Volwassenheidsmodel voor het beheer van mobiele apparaten in zakelijke omgevingen

Transcriptie

1 Volwassenheidsmodel voor het beheer van mobiele apparaten in zakelijke omgevingen Auteurs: Saïed R. Mohamed Hoesein, MSc Kar Ming Lam, MSc VU begeleider: PwC Begeleider: Paul Harmzen RA RE Drs. Mark Tesselaar CISA Vrije Universiteit Amsterdam Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) IT Audit opleiding

2 Voorwoord Deze scriptie is opgesteld ter afronding van de postdoctorale IT Audit opleiding aan de Faculteit der Economische Wetenschappen en Bedrijfskunde (FEWEB) van de Vrije Universiteit Amsterdam. Graag maken wij van deze gelegenheid gebruik om een aantal personen te bedanken voor hun hulp en steun gedurende de periode waarin wij deze scriptie hebben geschreven. Ten eerste danken wij onze begeleider van de Vrije Universiteit, Paul Harmzen, voor zijn meedenken, tips en adviezen bij het opzetten van de scriptie en het uitvoeren van het onderzoek. Zijn aanmoediging heeft ons geholpen om verder te komen in het proces van het schrijven van de scriptie en het verhogen van de kwaliteit van het onderzoek. Verder willen wij onze collega's en studiegenoten bedanken voor alle input die zij hebben geleverd in de vorm van discussies, meedenken en attenderen. Tot slot gaat onze dank uit naar onze familieleden en vrienden voor het begrip en de steun gedurende de vorming van deze scriptie. AMSTERDAM, SEPTEMBER SAIED R. MOHAMED HOESEIN & KAR MING LAM Voorwoord I

3 Managementsamenvatting Het gebruik van mobiele apparaten is in de afgelopen jaren explosief gegroeid. Waar vroeger organisaties al genoegen namen met het gebruik van een simpele mobiele telefoon voor zakelijke doeleinden, zien we tegenwoordig steeds vaker dat organisaties hun werknemers voorzien van smartphones en tablets. Kenmerkend voor deze apparaten is dat zij de gebruikers voorzien van de mogelijkheid om te communiceren en data te raadplegen en te bewerken, zowel binnen als buiten de kantooromgeving. Deze nieuwe ontwikkeling gaat gepaard met enkele risico s in het kader van de informatiebeveiliging. Deze risico s zijn te groeperen op basis van de CIA driehoek, waarbij er risico s zijn ten aanzien van de betrouwbaarheid (confidentiality), integriteit (integrity) en beschikbaarheid (availability) van data. Aan deze risico s liggen diverse bedreigingen ten grondslag, de uitdaging voor organisaties is om voldoende maatregelen te treffen om de impact van de bedreiging te minimaliseren. Op basis van literatuur en diverse interviews met experts wordt er in de scriptie een model gepresenteerd om de volwassenheid van het beheer van mobiele apparaten in de zakelijke omgeving te meten. Het model is gebaseerd op het CMMI model waarbij wij de CMMI filosofie hebben toegepast op mobiele apparaten. Het hieruit voortvloeiende model voor mobiele apparaten kent 5 niveaus van volwassenheid: initieel, intuïtief, gedefinieerd, beheerst en geoptimaliseerd. Het model gaat er van uit dat er een relatie is tussen de getroffen maatregelen en de impact van de bedreigingen. De bedreigingen zijn hierbij gegroepeerd in een viertal domeinen: Governance, Gebruikers, Mobiele apparaten en Applicaties en data. Het model beschrijft voor elke bedreiging een beheersdoelstelling en per volwassenheidsniveau de maatregelen die getroffen zouden moeten worden om het betreffende volwassenheidsniveau te behalen. Het model is getoetst met IT auditors en IT specialisten en op basis daarvan herzien. Om het model op een juiste manier te kunnen gebruiken en de resultaten hiervan adequaat te kunnen interpreteren is het van belang dat de IT auditor deze specifiek toespitst naar de unieke situatie van de betreffende organisatie en een onderscheid maakt naar de impact van een bedreiging. Het model biedt hiertoe ruimte door per beheersdoelstelling de relevantie hiervan te bepalen. De relevantie kan afhankelijk zijn van diverse factoren zoals de branche van de organisatie of de ambitie van het management. Wanneer de IT auditor hierin slaagt, is het mogelijk om de resultaten op een juiste manier te interpreteren en de organisatie handvatten toe te reiken om te groeien naar een hoger volwassenheidsniveau. Managementsamenvatting II

4 Inhoudsopgave 1 Inleiding Achtergrond Probleemstelling Hoofdvraag Deelvragen Afbakening Relevantie van het onderzoek Onderzoeksmodel Opbouw scriptie Mobiele apparaten in zakelijke omgevingen Mobiele apparaten Smartphones Tablets Ontwikkelingen Het gebruik van het mobiele apparaat Het besturingssysteem van het mobiele apparaat Informatie als een asset De omgeving van de mobiele apparaten Risico s en bedreigingen Governance Eigenaarschap van het mobiele apparaat en de applicaties Gestelde beveiligingsdoelstellingen Naleving van wet- en regelgeving Onderhoud en ondersteuning Overeenkomsten met leveranciers Gebruikers Verlies of diefstal van het mobiele apparaat Medewerkersbewustzijn Onveilige webpagina s en webcontent Mobiele apparaten Kwaliteit van het mobiele apparaat Verwijderen van data bij vervanging Gebruik van locatie services Onveilige transmissietechnieken Manipulatie of blootstelling van data Security zwakheden Performance zwakheden Applicaties en data Installatie van onbetrouwbare applicaties Interactie met externe systemen Datacorruptie Kopiëren van data naar verwijderbare media Volwassenheidsmodel voor het beheer van mobiele apparaten Inhoudsopgave

5 4.1 Definiëren van volwassenheidsniveaus Beheersdoelstellingen en beheersmaatregelen Risicolevel Evaluatie van het volwassenheidsmodel De rol van de IT auditor Het volwassenheidsmodel in de praktijk Interpretatie van de resultaten Conclusie Antwoord op de hoofdvraag Beperkingen en aanvullend onderzoek Referenties Bijlage A: Begrippen en afkortingen Bijlage B: Het volwassenheidsmodel in de praktijk Inhoudsopgave

6 1 Inleiding 1.1 Achtergrond Het gebruik van mobiele apparaten is in de afgelopen jaren explosief gegroeid. Anno 2012 leest 95% van de eigenaren van een smartphone hun op het toestel (Security.NL, 2012a). Deze trend zet zich voort in het bedrijfsleven, waarbij de medewerker altijd en overal toegang heeft tot bedrijfsinformatie. Waar vroeger organisaties al genoegen namen met het gebruik van een simpele mobiele telefoon voor zakelijke doeleinden, zien we tegenwoordig steeds vaker dat organisaties hun werknemers voorzien van smartphones en tablets. Aan de vele mogelijkheden van smartphones en tablets kleven echter ook risico s. Zo bleek uit onderzoek van Symantec dat gegevens van verloren smartphones massaal worden bekeken (Security.NL, 2012b), wat tot gevolg kan hebben dat bedrijfsgevoelige informatie in handen komt van onbevoegden. Zowel organisaties als medewerkers zijn zich vaak niet bewust van de risico s of onderschatten deze. Gartner (2013) stelt dat in de komende jaren het gebruik van mobiele apparaten in de zakelijke omgeving onderwerp zal blijven van gesprekken met CIO's. Het onderzoek dat gedaan wordt in deze scriptie zal zich richten op het identificeren en het beheersen van de risico s van het gebruik van smartphones en tablets voor zakelijke doeleinden. Aan de hand van de risico s en bijbehorende beheersmaatregelen, zal een volwassenheidsmodel worden opgesteld om organisaties en medewerkers inzicht te geven in welke mate zij de risico's van het gebruik van mobiele apparaten beheersen. 1.2 Probleemstelling Naar aanleiding van de ontwikkelingen met betrekking tot mobiele apparaten, die we zien bij organisaties, hebben we een hoofdvraag gedefinieerd. Om deze hoofdvraag te beantwoorden hebben we aanvullend enkele deelvragen opgesteld. Deze worden in de volgende subparagrafen behandeld Hoofdvraag De hoofdvraag van deze scriptie luidt: Hoe kan de volwassenheid van het beheer van mobiele apparaten binnen organisaties gemeten worden? Inleiding 1

7 1.2.2 Deelvragen Om bovenstaande hoofdvraag te kunnen beantwoorden hebben we de volgende deelvragen opgesteld die zullen helpen bij de beantwoording: 1. Wat is de definitie van een mobiel apparaat? Nieuwe technologie heeft geleid tot geavanceerde mobiele apparaten, waaronder smartphones en tablets. De smartphone biedt de gebruiker rekencapaciteiten om meer te doen dan bellen. Met het beantwoorden van deze deelvraag kunnen wij de grens aangeven wat wel en niet als een mobiel apparaat getypeerd kan worden en komen wij tot een definitie die wij zullen hanteren in het vervolg van de scriptie. 2. Hoe worden mobiele apparaten ingezet in zakelijke omgevingen? Er zijn diverse manieren van het inzetten van smartphones en tablets in zakelijke omgevingen. Er zijn organisaties die smartphones en tablets aan hun medewerkers verstrekken voor het enkel benaderen van , maar andere organisaties bieden ook de mogelijkheid om te kunnen werken vanaf de smartphone of tablet door bijvoorbeeld databases te benaderen. Welke andere mogelijkheden zijn er nog meer en wat heeft dit voor consequenties? 3. Welke risico s zijn verbonden aan het gebruik van mobiele apparaten binnen een organisatie en welke bedreigingen liggen daaraan ten grondslag? Door mobiele apparaten aan medewerkers te verstrekken ontstaan er nieuwe risico s voor de betreffende organisatie. Deze risico s komen voor wanneer er onvoldoende aandacht wordt besteed aan de beheersing van de bedreigingen die hieraan ten grondslag liggen. 4. Hoe kunnen de bedreigingen op het gebied van mobiele apparaten beheerst worden? Het gebruik van mobiele apparaten binnen organisaties vereist een goed beheer. Wat doe je namelijk als een medewerker zijn smartphone kwijt is of als deze gestolen is? Door middel van deze deelvraag zullen de verschillende mogelijkheden voor het beheer van mobiele apparaten nader onderzocht worden. 5. Welke niveaus van volwassenheid in de beheersing van mobiele apparaten zijn er en wat zijn de randvoorwaarden voor elk niveau? Afhankelijk van de manier waarop organisaties hun beheer van mobiele apparaten hebben ingericht, kan er een oordeel geveld worden over de volwassenheid hiervan. Middels deze deelvraag zal er aansluiting worden gezocht met het CMMI model waarbij er specifieke Inleiding 2

8 randvoorwaarden voor elk niveau gedefinieerd zullen worden met betrekking tot het beheer van mobiele apparaten. 6. Op welke wijze kan de IT auditor bijdragen aan het beheer van mobiele apparaten binnen organisaties? De IT auditor speelt reeds een belangrijke rol in diverse processen binnen organisaties. Ook aan het beheer van mobiele apparaten binnen organisaties kan de IT auditor bijdragen. De IT auditor kan na het meten van de volwassenheidniveaus hierover rapporteren naar de organisatie en de organisatie helpen het beheer naar een hoger niveau te brengen. 1.3 Afbakening Binnen het onderzoek zullen wij ons beperken tot smartphones en tablets (zie voor de definities hoofdstuk 2). Laptops en mobiele apparaten met minimale rekencapaciteiten vallen buiten de scope van dit onderzoek, aangezien deze risico s in diverse onderzoeken zijn behandeld en er reeds werkbare normenkaders bestaan om deze risico s in kaart te brengen. Dit onderzoek zal zich richten op zowel smartphones en tablets die door de organisatie beschikbaar worden gesteld als smartphones en tablets die eigendom zijn van de medewerker zelf (het zogenaamde Bring-Your-Own-Device principe). Wij zullen ons echter beperken tot kantoortoepassingen en niet ingaan op specifieke applicaties, daar er een ontelbaar aantal applicaties zijn en de ontwikkelingen ten aanzien van de applicaties dermate hoog is dat het onderzoek al verouderd zou zijn tegen de tijd dat deze is afgerond. Bij het opstellen van het volwassenheidsmodel zal er niet specifiek ingegaan worden op de beschikbare mobile device management tools, maar zullen wij ons beperken tot een algemene set van maatregelen die de relevante risico's bij het gebruik van smartphones en tablets mitigeren. Ook hierbij geldt weer dat de beschikbare mobile device management tools zich in een hoog tempo ontwikkelen en de resultaten van het onderzoek geen toegevoegde waarde zouden hebben wanneer een specifieke mobile device management tool onderzocht zou worden. 1.4 Relevantie van het onderzoek Diverse bedrijven spelen op het moment met het idee om smartphones en tablets in te voeren binnen de bedrijfsvoering. Er komt echter veel meer bij kijken om te kunnen waarborgen dat na de invoering de risico's en bedreigingen ten aanzien van de apparaten ook beheerst kunnen worden. Veel risico s worden door de organisaties over het hoofd gezien of niet erkend. Door middel van deze scriptie zal de business handvatten aangereikt worden om de beheersing van de risico's en bedreigingen ten aanzien van mobiele apparaten binnen de organisatie tot een hoger niveau te tillen. Inleiding 3

9 1.5 Onderzoeksmodel Het doel van het onderzoek is om te komen tot een model waarmee de volwassenheid van de beheersing van risico's en bedreigingen rondom mobiele apparaten binnen organisaties gemeten kan worden. Onderstaande tabel geeft een overzicht van de onderzoeksdoelstellingen en de bijbehorende onderzoeksmethodes. Onderzoeksdoelstelling Definiëren van het begrip " mobiel apparaat " in het kader van deze scriptie. Een overzicht van de mogelijkheden waarop mobiele apparaten binnen zakelijke omgevingen ingezet worden. Een overzicht van risico s die verbonden zijn aan het gebruik van mobiele apparaten en bedreigingen die daaraan ten grondslag liggen. Een overzicht van de manieren waarop risico's en bedreigingen rondom mobiele apparaten beheerst kunnen worden. Een mapping van het CMMI model naar de beheersmaatregelen voor het beheersen van risico's en bedreigingen rondom mobiele apparaten. Toetsing van de praktische toepassing van het volwassenheidsmodel in de praktijk bij een organisatie. Onderzoeksmethode Literatuurstudie. Literatuurstudie. Literatuurstudie en interviews met IT auditors en IT specialisten. Literatuurstudie en interviews met IT auditors en IT specialisten op gebied van mobile device management. Literatuurstudie en interviews met IT auditors en IT specialisten. Onderzoek bij de betreffende organisatie middels interviews met IT specialisten en betrokkenen. Tabel 1 Onderzoeksdoelstelling en onderzoeksmethode 1.6 Opbouw scriptie De scriptie zal bestaan uit zes hoofdstukken die allen van belang zijn voor het juist begrijpen en interpreteren van het onderzoek en de resultaten. Hoofdstuk 1 (dit hoofdstuk) beschrijft de opbouw van de scriptie door de fundamenten van het onderzoek te beschrijven zoals de hoofdvraag, de deelvragen en de methode waarop het onderzoek is uitgevoerd. Hoofdstuk 2 introduceert het onderwerp van onderzoek. Hierin worden de relevante begrippen en definities behandeld om de lezer een beeld te geven over het beheer en de ontwikkelingen op het gebied van mobiele apparaten in zakelijke omgevingen. Hiermee wordt antwoord gegeven op de deelvragen 1 en 2. Inleiding 4

10 Hoofdstuk 3 beschrijft de risico s en bedreigingen ten aanzien van het gebruik van mobiele apparaten binnen zakelijke omgevingen op basis van de uitgevoerde literatuurstudie. Vervolgens worden deze geverifieerd middels interviews. In dit hoofdstuk wordt antwoord gegeven op de deelvragen 3 en 4. Hoofdstuk 4 combineert de resultaten van de literatuurstudie en interviews met elkaar tot een raamwerk dat helpt bij het bepalen van de volwassenheid van het beheer van mobiele apparaten. Volwassenheidsniveaus worden hierbij gedefinieerd aan de hand van het CMMI model. Dit geeft antwoord op de deelvraag 5. Hoofdstuk 5 geeft richting tot interpretatie van het model dat in hoofdstuk 4 gepresenteerd is. Dit wordt gedaan door het model te toetsen bij een organisatie en de resultaten hiervan te evalueren. De toegevoegde waarde van een IT auditor in dit proces wordt beschreven, wat antwoord geeft op deelvraag 6. Aanvullend wordt er besproken hoe het model toegepast moet worden en tot welke resultaten dit kan leiden. Afwegingen ten aanzien van het model en het gewenste niveau per type organisatie worden gepresenteerd. Hoofdstuk 6 behandelt de conclusie en geeft antwoord op de hoofdvraag van de scriptie. Aanvullend worden er enkele beperkingen van het onderzoek en aanbevelingen voor vervolgonderzoek gepresenteerd in dit hoofdstuk. Hoofdstuk 1: Opbouw scriptie Hoofdstuk 2: Introductie onderwerp Hoofdstuk 3: Risico s en bedreigingen Hoofdstuk 4: Raamwerk tbv volwassenheidsmodel Hoofdstuk 5: Evaluatie volwassenheidsmodel Hoofdstuk 6: Conclusie en aanbevelingen Figuur 1 Opbouw scriptie Inleiding 5

11 2 Mobiele apparaten in zakelijke omgevingen In dit hoofdstuk zullen we ingaan op het gebruik van mobiele apparaten in zakelijke omgevingen. We zullen een definitie geven van de term mobiele apparaten die wij in het vervolg van deze scriptie zullen hanteren. Verder geven wij inzicht in de huidige ontwikkelingen en mogelijkheden op gebied van mobiele apparaten. De deelvragen die in dit hoofdstuk worden behandeld zijn: 1. Wat is de definitie van een mobiel apparaat? 2. Hoe worden mobiele apparaten ingezet in zakelijke omgevingen? 2.1 Mobiele apparaten De ISACA (2012) definieert mobiele apparaten als: Mobiele telefoons met functionaliteiten van desktops, ook wel smartphone; Laptops en netbooks; Tablets; Portable Digital Assistants (PDA's); Mobiele Universal Serial Bus (USB) apparaten voor opslag van data en connectiviteit doeleinden (zoals Wi-Fi, Bluetoooth, HSPDA/UMTS/EDGE/GPRS modemkaarten); Digitale camera's; Radio Frequency Identification (RFID) en mobiele RFID (M-RFID) apparaten voor opslag van data, identificatie en asset management; Infrared-enabled (IrDA) apparaten zoals printers en smartcards; Bovengenoemde apparaten voorzien de gebruikers van de mogelijkheid om te communiceren en data te raadplegen en bewerken in de kantooromgeving en elders. Communicatie kan op meerdere manieren plaatsvinden, zowel bedraad als draadloos. Veel van deze apparaten hebben toegang tot het internet, bedrijfsdocumentatie en netwerkschijven, video en foto. Voor het ontsluiten van bedrijfsgegevens wordt steeds vaker contact gelegd met onderdelen van het bedrijfsnetwerk. Kortom, de apparaten stellen de medewerker in staat om buiten het kantoor over alle gemakken te beschikken van de kantoorvoorzieningen. Mobiele apparaten in zakelijke omgevingen 6

12 Zoals beschreven in paragraaf 1.3 wordt in deze scriptie enkel het gebruik van smartphones en tablets in zakelijke omgevingen behandeld. Deze beperking hebben wij gesteld, omdat smartphones en tablets wezenlijk verschillen van de overige mobiele apparaten zoals gedefinieerd door de ISACA. Smartphones en tablets differentiëren zich op het gebied van interactie met de gebruiker en andere systemen en populariteit (frequent en toenemend gebruik). In de volgende paragrafen worden beide mobiele apparaten verder toegelicht Smartphones In de vorige paragraaf hebben wij de definitie van mobiele apparaten gegeven en tevens smartphones geïdentificeerd als een mobiel apparaat. Smartphones worden in de literatuur op verschillende manieren gedefinieerd. Het doel van deze scriptie is niet het opstellen van een uitputtende lijst van kenmerken van een smartphone, maar enkel het geven van een definitie voor verder gebruik in deze scriptie. Gartner (2012) definieert een smartphone als een mobiel communicatie apparaat dat gebruik maakt van een herkenbaar open besturingssysteem. Dit open besturingssysteem maakt het mogelijk om applicaties gecreëerd door derden te installeren en te verwijderen. Hiervoor dient een application programming interface (API) beschikbaar te zijn of ontwikkelaars moeten de API kunnen benaderen via een discrete laag zoals Java. Het besturingssysteem moet een multitasking-omgeving kunnen ondersteunen en de gebruikersinterface moet het mogelijk maken om meerdere applicaties tegelijk te gebruiken (zoals lezen en muziek afspelen). Palm (Elgan, 2007) hanteert de volgende definitie: een draagbaar apparaat dat draadloze telefonie, , internet toegang en een agenda mogelijk maakt in een enkel stuk hardware. Een andere definitie (Theoharidou, Mylonas, & Gritzalis, 2012) beschrijft een smartphone als volgt: een smartphone is een mobiele telefoon met geavanceerde mogelijkheden, welke gebruik maakt van een herkenbaar besturingssysteem. Dit besturingssysteem stelt de gebruikers in staat om de mogelijkheden van het apparaat uit te breiden aan de hand van applicaties van derden, die beschikbaar zijn in een applicatie markt. Hierbij dienen smartphones te beschikken over geavanceerde hardware met: 1. Uitgebreide verwerkingsmogelijkheden (zoals moderne CPU s en sensoren); 2. Gelijktijdige en snelle verbindingsmogelijkheden (zoals Wi-Fi, HSDPA); 3. Gelimiteerde scherm afmetingen (het apparaat moet compact zijn); Mobiele apparaten in zakelijke omgevingen 7

13 4. Het besturingssysteem moet duidelijk herkenbaar zijn (zoals Android, Blackberry, Windows Phone, Apple s ios, enz.); 5. Het besturingssysteem moet installatie van applicaties van derden mogelijk maken middels een applicatiemarkt (zoals Android Market, BlackBerry App World, App Hub, App Store, enz.). Door bovenstaande kenmerken van een smartphone te combineren en in het perspectief van deze scriptie te plaatsen zijn wij gekomen tot de volgende definitie: Een smartphone is een draagbaar apparaat met een compact formaat waar een herkenbaar besturingssysteem op staat. Dit apparaat stelt de gebruiker in staat om applicaties van derden te installeren, gegevens in te voeren en op te slaan en verbinding te maken met andere apparaten middels een netwerk. In de onderstaande tabel worden de kenmerken van de smartphone, zoals wij hanteren in deze definitie, verder toegelicht. Kenmerk Toelichting Formaat Het apparaat is compact, werkt op een accu, is mobiel en kan bediend worden met de hand en/of een stylus. Besturingssysteem Het apparaat werkt op een besturingssysteem van een herkenbare leverancier, welke toestaat dat applicaties van derden worden geïnstalleerd. Connectiviteit Het apparaat heeft een of meerdere mogelijkheden om te verbinden met het internet of andere mobiele apparaten. Invoer Het apparaat beschikt over een hardwarematig of softwarematig toetsenbord of volgt handelingen van de vinger/stylus via het scherm. Opslagcapaciteit Het apparaat heeft een intern en/of extern geheugen. Functionaliteiten Naast reguliere telefoonmogelijkheden staat het apparaat toe om te e- mailen, notities te maken, agenda's bij te houden, te synchroniseren met laptops en computers of andere online web services. Daarnaast biedt het besturingssysteem de mogelijkheid om applicaties van derden te installeren. Tabel 2Kenmerken van een smartphone Mobiele apparaten in zakelijke omgevingen 8

14 2.1.2 Tablets Een tablet vertoont meerdere overeenkomsten met computers en smartphones. Hij kan worden gezien als een grote, krachtigere PDA, of als een kleine laptop. De tablet is een evolutie van de PDA die al sinds de jaren 90 op de markt was. Deze PDA s werden voornamelijk bediend door het gebruik van een zogenaamde stylus. De huidige tablets worden echter voornamelijk met de vinger bediend. Sinds 2010 is de evolutie van PDA naar tablet in een stroomversnelling gegaan door de introductie van de ipad door Apple. Doorgaans werken tablets op hun eigen besturingssysteem. Bij de ontwikkeling van deze besturingssystemen werd echter duidelijk dat het besturingssysteem dat reeds was ontwikkeld voor de smartphone met enkele aanpassingen ook toegepast kon worden op een tablet. Leveranciers hebben hier veelvuldig gebruik van gemaakt, waardoor de meest populaire tablets dan ook als besturingssysteem ios of Android hebben. Door deze ontwikkeling kunnen we tegenwoordig stellen dat een tablet niets anders is dan een grotere smartphone en beschikt over dezelfde kenmerken die in voorgaand hoofdstuk zijn benoemd, met als grootste verschil dat het scherm over het algemeen van een groter formaat is en het wel of niet hebben van telefoonfaciliteiten. Hoewel de onderliggende techniek veelal hetzelfde is, is de gebruikerservaring anders (Smeets & Ceelen, 2011). 2.2 Ontwikkelingen Het gebruik van het mobiele apparaat Tegenwoordig is het meer regel dan uitzondering dat een persoon beschikt over meerdere mobiele apparaten, dit varieert van laptop tot smartphone. Deze mobiele apparaten komen voor in ons privéleven, maar verschijnen ook steeds meer op de werkvloer; dan wel als privé eigendom van de werknemer, dan wel beschikbaar gesteld door de werkgever. De opmars van de mobiele apparaten is niet meer te stoppen. Deze mobiele apparaten met een hoog gadget gehalte profileren zich in de huidige bedrijfsomgevingen als handige apparaten die het werken efficiënter moeten maken. Diverse fabrikanten spelen in op deze ontwikkelingen Apple heeft zich op de markt gevestigd met de iphone en ipad, Samsung biedt de Galaxy smartphones en tablets aan, Blackberry beschikt over een eigen smartphone en Playbook en zo zijn er nog diverse andere (opkomende) fabrikanten. Op basis van statistieken stelt het IDC (2013) dat de verkoop en daarmee de ingebruikname van de tablet op de consumentenmarkt in 2013 de laptop nog zal overstijgen en in 2015 de volledige computer. Ook verwacht het IDC (2013) dat de inzet van de tablet op de zakelijke markt zal toenemen in de periode : Mobiele apparaten in zakelijke omgevingen 9

15 Figuur 2 Voorspelling van tablet verkoop aan de consumentenmarkt en zakelijke markt (IDC, 2013) Garnter (2013) erkent een groei van mobiele apparaten, waarbij de verdeling een verschuiving meemaakt van de traditionele computer naar de tablet. De tabel hieronder geeft de voorspelling van Garnter weer van het aantal mobiele apparaten geleverd voor de consumentenmarkt voor de komende jaren: Leveringen van mobiele apparaten per segment (wereldwijd in duizenden) Type apparaat PC (Desktop en Notebook) 341, , , ,612 Ultramobile (Ultrabook) 9,822 23,592 38,687 96,350 Tablet 116, , , ,951 Mobiele telefoon 1,746,176 1,875,774 1,949,722 2,128,871 Totaal 2,213,373 2,411,796 2,556,455 2,964,783 Tabel 3 Voorspelling van verkoop van mobiele apparaten wereldwijd (Gartner, 2013) Onderzoeksbureau Dimensional Research heeft in 2012 onderzoek gedaan naar het aantal mobiele apparaten, zoals een smartphone of een tablet, dat verbonden is met het bedrijfsnetwerk. Het onderzoek werd uitgevoerd onder 768 IT professionals uit de landen Verenigde Staten, Canada, Verenigd Koninkrijk, Duitsland en Japan. 89% van de ondervraagden had de beschikking over een apparaat dat verbonden is met het bedrijfsnetwerk, waarvan 65% naast het zakelijke mobiele apparaat tevens de beschikking had over een persoonlijk mobiel apparaat dat toegang had tot het bedrijfsnetwerk (Dimensional Research, 2012). Mobiele apparaten in zakelijke omgevingen 10

16 Figuur 3 Mobiele apparaten verbonden met het bedrijfsnetwerk (Dimensional Research, 2012) De deelnemers van het onderzoek merken een aanzienlijke toename op van het gebruik van persoonlijke mobiele apparaten in de bedrijfsomgeving in de periode 2010 tot en met Daarnaast wijst het onderzoek uit dat 47% van de deelnemers klantdata opslaat op de mobiele apparaten. Op basis van bovenstaande ontwikkelingen en gedane analyses verwachten wij dat de trend van de mobiele apparaten zich voort zal zetten in de zakelijke omgeving. Het gemak dat deze mobiele apparaten biedt aan de gebruikers in hun privéomgeving zullen zij immers meenemen naar de zakelijke omgeving Het besturingssysteem van het mobiele apparaat Op het vlak van besturingssystemen van de mobiele apparaten zijn er een viertal grote spelers: Android wordt geleverd door Google en is een opensource platform voor mobiele telefoons en tablets gebaseerd op het Linux kernel en het java-programmeerplatform. Met name het succes van Samsung met de smartphone en de tablet heeft bijgedragen aan het gebruik van het Android besturingssysteem. ios is het mobiele besturingssysteem van Apple voor de iphone, ipad, ipod touch en Apple TV. Windows Phone wordt geleverd door Microsoft als besturingssysteem voor smartphones en tablets. Mobiele apparaten in zakelijke omgevingen 11

17 BlackBerry OS is het besturingssysteem van RIM voor de BlackBerry toestellen. Het besturingssysteem voorziet in multitasking en in specifieke ondersteuning voor de gebruikte invoerapparatuur op de BlackBerry. IDC (2013) heeft wereldwijd het marktaandeel per besturingssysteem geanalyseerd. In Q maakte 75% van de smartphones gebruik van het Android besturingssysteem. Apple ios is de tweede grootste speler met een aandeel van 17,3%, wat meer is dan het totale aantal smartphones dat opereert op de resterende besturingssystemen. Tabel 1 toont een nadere verdeling van het marktaandeel in het eerste kwartaal van Besturingssysteem 1Q 2013 leveringen 1Q 2013 marktaandeel 1Q 2012 leveringen 1Q2012 marktaandeel Groei in % Android % % 79.5% ios % % 6.6% Windows Phone % % 133.3% BlackBerry OS % % -35.1% Linux % % -41.7% Symbian % % -88.5% Overige % % -83.3% Totaal % % 41.6% Tabel 4 Smartphone besturingssysteem, levering (in miljoenen), marktaandeel en groei (IDC, 2013) Ten opzichte van 2012 is wereldwijd het gebruik van Android toegenomen, mede door de Samsung toestellen die zijn voorzien van dit besturingssysteem. Ook Apple's ios kent een groei van leveringen in Q We zien echter vanwege de beperkte innovaties het marktaandeel van ios langzamerhand dalen. Voor de Windows toestellen is een groei geconstateerd door de lancering van enkele belangrijke smartphones van onder andere Nokia in Blackberry, welk behoort tot een van de eerste smartphones voor zakelijke doeleinden, ziet haar aandeel dalen mede door het toetreden van Android en ios tot de zakelijke omgeving. Hoe dan ook is Windows haar marktaandeel nog te beperkt om te kunnen concurreren met de grootste spelers Android en ios. IDC heeft voor de periode Q tot en met Q per kwartaal inzichtelijk gemaakt wat het marktaandeel wereldwijd per besturingssysteem is, zie figuur 4. Mobiele apparaten in zakelijke omgevingen 12

18 Figuur 4 Marktaandeel mobiele besturingssystemen (IDC, 2013) In de zakelijke omgeving domineerde BlackBerry voor lange tijd. Echter zijn ook hier de invloeden van de consumentenmarkt in terug te vinden. Aan de hand van het onderzoek van Dimensional Research, dat eerder is aangehaald in paragraaf 2.1.1, is af te leiden dat het meest gangbare platform dat gebruikt wordt om verbinding te maken met het bedrijfsnetwerk, Apple ios is. Kort daarop volgt BlackBerry OS. Mobiele apparaten in zakelijke omgevingen 13

19 Figuur 5 Verbinding met het bedrijfsnetwerk (Dimensional Research, 2012) 2.3 Informatie als een asset Doordat mobiele apparaten steeds vaker in zakelijke omgevingen worden ingezet is er ook in grote mate bedrijfsgevoelige informatie te vinden op deze apparaten. Een goed beheer van de mobiele apparaten is in dergelijke gevallen vereist om de veiligheid van de bedrijfsgevoelige data te kunnen waarborgen. Of dit apparaten betreffen die door de organisatie worden gefaciliteerd of zelf door de medewerkers worden aangeschaft (BYOD) maakt hierbij niets uit. Binnen het zakelijk gebruik van mobiele apparaten is het lezen van zakelijk vaak de eerste toepassing die wordt gebruikt. Op basis van de literatuur (Smeets & Ceelen, 2011) hebben we gezien dat smartphones vaak als eerste aan het hogere management worden uitgereikt. De mailboxen van medewerkers op dit niveau bevatten over het algemeen de meest gevoelige gegevens. Het lekken van s van de smartphone met gevoelige informatie, zoals een concept versie van het jaarverslag of andere vertrouwelijke data kan een directe invloed hebben op het bedrijf. Als we hierbij optellen dat de datacapaciteit van smartphones ook steeds groter wordt en bestanden niet meer zo snel worden verwijderd, kunnen we stellen dat, gegeven de informatiestroom die langs mobiele apparaten loopt, er belang is bij een degelijke beveiliging van de mobiele apparaten. Organisaties moeten hierbij echter het belang inzien van hun informatie. Dimensional Research (2012) heeft onderzoek gedaan naar de data die op mobiele apparaten wordt opgeslagen. Hieruit bleek dat 79% van de deelnemers aangaf mobiele apparaten te gebruiken voor en 65% voor zakelijke contacten. De deelnemers gaven echter ook aan dat er in grote mate bedrijfsgevoelige data te vinden was op hun mobiele apparaten. In 47% van de gevallen ging het om klantengegevens, 38% had gebruikersnamen en wachtwoorden van de computer op hun mobiele Mobiele apparaten in zakelijke omgevingen 14

20 apparaat staan en 32% had applicaties geïnstalleerd van waaruit bedrijfsinformatie benaderd kan worden. Figuur 6 Zakelijke informatie opgeslagen op het mobiele apparaat(dimensional Research, 2012) Het gebruik van mobiele apparaten binnen organisaties wordt door de vele toepassingen een zeer waardevolle aangelegenheid. Doordat bedrijfsdata via deze apparaten kan worden geraadpleegd wordt de waarde hiervan verder verhoogd. Hierdoor kunnen mobiele apparaten binnen organisaties gezien worden als een zeer waardevol bezit (asset). In onderzoeken verricht door Jeon, Kim, Lee, & Won (2011) en Theoharidou, Mylonas, & Gritzalis (2012) worden mobiele apparaten getypeerd als assets van een bedrijf. Ten aanzien van mobiele apparaten kan er een onderscheid worden gemaakt in 3 soorten assets: 1. Informatie: Hieronder valt alle data die is opgeslagen en verzonden wordt naar en vanaf het mobiele apparaat. Dit omvat onder andere het adresboek, belhistorie, locatie informatie, notitieblok, kalender, , opgeslagen wachtwoorden binnen de webbrowser en alle overige informatie. 2. Apparaat: Hierbij gaat het specifiek om het fysieke apparaat (hardware). Omdat het bijvoorbeeld bij een smartphone mogelijk is te bellen of te verbinden naar een draadloos netwerk is het mogelijk om hier misbruik van te maken. Bovendien kunnen de resources van het apparaat zelf zoals de CPU, de RAM en de batterij, gezien worden als een asset omdat deze noodzakelijk zijn voor de beschikbaarheid van het mobiele apparaat. Ook hier kan misbruik van worden gemaakt, doordat bijvoorbeeld malware misbruik kan maken van de rekencapaciteit van het mobiele apparaat. Mobiele apparaten in zakelijke omgevingen 15

21 3. Applicaties: Ook applicaties kunnen volgens Rhee, Jeon, & Won (2012) gedefinieerd worden als een asset. Hierbij wordt er onderscheid gemaakt tussen twee typen applicaties. Het ene wordt gratis gedistribueerd door de gebruiker of de online applicatie winkel en de andere wordt commercieel gebruikt middels digitale rechten. De gebruiker dient hierbij te betalen en dus kan dit gezien worden als een asset. Uit het onderzoek gedaan door Rhee, Jeon, & Won (2012) is daarnaast gebleken dat het aantal situaties waarbij vertrouwelijke informatie is uitgelekt middels mobiele apparaten nog steeds stijgende is. Als een gevolg hiervan starten steeds meer organisaties met de implementatie van zogenaamde Mobile Device Management (MDM) systemen. Deze systemen stellen de organisatie in de gelegenheid om de apparaten (zowel business mobiele apparaten als eigen mobiele apparaat/byod) die in bezit zijn van de medewerkers (zo nodig op afstand) te beheren. Dit betreft niet alleen het beheer van de data die reeds aanwezig is op het apparaat, maar MDM systemen beschikken doorgaans ook over de functionaliteit om applicaties, data en configuratie-instellingen over-the-air te kunnen distribueren. Hierbij is het bijvoorbeeld ook mogelijk om de camera op afstand te beheren en (USB) aansluitingen in of uit te schakelen. Randvoorwaarde in een BYOD situatie is echter wel dat de eigenaar toestemming heeft verleend om het apparaat op de MDM infrastructuur aan te sluiten en te laten beheren door de organisatie. De mobiliteit van de werknemers van vandaag blijft groeien, wat zorgt voor een minder strikte scheiding tussen werktijd en privétijd. Als gevolg hiervan neemt de informatiestroom binnen en buiten de organisatie significant toe en wordt het lastiger om deze stroom te beheren. De groei van de mobiliteit en de combinatie met het nieuwe werken vraagt om innovaties van de organisatie ten aanzien van de ondersteuning van haar personeel. De NOREA (2012) merkt op dat externe en interne klanten vragen om een raamwerk voor governance van mobiele apparaten (smartphones en tablets). Met de opkomst van Bring-Your-Own-Device zal het aantal mobiele apparaten op de werkvloer enkel toenemen. Het gebruik van deze apparaten met corporate data is vrijwel niet meer te voorkomen. "Een (MDM) goveranance en control framework staat nog in kinderschoenen", aldus de NOREA (2012). Door de mogelijkheden van mobiele apparaten en het gebruik hiervan in de bedrijfsomgeving ontstaan er diverse risico s (zie hiervoor hoofdstuk 3). Deze risico s kunnen we groeperen in een viertal domeinen (governance, gebruikers, apparaten en applicaties & data), maar hebben allen gemeen dat mogelijk de veiligheid van de data die op het apparaat staat in het geding komt. In het Mobiele apparaten in zakelijke omgevingen 16

22 volgend hoofdstuk zullen we de mogelijke risico s in kaart brengen en maatregelen benoemen om deze risico s te beheersen. 2.4 De omgeving van de mobiele apparaten Smartphones en tablets kunnen op meerdere manieren in contact komen met diverse netwerken. Zij kunnen middels een draadloos netwerk verbonden worden met andere computers en het internet en daarmee toegang verkrijgen tot het bedrijfsnetwerk, sociale media en andere websites. Maar ook een bedrade verbinding behoort tot de mo gelijkheden. Figuur 7 Omgeving van smartphones en tablets (Smeets & Ceelen, 2011) De gebruiker van het mobiele apparaat kan een gesprek beginnen of ontvangen, zijn/haar agenda beheren, een spel spelen of andere functies van het apparaat gebruiken. Bepaalde applicaties dienen hiervoor contact te maken met het internet of andere apparaten. Indien mogelijk kan middels GPS Mobiele apparaten in zakelijke omgevingen 17

23 bepaald worden waar de gebruiker zich bevindt. Deze informatie kan op zijn beurt verder worden gebruikt door de applicaties. Mobiele apparaten in zakelijke omgevingen 18

24 3 Risico s en bedreigingen Hoewel mobiele apparaten legio aan nieuwe mogelijkheden bieden om de efficiëntie van werknemers te verhogen, leiden zij ook tot een aantal nieuwe beveiligingsrisico's. Zoals vanuit de informatiebeveiliging gebruikelijk is kunnen deze risico s geclassificeerd worden op basis van de CIA driehoek. Dit houdt het volgende in: Confidentiality (vertrouwelijkheid): is het kwaliteitsbegrip waaronder privacybescherming maar ook de exclusiviteit van informatie gevangen kan worden. Het waarborgt dat alleen geautoriseerde personen toegang krijgen en dat informatie niet kan uitlekken. Integrity (integriteit): geeft de mate aan waarin de informatie actueel en correct is. Kenmerken zijn juistheid, volledigheid en het wijzigen van data door enkel geautoriseerde personen. Availability (beschikbaarheid): bevat de garanties voor het afgesproken niveau van dienstverlening gericht op de beschikbaarheid van de dienst op de afgesproken momenten (bedrijfsduur, waarbij rekening wordt gehouden met uitval tijden, storingen en incidenten). Kenmerken van beschikbaarheid zijn tijdigheid, continuïteit en robuustheid. De Parkerian hexad is een andere variant op de CIA classificatie. Deze is verder uitgebreid met Authenticity, Possession en Utility. We hebben er echter bewust voor gekozen niet gebruik te maken van de Parkerian hexad, omdat binnen de toepassing hiervan op mobiele apparaten de factoren authenticiteit, eigenaarschap en toepasbaarheid beter geclassificeerd kunnen worden als bedreigingen die kunnen leiden tot het risico van het schenden van de vertrouwelijkheid, integriteit of beschikbaarheid. Wanneer we de CIA classificatie specifiek gaan toespitsen op mobiele apparaten geeft ons dit een drietal risico s die zich voor kunnen doen binnen de mobiele omgeving: Vertrouwelijkheid: hierbij bestaat het risico dat data in handen komt van ongeautoriseerde gebruikers en er sprake kan zijn van het uitlekken van data; Integriteit: hierbij bestaat het risico dat data op het apparaat aangepast wordt waardoor de integriteit van de data niet meer gewaarborgd kan worden; Beschikbaarheid: hierbij bestaat het risico dat kwaadwillende personen ervoor zorgen dat het apparaat en de data hierop niet beschikbaar is. Risico s en bedreigingen 19

25 Een mogelijk discussiepunt hierbij is of de risico s afwijken binnen een organisatie die BYOD faciliteert of een organisatie die mobiele apparaten uitgeeft die eigendom zijn van de organisatie. Randvoorwaarde in het scenario van BYOD is dat de eigenaar hierbij toestemming dient te verlenen om het beheer van het mobiele apparaat over te dragen aan de organisatie. De risico s op zich verschillen in deze scenario s niet van elkaar. Het maakt niet uit of er sprake is van BYOD of apparaten die eigendom zijn van de organisatie. Het feit blijft dat er sprake is van zakelijk gebruik van een mobiel apparaat waarbij mogelijk de vertrouwelijkheid, integriteit of beschikbaarheid van het mobiele apparaat en de aanwezige data hierop geschonden kan worden. De risico s op basis van CIA die hierboven zijn gepresenteerd worden ondersteund door een aantal bedreigingen. Wanneer organisaties het beheer en de volwassenheid van mobiele apparaten tot een hoger niveau willen brengen is het noodzakelijk om maatregelen te treffen zodat de impact van deze bedreigingen beperkt wordt of volledig gemitigeerd wordt. Het Information security forum (2011) heeft 4 domeinen geïdentificeerd met betrekking tot de bedreigingen van mobiele omgevingen. Governance Het gebruik van mobiele apparaten voor bedrijfsdoeleinden brengt diverse uitdagingen op het gebied van governance met zich mee. Huidige processen en procedures zijn mogelijk niet meer toereikend. Zo zijn er bedreigingen op het gebied van support en training, maar ook contractuele afspraken dienen mogelijk herzien te worden. Wanneer er onvoldoende richtlijnen zijn opgesteld is het mogelijk dat er potentieel inbreuk plaats kan vinden op de vertrouwelijkheid, integriteit en beschikbaarheid van de (data op) mobiele apparaten. Gebruikers Op het moment kunnen niet alle mobiele apparaten beveiligd worden zoals dat bijvoorbeeld bij een laptop mogelijk is, waardoor er bedreigingen ontstaan die betrekking hebben op het gebruik van het apparaat door medewerkers. Door onder andere bepaalde websites te bezoeken kan mogelijk de vertrouwelijkheid of integriteit van de data niet meer gegarandeerd worden. Apparaten De mobiele apparaten die binnen onze scope vallen hebben enkele eigenschappen die een bedreiging vormen voor de toepassing van deze apparaten in de bedrijfsomgeving. Dit komt met name vanwege het feit dat de meeste mobiele apparaten die worden gebruikt in de bedrijfsomgeving zijn ontwikkeld voor de consumentenmarkt. Consumenten hechten in mindere mate waarde aan beveiliging, maar hebben een grotere voorkeur aan gebruiksvriendelijkheid en gemak. Bovendien wil de consument alles met elkaar verbonden hebben waardoor zaken als een GPS en camera doorgaans in de apparaten Risico s en bedreigingen 20

26 aanwezig zijn. Deze eigenschappen kunnen een impact hebben op de vertrouwelijkheid, integriteit en beschikbaarheid van de (data op) mobiele apparaten. Applicaties en data De mobiele apparaten die wij in scope hebben voor het onderzoek, maken het mogelijk om applicaties te installeren op het apparaat. Ook is er een verregaande data-uitwisseling mogelijk tussen het apparaat en andere apparaten. Dit kan zowel door middel van een kabel, maar kan ook automatisch plaatsvinden doordat de apparaten doorgaans verbonden staan met het internet. Dit brengt bedreigingen met zich mee ten aanzien van de plaats waar de data wordt opgeslagen, waardoor er een risico bestaat dat de data in handen komt van kwaadwillende personen en de vertrouwelijkheid niet kan worden gegarandeerd. Gebruikers Apparaten Applicaties & data Governance Figuur 8 Bedreigingen bij het gebruik van mobiele apparaten 3.1 Governance Eigenaarschap van het mobiele apparaat en de applicaties Met de opkomst van het BYOD principe hoeft de eigenaar van een mobiel apparaat en/of applicaties niet langer de organisatie te zijn. Een werknemer kan de voorkeur geven aan zijn privé smartphone of tablet, welke wordt ingezet in de zakelijke omgeving. Voordat een mobiel apparaat of applicatie in gebruik wordt genomen, dient overeen te worden gekomen wie de eigenaar is en hoe het beheer zal Risico s en bedreigingen 21

27 worden uitgevoerd. De eigenaar zal gebonden zijn aan de verantwoordelijkheden ten aanzien van het mobiele apparaat of de applicatie. In een situatie waarbij er zowel sprake is van BYOD als mobiele apparaten die eigendom zijn van de organisatie, moet de verantwoordelijkheid en aansprakelijkheid van het beheer van het mobiele apparaat duidelijk gedefinieerd zijn Gestelde beveiligingsdoelstellingen Om het beheer van de mobiele omgeving in de juiste richting te leiden dient een adequaat beleid te worden geformuleerd. Met dit beleid wordt beoogd de beveiligingsdoelstellingen te realiseren. In het beleid wordt uiteengezet aan welke eisen de mobiele omgeving dient te voldoen om een veilige omgeving te kunnen waarborgen. Aspecten die onderdeel zouden kunnen uitmaken van dit beleid omvatten: de wijze waarop data wordt opgeslagen, de wijze waarop mobiele apparaten verbinding maken met het netwerk van de organisatie, een overzicht van de toegestane en ondersteunde applicaties, verantwoordelijkheden met betrekking tot het monitoren en op afstand wissen van het apparaat en de stappen ten aanzien van uitdiensttreding van werknemers. Naast deze aspecten dient tevens rekening te moeten worden gehouden met afhankelijkheden van andere beleidstukken zoals het HR beleid en de continuïteit van de omgeving zoals het gebruik van een gedegen testprocedure bij de implementatie Naleving van wet- en regelgeving Het gebruik van mobiele apparaten binnen de zakelijke omgeving raakt diverse wet- en regelgeving, zoals de wet op bescherming persoonsgegevens en regelgeving ten aanzien van belastingen. Wanneer de data op het toestel wordt opgeslagen op een buitenlandse locatie, geldt er bovendien andere weten regelgeving. Doordat de wet en regelgeving bovendien constant aan verandering onderhevig is, maakt dit een essentieel onderdeel uit om de vertrouwelijkheid, beschikbaarheid en integriteit van een mobiele omgeving te kunnen waarborgen Onderhoud en ondersteuning Inzet van mobiele apparaten in de zakelijke omgeving vraagt om specifieke kennis rondom het onderhoud en de ondersteuning van de apparaten. Het IT personeel moet hierbij in voldoende mate ondersteuning kunnen bieden aan de gebruikers om de beschikbaarheid van de mobiele apparaten te kunnen waarborgen. Bij BYOD zal de organisatie tevens moeten overwegen hoe zij de ondersteuning biedt, omdat hierbij mogelijk een grote verscheidenheid aan apparaten bestaat. Risico s en bedreigingen 22

28 3.1.5 Overeenkomsten met leveranciers Afhankelijk van de keuzes van de organisatie ten aanzien van de inzet van mobiele apparaten, moeten afspraken gemaakt worden met leveranciers van onder andere de mobiele apparaten en applicaties. Afspraken kunnen betrekking hebben op de beschikbaarheid van het netwerk, toelevering van het mobiele apparaat (inclusief prijzen), reparatie van het mobiele apparaat (inclusief vervangend apparaat), ontwikkeling van applicaties, enzovoort. 3.2 Gebruikers Verlies of diefstal van het mobiele apparaat Mobiele apparaten worden over het algemeen gebruikt op diverse locaties buiten het kantoor zoals bij medewerkers thuis, in restaurants, hotels en bij conferenties. Op deze locaties zijn doorgaans minimale eisen getroffen ten aanzien van fysieke beveiliging, omdat ze openbaar toegankelijk zijn (Enck, 2011). Doordat een mobiel apparaat op een gemakkelijke manier getransporteerd kan worden naar deze plekken maakt dit het apparaat kwetsbaar voor verlies of diefstal. Zelfs wanneer een mobiel apparaat in het bezit is van de eigenaar zijn er andere fysieke beveiligingsrisico s, zoals bijvoorbeeld een kwaadwillende die meekijkt over de schouder van de eigenaar wanneer deze gevoelige data op het scherm van het mobiele apparaat bekijkt. Door een gebrek aan fysieke beveiligingsmaatregelen bestaat er een verhoogd risico op het verlies of uitlekken van data. Om de impact hiervan te beperken is het van belang dat er een adequate procedure aanwezig is die uiteenzet hoe er gehandeld moet worden bij verlies of diefstal van het mobiele apparaat Medewerkersbewustzijn Het besef en de erkenning van de risico s die gepaard gaan met het gebruik van mobiele apparaten door medewerkers is cruciaal voor de vertrouwelijkheid, integriteit en beschikbaarheid van de gegevens op het apparaat (Dimensional Research, 2012). Zonder dit besef en deze erkenning van een eventueel beleid zal dit onvoldoende worden nageleefd en kunnen medewerkers mogelijk onzorgvuldig omgaan met de mobiele apparaten die ze tot hun beschikking hebben. Gepaste maatregelen om dit bewustzijn te verhogen kunnen het aanbieden van awareness trainingen of het voeren van interne campagnes zijn. Risico s en bedreigingen 23

29 3.2.3 Onveilige webpagina s en webcontent De gebruiker kan mogelijk zijn informatie blootstellen door het bezoeken van onveilige websites (bijvoorbeeld phising) of het gebruikmaken van messenger services (Jeon, Kim, & Won, 2011). Wanneer onveilige pagina s worden bezocht, is het mogelijk dat er een opening wordt gecreëerd voor kwaadwillende personen. Een mobiel apparaat is extra gevoelig voor deze kwetsbaarheden doordat er doorgaans geen of minimale beveiligingsmaatregelen zijn getroffen (Dimensional Research, 2012). Ook kan er malware op het mobiele apparaat terechtkomen door het downloaden van geïnfecteerde bestanden van het internet (NIST, 2008). De bestanden kunnen daarbij gepresenteerd worden als bijvoorbeeld spellen, security patches of bruikbare applicaties. Ook het downloaden van legitieme applicaties kan leiden tot malware wanneer deze applicaties beschikken over zwakheden die geëxploiteerd kunnen worden door malware. De organisatie kan inspelen op deze bedreiging door de webpagina s (al dan niet geautomatiseerd) te filteren. 3.3 Mobiele apparaten Kwaliteit van het mobiele apparaat Een groot aantal apparaten, met name apparaten die door de medewerker zelf zijn aangeschaft (BYOD principe) kunnen onbetrouwbaar zijn (NIST, 2012). Het is namelijk mogelijk dat deze apparaten over onvoldoende certificaten beschikken waardoor de veiligheid niet kan worden gegarandeerd en impact kan hebben op de vertrouwelijkheid en integriteit van de data op het mobiele apparaat. Ook kan het mobiele apparaat onbetrouwbaar zijn doordat er materialen van onvoldoende kwaliteit zijn gebruikt wat een impact kan hebben op de beschikbaarheid van de data en het mobiele apparaat Verwijderen van data bij vervanging De gemiddelde levensduur van mobiele apparaten is 2 á 3 jaar. Aangezien de mobiele technologie zich in een rap tempo ontwikkelt brengen leveranciers doorgaans elk half jaar, of minstens eenmaal per jaar een nieuw mobiel apparaat uit. De huidige trend is bovendien om de nieuwste apparaten te bezitten, waardoor de vervangingscyclus van mobiele apparaten gemiddeld 1 á 2 jaar betreft. Na deze periode worden de apparaten vervangen door nieuwe. Bij dit vervangingsproces moet de data op het mobiele apparaat op adequate wijze worden verwijderd (Dimensional Research, 2012). Risico s en bedreigingen 24

30 3.3.3 Gebruik van locatie services De huidige mobiele apparaten beschikken over het algemeen over een GPS zender. Hierdoor is het mogelijk om de locatie van het apparaat op de wereld te bepalen. Een groot aantal applicaties maakt echter ook gebruik van de GPS zender om informatie mee te sturen. Voorbeelden hiervan zijn social media, navigatiesystemen, maar ook webbrowsers. Vanuit een organisatorisch perspectief gezien hebben mobiele apparaten waarbij locatie services zijn geactiveerd een verhoogd risico op gerichte aanvallen omdat het makkelijker is voor de potentiële aanvaller om te bepalen waar de gebruiker en het mobiele apparaat zijn. Wanneer bovendien deze informatie wordt gecombineerd met andere informatie zoals vrienden en andere activiteiten die de persoon in kwestie zou kunnen doen op de locatie kan dit een potentieel gevaar opleveren voor de medewerker en de organisatie (NIST, 2012). De locatie is informatie voor een kwaadwillend persoon Onveilige transmissietechnieken Onderzoek heeft aangetoond dat het GSM netwerk kwetsbaar is doordat de encryptie die gebruikt wordt gekraakt kan worden. De sleutel die hierbij wordt gegenereerd kan ook worden gebruikt om berichten en gesprekken af te luisteren kan ook worden gebruikt om iemands identiteit op het GSMnetwerk tijdelijk over te nemen. Deze kwetsbaarheid kan ernstige consequenties hebben, omdat er op het tegoed of abonnement van een ander gebeld kan worden. Ook kan iemands identiteit overgenomen worden voor zowel het voeren als beantwoorden van gesprekken, als het ontvangen en versturen van sms-berichten (Enck, 2011). Aan deze aanval zijn echter een tweetal beperkingen. Ten eerste dient de telefoon van de aanvaller in hetzelfde gebied (location area) te zijn als het slachtoffer om de opgevangen gegevens te misbruiken. Als een aanvaller het gesprek van een slachtoffer wil beantwoorden of een sms-bericht wil ontvangen, moet de mobiele telefoon van het slachtoffer uit staan (GOVCERT, 2011). Naast het gebruik van GSM is het mogelijk dat er verschillende andere onveilige transmissietechnieken gebruikt worden Manipulatie of blootstelling van data Malware is in staat data op het mobiele apparaat te manipuleren of bloot te stellen. Tevens kan malware invloed hebben op de beschikbaarheid van het toestel door bijvoorbeeld het uitvoeren van operaties (uitvoer van willekeurige opdrachten). Malware kan misbruik maken van services en functies waaraan kosten zijn verbonden, bijvoorbeeld het versturen van SMS/MMS, verbinding maken met draadloze netwerken (Jeon, Kim, Lee, & Won, 2011). Risico s en bedreigingen 25

31 3.3.6 Security zwakheden Het besturingssysteem wordt uitgegeven door de leverancier. In het verleden is gebleken dat hier doorgaans nog zwakheden in zitten, waarvan de gebruiker of een kwaadwillende persoon misbruik van kan maken en daarmee ongeautoriseerd toegang kan krijgen tot het mobiele apparaat. De gebruiker kan het besturingssysteem van het mobiele apparaat aanpassen door bijvoorbeeld het jailbreaken van een Apple toestel of rooten van een Android toestel (Jeon, Kim, Lee, & Won, 2011). Door het jailbreaken of rooten van het mobiele apparaat beschikt de gebruiker over extra functionaliteiten. Hiermee worden echter ook beveiligingsmaatregelen, zoals bedoeld door de leverancier van het apparaat of de organisatie die het apparaat ter beschikking heeft gesteld, verwijderd (Theoharidou, Mylonas, & Gritzalis, 2012) Performance zwakheden Wanneer er bugs in het besturingssysteem zijn ontdekt, brengt de leverancier doorgaans patches uit om de betreffende bugs op te lossen. Wanneer deze patches niet worden geïnstalleerd, is het mogelijk dat het mobiele apparaat slecht presteert en als gevolg heeft dat het apparaat niet beschikbaar is (Theoharidou, Mylonas, & Gritzalis, 2012). 3.4 Applicaties en data Installatie van onbetrouwbare applicaties Een eigenschap van mobiele apparaten is dat het relatief eenvoudig is om applicaties te vinden, te bemachtigen en de installeren (NIST, 2012). Deze eigenschap levert diverse veiligheidsrisico s op. Dit is met name het geval bij platformen waarbij er geen beveiligingsrestricties of andere eisen worden gesteld aan de applicaties van derden en zodoende direct in de applicatie market (zoals bijvoorbeeld de Android Market) beschikbaar zijn. Deze onbetrouwbare applicaties kunnen namelijk toegang hebben tot het bestandssysteem en op die manier (ongemerkt) data naar een server versturen (Smeets & Ceelen, 2011) Interactie met externe systemen Mobiele apparaten kunnen met andere systemen interactie uitoefenen onder andere op het gebied van datasynchronisatie en opslag (NIST, 2012). Dit gaat over het algemeen om mobiele apparaten die verbonden worden met een desktop of een laptop aan de hand van een kabel om deze te synchroniseren of het mobiele apparaat op te laden. Draadloze interactie is in enkele gevallen ook mogelijk met een desktop of laptop, maar draadloze synchronisatie kan ook plaatsvinden in geval van opslag in de cloud. Risico s en bedreigingen 26

32 3.4.3 Datacorruptie Wanneer data lokaal wordt opgeslagen op het mobiele apparaat, is het mogelijk dat deze data corrupt raakt door toedoen van de gebruiker, kwaadwillende personen, onbetrouwbare applicaties, enzovoorts. Als gevolg is deze data niet meer beschikbaar. Dit brengt uitdagingen met zich mee met betrekking tot het back-uppen van de lokaal opgeslagen data Kopiëren van data naar verwijderbare media Mobiele apparaten kunnen de mogelijkheid bieden om verwijderbare media te gebruiken, zoals een externe geheugenkaart of usb-stick. Hierdoor kan een kwaadwillend persoon ongeautoriseerd data van het apparaat kopiëren naar een verwijderbaar medium. Risico s en bedreigingen 27

33 4 Volwassenheidsmodel voor het beheer van mobiele apparaten In het vorige hoofdstuk zijn de bedreigingen die ten grondslag liggen aan de CIA risico's benoemd. Om organisaties te helpen grip te krijgen op deze bedreigingen introduceren wij in dit hoofdstuk een volwassenheidsmodel voor het beheer van mobiele apparaten. Het doel van het model is het inzichtelijk en bespreekbaar maken van hoe organisaties ervoor staan met betrekking tot het beheer van mobiele apparaten. Met deze resultaten wordt het management in staat gesteld hun visie ten aanzien van het gebruik van mobiele apparaten te formuleren of te herzien en om verbeteringen in het proces door te voeren, op zodanige wijze dat het beheer naar een hoger niveau kan worden gebracht. Daarnaast biedt het model houvast voor het meten van de voortgang indien beheersmaatregelen worden geïmplementeerd of gewijzigd. Op langere termijn kunnen benchmarks met soortgelijke organisaties worden gerealiseerd. Het volwassenheidsmodel is gebaseerd op het Capability Maturity Model Integration (CMMI). Deze keuze is gebaseerd op de overweging dat het CMMI een wereldwijde best practice is voor het meten van volwassenheid. Binnen het vakgebied heeft het CMMI bovendien reeds zijn effectiviteit bewezen. De volwassenheidsniveaus van het CMMI hebben wij geprojecteerd op het beheer van de mobiele apparaten. Daarbij hebben wij de niveaus toegepast op de beheersmaatregelen. Per bedreiging, welke ten grondslag ligt aan één of meerdere risico's, kunnen beheersmaatregelen getroffen worden op een aantal volwassenheidsniveaus. Deze niveaus worden in de volgende paragraaf beschreven. 4.1 Definiëren van volwassenheidsniveaus Het CMMI onderkent 5 volwassenheidsniveaus (PMWiki, 2013): Level 1: Initieel (Initial) - In een organisatie worden processen niet of niet helemaal uitgevoerd conform de specifieke doelen van volwassenheidsniveau 2. Voor volwassenheidsniveau 1 gelden geen eisen. Level 2: Beheerst (Managed) - Een organisatie op het volwassenheidsniveau 'beheerst' voldoet aan de specifieke doelen van de bij volwassenheidsniveau 2 behorende procesgebieden. Volwassenheidsniveau 2 richt zich op het uitvoeren van projecten en het voldoen van individuele projecten aan de CMMI-eisen. Voorspelbaarheid en beheersbaarheid van projecten staan hierbij centraal. Volwassenheidsmodel voor het beheer van mobiele apparaten 28

34 Level 3: Gedefinieerd (Defined) - Een organisatie op het volwassenheidsniveau 'gedefinieerd' voldoet aan de specifieke doelen van de bij volwassenheidsniveau 2 en 3 behorende procesgebieden. Volwassenheidsniveau 3 richt zich op het standaardiseren van processen in een organisatie. Projecten worden daardoor uniformer uitgevoerd. Standaardisatie staat centraal. Aanpassingsrichtlijnen zijn beschikbaar om de standaardprocessen aan te passen aan de projecten. Level 4: Kwantitatief beheerst (Quantitatively managed) - Een organisatie op het volwassenheidsniveau 'kwantitatief beheerst' voldoet aan de specifieke doelen van de bij volwassenheidsniveau 2, 3 en 4 behorende procesgebieden. Volwassenheidsniveau 4 richt zich op het sturen op basis van meetgegevens en het stellen van meetbare kwantitatieve verbeterdoelen. Meten staat centraal. Level 5: Optimaliserend (Optimized) - Een organisatie op het volwassenheidsniveau 'optimaliserend' voldoet aan de specifieke doelen van de bij volwassenheidsniveau 2, 3, 4 en 5 behorende procesgebieden. Volwassenheidsniveau 5 richt zich op het continu verbeteren en optimaliseren van processen. Hierdoor worden processen zodanig uitgevoerd dat deze optimaal aansluiten bij het te ontwikkelen product. Dit alles op basis van expliciete meetgegevens. Optimaliseren staat centraal. Bovenstaande 5 niveaus hebben wij geïnterpreteerd met het oog op het beheer van de mobiele apparaten. Dit heeft geleid tot een projectie van de niveaus op de beheersmaatregelen. In ons model hanteren wij de volgende 5 volwassenheidsniveaus: Level 1: Initieel - De organisatie heeft geen effectieve beheersmaatregelen ten aanzien van de betreffende bedreiging. Level 2: Intuïtief - De organisatie heeft enige beheersmaatregelen ten aanzien van de betreffende bedreiging, echter zijn deze niet formeel ingeregeld. Er zijn significante gaps of problemen met de uitvoering van deze beheersmaatregelen. Level 3: Gedefinieerd - De organisatie heeft grotendeels adequate, effectieve en gedocumenteerde beheersmaatregelen ten aanzien van de betreffende bedreiging. Echter, er zijn nog enkele gaps en/of de beheersmaatregelen komen nog niet op niveau van good practices. Good practices blijven in ontwikkeling en zijn gebaseerd op industriestandaards. Volwassenheidsmodel voor het beheer van mobiele apparaten 29

35 Level 4: Beheerst - De organisatie heeft adequate, effectieve en gedocumenteerde beheersmaatregelen ten aanzien van de betreffende bedreiging. Tevens zijn deze op niveau van good practices, de organisatie heeft bijvoorbeeld (technische) beheersmaatregelen getroffen om actieve monitoring uit te kunnen voeren op de mobiele apparaten. Er is periodieke evaluatie en rapportage aan het management over de effectieve werking van de beheersmaatregelen. Daarnaast is er consistente follow-up om zwakke punten te controleren. Level 5: Geoptimaliseerd. De organisatie heeft beheersmaatregelen die de good practices voorbij gaan. Er is sprake van continu monitoring waaruit de organisatie lering trekt. Processen worden verbeterd en beheersmaatregelen worden aangescherpt. 4.2 Beheersdoelstellingen en beheersmaatregelen De bedreigingen die we in hoofdstuk 3 hebben gepresenteerd hebben we in een raamwerk opgenomen om de volwassenheid van het beheer van mobiele apparaten te bepalen. Op basis van de definitie van de verschillende volwassenheidsniveaus hebben we gezocht naar gepaste maatregelen die getroffen zouden moeten worden om te kunnen voldoen aan een bepaald niveau. Het resultaat hiervan was een raamwerk met alle bedreigingen en een beschrijving van de situatie waaraan voldaan moet worden om een bepaald volwassenheidsniveau te behalen. Om dit raamwerk te evalueren hebben we vervolgens een workshopsessie gehouden met enkele IT-audit vakgenoten. Het doel van deze sessie was om te evalueren of de bedreigingen die we in het raamwerk hebben opgenomen herkenbaar waren in de praktijk en of de volwassenheidsniveaus juist waren gedefinieerd. De personen waarmee we het raamwerk hebben geëvalueerd betroffen allen IT auditors, uiteenlopend met 3 tot 8 jaar werkervaring. De workshop heeft ons als resultaat diverse handvatten gegeven om het raamwerk verder uit te werken. De volwassenheidsniveaus en de formulering van de bedreigingen zijn als gevolg van de ontvangen feedback deels herschreven. De belangrijkste opmerking die uit de sessie kwam was echter het feit dat de bedreigingen wel werden beschreven, maar niet waren beschreven als beheersdoestelling, wat in het audit vakgebied wel gebruikelijk is. Om het raamwerk ook daadwerkelijk in de praktijk te kunnen gebruiken hebben we derhalve beheersdoelstellingen toegevoegd aan de bedreigingen. De beheersmaatregelen hebben we vervolgens gedefinieerd op een directieve wijze en beschreven vanaf een hoger niveau dan de bedreiging. Om een dergelijk raamwerk juist en volledig te kunnen opstellen hebben we het raamwerk ook geëvalueerd met een IT-Architect met de focus op Mobile Device Management platforms. De feedback die we hebben gekregen had met name betrekking op de manier van formulering van de Volwassenheidsmodel voor het beheer van mobiele apparaten 30

36 bedreigingen. In de conceptversie werden bedreigingen geformuleerd vanuit de techniek en minder vanuit de achterliggende bedreiging en het risico. Als gevolg hiervan hebben we de bedreigingen enigszins herschreven en hierbij geen afhankelijkheden gecreëerd van specifieke technieken. Het verwerken van de feedback van de IT auditors en de IT-architect heeft geresulteerd in onderstaand raamwerk. Volwassenheidsmodel voor het beheer van mobiele apparaten 31

37 Nr Bedreiging Beheersdoelstelling 3.1 Governance Eigenaarschap van het mobiele apparaat en de applicaties is onbekend Mobiele apparaten sluiten niet aan met de gestelde beveiligingsdoe lstellingen. Eigenaarschap van het mobiele apparaat en de applicaties is gedefinieerd. Er is een beleid dat een beheerste implementatie van mobiele apparaten ondersteunt. Level 1 Level 2 Level 3 Level 4 Level 5 Het is onduidelijk wie de eigenaar is van het apparaat en de mobiele applicaties. Er zijn geen afspraken gemaakt ten aanzien van verantwoordelijkheden met betrekking tot het mobiele apparaat en eigendom van applicaties. Er is geen beleid opgesteld ten aanzien van de implementatie van mobiele apparaten binnen de zakelijke omgeving. Er zijn richtlijnen met betrekking tot het eigenaarschap van het mobiele apparaat en applicaties. Deze richtlijnen zijn echter niet op papier geformaliseerd. Er is een informeel beleid ten aanzien van de implementatie van mobiele apparaten binnen de zakelijke omgeving. Dit beleid dient te worden gevolgd door de organisatie. Het beleid is echter niet formeel gedocumenteerd. Er zijn richtlijnen met betrekking tot het eigenaarschap van het mobiele apparaat. Deze richtlijnen zijn bovendien gedocumenteerd en het eigenaarschap van het mobiele apparaat en de applicaties is helder overeengekomen. Er is een formeel beleid ten aanzien van de implementatie van mobiele apparaten binnen de organisatie. Dit beleid beschrijft welke risico's er zijn bij implementatie en wat de richtlijnen zijn om de implementatie op een beheerste wijze uit te voeren. Door de afdeling die verantwoordelijk is voor de mobiele apparaten worden de apparaten en applicaties geregistreerd die eigendom zijn van de organisatie. Ook worden de apparaten die zakelijk gebruikt worden maar eigendom zijn van de medewerker en applicaties die eigendom zijn van de medewerker geregistreerd. Er zijn procedures gedefinieerd om de navolging van het beleid te monitoren. Medewerkers worden aangesproken wanneer zij het beleid niet volgen. Er zijn procedures ingericht die als doel hebben om de registratie van de mobiele apparaten en applicaties te optimaliseren. Er wordt bovendien lering getrokken uit problemen die in het verleden zijn voorgevallen ten aanzien van het eigenaarschap van het mobiele apparaat en de applicaties. De organisatie trekt lering uit schending van het beleid en treft adequate maatregelen. Periodiek wordt het beleid geëvalueerd en worden waar nodig technische hulpmiddelen ingezet om het beleid af te dwingen. Volwassenheidsmodel voor het beheer van mobiele apparaten 32

38 Nr Bedreiging Beheersdoelstelling Wet- en regelgeving wordt niet nageleefd Er is onvoldoende kennis beschikbaar binnen de organisatie om adequaat onderhoud en ondersteuning van de mobiele apparaten aan te bieden. Er is een adequaat proces aanwezig ten behoeve van het naleven van weten regelgeving met betrekking tot mobiele apparaten. Medewerkers die ondersteuning bieden zijn voldoende vakbekwaam om problemen juist, tijdig en volledig op te lossen. Level 1 Level 2 Level 3 Level 4 Level 5 Er wordt door de organisatie niet nagedacht over de naleving van wet- en regelgeving. Mobiele apparaten worden ingezet zonder enige ondersteuning. De medewerker is zelf verantwoordelijk voor onderhoud aan het toestel en applicaties. Er is nagedacht over wet- en regelgeving ten aanzien van de inzet van mobiele apparaten binnen de zakelijke omgeving. Dit is echter niet vertaald in een formele procedure om op voorhand kennis te kunnen nemen van nieuwe wet- en regelgeving. Er wordt op ad-hoc basis geacteerd op naleving van actuele wet- en regelgeving. Er is basiskennis ten aanzien van onderhoud en ondersteuning aanwezig binnen de organisatie. Wanneer nieuwe apparaten worden aangeschaft waar de kennis niet over aanwezig is dienen medewerkers de kennis te vergaren op basis van zelfstudie. Er is een formele risicoanalyse uitgevoerd met betrekking tot de naleving van wet- en regelgeving in het kader van mobiele apparaten. De resultaten hiervan zijn gedocumenteerd en er is een formeel proces ingericht om te voldoen aan de huidige en toekomstige wet- en regelgeving die van toepassing is. Er is geïnventariseerd welke kennis nodig is voor adequaat onderhoud en ondersteuning van de mobiele apparaten. Deze kennis is aanwezig bij de medewerkers die onderhoud en ondersteuning aanbieden. Er zijn procedures gedefinieerd om periodiek de naleving van wet- en regelgeving te controleren. Wanneer blijkt dat de organisatie niet voldoet aan bepaalde wet en regelgeving worden er adequate maatregelen getroffen. Kennis is aanwezig en wordt geborgd middels werkinstructies of overige interne documenten. Hierdoor is kennisoverdracht op een gemakkelijke manier mogelijk. Er wordt periodiek gemonitord of problemen juist, tijdig en volledig worden opgelost. Er is een procedure aanwezig waarbij de organisatie continue monitort of zij voldoet aan de actuele en toekomstige wet- en regelgeving. Indien hier negatieve resultaten uit komen wordt het proces geanalyseerd en indien nodig aangepast. Er wordt proactief gemonitord op de aanwezige kennis en de noodzakelijke kennis. Indien medewerkers over onvoldoende kennis beschikken dienen zijn cursussen te volgen om op een adequate manier onderhoud en ondersteuning aan te bieden. Er wordt bovendien continue gemonitord of problemen juist, tijdig en volledig zijn opgelost. Volwassenheidsmodel voor het beheer van mobiele apparaten 33

39 Nr Bedreiging Beheersdoelstelling Producten en diensten worden op adhoc basis ingekocht zonder specifieke overeenkomste n met leveranciers. Er zijn afspraken met leveranciers gemaakt ten aanzien van het inkopen van producten en diensten. Level 1 Level 2 Level 3 Level 4 Level 5 Er zijn geen specifieke overeenkomsten gesloten met leveranciers. Producten en diensten worden ingekocht conform de reguliere procedure die ook door consumenten wordt gevolgd. Er wordt een vaste werkwijze gehanteerd ten aanzien van het inkopen van producten en diensten. Deze werkwijze is echter niet gedocumenteerd. Er is intern informeel afgesproken bestellingen bij een selecte groep van leveranciers te plaatsen. Er is een gedocumenteerde werkwijze aanwezig die beschrijft op welke manier producten en diensten dienen te worden aangeschaft. Er zijn enkel een beperkt aantal leveranciers waar overeenkomsten mee zijn afgesloten waar aanschaf bij plaats mag vinden. Overeenkomsten zijn gebaseerd op eisen die aan de leverancier worden gesteld. Er is een lijst aanwezig met goedgekeurde leveranciers waar producten en diensten bij mogen worden ingekocht. Periodiek dienen de leveranciers rapportages te overleggen waaruit blijkt dat zij nog steeds voldoen aan de gestelde eisen. De organisatie evalueert periodiek (eventueel ook door het laten uitvoeren van externe audits) de rapportages om vast te stellen dat de leveranciers nog steeds voldoen aan de gestelde eisen. Indien dit niet meer het geval is worden de leveranciers gevraagd hun processen opnieuw in te richten om aan de eisen te kunnen voldoen. Volwassenheidsmodel voor het beheer van mobiele apparaten 34

40 Nr Bedreiging Beheersdoelstelling 3.2 Gebruikers Verlies of diefstal van het mobiele apparaat. Fysieke toegang tot het mobiele apparaat is alleen mogelijk voor geautoriseerde personen. Level 1 Level 2 Level 3 Level 4 Level 5 Er is geen procedure aanwezig die gevolgd moet worden bij verlies of diefstal van het apparaat. Er zijn verder ook geen richtlijnen met betrekking tot het gebruik en de beperking van het gebruik van mobiele apparaten in openbare ruimtes. De organisatie heeft een vaste werkwijze met activiteiten die uitgevoerd moeten worden na verlies of diefstal van een mobiel apparaat. De procedure is echter niet formeel gedocumenteerd. De medewerkers zijn ingelicht over de omgang met mobiele apparaten in openbare ruimtes. Er is een formeel gedocumenteerde procedure aanwezig waarin wordt beschreven welke maatregelen getroffen moeten worden bij verlies of diefstal van een mobiel apparaat. Ook is er een beleid aanwezig waarin wordt beschreven hoe er met mobiele apparaten omgegaan moet worden in openbare ruimtes. Medewerkers dienen dit beleid te lezen en te ondertekenen bij ontvangst van hun mobiele apparaat. De organisatie heeft maatregelen getroffen om fysieke toegang tot het mobiele apparaat door ongeautoriseerde personen zo veel mogelijk te beperken. Bij verlies of diefstal is het mogelijk om de data op het apparaat van afstand te verwijderen. Verder zijn er preventieve maatregelen getroffen om de impact van omgevingsfactoren te beperken zoals onder andere het gebruik van een privacy screenprotector. Er is een procedure aanwezig waarbij periodiek een risico analyse wordt uitgevoerd en geanalyseerd wordt of er omgevingsfactoren aanwezig zijn waarvoor onvoldoende maatregelen zijn getroffen. Eventueel ontbrekende maatregelen worden geïnventariseerd en doorgevoerd. Organisatie is in staat locatieservices op afstand in te schakelen en te traceren waar het verloren apparaat zich bevindt. Volwassenheidsmodel voor het beheer van mobiele apparaten 35

41 Nr Bedreiging Beheersdoelstelling Medewerkers zijn zich niet bewust van de risico's ten aanzien van het gebruik van mobiele apparaten Onveilige webpagina s en webcontent kunnen worden bezocht. Medewerkers die gebruik maken van mobiele apparaten zijn zich bewust van de risico's en worden getraind hier adequaat mee om te gaan. Alleen geverifieerde en goedgekeurde webpagina's en webcontent zijn toegankelijk. Level 1 Level 2 Level 3 Level 4 Level 5 Medewerkers gaan nonchalant om met het mobiele apparaat en de data die hierop staat. Medewerkers zijn zich niet bewust van de risico's. Er zijn geen beperkingen aanwezig met betrekking tot het bezoeken van webpagina's. Medewerkers zijn zich bewust van de risico's, maar weten niet hoe ze hier adequaat op kunnen reageren. Vanuit de organisatie zijn richtlijnen gegeven, maar niet formeel gedocumenteerd. Medewerkers zijn zich bewust van de risico's en aanzien van onveilige webpagina's en webcontent. Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het bezoeken van mogelijk kwaadaardige webpagina's. Risico's ten aanzien van het gebruik van mobiele apparaten zijn gedocumenteerd en medewerkers worden erop geattendeerd adequaat met de apparaten en de data hierop aanwezig, om te gaan. De organisatie heeft afspraken gemaakt met medewerkers ten aanzien van het bezoeken van potentieel onveilige webpagina's. Medewerkers hebben zich geconformeerd om enkel veilige websites te bezoeken door het ondertekenen van het beleid. Medewerkers worden periodiek op de hoogte gebracht van de risico's ten aanzien van het gebruik van mobiele apparaten. Hiertoe voort de organisatie campagnes in de vorm van posters en berichten op het intranet. Medewerkers worden op een awareness training gestuurd. De organisatie is zich bewust van de potentiële kwetsbaarheden en probeert deze preventief te voorkomen, door bijvoorbeeld gebruik te maken van software die de webpagina's classificeert en afhankelijk van de classificatie de webpagina blokkeert of toestaat. Ook wordt er gebruik gemaakt van een blacklist (of whitelist). Er wordt periodiek geïnventariseerd wat de status is van het besef van risico's die gepaard gaan met het gebruik van mobiele apparaten bij medewerkers door bijvoorbeeld een enquête. Resultaten hiervan worden geanalyseerd en er worden acties uitgevoerd om het besef bij medewerkers te verhogen. Er wordt periodiek geëvalueerd of er voldoende maatregelen zijn getroffen om onveilige websites proactief te blokkeren. Indien dit niet zo is wordt periodiek de blacklist of whitelist bijgewerkt. Volwassenheidsmodel voor het beheer van mobiele apparaten 36

42 Nr Bedreiging Beheersdoelstelling 3.3 Mobiele apparaten Het mobiele apparaat is technisch van onvoldoende kwaliteit. Enkel mobiele apparaten van voldoende technische kwaliteit worden in gebruik genomen. Level 1 Level 2 Level 3 Level 4 Level 5 Er zijn geen restricties ten aanzien van het gebruik van mobiele apparaten. Medewerkers kunnen elk willekeurig apparaat aanschaffen en gebruiken in de zakelijke omgeving. Er zijn informele afspraken gemaakt ten aanzien van het merk en type mobiele apparaten die gebruikt worden binnen de zakelijke omgeving. In geval van BYOD zijn medewerkers echter vrij om een apparaat naar keuze te gebruiken. Er is een procedure aanwezig waarin wordt beschreven aan welke technische eisen een mobiel apparaat moet voldoen alvorens deze gebruikt mag worden binnen de zakelijke omgeving. Elk mobiel apparaat dient voor gebruik in de zakelijke omgeving ter beoordeling worden voorgelegd aan de betreffende afdeling. Deze controleert het mobiele apparaat onder andere op functionaliteiten, veiligheidscertificaten en bouwkwaliteit. Nadat het apparaat formeel is goedgekeurd wordt deze aangemeld om te kunnen gebruiken binnen de zakelijke omgeving. Periodiek vindt er een risicoanalyse plaats waarbij nieuwe beveiligingstechnieken in kaart worden gebracht. Deze technieken worden indien realistisch verwerkt in de vereisten van de mobiele apparaten. Volwassenheidsmodel voor het beheer van mobiele apparaten 37

43 Nr Bedreiging Beheersdoelstelling Data op het mobiele apparaat wordt niet verwijderd van het apparaat bij vervanging De locatie van het mobiele apparaat wordt bekend gemaakt door het gebruik van locatie services aan kwaadwillende personen. Data wordt juist, tijdig en volledig verwijderd van het mobiele apparaat bij vervanging. Locatiegegevens zijn enkel zichtbaar voor geautoriseerde personen. Level 1 Level 2 Level 3 Level 4 Level 5 Er is geen procedure ten aanzien van het vernietigen of wissen van data op mobiele apparaten die vervangen worden. Er zijn geen beperkingen ten aanzien van het gebruik van locatieservices. Er zijn informele afspraken gemaakt met medewerkers ten aanzien van de vervanging van mobiele apparaten. Hierbij dienen medewerkers bij vervanging zelf hun apparaat te ontdoen van gevoelige informatie en te resetten naar de fabrieksinstellingen. Deze richtlijnen zijn echter niet gedocumenteerd en worden niet gecontroleerd. Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het gebruik van locatieservices. Medewerkers zijn geïnformeerd dat deze geen gevoelige informatie mogen uitlekken aan de hand van locatieservices. De organisatie beschikt over een gedocumenteerde disposal procedure die ook wordt gevolgd. De disposal procedure beschrijft welke stappen uitgevoerd dienen te worden alvorens een apparaat volledig vervangen mag worden. Er is een risicoanalyse uitgevoerd in het kader van locatieservices. De resultaten hiervan zijn vertaald in een formeel beleid ten aanzien van het gebruik van locatieservices. Medewerkers hebben zich hieraan geconformeerd. De organisatie heeft een adequate disposal procedure gedocumenteerd en deze wordt ook gevolgd. Er wordt bijgehouden wat de gemiddelde vervangingsduur is van de apparaten en indien noodzakelijk wordt de disposal procedure bijgewerkt. De organisatie heeft maatregelen getroffen om de risico's ten aanzien van het gebruik van locatieservices preventief te mitigeren. Hierdoor is het bijvoorbeeld voor bepaalde risicovolle applicaties niet mogelijk om gebruik te maken van de locatieservices. Er vindt periodiek een evaluatie plaats waarbij er wordt geïnventariseerd hoe vaak en om welke reden er incidenten hebben plaatsgevonden waarbij data onvoldoende adequaat was verwijderd van het mobiele apparaat. Afhankelijk van de evaluatie wordt er gezocht naar oorzaken en wordt het proces bijgestuurd. De organisatie doet periodiek een inventarisatie waarbij wordt gekeken naar de applicaties die wel toegang hebben tot locatieservices. Door updates in huidige applicaties is het namelijk mogelijk dat deze in een hoger risicocategorie vallen. Afhankelijk van de evaluatie wordt toegang tot de locatieservices voor de betreffende applicatie geblokkeerd. Volwassenheidsmodel voor het beheer van mobiele apparaten 38

44 Nr Bedreiging Beheersdoelstelling Er wordt gebruik gemaakt van onveilige transmissie technieken. Gevoelige data is beveiligd tegen ongeautoriseerde toegang tijdens transmissie. Level 1 Level 2 Level 3 Level 4 Level 5 Er zijn geen veilige transmissietechnieken in gebruik voor mobiele apparaten die gevoelige data ontvangen of verzenden. Gebruik van 2G, bluetooth en onbeveiligde verbindingen is toegestaan. Er wordt in beperkte mate gebruik gemaakt van veilige transmissie technieken. Data is hierbij niet geclassificeerd in een datamodel. Het gebruik van transmissietechnieken is gebaseerd op best practice, kennis, kunde en ervaring van medewerkers. Gevoeligheid van data wordt niet voor implementatie geclassificeerd in een datamodel. Gevoeligheid van data is geclassificeerd in een datamodel. Afhankelijk van de classificatie van de data zijn transmissietechnieken (bijv VPN, two factor authentication, SSL, TSL) en encryptiemethodieken (bijv met paswoord beveiligd) gedefinieerd en geïmplementeerd. Ongewenste verbindingsmodelijkhed en zijn uitgeschakeld (bijv bluetooth) op het mobiele apparaat. Periodiek wordt het datamodel geëvalueerd en worden de gedefinieerde transmissietechnieken en encryptiemethodieken heroverwogen. Indien effectievere technieken en methodieken beschikbaar zijn, worden deze in gebruik genomen. Volwassenheidsmodel voor het beheer van mobiele apparaten 39

45 Nr Bedreiging Beheersdoelstelling Data op het mobiele apparaat wordt gemanipuleerd of bloot gesteld Security zwakheden in het besturingssyste em en applicaties. Het mobiele apparaat is beveiligd tegen malware en brengt geen malware in de IT organisatie. Updates op applicaties en het besturingssystee m, evenals security patches worden adequaat getest en getoetst aan het beveiligingsbelei d en worden tijdig geïmplementeerd. Level 1 Level 2 Level 3 Level 4 Level 5 Het mobiele apparaat is niet beveiligd tegen malware. Security zwakheden in het besturingssysteem en applicaties worden niet geadresseerd. Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het downloaden, installeren en openen van onbekende bestanden (bijv scannen van random QR codes). Updates op applicaties en het besturingssysteem worden beschikbaar gesteld door de fabrikant. Medewerkers zijn vrij om deze updates te implementeren. Anti-malware software is geïnstalleerd op het mobiele apparaat. De medewerkers zijn zich ervan bewust dat malware op het apparaat terecht kan komen door onjuist gebruik van het toestel. Via awareness trainingen zijn de medewerkers ingelicht. Er is een risico analyse uitgevoerd om de risico's verbonden aan security zwakheden te identificeren. Updates op applicaties en het besturingssysteem, evenals security patches worden adequaat getest en getoetst aan het beveiligingsbeleid alvorens de uitrol op de mobiele apparaten. Updates worden tijdig geïmplementeerd. De organisatie houdt bij dat alle mobiele apparaten zijn uitgerust met anti-malware software. Deze software is niet uit te schakelen en is up-to-date met laatste malwaredefinities. De organisatie monitort dat alle medewerkers die de beschikking hebben over een relevant mobiel apparaat de awareness trainingen hebben gevolgd. De organisatie houdt bij dat alle mobiele apparaten tijdig zijn voorzien van de laatst geteste en getoetste updates op applicaties en het besturingssysteem. Mobiele apparaten waarvan het besturingssysteem en de applicaties niet up-todate zijn worden niet toegelaten op het bedrijfsnetwerk. Periodiek worden de mobiele apparaten gescand op malware. Gedetecteerde malware wordt verwijderd. Het awareness programma wordt periodiek geëvalueerd en geüpdate indien noodzakelijk. Management feedback over het gebruik en geïdentificeerde risico's door gebruikers wordt geanalyseerd en geadresseerd. Er vindt periodiek een evaluatie plaats (door bijvoorbeeld een penetratie test uit te laten voeren) waarbij er wordt geïnventariseerd welke restrisico's aanwezig zijn nadat de apparaten van de meest up-to-date security patches zijn voorzien. Afhankelijk van de resultaten worden adequate maatregelen getroffen om de kritieke risico's op te lossen. Volwassenheidsmodel voor het beheer van mobiele apparaten 40

46 Nr Bedreiging Beheersdoelstelling Performance zwakheden bij het gebruik van het mobiele apparaat. Performance problemen worden juist en tijdig opgelost om de beschikbaarheid van de data op het mobiele apparaat te garanderen. Level 1 Level 2 Level 3 Level 4 Level 5 Er zijn geen maatregelen getroffen ten aanzien van het oplossen van performance zwakheden. Er is een vaste werkwijze ten aanzien van het oplossen van performance problemen (zoals onder andere het updaten van de applicaties en het besturingssysteem). De medewerkers zijn hier echter zelf verantwoordelijk voor en de procedure is niet gedocumenteerd. Er is een risico analyse uitgevoerd om de risico's verbonden aan performance zwakheden te identificeren. Er zijn richtlijnen opgesteld ten aanzien van het updaten van het mobiele apparaat. Het belang van het updaten van het besturingssysteem en de applicaties wordt periodiek middels awareness trainingen gecommuniceerd. Er wordt gebruik gemaakt van een MDM platform waarmee updates ten aanzien van toestel worden geregeld. Daarnaast vindt een check plaats op de status van het mobiele apparaat. Er vindt continu een check plaats op de status van de applicaties en het besturingssysteem. Periodiek wordt er geïnventariseerd of de hardware nog voldoende is voor het gebruik. Indien de hardware onvoldoende rekenkracht bevat wordt er een procedure opgestart om de hardware te vervangen. Volwassenheidsmodel voor het beheer van mobiele apparaten 41

47 Nr Bedreiging Beheersdoelstelling 3.4 Applicaties en data Onbetrouwbare applicaties kunnen worden gedownload en geïnstalleerd. Alleen geverifieerde en goedgekeurde applicaties kunnen worden gedownload en geïnstalleerd. Level 1 Level 2 Level 3 Level 4 Level 5 Alle applicaties kunnen worden geïnstalleerd door medewerkers. Er zijn geen beperkingen ten aanzien van het downloaden en installeren van applicaties. Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het downloaden en installeren van applicaties. De richtlijnen zijn echter niet formeel gedocumenteerd. Er zijn formele afspraken gemaakt met medewerkers ten aanzien van het downloaden en installeren van applicaties. De medewerker dient het beleid te lezen en te ondertekenen bij ontvangst van hun mobiele apparaat. Enkel applicaties die door de organisatie zijn geverifieerd en goedgekeurd, worden ter beschikking gesteld aan de medewerkers. De organisatie houdt overzicht van alle geteste applicaties en monitort dat enkel goed bevonden applicaties ter beschikking worden gesteld. Feedback van gebruikers op applicaties wordt verzameld en geëvalueerd. Applicaties die niet zijn getest worden in acht genomen en goedgekeurde applicaties worden heroverwogen. Volwassenheidsmodel voor het beheer van mobiele apparaten 42

48 Nr Bedreiging Beheersdoelstelling Ongeautoriseer de interactie met externe systemen. Interactie met externe systemen is alleen mogelijk met geautoriseerde externe systemen. Level 1 Level 2 Level 3 Level 4 Level 5 Er zijn geen beperkingen ten aanzien van interactie met andere systemen. De organisatie is zich bewust van het risico ten aanzien van interactie met externe systemen. Hiertoe zijn informele afspraken gemaakt met de medewerkers om interactie met externe systemen zo veel mogelijk te beperken. De beperking wordt echter niet technisch afgedwongen. Er zijn formele afspraken gemaakt met medewerkers ten aanzien van interactie met externe systemen. De medewerker dient het beleid te lezen en te ondertekenen bij ontvangst van hun mobiele apparaat. Interactie met externe systemen is alleen mogelijk met geautoriseerde externe systemen. Het wordt technisch afgedwongen dat interactie met onbekende systemen niet mogelijk is. De organisatie houdt overzicht van alle geautoriseerde externe systemen en monitort dat enkel goed bevonden systemen interactie kunnen uitoefenen met het mobiele apparaat. De organisatie beschikt over een procedure ten aanzien van het periodiek controleren van de goedgekeurde systemen. Ook is het mogelijk om interactie met nieuwe systemen conform een procedure aan te vragen. Het systeem in kwestie wordt geëvalueerd en afhankelijk van de resultaten geaccepteerd of blijft geblokkeerd. Volwassenheidsmodel voor het beheer van mobiele apparaten 43

49 Nr Bedreiging Beheersdoelstelling Data is corrupt of niet meer beschikbaar Ongeautoriseer d kopiëren van data naar een verwijderbaar medium. Data wordt periodiek juist, tijdig en volledig geback-uped. Alleen geautoriseerde personen kunnen data van een mobiel apparaat kopiëren naar een verwijderbaar medium. Level 1 Level 2 Level 3 Level 4 Level 5 Er wordt geen back-up van de data op het mobiele apparaat gemaakt. Er zijn geen richtlijnen of beperkingen ten aanzien van het kopiëren van data naar verwijderbare media. Medewerkers zijn zich bewust van het maken van back-ups van data op het mobiele apparaat. Er zijn informele afspraken gemaakt ten aanzien van het maken van deze back-ups. Er zijn informele afspraken gemaakt met medewerkers ten aanzien van het kopiëren van data naar verwijderbare media. Hierbij is afgesproken dit niet te doen. De procedure is echter niet formeel gedocumenteerd. Er zijn richtlijnen met betrekking tot het backuppen van de data op het mobiele apparaat. De medewerker dient het beleid te lezen en te ondertekenen bij ontvangst van hun mobiele apparaat. Formele afspraken zijn er gemaakt met de medewerkers ten aanzien van het kopiëren van data naar verwijderbare media. Er is afgesproken dit niet te doen en medewerkers hebben hiervoor een overeenkomst ondertekend. De organisatie is in staat te monitoren wanneer de laatste back-up van de data is gemaakt. Indien de laatste backup niet is gemaakt volgens het back-up schema zoals beschreven in het beleid, dan neemt de organisatie contact op met de betreffende medewerker. Het is voor medewerkers niet mogelijk om data te kopiëren naar verwijderbare media. Alle uitvoerpoorten die dit mogelijk kunnen maken zijn uitgeschakeld. Er is een procedure voor het tijdelijk activeren van de uitvoerpoorten wanneer data naar een geautoriseerd verwijderbaar medium gekopieerd dient te worden. De organisatie is in staat te monitoren wanneer de laatste back-up van de data is gemaakt. Indien de laatste backup niet is gemaakt volgens het back-up schema zoals beschreven in het beleid, dan wordt automatisch een nieuwe back-up van de data op het mobiele apparaat gemaakt. Periodiek wordt er gecontroleerd of de uitvoerpoorten die het mogelijk maken om data te kopiëren nog steeds zijn geblokkeerd. Op basis van logbestanden wordt geverifieerd of data daadwerkelijk is gekopieerd naar een ongeautoriseerd verwijderbaar medium. Volwassenheidsmodel voor het beheer van mobiele apparaten 44

50 4.3 Risicolevel Tijdens de evaluatie van het gepresenteerde raamwerk hebben we ook een discussie gevoerd met de participanten ten aanzien van het risicolevel. Het is namelijk zo dat de ene bedreiging een grotere impact kan hebben op de risico s dan de andere bedreiging. Na afloop van de discussie hebben we kunnen concluderen dat de bedreigingen niet voor alle type organisaties van gelijk belang zijn. Om het raamwerk goed te kunnen gebruiken voor het bepalen van de volwassenheid van het beheer van mobiele apparaten is het derhalve van belang om per type organisatie het raamwerk uit te breiden door per beheersmaatregel een nuancering aan te brengen. Dit kan bijvoorbeeld door de risico s zoals dit gebruikelijk is binnen het vakgebied te verdelen naar de impact op hoog, midden en laag. Het adequaat verwijderen van data bij vervanging van het mobiele apparaat zal namelijk een hogere impact hebben binnen de publieke sector (bijvoorbeeld patiëntgegevens van ziekenhuizen of vertrouwelijke overheidsstukken) dan bij de bakker op de hoek. Door deze nuancering aan te brengen kan een beter beeld gegeven worden van de situatie en kunnen resultaten beter geïnterpreteerd worden. Volwassenheidsmodel voor het beheer van mobiele apparaten 45

51 5 Evaluatie van het volwassenheidsmodel In hoofdstuk 4 hebben wij een model gepresenteerd voor het meten van de volwassenheid van het beheer van mobiele apparaten in zakelijke omgevingen. In dit hoofdstuk zetten wij uiteen wat de rol van de IT auditor is bij het meten van de volwassenheid. Verder hebben wij het volwassenheidsmodel bij een organisatie getoetst en zijn in dit hoofdstuk de resultaten van de toetsing beschreven. 5.1 De rol van de IT auditor De IT auditor kan in meerdere stadia hulp bieden aan een organisatie rondom het beheer van mobiele apparaten in zakelijke omgevingen. Hieronder een niet-uitputtende lijst van de activiteiten die deel kunnen uitmaken van de rol van de IT auditor: Risico's identificeren met mogelijke gevolgen voor de gestelde doelstellingen van de organisatie ten aanzien van mobiele apparaten. Beoordelen van de relevantie van de risico's (afhankelijk van het type organisatie) en het benadrukken ervan. In kaart brengen van bedreigingen die ten grondslag kunnen liggen aan de geïdentificeerde risico's. Uitvoeren van een nulmeting met behulp van het volwassenheidsmodel. Hiermee wordt bepaald waar een organisatie qua beheer van mobiele apparaten staat. Ondersteuning bieden bij de interpretatie van de actuele situatie en daarmee een juiste invulling van het volwassenheidsmodel waarborgen. Beoordelen wat de volwassenheid is van het beheer van de mobiele apparaten en aangeven waarom die score is bereikt. Vergelijking maken van de volwassenheidsniveaus van de organisatie met een andere organisatie van hetzelfde type. Toelichten tot welk volwassenheidsniveau de betreffende organisatie zou moeten streven. Indien een hoger volwassenheidsniveau is gewenst, toelichten hoe dat kan worden bereikt. Voortgang van een eventueel verbetertraject met betrekking tot het beheer inzichtelijk maken door het volwassenheidsmodel op meerdere momenten toe te passen. Evaluatie van het volwassenheidsmodel 46

52 5.2 Het volwassenheidsmodel in de praktijk Het volwassenheidsmodel is per interview getoetst bij de IT afdeling van een accountancy organisatie. Het gesprek is gevoerd met een IT specialist die zich vanuit zijn dagelijkse werkzaamheden focust op mobile device management. Gedurende het interview hebben wij naast de toetsing van het model tevens de bruikbaarheid en toepasbaarheid van het volwassenheidsmodel in de praktijk besproken. Hieruit kwam naar voren dat het ontwikkelde volwassenheidsmodel een goede aanvulling zou kunnen zijn op reeds bestaande assessments. Risico s en bedreigingen die in het verleden onvoldoende of minder aandacht hebben gekregen, worden door het toepassen van het model beter belicht. Vanuit de organisatie worden Blackberry smartphones ter beschikking gesteld aan de medewerkers. Daarnaast wordt op kleine schaal BYOD toegepast, waarbij enkel iphone's en ipad's worden toegelaten. De apparaten worden door de IT afdeling beheerd met behulp van een Mobile Device Management platform. De data die wordt bekeken op de mobiele apparaten bestaat met name uit contactgegevens van klanten en collega's, persoonlijke agenda's en klantinformatie in de vorm van e- mails inclusief bijlages. Het volwassenheidsmodel is ingevuld op 14 juni Voor de resultaten van het volwassenheidsmodel verwijzen wij naar bijlage B. Hieronder worden de algemene bevindingen per domein uiteengezet. Governance: Op het gebied van governance zijn voldoende procedures gedefinieerd. Er wordt een duidelijk onderscheid gemaakt in mobiele apparaten die ter beschikking worden gesteld door de organisatie en mobiele apparaten die eigendom zijn van de medewerker. Daarnaast zijn beveiligingsdoelstellingen ten aanzien van mobiele apparaten opgesteld op basis van gedegen risicoanalyses en worden deze doelstellingen periodiek geëvalueerd. Voor het onderhoud en de ondersteuning van de mobiele apparaten zijn tevens voldoende maatregelen getroffen. Afspraken met leveranciers zijn dermate gemaakt dat er geen sprake is van een afhankelijkheid van een specifiek partij. Ten aanzien van de naleving van wet- en regelgeving wordt echter gehandeld op basis van een ad-hoc proces. Gebruikers: De mobiele apparaten zijn voorzien van wachtwoorden alvorens toegang kan worden verkregen tot de data. Bij verlies of diefstal van het apparaat is de IT afdeling in staat de data op afstand te verwijderen. Medewerkers worden op de hoogte gebracht van de risico's en bedreigingen ten aanzien van het gebruik van mobiele apparaten via verschillende Evaluatie van het volwassenheidsmodel 47

53 communicatiekanalen. Door het gebruik van Blackberry's worden medewerkers beschermd tegen onveilige webcontent, voor de BYOD apparaten is de afweging gemaakt om geen afscherming toe te passen. Mobiele apparaten: Voor verwijdering van de data bij vervanging van het mobiele apparaat zijn geen specifieke procedures opgesteld. Waar mogelijk worden de apparaten hersteld naar fabrieksinstellingen. Het gebruik van locatieservices is procedureel ingeregeld, mede vanwege het feit dat deze niet technisch kunnen worden uitgeschakeld. Voor de transmissie van data zijn protocollen gedefinieerd aan de hand van een dataclassificatie, welke eenmalig in het verleden is opgesteld. Verder is de Blackberry smartphone beschermd tegen malware, voor de BYOD apparaten zijn echter geen anti-malware oplossingen geïmplementeerd. Tot slot zijn er nauwelijks beheersmaatregelen gedefinieerd ten aanzien van de security en performance zwakheden in de besturingssystemen van de mobiele apparaten. Applicaties en data: Voor de applicaties hanteert de organisatie een black- en whitelist, waarmee is te bepalen welke applicaties kunnen worden geïnstalleerd. Met betrekking tot de interactie van het mobiele apparaat geldt voor de Blackberry dat alle data versleuteld wordt opgeslagen en daarmee niet benaderbaar is door andere systemen. Voor de BYOD apparaten zijn geen beperkingen ingesteld. Back-ups van de gegevens op de Blackberry en de BYOD apparaten worden niet nodig geacht, omdat alle data op de server staat; back-ups van foto's, films en muziek worden niet gemaakt. Tot slot staat de Blackberry toe dat data wordt gekopieerd naar een verwijderbaar medium, echter zijn deze op unieke wijze versleuteld voor het betreffende apparaat. Voor de BYOD apparaten is er geen ondersteuning voor verwijderbare media. De resultaten van het volwassenheidsmodel zijn tevens visueel weergegeven in onderstaand radardiagram. Evaluatie van het volwassenheidsmodel 48

54 Figuur 9 Volwassenheid beheer mobiele apparaten binnen de accountancy organisatie 5.3 Interpretatie van de resultaten Het in kaart brengen van de volwassenheid van het beheer van mobiele apparaten is mogelijk met het raamwerk dat wij hebben gepresenteerd. Een grotere uitdaging is het juist interpreteren van de resultaten nadat de toetsing heeft plaatsgevonden. Om de resultaten op de juiste manier te interpreteren is het van belang om te bepalen naar welk volwassenheidsniveau een organisatie wil streven. Het is niet eenduidig te bepalen of organisaties altijd moeten streven naar een volwassenheidsniveau van bijvoorbeeld 3 of 4. Het streven naar een specifiek niveau dient door het management van de organisatie bepaald te worden (eventueel in overleg met de stakeholders en/of aandeelhouders). Het is denkbaar dat enkele bedreigingen geaccepteerd worden door de organisatie, eventueel op basis van dataclassificatie, en derhalve voor het adresseren van die bedreigingen niet gestreefd zal worden naar een maximaal haalbaar volwassenheidsniveau. Ook is het denkbaar dat een organisatie er bewust niet voor kiest om naar een volwassenheidsniveau van 5 te streven. In een dergelijke situatie kan de flexibiliteit namelijk in het geding komen, doordat er weinig ruimte overblijft voor eigen interpretatie en inbreng. Door de bedreigingen te koppelen aan de impact zoals is beschreven in paragraaf 4.3, kan het raamwerk specifiek gemaakt worden voor de organisatie en kan er bepaald worden naar welk volwassenheidsniveau gestreefd dient te worden. Dit kan per sector, branche, manier van besturen Evaluatie van het volwassenheidsmodel 49