1

Normenkader om Twitter gebruik binnen de Lokale Overheid te auditen

Auteur: Hamza Soekhai Scriptiebegeleider: Dr. Abbas Shahim RE Interne begeleider: Ir. Guill van den Boom RE Postdoctorale opleiding tot Register EDP auditor Augustus 2012 Vrije Universiteit Faculteit der Economische Wetenschappen en Bedrijfskunde De Boelelaan 1105 1081 HV Amsterdam

2

Voorwoord

Voor u ligt mijn scriptie die ik ter afsluiting heb geschreven voor de postdoctorale opleiding IT audit aan de Vrije Universiteit. Middels deze weg wil ik mijn dank uitspreken naar de mensen die mij gedurende mijn opleiding en het schrijven van mijn scriptie hebben gesteund. Als eerst wil ik mijn begeleider dr. Abbas Shahim RE danken voor zijn begeleiding gedurende het schrijven van mijn scriptie. Graag wil ik mijn dank uitspreken voor de motiverende, stimulerende en inspirerende gesprekken die aan bod zijn gekomen. Oprecht kan ik zeggen dat deze begeleidingsgesprekken grotendeels toe hebben geleid dat ik mijn scriptie heb kunnen afronden. Mijn dank gaat ook uit naar Aicha Rahali voor het vertrouwen en inspreken van moed. Tevens wil ik ir. Guill van den Boom RE bedanken voor zijn begeleiding, feedback en het vertrouwen in mij. De afgelopen twee jaren waren zeer moeilijk voor ons gezin in verband met de gezondheid van onze oudste dochter. Wij hebben ons echter hier als gezin doorheen weten te slaan. Ik dank mijn vrouw voor al haar steun en mijn dochtertjes Sarah en Sofia voor hun onvoorwaardelijke liefde. Den Haag, augustus 2012 Hamza Soekhai

3

Inhoudsopgave

1 Inleiding 5 1.1 Probleemstelling 6 1.2 Doelstelling 6

1.2.1 Centrale vraagstelling 6 1.2.2 Deelvragen 6

1.3 Scope 7 1.4 Randvoorwaarden 7 1.5 Beperkingen 7 1.6 Onderzoeksaanpak 7 1.7 Scriptie structuur 8 1.8 Planning/doorlooptijd 9

2 Wat is Twitter? 10 2.1 Social media 10 2.2 Verschillende soorten social media 12 2.3 Waarom social media? 15 2.4 Twitter 16 2.5 Definitie van Twitter 18 2.6 Mogelijkheden gemeenten door gebruik van Twitter 18 2.7 Twitter gebruik bij lokale overheid 20

3 Risico’s, normen en additionele normen 21 3.1 Beheer en beveiliging risico’s bij Twitter-gebruik door gemeenten 21 3.2 Validatie risico’s en toepassing binnen gemeenten 24 3.3 Afgeleide normen ten behoeve van beheer en beveiliging 28 3.4 Additionele normen en validatie normenkader 30

3.4.1 Ontbrekende normen 31 3.4.2 Additionele normen 31

4 Conclusie 33 4.1 Beantwoorden deelvragen 33 4.2 Beantwoorden centrale onderzoeksvraag 36 4.3 Zelfreflectie 37

5 Literatuur 39 Bijlagen 1 Beheer en beveiligingsrisico’s Twitter-gebruik door gemeenten (gevalideerd)

4

2 Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts)

5

1 Inleiding

Het kabinet wil burgers en bedrijven online beter van dienst zijn door digitale dienstverlening hoog op de agenda te zetten. Om burgers en bedrijven beter van dienst te zijn heeft de Rijksoverheid afspraken gemaakt met gemeenten, provincies en waterschappen. De belangrijkste afspraken staan in het Nationaal Uitvoeringsprogramma betere Dienstverlening en e-overheid (NUP). Dit programma heeft eisen en hulpmiddelen gemaakt voor overheden en uiteenlopende voorbeeldprojecten en bouwstenen opgeleverd. Voorheen lag de nadruk van het NUP op de ontwikkeling van nieuwe digitale diensten. In deze kabinetsperiode gaat de aandacht meer uit naar het in gebruik nemen van deze diensten. Uitgangspunten hierbij zijn dat digitale communicatie de voorkeur heeft en gemeenten meer betrokken zijn bij haar burgers. Uit een recent onderzoek van Ernst & Young (2011) blijkt dat meer en meer gemeenten (66 procent) Twitter gebruiken als social media middel om een bijdrage te leveren aan de doelstellingen in het kader van digitale dienstverlening. Uit het onderzoek wordt duidelijk dat gemeenten Twitter met name gebruiken om de betrokkenheid bij haar burgers te vergroten, naar haar burgers te luisteren, een bijdrage te leveren aan openbare activiteiten en het aanbieden van haar diensten. Burgers maken in grote getallen gebruik van Twitter en verwachten van gemeenten dat digitale communicatie plaatsvindt conform haar voorwaarden, via haar kanalen en op elk gewenst moment. Het wordt steeds duidelijker dat indien gemeenten geen gebruik maken van social media middelen, de burgers dit voor hun zullen doen en derhalve voorbij zullen gaan aan de gemeenten (Gibson 2010). ISACA (2010) beschrijft in haar whitepaper dat social media gebruik niet langer een uitzondering is, maar zelfs een vereiste. Afdelingen zoals research & development, marketing, human resources en klantenservice realiseren dat het gebruik van social media toepassingen zoals Twitter voordelen met zich meebrengen.

6

1.1 Probleemstelling

Menig experts zijn het over eens dat Twitter een krachtig middel is voor interactie tussen gemeenten en burgers, ook het grootschalig gebruik van Twitter door gemeenten kan men niet om heen. Van belang is dat Twitter op een beheerste wijze wordt toegepast binnen gemeenten. Misbruik of onjuist gebruik van Twitter binnen gemeenten kan leiden tot negatieve publiciteit en in sommige gevallen zelfs tot paniek binnen de samenleving. Kortom Twitter is een krachtig middel om op een snelle manier zonder beperkingen een bericht naar buiten te brengen. Enkele voorbeelden van ‘high-profile’ Twitter incidenten waarbij beveiligingszwakheden een rol speelden zijn: USA Today en NBC News (‘terroristische aanval New York’), Fox News (‘meldt dood Obama’), Barack Obama Campaign (‘gebruikt voor spam’), Gemeente Almere (‘negatieve berichten over college van B&W).

1.2 Doelstelling

Gemeenten die gedreven zijn om de voordelen van Twitter te benutten kunnen nalatig zijn in de integratie hiervan in hun IT security framework, dit kan leiden tot onvoorziene kwetsbaarheden en risico’s. Het doel van deze scriptie was om te onderzoeken of Twitter-gebruik door gemeenten vanuit een audit perspectief op het gebied van beheer- en beveiligingsaspecten voldoende geïntegreerd is in het bestaande IT security framework.

1.2.1 Centrale vraagstelling

De centrale onderzoeksvraag van dit onderzoek: “Wat zijn de additionele normen die nodig kunnen zijn als aanvulling op bestaande normenkaders ten behoeve van het auditen van beheer- en beveiligingsaspecten van Twitter-gebruik binnen de Lokale Overheid?”

1.2.2 Deelvragen

Om de centrale onderzoeksvraag te kunnen beantwoorden, waren de volgende deelvragen geformuleerd:

1. Wat is Twitter? 2. Voor welke doeleinden wordt momenteel Twitter door gemeenten gebruikt? 3. Welke risico’s zijn er op het gebied van beheer en beveiliging van Twitter-gebruik door

gemeenten?

7

4. Welke bestaande normen zijn er ten behoeve van het auditen van beheer- en beveiligingsaspecten van Twitter-gebruik binnen de Lokale Overheid?”

5. Welke additionele normen zijn nodig om de risico’s te dekken?

1.3 Scope

Social media is een verzamelbegrip voor online platformen waar de gebruikers, zonder of met minimale tussenkomst van een professionele redactie, voor interactie en inhoud zorgen (Wikipedia, 2012). Om tot een onderzoeksvoorstel te komen is bestaande literatuur geraadpleegd om te onderzoeken welk social media middel het meest voorkomt, in relatie tot digitale dienstverlening bij gemeenten. Dit onderzoek heeft zich uitsluitend gericht op de social media toepassing ‘Twitter’. Overige social media toepassingen zijn binnen dit onderzoek buiten beschouwing gelaten.

1.4 Randvoorwaarden

Bij uitvoering van dit onderzoek waren de volgende randvoorwaarden gehanteerd: 1. Gemeenten met een volwassen niveau van interne controle en beheersing; 2. Gemeenten met een bestaand IT audit framework; 3. Twitter is reeds ingevoerd en wordt gebruikt door gemeenten voor communicatie naar haar

burgers toe.

1.5 Beperkingen

Dit onderzoek heeft zich uitsluitend gericht op de ontwikkeling van een normenkader ten behoeve van het auditen van beheer- en beveiliging aspecten van Twitter-gebruik binnen de lokale overheid.

1.6 Onderzoeksaanpak

Het onderzoek is gefaseerd, de aanpak is op basis van literatuur- en veldonderzoek. Bij het literatuuronderzoek ging het om de begripsbepaling en de theoretische verdieping. In het veldonderzoek zijn interviews met experts afgenomen om na te gaan of er aanvullingen zijn op de theorie. Concreter uitgewerkt was de aanpak per fase: 1. Fase 1, formuleren en verdiepen van het onderzoeksgebied, probleemstelling,

onderzoeksvragen en onderzoeksaanpak; 2. Fase 2, beantwoorden van deelvraag 1: verzamelen, bestuderen en beschrijven van literatuur

op het gebied van Twitter (theoretische verdieping). Een literatuurstudie geeft een invulling aan de te hanteren definitie voor Twitter. Op basis van het literatuuronderzoek is inzichtelijk welke definities gehanteerd worden voor Twitter en wat de belangrijkste verschillen zijn. De analyse heeft geleid tot een definitie voor Twitter wat in het verdere onderzoek gehanteerd is.

8

Het literatuuronderzoek is tevens gefocust op de theoretische concepten van Twitter zoals het ontstaan van Twitter, beweegredenen Twitter-gebruik en succes van Twitter in de samenleving. Beantwoorden deelvraag 2: theoretische verdieping en veldonderzoek om vast te stellen voor welke doeleinden gemeenten momenteel Twitter gebruiken. Hierbij is onderzocht in welke mate gemeenten gebruik maken van Twitter in het kader van digitale dienstverlening;

3. Fase 3, beantwoorden deelvraag 3: literatuuronderzoek naar bestaande risicoanalyses op het gebied van Twitter-gebruik met de nadruk op beheer- en beveiligingsaspecten. Aanvullend zijn de geïdentificeerde set van risico’s gevalideerd door experts (3 rollen) op het gebied van IT beveiliging (security officers) binnen gemeenten, belanghebbenden en verantwoordelijken binnen gemeenten (business owners) en een eindverantwoordelijke van een gerenommeerd adviesbureau op het gebied van o.a. IT audits (partner IT audit). Beantwoorden deelvraag 4: verder is onderzocht of er bestaande normen zijn gedefinieerd die de gevalideerde risico’s (afkomstig uit deelvraag 3) afdekken. Met behulp van bestaande normenkaders is onderzocht of normen toereikend genoeg zijn om de risico’s af te dekken. Beantwoorden deelvraag 5: indien normen niet toereikend genoeg zijn om de risico’s af te dekken, zijn op basis van interviews met experts additionele normen gedefinieerd (aanvulling). Om het ontwikkelde normenkader te concretiseren en de toepasbaarheid, juistheid en volledigheid van het normenkader vast te stellen, is het normenkader in de praktijk gevalideerd door experts;

4. Fase 4, geeft een antwoord op de centrale onderzoeksvraag, de deelvragen en biedt ruimte voor zelfreflectie.

1.7 Scriptie structuur

De verschillende fasen van het onderzoek hebben tot informatie geleid wat verwerkt is in deze scriptie. De scriptie kent een indeling van diverse hoofdstukken. In het onderstaande conceptueel model wordt de structuur toegelicht.

Figuur 1: conceptueel model rapport

9

1.8 Planning/doorlooptijd

De doorlooptijd van het onderzoek was 7 maanden. De initiatie van fase 1 was in februari, definitieve scriptie is opgeleverd in augustus. De opbouw van de doorlooptijd is beschreven in tabel 1. Maand feb maart april mei juni juli augustus Fase 1 Fase 2 Fase 3 Fase 4 Definitieve scriptie

Tabel 1: planning/doorlooptijd onderzoek

10

2 Wat is Twitter?

Twitter wordt op veel verschillende manieren ingezet. Hoe werkt Twitter en wat voor toepassing is het eigenlijk? In de volgende paragrafen wordt een antwoord gegeven op:

- Deelvraag 1: Wat is Twitter? - Deelvraag 2: Voor welke doeleinden wordt momenteel Twitter door gemeenten gebruikt?

2.1 Social media

Alvorens Twitter te beschrijven is het van belang om beter inzicht te krijgen in het overkoepelende begrip “social media”. Social media is een verzamelbegrip voor online platformen waar de gebruikers, zonder of met minimale tussenkomst van een professionele redactie, de inhoud verzorgen. Hoofdkenmerken zijn interactie en dialoog tussen de gebruikers onderling (Wikipedia, 2012). Voorbeelden hiervan zijn Facebook, Linkedin, Hyves en Twitter. Het gebruik van deze social media toepassingen zijn inmiddels wereldwijd. Een onlangs uitgevoerd onderzoek door de Zukang (2012) toont aan dat in de Europese Unie meer dan een derde van alle inwoners sociale netwerksites gebruikt. Veel organisaties spelen met de gedachte om gebruik te maken van een social media toepassing. Gezien het succes en de kracht van social media, heeft een organisatie feitelijk gezien weinig keuze. Ernst & Young (2012) geeft in haar onderzoek naar de risico’s van social media aan, dat het wel of niet implementeren van social media mensen niet zal weerhouden om te spreken over een organisatie op online platformen. Het op zijn minst structureel luisteren naar online conversaties maakt het mogelijk voor organisaties om kansen te benutten met minimale investering. Volgens trendwatchers Donston-Miller (2012) heeft social media niet alleen de manier van communiceren veranderd, maar zal social media in de komende vijf jaren zelfs organisaties veranderen::

1. Organisaties zullen minder hiërarch zijn: social media zal hiërarchische barrières breken en zal mensen de mogelijkheid geven om contact te leggen met mensen die een “klus het beste kunnen klaren”. Het zal de mogelijkheid bieden om mensen te ontdekken in andere delen van de organisatie die beschikken over de specifieke vaardigheden en relevante kennis die niet tot uiting komt in hun huidige functies;

2. Klanten zullen een grotere rol krijgen binnen organisaties: inzet van social media zal organisaties de mogelijkheid geven hun klanten actiever te betrekken bij strategische productontwikkeling;

3. Traditionele klantenservice model wordt op zijn kop gezet: bedrijven zullen in toenemende mate gebruik maken van sociale netwerken om klantenservice te bieden. Een

11

gerenommeerde CEO voorspelt zelfs dat meer dan 50% van de klantenservice zal worden uitgevoerd via sociale netwerken;

4. Interne social media zal intranetten vervangen: net zoals intranetten die zijn voortgekomen uit het publieke internet, komen interne social media (netwerken) voort uit middelen als Twitter en Facebook. Verwacht wordt dat interne social media (netwerken) van organisaties het belangrijkste communicatieplatform zal worden. Het gebruik van social media (netwerken) zal de norm zijn voor interne verspreiding van informatie, teambuilding, en kennisbehoud;

5. Marketing functies zullen zich uitbreiden: social media zal van iedereen binnen een bedrijf mogelijke marketeers maken. Werknemers zijn in hun vrije tijd geen tv-commercials, folders of advertenties aan het maken. Echter het benutten van de persoonlijke sociale graad van medewerkers die als vrijwilligers over hun organisaties op social media praten is een enorme kans voor bestuurders van organisaties. Uiteraard vereist dit van bedrijven dat richtlijnen worden opgesteld om te waarborgen dat berichten die verspreid worden wel in lijn zijn met het beleid van organisaties.

Om de groei en aantrekkingskracht van social media verder te illustreren: meer dan 1 miljard mensen, ongeveer 15% van de wereldbevolking, zijn geregisterde gebruikers bij werelds meest populaire social media toepassingen. Facebook wordt dagelijks door gemiddeld 172 miljoen verschillende mensen bezocht. 40 miljoen bezoeken Twitter en 22 miljoen mensen bezoeken dagelijks Linkedin. Figuur 2 laat de uitkomsten zien van een onderzoek (Lenhart et al., 2010) waaruit blijkt dat het gebruik van social media explosief aan het groeien is binnen elke leeftijdsgroep. Het is daarom aannemelijk om te zeggen dat Social Media een nieuwe revolutionaire trend is die van belang kan zijn voor menige organisaties (Kaplan & Haenlein, 2009).

12

Figuur 2: groei social media gebruik per leeftijdsgroep (Lenhart et al., 2010)

2.2 Verschillende soorten social media

Vrijwel dagelijks worden nieuwe toepassingen en mediums ontwikkeld en geclassificeerd als een Social Media. Echter blijkt dat er onder academische onderzoekers verwarring bestaat over wat precies opgenomen moet worden onder deze term. Het tijdperk van social media zoals wij dat nu kennen is 20 jaar geleden begonnen toen de eerste social networking website “Open Diary” was opgericht. Een site die online dagboekschrijvers bij elkaar bracht in een gemeenschap. Als gevolg van de groeiende en steeds snellere toegang tot het Internet werd het concept uitgebreid met de oprichting van social networking sites als MySpace (in 2003) en Facebook (in 2004). De oprichting van deze sites leidde tot de introductie van de term Social Media zoals wij die hedendaags kennen. De evaluatie van Social Media is te danken aan het platform Web 2.0. Internetgoeroe Tim O'Reilly (O’Reilly & Battelle, 2009) bedacht deze term en werd voor het eerst gebruikt in 2004 om een nieuwe manier te beschrijven waarop softwareontwikkelaars en –gebruikers, gebruik begonnen te maken van het ‘World Wide Web’. Web 2.0 creëerde een platform waarbij inhoud en toepassingen niet langer door individuen werden gemaakt en gepubliceerd, maar in plaats daarvan continu aangepast konden worden door alle eindgebruikers. Terwijl toepassingen zoals persoonlijke websites, Encyclopedia Britannica Online en het concept van inhoud publiceren behoren tot het tijdperk van Web 1.0 werden deze vervangen door blogs, wiki’s en samenwerkingsprojecten in Web 2.0. De veranderingen van Web 1.0 naar Web 2.0 hebben niet geleid tot technische wijzigingen aan het World Wide Web. Echter is er wel een basisset van functionaliteiten benodigd die van essentieel belang zijn voor het functioneren van Web 2.0 (Kaplan & Haenlein, 2009). Simpel HTML wat voldoende was voor Web 1.0 werd voorbijgestreefd door middel nieuwe ontwikkeltechnologieën, ook wel bekend als Web 2.0-technieken. Enkele voorbeelden van dergelijke technieken zijn: XML, Javascript en server-side scripting (bijv. PHP), en AJAX voor ontwerpen van interactieve toepassingen (Wikipedia, 2012). Volgens Kaplan & Haenlein (2009) staat Web 2.0 voor de ideologische en technologische basis van social media. User Generated Content kan gezien worden als de som van alle manieren waarop mensen gebruik maken van social media. De term User Generated Content is afkomstig uit de jaren ’80, echter de wijze waarop het nu gebruikt wordt is fundamenteel anders door:

- Technologische ontwikkelingen (bijv. high-speed internet verbindingen en toenemende hardware capaciteit);

- Economische ontwikkelingen (bijv. toenemende beschikbaarheid van Web 2.0-technieken/ontwikkeltechnologieën);

- Sociale factoren (bijv. de opkomst van “digital natives”, een jonge generatie met veel technische kennis en de drang om online te participeren).

13

Social media wordt gedefinieerd als “een groep van op internet gebaseerde toepassingen die voortbouwen op de ideologische fundamenten van Web 2.0 en de mogelijkheid biedt voor uitwisseling van User Generated Content (Kaplan & Haenlein, 2009). Kaplan & Haenlein (2009) geven aan dat er geen systematische wijze bestond voor het classificeren van social media applicaties. Om een dergelijk classificatieschema te ontwikkelen hebben ze gebruik gemaakt van theorieën van de twee kernelementen van social media:

- Medium onderzoek: Social presence/Media richness. Social presence wordt beïnvloed door de intimiteit (persoonlijk contact vs. niet persoonlijk contact, bijv. face-to-face vs. telefoon) en directheid (asynchroon vs. synchroon, bijv. e-mail vs. live chat) van het medium. Niet persoonlijk contact/asynchroon wordt als lager geclassificeerd dan persoonlijk contact/synchroon. Hoe hoger de sociale presence, des te hoger is de sociale invloed op het gedrag van de communicatiepartners;

- Sociale processen: Self-presentation/Self-disclosure. Het concept van self-presentation stelt dat in elk type van sociale interactie mensen de indrukken die andere over hun vormen zelf onder controle hebben (Goffman, 1959). Een self-presentation wordt gedaan door self-disclosure: bewuste of onbewuste openbaring van persoonlijke informatie (bijv. gedachten, gevoelens en hobby’s) die in overeenstemming is met het beeld wat iemand van zichzelf wil creëren.

Toegepast op de context van social media, gaan Kaplan & Haenlein (2009) ervan uit dat een tweede classificatie gemaakt kan worden op basis van de mate van vereiste self-disclosure en type self-presentation. De combinatie van beide dimensies leidt tot een classificatie van social media wat gevisualiseerd is in tabel 2.

Tabel 2: Classificatie Social Media door social presence en self-presentation (Kaplan & Haenlein, 2009) De hoeveelheid social media toepassingen is niet te overzien, dagelijks worden nieuwe toepassingen ontwikkeld. Kaplan & Haenlein (2009) maken onderscheid tussen de verschillende vormen van social media toepassingen:

- Collaborative projects: zogeheten samenwerkingsprojecten waarbij door veel gebruikers gezamenlijke en gelijktijdige inhoud gecreëerd wordt. Binnen samenwerkingsprojecten wordt onderscheid gemaakt tussen 1) wiki’s, dat zijn websites die gebruikers in staat stellen om tekst toe te voegen, verwijderen en wijzigen en 2) social bookmarking,

14

toepassingen waarbij gebruikers bladwijzers online kunnen opslaan, waarderen en delen met vrienden of een specifieke groep mensen. Een voorbeeld samenwerkingsproject is de online encyclopedie Wikipedia, een wiki die op dit moment in meer dan 230 verschillende talen beschikbaar is. De web service Delicious is een voorbeeld van een social bookmarking toepassing. Het idee wat ten grondslag ligt aan samenwerkingsprojecten is dat de gezamenlijke inspanning van meerdere auteurs leidt tot een beter resultaat dan het resultaat van een individuele auteur.

- Blogs: de eerste vorm van social media, dit zijn speciale websites die op basis van een datumstempel de artikelen in een chronologische volgorde weergeven (OESO, 2007). Een blog wordt vaak vergeleken met persoonlijke websites. Een blog bevat een persoonlijk dagboek waarin de auteur zijn activiteiten op dagbasis kan vastleggen. Blogs worden vaak door één persoon beheerd, maar bieden de mogelijkheid van interactie met anderen door het toevoegen van commentaar;

- Microblogs: microbloggen wordt gezien als een specifieke vorm van bloggen. Het grootste verschil tussen een microblog en blog is de beperkte toegestane lengte van berichten. Wikipedia omschrijft microbloggen als “a form of blogging that lets you write brief text updates (usually less than 200 characters) about your life on the go and send them to friends and interested observers via text messaging, instant messaging (IM), email or the web”. De meeste bekende en gebruikte microblog is Twitter;

- Content communities: de belangrijkste doelstelling van content communities is het delen van media inhoud tussen gebruikers. Content communities bestaan voor een groot aantal media typen, waaronder ook tekst (bijv. BookCrossing waarbij meer dan 750.000 gebruikers boeken delen), foto’s (bijv. Flickr), video’s (bijv. YouTube) en PowerPoint presentaties (bijv. Slideshare);

- Social networking sites: social networking sites zijn toepassingen die het mogelijk maken gebruikers in contact te brengen door het creëren van persoonlijke profielen, uitnodigen van vrienden en het verzenden van e-mails en instant messages tussen elkaar. Enkele voorbeelden van populaire social networking sites zijn Facebook, MySpace, Linkedin en Hyves;

- Virtual game worlds: virtual game worlds zijn platforms die een driedimensionale omgeving repliceren waarin gebruikers de vorm van gepersonaliseerde karakters kunnen aannemen en interactie met elkaar hebben net zoals ze dat in de echte wereld kunnen. Virtual worlds lijken op de ultieme manifestatie van social media, gezien het hoogste niveau van social presence van alle besproken toepassingen;

- Virtual social worlds: in de virtual social worlds kunnen bewoners ervoor kiezen om zich vrijer te gedragen. Men leeft in een virtuele wereld vergelijkbaar met hun echte leven. Net als in virtual worlds kan de vorm van gepersonaliseerde karakter aangenomen worden, echter zijn er binnen dit gebied geen beperkingen ten aanzien van voorschriften. Een bekend voorbeeld van een virtual social world is de toepassing Second Life. Naast alles wat mogelijk is in het echte leven (bijv. praten met andere karakters, wandelen, van de zon genieten) geeft Second Life gebruikers ook de mogelijkheid om inhoud te ontwikkelen (bijv. virtuele kleding, meubilair) om dit vervolgens aan anderen te verkopen in ruil voor Linden Dollars, een virtuele munteenheid.

15

2.3 Waarom social media?

Li & Bernhoff (2011) analyseren in hun boek de beweegreden om social media in te zetten binnen organisaties. Vanuit het perspectief van de gebruikers hebben ze onderzocht waarom mensen op social media aanwezig willen zijn en welk gedrag ze via social media toepassingen vertonen. In figuur 3 geven Li & Bernhoff (2011) op basis van bedrijfsfuncties aan hoe deze betrekking hebben op de doelstellingen om op social media aanwezig te zijn:

Figuur 3: Doelstellingen op social media aanwezig te zijn (Li & Bernoff, 2011)

16

Volgens Li & Bernoff (2011) bepaalt het sociaal technologisch gedrag van mensen hoe ze participeren op social media. Figuur 4 geeft de zeven gedragstypen van mensen weer. Elke stap op de ladder representeert een groep die meer betrokken is met social media dan de voorgaande stappen. Om hoger op de ladder te komen, dient men minimaal op maandelijkse basis te participeren binnen de weergegeven activiteiten. Al deze groepen maken het ecosysteem wat social media vormt.

Figuur 4: sociaal technografisch ladder Social Media (Li & Bernoff, 2011)

2.4 Twitter

Twitter, genoemd naar het gekwetter van vogels, is opgericht in 2006 door het webbedrijf Obvious Corp. Door middel van een berichtje, in vakjargon een tweet, kan de gebruiker aan de hand van een tekstberichtje dat uit maximaal 140 karakters bestaat, laten weten waar de gebruiker op dat moment mee bezig is. Deze zogenaamde tweets kunnen via e-mail, sms of de website de wereld in worden gebracht. Gebruikers kunnen andere gebruikers volgen, de zogeheten followers

17

zien de tweets die geschreven worden en weten dus direct waar iemand mee bezig is. Opvallende en interessante tweets worden overgenomen ( in vakjargon ‘retweeten’) door andere Twitter gebruikers, waardoor een bericht in zeer korte tijd een groot publiek kan bereiken. Sinds O’Reily’s aankondiging van Web 2.0 in 2004, is Twitter één van de meest populaire communicatieplatform op het Internet geworden. In 2010 stond Twitter op een 10e plek in de wereld ten aanzien van gegenereerd webverkeer. Grozdanic (2011) geeft aan dat sinds juli 2011 Twitter meer dan 200 miljoen gebruikers heeft die dagelijks miljoenen berichten posten. Twitter wordt hedendaags door vrijwel iedereen gebruikt, politici, beroemdheden, astronauten, wetenschappers en zakenlui. Zelf de paus heeft een Twitter account. Volgens Zimmerman (2010) en Kwak et al. (2010), laat Twitter zich het best omschrijven als een microblogdienst. Hughes et al. (2011) beschrijven Twitter als een snelgroeiende service die haar gebruikers de mogelijkheid geeft om hun accountstatus bij te werken met korte uitspraken. Gebruikers hoeven geen gegevens te verstrekken over zichzelf of hun locatie. Butts & Acton (2010) hebben onderzoek gedaan naar de geografie van Twitter-netwerken en noemen Twitter een op internet gebaseerd systeem dat een populair sociaal netwerk and microblogdienst is. Wikipedia (2012) beschrijft evenals Zimmerman (2010) Twitter als een microblogdienst door het een combinatie van webloggen en instant messaging te noemen. In tegenstelling tot Zimmerman (2010) en Butts & Acton (2010) beschrijven Cho en Park (2011) Twitter niet als een microblogdienst. In Twitter delen gebruikers hun huidige activiteiten met andere gebruikers door het beantwoorden van de vraag “what’s happening?”. Echter, dringen microblogdiensten de gebruikers niet tot het leggen van onderlinge contacten op basis van vooraf gedefinieerde vragen. Cho & Park (2011) beschrijven Twitter als een ‘informatieoverdracht’ kanaal waarbij korte berichten real-time op het Internet gepubliceerd worden. Boyd et al. (2010) beschrijven Twitter als “a microblogging service that enables users to post messages (“tweets”) of up to 140 characters—supports a variety of communicative practices; participants use Twitter to converse with individuals, groups, and the public at large, so when conversations emerge, they are often experienced by broader audiences than just the interlocutors”. Grozdanic (2011) beschrijft Twitter als een gratis online dienst waarmee korte berichten gepost kunnen worden in een formaat dat eenvoudig gelezen kan worden door mensen die op Twitter.com surfen. Volgens Educause (2007): “Twitter is een online toepassing, dat gedeeltelijk een blog is, gedeeltelijk een social networking site en gedeeltelijk een mobiele telefoon/IMtool”. Twitter (2012) beschrijft zichzelf als een informatienetwerk die haar deelnemers de mogelijkheid biedt om op de hoogte te blijven van het laatste nieuws, ideeën, acties en de activiteiten van andere Twitteraars. Een tweet van maximaal 140 tekens wordt beschouwd als het hart van Twitter. Java et al. (2008) concluderen op basis van hun analyse dat Twitter-gebruik gebaseerd is op de volgende gebruikersintenties:

- Dagelijkse chatter: de meeste berichten op Twitter gaan over dagelijkse routine of wat mensen nu aan het doen zijn. Dit zijn de grootste en meest voorkomende gebruikers van Twitter;

18

- Gesprekken: aangezien er geen directe manier is voor mensen om te reageren op de post van hun vriend, wordt met behulp van het @ symbool gevolgd door de gebruikersnaam gereageerd. Eén op de acht berichten binnen het onderzoek van Java et al. bevat een gesprek;

- Delen van informatie/URL’s: ongeveer 13% van alle berichten in de analyse bevatten een URL. Door de beperkte lengte van berichten wordt regelmatig gebruik gemaakt van de URL afkortdienst TinyURL9;

- Rapporteren van nieuws: veel gebruikers melden het laatste nieuws of plaatsen een bericht met betrekking tot een actuele gebeurtenis op Twitter.

Java et al. (2008) onderkennen in hun analyse de drie belangrijkste categorieën gebruikers op Twitter:

- Informatiebron: wordt gezien als een hub en heeft een groot aantal volgers. Deze categorie gebruikers kunnen berichten op regelmatige en onregelmatige basis posten. Ondanks de onregelmatige updates, hebben bepaalde gebruikers een groot aantal volgers gezien de aard van hun berichten. Uit de analyse van Java et. al (2008) blijkt dat sommige informatiebronnen geautomatiseerde tools betroffen die automatisch nieuws en andere nuttige informatie op Twitter posten;

- Vrienden: de meeste relaties vallen binnen deze brede categorie. Er zijn vele categorieën van vriendschappen op Twitter. Een volgerlijst van een gebruiker kan bijvoorbeeld bestaan uit familie, vrienden en collega’s. Soms kunnen onbekende gebruikers iemand toevoegen als vriend;

- Informatiezoeker: een gebruiker die zelf niet erg actief is op Twitter, maar wel andere gebruikers regelmatig volgt.

2.5 Definitie van Twitter

Vanuit de literatuur worden verschillende definities gegeven van Twitter. Een analyse van deze definities laat de volgende belangrijkste overeenkomsten zien die in het kader van dit onderzoek gebruikt zijn:

- Twitter is een gratis social media toepassing die wereldwijd explosief aan het groeien is; - Twitter wordt beschreven als een combinatie van een microblogdienst en berichtenservice

dat gebruikt wordt als ‘informatieoverdracht’ kanaal; - Gebruikers kunnen korte mededelingen (tweets) posten van maximaal 140 karakters. De

volgers kunnen op deze berichten reageren of verder verspreiden (retweeten).

Op basis van het classificatie model voor social media (Kaplan & Haenlein 2009), wordt Twitter geclassificeerd als “low social presence/media richness, high self presentation/self-disclosure”.

2.6 Mogelijkheden gemeenten door gebruik van Twitter

“Nederland heeft een vooraanstaande positie in de wereld als het gaat om de elektronische overheid. Nieuwe technologieën worden snel omarmd en geïncorporeerd. Volgens een recent onderzoek van de Verenigde Naties is Nederland inmiddels de nummer twee in de wereld als het

19

gaat om de elektronische overheid). Wij moeten slechts Zuid Korea voorlaten” (Ernst & Young, 2012). Uit het onderzoek van Ernst & Young blijkt ook dat Nederland deze hoge positie te danken heeft aan het actieve gebruik van social media, waaronder ook Twitter. Gibson (2010) geeft aan dat social media, waaronder ook Twitter een tijd- en kostenbesparende toepassing is. Hij onderkent de volgende categorieën ten aanzien van Twitter-gebruik binnen gemeenten:

- Informeren van burgers: burgers kunnen op een kosteloze manier door gebruik van Twitter op de hoogte gehouden worden van (kritische) informatie ten aanzien van hun woonplaats (bijvoorbeeld: laatste nieuws uit de gemeente, verkeersberichten, algemene zaken zoals beantwoorden van burgervragen). Gemeenten realiseren zich dat door hun openbare mededelingen beschikbaar te maken via Twitter, zij in korte tijd een grote groep mensen kunnen bereiken tegen weinig kosten. De sociale aard van Twitter betekent ook dat burgers geposte berichten doorsturen, zodat belangrijk nieuws sneller en nog verder wordt verspreid dan gemeenten in eerste instantie kunnen;

- Rapporteren van problemen: burgers zijn de oren en ogen van gemeenten. De populariteit van Twitter is al eerder beschreven en aangeven dat dit inmiddels een onderdeel is geworden van het dagelijks leven van mensen. Twitter is een prima medium om burgers te stimuleren voor het doorgeven van problemen (bijvoorbeeld meldingen ten aanzien van openbare ruimte). Gemeenten krijgen hierdoor de mogelijkheid om de tevredenheid en participatie van burgers te vergroten, de effectiviteit is transparant en publiekelijk zichtbaar voor anderen. Een direct gevolg hiervan is dat de participatie van burgers zal uitbreiden;

- Versterken van de democratie: lokale democratie en de betrokkenheid van burgers zijn belangrijke aspecten voor gemeenten. Twitter biedt mogelijkheden om burgers te betrekken bij lokale verkiezingen en andere overheidsactiviteiten (bijvoorbeeld evenementen en festiviteiten). Burgers krijgen een stem die ze via Twitter kunnen laten horen ten aanzien van besluitvorming binnen gemeenten;

- Campagne voeren: gemeenten zijn politieke omgevingen en Twitter biedt krachtige hulpmiddelen voor het voeren van campagne. Gemeenten zijn bewust van het feit dat zij een bijdrage moeten leveren aan petities en campagnes gevoerd door burgers. Een goed voorbeeld is de 2007 campagne van HSBC klanten, waar met behulp van social media geklaagd werd over een voorstel van HSBC voor het invoeren van additionele kosten ten aanzien van een rekening-courant. De groep kreeg een grote aanhang volgers waardoor HSBC zich genoodzaakt voelde om hun voorstel in te trekken;

- Bouwen aan de gemeenschap: Twitter geeft gemeenten de mogelijkheid om gemeenschappen te bouwen, mensen bij elkaar en in contact te brengen. Het kan de goedheid in een mens naar boven brengen en wellicht het ontbrekende stuk te zijn om een gemeenschap nog dichter bij elkaar te brengen. Denk aan gemeenten belast met het bouwen van een gevoel aan saamhorigheid in een wijk, het verhogen van tevredenheid van burgers en verminderen van sociale problemen zoals vandalisme of racisme.

Volgens Gibson (2010) zijn wij nog in een vroege stadia waarin men begint te begrijpen wat de mogelijkheden zijn voor gemeenten in combinatie met Twitter. Hij geeft aan dat ook de volgende gebieden door gemeenten benut kunnen worden:

20

- Werving en behoud van personeel; - Publieke betrokkenheid op operationeel, tactisch en strategisch niveau; - Verbetering van producten en diensten.

2.7 Twitter gebruik bij lokale overheid

Deloitte (2008) geeft aan dat gemeenten het gebruik van Twitter spoedig zullen omarmen om de dienstverlening en interactie naar burgers te vereenvoudigen en verbeteren. Ernst & Young heeft in 2011 een benchmark uitgevoerd naar het niveau van digitale dienstverlening binnen de lokale overheid. In dit onderzoek is onder andere gekeken naar het gebruik van Twitter. Uit het onderzoek komt naar voren dat van de 418 gemeenten, 276 gemeenten beschikken over een Twitter account en 261 gemeenten actief gebruik maken van Twitter. Om een beeld te vormen op welke wijze gemeenten Twitter gebruiken, zijn in tabel 3 de top 10 best presenterende gemeenten op het gebied van digitale dienstverlening opgenomen. Van deze gemeenten zijn de Twitter-berichten geanalyseerd en geclassificeerd op basis van de categorisering die Gibson (2010) hanteert. Als een gemeente Twitter-berichten post die te classificeren zijn binnen één van de categorieën, dan is dit in tabel 3 met ‘x’ weergegeven binnen desbetreffende categorie.

Gemeente Info

rmer

en v

an b

urge

rs

Rap

port

eren

van

pro

blem

en

Ver

ster

ken

van

de

dem

ocra

tie

Cam

pagn

e vo

eren

Bou

wen

aan

de

gem

eens

chap

Wer

ving

en

beho

ud v

an

pers

onee

l

Publ

ieke

bet

rokk

enhe

id

over

leg

Ver

bete

ren

van

prod

ucte

n en

die

nste

n

Den Haag x x x x - x - x Zoetermeer x x x - - x - x Nieuwegein x x - - - x - x Leiden x x x x - x - x Dordrecht x x - - - x - x De Wolden x x - - - x - - Breda x x - x - x - - Rijswijk x x - - - x - x Capelle aan den IJssel x x - - - x - - Tilburg x x - - - x - x

Tabel 3: analyse van Twitter-berichten en geclassificeerd op basis van categorisatie gehanteerd door Gibson (2010)

21

Uit tabel 3 blijkt dat alle top tien gemeenten twitteren over categorieën waarin burgers worden geïnformeerd, problemen worden gerapporteerd en vacatures worden gepost ten aanzien van werving en behoud van personeel. Echter posten geen van de gemeenten Twitter-berichten die te groeperen zijn binnen de categorieën: bouwen aan de gemeenschap, publieke betrokkenheid bij operationeel, tactisch en strategisch overleg. Slechts een enkele gemeente, waaronder Den Haag, Leiden en Breda maken gebruik van Twitter voor het voeren van campagnes. Vanuit de literatuur geeft Gibson (2010) aan dat gemeenten de mogelijkheden van Twitter momenteel niet voldoende benutten. Uit bovenstaande analyse blijkt dat ook de gemeenten die momenteel goed scoren op het gebied van digitale dienstverlening en de mate van interactiviteit met de burgers, de mogelijkheden van interactie door middel van Twitter niet optimaal benutten.

3 Risico’s, normen en additionele normen

Social media, waaronder ook Twitter, biedt vele kansen maar kent ook risico’s. Zo kan Twitter gebruikt worden door ontevreden burgers en medewerkers die de gemeente in een kwaad daglicht kunnen stellen door verkeerde of negatieve informatie te verspreiden. Daarnaast kunnen medewerkers die hun dagelijkse activiteiten via Twitter delen bewust of onbewust (privacygevoelige) informatie delen die schadelijk kan zijn voor de reputatie van de onderneming (ISACA, 2011). Uit de Global Information Security Survey van Ernst in Young (2011) blijkt dat de toenemende adoptie van onder andere Twitter invloed heeft op het landschap van IT risico’s. In de volgende paragrafen wordt een antwoord gegeven op de volgende deelvragen:

- Deelvraag 3: welke risico’s zijn er op het gebied van beheer en beveiliging van Twitter-gebruik door gemeenten?

- Deelvraag 4: welke bestaande normenkaders zijn er ten behoeve van het auditen van beheer- en beveiligingsaspecten van Twitter-gebruik binnen de Lokale Overheid?”

- Deelvraag 5: welke additionele normen zijn nodig om de risico’s te dekken?

3.1 Beheer en beveiliging risico’s bij Twitter-gebruik door gemeenten

In het onderzoek wat Gibson (2010) heeft uitgevoerd heeft hij in het bijzonder gekeken naar de inzet van social media, waaronder ook Twitter binnen lokale overheden. Hij stelt letterlijk de vraag “als deze toepassingen echt zo goedkoop, krachtig en gunstig zijn voor gemeenten, waarom maakt iedereen er dan geen gebruik van?”. De voordelen en noodzaak van Twitter zijn niet bij iedereen bekend (Kok, 2011). Men weet derhalve ook niet welke risico’s Twitter met zich mee zal brengen. Uit een onderzoek van Proofpoint (2010) blijkt dat één op de vijf bedrijven in the Verenigde Staten na onderzoek constateerden dat het lekken van data veroorzaakt werd door het posten van berichten op social media. Chaudary et. al. (2011) geeft aan dat social media een kanaal is dat

22

niet beschermd is door typische informatiebeveiliging maatregelen. Als een resultaat hiervan moeten organisaties een nieuwe reeks van informatiebeveiliging risico’s evalueren. De Twitter-mogelijkheden die kansen creëren voor gemeenten zijn vaak dezelfde mogelijkheden die IT-gerelateerde risico’s creëren. De risico’s van Twitter kunnen ontstaan door verschillende afdelingen binnen een gemeente op hetzelfde moment. Om dit te voorkomen moeten gemeenten begrijpen hoe, wanneer en waar beheersingsmaatregelen ten aanzien van IT toegepast moeten worden. Wet- en regelgeving, juridische zaken, operationele zaken en publieke taak/functie zijn onderwerpen die op de lijst staan van potentiële IT-gerelateerde Twitter risico’s. Gemeenten die de potentiële IT-gerelateerde risico’s van Twitter-gebruik willen voorkomen door ze te negeren, beperken, of te verbieden zullen hiermee slechts beperkt het risico verminderen. In feite zal een dergelijke aanpak leiden tot meer potentiële problemen en uitdagingen voor een gemeente om haar doelstellingen op het gebied van digitale dienstverlening te bereiken, daar het bouwen van relaties met burgers verder gaat dan alleen het aanbieden van producten en diensten (Ernst & Young, 2011). Uit een onderzoek van Ernst & Young (2012) waar inzage is gegeven in de kansen en risico’s van social media binnen de publieke sector blijkt dat de respondenten niet tevreden zijn over de mate waarin risico’s van social media worden ingeschat. Slechts in een aantal gevallen wordt een risicoanalyse uitgevoerd om de risico’s ten aanzien van social media in kaart te brengen. ISACA (2010) heeft een whitepaper gepubliceerd waarin op basis van een risicoanalyse, risico’s zijn gepubliceerd ten aanzien van social media gebruik door organisaties. In hun whitepaper maken ze onderscheid tussen risico’s van social media gebruik door organisaties en risico’s die ontstaan door medewerkers die gebruik maken van social media (zakelijk en/of privé). Volgens ISACA (2010) zijn er vijf “top risico’s” van social media waarbij organisaties aanbevolen wordt om deze geïdentificeerde risico’s te adressen:

- Virussen en malware: een virus is een programma dat zichzelf kan vermenigvuldigen en bestanden, programma's en computersystemen kan infecteren. Sommige virussen vermenigvuldigen en verspreiden zich alleen maar, terwijl andere ook computersysteem en gegevens kunnen beschadigen. Malware is afgeleid van 'malicious software'. Software die bestemd is om schade aan te richten door systemen of gegevens te beschadigen, inbreuk te maken op privacy, informatie te stelen of zonder toestemming computers te infiltreren (Norton, 2012). Virussen en malware kunnen leiden tot geïnfecteerde systemen waardoor bedrijfsgevoelige informatie kan lekken, zoals wachtwoorden en andere kritische gegevens (ISACA, 2010);

- Merk kapen: een activiteit waarbij iemand via Twitter de identiteit en het merk van een andere organisatie aanneemt met de intentie om gebruik te maken van de diensten en naamsbekendheid van de organisatie (Wikipedia, 2012). Dit kan leiden tot lekken van bedrijfsgevoelige informatie, imago- en reputatieschade (ISACA, 2010);

- Gebrek aan controle over inhoud: inhoud wordt op ongecontroleerde wijze gepubliceerd via Twitter waardoor een organisatie geen controle meer heeft over de wettelijke rechten van geplaatste informatie (ISACA, 2010);

- Onrealistische verwachting van klant ten aanzien van Twitter: klanten hebben een bepaald beeld bij de mogelijkheden om via Twitter de communiceren met

23

organisaties. Organisaties dienen deze verwachtingen in kaart te brengen en structuur aan te brengen op desbetreffende Twitter pagina (ISACA, 2010);

- Niet naleven van wet- en regelgeving: mismanagement van communicatie via Twitter kan leiden tot juridische sancties en boetes (ISACA, 2010).

Hoewel social media zorgt voor een toegangspoort voor technologische risico’s zoals malware en virussen, is vooral bij medewerkers het gebrek ten aanzien van “risicovol gedrag” een factor die dergelijke risico’s verhoogd. ISACA (2010) geeft aan dat organisaties daarom ook rekening moeten houden met risico’s waarbij het gedrag van medewerkers een rol speelt. Medewerkers maken gebruik van Twitter zowel binnen als buiten kantoortijden, zij onderkennen derhalve 4 belangrijke risico’s die in dit kader ook van toepassing zijn:

- Het gebruik van persoonlijke Twitter accounts om te communiceren over werkgerelateerde informatie: persoonlijke accounts kunnen gebruikt worden om werkgerelateerde bedrijfsgevoelige informatie te delen en hiermee reputatie- en imago schade veroorzaken voor een organisatie (ISACA, 2010);

- Plaatsen van foto’s en informatie die medewerkers koppelen aan hun werkgevers: het gedrag van medewerkers buiten kantoortijden kan slechts tot een bepaalde hoogte beïnvloed worden door organisaties. Foto’s en informatie kunnen medewerkers koppelen aan hun werkgever, wat kan leiden tot imago- en reputatieschade voor een organisatie (ISACA, 2010);

- Overmatig gebruik van Twitter op de werkplek: medewerkers kunnen overmatig gebruik maken van Twitter onder kantoortijden wat kan leiden tot verlies van productiviteit (ISACA, 2010);

- Toegang tot Twitter via mobiele apparaten (bedrijfseigendom): medewerkers gebruiken mobiele apparaten die eigendom zijn van de werkgever om gebruik te maken van Twitter. Hierdoor bestaat een kans op infectie door virussen en malware en lekken van bedrijfsgevoelige informatie (ISACA, 2010).

Ernst & Young heeft in 2012 middels een risicoanalyse de risico’s van social media in kaart gebracht. Naast de al eerder genoemde risico’s van ISACA (2011) onderkent Ernst & Young ook risico’s ten aanzien van IT-beheersing. De belangrijkste risico’s hierbij zijn:

- Geen wijziging beheerproces: het niet doorvoeren van wijzigingen aan de hand van een gedocumenteerde procedure vergroot het risico dat fouten optreden in de geautomatiseerde gegevensverwerking na het in gebruik nemen van nieuwe of gewijzigde software;

- Taken en verantwoordelijkheden zijn niet gescheiden ten aanzien van wijzigingen: ongeautoriseerde of onbedoelde wijzigingen kunnen in productie genomen worden. Hierdoor kunnen fouten optreden die de betrouwbaarheid van de gegevensverwerking kunnen beïnvloeden;

- Geen scheiding tussen de ontwikkeling, test en productieomgeving: ongewenste wijzigingen kunnen doorgevoerd worden. Hierdoor kunnen fouten optreden die de betrouwbaarheid van de gegevensverwerking kunnen beïnvloeden en een impact kan hebben op de continuiteit van systemen;

24

- Geen gebruikers beheerproces: gebruikers kunnen ten onrechte dan wel met teveel autorisaties worden aangemaakt. Dit kan leiden tot ongewenste functievermengingen of tot onbedoelde toegang tot bedrijfsgevoelige gegevens;

- Ongecontroleerd toegang tot accounts met vergevorderde rechten: accounts met vergevorderde rechten kunnen gebruikt worden om toegang te krijgen tot bedrijfsgevoelige gegevens. Dit kan leiden tot ongewenste functievermengingen of tot onbedoelde toegang tot bedrijfsgevoelige gegevens;

- Geen eisen aan wachtwoord inrichting: door middel van zwakke wachtwoorden kan relatief eenvoudig onbevoegd toegang tot het accounts verkregen worden. Dit kan leiden tot ongeautoriseerde toegang tot bedrijfsgevoelige informatie;

- Geen controle op juistheid van accounts en instellingen: ongepaste toegangsrechten worden niet geïdentificeerd. Dit kan leiden tot ongewenste functievermengingen of tot onbedoelde toegang tot bedrijfsgevoelige gegevens.

Het belangrijkste is dat organisaties hebben nagedacht over de informatiebeveiligingsproblemen en wat voor invloed dit heeft op de organisatie. Everett (2009) geeft aan dat de informatiebeveiligingrisico’s iets is wat niet uitgesteld kan worden tot volgend jaar. Het begrijpen van de dreigingen en het ontwikkelen van een coherente benadering voor het identificeren van IT risico’s is volgens hem de meest effective manier om voor de organisatie van toepassing zijnde IT-risico’s op gebied van social media te identificeren.

3.2 Validatie risico’s en toepassing binnen gemeenten

In het kader van dit onderzoek zijn de risico’s ten aanzien van beheer- en beveiligingaspecten van Twitter-gebruik geïdentificeerd en gevalideerd. Validatie heeft plaatsgevonden door experts op het gebied van IT beveiliging (security officers) binnen gemeenten, belanghebbenden en verantwoordelijken binnen gemeenten (business owners) en een eindverantwoordelijke van een gerenommeerd adviesbureau op het gebied van o.a. IT audits (partner IT audit). Het gebruik van Twitter kan voor elke organisatie andere risico’s met zich meebrengen. Op basis van de interviews met experts wordt geconstateerd dat de doelstellingen, core business en de bijhorende bedrijfsprocessen van een organisatie in sterke mate bepalen welke risico’s van toepassing kunnen zijn. Om IT-risico’s op een effectieve manier te beheersen hebben organisaties een breed en compleet overzicht nodig van het gehele landschap van IT-risico’s. Een onderdeel hiervan zijn IT-risico’s gerelateerd aan gebruik van social media toepassingen zoals Twitter. Literatuur is onderzocht om een IT-risico classificatiemodel te gebruiken voor het mappen en categoriseren van de Twitter risico’s. ISACA (2010) heeft in haar Risk IT Framework een model opgenomen voor het classificeren van risico’s. In tegenstelling tot het IT Risk Univere model wat Ernst & Young (2011) hanteert, is het model van ISACA generiek van aard en meer gefocust op een procesmatige beschrijving van IT-risico’s en minder op de classificering van risico’s. Figuur 6 toont een weergave van het IT Risk Universe model (Ernst & Young, 2011). De binnenste ring van het model bestaat uit 10 “grote IT risicocategorieën”:

25

- Third-party suppliers and outsourcing; - Programs and change management; - Security and privacy; - Physical environment; - Staffing; - Operations; - Data; - Infrastructure; - Application and databases; - Legal and regulatory.

De buitenste ring van het model bevat een aantal voorbeeld risico’s die binnen een dergelijke categorie gecategoriseerd kunnen worden.

Figuur 6: IT-risico categorieën en onderwerpen (Ernst & Young, 2011) De categorieën zijn stabiel, maar de risico’s binnen deze categorieën variëren per organisatie en IT-middel/techniek. De categorieën in figuur 6 zijn het uitgangspunt geweest om de risico’s ten aanzien van beheer- en beveiligingsaspecten van Twitter-gebruik te classificeren, zie tabel 4. Tabel 4 bestaat uit een uniek risiconummer (komt overeen met de nummering in bijlagen), risicoclassificatie op basis van het ‘IT Risk Universe’ raamwerk, een beknopte beschrijving van

26

alle geïdentificeerde risico’s ten aanzien van Twitter-gebruik door lokale overheden, beheer of beveiliging gerelateerde risico en de toepasbaarheid voor gemeenten op basis van de validatie door experts. De classificatie van een risico ten aanzien van het beheer- of beveiligingsaspect, is gemaakt zodat dit overeenkomt met de aard van de risicobeschrijving. Van de 10 risicocategorieën binnen het IT Risk Universe model zijn er 7 gebruikt voor het categoriseren en mappen van de Twitter-risico’s. Categorisering heeft plaatsgevonden op basis van de voorbeeld risico’s per categorie (buitenste ring in figuur 6) en interviews met experts.

Nr. IT Risk Universe categorie:

Risico (beknopt) Categorie

Secu

rity

offic

er

Bus

ines

s ow

ner

Partn

er IT

-aud

it

D1

Data

Geen gebruikersbeheer procedure – ongeautoriseerd toegang tot systemen. Ernst & Young (2012), ISACA ( 2011)

Beheer

x x x x x

D2 Ongeautoriseerd toegang tot administrative- en high privileged accounts. Ernst & Young (2012) x x x x x

D3 Geen review van toegangsrechten - ongepaste toegangsrechten worden niet geïdentificeerd. Ernst & Young (2012)

x x x x x

D4 Zwakke wachtwoorden - onbevoegd toegang tot Twitter wachtwoord. (Ernst & Young, 2012)

Beveiliging x x x x x

P1

Programs and change management

Geen wijzigingenbeheer proces - ongeautoriseerde wijzigingen worden in productie genomen. Ernst & Young (2012), ISACA ( 2011)

Beheer

x x x x x

P2 Taken en verantwoordelijkheden t.a.v. wijzigingen niet gescheiden – ongeautoriseerde/onbedoelde wijzigingen worden in productie genomen. (Ernst & Young, 2012)

x x x x x

P3 Geen scheiding tussen ontwikkel, test, en productieomgeving – ongewenste wijzigingen worden doorgevoerd. (Ernst & Young, 2012)

x x x x x

I1 Infrastructure Onbemande systemen niet beveiligd – ongeautoriseerd toegang. (Ernst & Young, 2012)

Beveiliging x x x x x

O1 Operations

Geen risicoanalyse t.a.v. Twitter-gebruik - beheersingsmaatregelen niet toereikend genoeg om de risico’s van Twitter-gebruik te mitigeren. ISACA (2011)

Beheer

x x x x x

O2 Bedrijfsprocessen niet afgestemd op Twitter-beleid - bedrijfsprocessen lekken ongewenst bedrijfsgevoelige informatie. ISACA (2010)

x x x x x

S1 Security and privacy

Geen informatiebeveiligingsbeleid - beveiligingseisen, taken en verantwoordelijkheden ten aanzien van IT zijn niet gedefinieerd. ISACA (2011)

Beheer x x x x x

27

IT Risk Universe categorie:

Risico (beknopt) Categorie

Secu

rity

offic

er

Bus

ines

s ow

ner

Partn

er IT

-aud

it

S2

Geen Twitter-beleid - ongepaste uitingen door medewerkers via Twitter. ISACA (2010)

x x x x x

S3 Geen beveiliging tegen malware - geïnfecteerde systemen en mobile devices door malware waardoor bedrijfsgevoelige informatie kan lekken. ISACA (2011)

Beveiliging

x x x x x

S4 Geen maatregelen bij verlies/diefstal mobile devices – onbevoegd toegang tot Twitter-account en bedrijfsgevoelige informatie. Dinerman (2011)

x x x x x

S5 Geen beveiliging tegen verkorte URL’s – kans op infecties door websites die malware bevatten. Dinerman (2011)

x x x x x

ST1

Staffing

Uitvoeren/implementeren Twitter-beleid door HR vindt niet plaats – beleid is onbekend bij medewerkers. ISACA (2011)

Beheer

x x x x x

ST2 Trainingsprogramma niet aanwezig - medewerkers zijn onvoldoende op de hoogte van Twitter-gebruik. ISACA (2010)

x x x x x

ST3 Geen maatregelen bij misbruik/schending van Twitter-beleid – beleid wordt negeert door medewerkers. ISACA (2011)

x x x x x

ST4 Lage responsiviteit op Twitter - ontevredenheid bij burgers. ISACA (2010)

x x x x x

ST5 Social media gebruik door medewerkers - lage productiviteit, netwerk belasting, kans op infecties door malware. ISACA (2010)

Beveiliging x x x x x

L1

Legal and regulatory

Geen proces om merkinbreuk op Twitter te identificeren – eigendom wordt zonder wetendheid van de gemeente door derden op Twitter gebruikt. ISACA (2011)

Beheer

x x x x x

L2

Berichten van derden worden niet bewaakt – derden kunnen negatieve berichten verspreiden ten aanzien van een gemeente. ISACA (2011), Henry (2011)

x x x x x

L3 Geen damage control proces - imagoschade via Twitter wordt niet beperkt. ISACA (2011)

x x x x x

Tabel 4: beheer en beveiliging risico’s Twitter-gebruik binnen gemeenten (gevalideerd) Uit tabel 4 blijkt dat alle geïdentificeerde risico’s van toepassing zijn voor gemeenten die gebruik maken van Twitter. Uit de expert interviews met vooral de security officers en business owners van gemeenten wordt duidelijk dat de selectie van risico’s sterk afhankelijk is van de doelstellingen van gemeenten en hoe deze in verhouding staan met de geïdentificeerde risico’s en

28

gevolgen. De belangrijkste doelstellingen (e-overheid, 2011) en verhoudingen met Twitter, in het kader van dit onderzoek, zijn onderstaand beschreven:

- Digitalisering van diensten, snel en zeker: zoals beschreven in de inleiding is Twitter één van de mogelijkheden die gemeenten in kunnen zetten in het kader van digitale dienstverlening. Indien Twitter gebruikt wordt maar de volle potentie niet op een juiste wijze wordt benut, heeft dit een impact op de mate van digitale dienstverlening. Diverse onderzoeksbureaus doen jaarlijks onderzoek naar het niveau van digitale dienstverlening, waarbij ook naar Twitter wordt gekeken. Afhankelijk van de beoordelingsmethodiek kan het voorkomen dat gemeenten een lage score toegekend krijgen. Gezien de aard van een gemeente kan dit al gauw leiden tot vragen tijdens een gemeenteraadsvergadering en wellicht zelfs in de tweede kamer;

- Eén overheid, één gemeente, één (virtueel) loket: gemeenten willen graag af van hun bureaucratische imago. Dat willen ze doen door één aanspreekpunt te hanteren zowel fysiek als digitaal. Twitter kan hier een goed middel voor zijn, mits het structureel ingericht en gebruikt wordt. Indien burgers het gevoel krijgen dat een Twitter-account van een gemeente niet professioneel oogt of niet voldoet aan haar eisen en verwachting, zal dit al gauw leiden tot ontevreden burgers en negatieve publiciteit ten aanzien van de gemeente en haar inzet voor één overheid, één gemeente en één (virtueel) loket;

- Transparant en aanspreekbaar: burgers moeten inzicht kunnen krijgen in de zaken waar een gemeente mee bezig is (uitkomsten van vergaderingen, planningen, e.d.). Uit een recent onderzoek van Ernst & Young (2012) blijkt dat het merendeel van de burgers dit slechts op één manier willen: digitaal. Twitter is bij uitstek geschikt om op een proactieve wijze burgers op de hoogte te brengen van beschikbare informatie en waar dit op de website van de gemeente te vinden is. Indien een gemeente haar burgers niet op een eenvoudige wijze transparantie en inzage kan geven in stukken, zal dat leiden tot o.a. ontevredenheid onder burgers.

Een gedetailleerde beschrijving van de gevalideerde risico’s bij Twitter-gebruik door lokale overheden, de gevolgen hiervan en bijhorende bronnen zijn opgenomen in bijlage 1.

3.3 Afgeleide normen ten behoeve van beheer en beveiliging

In tabel 1 zijn de risico’s in kaart gebracht en gevalideerd door experts. Om tot een normenkader te komen is onderzocht in hoeverre bestaande normen toereikend genoeg zijn om de risico’s uit tabel 4 te mitigeren en derhalve een normenkader samen te stellen om Twitter-gebruik binnen gemeenten te auditen. Om de normen te raadplegen zijn 3 soorten bronnen geraadpleegd:

- IT Management framework - CobiT 4.1 (ISACA, 2007): CobiT is het standaard raamwerk voor IT Governance dat in de praktijk veelvuldig wordt toegepast. CobiT staat voor Control Objectives for Information and Related Technology en is ontwikkeld door de Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). Het wordt gebruikt door organisaties die moeten voldoen aan (strenge) compliance-eisen en die de kwaliteit en toegevoegde waarde van hun informatievoorziening willen verbeteren. In CobiT worden de relaties gelegd tussen de informatietechnologie en de beheersingsvraagstukken van organisaties. CobiT ondersteunt

29

managers en proceseigenaren door middel van een Information Technology (IT) Governance model bij het begrijpen en beheersen van de aan IT gerelateerde risico's. CobiT helpt bij het overbruggen van de verschillen tussen business risico's, de daaruit voortvloeiende behoefte aan beheersing van de bedrijfsprocessen en de ondersteunende IT-dienstverlening en -infrastructuur. Het voorziet in een behoefte om te komen tot IT Governance en het waarborgen van betrouwbaarheid van informatie en de gegevensverwerking door de informatiesystemen;

- Information Security best practice - Code van Informatiebeveiliging ISO 27002:2007: ISO-IEC 27002 'Code voor informatiebeveiliging' geeft richtlijnen en principes voor het initiëren, het implementeren, het onderhouden en het verbeteren van informatiebeveiliging binnen een organisatie. ISO-IEC 27002 kan dienen als een praktische richtlijn voor het ontwerpen van veiligheidsstandaarden binnen een organisatie en effectieve methoden voor het bereiken van deze veiligheid. De doelstellingen die in ISO-IEC 27002 worden beschreven geven generale richtlijnen voor de algemeen aanvaarde doelen van informatiebeveiliging. De beheersdoelstellingen en beheersmaatregelen van ISO-IEC 27002 zijn bedoeld voor implementatie om te voldoen aan de eisen die in een risicobeoordeling zijn vastgesteld. Deze internationale norm kan dienen als een praktische handleiding voor het opstellen van beveiligingsnormen en doeltreffend beheer van informatiebeveiliging voor de organisatie en om te helpen vertrouwen te scheppen in relaties tussen organisaties (NEN, 2012). Volgens Kort (2011) is de lijn tussen het gebruik van social media en informatiebeveiliging dun. Organisaties die informatiebeveiliging serieus nemen en maatregelen omtrent social media afgestemd willen hebben op hun beleidsuitgangspunten en hun risicoprofiel, kunnen ISO 27002 Zorg gebruiken om te komen tot een passend security management systeem;

- IT Framework uit de proffesionele wereld - Ernst & Young normenkader (2010): een normenkader wat gebruikt wordt voor het uitvoeren van IT-audits om met redelijke mate van zekerheid een uitspraak te kunnen doen over de betrouwbaarheid van gegevensverwerking.

In tabel 5 is weergegeven of bestaande normen uit CobiT, Code van Informatiebeveiliging ISO 27002 en IT framework van Ernst & Young (E&Y) toereikend genoeg zijn om de risico’s uit tabel 4 te mitigeren. De risico’s zijn op basis van de IT Risk Universe gegroepeerd, derhalve is per IT Risk Universe categorie aangegeven hoeveel specifieke risico’s er aanwezig zijn. Per IT Risk Universe categorie is met een ‘ja’ of ‘nee’ aangegeven of bestaande normen (CobiT normen, ISO27002 normen, E&Y normen) toereikend genoeg zijn om alle specifieke risico’s binnen de IT Risk Universe categorie te mitigeren. Indien geen normen gevonden zijn binnen CobiT, ISO27002 en E&Y dan is in de laatste kolom met een ‘ja’ aangegeven dat additionele normen nodig zijn om risico’s binnen een specifieke IT Universe te mitigeren.

30

IT Risk Universe categorie: Aantal risico’s

CobiT normen

ISO27002 normen

E&Y normen

Additionele normen nodig?

Data 4 Nee Ja Ja Nee

Programs and change management

3 Nee Ja Ja Nee

Infrastructure 1 Nee Nee Ja Nee

Operations 2 Ja Nee Nee Nee

Security and privacy 5 Ja Nee Nee Ja

Staffing 5 Ja Nee Nee Nee

Legal and regulatory 3 Ja Nee Nee Nee

Totaal aantal risico’s 23

Tabel 5: overzicht van gebruikte normen uit bestaande normenkaders om Twitter-risico’s te mitigeren

3.4 Additionele normen en validatie normenkader

Uit tabel 5 blijkt dat een delta is vastgesteld binnen de IT Risk Universe categorie Security and privacy. De bestaande normen zijn niet toereikend genoeg om de specifieke risico’s binnen Security and privacy te mitigeren. De IT Risk Universe categorie bestaat uit 5 specifieke risico’s:

- S1: een beleid ten aanzien van informatiebeveiliging is niet aanwezig. Het risico bestaat dat beveiligingseisen en taken/verantwoordelijkheden ten aanzien van IT niet zijn gedefinieerd;

- S2: een beleid ten aanzien van Twitter is niet aanwezig voor (tijdelijke) medewerkers. Het risico bestaat dat (tijdelijke) medewerkers ongepaste uitingen kunnen doen via Twitter;

- S3: er zijn onvoldoende maatregelen getroffen voor systemen en mobile devices ten aanzien van beveiliging tegen malware. Het risico bestaat dat systemen en mobile devices geïnfecteerd kunnen raken waardoor bedrijfsgevoelige informatie kan lekken en beheer- en beveiligingsincidenten zich voordoen;

- S4: er zijn geen maatregelen getroffen bij verlies of diefstal van mobile devices. Het risico bestaat dat mobile devices in handen komen van derden waarmee toegang tot het Twitter-account verkregen kan worden en ongepaste uitingen kunnen worden gedaan. Tevens kan bedrijfsgevoelige informatie lekken of verloren gaan;

31

- S5: er zijn geen maatregelen getroffen om de bestemming van verkorte URL’s vast te stellen. Het risico bestaat dat een website wordt geopend die malware bevat waardoor systemen en mobile devices hiermee geïnfecteerd raken.

3.4.1 Ontbrekende normen

Een verdiepingsslag binnen de IT Risk Univere categorie Security and privacy laat zien dat risico S5 met de bestaande normen niet gemitigeerd kan worden: Risico S5 “Er zijn geen maatregelen getroffen om de bestemming van verkorte URL’s vast te stellen. Het risico bestaat dat een website wordt geopend die malware bevat waardoor systemen en mobile devices hiermee geïnfecteerd raken”. Het risico van gebruik van verkorte URL’s is niet beschreven door ISACA of Ernst & Young, derhalve zijn in hun normenkaders hier ook geen normen voor opgenomen. Dinerman (2011) heeft in zijn whitepaper waarin hij de risico’s van verschillende social media toepassing beschrijft, aangegeven dat dit een risico is wat vaak onderbelicht is, maar wel degelijk schade kan aanbrengen. Het plaatsen van verkorte URL’s wordt namelijk niet alleen door social media toepassingen gebruikt, echter blijkt uit onderzoek dat ongeveer 13% van alle Twitter-berichten URL’s bevatten (Java et al., 2008). Het gevaar is dat een verkorte URL de gebruiker geen duidelijkheid geeft wat de werkelijke bestemming is. Eenmaal op de verkorte URL geklikt kan zelfs betekenen dat een gebruiker een website opent dat malware bevat en het systeem of mobiele apparatuur hiermee infecteert (Dinerman, 2011). Bovengenoemd risico ten aanzien van verkorte URL’s is voorgelegd aan experts als onderdeel van validatie van het normenkader. Hieruit blijkt dat voor e-mail cliënt and webbrowser add-ons bestaan die geïnstalleerd kunnen worden waarbij gebruikers voor het klikken op een verkorte URL de werkelijke bestemming kunnen zien. In combinatie met interne trainingen ten aanzien van informatiebeveiliging kunnen gebruikers dubieuze URL’s herkennen en indien noodzakelijk intern rapporteren aan IT beveiligingsfunctionarissen. Enkele voorbeelden van add-ons:

- View Thru voor diverse webbrowsers; - Untiny.com en Longurl.com zijn websites waar met behulp van een online-tool voor

verkorte URL’s de werkelijke bestemming wordt weergegeven.

3.4.2 Additionele normen

De validatie van het samengestelde normenkader door experts heeft geleid tot interessante toevoegingen voor risico’s binnen de IT Risk Universe categorie Security and privacy die reeds afgedekt zijn met bestaande normen. Risico S3: “Er zijn onvoldoende maatregelen getroffen voor systemen en mobile devices ten aanzien van beveiliging tegen malware. Het risico bestaat dat systemen en mobile devices geïnfecteerd kunnen raken waardoor bedrijfsgevoelige informatie kan lekken en beheer- en beveiligingsincidenten zich kunnen voordoen”. Risico S3 is afgedekt met drie normen afkomstig

32

uit de Code van Informatiebeveiliging en één norm afkomstig uit CobiT. Als toevoeging hierop zijn twee normen opgenomen ten aanzien van patch management en application whitelisting:

- Patch management: een proces dient ingericht te zijn om technische zwakheden in systemen en mobiele apparaten te detecteren en op te lossen. Dergelijke zwakheden kunnen door kwaadwillende misbruikt worden om malware te verspreiden en daarmee ongeautoriseerd toegang te krijgen tot bedrijfsgevoelige informatie op systemen en mobiele apparatuur. Een patch is een stukje software om beveiligingsissues, beveiligingszwakheden en bugs op te lossen (Norton, 2012);

- Application whitelisting: vrijwel dagelijks zijn organisaties bezig om hun systemen en mobiele apparaten te beschermen tegen malware. Echter blijkt dat traditionele maatregelen zoals o.a. antivirus software niet toereikend genoeg zijn (Shullich, 2011). Uit een recent onderzoek van beveiligingsbureau NSS Labs blijkt zelfs dat bekende antivirus software pas na meer dan 45 uur de meest recente malware detecteerden (Krebs, 2010). Dergelijke kwesties geeft aan dat alternatieve maatregelen noodzakelijk zijn ten aanzien van malware. Application whitelisting is een vrij simpel concept. In plaats van bestanden te blokkeren die malware bevatten, zal application whitelisting uitsluitend toegang geven tot bekende “goede” bestanden. In essentie verandert whitelisting het antivirusmodel van ‘standaard toegestaan’ naar ‘standaard niet toegestaan’ voor uitvoerbare bestanden (Beechey, 2010). Enkele voorbeelden van applicaties die application whitelisting ondersteunen zijn: McAfee application control, Microsoft AppLocker, Bit9 Parity, Coretrace Bouncer en Faronics anti-executable (Beechey, 2010). Van belang is dat application whitelisting naast de overige maatregelen is toegepast en een lijst wordt bijgehouden van bekende “goede” bestanden.

Risico S4:“er zijn geen maatregelen getroffen bij verlies of diefstal van mobile devices. Het risico bestaat dat mobile devices in handen komen van derden waarmee toegang tot Twitter-account en bedrijfsgevoelige informatie verkregen kan worden en ongepaste uitingen worden gedaan. Tevens kan bedrijfsgevoelige informatie lekken of verloren gaan.”. Risico S4 is afgedekt met één norm afkomstig uit de Code van Informatiebeveiliging. Als toevoeging hierop zijn twee normen opgenomen ten aanzien van pincodes en antidiefstal software:

- Pincodes: van belang is dat de standaard mogelijkheid om een security- of pincode aangezet is op mobiele apparaten. Indien er sprake is van verlies of diefstal kan een kwaadwillende niet op relatief eenvoudige wijze toegang tot het apparaat krijgen;

- Antidiefstal software: software is geïnstalleerd op mobiele apparaten wat mogelijk maakt om bij verlies of diefstal de eventuele GPS functie in te schakelen en zodoende het apparaat te lokaliseren. Verder biedt dergelijke software ook de mogelijkheid om het mobiele apparaat van afstand te vergrendelen of alle data te wissen. Enkele voorbeelden van dergelijke antidiefstal software voor mobiele apparaten zijn: Norton Anti-Theft, Snuko, Kaspersky en F-Secure.

Het volledige en gevalideerde normenkader is opgenomen in bijlage 2.

33

4 Conclusie

In deze scriptie is uiteengezet wat social media is en wat de rol van Twitter is als social media toepassing met daarbij de voor- en nadelen. Verder is onderzocht op welke wijze gemeenten momenteel gebruik maken van Twitter en welke risico’s daarbij onderkend worden, om uiteindelijk een normenkader te ontwikkelen waarmee de beheer en beveiligingsaspecten van Twitter-gebruik binnen gemeenten geaudit kunnen worden. In dit hoofdstuk wordt antwoord gegeven op de deelvragen (paragraaf 1.2.2) en de centrale onderzoeksvraag (paragraaf 1.2.1).

4.1 Beantwoorden deelvragen

Deelvraag 1: wat is Twitter? Vanuit de literatuur zijn er verschillende definities te vinden ten aanzien van Twitter. Opvallend is dat de overeenkomsten groter zijn dan de verschillen. De definitie die in het kader van dit onderzoek gehanteerd is, luidt als volgt: “Twitter is een gratis social media toepassing die beschreven wordt als een microblogdienst waarmee gebruikers korte berichten (tweets) kunnen posten van maximaal 140 karakters. Volgers op Twitter kunnen op deze berichten reageren of verder verspreiden (retweeten)”. Deelvraag 2: voor welke doeleinden wordt momenteel Twitter door gemeenten gebruikt? Van de 418 gemeenten die Nederland in 2011 telden, hebben er 276 een Twitter-account. Hiervan zijn er 261 gemeenten die actief twitteren (Ernst & Young, 2011). Vanuit de theorie (Gibson, 2010) zijn er 8 categorieën gedefinieerd waar gemeenten over kunnen Twitteren. Om een beeld te krijgen voor welke doeleinden gemeenten twitteren, zijn de berichten van de top 10 best presterende gemeenten op gebied van digitale dienstverlening geanalyseerd (Ernst & Young, 2011). Hieruit blijkt dat het merendeel van de gemeenten over de volgende categorieën twitteren:

- Informeren van burgers; - Rapporteren van problemen; - Versterken van democratie; - Campagne voeren; - Werving en behoud van personeel - Verbeteren van producten en diensten.

De categorieën waar geen enkele gemeenten over twitteren zijn:

- Bouwen aan de gemeenschap - Publieke betrokkenheid bij operationeel, tactisch en strategisch overleg.

Uit deze analyse blijkt dat gemeenten momenteel niet optimaal gebruik maken van de mogelijkheden die Twitter biedt ten aanzien van interactie met burgers. Van belang is dat een

34

gemeente goed inzicht heeft in de mogelijkheden die Twitter biedt en de categorieën waarbinnen berichten verspreid kunnen worden. Vervolgens is het aan de gemeente om een strategie te bepalen en daarin uit te stippelen welke onderwerpen, hoe vaak en op welke wijze via Twitter gecommuniceerd kan worden om de interactie met haar burgers te bevorderen in het kader van digitale dienstverlening. Deelvraag 3: welke risico’s zijn er op het gebied van beheer en beveiliging van Twitter-gebruik door gemeenten? Uit literatuuronderzoek en interviews met experts blijkt dat er 23 risico’s zijn op het gebied van beheer en beveiliging van Twitter-gebruik binnen gemeenten. De validatie heeft plaatsgevonden door experts op het gebied van IT beveiliging (security officers) binnen gemeenten, belanghebbenden en verantwoordelijken binnen gemeenten (business owners) en een eindverantwoordelijke van een gerenommeerd adviesbureau op het gebied van o.a. IT audits (partner IT audit). Om de risico’s te classificeren en concretiseren is gebruik gemaakt van het ‘IT Risk Universe’ model van Ernst & Young (2011). Dit model onderkend 10 grote risicocategorieën op het gebied van IT waarbinnen specifieke risico’s geclassificeerd kunnen worden. Uit de expert interviews blijkt dat de selectie van risico’s sterk afhankelijk is van de doelstellingen van gemeenten en hoe deze in verhouding staan met de geïdentificeerde risico’s en gevolgen. De doelstellingen (e-Overheid, 2011) waarbij Twitter een mogelijke rol kan spelen zijn:

- Digitalisering van diensten, snel en zeker; - Eén overheid, één gemeente, één (virtueel) loket; - Transparant en aanspreekbaar.

Van belang is dat gemeenten bij het invoeren en bepalen van een Twitter-beleid rekening houden met de risico’s die tegenover de voordelen staan van social media toepassingen zoals Twitter. Gemeenten dienen de risico’s goed in kaart te brengen ten aanzien van haar doelstellingen op het gebied van digitale dienstverlening en de wijze waarop Twitter ingezet zal worden. Gemeenten zijn belast met een publieke taak waarbij imago- en reputatieschade een grote impact heeft op de samenleving. Risico’s die niet goed geïdentificeerd zijn of waar geen adequate maatregelen voor zijn getroffen kunnen grote gevolgen hebben voor gemeenten in combinatie met Twitter-gebruik. Afhankelijk van het opgetreden risico kan dit zelfs leiden tot ontslag van wethouders en Kamervragen. ISACA heeft in 2010 een whitepaper gepubliceerd waarin op basis van een risicoanalyse, risico’s zijn gepubliceerd ten aanzien van social media gebruik door organisaties. In hun whitepaper maken zij onderscheid tussen risico’s van social media gebruik door organisaties en risico’s die ontstaan door medewerkers die gebruik maken van social media (zakelijk en/of privé). Volgens ISACA (2010) zijn er vijf “top risico’s” van social media waarbij organisaties aanbevolen wordt om deze geïdentificeerde risico’s te adresseren:

- Virussen en malware; - Merk kapen; - Gebrek aan controle over inhoud; - Onrealistische verwachting van klant ten aanzien van de Twitter;

35

- Niet naleven van wet- en regelgeving. Interessant is om te weten dat ISACA (2010) aangeeft dat bij medewerkers het gebrek ten aanzien van “risicovol gedrag” een factor is die dergelijke risico’s verhoogd. Derhalve onderkennen ze 4 belangrijke risico’s die in dit kader ook van toepassing zijn:

- Het gebruik van persoonlijke Twitter accounts om te communiceren over werkgerelateerde informatie;

- Plaatsen van foto’s en informatie die medewerkers koppelen aan hun werkgevers; - Overmatig gebruik van Twitter op de werkplek; - Toegang tot Twitter via mobiele apparaten (bedrijfseigendom).

Gemeenten dienen de risico’s te overwegen waarbij medewerkers Twitter gebruiken via het bedrijfsnetwerk. Er dient rekening gehouden te worden met het feit dat medewerkers ook gebruik kunnen maken van Twitter via mobiele apparaten (bedrijfseigendom). Het is van belang dat controle maatregelen ook worden getroffen voor mobiele toestellen op dezelfde wijze waarop dit voor systemen plaatsvindt. Met uitzondering van ‘bedrijfssystemen die geïnfecteerd kunnen raken door malware’ zijn alle overige risico’s van Twitter-gebruik door de gemeente ook van toepassing op medewerkers buiten kantoortijden. Een nauwe samenwerking met de juridische- en HR-afdeling is van essentieel belang bij het overwegen van een aanpak voor deze situatie. De volledige set van gevalideerde risico’s en gevolgen bij gebruik van Twitter door lokale overheden, zijn opgenomen in bijlage 1. Deelvraag 4: welke bestaande normen zijn er ten behoeve van het auditen van beheer- en beveiligingsaspecten van Twitter-gebruik binnen de Lokale Overheid?” In totaal zijn er 23 risico’s waarvoor bestaande normen nodig zijn om de risico’s af te dekken om vervolgens tot een normenkader te komen dat gebruikt kan worden om beheer- en beveiligingsaspecten van Twitter-gebruik binnen lokale overheden te auditen. Om de normen te raadplegen zijn 3 soorten bronnen geraadpleegd:

- IT Management framework, CobiT (ISACA, 2007); - Information Security best practice, Code van Informatiebeveiliging ISO27002 (NEN,

2007); - IT framework uit de professionele wereld, Ernst & Young normenkader (Ernst &

Young, 2010). Opvallend is dat bovengenoemde bronnen steeds meer en meer rekening houden met de IT-risico’s ten aanzien van social media gebruik. Van de 23 geïdentificeerde risico’s zijn er 20 gemitigeerd met behulp van bestaande normen uit bovengenoemde bronnen:

- Eén risico kan niet gemitigeerd worden met behulp van bestaande normen; - 2 risico’s zijn deels gemitigeerd met behulp van de bestaande normen.

Deelvraag 5: welke additionele normen zijn nodig om de risico’s te dekken? Er is één risico geïdentificeerd waarvoor op basis van bestaande normenkaders geen adequate normen zijn gedefinieerd, risico nummer S5: “er zijn geen maatregelen getroffen om de bestemming van verkorte URL’s vast te stellen. Het risico bestaat dat een website wordt geopend

36

die malware bevat waardoor systemen en mobile devices hiermee geïnfecteerd raken”. Met behulp van expert interviews is een norm gedefinieerd om bovenstaande risico te mitigeren. De norm richt zich op add-ons die gebruikt kunnen worden voor e-mail cliënt and webbrowsers waarbij gebruikers voor het klikken op een verkorte URL de werkelijke bestemming kunnen zien. De validatie van het normenkader door experts heeft geleidt tot interessante toevoegingen voor risico’s die reeds (deels) afgedekt zijn met bestaande normen:

- Risico nummer S3: “Er zijn onvoldoende maatregelen getroffen voor systemen en mobile devices ten aanzien van beveiliging tegen malware. Het risico bestaat dat systemen en mobile devices geïnfecteerd kunnen raken waardoor bedrijfsgevoelige informatie kan lekken en beheer- en beveiligingsincidenten zich kunnen voordoen”. Risico nummer S3 is afgedekt met drie normen afkomstig uit de Code van Informatiebeveiliging en één norm afkomstig uit CobiT. Als toevoeging hierop zijn twee normen opgenomen ten aanzien van patch management en application whitelisting;

- Risico nummer S4:“er zijn geen maatregelen getroffen bij verlies of diefstal van mobile devices. Het risico bestaat dat mobile devices in handen komen van derden waarmee toegang tot Twitter-account en bedrijfsgevoelige informatie verkregen kan worden en ongepaste kunnen worden gedaan. Tevens kan bedrijfsgevoelige informatie lekken of verloren gaan.”. Risico S4 is afgedekt met één norm afkomstig uit de Code van Informatiebeveiliging. Als toevoeging hierop zijn twee normen opgenomen ten aanzien van gebruik van pincodes en antidiefstal software.

Het volledige en gevalideerde normenkader wat gebaseerd is op de beschreven risico’s uit bijlage 1 is opgenomen in bijlage 2.

4.2 Beantwoorden centrale onderzoeksvraag

“Wat zijn de additionele normen die nodig kunnen zijn als aanvulling op bestaande normenkaders ten behoeve van het auditen van beheer- en beveiligingsaspecten van Twitter-gebruik binnen de Lokale Overheid?”. Concluderend blijkt uit het onderzoek dat voor drie risico’s, vijf additionele normen noodzakelijk zijn als aanvulling op bestaande normenkaders om de geïdentificeerde risico’s te mitigeren. De deelvragen hebben op systematische wijze geleidt tot het identificeren van “gaps" ten aanzien van risico’s op basis van bestaanden normen en de totstandkoming van additionele normen. Ontbrekende normen: Risico nummer S5 “er zijn geen maatregelen getroffen om de bestemming van verkorte URL’s vast te stellen. Het risico bestaat dat een website wordt geopend die malware bevat waardoor systemen en mobile devices hiermee geïnfecteerd raken”, kon niet gemitigeerd worden met behulp van normen uit bestaande normenkaders. Hiervoor is op basis van expert interviews de volgende additionele norm gedefinieerd:

- “Add-ons or software is implemented within browsers and mail clients to reveal URL’s full path”.

Normen als toevoegingen op reeds afgedekte normen:

37

Risico nummer S3 “er zijn onvoldoende maatregelen getroffen voor systemen en mobile devices ten aanzien van beveiliging tegen malware. Het risico bestaat dat systemen en mobile devices geïnfecteerd kunnen raken waardoor bedrijfsgevoelige informatie kan lekken en beheer- en beveiligingsincidenten zich kunnen voordoen”. Uit de validatie van het normenkader door experts bleek dat additionele normen als aanvulling op de reeds bestaande normen noodzakelijk zijn om het risico op adequate wijze te mitigeren:

- “A Patch Management process addressing technical vulnerabilities must be in place”; - “Application whitelisting is implemented within the organisation”.

Risico nummer S4 “er zijn geen maatregelen getroffen bij verlies of diefstal van mobile devices. Het risico bestaat dat mobile devices in handen komen van derden waarmee toegang tot Twitter-account en bedrijfsgevoelige informatie verkregen kan worden en ongepaste uitingen kunnen worden gedaan. Tevens kan bedrijfsgevoelige informatie lekken of verloren gaan”. Uit de validatie van het normenkader door experts bleek dat additionele normen als aanvulling op de reeds bestaande normen noodzakelijk zijn om het risico op adequate wijze te mitigeren:

- “The security lock code, or PIN feature is enabled to lock the mobile device”; - “Software is installed for remotely, locating, locking or deleting data from the mobile

device”. Het volledige en gevalideerde normenkader wat gebaseerd is op de beschreven risico’s uit bijlage 1 is opgenomen in bijlage 2.

4.3 Zelfreflectie

Het genootschap van Onze taal had ‘twitteren’ gekozen als het woord van 2009 (Tweakers, 2009). De afgelopen jaren is de opmars van Twitter enorm geweest, zowel op zakelijk als privé gebied. Ik ben zelf ook een actieve twitteraar en heb een aantal keren gebruik gemaakt van de mogelijkheid om vragen te stellen aan mijn gemeente via Twitter. Bij veel gemeenten waar ik vanuit mijn rol als IT-auditor over de vloer kwam zag ik dat ze actief bezig waren met het gebruik van Twitter. Als IT-auditor kreeg ik ook regelmatig de vraag voorgeschoteld of Twitter überhaupt wel risicovol is om te gebruiken, “omdat het toch allemaal maar via de website van Twitter loopt”. Vooral die opmerking triggerde mij om me meer te verdiepen in dit onderwerp. Na het onderzoek uitgevoerd te hebben heb ik voldoende inzicht gekregen in de risico’s van Twitter, hoe gemeenten dit moeten aanpakken en welke bestaande normenkaders gebruikt kunnen worden om specifieke risico’s af te dekken. Van te voren was ik in de veronderstelling dat de risico’s afgedekt konden worden met normen uit bestaande normenkaders, in de praktijk viel dit echter tegen en hebben met name de interviews met experts een cruciale rol gespeeld bij het definiëren van de noodzakelijke additionele normen. Een kritische noot is wellicht ten aanzien van digitale dienstverlening. Het kabinet oefent enorme druk uit op gemeenten om digitale dienstverlening zoveel mogelijk in te voeren. Uit het onderzoek bleek dat veel gemeenten gebruik maken van Twitter als communicatiemiddel. Uit de interviews met experts wordt duidelijk dat gemeenten geen handvatten toegereikt krijgen voor

38

dergelijke implementaties. Als het fout gaat, dan moeten functionarissen verantwoording afleggen aan college van B&W en/of de Tweede Kamer. Het kabinet heeft een bepaald doel voor ogen voor alle gemeenten in Nederland, waarom helpt het kabinet deze gemeenten dan niet door een standaard te introduceren voor Twitter-gebruik wat geadopteerd en geïmplementeerd kan worden door gemeenten? Uit de geraadpleegde literatuur en onderzoeksresultaten wordt duidelijk dat effectieve risk management strategy van essentieel belang is om de risico’s van social media te beheersen. Maar waar bestaat een effectief risk management strategy voor social media uit en hoe kan dit op een generieke wijze geïmplementeerd worden binnen de lokale overheid? Dit zijn twee vragen die van belang zijn voordat überhaupt een dergelijk risk management strategy uitgerold kan worden. Naar mijn mening is dit een onderwerp wat nader onderzocht kan worden in een vervolgonderzoek.

39

5 Literatuur

Onderstaand een overzicht van alle geraadpleegde literatuur tijdens dit onderzoek.

Beechey, J. (2010). Application Whitelisting: Panacea or Propaganda?, SANS Institute.

Boom, G. van den (2011). Benchmark digitale dienstverlening, Ernst & Young Advisory.

Boom, G. van den & Buckens, A. (2012). Voortschrijdende techniek, Valkuil of goudmijn?, Ernst & Young Advisory.

Boyd, D., Golder, S. & Lotan, G. (2010). Tweet, Tweet, Retweet: Conversational Aspects of Retweeting on Twitter, Microsoft Research.

Butts, T. C. & Acton, R. (2010). Spatial Modeling of Social Networks. In: Nyerges, T., Couclelis, H., McMaster, R. (Eds.), Handbook of GIS and Society Research, Thousand Oaks, CA. Chaudary, R., Frisby-Czerwinski, J., Del Giudice, E. (2011). Social media uncovered, mitigating risks in an era of social networking, Crowe Horwath.

Cho, S. E. & Park, H. W. Government organizations’ innovative use of the Internet: The case of the Twitter activity of South Korea’s Ministry for Food, Agriculture, Forestry and Fisheries, The Cyber Emotions Research Center. CIO (2010). ICASA waarschuwt voor risico's social media, http://cio.nl/nieuws/23771/icasa-waarschuwt-voor-risico-s-social-media.html.

Dinerman, B. (2011). Social networking and security risks, GFI White Paper.

Donston-Miller, D. (2011). 5 Enterprise Social Trends For Next 5 Years, http://www.informationweek.com/thebrainyard/news/social_crm/231600408.

Ernst & Young (2012). Insights on IT risks business briefing, protecting and strenghtening your brand, social media governance and strategy.

Ernst & Young (2011). Insights on IT risks business briefing, the evolving IT Risk landscape, the way and how of IT Risk Management today. Everett, C. (2009). Social networking, a risk to information security?, http://www.infosecurity-magazine.com/view/2503/social-networking-a-risk-to-information-security.

40

E-overheid (2011), Overheidsbrede visie op dienstverlening. Gibson, A. (2010). Local by Social, how local authorities can use social media to achieve more for less, I&DeA & NESTA.

Grozdanic, R. (2011). Using Twitter in vocational education and training, RTO Management, 5, 12-14.

Henry, P. (2011). IT Pro’s 3 Step Guide to Safe Social Media.

Hughes, D. J., Rowea, M., Bateya, M. & Leea, A. (2011). A tale of two sites: Twitter vs. Facebook and the personality predictors of social media usage, A Psychometrics at Work Research Group, Manchester Business School East, The University of Manchester, United Kingdom Department of Psychology, University of Bath, United Kingdom.

ISACA (2009). The Risk IT framework, http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/The-Risk-IT-Framework.aspx.

ISACA (2011). Social media Audit/assurance Program.

ISACA, (2011). Social media Audit/assurance Program.

ISACA whitepaper (2010). Social Media: Business benefits and security, Governance, and Assurance perspectives.

ISACA (2007). CobiT 4.1 Control Practices: Guidance to Achieve Control Objectives for Succesful, IT Governance 2nd edition.

Java, A., Song, X., Finin, T. & Tseng, B. (2007). Why We Twitter: Understanding Microblogging Usage and Communities, California, USA.

Kaplan, A. & Haenlein, M. (2010). The early bird catches the news: Nine things you should know about micro-blogging, ESCP Europe.

Kaplan, A. M. & Haenlein, M. (2009). Users of the world, unite! The challenges and opportunities of Social Media, Kelley School of Business, Indiana University.

Kessel, P. (2011). Global Information Security Survey, Into the cloud, out of the fog, Ernst & Young. Kok, D. (2011). Alleen aanwezig zijn op social media is niet genoeg, een onderzoek naar het gebruik van social media door gemeenten in Nederland.

41

Kwak, H., Lee, C., Park, H. & Moon, S. (2010). What is Twitter, a social network or a news media.

Lenhart, A., Purcell, K., Smith, A. & Zickuhr, K. (2010). Social media & mobile internet use among teens and young adults, Pew Research Center.

Li, C. & Bernhoff J. (2011). Winning in a World Transformed by Social Technologies, Forrester Research Inc, Groundswell.

Macmillan, P. & Medd, A. (2008). Change your world or the world will change you. The future of collaborative government and Web 2.0., Deloitte & Touche.

NEN (2007). Code of practice for Information Security Management, ISO/IEC 27002. Proofpoint (2010). Outbound Email and Data Loss Prevention in Today’s Enterprise. Norton (2012). Norton Everywhere, mobile theft protection, http://us.norton.com/norton-everywhere/promo.

Shullich, R. (2011). Risk Assessment of Social Media, SANS institute.

Tweakers.net (2009). 'Twitteren' door Onze Taal verkozen tot woord van het jaar 2009, http://tweakers.net/nieuws/63895/twitteren-door-onze-taal-verkozen-tot-woord-van-het-jaar-2009.html.

Twitter.com (2012). http://twitter.com/about

Wikipedia (2012). Web 2.0, http://nl.wikipedia.org/wiki/Web_2.0.

Wikipedia (2012). Twitter, http://nl.wikipedia.org/wiki/Twitter.

Wikipedia (2012). Social media, http://nl.wikipedia.org/wiki/Social_media.

Zimmerman, J. (2010). Internetmarketing voor dummies, Pearson Eduction Benelux.

Zukang, S. (2012). E-government survey 2012, United Nations.

Bijlage 1: Beheer- en beveiligingsrisico’s Twitter-gebruik door gemeenten (gevalideerd door experts)

38

Beheer en beveiligingsrisico’s Twitter-gebruik door gemeenten (gevalideerd/na expert interviews) Tabel is opgebouwd uit:

• Risiconummer; • Beschrijving van risico; • Gevolgen die kunnen optreden ten aanzien van risico; • Bron.

Nr. Risico Gevolgen Bron Data D1 Er is geen formeel gedocumenteerde procedure aanwezig is voor het

aanmaken, muteren en verwijderen van gebruikersaccounts ten aanzien van Twitter gebruik. Het risico bestaat dat gebruikers ten onrechte dan wel met teveel autorisaties worden aangemaakt.

Dit kan leiden tot ongewenste functievermengingen of tot onbedoelde toegang tot bedrijfsgevoelige gegevens.

Ernst & Young (2012), ISACA (2011)

D2 Accounts met administrative- en high privileged toegang worden op onbeheerste wijze toegekend. Het risico bestaat dat deze accounts gebruikt worden om toegang te krijgen tot bedrijfsgevoelige gegevens.

Dit kan leiden tot ongewenste functievermengingen of tot onbedoelde toegang tot bedrijfsgevoelige gegevens.

Ernst & Young (2012)

D3 De juistheid van alle accounts en instellingen wordt niet beoordeeld door het management. Het risico bestaat dat ongepaste toegangsrechten niet worden geïdentificeerd.

Dit kan leiden tot ongewenste functievermengingen of tot onbedoelde toegang tot bedrijfsgevoelige gegevens.

Ernst & Young (2012)

D4 Er zijn geen eisen gesteld ten aanzien van de inrichting van het wachtwoord. Zwakke wachtwoorden hebben als risico dat het relatief eenvoudig is om onbevoegd toegang tot het Twitter-account te krijgen.

Twitter-account kan ‘gekaapt’ worden en ongepaste uitingen kunnen leiden tot reputatie- en imagoschade.

Ernst & Young (2012)

Programs and change management P1 Er is geen formeel gedocumenteerde procedure aanwezig is voor het

uitvoeren van wijzigingen. Het risico bestaat dat ongeautoriseerde en ongeteste wijzigingen in productie worden genomen.

Fouten kunnen optreden die de betrouwbaarheid van de gegevensverwerking kunnen beïnvloeden.

Ernst & Young (2012), ISACA (2011)

P2 Taken en verantwoordelijkheden ten aanzien van wijzigingen zijn niet gescheiden. Het risico bestaat dat ongeautoriseerde of onbedoelde wijzigingen in productie genomen kunnen worden.

Fouten kunnen optreden die de betrouwbaarheid van de gegevensverwerking kunnen beïnvloeden.

Ernst & Young (2012)

P3 Er is geen scheiding tussen de ontwikkeling, test en productieomgeving. Het risico bestaat dat ongewenste wijzigingen worden doorgevoerd.

Fouten kunnen optreden die de betrouwbaarheid van de gegevensverwerking kunnen beïnvloeden en/of verstoringen die impact op de continuïteit van systemen kan hebben.

Ernst & Young (2012)

Bijlage 1: Beheer- en beveiligingsrisico’s Twitter-gebruik door gemeenten (gevalideerd door experts)

39

Nr. Risico Gevolgen Bron Infrastructure I1 Er zijn geen maatregelen getroffen voor bescherming van onbemande

systemen. Het risico bestaat dat een ongeautoriseerd iemand toegang kan krijgen tot systemen.

Twitter-account kan ‘gekaapt’ worden en ongepaste uitingen kunnen leiden tot reputatie- en imagoschade.

Ernst & Young (2012)

Operations O1 Een risicoanalyse is niet uitgevoerd om de risico’s in kaart te brengen

ten aanzien van Twitter-gebruik. Het risico bestaat dat beheersingsmaatregelen (beheer en beveiliging) niet toereikend genoeg zijn om de risico’s van Twitter-gebruik te mitigeren.

Niet gemitigeerde risico’s ten aanzien van Twitter-gebruik hebben als gevolg dat Twitter ingezet wordt in een niet beheersbare omgeving waarbij de kans hoog is dat beheer- en beveiligingincidenten kunnen plaats vinden.

ISACA (2011)

O2 Bedrijfsprocessen die Twitter gebruiken zijn niet afgestemd op het beleid ten aanzien van Twitter gebruik. Het risico bestaat dat deze bedrijfsprocessen ongewenst privacygevoelige informatie kunnen lekken.

Dit kan leiden tot reputatie- en imagoschade, mogelijk ontslag van medewerkers, ontevredenheid onder burgers en/of Kamervragen.

ISACA (2010)

Security and privacy S1 Een beleid ten aanzien van informatiebeveiliging is niet aanwezig. Het

risico bestaat dat beveiligingseisen en taken/verantwoordelijkheden ten aanzien van IT niet zijn gedefinieerd.

Dit verhoogt de kans op beheer- en beveiligingincidenten die kunnen leiden tot reputatie- en imagoschade, lekken van bedrijfsgevoelige informatie.

ISACA (2011)

S2 Een beleid ten aanzien van Twitter is niet aanwezig voor (tijdelijke) medewerkers. Het risico bestaat dat (tijdelijke) medewerkers ongepaste uitingen kunnen doen via Twitter.

Dit kan leiden reputatie- en imagoschade, mogelijk ontslag van medewerkers, ontevredenheid onder burgers en/of Kamervragen.

ISACA (2010)

S3 Er zijn onvoldoende maatregelen getroffen voor systemen en mobile devices ten aanzien van beveiliging tegen malware. Het risico bestaat dat systemen en mobile devices geïnfecteerd kunnen raken waardoor bedrijfsgevoelige informatie kan lekken en beheer- en beveiligingsincidenten zich voordoen.

Dit kan leiden tot medewerkers die ongepaste uitingen doen via Twitter, waardoor reputatie- en imagoschade, mogelijk ontslag van medewerkers, ontevredenheid onder burgers en/of Kamervragen optreden.

ISACA (2011)

Bijlage 1: Beheer- en beveiligingsrisico’s Twitter-gebruik door gemeenten (gevalideerd door experts)

40

Nr. Risico Gevolgen Bron S4 Er zijn geen maatregelen getroffen bij verlies of diefstal van mobile

devices. Het risico bestaat dat mobile devices in handen komen van derden waarmee toegang tot het Twitter-account verkregen kan worden en ongepaste uitingen kunnen worden gedaan. Tevens kan bedrijfsgevoelige informatie lekken of verloren gaan.

Twitter-account kan ‘gekaapt’ worden en ongepaste uitingen kunnen leiden tot reputatie- en imagoschade.

Dinerman (2011)

S5 Er zijn geen maatregelen getroffen om de bestemming van verkorte URL’s vast te stellen. Het risico bestaat dat een website wordt geopend die malware bevat waardoor systemen en mobile devices hiermee geïnfecteerd raken.

Twitter-account kan ‘gekaapt’ worden en ongepaste uitingen kunnen leiden tot reputatie- en imagoschade.

Dinerman (2011)

Staffing ST1 De HR-afdeling neemt niet de verantwoordelijk voor het

implementeren en uitvoeren van het beleid ten aanzien van Twitter-gebruik. Het risico bestaat dat medewerkers onvoldoende op de hoogte zijn van het beleid ten aanzien van Twitter-gebruik.

Dit kan leiden tot medewerkers die ongepaste uitingen doen via Twitter, waardoor reputatie- en imagoschade, mogelijk ontslag van medewerkers, ontevredenheid onder burgers en/of Kamervragen optreden.

ISACA (2011).

ST2 Een trainingsprogramma ten aanzien van opgestelde Twitter beleid is niet belegd binnen een specifieke functie. Het risico bestaat dat een trainingsprogramma niet (volledig) is ingevoerd waardoor (tijdelijke) medewerkers onvoldoende op de hoogte zijn van gepast Twitter-gebruik.

Dit kan leiden tot medewerkers die ongepaste uitingen doen via Twitter, waardoor reputatie- en imagoschade, mogelijk ontslag van medewerkers, ontevredenheid onder burgers en/of Kamervragen optreden.

ISACA (2010)

ST3 Er zijn geen maatregelen getroffen door HR bij misbruik of schending van het beleid ten aanzien van ‘Twitter-gebruik’. Het risico bestaat dat medewerkers het beleid negeren.

Dit kan leiden tot medewerkers die ongepaste uitingen doen via Twitter, waardoor reputatie- en imagoschade, mogelijk ontslag van medewerkers, ontevredenheid onder burgers en/of Kamervragen optreden.

ISACA (2011)

ST4 De mate van responsiviteit op de Twitter-account is onvoldoende. Het risico bestaat dat hierdoor ontevredenheid ontstaat onder burgers.

Ontevredenheid kan leiden tot imago- en reputatieschade voor de gemeente en/of Kamervragen.

ISACA (2010)

Bijlage 1: Beheer- en beveiligingsrisico’s Twitter-gebruik door gemeenten (gevalideerd door experts)

41

Nr. Risico Gevolgen Bron ST5 Toegang tot social media is niet beperkt. Het risico bestaat dat

medewerkers die social media uitsluitend privé gebruiken dit tijdens kantooruren zullen doen waardoor de productiviteit omlaag gaat, netwerk belast wordt, kans op infectie door malware groter wordt.

Dit kan leiden tot niet behaalde productiviteit doelstellingen, hoge netwerk belasting waardoor systemen en applicaties niet goed functioneren met als resultaat langzame verwerking van gegevens en langere wachttijden voor burgers.

ISACA (2010)

Legal and regulatory L1 Er is geen proces aanwezig om merkinbreuk op Twitter te

identificeren. Het risico bestaat dat eigendom van de gemeente zonder toestemming door derden wordt gebruikt.

Eigendom van de gemeente kan voor verkeerde en/of misleidende doeleinden gebruikt worden, dit kan leiden tot imago- en reputatieschade.

ISACA (2011)

L2 Berichten van derden worden onvoldoende bewaakt op Twitter. Het risico bestaat dat negatieve uitingen en/of ongepaste berichten ten aanzien van de gemeente verspreid worden zonder interventie van de gemeente.

Dit kan leiden tot reputatie- en imagoschade, ontevredenheid onder burgers en/of Kamervragen.

Henry (2011), ISACA (2011)

L3 Er is geen damage control proces. Het risico bestaat dat wanneer imago- of reputatieschade is aangebracht door ongepast gebruik van Twitter dit niet tot een minimum kan worden beperkt.

Dit kan leiden tot medewerkers die ongepaste uitingen doen via Twitter, waardoor reputatie- en imagoschade, mogelijk ontslag van medewerkers, ontevredenheid onder burgers en/of Kamervragen optreden.

ISACA (2011)

Bijlage 1: Beheer- en beveiligingsrisico’s Twitter-gebruik door gemeenten (gevalideerd door experts)

42

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

43

Normenkader voor het auditen van risico’s opgenomen in bijlage 1 Tabel is opgebouwd uit:

• Risiconummer; • Risico’s beheer en beveiliging Twitter-gebruik door gemeenten; • Control objective: de control waarmee het risico afgedekt wordt en verwijzing naar bron/literatuur; • Control: maatregelen die getoests moeten worden ten aanzien van de control objective.

Nr. Risico Control objective Control Data D1 Er is geen formeel

gedocumenteerde procedure aanwezig is voor het aanmaken, muteren en verwijderen van gebruikersaccounts ten aanzien van Twitter gebruik. Het risico bestaat dat gebruikers ten onrechte dan wel met teveel autorisaties worden aangemaakt.

There should be a formal user registration and de-registration procedure in place for granting and revoking access to all information systems and services. NEN-ISO/IEC 27002:2007, ref. 11.2.1, Ernst & Young (2012).

Determine if the access control procedure for user registration and de-registration includes the following: a) using unique user IDs to enable users to be linked to and held responsible for their actions; the use

of group IDs should only be permitted where they are necessary for business or operational reasons, and should be approved and documented;

b) checking that the user has authorization from the system owner for the use of the information system or service; separate approval for access rights from management may also be appropriate;

c) checking that the level of access granted is appropriate to the business purpose (see 11.1) and is consistent with organizational security policy, e.g. it does not compromise segregation of duties (see 10.1.3);

d) giving users a written statement of their access rights; e) requiring users to sign statements indicating that they understand the conditions of access; f) ensuring service providers do not provide access until authorization procedures have been

completed; g) maintaining a formal record of all persons registered to use the service; h) immediately removing or blocking access rights of users who have changed roles or jobs or left the

organization; i) periodically checking for, and removing or blocking, redundant user IDs and accounts (see 11.2.4); j) ensuring that redundant user IDs are not issued to other users.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

44

Nr. Risico Control objective Control D2 Accounts met

administrative- en high privileged toegang worden op onbeheersde wijze toegekend. Het risico bestaat dat deze accounts gebruikt worden om toegang te krijgen tot bedrijfsgevoelige informatie.

The allocation and use of privileges should be restricted and controlled. NEN-ISO/IEC 27002:2007, ref. 11.2.2, Ernst & Young (2012).

Multi-user systems that require protection against unauthorized access should have the allocation of privileges controlled through a formal authorization process. The following steps should be considered: a) the access privileges associated with each system product, e.g. operating system, database management system and each application, and the users to which they need to be allocated should be identified; b) privileges should be allocated to users on a need-to-use basis and on an event-by-event basis in line with the access control policy (11.1.1), i.e. the minimum requirement for their functional role only when needed; c) an authorization process and a record of all privileges allocated should be maintained. Privileges should not be granted until the authorization process is complete; d) the development and use of system routines should be promoted to avoid the need to grant privileges to users; e) the development and use of programs, which avoid the need to run with privileges should be promoted; f) privileges should be assigned to a different user ID from those used for normal business us

D3 De juistheid van alle accounts en instellingen wordt niet beoordeeld door het management. Het risico bestaat dat ongepaste toegangsrechten niet worden geïdentificeerd.

Management should review users’ access rights at regular intervals using a formal process. NEN-ISO/IEC 27002:2007, ref. 11.2.4, Ernst & Young (2012).

Determine if for the review of access rights the following guidelines are considered: a) users’ access rights should be reviewed at regular intervals, e.g. a period of 6 months, and after any changes, such as promotion, demotion, or termination of employment (see 11.2.1); b) user access rights should be reviewed and re-allocated when moving from one employment to another within the same organization; c) authorizations for special privileged access rights (see 11.2.2) should be reviewed at more frequent intervals, e.g. at a period of 3 months; d) privilege allocations should be checked at regular intervals to ensure that unauthorized privileges have not been obtained; e) changes to privileged accounts should be logged for periodic review.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

45

Nr. Risico Control objective Control D4 Er zijn geen eisen gesteld

ten aanzien van de inrichting van het wachtwoord. Zwakke wachtwoorden hebben als risico dat het relatief eenvoudig is om onbevoegd toegang tot het Twitter-account te krijgen.

Users should be required to follow good security practices in the selection and use of passwords. NEN-ISO/IEC 27002:2007, ref. 11.3.1.

a) keep passwords confidential; b) avoid keeping a record (e.g. paper, software file or hand-held device) of passwords, unless this can be stored securely and the method of storing has been approved; c) change passwords whenever there is any indication of possible system or password compromise; d) select quality passwords with sufficient minimum length which are: 1) easy to remember; 2) not based on anything somebody else could easily guess or obtain using person related information, e.g. names, telephone numbers, and dates of birth etc.; 3) not vulnerable to dictionary attacks (i.e. do not consist of words included in dictionaries); 4) free of consecutive identical, all-numeric or all-alphabetic characters. e) change passwords at regular intervals or based on the number of accesses (passwords for privileged accounts should be changed more frequently than normal passwords), and avoid re-using or cycling old passwords; f) change temporary passwords at the first log-on; g) not include passwords in any automated log-on process, e.g. stored in a macro or function key; h) not share individual user passwords; i) not use the same password for business and non-business purposes. If users need to access multiple services, systems or platforms, and are required to maintain multiple separate passwords, they should be advised that they may use a single, quality password (see d) above) for all services where the user is assured that a reasonable level of protection has been established for the storage of the password within each service, system or platform.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

46

Nr. Risico Control objective Control Programs and change management P1 Er is geen formeel

gedocumenteerde procedure aanwezig is voor het uitvoeren van wijzigingen. Het risico bestaat dat ongeautoriseerde en ongeteste wijzigingen in productie worden genomen.

Changes to information processing facilities and systems should be controlled. NEN-ISO/IEC 27002:2007, ref. 10.1.2, Ernst & Young (2012)

Operational systems and application software should be subject to strict change management control. Determine if in particular, the following items are considered: a) identification and recording of significant changes; b) planning and testing of changes; c) assessment of the potential impacts, including security impacts, of such changes; d) formal approval procedure for proposed changes; e) communication of change details to all relevant persons; f) fallback procedures, including procedures and responsibilities for aborting and recovering from unsuccessful changes and unforeseen events. Formal management responsibilities and procedures should be in place to ensure satisfactory control of all changes to equipment, software or procedures. When changes are made, an audit log containing all relevant information should be retained.

P2 Taken en verantwoordelijkheden ten aanzien van wijzigingen zijn niet gescheiden. Het risico bestaat dat ongeautoriseerde of onbedoelde wijzigingen in productie genomen kunnen worden.

Duties and areas of responsibility should be segregated to reduce opportunities for unauthorized or unintentional modification or misuse of the organization’s assets. NEN-ISO/IEC 27002:2007, ref. 10.1.3, Ernst & Young (2012)

Segregation of duties is a method for reducing the risk of accidental or deliberate system misuse. Care should be taken that no single person can access, modify or use assets without authorization or detection. The initiation of an event should be separated from its authorization. The possibility of collusion should be considered in designing the controls. Small organizations may find segregation of duties difficult to achieve, but the principle should be applied as far as is possible and practicable. Whenever it is difficult to segregate, other controls such as monitoring of activities, audit trails and management supervision should be considered. It is important that security audit remains independent.

P3 Er is geen scheiding tussen de ontwikkeling, test en productieomgeving. Het risico bestaat dat ongewenste wijzigingen worden doorgevoerd.

Development, test, and operational facilities should be separated to reduce the risks of unauthorised access or changes to the operational system. NEN-ISO/IEC 27002:2007, ref. 10.1.4, Ernst & Young (2012)

The level of separation between operational, test, and development environments that is necessary to prevent operational problems should be identified and appropriate controls implemented. The following items should be considered: a) rules for the transfer of software from development to operational status should be defined and documented; b) development and operational software should run on different systems or computer processors and in different domains or directories; c) compilers, editors, and other development tools or system utilities should not be accessible from operational systems when not required; d) the test system environment should emulate the operational system environment as closely as possible; e) users should use different user profiles for operational and test systems, and menus should display appropriate identification messages to reduce the risk of error; f) sensitive data should not be copied into the test system environment (see 12.4.2).

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

47

Nr. Risico Control objective Control Infrastructure I1 Er zijn geen maatregelen

getroffen voor bescherming van onbemande systemen. Het risico bestaat dat een ongeautoriseerd iemand toegang kan krijgen tot systemen.

Users should ensure that unattended equipment has appropriate protection. NEN-ISO/IEC 27002:2007, ref. 11.3.2.

All users should be made aware of the security requirements and procedures for protecting unattended equipment, as well as their responsibilities for implementing such protection. Determine if the following is implemented: a) terminate active sessions when finished, unless they can be secured by an appropriate locking mechanism, e.g. a password protected screen saver; b) log-off mainframe computers, servers, and office PCs when the session is finished (i.e. not just switch off the PC screen or terminal); c) secure PCs or terminals from unauthorized use by a key lock or an equivalent control, e.g. password access, when not in use (see also 11.3.3).

Operations O1 Een risicoanalyse is niet

uitgevoerd om de risico’s in kaart te brengen ten aanzien van Twitter-gebruik. Het risico bestaat dat beheersingsmaatregelen (beheer en beveiliging) niet toereikend genoeg zijn om de risico’s van Twitter-gebruik te mitigeren.

Risk assessments are performed prior to initiation of a social media project. ISACA (2011), ref 3.2.2. CobiT 4.1, ref PO1.2, PO9.3, PO9.4, ME4.2, ME4.5

a) Determine if governance policies require a risk assessment prior to the initiation of a social media project. 1) Obtain the policy statement. 2) Verify that the risk assessment policy would pertain to social media resources. b) Determine if a waiver procedure is in place to override performance of a risk assessment relating to social media resources. 1) If a waiver procedure is in place, select specific social media projects. 2) Determine if policy has been followed in the overriding of risk management processes. c) Determine if risk assessment policies are followed. 1) Identify social media projects. 2) Obtain risk assessments for each social media initiative. 3) Determine if the risk assessment has been documented. 4) Determine if the risk assessment utilized the enterprise risk management profile. 5) Determine if the risk assessment had been reviewed by appropriate stakeholders, sponsors and senior management. 6) Determine if the risk assessment has identified specific control-related actions that must be included in the implementation of social media projects. 7) If control-related requirements have been identified, determine if there has been follow- through to ensure that they are included in the specifications for the social media implementation.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

48

Nr. Risico Control objective Control O2 Bedrijfsprocessen die

Twitter gebruiken zijn niet afgestemd op het beleid ten aanzien van ‘Twitter-gebruik’. Het risico bestaat dat deze bedrijfsprocessen ongewenst bedrijfsgevoelige informatie kunnen lekken.

Social media program management and evaluation are included in routine management oversight processes. ISACA (2011), ref 4.1.1. CobiT 4.1, ref PO1.2, PO10.1, ME4.2

a) Determine if social media program management and evaluation are part of the routine assessment of business processes. 1) Obtain meeting minutes or memos documenting the routine evaluation of social media programs. b) Determine if changes or additions to processes that leverage social media are aligned with the policy prior to implementation through a change control procedure. 1) Obtain meeting minutes or memos documenting the routine evaluation of social media programs. c) Determine if changes or additions to processes that leverage social media are aligned with the policy prior to implementation through a change control procedure.

Security and privacy S1 Een beleid ten aanzien van

informatiebeveiliging is niet aanwezig. Het risico bestaat dat beveiligingseisen en taken/verantwoordelijkheden ten aanzien van IT niet zijn gedefinieerd.

An information security policy document should be approved. NEN-ISO/IEC 27002:2007, ref. 5.1.1, Ernst & Young (2012)

Determine if the information security policy document states management commitment and sets out the organization’s approach to managing information security. The policy document should contain statements concerning: a) a definition of information security, its overall objectives and scope and the importance of security as an enabling mechanism for information sharing (see introduction); b) a statement of management intent, supporting the goals and principles of information security in line with the business strategy and objectives; c) a framework for setting control objectives and controls, including the structure of risk assessment and risk management; d) a brief explanation of the security policies, principles, standards, and compliance requirements of particular importance to the organization, including: 1) compliance with legislative, regulatory, and contractual requirements; 2) security education, training, and awareness requirements; 3) business continuity management; 4) consequences of information security policy violations; e) a definition of general and specific responsibilities for information security management, including reporting information security incidents; f) references to documentation which may support the policy, e.g. more detailed security policies and procedures for specific information systems or security rules users should comply with. This information security policy should be communicated throughout the organization to users in a form that is relevant, accessible and understandable to the intended reader.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

49

Nr. Risico Control objective Control S2 Een beleid ten aanzien van

Twitter is niet aanwezig voor (tijdelijke) medewerkers. Het risico bestaat dat (tijdelijke) medewerkers ongepaste uitingen kunnen doen via Twitter.

Policies for social media should address the following: a) Communication protocol b) Standardized terms/key words that may convey the company brand, product, image, campaign, business initiative, corporate social responsibility c) Use of standard logos, images, pictures, etc. d) Employee and contractors personal use of social media in the workplace e) Employee and contractors personal use of social media outside the workplace f) Employee and contractors use of social media for business purposes (personally owned devices) g) Use of mobile devices to access social media h) Required review, monitoring and follow-up processes for brand protection i) Notification that compliance monitoring will be the right of the company j) Management procedures for company accounts on social media sites k) Response protocols for response process on social media environments ISACA (2011), ref 2.2.1. CobiT 4.1, ref PO4.6, PO4.8, PO6.3, PO6.4

a) Determine that clear policies are established and documented. These policies need to describe to employees, vendors and customers acceptable information that can be posted as part of the enterprise social media presence. Consider the following:

• Personal use in the workplace: - Whether it is allowed - The nondisclosure/posting of business-related content - The discussion of workplace-related topics - Inappropriate sites, content or conversations

• Personal use outside the workplace: - The nondisclosure/posting of business-related content - Standard disclaimers if identifying the employer - The dangers of posting too much personal information

• Business use: - Whether it is allowed - The process to gain approval for use and process for removal of access - The scope of topics or information permitted to flow through this channel - Disallowed activities (installation of applications, playing games, etc.)

b) Determine that appropriate policies, processes and technologies are established to ensure that legal and/or regulatory issues relating to social media communications are addressed. 1) Determine if legal counsel has reviewed social media policies to comply with liability and regulatory requirements. c) Determine that policies have been established to identify specific social media to be blocked. 1) Determine that the technology function responsible for implementing the blocking of web sites or access to social media has been notified of the policy. d) Determine that the human resources (HR) function is actively involved in the policy implementation. 1) Determine if the employee acceptable use policies have been updated to include social media. e) Determine if social media policies require appropriate brand monitoring services/protection. 1) Determine if social media policies require the monitoring of enterprise-related activities within the social media services.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

50

Nr. Risico Control objective Control S3 Er zijn onvoldoende

maatregelen getroffen voor systemen en mobile devices ten aanzien van beveiliging tegen malware. Het risico bestaat dat systemen en mobile devices geïnfecteerd kunnen raken waardoor bedrijfsgevoelige informatie kan lekken en beheer- en beveiligingsincidenten zich kunnen voordoen.

Antimalware and antivirus software is in use. ISACA (2011), ref 5.1.1. CobiT 4.1, ref DS5.9

a) Determine that antivirus and antimalware applications are in place, with appropriate configuration settings. b) Verify that that appropriate controls for antimalware and social media site limitations are also installed on mobile devices such as smartphones. c) Verify that only authorized individuals can modify the antimalware/antivirus software and settings at both the server and workstation levels.

A formal policy should be in place, and appropriate security measures should be adopted to protect against the risks of using mobile computing and communication facilities. NEN-ISO/IEC 27002:2007, ref. 11.7.1

a) Care should be taken when using mobile computing facilities in public places, meeting rooms and other unprotected areas outside of the organization’s premises. Protection should be in place to avoid the unauthorized access to or disclosure of the information stored and processed by these facilities, e.g. using cryptographic techniques b) Users of mobile computing facilities in public places should take care to avoid the risk of overlooking by unauthorized persons. Procedures against malicious software should be in place and be kept up to date (see 10.4).

Detection, prevention, and recovery controls to protect against malicious code and appropriate user awareness procedures should be implemented. NEN-ISO/IEC 27002:2007, ref. 10.4.1.

Protection against malicious code should be based on malicious code detection and repair software, security awareness, and appropriate system access and change management controls.

Where the use of mobile code is authorized, the configuration should ensure that the authorised mobile code operates according to a clearly defined security policy, and unauthorized mobile code should be prevented from executing. NEN-ISO/IEC 27002:2007, ref. 10.4.2.

The following actions should be considered to protect against mobile code performing unauthorized actions: a) executing mobile code in a logically isolated environment; b) blocking any use of mobile code; c) blocking receipt of mobile code; d) activating technical measures as available on a specific system to ensure mobile code is managed; e) control the resources available to mobile code access; f) cryptographic controls to uniquely authenticate mobile code.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

51

A Patch Management process addressing technical vulnerabilities must be in place Expert interview (2012)

The process should containing at least: 1. Identification of new applicable patches; 2. Risk assessment whether the patch needs to be applied; 3. Timeframe before patches need to be implemented based on the risks mitigated. 4. Patches that need to be installed follow the change management process.

Application whitelisting is implemented within the organisation. Expert interview (2012)

a) Determine if a list is created with known or approved files b) Determine if application whitelisting is implemented based on the list of approved files

S4 Er zijn geen maatregelen getroffen bij verlies of diefstal van mobile devices. Het risico bestaat dat mobile devices in handen komen van derden waarmee toegang tot Twitter-account en bedrijfsgevoelige informatie verkregen kan worden en ongepaste uitingen kunnen worden gedaan. Tevens kan bedrijfsgevoelige informatie lekken of verloren gaan.

Security should be applied to off-site equipment taking into account the different risks working outside the organization’s premises. NEN-ISO/IEC 27002:2007, ref. 9.2.5

Regardless of ownership, the use of any information processing equipment outside the organization’s premises should be authorized by management. The following guidelines should be considered for the protection of off-site equipment: a) equipment and media taken off the premises should not be left unattended in public places; portable computers should be carried as hand luggage and disguised where possible when travelling b) manufacturers’ instructions for protecting equipment should be observed at all times, e.g. protection against exposure to strong electromagnetic fields

The security lock code, or PIN feature is enabled to lock the mobile device Expert interview (2012)

Determine for a sample of mobile devices if the security lock code or PIN feature is enable to lock the mobile devices.

Software is installed for remotely, locating, locking or deleting data from the mobile device Expert interview (2012)

Determine if software is installed on mobile devices for remotly locating, locking or deleting data from mobile devices in case it’s lost of stolen.

S5 Er zijn geen maatregelen getroffen om de bestemming van verkorte URL’s vast te stellen. Het risico bestaat dat een website wordt geopend die malware bevat waardoor systemen en mobile devices hiermee geïnfecteerd raken.

Add-ons or software is implemented within browsers and mail clients to reveal URL’s full path. Expert interview (2012)

a) Determine if add-ons or software is implemented within browsers b) Determine if add-ons or software is implemented within mail clients

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

52

Nr. Risico Control objective Control Staffing ST1 De HR-afdeling neemt

niet de verantwoordelijk voor het uitvoeren van het beleid ten aanzien van Twitter-gebruik. Het risico bestaat dat medewerkers onvoldoende op de hoogte zijn van het beleid ten aanzien van Twitter-gebruik.

The HR function assumes responsibility for and executes social-media-related policies. ISACA (2011), ref 3.1.1. CobiT 4.1, ref PO7.4, DS7.1, DS7.2, DS7.3

a) Review social media policies. b) Determine policies that are the responsibility of HR. c) Determine if these policies have been implemented. 1) Determine if employees sign a notification of acceptance of these policies upon hiring and at least annually. 2) Select a sample of employees. 3) Determine that all employees in the sample have signed the social media acceptance policies for the current year and at the time of hiring. 4) Select a sample of employees, and interview them on their understanding of the social media policies. 5) Consider using web access logs to identify frequent social media sites accessed and distribute sample across the sites identified rather than just concentrating on users of a single application.

ST2 Een trainingsprogramma ten aanzien van opgestelde Twitter beleid is niet belegd binnen een specifieke functie. Het risico bestaat dat een trainingsprogramma niet (volledig) is ingevoerd waardoor (tijdelijke)

The responsibility for social media acceptable practice training and awareness has been assigned to a specific job function. ISACA (2011), ref 3.2.1. CobiT 4.1, ref PO4.6, PO4.10, PO4.14, PO7.4, DS7.1, DS7.2, DS7.3

a) Determine which job function is responsible for training and awareness. b) Determine how the job function interfaces with technical, governance and personnel stakeholders. c) Determine how the effectiveness of the training and awareness process is evaluated and monitored.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

53

medewerkers onvoldoende op de hoogte zijn van gepast Twitter-gebruik.

The training and awareness programs are defined, well communicated, documented and regularly scheduled. Key performance indicators (KPIs) or key success factors (KSFs) are used to monitor its effectiveness. ISACA (2011), ref 3.2.2. CobiT 4.1, ref PO4, PO4.6, PO4.10, PO4.14, PO7.4, AI4.3, DS7.1, DS7.2, DS7.3

a) Obtain the training and awareness program. b) Using the governance policies and training and awareness programs, determine if the programs are adequate to train or create awareness of social media etiquette and usage for the employees. 1) Business social media activities using enterprise-owned equipment 2) Business social media activities using personally or third-party owned equipment 3) Personal social media activities using enterprise-owned equipment 4) Personal social media activities using personally or third-party owned equipment during business hours 5) Personal social media activities discussing enterprise activities using personally or third- party owned equipment outside business hours 6) Alignment of both business and social media activities with the data classification scheme c) Determine if training and awareness programs address consequences for failing to adhere to social media policies. d) Determine if the training and awareness programs are routinely offered and executed. e) Determine if the appropriate personnel has attended social media training. f) Identify the KPIs or KSFs used to monitor the effectiveness of the program, and assess whether they promote the behaviours required. g) Verify if nonconformity issues raised are followed up.

ST3 Er zijn geen maatregelen getroffen door HR bij misbruik of schending van het beleid ten aanzien van ‘Twitter-gebruik’. Het risico bestaat dat medewerkers het beleid negeren.

The HR function has established and distributed defined consequences for violation of social media policies.

a) Determine the procedures for handling social media policies violations. b) Evaluate whether the consequences are commensurate with the risks associated with the violation. c) Determine if violator consequences are fairly assessed and implemented.

ST4 De mate van responsiviteit op de Twitter-account is onvoldoende. Het risico bestaat dat hierdoor ontevredenheid ontstaat onder burgers.

Management routinely evaluates staffing levels to assure adequate service levels and staffing resources. ISACA (2011), ref 3.3.1. CobiT 4.1, ref PO4.12

a) Determine if staffing levels have been modified to reflect additional social-media-related responsibilities. b) Determine if staffing levels have been modified to reflect additional social-media-related responsibilities. c) Determine if there has been a marked increase in overtime or a backlog of incomplete work due to social media projects.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

54

Nr. Risico Control objective Control ST5 Toegang tot social media

is niet beperkt. Het risico bestaat dat medewerkers die social media uitsluitend privé gebruiken dit tijdens kantooruren zullen doen waardoor de productiviteit omlaag gaat, netwerk belast wordt, kans op infectie door malware groter wordt.

Content filtering and monitoring are installed and reviewed. ISACA (2011), ref 5.1.3. CobiT 4.1, ref DS5.5, DS5.9, DS9.2

a) Determine if content filtering technology is used to restrict or limit access to social media sites. b) Determine that browser settings and data leak prevention products are in place, with appropriate configuration settings. c) Determine if social media web sites requiring blocking have been blocked either by specific web site name (uniform resource locator [URL]) and/or port. d) Identify other technologies, policies and procedures used to limit or monitor social media processes.

Legal and regulatory L1 Er is geen proces aanwezig

om merkinbreuk op Twitter te identificeren. Het risico bestaat dat eigendom van de gemeente zonder toestemming door derden wordt gebruikt.

User agreements are reviewed by legal and communications professionals prior to implementing a program with a social media site. ISACA (2011), ref 4.2.1. CobiT 4.1, ref PO1.2, PO4.6, PO4.8, ME3.1

a) Obtain evidence of a legal and/or communications professional review prior to the use of or contractual agreement with a social media site. b) Review the terms and conditions to determine that the current terms and conditions are in alignment with organizational policies.

Management actively litigates brand infringement. ISACA (2011), ref 4.2.3. CobiT 4.1, ref PO4.8, ME3.1

a) Identify brand infringement occurrences. b) Determine the adequacy of the infringement follow-up and resolution.

L2 Berichten van derden worden onvoldoende bewaakt op Twitter. Het risico bestaat dat negatieve uitingen en/of ongepaste berichten tenaanzien van de gemeente verspreid worden zonder interventie van de gemeente.

Social media sites are monitored for adverse posts, publicity, etc. ISACA (2011), ref 4.2.2. CobiT 4.1, ref DS5.5

a) Determine if a brand protection firm or other monitoring mechanism is engaged to locate, identify and report dummy profiles set up on social media that may tarnish the entity or its brand image or carry contradictory messages. b) Determine how often the scans are executed. c) Obtain the reports generated by the brand protection scans and determine if an issue monitoring process is in place to review and follow up on branding issues on a timely basis. d) Determine the process for escalating branding issues to the appropriate management representative. 1) Identify incidents requiring the escalation of branding issues. 2) Determine the resolution of escalated branding incidents.

Bijlage 2: Normenkader voor het auditen van risico’s opgenomen in bijlage 1 (gevalideerd door experts) Auditen van beheer- en beveiligingaspecten van Twitter-gebruik binnen gemeenten

55

Nr. Risico Control objective Control L3 Er is geen damage control

proces. Het risico bestaat dat wanneer imago- of reputatieschade is aangebracht door ongepast gebruik van Twitter dit niet tot een minimum kan worden beperkt.

A damage control is in place to mitigate the effects of Twitter misuse ISACA (2011)

This may include an information campaign to negate the disclosure or potential legal action against the perpetrators.