>en</strong>, maar die word<strong>en</strong> dan niet<br />
ondersteund. Global Systems Integr<strong>at</strong>or is niet verantwoordelijk voor<br />
persoonlijke gegev<strong>en</strong>s op de laptop van de zaak, ev<strong>en</strong>min voor de <strong>BYOD</strong><br />
hardware, software <strong>en</strong> gegev<strong>en</strong>s daarop.<br />
Er is weinig verschil tuss<strong>en</strong> hoe je d<strong>at</strong>a met e<strong>en</strong> iPad of e<strong>en</strong> (corpor<strong>at</strong>e)<br />
laptop binn<strong>en</strong> haalt. Communic<strong>at</strong>ie is praktisch hetzelfde. Bij Global Systems<br />
Integr<strong>at</strong>or is de laptop van de zaak <strong>en</strong> de laptop van mijzelf hetzelfde<br />
verhaal/concept.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van het<br />
security-beleid d<strong>at</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie wordt gehanteerd m.b.t. <strong>BYOD</strong>?<br />
De <strong>BYOD</strong> policy is nog niet klaar, we zitt<strong>en</strong> in e<strong>en</strong> migr<strong>at</strong>ie van waar we<br />
uiteindelijk naartoe will<strong>en</strong>. De techniek is voortschrijd<strong>en</strong>d. De huidige policy<br />
van 2011 is deels gebaseerd op w<strong>at</strong> to<strong>en</strong> speelde, daar zit balans in tuss<strong>en</strong><br />
IT organis<strong>at</strong>ie die controle wil hebb<strong>en</strong> <strong>en</strong> de gebruikerskant die juist<br />
flexibiliteit wil.<br />
De huidige policy is nu strikter dan daadwerkelijk gehanteerd wordt. Het<br />
huidige beleid sta<strong>at</strong> op papier niet toe d<strong>at</strong> Dropbox wordt gebruikt. In de<br />
praktijk wordt d<strong>at</strong> wel gebruikt, want het is erg handig. Hoe goed je ook<br />
b<strong>en</strong>t als IT-organis<strong>at</strong>ie, er zijn altijd m<strong>en</strong>s<strong>en</strong> die slimmer zijn of g<strong>at</strong><strong>en</strong> wet<strong>en</strong><br />
te vind<strong>en</strong>.<br />
We kunn<strong>en</strong> dan e<strong>en</strong> paar ding<strong>en</strong> do<strong>en</strong>. We kunn<strong>en</strong> het blokker<strong>en</strong>,<br />
gedog<strong>en</strong>/toestaan of faciliter<strong>en</strong>. D<strong>at</strong> la<strong>at</strong>ste kan in e<strong>en</strong> Dropbox altern<strong>at</strong>ief,<br />
maar dan in e<strong>en</strong> (voor ons) veilige omgeving. Global Systems Integr<strong>at</strong>or<br />
Pagina | 204<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
VR-19<br />
A-19<br />
VR-20<br />
A-20<br />
VR-21<br />
leert constant <strong>bij</strong> <strong>en</strong> past het beleid aan.<br />
Drie belangrijkste keuzes van het 2011 beleid:<br />
1. Alle devices die niet geregistreerd zijn, word<strong>en</strong> niet toegestaan. D<strong>at</strong><br />
is de norm, hij moet aangemeld zijn anders niet <strong>bij</strong> corpor<strong>at</strong>e d<strong>at</strong>a<br />
<strong>en</strong> infrastructuur.<br />
2. Servicedesk, daar device aanmeld<strong>en</strong>, dan wordt e<strong>en</strong> stuk Vodafone<br />
software gepushed. Die maakt controle <strong>en</strong> remote wipe mogelijk. Die<br />
software heet Mobile <strong>at</strong> Work. Daar word<strong>en</strong> ook de policies mee<br />
gepushed, zoals e<strong>en</strong> wachtwoord/pincode <strong>en</strong> lock. We will<strong>en</strong> <strong>en</strong>ige<br />
m<strong>at</strong>e van controle. Met deze software wordt ook e<strong>en</strong> remote wipe<br />
uitgevoerd <strong>bij</strong> verlies of diefstal.<br />
3. Versleuteling aanzett<strong>en</strong> als het wordt ondersteund.<br />
4. Bij ge<strong>en</strong> <strong>en</strong>cryptie, zoals Apple, toch toegel<strong>at</strong><strong>en</strong>.<br />
5. Support is alle<strong>en</strong> op smartphones <strong>en</strong> simkaart<strong>en</strong>, <strong>bij</strong> vrag<strong>en</strong> over je<br />
eig<strong>en</strong> iPad moet m<strong>en</strong> niet <strong>bij</strong> Global Systems Integr<strong>at</strong>or support zijn.<br />
Werknemers van Global Systems Integr<strong>at</strong>or zijn zelf verantwoordelijk voor<br />
eig<strong>en</strong> d<strong>at</strong>a is het huidige algem<strong>en</strong>e uitgangspunt.<br />
Er ontstaan veel meer communities, via <strong>bij</strong>voorbeeld Yammer, die problem<strong>en</strong><br />
van <strong>BYOD</strong> appar<strong>at</strong><strong>en</strong> op kunn<strong>en</strong> loss<strong>en</strong>. Global Systems Integr<strong>at</strong>or<br />
werknemers gooi<strong>en</strong> <strong>BYOD</strong> problem<strong>en</strong> in de groep, in deze community. Dan<br />
zijn er veel meer reacties (<strong>en</strong> sneller) dan wanneer de eig<strong>en</strong> helpdesk of ITorganis<strong>at</strong>ie<br />
wordt ingeschakeld, ondanks e<strong>en</strong> SLA.<br />
Binn<strong>en</strong> no-time komt iemand uit deze community met de oplossing, dus<br />
buit<strong>en</strong> de IT-organis<strong>at</strong>ie om. IT-organis<strong>at</strong>ie is maar e<strong>en</strong> paar man, de Global<br />
Systems Integr<strong>at</strong>or Mac community telt e<strong>en</strong> paar duiz<strong>en</strong>d man. Informeel<br />
zijn ze dus elkaars helpdesk <strong>bij</strong> <strong>BYOD</strong> problem<strong>en</strong>.<br />
De IT-organis<strong>at</strong>ie wordt opzij gezet, niet efficiënt, g<strong>en</strong>oeg. Gewone<br />
werknemers blijk<strong>en</strong> zijn sneller <strong>en</strong> beter op de hoogte via interne Global<br />
Systems Integr<strong>at</strong>or communities. Soort crowdsourcing.<br />
Hoe effectief is dit security-beleid?<br />
Huidige 2011 policy is g<strong>en</strong>oeg om de grootste problem<strong>en</strong> af te kunn<strong>en</strong><br />
vang<strong>en</strong>, maar is wel erg Spartaans. Vooral de managem<strong>en</strong>trapportage, d<strong>at</strong><br />
kan veel beter. Bov<strong>en</strong>di<strong>en</strong> wordt het voor Global Systems Integr<strong>at</strong>or steeds<br />
lastiger om te wet<strong>en</strong> te kom<strong>en</strong> waar onze gegev<strong>en</strong>s allemaal geparkeerd<br />
staan.<br />
Wordt in dit security-beleid ook voorgeschrev<strong>en</strong> d<strong>at</strong> bepaalde software<br />
(apps) wel/niet gebruikt mag word<strong>en</strong>?<br />
Daar is wel over gesprok<strong>en</strong>, maar zit niet in de 2011 policy. Je mag dus nu<br />
nog alle software <strong>en</strong> apps installer<strong>en</strong>. Bij Android is dit meer e<strong>en</strong> risico, maar<br />
daar kunn<strong>en</strong> we gaan forcer<strong>en</strong> d<strong>at</strong> e<strong>en</strong> antivirus app verplicht wordt. D<strong>at</strong> zit<br />
nu niet in huidige 2011 policy.<br />
Is wel over gedacht in het verled<strong>en</strong>, d<strong>at</strong> Global Systems Integr<strong>at</strong>or ga<strong>at</strong><br />
bepal<strong>en</strong> welke apps wel/niet zijn toegestaan, maar d<strong>at</strong> ga<strong>at</strong> gewoon niet<br />
werk<strong>en</strong>. Wordt niet geaccepteerd door werknemers. Er werk<strong>en</strong> <strong>bij</strong> Global<br />
Systems Integr<strong>at</strong>or veel professionals <strong>en</strong> IT-experts, dus we l<strong>at</strong><strong>en</strong> dit aan de<br />
werknemers zelf.<br />
Kunt u de hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>, <strong>en</strong> de keuze hiervoor motiver<strong>en</strong>, van de<br />
(technische) security-ma<strong>at</strong>regel<strong>en</strong> die binn<strong>en</strong> uw organis<strong>at</strong>ie zijn<br />
geïmplem<strong>en</strong>teerd m.b.t. <strong>BYOD</strong>?<br />
1. Password protectie<br />
Pagina | 205<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
A-21 2. Bij aanzett<strong>en</strong> pincode (minimaal 4 cijfers)<br />
3. Autom<strong>at</strong>ische device lock (na 10 minut<strong>en</strong>)<br />
4. Indi<strong>en</strong> mogelijk device <strong>en</strong>cryption<br />
5. Remote <strong>en</strong> local wipe (<strong>bij</strong> verlies kan iemand anders hem van Global<br />
Systems Integr<strong>at</strong>or leegmak<strong>en</strong>)<br />
6. Applic<strong>at</strong>ion control (IT-organis<strong>at</strong>ie kan zi<strong>en</strong> of e<strong>en</strong> app wellicht e<strong>en</strong><br />
bedreiging kan vorm<strong>en</strong> voor de inform<strong>at</strong>ie, dan kunn<strong>en</strong> ze die<br />
blokker<strong>en</strong> of verwijder<strong>en</strong>.) In feite black/whitelisting.<br />
VR-22<br />
A-22<br />
VR-23<br />
A-23<br />
VR-24<br />
A-24<br />
VR-25<br />
A-25<br />
Hoe effectief zijn deze security-ma<strong>at</strong>regel<strong>en</strong>?<br />
Tot nu toe is het vrij effectief geblek<strong>en</strong>. Misschi<strong>en</strong> basic, maar het doet zijn<br />
ding.<br />
Het kan n<strong>at</strong>uurlijk verder <strong>en</strong> beter, zoals er loc<strong>at</strong>ion based di<strong>en</strong>st<strong>en</strong> in<br />
stopp<strong>en</strong>. Bij Global Systems Integr<strong>at</strong>or in het pand kan je <strong>bij</strong> zeer gevoelige<br />
inform<strong>at</strong>ie, zoals financiële gegev<strong>en</strong>s, waar je niet <strong>bij</strong> kan als je vanaf thuis<br />
of e<strong>en</strong> hotelkamer in logt. Dus twee security profiel<strong>en</strong>, binn<strong>en</strong> <strong>en</strong> buit<strong>en</strong> e<strong>en</strong><br />
Global Systems Integr<strong>at</strong>or pand. Per profiel geld<strong>en</strong> andere regels <strong>en</strong> recht<strong>en</strong>.<br />
Kan met deze security-ma<strong>at</strong>regel<strong>en</strong> ook word<strong>en</strong> afgedwong<strong>en</strong> welke<br />
software (apps) wel/niet gebruikt kan word<strong>en</strong> door ze op afstand te<br />
verwijder<strong>en</strong> of blokker<strong>en</strong>?<br />
Ja, d<strong>at</strong> kan, maar dit wordt nog niet gedaan. Heet applic<strong>at</strong>ion control. Is e<strong>en</strong><br />
lastig frictiegebied. Remote wipe kan ook, dan zijn ook alle applic<strong>at</strong>ies weg.<br />
Stelt uw organis<strong>at</strong>ie ook zelf software (apps) beschikbaar?<br />
E<strong>en</strong> paar, maar dit is nog beperkt. E<strong>en</strong>tje voor de online Global Systems<br />
Integr<strong>at</strong>or universiteit, e<strong>en</strong> voor de service organis<strong>at</strong>ie om service calls te<br />
bekijk<strong>en</strong>. En nog e<strong>en</strong> paar. Steeds meer v<strong>en</strong>dor<strong>en</strong> gev<strong>en</strong> zelf apps uit, zoals<br />
Cisco die ti<strong>en</strong>tall<strong>en</strong> apps heeft om onderdel<strong>en</strong> van hun infrastructuur te<br />
manag<strong>en</strong> <strong>en</strong> bekijk<strong>en</strong>. Die zijn voor zowel het Apple <strong>en</strong> Android pl<strong>at</strong>form.<br />
Windows loopt w<strong>at</strong> achter.<br />
Welke aanpassing<strong>en</strong> aan het security-beleid <strong>en</strong> technische securityma<strong>at</strong>regel<strong>en</strong><br />
in het kader van <strong>BYOD</strong> zou u <strong>bij</strong> e<strong>en</strong> volg<strong>en</strong>de herzi<strong>en</strong>ing will<strong>en</strong><br />
doorvoer<strong>en</strong>? En waarom?<br />
In de 2013 versie van de <strong>BYOD</strong> policy:<br />
- de Vodafone policy <strong>en</strong>forcer wordt vervang<strong>en</strong> door MDM-software<br />
g<strong>en</strong>aamd Air W<strong>at</strong>ch (www.air-w<strong>at</strong>ch.com) als leverancier. Dit pakket<br />
levert meer gew<strong>en</strong>ste rapportage mogelijkhed<strong>en</strong>, betere beveiliging<br />
<strong>en</strong> functionaliteit in device managem<strong>en</strong>t.<br />
- Als werknemers Android gebruik<strong>en</strong>, dan moet e<strong>en</strong> antivirus app<br />
verplicht word<strong>en</strong> geïnstalleerd want Android kampt met<br />
veiligheidsproblem<strong>en</strong>. Kan word<strong>en</strong> geforceerd met Air W<strong>at</strong>ch MDM.<br />
- Meer gebruik mak<strong>en</strong> van virtualis<strong>at</strong>ie<br />
- <strong>Security</strong> beleid afstemm<strong>en</strong> op de mogelijkhed<strong>en</strong> van de markt, zoals<br />
loc<strong>at</strong>ion based security.<br />
- Remote wipe is e<strong>en</strong> zwaar middel. Onbek<strong>en</strong>d of Air W<strong>at</strong>ch zakelijk <strong>en</strong><br />
privé kan scheid<strong>en</strong>. Daar ga<strong>at</strong> het wel naartoe. Bij vertrek wordt ook<br />
zakelijke mail gecheckt. Profiel wordt dan gewist.<br />
Pagina | 206<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1<br />
Deelvraag 1
2b. Vrag<strong>en</strong> m.b.t. Deelvraag 2: <strong>privacy</strong>problem<strong>en</strong> van medewerkers door<br />
de gekoz<strong>en</strong> <strong>BYOD</strong>-security<br />
Vraag nr: Vraag Antwoord op<br />
VR-26<br />
A-26<br />
VR-27<br />
A-27<br />
VR-28<br />
A-28<br />
VR-29<br />
A-29<br />
VR-30<br />
A-30<br />
Zijn er voorwaard<strong>en</strong> waar uw werknemers mee akkoord moet<strong>en</strong> gaan<br />
voord<strong>at</strong> ze gebruik kunn<strong>en</strong> mak<strong>en</strong> van het <strong>BYOD</strong>-concept binn<strong>en</strong> uw<br />
organis<strong>at</strong>ie? Kunt u deze voorwaard<strong>en</strong> op hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
Ze moet<strong>en</strong> hun device aanmeld<strong>en</strong> <strong>bij</strong> IT-organis<strong>at</strong>ie, de Vodafone cli<strong>en</strong>t<br />
wordt dan geïnstalleerd, dan wordt de policy geforceerd. Gebruiker ga<strong>at</strong> dus<br />
akkoord met de policy. Policy is onderdeel van de algem<strong>en</strong>e<br />
arbeidsvoorwaard<strong>en</strong> die voor iedere<strong>en</strong> geld<strong>en</strong>.<br />
W<strong>at</strong> gebeurt er wanneer e<strong>en</strong> medewerker niet akkoord ga<strong>at</strong> met deze<br />
voorwaard<strong>en</strong>, maar wel de eig<strong>en</strong> hardware (met daarop eig<strong>en</strong> software) wil<br />
gebruik<strong>en</strong> voor zakelijke doeleind<strong>en</strong>?<br />
Dan krijgt de werknemer e<strong>en</strong> Blackberry <strong>en</strong> wordt toegang van eig<strong>en</strong><br />
appara<strong>at</strong> op Global Systems Integr<strong>at</strong>or infrastructuur (<strong>en</strong> gegev<strong>en</strong>s)<br />
ontzegd.<br />
Welke technische security-ma<strong>at</strong>regel<strong>en</strong> zorg<strong>en</strong> binn<strong>en</strong> uw organis<strong>at</strong>ie, in de<br />
context van het <strong>BYOD</strong>-concept voor id<strong>en</strong>tific<strong>at</strong>ie, auth<strong>en</strong>tic<strong>at</strong>ie <strong>en</strong> autoris<strong>at</strong>ie<br />
van de werknemers-eig<strong>en</strong> hardware op het bedrijfsnetwerk? Kunt u deze<br />
ma<strong>at</strong>regel<strong>en</strong> in hoofdlijn<strong>en</strong> beschrijv<strong>en</strong>?<br />
De Vodafone software is verplicht, die forceert het beleid <strong>en</strong> technische<br />
ma<strong>at</strong>regel<strong>en</strong>. Deze word<strong>en</strong> naar het device gepushed. D<strong>en</strong>k aan:<br />
1. Password protectie<br />
2. Bij aanzett<strong>en</strong> pincode (minimaal 4 cijfers)<br />
3. Autom<strong>at</strong>ische device lock (na 10 minut<strong>en</strong>)<br />
4. Indi<strong>en</strong> mogelijk device <strong>en</strong>cryption<br />
5. Remote <strong>en</strong> local wipe (<strong>bij</strong> verlies kan iemand anders hem van Global<br />
Systems Integr<strong>at</strong>or leegmak<strong>en</strong>)<br />
6. Applic<strong>at</strong>ion control (IT-organis<strong>at</strong>ie kan zi<strong>en</strong> of e<strong>en</strong> app wellicht e<strong>en</strong><br />
bedreiging kan vorm<strong>en</strong> voor de inform<strong>at</strong>ie, dan kunn<strong>en</strong> ze die<br />
blokker<strong>en</strong> of verwijder<strong>en</strong>.) In feite black/whitelisting.<br />
Hebb<strong>en</strong> deze technische security-ma<strong>at</strong>regel<strong>en</strong> alle<strong>en</strong> invloed op de zakelijke<br />
applic<strong>at</strong>ies, mogelijkhed<strong>en</strong> <strong>en</strong> (toegang tot) bedrijfsgegev<strong>en</strong>s? Of hebb<strong>en</strong> ze<br />
ook invloed op het privégebruik, privésoftware (apps) <strong>en</strong> privégegev<strong>en</strong>s van<br />
de werknemer?<br />
Ook privé, de Vodafone software sta<strong>at</strong> ook in privé tijd op het appara<strong>at</strong> <strong>en</strong> je<br />
moet ook buit<strong>en</strong> werktijd e<strong>en</strong> pincode invoer<strong>en</strong>. De policy die gepushed<br />
wordt, heeft ge<strong>en</strong> invloed op privé gegev<strong>en</strong>s zoals foto’s.<br />
Maakt uw organis<strong>at</strong>ie gebruik van Mobile Device Managem<strong>en</strong>t (MDM) of<br />
Mobile Applic<strong>at</strong>ion Managem<strong>en</strong>t (MAM) software om <strong>BYOD</strong>-hardware, <strong>en</strong> de<br />
software (apps) <strong>en</strong> gegev<strong>en</strong>s daarop, te beveilig<strong>en</strong> <strong>en</strong> beher<strong>en</strong>? Zo Ja, hoe<br />
effectief is dit? Zo Nee, waarom niet?<br />
Het pakket Air W<strong>at</strong>ch wordt onze MDM <strong>en</strong> MAM. Zie voor meer inform<strong>at</strong>ie<br />
hier: http://www.air-w<strong>at</strong>ch.com<br />
Air W<strong>at</strong>ch wordt binn<strong>en</strong>kort uitgerold, is nu nog niet geïmplem<strong>en</strong>teerd. Nu is<br />
het nog de beperkte Vodafone applic<strong>at</strong>ie. We verkop<strong>en</strong> <strong>en</strong> adviser<strong>en</strong> Air<br />
W<strong>at</strong>ch overig<strong>en</strong>s ook zelf, dus we wet<strong>en</strong> w<strong>at</strong> het kan <strong>en</strong> w<strong>at</strong> de beperking<strong>en</strong><br />
Pagina | 207<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
VR-31<br />
A-31<br />
VR-32<br />
A-32<br />
VR-33<br />
A-33<br />
VR-34<br />
A-34<br />
VR-35<br />
A-35<br />
zijn. Air W<strong>at</strong>ch is erg effectief in o.a. mitiger<strong>en</strong> van <strong>BYOD</strong>-risico’s, vooral<br />
voor de IT-organis<strong>at</strong>ie om grote hoeveelheid aan type mobiele devices te<br />
manag<strong>en</strong>, bescherm<strong>en</strong> <strong>en</strong> rapporter<strong>en</strong>.<br />
Is deze Mobile Device Managem<strong>en</strong>t software in sta<strong>at</strong> om te controler<strong>en</strong> of<br />
het besturingssysteem of de firmware van de <strong>BYOD</strong>-hardware aangepast is<br />
zod<strong>at</strong> software <strong>en</strong> functionaliteit toegevoegd kan word<strong>en</strong> die oorspronkelijk<br />
niet door de fabrikant is toegestaan? (Jailbreak<strong>en</strong>/Root<strong>en</strong>)<br />
De huidige Vodafone software niet, Air W<strong>at</strong>ch wel. En gezi<strong>en</strong> het soort<br />
werknemers, jong <strong>en</strong> ICT-experts, ga ik ervan uit d<strong>at</strong> er devices <strong>bij</strong> zitt<strong>en</strong> die<br />
zeker voorzi<strong>en</strong> zijn van e<strong>en</strong> aangepaste versie van het iOS<br />
besturingssysteem of aangepaste Android versie.<br />
Volg<strong>en</strong>s rec<strong>en</strong>te vakliter<strong>at</strong>uur kan mobile malware e<strong>en</strong> grote bedreiging<br />
vorm<strong>en</strong> voor vertrouwelijke bedrijfsgegev<strong>en</strong>s op <strong>BYOD</strong>-hardware. Zijn uw<br />
werknemers daarom verplicht om mobile security software te installer<strong>en</strong>? Zo<br />
Ja, wie is dan verantwoordelijk voor upd<strong>at</strong>es, p<strong>at</strong>ches <strong>en</strong> e<strong>en</strong> optimale<br />
bescherming? Zo Nee, hoe voorkomt uw organis<strong>at</strong>ie dan d<strong>at</strong> <strong>BYOD</strong>-hardware<br />
besmet raakt met malware <strong>en</strong> vertrouwelijke bedrijfsgegev<strong>en</strong>s (<strong>en</strong> privé<br />
gegev<strong>en</strong>s) daardoor in verkeerde hand<strong>en</strong> vall<strong>en</strong>?<br />
Bij Android moet je e<strong>en</strong> wel e<strong>en</strong> antivirus pakket installer<strong>en</strong>, die ga<strong>at</strong> Global<br />
Systems Integr<strong>at</strong>or voor haar werknemers beschikbaar stell<strong>en</strong>. Daar<strong>bij</strong> gaan<br />
we dezelfde leveranciers gebruik<strong>en</strong> als die wel zelf verkop<strong>en</strong> <strong>en</strong> adviser<strong>en</strong><br />
aan onze klant<strong>en</strong>. Zelfde v<strong>en</strong>dor<strong>en</strong> als die we zelf verkop<strong>en</strong>. Ga<strong>at</strong> e<strong>en</strong><br />
werknemer niet akkoord met install<strong>at</strong>ie van e<strong>en</strong> antivirus pakket, dan ge<strong>en</strong><br />
toegang tot Global Systems Integr<strong>at</strong>or infrastructuur <strong>en</strong> gegev<strong>en</strong>s.<br />
Global Systems Integr<strong>at</strong>or is dan ook verantwoordelijk voor p<strong>at</strong>ches <strong>en</strong><br />
upd<strong>at</strong>e. Nu is het nog ge<strong>en</strong> vereiste voor Android appar<strong>at</strong><strong>en</strong> on Antivirus<br />
software geïnstalleerd te hebb<strong>en</strong>. Nu kan het dus zijn d<strong>at</strong> werknemers met<br />
geïnfecteerde Android appar<strong>at</strong><strong>en</strong> rondlop<strong>en</strong> <strong>en</strong> vertrouwelijke Global Systems<br />
Integr<strong>at</strong>or gegev<strong>en</strong>s lekk<strong>en</strong>.<br />
Binn<strong>en</strong> de context van het <strong>BYOD</strong>-concept, doet uw organis<strong>at</strong>ie aan D<strong>at</strong>a<br />
Leakage Protection (DLP)? D<strong>en</strong>k hier<strong>bij</strong> aan <strong>en</strong>cryptie van het interne<br />
geheug<strong>en</strong> <strong>en</strong>/of verwisselbare opslag. Zo Ja, omv<strong>at</strong> dit dan alle<strong>en</strong> zakelijke<br />
of ook privé gegev<strong>en</strong>s? Zo Nee, waarom niet?<br />
Daar wordt nu nog niets aan gedaan. Soms versleuteling als het mogelijk is<br />
Als niet, dan toch toegang. DLP is e<strong>en</strong> concept d<strong>at</strong> de organis<strong>at</strong>ie in de hele<br />
breedte moet invoer<strong>en</strong>. D<strong>at</strong> wordt nu nog niet echt gedaan binn<strong>en</strong> Global<br />
Systems Integr<strong>at</strong>or.<br />
Welke controle <strong>en</strong>/of bevoegdheid heeft uw organis<strong>at</strong>ie over de<br />
(privé)inform<strong>at</strong>ie die aanwezig is op de hardware die eig<strong>en</strong>dom is van de<br />
medewerker?<br />
Alle<strong>en</strong> de remote wipe <strong>en</strong> block. Er kan niet meegekek<strong>en</strong> word<strong>en</strong> of toegang<br />
word<strong>en</strong> verkreg<strong>en</strong> tot privé bestand<strong>en</strong>.<br />
Kunt u beschrijv<strong>en</strong> wanneer, <strong>en</strong> in welke gevall<strong>en</strong> uw organis<strong>at</strong>ie deze<br />
controle <strong>en</strong> bevoegdheid kan <strong>en</strong> mag uitoef<strong>en</strong><strong>en</strong>?<br />
Bij diefstal <strong>en</strong> verlies. Iemand moet z.s.m. verplicht meld<strong>en</strong> wanneer zijn<br />
device verlor<strong>en</strong> of gestol<strong>en</strong> is. Dit kan <strong>bij</strong> de interne IT-Servicedesk. Er wordt<br />
dan <strong>bij</strong>voorbeeld e<strong>en</strong> simkaart geblokkeerd, of gekoppelde di<strong>en</strong>st<strong>en</strong> word<strong>en</strong><br />
gedeactiveerd. Of er kan e<strong>en</strong> remote wipe/block word<strong>en</strong> ingezet.<br />
VR-36 Kunn<strong>en</strong> uw werknemers (privé)inform<strong>at</strong>ie op hardware, die ook wordt<br />
gebruikt voor zakelijke doeleind<strong>en</strong>, afscherm<strong>en</strong> teg<strong>en</strong> deze controle of<br />
Pagina | 208<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
A-36<br />
VR-37<br />
A-37<br />
VR-38<br />
A-38<br />
VR-39<br />
A-39<br />
VR-40<br />
A-40<br />
VR-41<br />
A-41<br />
bevoegdhed<strong>en</strong>?<br />
Nee, <strong>bij</strong> akkoord met de policy <strong>en</strong> wanneer de Vodafone software is<br />
geïnstalleerd, kan e<strong>en</strong> remote wipe/block word<strong>en</strong> doorgevoerd. Het is dus<br />
van belang d<strong>at</strong> de werknemer goed zorg draagt voort e<strong>en</strong> actuele <strong>en</strong><br />
volledige backup.<br />
Hoe voorkomt u d<strong>at</strong> (IT)medewerkers van de organis<strong>at</strong>ie software of<br />
gegev<strong>en</strong>s, die aanwezig zijn op de hardware van de medewerker, zonder<br />
toestemming kunn<strong>en</strong> inzi<strong>en</strong>, aanpass<strong>en</strong>, vergr<strong>en</strong>del<strong>en</strong>, kopiër<strong>en</strong> of<br />
verwijder<strong>en</strong>?<br />
Dit is niet te voorkom<strong>en</strong>. Bij Global Systems Integr<strong>at</strong>or gaan we ervan uit,<br />
gezi<strong>en</strong> de expertise in de organis<strong>at</strong>ie, d<strong>at</strong> werknemers zelf backups mak<strong>en</strong>.<br />
Eig<strong>en</strong> device, eig<strong>en</strong> verantwoordelijkheid.<br />
Wanneer, <strong>en</strong> in welke gevall<strong>en</strong>, mag e<strong>en</strong> werknemer van uw IT-afdeling<br />
overgaan tot op afstand wiss<strong>en</strong> of blokker<strong>en</strong> van het werknemers-eig<strong>en</strong><br />
appara<strong>at</strong>?<br />
Wanneer e<strong>en</strong> appara<strong>at</strong> verlor<strong>en</strong> of gestol<strong>en</strong> is.<br />
Kan er <strong>bij</strong> op afstand wiss<strong>en</strong> of blokker<strong>en</strong> onderscheid gemaakt word<strong>en</strong><br />
tuss<strong>en</strong> software/gegev<strong>en</strong>s behor<strong>en</strong>de <strong>bij</strong> de organis<strong>at</strong>ie <strong>en</strong>erzijds of de<br />
eig<strong>en</strong>aar van de hardware, anderzijds?<br />
D<strong>at</strong> kan nu nog niet, maar in de toekomst is d<strong>at</strong> wel gew<strong>en</strong>st. We gaan<br />
steeds meer naar virtuele sandboxes, dan wordt die gewist <strong>en</strong> niet het privé<br />
deel. Er sta<strong>at</strong> met Virtuele Desktop Infrastructure (VDI) ook meer d<strong>at</strong>a op<br />
c<strong>en</strong>trale servers <strong>en</strong> niet op mobiele <strong>BYOD</strong> device zelf. De d<strong>at</strong>a sta<strong>at</strong> dan nog<br />
steeds veilig op in e<strong>en</strong> d<strong>at</strong>ac<strong>en</strong>ter. Overig<strong>en</strong>s is VDI op e<strong>en</strong> <strong>BYOD</strong> appara<strong>at</strong><br />
ook e<strong>en</strong> vorm van DLP. Steeds meer organis<strong>at</strong>ies zijn weer aan het<br />
c<strong>en</strong>traliser<strong>en</strong>, want meer controle <strong>en</strong> dus goed voor <strong>BYOD</strong> <strong>en</strong> DLP.<br />
Welk beleid, <strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong>, zijn <strong>bij</strong> uw organis<strong>at</strong>ie van toepassing<br />
wanneer e<strong>en</strong> werknemer hardware als verlor<strong>en</strong> of gestol<strong>en</strong> opgeeft, <strong>en</strong> waar<br />
bedrijfsgegev<strong>en</strong>s op staan of toegang daartoe?<br />
M<strong>en</strong> belt met de interne Servicedesk, die stuurt e<strong>en</strong> remote wipe signaal, het<br />
appara<strong>at</strong> moet verbond<strong>en</strong> zijn met Internet. En er moet de Vodafone app op<br />
geïnstalleerd zijn. Dit kan <strong>en</strong> moet ook op werknemer eig<strong>en</strong> Apple<br />
computers, als de Macbook dan verbond<strong>en</strong> is met Internet, wordt hij remote<br />
gewiped.<br />
Zijn er in het verled<strong>en</strong> spanningsveld<strong>en</strong> geweest m.b.t. de <strong>privacy</strong> van uw<br />
medewerkers als gevolg van uw <strong>BYOD</strong>-security?<br />
Nee, nog nooit. Omd<strong>at</strong> wij de keuze <strong>bij</strong> de werknemer zelf legg<strong>en</strong> zijn er tot<br />
nu toe ge<strong>en</strong> spanningsveld<strong>en</strong> of conflict<strong>en</strong> geweest. Global Systems<br />
Integr<strong>at</strong>or verplicht haar werknemers dan ook niet om de <strong>BYOD</strong> policy maar<br />
te slikk<strong>en</strong>. Als je niet wil, dan hoef je niet <strong>en</strong> gebruik je e<strong>en</strong> Global Systems<br />
Integr<strong>at</strong>or corpor<strong>at</strong>e device waar je ook software op mag installer<strong>en</strong>, privé<br />
ding<strong>en</strong> mee mag do<strong>en</strong> <strong>en</strong> eig<strong>en</strong> bestand<strong>en</strong> op mag zett<strong>en</strong>. <strong>BYOD</strong> appara<strong>at</strong><br />
gebruik<strong>en</strong> als je aan de Global Systems Integr<strong>at</strong>or policy voldoet.<br />
Pagina | 209<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2<br />
Deelvraag 2
2c. Vrag<strong>en</strong> m.b.t. Deelvraag 3: ma<strong>at</strong>regel<strong>en</strong> om de <strong>privacy</strong>problem<strong>en</strong> te<br />
voorkom<strong>en</strong><br />
Vraag nr: Vraag Antwoord op<br />
VR-42<br />
A-42<br />
VR-43.1<br />
A-43.1<br />
VR-43.2<br />
A-43.2<br />
VR-44.1<br />
A-44.1<br />
VR-44.2<br />
A-44.2<br />
Heeft uw organis<strong>at</strong>ie ma<strong>at</strong>regel<strong>en</strong> getroff<strong>en</strong> om inbreuk op de <strong>privacy</strong> van<br />
werknemers t<strong>en</strong> gevolge van de <strong>BYOD</strong>-security, te voorkom<strong>en</strong>?<br />
Nee, ook niet van toepassing. Het is nu remote wipe, <strong>en</strong> dus alles of niets<br />
verwijder<strong>en</strong>. Dit is niet gecommuniceerd naar onze werknemers.<br />
Zo Nee, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> waarom niet?<br />
Zie vraag <strong>en</strong> antwoord 42.<br />
Is uw organis<strong>at</strong>ie in de toekomst wel van plan om deze ma<strong>at</strong>regel<strong>en</strong> te<br />
overweg<strong>en</strong>?<br />
Er zal wel beter gecommuniceerd moet<strong>en</strong> word<strong>en</strong> hierover naar onze<br />
werknemers. Nu zijn mobiele devices zoals de iPad nog niet noodzakelijk<br />
voor onze <strong>en</strong>gineers. Alle applic<strong>at</strong>ies die ze nodig hebb<strong>en</strong> staan op hun<br />
Global Systems Integr<strong>at</strong>or laptop. In de toekomst kan Global Systems<br />
Integr<strong>at</strong>or iPads <strong>en</strong> mobiele devices zelf ter beschikking gaan stell<strong>en</strong> <strong>en</strong><br />
wordt het dus ook ge<strong>en</strong> <strong>BYOD</strong> meer. Dus meer controle <strong>en</strong> i.p.v. e<strong>en</strong> laptop<br />
van de zaak wordt e<strong>en</strong> iPad van de zaak ter beschikking gesteld.<br />
Als in de toekomst bepaalde functionaliteit alle<strong>en</strong> via de iPad of andere tablet<br />
beschikbaar komt, dan zal Global Systems Integr<strong>at</strong>or die ter beschikking<br />
stell<strong>en</strong> aan haar werknemers.<br />
Verder zal P <strong>en</strong> O <strong>en</strong> HR (of OR) w<strong>at</strong> extra regels toevoeg<strong>en</strong> aan het<br />
standaard arbeidscontract <strong>en</strong> reglem<strong>en</strong>t m.b.t. <strong>privacy</strong>.<br />
Zo Ja, kunt u beschrijv<strong>en</strong> <strong>en</strong> motiver<strong>en</strong> welke ma<strong>at</strong>regel<strong>en</strong> dit zijn?<br />
Zie hierbov<strong>en</strong>.<br />
Zijn de getroff<strong>en</strong> ma<strong>at</strong>regel<strong>en</strong> effectief in het oploss<strong>en</strong> van de<br />
<strong>privacy</strong>problem<strong>en</strong> van uw medewerkers?<br />
Niet van toepassing<br />
3. Op<strong>en</strong> <strong>en</strong> afsluit<strong>en</strong>d deel: aspect<strong>en</strong> <strong>en</strong>/of aanbeveling<strong>en</strong> die tijd<strong>en</strong>s het<br />
interview niet aan bod zijn gekom<strong>en</strong>.<br />
Pagina | 210<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Deelvraag 3<br />
Vraag nr: Vraag Antwoord op<br />
VR-45<br />
A-45<br />
Zijn er nog aspect<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Ook organis<strong>at</strong>ies moet<strong>en</strong> beseff<strong>en</strong> d<strong>at</strong> ze verantwoordelijk zijn voor de<br />
lic<strong>en</strong>ties, d<strong>at</strong> dit goed geregeld wordt ook al is het e<strong>en</strong> <strong>BYOD</strong> appara<strong>at</strong>.<br />
D<strong>en</strong>k aan Microsoft lic<strong>en</strong>ties, zeker in VDI.<br />
Loc<strong>at</strong>ion based security, andere recht<strong>en</strong> afhankelijk van waar je b<strong>en</strong>t.<br />
<strong>BYOD</strong> niet los zi<strong>en</strong> van mobiliteit van medewerkers op zich. Maakt niet uit<br />
w<strong>at</strong> ze gebruik<strong>en</strong> voor appara<strong>at</strong>, als ze hun werk maar kunn<strong>en</strong> do<strong>en</strong>, zo<br />
veilig mogelijk, met de juiste regelgeving <strong>en</strong> voldo<strong>en</strong>de compliance.<br />
Overig
VR-46<br />
A-46<br />
Steeds meer inform<strong>at</strong>ie afscherm<strong>en</strong> voor iedere<strong>en</strong>, behalve voor wie<br />
daar<strong>bij</strong> mog<strong>en</strong>. Ook soort van DLP.<br />
To<strong>en</strong>ame van type devices is e<strong>en</strong>maal ingezet <strong>en</strong> zal alle<strong>en</strong> maar<br />
doorgaan. De IT-(support)organis<strong>at</strong>ie zal daar de meeste problem<strong>en</strong> mee<br />
hebb<strong>en</strong>, moet<strong>en</strong> zich herbezinn<strong>en</strong> over welke rol ze daarin hebb<strong>en</strong>.<br />
Hebb<strong>en</strong> minder controle, maar zijn uiteindelijk wel verantwoordelijk voor<br />
het juiste reil<strong>en</strong> <strong>en</strong> zijl<strong>en</strong> van IT in de organis<strong>at</strong>ie. Vroeger was er slechts<br />
1 type appara<strong>at</strong>, nu allemaal verschill<strong>en</strong>de <strong>en</strong> meerdere. Eerst alle<strong>en</strong> de<br />
laptop, nu ook smartphones <strong>en</strong> verschill<strong>en</strong>de Android versies, <strong>en</strong> iPads.<br />
Iedere<strong>en</strong> wil <strong>bij</strong> de applic<strong>at</strong>ies kom<strong>en</strong>. IT-organis<strong>at</strong>ie: hoe ga<strong>at</strong> ze d<strong>at</strong><br />
manag<strong>en</strong>? MDM-software kan daar<strong>bij</strong> goed help<strong>en</strong>.<br />
Meer k<strong>en</strong>nis <strong>bij</strong> support afdeling kwek<strong>en</strong>. Leeftijd van IT-medewerkers,<br />
moet naar b<strong>en</strong>ed<strong>en</strong>. Veel organis<strong>at</strong>ies hebb<strong>en</strong> veel oudere ITmedewerkers,<br />
die zijn minder leergierig. Jeugd is niet anders gew<strong>en</strong>d dan<br />
mobiel.<br />
Zijn er nog aanbeveling<strong>en</strong> te noem<strong>en</strong> die niet aan bod zijn gekom<strong>en</strong>?<br />
Let goed op Gartner docum<strong>en</strong>t<strong>en</strong>, die hebb<strong>en</strong> m<strong>at</strong>urity models <strong>en</strong> wellicht<br />
ook al voor MDM software <strong>en</strong> specifieke <strong>BYOD</strong> sc<strong>en</strong>ario’s.<br />
Hoe omgaan met 4G? Welke impact op toegang tot gegev<strong>en</strong>s <strong>en</strong><br />
infrastructuur, w<strong>at</strong> kost het <strong>en</strong> w<strong>at</strong> levert het op?<br />
Vasthoud<strong>en</strong> van medewerkers is lastiger dan binn<strong>en</strong>hal<strong>en</strong>. Veel Windows<br />
gebruikers, maar ook steeds meer Apple gebruikers. Hoe moet<strong>en</strong> we die<br />
tevred<strong>en</strong> houd<strong>en</strong>?<br />
Organis<strong>at</strong>ies moet<strong>en</strong> steeds meer de keuze mak<strong>en</strong> waar ze inform<strong>at</strong>ie<br />
opslaan. Is het secure, w<strong>at</strong> is secure, w<strong>at</strong> is veiliger? De Interne cloud of<br />
externe cloud zoals Dropbox?<br />
Overig<br />
Pagina | 211
Bijlage 6: Communic<strong>at</strong>ie empirisch onderzoek<br />
In deze <strong>bij</strong>lage word<strong>en</strong> de interviewafsprak<strong>en</strong> met de 5 onderzochte organis<strong>at</strong>ies<br />
weergegev<strong>en</strong>s. Bov<strong>en</strong>di<strong>en</strong> wordt e<strong>en</strong> voorbeeld getoond van de communic<strong>at</strong>ie<br />
m.b.t de teruggestuurde conceptversie van de interviewantwoord<strong>en</strong> <strong>en</strong> het<br />
verzoek ter controle <strong>en</strong> verific<strong>at</strong>ie van de geïnterpreteerde <strong>en</strong> sam<strong>en</strong>gev<strong>at</strong>te<br />
antwoord<strong>en</strong>.<br />
Organis<strong>at</strong>ie 1: Consum<strong>en</strong>t<strong>en</strong>bond<br />
Pagina | 212
Organis<strong>at</strong>ie 2: E<strong>en</strong> grote verzekeringsma<strong>at</strong>schappij<br />
Pagina | 213
Organis<strong>at</strong>ie 3: Rabobank<br />
Pagina | 214
Organis<strong>at</strong>ie 4: Kaseya<br />
Pagina | 215
Organis<strong>at</strong>ie 5: Global Systems Integr<strong>at</strong>or<br />
Pagina | 216
Voorbeeldcommunic<strong>at</strong>ie m.b.t. interviewverslag<br />
Pagina | 217
Pagina | 218