Het mobiele werken & de integriteit en vertrouwelijkheid van bedrijfsinformatie Timo Heideman Remco ten Berge Postgraduate IT Audit Opleiding Vasse, 2013
Het mobiele werken & de integriteit en
vertrouwelijkheid van bedrijfsinformatie
Timo Heideman
Remco ten Berge
Postgraduate IT Audit Opleiding
Vasse, 2013
Pagina 2 van 65
Postgraduate opleiding Vrije Universiteit Amsterdam
Academisch jaar: 2012-2013 Naam student: Remco ten Berge
Studentnummer: 2177382
Email student: [email protected]
Naam student: Timo Heideman
Studentnummer: 2161621
Email student: [email protected]
Bedrijfsbegeleider: Gert Wolfert
Docentbegeleider: Rene Matthijsse
Pagina 3 van 65
Voorwoord
Dit onderzoek is uitgevoerd ter afronding van de Postgraduate IT-audit Opleiding aan de
Vrije Universiteit, te Amsterdam. Graag zouden wij van deze gelegenheid gebruik maken om de
mensen te bedanken die bijgedragen hebben aan het tot stand komen van deze scriptie of ons
hebben gesteund tijdens het scriptieproces.
Allereerst willen wij onze ouders, familie, vrienden, andere collega’s en in Remco’s geval
ook zijn vriendin Ilse bedanken die ons hebben gesteund en ondersteund tijdens het gehele
scriptieproces.
Een bijzonder woord van dank gaat uit naar onze docent- en praktijkbegeleiders René
Matthijsse en Gert Wolfert voor de begeleiding, adviezen en overlegmomenten welke een grote
bijdrage hebben geleverd aan de totstandkoming van deze scriptie.
Vasse, 22 september 2013
Remco ten Berge
Timo Heideman
Pagina 4 van 65
Inhoudsopgave
1. Inleiding ............................................................................................................................... 6
1.1 Aanleiding ................................................................................................................... 6
1.2 Vraagstelling, onderzoeksvraag en deelvragen ........................................................... 8
1.3 Doelstelling en afbakening .......................................................................................... 9
1.3.1 Doelstelling ............................................................................................................. 9
1.3.2 Doelgroep ............................................................................................................... 9
1.3.3 Afbakening .............................................................................................................. 9
1.3.4 Definities ................................................................................................................. 9
1.4 Research design ....................................................................................................... 11
1.4.1 Literatuuronderzoek .............................................................................................. 11
1.4.2 Praktijkonderzoek .................................................................................................. 11
2. Literatuuronderzoek ........................................................................................................... 13
2.1 Inleiding..................................................................................................................... 13
2.2 Het mobiele werken .................................................................................................. 13
2.3 Trends en het mobiele werken .................................................................................. 15
2.3.1 Apparatuur die het mobiele werken ondersteunt ................................................... 16
2.3.2 Verschijningvormen van het mobiele werken ........................................................ 18
2.4 Best practices en richtlijnen ten aanzien van het mobiele werken ............................. 21
2.4.1 Risico model mobiel werken .................................................................................. 24
2.4.2 Risico kwadrant mobiel werken ............................................................................. 25
2.5 Traditionele IT omgeving ........................................................................................... 26
2.5.1 Beheerorganisatie ................................................................................................. 26
2.5.2 Eindgebruiker ........................................................................................................ 26
2.5.3 IT infrastructuur ..................................................................................................... 27
2.5.4 Device ................................................................................................................... 28
2.6 Verschillen en inherente risico’s ................................................................................ 29
2.6.1 Grens van de organisatie ...................................................................................... 29
2.6.2 Veranderingen bij het mobiele werken .................................................................. 30
2.6.3 Risico’s bij het mobiele werken ............................................................................. 31
2.7 Informatiebeveiliging ................................................................................................. 33
2.7.1 Proces van informatiebeveiliging ........................................................................... 33
2.7.2 Beveiligingsmaatregelen ....................................................................................... 35
2.8 Samenvatting ............................................................................................................ 40
3. Praktijkonderzoek .............................................................................................................. 41
3.1 Inleiding..................................................................................................................... 41
Pagina 5 van 65
3.2 Organisatie ................................................................................................................ 41
3.2.1 IT organisatie ........................................................................................................ 41
3.2.2 IT infrastructuur ..................................................................................................... 41
3.2.3 VDI concept .......................................................................................................... 42
3.2.4 Aanpak case study ................................................................................................ 43
3.3 Bevindingen in de praktijk ......................................................................................... 45
3.3.1 Beheerorganisatie ................................................................................................. 45
3.3.2 Eindgebruiker ........................................................................................................ 46
3.3.3 IT Infrastructuur ..................................................................................................... 47
3.3.4 Devices ................................................................................................................. 48
3.4 Analyse en conclusies ............................................................................................... 49
4. Beschouwing ..................................................................................................................... 51
5. Beantwoording centrale vraagstelling ................................................................................ 54
5.1 Beantwoording deelvragen ........................................................................................ 54
5.2 Beantwoording centrale vraagstelling ........................................................................ 55
5.3 Slotopmerkingen en beperkingen van het onderzoek................................................ 57
Bijlage A Literatuurlijst .............................................................................................................. 58
Bijlage B Beheersmaatregelen praktijkonderzoek ..................................................................... 62
Bijlage C Mapping beheersmaatregelen theorie en praktijk ...................................................... 64
Pagina 6 van 65
1. Inleiding
1.1 Aanleiding Augustus 2011, een boze systeembeheerder logt in op het netwerk van zijn voormalige
werkgever via een open Wi-Fi netwerk en veroorzaakt voor $ 300.000 aan schade [SEC04].
Januari 2013, een Amerikaans hospice dient de Amerikaanse overheid $ 40.000 te betalen voor
het verliezen van een on-versleutelde laptop met privacy gevoelige gegevens van patiënten
[SEC01].
Mobiele malware zal volgend jaar zowel voor consumenten als bedrijven een probleem worden,
waarbij besmette apparaten zelfs als backdoor binnen organisaties kunnen fungeren [SEC02].
Steeds meer mensen werken op hun smartphone of tablet en daarnaast worden vaker privé
apparaten naar de werkvloer meegenomen. Dat betekent dat er behalve een zogeheten bring
your own beleid ook behoefte is aan security [COMP03].
Het beveiligingsbeheer van het groeiende aantal laptops, Blackberries, USB-apparaten en
andere mobiele apparaten is de grootste uitdaging sinds de millenniumbug [SEC03].
De stortvloed aan nieuwe mobiele apparatuur bezorgt IT-beheerorganisaties aardig wat
kopzorgen. Iedereen met een mooie nieuwe smartphone of tablet wil natuurlijk zijn zakelijke e-
mail lezen en het liefst ook andere zakelijke taken uitvoeren. Maar een toenemend extern
gebruik van bedrijfstoepassingen en -informatie betekent ook meer risico’s. Beveiliging en
beheersbaarheid van alle apparatuur geschikt voor telewerken wordt nog belangrijker
[COMP01]. Met de huidige toename van de mobiele apparaten wordt verwacht dat de telefoon
en tablet de nieuwe laptop zullen zijn. Alle data die beschikbaar is via een mobiel apparaat
zorgt ervoor dat elke medewerker op elk moment op de hoogte is en kan zijn van elk benodigd
bedrijfsonderdeel [COMP02].
Van de ruim 6 miljoen werknemers in Nederland die in 2010 per week 12 uur of meer werken,
beschouwt 1 miljoen zich als telewerker. Dat is 16 procent. Van de vakspecialisten – zoals
architecten, ingenieurs, systeemanalisten, kunstenaars – en leidinggevenden geeft 35 procent
op dat men over telewerkfaciliteiten beschikt [CBS01].
Middels het mobiele werken concept wordt informatie (ook bedrijfskritische informatie) op een
andere wijze ontsloten van het bedrijf dan in een traditionele omgeving waarbij de medewerker
fysiek aanwezig is bij de organisatie en daar gebruik maakt van de IT middelen die aan hem ter
beschikking zijn gesteld. Het op een andere wijze ontsluiten van bedrijfskritische informatie
brengt een aantal risico’s met zich mee. Zie bovenstaande praktijkvoorbeelden. Door de
toename van het gebruik van het mobiele werken, worden deze risico’s nog verder vergroot.
Met name de risico’s ten aanzien van integriteit en vertrouwelijkheid van de bedrijfsinformatie
zijn belangrijk om in gedachten te houden wanneer men medewerkers de mogelijkheid biedt om
Pagina 7 van 65
vanaf externe locaties met de bedrijfskritische informatie aan de slag te gaan. Ook dit blijkt
onder andere uit de verscheidene nieuwsberichten dat laptops, usb sticks en andere
informatiedragers kwijt raken, waardoor vertrouwelijke gegevens op straat komen te liggen en
als gevolg hiervan de privacy niet gewaarborgd is [SEC05]. Deze voorbeelden en de
uitdagingen welke deze met zich mee brengen om de integriteit en vertrouwelijkheid van de
bedrijfsgegevens te waarborgen, zijn voor ons de aanleiding geweest om ons onderzoek hierop
te richten.
Figuur 1 ‐ Samenhang onderzoek
In de bovenstaande figuur (figuur 1) wordt de samenhang weergegeven tussen de verschillende
aspecten welke hierboven zijn weergegeven. Uit bovenstaand figuur kan worden opgemaakt
dat door het toepassen van het mobiele werken het aantal risico’s toeneemt ten opzichte van de
traditionele IT omgeving. Van een traditionele omgeving die beheerd wordt door de werkgever
naar een IT omgeving waar de werkgever minder grip het beheer en beveiligingsmaatregelen
op heeft (buiten de fysieke grenzen van de onderneming). Ondanks de verandering zullen de
informatievoorziening, gegevensuitwisseling en informatiegebruik met de bijbehorende
kwaliteitsaspecten gewaarborgd moeten worden.
Dit onderzoek is met name gericht op het segment MKB+. Dit segment krijgt in het algemeen
minder aandacht vanuit het vakgebied, terwijl daar nu juist veel ontwikkelingen op het gebied
van mobiel werken, sociale media en IT beheer plaatsvinden. Om deze reden hebben wij
gemeend ons onderzoek in het MKB+ segment en bij een MKB+ organisatie uit te voeren.
Pagina 8 van 65
1.2 Vraagstelling, onderzoeksvraag en deelvragen Het mobiele werken en de verschillende vormen ervan brengt risico’s met zich mee ten aanzien
van de vertrouwelijkheid en integriteit van bedrijfsinformatie, welke door het implementeren van
adequate beheersmaatregelen door de organisaties beheerst dienen te worden.
Onderzoeksvraag:
Wat zijn de inherente risico’s van het mobiele werken en hoe kunnen MKB+ organisaties ervoor
zorgen dat zij het risiconiveau ten aanzien integriteit en vertrouwelijkheid van de
bedrijfsinformatie bij het faciliteren van het mobiele werken minimaal gelijk te houden ten
opzichte van de traditionele IT omgeving.
Deelvragen:
Beschrijvend:
‐ Wat zijn de verschillen en inherente risico’s van het mobiele werken ten opzichte van de
traditionele IT omgeving?
‐ Hoe kunnen de onderkende inherente risico’s volgens de literatuur worden
gemitigeerd?
Analyserend:
‐ Op welke wijze is het mobiele werken in de praktijk geïmplementeerd en welke
beheersmaatregelen zijn hierbij getroffen?
Beschouwend:
‐ Worden de in het literatuuronderzoek onderkende risico’s voldoende afgedekt door de
beheersmaatregelen welke in de praktijk zijn getroffen?
‐ Welke werkwijze en beheersmaatregelen zijn cruciaal die geïmplementeerd moeten
worden en kunnen deze in een hanteerbaar overzicht geplaatst worden?
Pagina 9 van 65
1.3 Doelstelling en afbakening
1.3.1 Doelstelling
Het doel van ons onderzoek is om tot een aanpak te komen welke MKB+ bedrijven kunnen
hanteren wanneer zij besluiten om het mobiele werken te introduceren binnen hun organisatie.
Deze aanpak dient ervoor te zorgen dat het risiconiveau met betrekking tot integriteit en
vertrouwelijkheid van bedrijfsinformatie zoveel mogelijk op gelijke hoogte blijft als wanneer men
het mobiele werken niet zou implementeren. Ten einde dit te bereiken zullen wij een werkwijze
met daarbij mogelijk te treffen beheersmaatregelen opstellen.
1.3.2 Doelgroep
Het resultaat van ons onderzoek is bedoeld voor MKB+ bedrijven met een normaal tot laag
risicoprofiel. Dit houdt in dat grotere bedrijven of bedrijven met een verhoogd risicoprofiel
wellicht aanvullende of andere werkwijzen en beheersmaatregelen dienen te treffen dan de
aanpak uit deze scriptie bevat. Een belangrijke reden hiervoor is dat het kans aspect, van de
risico’s welke betrekking hebben op ons onderzoek, toeneemt wanneer bedrijven een grote
naamsbekendheid genieten of wanneer er veel gewin te behalen valt. Hierbij kan men denken
aan multinationals, financiële instellingen of overheden.
1.3.3 Afbakening
Het onderzoek zal zich met name focussen op de kwaliteitsaspecten integriteit en
vertrouwelijkheid van bedrijfsinformatie. Wij hebben voor deze kwaliteitsaspecten gekozen op
basis van de gevonden artikelen welke in de aanleiding zijn benoemd. Uit deze artikelen valt op
te maken dat met name de kwaliteitsaspecten integriteit en vertrouwelijkheid hierbij een grote
rol hebben gespeeld. Wij onderkennen de relevantie van de kwaliteitsaspecten beschikbaarheid
en controleerbaarheid, ook bij het mobiele werken. Echter op basis van de artikelen beschreven
in de aanleiding hebben wij ervoor gekozen om de kwaliteitsaspecten beschikbaarheid en
controleerbaarheid buiten scope te laten.
De resultaten van ons onderzoek hebben betrekking op MKB+ bedrijven welke het mobiele
werken gaan toepassen, of reeds hebben toegepast. Het gaat hierbij om MBK+ bedrijven met
een normaal tot laag risico profiel, hierdoor is dit onderzoek en resultaten niet van toepassing
op bijvoorbeeld banken en verzekeraars.
Een kwaadwillende medewerker kan bijna altijd informatie waar hij toegang toe heeft aan de
organisatie onttrekken. Derhalve hebben wij ervoor gekozen om risico’s met betrekking tot de
integriteit en vertrouwelijkheid ten aanzien van bedrijfsinformatie, veroorzaakt door eigen
kwaadwillende medewerkers van de organisatie, buiten scope te laten.
1.3.4 Definities
Ter verduidelijking hebben wij hieronder de belangrijkste definities voor ons onderzoek
hieronder uiteen uitgezet.
Pagina 10 van 65
Bedrijfsinformatie: Met bedrijfsinformatie wordt de informatie bedoeld welke door organisaties
wordt gegeneerd, verzameld en verwerkt ten einde de bedrijfsvoering mogelijk te maken.
Verder is bedrijfsinformatie niet publiekelijk toegankelijk, maar alleen bestemd voor directe
betrokkenen bij de organisatie die geautoriseerd zijn om de informatie te benaderen.
Integriteit: Is de mate waarin gegevens of functionaliteit juist, volledig, tijdig en onweerlegbaar
zijn vastgelegd en ingericht.
Vertrouwelijkheid: Is de mate waarin de toegang tot gegevens of functionaliteit beperkt is tot
degenen die daartoe bevoegd zijn.
Risico’s: Een risico is de kans van optreden van een ongewenste gebeurtenis vermenigvuldigd
met de impact die de gebeurtenis heeft.
Beheersmaatregelen: Een beheersmaatregel is een maatregel die er voor zorgt dat de kans
en/of de impact van ongewenste gebeurtenis zo klein mogelijk is.
MKB+: Onder MKB+ bedrijven verstaan wij grote niet beursgenoteerde bedrijven en bedrijven in
het middelgroot, midden en kleinbedrijf.
Traditionele IT omgeving: Een MKB+ IT omgeving bestaande uit servers, werkstations,
netwerkinfrastructuur en informatiesystemen, waarbij toegang tot de bedrijfsinformatie niet
mogelijk is buiten de fysieke grenzen van de organisatie.
Mobiel werken: Mobiel werken is het gebruik van ICT middelen om locatie onafhankelijk, 24/7
met bedrijfskritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of
te transporteren) buiten de fysieke grenzen van het bedrijf.
Pagina 11 van 65
1.4 Research design Ons research design bestaat uit 3 hoofdstappen, te weten literatuuronderzoek,
praktijkonderzoek en het analyseren van de uitkomsten van de voorgaande stappen en op
basis daarvan conclusies trekken en aanbevelingen benoemen.
Figuur 2 ‐ Weergave Research Design
1.4.1 Literatuuronderzoek
Omdat het onderwerp van ons onderzoek constant aan veranderingen en nieuwe
ontwikkelingen onderhevig is en om gebruik te kunnen maken van de meest actuele
broninformatie, hebben wij voornamelijk gebruik gemaakt van artikelen gevonden binnen
vakliteratuur en op het internet. Het mobiele werken is een actueel onderwerp binnen de IT
branche, veel bedrijven willen er gebruik van gaan maken of doen dit inmiddels al. Hierbij
treden veranderingen op in de risico’s omtrent de bedrijfsinformatie, maar is nog niet altijd
duidelijk welke veranderingen dat mogelijk kunnen zijn en welke beheersmaatregelen bedrijven
tegen deze nieuwe of gewijzigde risico’s kunnen treffen. Op internet en in de vakbladen zijn al
veel artikelen gepubliceerd over dit onderwerp, echter er zijn niet of nauwelijks
wetenschappelijke artikelen over te vinden. Daarom zullen we voor onze literatuurstudie met
name gebruik gaan maken van deze artikelen op het internet en uit de vakbladen.
1.4.2 Praktijkonderzoek
De organisatie waar wij het praktijkonderzoek uitvoeren, bevindt zich op het moment van
onderzoek in de implementatiefase van een Virtual Desktop Infrastructure (VDI) oplossing. De
VDI oplossing maakt het mogelijk voor medewerkers om zowel tijdens als buiten kantooruren
vanaf een externe locatie toegang te krijgen tot systemen, applicaties en digitale
bedrijfsgegevens.
Het praktijkonderzoek betreft een middel groot accountantskantoor verdeeld over circa 20
vestigingen binnen Nederland.
Pagina 12 van 65
Middels het uitvoeren van diverse experts interviews willen wij inzicht verkrijgen in de gemaakte
keuzes en de getroffen beheersmaatregelen.
In de laatste fase van ons onderzoek zullen wij de uitkomsten van de literatuurstudie en
praktijkonderzoek nader analyseren en vergelijken. Op basis hiervan zullen we een aantal
conclusies trekken ten aanzien van de veranderingen in de risico’s en aanbevelingen doen hoe
deze risico’s op hun beurt door de bedrijven gemitigeerd kunnen worden. Daarnaast zullen wij
deze resultaten verwerken in een hanteerbaar overzicht.
Pagina 13 van 65
2. Literatuuronderzoek
2.1 Inleiding In dit hoofdstuk wordt allereerst de mobiele omgeving uiteengezet, vervolgens zal er een
globaal inzicht worden verkregen in de traditionele IT omgevingen bij MKB+ organisaties.
Aansluitend zullen de verschillen en risico’s behandeld worden welke inherent zijn bij het
mobiele werken. Daarbij zullen eveneens de meeste recente technologische ontwikkelingen en
verschijningsvormen op het gebied van mobiel werken worden behandeld. Hierbij wordt de
focus gelegd op veranderingen welke impact of een relatie hebben met de integriteit en
vertrouwelijkheid van bedrijfsgegevens. Dit ten einde onderstaande deelvragen te kunnen
beantwoorden;
‐ Wat zijn de verschillen en inherente risico’s van het mobiele werken ten opzichte van de
traditionele IT omgeving?
‐ Hoe kunnen de onderkende inherente risico’s volgens de literatuur worden
gemitigeerd?
2.2 Het mobiele werken Om een beter beeld te verkrijgen wat wordt verstaan onder het mobiele werken, wordt
hieronder eerst de definitie uiteengezet welke wij hanteren voor dit onderzoek. Uit een
onderzoek van de verschillende artikelen blijkt dat er geen een standaard definitie is van het
mobiele werken. Wij hebben onderstaande definities in de literatuur aangetroffen:
- Telewerken betreft arbeid waarbij door het gebruik van informatie- en
communicatietechnologie de arbeidslocatie voor tenminste 20 procent van de
arbeidstijd is gescheiden van de werk - of opdrachtgever [TNO01];
- Mobiele werkers zijn medewerkers die geregeld voor het eigen werk een draagbaar
apparaat met ten minste 3G- technologie gebruikt voor toegang tot internet [CBS01];
- Telework is any form of substitution of in- formation technologies (such as
telecommunications and computers - but not necessarily both) for work-related travel;
moving the work to the workers instead of moving the workers to work [JALA];
- Arbeid die op afstand van de werk- of opdrachtgever wordt uitgevoerd met behulp van
informatie- en communicatietechnologie (ICT) [TNO02].
- De Vries onderscheid verschillende vormen van telewerken/mobiel werken waarbij de
volgende definities naar voren komen [VRIES01];
“Telewerken: een vorm van arbeid die op afstand van werk- of opdrachtgever wordt
uitgevoerd met behulp van ICT. In het algemeen worden de volgende categorieën van
telewerken onderscheiden:
1. Multi-site telewerken. Tele-thuiswerken. Iemand werkt thuis voor één
werkgever. Telewerken vindt op structurele basis plaats en is meer dan
(incidenteel) werken in de avonduren (“day extending”), weekenden of soms
Pagina 14 van 65
tijdens een werkdagdeel. Over het algemeen is hierbij sprake van een
arbeidsovereenkomst.
2. Mobiel telewerken. Een medewerker werkt op meerdere en wisselende plekken
(bijvoorbeeld bij klanten) en gebruikt mobiele telecommunicatieapparatuur voor
contact met de opdrachtgever en/of collega’s op kantoor. Hierbij zal meestal
sprake zijn van een arbeidsovereenkomst.
3. Freelance telewerken. Iemand werkt altijd vanuit huis voor meerdere
opdrachtgevers. Hierbij is sprake van opdracht/aanneming van werk.
4. Tele-uitbesteding. Een deel van het primaire arbeidsproces kan door informatie-
en communicatietechnologie (ICT) gescheiden worden van de rest en wordt op
afstand van de hoofdvestiging ondergebracht. Men kan hierbij denken aan
callcenters, software- ontwikkeling, data-entry, etc. Er kan sprake zijn van
verschillende contractvormen. Bij deze vorm van telewerken wordt ook wel
gesproken van collectieve vormen van telewerken (tegenover individuele
vormen die hierboven worden genoemd).”
- ‘Mobiel werken’ betekent dat je altijd en overal onafhankelijk van tijd en locatie je werk
kan doen [MOREELS01].
Naast het begrip mobiel werken, wordt ook vaak verwezen naar andere vergelijkbare begrippen
zoals: telewerken, thuiswerken, tele-/thuiswerk en e-werken.
Bij het analyseren van de bovenstaande definities is ons opgevallen dat deze enigszins zijn
verouderd en veelal wordt verwezen naar of een thuislocatie of de locatie van de organisatie.
Tegenwoordig kan men ook onderweg of op openbare locaties ook gebruik maken van de IT
voorzieningen van de organisatie via het internet. Op basis van de bovenstaande definities en
ons onderzoeksdoel hebben wij de volgende definitie van mobiel werken vastgesteld welke wij
hanteren in dit onderzoek.
Mobiel werken: “Mobiel werken is het gebruik van ICT middelen om locatie onafhankelijk, 24/7
met bedrijfskritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of
te transporteren) buiten de fysieke grenzen van het bedrijf.”
Pagina 15 van 65
2.3 Trends en het mobiele werken Voordat de trends behandeld worden, wordt eerst een toelichting gegeven over de
geschiedenis van het mobiele werken, waarna de trends van het heden behandeld worden.
Het mobiele werken is ongeveer dertig jaar geleden ontstaan met de opkomst van de pc en van
het internet. Met behulp van informatie- en communicatie- technologie (ICT) wordt gewerkt op
afstand van de werkgever of het kantoor [EVE01]. Het internet is de ‘enabler’ geworden voor de
communicatie buiten de grenzen van het kantoorpand.
In de tijd zijn de computers steeds compacter en krachtiger geworden, van grote mainframes,
naar servers en desktopcomputer naar PDA’s en smarthpones. Inmiddels heeft een
smartphone meer rekenkracht en opslagcapaciteit dan een mainframe van het begin van de
jaren 1990.
Het mobiele werken wordt steeds meer toegepast binnen de verschillende organisaties. Het
CBS heeft een onderzoek uitgevoerd in 2010 waaruit blijkt dat gemiddeld 16% van de
werknemers met regelmaat vanaf een externe locatie mobiel werkt. Het aantal medewerkers
dat het mobiele werken hanteren is in de categorie (vak-)specialist het grootste. In figuur 3
wordt weergeven in welke branche het meest mobiel wordt gewerkt [CBS01].
Figuur 3 ‐ Mobiel werken binnen de branche
Er zijn verscheidene trends welke bijdragen aan de toename van het mobiele werken en welke
in sommige gevallen het mobiele werken zelfs mogelijk hebben gemaakt. Deze trends worden
hieronder kort toegelicht:
- Consumerisatie. Een belangrijke trend die steeds meer zijn intreden maakt is
consumerisatie [GART11]. In het verleden had de IT-organisatie een bepalende stem in
Pagina 16 van 65
de aanschaf en adoptie van nieuwe technologie. De toepassing ervan in de
thuisomgeving volgde vaak pas na succesvolle introductie van technologie bij de
overheid of in het bedrijfsleven [COMP12]. Tegenwoordig is dit anders. Nieuwe
technologieën, krachtige mobiele devices, laptops en computers zijn ter beschikking
voor de medewerker. Deze willen zij ook gebruiken voor hun werkplek. De
'consumerization of IT' (CoIT) is het verschijnsel waarbij nieuwe informatietechnologie
eerst in de consumentenmarkt wordt geadopteerd en daarna naar de zakelijke wereld
migreert [COMP12]
- HNW (Het Nieuwe Werken) wordt gekenmerkt door het tijd- en plaats onafhankelijk
werken, daarnaast verplaats de verantwoordelijkheid. De medewerker kiest zelf
wanneer hij werkt en op welke wijze hij deze werkzaamheden verricht [EVE01].
- BYOD (Bring Your Own Device) is een trend waarbij medewerkers eigen apparatuur
mee nemen naar het werk. Deze apparatuur wordt dus niet aangeboden door de
werkgever [TUIL11]. Apparaten welke veelal door medewerkers zelf worden
meegenomen zijn laptops, tablets en smartphones. De apparaten zijn eigendom van de
medewerker echter worden door de medewerker gebruikt voor zakelijke doeleinden.
Vaak houdt dit ook in dat bedrijfsinformatie opgeslagen en verwerkt wordt op het
apparaat van de medewerker. Het meebrengen en gebruiken van de eigen apparatuur
en software zijn de belangrijkste kenmerken van het BYOD concept [ITAUD12].
- Het CYOD (Choice Your Own Device) concept is een soort afgeleide van het BYOD
concept. Het concept is ontstaan doordat werkgevers, werknemers dezelfde gemakken
en functionaliteiten willen bieden op het werk als dat zij van hun privé devices gewend
zijn. Echter de werkgever wil ook controle en zeggenschap houden over de devices die
hiervoor gebruikt worden. Veelal wordt hierbij de werknemer een keuze geboden uit
een aantal devices welke door de beheerorganisatie worden ondersteund. Het device
wordt uiteindelijk door organisatie verstrekt [BYCY12].
2.3.1 Apparatuur die het mobiele werken ondersteunt
In een traditionele IT omgeving beschikt de eindgebruiker over een werkstation van de
organisatie waarmee toegang wordt geboden tot het netwerk, de applicaties en digitale
bedrijfsgegevens. Wanneer gebruik wordt gemaakt van het mobiele werken is dit niet meer
vanzelfsprekend. Medewerkers hebben wellicht een laptop van de zaak of hebben een eigen
apparaat (zie ook paragraaf 2.3). Hieronder staan de voornaamste devices benoemd welke het
mobiele werken mogelijk maken en waarop wij ons in ons onderzoek met name op zullen
richten.
Smartphones
Volgens onderzoek van Gartner zijn de verkopen van smartphones in het laatste kwartaal van
2011 met 47% gestegen ten opzicht van een jaar eerder [GAR01]. Het IDC heeft tevens
onderzoek gedaan naar het marktaandeel van de verschillende mobiele besturingssystemen
voor smartphones [IDC01]. Deze resultaten zijn weergegeven in figuur 4.
Pagina 17 van 65
Figuur 4 – Forcase smartphone
Uit bovenstaand figuur valt op te maken dat Android het meest gebruikte besturingssysteem is
voor Smartphones, gevolgd door iOS en Blackberry OS.
Tablets
Een device dat sterk in populariteit toeneemt is de tablet. Met name de tablets van Apple
worden steeds populairder. Dat blijkt ook uit hieronder weergegeven figuur 5.
Figuur 5 – Forecast tablet gebruik
Pagina 18 van 65
Uit onderzoek van IDC blijkt dat het gebruik van tablets in de komende jaren flink gaat
toenemen. Men verwacht dat het aantal tablets zal verdrievoudigen in 2016 ten opzichte van de
verkoopresultaten uit 2011. Uit het onderzoek blijkt dat de markt zal bestaan uit voornamelijk
iOS en Android besturingssystemen voor de tablets [IDC02]. De verkoopresultaten van
Windows 8 zijn niet meegenomen in de verwachting.
Laptops
Naast het gebruik van smartphones en de tablets is momenteel het meeste gebruikte apparaat
een laptop [SCHIPPER01]. Naar verwachting zal de laptop echter worden ingehaald door de
smartphones (als apparaat dat gebruikt wordt voor zowel zakelijk als privé), zie figuur 6.
Figuur 6 –Mobiele apparatuur markt voor BYOD
Uit de bovenstaande gegevens blijkt dat de verkoop van tablets zal toenemen. Uit onderzoek
van Trend Micro [VLIET01] blijkt dat de gemiddelde MKB-er gebruikt maakt van een desktop,
laptop, smartphone, tablet en een thuiscomputer. Het gebruik van verschillende apparatuur kan
risico’s met zich brengen. Per device zal een afweging dienen te worden gemaakt of en zo ja
welke beheersmaatregelen getroffen dienen te worden om de risico’s ten aanzien van integriteit
en vertrouwelijkheid van de bedrijfsinformatie te mitigeren. Uit het onderzoek van Trend Micro
blijkt dat cybercriminelen de devices mogelijk eenvoudig kunnen binnen dringen. Ze gebruiken
hiervoor technieken als het besmetten van devices met malware en en door middel van social
networking waarbij de apparaten met Android en iOS besturingssystemen het meest populaire
doelwit zijn.
2.3.2 Verschijningvormen van het mobiele werken
Het mobiele werken heeft verschillende verschijningsvormen. Hieronder worden een aantal in
het MKB veel gebruikte technologieën beschreven welke kunnen worden gebruikt om het
mobiele werken mogelijk te maken.
VPN
Een VPN (Virtual Private Network) is een privé datanetwerk, dat gebruik maakt van een
publieke telecommunicatie infrastructuur (b.v. het internet). Binnen het internet wordt een
beveiligde connectie (tunnel) opgezet waarmee op een veilige wijze kan worden
gecommuniceerd met het bedrijfsnetwerk [COMVPN]. Er kan voor verschillende VPN
oplossingen worden gekozen, met elk zijn eigen voor- en nadelen. Voorbeelden hiervan zijn
Pagina 19 van 65
PPTP, IPsec, L2TP en OpenVPN. Elke VPN oplossing kan op zijn beurt weer gebruik maken
van verscheidene encryptie algoritmes [GOVCERT01].
Medewerkers die gebruik maken van een VPN verbinding, kunnen middels een VPN cliënt op
de laptop of een ander mobiel device een connectie opzetten met het bedrijfsnetwerk. Eenmaal
succesvol aangemeld heeft de medewerker toegang tot de informatie op het bedrijfsnetwerk
waartoe de medewerker wanneer hij fysiek op kantoor aanwezig zou zijn ook toegang toe zou
hebben.
Internet
Figuur 7 – Versimpelde VPN verbinding weergave
HTTP(S)
HTTP staat voor HyperText Transfer Protocol en wordt gebruikt als communicatieprotocol
tussen een browser en een webserver. Het HTTP protocol is niet versleuteld, waardoor de
gegevens door derden afgeluisterd kunnen worden. Naast het HTTP protocol bestaat er het
HTTPS protocol. De S staat hierbij voor Secure. Middels het HTTPS protocol worden de
gegevens versleuteld. Voor de versleuteling van het HTTP verkeer wordt veelal gebruik
gemaakt van een SSL encryptie.
Medewerkers kunnen middels een HTTP(S) connectie verbinding maken met een
(bedrijfs)website, op deze website kan middels web applicaties toegang worden gekregen tot
bedrijfsinformatie. Daarnaast bestaat de mogelijkheid om aanvullende webapps te installeren
waarmee toegang kan worden verkregen tot de bedrijfsinformatie van de organisatie.
Internet
Figuur 8 ‐ Versimpelde HTTPS verbinding weergave
Pagina 20 van 65
Remote desktop
Een andere techniek waarmee het mobiele werken wordt ondersteund is het Remote Desktop
Protocol. Hiermee wordt een verbinding gemaakt met een andere server/computer. Over deze
verbinding worden met name beeld, toetsenbord en muis gegevens uitgewisseld tussen de
cliënt en de overgenomen server/computer. Het is echter ook mogelijk om andere gegevens via
deze verbinding uit te wisselen (bijvoorbeeld klembord/printopdrachten/bestanden). Op de
betreffende server worden de gegevens verwerkt en opgeslagen. Binnen Windows systemen
dienen gebruikers specifiek geautoriseerd te worden om bepaalde systemen middels RDP over
te mogen nemen. Daarnaast dient een gebruiker altijd nog aan te loggen met dezelfde
credentials, als dat hij zou doen wanner hij fysiek op het systeem zou aanloggen.
Desktop virtualisatie
Middels desktop virtualisatie krijgt de eindgebruiker op afstand toegang tot een desktop
omgeving. Deze desktop draait binnen een virtuele machine, die gehost is op één of meerdere
servers in bijvoorbeeld een datacenter [CLOUD12]. De desktop omgeving wordt veelal beheerd
door de IT afdeling of door een externe IT dienstverlener. Daarnaast kan gekozen worden om
een replica te maken en deze op te slaan op het apparaat zodat ook offline gewerkt kan
worden. Voorbeelden van desktopvirtualisatie oplossingen zijn VMWare View en Citrix
XenDesktop.
Figuur 9 ‐ Remote desktop verbinding
Remote Access Software
Naast de andere beschreven technologieën zijn er verschillende softwareoplossingen die het
mogelijk maken om een werkstation over te nemen vanaf afstand. Hierbij kan bijvoorbeeld een
vast werkstation worden overgenomen. Voorbeelden van deze programmatuur zijn
TeamViewer, LogMeIn, Kaseya, VNC en Symantec pcAnywhere. Veelal staat deze
programmatuur in verbinding met systemen van de software leverancier welke zorg dragen voor
het opzetten van de verbinding met de eindgebruiker welke zich op een externe locatie bevindt.
Data lokaal op mobiele devices
Naast de hierboven beschreven technologieën is het ook mogelijk bedrijfsgegevens op het
device zelf op te slaan. Hierdoor heeft de medewerker toegang tot de gegevens wanneer hij of
zij niet over een netwerkverbinding beschikt. Dit betekent echter ook dat de organisatie in het
Pagina 21 van 65
geval van geen netwerkverbinding, geen toegang en controle meer heeft tot deze digitale
gegevens. Om toch enige controle over de lokaal opgeslagen gegevens te houden zijn er
verschillende oplossingen beschikbaar voor smartphones en tablets, zoals MAM en MDM. Deze
oplossingen worden hieronder kort toegelicht.
MAM staat voor Mobile Application Management. Omdat bedrijfsgegevens vaak
opgeslagen zijn binnen bedrijfsapplicaties en daarbij behorende databases, brengen
een aantal leveranciers Mobile Application Management oplossingen uit waarmee
zakelijke applicaties en bijbehorende data door de IT-afdeling beheerd en beveiligd
kunnen worden op een privé apparaat. MAM-oplossingen als die van AppCentral,
Apperian en JackBe maken het mogelijk om applicaties en data op afstand te
installeren, te beveiligen, te updaten, te monitoren en te wissen. Voorwaarde hierbij is
wel dat er een netwerkconnectie met het device aanwezig is [COMP04].
MDM staat voor Mobile Device Management. Met behulp van MDM kan een IT-afdeling
op een veilige manier apparaten toevoegen aan een bedrijfsnetwerk, zelf de
instellingen verzorgen voor de draadloze verbinding en het ophalen van updates,
toezien op naleving van bedrijfsregels en apparaten op afstand vergrendelen of
wissen. Mobile Device Management in de vorm zoals we het nu kennen ontstond in
1999, toen de eerste BlackBerry’s professionals in staat stelden hun e-mail ook op
een smartphone te lezen. Omdat fabrikant Research in Motion (RIM) begreep dat
professionals hun adresboek en e-mail wilden kunnen synchroniseren met de
computer en IT-afdelingen apparaten wilden kunnen wissen indien de toestellen
bijvoorbeeld gestolen werden [COMP04].
2.4 Best practices en richtlijnen ten aanzien van het mobiele werken Er zijn reeds verschillende onderzoeken uitgevoerd naar het mobiele werken en de hierbij
inherente risico’s. Voor ons onderzoek hebben wij hierbij een viertal best practices, richtlijnen
en onderzoeken naast elkaar gezet en vergeleken. Het betreffen de onderzoeken en richtlijnen
van Govcert, het NCSC, ISO 27002 en de AIVD. In deze paragraaf zal worden toegelicht wat
het onderzoek en/of de richtlijn inhoudt en op welke aspecten van het mobiele werken het
onderzoek betrekking heeft.
Govcert
Het onderzoek van Govcert is gericht op het telewerken en de risico’s en beheersmaatregelen
welke daarbij getroffen kunnen worden [GOVCERT01]. Het onderzoek is uitgevoerd voor de
Nederlandse overheid ter voorkoming van ICT-gerelateerde veiligheidsincidenten.
Govcert onderkend in het telewerken vijf schakels in de keten. Het betreft:
1. De telewerklocatie. Het betreft de locatie waar de werkzaamheden worden uitgevoerd.
2. Het werkstation. Dit is het apparaat dat gebruikt wordt door de telewerker;
3. De verbinding tussen werkstation en organisatie. De verbinding tussen het werkstation
en de organisatie kan op vele manieren tot stand worden gebracht. Voorbeelden
hiervan zijn LAN/WAN/VPN/Wi-Fi verbindingen.
4. De informatie die aan de telewerker beschikbaar wordt gesteld;
Pagina 22 van 65
5. De telewerker zelf.
Bij elk van deze schakels kunnen risico’s worden onderkend en bij elk van deze risico’s kunnen
beheersmaatregelen worden getroffen.
NCSC
Het Nationaal Cyber Security Centrum (NCSC) heeft onderzoek uitgevoerd naar
beveiligingsrichtlijnen voor het mobiele werken [NCSC01]. De aanleiding hiervoor was dat de
digitale informatie-uitwisseling essentieel is voor het functioneren van de Nederlandse
samenleving. De betrouwbaarheid van de digitale communicatie is van wezenlijk belang en
vraagt om voortdurende zorg om de beschikbaarheid, integriteit en vertrouwelijkheid van
informatie te garanderen. Op basis van dit onderzoek zijn richtlijnen opgesteld inzake het
gebruik van een mobiel apparaat.
Het NCSC onderkent vijf verschillende lagen in het logische toegangspad. Deze lagen zijn
weergegeven in onderstaand figuur (figuur 10).
Figuur 10 – Overzicht NCSC
De beschrijving van het NCSC bevat richtlijnen omtrent:
1. Mobiele apparaat;
2. Toegangscontrole;
3. Applicatie;
4. Verwerking;
5. Netwerk.
Pagina 23 van 65
ISO 27002
Naast de onderkende risico’s en richtlijnen vanuit Govcert en het NCSC is tevens de ISO 27002
informatiebeveiligingsstandaard meegenomen in de analyse. De ISO 27002 richtlijn kan als
beveiligingstandaard worden gehanteerd om de integriteit en vertrouwelijkheid van de
bedrijfsinformatie te waarborgen [NEN01]. ISO 27002 'Code voor informatiebeveiliging' geeft
richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het
verbeteren van informatiebeveiliging binnen een organisatie.
De ISO 27002 biedt op verschillende gebieden beheerdoelstellingen en beheersmaatregelen,
waaronder fysieke beveiliging, beheer van communicatie en bedieningsprocessen,
toegangsbeveiliging en bedrijfscontinuïteitsbeheer. Een van de paragrafen gaat over draagbare
computers en telewerken. Hierbij worden beheersmaatregelen voorgeschreven omtrent de
volgende aspecten:
1. De draagbare computer;
2. De netwerkverbinding;
3. De telewerker.
Zoals aangeven beschrijft ISO 27002 meer dan alleen de bovenstaande drie aspecten voor het
geheel aan informatiebeveiliging, echter gezien ons onderzoek hebben wij ons gefocust op de
hierboven benoemde aspecten. ISO geeft aan dat de organisatie een
informatiebeveiligingsbeleid dient op te stellen. Wanneer de organisatie het mobiele werken
implementeert zal het informatiebeveiligingsbeleid hierop aangepast dienen te worden.
AIVD
Binnen het AIVD heeft het Nationaal Bureau Verbindingsbeveiliging een onderzoek uitgevoerd
naar veilige verwerking van overheidsinformatie op smartphones en tablets [AIVD01]. De AIVD
heeft hierbij een onderscheid gemaakt in drie verschillende onderdelen waarbij zich risico’s en
kwetsbaarheden kunnen voordoen:
1. Het device: de verwerkingen en opslag van gegevens op het device zelf;
2. De datacommunicatie: de gegevensuitwisseling tussen het device en de
backofficesystemen van de organisatie, bijvoorbeeld Wi-Fi of een mobiel
datacommunicatienetwerk;
3. De backoffice: de computersystemen van de organisatie waar de gegevens centraal
worden opgeslagen en beheerd, zoals de mailserver of de bestandsopslag.
Pagina 24 van 65
2.4.1 Risico model mobiel werken
De bovenstaande richtlijnen heb met betrekking tot onderkende componenten veel
overeenkomsten. In de onderstaande tabel zijn deze overeenkomstig componenten naast
elkaar gezet en gerangschikt in vier categorieën namelijk de beheerorganisatie, eindgebruiker,
IT infrastructuur en devices. Hieronder wordt een toelichting gegeven ten aanzien van de
onderkende categorieën.
Bedrijfsinformatie
Beh
eero
gani
satie
Ein
dgeb
ruik
er
IT in
fras
truc
tuur
Dev
ices
Govcert De telewerklocatieHet werkstationDe verbindingDe telewerker zelf
NCSC Mobiele apparatenToegangscontroleApplicatieNetwerk
ISO Draagbare computerNetwerk verbindingDe telewerker
AIVD Het deviceDe datacommunicatieDe backoffice
Tabel 1 – Koppeling onderzoeken
Beheerorganisatie
Met de beheerorganisatie wordt bedoeld de processen, procedures en organisatorische
beheersmaatregelen welke binnen de organisatie aanwezig zijn ten aanzien van IT.
Bijvoorbeeld een change management procedure of een procedure ten aanzien van het
toekennen en intrekken van toegangsbevoegdheden.
Eindgebruiker
Onder de eindgebruiker, worden de aspecten aangeven die direct gerelateerd zijn aan de
eindgebruiker. Bijvoorbeeld de locatie waar hij / zij werkt, wat te doen bij verlies of diefstal en de
bewustwording van de eindgebruiker.
IT infrastructuur
Met de IT Infrastructuur wordt de interne IT infrastructuur van de MKB+ onderneming bedoelt.
Hieronder vallen eveneens de componenten welke nodig zijn om de informatie toegankelijk te
maken voor de mobiele werker. Hierbij kan men denken aan de beveiligde verbinding, de
firewall en het serverpark.
Pagina 25 van 65
Devices
Met devices worden de apparaten bedoelt waarvan bij het mobiele werken gebruik wordt
gemaakt. Dit zijn bijvoorbeeld laptops, smartphones, tablets en reguliere werkstations. Hierbij
maken wij nog een onderscheid tussen devices met lokale opslag en een devices zonder lokale
opslag. Dit onderscheidt wordt gemaakt vanwege de locatie waar de bedrijfsgegevens worden
opgeslagen. Afhankelijk van waar de gegevens zijn opgeslagen, zijn er andere risico’s van
toepassingen en dienen andere beheersmaatregelen te worden getroffen.
2.4.2 Risico kwadrant mobiel werken
Op basis van de onderkende risicogebieden uit de hierboven beschreven best practices en
richtlijnen hebben wij onderstaand risico kwadrant opgesteld.
In het bovenstaande kwadrant staan de bedrijfsgegevens centraal. Deze worden beïnvloed
door aspecten die daarom heen gevestigd zijn. Elk van deze aspecten bevatten risico’s die
mogelijk de integriteit en vertrouwelijkheid van de kritische bedrijfsgegevens kan beïnvloeden.
In paragraaf 2.5 wordt meer inzicht verkregen in de traditionele IT omgeving waarna in
paragraaf 2.6 de onderkende verschillen en risico’s inzichtelijk worden gemaakt.
Figuur 11 – Risico kwadrant mobiel werken
Pagina 26 van 65
2.5 Traditionele IT omgeving In de literatuur hebben wij geen standaard beschrijving van een traditionele IT omgeving
aangetroffen. Dit zal met name zijn omdat de IT infrastructuur wordt ingericht en aangepast om
zoveel mogelijk aan de eisen en wensen van de betreffende organisatie te kunnen voldoen. Wel
wordt het client server model beschreven al de meest gangbare vorm voor het inrichten van IT
netwerken.
Om een vergelijking te kunnen maken van de veranderingen die zich voordoen bij het
implementeren van het mobiele werken, dienen wij eerst een beeld te krijgen van de situatie en
de IT omgeving voordat het mobiele werken wordt gehanteerd. De belangrijkste veranderingen
bij het implementeren van het mobiele werken doen zich voor ten aanzien van onderstaande
categorieën:
- Beheerorganisatie;
- Eindgebruiker;
- IT infrastructuur;
- Devices.
2.5.1 Beheerorganisatie
De inrichting van de beheerorganisatie binnen traditionele IT omgevingen kan per MKB+ bedrijf
sterk verschillen. Dit heeft veelal te maken met de omvang en volwassenheid van de
beheerorganisatie. Een overeenkomst tussen de verschillende IT beheerorganisaties binnen de
traditionele IT omgeving is dat zij verantwoordelijk zijn voor het gehele beheer van de complete
IT omgeving bij de organisatie. Vaak worden ook beheersmaatregelen getroffen dat de
gebruikers zelf geen beheer op de systemen kunnen uitvoeren, denk hierbij aan het
uitschakelen van de mogelijkheid om programmatuur op computers te installeren. Daarnaast
worden zaken binnen de traditionele IT omgeving vaak gestandaardiseerd. Hierbij kan men
denken aan een bepaalde set van type werkstations welke worden ondersteund, bepaalde
besturingssystemen of bepaalde programmatuur.
2.5.2 Eindgebruiker
Binnen de traditionele IT omgeving heeft de eindgebruiker enkel binnen de fysieke grenzen van
de organisatie toegang tot bedrijfsgegevens welke digitaal zijn opgeslagen. Deze toegang wordt
veelal verschaft middels werkstations welke op de werkplek aan de eindgebruiker beschikbaar
zijn gesteld. Doordat de eindgebruiker enkel binnen de fysieke grenzen van het bedrijf toegang
heeft tot de digitale bedrijfsgegevens is er veelal sprake van sociale controle met betrekking tot
de omgang met deze gegevens en IT systemen. Daarnaast is het in de traditionele IT omgeving
voor de eindgebruiker enkel mogelijk om toegang tot de digitale bedrijfsinformatie te krijgen
tijdens werktijd dan wel tijdens openingstijden van het bedrijf. Om dit te bewerkstelligen zijn in
de traditionele IT omgeving beheersmaatregelen getroffen met betrekking tot fysieke
toegangsbeveiliging.
Pagina 27 van 65
2.5.3 IT infrastructuur
De IT infrastructuur van een traditionele IT omgeving bestaat uit verschillende componenten en
welke dit zijn kan per bedrijf verschillen. Componenten welke in het algemeen voorkomen zijn
servers, netwerk randapparatuur, werkstations, besturingssystemen, databases en applicaties.
Al deze componenten worden veelal beheerd door de eigen beheer organisatie eventueel met
ondersteuning van een externe dienstverlener. Om dit beheer zoveel mogelijk te
vereenvoudigen worden componenten zoveel mogelijk gestandaardiseerd. Enkel apparatuur
wat onder het beheer valt van de eigen beheerorganisatie wordt toegelaten op het
bedrijfsnetwerk. Daarnaast zijn de verbindingen van buitenaf met het bedrijfsnetwerk niet tot
beperkt aanwezig.
Client Server model Het client-server model is een vorm van netwerkinrichting ontwikkeld bij Xerox PARC in de
jaren 1970. Het is tegenwoordig de meest gangbare vorm voor het inrichten van IT netwerken.
E-mail, het World Wide Web, en het afdrukken via een netwerk zijn alle toepassingen van het
client-server model.
Het model kent een van de twee rollen aan de computers in een netwerk: Client of server. Een
server is een computersysteem dat haar capaciteit deelt met zogeheten clients, een client is
een computer of een computer programma dat contact initieert met een server om gebruik te
maken van haar capaciteit. Data, rekenkracht, printers en data-opslag-apparaten zijn enkele
voorbeelden van de middelen welke door servers worden gedeeld met clients. Wanneer nog
niet gebruik wordt gemaakt van het mobiele werken concept bevinden zich alle componenten
van client-server netwerk zich binnen de fysieke grenzen van de organisatie. Daarnaast wordt
het bedrijfsnetwerk voor de buitenwereld afgeschermd middels één of meerdere firewalls.
[WIKI01]
In figuur 12 is het client server model schematisch weergegeven.
Figuur 12 – Client Server Model
Pagina 28 van 65
Server Based Computing Server Based Computing is een variant van client-server computing. Bij client-server computing
worden bepaalde verwerkingstaken zoals databeheer op een centrale server uitgevoerd en
andere verwerkingstaken, zoals het presenteren van de gebruikersapplicatie en printen van
data, op de client. Server Based Computing haalt zo veel mogelijk taken terug naar de server.
De uitwisseling van data bestaat alleen nog uit beeldscherminformatie, toetsenbordaanslagen
en muisbewegingen. Hierdoor wordt het mogelijk om thin clients toe te passen. Een thin client
hoeft zelf over zeer weinig systeembronnen te beschikken, en is zeer sterk afhankelijk van de
capaciteiten van de server.
De term Server Based Computing wordt met name gebruikt voor systemen waarin een centrale
server MS Windows/PC applicaties uitvoert die normaal gesproken op decentrale PC's zouden
draaien. De schermuitvoer wordt naar een thin client gestuurd die deze in een grafische MS
Windows omgeving aan de gebruiker presenteert. Dit principe kan zowel op een specifieke
applicatie als op de gehele gebruikersomgeving worden toegepast [WIKI02].
2.5.4 Device De apparatuur welke in de traditionele IT omgeving aan de eindgebruiker beschikbaar wordt
gesteld beperkt zich veelal tot een werkstation. Werkstations komen in de traditionele IT
omgeving voor in de vorm van een fat client of een thin client. Daarnaast wordt er zoveel
mogelijk gebruik gemaakt van gestandaardiseerde werkstations en apparaten om het beheer
ervan te vereenvoudigen.
Pagina 29 van 65
2.6 Verschillen en inherente risico’s In deze paragraaf worden de verschillen tussen het mobiele werken en de traditionele IT
omgeving en de inherente risico’s van het mobiele werken uiteengezet. Allereerst zal de grens
van de organisatie toegelicht worden.
2.6.1 Grens van de organisatie
Voor het uitvoeren van bedrijfsprocessen is informatie benodigd. Ook wordt er binnen de
bedrijfsprocessen informatie gegenereerd. Deze informatie wordt over het algemeen middels
applicaties benaderd, verwerkt en opgeslagen. Voorbeelden van gebruikte applicaties binnen
een MKB+ organisatie zijn een ERP systemen zoals SAP, Microsoft Dynamics of Exact Globe,
kantoorapplicaties zoals de Microsoft Office Suite en email programmatuur zoals Microsoft
Exchange. Internet
Buiten de fysieke grens (mobiel werken)
Binnen de fysieke grens (traditioneel)
Legenda:
Figuur 13 – Grens van de organisatie
Wanneer gebruikers met hun device aanloggen vanaf een externe locatie, wordt er vanaf een
externe locatie (buiten de fysieke grenzen van de organisatie) een verbinding tot stand
gebracht. Uiteraard hoeft een device niet buiten de grens van de organisatie aan te loggen,
zoals ook weergeven is in het bovenstaande figuur. De medewerker kan ook vanaf het interne
Pagina 30 van 65
netwerk aanmelden (binnen de fysieke grens van de organisatie) met zijn of haar (eigen)
device.
Zoals weergeven in de onderzoeksaanpak, focust het onderzoek zich op de devices die buiten
de fysieke grens van organisatie aanloggen, die middels ICT middelen toegang krijgt tot
bedrijfskritische informatie.
2.6.2 Veranderingen bij het mobiele werken
Door het mogelijk maken van het mobiele werken kan bedrijfsinformatie geraadpleegd (en/of
gemuteerd, getransporteerd) worden buiten de fysieke grens van de organisatie. Om te
waarborgen dat de bedrijfsinformatie integer en vertrouwelijk blijft zullen er aanvullende
beheersmaatregelen getroffen moeten worden door de organisatie. In hoofdlijnen zullen de
volgende veranderingen plaatsvinden op de reeds onderkende gebieden. Per kwadrant van
figuur 11 worden hieronder de veranderingen per risicogebied toegelicht.
Beheerorganisatie
De beheerorganisatie dient niet alleen de traditionele IT omgeving te ondersteunen maar tevens
de mobiele omgeving. Zo zullen procedures moeten worden aangepast, moeten IT-
medewerkers worden opgeleid om de betreffende devices en bijbehorende software te
beheren. Daarnaast dient het informatiebeveiligingsbeleid te worden aangepast om de nieuwe
risico’s en beheersmaatregelen met betrekking tot het mobiele werken te beoordelen (het
uitvoeren van een risicoanalyse) en uiteindelijk ook in te bedden binnen de organisatie. Een
andere verandering bij het mobiele werken is dat de IT omgeving 24/7 beschikbaar dient te zijn.
Dit vergt aanpassingen ten aanzien van de beheerorganisatie.
Eindgebruiker
Voor de eindgebruiker zijn er tevens veranderingen, zij krijgen de mogelijkheid (veelal op basis
van de functie [COMPMB]) om vanaf een andere locatie dan de standaard werkplek te werken.
Hierbij krijgt de eindgebruiker bijvoorbeeld een laptop, tablet of telefoon van de zaak of kan
hij/zij er zelf één uitzoeken, het BYOD of CYOD concept. De eindgebruiker krijgt middels een
dergelijk device toegang tot bedrijfsinformatie vanaf externe locaties. Dit betekend dat de
eindgebruiker zich bewust dient te zijn van de risico’s, regels en verantwoordelijkheden welke
dit met zich mee brengt.
IT Infrastructuur
De IT Infrastructuur dient te worden aangepast om connecties van buitenaf toe te laten. Niet
alleen de netwerkverbindingen dienen aangepast te worden, maar tevens dienen applicaties
geschikt gemaakt te worden voor de mobiele werkers. Daarnaast zullen aanvullende
beveiligingsmaatregelen getroffen moeten worden om ongeautoriseerde toegang van buitenaf
te verkleinen. De mogelijkheden van buitenaf verbinding te maken met het bedrijfsnetwerk zijn
ten slotte toegenomen.
Devices
De fysieke werkstations welke veel in een traditionele IT omgeving voorkomen worden
vervangen door of aangevuld met devices, waardoor het mobiele werken voor de eindgebruiker
mogelijk wordt gemaakt.
Pagina 31 van 65
2.6.3 Risico’s bij het mobiele werken
Op basis van de geselecteerde literatuur van ISO 27002, NCSC, AIVD en Govcert zijn van de
aangetroffen beheersmaatregelen onderstaande risico’s afgeleid en onderkend voor het
mobiele werken. De belangrijkste risico’s worden hieronder weergeven per risicogebied zoals
ook weergeven is in figuur 11 het risico kwadrant.
Beheerorganisatie
Ten aanzien van het risicogebied beheerorganisatie hebben wij het ontbreken van en/of
onduidelijkheid over het informatiebeveiligingsbeleid en de hieruit voort vloeiende
beheersmaatregelen als significant risico onderkend. Door het ontbreken van een beleid
omtrent het mobiele werken is het onduidelijk welke beheersmaatregelen getroffen en welke
werkzaamheden uitgevoerd dienen te worden door de beheerorganisatie om de integriteit en
vertrouwelijkheid van de bedrijfsinformatie te waarborgen. Daarnaast dient de organisatie
specialistische kennis te vergaren met de betrekking tot de verscheidene devices en technieken
welke worden ondersteund.
Eindgebruiker
De grootste risico’s ten aanzien van het risicogebied eindgebruiker zijn dat hij/zij onvoldoende
kennis heeft van de geldende regels en beheersmaatregelen ten aanzien van de IT
componenten en bedrijfsinformatie. Doordat eindgebruikers onvoldoende kennis hebben van de
beheersmaatregelen en regels omtrent informatiebeveiliging, bestaat het risico dat zij handelen
in strijd met de betreffende regels en beheersmaatregelen. Ook bestaat het risico dat de
eindgebruiker het niet eens is met de geldende regels of niet begrijpt waarom deze zijn
getroffen, waardoor hij/zij op zoek gaat naar mogelijkheden om de beheersmaatregelen te
omzeilen. Hierbij kan men denken aan het delen van wachtwoorden met collega’s of binnen het
gezin, waardoor mogelijk de controle technische functiescheiding binnen de geautomatiseerde
systemen wordt doorbroken en de vertrouwelijkheid van bedrijfsinformatie niet langer is
gewaarborgd.
IT Infrastructuur
Om het mobiele werken te faciliteren zal het binnen de IT infrastructuur mogelijk dienen te
worden gemaakt om vanaf externe locaties verbinding te kunnen maken met het
bedrijfsnetwerk. Hierbij kan men denken aan het open zetten van poorten op de firewall en/of
het implementeren van systemen welke de verbindingen vanaf externe locaties afhandelen. Dit
brengt het risico met zich mee dat ongeautoriseerden eveneens vanaf externe locaties
verbinding zouden kunnen maken met het bedrijfsnetwerk. Derhalve dienen hiervoor
aanvullende beveiligingsmaatregelen getroffen te worden.
Een ander risico met betrekking tot de IT infrastructuur is dat wanneer gebruik wordt gemaakt
van het mobiele werken er ook gebruik wordt gemaakt van een diversiteit aan devices
(bijvoorbeeld smartphones, laptops, tablets met daarop verschillende besturingssystemen.)
Wanneer onbeveiligde en/of compromitteerde devices worden aangesloten op het netwerk leidt
dit tot aanvullende kwetsbaarheden en brengt dit het risico met zich mee dat ongeautoriseerden
zichzelf toegang kunnen verschaffen tot het netwerk middels de hiervoor genoemde devices
Pagina 32 van 65
en/of dat de betreffende devices schade aanrichten aan het bedrijfsnetwerk. Bij dit laatste kan
men denken aan het verspreiden van virussen en malware op het bedrijfsnetwerk, wat bij het
mobiele werken 24/7 kan plaatsvinden.
Devices Met betrekking tot het risicogebied devices hebben wij ongeautoriseerde logische en/of fysieke
toegang tot het device als voornaamste risico aangemerkt. Wanneer ongeautoriseerden fysieke
of logische toegang hebben tot het device kunnen zij mogelijk vertrouwelijke bedrijfsinformatie
inzien en/of bewerken. Dit risico kan zich bij onder andere bij verlies, diefstal of het onbeheerd
achterlaten van het device manifesteren. Wanneer bedrijfsinformatie lokaal op de devices wordt
opgeslagen bestaat eveneens het risico dat deze gegevens verloren gaan of niet juist en
volledig worden gerepliceerd of geback-upd naar het bedrijfsnetwerk. Een ander risico is dat
wanneer onveilige apps op het device worden geïnstalleerd, deze mogelijk ook toegang kunnen
krijgen tot de bedrijfsinformatie op het device.
Een volledig overzicht van de onderkende risico’s zijn weergegeven in tabel 2 ‘Risico’s mobiel
werken’. In hoofdlijnen zijn er echter twee essentiële overkoepelende risico’s. Aan deze twee
risico’s kunnen alle risico’s die in tabel 2 worden weergegeven gekoppeld worden. Deze risico’s
zijn:
- Bedrijfskritische informatie wordt ongeautoriseerd verspreid en of toegankelijk voor niet
geautoriseerde personen waardoor de vertrouwelijkheid van informatie niet
gewaarborgd is;
- Bedrijfskritische informatie wordt ongewenst bewerkt waardoor de integriteit van de
informatie niet gewaarborgd is.
Zoals weergeven is in figuur 11 risico kwadrant staat de bedrijfsinformatie centraal. Waarbij het
waarborgen van de kwaliteitsaspecten integriteit en vertrouwelijkheid centraal staat.
Rnr Risico Integriteit Vertrouwelijkheid
1 Doordat eindgebruikers onvoldoende kennis
hebben van de beheersmaatregelen en regels
omtrent informatiebeveiliging, bestaat het risico
dat zij handelen in strijd met de betreffende
regels en beheersmaatregelen.
2 Door het ontbreken van een beleid omtrent het
mobiele werken is het onduidelijk welke
beheersmaatregelen getroffen dienen te
worden.
3 Onbeveiligde en/of compromitteerde devices
loggen aan op het bedrijfsnetwerk
4 Wachtwoorden van gebruikersaccounts worden
binnen de organisatie gedeeld, of
beveiligingsmaatregelen om gebruikersaccounts
te beveiliging zijn van onvoldoende kwaliteit,
Pagina 33 van 65
Rnr Risico Integriteit Vertrouwelijkheid
waardoor medewerkers onder andere accounts
dan hun eigen kunnen aanloggen.
5 Ongeautoriseerden hebben logische of fysieke
toegang tot het device.
6 Eindgebruikers kunnen software installeren /
configureren waardoor getroffen
beveiligingsmaatregelen negatief worden
beïnvloed.
7 Als gevolg van verlies/diefstal kan de
bedrijfsinformatie toegankelijk worden voor
ongeautoriseerde personen
8 Informatie die uitgewisseld wordt, wordt
onderschept door onbevoegden.
9 Ongeautoriseerde personen kunnen zich
middels hacken toegang verschaffen tot de
bedrijfsinformatie.
10 De rechten binnen de systemen zijn onjuist
ingericht, waardoor medewerkers toegang
hebben tot componenten en informatie waarvoor
zij niet bevoegd zijn.
11 Er vindt onvoldoende onderhoud/beheer plaats
op de devices
12 De systemen en gegevens worden onvolledig
en/of onjuist gebackupped, waardoor in het
geval van een calamiteit de bedrijfsinformatie
niet juist en volledig hersteld kan worden.
Tabel 2 ‐ Risico’s mobiel werken
2.7 Informatiebeveiliging Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen. De
informatie moet worden beveiligd om zo de beschikbaarheid, integriteit, vertrouwelijkheid en
controleerbaarheid te kunnen waarborgen. Kortom, het beveiligen van informatie tegen
bedreigingen.
2.7.1 Proces van informatiebeveiliging Ondernemers, organisaties en hun omgeving veranderen continu. Daardoor zal de
beheersmaatregel die ooit belangrijk was nu misschien niet meer belangrijk zijn, of vervangen
worden door een andere beheersmaatregel. De risico’s veranderen, net als de eisen en de
randvoorwaarden die vanuit het management aan informatiebeveiliging worden gesteld.
Informatiebeveiliging kan dan ook als een constant veranderend proces worden beschouwd, zie
Pagina 34 van 65
figuur 14 [INFORB]. Derhalve is het van belang informatiebeveiliging als proces binnen de
organisatie in te richten, waarbij onderstaande stappen in het proces dienen te worden
opgenomen.
1. Formuleren van een beleid ten aanzien van informatiebeveiliging en het inrichten van
de organisatie die verantwoordelijk is voor informatievoorziening;
2. Opsporen van onacceptabele risico’s door middel van een risicoanalyse;
3. Selecteren van een set van beheersmaatregelen;
4. Implementeren van de geselecteerde beheersmaatregelen;
5. Monitoring ten aanzien van de getroffen beheersmaatregelen;
6. Evaluatie van het effect dat met de getroffen beheersmaatregelen bereikt wordt (blijven
de beheersmaatregelen voldoen en worden de relevante risico’s voldoende
gereduceerd).
Figuur 14 ‐ Proces Informatiebeveiliging
Uit het bovenstaande figuur blijkt dat het proces van informatiebeveiliging een continu proces is.
Waarbij op basis van de uitgangspunten (plan) een selectie gemaakt wordt van
beheersmaatregelen welke geïmplementeerd dienen te worden (do), vervolgens wordt
gemonitord naar de effectieve werking van de beheersmaatregel (check) en wordt een evaluatie
uitgevoerd (act) welke weer input geeft voor de geldende uitgangspunten. Deze cyclus biedt
een continue verbeteringen in het proces van informatiebeveiliging. Bovenstaande stappen
vertonen overeenkomsten met de demming cirkel [PDCA01].
Pagina 35 van 65
2.7.2 Beveiligingsmaatregelen Om risico’s te minimaliseren dienen beheersmaatregelen te worden getroffen. Er zijn een aantal
verschillende type beheersmaatregelen die genomen kunnen worden op hoofdlijnen. Het betreft
de volgende type [INFORB]:
- Preventieve beheersmaatregelen; Bijvoorbeeld het plaatsen van een firewall. Een
preventieve maatregel wordt genomen om een mogelijk incident te voorkomen;
- Repressieve beheersmaatregelen; Bijvoorbeeld het op afstand wissen van een
smartphone. Een repressieve maatregel wordt genomen om de schade van een
mogelijk incident te beperken;
- Detectieve beheersmaatregelen; Bijvoorbeeld een virusscanner. Een detectieve
maatregel wordt genomen om een mogelijk incident waar te nemen;
- Correctieve beheersmaatregelen. Bijvoorbeeld een back-up terug zetten om schade te
herstellen. Een correctieve maatregel wordt genomen om de schade van een incident
te herstellen.
In de onderstaande figuur wordt weergegeven hoe de verhouding is tussen de verschillende
beheersmaatregelen in combinatie met bedreigingen, verstoringen, schade en herstel
[INFORB].
Bedreiging
Verstoring
Schade
Herstel Correctief
Preventief
Detectie
Repressief
Figuur 15 ‐ Incidentcyclus
Pagina 36 van 65
Naast de indeling van de incidentcyclus kunnen beveiligingsmaatregelen ook ingedeeld worden
op de wijze waarop ze gerealiseerd worden [INFORB]:
- Organisatorische beheersmaatregelen: Deze hebben betrekking op organisatie als
geheel. Bijvoorbeeld functiescheiding en interne beheersing, opleiding en voorlichting,
een beveiligingsbeleid, enzovoort;
- Logische beheersmaatregelen: Dit zijn beheersmaatregelen die geprogrammeerd zijn in
de programmatuur. Het zijn bijvoorbeeld identificatie, authenticiteit, encryptie,
enzovoort;
- Fysieke beheersmaatregelen: Dit zijn beheersmaatregelen die gebaseerd zijn op
materiële zaken zoals brandblussers, noodstroomvoorziening, sloten enzovoort.
Gezien het onderwerp van onderzoek zullen wij enkel op de organisatorische en logische
beheersmaatregelen in gaan.
In onderstaand figuur worden de beheersmaatregelen ten opzichte van de bedreigingen schematisch weergegeven.
Figuur 16 – Indeling beheersmaatregelen
In paragraaf 2.4 zijn een viertal onderzoeken en richtlijnen benoemd, te weten die van Govcert,
het NCSC, ISO27002 en de AIVD. Op basis van deze onderzoeken zijn beheersmaatregelen
opgesteld. Het betreffen beheersmaatregelen die verschillend van aard zijn (preventief,
repressief, detectief en correctief) en beheersmaatregelen die op een andere wijze kunnen
worden doorgevoerd (organisatorisch of logisch). Een overzicht van de onderkende
beheersmaatregelen staat hieronder weergegeven. Daarbij zijn de onderkende
beheersmaatregelen gekoppeld aan de reeds onderkende risico’s.
Pagina 37 van 65
Mnr Risk Beheersmaatregel Referentie Beheer- organisatie
Eind-gebruiker
IT Infra-structuur
Device
1 1 Stel een gedragscode op rondom het mobiele werken.
Govcert / ISO
2 9 Beveiligingsupdates dienen te zijn toegepast en dienen up to date te zijn.
Govcert / NCSC / ISO / AIVD
3 3, 4, 5, 9
Adequate authenticatie methodes dienen te zijn toegepast (two-factor authenticatie, sterk wachtwoord)
Govcert / NCSC / ISO / AIVD
4 1 Beveiligingsbewustzijn dient te worden bevorderd binnen de organisatie
Govcert / ISO
5 1 Periodieke toetsingen van het niveau van beveiligingsbewustzijn
Govcert / ISO / AIVD
6 9 Periodieke beoordeling van de logging en controle op eventuele afwijkingen (connecties, welke data verstuurd wordt, foutieve inlog, inlog vanaf "niet vertrouwde" landen).
Govcert / AIVD
7 3, 9 Implementeren van beveiligings-policys waarbij alleen goedgekeurde virusscanners en firewalls worden toegelaten tot het netwerk van de organisatie.
Govcert / AIVD
8 5, 7 Naar een bepaalde inactiviteit dient het mobiele devices vergrendeld te worden.
Govcert / NCSC
9 6 Eindgebruikers kunnen geen software installeren.
Govcert
10 7 De devices die gebruikt worden voor het mobiele werken zijn voorzien van encryptie zodat informatie versleuteld wordt opgeslagen.
Govcert / NCSC / ISO / AIVD
11 8, 9 Communicatie tussen het device en het bedrijfsnetwerk dient afdoende te zijn beveiligd (HTTPS, SSL, IPSec, VPN, PAPN)
Govcert / NCSC / ISO / AIVD
12 3, 9 Maak gebruik van een DMZ omgeving voor de toegang tot de informatie voor de mobiele werker.
Govcert / AIVD
13 10 Er dient een proces te zijn ingericht voor het uitgeven, onderhouden, het innemen en het intrekken van het recht tot telewerker.
Govcert
14 5, 9 Maak gebruik van verschillende toegangscodes (wachtwoorden) voor het mobiele apparaat, de verschillende diensten en apps.
NCSC
15 4, 5, 9
Wijzig regelmatig de toegangscodes (wachtwoorden) voor het mobiele apparaat, de verschillende diensten en apps.
NCSC
16 10 Periodiek dient gecontroleerd te worden of de ingebedde autorisaties en toegangsbevoegdheden overeenstemt de gewenste autorisaties.
NCSC
Pagina 38 van 65
Mnr Risk Beheersmaatregel Referentie Beheer-organisatie
Eind-gebruiker
IT Infra-structuur
Device
17 5, 7 Stel het maximaal aantal toegestane mislukte aanmeldingspogingen in.
NCSC
18 5 Schakel SIM-kaartvergrendeling in. NCSC
19 5 Het weergeven van de toegangscode bij het invoeren van het wachtwoord dient uitgeschakeld te zijn.
NCSC
20 7 Voorvertoningen van berichten op het begin scherm dient uitgeschakeld te zijn.
NCSC
21 6 De rechten van de geïnstalleerde apps zijn beperkt tot het absoluut minimum.
NCSC
22 5 De locatievoorzieningen dienen zoveel mogelijk te zijn uitgeschakeld.
NCSC
23 11 Het mobiele apparaat dient volledig te worden geformatteerd voordat deze wordt ingeleverd.
NCSC
24 5, 9 De netwerk-verbindingen zijn uitgeschakeld wanneer deze niet worden gebruikt.
NCSC
25 8 Het mobiele apparaat maakt geen automatisch verbinding met een Wi-Fi netwerk.
NCSC
26 5 Bluethooth is uitgeschakeld tenzij hiervan gebruik wordt gemaakt.
NCSC
27 5 Near Field Communication (NFC) is uitgeschakeld tenzij hiervan gebruik wordt gemaakt.
NCSC
28 2 Er dient een beleid opgesteld te worden omtrent fysieke bescherming, toegangsbeleid, cryptografische technieken, back-ups en virusbescherming.
ISO
29 7 Gebruikers dienen voorzorgs-maatregelen te treffen om te voorkomen dat onbevoegde gevoelige informatie onder ogen krijgen.
ISO
30 12 Regelmatig dienen er back-ups worden gemaakt van de informatie op het mobiele device.
ISO
31 12 De back-up's dienen adequaat te worden beschermd tegen diefstal of verlies van informatie.
ISO
32 7 Er dienen speciale procedures worden vastgelegd voor in het geval van diefstal of verliezen van een mobiele apparaat.
ISO
33 5 De mobiel apparaten mogen niet onbeheerd achtergelaten worden.
ISO
34 1 Er dient een definitie zijn afgesproken met betrekking tot het toegelaten werk, de werktijden, de classificatie van informatie waarover men mag beschikken en de interne systemen en diensten waartoe de telewerker toegang heeft.
ISO
Pagina 39 van 65
Mnr Risk Beheersmaatregel Referentie Beheer-organisatie
Eind-gebruiker
IT Infra-structuur
Device
35 11 Er dienen afspraken te zijn gemaakt over de ondersteuning en onderhoud van apparatuur en programmatuur.
ISO
36 3, 6 Periodieke controles van de mobiele devices op naleving van de beveiligingseisen.
ISO
37 6 Onnodige functionaliteiten dient te zijn geblokkeerd.
AIVD
38 7 Mobiele apparatuur kan op afstand worden gewist in het geval van diefstal of verlies.
AIVD
39 7 Er dient te worden voorkomen dat informatie op het mobiele apparaat wordt opgeslagen.
AIVD
40 12 Er dient te worden voorkomen dat informatie wordt geback-upt met cloud oplossingen welke niet van de organisatie zijn.
AIVD
41 3 De integriteit van de devices mag niet worden aangetast (jailbreaken, rooten, backdoors en keyloggers).
AIVD
42 3 Maak gebruik van een firewall/IDS/IPS en monitor hierop.
AIVD
Tabel 3 ‐ Beheersmaatregelen literatuuronderzoek
Pagina 40 van 65
2.8 Samenvatting In dit hoofdstuk met betrekking tot het literatuuronderzoek stonden onderstaande deelvragen
centraal:
‐ Wat zijn de verschillen en inherente risico’s van het mobiele werken ten opzichte van de
traditionele IT omgeving?
‐ Hoe kunnen de onderkende inherente risico’s volgens de literatuur worden
gemitigeerd?
Om de verschillen en de inherente risico’s in kaart te brengen zijn er diverse literatuurstukken
behandeld. Op basis van deze literatuur hebben wij een model (het risico kwadrant mobiel
werken) uitgewerkt. Dit model bestaat uit vier aspecten, te weten beheerorganisatie,
eindgebruiker, IT infrastructuur en device waarbij de bedrijfsgegevens centraal staat.
Vervolgens is de traditionele IT omgeving beschreven en op basis van het risico kwadrant zijn
de verschillen en de inherente risico’s tot stand gekomen. De grootste verschillen en risico’s
komen voort uit onderstaande kenmerken van het mobiele werken:
24/7 toegang tot systemen en bedrijfsinformatie;
Het mogelijk maken om verbinding vanaf externe locaties met het bedrijfsnetwerk op te
zetten;
De diversiteit aan devices, waarmee het mobiele werken wordt ondersteund.
De risico’s welke worden onderkend in de literatuur zijn op hoofdlijnen de volgende:
Bedrijfskritische informatie wordt ongeautoriseerd verspreid en of toegankelijk voor
ongeautoriseerde personen waardoor de vertrouwelijkheid van informatie niet
gewaarborgd is;
Bedrijfskritische informatie wordt ongewenst, ongeautoriseerd en/of onterecht
gewijzigd/verwijderd waardoor de integriteit van de informatie niet is gewaarborgd.
Om de onderkende risico’s te mitigeren dienen beheersmaatregelen getroffen te worden.
Hiervoor zal een proces ingericht moeten zijn welke waarborgt dat de risico’s juist worden
geadresseerd en waar nodig worden gemitigeerd met beheersmaatregelen. De
beheersmaatregelen welke in de literatuur worden genoemd kunnen in onderstaande punten
worden samengevat:
Er dient vanuit de organisatie een beleid en richtlijnen te zijn omtrent de IT systemen en
het mobiele werken;
Er dient bewustzijn en verantwoordelijkheid bij de medewerkers te worden gecreëerd
ten aanzien van de risico’s en getroffen beheersmaatregelen omtrent de IT omgeving
en het mobiele werken;
De beheersmaatregelen omtrent logische toegangsbeveiliging dienen ervoor zorg te
dragen dat ongeautoriseerde personen geen toegang kunnen krijgen tot de IT
systemen en bedrijfsinformatie van de organisatie;
Er dient voldoende beheer en monitoring plaats te vinden met betrekking tot de mobiele
devices waarmee het mobiele werken mogelijk wordt gemaakt.
Pagina 41 van 65
3. Praktijkonderzoek
3.1 Inleiding In de vorige hoofdstukken is op basis van de literatuur de definitie van het mobiele werken, de
begrippen omtrent de traditionele IT omgeving benoemd en zijn de risico’s en
beheersmaatregelen die van toepassing zijn bij het mobiele werken uiteengezet. Om te
achterhalen hoe het mobiele werken in de praktijk wordt toegepast en welke
beheersmaatregelen in de praktijk worden genomen om de integriteit en vertrouwelijkheid te
waarborgen, hebben wij een praktijkonderzoek uitgevoerd.
Dit hoofdstuk zal de onderstaande deelvraag worden behandeld:
- Op welke wijze wordt in de praktijk bij het mobiele werken omgegaan met
informatiebeveiliging en de kwaliteitsaspecten integriteit en vertrouwelijkheid en welke
beheersmaatregelen zijn in de praktijk genomen?
3.2 Organisatie Het praktijkonderzoek is uitgevoerd bij een groot tot middel groot accountantskantoor. Het is
een landelijke organisatie met meerdere vestigingen en verschillende disciplines waaronder
accounts, belastingadviseurs, salarisadministrateurs, etc. Binnen het accountantskantoor wordt
het VDI concept uitgerold. Hierdoor kunnen medewerkers middels diverse devices een
connectie maken met het netwerk van de organisatie en krijgen daarmee toegang tot de
verschillende informatiesystemen, waar eindgebruikers in de traditionele IT omgeving met hun
werkstation ook toegang toe zouden hebben.
3.2.1 IT organisatie
De IT faciliteiten worden ondersteund door de centrale diensten afdeling. Hier zijn diverse
specialisten op het gebied van IBM Lotus Notes, Windows besturingssystemen, mobiele
devices en VDI aanwezig. Ook is er een helpdesk aanwezig voor het afhandelen van incidenten
en serviceaanvragen. De IT afdeling bestaat uit helpdeskmedewerkers, technische specialisten,
een security officer, een manager supportdesk en een IT manager. Ook maakt men gebruik van
externe dienstverleners voor specialistische kennis, waar deze niet intern aanwezig is.
3.2.2 IT infrastructuur
In figuur 17 is een schematische opbouw van het netwerk weergegeven. Elke vestiging heeft
zijn eigen servers en infrastructuur waarmee de werkstations en de laptop’s via een bedraad
netwerk toegang hebben. Middels een huurlijn worden alle vestigingen onderling verbonden. De
centrale dienst host een aantal applicaties welke door medewerkers van de verschillende
vestingen worden gebruikt. Alle data wordt bewaard op servers op de lokale vestiging en een
back-up van alle data wordt op opgeslagen op de centrale IT omgeving. Telewerkers kunnen
zich aanmelden op het netwerk en kunnen daarna gebruik maken van de verschillende
applicaties die worden aangeboden door de centrale IT afdeling.
Pagina 42 van 65
Figuur 17 ‐ Vereenvoudigd schematisch netwerk overzicht (oude situatie)
3.2.3 VDI concept
Het accountantskantoor is in 2011 begonnen met de implementatie van een Virtual Desktop
Infrastructure, hier na te noemen VDI. In figuur 18 is schematisch de gewenste
netwerkinrichting weergegeven. Deze omgeving is momenteel deels gerealiseerd. De
hoofdzakelijke aanpassingen zijn de server consolidaties. De meeste servers zijn
gevirtualiseerd en verplaatst naar een data center. Daarnaast kan men op een vestiging gebruik
maken van diverse mobiele devices welke middels een draadloos netwerk kunnen worden
verbonden. Ook is er middels twee firewalls een demilitarized zone (DMZ) ingericht om
ongeautoriseerde toegang vanaf het internet af te schermen. Om de implementatie van het VDI
concept succesvol te laten verlopen heeft de organisatie gekozen voor een aanpak welke
hieronder beknopt wordt toegelicht. De selectie en implementatie van het VDI concept is door
organisatie projectmatig ingestoken. Hierbij zijn in de beginfase van het project risico’s
onderkend, welke indien nodig geacht gaandeweg het project middels beheersmaatregelen zijn
gemitigeerd. Middels stuurgroepen wordt zorg gedragen voor draagkracht vanuit de business
ten aanzien van de veranderingen binnen de IT omgeving en de veranderingen waar de
eindgebruikers mee te maken krijgen. De stuurgroepen en key-users zijn samengesteld uit de
verschillende disciplines, kantoren en afdelingen binnen de organisatie. Dit om organisatie
breed draagkracht te creëren. Ten einde gebruik te maken van software, hardware en
dienstverleners welke aan de eisen van de organisatie voldoen, heeft men verscheidene
selectietrajecten uitgevoerd. Hierbij zijn op basis van vooraf gedefinieerde criteria vragensets
voorgelegd aan diverse leveranciers (longlist). Naar aanleiding van de beantwoording van de
Pagina 43 van 65
vragensets zijn diverse referentiebezoeken afgelegd om geschikte partners te selecteren
(shortlist). Voorafgaand aan het bedrijfsbreed uitrollen van het VDI concept is een pilot
georganiseerd waarbij medewerkers van verschillende disciplines zijn betrokken. Binnen de
organisatie is op één vestiging het VDI concept als pilot gehouden. Hiervoor is een vestiging
gekozen met meerdere disciplines zodat alle dagelijkse werkzaamheden binnen de VDI
omgeving getest kunnen worden. Tijdens de pilot onderkende fouten en problemen zijn
beoordeeld en indien nodig geacht opgelost voordat bedrijfsbrede uitrol van VDI heeft plaats
gevonden.
Figuur 18 – Toekomstig vereenvoudigd netwerkoverzicht
3.2.4 Aanpak case study
Voor onze case study hebben we met verschillende functionarissen binnen de IT afdeling
gesproken. Te weten de IT manager, de security officer, een VDI specialist en de manager
supportdesk. Voorafgaand aan de interviews hebben wij een aantal voor ons onderzoek
relevante vragen opgesteld. De vragen zijn opgesteld mede op basis van de opgedane kennis
uit het literatuuronderzoek.
Pagina 44 van 65
Hieronder zijn de definities, onderwerpen en vragen per functionaris uiteengezet. Het interview
had een open karakter.
Het doel van dit interview is om te achterhalen hoe het mobiele werken binnen de organisatie is
toegepast en welke beheersmaatregelen in de praktijk zijn genomen om de integriteit en
vertrouwelijkheid te waarborgen. Voor de beantwoording van deze vragen zijn de volgende
definities van belang:
- Mobiel werken: “Mobiel werken is het gebruik van middelen om met bedrijfskritische
elektronische gegevens 24/7 te kunnen werken (op te slaan, te verwerken en/of te
transporteren) buiten de fysieke grenzen van het bedrijf.”
- Integriteit: “Is de mate waarin gegevens of functionaliteit juist, volledig, tijdig en
onweerlegbaar zijn vastgelegd en ingericht.”
- Vertrouwelijkheid: “Is de mate waarin de toegang tot gegevens of functionaliteit beperkt
is tot degenen die daartoe bevoegd zijn.”
Onderwerpen ICT manager:
1. Recente ontwikkelingen (VDI, Outsourcing)
2. Risicoanalyse mobiele werken;
3. Impact mobiele werken IT organisatie/eindgebruikers;
4. Informatiebehoefte analyse;
5. Plan van aanpak;
6. Externe partijen / Outsourcen;
7. Pilot.
Onderwerpen Security officer:
1. (informatie)beveiligingsbeleid;
2. Beheersmaatregelen op strategisch, tactisch en operationeel niveau;
3. Monitoring en bewaking;
4. Recente ontwikkelingen (VDI, Outsourcing);
Onderwerpen technisch specialist:
1. Technische beheersmaatregelen specifiek t.a.v. infrastructuur en devices;
2. Recente ontwikkelingen (VDI, Outsourcing);
3. Monitoring en bewaking.
Onderwerpen voor Manager operations en helpdesk:
1. Organisatorische/procedurele beheersmaatregelen specifiek t.a.v. infrastructuur,
devices, beheerorganisatie en eindgebruikers;
2. IT beheerprocessen;
3. Bewustwording eindgebruikers.
Pagina 45 van 65
3.3 Bevindingen in de praktijk Middels dit praktijkonderzoek hebben wij getracht inzichtelijk te maken welke
beheersmaatregelen getroffen zijn in de praktijk om de kwaliteitsaspecten integriteit en
vertrouwelijkheid van de bedrijfsinformatie te waarborgen. Deze beheersmaatregelen staan in
dit hoofdstuk beschreven. De beheersmaatregelen zijn ingedeeld op basis van de in het
literatuuronderzoek onderkende risicogebieden, zoals weergegeven in figuur 11.
3.3.1 Beheerorganisatie
- Formuleren ICT strategie op basis van de missie, visie en kernwaarden van de
organisatie.
Door de organisatie is een ICT strategie opgesteld waarin de missie, visie en
kernwaarden ten aanzien van IT zijn verwerkt. Deze ICT strategie vormt de basis van
het informatiebeveiligingsbeleid waaruit de te nemen beheersmaatregelen in en rondom
de IT omgeving voortvloeien.
- ICT strategie vertalen naar projecten. Per project worden vervolgens verantwoordelijke
(stuurgroep) en risico’s gedefinieerd.
De ICT strategie is opgedeeld in verschillende projecten die uitgevoerd dienen te
worden. Per project worden verantwoordelijkheden uiteengezet en wordt een
risicoanalyse uitgewerkt. Op basis van de risicoanalyse worden indien nodig
beheersmaatregelen getroffen.
- Het borgen van kennis waardoor de afhankelijkheid van externe partijen verkleind
wordt.
Binnen de organisatie wordt externe kennis ingehuurd voor het inrichten en het beheren
van de IT omgeving. Daarnaast worden diverse trainingen gegeven om te borgen dat
de kennis van de externe partijen wordt overgedragen aan het interne IT
beheerorganisatie.
- Opstellen van diverse operationele checklists en op basis van deze checklists controle
uitvoeren.
Door de IT organisatie zijn in samenwerking met de externe partijen checklists
opgesteld om te waarborgen dat eventuele storingen vroegtijdig worden gedetecteerd,
dit ten einde de beschikbaarheid, integriteit en vertrouwelijkheid van de
geautomatiseerde gegevensverwerking te waarborgen. Hierbij worden onder andere
checks uitgevoerd ten aanzien van:
o Back-ups;
o Logging van de IDS & IPS;
o Hardware performance;
o Opslagcapaciteit;
o Netwerkmonitoring;
o Periodieke opschoning van gebruikersaccounts en beoordeling van de
toegekende rechten;
Pagina 46 van 65
- Instrueren van reeds bestaande focal points per vestiging met relevante informatie met
betrekking tot het VDI concept.
Op elke vestiging zijn focal points aanwezig. Zij kunnen 1ste lijns support verlenen aan
de medewerkers. Daarnaast voeren zij eenvoudige ICT gerelateerde taken uit.
Voorafgaand aan de uitrol van het VDI-concept op de vestiging hebben de focal points
voorlichting gekregen ten aanzien van aandachtspunten en veel voorkomende
problemen en vragen.
- Het ICT beheer is deels ingericht op basis van de best practice ITIL.
Voor de inrichting van het ICT beheerproces heeft men gedeeltelijk gebruikgemaakt van
ITIL. Alle verzoeken en incidenten worden gemeld bij een centrale helpdesk. De ITIL
processen die gehanteerd worden zijn:
o Incident management;
o Change management;
o Configuration management;
o Problem management;
o Access management;
o Security management;
o Availability management;
o IT service continuity management.
- Back-up wordt centraal digitaal bewaard in het data-center. De back-up faciliteiten
worden interne in het data-center verzorgd. Zo wordt er dagelijks een complete back-up
gemaakt van alle data en wordt deze veilig opgeborgen in het data-center.
3.3.2 Eindgebruiker
Ten aanzien van de eindgebruiker zijn de volgende beheersmaatregelen getroffen:
- Geheimhoudingsverklaring.
Elke medewerker binnen de organisatie dient een geheimhoudingsverklaring te
ondertekenen. Onder andere door middel van deze geheimhoudingsverklaring probeert
men de vertrouwelijkheid van de bedrijfsgegevens met betrekking tot het risicogebied
eindgebruiker te waarborgen.
- Regelementen met betrekking tot omgang met informatie.
Naast de geheimhouding inzake omgang met vertrouwelijke informatie dient de
medewerker ook vertrouwelijk om te gaan met de opslag van informatie. Dit in zowel
fysieke als digitale vorm. Voorbeelden hiervan zijn een clean desk policy, opslag van
mappen in daarvoor bestemde dossierkasten en data opslag op de centrale
opslaglocatie. Ook is de eindgebruiker verplicht om gebruik te maken van
wachtwoorden en/of toegangscodes en deze te beschermen tegen misbruik en verlies.
Deze regelementen zijn onderdeel van het arbeidscontract.
Pagina 47 van 65
3.3.3 IT Infrastructuur
Binnen de IT infrastructuur zijn diverse beheersmaatregelen genomen. Hierbij hebben wij de
onderverdeling gemaakt naar beheersmaatregelen ten aanzien van het netwerk en
toegangsbeveiliging. Het betreft de volgende:
Netwerk
- DMZ is ingericht om ongeautoriseerde toegang vanaf het internet tot het interne
bedrijfsnetwerk af te schermen.
Het netwerk van de organisatie is afgeschermd middels twee firewalls waardoor alleen
geautoriseerd en goedgekeurd netwerkverkeer plaats kan vinden naar het interne
netwerk. In de DMZ zijn onder ander webservers en VMWare View Security Server voor
de remote toegang geplaatst.
- De gegevens die gegenereerd worden door de eindgebruikers (productieomgeving) is
gescheiden van het verkeer van de beheeromgeving. Hierdoor kan er niet door
eindgebruikers rechtstreeks op de beheeromgeving worden aangelogd vanaf de
productieomgeving.
- De firewall beschikt over een Intrusion Detection en Intrusion Prevention functionaliteit
(IDS & IPS).
Door de IDS worden ongewone transacties gedetecteerd en vastgelegd. Dit om
ongeautoriseerde toegangspogingen te detecteren. De IPS functionaliteit zorgt ervoor
dat verdachte en ongeautoriseerde connecties van buitenaf worden geweigerd.
- Dedicated huurlijnen tussen vestigingen en het data center.
Tussen de verschillende vestigingen en het data center wordt gebruik gemaakt van
huurlijnen waardoor een landelijk organisatie breed netwerk ontstaat.
- Gescheiden netwerken.
Elke vestiging is aangesloten op het bedrijfsnetwerk (huurlijn, zoals hierboven
beschreven). Daarnaast heeft elke vestiging een draadloos netwerk waarmee gasten
verbinding kunnen maken met het internet. Dit netwerk is compleet gescheiden (aparte
ADSL aansluiting) van het bedrijfsnetwerk.
Toegangsbeveiliging
- Geëncrypte communicatie middels een HTTPS verbinding (AES-2048).
De informatie die verstuurd wordt tussen de webserver en de cliënt wordt geëncrypt
middels AES encryptie. Op de webserver wordt de cliënt geautoriseerd waarna het
mogelijk wordt voor de eindgebruiker om een VDI sessie op te starten.
- RSA token authenticatie (two-factor authenticatie).
Om toegang te krijgen tot de VDI omgeving dient de gebruiker aan te loggen middels
een RSA token. De RSA tokens genereren elke minuut een nieuwe 6-cijferige code
welke in combinatie met een 4-cijferige code en een gebruikersnaam toegang geeft tot
het systeem. Wanneer de eindgebruiker hierop succesvol heeft aangemeld dient de
gebruiker zich opnieuw te autoriseren met het Windows wachtwoord op het domein.
- Schermbeveiliging wordt actief na een bepaalde periode van inactiviteit.
Pagina 48 van 65
Binnen de VDI omgeving is een automatische schermbeveiliging actief, welke middels
een wachtwoord kan worden ontgrendeld.
- Aanmelden op de Windows omgeving geschiedt middels het Windows wachtwoord.
Vanaf het vertrouwde netwerk kan de eindgebruiker direct middels zijn Windows
inlognaam en wachtwoord inloggen op de Windows omgeving.
- Er worden eisen gesteld aan het Windows wachtwoord.
De eindgebruikers dienen een wachtwoord in te voeren die voldoet aan vooraf
afgestelde critica. Het betreft criteria in wachtwoordlengte, wachtwoordduur,
complexiteit en worden er eisen gesteld dat eenmaal gehanteerde wachtwoorden niet
hergebruikt kunnen worden.
Binnen de bestaande toepassingen (applicaties) zijn geen veranderingen doorgevoerd. De
bestaande controles in de applicatie ter waarborging van de integriteit en vertrouwelijkheid zijn
hiermee intact gebleven. Deze beheersmaatregelen zijn onder andere:
- Toegang tot informatie wordt verleend middels Windows Active Directory groepen. Dit
op data niveau als op toepassingsniveau. Aanpassingen van deze groepen kan alleen
uitgevoerd worden na goedkeuring van een bevoegd functionaris.
3.3.4 Devices
De devices die gehanteerd worden zijn onder te verdelen in twee soorten namelijk laptops en
smartphones.
Laptops
Voor de laptops zijn geen additionele beheersmaatregelen getroffen voor het uitrollen van het
VDI-concept. Momenteel zijn de standaard ingericht laptops voorzien van VMWare View
software. Middels deze software kan een connectie worden opgezet met de VDI omgeving. De
bestaande (standaard) laptops zijn voorzien van de volgende beheersmaatregelen:
- De laptops zijn uitgerust met een volledige schijf encryptie.
Binnen de organisatie zijn de laptops voorzien van schijfencryptie. Hierbij wordt gebruikt
gemaakt van hardware- en softwarematige encryptie methodes. Indien een laptop
verloren raakt zijn gegevens niet toegankelijk zonder de juiste sleutel.
- Virusscanner is geïnstalleerd en wordt voorzien van updates. Op elke laptop en/of
werkstation zijn virusscanners actief. Deze worden vervolgens automatische voorzien
van nieuwe updates zodat zij bekend zijn met de laatste (bekende) virussen.
- Firewall is actief.
Op de laptop is tevens de standaard Windows firewall actief, welke onvertrouwde
connecties met het device dient te blokkeren.
- Laptop is voorzien van actuele security updates.
Alle laptops en werkstations worden automatische voorzien van de laatste security
updates van Windows.
- Eindgebruikers kunnen geen software installeren. De eindgebruiker van de laptop kan
geen software installeren. Installatie van applicaties en software wordt uitgevoerd door
de beheerorganisatie na goedkeuring leidinggevende.
Pagina 49 van 65
Smartphone
Wanneer een smartphone wordt gekoppeld met de email server van de organisatie worden
automatisch beveiligingsinstellingen ingesteld op de smartphone. Zo wordt er een beperkt
aantal emails opgeslagen op het device zelf. Tevens is het voor de beheerorganisatie mogelijk
om het toestel (wanneer deze verbonden is met het internet) op het afstand volledig of
gedeeltelijk te wissen.
3.4 Analyse en conclusies In het praktijkonderzoek hebben wij getracht onderstaande deelvraag te beantwoorden.
‐ Op welke wijze is het mobiele werken in de praktijk geïmplementeerd en welke
beheersmaatregelen zijn hierbij getroffen?
Binnen de organisatie waar wij het praktijkonderzoek hebben mogen houden is gekozen voor
een VDI oplossing in de vorm van VMware View. De mogelijkheid bestaat om middels
verscheidene devices en platformen aan te loggen op het bedrijfsnetwerk en te werken met de
systemen, applicaties en data. Wij hebben hieronder de belangrijkste beheersmaatregelen
welke wij in de praktijk hebben aangetroffen per risicogebied uiteengezet, zoals onderkend in
ons literatuuronderzoek.
Beheerorganisatie
De in de praktijk aangetroffen beheersmaatregelen welke betrekking hebben op de
beheerorganisatie verschillen niet of nauwelijks ten opzichte van de situatie waarin het mobiele
werken niet wordt ondersteund. Veelal betreffen de beheersmaatregelen ten aanzien van het
onderkende risicogebied “beheerorganisatie” procedurele beheersmaatregelen. Deze
procedurele beheersmaatregelen dienen bij het implementeren van het mobiele werken wel
aangepast te worden zodat zij ook de reeds onderkende risico’s, alleen dan met betrekking tot
het mobiele werken / de mobiele apparatuur afdekken. In ons praktijkonderzoek hebben wij
waargenomen dat de organisatie gebruik maakt van een aantal ITIL processen voor de
inrichting van haar beheerorganisatie. De ITIL processen waar de organisatie gebruik van
maakt zijn onder andere incident & change management en acces management.
Eindgebruiker
De beheersmaatregelen in de praktijk met betrekking tot het risicogebied eindgebruiker
beperken zich voornamelijk tot richtlijnen welke onderdeel zijn van het arbeidscontract en een
formele richtlijnen met betrekking tot het omgaan met informatie. Net als hierboven bij
beheerorganisatie beschreven zijn er in de praktijk geen aanvullende beheersmaatregelen
getroffen als gevolg van het mobiele werken met betrekking tot de eindgebruiker. Ook betreffen
de reeds bestaande beheersmaatregelen veelal procedurele beheersmaatregelen. De reeds
getroffen beheersmaatregelen zijn bij het introduceren van het mobiele werken wel aangepast
zodat zij ook de reeds onderkende risico’s, met betrekking tot het mobiele werken / de mobiele
apparatuur afdekken.
Pagina 50 van 65
IT infrastructuur
Naast de hierboven beschreven beheersmaatregelen is een goede beveiliging tegen
ongeautoriseerd gegevensverkeer vanaf het internet zeer belangrijk. In de praktijk hebben wij
waargenomen dat hier verschillende beheersmaatregelen voor zijn getroffen. Zo is er met
behulp van twee firewalls een Demilitarized Zone (DMZ) gecreëerd. Daarnaast wordt de
toegang tot de VDI omgeving beveiligd en afgehandeld door zogeheten Vmware View
connection gateway servers.
Een andere belangrijke beheersmaatregel welke in combinatie met de VDI oplossing wordt
gehanteerd is het gebruik van RSA Tokens voor authenticatie van gebruikers. De tokens
genereren elke minuut een nieuwe 6-cijferige code welke in combinatie met een 4-cijferige code
en een gebruikersnaam toegang geeft tot de systemen, applicaties en data van de organisatie.
Hiermee worden risico’s ten aanzien van het kraken / bekend raken van wachtwoorden
grotendeels gemitigeerd.
Device
Het gebruik van een VDI omgeving houdt in dat voornamelijk beeld, toetsenbord en muis
gegevens worden uitgewisseld tussen het mobiele device en het bedrijfsnetwerk. Dit betekent
dat de data opgeslagen en verwerkt wordt op een centrale omgeving binnen het
bedrijfsnetwerk. Risico’s als gevolg van verlies en/of diefstal van het device worden derhalve
grotendeels gemitigeerd, doordat er geen bedrijfsinformatie lokaal op het device is opgeslagen.
Met betrekking tot devices welke gekoppeld zijn aan de email server (Exchange) is
beheersmaatregel getroffen dat deze op afstand kunnen worden gewist.
In de onderstaande tabel 4 staan beknopt de grootste veranderingen tussen de traditionele IT
omgeving en de VDI omgeving weergegeven.
Traditionele IT omgeving VDI omgeving / mobiel werken
Decentrale IT omgeving Gecentraliseerde IT omgeving
Beperkte besturingssystemen Meerdere besturingssystemen
Direct aanloggen op Windows domein Via VDI aanloggen op het Windows domein
Lokaal werken Remote werken
Beperkte firewall Uitgebreide firewall met IDS/IPS functionaliteit
Besturingssysteem direct geïnstalleerd op
hardware
Gevirtualiseerde IT omgeving
Onafhankelijk van internetverbinding Internetverbinding noodzakelijk
Omgeving binnen kantoor uren benaderbaar Omgeving 24/7 benaderbaar
Ondersteuning standaard systemen door
beheerorganisatie
Ondersteuning meerdere devices en
platformen door beheerorganisatie
Tabel 4 ‐ Grootste veranderingen traditioneel / VDI
Pagina 51 van 65
4. Beschouwing In dit hoofdstuk zullen we op basis van het literatuur- en praktijkonderzoek antwoord geven op
de onderstaande beschouwende deelvragen:
‐ Worden de in het literatuuronderzoek onderkende risico’s voldoende afgedekt door de
beheersmaatregelen welke in de praktijk zijn getroffen.
‐ Welke werkwijze en beheersmaatregelen zijn cruciaal die geïmplementeerd moeten
worden en kunnen deze in een hanteerbaar overzicht geplaatst worden?
In hoofdstuk 2 zijn de veranderingen en de risico’s bij het in gebruik nemen van het mobiele
werken in kaart gebracht daarnaast zijn de te treffen beheersmaatregelen uiteengezet.
Hieronder worden de verschillen tussen het mobiele werken in de theorie en in de praktijk
(casus onderzoek) uiteengezet. Hierbij wordt per risicogebied de onderkende verschillen
weergegeven.
Beheerorganisatie In de theorie wordt meer aandacht geschonken aan de richtlijnen en beleidsuitgangspunten,
zoals welke werkzaamheden uitgevoerd mogen worden wanneer een eindgebruiker mobiel
werkt. Uit ons praktijkonderzoek is gebleken dat door de organisatie hier weinig aanvullende
aandacht aan is besteed. Dit komt onder andere doordat in de situatie voor de implementatie
van VDI, het ook al mogelijk was om op afstand te werken. Daarnaast was er al sprake van een
beheerorganisatie met de daarbij behorende beheersmaatregelen voordat het mobiele werken
in de vorm van het VDI concept werd toegepast. Specifieke aanpassingen en kennis welke
inherent zijn aan het VDI concept zijn wel ingebed binnen de beheerorganisatie.
Eindgebruiker In de theorie wordt het beveiligingsbewustzijn van de eindgebruiker als beheersmaatregel
genoemd. Het beveiligingsbewustzijn van de medewerkers binnen de organisatie wordt niet
periodiek beoordeeld en getraind maar door de diverse richtlijnen omtrent omgaan met
informatie en geheimhouding acht de organisatie de bijbehorende risico’s voldoende te hebben
gemitigeerd. Deze afweging is echter organisatie specifiek. Wanneer organisaties dezelfde
beheersmaatregelen implementeren dienen zij voor hun eigen organisatie de afweging te
maken of de betreffende risico’s voor hun organisatie daarmee ook voldoende worden
gemitigeerd.
IT Infrastructuur De risico’s welke uit de beheersmaatregelen uit de theorie kunnen worden afgeleid, worden
grotendeels ook in de praktijk door de organisatie gemitigeerd. Echter hiervoor heeft de
organisatie wel een aantal beheersmaatregelen gehanteerd welke niet in de theorie zijn
aangetroffen. Zo hebben wij het gebruik van desktop virtualisatie (VDI) niet als
beheersmaatregel in de onderzochte richtlijnen omtrent mobiel werken aangetroffen. Echter
door het mobiele werken op deze wijze in te richten worden wel een groot deel van de in het
literatuuronderzoek onderkende risico’s gemitigeerd.
Pagina 52 van 65
Device Net als hierboven bij de verschillen ten aanzien van de IT infrastructuur beschreven zorgt het
gebruik van VDI met betrekking tot het risicogebied device voor een aantal verschillen in
getroffen beheersmaatregelen ten opzichte van de in de onderzochte richtlijnen worden
voorgeschreven. Wel worden middels VDI de door ons in de literatuur onderkende risico’s
gemitigeerd.
Hoewel de beheersmaatregelen en onderkende risico’s in de praktijk niet geheel één op één
aansluiten met die uit de theorie, zijn er wel veel overeenkomsten. In de theorie worden de
risico’s en beheersmaatregelen op een hoger en abstracter niveau aangetroffen. In de praktijk
hebben wij (organisatie) specifieke beheersmaatregelen aangetroffen toegespitst op de
gekozen oplossing van het mobiele werken. Veelal leiden de beheersmaatregelen wel tot het
mitigeren van dezelfde risico’s als de beheersmaatregelen welke in het literatuuronderzoek zijn
onderkend.
In het literatuuronderzoek hebben wij één risico onderkend (zie bijlage C) waarvoor wij in de
praktijk geen specifieke beheersmaatregel hebben aangetroffen. Dit betreft het risico dat
onbeveiligde en/of compromitteerde devices loggen aan op het bedrijfsnetwerk. Gezien de
gekozen oplossing, te weten VDI, is het ook niet noodzakelijk om hier specifieke
beheersmaatregel voor te treffen. Dit vanwege het feit dat bij het mobiele werken het device niet
in het bedrijfsnetwerk wordt gehangen maar dat de communicatie (beeld, toetsenbord en muis)
via een tussenlaag wordt afgehandeld (VMWare View).
Om de onderkende risico’s ten aanzien van de integriteit en vertrouwelijkheid van
bedrijfsinformatie te waarborgen wanneer er gebruik wordt gemaakt van het mobiele werken
zullen een aantal cruciale beheersmaatregelen getroffen moeten worden. Hiervoor hebben wij
een standaard werkwijze onderkend. De werkwijze / aanpak welke een organisatie zou kunnen
hanteren om op een verantwoorde wijze het mobiele werken te implementeren is hieronder
puntsgewijs uiteengezet.
‐ Werkwijze:
o Formuleren van een beleid ten aanzien van informatiebeveiliging en het
inrichten van de organisatie die verantwoordelijk is voor informatievoorziening;
o Opsporen van onacceptabele risico’s door middel van een risicoanalyse;
o Selecteren van een set van beheersmaatregelen;
o Implementeren van de geselecteerde beheersmaatregelen;
o Monitoring ten aanzien van de getroffen beheersmaatregelen;
o Evaluatie van het effect dat met de getroffen beheersmaatregelen bereikt wordt
(blijven de beheersmaatregelen voldoen en worden de relevante risico’s
voldoende gereduceerd).
Pagina 53 van 65
‐ Cruciale beheersmaatregelen:
o Draag zorg voor adequate logische toegangsbeveiliging;
o Bedrijfskritische informatie dienen binnen de organisatie centraal, beheerd,
beveiligd en opgeslagen te worden.
De bedrijfsinformatie dient zoveel mogelijk binnen de IT systemen van het bedrijf opgeslagen te
worden en zo min mogelijk op de mobiele devices. VDI is een oplossing waarmee dit kan
worden bewerkstelligd.
Pagina 54 van 65
5. Beantwoording centrale vraagstelling
In dit laatste hoofdstuk worden de belangrijkste conclusies behandeld die voortkomen uit de
gestelde centrale vraagstelling. De centrale vraagstelling is onderverdeeld in deelvragen die in
de bovenstaande hoofdstukken zijn behandeld. Hieronder worden de belangrijkste conclusies
nogmaals beknopt weergeven. In paragraaf 5.3 zullen de mogelijkheden tot vervolgonderzoek
worden weergegeven.
5.1 Beantwoording deelvragen In deze paragraaf wordt de beantwoording van de deelvragen beknopt toegelicht. Dit op basis van het uitgevoerde literatuur- en praktijkonderzoek.
§ Wat zijn de verschillen en inherente risico’s van het mobiele werken ten opzichte van de
traditionele IT omgeving?
De voornaamste verschillen zijn dat systemen en gegevens 24/7 beschikbaar zijn, dit ook voor
buiten de fysieke grenzen van het bedrijf. Daarnaast zijn de devices waarmee het mobiele
werken mogelijk wordt gemaakt divers. De eindgebruiker kan aanloggen vanaf een werkstation,
laptop of vanaf een ander mobiel device. Door deze verschillen worden de risico’s met
betrekking tot het ongeautoriseerde toegang en het ongeautoriseerd raadplegen of bewerken
van informatie groter.
§ Hoe kunnen de onderkende inherente risico’s volgens de literatuur worden gemitigeerd?
De onderkende risico’s uit de literatuur kunnen worden gemitigeerd door te treffen
beheersmaatregelen. Middels deze beheersmaatregelen dienen de risico’s welke samen met
het gebruik van het mobiele werken worden geïntroduceerd, te worden gemitigeerd. Een
organisatie kan diverse beheersmaatregelen treffen ten aanzien van verschillende
risicogebieden zoals weergegeven in ons onderzoek. Het betreft de risicogebieden
beheersorganisatie, IT-infrastructuur, eindgebruiker en devices.
Analyserend:
§ Op welke wijze is het mobiele werken in de praktijk geïmplementeerd en welke
beheersmaatregelen zijn hierbij getroffen?
Middels een praktijkonderzoek bestaande uit diverse expert interviews hebben wij
geïnventariseerd welke beheersmaatregelen getroffen zijn in de praktijk. Daarbij hebben wij
geconstateerd dat dat de organisatie het VDI concept heeft geïmplementeerd. Aanvullende
beheersmaatregelen zijn hierbij met name getroffen ten aanzien van het onderdeel IT
infrastructuur.
Pagina 55 van 65
Beschouwend:
§ Worden de in het literatuuronderzoek onderkende risico’s voldoende afgedekt door de
beheersmaatregelen welke in de praktijk zijn getroffen?
Op basis van de opgedane kennis uit het literatuuronderzoek en de inbedding van het mobiele
werken middels het VDI concept bij de onderzochte organisatie hebben wij een vergelijking
opgesteld tussen de theorie en de praktijk. Belangrijkste conclusie hierbij is dat, maatregelen
niet één op één kunnen worden overeenkomen tussen de theorie en de praktijk. De risico’s en
beheersmaatregelen aangetroffen in de theorie zijn op een hoger abstractieniveau gedefinieerd,
de beheersmaatregelen onderkend in de praktijk zijn veelal organisatie specifiek en in detail
geformuleerd;
§ Welke werkwijze en beheersmaatregelen zijn cruciaal die geïmplementeerd moeten worden
en kunnen deze in een hanteerbaar overzicht geplaatst worden?
De werkwijze welke gehanteerd kan worden bestaat uit een aantal vooraf gedefinieerde
stappen. De PDCA management methode (plan, do, check & act) ligt hieraan te grondslag. De
cruciale beheersmaatregelen welke geïmplementeerd dienen te worden zijn onder te verdelen
naar twee aspecten. Namelijk het zorg dragen voor een adequate logische toegangsbeveiliging
(ter waarborging van de integriteit en vertrouwelijkheid) en het zorg dragen dat bedrijfskritische
informatie binnen de organisatie centraal, beheerd, beveiligd en opgeslagen wordt.
De combinatie van de in tabellen 2 & 3 en in bijlage B beschreven risico’s en
beheersmaatregelen, vormen samen een hanteerbaar overzicht van mogelijk te treffen
beheersmaatregelen bij het mobiele werken.
5.2 Beantwoording centrale vraagstelling Middels het mobiele werken concept wordt informatie (ook bedrijfskritische informatie) op een
andere wijze ontsloten van het bedrijf dan in een traditionele omgeving waarbij de medewerker
fysiek aanwezig is bij de organisatie en daar gebruik maakt van de IT middelen die aan hem ter
beschikking zijn gesteld. Het op een andere wijze ontsluiten van bedrijfskritische informatie
brengt een aantal risico’s met zich mee en reeds aanwezige risico’s worden door het gebruik
van het mobiele werken verder vergroot. Met name de risico’s ten aanzien van integriteit en
vertrouwelijkheid van de bedrijfsinformatie zijn belangrijk om in gedachten te houden wanneer
men medewerkers de mogelijkheid wil gaan bieden om vanaf externe locaties met
bedrijfskritische informatie aan de slag te gaan.
Gezien de bovenstaande problematiek, hebben wij voor dit onderzoek de volgende
onderzoeksvraag gehanteerd:
“Wat zijn de inherente risico’s van het mobiele werken en hoe kunnen MKB+ organisaties
ervoor zorgen dat zij het risiconiveau ten aanzien integriteit en vertrouwelijkheid van de
Pagina 56 van 65
bedrijfsinformatie bij het faciliteren van het mobiele werken gelijk houden ten opzichte van de
traditionele IT omgeving.”
Wanneer een organisatie haar medewerkers de mogelijkheid biedt om mobiel te kunnen werken
zullen er een aantal veranderingen doorgevoerd dienen te worden ten aanzien van de IT
omgeving. Op hoofdlijnen komt dit neer op onderstaande veranderingen:
24/7 toegang tot systemen en bedrijfsinformatie;
Het mogelijk maken om verbinding vanaf externe locaties met het bedrijfsnetwerk op te
zetten;
De diversiteit aan devices, waarmee het mobiele werken wordt ondersteund.
De bovenstaande veranderingen leiden tot inherente risico’s ten aanzien van de integriteit en
vertrouwelijkheid van de bedrijfsinformatie. Om het risiconiveau (zoveel mogelijk) gelijk te
houden met de oude situatie dient de organisatie een proces ten aanzien informatiebeveiliging
in te richten en hierbij aanvullende beheersmaatregelen rondom informatiebeveiliging te treffen.
Dit proces dient ten minste een soort van PDCA cyclus te bevatten, waarbij de risico’s en
beheersmaatregelen periodiek worden heroverwogen.
Cruciale beheersmaatregelen op hoofdniveau welke getroffen dienen te worden, zijn:
Draag zorg voor adequate logische toegangsbeveiliging;
Bedrijfskritische gegevens dienen binnen de organisatie centraal beheerd, beveiligd en
opgeslagen te worden.
Het zorg dragen voor adequate logische toegangsbeveiliging dient te bewerkstelligen dat
ongeautoriseerde personen geen toegang hebben tot digitale bedrijfsinformatie waartoe zij niet
zijn gemachtigd. Hierbij kan men denken aan beheersmaatregelen met betrekking tot het
interne netwerk, maar ook aan beheersmaatregelen welke het bedrijfsnetwerk beveiligen tegen
bedreigingen vanaf het internet. Voorbeelden hiervan zijn het scheiden van netwerkverkeer en
two factor authenticatie. Indien de organisatie niet beschikt over adequate logische
toegangsbeveiliging, wordt het risico dat bedrijfsinformatie wordt ingezien en/of gemuteerd door
onbevoegden sterk vergroot. Derhalve hebben wij adequate logische toegangsbeveiliging als
cruciale beheersmaatregel op hoofdniveau aangemerkt.
Door het centraal opslaan, beheren en beveiligen van bedrijfskritische gegevens houdt de
organisatie overzicht over de bedrijfskritische gegevens, de IT componenten waarop deze zich
bevinden en de beheersmaatregelen die zijn getroffen. Dit in tegenstelling tot de situatie waarin
bedrijfskritische gegevens op allerlei devices binnen en buiten de organisatie zou zijn
opgeslagen. In dit geval zou de organisatie snel het overzicht en de controle over deze
gegevens verliezen. De organisatie dient er derhalve voor zorg te dragen dat de
bedrijfskritische gegevens niet zonder meer de gecentraliseerde omgeving kunnen verlaten.
Hoe er verder in detail invulling wordt geven aan de bovenstaande beheersmaatregelen en
welke oplossingen hierbij gehanteerd worden kan per organisatie verschillen. Dit kan onder
Pagina 57 van 65
andere afhankelijk zijn van de cultuur binnen de organisatie, de bedrijfsprocessen en het
beschikbare IT budget.
Op basis van ons onderzoek zijn wij van mening wanneer MKB(+) organisaties met een laag tot
gemiddeld risicoprofiel, bovenstaande werkwijze en beheersmaatregelen juist en volledig
inbedden, zij de inherente risico’s van het mobiele werken met betrekking tot integriteit en
vertrouwelijkheid van bedrijfsinformatie in voldoende mate beheersen en mitigeren. Deze
afweging dient echter altijd nog door de organisatie zelf gemaakt te worden.
5.3 Slotopmerkingen en beperkingen van het onderzoek Het praktijkonderzoek is uitgevoerd bij één organisatie. Dit heeft als gevolgd dat de beperkingen
van een case study van toepassing zijn [YIN09]. De bevindingen uit het praktijkonderzoek
hebben enkel betrekking op de organisatie en kunnen derhalve niet zonder onderzoek worden
overgenomen voor andere organisaties. Om te bepalen of de onderkende risico’s en
bijbehorende beheersmaatregelen eveneens op meerdere organisaties van toepassing zijn,
zullen aanvullende onderzoeken dienen te worden verricht. Ook hebben wij in de praktijk één
verschijningsvorm van het moderne mobiele werken onderzocht. Dit betekent dat er derhalve
nog onderzoek dient te worden gedaan naar andere mogelijke verschijningsvormen van het
mobiele werken en de daarbij behorende risico’s en beheersmaatregelen.
Pagina 58 van 65
Bijlage A Literatuurlijst [TUIL11] http://computerworld.nl/article/13055/nederland-koploper-in-mobiele werken.html
[ITAUD12] de IT-Auditor nummer 3, 2012, Verschuivende verantwoordelijkheden (de impact
van 'Bring Your Own') Chris Wauters en Lancelot Schellevis
[YIN09] Yin, R.K. (2009), Case study research, design and methods, Sage Publications, Inc.
[PVIB12] www.pvib.nl/download/?id=17680865&download=1
[BYCY12] http://www.computable.nl/artikel/opinie/telecom/4529947/1276977/mobiele werken-
of-toch-liever-cyod.html
[CLOUD12] www.cloudworks.nu/uploads/CloudWorks-2-2012.pdf
[GART11] http://www.gartner.com/it/page.jsp?id=1842615
[IDC02] http://www.idc.com/getdoc.jsp?containerId=prUS23543712
[GAR01] http://www.gartner.com/it/page.jsp?id=1924314
[COMP04] http://computerworld.nl/article/13746/wat-zijn-mdm-en-mam.html
[COMP06] http://www.compact.nl/artikelen/C-2006-3-Hermans.htm
[VLIET01] http://www.trendmicro.nl/newsroom/pr/onderzoek-trend-micro-naar-staat-van-
beveiliging-mkb-sterke-toename-mobiele werken-en-beveiligingsincidenten/index.html
[IDC01] http://www.idc.com/getdoc.jsp?containerId=prUS23638712
[SEC01]
https://www.security.nl/artikel/44611/1/Onversleutelde_laptop_kost_hospice_40.000_euro.html
[SEC02] https://www.security.nl/artikel/44522/1/%27Tablet_en_smartphone_bedrijfs-
backdoor_van_2013%27.html
[SEC03]
https://www.security.nl/artikel/10763/1/%22Mobiele_beveiliging_grootste_uitdaging_sinds_mille
nniumbug%22.html
[SEC04] https://www.security.nl/artikel/38161/1/Boze_systeembeheerder_hackt_ex-
baas_via_McDonald%27s.html
[COMP01] http://www.computable.nl/artikel/opinie/infrastructuur/4526445/2379248/nieuwe-
vormen-telewerken-introduceren-risicos.html#ixzz2L9nXcpFG
Pagina 59 van 65
[COMP02] http://www.computable.nl/artikel/consultancy_guide/4597226/1571663/mobiel-
werken-bezorgt-de-ictafdeling-kopzorgen.html
[COMP03] http://www.computable.nl/artikel/achtergrond/security/4348415/1276896/2012-wordt-
het-jaar-van-security-in-mobility.html
[CBS01] http://www.cbs.nl/NR/rdonlyres/6CFC261D-EF63-4B04-B092-
F2256FA523B0/0/2012tijdplaatsonafhankelijkwerken2010art.pdf
[TNO01] Kosten en baten van de grootschalige invoering van telewerk. Meijer, R.A.M., T.
Weijers e.a. Onderzoeksrapport van het Studiecentrum voor Technologie en Beleid TNO /
Universiteit van Twente (1992)
[JALA] http://www.jala.com/definitions.php
[TNO02] http://www.drechtstedenbusiness.nl/content/aspect-ict-april-2013
[VRIES01] Vries, H de, Weijers T (november 1998). Zicht op Telewerken, een studie naar de
stand van zaken in de kennis over telewerken en de impact op het beleidsterrein van SZW
Ministerie van Sociale Zaken en Werkgelegenheid. Pearson Education
[MOREELS01] http://www.slideshare.net/svenmoreels/mobiel-werken
[EVE01] http://www.telewerkforum.nl/files/Databank/Arbo/110905%20-
%20rendement_en_risicos_telewerken_vrm_4.pdf
[COMP12] http://www.compact.nl/artikelen/C-2012-3-Doorn.htm
[SPRUIT01] www.marcelspruit.nl/papers/bewustzijn_v2.pdf
[SEC05]
https://www.security.nl/artikel/42122/1/Reizigers_verliezen_3.500_laptops_op_luchthavens_VS.
html
[COMVPN] http://computerworld.nl/it-beheer/75031-wat-is-vpn
[COMPMB] http://www.computable.nl/artikel/achtergrond/mwm/4719540/4707109/succes-
mobiel-werken-hangt-af-van-beleid.html
[SCHIPPER01] http://www.frankwatching.com/archive/2011/09/27/bring-your-own-werknemers-
maken-de-dienst-uit/
[WIKI01] http://en.wikipedia.org/wiki/Client%E2%80%93server_model
[WIKI02] http://nl.wikipedia.org/wiki/Thin_client
[INFORB] Overbeek, P. (2004). Informatiebeveiliging onder controle, Pearson Education
Benelux;
Pagina 60 van 65
[GOVCERT01] https://www.ncsc.nl/binaries/nl/dienstverlening/expertise-
advies/kennisdeling/whitepapers/telewerken/1/Whitepaper%2BTelewerken.pdf
[NCSC01] https://www.ncsc.nl/binaries/nl/dienstverlening/expertise-
advies/kennisdeling/whitepapers/beveiligingsrichtlijnen-voor-mobiele-
apparaten/1/Beveiligingsrichtlijnen%2Bvoor%2Bmobiele%2Bapparaten%2Bdeel%2B1.pdf
[NEN01] http://www.nen.nl/NEN-Shop/Norm/NENISOIEC-270022007-nl.htm
[AIVD01] https://www.aivd.nl/publish/pages/2452/bring_your_own_device.pdf
[PDCA01]http://www.scienceprogress.nl/kwaliteit/pdca-deming
Pagina 61 van 65
Bijlage B Beheersmaatregelen praktijkonderzoek Mnr Risk Beheersmaatregel Beheer-
organisatieEind-gebruiker
IT Infra-structuur
Device
1 2 Formuleren ICT strategie op basis van de missie, visie en kernpunten van de organisatie.
2 2 ICT strategie vertalen naar projecten. Per project worden vervolgens verantwoordelijke (stuurgroep) en risico’s gedefinieerd.
3 11 Het borgen van kennis waardoor de afhankelijk van externe partijen verkleind wordt.
4 1, 9, 10
Opstellen van diverse operationele checklists en op basis van deze checklists controle uitvoeren.
5 1 Instrueren van reeds bestaande focal points per vestiging met relevante informatie met betrekking tot het VDI concept.
6 10 Het ICT beheer is deels ingericht op basis van de best practice ITIL.
7 1 Geheimhoudingsverklaring
8 1 Regelementen met betrekking tot omgang met informatie.
9 9, 11 DMZ is ingericht om ongeautoriseerde toegang vanaf het internet tot het interne bedrijfsnetwerk af te schermen.
10 9 De gegevens die gegenereerd worden door de eindgebruikers (productieomgeving) is gescheiden van het verkeer van de beheeromgeving.
11 8 Geencrypte communicatie middels een HTTPS verbinding (AES-2048).
12 9 De firewall beschikt over een Intrusion Detection functionaliteit (IDS).
13 9 Intrusion Prevention System (IPS)
14 9 Dedicated huurlijnen tussen vestigingen en het data center.
15 9 Gescheiden draadloze (gasten) en bedraad netwerken.
16 4, 5, 9 RSA token (two-factor authenticatie) authenticatie indien wordt aangemeld buiten het “vertrouwde” netwerk.
17 4, 5 Schermbeveiliging wordt actief na een bepaalde periode van inactiviteit.
Pagina 63 van 65
18 4, 5, 9 Aanmelden op de Windows omgeving geschiedt middels het Windows wachtwoord.
19 4, 5 Er worden eisen gesteld aan het Windows wachtwoord.
20 12 Back-up wordt centraal digitaal bewaard in het data-center.
21 7 Toegang tot infromatie wordt verleend middels groepen.
22 5, 7 De laptops zijn uitgerust met een volledige schijf encryptie.
23 5, 9 Virusscanner is geïnstalleerd en wordt voorzien van updates.
24 9 Firewall is actief op de laptop.
25 5, 9 Laptop is voorzien van actuele security updates.
26 6 Eindgebruikers kunnen geen software installeren.
27 5, 7 Smartphone kan op afstand gewist worden.
28 6, 7, 8, 12
Maak gebruik van een gecentraliseerde VDI omgeving, waardoor systemen en gegevens centraal worden opgeslagen en beheerd.
Pagina 64 van 65
Bijlage C Mapping beheersmaatregelen theorie en praktijk
Rnr Risico Koppeling Theorie Koppeling praktijk
1 Doordat eindgebruikers onvoldoende kennis hebben van de beheersmaatregelen en regels omtrent
informatiebeveiliging, bestaat het risico dat zij handelen in strijd met de betreffende regels en
beheersmaatregelen.
1, 34, 4, 5 4, 5, 7, 8
2 Door het ontbreken van een beleid omtrent het mobiele werken is het onduidelijk welke
beheersmaatregelen getroffen dienen te worden.
28 1, 2
3 Onbeveiligde en/of compromitteerde devices loggen aan op het bedrijfsnetwerk 2, 7, 12, 36, 41, 42
4 Wachtwoorden van gebruikersaccounts worden binnen de organisatie gedeeld, of
beveiligingsmaatregelen om gebruikersaccounts te beveiliging zijn van onvoldoende kwaliteit,
waardoor medewerkers onder andere accounts dan hun eigen kunnen aanloggen.
3, 15 16, 17, 18, 19
5 Ongeautoriseerden hebben logische of fysieke toegang tot het device. 3, 8, 14, 15, 17, 18,
19, 33, 22, 24, 26,
27
16, 17, 18, 19, 22,
23, 25, 27
6 Eindgebruikers kunnen software installeren / configureren waardoor getroffen
beveiligingsmaatregelen negatief worden beïnvloed.
9, 26, 36, 37 26, 28
7 Als gevolg van verlies/diefstal kan de bedrijfsinformatie toegankelijk worden voor ongeautoriseerde
personen
8, 10, 17, 20, 29,
32, 38, 39
21, 22, 27, 28
8 Informatie die uitgewisseld wordt, wordt onderschept door onbevoegden. 11, 25 11, 28
9 Ongeautoriseerde personen kunnen zich middels hacken toegang verschaffen tot de
bedrijfsinformatie.
2, 3, 6, 7, 11, 12,
14, 15, 24
4, 9, 10, 12, 13,
14, 15, 16, 18, 23,
24, 25
10 De rechten binnen de systemen zijn onjuist ingericht, waardoor medewerkers toegang hebben tot 13, 16 4, 6
Pagina 65 van 65
Rnr Risico Koppeling Theorie Koppeling praktijk
componenten en informatie waarvoor zij niet bevoegd zijn.
11 Er vindt onvoldoende onderhoud/beheer plaats op de devices 23, 35 3, 9
12 De systemen en gegevens worden onvolledig en/of onjuist gebackupped, waardoor in het geval van
een calamiteit de bedrijfsinformatie niet juist en volledig hersteld kan worden.
30, 31, 40 20, 28