http://hdl.handle.net/1820/2010 Thu, 20 Jun 2013 02:46:27 GMT 2013-06-20T02:46:27Z http://hdl.handle.net/1820/4978 Title: Hoe requirements traceability het beste ingericht kan worden Authors: Winkel, Ruud Abstract: Dit onderzoek beantwoordt de vraag 'Wat zijn de verschillen tussen de conceptuele modellen van requirements traceability in theorie, in de Military Standard 498 en in vijf ict-projecten van ProRail?' De conceptuele modellen per project zijn vergeleken ten aanzien van de mate van requirements traceability. Ook is er nagegaan in welke mate de projecten met succes zijn afgerond. Wed, 19 Jun 2013 00:00:00 GMT http://hdl.handle.net/1820/4978 2013-06-19T00:00:00Z http://hdl.handle.net/1820/4977 Title: Bedrijfsregels in verschillende vormen - Een vergelijking op toepasbaarheid tussen SWRL en Relatie algebra bij wetteksten Authors: Bos, Pim Abstract: Wetten en beleidsregels, zoals die van de Verklaring Omtrent Gedrag (VOG), bevatten een vorm van regels en zijn feitelijk al in natuurlijke taal geformaliseerd. Daarmee zijn ze bij uitstek geschikt voor verdere formalisatie naar een logische taal. Voorbeelden van dergelijke talen zijn relatiealgebra via de methode Ampersand en de Semantic Web Rule Language (SWRL) voor het opnemen van regels in een ontologie voor het semantisch web. In dit onderzoek wordt gekeken naar enerzijds de haalbaarheid van het implementeren van de bedrijfsregels van de VOG-casus met behulp van semantisch-webtechnologieën. Anderzijds wordt er gekeken naar hoe deze implementatie zich verhoudt tot een Ampersand-implementatie van dezelfde casus. Hierbij is gekeken of deze beide vormen bruikbaar zijn voor het implementeren van de wetten en beleidsregels aangaande de VOG en waarin de twee implementaties van elkaar verschillen, dan wel elkaar aanvullen. Voor dit onderzoek is gebruik gemaakt van de VOG-casus. Voor deze casus bestond al een bestaande Ampersand-implementatie, waardoor er binnen de beperkt beschikbare tijd toch een goede vergelijking gemaakt kon worden. Wed, 19 Jun 2013 00:00:00 GMT http://hdl.handle.net/1820/4977 2013-06-19T00:00:00Z http://hdl.handle.net/1820/4976 Title: Security en privacy bij BYOD: een verkenning van het toegepaste BYOD security-beleid en geïmplementeerde security-maatregelen binnen organisaties en de impact daarvan op de privacy van werknemers Authors: Schild, André Abstract: BYOD (Bring Your Own Device) houdt in dat mobiele privé-apparaten, zoals smartphones en tablets, ook voor zakelijke doeleinden gebruikt worden. Daarbij vormt security een aandachtspunt: het apparaat faciliteert opslag van bedrijfsgegevens en toegang tot de bedrijfsinfrastructuur, maar de organisatie is geen eigenaar van het apparaat en heeft er pas bevoegdheid en zeggenschap over als de werknemer dat toestaat. Daarbij kan inbreuk op de privacy van de werknemers ontstaan. Dit onderzoek richtte zich op de totstandkoming en de inhoud van security-beleid en maatregelen in organisaties die BYOD hebben geïmplementeerd of dit serieus overwegen, de privacy-problemen die daaruit voortvloeien en hoe deze aangepakt worden. Het onderzoek bestond uit een literatuurstudie naar informatiebeveiliging van mobiele apparaten en een empirisch onderzoek bij 5 organisaties. Uit het onderzoek blijkt dat organisaties momenteel geen adequaat beleid en maatregelen hebben voor BYOD-security en daardoor niet of nauwelijks voorbereid zijn op de risico’s van BYOD. Door gebrek aan MDM-software en het ontbreken van heldere voorwaarden voor toepassing van BYOD, kan er een inbreuk ontstaan op de privacy van werknemers. Organisaties zijn echter zelf van mening dat hun BYOD-security effectief en goed genoeg is. Uit het onderzoek volgen aanbevelingen voor organisaties die BYOD willen toestaan of dit al doen. Wed, 19 Jun 2013 00:00:00 GMT http://hdl.handle.net/1820/4976 2013-06-19T00:00:00Z http://hdl.handle.net/1820/4975 Title: IT-projectportfoliorisico - Ontwikkeling en toetsing van een referentiemodel van de mogelijke risico's bij een organisatiebrede IT-projectportfolio Authors: De Smaele, Gérard Abstract: De portfoliobenadering voor het managen van IT-projecten heeft tot doel er voor te zorgen dat een organisatie alleen die projecten onderneemt die bedrijfswaarde creëren tegen acceptabele risico's. Het belang van een goede IT-projectportfolio is groot. Sommigen noemen het zelfs van levensbelang omdat de IT-projectportfolio de investeringen van een organisatie in haar toekomst vertegenwoordigt. Gezien dit belang is het opvallend dat er nog betrekkelijk weinig inzicht is in welke risico's een rol kunnen spelen bij een organisatiebrede IT-projectportfolio. Dit onderzoek beoogt dit inzicht te vergroten door antwoord te geven op de vraag: 'Wat zijn de mogelijke risico's die een rol kunnen spelen bij een organisatiebrede IT-projectportfolio?' Om op deze vraag een antwoord te geven is in dit onderzoek een referentiemodel ontwikkeld op basis van de bestaande literatuur. Vervolgens is dit referentiemodel in de praktijk getoetst. Wed, 19 Jun 2013 00:00:00 GMT http://hdl.handle.net/1820/4975 2013-06-19T00:00:00Z http://hdl.handle.net/1820/4974 Title: Reengineering and Prioritizing Goal Models Authors: Harmannij, Jan Willem Abstract: In de software-industrie is men gewend te denken in termen van features en requirements, maar welke doelen daarmee behaald worden is vaak niet duidelijk. Dit rapport presenteert een methodiek voor het inventariseren, modelleren en rangschikken van de beoogde doelen van een softwareproduct, om daarmee de doelen en functionaliteit van het bestaande softwareproduct te evalueren en documenteren. De methodiek bouwt voort op bestaande methoden van Goal-Oriented Requirements Engineering (GORE), past ideeën uit deze methoden toe voor reverse engineering en breidt de bestaande methoden uit met prioritering van goals met behulp van de Hierarchical Cumulative Voting (HCV) methode. De voorgestelde methodiek werd empirisch getoetst in twee case studies, die werden uitgevoerd op basis van twee subsystemen van een bestaand softwareproduct in de Energy & Utilities-markt. Wed, 19 Jun 2013 00:00:00 GMT http://hdl.handle.net/1820/4974 2013-06-19T00:00:00Z http://hdl.handle.net/1820/4823 Title: Cloud Identity & Access Management Model: success factors for Identity & Access Management in cloud computing Authors: Piepers, Tim Abstract: This research identified critical success factors that enable companies to successfully implement an Identity & Access management (IAM) solution, allowing them to effectively integrate IT services and seamlessly leverage in-house, cloud applications. IAM refers to the processes, technologies and policies for managing digital identities and controlling how identities can be used to access resources. The following research questions have been answered: - How is IAM defined and implemented in large organizations that use cloud services? - What are the drivers, from a business point-of-view, for implementing IAM, both at tactical and strategic level? - What factors related to IAM maturity, cloud readiness and project maturity (and possibly others) contribute to a successful IAM implementation? From literature a reference model has been derived containing a set of success factors from four areas: governance, project management, identity management and access management. The reference model was empirically tested via interviews. It is concluded that IAM for and to SaaS are predominantly implemented in large organizations. Implementing cloud based IAM solutions is driven more by tactical than strategic reasons. The identified success factors focus on developing an identity management system, creating a standard set of attributes for each person, enabling external access through a federation, treating IAM as a strategic asset and initiative, and governance. In the empirical research, also factors in the areas of privacy and security have been identified. Wed, 27 Feb 2013 00:00:00 GMT http://hdl.handle.net/1820/4823 2013-02-27T00:00:00Z http://hdl.handle.net/1820/4816 Title: Cyberbeveiliging als bedrijfsproces: een generiek toepasbaar procesmodel Authors: Schouten, Gert-Jan Abstract: Cyberspace is een dynamische omgeving die bestaat uit verbonden informatiesystemen met verschillende actoren en gebruikers. Organisaties die cyberspace gebruiken, moeten zich beveiligen tegen de risico's die daarmee gepaard gaan om de continuïteit van hun primaire businessfunctionaliteit te waarborgen. In dit onderzoek is een generiek toepasbaar procesmodel voor cyberbeveiliging opgesteld, waarbij cyberbeveiliging is geïntegreerd in de enterprise-architectuur via een gestandaardiseerd procesmodel. In het onderzoek zijn de volgende vragen beantwoord: Wat is de betekenis van cyberspace, cyberbeveiliging, enterpise-architectuur en bedrijfsproces? Waar gaat cyberbeveiliging verder dan conventionele IT-beveiligingsfuncties? Welke functionaliteiten spelen een rol binnen cyberbeveiliging? Welke activiteiten maken deel uit van cyberbeveiliging en in welke volgorde moet een organisatie deze activiteiten doorlopen? Welke overdrachten vinden plaats tussen de activiteiten? Welke activiteiten kunnen worden geautomatiseerd? Hoe integreren deze cyberbeveiligingsactiviteiten en overdrachten tot een proces? Het procesmodel is afgeleid uit de literatuur en vervolgens empirisch getoetst via interviews bij IBM, Microsoft, HP en DEFCERT. Het procesmodel bestaat uit vijf deelprocessen: think like an attacker, risicomanagement, monitoring, toepassen van risicobeperkende maatregelen en incidentenbehandeling. De eerste drie deelprocessen itereren continu en kunnen aanleiding geven om risicobeperkende maatregelen toe te passen of incidentenbehandeling uit te voeren. Het procesmodel is verder uitgewerkt waarbij voor elk deelproces activiteiten en informatie-overdrachten zijn weergegeven. Thu, 21 Feb 2013 00:00:00 GMT http://hdl.handle.net/1820/4816 2013-02-21T00:00:00Z http://hdl.handle.net/1820/4815 Title: Verbeteren kwaliteitsmeting voor SaaS Authors: Berg, Gerben van den Abstract: Probleemstelling: Doordat SaaS-software bij een leverancier in beheer is, is het voor de gebruiker lastig om de kwaliteit te bepalen. Het ontwikkelen van een model om kwaliteitsmeting bij SaaS te kunnen uitvoeren op basis van kwaliteitskenmerken die belangrijk zijn vanuit het oogpunt van de SaaS-gebruiker, zou moeten leiden tot een beter overwogen keuze bij aanschaf en gebruik. Onderzoeksvragen: Wat wordt verstaan onder SaaS? Welke aspecten van softwarekwaliteit zijn hierbij voor de gebruiker van belang en hoe kunnen die worden gemeten? Kan een bruikbaar model worden opgesteld dat leveranciers en gebruikers behulpzaam is bij selectie van SaaS-software? Uitwerking: In het literatuuronderzoek is gekeken wat SaaS is en wat de eigenschappen en risico's zijn. Gekeken is naar hoe softwarekwaliteit kan worden gemeten en welke kwaliteitskenmerken daarvoor in de literatuur genoemd worden. In het empirisch onderzoek is onderzocht welke kwaliteitskenmerken SaaS-gebruikers het belangrijkst vinden. De resultaten zijn verwerkt in een impact-waarschijnlijkheidsmatrix waarin zichtbaar is hoe groot het risico op problemen is. Conclusies: De kwaliteitsmeting op het gebied van SaaS vanuit het oogpunt van de SaaS-gebruiker kan worden verbeterd door juist de kwaliteitskenmerken die voor SaaS-gebruikers belangrijk zijn te meten. Hierdoor is het mogelijk om SaaS-software en SaaS-leveranciers met elkaar te vergelijken, op de eigenschappen die vanuit het oogpunt van SaaS-gebruikers belangrijk zijn. Tijdens het empirisch onderzoek zijn deze belangrijke kwaliteitskenmerken gevonden. Thu, 21 Feb 2013 00:00:00 GMT http://hdl.handle.net/1820/4815 2013-02-21T00:00:00Z http://hdl.handle.net/1820/4579 Title: Informatiebeveiliging in kleinere organisaties Authors: Huygens, Marc Abstract: Welke beheersmaatregelen nemen Nederlandse MKB's en Vlaamse KMO's om zich te beschermen tegen risico's rond informatiebeveiliging en wat is daarvan de effectiviteit? De digitale wereld, die ons steeds meer omsluit, brengt met zich mee dat informatie een van de belangrijkste grondstoffen wordt om een entiteit draaiende te houden. Dit gaat echter gepaard met een aantal problemen die desastreuze gevolgen kunnen hebben. De toegang tot deze digitale informatie voor de werking van organisatieprocessen is niet meer het exclusieve voordeel van grotere ondernemingen, maar gemeengoed geworden. Grote organisaties hebben grote budgetten en kunnen gespecialiseerde teams inrichten om ervoor te zorgen dat informatie wordt beschermd, zodat de bedrijfsdoelstellingen niet in het gevaar komen. Ondanks deze kernfunctie worstelen sommige grote organisaties toch nog met deze problematiek. Het feit dat kleinere organisaties met minder financiële middelen en minder (of geen) gespecialiseerd personeel moeten werken, doet de vraag rijzen hoe zij die problemen aanpakken. Aan de hand van een literatuurstudie werd een model opgesteld om informatie te vergaren. Vervolgens werd via een empirisch onderzoek met een enquête vastgesteld welke beheersmaatregelen kleinere organisaties daadwerkelijk nemen ter bescherming tegen informatierisico's. Daaruit bleek verrassend dat er geen significant verband bestaat tussen de genomen maatregelen en het aantal voorgekomen incidenten. De literatuurstudie toonde ook aan dat er enkele raamwerken beschikbaar zijn voor gebruik in kleinere organisaties. Ook werd op basis van de genomen maatregelen en de voorgekomen incidenten een concreet model opgesteld dat kan leiden tot een verbetering van de bescherming tegen informatierisico's, rekening houdend met de al gebruikte maatregelen, de te verwerken incidenten en de beperkte mogelijkheden van kleinere organisaties. Door een gebrek aan informatie konden de resultaten van de enquête geen antwoord geven op de vraag of er – wat betreft de informatiebeveiligingsmaatregelen – een significant verschil bestaat tussen ondernemingen die internet als verkoopkanaal gebruiken en andere organisaties. Verrassend was ook dat zo weinig organisaties uit deze categorie deelnamen aan het onderzoek. Uit de gegevens blijkt dat er een significant verschil is tussen de gebruikte beschermingsmaatregelen in Nederland en Vlaanderen, en dat beide landen op sommige vlakken een achterstand hebben ten opzichte van het Verenigd Koninkrijk. Ook kan worden geconcludeerd: hoe groter de organisatie, hoe meer maatregelen er worden getroffen voor informatiebeveiliging. De maatregelen betreffende toegang tot en verzending van gegevens scoren matig, de algemene maatregelen en die rond opslag scoren slecht. Op basis van de gegevens is een model opgesteld dat inzicht geeft in de genomen maatregelen onder de respondenten, in combinatie met de te verwerken incidenten. Op basis hiervan kunnen de kleine organisaties hun inzichten rond informatiebeveiliging verruimen en eventueel hun beschermingsniveau bijsturen. Wed, 12 Dec 2012 00:00:00 GMT http://hdl.handle.net/1820/4579 2012-12-12T00:00:00Z http://hdl.handle.net/1820/4578 Title: Social engineering en de Limburgse gemeenten: onderzoek naar het informatiebeveiligingsniveau bij de Limburgse gemeenten tegen social engineering aanvallen Authors: Goes, Jack van der Abstract: Er is onderzocht in hoeverre de NORA (Nederlandse Overheid Referentie Architectuur) bescherming biedt tegen social engineering, in hoeverre het informatiebeveiligingsbeleid van Limburgse gemeenten gebaseerd is op de NORA en of de gebruikte beveiligingsmaatregelen daadwerkelijk bescherming bieden tegen social engineering. Op basis van literatuurstudie is een referentiemodel opgesteld waarin is vastgelegd hoe beveiligingsmaatregelen uit de Code voor Informatiebeveiliging bescherming bieden tegen social engineering. Dit referentiemodel is als basis gebruikt voor empirisch onderzoek via interviews met twee auteurs van de NORA en vijf gemeenteambtenaren en een enquête onder 23 Limburgse gemeenten. Het onderzoek toont aan dat de NORA bescherming biedt tegen social engineering. Het informatiebeveiligingsbeleid bij de Limburgse gemeenten is overwegend gebaseerd op best practices uit ITIL Security Management (57%), gevolgd door de NORA (50%), COBIT (14%) en andere theorieën (43%). Uit de literatuur blijkt dat de meest effectieve beveiligingsmaatregel tegen social engineering bestaat uit opleiding, training en bewustmaking. Deze maatregel is ook in de Code voor Informatiebeveiliging opgenomen. Echter, slechts 50% van de respondenten heeft een dergelijke opleiding of training gevolgd. De beveiligingsmaatregelen uit de Code voor Informatiebeveiliging zijn bij het merendeel van de gemeenten onvoldoende doorgevoerd. Er is onvoldoende gebleken of de gebruikte beveiligingsmaatregelen daadwerkelijk hebben beschermd tegen social engineering. Wed, 12 Dec 2012 00:00:00 GMT http://hdl.handle.net/1820/4578 2012-12-12T00:00:00Z