Security en privacy bij BYOD - DSpace at Open Universiteit

More documents

Recommendations

Info

1. Middelgrote tot grote organisaties hebben meer werknemers en dus zijn er meer mobiele apparaten. Dit maakt de kans op privacy gerelateerde incidenten groter. 2. Middelgrote tot grote organisaties hebben meer geld voor innovatie en dus ook voor implementatie van BYOD. 3. Middelgrote tot grote organisaties hebben door de omvang meer belang bij een goed doordacht en organisatiebreed beleid dat op alle werknemers van toepassing is. Vanwege beperkte tijd is het empirisch onderzoek gelimiteerd tot vijf interviews. De gevolgen hiervan op de generaliseerbaarheid worden in hoofdstuk 7 besproken. Uiteindelijk zijn vijf organisaties gevonden die voldeden aan bovenstaande eisen en mee wilden werken. Zie onderstaande tabel voor een overzicht van benaderde en geïnterviewde organisaties. Bovendien wordt in deze tabel gemotiveerd toegelicht waarom een aantal organisaties is afgevallen en/of ongeschikt bleek voor een interview. In bijlage 2 zijn korte organisatieprofielen te vinden. Organisatie BYOD toegestaan Geschikt contactpersoon Interview afgenomen Tabel 3: Overzicht benaderde organisaties Toelichting 1 Consumentenbond √ √ √ 2 Een grote verzekeringsmaatschappij √ √ √ Wenste anoniem te blijven in afstudeeronderzoek. 3 Microsoft Nederland X n.v.t. X Medewerkers worden voorzien van Microsoft producten, eigen hardware niet toegestaan. 4 Thales Groep X √ X BYOD was wel toegestaan, maar sinds kort vanuit security-optiek verboden. 5 KPN ? √ X Juiste persoon gevonden, maar hij gaf aan dat KPN niet wilde meewerken aan het onderzoek. 6 Google Benelux ? n.v.t. X Heeft aangegeven het beleid te hebben om niet aan dit soort (afstudeer)onderzoeken mee te werken. 7 Rabobank √ √ √ BYOD nog niet toegestaan, waren er wel enigszins mee 8 BAM X n.v.t. X bezig. Bleken uiteindelijk niet ver genoeg om mee te nemen in afstudeeronderzoek. 9 Kaseya √ √ √ 10 Global Systems Integrator √ √ √ Wenste anoniem te blijven in afstudeeronderzoek. Nooit tot een interview gekomen aangezien er al 5 11 Sogeti √ √ X contactpersonen bij andere organisaties waren geinterviewd. Tijdens een eerste gesprek, via mail of telefoon, met een contactpersoon binnen de organisatie is het onderzoek nader toegelicht. Er is gevraagd of de organisatie BYOD al toestaat of serieus aan het overwegen is. Dit om te controleren of de organisatie geschikt is voor dit onderzoek. Vervolgens is gevraagd of de contactpersoon de juiste is, met de meeste strategische en tactische kennis van BYOD en security. Wanneer aan beide voorwaarden werd voldaan, is een afspraak gemaakt voor het daadwerkelijke interview. Omdat de deelvragen zich op strategisch (beleid) en tactisch (maatregelen) niveau afspelen, was het wellicht noodzakelijk om per organisatie twee personen te interviewen. In de praktijk bleek dit niet nodig en bleken de geïnterviewde contactpersonen op beide niveaus de juiste te zijn. Een week voor het interview ontvingen de geïnterviewden een briefing (zie bijlage 6) met de beschrijving van het afstudeeronderzoek, de probleemstelling en de interviewopzet. Het doel hiervan was om de geïnterviewde in staat te stellen alvast informatie te verzamelen over de BYOD-security, mogelijke privacyproblemen en privacy-inbreuk voorkomende maatregelen. In de briefing Pagina | 18
werd nogmaals gevraagd voor toestemming om het interview op te nemen en om (beleids)documentatie ten aanzien van de BYOD-security ter beschikking te stellen. Indien de geïnterviewden hier geen bezwaar tegen hadden, werden de interviews opgenomen door middel van een voice recorder app op de iPhone en iPad. Hierdoor kon de beantwoording in een later stadium nog een keer worden beluisterd en konden mogelijke belangrijke details beter naar voren komen tijdens de analyse. Bovendien kon, door gebruik te maken van een digitale audio-opname, naderhand sneller naar bepaalde delen uit het interview worden gesprongen. Aan het begin van elk interview is de structuur steeds uitgelegd. Daarnaast is kort iets verteld over de achtergrond van de onderzoeker en het afstudeeronderzoek. Tevens is gevraagd aan de geïnterviewden of de briefing gelezen en begrepen is. Dit werd met behulp van VR-0 geverifieerd (zie tabel 4). Vraag nr: Vraag Antwoord op VR-0 Zijn er nog vragen/onduidelijkheden m.b.t. de toegezonden briefing? N.v.t. VR-1 Hoeveel werknemers telt uw organisatie? Context VR-2 In welke sector opereert uw organisatie? Context VR-3 Hoe groot is de IT-organisatie (aantal medewerkers, aantal servers, aantal te beheren applicaties, etc)? Context VR-4 Is BYOD-reeds geïmplementeerd in uw organisatie? Ja? Sinds wanneer? Nee, vanaf wanneer? Hoeveel medewerkers binnen uw organisatie komen in aanmerking voor Context VR-5 BYOD of hoeveel maken er daadwerkelijk gebruik van? Is er een bepaalde mate van zelfredzaamheid waar medewerkers aan moeten voldoen willen ze in aanmerking kunnen komen voor BYOD? Context VR-6 Wat is uw functie in de organisatie? Context VR-7 VR-8 Bent u betrokken geweest bij de totstandkoming van het BYOD-beleid, en wat was uw rol daarin? Bent u goed op de hoogte van de inhoud van de BYOD-security, op zowel strategisch (beleid) als tactisch (maatregelen) niveau? Tabel 4: Voorbereiding interviewvragen Context Context VR-9 Wat was de belangrijkste motivatie om BYOD-te implementeren? Context Elk van de geïnterviewde organisaties is verschillend, ondanks dat sommigen in dezelfde sector zitten. Er zijn vooraf geen beperkende criteria gesteld anders dan een minimaal aantal werknemers van 200. De verschillen tussen de organisatiesoorten hebben wel invloed op de generaliseerbaarheid. Daarom is aan het begin van elk interview ruimte gemaakt om de context te bepalen. Zie tabel 4, VR-1 tot en met VR-9. Om vanuit de empirie tot beantwoording van de drie deelvragen en uiteindelijk de hoofdvraag (zie hoofdstuk 2) te komen, zijn ze geoperationaliseerd in de vorm van interviewvragen VR-10 tot en met VR-46 (zie bijlage 3). Bij het vormgeven van deze interviewvragen heeft datgene wat in de literatuur is gevonden een minimale rol gespeeld. Vooral wat expliciet niet is gevonden in de literatuur heeft een aanzienlijk rol gespeeld en richting gegeven aan het bedenken en formuleren van deze interviewvragen. Uiteindelijk zijn er interviews afgenomen bij vijf organisaties in de periode van oktober 2012 t/m januari 2013. Per interview is een periode van 1,5 - 2 uur uitgetrokken om alle 46 vragen te behandelen. In onderstaande tabel worden de gegevens van elk interview opgesomd. Een volledig verslag van elk interview is te vinden in bijlage 5. Pagina | 19
Page 1 and 2: Security en privacy bij BYOD Een ve
Page 3 and 4: Inhoudsopgave Samenvatting ........
Page 5 and 6: Samenvatting De hoofdvraag van dit
Page 7 and 8: Algemene conclusie Organisaties heb
Page 9 and 10: 2. Probleemstelling 2.1 Hoofdvraag
Page 11 and 12: Daarom is besloten om de probleemst
Page 13 and 14: In onderstaande tabel is het result
Page 15 and 16: 3.1.5 Zoektermen De volgende zoekte
Page 17: komen ethische kwesties en de toega
Page 21 and 22: Antwoorden op 230 interviewvragen (
Page 23 and 24: 4. Resultaat literatuurstudie In di
Page 25 and 26: Risico-minimalisatiestrategie moet
Page 27 and 28: 4.2.4 De zwakste schakel en de insi
Page 29 and 30: Certificatie en accreditatie 4. Bed
Page 31 and 32: 8. Mobiele apparaten introduceren n
Page 33 and 34: 16.500. Ook in het aantal te behere
Page 35 and 36: Zie vraag 9. VR-12 Heeft u, of uw o
Page 37 and 38: Slechts drie organisaties kunnen hi
Page 39 and 40: gebruiker automatisch akkoord gaat
Page 41 and 42: Drie organisaties melden in het int
Page 43 and 44: VR-41 Zijn er in het verleden spann
Page 45 and 46: van het mobiele apparaat. Daarnaast
Page 47 and 48: afdeling. BYOD-security lijkt daarm
Page 49 and 50: weinig, niet voldoende, of in de ve
Page 51 and 52: het met MDM-software mogelijk kan z
Page 53 and 54: 6.2 Conclusies m.b.t. deelvraag 2 W
Page 55 and 56: Zolang dit niet direct wordt gedaan
Page 57 and 58: m.b.t. de privacy van werknemers. E
Page 59 and 60: om de voor- en nadelen in kaart te
Page 61 and 62: 7. Reflectie 7.1 Productreflectie D
Page 63 and 64: 7.2.1 Literatuurstudie Bij aanvang
Page 65 and 66: 3. Tijdens de interviewgesprekken k
Page 67 and 68: 8. Referenties 8.1 Wetenschappelijk
Page 69 and 70:
Langheinrich, M., & Karjoth, G. (20
Page 71 and 72:
Van der Sloot, J., (Redactie) 20 de
Page 73 and 74:
Bijlage 1: Literatuurstudie Per rel
Page 75 and 76:
Aangezien het mobiele apparaat comm
Page 77 and 78:
komt of zelfs via sociale netwerken
Page 79 and 80:
Veiligheidsstandaarden en reglement
Page 81 and 82:
2. Onbevoegde toegang tot gegevens
Page 83 and 84:
Eigen samenvatting Deze publicatie
Page 85 and 86:
Tabel 8: Eerder uitgevoerd academis
Page 87 and 88:
Niet-technologisch 1. Online diefst
Page 89 and 90:
Security Governance genoemd. De aut
Page 91 and 92:
Eigen samenvatting De auteurs prese
Page 93 and 94:
Eigen samenvatting De auteurs besch
Page 95 and 96:
De auteurs stellen dat de trends en
Page 97 and 98:
Tabel 14: Soort interne dreigingen
Page 99 and 100:
[12] Sveen, F. O., Torres, J. M., &
Page 101 and 102:
ezorgdheid hierover uit met het oog
Page 103 and 104:
Het doel van de auteurs was dan ook
Page 105 and 106:
professional hackers, thus signific
Page 107 and 108:
2. Opgelegde openbaarmaking van ver
Page 109 and 110:
Eigen samenvatting De twee auteurs
Page 111 and 112:
5. Reputatie; de specifieke reputat
Page 113 and 114:
Als oplossing stelt de auteur voor
Page 115 and 116:
informatie. De auteur gaat verder i
Page 117 and 118:
de middelen om ze te beveiligen, te
Page 119 and 120:
ISO/IEC 27011: ISMS guidelines for
Page 121 and 122:
[29] Ashenden, D. (2008). Informati
Page 123 and 124:
Standaarden worden om de zoveel jaa
Page 125 and 126:
Net zoals Pc’s zijn deze mobiele
Page 127 and 128:
[32] Dimitriadis, C. K., Lobel, M.
Page 129 and 130:
4. Integreren van alle bedrijfseige
Page 131 and 132:
Met betrekking tot deze hoofdconclu
Page 133 and 134:
4. Grote organisaties doen er goed
Page 135 and 136:
Bovendien benoemen de auteurs 7 kan
Page 137 and 138:
verkennend onderzoek naar de beteke
Page 139 and 140:
of knowledge also focuses on both p
Page 141 and 142:
[42] Humphreys, E. (2008). Informat
Page 143 and 144:
Organisatie 2: Website : Omvang :
Page 145 and 146:
Organisatie 5: Global Systems Integ
Page 147 and 148:
2a. Vragen m.b.t. Deelvraag 1: de t
Page 149 and 150:
edreiging vormen voor vertrouwelijk
Page 151 and 152:
Vraag Bijlage 4: Antwoordenmatrix
Page 153 and 154:
11. Reden onderzoek/implementatie B
Page 155 and 156:
18.Hoofdlijnen BYODsecurity? 19. Ho
Page 157 and 158:
26. Voorwaarden BYOD? Ja, maar word
Page 159 and 160:
35. Wanneer bevoegdheid en/of contr
Page 161 and 162:
44.1 Beschrijf maatregelen. 44.2 Ge
Page 163 and 164:
A-7 en uitvoerend. VR-8 A-8 VR-9 A-
Page 165 and 166:
VR-15 A-15 VR-16 A-16 VR-17 A-17 VR
Page 167 and 168:
2b. Vragen m.b.t. Deelvraag 2: priv
Page 169 and 170:
VR-37 A-37 VR-38 A-38 VR-39 A-39 VR
Page 171 and 172:
3. Open en afsluitend deel: aspecte
Page 173 and 174:
2a. Vragen m.b.t. Deelvraag 1: de t
Page 175 and 176:
VR-19 A-19 VR-20 A-20 VR-21 A-21 VR
Page 177 and 178:
A-29 privésoftware, tenzij dit op
Page 179 and 180:
A-41 Desondanks zijn er nog geen sp
Page 181 and 182:
A-5 voldoet. Dat wil zeggen een pin
Page 183 and 184:
A-14 Gut feeling, eer en geweten. E
Page 185 and 186:
VR-22 A-22 VR-23 A-23 VR-24 A-24 VR
Page 187 and 188:
A-30 VR-31 A-31 VR-32 A-32 VR-33 A-
Page 189 and 190:
VR-41 A-41 mail etc. Wanneer het ap
Page 191 and 192:
VR-5 A-5 VR-6 A-6 VR-7 A-7 VR-8 A-8
Page 193 and 194:
A-12 VR-13 A-13 VR-14 A-14 BYOD voo
Page 195 and 196:
A-20 VR-21 A-21 VR-22 A-22 VR-23 A-
Page 197 and 198:
VR-31 A-31 VR-32 A-32 VR-33 A-33 Di
Page 199 and 200:
VR-41 A-41 of toegekend. In dit voo
Page 201 and 202:
A-4 VR-5 A-5 VR-6 A-6 VR-7 A-7 VR-8
Page 203 and 204:
VR-12 A-12 VR-13 A-13 VR-14 A-14 ka
Page 205 and 206:
VR-19 A-19 VR-20 A-20 VR-21 leert c
Page 207 and 208:
2b. Vragen m.b.t. Deelvraag 2: priv
Page 209 and 210:
A-36 VR-37 A-37 VR-38 A-38 VR-39 A-
Page 211 and 212:
VR-46 A-46 Steeds meer informatie a
Page 213 and 214:
Organisatie 2: Een grote verzekerin
Page 215 and 216:
Organisatie 4: Kaseya Pagina | 215
Page 217 and 218:
Voorbeeldcommunicatie m.b.t. interv
show all

Security en privacy bij BYOD - DSpace at Open Universiteit

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?