http://hdl.handle.net/1820/2010 2013-05-26T07:30:30Z 2013-05-26T07:30:30Z Piepers, Tim http://hdl.handle.net/1820/4823 2013-02-28T01:00:35Z 2013-02-27T00:00:00Z

Title: Cloud Identity & Access Management Model: success factors for Identity & Access Management in cloud computing Authors: Piepers, Tim Abstract: This research identified critical success factors that enable companies to successfully implement an Identity & Access management (IAM) solution, allowing them to effectively integrate IT services and seamlessly leverage in-house, cloud applications. IAM refers to the processes, technologies and policies for managing digital identities and controlling how identities can be used to access resources. The following research questions have been answered: - How is IAM defined and implemented in large organizations that use cloud services? - What are the drivers, from a business point-of-view, for implementing IAM, both at tactical and strategic level? - What factors related to IAM maturity, cloud readiness and project maturity (and possibly others) contribute to a successful IAM implementation? From literature a reference model has been derived containing a set of success factors from four areas: governance, project management, identity management and access management. The reference model was empirically tested via interviews. It is concluded that IAM for and to SaaS are predominantly implemented in large organizations. Implementing cloud based IAM solutions is driven more by tactical than strategic reasons. The identified success factors focus on developing an identity management system, creating a standard set of attributes for each person, enabling external access through a federation, treating IAM as a strategic asset and initiative, and governance. In the empirical research, also factors in the areas of privacy and security have been identified.

2013-02-27T00:00:00Z Schouten, Gert-Jan http://hdl.handle.net/1820/4816 2013-02-22T01:00:58Z 2013-02-21T00:00:00Z

Title: Cyberbeveiliging als bedrijfsproces: een generiek toepasbaar procesmodel Authors: Schouten, Gert-Jan Abstract: Cyberspace is een dynamische omgeving die bestaat uit verbonden informatiesystemen met verschillende actoren en gebruikers. Organisaties die cyberspace gebruiken, moeten zich beveiligen tegen de risico's die daarmee gepaard gaan om de continuïteit van hun primaire businessfunctionaliteit te waarborgen. In dit onderzoek is een generiek toepasbaar procesmodel voor cyberbeveiliging opgesteld, waarbij cyberbeveiliging is geïntegreerd in de enterprise-architectuur via een gestandaardiseerd procesmodel. In het onderzoek zijn de volgende vragen beantwoord: Wat is de betekenis van cyberspace, cyberbeveiliging, enterpise-architectuur en bedrijfsproces? Waar gaat cyberbeveiliging verder dan conventionele IT-beveiligingsfuncties? Welke functionaliteiten spelen een rol binnen cyberbeveiliging? Welke activiteiten maken deel uit van cyberbeveiliging en in welke volgorde moet een organisatie deze activiteiten doorlopen? Welke overdrachten vinden plaats tussen de activiteiten? Welke activiteiten kunnen worden geautomatiseerd? Hoe integreren deze cyberbeveiligingsactiviteiten en overdrachten tot een proces? Het procesmodel is afgeleid uit de literatuur en vervolgens empirisch getoetst via interviews bij IBM, Microsoft, HP en DEFCERT. Het procesmodel bestaat uit vijf deelprocessen: think like an attacker, risicomanagement, monitoring, toepassen van risicobeperkende maatregelen en incidentenbehandeling. De eerste drie deelprocessen itereren continu en kunnen aanleiding geven om risicobeperkende maatregelen toe te passen of incidentenbehandeling uit te voeren. Het procesmodel is verder uitgewerkt waarbij voor elk deelproces activiteiten en informatie-overdrachten zijn weergegeven.

2013-02-21T00:00:00Z Berg, Gerben van den http://hdl.handle.net/1820/4815 2013-02-22T01:00:49Z 2013-02-21T00:00:00Z

Title: Verbeteren kwaliteitsmeting voor SaaS Authors: Berg, Gerben van den Abstract: Probleemstelling: Doordat SaaS-software bij een leverancier in beheer is, is het voor de gebruiker lastig om de kwaliteit te bepalen. Het ontwikkelen van een model om kwaliteitsmeting bij SaaS te kunnen uitvoeren op basis van kwaliteitskenmerken die belangrijk zijn vanuit het oogpunt van de SaaS-gebruiker, zou moeten leiden tot een beter overwogen keuze bij aanschaf en gebruik. Onderzoeksvragen: Wat wordt verstaan onder SaaS? Welke aspecten van softwarekwaliteit zijn hierbij voor de gebruiker van belang en hoe kunnen die worden gemeten? Kan een bruikbaar model worden opgesteld dat leveranciers en gebruikers behulpzaam is bij selectie van SaaS-software? Uitwerking: In het literatuuronderzoek is gekeken wat SaaS is en wat de eigenschappen en risico's zijn. Gekeken is naar hoe softwarekwaliteit kan worden gemeten en welke kwaliteitskenmerken daarvoor in de literatuur genoemd worden. In het empirisch onderzoek is onderzocht welke kwaliteitskenmerken SaaS-gebruikers het belangrijkst vinden. De resultaten zijn verwerkt in een impact-waarschijnlijkheidsmatrix waarin zichtbaar is hoe groot het risico op problemen is. Conclusies: De kwaliteitsmeting op het gebied van SaaS vanuit het oogpunt van de SaaS-gebruiker kan worden verbeterd door juist de kwaliteitskenmerken die voor SaaS-gebruikers belangrijk zijn te meten. Hierdoor is het mogelijk om SaaS-software en SaaS-leveranciers met elkaar te vergelijken, op de eigenschappen die vanuit het oogpunt van SaaS-gebruikers belangrijk zijn. Tijdens het empirisch onderzoek zijn deze belangrijke kwaliteitskenmerken gevonden.

2013-02-21T00:00:00Z Huygens, Marc http://hdl.handle.net/1820/4579 2012-12-13T01:00:54Z 2012-12-12T00:00:00Z

Title: Informatiebeveiliging in kleinere organisaties Authors: Huygens, Marc Abstract: Welke beheersmaatregelen nemen Nederlandse MKB's en Vlaamse KMO's om zich te beschermen tegen risico's rond informatiebeveiliging en wat is daarvan de effectiviteit? De digitale wereld, die ons steeds meer omsluit, brengt met zich mee dat informatie een van de belangrijkste grondstoffen wordt om een entiteit draaiende te houden. Dit gaat echter gepaard met een aantal problemen die desastreuze gevolgen kunnen hebben. De toegang tot deze digitale informatie voor de werking van organisatieprocessen is niet meer het exclusieve voordeel van grotere ondernemingen, maar gemeengoed geworden. Grote organisaties hebben grote budgetten en kunnen gespecialiseerde teams inrichten om ervoor te zorgen dat informatie wordt beschermd, zodat de bedrijfsdoelstellingen niet in het gevaar komen. Ondanks deze kernfunctie worstelen sommige grote organisaties toch nog met deze problematiek. Het feit dat kleinere organisaties met minder financiële middelen en minder (of geen) gespecialiseerd personeel moeten werken, doet de vraag rijzen hoe zij die problemen aanpakken. Aan de hand van een literatuurstudie werd een model opgesteld om informatie te vergaren. Vervolgens werd via een empirisch onderzoek met een enquête vastgesteld welke beheersmaatregelen kleinere organisaties daadwerkelijk nemen ter bescherming tegen informatierisico's. Daaruit bleek verrassend dat er geen significant verband bestaat tussen de genomen maatregelen en het aantal voorgekomen incidenten. De literatuurstudie toonde ook aan dat er enkele raamwerken beschikbaar zijn voor gebruik in kleinere organisaties. Ook werd op basis van de genomen maatregelen en de voorgekomen incidenten een concreet model opgesteld dat kan leiden tot een verbetering van de bescherming tegen informatierisico's, rekening houdend met de al gebruikte maatregelen, de te verwerken incidenten en de beperkte mogelijkheden van kleinere organisaties. Door een gebrek aan informatie konden de resultaten van de enquête geen antwoord geven op de vraag of er – wat betreft de informatiebeveiligingsmaatregelen – een significant verschil bestaat tussen ondernemingen die internet als verkoopkanaal gebruiken en andere organisaties. Verrassend was ook dat zo weinig organisaties uit deze categorie deelnamen aan het onderzoek. Uit de gegevens blijkt dat er een significant verschil is tussen de gebruikte beschermingsmaatregelen in Nederland en Vlaanderen, en dat beide landen op sommige vlakken een achterstand hebben ten opzichte van het Verenigd Koninkrijk. Ook kan worden geconcludeerd: hoe groter de organisatie, hoe meer maatregelen er worden getroffen voor informatiebeveiliging. De maatregelen betreffende toegang tot en verzending van gegevens scoren matig, de algemene maatregelen en die rond opslag scoren slecht. Op basis van de gegevens is een model opgesteld dat inzicht geeft in de genomen maatregelen onder de respondenten, in combinatie met de te verwerken incidenten. Op basis hiervan kunnen de kleine organisaties hun inzichten rond informatiebeveiliging verruimen en eventueel hun beschermingsniveau bijsturen.

2012-12-12T00:00:00Z Goes, Jack van der http://hdl.handle.net/1820/4578 2012-12-13T01:01:00Z 2012-12-12T00:00:00Z

Title: Social engineering en de Limburgse gemeenten: onderzoek naar het informatiebeveiligingsniveau bij de Limburgse gemeenten tegen social engineering aanvallen Authors: Goes, Jack van der Abstract: Er is onderzocht in hoeverre de NORA (Nederlandse Overheid Referentie Architectuur) bescherming biedt tegen social engineering, in hoeverre het informatiebeveiligingsbeleid van Limburgse gemeenten gebaseerd is op de NORA en of de gebruikte beveiligingsmaatregelen daadwerkelijk bescherming bieden tegen social engineering. Op basis van literatuurstudie is een referentiemodel opgesteld waarin is vastgelegd hoe beveiligingsmaatregelen uit de Code voor Informatiebeveiliging bescherming bieden tegen social engineering. Dit referentiemodel is als basis gebruikt voor empirisch onderzoek via interviews met twee auteurs van de NORA en vijf gemeenteambtenaren en een enquête onder 23 Limburgse gemeenten. Het onderzoek toont aan dat de NORA bescherming biedt tegen social engineering. Het informatiebeveiligingsbeleid bij de Limburgse gemeenten is overwegend gebaseerd op best practices uit ITIL Security Management (57%), gevolgd door de NORA (50%), COBIT (14%) en andere theorieën (43%). Uit de literatuur blijkt dat de meest effectieve beveiligingsmaatregel tegen social engineering bestaat uit opleiding, training en bewustmaking. Deze maatregel is ook in de Code voor Informatiebeveiliging opgenomen. Echter, slechts 50% van de respondenten heeft een dergelijke opleiding of training gevolgd. De beveiligingsmaatregelen uit de Code voor Informatiebeveiliging zijn bij het merendeel van de gemeenten onvoldoende doorgevoerd. Er is onvoldoende gebleken of de gebruikte beveiligingsmaatregelen daadwerkelijk hebben beschermd tegen social engineering.

2012-12-12T00:00:00Z Tilak, Stanley http://hdl.handle.net/1820/4511 2012-12-06T01:00:45Z 2012-11-14T00:00:00Z

Title: Een kwaliteitsmodel voor primaire processen bij ICT-dienstverlenende organisaties Authors: Tilak, Stanley Abstract: Hoe ziet een model ten behoeve van de operationele activiteiten van een primair proces bij ICT-dienstverlenende organisaties er uit met alle relevante aspecten voor het vaststellen van de kwaliteit ervan? Deze centrale vraagstelling werd geoperationaliseerd in zes onderzoeksvragen, vijf vragen die het literatuuronderzoek stuurden en één voor het praktijkonderzoek. Dit resulteerde in een kwaliteitsmodel. Gelet op de verscheidenheid in het karakter van de ICT-dienstverlenende organisaties en hun omgeving, zal concretisering van dit model in een meetinstrument inhouden dat dit per type ICT-dienstverlenende organisatie (zoals beheer van infrastructuur, gebruikersorganisaties, software-ontwikkeling, provider, hostingorganisaties en dergelijke) verschillend zal zijn.

2012-11-14T00:00:00Z Geel, Wilma van http://hdl.handle.net/1820/4393 2012-09-18T00:14:24Z 2012-09-17T18:23:05Z

Title: Volwassenheid BPM-vaardigheden - De ontwikkeling en beoordeling van een zelfevaluatiemethode Authors: Geel, Wilma van Abstract: Business Process Management (BPM) is het integraal beheren van de processen van de organisatie. Sommige organisaties zullen verder zijn met de ontwikkeling van hun BPM-vaardigheden dan andere organisaties. De literatuur kent vele BPM-volwassenheidsmodellen, die claimen in welke volgorde BPM-vaardigheden ontwikkeld moeten worden om prestaties te verhogen. Er is echter nog geen meetmethode beschikbaar. In dit onderzoek is een zelfevaluatiemethode ontwikkeld voor het vaststellen van het volwassenheidsniveau van BPM-vaardigheden op basis van het Process and Enterprise Maturity Model van Hammer. De zelfevaluatiemethode is toegepast in één organisatie en beoordeeld op bruikbaarheid in de praktijk en bij verder onderzoek. Er is gebleken dat de zelfevaluatiemethode al goed bruikbaar is in de praktijk, maar nog verbetering behoeft in de beweringen in de vragenlijst om ook bruikbaar te zijn voor verder onderzoek.

2012-09-17T18:23:05Z Erp, Robert-Jan van http://hdl.handle.net/1820/4392 2012-09-18T00:14:34Z 2012-09-17T18:22:48Z

Title: Meetmodel voor de maturity van Business Rule Management - Meten om te weten Authors: Erp, Robert-Jan van Abstract: In veel organisaties kan het management het gewenste of feitelijke maturityniveau van Business Rule Management (BRM) niet vaststellen. Dit onderzoek beoogt een meetinstrument te ontwikkelen en te valideren om objectief het maturityniveau van BRM te bepalen. Uitgaande van in de literatuur beschreven BRM-maturitymodellen, is eerst nagegaan of er een bijbehorend instrument is beschreven dat de BRM-maturity meet. Het blijkt dat alleen het Business Decision Maturity Model (BDMM) zo'n meetinstrument biedt. Het BDMM geeft per kenmerk de eigenschappen van een maturityniveau weer. Deze kenmerken en eigenschappen zijn de basis voor het meetinstrument, een gestructureerde vragenlijst. Met de antwoorden kan per kenmerk een maturityniveau worden vastgesteld. Het instrument is toegepast in één organisatie. Gebleken is dat het meetinstrument nog onvoldoende is uitontwikkeld: vragen sluiten niet goed aan op het jargon van de onderzochte organisatie. Het instrument resulteert in een oordeel dat nog niet volledig objectief is. Maar als meerdere onafhankelijke betrokkenen tot eenzelfde oordeel/resultaat komen, dan is sprake van intersubjectiviteit. Vervolgonderzoek bij meerdere organisaties is wenselijk om de aansluiting in jargon te verbeteren, en om objectiviteit - althans intersubjectiviteit - aan te tonen van het meetinstrument voor het maturityniveau van Business Rules Management.

2012-09-17T18:22:48Z Dreijer, Koen http://hdl.handle.net/1820/4391 2012-09-18T00:14:44Z 2012-09-17T18:22:30Z

Title: Online hengelen zonder vergunning: een afstudeeronderzoek naar de mogelijkheden, effectiviteit en acceptatie van maatregelen tegen phishing gezien vanuit de financiële sector Authors: Dreijer, Koen Abstract: De hoofdvraag van dit onderzoek luidt: Wat doen organisaties in de financiële sector om phishing te voorkomen, welke maatregelen blijken effectief om phishing tegen te gaan en welke maatregelen worden door gebruikers geaccepteerd en toegepast? Het onderzoek is gedaan vanuit een bedrijfsmatige en organisatorische kijk op phishing binnen de financiële sector. Dit onderzoek brengt door middel van interviews in kaart wat financiële instellingen doen om phishing tegen te gaan. Eerst is gekeken welke maatregelen de literatuur als effectief voorschrijft. Het klantbewustzijn blijkt de belangrijkste winfactor in de strijd tegen phishing. Een bank zal nooit per mail of telefoon haar klanten vragen naar persoonlijke gegevens. Voorlichting wordt gezien als effectief en wordt ook gewaardeerd door klanten. De gevoerde campagnes hebben een zeer groot bereik. Het inzetten van systemen om het gebruik van internetbankieren te monitoren heeft toekomst. Zonder dat de klant het merkt, kan de bank hem beschermen doordat het gedrag van een phisher afwijkt van het geregistreerde gedrag van de klant. Ook het internetbankieren zelf zit vol met efficiënte maatregelen die fraude tegen moeten gaan. Hierdoor ligt het schadepercentage alsnog erg laag in Nederland. Elke bank heeft zijn eigen authenticatiemethode en wijze van elektronisch ondertekenen van betaalopdrachten. Daarnaast wordt steeds vaker en efficiënter samengewerkt met overheidsinstellingen, politie, justitie, banken onderling, ISP's, commerciële (beveiligings)bedrijven en waar mogelijk onderzoeksinstellingen. Banken hebben op het gebied van veiligheid geen onderlinge concurrentie.

2012-09-17T18:22:30Z Westbroek, Martijn http://hdl.handle.net/1820/4322 2012-06-21T00:07:59Z 2012-06-20T14:00:28Z

Title: A Conceptual Business Intelligence Framework for the Identification, Analysis and Visualization of Container Data Changes and its Impact on Yard Movement Authors: Westbroek, Martijn Abstract: The number of unproductive handlings (moves) per container visit is one of the key performance indicators used by port terminal management. These additional unproductive moves could be caused by changes in data between arrival and departure of a container. This work presents a Business Intelligence approach for identification, analysis and visualization of relationships between relevant container data changes and yard moves. The empirical study shows that data accuracy is even worse than indicated by Steenken et al (30-40%). When only looking at full export containers, 84% had one or more data changes. It would be expected that containers with data changes have more yard moves on average than containers without data changes. However no strong relation is found between data changes and yard moves. This may mean that extension of the conceptual framework is needed to take into account other factors that may influence yard movement. For now the container data changes problem is identified, analyzed and visualized, however not yet solved.

2012-06-20T14:00:28Z