Voortschrijdende techniek Valkuil of goudmijn? Onderzoek Ernst & Young in het kader van Beurs Overheid en ICT 2012

Transcriptie

1 Vertrouwelijk Onderzoek Ernst & Young in het kader van Beurs Overheid en ICT 2012 Juli 2012 Voortschrijdende techniek Valkuil of goudmijn? Inclusief aanvulling Norm ICT-beveiligingsassessments DigiD

2

3 Voorwoord Vind ons op: Facebook Twitter Xchange In de App store: EY Insights EY ICT Barometer In een wereld die steeds opener wordt en waarin de scheiding tussen privé en zakelijk steeds verder vervaagt, komt beveiliging vaker onder druk te staan. Zaken die voor velen integraal onderdeel zijn geworden van het communicatieve leven, zoals het gebruik van social media als Facebook en Twitter, brengen bij gebruik binnen de organisatie plotseling risico s met zich mee. Overheidsorganisaties staan vervolgens voor een grote uitdaging als het gaat om het creëren van bewustzijn bij medewerkers, wanneer deze nieuwe technische ontwikkelingen hun intrede doen binnen de organisatie. Het zakelijk gebruik van tablets en smartphones gecombineerd met de mogelijkheden die deze apparatuur biedt met een diversiteit aan apps, stelt organisaties enerzijds voor een technische uitdaging om de organisatie te beschermen tegen ongewenst gegevensverlies. Anderzijds is de organisatie ook hier genoodzaakt om een beroep te doen op het beveiligingsbewustzijn van de medewerkers, omdat het praktisch gezien onmogelijk is de apparatuur 100% te beveiligen zonder in te boeten aan functionaliteit. Een belangrijke andere ontwikkeling die op subtiele wijze de intrede in het privéleven van medewerkers heeft gedaan, is cloud computing. wordt ondergebracht in de cloud (Gmail, Hotmail). Hetzelfde geldt voor muziek (icloud) en documenten (Google Docs, Dropbox, Picasa). Door middel van dit onderzoek proberen wij de publieke sector inzage te geven in kansen en risico s gerelateerd aan nieuwe ICT ontwikkelingen. Gegeven de vooraanstaande positie van Nederland op het gebied van de elektronische overheid in de wereld is de snelheid waarmee de nieuwe ontwikkelingen hun intrede doen binnen organisaties hoog. Om inzicht te krijgen in het gebruik van deze nieuwe ontwikkelingen binnen de overheid en gerelateerd daaraan het belang dat in het licht van deze ontwikkelingen wordt toegekend aan beveiliging, heeft Ernst & Young onderzoek uitgevoerd onder 934 ambtenaren. Het onderzoek heeft plaatsgevonden in maart Tijdens ons onderzoek hebben wij met een aantal materiedeskundigen gesproken het onderzoek wat meer gezicht te geven. De resultaten van het onderzoek zijn gepresenteerd tijdens de beurs Overheid & ICT Tevens hebben wij een specifiek aandacht besteed aan de recent beschikbaar gekomen Norm ICT-beveiligingsassessments DigiD. Op pagina 12 van dit rapport gaan wij hierop in. Den Haag, juli 2012 Ernst & Young Advisory Public Sector Guill van den Boom Ad Buckens Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn?

4

5 Inhoudsopgave Voorwoord 1 Samenvatting 1 Informatiebeveiliging 6 Social media 13 Mobiele apparatuur 17 Cloud computing 23 Bijlagen Deelnemers Bibliografie Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn?

6

7 Samenvatting Nederland heeft een vooraanstaande positie in de wereld als het gaat om de elektronische overheid. Nieuwe technologieën worden snel omarmd en geïncorporeerd. Volgens een recent onderzoek van de Verenigde Naties is Nederland inmiddels de nummer twee in de wereld als het gaat om de elektronische overheid. Wij moeten slechts Zuid Korea voorlaten (United Nations Economic & Social Affairs, 2012). Het onderzoek geeft aan dat Nederland deze hoge positie onder andere te danken heeft aan het actieve gebruik van social media. De enorme groei van gebruik van social media is te danken aan de groei van het gebruik van mobiele apparatuur. Interessant in dit kader is in welke mate de Nederlandse overheid social media inzet. Om hier beter zicht op te krijgen heeft Ernst & Young in samenwerking met de Beurs Overheid & ICT onderzocht of de overheid de kansen benut en of zij de risico s beheerst. In totaal 934 ambtenaren werkten mee aan het onderzoek gericht op het gebruik van nieuwe technologie binnen de overheid. Het onderzoek heeft geresulteerd in een aantal conclusies die wij in dit hoofdstuk zullen behandelen. Social media Gebruik social media staat in de kinderschoenen Grote mogelijkheden door slimmere inzet social media Social media strategie ontbreekt tot dusver meestal Te weinig aandacht voor risico's social media Social media staat nog in de kinderschoenen Het gebruik van social media is niet meer weg te denken uit onze maatschappij. Nederlandse overheden blijken nog te worstelen met de wijze waarop zij social media inzetten. Nog steeds maakt ruim 30% in het geheel geen gebruik van social media. Een ruime meerderheid van de overheidsinstanties die wel gebruik maken van social media zit nog in de fase waarin pilots lopen om nut en noodzaak van de inzet van social media af te tasten. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 1

8 Grote mogelijkheden door slimmere inzet social media De ondervraagde ambtenaren zien grote mogelijkheden op het vlak van social media. Driekwart van de ondervraagden geeft aan dat inzet van social media over vijf jaar niet meer uit de bedrijfsprocessen is weg te denken. Voor publieke instanties die gaan voor efficiënte en effectieve dienstverlening, participatie en werving blijkt er geen andere optie dan meedoen. Social media zal de komende jaren dan ook verder in de bedrijfsprocessen van overheidsinstanties moeten worden geïntegreerd. Alleen door goede integratie in de bestaande processen kunnen social media effectief worden ingezet. Social media strategie ontbreekt tot dusver meestal Minder dan 30% van de Nederlandse overheidsinstanties blijkt op dit moment een social media strategie te hebben. Als een social media strategie is opgesteld, is deze vaak niet bekend binnen de organisatie. Om de kansen optimaal te benutten moeten overheden een strategie definiëren voor de inzet van social media. Slimme inzet van social media vraagt om structuur. Van belang is te starten met het bepalen van de doelstellingen, doelgroepen, middelen risico s en de wijze van monitoring. Uitwerking vindt plaats in een op maat gemaakt social media beleid en een hierop gebaseerd social media actieplan. Risico's social media onderschat Over het algemeen lijken de respondenten vrij tevreden over de mate waarin het risico van nieuwe ontwikkelingen wordt ingeschat. Een uitzondering hierop vormen de risico s gerelateerd aan het gebruik van social media. Zorgelijk is dat driekwart van de respondenten de mening deelt dat de risico s ten aanzien van social media worden onderschat. Risicoanalyses gericht op social media blijken meer uitzondering dan regel. Verder constateren wij dat slechts een minderheid van de overheidsinstanties richtlijnen heeft opgesteld ten aanzien van social media (38%), terwijl dit wel door een grote meerderheid van de ondervraagden (88%) als belangrijk wordt beschouwd. Beveiliging Beveiliging schreeuwt om meer vroegtijdige aandacht Technische beveiligingsrisico s krijgen te weinig aandacht Beveiligingsbewustzijn onvoldoende Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 2

9 Beveiliging schreeuwt om meer vroegtijdige aandacht Beveiliging vraagt om meer aandacht van de overheid, zo blijkt uit de reacties van de ondervraagde ambtenaren. Tot dusver blijkt nog steeds te laat aandacht aan beveiliging te worden besteed. Beveiliging blijkt geen uitgangspunt maar een sluitstuk. Nader onderzoek ten aanzien van de incidenten rondom Lektober toont eveneens aan dat beveiliging onder grote druk staat van het moeten slagen van digitalisering. Om deze reden worden soms concessies gedaan ten aanzien van het niveau van beveiliging. Daarnaast speelt bij de intrede van nieuwe technologieën de druk vanuit de organisatie en de noodzaak om bij te blijven een belangrijkere rol dan beveiliging. Hierdoor lopen overheden met name in de experimentele fase risico s. Nog altijd is het zo dat beveiliging onvoldoende aandacht krijgt bij het implementeren van nieuwe ontwikkelingen. Onderstaande schematische weergave toont dat de aandacht voor beveiliging pas enige tijd na het adopteren van een nieuwe technologie ontstaat. Hierdoor is het vaak zo dat zich met name in de opstartfase risico s ten aanzien van de nieuwe ontwikkelingen openbaren. Ontwikkeling Beveiliging Tijd Technische beveiligingsrisico s krijgen te weinig aandacht Wij constateren dat beveiligingsrisico s over het algemeen goed worden ingeschat op strategisch niveau. Het bewustzijn op operationeel niveau is echter vaak onvoldoende. Een consequentie is dat overheden er voor een vrij groot deel vanuit gaan dat de risico s van nieuwe technologieën door middel van procedures voldoende worden beperkt. De technische beveiligingsmaatregelen gerelateerd aan nieuwe technologische ontwikkelingen krijgen echter onvoldoende aandacht. Beveiligingsbewustzijn onvoldoende De mens is steeds vaker de zwakste schakel binnen de keten van informatiebeveiligingsmaatregelen. Dit wordt versterkt door het feit dat bij nieuwe technologieën veelal wordt gekozen voor organisatorische maatregelen in plaats van technische maatregelen. Wij constateren dat het beveiligingsbewustzijn bij veel overheidsinstanties nog onvoldoende is. Dat geldt zowel voor het bewustzijn ten aanzien van de fysieke wereld als ten aanzien van de digitale wereld. Het bewustzijn ten aanzien van het veilige gebruik van applicaties, social media en bijvoorbeeld mobiele apparatuur is nog altijd onvoldoende. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 3

10 Mobiele apparatuur Driekwart overheidsinstanties maakt gebruik van tablets Meer dan de helft heeft niet gecommuniceerd over de risico's van mobiele apparatuur Organisaties kiezen voor traditionele beveiliging Driekwart overheidsinstanties maakt gebruik van tablets Het onderzoek toont aan dat de inburgering van de tablets binnen overheidsinstellingen in Nederland al vergevorderd is. 73% van de respondenten geeft aan zakelijk gebruik te maken van een tablet en nog eens 19% geeft aan te denken over implementatie danwel binnen 12 maanden te implementeren. Dit betekent dat binnen een jaar meer dan 92% van de respondenten in een organisatie werkt waar de tablet zakelijk wordt gebruikt. Meer dan de helft heeft niet gecommuniceerd over de risico's van mobiele apparatuur Wij constateren dat meer dan de helft van de respondenten aangeeft dat niet is gecommuniceerd over de risico s van mobiele apparatuur. Voor tablets is het aantal nog iets hoger dan voor smartphones, waarbij het interessant is dat organisaties vaak veel meer mogelijkheden faciliteren op de tablet dan op de smartphone. Organisaties kiezen voor traditionele beveiliging Ten aanzien van de gehanteerde beveiligingsmaatregelen valt op dat veel organisaties geneigd zijn terug te vallen op traditionele maatregelen, zoals het hanteren van sterke wachtwoorden (35%). Het feit dat mobiele apparatuur een aanvullend fysiek risico met zich meebrengen, blijft bij het selecteren van beveiligingsmaatregelen vaak onderbelicht. De gekozen oplossingen zijn vaak onvoldoende doordacht waardoor zich risico s openbaren die zeer specifiek zijn voor de nieuwe technologie. Wij besteden in dit rapport aan twee ontwikkelingen bijzondere aandacht: het doorsturen van vertrouwelijke informatie via privé e- mail accounts en het installeren van apps. Uit het onderzoek is gebleken dat 29% van de respondenten doorstuurt via privé accounts. Hierbij worden in voorkomende gevallen vertrouwelijke zaken verstuurd naar een locatie buiten het beveiligde domein van de organisatie en komen daarbij in een ongecontroleerde omgeving van een provider of een partij als Google of Microsoft. Daarnaast mag meer dan de helft van de respondenten zonder toestemming van de organisatie apps installeren. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 4

11 Cloud computing Cloud computing kent een geleidelijke toename Aandacht voor beveiliging en privacy bij het opstellen van de eisen Cloud computing kent een geleidelijke toename Uit de Global Information Security Survey van Ernst & Young blijkt dat meer dan de helft van de respondenten (61%) momenteel gebruikmaakt, evalueert of van plan is het cloud computing concept binnen zijn organisatie binnen een jaar tijd te realiseren (Ernst & Young, 2011). Hierin is een duidelijke toename te zien ten opzichte van Iets minder dan de helft van de ondervraagde overheidsfunctionarissen in Nederland geeft aan dat de technologie over een vijftal jaren niet meer is weg te denken. Aandacht voor beveiliging en privacy bij het opstellen van de eisen De respondenten zijn het eens over het belang van beveiliging (79%) en privacy bescherming (74%) als het gaat om de inzet van cloud computing. Uit het onderzoek blijkt tevens dat bij voorkeur bij het opstellen van de eisen aan een cloud computing contract aandacht aan beveiliging moet worden besteed. Hierbij geeft men aan dat wet- en regelgeving met name een doorslaggevende factor is bij het kiezen voor cloud computing (73%). Dit betekent echter dat ruim 25% van de respondenten hier anders over denkt. In de volgende paragrafen lichten wij onze conclusies in meer detail toe. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 5

12 Informatiebeveiliging Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen alsmede de procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie garanderen, met als doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken (Wikipedia). Interessant in de definitie is het laatste deel. Om te komen tot een evenwichtige beveiliging en daarmee tot beveiliging die geen onnodige impact heeft op nieuwe ontwikkelingen is het van belang tijdig de risico s van nieuwe ontwikkelingen in te schatten. Het door ons uitgevoerde onderzoek toont het belang van het bepalen van het juiste beveiligingsniveau. Uit de antwoorden van de respondenten blijkt dat men het er wel over eens is dat een dubbeltje niet met een kwartje moet worden beveiligd. In het verlengde hiervan is het van belang een strategie te hebben die het gewenste beveiligingsniveau beschrijft en ook voorkomt dat een kwartje met een dubbeltje wordt beveiligd. Uit onderzoek van Ernst & Young blijkt dat 56% van de deelnemers aan de Global Information Security Survey aangeeft dat de huidige informatiebeveiligingsstrategie moet worden aangepast aan de nieuwe ontwikkelingen (Ernst & Young, 2011). Uit onderzoek onder overheidsorganisaties in Nederland komt een vergelijkbaar resultaat. Ruim 40% van de respondenten vindt dat in het bestaande informatiebeveiligingsbeleid onvoldoende aandacht aan nieuwe ontwikkelingen als social media, mobiele apparatuur en cloud computing wordt besteed. Aandacht in beveiligingsplan 42% Aandacht voor nieuwe ontwikkelingen 58% Aandacht voor nieuwe ontwikkelingen ontbreekt Verder is het zo dat het beleid vaak op strategische niveau wordt gedefinieerd, waarbij de vertaling naar het tactische en operationele niveau ontbreekt, danwel onvoldoende handvatten geeft om daadwerkelijk proportionele beveiligingsmaatregelen door te voeren. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 6

13 Bewustzijn Het is van groot belang de risico s van nieuwe ontwikkelingen in kaart te brengen. Risicoanalyse helpt om niet zonder de benodigde voorbereidingen hypes achterna te gaan. Zodra de risico s in kaart zijn gebracht, wordt het mogelijk om proportionele maatregelen te treffen. Interessant binnen het vakgebied van informatiebeveiliging is dat vele preventieve, detectieve, repressieve en correctieve maatregelen kunnen worden getroffen, maar dat beveiliging vaak staat of valt met het bewustzijn van medewerkers. De respondenten geven aan dat het bewustzijn binnen de organisatie veelal onvoldoende is. Bewustzijn 37% Voldoende 63% Onvoldoende De respondenten geven aan dat het bewustzijn op strategisch niveau aanwezig is, maar dat het bewustzijn op operationeel niveau onvoldoende is. Uit het door ons uitgevoerde onderzoek blijkt dat de risico inschatting zich vertaalt in het feit dat organisaties voor een vrij groot deel steunen op procedures en veel minder op technische beveiligingsmaatregelen. Dit wordt met name veroorzaakt door het feit dat beveiliging veelal pas later in het proces aandacht krijgt, waardoor het voor een beheerorganisatie vaak nog de enige snelle oplossing is om beveiliging (deels) te verankeren. Dit hoeft geen probleem te zijn, als het bewustzijn hoog genoeg is om de procedurele maatregelen na te leven. Dit blijkt echter op basis van het onderzoek niet het geval te zijn. Incidenten Informatiebeveiligingsincidenten kunnen een indicatie geven van de risico s die kleven aan het gebruik van nieuwe ontwikkelingen en de maatregelen die zijn getroffen om deze risico s te mitigeren. Wat opvalt bij incidenten op het gebied van informatiebeveiliging is dat ze in veel gevallen onopgemerkt blijven voor de reguliere gebruiker van de technologie. In onderstaande overzichten maken wij daarom onderscheid tussen de antwoorden van de personen met beslissingsinvloed op het gebied van informatiebeveiliging en personen zonder deze invloed. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 7

14 Is uw organisatie afgelopen jaar geconfronteerd met beveiligingsincidenten op het gebied van social media? Ja Nee Onbekend Beslissingsbevoegd Niet beslissingsbevoegd Is uw organisatie afgelopen jaar geconfronteerd met beveiligingsincidenten op het gebied van mobiele apparatuur? Ja Nee Onbekend Beslissingsbevoegd Niet beslissingsbevoegd Is uw organisatie afgelopen jaar geconfronteerd met beveiligingsincidenten op het gebied van Bring Your Own Device? Ja Nee Onbekend Beslissingsbevoegd Niet beslissingsbevoegd Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 8

15 Is uw organisatie afgelopen jaar geconfronteerd met beveiligingsincidenten op het gebied van cloud computing? Ja Nee Onbekend Beslissingsbevoegd Niet beslissingsbevoegd Risico s social media onderschat Over het algemeen lijken de respondenten vrij tevreden over de mate waarin het risico van nieuwe ontwikkelingen wordt ingeschat. De personen die invloed uit kunnen oefenen op het gebied van informatiebeveiliging geven aan dat slechts op het gebied van social media de risico s ernstig worden onderschat. Risico's van social media onderschat Eens Oneens Risico's van Cloud computing onderschat Eens Oneens Risico's van BYOD onderschat Eens Oneens Risico's van mobile computing onderschat Eens Oneens Risico's van Het Nieuwe Werken onderschat Eens Oneens Het is interessant om vast te stellen dat de huidige beveiliging van informatie met name onder druk staat, omdat fysieke barrières verdwijnen. Veel van de informatie van organisaties wordt via internet verstuurd. Medewerkers, klanten en leveranciers hebben de mogelijkheid om gegevens waar en wanneer ze maar willen te raadplegen. De hausse in het gebruik van mobiele apparatuur versterkt dit effect alleen maar (Ernst & Young, 2011). Beveiliging leidt tot vertraging Wij constateren dat de risico s naar de mening van de respondenten niet ernstig worden onderschat. In algemene zin lijkt het erop dat de beveiliging in de perceptie van de respondenten leidt tot een vertraging in de implementatie van de nieuwe ontwikkelingen. Dit is een beeld dat in de praktijk wordt herkend, waarbij geldt dat organisaties die beveiliging hebben ingebed in het implementatieproces dit vaak veel minder als barrière zien. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 9

16 Beveiliging leidt tot vertraging 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 5% 9% 14% 8% 22% 34% 25% 18% 34% 36% 31% 26% 24% Social media 30% 15% 34% 19% 19% 33% 25% Mobile BYOD HNW Cloud Geen zicht op Helemaal oneens Oneens Neutraal Eens Helemaal eens Te weinig aandacht voor beveiliging Ongeveer 66% van de respondenten geeft aan dat onvoldoende aandacht wordt besteed aan beveiligingsaspecten wanneer zich nieuwe ontwikkelingen aandienen. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Onvoldoende aandacht voor beveiliging 11% 11% 20% 35% 23% Social media 16% 29% 36% 19% 16% 33% 23% 12% 32% 38% 33% 24% Interessant is dus dat de respondenten vinden dat de risico s niet extreem worden onderschat, dat de perceptie bestaat dat beveiliging de ontwikkeling afremt en dat beveiliging aandacht behoeft. Wij concluderen uit het onderzoek dat beveiliging nog steeds geen uitgangspunt maar een sluitstuk is. Bij de intrede van nieuwe technologieën speelt de druk vanuit de organisatie en de noodzaak om bij te blijven een belangrijkere rol dan beveiliging. Hierdoor lopen organisaties met name in de early adopter fase risico s. De vertragende werking die beveiliging zou hebben op de implementatie van nieuwe technologieën wordt overschat. Een belangrijke vraag is echter in hoeverre overheidsorganisaties nog in staat zijn te investeren in beveiliging na de recente bezuinigingen. 9% 25% 12% Mobile BYOD HNW Cloud Geen zicht op Helemaal oneens Oneens Neutraal Eens Helemaal eens Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 10

17 Budget Gegeven de economische situatie op dit moment wordt door organisaties nauwlettend naar de kosten gekeken. Taakstellingen binnen de overheid leiden ertoe dat de organisatie efficiënter moet gaan werken. Tijdens ons onderzoek hebben wij geconstateerd dat het budget dat beschikbaar is voor informatiebeveiliging het afgelopen jaar gelijk is gebleven, danwel is toegenomen. Kijkend naar de toekomst kunnen we concluderen dat het budget verder gaat toenemen. Uit wereldwijd onderzoek van Ernst & Young blijkt 59% van de ondervraagden van menig was dat het budget in 2012 toe zou nemen (Ernst & Young, 2011). Informatiebeveiligingsbudget over de afgelopen 12 maanden Toegenomen Afgenomen Gelijk gebleven Weet niet Eindbeslisser Medebeslisser Adviseur Informatiebeveiligingsbudget over de komende 12 maanden Toegenomen Afgenomen Gelijk gebleven Weet niet Eindbeslisser Medebeslisser Adviseur Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 11

18 Op basis van de toelichtingen van diverse respondenten kunnen we echter opmerken dat hoewel de budgetten in ieder geval niet afnemen, het uiterst belangrijk blijft kosten en baten af te wegen. Voor de overheid is beveiliging een zeer groot goed, waardoor nut en noodzaak van nieuwe (technologische) ontwikkeling goed moet worden afgewogen. Hoe voorkomt u dat beveiliging een valkuil voor u wordt? Voer een gedegen risicoanalyse uit voordat nieuwe ontwikkelingen worden geïncorporeerd. Werk het bestaande beleid en de daarbij behorende procedures bij op het gebied van nieuwe ontwikkelingen. Selecteer proportionele en passende maatregelen. De nieuwe ontwikkelingen bieden tevens nieuwe beveiligingsmogelijkheden. Veranker het onderwerp informatiebeveiliging in de projectorganisatie van uw organisatie, zodat bij de start van nieuwe projecten aandacht wordt besteed aan beveiliging. Norm ICT-beveiligingsassessments DigiD Begin 2012 zijn de ICT-Beveiligingsrichtlijnen voor webapplicaties (deel 1 en 2) beschikbaar gekomen. De richtlijnen bieden organisaties een leidraad, voor het toepassen van bewezen maatregelen gericht op het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en diensten. De maatregelen die in deel 2 worden aangereikt zijn mede tot stand gekomen aan de hand van bestpractices van het NCSC in samenwerking met Rijksauditdienst (RAD), Logius, OWASP Nederland, Kwaliteitsinstituut Nederlandse Gemeenten (KING), Belastingdienst, diverse gemeenten en marktpartijen. Een afgeleide hiervan is de norm die door Logius wordt gehanteerd voor de beveiliging van de DigiD-koppelingen: Norm ICT-beveiligingsassessments DigiD. De norm is bedoeld voor organisaties die gebruik maken van koppelingen die worden beveiligd met het DigiD authenticatiemechanisme. Het adequaat mitigeren van beveiligingsrisico's vormt voor veel overheidsinstanties nog een grote uitdaging. Voor grootgebruikers van het mechanisme geldt dat ze per eind 2012 een assessment moeten laten uitvoeren. Voor de overige partijen geldt dat dit per eind 2013 moet hebben plaatsgevonden. Inmiddels is door KING een impactanalyse uitgevoerd voor de Nederlandse gemeenten waarin is bepaald wat de impact van de norm is voor een gemeente. Welke aanpassingen moeten worden gedaan, welke normen vallen onder het beheer van de gemeente, welke vallen onder die van de leverancier, et cetera. Voor de grootgebruikers geldt dat de deadline inmiddels snel dichterbij komt. Om een passend antwoord te bieden adviseren wij organisaties op zeer korte termijn een risicoanalyse uit te voeren om in te schatten welke diensten gebruik maken van de DigiD koppeling en welke gegevens er met de koppeling worden afgeschermd. Afhankelijk daarvan moeten organisaties maatregelen implementeren, onder andere gebruikmakend van de Norm ICTbeveiligingsassessments DigiD, indien dit nog niet is gebeurd. Na het implementeren van de maatregelen adviseren wij organisaties een nulmeting uit te voeren om vast te stellen in hoeverre wordt voldaan aan de norm. Op deze manier wordt DigiD ontkoppeling voorkomen. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 12

19 Social media Social media is een verzamelbegrip voor online platformen waar de gebruikers, zonder of met minimale tussenkomst van een professionele redactie, de inhoud verzorgen. Hoofdkenmerken zijn interactie en dialoog tussen de gebruikers onderling (Wikipedia). Voorbeelden van deze media zijn Facebook en Twitter. Het gebruik van deze social media is inmiddels wijdverbreid. Het onderzoek van de Verenigde Naties toont aan dat in de Europese Unie meer dan een derde van alle inwoners sociale netwerksites gebruikt (United Nations Economic & Social Affairs, 2012). Uit ons onderzoek blijkt dat 69% van onze respondenten aangeeft social media binnen de eigen organisatie in te zetten. Interessant om te realiseren is dat geen enkel bericht op internet verloren gaat. Zo zijn websites te vinden waar verwijderde tweets worden verzameld. Huidig gebruik social media In gebruik Wordt geïnventariseerd 14% Gepland 2% 69% Niet gepland 8% Onbekend 6% Het gebruik van social media binnen de publieke sector kan worden verklaard door het gemak en snelheid van deze kanalen. Het onderzoek van de Universiteit Twente wijst uit dat deze factoren cruciaal zijn als men informatie wil zoeken (Van de Wijgaert, Van Dijk, & Ten Tije, 2011). Aangezien vrijwel elke burger met een internetverbinding vrij toegang heeft tot een verzameling van laagdrempelige sociale platformen, spreekt het voor zich dat overheidsorganisaties anticiperen op deze ontwikkelingen. In de praktijk blijkt dat organisaties door de inzet van social media in staat zijn de dienstverlening verder te verbeteren, beter te communiceren in crisissituaties, de eigen profilering te versterken, burgerparticipatie te vergroten en te volgen wat er speelt onder burgers. Ook kan social media helpen om werving van ambtenaren aanzienlijk te verbeteren en kennisdeling onder ketenpartners of burgers te bevorderen. Gemeenten denken na over diverse initiatieven op het gebied van burgerparticipatie. Dit kan zijn door social media in te zetten, maar ook door de inzet van apps als BuitenBeter. Door middel van deze app hebben burgers de mogelijkheid problemen buiten op straat of in de buurt te melden. Diverse gemeenten, waaronder Rotterdam en Veghel, zijn hier inmiddels op aangehaakt. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 13

20 Hoewel veel organisaties al met de gedachte spelen om mee te gaan in de social media tendens, heeft een organisatie feitelijk gezien weinig keuze. Het negeren van social media weerhoudt de burger niet om te spreken over een organisatie op online platformen. Het op zijn minst structureel luisteren naar online conversaties maakt het mogelijk voor organisaties om kansen te benutten met minimale investering. Het is daarom ook niet vreemd dat een ruime meerderheid van de respondenten ervan overtuigd is dat social media over een vijftal jaren niet meer als organisatietoepassing is weg te denken. Toekomstig gebruik social media 10% 17% Niet meer weg te denken Weg te denken 74% Neutraal Volgens diverse trendwatchers is door social media niet alleen de manier van communiceren aan het veranderen. Een typisch voorbeeld van een verandering is de verandering in het traditionele klantenservicemodel waarin de burger geen genoegen zal nemen met een telefonische contact, webformulier of veel gestelde vragen-lijst. In plaats daarvan zal de burger eerder geneigd zijn om de massa op online fora op te zoeken voor informatie en advies (De Bruin, 2011). Overigens wordt in de praktijk ook meer en meer aandacht besteed aan het gebruik van social media. Zo wil de Gemeente Den Haag meer gaan doen met social media, mede om de burgerparticipatie te bevorderen (Blankena, Haagse ambtenaren moeten aan de social media, 2012). De gemeente is al een voorloper op het gebied van het gebruik van Twitter, Facebook en LinkedIn, maar is ervan overtuigd dat veel meer mogelijk is, met name om de interactie en de participatie te verbeteren. De benodigde 'organisatiebrede cultuurverandering' is door de gemeente Den Haag in richtlijnen vastgelegd. In het verlengde daarvan komt ook meer aandacht voor elektronische participatie en bijbehorende instrumenten die het mogelijk maken verantwoordelijkheden in de stad te delen met bewoners. De regie over de social media-aanpak is belegd bij de content management organisatie. Een voorloper als de gemeente Den Haag toont hiermee aan dat de inzet van social media in ontwikkeling is, maar zeker nog niet alle kansen worden benut. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 14

21 Gebruik door medewerkers Social media biedt vele kansen maar kent ook risico s. Uit de Global Information Security Survey (Ernst & Young, 2011) van Ernst in Young blijkt dat volgens de meeste respondenten (72%) kwaadaardige aanvallen van buitenaf het grootste risico voor de organisatie vormen. Bij dergelijke aanvallen wordt vaak gebruik gemaakt van informatie die via sociale media is verkregen en vervolgens gericht wordt ingezet om aan bepaalde personen gegevens te ontfutselen (phishing). Ook worden de social media sites zelf ingezet om informatie te ontfutselen. Zo zouden recent Chinese spionnen via Facebook militaire geheimen hebben achterhaald bij topgeneraals van de NAVO. De spionnen zouden een account hebben aangemaakt met de naam van de hoogste NAVO-militair in Europa. Met dat account nodigden ze verschillende andere generaals en topdiplomaten uit om vrienden te worden op Facebook (NOS, 2012). Social media emerged suddenly, and is here to stay. Companies of all sizes and industries are already developing social media strategies as rapidly as they can. Ferdinand Kobelt Partner Ernst & Young In de poging om de potentiële risico s van sociale media te beteugelen lijken veel organisaties te kiezen voor de harde lijn. Ruim de helft (53%) heeft de toegang tot specifieke websites simpelweg geblokkeerd, in plaats van ondernemingsbrede maatregelen te treffen die de verandering op zich juist bevorderen (Ernst & Young, 2011). Uit ons onderzoek blijkt dat een zeer ruime meerderheid van de respondenten (88%) voor het opstellen van richtlijnen ten aanzien van social media is. In 38% van de gevallen zijn deze ook daadwerkelijk opgesteld. Momenteel bestaat nog een grote behoefte als het gaat om richtlijnen aan de hand waarvan maatregelen kunnen worden geïmplementeerd. De te treffen maatregelen zijn divers en worden ook zeer divers toegepast. Te denken valt aan: Aanpassen bestaande procedures Beperken van toegang tot social media sites Uitvoeren van bewustzijnscampagnes Inrichten van monitoring Uit onderzoek blijkt dat 53% van de wereldwijd onderzochte organisaties de toegang tot social media sites heeft beperkt of geblokkeerd als maatregel om het risico te mitigeren (Ernst & Young, 2011). Wij hebben in de praktijk vastgesteld dat dit echter geen houdbare oplossing is. Gebruik door de organisatie Potentieel gebruikt? Onvoldoende benut 57% Voldoende benut 43% 0% 20% 40% 60% 80% 100% Als gezegd bieden social media ook vele kansen. Overheden zouden volgens het onderzoek van de Verenigde Naties veel meer gezamenlijke inspanningen moeten leveren om het volledige potentieel van social media te benutten. Dit houdt in dat overheden social media voor meer elektronische overheidsdiensten moeten gaan gebruiken, waaronder in het bijzonder, mensen met lage inkomens, ouderen en andere kansarme groepen. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 15

22 Overheden moeten daarom hun aanwezigheid op bestaande social media sites versterken en elektronische diensten promoten (United Nations Economic & Social Affairs, 2012). Op basis van het door ons uitgevoerde onderzoek komen wij tot de conclusie dat de respondenten nog niet van de optimale inzet van social media binnen hun organisatie overtuigd zijn. Strategie Om de kansen optimaal te benutten moeten organisaties een strategie definiëren. Op basis hiervan kan worden bepaald op welke wijze invulling wordt gegeven aan de ambities op het gebied van social media. Momenteel is het zo dat slechts 28% van de respondenten binnen de eigen organisatie een social media strategie heeft. Slimme inzet van social media vraagt om structuur. Van belang is te starten met het bepalen van de doelstellingen, doelgroepen, middelen risico s en de wijze van monitoring. Uitwerking vindt plaats in een op maat gemaakt social media beleid en een hierop gebaseerd social media actieplan. Voor publieke instanties die gaan voor efficiënte en effectieve dienstverlening, participatie en werving is er geen andere optie dan meedoen. Monitoring Als eerste stap op weg naar actief gebruik van social media kiezen veel organisaties naast het voorzichtig starten met een twitter account voor het monitoren van de diverse kanalen in webcare pilots. Uit onderzoek van Harvard Business Review blijkt dat driekwart van de respondenten niet wist op welke kanalen over hun merk werd gesproken (Harvard Business Review, 2011). Om deze kanalen daadwerkelijk in te zetten zal de hiervoor beschreven strategie met operationele uitwerking moeten worden opgesteld, maar het monitoren biedt alvast een eerste inzicht in de online aanwezigheid van de organisatie. Hierbij kan gekozen worden om alleen te monitoren of het monitoren te combineren met actieve participatie. Van de respondenten geeft 46% aan dat monitoring van verschillende kanalen plaatsvindt. Hoe voorkomt u dat social media een valkuil voor u worden? Inventariseer de risico s alvorens u voor organisatiedoeleinden gebruik van social media gaat maken. Bepaal uw doelgroep, online reputatie en interne draagvlak voordat u social media in zet in uw organisatieproces. Definieer uw doelstellingen met het gebruik van social media en welke kanalen daarvoor geschikt zijn. Bepaal de impact op uw organisatie ten aanzien van het wijzigen van processen door de inzet van social media. Ontwikkel social media beleid met een bijbehorend actieplan waarin uw uitgangspunten en toekomstvisie in worden belegd. Stel procedures op voor het persoonlijk gebruik van social media door medewerkers. Communiceer richting uw medewerkers over de verwachtingen ten aanzien van communicatie op social media sites. Beheer social media kanalen om ruis te filteren en relevante informatie ten aanzien van positieve en negatieve berichtgeving te volgen. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 16

23 Mobiele apparatuur Mobile computing Bij mobile computing wordt de computerapparatuur draagbaar geacht, denk hierbij aan tablets (bijvoorbeeld ipad, Galaxy Tab) en smartphones (bijvoorbeeld Blackberry, iphone) (Wikipedia). Veel organisaties hebben al jaren geleden de introductie van de mobiele telefoon meegemaakt die nu door de smartphone wordt vervangen. Daarnaast doet sinds enige tijd de tablet haar intrede in bijvoorbeeld veel raadszalen. In het licht van papierloos werken is dit een belangrijke ontwikkeling. Het brengt echter ook beheervraagstukken met zich mee en stelt tevens gewijzigde eisen aan beveiliging. Het onderzoek toont aan dat het gebruik van tablets binnen overheidsinstellingen in Nederland al vergevorderd is. 73% van de respondenten geeft aan gebruik te maken van de tablet en nog eens 18% geeft aan te denken over implementatie of implementatie binnen 12 maanden. Dit betekent dat binnen een jaar meer dan 92% van de respondenten in een organisatie werkt waar de tablet voor bedrijfstoepassingen wordt gehanteerd. Nederland bevindt zich hier in de voorhoede van de ontwikkelingen. Uit ons internationale onderzoek blijkt dat 80% van de wereldwijde organisaties al van tablets gebruik maakt of in gebruik name overweegt. Het is daarom ook niet vreemd dat een zeer ruime meerderheid van de respondenten ervan overtuigd is dat mobiele apparatuur over een vijftal jaren niet meer is weg te denken als organisatietoepassing. Toekomstig gebruik mobiele apparatuur 3% 13% Niet meer weg te denken Weg te denken Neutraal 84% De introductie van mobiele apparatuur op de werkvloer is een typische voorbeeld van een ontwikkeling die medewerkers al hadden meegemaakt in hun privéleven, wat zich heeft verplaatst naar de organisatie. Hierbij is echter in een groot aantal gevallen voorbijgegaan aan de implicaties op beveiligingsgebied. Overigens zijn de meeste respondenten het eens over het belang van beveiliging (75%) en privacy bescherming (73%) als het gaat om de inzet van mobiele apparatuur. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 17

24 Mobiliteit, cloud computing en bring your own device moeten in dienst staan van het primaire doel van de organisatie. Niet andersom. Respondent Onderstaand overzicht geeft aan in hoeverre de organisaties van de respondenten hebben gecommuniceerd over de risico s van het gebruik van smartphones en tablets. 100% 80% 60% 40% 20% Communicatie over risico's 52% 58% 48% 42% Communicatie heeft niet plaatsgevonden Communicatie heeft plaatsgevonden 0% Smartphones Tablets Ten aanzien van de gehanteerde beveiligingsmaatregelen valt op dat veel organisaties geneigd zijn terug te vallen op bestaande maatregelen, zoals het hanteren van sterke wachtwoorden (35%). Het feit dat mobiele apparatuur een aanvullend fysiek risico met zich meebrengt, blijft bij het selecteren van beveiligingsmaatregelen vaak onderbelicht. Uit internationaal onderzoek blijkt dat 57% van de organisaties aanpassingen in procedures heeft doorgevoerd om de risico s van mobiele apparatuur te mitigeren. Door de explosieve groei van mobiele apparatuur is het belangrijk om verschillende aspecten te beveiligen en niet de focus bij één onderdeel te leggen. Veel van de organisaties kiezen voor een traditioneel wachtwoordbeleid. Hiervoor geldt echter dat het gehanteerde beleid vaak beperkte beveiliging biedt en gemakkelijk te omzeilen is. Door het wachtwoordbeleid met andere beveiligingsmaatregelen te combineren kan de veiligheid van apparatuur worden vergroot. Door gebruik te maken van verschillende beveiligingstechnieken kan de integriteit van het apparaat maximaal worden gewaarborgd. Hierbij valt te denken aan : Beveiligingsmaatregelen mobiele apparatuur Geen 5% Anders 2% Full disk encryptie Onbekend 15% Beveiligingsrichtlijnen met mobiele apparatuur Centrale configuratie en monitoring Wachtwoordcomplexiteit Wachtwoordbeleid 35% Lock-out en remote wipe mogelijkheden Encryptie 15% Op afstand verwijderen 17% Schoning na aantal foutieve inlogpogingen 11% Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 18

25 De gekozen oplossingen zijn vaak onvoldoende doordacht waardoor zich risico s openbaren die zeer specifiek zijn voor de nieuwe technologie. In het door ons uitgevoerde onderzoek hebben wij aandacht besteed aan twee van deze ontwikkelingen. De eerste betreft het gebruik van privé accounts om zakelijke s te kunnen lezen. Uit het onderzoek is gebleken dat 29% van de respondenten doorstuurt via privé accounts. Hierbij worden in voorkomende gevallen vertrouwelijke zaken verstuurd naar een locatie buiten het beveiligde domein van de organisatie en komen daarbij in een ongecontroleerde omgeving van een provider of een partij als Google of Microsoft. Hierbij kan het dus zomaar gebeuren dat doorgestuurde, zakelijke, informatie plotseling onder de Patriot Act vallen. De Patriot Act is een Amerikaans wetsvoorstel (H.R.3162) dat in 2003 door het Amerikaanse Congres met een meerderheid is aangenomen. De wet heeft als doel meer mogelijkheden te geven aan de Amerikaanse overheid om informatie te vergaren over en op te treden in geval van mogelijk terrorisme. Er is veel kritiek op de Patriot Act omdat ze de burgerrechten van de Amerikaanse bevolking te veel zou schenden, met name op het gebied van privacy. Daarnaast is er de kritiek dat de wet stigmatiserend zou werken omdat het vooral mogelijkheden biedt om immigranten en buitenlandse bezoekers te onderzoeken en het land uit te zetten (Wikipedia). De tweede ontwikkeling betreft het gebruik van zogenoemde apps. Apps zijn programma's voor smartphones. De App Store van Apple Inc. is met meer dan applicaties 1 de grootste online softwarewinkel. Tweede is de Android Market van Google Android met ongeveer applicaties 2. Andere bekende online softwarewinkels zijn BlackBerry App World (ongeveer apps 3 ) en de Ovi Store van Nokia (ongeveer apps 4 ) (Wikipedia). De apps worden door de aanbieders van de app-winkels beoordeeld, maar op dit proces heeft een organisatie zelf geen invloed. Door het downloaden van apps toe te staan kunnen conflicten ontstaan tussen bedrijfsapplicaties en applicaties die zijn gedownload. Daarnaast kan ook kwaadaardige software worden gedownload indien deze niet goed is geverifieerd door de app-winkel. Uit ons onderzoek blijkt dat een groot aantal organisaties het downloaden van apps toestaat. Gebruik van apps 100% 80% 60% 40% 20% 0% 18% 27% 55% Ik weet niet of we 'apps' mogen installeren Nee, we mogen geen 'apps' installeren Ja we mogen 'apps' installeren 1 Per maart Per oktober Per februari Datum telling onbekend Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 19

26 Hoe voorkomt u dat mobile computing een valkuil voor u wordt? Inventariseer de risico s van mobiele apparatuur. Overweeg de voor- en nadelen van het gebruik van de functionaliteit van mobiele apparatuur en specifieke gerelateerde technologie als geolocatie informatie. Overweeg de voor- en nadelen van het gebruik van de app-functionaliteit van mobiele apparatuur. Zorg voor een aangepaste fysieke en technische beveiligingsrichtlijn waarbij rekening wordt gehouden met mobiele apparatuur. Classificeer uw gegevens en beveilig de gegevens op basis van deze classificatie. Bepaal aan de hand van de risicoanalyse welke maatregelen, zoals bijvoorbeeld encryptie, moeten worden getroffen om de mobiele apparatuur te beschermen. Review uw privacy procedures ten aanzien van het gebruik van mobiele apparatuur. Maak gebruik van een Mobile Device Management systeem, dit biedt u de mogelijkheid om beveiligingsrichtlijnen te implementeren en uw devices te monitoren. Geef awareness trainingen om de werknemers bewust te maken van de gegevens die ze bij zich dragen en uitwisselen en wat de consequenties hiervan zijn bij een eventuele data leakage. Stel een duidelijke procedure op voor gestolen of verloren toestellen. Bring Your Own Device Waarom krijgen veel timmermannen geen hamer en zaag van hun werkgever, maar een vergoeding om die zelf te kopen? Het antwoord is logisch. Wanneer je zelf je gereedschap mag uitzoeken, kies jij als vakman of vrouw altijd het gereedschap waar jij het beste mee kunt werken. Het is daarom slim om medewerkers tot een bepaald niveau (niet iedere timmerman heeft een eigen zaagmachine) zijn eigen gereedschap te laten uitzoeken. Het gaat de werkgever immers niet om het gereedschap dat zijn mensen gebruiken, maar om het resultaat van de klus. Bovendien zijn de meeste mensen zuiniger op hun privé eigendommen, wat ook een voordeel is (Smit, 2011). Zoals we eerder in dit rapport hebben opgemerkt heeft menig werknemer thuis betere faciliteiten en apparatuur dan op het werk, wat leidt tot onvrede over de door het bedrijf gefaciliteerde zaken. Het Bring Your Own Device concept is het concept waarbij medewerkers gebruik maken van (computer)apparatuur die niet het eigendom is van de organisatie (Wikipedia). Uiteraard speelt hierbij het beveiligingsaspect, waarbij men zich af kan vragen in hoeverre het mogelijk is dergelijke apparatuur afdoende te beveiligen (Ubert, 2011). Huidig gebruik BYOD 26,4% 38,7% 7,0% 28,0% In gebruik Wordt geïnventariseerd Gepland Niet gepland Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 20

27 Bijna 40% van de respondenten in ons onderzoek geeft aan dat ze momenteel de mogelijkheid hebben eigen apparatuur binnen de organisatie te gebruiken. Daarnaast is het opvallend om te zien dat de respondenten vaak een bepaalde schifting aanbrengen tussen de geaccepteerde apparatuur. Slechts 25,8% geeft aan geen beperkingen ten aanzien van de geaccepteerde apparatuur te kennen. Beperking BYOD apparatuur smartphones laptops tablets onbeperkt Hoewel Bring Your Own Device een concept is dat in de wandelgangen druk wordt besproken binnen overheidsorganisaties valt het op dat in ons onderzoek slechts de helft van de respondenten ervan overtuigd is dat het concept over een vijftal jaren niet meer is weg te denken als organisatietoepassing. Toekomstig gebruik BYOD 34,3% Niet meer weg te denken 50,4% Weg te denken Neutraal 15,3% Ook ten aanzien van het Bring Your Own Device concept is het zo dat organisaties geneigd zijn terug te vallen op bestaande maatregelen, zoals het hanteren van sterke wachtwoorden (41%). De beveiliging van apparatuur die door de medewerker zelf wordt ingebracht is momenteel nog onvoldoende ingericht. Overigens zijn de meeste respondenten het eens over het belang van beveiliging (68%) en privacy bescherming (65%) als het gaat om de inzet van mobiele apparatuur. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 21

28 Beveiligingsmaatregelen BYOD Geen 13% Onbekend 25% Encryptie 9% Wachtwoordbeleid 31% Op afstand verwijderen 9% Schoning na aantal foutieve inlogpogingen 6% Anders 7% Hoe voorkomt u dat het meebrengen van eigen apparatuur een valkuil voor u wordt? Inventariseer de juridische consequenties van het gebruik van eigen apparatuur en software voor organisatietoepassingen. Zorg voor een aangepaste fysieke en technische beveiligingsrichtlijn waarbij rekening wordt gehouden met mobiele apparatuur. Classificeer uw gegevens en beveilig de gegevens op basis van deze classificatie. Geef awareness trainingen om de werknemers bewust te maken van de gegevens die ze bij zich dragen en uitwisselen en wat de consequenties hiervan zijn bij een eventuele data leakage. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 22

29 Cloud computing Privacy concerns remain a significant impediment to the adoption of cloud computing for many potential customers. To ensure that society can maximize the benefits of cloud computing, removing the blockers around privacy is critical. Cloud service providers can start by building customers confidence in the cloud. They can do this by demonstrating an inherent respect for privacy that is embodied in transparent business practices and a commitment to accountability. Cloud computing is een model dat het mogelijk maakt om door middel van een computernetwerk gedeelde configureerbare computermiddelen (zoals netwerken, servers, opslag, applicaties en diensten) op aanvraag beschikbaar te stellen op een snelle, gemakkelijke en alomtegenwoordige manier (Wikipedia). Organisaties gaan van de meer traditionele outsourcing contracten over op de cloud service providers, omdat de meeste organisaties zich realiseren wat de voordelen hiervan kunnen zijn. De verwachtingen zijn onder andere kostenreducties, flexibiliteit en schaalbaarheid van de IT. Uit de Global Information Security Survey van Ernst & Young blijkt dat meer dan de helft van de respondenten (61%) momenteel gebruikmaakt, evalueert of van plan is het cloud computing concept binnen zijn organisatie binnen een jaar tijd te realiseren (Ernst & Young, 2011). Ontwikkeling gebruik cloud computing 39% 55% 16% 15% 9% 7% 36% 23% Brendon Lynch, Chief Privacy Officer, Microsoft Niet gepland Gepland Wordt geïnventariseerd In gebruik Ten aanzien van de toekomst van cloud computing over een vijftal jaren zien we iets bijzonders in het door ons uitgevoerde onderzoek. Iets minder dan de helft geeft aan dat de technologie over een vijftal jaren niet meer is weg te denken. Iets meer dan 40% geeft aan hier neutraal tegenover te staan. Dit lijkt, mede op basis van de toelichtingen van de respondenten, te worden verklaard door onduidelijkheid over het concept. Kijkend naar de praktijk waarin vele organisaties gebruik maken van SaaS, Paas en/of IaaS 5 oplossingen zijn wij van mening dat nog veel informatieverstrekking rondom cloud computing noodzakelijk is. 5 Software as a Service, Platform as a Service, Infrastructure as a Service Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 23

30 Toekomstig gebruik cloud computing 40% 48% Niet meer weg te denken Weg te denken Neutraal 12% De respondenten die helder op het netvlies hadden wat cloud computing inhoudt, gaven aan dat cloud computing met name voor ondersteunende processen (83%) wordt ingezet. Voor de primaire processen, die direct de klant ondersteunen geldt dat nog beperkt (45%). Huidig gebruik cloud computing 5% 19% 25% Onbekend In gebruik 24% 28% Wordt geïnventariseerd Gepland Niet gepland Omdat cloud computing niet meer is weg te denken en het gebruik binnen organisaties toeneemt, speelt de veiligheid van de cloud een grote rol. Zo toont onderzoek door Trend Micro aan dat bijna de helft van 1200 IT-professionals uit Amerika, Europa, Canada, India en Japan afkomstig van organisaties met meer dan 500 medewerkers in 2011 een aanval te verduren heeft gekregen (Trend Micro, 2011). Overigens zijn de meeste respondenten het eens over het belang van beveiliging (79%) en privacy bescherming (74%) als het gaat om de inzet van cloud computing. Uit het uitgevoerde onderzoek blijkt tevens dat bij voorkeur al bij het opstellen van de eisen aan een cloud computing contract aandacht aan beveiliging moet worden besteed. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 24

31 Eisen ten aanzien van cloud computing Bij het opstellen van de eisen 78% In het contract 55% Door het uitvoeren van 44% In de rapportage vereisten 30% Anders 8% Van de respondenten geeft 73% aan dat wet- en regelgeving van belang is bij de keuze voor cloud computing. Dit lijkt hoog, maar dat betekent tevens dat ruim 25% van de respondenten meent dat dit niet het geval is. Om de voordelen van cloud computing optimaal te kunnen realiseren is het opstellen van een goede aanpak belangrijk. Cloud computing onderscheid zich met name door het aanbieden van applicaties, platformen of infrastructuren in een flexibele omgeving onafhankelijk van de geografische locatie. Op het gebied van de infrastructuur kan dit tot een grote flexibiliteit leiden, maar juridisch gezien zitten hier veel haken en ogen aan. Uit de Global Information Security Survey van Ernst & Young blijkt dat het merendeel van de respondenten (89%) van mening is dat externe certificering hun vertrouwen vergroot in cloud computing. Het stellen van eisen op certificeringsvlak is dan ook essentieel. Hoe voorkomt u dat cloud computing een valkuil voor u wordt? Bepaal voor uw organisatieprocessen en gerelateerde persoonlijke informatie welke niveaus van beveiliging noodzakelijk zijn bij het naar de cloud brengen ervan. Bepaal welke contractuele en juridische beperkingen bestaan bij een cloud leverancier. Denk hierbij aan geografische locatie, data opslag en beveiliging. Bepaal uw mogelijkheden ten aanzien van het controleren van de naleving van de contractafspraken met uw cloud leverancier. Bepaal voor uw organisatie een duidelijk gedefinieerde strategie voorafgaand aan de implementatie van de cloud. Zorg ervoor dat uw kosten van interne diensten vergelijkt met de kosten van de cloud diensten. Hierdoor wordt duidelijk welke applicaties, platform e.d. beheerd moeten worden en welke klaar zijn om overgezet te worden naar de cloud. Ontwerp voor uw organisatie een roadmap om het beoogde succes van de cloud te behalen. De roadmap gaat verder in op hoe de weg naar een succesvolle implementatie expliciet en concreet gemaakt wordt. Zorg ervoor dat de cloud diensten zijn gecertificeerd, zodat u inzicht heeft in de kwaliteit van de beheerorganisatie. Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 25

32 Deelnemers In dit hoofdstuk vindt u de detailinformatie over de deelnemers van het onderzoek. In totaliteit hebben 934 personen gereageerd op de vragenlijst die wij elektronisch hebben voorgelegd. Sector Wij hebben alle respondenten gevraagd aan te geven in welke sector van de overheid zij werkzaam zijn. Hieronder vindt u de verdeling van respondenten. 10,0% 6,4% 2,5% 10,8% Gemeente Onderwijs Politie/Brandweer Provincie 4,0% 2,8% 5,2% 58,3% Rijksoverheid Waterschap Overig non-profit Anders Functie Wij hebben alle respondenten gevraagd aan te geven in welke functie zij werkzaam zijn. Organisatieomvang Beleidsadviseur / -medewerker 179 Bestuurder 11 Consultant / Adviseaur 57 Eigenaar / Directeur 28 Functioneel manager Functioneel medewerker ICT manager ICT medewerker / professional 165 Projectmanager / Productmanager 69 Sales/ accountmanager 30 Secretaris / Griffier 6 Anders 143 Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 26

33 Om de ontwikkelingen en de aandacht voor beveiliging goed te kunnen plaatsen hebben wij de respondenten gevraagd aan te geven wat de omvang is van de organisatie waarin ze werken. 27,2% 11,6% 27,1% 34,2% < 50 personen personen personen > 1000 personen Beslissingsbevoegdheid Om de antwoorden op het gebied van de nieuwe ontwikkelingen en beveiliging goed te kunnen plaatsen hebben wij geïnventariseerd in hoeverre zij beslisser danwel beïnvloeder zijn. Adviseur 405 Eindbeslisser 79 Medebeslisser 329 Geen beslissingsbevoegdheid 121 Alle rechten voorbehouden - Ernst & Young Voortschrijdende techniek: Valkuil of goudmijn? 27