Beveiliging van telewerken: een praktische aanpak

Maat: px
Weergave met pagina beginnen:

Download "Beveiliging van telewerken: een praktische aanpak"

Transcriptie

1 Beveiliging van telewerken: een praktische aanpak Nederland heeft wereldwijd één van de hoogste percentages telewerkers en het aantal groeit nog steeds. Informatiebeveiliging bij telewerken is echter niet altijd goed geregeld. Uit onderzoek blijkt dat het merendeel van de thuiswerkplekken onveilig is en dat met regelmaat apparatuur met gevoelige gegevens verdwijnt. In dit artikel wordt een praktische aanpak beschreven waarmee organisaties adequate informatiebeveiliging bij telewerken kunnen realiseren. Om deze aanpak goed toe te passen, is inzicht nodig in de belangrijkste beveiligingsrisico s en -maatregelen met betrekking tot telewerken. Deze worden in dit artikel gestructureerd uiteengezet. LARS HOOGENDIJK EN JEROEN VAN SCHAJIK Het concept telewerken is niet nieuw. Al in de jaren vijftig van de vorige eeuw ontstond het idee dat werk ook buiten kantoor gedaan kon worden door gebruik van telecommunicatieen computertechnologie. Brede interesse begon in de jaren zeventig toen de oliecrisis westerse landen ertoe dwong het energieverbruik drastisch te reduceren. Telewerken werd toen gezien als een middel om het autogebruik te verminderen. Technologische ontwikkelingen en een snel groeiende dienstensector leidden ertoe dat telewerken in de jaren tachtig en negentig doorbrak. TELEWERKEN IN NEDERLAND Nederland heeft in Europa een leidende positie op het gebied van telewerken. Volgens onderzoek van de EU werkte in 2005 twaalf procent van de Nederlandse werknemers meer dan een kwart van de werktijd buiten kantoor. Hiermee stond Nederland in de top 5 van de 28 onderzochte Europese landen [EURO10]. Het CBS meldt dat eind 2007 bijna de helft van de bedrijven waar tien of meer personen werken, telewerkers in dienst had. Dit aantal is ten opzichte van 2003 verdubbeld [CBS09]. De groei van telewerken wordt mede mogelijk gemaakt door technologische ontwikkelingen die ervoor zorgen dat telewerken voortdurend toegankelijker en goedkoper wordt. Voorbeelden hiervan zijn snel mobiel internet en de inburgering van smartphones [IDC11]. Daarnaast heeft telewerken een aantal belangrijke voordelen: het biedt werknemers een betere balans tussen werk en privé, flexibele werkuren en besparingen op reistijd en -kosten. Voor werkgevers levert het productiviteitstijging van medewerkers en besparing van kantoorruimte op. De maatschappij als geheel ten slotte, profiteert van de verdunning van de files, verlaging van CO 2 -uitstoot, betere kansen voor arbeidsgehandicapten en kostenbesparingen op het gebied van infrastructuur en energie [HARP02]. WAT IS TELEWERKEN? Er zijn verschillende definities van telewerken in omloop en er worden termen met vergelijkbare betekenissen door elkaar gebruikt. Voorbeelden hiervan zijn het nieuwe werken, e-werken en flexwerken. De definities uit de literatuur en praktijk zijn echter vaak afgeleid de IT-Auditor nummer

2 van de volgende abstracte definitie [SULL03]: Telewerken is tijd- en plaatsonafhankelijk werken met behulp van informatie- en communicatietechnologie (ICT). In deze algemene definitie liggen drie dimensies besloten: tijd, plaats en ICT. Tijd is de proportie van de werktijd waarin wordt getelewerkt. Vaak wordt onderscheid gemaakt tussen structureel (bijvoorbeeld één of meer volledige werkdagen) en incidenteel telewerken (bijvoorbeeld overwerk). Plaats is de locatie waarop gewerkt wordt, zoals een satellietkantoor, het huis van de telewerker of onderweg. ICT is de technologie die gebruikt wordt. Deze kan per situatie behoorlijk verschillen. Voorbeelden zijn laptops, tablets, smartphones, internet en USB-sticks. HET BELANG VAN INFORMATIEBEVEILIGING BIJ TELEWERKEN Voor het uitvoeren van werkzaamheden hebben telewerkers toegang tot informatie die toebehoort aan de organisatie waarvoor zij werkzaam zijn. Het ontsluiten van deze informatie buiten de beheersbare bedrijfsomgeving leidt tot extra beveiligingsrisico s. Deze risico s kunnen organisaties verkleinen door beveiligingsmaatregelen te treffen. Onderzoek wijst op kwetsbaarheden Een onderzoek onder ruim 500 thuiswerkplekken in Nederland wijst uit dat driekwart hiervan onveilig is. In veel gevallen zijn het de medewerkers zelf die bewust of onbewust de veiligheid van de informatiesystemen in gevaar brengen. Ook laat de implementatie van technische maatregelen op de thuiswerkplek te wensen over. [DIGI08] Een aan mobiel telewerken gerelateerd incident dat vaak voorkomt, is diefstal van laptops of andere mobiele computerapparatuur. Uit onderzoek in Groot-Brittannië is gebleken dat dit tweevijfde van de grote en ééntiende van de kleine Britse organisaties overkomt. De laatste twee jaar is het gebruik van hard disk versleuteling wel flink toegenomen, met name op laptops. Inmiddels heeft driekwart van de grote en drievijfde van de kleine Britse organisaties deze maatregel getroffen. [DTI10] Brits onderzoek toont verder aan dat organisaties die werknemers de mogelijkheid bieden om zich vanaf een externe locatie toegang te verschaffen tot het bedrijfsnetwerk, twee keer zoveel risico lopen op ongeautoriseerde derden die proberen in te breken op het netwerk, dan organisaties die deze mogelijkheid niet bieden. Tweederde van de Britse organisaties die toegang op afstand toestaan, hebben een vorm van extra authenticatie geïmplementeerd. Aan het afluisteren van datacommunicatie wordt, vooral door kleinere organisaties, minder aandacht besteed. Slechts de helft van de onderzochte bedrijven gebruikt VPN [DTI08]. BEVEILIGINGSRISICO S EN MAATREGELEN ROND TELEWERKEN Er is een risico (R) dat de betrouwbaarheid 1 van informatie wordt geschaad door beveiligingsincidenten. Deze incidenten zijn het gevolg van kwetsbaarheden van objecten voor bedreigingen. De impact van de incidenten is afhankelijk van de mate waarin de betreffende informatie bedrijfskritisch en gevoelig is. De algemene definitie van telewerken bevat twee objecten: plaats en ICT. In deze paragraaf worden de bedreigingen die inwerken op deze objecten, alsmede de kwetsbaarheden daarvoor in relatie tot werken op kantoor, zo volledig mogelijk uiteengezet. Ook worden voor beide dimensies voorbeelden genoemd van maatregelen (M) die de organisatie kan treffen om de risico s rond telewerken te verminderen. De dimensie tijd is niet tastbaar en daarom geen object van bedreigingen. Wel heeft deze dimensie enkele aandachtspunten voor beveiliging. Deze worden eerst behandeld. De dimensie tijd Telewerken is volgens de algemene definitie tijdsonafhankelijk. Dit impliceert dat er ook buiten de reguliere kantoortijden getelewerkt kan worden. Hierdoor hebben telewerkers mogelijk geen toegang tot een helpdesk op het moment dat ze deze nodig hebben en meer last van gepland onderhoud. Ook kan het zijn dat capaciteit, beschikbaarheid en beveiligingsincidenten buiten kantooruren niet actief gemonitord worden, waardoor pas laat geacteerd wordt op incidenten. De organisatie kan overwegen om bepaalde ITbeheerdiensten, zoals eerstelijnssupport ook buiten kantooruren te leveren als het aantal telewerkers dat dan werkt groot is. Het alternatief is om telewerkers goed te informeren over de service windows en gepland onderhoud. De dimensie plaats Hoewel telewerken volgens de definitie locatieonafhankelijk is en daarom ook op kantoor plaats kan vinden, wordt de dimensie plaats meestal beperkt tot locaties buiten kantoor. In het laatste geval bevinden de telewerker en ten minste een deel van de ICT die hij gebruikt zich fysiek op externe locaties. R De betrouwbaarheid van gegevens en de ICT waarmee deze worden verwerkt, staat bloot aan bedreigingen die inwerken op externe locaties. Deze zijn ongeautoriseerde fysieke toegang, fysieke onheilen en ontoereikende basisvoorzieningen. 2 De kwetsbaarheid van de locatie voor deze bedreigingen hangt af van de intrinsieke vei- 8 de IT-Auditor nummer

3 ligheid van de locatie en de invloed die de organisatie heeft op het beheer ervan. Gesloten ruimtes zijn intrinsiek veiliger en bieden de organisatie meer invloed op het beheer dan publieke ruimtes. Of de betrouwbaarheid van gegevens wordt geschaad door deze bedreigingen is ook afhankelijk van de wijze waarop ICT wordt ingezet en de risico s die daarmee samenhangen. Deze worden behandeld bij de dimensie ICT. Er wordt vaak onderscheid gemaakt in de reizende telewerker, de thuiswerkplek en het satellietkantoor. [HADD05][KURL99] Hierna wordt per variant in meer detail ingaan op de intrinsieke veiligheid en de invloed van de organisatie op het beheer. De reizende telewerker De reizende telewerker komt vaak in publieke ruimten zoals hotels, vliegvelden en stations. Hier bevinden zich derden. Deze kunnen meekijken terwijl de telewerker zijn wachtwoord invoert of andere vertrouwelijke informatie verwerkt. Er is een verhoogde kans op diefstal en verlies van ICT. Publieke ruimten beschikken niet altijd over goede stroomvoorziening of een betrouwbaar en snel computernetwerk waardoor de telewerker mogelijk geen gebruik kan maken van zijn ICT. De organisatie heeft geen invloed op het beheer van publieke ruimten. De thuiswerkplek Het huis van de telewerker is een gesloten ruimte. In dit huis bevindt zich een beperkt aantal personen die de telewerker meestal kent en vertrouwt. Hoewel deze personen normaliter niet kwaadwillend zijn, kunnen ze door onwetendheid of onvoorzichtigheid ICT beschadigen. Denk bijvoorbeeld aan bewoners die het werkstation gebruiken voor online gaming of social media. De organisatie heeft enige invloed op het beheer van de thuiswerkplek, maar kan de effectiviteit hiervan alleen controleren als de telewerker hier vrijwillig aan meewerkt. 3 Het satellietkantoor Het satellietkantoor is een gesloten ruimte. In dit kantoor bevinden zich naast collega s van de telewerker eventueel ook derden. De invloed die de organisatie heeft op het beheer van het satellietkantoor is doorgaans groter dan op de thuiswerkplek maar kleiner dan op het (hoofd)kantoor. De mate van invloed hangt af van het type satellietkantoor. De invloed is op een privé kantoor het grootst, op een gedeeld kantoor minder groot en op een klantlocatie het kleinst. M Beveiligingsmaatregelen op een satellietkantoor zijn niet wezenlijk anders dan op het hoofdkantoor en worden hier daarom niet verder uitgewerkt. De organisatie kan de beveiliging van de thuiswerkplek verbeteren door daarvoor middelen ter beschikking te stellen, zoals (geld voor) inbraak- en brandbeveiliging en een kluis voor het opbergen van ICT. Publieke ruimtes kunnen niet door de organisatie beveiligd worden. Daarom is de beveiliging van de ICT en de beïnvloeding van het gedrag van de reizende telewerker extra belangrijk. Het gedrag van de telewerker kan de organisatie verbeteren door hem te wijzen op de beveiligingsrisico s die verbonden zijn aan externe locaties en de maatregelen die hij zelf kan nemen. Voorbeelden zijn ICT onopvallend dragen en niet onbeheerd achterlaten. Eventueel kan de organisatie werken vanaf intrinsiek onveilige locaties ontmoedigen of verbieden. Fysieke en logische beveiliging van ICT wordt behandeld bij de dimensie ICT. De dimensie ICT Het begrip ICT is abstract en veelomvattend, maar kan voor het domein telewerken als volgt worden geconcretiseerd. Een telewerker maakt gebruik van een werkstation zoals een desktop, tablet of smartphone. Dit werkstation kan via een computernetwerk in verbinding staan met een centrale informatievoorziening c.q. serveromgeving van de organisatie. In dat geval is er sprake van een client-serverrelatie tussen werkstation en serveromgeving. Het werkstation kan ook gebruikt worden zonder in verbinding te staan met de serveromgeving. Dit wordt stand-alone genoemd. De organisatie heeft een bepalende invloed op het beheer van de serveromgeving, maar niet per se op het beheer van het werkstation en het netwerk. Aan client-server computing zijn drie typen computerarchitecturen verbonden, te weten: Server Based Computin (SBC), File Sharing en Client/Server [SEI97]. Op basis van de plek waar gegevensverwerking en -opslag plaatsvindt, zijn deze computerarchitecturen samen met stand-alone ingedeeld in een matrix (zie figuur 1). Hierna volgt een beschrijving van de risico s en maatregelen rond gegevensopslag en -verwerking op respectievelijk (1) de serveromgeving, (2) het werkstation en (3) gegevensuitwisseling bij toepassing van de client-servercomputerarchitectuur. Bedrijfsinformatie kan niet alleen via computernetwerken, maar ook via mobiele gegevensdragers worden uitgewisseld. Risico s en maatregelen hierbij zijn niet verder uitgewerkt. Meer informatie is te vinden in ondermeer [GORG05] en [MEAR06]. Gegevensverwerking en -opslag op de serveromgeving Bij alle computerarchitecturen, behalve stand-alone, is er sprake van centrale gegevensverwerking en/of -opslag. Hiertoe wordt de serveromgeving van de organisatie beschikbaar gesteld via externe computernetwerken waarop ook de telewerkers aangesloten zijn. de IT-Auditor nummer

4 Gegevensverwerking Serveromgeving Werkstation Serveromgeving SBC Gegevensopslag Serveromgeving Werkstation Client/ Server File Sharing Stand Alone Het gebruik van netwerkinfrastructuren die minder publiek zijn dan het internet, zoals een leased line, kan het aantal potentiële aanvallers verminderen, maar is met name voor mobiele telewerkers te duur en onpraktisch. Gegevensverwerking en -opslag op het werkstation Gegevensverwerking of -opslag op het werkstation vindt plaats op een externe locatie. Hierdoor staan deze opslag en verwerking directer bloot aan risico s die samenhangen met de werklocatie en eventuele kwetsbaarheden op het werkstation dan centrale opslag en verwerking. Figuur 1: Computerarchitecturen Meestal wordt hiervoor het internet gebruikt. R Het extern beschikbaar stellen van de serveromgeving via een computernetwerk brengt met zich mee dat deze vanaf alle computers die met dit netwerk verbonden zijn, benaderd kan worden. Hierdoor wordt de betrouwbaarheid van gegevens op de serveromgeving bedreigd door ongeautoriseerde toegang en Denial of Service (DoS) aanvallen. Naarmate het computernetwerk meer publiek is, neemt de kwetsbaarheid voor ongeautoriseerde toegang en DoS toe. De impact van deze bedreigingen is groot in relatie tot die rond werkstation en datacommunicatie, omdat gegevens zich vaak in bulk op de serveromgeving bevinden en onbeschikbaarheid daarvan veel telewerkers treft. Ongeautoriseerde toegang tot de serveromgeving kan bijvoorbeeld worden veroorzaakt door hacking of via slecht beveiligde werkstations van telewerkers. 4 Ook kan het zijn dat telewerkers onzorgvuldig omgaan met hun identificatie- en authenticatiemiddelen of derden bewust of onbewust van hun werkstation gebruik laten maken. M Toegang tot de serveromgeving moet plaatsvinden na identificatie en authenticatie van de telewerker en/of zijn werkstation. Authenticatie op basis van kennis alleen is meestal niet acceptabel, omdat verlies van gebruikersnaam en wachtwoord dan direct tot ongeautoriseerde toegang kan leiden. Als onderdeel van authenticatie van het werkstation kan het beveiligingsniveau 5 worden gecontroleerd. Het aantal toegestane foutieve aanmeldpogingen moet gemaximeerd zijn. Door middel van zonering en hardening kan de serveromgeving worden afgeschermd van het externe netwerk. Ook kan telewerken om extra aandacht voor monitoring van toegang tot de serveromgeving vragen. Het is mogelijk om de autorisaties van een medewerker te beperken wanneer hij telewerkt. De hoeveelheid autorisaties van een telewerker kan gerelateerd worden aan het beveiligingsniveau van zijn werkstation. Extra aandacht moet uitgaan naar het tijdig en volledig intrekken van autorisaties bij uitdiensttreding van telewerkers. Zij hoeven immers geen toegang tot het kantoor te hebben om gebruik te maken van de serveromgeving. Gegevensopslag R De betrouwbaarheid van gegevens die zijn opgeslagen op het werkstation wordt bedreigd door ongeautoriseerde toegang tot of technische storingen op het werkstation. Ongeautoriseerde toegang tot het werkstation kan lokaal, in de fysieke nabijheid ervan, of op afstand, via een computernetwerk, plaatsvinden. Met name in het eerste geval spelen ook de risico s rondom de werklocatie een rol. De kwetsbaarheid van het werkstation voor deze bedreigingen hangt af van de intrinsieke veiligheid van het werkstation en de invloed die de organisatie heeft op het beheer ervan. Intrinsiek onveilige werkstations hebben relatief weinig beveiligingsopties 6 en veel kwetsbaarheden in systeemsoftware. Dit geldt momenteel voor veel smartphones. De invloed van de organisatie op het werkstationbeheer is groot bij werkstations die zij zelf heeft uitgegeven, beperkt bij werkstations van telewerkers en nihil bij werkstations van derden. Naarmate gegevensopslag meer lokaal plaatsvindt, is de impact van de bovengenoemde bedreigingen groter. Deze is dus relatief groot bij stand-alone en file sharing en klein bij SBC en client/server. Dit laatste 10 de IT-Auditor nummer

5 geldt echter niet wanneer identificatie- en authenticatiemiddelen voor toegang tot de serveromgeving, zoals gebruikersnamen wachtwoorden en certificaten, ook op het werkstation zijn opgeslagen. In dat geval kan ongeautoriseerde toegang tot het werkstation leiden tot ongeautoriseerde toegang tot de serveromgeving. Gegevensverwerking R De betrouwbaarheid van gegevens die worden verwerkt op het werkstation wordt primair bedreigd door het onjuist of onvolledig doorvoeren van wijzigingen in applicaties. Met onjuist wordt in dit verband het ongeautoriseerd, onvoldoende getest of te laat doorvoeren van wijzigingen bedoeld. Onvolledig betekent dat onbedoeld niet alle wijzigingen op het werkstation zijn uitgerold. De kwetsbaarheid voor onjuiste of onvolledige implementatie van wijzigingen neemt toe naarmate de organisatie minder invloed heeft op het beheer van het werkstation. Als gegevensverwerking meer lokaal plaatsvindt, is de impact hiervan op de effectiviteit van application controls 7 en eventuele logische toegangsbeveiliging in die applicaties groter. De impact is dus relatief groot bij stand-alone en file sharing en klein bij SBC. Bij client/ server varieert de impact naargelang de applicatie in meer of mindere mate op het werkstation is geïnstalleerd. M De logische en fysieke beveiliging van werkstations is het best gewaarborgd als de organisatie deze zelf verstrekt en beheert. De organisatie kan dan rechten van gebruikers beperken, waardoor het bijvoorbeeld mogelijk is om applicatiebestanden af te schermen of om onvertrouwde websites te blokkeren. Sofware kan beheerst worden uitgerold met behulp van software deployment tooling. Andere voorbeelden van logische maatregelen zijn versleuteling van gegevens en het automatisch locken bij inactiviteit. Verder kan het werkstation worden voorzien van betrouwbare anti-malware software en een firewall, waar nodig aangevuld met andere security software zoals device lock software en URL-filters. Fysieke beveiliging van het werkstation varieert van een onopvallende tas met toebehoren (kabels, sloten, mobiel internet) tot bewegingssensoren met een alarmsysteem. Deze maatregelen zijn makkelijker te treffen voor grotere devices, zoals laptops en tablets, dan voor handheld devices, zoals smartphones. Het verstrekken en beheren van werkstations is duur. Als alternatief kan de organisatie kosteloos security software verstrekken en meer doen om het gedrag van telewerkers te verbeteren. Dat kan door telewerkers te wijzen op het belang van veilige werkstations en hen daar eventueel formeel verantwoordelijk voor te maken. Eventueel kan de organisatie het gebruik van intrinsiek onveilige devices ontmoedigen of verbieden. Datacommunicatie tussen werkstation en serveromgeving Een telewerker bevindt zich op een externe locatie. Om gegevens uit te wisselen met de serveromgeving maakt hij gebruik van een computernetwerk dat zich deels buiten het bedrijfskantoor bevindt. Gegevensuitwisseling met de serveromgeving vindt plaats bij alle computerarchitecturen, behalve bij stand-alone. R De betrouwbaarheid van datacommunicatie tussen het werkstation van de telewerker en de serveromgeving wordt bedreigd door ongeautoriseerde inzage en manipulatie en door de kwaliteit 8 van het netwerk. Een specifieke bedreiging die samenhangt met ongeautoriseerde inzage en manipulatie is de man-in-the-middle attack. De kwetsbaarheid voor deze bedreigingen is afhankelijk van de intrinsieke veiligheid van het netwerk en de invloed die de organisatie heeft op de beveiliging ervan. Een eigen netwerkinfrastructuur, zoals een leased line, is intrinsiek veiliger dan een publieke netwerkinfrastructuur, zoals het internet. Dankzij cryptografie kan de organisatie echter ook veel invloed uitoefenen op de betrouwbaarheid van gegevens die over een publieke infrastructuur verzonden worden. De impact is afhankelijk van de hoeveelheid en aard van de gegevens die via het netwerk worden verzonden. Onderschepping van schermweergaven is bijvoorbeeld minder risicovol dan van gebruikersnamen en wachtwoorden. M Door middel van cryptografie kan de datacommunicatie tussen het werkstation en de serveromgeving (end-to-end) worden versleuteld. Daarnaast kan hiermee sterke wederzijdse authenticatie worden toegepast. Eventueel kan de organisatie toegang tot de serveromgeving via verschillende infrastructuren (bijvoorbeeld internet en inbellen) ondersteunen om complete beschikbaarheid te bereiken. Ongebruikte verbindingen met de serveromgeving moeten na verloop van tijd automatisch worden beëindigd. Netwerkprotocollen kunnen de integriteit van gegevens bij het wegvallen van een verbinding waarborgen. AANPAK VOOR HET BEVEILIGEN VAN TELEWERKEN Het model van Krabbenbos & Tulp [TELE11] maakt meetbaar of functies c.q. afdelingen geschikt zijn voor telewerken. Het model bestaat uit twee fasen. In fase 1 wordt de telewerkbaarheid van een functie gescoord op de drie aspecten die links in figuur 2 zijn weergegeven. Hiervoor worden standaard vragenlijsten gebruikt. Alleen als in fase 1 de telewerkbaarheid is aangetoond, wordt fase 2 uitgevoerd. In deze fase worden de drie criteria rechts in figuur 2 getoetst. Dit leidt tot een gefundeerd besluit over de de IT-Auditor nummer

6 FASE 1 FASE 2 Functie-gerelateerde aspecten 1. zelfstandigheid 2. meetbaarheid van resultaten 3. lokatie-onafhankelijkheid Afdelingsaspecten 1. resultaatgerichtheid 2. collegialiteit 3. innovatief vermogen Leiderschapsaspecten 1. vertrouwen in de medewerker 2. resultaatgericht leidinggeven 3. veranderingsbereidheid indicatie telewerkbaarheid selective van medewerkers betrouwbaarheidseisen kosten/batenanalyse informatiebeveiliging gefundeerd besluit Figuur 2: Het model van Krabbenbos & Tulp geschiktheid van een functie voor telewerken. Uitwerking van het criterium informatiebeveiliging Eén van de criteria uit fase 2 is informatiebeveiliging. Het criterium houdt in dat een voldoende niveau van beveiliging bij telewerken wordt gerealiseerd. In dit hoofdstuk wordt een aanpak beschreven waarmee dit voor de telewerkbare functies binnen een organisatie kan worden vastgesteld. Het vertrekpunt van deze aanpak is het algemene beveiligingsbeleid waaraan ook de voorzieningen voor telewerken moeten voldoen. Het beleid is kaderstellend voor de risicoanalyse die voor alle functies die telewerkbaar zijn, afzonderlijk moet worden uitgevoerd. De risicoanalyse bestaat uit een afhankelijkheids- en kwetsbaarheidsanalyse. De uitkomst hiervan leidt tot een beveiligingsplan voor alle functies die geschikt zijn voor telewerken. Dit is gevisualiseerd in figuur 3. De blauw gekleurde onderdelen uit deze figuur zijn specifiek voor telewerken en worden hierna verder uitgewerkt. het gaat. Vervolgens wordt het gewenste beveiligingsniveau (GBN) bepaald. De afhankelijkheidsanalyse van SPRINT [ISF97] is hiervoor een praktisch hulpmiddel. Het GBN komt tot uitdrukking in de betrouwbaarheidseisen die aangeven welke mate van beschikbaarheid, integriteit en vertrouwelijkheid voor deze informatie gewenst is. Organisaties die al een classificatieschema voor informatie hebben, kunnen dit schema gebruiken en hoeven het beveiligingsniveau niet opnieuw te bepalen. afhankelijkheidsanalyse voor telewerken kwetsbaarheidsanalyse voor telewerken Kwetsbaarheidsanalyse voor telewerken De risico s van telewerken hangen samen met werklocaties en ICT. In de kwetsbaarheidsanalyse wordt daarom eerst bepaald vanaf welke locaties de functie uitgevoerd wordt en welke ICT daarvoor nodig is. Vervolgens wordt vastgesteld hoe kwetsbaar deze locaties en ICT zijn voor de bedreigingen die hierop inwerken. Hiervoor kan gebruik gemaakt worden van de generieke kwetsbaarheidsanalyse van SPRINT [ISF97] in combinatie met de specifieke informatiebeveiligingsbeleid maatregelen Afhankelijkheidsanalyse voor telewerken Een functie bestaat uit taken. Voor het uitvoeren van deze taken hebben telewerkers informatie nodig. In de afhankelijkheidsanalyse wordt eerst geïnventariseerd om welke informatie informatiebeveiligingsplan voor telewerken risicoanalyse per telewerkbare functie of afdeling Figuur 3: Aanpak voor het beveiligen van telewerken 12 de IT-Auditor nummer

7 GBN H L H H M KN beschrijving van bedreigingen en kwetsbaarheden uit vorige paragrafen. Uit deze analyse volgt een algeheel kwetsbaarheidsniveau (KN) per betrouwbaarheidsaspect. L M L GMN Tabel 1: Relatie tussen GBN, KN en GMN De omvang en aard van de te treffen beveiligingsmaatregelen, ofwel het gewenste maatregelenniveau (GMN), volgt uit het GBN enerzijds en het KN anderzijds. Tabel 1 geeft per combinatie van GBN en KN weer wat het GMN is. De tabel is een vereenvoudigde weergave. Voor GBN en KN wordt uitgegaan van twee niveaus (Hoog en Laag) en voor GMN van drie niveaus (Hoog, Midden, Laag). Bij een GMN dat varieert van nihil tot laag hoeft de organisatie geen aanvullende maatregelen te treffen. Als het GMN laag tot midden is dan kunnen maatregelen ter bevordering van het beveiligingsgedrag van de telewerker volstaan. Hulpmiddelen hierbij zijn telewerkovereenkomsten 9, waarin ondermeer verantwoordelijkheden voor beveiliging worden belegd, beveiligingsrichtlijnen per onderwerp 10 en security awareness campagnes. Bij een hoger GMN moet de organisatie zorgen dat zij zelf meer invloed krijgt op de beveiliging en het beheer van de locatie en/of de ICT. Voor ICT kan de organisatie dit doen door gegevensopslag en -verwerking meer te centraliseren of zelf werkstations te verstrekken en beheren. Als het GMN zo hoog is dat het niet realiseerbaar is, dan is de functie niet geschikt voor telewerken. Hetzelfde geldt voor de situatie waarin de te treffen beveiligingsmaatregelen zo duur zijn, dat telewerken bedrijfseconomisch niet meer interessant is. Dit hangt samen met het criterium kostenbatenanalyse. Beveiligingsplan voor telewerken Het opstellen van een specifiek beveiligingsplan voor telewerken helpt voorkomen dat bepaalde telewerkmiddelen en -locaties buiten de reikwijdte van het proces informatiebeveiliging vallen. Organisaties hebben in de praktijk met name weinig grip op het gebruik van smartphones en tablets, terwijl de toepassingen hierop steeds vaker ingezet worden voor zakelijk gebruik. Het beveiligingsplan voor telewerken beschrijft per functie die geschikt is voor telewerken, welke beveiligingsmaatregelen moeten worden getroffen. Om redenen van effectiviteit en efficiency worden de maatregelen die volgen uit de kwetsbaarheidsanalyse niet een-op-een overgenomen, maar eerst zoveel mogelijk gebundeld in standaardoplossingen. Voorbeelden hiervan zijn het aanbieden van veelgebruikte applicaties via SBC en het verstrekken van standaard werkstations met toebehoren. Deze standaardoplossingen worden vervolgens gekoppeld aan de functies. Voor functies waarbij de standaardoplossing het GMN onvoldoende afdekt, worden aanvullende maatregelen toegevoegd die zijn geïdentificeerd in de kwetsbaarheidsanalyse. De risicoanalyses en het beveiligingsplan dienen periodiek te worden geëvalueerd en afgestemd op nieuwe telewerkfuncties, -locaties en -middelen. CONCLUSIE Telewerken brengt, in vergelijking tot werken op kantoor, extra beveiligingsrisico s met zich mee. Deze worden vooral veroorzaakt doordat telewerken plaats kan vinden vanaf locaties en met ICT die intrinsiek onveilig zijn of niet door de organisatie beheerd worden. In dit artikel zijn de bedreigingen en kwetsbaarheden rond de locatie en ICT gestructureerd uiteengezet. Ook zijn maatregelen beschreven die de organisatie kan treffen om beveiligingsrisico s bij telewerken te reduceren. In het model van Krabbenbos & Tulp is een voldoende niveau van beveiliging één van de criteria waaraan moet zijn voldaan voordat een afdeling C.H. (Lars) Hoogendijk MSc CISA is sinds 2007 werkzaam als IT-auditor bij BDO Consultants, afdeling Information Technology en heeft onderzoek gedaan naar informatiebeveiliging bij telewerken binnen de rijksoverheid [HOOG07]. Het artikel is geschreven op persoonlijke titel. J. (Jeroen) van Schajik RE CISA is sinds 2003 werkzaam als IT-auditor bij BDO Consultants, afdeling Information Technology en lid van de commissie Young Professionals van de NOREA. Het artikel is geschreven op persoonlijke titel. de IT-Auditor nummer

8 of functie geschikt is voor telewerken. Dit criterium is in dit artikel verder uitgewerkt. Door middel van risicoanalyse wordt per telewerkbare afdeling of functie bepaald welke beveiligingsmaatregelen de organisatie kan treffen om een adequaat niveau van beveiliging bij telewerken te realiseren. Als informatie die telewerkers gebruiken bedrijfskritisch of gevoelig is, moet de organisatie gegevensverwerking en -opslag meer centraliseren of werkstations in eigen beheer uitgeven. Als de restrisico s van telewerken te groot of de maatregelen te duur zijn, is de uitkomst van het model dat de functie of afdeling niet geschikt is voor telewerken. Noten 1. Betrouwbaarheid bestaat uit de aspecten integriteit, beschikbaarheid en vertrouwelijkheid. 2. Met name beschikbaarheid stroomvoorziening en veilig en snel computernetwerk. 3. Ook als er vooraf afspraken gemaakt zijn is de telewerker juridisch niet verplicht om mee te werken aan een inspectie. 4. Denk aan uitlekken wachtwoorden via Trojaanse paarden of door lokale opslag en op afstand overnemen werkstations. 5. Bijvoorbeeld onvertrouwde processen, updates en patches etc. 6. Firewall, anti-virus logische toegangsbeveiliging, encryptie etc. 7. Autorisaties, invoercontroles, verbandcontroles, uitvoercontroles et cetera. 8. Met name ten aanzien van capaciteit en beschikbaarheid. 9. Dit is een aanvulling op een arbeidsovereenkomst en bevat meestal afspraken over het aantal telewerkuren, bereikbaarheid, communicatie met de afdeling etc. 10. Preventie van laptopdiefstal, virusbescherming, veilig gebruik van internet, privégebruik van bedrijfscomputers, zakelijk gebruik van smartphones etc. Literatuurlijst [CBS09] Webmagazine: Aandeel bedrijven met telewerkers in vier jaar verdubbeld. Centraal Bureau voor de Statistiek, [DIGI08] DigiProfs: Driekwart thuiswerkplekken onveilig. Amsterdam, Digiprofs, [DTI08] Department of Trade and Industry: information security breaches survey Department of Trade and Industry (UK), [DTI10] Department of Trade and Industry: information security breaches survey Department of Trade and Industry (UK), [EURO10] Euroform: Telework in the European Union. Dublin, European Foundation for the Improvement of Living and Working Conditions, [GORG05] Gorge, M.: USB & other portable storage device usage / Be aware of the risks to your corporate data in order to take pre-emptive and/or corrective action, in: Computer Fraud & Security, augustus 2005, pp [HADD05] Haddon, L. and M. Brynin: The character of telework and the characteristics of teleworkers, in: New Technology, Work and Employment, Jaargang 20, Nummer 1 (2005), pp [HARP02] Harpaz, I.: Advantages and disadvantages of telecommuting for the individual, the organization and society, in: Work Study, Volume 51, Nummer 2 (2002), pp [HOOG07] Hoogendijk, L., Berg Van Den, J. en Groen, P.: Beveiliging van telewerken: het identificeren van risico s en maatregelen, in: Informatiebeveiliging, september (2007) pp [IDC11] IDC Press Release: Mobile Phone Market Grow s 17.9% in Fourth Quarter, According to IDC. IDC, [ISF97] Information Security Forum: SPRINT User Guide. Information Security Forum, [KURL99] Kurland, N.B. en Bailey, D.E.: The Advantages and Challenges of Working, Here, There, Anywhere, and Anytime, in: Organizational Dynamics, autumn (1999), pp [MEAR06] Mearian, L.: Portable Storage Devices Pose IT Security Risk, in: Computerworld, Volume 40, Nummer 13, pp. 1 en 57. [SEI97] SEI: Client/Server Software Architectures--An Overview. Software Engineering Institute, [SULL03] Sullivan, C.: What s in a name? Definitions and conceptualisations of teleworking and homeworking, in: New Technology, Work and Employment, Jaargang 18, Nummer 3 (2003), pp [TELE11] Telewerkforum: Welke functies/ beroepen zijn telewerkbaar? Online beschikbaar via telewerkforum.nl. Geraadpleegd op 19 januari S 14 de IT-Auditor nummer

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Werkplekbeveiliging in de praktijk

Werkplekbeveiliging in de praktijk Werkplekbeveiliging in de praktijk M.E.M. Spruit Geautomatiseerde werkplekken vormen een belangrijke schakel in de informatievoorziening van organisaties. Toch wordt aan de beveiliging van werkplekken

Nadere informatie

het identificeren van risico s en maatregelen

het identificeren van risico s en maatregelen Een case study binnen de rijksoverheid Beveiliging van telewerken: het identificeren van risico s en maatregelen Auteurs: Lars Hoogendijk MSc, Dr. Ir. Jan van den Berg, Ing. Peter Groen MBA RE CISA. 1.

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Protocol Thuis- en telewerken

Protocol Thuis- en telewerken Protocol Thuis- en telewerken Versie 1.1 Datum 18 juni 2009 Pagina 2 / 8 Inhoudsopgave 1 Algemeen 4 2 Toestemming 4 3 Transport van vertrouwelijke informatie 4 4 Thuissituatie 5 4.1 Spelregels voor het

Nadere informatie

Mobile device management:

Mobile device management: Jacco Bezemer Mobile device management: Grip op smartphones en tablets Even voorstellen Jacco Bezemer, Adviseur sinds 2008 Begonnen als Technisch Consultant bij Ictivity in 2000 jacco.bezemer@ictivity.nl

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie RAM Mobile Data Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur

Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Welkom bij parallellijn 1 On the Move 14.20 15.10 uur Stap 4 van de BIG Hoe stel ik vast of de informatiebeveiligingsmaatregelen van mijn gemeente effectief zijn en hoe rapporteer ik hierover? 1 IBD-Praktijkdag

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V.

Process Control Netwerk Security bij Lyondell. Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Process Control Netwerk Security bij Lyondell Dave Chong European IT Project Manager Lyondell Chemie Nederland B.V. Agenda Introductie Korte feiten over Lyondell Chemie Wat doet Lyondell Chemie aan PCN

Nadere informatie

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Hardening. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Hardening Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Enterprise SSO Manager (E-SSOM) Security Model

Enterprise SSO Manager (E-SSOM) Security Model Enterprise SSO Manager (E-SSOM) Security Model INHOUD Over Tools4ever...3 Enterprise Single Sign On Manager (E-SSOM)...3 Security Architectuur E-SSOM...4 OVER TOOLS4EVER Tools4ever biedt sinds 2004 een

Nadere informatie

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker

Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA. Arjan Dekker Aanbeveling analysemethode voor het Informatiebeveiligingsbeleid van de HVA Arjan Dekker 25 mei 2005 Inhoudsopgave 1 Inleiding 2 2 Analysemethoden 2 2.1 Kwalitatieve risicoanalyse......................

Nadere informatie

Advies informatiebeveiligings analyse HvA

Advies informatiebeveiligings analyse HvA Advies informatiebeveiligings analyse HvA Wouter Borremans - 0461911 - v1.1 1 Juni 2005 1 Inleiding Dit document is geschreven met als doel om de Hogeschool van Amsterdam[5] (HvA) te voorzien van een advies

Nadere informatie

imagine. change. Omdat WerkPlek voor u werkt Ricoh WerkPlek De beste zorg voor uw werkplek

imagine. change. Omdat WerkPlek voor u werkt Ricoh WerkPlek De beste zorg voor uw werkplek imagine. change. Omdat WerkPlek voor u werkt Ricoh WerkPlek De beste zorg voor uw werkplek Een complete werkplek inclusief hard- en software zonder zorgen? Laat WerkPlek voor u werken Thuis, op kantoor

Nadere informatie

TELEWERKBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TELEWERKBELEID. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TELEWERKBELEID Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Telewerkbeleid Versienummer 1.0 Versiedatum April

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Remcoh Mobile Device beheer. Remcoh legt uit

Remcoh Mobile Device beheer. Remcoh legt uit Remcoh Mobile Device beheer Remcoh legt uit White Paper Middels deze white paper informeert en adviseert Remcoh u over slim beheer van mobiele apparaten en toegang daarmee tot uw bedrijfsgegevens. Waarom

Nadere informatie

Bijlage Risicoanalyse steekproeftrekking

Bijlage Risicoanalyse steekproeftrekking Bijlage Risicoanalyse steekproeftrekking Versie: 2.0 Datum: 15-09-2013 Code: BIJ 02.01 Eigenaar: KI 1. Risicoanalyse voor de steekproeftrekking De eerste stap in de uitvoering van de steekproeftrekking

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Windows Server 2008 helpt museum met het veilig delen van informatie

Windows Server 2008 helpt museum met het veilig delen van informatie Windows Server 2008 helpt museum met het veilig delen van informatie Het Rijksmuseum Amsterdam beschikt over een collectie Nederlandse kunstwerken vanaf de Middeleeuwen tot en met de twintigste eeuw. Het

Nadere informatie

Privacy Verklaring Definities Toegang tot Innerview

Privacy Verklaring Definities Toegang tot Innerview Privacy Verklaring Dit is de Privacy Verklaring van Pearson Assessment and Information B.V. (hierna te noemen: Pearson of wij ) te Amsterdam (Postbus 78, 1000 AB). In deze verklaring wordt uiteengezet

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

De Uitdagingen van Mobiele Apparaten Managen

De Uitdagingen van Mobiele Apparaten Managen Kaseya Onderzoek De Uitdagingen van Mobiele Apparaten Managen 2011 www.kaseya.nl Over dit rapport In dit rapport worden de resultaten gepresenteerd van een onderzoek dat door Kaseya is geïnitieerd en uitgevoerd

Nadere informatie

e-token Authenticatie

e-token Authenticatie e-token Authenticatie Bescherm uw netwerk met de Aladdin e-token authenticatie oplossingen Aladdin is een marktleider op het gebied van sterke authenticatie en identiteit management. De behoefte aan het

Nadere informatie

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision Werkplekvisie Hans van Zonneveld Senior Consultant Winvision De essentie De gebruiker centraal Verschillende doelgroepen Verschillende toepassingen Verschillende locaties Het beschikbaar

Nadere informatie

Management van mobiele apparaten. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Management van mobiele apparaten. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Management van mobiele apparaten Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

DigiNotar certificaten

DigiNotar certificaten DigiNotar certificaten Onlangs is duidelijk geworden dat er digitaal is ingebroken bij het bedrijf Diginotar. Daarmee worden alle DigiNotar certificaten niet meer als veilig geaccepteerd. Certificaten

Nadere informatie

Marlin Family. Marlin

Marlin Family. Marlin PCA Mobile PCA Mobile Organisatie PCA Mobile BV maakt deel uit van de Mobile Solution Group en biedt met ruim 40 enthousiaste collega s een veelomvattend pakket van innovatieve en gebruiksvriendelijke

Nadere informatie

Hoe fysiek is informatiebeveiliging?

Hoe fysiek is informatiebeveiliging? Hoe fysiek is informatiebeveiliging? Johan de Wit Siemens Nederland NV Hoe fysiek is informatiebeveiliging? Informatie is voor organisaties van onschatbare waarde, het beschermen ervan heeft binnen organisaties

Nadere informatie

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem? Executive summary Organisaties maken meer en meer gebruik van online

Nadere informatie

Management special. BYOD hulpmiddelen Door: Bram Semeijn

Management special. BYOD hulpmiddelen Door: Bram Semeijn Management special BYOD hulpmiddelen Door: Bram Semeijn BYOD hulpmiddelen IT-managers grijpen betrekkelijk makkelijk naar technische hulpmiddelen om BYOD-apparatuur onder controle te krijgen. Dat kan echter

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

IP Services. De grenzeloze mogelijkheden van een All IP -netwerk

IP Services. De grenzeloze mogelijkheden van een All IP -netwerk IP Services De grenzeloze mogelijkheden van een All IP -netwerk Voor wie opgroeit in deze tijd is het de grootste vanzelfsprekendheid. Je zet de computer aan en je kunt mailen, chatten, elkaar spreken

Nadere informatie

Adviesregeling Telewerken CAO Jeugdzorg

Adviesregeling Telewerken CAO Jeugdzorg Adviesregeling Telewerken CAO Jeugdzorg Een telewerker is een werknemer die gedurende tenminste twintig procent van de werktijd buiten het kantoor (dus niet noodzakelijk thuis) werkt, gebruikmakend van

Nadere informatie

Zakelijk Mobiel. Dienstbeschrijving Juni 2013

Zakelijk Mobiel. Dienstbeschrijving Juni 2013 Zakelijk Mobiel Dienstbeschrijving Juni 2013 INHOUD ONBEZORGD MOBIEL BELLEN EN INTERNETTEN 3 ZAKELIJK MOBIEL ABONNEMENTEN VOOR IEDEREEN 4 ZAKELIJK MOBIEL GROEP SIM VOOR LAPTOP/TABLET 4 DELEN VAN TEGOEDEN

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Sr. Security Specialist bij SecureLabs

Sr. Security Specialist bij SecureLabs Wie ben ik? Ronald Kingma, CISSP ronald@securelabs.nl Sr. Security Specialist bij SecureLabs Introductie SecureLabs Voorheen ISSX Code of Conduct Real Penetration Testing Vulnerability Management Veiligheidsincidenten

Nadere informatie

Advocatuur en informatie beveiliging Een hot topic

Advocatuur en informatie beveiliging Een hot topic Advocatuur en informatie beveiliging Een hot topic René van den Assem Partner @ Verdonck, Klooster & Associates eherkenning adviseur @ ICTU Rene.vandenassem@vka.nl De achterstandspositie PwC en IronMountain

Nadere informatie

owncloud centraliseren, synchroniseren & delen van bestanden

owncloud centraliseren, synchroniseren & delen van bestanden owncloud centraliseren, synchroniseren & delen van bestanden official Solution Partner of owncloud Jouw bestanden in de cloud Thuiswerken, mobiel werken en flexwerken neemt binnen organisaties steeds grotere

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

De alles-in-1 Zorgapp

De alles-in-1 Zorgapp De alles-in-1 Zorgapp Tevreden cliënten en medewerkers Impact van zorgapps op de zorgverlening Meerwaarde van zorgapps in het zorgproces De rol van de zorgverlener verandert in rap tempo door nieuwe technologie

Nadere informatie

Meest mobiele organisatie van Nederland

Meest mobiele organisatie van Nederland Resultaten onderzoek Meest mobiele organisatie van Nederland Juni 2013 Uitkomsten onderzoek onder top organisaties in Nederland Uitgevoerd door Keala Research & Consultancy in de periode mei tot en met

Nadere informatie

Open source en open standaarden, hfdst. 1 & 2 p. 3-34. Puntenverdeling: Juiste omschrijving Open Source Juiste omschrijving Open Standaarden

Open source en open standaarden, hfdst. 1 & 2 p. 3-34. Puntenverdeling: Juiste omschrijving Open Source Juiste omschrijving Open Standaarden Antwoordmodel Aan dit antwoordmodel kunnen geen rechten worden ontleend. Het antwoordmodel dient als indicatie voor de corrector. Studiemateriaal Hameeteman, R., Kuiken, B. en Vink, G. (2009). Klein receptenboek

Nadere informatie

MobileXpress. Beveiligde Virtuele Toegang via BT

MobileXpress. Beveiligde Virtuele Toegang via BT MobileXpress Beveiligde Virtuele Toegang via BT De Uitdaging De IT-infrastructuur van uw organisatie vertegenwoordigt een grote waarde. Het vermogen om het volle potentieel ervan te benutten is een belangrijke

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Service Level Agreement

Service Level Agreement Service Level Agreement 1 Algemene bepalingen 1.1 Partijen Deze Service Level Agreement (verder te noemen: SLA) is een overeenkomst die is gesloten tussen: WAME BV, gevestigd te Enschede aan de Deurningerstraat

Nadere informatie

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. STAATSCOURANT Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814. Nr. 16990 20 juni 2014 Regeling van de Staatssecretaris van Volksgezondheid, Welzijn en Sport van 12 juni 2014, kenmerk 376061-121125-WJZ,

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

BE READY FOR WHAT S NEXT! Kaspersky Open Space Security

BE READY FOR WHAT S NEXT! Kaspersky Open Space Security BE READY FOR WHAT S NEXT! Open Space Security Internetaanvallen zijn reëel. Alleen vandaag al, heeft de Lab-technologie bijna 3 miljoen aanvallen voorkomen die waren gericht tegen onze wereldwijde klanten.

Nadere informatie

Information security officer: Where to start?

Information security officer: Where to start? 1 Information security officer: Where to start? The information security policy process is a continuous and cyclic process 2 1. PLAN: establish ISMS CREATE Information Security Policy (ISP) Inventarise

Nadere informatie

Informatieveiligheidsbeleid

Informatieveiligheidsbeleid Informatieveiligheidsbeleid 2014 Martini Ziekenhuis Groningen Opdrachtgever: Harm Wesseling, directeur ICT en Medische Techniek Auteur: Ger Wierenga, security officer, stafdienst ICT Datum: Oktober 2014

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Oplossingen overzicht voor Traderouter > 02/11/2010

Oplossingen overzicht voor Traderouter > 02/11/2010 Oplossingen overzicht voor Traderouter > 02/11/2010 Netconnex is opgericht in 2004 (Gezeteld in Belgie maar het hoofd datacenter gelegen in Nederland [omgeving Amsterdam]). Zeer gestaag groeiende onderneming

Nadere informatie

CHECKLIST TELEWERKEN Werkzaamheden Voorwaarden en faciliteiten Telewerkovereenkomst Nota Bene

CHECKLIST TELEWERKEN Werkzaamheden Voorwaarden en faciliteiten Telewerkovereenkomst Nota Bene CHECKLIST TELEWERKEN Deze checklist biedt een aantal die behulpzaam zijn bij de invoering van telewerken binnen de arbeidsorganisatie. Werkzaamheden er zijn werkzaamheden die geschikt zijn voor telewerk:

Nadere informatie

Het Nieuwe Werken in de praktijk

Het Nieuwe Werken in de praktijk Het Nieuwe Werken in de praktijk Business cases en ervaringen Jan van der Meij Geert Wirken 4 april 2012 Inhoud Wat is Het Nieuwe Werken? Bring Your Own Device Cloud Computing Business cases Afronding

Nadere informatie

Hoe zorgt u voor maximale uptime met minimale inspanning?

Hoe zorgt u voor maximale uptime met minimale inspanning? Hoe zorgt u voor maximale uptime met minimale inspanning? Qi ict Delftechpark 35-37 2628 XJ Delft T: +31 15 888 04 44 F: +31 15 888 04 45 E: info@qi.nl I: www.qi.nl De service-overeenkomsten van Qi ict

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

21-4-2015. Online Werkplek document

21-4-2015. Online Werkplek document 21-4-2015 Online Werkplek document 1 Inhoudsopgave 2 Beschrijving... 3 3 Hoe werkt het?... 3 4 Wat krijg ik bij een online werkplek?... 5 5 Hoe werkt het met opslag?... 5 6 Waar staat mijn data?... 6 7

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data

Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data Veiligheid van de mobiele werkplek Een white paper van RAM Mobile Data Schrijver: Hans Heising 24-07-2008 Copyright RAM Mobile Data B.V. 1 Copyright RAM Mobile Data B.V. 2 Inhoudsopgave Mobiele datacommunicatie

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V.

Welkom. De fysieke beveiliging van uw industriële netwerk. Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. Welkom De fysieke beveiliging van uw industriële netwerk Sjoerd Hakstege van Eekhout Network & Security Specialist Phoenix Contact B.V. In-Depth Security = meerdere lagen Security Aanpak 1. Fysieke beveiliging

Nadere informatie

Ja Nee Toelichting Handreiking

Ja Nee Toelichting Handreiking Wilt u overtuigd worden over nut en noodzaak van printerloos werken of ziet u belemmeringen? Doe eerst de test en lees de business case voordat u dieper duikt in de materie! Ja Nee Toelichting Handreiking

Nadere informatie

Bruikleenovereenkomst mobiele device en/of aanverwant abonnement

Bruikleenovereenkomst mobiele device en/of aanverwant abonnement Bruikleenovereenkomst mobiele device en/of aanverwant abonnement Ondergetekende: Stichting Avans, te dezen vertegenwoordigd door [Naam], [functie], hierna te noemen werkgever en [Naam werknemer], met personeelsnummer

Nadere informatie

Smartphones onder vuur

Smartphones onder vuur Smartphones onder vuur Dominick Bertens Account Manager NAVO & NL Agenda Sectra Communications Bedreigingen Bring Your Own Device Panthon 3 Samenvatting Security Masterclass Vragen Sectra Communications

Nadere informatie

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006 Bart de Wijs Stappen ze bij u ook gewoon door de achterdeur binnen? All rights reserved. 5/17/2006 IT Security in de Industrie FHI 11 Mei 2006 Achterdeuren? Heeft u ook: Slide 2 Van die handige USB memory

Nadere informatie

BYOD, Outsourcing van de ICT naar de werknemer? Handvatten voor besluitvorming en invoering.

BYOD, Outsourcing van de ICT naar de werknemer? Handvatten voor besluitvorming en invoering. BYOD, Outsourcing van de ICT naar de werknemer? Handvatten voor besluitvorming en invoering. Ruud Kurver Platform Outsourcing Nederland, 28 juni 2012 Introductie Product Manager Services, Telindus-ISIT

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

Quinfox s visie op Bring Your Own Device

Quinfox s visie op Bring Your Own Device Quinfox s visie op Bring Your Own Device Steeds meer bedrijven staan het toe dat werknemers hun eigen smartphone, tablet of notebook gebruiken op het werk. Deze trend wordt aangeduid met de afkorting BYOD

Nadere informatie

Bring Your Own Device onder controle. Tanja de Vrede

Bring Your Own Device onder controle. Tanja de Vrede Bring Your Own Device onder controle Tanja de Vrede Bring Your Own Device onder controle 5 tools om zelf meegebrachte apparaten te beheren 12 maart 2013 Tanja de Vrede Het gebruik van eigen mobiele apparatuur

Nadere informatie

Veilig mobiel werken. Workshop VIAG 7 oktober 2013

Veilig mobiel werken. Workshop VIAG 7 oktober 2013 1 Veilig mobiel werken Workshop VIAG 7 oktober 2013 Stelling 1: 2 Heeft u inzicht in de opbrengsten van mobiel werken Ja, dit biedt veel toegevoegde waarde voor de organisatie Ja, dit biedt geen toegevoegde

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers

Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Voortgezet Onderwijs, Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen.

Bureau organisatie van de CIHN alsmede locatiemanagers, CODA s en teamleider Nijmegen. Bijlage 6 Classificatie van beveiligingsrisico s Dit document zorgt voor grotere bewustwording in de gehele organisatie door te benoemen en te registreren welke informatie als vertrouwelijk, intern of

Nadere informatie

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0

Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Huisartsenpraktijk Bender Overschie, januari 2013 Auteur: P.P.M. Bender versie: 1.0 Informatiebeveiling Zie ook het Privacyregelement 1. Beroepsgeheim De huisartsen, psycholoog en POH s hebben als BIG

Nadere informatie

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Bedrijfszekerheid Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN Altijd in bedrijf Onderwerpen Liveplan remote beheer Firmtel Telefonie Liveplan server backup LivePlan Remote Beheer

Nadere informatie

Mobiel Internet Dienstbeschrijving

Mobiel Internet Dienstbeschrijving Mobiel Internet Dienstbeschrijving o ktober 2013 INHOUD MOBIEL INTERNET 3 ABONNEMENTEN 3 BASISAANBOD 3 OPTIONELE MODULES VOOR MOBIEL INTERNET 5 TARIEVEN 5 INFORMATIEBEVEILIGING 5 MOBIEL INTERNET De tijd

Nadere informatie

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken

Inhoud. Dus u denkt dat internetbankieren veilig is? Informatiebeveiliging Cryptografie Internetbankieren. 26 september 2009 Harald Vranken Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2 Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie)

Nadere informatie

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011 Privacy en cloud computing OCLC Contactdag 4 oktober 2011 Agenda - Wat is cloud computing? - Gevolgen voor verwerking data - Juridische implicaties 1 Wat is cloud computing? - Kenmerken: - On-demand self-service

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

Derden-mededeling Overstapservice Onderwijs

Derden-mededeling Overstapservice Onderwijs Mededeling over de betrouwbaarheid van de Overstapservice Onderwijs Onlangs heeft Infoseccon BV een rapport over het geautomatiseerde systeem van Overstapservice Onderwijs (OSO) uitgebracht. Infoseccon

Nadere informatie

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research

Nationale IT Security Monitor 2015. Peter Vermeulen Pb7 Research Nationale IT Security Monitor 2015 Peter Vermeulen Over het Onderzoek Jaarlijks terugkerende vragen Organisatie en beleid Investeringen en groei 2015 Thema s Databeveiliging (incl. Algemene Data Protectie

Nadere informatie

Dataprotectie op school

Dataprotectie op school Dataprotectie op school ook een taak van het management Jacques Verleijen Wat is informatieveiligheid? Mogelijke actoren Netwerkschijven Cloud Backup- en restoremogelijkheden Encryptie Servers Firewalls

Nadere informatie

Worry Free Business Security 7

Worry Free Business Security 7 TREND MICRO Worry Free Business Security 7 Veelgestelde vragen (extern) Dal Gemmell augustus 2010 Inhoud Kennismaking met Worry Free Business Security... 3 Wat is Worry Free Business Security?... 3 Wanneer

Nadere informatie