BYOD, met de B van bewustwording De gevolgen van een BYOD implementatie in een universitaire omgeving

BYOD, met de B van bewustwording De gevolgen van een BYOD implementatie in een universitaire omgeving Scriptie Scriptienummer: 1086 Auteur Wouter Weusthof 2166801 PwC Begeleiders Dr. René Matthijsse, Vrije Universiteit Amsterdam Jeroen Krook, PwC Opleiding Vrije Universiteit Amsterdam Postgraduate IT Audit opleiding

Inhoudsopgave Voorwoord... 3 1. Inleiding... 4 1.1 Aanleiding en doelstelling... 4 1.2 Onderzoeksvraag... 4 1.3 Onderzoeksaanpak... 8 2. Literatuuronderzoek... 10 2.1. Opkomst van BYOD... 10 2.2. CIA-factoren... 16 2.3. Consequenties voor de infrastructuur... 20 3. Praktijkonderzoek... 31 3.1. BYOD op de Erasmus universiteit... 31 3.2. Bevindingen en analyse... 32 3.3. Samenvatting praktijkonderzoek... 45 4. Beantwoording centrale vraagstelling... 47 Afsluiting... 49 Literatuurlijst... 50 2

Voorwoord Voor u ligt de scriptie als afsluiting van de Postgraduate IT Audit opleiding aan de Vrije Universiteit van Amsterdam. In de scriptie wordt een probleem of vraagstuk uit de dagelijkse praktijk op academisch verantwoorde wijze uitgewerkt. In mijn zoektocht naar een actueel en relevant onderwerp stuitte ik in mijn dagelijkse werkzaamheden op de uitdagingen rondom Bring Your Own Device. Mijn interesse hierin heeft ertoe geleid dat ik onderzoek heb gedaan naar de implementatie van Bring Your Own Device binnen een universitaire omgeving en de gevolgen daarvan voor de IT beheerorganisatie. Namens de Vrije Universiteit Amsterdam is de heer dr. René Matthijsse mijn scriptiebegeleider. Ik wil hem bedanken voor het constant bewaken van het proces, zijn vakkundig inzicht, zijn kritische en constructieve feedback en zijn onophoudelijke enthousiasme. Daarnaast wil ik alle (gast)docenten bedanken voor de leerzame colleges van de afgelopen jaren. Verder wil ik mijn bedrijfsbegeleider Jeroen Krook bedanken. Hij heeft mij in de opstartfase geholpen met het aandragen van mogelijke onderwerpen en gedurende het afgelopen jaar was hij op gezette momenten daar om me te wijzen op het belang van tijdige afronding van de scriptie. Tenslotte wil ik mijn vriendin en mijn ouders bedanken. Zij hebben mij altijd aangemoedigd, gesteund en begrip getoond als studie ook in mijn vrije tijd - mijn prioriteit kreeg. Wouter Weusthof Oldenzaal, september 2013

1. Inleiding 1.1 Aanleiding en doelstelling De opkomst van de mobiele devices heeft de afgelopen jaren gestalte gekregen binnen universiteiten. De steeds verder innoverende technologieën en vernieuwende devices (tablets, smartphones) hebben ertoe geleid dat steeds meer studenten en medewerkers devices die ze privé gebruiken ook willen gebruiken op de onderwijsinstelling. Hiermee vervaagt de scheidslijn tussen enerzijds studie en werk en anderzijds privé. Het toestaan van eigen mobiele devices van medewerkers (en in dit geval studenten) voor zakelijk gebruik (in dit geval op universiteiten) noemen we Bring Your Own Device (hierna: BYOD). BYOD kan verschillende voordelen met zich meebrengen, zoals een verhoogde flexibiliteit en een toenemende medewerker- en studententevredenheid. Daarentegen brengt BYOD ook beheersrisico s met zich mee die de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens kunnen bedreigen. Deze scriptie biedt een overzicht van de belangrijkste risico s op universiteiten en brengt mogelijke maatregelen met betrekking tot IT beheer in kaart. 1.2 Onderzoeksvraag Met dit onderzoek wil ik antwoord geven op de volgende centrale vraag (zie ook figuur 1): Wat zijn de gevolgen voor IT beheer als gevolg van de invoering van BYOD in een universitaire omgeving, in relatie tot de CIA-factoren? Figuur 1. Visuele weergave onderzoeksvraag Om antwoord te kunnen geven op de centrale onderzoeksvraag zijn de volgende deelvragen gedefinieerd: Wat betekent BYOD voor een (universitaire) organisatie en welke risicogebieden kunnen ontstaan? Welke risico s zijn te onderkennen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens als gevolg van Bring your own device in een universiteit? Welke maatregelen kunnen IT beheerorganisaties inrichten om de risico s omtrent Bring your own device te mitigeren? 4

1.2.1 Bring Your Own Device Het BYOD is op te delen in twee elementen. Allereerst Bring Your Own dat aangeeft dat studenten en medewerkers iets vanuit de privésfeer meenemen naar de universiteit. In de praktijk zijn er drie BYOD-uitvoeringen te onderscheiden, het open device, het device als mobile display en het device met een beveiligde app. Hieronder wordt kort ingegaan op de drie te onderscheiden toepassingen: (AIVD, 2012) Het open device is een device zoals de consument die in de winkel koopt. Daarop zijn applicaties meegeleverd, zoals e-mail en agenda apps. Na configuratie komt verbinding tot stand met de back-office systemen van de organisatie, waardoor gegevens in kunnen worden gezien (on-line gebruik) of worden gesynchroniseerd (off-line gebruik). Dit scenario omvat de grootste variëteit, aangezien alle merken en typen devices zijn toegestaan. Dit maakt de beheersing mogelijk lastig. Bij de beveiligde app worden gegevens op het device zelf verwerkt en/of opgeslagen, maar niet door middel van de op het device standaard meegeleverde applicaties. Er wordt een eigen app ontwikkeld en beschikbaar gesteld, waarmee de specifieke beveiligingseisen worden ingevuld. Deze applicatie creëert een beveiligde omgeving, afgescheiden van de andere gegevens en applicaties op het device. Er is bijvoorbeeld versleutelde opslag van de gegevens en authenticatie van de gebruiker. Het mobile display is een applicatie waarmee een virtuele werkplek op het device wordt weergegeven. In dit scenario worden geen gegevens op het device zelf verwerkt of opgeslagen, maar wordt een toepassing gebruikt binnen de backoffice van de organisatie waarvan de schermuitvoer op het device wordt getoond. Dit kan bijvoorbeeld een digitale werkplek zijn die via een remote display applicatie kan worden gebruikt. Voor vrijwel alle gangbare platformen is een mobile remote display applicatie beschikbaar. In dit onderzoek richt ik me op de toepassing mobile display. Nederlandse universiteiten lijken een voorkeur te hebben voor deze variant. Met de invoering van Het Nieuwe Werken creëren onderwijsinstellingen virtuele werkplekken voor hun medewerkers, zodat medewerkers en studenten in de flexibele werk- en studeerruimtes hun persoonlijke werkplek kunnen benaderen. Door een mobile remote display applicatie te installeren op een persoonlijk device kan op eenzelfde manier toegang verkregen worden tot het bedrijfsnetwerk. Het tweede element van BYOD is Device, waarvan de letterlijke vertaling luidt: apparaat. In deze scriptie richten we ons op de meest voorkomende mobiele apparaten, namelijk de smartphones en tablets. Deze devices zijn de laatste jaren in opkomst en de verwachting is dat ze de komende decennia steeds meer invloed krijgen, zowel binnen de universiteit als in de privésituatie. Door het intensieve gebruik van deze apparaten is het risico met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfskritische gegevens aanzienlijk. 1.2.2 IT beheer Binnen steeds meer bedrijven is IT uitgegroeid tot een belangrijk organisatieonderdeel. Kritische bedrijfsgegevens vloeien in toenemende mate door de IT systemen en daarmee neemt het belang van een gedegen IT beheer toe. De vice president van Gartner vooraanstaand onderzoeks- en adviesbureau in de informatietechnologie-sector heeft enkele jaren geleden beweerd dat bedrijven met een superieur IT beheer tenminste 20% 5

meer winst maken dan bedrijven met een slecht IT beheer, gegeven eenzelfde strategische doelstelling. (Louis Boyle, 2006) Binnen de vaktechniek zijn er verschillende definities van IT beheer. Zo schreef het IT Governance Institute (2001): IT beheer is de verantwoordelijkheid van de raad van bestuur en het management. Het is een wezenlijk onderdeel van het beheer van de organisatie en bestaat uit leiderschap en organisatorische structuren en processen die ervoor zorgen dat de IT omgeving van de organisatie de organisatiestrategie en doelstellingen ondersteund. Van Grembergen (2002) is het eens met het belang en de verantwoordelijkheid van IT beheer en benadrukt de samenwerking tussen de organisatie en IT: IT beheer is de organisatorische capaciteit uitgeoefend door de raad van bestuur, het management en het IT management om de betekenis en implementatie van de IT strategie te beheersen en zo zorgt te dragen voor een goede samenwerking tussen de organisatie en IT. Aangezien prof. dr. Wim van Grembergen een gerenommeerde professor is werkzaam op de universiteit van Antwerpen - binnen het IT audit vakgebied en verbonden is aan postgraduate IT Audit opleiding heb ik ervoor gekozen binnen deze scriptie de meest recente definitie van prof. dr. Wim van Grembergen betreffende IT beheer te hanteren. Van Grembergen defineerde samen met de Haes (2009) IT beheer als volgt: IT beheer is een wezenlijk onderdeel van het beheer van de organisatie. De raad van bestuur ziet toe op de betekenis en implementatie van processen, structuren en relaties daartussen. Dit maakt het mogelijk voor zowel de organisatie als IT om uit te voeren waarvoor zij verantwoordelijk zijn en leidt tot een goede samenwerking tussen de organisatie en IT en kan bij een eventuele investering in de IT omgeving de waarde van deze investering voor de organisatie worden bepaald. 1.2.3 Universitaire omgeving De invoering van BYOD heeft gevolgen voor het IT beheer van universiteiten. Ons land telt 13 universiteiten (zie figuur 2). Deze zijn: 1. Vrije Universiteit (Amsterdam) 2. Universiteit van Amsterdam 3. Universiteit Leiden 4. TU Delft 5. Erasmus Universiteit (Rotterdam) 6. Universiteit van Utrecht 7. Universiteit Tilburg 8. Wageningen University 9. Rijksuniversiteit Groningen 10. Universiteit Twente (Enschede) 11. Radboud Universiteit (Nijmegen) 12. TU Eindhoven 13. Universiteit Maastricht Onderzoek naar deze universiteiten leert ons dat ze allemaal informatie op hun websites hebben staan over de toegang die medewerkers en studenten kunnen krijgen tot Figuur 2. Universiteiten in Nederland het draadloze netwerk met hun privéapparaten. Alle bovenstaande universiteiten bieden draadloos internet aan middels eduroam. Eduroam betekent: Education Roaming en is een beveiligd internationaal draadloos netwerk voor onderwijsinstellingen. Door middel van het Eduroam netwerk kunnen studenten die studeren aan bijvoorbeeld de Hogeschool van Amsterdam en een vak volgen aan de Universiteit van Amsterdam op beide instellingen gebruik maken van het draadloze 6

netwerk. Het netwerk maakt meestal gebruik van de 2.4 GHz band, welke over het algemeen het meest wordt gebruikt voor draadloos internet. Daarnaast zenden veel andere draadloze apparaten signalen uit over deze frequentie (bijvoorbeeld inbraakalarmen en magnetrons). De verbinding met een 2.4 GHz netwerk kan instabiel zijn en zelfs wegvallen als het op locatie erg druk is of als er veel stoorzenders zijn. Eduroam is in 2003 geïnitieerd door TERENA (Trans-European Research and Education Networking Association). In eerste instantie is er getest bij vijf onderwijsinstellingen, gevestigd in Nederland, Finland, Portugal, Kroatië en het Verenigd Koninkrijk. Later zijn daar andere Europese universiteiten en Figuur 3. Eduroam hotspots in Nederland hogescholen bij aangesloten. Portugal was eind 2003 het eerste land waarin vrijwel alle onderwijsinstellingen waren aangesloten bij Eduroam en Australië bleek in 2004 het eerste niet-europese land dat een draadloos netwerk aanbood middels Eduroam. Tegenwoordig maken tientallen onderwijsinstellingen in Nederland gebruik van Eduroam (zie figuur 3) (wikipedia.org) Behalve het Eduroam netwerk hebben universiteiten vaak een eigen beveiligd draadloos netwerk. De Universiteit van Amsterdam heeft bijvoorbeeld naast het Eduroam netwerk het UvAdraadloos. Dit draadloze netwerk maakt vaak gebruik van de 5 GHz band. Deze 5 GHz band heeft meer kanalen dan de 2.4 GHz band en zijn veel minder apparaten die deze band gebruiken. Daardoor zijn er minder stoorzenders en is dit netwerk stabieler en sneller. Voor dit netwerk is wel een meer geavanceerde netwerkkaart noodzakelijk (ic.uva.nl) Naast bovenstaande beveiligde, draadloze netwerken beschikken universiteiten vaak over draadloze, onbeveiligde gastnetwerken. Dit netwerk is voor gasten (geen medewerkers of studenten) die tijdelijk gebruik willen maken van het netwerk. Daarmee bieden universiteiten dus draadloze netwerken aan voor medewerkers, studenten en ook voor gasten. De IT beheersmaatregelen die universiteiten hebben genomen met betrekking tot draadloze netwerken en Bring Your Own Device zijn over het algemeen beperkt beschreven. Vijf van de dertien universiteiten hebben een informatiebeveiligingsbeleid op hun website staan, maar daarin staat over het algemeen weinig vermeld over IT beheersmaatregelen. 1.2.4 CIA-factoren Binnen het onderzoek staan de CIA-factoren vertrouwelijkheid, integriteit en beschikbaarheid centraal. De definities van vertrouwelijkheid, integriteit en beschikbaarheid worden in de literatuur verschillend omschreven en behandeld in paragraaf 2.3. Aangezien Noordbeek een expertiseorganisatie is binnen het IT audit vakgebied en de directeur (Prof. Dr. Ir. Paans) een autoriteit is op dit terrein heb ik ervoor gekozen binnen deze scriptie de onderstaande definities betreffende vertrouwelijkheid, integriteit en beschikbaarheid te hanteren. 7

Vertrouwelijkheid is het voorkomen van ongeautoriseerde onthulling of interpreteerbare onderschepping van gevoelige informatie. Integriteit is het waarborgen van de accuratesse en volledigheid van informatie en programmatuur Beschikbaarheid is zekerstellen dat informatie en diensten beschikbaar zijn voor bedrijfsprocessen conform de vastgelegde afspraken voor beschikbaarheid 1.3 Onderzoeksaanpak 1.3.1 Literatuuronderzoek Het theoretisch onderzoek zal worden uitgevoerd op basis van bestaande kennis (boeken, artikelen, scripties et cetera). Allereerst wordt de opkomst van BYOD beschreven, waarbij er aandacht is voor de oorsprong, de brede trend en het wel of niet meegaan met deze trend. Daarna wordt de definitie en betekenis van de CIA-factoren onderzocht en wordt dieper ingegaan op aspecten die daarmee samenhangen, zoals bedreigingen en risico s. In de derde paragraaf worden de specifieke risico s van BYOD voor de infrastructuur in kaart gebracht en worden de gevolgen daarvan voor het IT beheer van een organisatie geduid. 1.3.2 Praktijkonderzoek Het praktijkonderzoek zal bestaan uit een case study, waarin de aandacht wordt verlegd naar de situatie op de Erasmus universiteit in Rotterdam. Tijdens mijn zoektocht naar een geschikte universiteit om het praktijkonderzoek uit te voeren, bleek dat andere universiteiten de implementatie al wel op de planning hadden staan, maar nog onvoldoende beeld hadden bij het BYOD-beleid, beheersmaatregelen en gevolgen voor de IT beheerorganisatie. Daarom heb ik de Erasmus universiteit gekozen als geschikte onderwijsinstelling voor mijn praktijkonderzoek. Met de kennis van het literatuuronderzoek als uitgangspunt is in kaart gebracht welke risico s deze universiteit wel of niet onderkent en op welke manier ze het IT beheer hebben ingericht om deze risico s te mitigeren. Eventuele aanwezige beheersmaatregelen worden in opzet getoetst. Om de betrouwbaarheid van de gespreksinformatie te waarborgen, zullen gespreksverslagen worden opgesteld en afgestemd met de universiteit. Vervolgens zal de relatie tussen de literatuur en de praktijk worden gelegd door na te gaan in hoeverre de aanwezig risico s met maatregelen gemitigeerd worden. De onderzoeksresultaten zijn gedocumenteerd in deze scriptie. In overleg met mijn begeleider is bepaald dat de resultaten van de interviews op de Erasmus Universiteit niet worden gedeeld om de reden van vertrouwelijkheid. 8

'BYOD verandert bedrijfsnetwerk in campusnetwerk' Door de komst van Bring Your Own Device (BYOD) zullen bedrijfsnetwerken in campusnetwerken veranderen, zoals op universiteiten aanwezig zijn. Dat voorspelt onderzoeksbureau Gartner. In 2014 denkt de marktvorser dat toestellen en apparaten die werknemers zelf bezitten twee keer zoveel kans hebben om met mallware besmet te zijn dan de apparaten van het bedrijf waar ze werken. Beleid "Bedrijfsnetwerken zullen meer als school- en universiteitsnetwerken worden, wat de oorspronkelijke BYOD-omgevingen waren", stelt Gartner. Beheerders hadden in deze omgevingen geen controle over de apparatuur van studenten. Daarom werd het netwerk beschermd door beleid te handhaven dat de netwerktoegang regelde. Gartner voorspelt dat bedrijven een soortgelijke aanpak zullen handhaven en toegang voor apparaten zullen blokkeren die niet aan het bedrijfsbeleid voldoen. "Bedrijven die BYOD toestaan, moeten duidelijk beleid opstellen dat beschrijft welke apparaten van werknemers worden toegestaan en welke niet." Highlight 1 (Security, 25-10-2012) 9

2. Literatuuronderzoek In dit hoofdstuk wordt antwoord gegeven op de volgende deelvragen: Wat betekent BYOD voor een (universitaire) organisatie en welke risicogebieden kunnen ontstaan? Welke risico s zijn te onderkennen met betrekking tot vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens als gevolg van Bring your own device? Welke maatregelen kunnen IT beheerorganisaties inrichten om de risico s omtrent Bring your own device te mitigeren? 2.1. Opkomst van BYOD 2.1.1. Oorsprong BYOD is in 2013 een hype geworden, maar het fenomeen is niet nieuw. De Ford Motor Company is al in mei 2007 begonnen met het ontwikkelen van een BYOD-beleid. Het landschap van apparaten en besturingssystemen was destijds anders. Een laptop draaide op Windows en Nokia was synoniem voor mobiele telefoon. Tegenwoordig is het landschap complexer geworden. Computers en laptops met Windows zijn op kantoor en thuis nog dominant aanwezig, maar de Apple computers rukken op. Nokia worstelt om het hoofd boven water te houden en probeert, in samenwerking met Microsoft, een inhaalslag te maken en de concurrentie aan te gaan met de iphone en de smartphones met Android. De BlackBerry heeft tussen 2007 en 2012 een opmars doorgemaakt - eerst op de zakelijke markt en daarna op de consumentenmarkt - maar is inmiddels ver weggezakt. In 2010 lanceerde Apple de ipad. De eerste reacties waren niet enthousiast ( een groot uitgevallen iphone ), maar de consument dacht er anders over en de ipad werd de standaard voor het werken met tablets. Twee jaar later is het veilig te stellen dat de ipad een belangrijke motor is achter het nadenken over BYOD binnen bedrijven en organisaties. De ipad moest bij haar lancering concurreren met de netbooks, de kleine handige laptopjes met in eerste instantie Linux als besturingssysteem. De netbooks waren goedkoop, licht, hadden een lange batterijduur en een scherm van 10 inch. Microsoft zorgde ervoor dat Windows XP - en later Windows 7 - op de netbooks terecht kwamen en gezien het snel groeiende marktaandeel van zowel de netbooks als Linux was dat een goede zet. Vandaag de dag is de hype rondom de netbooks verdwenen en is er een nieuw aanbod van ultralichte, kleinere notebooks op komst. In 2011 bracht Google, in samenwerking met Saming en Acer, de zogenaamde Chromebooks op de markt: een netbook, zonder eigen harde schijf en volledig gekoppeld aan het online aanbod van Google applicaties. De toekomst ligt in de cloud, dus van lokaal opslaan is geen sprake op de Chromebooks. BYOD is dan wel geen nieuw fenomeen, het speelveld van apparaten, besturingssystemen, applicaties en online diensten is wel erg gevarieerd en aan snelle verandering onderhevig. De verwachting is dat deze veranderingen elkaar de komende jaren blijven opvolgen. Zowel de snelheid van de verandering als de groei van het aantal besturingssystemen, applicaties en online diensten maken dat een ICT-strategie van consolidatie, centralisatie en standaardisatie grotendeels heeft afgedaan. De standaard van nu kan binnen één a twee 10

jaar verouderd zijn, ruim binnen de normale afschrijvingstermijnen en ruim buiten de mogelijkheden van een (IT-)organisatie om snel op te waarderen en mee te veranderen. (Stedehouder, 2012) 2.1.2. Brede trend Accenture heeft in 2012 een onderzoek gedaan naar de effecten van de ontwikkelingen op de markt voor consumentenelektronica voor de zakelijke markt in beeld gebracht. De belangrijkste conclusies waren: Consumenten worden steeds mobieler. Ze gaan zeer snel nieuwe mobiele technologieën gebruiken en downloaden apps om altijd en overal verbonden te zijn; Consumenten gaan meer en meer clouddiensten gebruiken; Naarmate er meer apps beschikbaar komen, worden consumenten meer afhankelijk van hun consumentenelektronica. Het onderzoek geeft ook inzicht in de verschuiving van de aanschaf van consumentenelektronica. Tussen 2010 en 2011 is de verkoop van smartphones meer dan verdubbeld en in dezelfde periode is de tablet aan een forse opmars begonnen. Consumenten zijn minder computers gaan kopen en gewone mobiele telefoons zijn niet meer populair. Gebruikers van tablets zijn volgens de onderzoekers interessant voor de markt. De groep mensen die tablets aanschaffen is de belangrijkste koper van consumentenelektronica. Zij maken gebruik van verschillende apparaten, zoals smartphones, HD/3D televisie, netbooks en e-readers. Zij zullen vaker technologie inzetten bij hun activiteiten, meer apps downloaden en meer clouddiensten gebruiken dan diegenen die geen tablet bezitten. Bijna de helft van de consumenten die een tablet aanschaft, gebruikt deze ook zakelijk (zie figuur 4) (Accenture, 2012). Figuur 4. Een nieuwe tablet wordt zowel zakelijk als privé gebruikt In 2011 heeft Kadenza een organisatie die zich heeft gespecialiseerd op het gebied van Business Intelligence en Datawarehousing onderzoek gedaan naar het gebruik van smartphones en tablets onder Nederlandse managers. 21,3% van de respondenten gaf aan dat zij door hun smartphone meer buiten werktijd zijn gaan werken. 24,2% deed dit nadat zij een tablet gingen gebruiken. De smartphones en tablets worden voornamelijk gebruikt voor e-mail, het zoeken van informatie en het lezen van nieuws. Uit een ander onderzoek van Avenade (2012) blijkt dat 60% van de bedrijven bezig is met het aanpassen van de ICT-infrastructuur om het gebruik van persoonlijke apparaten mogelijk te maken. De bedrijven zien de meerwaarde van BYOD, maar maken zich zorgen 11

over de veiligheidsrisico s die daaraan verbonden zijn. Opvallend genoeg wordt in het aanpakken van die risico s weinig geïnvesteerd. Bovenstaande onderzoeken tonen aan dat BYOD geen tijdelijke hype is. BYOD komt voort uit het al veel langer lopende proces van consumerization of IT en wordt daarnaast sterk beïnvloedt door een bredere verandering in de relatie werkgever-werknemer en het verschuiven van de balans tussen werk en privé. De koppeling met Het Nieuwe Werken is snel gelegd. Bij discussies over het wervingspotentieel voor nieuwe medewerkers (die vaak voorstander zijn van flexibiliteit en mobiliteit) wordt de generatie van jonge medewerkers geduid als millennials of generatie Einstein. Deze generatie is op een natuurlijke wijze opgegroeid met de computer, maar ook deze generatie zal vervangen worden door de generatie die generatie C wordt genoemd. C staat voor connected of communiceert. (Stedehouder, 2012) Een onderzoek van Time Inc. (2012) de grootste Amerikaanse uitgever van tijdschriften zijn twee groepen gebruikers van computertechnologie vergeleken. Zowel de digital natives (geboren en getogen met computertechnologie) en de digital immigrants (ergens een keer tegen een computer aangelopen en er mee blijven werken) zijn een dag gevolgd om te bepalen welke impact computertechnologie heeft op het dagelijkse leven van beide groepen. De bevindingen waren als volgt: Digital natives (geboren en getogen met computertechnologie) wisselen 27 keer per uur van apparaat of informatiekanaal. Ze hebben daarnaast een heel korte aandachtsspanne en wisselen snel van medium of kanaal als ze er genoeg van hebben; 65% van de digital natives neemt de apparaten mee van kamer naar kamer (tegen 41% van de digital immigrants (ergens een keer tegen een computer aangelopen en er mee blijven werken), zodat de smartphone altijd binnen handbereik is; 54% van de digital natives geeft de voorkeur aan het versturen van berichten boven face-to-face communicatie (tegen 28% van de digital immigrants ); Digital immigrants denken lineair (een verhaal heeft een begin, een middenstuk en een eind), digital natives verwachten dit ook, maar hebben minder moeite om een verhaal in een andere volgorde tot zich te nemen. Zij vinden het minder een probleem om een verhaal stukje voor stukje via verschillende media binnen te krijgen. De verschillen tussen de digital natives en digital immigrants zijn minder groot dan de benaming van de twee groepen doet vermoeden. De constatering dat 41% van de digital immigrants de eigen smartphone overal mee naar toe neemt laat zien dat de oudere medewerkers ook behoefte hebben aan een BYOD-beleid. De consumentenelektronica heeft dus zijn intrede gedaan in alle lagen van de bevolking. De eenvoud waarmee complexe techniek wordt aangeboden is daar een van de oorzaken van. Gebruikers hebben geen aparte training nodig om met bijvoorbeeld ios of Android om te gaan en ook het gebruik van de vele apps hebben gebruikers over het algemeen snel onder de knie. Consumentenelektronica richt zich op gebruikersgemak. Op zich is daar niets mis mee, maar in het onderwijs ligt de nadruk ook vooral op deze vaardigheden en wordt weinig aandacht geschonken aan de (on)mogelijkheden, voor- en nadelen en kansen en risico s van de technologie. (Stedehouder, 2012) 12

Het NAE (National Academy of Engineering) en het NRC (National Research Council) (2002) hebben aan het begin van de twintigste eeuw een model ontwikkeld voor technological literacy (digitale geletterdheid), met daarbij een profiel van wat iemand moet kunnen en weten om in technologisch opzicht geletterd te zijn. Hieruit blijkt dat het gemak waarmee technologie gebruikt kan worden, weinig zegt over het begrip dat iemand heeft van de technologie (zie figuur 5). Het gevaar van bovenstaande constatering is dat gebruikers (dus ook medewerkers) weliswaar heel vaardig kunnen zijn in het gebruik van technologie, maar zich desondanks beperkt bewust zijn van de risico s die het gebruik van technologie met zich meebrengt. Mede in het licht daarvan heeft Baseline Magazine (2012) de 10 BYOD-geboden opgesteld, zoals deze door (IT) organisaties zouden moeten worden opgesteld om gebruikers ook te laten ontwikkelen op de andere twee gebieden, zoals kennis en denk- en handelwijze : 1. U zult alle apparaten registreren bij de manager. 2. U zult geen apparaten in het bedrijfsnetwerk gebruiken die niet elektronisch bewaakt kunnen worden door de beheerders. 3. U zult uw wachtwoorden aan niemand geven, ook niet aan familieleden. 4. U zult zonder toestemming van IT geen wijzigingen aanbrengen aan de hardware of software van het bedrijf zodat het kan samenwerken met een persoonlijk apparaat. 5. U zult toestaan dat IT precies kan volgen wat u met de apparaten doet en dat die gegevens zonder verdere bekendmaking worden gebruikt. 6. U zult het bedrijfsnetwerk niet binnentreden anders dan via een SSL- en VPNverbinding. 7. U zult alle BYOD-apparaten fysiek beveiligen. 8. U zult uw wachtwoorden niet onversleuteld opslaan op mobiele apparaten. 9. U zult het bedrijf toestemming geven om de persoonlijke apparaten op afstand te wissen. 10. U zult verlies of diefstal altijd en direct melden, zodat het apparaat op afstand gewist of geblokkeerd kan worden. 2.1.3. Aan de slag De realiteit leert dat bij een groot deel van de organisaties om ons heen medewerkers al gebruik maken van eigen smartphones, tablets en laptops voor zakelijke doeleinden. Hoewel dit de realiteit is, moeten organisaties voor zichzelf nagaan of ze BYOD ook willen implementeren, of helemaal niet toestaan. Een onderzoek van Citrix (2011) een Amerikaans softwarebedrijf gespecialiseerd in netwerken - beschrijft de stand van zaken in 2011 met een inschatting van de trend richting 13

2013. In 2011 blijken in 92% van de ondervraagde bedrijven medewerkers al met eigen apparaten te werken. Dit komt neer op 30% van de medewerkers, waarbij een groei wordt verwacht naar 37% in 2013. In India gebruikt in 2011 al 34% van de werknemers met privéapparaten voor zakelijk gebruik (zie figuur 6). Figuur 6. Percentage medewerkers dat met BYOD werkt Citrix verwacht verschuivingen voor wat betreft het type apparaat. Medewerkers zullen minder met eigen laptops gaan werken (afname van 38% naar 26%) en meer gebruik maken van eigen tablets (toename van 8% naar 23%). De ondersteuning van persoonlijke apparaten zal ook toenemen. In 2011 bood 54% van de bedrijven al ondersteuning, voornamelijk voor thuiswerkers. Eind 2013 ondersteunt 80 à 90% van de organisaties medewerkers bij het gebruik van persoonlijke apparaten. Wereldwijd bleek 44% van de ondervraagde bedrijven over een BYOD-beleid te beschikken en volgens Citrix ligt dit percentage eind 2013 op 90 tot 96%. Dit beleid wordt echter niet in alle gevallen opgesteld voor de gehele organisatie. Het beleid geldt in 26% van de gevallen voor specifieke functies (bijv. management functies), in 24% voor bepaalde afdelingen (bijv. afdeling IT) en in 18% van de gevallen als onderdeel van een pilot. De overige 22% heeft in 2013 een BYOD-beleid opgesteld voor de gehele organisatie. In 2011 lag dit percentage een stuk lager, maar richtte het BYOD-beleid zich ook vooral op bepaalde groepen medewerkers (zie figuur 7). Figuur 7. Het BYOD-beleid richt zich op mobiele werkers 14

Als we kijken naar de redenen die ondervraagden aandragen om een BYOD-beleid te hanteren zien we de relatie met Het Nieuwe Werken terug, want 47% ziet BYOD als een mogelijkheid om het werken buiten kantoor te verbeteren. Hieronder staan tevens de overige redenen die vaak genoemd worden: Makkelijker buiten kantoor werken - 47% Kunnen beschikken over de juiste apparatuur - 44% Het aantrekken en vasthouden van toptalent (ongeacht leeftijd) - 39% Verminderen van de beheerskosten - 35% Het aantrekken en vasthouden van jonge medewerkers - 34% Het aantrekken en vasthouden van andere typen medewerkers (zoals thuiswerkers) - 33% Het verlagen van trainings- en inwerkkosten - 32% Het mogelijk maken van self-service IT - 26% Het verbeteren van business continuity - 26% Makkelijk opvangen van de groei van het aantal apparaten - 25% Citrix heeft ook onderzoek gedaan naar de voordelen die organisaties in de praktijk ervaren. Medewerkers blijken vooral meer tevreden, productiever en mobieler. De voordelen van BYOD op een rij: Toegenomen medewerkertevredenheid - 56% Toegenomen productiviteit - 51% Toegenomen mobiliteit - 51% Een flexibele werkomgeving - 46% Afname IT-kosten - 36% Aannemen en vasthouden hoogwaardige kenniswerkers - 30% Toegenomen kwaliteit van de apparaten - 29% Betere zorg voor de apparaten bij IT - 29% Sneller inwerken van nieuwe medewerkers en inhuurkrachten - 24% Toegenomen business continuity - 22% Ondervraagden maken zich echter ook zorgen over veiligheidsrisico s (52%), de ondersteuning (40%) en de kwaliteit van de privéapparaten (39%). VMware (2012) een Amerikaans softwarebedrijf gespecialiseerd in virtualisatie - heeft ook onderzoek gedaan onder ruim 2000 medewerkers van multinationals in Azië. 78% van de ondervraagden bleek met eigen smartphones en tablets te werken. In Zuid-Korea was het percentage het hoogst (96%), maar ook in China (94%), Thailand (90%), Hong Kong (89%) en Singapore (88%) bleek BYOD voor de meeste medewerkers van de multinationals mogelijk. Japan scoorde met 22% uitzonderlijk laag. Hoewel het voor veel medewerkers dus mogelijk is privéapparaten in te zetten voor zakelijk gebruik laat de ondersteuning volgens hen te wensen over. 57% van de ondervraagden krijgt geen technische ondersteuning, 38% ondervindt efficiencyproblemen door een knellend IT-beleid en 22% geeft aan dat zij hun werk simpelweg niet goed kunnen doen door het IT-beleid. Het vermogen om personeel aan te trekken en vast te houden komt ook in het VMware-onderzoek naar voren. 58% van de ondervraagden wil liever werken voor bedrijven die meer open staan voor persoonlijke keuze van apparaten en applicaties. 15

Cisco (2012) een Amerikaans softwarebedrijf gespecialiseerd in netwerkapparatuur (bijv. routers) - wijst erop dat de totale verkoop van smartphones en tablets in 2011 de totale verkoop van computers (desktops, laptops en notebooks) overtrof. Het aantal apparaten per medewerker gaat toenemen, want tot op heden is er niet één apparaat dat geschikt blijkt voor én communicatie en productiewerk en informatieconsumptie. Cisco stelt dat werk niet meer iets is waar mensen naar toe gaan, maar dat het iets is wat mensen doen. Combineer deze stelling met de verschuivende grens tussen zakelijk en privé en Cisco ziet de druk om BYOD toe te staan toenemen. Medewerkers verwachten overal en altijd online te kunnen zijn. Cisco schat daarnaast in dat het dataverkeer tussen 2010 en 2016 ver-26- voudigt. Deze groei komt niet in de laatste plaats door de toename in gebruik van video, online samenwerking en zware online multimedia-applicaties. Computerwoche (2012) een Duitse IT website ondervroeg 150 CIO s en IT managers over BYOD. Deze waren niet enthousiast over het fenomeen. 80% is van mening dat zij door BYOD de controle over het bedrijfsnetwerk kwijtraken, 76% verwacht dat de druk op beheer en ondersteuning gaat toenemen, 74% omschrijft het als lastig om persoonlijke apparaten in het netwerk in te passen. Bovendien schat maar 30% van de CIO s in dat de productiviteit van de medewerkers gaat toenemen. De CIO s en IT manager zien de noodzaak van BYOD niet in, maar ervaren wel de toenemende druk vanuit de gebruikers. Die druk blijft beperkt van omvang, maar dat heeft meer te maken het feit dat de gebruikers van BYOD een eigen manier vinden om gebruik te maken van privéapparaten en daarmee de IT afdeling te passeren. Daarmee is er des te meer reden om een BYOD beleid te ontwikkelen met aandacht voor veilige omgang met bedrijfsgevoelige gegevens, centrale sturing op configuratie en heldere richtlijnen rondom toegang. 2.2. CIA-factoren 2.2.1. Informatiebeveiliging In hoofdstuk 1 zijn de definities bepaald van beschikbaarheid, integriteit en betrouwbaarheid. Deze drie factoren vormen de basis van informatiebeveiliging (zie figuur 8). Als een organisatie erin slaagt deze aspecten goed op orde te hebben, dan is de kwaliteit van informatiebeveiliging gewaarborgd. (Boom en Bos, 2012) integriteit beschikbaarheid Informatiebeveiliging vertrouwelijkheid In de literatuur zijn verschillende definities Figuur 8. CIA-factoren te vinden ten aanzien van informatiebeveiliging. De Code voor Informatiebeveiliging definieert informatiebeveiliging als volgt (NEN, 2007): Informatie is een bedrijfsmiddel dat, net als andere belangrijke bedrijfsmiddelen, waarde heeft voor een organisatie en voortdurend op een passende manier beveiligd dient te zijn. Informatiebeveiliging beschermt informatie tegen een breed scala aan bedreigingen, om de continuïteit van de bedrijfsvoering te waarborgen, de schade voor de organisatie te minimaliseren en het rendement op investeringen en de kansen van de organisatie te optimaliseren. Informatie komt in veel vormen voor. Het kan afgedrukt of beschreven zijn op papier, elektronisch opgeslagen zijn, per post of via elektronische media worden verzonden, getoond worden in films of de gesproken vorm aannemen. Welke vorm informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd passend beveiligd te zijn 16

Het CPB (2013) - College Bescherming Persoonsgegevens - heeft onlangs het belang van informatiebeveiliging nog eens aangeduid en legt hierbij direct de link met de beveiliging van persoonsgegevens, een aspect dat ook voor universiteiten van groot belang is. De onafhankelijke instantie die erop toeziet dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd wijst erop dat informatiebeveiliging het geheel aan maatregelen omvat waarmee organisaties hun informatie beveiligen. Het gaat daarbij om alle informatie die de organisatie verwerkt, zowel digitaal als niet digitaal. Persoonsgegevens - zoals de studentengegevens en de personeelsadministratie voor een universiteit - maken hier deel van uit. Organisaties hebben niet alleen informatie nodig om hun bedrijfsprocessen uit te voeren, maar ook om hun interne bedrijfsvoering bij te sturen en strategische beslissingen te nemen. Een centraal begrip uit het vakgebied van informatiebeveiliging is betrouwbaarheid. Betrouwbaarheid is de mate waarin een organisatie voor de informatievoorziening kan rekenen op een informatiesysteem. De betrouwbaarheid van een informatiesysteem is de verzamelterm voor de drie CIA-factoren: beschikbaarheid, integriteit en vertrouwelijkheid. De betrouwbaarheidseisen geven weer aan welke eisen het informatiesysteem moet voldoen met betrekking tot deze drie aspecten. 2.2.2. Beschikbaarheid, integriteit en vertrouwelijkheid Eerder in het onderzoek zijn de definities bepaald voor de CIA-factoren, waarbij is gekozen voor de definities van Noordbeek, omdat het een expertiseorganisatie binnen het IT audit vakgebied is en de directeur (Prof. Dr. Ir. Paans) een autoriteit is op dit terrein. Hieronder een overzicht van definities die binnen de literatuur beschreven zijn. De meningen over de juiste definitie van beschikbaarheid zijn verdeeld. De Perdue University (2004) beschreef beschikbaarheid als de eis, dat een goed toegankelijk is voor geautoriseerde personen, entiteiten of apparaten. Hierbij wordt de nadruk gelegd op voor wie de informatie toegankelijk moet zijn. Anderen voegden hier een dimensie aan toe, namelijk wanneer deze informatie toegankelijk behoorde te zijn. Zo definieerden Baars, Hintzbergen, Hintzbergen en Smulders (2008) beschikbaarheid als: de mate waarin informatie beschikbaar is voor de gebruiker en het informatiesysteem in bedrijf is op het moment dat de organisatie deze nodig heeft en gaven Boom en Bos (2012) de volgende betekenis aan beschikbaarheid: met beschikbaarheid bedoelen we dat de informatie en de informatiebeveiliging beschikbaar moet zijn op het moment dat het nodig is. De definitie van Noordbeek - Het zekerstellen dat informatie en diensten beschikbaar zijn voor bedrijfsprocessen conform de vastgelegde afspraken voor beschikbaarheid gaat niet expliciet in op de vragen voor wie en wanneer, maar gaat er vanuit dat de organisatie afspraken maakt over deze beschikbaarheidsvraagstukken. De literatuur leert ons dat de definitie van integriteit eenduidiger is dan die van beschikbaarheid. NOREA (2002) beschreef integriteit als: de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid". Anderen voegden de vaktermen juistheid en volledigheid toe aan de definitie. Zo definieerden Baars, Hintzbergen, Hintzbergen en Smulders (2008) integriteit als: de mate waarin de informatie actueel en zonder fouten is. Kenmerken van integriteit zijn de juistheid en de volledigheid van de informatie en stelden Boom en Bos 17

(2012): Integriteit betekent dat de informatie volledig en juist is. De integriteit van de informatie moet ervoor zorgen dat de informatie waar we toegang toe hebben, de juiste informatie is en dat er niets ontbreekt. Ook Noordbeek hanteert de termen juistheid in dit geval accuratesse en volledigheid: Integriteit is het waarborgen van de accuratesse en volledigheid van informatie en programmatuur. Over betekenis van vertrouwelijkheid - de derde CIAfactor - zijn de theoretici het ook in redelijke mate met elkaar eens. Baars, Hintzbergen, Hintzbergen en Smulders (2008) geven aan dat met vertrouwelijkheid de privacy van de informatie wordt bedoeld. De vertrouwelijkheid van de informatie moet ervoor zorgen dat alleen de personen voor wie de informatie bedoeld is er toegang toe hebben. Een vergelijkbare definitie is opgesteld door Boom en Bos (2012): Met vertrouwelijkheid bedoelen we de privacy van de informatie. De vertrouwelijkheid van de informatie moet ervoor zorgen dat alleen de personen voor wie de informatie bedoeld is er toegang toe hebben. Anderen draaien de redenering om. Zo omschreef het NIST (National Institute of Standards and Technology) - een wetenschappelijke instelling die onder de Amerikaanse overheid valt en zich inzet voor standaardisatie in de wetenschap het verlies van vertrouwelijkheid als een ongeautoriseerde onthulling van informatie. Evenals het NIST gebruikt Noorbeek de ongeautoriseerde onthulling in de definitie van vertrouwelijkheid: Het voorkomen van ongeautoriseerde onthulling of interpreteerbare onderschepping van gevoelige informatie. Hoewel de betekenis van de CIA-factoren verschillend zijn omschreven in de literatuur, is het duidelijk dat de afwijkingen nuanceringen zijn van eerder gestelde definities. Over de algemene definitie van de CIA-factoren bestaat consensus onder onderzoekers. 2.2.3. Bedreigingen, kwetsbaarheden, risico s en maatregelen Informatie wordt voortdurend bedreigd. Spruit (2003) definieert een bedreiging als een proces of gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid of wel beschikbaarheid, integriteit en vertrouwelijkheid - van objecten in de informatievoorziening. Looijen (2004)heeft onderzoek gedaan naar verschillende categorieën van bedreigingen: Bedreigingen van natuurlijke aard; overstroming Bedreigingen van opzettelijke aard; diefstal Bedreigingen van niet opzettelijke aard: brand Bedreigingen van technische aard: storing in de systemen De mate waarin informatie gevoelig is voor bovenstaande bedreigingen wordt door Dam en Wessels (2008) kwetsbaarheid genoemd. Deze gevoeligheid ontstaat als bepaalde objecten (bijv. applicatie, database) van informatievoorziening het mogelijk maken dat een bedreiging (bijv. diefstal of virus) ertoe leidt dat één van de betrouwbaarheidsaspecten - beschikbaarheid, integriteit en vertrouwelijkheid negatief wordt beïnvloed. Hierbij wordt gevoeligheid aangeduid als de mate waarin gereageerd wordt op een binnenkomend signaal. Dam en Wessels (2008) definiëren een risico vervolgens als de gemiddelde schade over een gegeven tijdsperiode, die verwacht wordt doordat één of meer bedreigingen leiden tot een mogelijke (ver)storing van één of meer objecten van de informatievoorziening en wel zodanig dat dit leidt tot (ver)storing in de beschikbaarheid, integriteit en/of 18

vertrouwelijkheid van de gegevensverwerking en informatievoorziening. Spruit (2003) voegt daaraan toe dat er sprake van een risico is als een informatievoorziening kan worden getroffen door een bedreiging. Het risico geeft aan welke schade verwacht mag worden als de bedreiging plaatsvindt. Deze schadeverwachting neemt af naarmate er meer maatregelen worden getroffen door de organisatie, zie ook figuur 9. De figuur bestaat uit drie deelgebieden: Deelgebied 1: bij te weinig maatregelen is de schadeverwachting onacceptabel bij een ernstige bedreiging. Deelgebied 2: interessant gebied waar de juiste maatregelen genomen moeten worden tegen bedreigingen die niet te voorkomen zijn, maar vervelende gevolgen hebben. Deelgebied 3: bij te veel maatregelen zijn de kosten van de maatregelen hoger dan de schadeverwachting. Figuur 9. Schadevergoeding tegen kosten van maatregelen Om risico s te mitigeren moeten maatregelen genomen worden. Overbeek, Roos Lindgreen en Spruit (2005) hebben deze maatregelen onderverdeeld in drie categorieën: Organisatorische maatregelen. Deze hebben betrekking op de organisatie als geheel. Voorbeelden hiervan zijn: functiescheiding, interne controle of een portier bij de hoofdingang. Logische maatregelen. Deze zijn geprogrammeerd en verwerkt in de programmatuur. Voorbeelden hiervan zijn: login- en wachtwoordenauthenticiteit in het besturingssysteem, encryptieprogrammatuur of een digitale handtekening in elektronische post. Fysieke maatregelen. Deze zijn gebaseerd op apparatuur of andere materiële zaken zoals: noodstroomvoorziening, brandblussers of sloten. De onderzoekers hebben bovenstaande maatregelen ingedeeld naar de manier waarop ze uitgevoerd worden binnen de betrouwbaarheidsaspecten (beschikbaarheid, integriteit en betrouwbaarheid) en maken daarbij onderscheid tussen preventieve en repressieve maatregelen. Preventieve maatregelen worden genomen om een schade te voorkomen en repressieve maatregelen treden in werking als de schade al geleden is (zie figuur 10). 19

Figuur 10. Maatregelen ingedeeld naar betrouwbaarheidsaspect. 2.3. Consequenties voor de infrastructuur 2.3.1. Risico s BYOD brengt risico s met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens met zich mee. Diverse onderzoekers hebben deze risico s omtrent BYOD in kaart gebracht. Hieronder een overzicht. Hilhorst en Schrama (2012) hebben onderzoek gedaan naar de risico s met betrekking tot de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsgegevens die spelen bij BYOD. Hieronder een overzicht van de vastgestelde risico s: Risico op verlies van vertrouwelijkheid van gegevens: o Verlies van gegevens, als gevolg van verlies of diefstal van het device. o Onbevoegde toegang tot de mobile display applicatie. o Opslag van gegevens buiten het device als gevolg van backup naar personal computer of leverancier. o Verlies van vertrouwelijkheid van gegevens als gevolg van hacking via de communicatiekanalen (zoals Wifi, Bluetooth e.d.). o Verlies van vertrouwelijkheid van gegevens als gevolg van beveiligings- en datalekken in applicaties. Risico op verlies van integriteit van gegevens en device: o Onzorgvuldig gebruik van het device. o Doorbreken van beveiliging van het device (jailbreaken of rooten). o Installatie van kwaadaardige software. o Problemen met de synchronisatie van gegevens. Risico op onvoldoende beschikbaarheid van het communicatiekanaal, bijvoorbeeld als gevolg van beperkte dekking van het mobiele telecommunicatie netwerk. ENISA - European Network and Information Security Agency heeft in 2010 een studie gepresenteerd waarin een top 10 van risico s met betrekking tot het gebruik van smartphones op de werkplek is opgesteld. De organisatie verwacht dat de smartphone in 2013 hét device is om op het internet te gaan en dat het daarmee ook het belangrijkst BYOD-apparaat is. Onderstaande risico s gelden overigens in de meeste gevallen ook voor tablets. De 10 belangrijkste risico s zijn: 20