ICT-beveiligingsassessment DigiD Uitkomsten enquête - uitgevoerd bij gemeenten en ICT-leveranciers

ICT-beveiligingsassessment DigiD Uitkomsten enquête - uitgevoerd bij gemeenten en ICT-leveranciers

De onderzoeksresultaten. Met de highlights op pagina 5!

2ARC | februari 2015

INHOUDSOPGAVE 1.

Inleiding 1.1 Aanleiding 1.2 Opbouw en vorm enquête 1.3 Respons

3 3 3 3

2.

Onderzoeksresultaten – highlights

5

3.

Onderzoeksresultaten – per vraag Vragen deel I: U en uw organisatie Vragen deel II: Voorbereiding op het ICT-beveiligingsassessment DigiD Vragen deel III: Uitvoering van het ICT-beveiligingsassessment DigiD

6 6 10 18

4.

Nadere analyse van de antwoorden

45

Reacties respondenten

53

Enquête ICT-beveiligingsassessment DigiD – pagina 2

1.

INLEIDING

1.1

Aanleiding

Qua vorm is gekozen voor een digitale enquête. De uitnodiging voor de enquête is via e-mail naar de doelgroepen verspreid; de enquête zelf kon online worden ingevuld. Om respondenten de gelegenheid te geven om overige opmerkingen en reacties te plaatsen, is op elke pagina van de enquête een vrij veld ingebouwd.

In 2013 hebben de meeste gemeenten en hun ICT-leveranciers voor het eerst het ICT-beveiligingsassessment DigiD doorlopen. Welke ervaringen zijn daarbij opgedaan? Hoeveel tijd en geld is besteed, wat ging goed en wat kon beter? Om daar zicht op te krijgen zijn gemeenten en ICT-leveranciers in 2014 met een digitale enquête ondervraagd.

1.2

Opbouw en vorm enquête

De enquête, bestaande uit gesloten en open vragen, telt in totaal 35 vragen. De opbouw van de vragenlijst: - deel I

vragen over de respondent en zijn/haar organisatie (vragen 1 t/m 3) - deel II vragen over de wijze van voorbereiding op het assessment (vragen 4 t/m 9) - deel III vragen over de uitvoeringswijze van het assessment (vragen 10 t/m 35)

1.3

Respons

De enquête is uitgezet onder 405 organisaties, als volgt verdeeld: - 370 gemeenten; - 35 ICT-leveranciers. Verspreiding van de enquête en dataverzameling heeft plaatsgevonden in de 2e helft van 2014. De enquête is volledig ingevuld door 65 organisaties, een respons van 16%. Om eventuele beïnvloeding van de resultaten te voorkomen, zijn gemeenten en ICT-organisaties waar 2ARC in 2013/2014 opdracht had tot het uitvoeren van het ICT-beveiligingsassessment DigiD, uitgesloten van deelname. In totaal zijn 105 respondenten begonnen zijn met het invullen van de enquête, maar 40 daarvan hebben deze niet afgerond.


Showstoppers waren met name vragen over gemaakte kosten en bestede tijd. Volgens de instructies bij de enquête mochten respondenten – desgewenst – vragen overslaan. Ook kon de gehele enquête worden doorgezonden naar een collega. Maar de praktijk wees uit dat veel respondenten bij bepaalde vragen de enquête staakten en deze niet verder afrondden. Data uit nietafgeronde enquêtes zijn niet meegenomen in het onderzoek.


2.

ONDERZOEKSRESULTATEN  HIGHLIGHTS Vraag 7. Meeste organisaties (55%) besteedden 40 tot 80 uur aan voorbereiding op het assessment.

Vraag 10. Het meest gescoorde antwoord op de vraag hoeveel dagen de auditor op locatie was: 1-2 dagen.

Vraag 33. Geen eenduidig beeld over de communicatie door Logius: - ca. 1/3 (geheel) tevreden - ca. 1/3 neutraal - ca. 1/4 (geheel) ontevreden

Vraag 19. Top 3-uitkomst van discussie met auditor over oordeel: 1. advies auditor gevolgd (40%) 2. auditor overtuigd (20%) 3. compromis gesloten (17%)

Vraag 31. Ruim 50% ziet veel overlap tussen de verschillende normenkaders, zoals naast DigiD-audit, SUWIen BAG-audit.

Vraag 25. Meerderheid vindt dat het beveiligingsassessment een toegevoegde waarde had.

Vraag 15. Bij ruim een kwart heeft afstemming van het auditrapport geleid tot aanpassing van het oordeel.

Vraag 21. Goede meerderheid (ca. 70%) is tevreden tot zeer tevreden over uitkomst assessment; 10% is (zeer) ontevreden. Vraag 24. Aantal gedeclareerde uren door auditor (top-3): 38% -> 17-40 uur 22% -> 09-16 uur 15% -> 41-80 uur

Vraag 22. ca. 70% van de organisaties scoorde alle normen voldoende. ca. 30% van de organisaties scoorde één of meer normen onvoldoende.


3.

ONDERZOEKSRESULTATEN – PER VRAAG Deel I

U en uw organisatie

Dit deel bevat vragen over de respondent en de organisatie waarvoor wordt gewerkt.


1. Wat is uw functie?

Bevindingen vraag 1 Het grootste deel van de respondenten heeft de functie van informatiebeveiligingsfunctionaris (39%).

2; 3%

informatiebeveiligingsfunctionaris

4; 6% 5; 8%

manager 25; 39% beleidsmedewerker

12; 18% IT-beheerder

webmaster 17; 26%

overig


De functies die daarna het meeste voorkomen zijn die van manager (26%) en beleidsmedewerker (18%). Dit betekent dat de vragenlijst vooral is ingevuld door personen met een niet-technische functie.

2. Bij welk type organisatie werkt u? 2; 3%

Bevindingen vraag 2 Verreweg het grootste deel van de respondenten is houder van een DigiD-aansluiting (89%).

1; 2%

4; 6%

Houder van DigiD-aansluiting Bedrijf dat software ontwikkelt 58; 89%

Webhoster Aanbieder van een SaaSoplossing


Het resterend deel van de respondenten (samen 11%) werkt of bij een software-ontwikkelaar, of als webhoster of als aanbieder van een SaaSoplossing.

3. Hoeveel medewerkers telt uw organisatie?

Bevindingen vraag 3 Het overgrote deel van de respondenten, 80%, is werkzaam in een organisatie met een personele omvang van 50-500 medewerkers. Kleine organisaties met minder dan 10 medewerkers waren niet in het onderzoek vertegenwoordigd.

Score per groottecategorie 52

8

5 0 0-10 medewerkers

10-50 medewerkers

50-500 medewerkers

meer dan 500 medewerkers


Deel II

Voorbereiding op het ICTbeveiligingsassessment DigiD

Dit deel bevat vragen over de wijze waarop de organisatie zich heeft voorbereid op het ICT-beveiligingsassessment DigiD.


4. Op welke wijze heeft uw organisatie zich voorbereid op het ICTbeveiligingsassessment DigiD? niet

1; 1% 15; 16%

interne projectgroep 41; 45%

35; 38%

externe ondersteuning door commerciële partij gebruik van het ondersteuningsaanbod KING en de producten van Logius


Bevindingen vraag 4 Bijna 100% van de respondenten geeft aan zich via één of meerdere wijzen te hebben voorbereid op het ICT-beveiligingsassessment DigiD. Wanneer we de uitkomsten in totaal bezien, dan blijkt dat organisaties zich met name hebben voorbereid door te werken met een interne projectgroep (45%).

4a. (Gecombineerde) wijzen van voorbereiding, per respondent niet

4; 6%

1; 1%

3; 5%

interne projectgroep

5; 8% 21; 32%

externe ondersteuning door commerciële partij

11; 17% gebruik van het ondersteuningsaanbod KING en de producten van Logius

4; 6%

16; 25%

interne projectgroep + externe ondersteuning door commerciële partij interne projectgroep + gebruik van het ondersteuningsaanbod KING en de producten van Logius externe ondersteuning door commerciële partij + gebruik van het ondersteuningsaanbod KING en de producten van Logius

interne projectgroep + externe ondersteuning door commerciële partij + gebruik van het ondersteuningsaanbod KING en de producten van Logius


Bevindingen vraag 4 (vervolg) Als we verder inzoomen op die organisaties die zich via meerdere wijzen hebben voorbereid, dan is dit merendeels gedaan door te werken met een interne projectgroep en een externe commerciële partij (11 respondenten, 17%). Een klein aantal, 4 respondenten, heeft zich voorbereid via én een interne projectgroep én een extern, commercieel bureau én door gebruik te maken van het aanbod en de producten van KING en Logius.

5. Stelling: mijn organisatie heeft haar zaken over het algemeen goed voor elkaar. 50

Bevindingen vraag 5 Toelichting stelling: hiermee wordt bedoeld dat processen op een goede manier uitgevoerd en bewaakt worden; eventuele fouten worden tijdig herkend en correct afgehandeld.

Een zeer grote meerderheid van 83% is van mening dat zijn of haar organisatie de zaken op orde heeft.

46

45 40

Slechts 5% is hiermee oneens.

35 30 25 20 15 10

8

8 3

5

0 0 geheel eens

eens

neutraal

oneens

geheel oneens


Bevindingen – vraag 6

6. Wat is uw mening over de kwaliteit van het normenkader dat voor het ICTbeveiligingsassessment DigiD is gehanteerd? 30

Toelichting: Onder het normenkader verstaan wij de 28 normen van Logius waartegen de IT-auditor de werkelijke situatie bij uw organisatie getoetst heeft, niet de richtlijnen van het Nationaal Cyber Security Centrum (NSCS) of de handreiking van de NOREA.

De meerderheid (53%) is positief over de kwaliteit van het normenkader: . 11% antwoordt met goed . 42% antwoordt met overwegend goed.

27 25

25 20

38% beoordeelt de kwaliteit met neutraal.

15

4% vindt de kwaliteit overwegend slecht of slecht.

10

7

5

2

3 1

0 goed

overwegend goed

neutraal

overwegend slecht

slecht

geen mening


7. Hoeveel tijd heeft uw organisatie aan de voorbereiding besteed? 40 36 35 30 25 20

18

15 11 10 5 0 minder dan 40 uur

40-80 uur

meer dan 80 uur


Bevindingen – vraag 7 Een meerderheid met 55% geeft aan 40 tot 80 uur aan de voorbereiding te hebben besteed.


8. Stelling: bij de start van het ICTbeveiligingsassessment DigiD beschikte mijn organisatie over voldoende kennis en ervaring om webapplicaties op een veilige manier te ontwikkelen en te beheren dan wel om dit aan andere partijen uit te besteden. 45

Een ruime meerderheid van 72% onderschrijft deze stelling in positieve zin (opgebouwd uit 11% met geheel eens en 61% met eens), daarmee aangevend over voldoende ontwikkelen beheer kennis en -ervaring van webapplicaties te beschikken bij de start van het assessment. Op ruime afstand daarvan zegt 19% neutraal te staan tegenover de stelling.

39

40

Een kleine groep, met 9%, is oneens met de stelling.

35 30 25

20 12

15 10

7

6

5

0

0 geheel eens

eens

neutraal

oneens

geheel oneens


9. Stelling: bij externe onderzoeken (audits, Rekenkamer) scoort mijn organisatie hoog.

Bevindingen – vraag 9 Toelichting: Met een hoge score wordt bedoeld dat externe onderzoeken tot een positief oordeel leiden, dat er weinig bevindingen naar voren komen en dat het aantal aanbevelingen beperkt is.

40

Een meerderheid van 66% is het eens of geheel eens met de stelling en vindt dat de eigen organisatie goed beoordeeld wordt in externe onderzoeken.

35 35 30 25

Ruim een kwart (28%) geeft als antwoord neutraal.

20

18

Een klein percentage, 4%, is het oneens met de stelling.

15 10

7 4

5

0 0 geheel eens

eens

neutraal

oneens

geheel oneens


Deel III:

Uitvoering van het ICTbeveiligingsassessment DigiD

Dit deel bevat vragen over de wijze waarop het ICT-beveiligingsassessment DigiD is uitgevoerd.


10. Hoeveel dagen is de auditor bij u op locatie geweest? 50

Toelichting: Bij deze vraag gaat het om de tijd die een auditor daadwerkelijk bij uw organisatie aanwezig was. Verschillende afspraken van minder dan een hele dag mag u bij elkaar optellen en de som afronden naar boven.

46

Het zwaartepunt (71%) van het aantal dagen dat de auditor op locatie is geweest, ligt op 1 tot 2 dagen. Opvallend is dat in 12% van de gevallen de auditor in het geheel niet bij de organisatie aanwezig is geweest.

45 40 35 30 25 20 15 10


11 8

5

0

0 0 dagen: de auditor is niet op locatie geweest

1-2 dagen

2-5 dagen

6-10 dagen


11. Welke functionarissen zijn binnen uw organisatie bij het ICT-beveiligingsassessment DigiD betrokken geweest? 9; 5% 8; 4%

Interne auditor 20; 10%

Informatiebeveiligingscoördinator Kwaliteitsfunctionaris

53; 27%

56; 29%

Directie/Management IT-Beheerder Ontwikkelaars

34; 18%

13; 7% Overig


Bevindingen – vraag 11 Het blijkt dat de informatiebeveiligingscoördinator (met 29%) en de IT-Beheerder (met 27%) de functionarissen zijn die het meest betrokken zijn geweest bij het ICT-beveiligingsassessment DigiD. Hoewel IT-beheerders dus wel veel betrokken zijn geweest, hebben zij niet zelf de enquête ingevuld (vraag 1).

12. Door welke partij heeft u de audit laten uitvoeren? 0; 0% 7; 11%

Interne audit Een van de grote accountantskantoren 30; 46%

22; 34%

Een van de middelgrote accountantskantoren Gespecialiseerd ITauditkantoor Een andere partij

6; 9%


Bevindingen – vraag 12 De partij waarvan het meest gebruik gemaakt is, is een van de grote accountantskantoren (46%), snel gevolgd door een gespecialiseerd ITauditkantoor (34%). Beperkt is gewerkt met één van de middelgrote accountantskantoren (9%). Geen enkele respondent geeft aan de audit hebben uitgevoerd met een interne auditor, terwijl deze wel op een andere manier bij het assessment betrokken is geweest (vraag 11).

13. Is het auditrapport of de TPM met u afgestemd alvorens het definitief is gemaakt? 1; 1,5%

11; 16,9% Ja Nee Blanco 53; 81,5%


Bevindingen – vraag 13 Ruim 80% geeft aan dat afstemming over het auditrapport heeft plaatsgevonden, alvorens het definitief vast te stellen. Opvallend is het percentage waarin geen hoor en wederhoor heeft plaatsgevonden, terwijl dat volgens de beroepsregels van IT-auditors verplicht is.


14. Hoe verliep de afstemming van het rapport?

Veruit het grootste deel (66%) van de respondenten zegt dat de afstemming enigszins makkelijk (22%) tot makkelijk (45%) is verlopen.

35 30

29

Een klein kwart (22%) antwoordt met neutraal. Ruim 10% geeft aan dat het verloop van de rapportafstemming enigszins moeilijk tot moeilijk was.

25 20 14

15

14

10 6 5 1

1

Moeilijk

Geen antwoord

0 Makkelijk

Enigszins makkelijk

Neutraal

Enigszins moeilijk


15. Heeft de afstemming van het rapport geleid tot aanpassing van het oordeel van een of meerdere normen? 2; 3%

Bevindingen – vraag 15 Elf respondenten (17%) geven aan dat afstemming van het rapport ertoe heeft geleid dat de auditor het oordeel van een of meerdere normen heeft aangepast. Bij 52 respondenten (80%) heeft geen oordeelaanpassing plaatsgevonden.

11; 17%

Ja

Nee Geen antwoord 52; 80%



16. Wat is de doorlooptijd van het gehele ICT-beveiligingsassessment DigiD bij uw organisatie geweest? 23

25

De meest voorkomende doorlooptijd van het assessment is één tot drie maanden (met 35%), direct gevolgd door een doorlooptijd van drie tot zes maanden (met 32%).

21

Twee organisaties (3%) geven als totale doorlooptijd aan, meer dan 12 maanden bezig te zijn geweest.

20 15 10 5

11 7 2

1

0


17. Heeft de auditor nog andere normen beoordeeld naast de 28 die minimaal verplicht waren?

Bevindingen – vraag 17 Van de respondenten geven 9 organisaties (14%) aan dat, naast de 28 minimaal verplichte normen, nog andere normen beoordeeld zijn. Het grootste deel (83%) antwoordt dat alleen de 28 normen beoordeeld zijn: geen andere normen.

2; 3% 9; 14%

Ja Nee Geen antwoord

54; 83%



18. In welke mate heeft u discussies gevoerd met de auditor? 45

Toelichting: Onder de term ‘discussie’ verstaan we het volgende. Een discussie gaat over een bepaald onderwerp, waarover aanvankelijk verschillen van inzicht tussen direct betrokkenen bestaan. Het onderwerp is voor minimaal een van de partijen belangrijk. Door het uitwisselen van informatie en argumenten worden deze aanvankelijke verschillen opgelost, zodanig dat alle direct betrokkenen zich erin kunnen vinden.

41

40 35 30

Een grote meerderheid (63%) geeft aan dat zij weinig discussies hebben gevoerd met de auditor. 18% heeft helemaal niet gediscussieerd.

25 20 15

12

Elf respondenten (17%) antwoorden dat zij veel discussies hebben gevoerd met de auditor.

11

10 5

0

1

0


Geen enkele maal geeft een respondent aan dat er sprake was van een conflict en escalatie.

19. Als u terugdenkt aan het belangrijkste discussiepunt met de auditor. Hoe is dat afgelopen? We hebben het advies van de auditor gevolgd.

2; 3%

0; 0%

We hebben de auditor weten te overtuigen.

10; 15% 26; 40%

3; 5%

We hebben een compromis gesloten. We zijn er niet uitgekomen.

11; 17%

13; 20%

Bevindingen – vraag 19 Over de afloop van het belangrijkste discussiepunt met de auditor is het meest gegeven antwoord (40%) dat het advies van de auditor is gevolgd. 20% van de deelnemers meldt een andere uitkomst van de discussie: zij hebben de auditor weten te overtuigen. Van de deelnemers geeft 17% aan dat een middenweg is gevonden; zij hebben een compromis gesloten. Dat betekent dat in 37% van de gevallen de auditor op enigerlei wijze water bij de wijn heeft gedaan.

We hebben een geheel nieuwe oplossing bedacht.

Opvallend is verder dat bij 5% de afloop was dat ze er niet uitgekomen zijn.

Niet van toepassing: we hebben geen discussies met de auditor gehad.

Tien respondenten (15%) geeft aan ze geen discussies met de auditor hebben gehad.


20. Over welke onderwerpen heeft u discussies met de auditor gevoerd? Interpretatie van de normen 3; 3% Oordeel of bewoordingen in het auditrapport

10; 12%

Communicatie

4; 5% 5; 6%

43; 49%

7; 8%

Planning van de audit, inclusief reikwijdte (scope) Doorlooptijd en kosten van de audit

15; 17%

Niet van toepassing: we hebben geen discussies met de auditor gehad.

Geen antwoord


Bevindingen – vraag 20 Duidelijk is dat, met 49%, het meest is gediscussieerd over de interpretatie van de normen. Uit de reacties kan opgemaakt worden dat respondenten de norm onduidelijk en voor meerdere uitleg vatbaar vinden. Toch heeft ongeveer 90% aangeven neutraal of positief tegenover het normenkader te staan (vraag 6).


21. Stelling: ik ben tevreden over de uitkomst van het ICTbeveiligingsassessment DigiD. In hoeverre bent u het met deze stelling eens? 40

Een meerderheid van de deelnemers is (zeer) tevreden over de uitkomst van het assessment. Op de stelling reageert 52% met mee eens en 17% met volledig mee eens; samengevoegd dus een ruime meerderheid van 69%. 20% staat neutraal ten opzichte van de stelling.

34

35 30

Negen procent is (zeer) ontevreden over de uitkomst van het assessment.

25 20

15 10 5

11

13 5 1

1

0



22. Wat was het oordeel van de auditor? 50 45

Een goedkeuring van alle normen vond plaats bij 68% van de respondenten.

44

Bij ruim een kwart van de deelnemers (29%) heeft de auditor één of meer normen afgekeurd.

40 35 30 25 20 15

10 5

9 6

2

1

1

2

0


23. Heeft uw organisatie de TPM of het auditrapport voor 31 december 2013 opgeleverd? 2; 3%

12; 18% Ja Nee Geen antwoord

51; 79%


Bevindingen – vraag 23 Met 79% geeft het grootste deel van de respondenten aan de TPM of het auditrapport tijdig te hebben opgeleverd. Bijna eenvijfde heeft niet gerapporteerd voor 31 december 2013. Dit is een opvallende uitkomst, aangezien de minister in zijn brief van 9 juli 2014 aan de Tweede Kamer meldt dat de meeste organisaties aan hun verplichting hebben voldaan en dat aan enkele organisaties uitstel is verleend.


24. Hoeveel uren heeft de auditor bij uw organisatie gedeclareerd voor de audit?

Bij de meeste organisaties heeft de auditor minder dan een week gedeclareerd.

30 25

De top-down classificatie van meest gegeven antwoorden:

20

- 17-40 uur

38%

- 9-16 uur

22%

- 41-80 uur

15%

- 0-8 uur

14%

25

14

15 10

9

10 5

5 1

1

0


- 81-120 uur > 121 uur

2% 2%


25. Stelling: het ICT-beveiligingsassessment DigiD heeft voor mij geen enkele toegevoegde waarde gehad. 35

Een meerderheid van de deelnemers is (geheel) oneens met de stelling dat het assessment geen enkele toevoegde waarde had. Met oneens reageert 49% en met geheel oneens reageert 5%; samengevoegd dus 54%. Dit is consistent met de antwoorden op vragen 21, 27 en 29.

32

30 25 20

Ruim een kwart (26%) staat neutraal ten opzichte van de stelling.

17

Op de stelling antwoordt 15% met mee eens of volledig mee eens.

15 8

10 5

3

2

3

0


26. Welke zaken zou u voor het ICTbeveiligingsassessment DigiD 2014 anders aanpakken?

5; 6%

Niets, ik ben tevreden hoe het ICTbeveiligingsassessment DigiD in 2013 is uitgevoerd.

3; 4%

Eerder met de voorbereiding beginnen. 6; 8% 26; 33% 9; 12%

Betere samenwerking en afstemming met ketenpartners. Meer gebruik maken van het ondersteuningsaanbod van KING.

9; 12% 20; 26%

Externe ondersteuning inschakelen. Nieuwe auditor selecteren. Geen antwoord.


Bevindingen – vraag 26 Toelichting: deelnemers konden meerdere alsook unieke antwoorden geven.

Het meest gegeven antwoord (33%) is dat men niets wil veranderen; deze respondenten zijn tevreden met de wijze waarop het ICTbeveiligingsassessment DigiD in 2013 is uitgevoerd. Omgekeerd betekent dit dat twee derde wel zaken anders zou aanpakken, ondanks dat respondenten bij meerdere vragen aangeven tevreden te zijn met afgelopen assessment. Opmerkelijk is dat in 6% van de gevallen de wens bestaat om een nieuwe auditor te selecteren. Het beeld van de wijzigingsideeën voor 2014, in top-down classificatie van meest gescoorde antwoorden: - eerder met voorbereiding beginnen - betere samenwerking/afstemming ketenpartners - meer gebruikmaken ondersteuningsaanbod KING - externe ondersteuning inschakelen - nieuwe auditor selecteren

26% 12% 12% 8% 6%


27. Stelling: ik ben tevreden over de wijze waarop de auditor het onderzoek heeft uitgevoerd. 40

Bijna drie kwart is tevreden over de wijze waarop de auditor het onderzoek heeft uitgevoerd. Het antwoord mee eens krijgt 55% van de stemmen en het antwoord volledig mee eens krijgt 17%; samengevoegd 72%.

36

35

14% beantwoordt de stelling met neutraal.

30 25

Op de stelling reageert 11% met oneens.

20 15 10 5

11

9

7 0

2

0



28. Hoe hoog waren de kosten van het ICTbeveiligingsassessment voor uw organisatie?

Uit de grafiek kan worden afgeleid dat de meeste organisaties ongeveer tussen de 5000 en 10.000 euro kwijt zijn geweest aan het assessment.

Indien de kosten werden verdeeld over meerdere organisaties, geef dan uitsluitend uw aandeel aan. 30

27

25 20 13

15

10 5

13

9 1

2

0



29. Stelling: de uitkomst van het ICTbeveiligingsassessment DigiD voldoet aan de verwachtingen die ik eerst had. 30

Ruim de helft zegt dat zij (volledig) eens zijn met de stelling (mee eens scoort 40%; volledig mee eens scoort 12%, samen 52%): voor hen was de uitkomst van het assessment geen verrassing.

26

25

Ruim een derde (34%) reageert neutraal op de stelling.

22

20

Ruim 10% is (geheel) oneens.

15 10 5

8

6 1

2

0



30. In hoeverre ziet u een overlap tussen de reikwijdte van de TPM voor de leverancier en die van het auditrapport voor de gebruikersorganisatie?

Toelichting: Bij deze vraag gaat het om mogelijk dubbel werk door de auditor doordat de reikwijdte van de TPM en die van het auditrapport elkaar overlappen, bijvoorbeeld als de gemaakte afspraken in de SLA zowel bij de leverancier als bij de gebruikersorganisatie getoetst zijn.

Het grootste deel (58%) ziet weinig overlap tussen de reikwijdte van de leveranciers-TPM en het auditrapport voor de gebruikersorganisatie.

38

40 35

Het meest gescoorde daaropvolgende antwoord (22%) is dat veel overlap wordt gezien: in die gevallen zou de auditor dubbel werk gedaan kunnen hebben.

30 25 20 14

15 10

6

5 5

2

0 Geen overlap

Weinig overlap

Veel overlap

Weet niet

Geen antwoord



31. Naast het ICT-beveiligingsassessment DigiD hebben organisaties te maken met andere onderzoeken, zoals de SUWI- en de BAG-audit. In hoeverre ziet u een overlap tussen de verschillende normenkaders? 40 35 30 25 20 15 10 5 0

De meerderheid (55%) zegt veel/volledige overlap te zien tussen de verschillende normenkaders: gebruik van een eenduidig normenkader zoals de BIG (vraag 32) zou hier voordelen kunnen bieden. Ruim een kwart (28%) ziet weinig/geen overlap.

35

Ruim 10% weet niet of er sprake is van overlap.

16 7 2

1 Volledige Veel overlap overlap

Weinig overlap

Geen overlap

3 Niet van Weet niet toepassing: mijn organisatie heeft alleen met DigiD te maken

1 Geen antwoord



32. Bent u bekend met de inhoud van de Baseline Informatiebeveiliging Gemeenten (BIG)? 40 35 30 25 20 15 10 5 0

De communicatie rondom de BIG kan als effectief worden bestempeld, aangezien vrijwel alle respondenten op enigerlei wijze hiermee bekend zijn. Meer dan de helft (52%) heeft kennis genomen van de BIG en de inhoudelijke uitwerking daarvan.

34

De daaropvolgende grootste groep (23%) is bekend met de hoofdlijnen van de BIG. 15

Een vijfde deel heeft wel van de BIG gehoord, maar is niet bekend met de inhoud.

13 2

0

1

Ja, ik heb Ja, ik ben Nee, ik heb er Nee, nooit van De BIG is op Geen antwoord kennis bekend met de van gehoord, gehoord. mijn genomen van hoofdlijnen van maar ben niet organisatie niet de baseline en de BIG. bekend met de van toepassing. de uitwerking inhoud. daarvan.


Slechts twee respondenten zeggen nog nooit van de BIG te hebben gehoord.


33. Hoe tevreden bent u over de communicatie van Logius over de ICTbeveiligingsassessments DigiD? 25

De tevredenheid over de communicatie vann Logius laat een wisselend beeld zien, met ongeveer even grote groepen die tevreden, neutraal of ontevreden zijn:

23 21

-

20 15

12

10 5

3

4 2

0


37% is tevreden tot geheel tevreden; 35% is neutraal; 25% is ontevreden tot geheel ontevreden.

34. Bent u voornemens om de Baseline Informatiebeveiliging Gemeenten (BIG) binnen uw organisatie te hanteren? 2; 3%

Bevindingen – vraag 34 Een grote meerderheid, 75%, zegt voornemens te zijn om de BIG binnen hun organisatie te hanteren. 17% zegt dit nog niet te weten.

1; 2%

3% geeft aan de BIG niet te gaan hanteren. 11; 17%

Ja

Nee

2; 3%

Weet niet Niet van toepassing 49; 75%

Geen antwoord



35. Hoe tevreden bent u over het ondersteuningsaanbod van KING op het gebied van de ICT-beveiligingsassessment DigiD? 25

22

De vraag over de mate van tevredenheid over het ondersteuningsaanbod van KING geeft het volgende beeld: -

23

39% is tevreden tot geheel tevreden; 35% is neutraal; 3% is ontevreden tot geheel ontevreden.

20

Daarnaast antwoordt 20% geen gebruik te hebben gemaakt van het KING-aanbod.

13

15 10 5

3

1

1

2

0


4.

NADERE ANALYSE VAN DE ANTWOORDEN In het vorige hoofdstuk zijn de antwoorden op de afzonderlijke vragen gepresenteerd. In dit hoofdstuk wordt onderzocht of er een verband tussen de verschillende soorten organisaties bestaat in de beantwoording van de vragen.

We maken onderscheid naar de volgende soorten organisaties: 1. Gemeenten versus leveranciers 2. Grote versus kleine omvang 3. Hoge versus lage mate van interne beheersing 4. Weinig versus veel voorbereiding 5. Audit uitgevoerd door een groot accountantskantoor versus een andere partij

In dit document zijn uitsluitend resultaten opgenomen indien er statistisch significante verschillen tussen verschillende typen organisaties zijn geconstateerd. Significant wil zeggen dat de pwaarde bij de Chikwadraattoets lager is dan 0,05, oftewel dat de kans dat de uitkomst op toeval berust kleiner is dan 5%. Bij de opsplitsing in verschillende soorten organisaties ontstaan groepen met slechts een klein aantal respondenten. Dit bemoeilijkt de generaliseerbaarheid van de resultaten en is een beperking van het onderzoek. Daarom is telkens Monte Carlosimulatie met 2000 herhalingen toegepast om betrouwbare resultaten te verkrijgen. Desalniettemin moeten de uitkomsten van de analyse met voorzichtigheid worden betracht.

Telkens is gekeken of de organisaties verschillen of overeenkomen op de onderstaande punten:  de doorlooptijd van de audit  het aantal dagen dat de auditor op locatie is geweest  hoeveel normen zijn afgekeurd  het aantal audituren  de hoogte van de auditkosten  de tevredenheid over de uitkomst  de tevredenheid over het proces  de mate waarin de audit aan de verwachtingen voldoet  het al dan niet behalen van de deadline


Gemeenten versus leveranciers

60%

In totaal hebben 58 gemeenten en 7 leveranciers meegedaan aan onze enquête. Over het algemeen hebben beide groepen dezelfde antwoorden op de vragen gegeven, met uitzondering van de verwachtingen die zij aan de uitkomst van het assessment hadden.

De verwachtingen zijn gemeten met stelling 29: de uitkomst van het ICT-beveiligingsassessment DigiD voldoet aan de verwachtingen die ik eerst had. In onderstaande tabel zijn de reacties op deze stelling weergegeven, uitgesplitst naar gemeenten en leveranciers. Gemeenten

Leveranciers

Eens

57%

28%

Neutraal

34%

44%

Oneens

9%

28%

100%

100%

Totaal

40% Gemeenten

30%

Verwachtingen

Organisatie

50%

Leveranciers

20% 10% 0% Eens

Neutraal

Oneens

Uit de tabel en de grafiek blijkt dat gemeenten het relatief meer eens zijn met de stelling (57% versus 28%) en leveranciers meer oneens (28% versus 9%). Een verklaring zou kunnen zijn dat gemeenten meer ervaring hebben met audits, zoals voor de SUWI en de BAG, terwijl leveranciers voor het eerst met een extern onderzoek te maken hebben gehad.

Tabel 1: Type organisatie versus verwachtingen


Grote versus kleine organisaties

100%

De 65 organisaties in de steekproef kunnen ook verdeeld worden naar het aantal medewerkers. Het grootste deel telt tussen de 50 en 500 medewerkers (52). Vijf organisaties hebben tussen de 10 en 50 medewerkers, terwijl bij 8 organisaties meer dan 500 personen werkzaam zijn. Net zoals bij het onderscheid tussen gemeenten en leveranciers geldt dat grote en kleine organisaties op dezelfde manier de vragen beantwoord hebben, met uitzondering van de verwachtingen.

90%

Verwachtingen

20%

Op stelling 29 (de uitkomst van het ICT-beveiligingsassessment DigiD voldoet aan de verwachtingen die ik eerst had) hebben 63 organisaties gereageerd. Onderstaande tabel bevat de reacties op deze stelling, uitgesplitst naar de omvang van de organisatie. Organisatie Klein Middelgroot Groot Eens

20%

53%

14%

Neutraal

60%

35%

86%

Oneens

20%

2%

0%

100%

100%

100%

Totaal

80%

70% 60%

Eens

50%

Neutraal

40%

Oneens

30% 10% 0% Klein

Middelgroot

Groot

Uit de tabel en de grafiek kan worden opgemaakt dat de audit minder aan verwachtingen van kleine dan van grote organisaties voldoet. Een mogelijke verklaring is ook hier dat grote organisaties vermoedelijk meer ervaring met eerdere audits hebben dan kleine instellingen.

Tabel 2: Omvang organisatie versus verwachtingen aan audit


Goede versus slechte interne beheersing

90%

In de enquête zijn drie vragen opgenomen over het niveau van interne beheersing bij de organisatie. In het algemeen kan gesteld worden dat de mate waarin een organisatie haar zaken voor elkaar heeft, geen invloed heeft gehad op de uitkomst of het verloop van het ICT-beveiligingsassessment DigiD. Een uitzondering is de relatie tussen stelling 9 en het aantal normen dat is afgekeurd. Stelling 9 luidt: bij externe onderzoeken (audits, Rekenkamer) scoort mijn organisatie hoog. Aangenomen is dat sprake is van een hoge mate van interne beheersing, indien respondenten aangeven het eens te zijn met de stelling. Omgekeerd geldt dat een afwijzende reactie op de stelling gerelateerd is aan een lage mate van interne beheersing.

70%

60% Alle normen goedgekeurd

50% 40%

Een of meerdere normen afgekeurd

30% 20% 10% 0% Hoog

Aantal normen afgekeurd Van de 63 reacties op deze stelling waren 42 het ermee eens, 4 oneens en 17 stonden er neutraal tegenover. In onderstaande tabel zijn de reacties op deze stelling weergegeven, uitgesplitst naar het niveau van interne beheersing. Interne beheersing Hoog Midden Laag Alle normen goedgekeurd

79%

59%

25%

Een of meerdere normen afgekeurd

21%

41%

75%

Totaal

80%

100%

Midden

Laag

Uit de uitsplitsing van de reacties kan worden opgemaakt dat naarmate het niveau van interne beheersing hoger is (gemeten met het oordeel van externe onderzoeken), organisaties beter scoren bij het ICT-beveiligingsassessment DigiD.

100% 100%

Tabel 3: Interne beheersing versus aantal normen afgekeurd


Aantal uren voorbereiding

80%

Organisaties kunnen ook verdeeld worden op basis van de tijd die zij hebben besteed om zich voor te bereiden op het assessment. Uit de 65 antwoorden op de desbetreffende vraag kan worden opgemaakt dat 11 organisaties minder dan 40 uur aan voorbereiding hebben besteed, 36 organisaties tussen de 40 en 80 uur en 18 organisaties meer dan 80 uur. Uit ons onderzoek blijkt dat meer voorbereiding niet resulteert een betere uitkomst van de audit of in andere kenmerken van het assessment. De tijd die aan voorbereiding is besteed is wel van invloed op de totale doorlooptijd.

Doorlooptijd

70% 60% 50% 40%

< 3 maanden

30%

> 3 maanden

20% 10% 0%

In totaal hebben 64 organisaties antwoord gegeven op de vraag hoelang de doorlooptijd van het assessment heeft geduurd: bij 34 organisaties was dat minder dan drie maanden, bij 30 organisaties duurde het langer. In onderstaande tabel is een uitsplitsing van de antwoorden naar doorlooptijd en uren voorbereiding opgenomen. Voorbereiding <40 uur 40-80 uur >80 uur < 3 maanden

73%

54%

39%

> 3 maanden

27%

46%

61%

Totaal

100%

100%

100%

<40 uur

40-80 uur

>80 uur

Geconcludeerd wordt dat hoe meer tijd organisaties zich voorbereiden op het assessment, hoe langer de totale doorlooptijd. Een goede voorbereiding leidt kennelijk niet tot een efficiënter verloop van de rest van de activiteiten. Een verklaring zou kunnen zijn dat deze organisaties aan het begin van het traject nog niet klaar waren voor het assessment en daarmee veel tijd hebben besteed om hun zaken op orde te krijgen.

Tabel 4: Aantal uren voorbereiding versus doorlooptijd


Tevredenheid over Logius

80%

De tevredenheid over Logius laat een wisselend beeld zien. Van de 64 respondenten die op stelling 33 gereageerd hebben, zijn er 24 tevreden, 24 neutraal en 16 ontevreden. Tussen de tevredenheid over Logius en het verloop en uitkomst van het assessment is geen relatie vastgesteld, met uitzondering van de verwachtingen die partijen vooraf hadden.

70% 60% 50%

Audit voldoet aan verwachtingen

40%

Neutraal

Verwachtingen

30%

Op de stelling, of de uitkomst van het ICTbeveiligingsassessment DigiD aan de verwachtingen voldeed, hebben 63 organisaties gereageerd: 34 waren het hiermee eens, 7 oneens en 22 stonden neutraal tegenover deze stelling. Onderstaande tabel bevat de reacties op deze stelling, uitgesplitst naar de tevredenheid over Logius. Mening over Logius Tevreden Neutraal Ontevreden

20%

Audit voldoet aan verwachtingen

48%

32%

14%

Neutraal

28%

55%

14%

Audit voldoet niet aan verwachtingen

24%

13%

72%

100%

100%

100%

Totaal

Audit voldoet niet aan verwachtingen

10% 0% Tevreden

Neutraal

Ontevreden

Tevredenheid over Logius gaat kennelijk gepaard met het voldoen aan verwachtingen die respondenten aan de uitkomst van het assessment hadden. Een logische verklaring voor dit verband hebben wij niet gevonden.

Tabel 5: Tevredenheid over Logius versus verwachtingen aan audit


Grote accountantskantoren auditorganisaties

versus

andere

Tot slot zijn de antwoorden geanalyseerd van organisaties die de audit door een groot accountantskantoor (Deloitte, EY, KPMG of PWC) hebben laten uitvoeren of door een andere partij. Van de 65 respondenten hebben er 30 een groot accountantskantoor ingehuurd en 35 een andere auditorganisatie. Behalve op doorlooptijd en aantal dagen op locatie zijn er geen verschillen tussen auditors geconstateerd.

Doorlooptijd

60% 50% 40%

< 3 maanden

30%

> 3 maanden

20%

10%

In totaal hebben 64 organisaties antwoord gegeven op de vraag welke doorlooptijd van het assessment heeft gekend: bij 34 organisaties was dat minder dan drie maanden, bij 30 organisaties duurde het langer. In onderstaande tabel is een uitsplitsing van de antwoorden naar doorlooptijd en auditorganisatie opgenomen. Auditorganisatie Groot kantoor Andere partij < 3 maanden

43%

62%

> 3 maanden

57%

38%

100%

100%

Totaal

70%

Tabel 6: Auditorganisatie versus doorlooptijd

0% Groot kantoor

Andere partij

Onze conclusie luidt dat audits uitgevoerd door een groot accountantskantoor langer duren dan die door een andere partij. Een langere doorlooptijd kan verklaard worden door de interne kwaliteitsprocedures bij de grote kantoren.

Dagen op locatie Van de 65 respondenten heeft het merendeel (46) aangeven dat de auditor tussen de 1 en 2 dagen op locatie is geweest. In elf gevallen is de auditor tussen de 2 en 5 ter plaatse geweest en bij 8 organisaties heeft de auditor de organisatie niet bezocht. Onderstaande tabel bevat een uitsplitsing van deze antwoorden naar auditorganisatie:


Auditor

Groot kantoor

Andere partij

0 dagen

3%

20%

1-2 dagen

87%

57%

2-5 dagen

10%

23%

100%

100%

Totaal

controleklant geweest, terwijl bij de andere partijen dit meer evenwichtig verdeeld is.

Tabel 7: Auditorganisatie versus aantal dagen op locatie

100% 90% 80% 70% 60% 50%

Groot kantoor

40%

Andere partij

30%

20% 10% 0% 0 dagen

1-2 dagen

2-5 dagen

Het aantal dagen op locatie verschilt tussen de grote accountantskantoren en de rest: grote accountantskantoren zijn vrijwel niet nul dagen of meer dan twee dagen bij de


Reacties - respondenten Dit deel bevat inhoudelijke opmerkingen die door respondenten zijn gemaakt.


Reacties t.a.v. de kwaliteit van het normenkader ICT-beveiligingsassessment DigiD



“Ik vond een groot deel van de normen zodanig opgesteld dat er moeilijk uit was op te maken welke maatregelen er nu precies genomen moesten zijn om er aan te voldoen. Ook waren er normen op meerdere manieren te interpreteren.”



“De interpretatie van de normen blijkt na navraag bij collega's ver uiteen te lopen bij de verschillende auditors. Zelfs daar waar de werkelijke situatie identiek was waren de uitkomsten van de audit erg verschillend.”



“Sommige normen zijn voor meerdere uitleg vatbaar. Dit maakt het behalen van die normen niet eenvoudiger. Verder zijn er enige "normen" geweest, waarvan wij het praktische nut hebben betwijfeld, maar omdat het genoemd werd uiteindelijk wel uitgevoerd.” Reacties t.a.v. de audit ICT-beveiligingsassessment DigiD



“Onze, en die van collega gemeenten, grootste frustratie is dat er een grote willekeur bestaat in de manier van auditen. Er zijn gemeenten die door partij A geaudit worden en zeer verbaasd zijn dat zij "slagen", terwijl andere gemeenten, die hun zaakjes wel voor elkaar hebben en ook door partij A geaudit worden, telkens niet door de audit heen komen. Op deze manier heeft de audit totaal geen waarde en is het wederom een papieren tijger.”



“Wij hebben het idee dat er in Nederland verschillend geaudit is en dat sommige auditors waaronder die van ons veel te strikt de normen hebben gehanteerd en die Logius streng hebben gehanteerd waardoor op kleinigheden een heraudit vereist was.”




“Wanneer de auditor geen verder onderzoek verricht naar een TPM, heb ik weinig overlap ervaren. Echter onder het principe van Professional Judgement wilde de auditor eigen onderzoek doen naar de TPM.”



“Ervaren de ICT-beveiligingsassessment op een aantal punten als overkill of papieren tijger wat een leverancier veel tijd kost om maar aan alle punten te kunnen voldoen.” Reacties t.a.v. Logius



“Ik vind dat Logius wat steken heeft laten vallen. Er is op tijd een auditrapport ingeleverd en dan krijgen we een simpel briefje waarin geknipt en geplakt is uit het auditrapport en wordt er zonder overleg deadlines gesteld wanneer een en ander opgelost moet zijn. Hierbij zijn wij ook nog eens afhankelijk van een derde partij (hosting). Het is op ons overgekomen alsof Logius zich enorm verslikt heeft in de hoeveelheid en dat ze zich er gemakkelijk vanaf willen maken en niet serieus hebben gekeken naar de auditrapporten. Gemeenten moeten er veel geld voor betalen en dat is gewoon een verplichting en dan mag Logius wel iets meer het idee geven dat ze het zelf ook serieus nemen.”



“Communicatie van Logius was beneden de maat.”



“Wat raar was dat je wel uitstel kan vragen bij Logius, maar die niet krijgt.”


Enquête ICT-beveiligingsassessment DigiD Contact en informatie drs. Wout Schiphorst RE onderzoekscoördinator / senior auditor e-mail: [email protected] M: +31 6 30 884 744

drs. Klaas Piet Meindertsma RE CISA managing director e-mail: [email protected] M: +31 6 53 319 942

2ARC l Audit, Risk & Consultancy Postbus 2541 ● 1200 CM Hilversum T: +31 35 52 33 856 ● F: +31 35 62 49 894 www.2arc.eu


ICT-beveiligingsassessment DigiD Uitkomsten enquête - uitgevoerd bij gemeenten en ICT-leveranciers

Recommend Documents