Informatiebeveiliging in het Hoger Onderwijs nog niet Volwassen Resultaten van de metingen informatiebeveiliging, identity management en security incident management 2008 Een gezamenlijk onderzoek van SURFfoundation en SURFnet. Juni 2009
In 2008 zijn landelijk een drietal metingen verricht om te bepalen hoe informatiebeveiliging er voor staat bij het Hoger Onderwijs. De conclusie van de metingen is dat er sprake is van een onvolwassen situatie, met duidelijke kenmerken van groei. Er is sprake van een groeiend bewustzijn van nut en noodzaak van informatiebeveiliging, dat was er al in ICT kringen, en dat wordt in toenemende mate gesteund in management en bestuur. Op de bestuurstafel is het onderwerp echter nog geen gemeengoed. Instellingen moeten zich voorbereiden op toenemende eisen die gesteld gaan worden aan informatiebeveiliging. Die eisen worden enerzijds gesteld door de verschillende toezichthouders, anderzijds door samenwerkingsverbanden die steeds intensiever informatie delen en uitwisselen. Daarnaast neemt de complexiteit van de informatie infrastructuur toe door het vervagen van de grenzen van instellingen en informatiesystemen1.Ook deze ontwikkeling vraagt om continue aandacht op het gebied van informatiebeveiliging. De belangrijkste kenmerken van informatiebeveiliging in het Hoger Onderwijs in 2008 zijn: − Bij veel instellingen ontbreekt een geaccoordeerd kader voor informatiebeveiliging: Er is geen vastgesteld beveiligingsbeleid en de verantwoordelijkheden zijn niet helder of niet duidelijk belegd. In het beveiligingsbeleid dienen de keuzes die een instelling maakt op het gebeid van informatiebeveiliging vastgelegd te worden. − De beveiliging van de infrastructuur is redelijk op orde, als is dit bij een aantal instellingen gekoppeld aan een gesloten ICT omgeving. − Security Incident Management is bij veel instellingen niet apart ingericht. Hierdoor hebben die instellingen geen inzicht in het aantal security incidenten en gebeurt de afhandeling op ad hoc basis. − Identity management staat bij veel instellingen aan het begin van de ontwikkeling en inrichting. Identity Management is een basis faciliteit voor het beheersbaar en controleerbaar omgaan met toegang tot informatie. De metingen van 2008 zullen worden gecombineerd en voortgezet onder de noemer SURFaudit, waarbij vanaf 2009 ook een norm voor het Hoger Onderwijs gehanteerd zal gaan worden. De verwachting is dat vanaf 2010 verschillende toepassingen en samenwerkingsverbanden zullen vereisen dat aan deze normen voldaan wordt.
1 WTR Trendrapport 2008
Inleiding Vanuit drie invalshoeken zijn in 2008 metingen verricht aan informatiebeveiliging en informatiebeveiligingsaspecten in het Hoger Onderwijs. Ter stimulering van het gebruik van SURFfederatie is gemeten hoe ver instellingen zijn met de implementatie en inbedding van identity management. Hiervoor is een volwassenheid groeimodel gebruikt dat weergeeft in welk stadium van ontwikkeling een instelling zit. De stand van zaken van de incident respons is gemeten in het kader van het stimuleren van de CERT-vorming, de vorming van Computer Emergency Respons Teams. Voor deze meting wordt een voorloper van een methode gebruikt die in internationaal CERT verband wordt ontwikkeld. De breedte van informatiebeveiliging is gemeten met het 4 aspecten maturity model van Moens, een model dat gebaseerd is op de Code voor Informatiebeveiliging. Aan deze drie metingen is breed deelgenomen. Deze laatste meting is gebruikt om een benchmarkcijfer voor het Hoger Onderwijs te berekenen. De benchmark is gebruikt om onderling te vergelijken en kan gebruikt worden om de ontwikkelingen in de loop der jaren te volgen en te sturen. Dit rapport geeft een verslag van de resultaten van de metingen van 2008. Allereerst worden de gebruikte meetmethodes nader toegelicht, vervolgens wordt ingegaan op de resultaten per meting. Daarna wordt ingegaan op de bevindingen en conclusies uit de metingen en ten slotte wordt ingegaan op het vervolg van de metingen in 2009 en daarna.
Deelnemende instellingen In de zomer van 2008 zijn de instellingen Hoger Onderwijs middels een brief aan de Colleges en Raden van Bestuur uitgenodigd deel te nemen aan de metingen. Op deze oproep is een goede respons gekomen. Daarnaast zijn ook de contacten in het kader van de aansluiting op SURFfederatie, in het kader van de CERTvorming en de reguliere contacten van SURFnet accountmanagement en SURFibo (SURF Informatie Beveiligers Overleg) gebruikt om instellingen te interesseren deel te nemen aan de metingen. In totaal hebben 35 instellingen (Hoger Onderwijs, Research, UMC's) deelgenomen aan een of meer van de metingen. In bijlage A is een overzicht opgenomen van de instellingen die in 2008 deelgenomen hebben. De instellingen hebben per meting een detailrapport ontvangen, met “persoonlijke” resultaten en adviezen.
De meetmethodes Alle in 2008 gebruikte methodes maken gebruik van een vragenlijst of invullijst. De informatie is bij de instellingen vergaard middels interviews en self-assesment workshops. In 2009 worden de drie metingen gecombineerd in SURFaudit. Alle metingen zijn gebruikt om feedback en adviezen te geven aan de gemeten instelling. Voor een deel direct na een meting, voor een deel nadat de benchmarkcijfers, de gemiddelde scores, bekend waren.
Identity Management In 2008 zijn 27 instellingen uit de doelgroep van SURF en SURFnet bezocht in het kader van de ‘maturity scan’ Identity Management. In deze scan zijn de belangrijkste aspecten van Identity Management beoordeeld op basis van een vragenlijst. Het doel van de scan was om na te gaan in hoeverre de instellingen een basisimplementatie van Identity Management op orde hebben. De scan is ontwikkeld door Jaap Kuipers en Peter Jurg. Er
bestond nog geen algemeen kader voor maturity metingen van identity management. Het identity management model is een groeimodel dat de ontwikkelingsfase van identity management in een organisatie beschrijft. Het gaat uit van vier groeifasen. Een instelling bevindt zich in een van de vier categorieën. Volwassenheid van Identity Management in een organisatie is bereikt in de fase “Integrated”. Ad Hoc Een instelling heeft geen focus op Identity Management, maar wellicht wel een aantal praktische zaken geregeld, zoals één instellingsaccount voor meerdere diensten (misschien zelfs single sign-on), en autorisatie per applicatie. Focused Een instelling heeft een duidelijke ‘focus’ op Identity Management. Dat wil zeggen dat helder is welke systemen leidend zijn voor het bestaan van identiteiten en voor aanvullende informatie bij identiteiten, dat de provisioning naar doelsystemen is gerealiseerd en er een beleid is voor Identity Management Standardized Een instelling heeft als onderdeel van de ingerichte provisioning een systeem beschikbaar dat als Identity Provider (IdP) kan dienen bij het aansluiten op een federatie (de SURFfederatie). Het beleid is vertaald naar goed beschreven processen en procedures, die zo goed mogelijk zijn geïmplementeerd. Integrated De processen en procedures zijn niet alleen geïmplementeerd, maar er is ook controle op de implementatie en ze kunnen worden herzien waar nodig. De kwaliteit van de data uit de bronsystemen of via andere invoer is gewaarborgd door checks en procedures. De beveiliging van de Identity Managementsystemen krijgt de benodigde aandacht en er is aan de wettelijke eisen voldaan. In de meting wordt vastgesteld in welke fase ene instelling zit. Daarnaast geeft de meting inzicht in ontwikkelfase van deelaspecten van identity management zodat gericht gestuurd kan worden.
Security Incident Management Voor dit onderwerp bestond internationaal geen meetmethode, en evenmin een maturity model. Don Stikvoort heeft dit opgezet voor SURFnet, gebaseerd op het werk dat hij sinds 1992 in de internationale CERT community heeft verricht. Hij heeft hiermee voortgebouwd op eerdere accreditatie systemen die hij ontwikkeld heeft met en voor: − accreditaties voor FIRST, het wereldwijde forum voor incident respons teams (CERT's) − de Europese accreditatie Trusted Introducer − SURFnet's invulling hiervan, PACT, en − Philips CERT, een (niet gepubliceerd) maturity model. Het zo ontwikkelde CERT maturity model beschouwt een vijftigtal parameters verdeeld over vier deelgebieden: “organisation”, “human resources”, “processes” en “tools”. Op elke parameter kan gescoord worden van 0 (aspect niet gedefinieerd of afwezig) tot 3 (aspect gedocumenteerd en geformaliseerd). Dit model is analoog aan zogenaamde Capability Maturity modellen, het geeft de volwassenheidsstatus op een aantal deelgebieden weer. Het hier ontwikkelde maturity model wordt meegenomen in de Europese Trusted Introducer werkgroep die “certificering” voor CERT’s als onderwerp heeft en die in 2009 tot conclusies moet komen. Stikvoort is lid van die werkgroep. Hiermee wordt zoveel mogelijk
verzekerd dat deze ontwikkeling bij SURFnet niet op zichzelf staat, maar zo mogelijk ingekaderd wordt in breder Europees verband via TERENA. In Europees verband is er wel intensieve samenwerking op het gebied van incident management (CERT) maar nog niet op andere vlakken van informatiebeveiliging. Hiervoor spant de Europese Unie zich wel in via haar agentschap ENISA. ENISA stimuleert ook CERT ontwikkelingen, o.a. in samenwerking met de Trusted Introducer.
De 4 aspecten van informatiebeveiliging De volwassenheid van informatiebeveiliging is gemeten met het 4 aspecten model van Moens. Het model kijkt naar 4 deelaspecten van informatiebeveiliging, waarbij van ieder aspect de mate van volwassenheid bepaald kan worden, volgens de capability maturity methodiek. Het model kan zowel gebruikt worden om te meten (hoe staat mijn organisatie er voor?) als om te sturen (op welk aspect wil mijn organisatie zich verbeteren?) en uiteraard om te vergelijken (hoe doet mijn organisatie het ten opzichte van anderen?). De 4 aspecten in het model zijn deelgebieden van informatiebeveiliging gezien vanuit een bedrijfsmatig perspectief: Reactief vermogen: Hoe goed is een organisatie in staat om te reageren op security incidenten? Dit is de “brandweer” functie binnen een organisatie. Pro-actief vermogen: Hoe goed is een organisatie in staat om security incidenten te voorkomen? Dit is de “brandpreventie” functie. Continuïteit: Hoe goed is een organisatie is staat om te herstellen na een kleine of grote calamiteit? Integraal: In welke mate is informatiebeveiliging breed in alle bedrijfsprocessen geïntegreerd? Reactief vermogen blijft van belang ook al is het pro-actief vermogen groot. Er zal altijd wel een incident doorglippen, hoe goed de preventie ook is, en juist dan is een goed reactief vermogen van belang. Het integrale aspect geeft een beeld van de mate waarin informatiebeveiliging meer is dan alleen een ICT aangelegenheid en waar ook aan de businesskant taken en verantwoordelijkheden worden belegd. Onder het model ligt een meetmethode gebaseerd op de Code voor Informatiebeveiliging, ISO 27002. Middels een wegingcoëfficiënt draagt ieder criterium van de Code in enige mate bij aan een van de 4 aspecten. De mate van bijdrage is afgestemd op de branche Hoger Onderwijs en is vastgesteld door de werkgroep Maturity van SURFibo. De gebruikte meetmethode biedt de mogelijkheid in te zoomen op de resultaten van een instelling en de score per hoofdstuk van de Code voor Informatiebeveiliging te bekijken. Hierdoor wordt inzichtelijk waar mogelijk pijnpunten en verbeterpunten liggen. Zowel de 4 aspecten benadering als de benadering naar hoofdstukken van de Code zijn gebruikt in rapportage en de adviezen aan de instellingen.
Resultaten 2008 De drie type metingen zijn in 2008 afzonderlijk uitgevoerd. Sommige instellingen hebben aan alle drie de metingen deelgenomen, sommige slechts aan een enkele. De meetmethodes, de terminologie en de interpretatie van de resultaten zijn in het verslagjaar maar beperkt op elkaar afgestemd. De resultaten van de metingen worden hier dan ook als afzonderlijke resultaten gepresenteerd, wel worden er gezamenlijke conclusies gepresenteerd.
Identity Management In 2008 zijn 27 instellingen uit de doelgroep van SURF en SURFnet bezocht in het kader van de ‘maturity scan’ Identity Management. De scores van deze instellingen is in afbeelding 1 weergegeven met een uitsplitsing naar type instelling (Universiteit, HBO, onderzoeksinstelling) in de afbeeldingen 2a tot en met 2c.
De conclusie die hieruit getrokken mag worden is dat ongeveer 50% van de bezochte universiteiten, en een hoger percentage van de overige instellingen, op basis van hun maturity-niveau (ad hoc of focused) verbeteringen dienen aan te brengen om Identity Management op orde te brengen. De instellingen die ad hoc scoren hebben vaak nog geen Identity Management ingericht. Ze hebben wel een zogenaamde enterprise directory met alle accounts, maar de kwaliteit daarvan is niet duidelijk.
1. Aantal Instelling naar Fase
De meeste instellingen die het maturity-level focused hebben, scoren niet hoger, omdat ze de Identity Management processen onvoldoende hebben beschreven. Ze hebben vaak de uitgangspunten voor Identity Management wel beschreven in een beleid of soortgelijk document, maar zijn niet goed in staat de operationele situatie - na de eerste implementatie - daaraan te toetsen. De universiteiten zijn zich bewust van dit probleem. In een aantal gevallen is men van plan om de processen in Archimate te beschrijven en bij te houden.
2a: Universiteiten
. 2b: HBO's
. 2c: Onderzoek
In de meting is een belangrijk aspect van Identity Management beperkt meegenomen:
rolgebaseerde toegang. Vooraf was namelijk bekend dat de rollen die de instellingen gebruiken voor het verlenen van toegang vrijwel uitsluitend gebaseerd zijn op functies en organisatie-onderdelen die uit de bronsystemen worden verkregen. Daarmee is een soort ‘globale’ rolgebaseerde toegang mogelijk. Echter, meer verfijnde toegangsregels zijn meestal gebaseerd op zogenaamde ‘business rollen’. Deze rollen hebben betrekking op de taken en werkprocessen die personen uitvoeren (beheerder e-mailsysteem, lid van de faculteitsraad, decentrale HR manager, etc.). Geen van de bezochte hoger onderwijsinstellingen gebruikt dergelijke rollen al. Er bleek echter wel veel belangstelling voor, omdat ze cruciaal zijn voor goed bestuur (governance) en compliance (wetgeving).
Security Incident Management Bij tien instellingen is de meting uitgevoerd. Hierbij is voorselectie gebruikt – er is alleen gemeten bij instellingen met een reeds bestaande CERT functie. Waar nog geen CERT is wordt immers al het stimuleringsinstrument van CVPO en PACT gehanteerd, zodat een maturity meting in dat stadium eerder “overkill” leek. Van de tien instellingen zijn er zeven universiteiten, één hogeschool, één medisch centrum en één “overig”. Een vergelijking tussen sectoren heeft hier dus geen zin. Kijken we nu naar de resultaten voor de vier deelgebieden. We blijven de Engelse termen hier hanteren, omdat het model internationaal volop in ontwikkeling is en vertalingen daar (nog) niet in passen. Deelgebied A: “organisation” : vanwege de toegepaste voorselectie is het niet vreemd dat de score zo hoog is – gemiddeld 2,6 . De spreiding is gering – de organisatorische factoren zijn bijna overal goed beschreven, alleen nog niet altijd geformaliseerd. Uit de détailrapportage blijkt dat met name service (level) beschrijvingen nog achterblijven. Een verifieerbaar controle/audit proces is bovendien vrijwel overal afwezig – dit geldt ook voor de drie deelgebieden hieronder. SIM "Organisation" Maturity (average) maturity score (0..3) 0 .0 Zkh-1 H S-1 U ni-1 client
U ni-2 U ni-3 U ni-4 U ni-5 U ni-6 U ni-7
O vg-1 A vg
1 .0
2 .0
3 .0
Deelgebied B: “human resources” : duidelijk een nog achterblijvend gebied, met een gemiddelde score van 1,6. Uit de détails blijkt dat “resilience" gelukkig wel hoog scoort – de CERT’s hangen niet van één of twee individuen af. Maar gedragscodes en opleidingen zijn meestal óf niet óf indirect geregeld. SIM "Human resources" Maturity (average) maturity score (0..3) 0.0
1.0
2.0
3.0
Zkh-1 HS-1 Uni-1 Uni-2
client
Uni-3 Uni-4 Uni-5 Uni-6 Uni-7 Ovg-1 Avg
Deelgebied C: “tools” : scoort met een gemiddelde van 2,2 als beste deelgebied na “organisation”. De technische achtergrond van CERT’s speelt hier een rol. Toch is er vrij veel “impliciet” geregeld, gebaseerd op de toevallige kennis van de CERT leden. Als er dan ook geen intern training proces is gedefinieerd (wat meestal zo is), dan is dat geen basis voor een stabiele situatie. Daar is nog duidelijk verbetering mogelijk. SIM "Tools" Maturity (average) maturity score (0..3) 0 Zkh-1 HS-1 Uni-1 Uni-2
client
Uni-3 Uni-4 Uni-5 Uni-6 Uni-7 Ovg-1 Avg
1
2
3
Deelgebied D: “processes”: met een gemiddelde score van 1,9 over alle metingen, komen de processen er zeker niet slecht af. Hier bestaat tussen de klanten gemiddeld weinig verschil – maar per parameter bestaat juist wel een grote spreiding. Zo zijn bijvoorbeeld escalaties naar bestuursniveau bijna overal goed geregeld – maar controle/audit/feedback processen vrijwel afwezig. Zijn die laatste niet de eenvoudigste processen - bij diverse processen valt er ook nog heel eenvoudig winst te halen. SIM "Processes" Maturity (average) maturity score (0..3) 0.0
1.0
2.0
3.0
Zkh-1 HS-1 Uni-1 Uni-2
client
Uni-3 Uni-4 Uni-5 Uni-6 Uni-7 Ovg-1 Avg
Al met al zien we dat behalve bij de organisatorische aspecten, die als regel redelijk tot goed voor elkaar zijn, er wisselvallig gescoord wordt. Dit komt vooral omdat bijna alle parameters wel “tussen de oren” zitten, maar er veelal niets voor geregeld is of over op papier staat. Er wordt bijvoorbeeld bij “tools” van uitgegaan dat de CERT leden dat “gewoon kunnen en weten” – bij “processes” is meestal weinig vastgelegd, en bij “human resources” is zeker nog ruimte voor een betere (h)erkenning van de bijzondere positie van een CERT. De metingen zelf werden als nuttig ervaren door de respondenten. De discussies spitsten zich meestal toe op die parameters waar “1” of “2” werd gescoord, en er dus verbetering mogelijk was. Vaak had men eerder niet expliciet bij deze vragen stilgestaan.
De 4 aspecten van informatiebeveiliging2 In 2008 zijn 23 instellingen gemeten aan de hand van het 4 aspecten maturity model van Moens. Uit deze metingen is geconcludeerd dat Informatiebeveiliging in het Hoger onderwijs kenmerken heeft van onvolwassenheid. Beveiliging ligt bij de meeste instellingen op het bordje van de ICT afdeling en is hoofdzakelijk gericht op ICT infrastructuurbeveiliging. Een deel van de instellingen is al wat verder en wordt gekenmerkt door het hebben van een beveiligingsfunctionaris, een beveiligingsbeleid en een herkenbare vorm van security incident respons. De universiteiten zijn gemiddeld genomen hier verder in dan de Hogescholen, bij de Hogescholen is geconstateerd dat de grootte van de instelling geen rol speelt, met uitzondering van de hele kleine instellingen, daar is weinig of geen speelruimte. Het meten en de methode van meten heeft er toe 2 Een deel van deze rapportage is ook in het blad Informatiebeveiliging gepubliceerd door Moens en van Noord, in december 2008
bijgedragen dat instellingen hernieuwd en op een andere manier naar informatiebeveiliging zijn gaan kijken. Voor de metingen zijn verschillende disciplines bij elkaar gebracht om in een workshop te discussiëren over de maturity van informatiebeveiliging bij de instelling. Deze methode werd door alle betrokkenen als positief en stimulerend ervaren. Veel instellingen hebben aangegeven de resultaten van de metingen en de daaruit voortvloeiende Hoger Onderwijs Benchmarkcijfers te gaan gebruiken om de interne besluitvorming te beïnvloeden. De volwassenheidsmetingen informatiebeveiliging zijn uitgevoerd door Fred van Noord (Verdonk, Klooster & Associates) en Alf Moens. De benchmark maakt vergelijken tussen instellingen mogelijk Vanwege het hoge percentage deelnemende instellingen zijn de bevindingen te gebruiken als benchmark. Dat betekent dat de overall resultaten het gemiddelde weerspiegelen van het niveau van informatiebeveiliging bij het Hoger Onderwijs. Tevens maken de scores van een individuele onderwijsinstelling een vergelijking mogelijk met de overall scores en/of met het niveau van het HBO of het universitair onderwijs. Het Hoger Onderwijs heeft een traditionele ICT-georiënteerde beveiligingscultuur Het gemiddelde van het gehele Hoger Onderwijs over alle aspecten en alle maatregelen is 39 %. Wat opvalt is het volgende: - de hoogste scores worden behaald op: - fysieke beveiliging (67%) - toegangsbeveiliging (54%). - De laagste scores worden behaald op - bedrijfscontinuiteit (12%) De hoge scores van fysieke beveiliging en toegangsbeveiliging verwijzen, gezamenlijk met de gemiddeld hogere scores voor beheer van bedrijfsmiddelen en beheer van communicatie en bedieningsprocessen naar een traditionele ICT georiënteerde cultuur binnen het hoger onderwijs. Dat beeld wordt versterkt door de lage scores voor beheer van informatiebeveiligingsincidenten (31%), naleving (32%), beveiligingsbeleid (32%), verwerving, ontwikkeling en onderhoud van informatiesystemen (38%) en maatregelen omtrent het personeel (36%) (deze maatregelen betreffen: rollen en verantwoordelijkheden, screening, directieverantwoordelijkheid,opleiding en training). Hoofdstukken Code voor Informatiebeveiliging 5 Beveiligingsbeleid 6 Organisatie van informatiebeveiliging 7 Beheer van bedrijfsmiddelen 8 Beveiliging van personeel 9 Fysieke beveiliging en beveiligings omgeving 10 Beheer van communicatie & bedieningsprocessen 11 Toegangsbeveiliging 12 Verwerving, ontwikkeling & onderhoud van infomatiesystemen 13 Beheer van informatiebeveiligings incidenten 14 Bedrijfscontinuïteitsbeheer 15 Naleving Gemiddeld overall
HO 32 39 43 36 67 44 54 38 31 12 32 39
Gemiddeld Univ. HBO 45 24 41 37 45 42 41 33 65 68 43 46 50 57 36 39 46 21 21 6 33 30 42
37
Gemiddelde scores per onderwerp voor het Hoger Onderwijs, universiteiten en HBO per hoofdstuk CvIB
Verschillen tussen universiteiten en HBO instellingen Gemiddeld genomen scoren universiteiten enigszins hoger dan instellingen binnen het HBO. Op een deel van de onderwerpen liggen de scores nagenoeg even hoog, soms wat hoger, soms wat lager. Significant hogere scores worden bij universiteiten gevonden ten opzichte van HBO-instellingen bij: Beheer van informatiebeveiligingsincidenten (universiteiten (46%) vs. HBO (21%) Beleid van informatiebeveiliging (universiteiten (45%) vs. HBO (24%) Bedrijfscontinuiteïtsbeheer (universiteiten (21%) vs. HBO (6%). De verschillen tussen HBO en universiteiten zijn op andere onderwerpen niet significant. Gemiddeldes HBO vs. Universiteiten
5 Beleid 70 15 naleving
60
6 Organisatie
50 40 14 continuiteit
30
7 Bedrijfsmiddelen
20 10
gem. HO
0 13 incidentbeheer
Gem. Universiteiten gem. HBO
8 Personeel
12 infosystemen
9 fysieke beveiliging
11 toegangsbeveiliging
10 bedieningsprocessen
De gemiddelde scores per onderwerp voor overall Hoger Onderwijs, universiteiten en HBO-instellingen Universiteiten gaan beter om met incidenten Uit de metingen blijkt dat het reactief vermogen bij universiteiten beter is ontwikkeld dan bij HBO-instellingen. Dat gevoegd bij de eerder gevonden verschillen tussen beheer van informatiebeveiligingsincidenten (universiteiten (46%) vs. HBO (20%) en beleid van informatiebeveiliging (universiteiten (45%) vs. HBO (25%) geeft aan dat universiteiten beter zijn voorbereid op het optreden van informatiebeveiligingsincidenten dan HBO instellingen.
Universiteiten HBO
Reactief 42 30
Gemiddelde score Proactief Continuiteit 48 41 42 33
Integraal 40 34
Gemiddelde scores per maturity aspect voor universiteiten en HBO Het is twijfelachtig of het eerder besproken verschil voor bedrijfscontinuïteitsbeheer in het voordeel voor universiteiten te noemen is, zo extreem laag zijn de scores: universiteiten (21%) en HBO (6%). De instellingen hebben weliswaar pro-actief een aantal preventieve maatregelen genomen maar bedrijfscontinuïteit is vrijwel nergens als proces ingericht. De
lage scores zijn een indicatie dat het hoger onderwijs in het algemeen slecht is voorbereid op calamiteiten die ernstige consequenties tot gevolg kunnen hebben. Naast bedrijfsmatige schade (imago, financieel) kan een calamiteit ook veel persoonlijke schade aanrichten bij afstudeerders, promovendi en individuele medewerkers. Verschillen tussen instellingen Bovenstaande situaties hebben niet op alle onderwijsinstellingen betrekking. In voorgaande paragrafen is niet aan de orde gekomen dat het niveauverschil van informatiebeveiliging bij individuele onderwijsinstellingen sterk uiteen kan lopen van 12% tot 76%. Er zijn instellingen die hun zaakjes goed op orde hebben, en er zijn er bij die nog erg veel te doen hebben om informatiebeveiliging op een acceptabel niveau te brengen. De hoogste score was 100% voor een instelling die op beleidsmatig gebied alles goed geregeld had. De laagste score was 0% voor bedrijfscontinuïteit bij een onderwijsinstelling waar helemaal niets aanwezig was ter voorbereiding op calamiteiten. Andere opvallende lage scores waren voor beheer van informatiebeveiligingsincidenten (2%), beveiligingsbeleid, Verwerving, ontwikkeling en onderhoud informatiesystemen en beveiliging van personeel (allen 6%). Ook de hoogste en laagste scores bij de vier maturity aspecten lopen sterk uiteen. Zie onderstaande tabel. Min max Reactief 10 80 Pro actief 15 81 Continu 14 83 Integraal 11 74 Laagste en hoogste score per maturity aspect. Conclusies uit de metingen De lage scores voor informatiebeveiliging in het Hoger Onderwijs kunnen als volgt verklaard worden : informatiebeveiliging is een ICT-feestje. De verantwoordelijkheid voor de ongestoorde procesgang van het onderwijs ligt daarmee teveel bij de ICT afdeling. De verantwoordelijkheden die bij de procesverantwoordelijken hoort dienen ook te zijn ingevuld; op het niveau van het College van Bestuur wordt vaak nog niet de noodzaak gevoeld om aandacht te besteden aan informatiebeveiliging; de aandacht gaat uit naar organisatorische vraagstukken als fusies en andere samenwerkingsvraagstukken, waardoor informatiebeveiliging niet voldoende aandacht krijgt; de totale hoeveelheid beschikbare middelen is te gering: als er (te) weinig geld beschikbaar is, dan kan er weinig geïnvesteerd worden. de complexiteit van de organisatie, in het bijzonder de autonomie van organisatie onderdelen, is debet aan het tempo van doorvoeren van veranderingen bij relatief kleine organisaties speelt de cultuur mee: men kent elkaar en men vertrouwt op elkaar. Bij grote organisaties overheersen vaak zakelijke aspecten. Door verschillende malen in een jaar met een meting bij een instelling aan te kloppen ontstaat verwarring, terwijl de metingen elkaar uitstekend kunnen aanvullen. Identity Management zit bij veel instellingen in een aanloopfase. Het is complexe materie waar medewerking van veel verschillende disciplines vereist is. Security Incident Management is bij de meeste instellingen wel aanwezig maar is veelal niet als apart proces onderkend en ingericht.
Het vervolg: SURFaudit Met de metingen van 2008 is aan de instellingen en aan SURF/SURFnet een krachtig instrument aangereikt om voortgang en zwakke plekken te monitoren van zowel informatiebeveiliging in de hele breedte als van specifieke aandachtspunten zoals identity management en security incident management. SURF heeft er voor gekozen de ingeslagen weg voort te zetten en aan te sturen op integratie van de metingen. De integratie resulteert in de SURFaudit en bestaat uit de meting informatiebeveiliging, op basis van het 4 aspecten model van Moens, met daaraan gekoppeld verdiepingsmetingen op speciale onderwerpen. Voor 2009 en 2010 zijn die speciale onderwerpen in elk geval identity management en security incident management. De metingen worden integraal uitgevoerd bij een instelling, dat wil zeggen dat een instelling één keer gemeten wordt maar dan op alle onderwerpen tegelijk (i.e. op dezelfde dag). De individuele metingen behouden ieder hun eigen karakter zodat de voortgang van een instelling en de voortgang van de branche vergeleken en gemonitord kan worden. De individuele metingen blijven ook los inzetbaar. SURFaudit zal in 2009 ook een referentiekader kennen. Dit kader wordt opgesteld en bewaakt door de werkgroep Maturity van SURFibo. Het doel van dit kader is om een minimum niveau van informatiebeveiliging aan te geven, dat gewenst is om op een veilige en vertrouwde manier samen te werken in het Hoger Onderwijs. Medio 2009 zal door SURF een besluit worden genomen over de wijze waarop SURFaudit zal worden aangeboden aan het hoger onderwijs en onderzoek. Deze beslissing is ondermeer afhankelijk van een pilot die in het tweede kwartaal zal worden uitgevoerd. Binnen deze pilot zal niet alleen het geïntegreerde meetinstrument in de praktijk worden getoetst, maar wordt tevens het beleidsmatige en financiële draagvlak voor SURFaudit bij de instellingen onderzocht.
Bijlage A: deelnemende instellingen metingen 2008 Universiteiten en Hogescholen
Overige Instellingen/organisaties
Erasmus Universiteit
KNAW
Radboud Universiteit
LUMC
Technische Universiteit Delft
Erasmus Medisch Centrum
Universiteit Maastricht
ISS
Rijks Universiteit Groningen
SARA
Universiteit Leiden
SURFcert
Technische Universiteit Eindhoven
Telematica
Universiteit van Tilburg Universiteit Utrecht Universiteit Twente Universiteit van Amsterdam Vrije Universiteit Wageningen Universiteit Open Universiteit ArtEZ Hogeschool voor de kunsten Avans Christelijke Hogeschool Ede Driestar Gereformeerde Hogeschool Zwolle Haagse Hogeschool Hanze Hogeschool Groningen Hogere Hotelschool Den Haag Hogeschool Utrecht Hogeschool Zuyd Inholland Noordelijke Hogeschool Leeuwarden Stenden Hogeschool Saxion Windesheim