SURFaudit, getoetst in de praktijk Februari 2012, Alf Moens, SURFfoundation
Inleiding In 2011 is de eerste auditronde van SURFaudit gehouden. In deze ronde zijn het normenkader, de meetmethode en het benchmarktool in de praktijk getest door 23 instellingen. Dit rapport doet verslag van deze eerste auditronde met de resultaten van de audits en de evaluatie van het gebruik van het normenkader en het benchmarktool. Het gebruik van SURFaudit heeft bij de deelnemende instellingen extra aandacht veroorzaakt voor informatiebeveiliging, zoals ook de bedoeling was. De resultaten van de assesments zijn gebruikt om het bewustzijn te verhogen, in management en bestuurlijke kringen, en ze zijn gebruikt om prioriteiten te stellen voor noodzakelijke verbeteringen. In de volgende paragrafen worden eerst kort de belangrijkste kenmerken van SURFaudit beschreven en wordt de eerste auditronde geïntroduceerd. Vervolgens worden de resultaten van de eerste auditronde gepresenteerd en de resultaten van de evaluatie toegelicht. Tenslotte wordt ingegaan op het vervolg van SURFaudit.
SURFaudit in volgelvlucht Nadat in 2010 het meerjarenplan SURFaudit 2012 – 2014 in gang is gezet, is in de zomer van 2011 het inrichtingsvoorstel SURFaudit geaccordeerd door CIO’s, ICT-‐managers en Platformbestuur ICT en Bedrijfsvoering. Een onderdeel van dit voorstel is het normenkader informatiebeveiliging Hoger Onderwijs, een selectie van alle ‘controls’ (onderwerpen) uit ISO27002 gegroepeerd in 5 clusters (zie tabel 2). De selectie omvat díe onderwerpen die tenminste geregeld moeten zijn bij een instelling voor Hoger Onderwijs. Voor het beoordelen van het niveau wordt gebruik gemaakt van het Capability Maturity Model (CMM) zoals dit in Cobit1 gebruikt wordt (zie tabel 1). Tabel 1: CMM niveaus
Niveau 0 1 2 3 4 5
Omschrijving Non-‐existent Initial/Ad Hoc Repeatable but Intuitive Defined Process Managed and Measurable Optimised
Toelichting Management processes are not applied at all. Processes are ad hoc and disorganised. Processes follow a regular pattern. Processes are documented and communicated. Processes are monitored and measured. Good practices are followed and automated.
1 Cobit: Control Objectives for Information and related Technology, een international raamwerk voor het gestructureerd inrichten en beoordelen van een IT-‐beheeromgeving. SURFaudit, getoetst in de Praktijk – verslag auditronde 2011-‐ pagina 1 van 8
Van alle HO instellingen wordt verwacht dat zij één keer in de vier jaar, op basis van dit normenkader, een onafhankelijke audit laten uitvoeren, en dat zij tussentijds, jaarlijks, middels self-‐assessments zelf de vinger aan de pols houden. Momenteel is nog geen CMM niveau afgesproken. De ambitie van SURFaudit is om hét auditinstrument te worden voor het Hoger Onderwijs en andere audits op het gebied van informatiebeveiliging overbodig te maken. Voor het realiseren van deze ambitie is medewerking gezocht en verkregen van interne en externe auditers. Daarnaast is het streven zo veel mogelijk aan te sluiten bij vergelijkbare initiatieven in gerelateerde branches (in het bijzonder de UMC’s), landelijk (CIO Platform) en internationaal. Om dit te realiseren wordt zoveel mogelijk gebruik gemaakt van nationale en internationale standaarden (ISO27002) en wordt in Nederland gebruik gemaakt van dezelfde hulpmiddelen. Het Hoger Onderwijs, de UMC’s (en de ander NVZ ziekenhuizen) en de leden van het CIO Platform Nederland maken allen gebruik van het BMTool van Qubis.
De eerste auditronde Het doel van de eerste auditronde was meerledig: -‐ een twintigtal instellingen in staat stellen inzicht te krijgen in het niveau van hun beveiliging; -‐ het toetsen van het normenkader, het scoringsmechanimse en de meetmethode; -‐ het toetsen van de bruikbaarheid van het benchmarktool BMTool. Via het CIO beraad, CvDUR en COMIT zijn de instellingen uitgenodigd deel te nemen aan de eerste auditronde. Hier hebben 23 instellingen spontaan op gereageerd, waaronder ook enkele kleine hogescholen en een wetenschappelijk instituut. Na deelname aan een instructiemiddag met een hands-‐on oefening van het benchmarktool, zijn deze instellingen zelf aan de slag gegaan. Zij hebben zelf een meetmethode voor hun eigen instelling kunnen kiezen: een workshop met vertegenwoordigers uit de organisatie, interviews door de security officer, invullen door meerdere personen en later combineren, of solo invullen. Bij dit alles is ondersteuning aangeboden voor begeleiding bij het self-‐assesment. Rond de deadline van 15 december hadden 16 instellingen hun self-‐assesment afgerond en de resultaten ingestuurd: 9 hogescholen, 6 universiteiten en een wetenschappelijke instelling.
Resultaten eerste auditronde De resultaten van de eerste auditronde zijn weergegeven in boxplot2 tabel 2. In bijlage A zijn de detailresultaten per cluster weergegeven. In de resultaten zijn apart de benchmarkcijfers van de universiteiten en van de hogescholen weergegeven. De median van de score ligt tussen CMM niveau 2 en 3. Op detail niveau ligt de score ook tussen 2 en 3 met twee uitzonderingen, ‘security awareness’ en ‘clear desk’3. Binnen de clusters is iets meer tekening te zien, meer spreiding van de resultaten, en iets meer onderscheid 2 Zie bijlage A voor een toelichting over boxplot grafieken. 3 Respectievelijk control 8.2.1.1 in cluster 2, en control 11.3.3.1 in cluster 3. SURFaudit, getoetst in de Praktijk – verslag auditronde 2011-‐ pagina 2 van 8
tussen universiteiten en hogescholen. In 2008 is uit volwassenheidmetingen bij 22 instellingen gebleken dat de hogescholen nog achter bleven bij de universiteiten. Nu lijken de hogescholen deze achterstand goed gemaakt te hebben. De absolute scores van de metingen in 2008 en de huidige metingen kunnen niet direct vergeleken worden omdat er te veel verschil is tussen de meetmethodes en de gebruikte scoringsmechanismes.
Tabel 2: Resultaten auditronde 2011
Van de twee punten waar opvallend slecht gescoord wordt, is er een verwacht en een onverwacht. ‘Clear desk’ is traditioneel een zwak punt wat de nodige discipline en overtuigingskracht vergt, maar niet minder bedreigend is. Denk hierbij aan (afdrukken van) vertrouwelijke stukken zoals cijferlijsten en strategische plannen die voor onbevoegden toegankelijk zijn. Aan ‘Security Awareness’ is juist de laatste jaren veel aandacht besteed via gemeenschappelijke campagnes zoals CyberSave Yourself. Blijkbaar is hier nog niet de juiste methode gevonden en de juiste snaar geraakt. De universiteiten scoren hier gemiddeld het slechts. Deze punten zullen in elk geval terugkomen op de agenda van de verschillende security overleggen (SURFibo, SCIRT, CIO beraad). Daarnaast lijken er ten aanzien van (bedrijfs)continuïteit wel vorderingen gemaakt te zijn. Dit was een van de zwakke punten uit de benchmark van 2008. Uit de detail gegevens (bijlage A, figuur 4) blijkt dat er op het gebied van wijzigingsbeheer en backup (onderdelen van de cluster Continuïteit) wel goed gescoord wordt maar ten aanzien van de visie over bedrijfscontinuïteit en de plannen voor continuïteit juist niet. De ervaring leert dat dit een taai onderwerp is, met veelal lage prioriteit. SURFibo heeft hiervoor een starterkit ontwikkeld, deze kan instellingen helpen eenvoudig een volgende stap te maken op dit gebied.
Evaluatie Na afloop van de eerste auditronde hebben vertegenwoordigers (security officers) van 16 instellingen een evaluatie ingevuld. De evaluatie was bedoeld om de ervaringen met het normenkader, de meetmethode en het benchmarktool te verzamelen en veranderingen of verbeteringen in gang te zetten. De evaluatie bestond uit gesloten vragen over een tiental onderwerpen en per onderwerp ruimte om aanvullende opmerkingen en suggesties te geven. De resultaten van de evaluatie zijn over de hele linie positief tot zeer positief , vergezeld van een groot aantal aanbevelingen voor verbetering en aanvulling. SURFaudit, getoetst in de Praktijk – verslag auditronde 2011-‐ pagina 3 van 8
De belangrijkste resultaten: -‐ het gebruikte tool is laagdrempelig in gebruik en prima geschikt voor dit doel -‐ het gebruikte tool heeft onvoldoende rapportage mogelijkheden -‐ er was voldoende ondersteuning zowel ten aanzien van het proces als ten aanzien van het gebruik van de tooling4 Op de vraag of een CMM niveau 3 eind 2013 haalbaar is antwoordt 44 procent van de respondenten positief, mits er voldoende steun van het management is. 31% weet het niet en stelt dat dit afhankelijk is van hoe streng de onafhankelijk audit zal zijn. 19% antwoordt dat het wellicht kan maar dat ze dan wel externe hulp nodig hebben. Een respondent vindt niveau 3 per eind 2013 een brug te ver. Een ruime meerderheid lijkt, onder voorwaarden, niveau 3 per eind 2013 realiseerbaar te vinden. Een veel gemaakte opmerking betreft de scope van de audit. Een aantal instellingen ervaart verschillen in beveiligingsniveaus tussen de ICT afdeling en de faculteiten of schools. Het normenkader en de ondersteunende tooling is geschikt om ook per organisatie onderdeel het niveau van beveiliging te evalueren en binnen de instelling te vergelijken. SURFaudit en de jaarlijkse assesments zijn echter bedoeld om op instellingniveau de stand van zaken weer te geven.
Conclusies De eerste auditronde was bedoeld om methodes en technieken te toetsen in de praktijk en om instellingen in de gelegenheid te stellen inzicht te krijgen in hun eigen situatie. Uit de evaluatie, uit individuele feedback, en feedback in presentaties aan platformbestuur en CvDUR, mag geconcludeerd worden dat de eerste auditronde succesvol is verlopen en de gekozen methodes en technieken in de praktijk goed bruikbaar zijn en aansluiten bij wensen en beleving van de doelgroep. Er zijn een aantal goed bruikbare verbetervoorstellen uit de eerste ronde gekomen, voor verbetering van (de toelichtingen bij) het normenkader en voor aanpassingen en uitbreidingen aan de tooling. Voorgesteld wordt om op de ingeslagen weg door te gaan, de aanbevelingen uit de evaluatieronde (in overleg met de maturity werkgroep van SURFibo) uit te voeren en het gebruik van BMTool voort te zetten. Ten aanzien van de benchmarkresultaten 2011 zullen in elk geval twee onderwerpen geagendeerd worden in de hiervoor relevante gremia: -‐ Security Awareness en Clear Desk -‐ Ontwikkelen visie en plannen ten aanzien van bedrijfscontinuïteit
SURFaudit in 2012 en verder In 2012 wordt SURFaudit verder uitgerold en beschikbaar gesteld voor alle HO instellingen. Deze worden actief gestimuleerd deel te nemen in SURFaudit, zowel via de 4 Van de aangeboden ondersteuning en de mogelijkheden voor ‘peer reviewing’ is in deze ronde weinig gebruik gemaakt. Eén instelling heeft zich door een externe partij laten ondersteunen, één instelling maakte gebruik van expertise bij SURF. SURFaudit, getoetst in de Praktijk – verslag auditronde 2011-‐ pagina 4 van 8
bestuurlijke weg als ook via de CIO en ICT management weg en via de informatiebeveiligers van de instellingen. In sommige situaties kan individuele ondersteuning geleverd worden. De assesments worden ondersteund met BMTool, instellingen kunnen hiervoor een licentie aanschaffen via SURFdiensten. In 2012 wordt ook gestart met beoordelende audits door onafhankelijke partijen. Hiervoor wordt samengewerkt met interne en externe auditers. Ook zal de aansluiting van SURFaudit op de aansluitvoorwaarden van verschillende leveranciers (SURFnet, Studielink, SURFfederatie, uitgevers) in 2012 vorm moeten krijgen.
SURFaudit, getoetst in de Praktijk – verslag auditronde 2011-‐ pagina 5 van 8
Bijlage A: Detail resultaten benchmark 2011
De resultaten staan weergegeven in boxplots. In een boxplot wordt de verdeling van de individuele scores weergegeven in kwartielen. De randen van het eerste en het laatste kwartiel geven de uiterste scores aan. Het tweede en derde kwartiel geven weer waar de middelste 50% van de scores zit, de mediaan geeft aan waar de middelste score zit. In de boxplot is de spreiding van de scores direct af te lezen.
Afbeelding 1: Details Cluster 1
SURFaudit, getoetst in de Praktijk – verslag auditronde 2011-‐ pagina 6 van 8
Afbeelding 2: Details cluster 2
Afbeelding 3: Details cluster 3
SURFaudit, getoetst in de Praktijk – verslag auditronde 2011-‐ pagina 7 van 8
Afbeelding 4: Details cluster 4
Afbeelding 5: Details cluster 5
SURFaudit, getoetst in de Praktijk – verslag auditronde 2011-‐ pagina 8 van 8