INFORMATIEBEVEILIGING

EN HET NIEUWE WERKEN

Afstudeerscriptie IT audit opleiding

Postgraduate opleiding Vrije Universiteit Amsterdam

April 2011

Adriaan van Nieuwmegen

Gerlof Miedema

April 2011

1

1 VOORWOORD

Er is een digitale revolutie aan de gang. Iedere dag worden nieuwe oplossingen bedacht

om op een slimmere, efficintere wijze het werk te organiseren. Deze ontwikkeling wordt

ook wel samengevat met de term Het Nieuwe Werken. Bedrijven willen deze

ontwikkeling volgen, maar welke risicos brengt dit met zich mee en wat gaat het

opleveren? Gedeeltelijk proberen wij daar een antwoord op te geven. Op het moment dat

dit stuk wordt geschreven, worden ongetwijfeld al weer nieuwe apparaten of oplossingen

bedacht die het mogelijk maken om het werk anders te organiseren en dus gevolgen

hebben voor bestaande procedures en maatregelen. Toch proberen wij vanuit het

perspectief van informatiebeveiliging een handreiking te doen om zaken binnen

organisaties beheersbaar en veilig te houden tijdens deze explosie aan nieuwe

mogelijkheden.

Wij willen dan ook iedereen bedanken die ons heeft geholpen om deze scriptie mogelijk

te maken.

In het bijzonder willen wij onze scriptiebegeleider bedanken; de heer drs. Bart van

Staveren RE, beleidsadviseur voor de CIO bij het UWV. Veel dank gaat uit naar

Joris Geertman, Product Manager bij Microsoft. Hij was een waardevolle bron van

kennis en visie, die veel tijd voor ons vrijgemaakt heeft.

Tot slot willen wij onze begeleiders vanuit de organisatie bedanken; de heer

Ron Dinmohamed, Security Officer, de heer Rick Quakernaat, Architect Infrastructuur

bij Cordares en de heer G. Bolhuis, Manager Shared Service Center bij de Friese

Wouden.

Amsterdam, 1 april 2011

Adriaan van Nieuwmegen

Gerlof Miedema

April 2011

2

2 MANAGEMENTSAMENVATTING

Het nieuwe werken is een proces en ontwikkelt zich continu. Door ontwikkelingen op het

gebied van consumerization, de drang naar goed werkgeverschap en efficiency, is dit

proces niet te stoppen. De wens is dat toepassingen, die vandaag de dag, binnen de

muren van een organisatie worden aangeboden, ook buiten de muren van de organisatie

aan te bieden (anywhere at any time on any device). In tegenstelling tot de traditionele

IT-omgeving, waarbij alles netjes wordt afgeschermd, wil men nu ook ketenpartners of

klanten rechtstreeks toegang geven tot de backoffice. Zij willen dat klanten inzage

krijgen in de polisgegevens of zaken kunnen muteren in hun eigen elektronisch

patinten dossier. Als wij de stelling aannemen dat binnen nu en tien jaar elke vorm van

communicatie op papier is verdwenen wat gaat dat dan betekenen voor de huidige

beveiligingseisen van onze informatiesystemen?

Binnen deze scriptie is getracht daar antwoord op te geven. Middels literatuurstudie en

inventarisaties binnen de organisaties, is achterhaald wat kenmerkend is voor Het

Nieuwe Werken. Daarbij verschillen de functionaliteiten in beide organisaties. Toch

blijft het object in beide situaties hetzelfde; namelijk het beschikbaar stellen van

informatie buiten de vertouwde muren. Daarbij is de rol van internettechnologie de

grote enabler om deze ontwikkeling mogelijk te maken.

Om de vraag te kunnen beantwoorden wat de impact is van Het Nieuwe Werken op deze

organisaties, is onderzocht wat de huidige kaders zijn op het gebied van

informatiebeveiliging. Als men de voordelen van het nieuwe werken wil gaan benutten

(flexibeler werken, minder personeel, minder kantoorruimte, hogere arbeidssatisfactie),

dan mag dat niet tot onacceptabele risicos leiden waardoor organisaties mogelijk niet

meer compliant zijn.

Een grondige risico-analyse op de zaken die kenmerkend zijn voor Het Nieuwe Werken

is vervolgens uitgevoerd. Daarbij zijn ook de normen, die genoemd worden in de code

voor informatiebeveiliging en relevant waren voor Het Nieuwe Werken, onderzocht.

Deze risicos zijn vervolgens vertaald naar mitigerende maatregelen. Wij denken dat het

inzicht, dat verkregen is binnen dit onderzoek, de organisaties verder heeft geholpen in

het nemen van juiste beslissingen om het Nieuwe Werken mogelijk te maken.

April 2011

3

InhoudsopgaveInhoudsopgaveInhoudsopgaveInhoudsopgave

1 Voorwoord ........................................................................................................1

2 Managementsamenvatting................................................................................2

3 Inleiding en probleemstelling.............................................................................5

3.1 Aanleiding voor de scriptie ........................................................................5

3.2 Probleemstelling........................................................................................5 3.2.1 Doelstelling..........................................................................................................5 3.2.2 Onderzoeksvragen..............................................................................................6 3.2.3 Resultaat van het onderzoek ..............................................................................6 3.2.4 Onderzoeksmodel ...............................................................................................6 3.2.5 Opbouw scriptie ..................................................................................................7 3.2.6 Afbakening ..........................................................................................................8

4 Wat verstaan we onder Het Nieuwe Werken?...................................................9

4.1 Het nieuwe werken bij de APG groep......................................................10

4.2 APG IT-Werkplek van de toekomst .........................................................10

4.3 Het Nieuwe Werken bij de Friese Wouden..............................................12 4.3.1 Toekomstverwachting en relatie met Het Nieuwe Werken...............................12

5 Technologien die kenmerkend zijn voor Het Nieuwe Werken........................15

5.1 Inleiding ..................................................................................................15

5.2 Werkplek.................................................................................................15

5.3 Social Media ...........................................................................................15

5.4 Unified Communications .........................................................................16 5.4.1 Collaboration .....................................................................................................16 5.4.2 Bedrijfsveranderingen .......................................................................................16

5.5 Virtualisatie .............................................................................................17 5.5.1 Desktop virtualisatie ..........................................................................................17 5.5.2 Server Based Computing (SBC) .......................................................................17 5.5.3 Virtual Desktop Infrastructure (VDI) ..................................................................17 5.5.4 User state..........................................................................................................18 5.5.5 Applicatie virtualisatie........................................................................................18

5.6 de Cloud .................................................................................................19

5.7 Consumerization .....................................................................................19

5.8 Bring Your Own Device ...........................................................................19

6 Risicoanalyse en mogelijke maatregelen bij Het Nieuwe Werken ..................21

6.1 Welke huidige kaders zijn van toepassing ...............................................21 6.1.1 Kaders die van toepassing zijn bij APG............................................................21 6.1.2 Kaders die van toepassing zijn bij de Friese Wouden ......................................22

6.2 Toelichting Code voor Informatiebeveiliging ............................................22 6.2.1 Korte introductie NEN-ISO/IEC 27001..............................................................22 6.2.1.2 NEN 7510 .....................................................................................................23

6.3 Het Nieuwe Werken en bestuurlijke informatievoorziening ......................24

April 2011

4

6.3.1 Controle technische functiescheidingen ...........................................................24 6.3.2 Het Nieuwe Werken binnen de organisatorische eenheden.............................26

7 Risicoanalyse op de wijzigingen bij Het Nieuwe Werken.................................27

7.1 Algemene risicos ....................................................................................27

7.2 Algemene maatregelen ...........................................................................29 7.2.1 ICT Architectuur ................................................................................................29 7.2.2 IT-volwassenheid ..............................................................................................31

7.3 Het IT werkveld ...............