INFORMATIEBEVEILIGING

Transcriptie

1 december 2008 nummer 8 ISAE 3402 volgt SAS 70 op: een vergelijking Met 4 aspecten model op weg naar volwassenheid IB Nieuw: Bacheloropleiding Information Security Management Marten Lohstroh wint Joop Bautz Information Security Award 2008 INFORMATIEBEVEILIGING Kaminsky Kwetsbaarheid, wat kunt u eraan doen? IB indd :33:06

2 Informatiebeveiliging heeft in het Hoger Onderwijs kenmerken van onvolwassenheid Auteurs: Alf Moens en Fred van Noord > Alf Moens is security manager van de Technische Universiteit Delft, zelfstandig security consultant en voorzitter van de stuurgroep van SURF-IBO. Fred van Noord is management consultant informatiebeveiliging bij Verdonck, Klooster & Associates. Alf en Fred hebben de workshops maturity informatiebeveiliging geleid bij de HO instellingen. Zij zijn te bereiken op respectievelijk De informatiebeveiligers van instellingen voor Hoger Onderwijs bundelen hun krachten in een Community-of-Practice: SURF-IBO. De nadruk ligt hierbij op het delen van kennis en ervaring, onder meer door het onderling uitwisselen van ervaringen en policies en door gezamenlijk onderzoek naar verbeteringen. In dat kader is in 2008 bij twintig instellingen de volwassenheid van informatiebeveiliging gemeten. In 2007 heeft SURF-IBO met een drietal masterclasses de informatiebeveiligers van het Hoger Onderwijs getraind in strategische aspecten van het vakgebied met als kernvraagstuk: Hoe krijg ik (meer) aandacht van het College van Bestuur? In deze masterclasses hebben de deelnemers voor het eerst kennisgemaakt met het meten van volwassenheid van informatiebeveiliging. Het hiervoor gebruikte model, het 4 aspecten model, biedt de mogelijkheid om op verschillende niveaus inzicht te verwerven in de stand van zaken bij een organisatie. Op bestuurlijk niveau kan aan de hand van de vier aspecten getoond worden waar de instelling staat ten opzichte van andere collega-instellingen. Ook biedt het de mogelijkheid om de resultaten van uitgevoerde verbeterprojecten aan te tonen en kan er een rechtvaardiging voor noodzakelijke budgetten mee worden aangetoond. Omgeving Tot het Hoger Onderwijs in Nederland behoren veertien universiteiten en 41 hogescholen. In de laatste jaren is het aantal hogescholen afgenomen door fusies. Hierdoor zijn grote instituten ontstaan met vestigingen in meerdere steden; scholen als Inholland en Fontys zijn op deze wijze ontstaan. Daarnaast wordt er tussen universiteiten en vervolg op pagina 10>>

3 Informatiebeveiliging heeft in het HO kenmerken van onvolwassenheid hogescholen steeds intensiever samengewerkt hetgeen onder meer tot bestuurlijke fusies heeft geleid: Universiteit van Amsterdam met de Hogeschool van Amsterdam en de Vrije Universiteit met Hogeschool Windesheim. Universiteiten in Nederland zijn alle vrij grote organisaties met tussen de duizend en vijfduizend medewerkers. Hogescholen verschillen wat meer in grootte, van honderdvijftig tot zo n vijfduizend medewerkers. Studentaantallen verschillen uiteraard ook van vijfhonderd leerlingen voor de kleinste hogeschool tot dertigduizend bij de grootste. Hogescholen kennen over het algemeen sterk gecentraliseerde ondersteunende diensten zoals facilitair management en ICT, dit ook bij scholen met meerdere vestigingen. Bij een aantal universiteiten is er weliswaar een centrale ICT-dienst, maar ook hebben faculteiten eigen ICT-voorzieningen en eigen personeel op dit gebied. Een trend is echter, zowel bij hogescholen als bij universiteiten, dat ICT-dienstverlening geconcentreerd wordt in shared service centers. Outsourcing van ICT-dienstverlening komt maar weinig voor. Bij ruim de helft van de HO-instellingen is een informatiebeveiligingsfunctie ingevuld en is hier ten minste deeltijd een functionaris voor aangesteld. Bij een minderheid van de instellingen is dit op corporate niveau ingevuld, bij de meeste is de functie in één of andere vorm bij de ICT-afdeling ondergebracht. De informatiebeveiligers van het Hoger Onderwijs werken al meer dan vijf jaar samen in een community-of-practice, SURF-IBO. Onderwijs en onderzoek stellen steeds hogere eisen aan de ICT-infrastructuur, zowel qua transportsnelheden als qua opslagmogelijkheden. Men moet op eenvoudige wijze nationaal en internationaal kunnen samenwerken: de voorzieningen, zowel infrastructuur als data, moeten altijd toegankelijk zijn. Any time, any place, any device is het adagium waarbij de grenzen van de organisatie in rap tempo vervagen. Vele verschillende samenwerkingsvormen, zowel in organisatorische zin als onderwijskundig, vragen om het uitwisselen en beschikbaar stellen van informatie. Met federatief identity management (SURFnet Federatie) wordt hiervoor een basis gelegd. Deze ontwikkelingen en de noodzaak van de instellingen om aan te tonen dat men controle heeft over informatiestromen dragen er toe bij dat er op een degelijke wijze aandacht besteed wordt aan informatiebeveiliging. SURF heeft dit als koepelorganisatie onderkend en informatiebeveiliging en identity management in 2008 tot een van de speerpunten van beleid gemaakt. Om inzicht te krijgen in de stand van zaken met betrekking tot informatiebeveiliging is bij acht universiteiten en twaalf hbo-instellingen de volwassenheid van informatiebeveiliging gemeten. De resultaten van de universiteiten en hbo-instellingen hebben tezamen geleid tot de benchmark informatiebeveiliging 2008, waarmee de instellingen hun eigen volwassenheid kunnen vergelijken. SURF- IBO heeft het 4-aspecten maturity model van Moens als methode gekozen om de volwassenheid te meten en te vergelijken. De onder het model liggende meet- en rekenmethode zijn afgestemd op de specifieke situatie van het Hoger Onderwijs door een werkgroep van SURF-IBO. Het doel van de metingen was meerledig: SURF wil inzicht krijgen in de zwakke plekken om hier de ondersteuning van de HO- instellingen beter op af te kunnen stemmen; Instellingen willen inzicht krijgen in hun eigen situatie en dit afzetten tegen de andere instellingen. Assessment Voor de uitvoering van de assessments bestond voorkeur voor een aanpak waarbij de verantwoordelijkheid van de onderwijsinstelling over het eigen ontwikkelingsproces gestimuleerd zou worden. En het was met name van belang dat de sessies niet het karakter zouden krijgen van een beoordeling of audit door SURF-IBO. Als werkvorm is gekozen voor een aanpak (co-assessment) die deelnemers stimuleert bij het verbeteren van het kennis- en vaardigheidniveau voor informatiebeveiliging. Co-assessment wordt gezien als een leerproces waarbij deelnemers elkaar ontmoeten om doelstellingen en standaarden te verduidelijken. De dialoog staat hierbij centraal. De self-assessment sessies werden begeleid door een ervaren vakgenoot met kennis van het vakgebied. De workshops Deelnemers aan de metingen hadden uiteenlopende functies, zoals hoofd ICT (centraal en lokaal), adviseurs informatiebeveiliging, ICT architect, manager Unix beheer, controller, hoofd ondersteunende diensten, informatiemanager, kwaliteitsadviseur, adviseur infrastructuur, coördinator serverbeheer, systeem- en netwerkbeheerder, projectleider, et cetera. Het aantal deelnemers per groep varieerde van twee tot zes deelnemers. Bij de start van de workshop werd benadrukt dat het er niet om ging om een goede indruk te maken en dat de instelling niet beoordeeld werd, maar dat het van belang was dat men tot een score zou komen waar men zelf waarde aan kon blijven hechten. De informatie moest zo betrouwbaar mogelijk zijn, waardoor effecten van eventuele acties voor verbetering in de toekomst zouden moeten leiden tot hogere scores bij een nieuwe meting. In de week voorafgaand aan de workshop maakten deelnemers individueel, op basis van een checklist, een onafhankelijke inschatting van het geïmplementeerde niveau van de maatregelen. Deze scores vormden de input voor de gezamenlijke sessie met collega s. Tijdens de workshop werd in groepsverband gezamenlijk de score voor de onderwijsinstelling bepaald. Bij ongelijke individuele oordelen werden de verschillen besproken. De scores werden direct ingevuld en doorberekend in een spreadsheet. Aan het einde van de workshop werden de resultaten besproken. Onder meer werd besproken wat met de resultaten in de eigen instelling gedaan zou kunnen worden. Onder de deelnemers waren er die er ronduit voor uitkwamen dat ze hoopten hun kennis over de Code voor Informatiebeveiliging bij te spijkeren gedurende de bijeenkomst. Ook waren er sessies die soms leken op werkbesprekingen: deelnemers die elkaar probeerden te overtuigen van het feitelijke niveau en meer dan eens waren er voornemens voor verbeteracties. De benchmark maakt vergelijken tussen instellingen mogelijk Dankzij het hoge percentage deelnemende 10 Informatiebeveiliging december 2008 IB indd :27:05

4 De hoge scores op fysieke beveiliging en toegangsbeveiliging verwijzen, gezamenlijk met de gemiddeld hogere scores voor beheer van bedrijfsmiddelen en beheer van communicatie en bedieningsprocessen naar een traditionele ICT-georiënteerde cultuur binnen het hoger onderwijs. Dat beeld wordt versterkt door de lage scores voor beheer van informatiebeveiligingsincidenten (31 procent), naleving (32 procent), beveiligingsbeleid (32 procent), verwerving, ontwikke- Gemiddeld HO Univ. HBO 5 Beveiligingsbeleid Organisatie van informatiebeveiliging Beheer van bedrijfsmiddelen Beveiliging van personeel Fysieke beveiliging en beveiligings omgeving Beheer van communicatie & bedieningsprocessen Toegangsbeveiliging Verwerving, ontwikkeling & onderhoud van infomatiesystemen Beheer van informatiebeveiligings incidenten Bedrijfscontinuiteitsbeheer Naleving Gemiddeld overall Gemidddelde scores per onderwerp voor het Hoger Onderwijs, universiteiten en hbo instellingen zijn de bevindingen te gebruiken als benchmark. Dat betekent dat de overall resultaten het gemiddelde weerspiegelen van het niveau van informatiebeveiliging binnen het Hoger Onderwijs. Tevens maken de scores van een individuele onderwijsinstelling ling en onderhoud van informatiesystemen (38 procent) en maatregelen omtrent het personeel (36 procent) (deze maatregelen betreffen: rollen en verantwoordelijkheden, screening, directieverantwoordelijkheid,oplei ding en training). een vergelijking mogelijk met de overall scores en/of met het niveau van het hbo- of het universitair onderwijs. Verschillen tussen universiteiten en hbo-instellingen Gemiddeld genomen scoren universiteiten Uit de vergelijking van de eigen onderwijsinstelling met het benchmarkgemiddelde van de andere onderwijsinstellingen kan men conclusies trekken ten opzichte van de sector Hoger Onderwijs. enigszins hoger dan hbo-instellingen. Op alle onderwerpen liggen de scores nagenoeg even hoog, soms wat hoger, soms wat lager. Significant hogere scores worden bij universiteiten gevonden ten opzichte van hbo-instellingen op het gebied van: Het Hoger Onderwijs heeft een traditionele ICT-georiënteerde beveiligingscultuur Voor een toelichting op het 4 aspecten model zie het artikel van Alf Moens in dit blad vanaf pagina 7. Het gemiddelde van het gehele Hoger Onderwijs over alle aspecten en alle maatregelen Beheer van informatiebeveiligingsincidenten (universiteiten (46 procent) vs. hbo (21 procent) Beleid van informatiebeveiliging (universiteiten (45 procent) vs. hbo (24 procent) Bedrijfscontinuïteitsbeheer (universiteiten (21 procent) vs. hbo (6 procent). is 39 procent. Wat opvalt is het volgende: *de hoogste scores worden behaald op: fysieke beveiliging (67 procent) De verschillen tussen hbo en universiteiten zijn op andere onderwerpen niet significant. toegangsbeveiliging (54 procent). De geringe achterstand van hbo-instellingen ten opzichte van universiteiten wordt deels verklaard uit de aandacht die organisatorische vraagstukken als grootschalige fusies de laatste jaren met name van het hbo hebben gevraagd. Universiteiten gaan beter om met incidenten Uit de metingen blijkt dat het reactief vermogen bij universiteiten beter is ontwikkeld dan bij hbo-instellingen. Dat gevoegd bij de eerder gevonden verschillen tussen beheer van informatiebeveiligingsincidenten (universiteiten (46 procent) vs. hbo (20 procent) en beleid van informatiebeveiliging (universiteiten (45 procent) vs. hbo (25 procent) geeft aan dat universiteiten beter zijn voorbereid op het optreden van informatiebeveiligingsincidenten dan hbo-instellingen. Gemiddelde score Reactief Proactief Continuiteit Integraal Universiteiten HBO Gemiddelde scores per maturity aspect voor universiteiten en hbo Het is twijfelachtig of het eerder besproken verschil voor bedrijfscontinuïteitsbeheer in het voordeel van universiteiten te benoemen is, zo extreem laag zijn de scores: universiteiten (21 procent) en hbo (6 procent). De lage scores zijn een indicatie dat het hoger onderwijs in het algemeen slecht is voorbereid op calamiteiten die ernstige consequenties tot gevolg kunnen hebben. Voorlopig wordt dat door de praktijk bevestigd, door bekende ernstige gevallen zoals: de brand bij Bouwkunde van de TU Delft *De laagste scores worden behaald op bedrijfscontinuïteit (12 procent) De gemiddelde scores per onderwerp voor overall Hoger Onderwijs, universiteiten en hbo-instellingen Informatiebeveiliging december IB indd :27:07

5 Informatiebeveiliging heeft in het HO kenmerken van onvolwassenheid (veroorzaakt door een koffieautomaat) de brand in het computercentrum van de TU Twente (aangestoken door een verbolgen medewerker) het hacken van netwerken van universiteiten in Nederland en andere West-Europese landen, Amerika en Rusland om illegaal films, muziek en software te verspreiden. Het zijn voorbeelden van calamiteiten die het onderwijs (vertraging in het onderwijs, verloren gegane informatie over studiecijfers, verloren gegaan onderwijsmateriaal) en onderzoek (onderzoeksgegevens van jaren, mock-ups) danwel de bedrijfsvoering ernstig hebben verstoord. Naast bedrijfsmatige schade (imago, financieel) heeft het ook veel persoonlijke schade veroorzaakt bij afstudeerders, promovendi en individuele medewerkers. Verschillen tussen instellingen Bovenstaande situaties hebben niet op alle onderwijsinstellingen betrekking. In voorgaande paragrafen is niet aan de orde gekomen dat het niveauverschil van informatiebeveiliging bij individuele onderwijsinstellingen sterk uiteen kan lopen van 12 procent tot 76 procent. Er zijn instellingen die hun zaakjes goed op orde hebben en er zijn er die nog erg veel te doen hebben om informatiebeveiliging op een acceptabel niveau te brengen. De hoogste score was honderd procent voor een instelling die op beleidsmatig gebied alles goed geregeld had. De laagste score was nul procent voor bedrijfscontinuïteit bij een onderwijsinstelling waar helemaal niets aanwezig was ter voorbereiding op calamiteiten. Andere opvallende lage scores waren voor beheer van informatiebeveiligingsincidenten (2 procent), beveiligingsbeleid, verwerving, ontwikkeling en onderhoud informatiesystemen en beveiliging van personeel (alle 6 procent). Ook de hoogste en laagste scores op de vier maturity aspecten kunnen sterk uiteenlopen. Zie onderstaande tabel. min max Reactief Pro actief Continu Integraal Laagste en hoogste score per maturity aspect Conclusies Er kan een aantal verklaringen zijn voor de lage scores voor informatiebeveiliging in het hoger onderwijs: informatiebeveiliging is een ICT-feestje. De verantwoordelijkheid voor de ongestoorde procesgang van het onderwijs ligt daarmee te veel bij de ICT-afdeling. De verantwoordelijkheden die bij de procesverantwoordelijken horen dienen ook te zijn ingevuld; op het niveau van het College van Bestuur wordt vaak niet de noodzaak gevoeld om aandacht te besteden aan informatiebeveiliging; de aandacht gaat uit naar organisatorische vraagstukken als fusies en andere samenwerkingsvraagstukken, waardoor informatiebeveiliging niet voldoende aandacht krijgt; de totale hoeveelheid beschikbare middelen is te gering: als er (te) weinig geld beschikbaar is, dan kan er weinig geïnvesteerd worden; de complexiteit van de organisatie, in het bijzonder de autonomie van organisatie onderdelen; bij relatief kleine organisaties speelt de cultuur mee: men kent elkaar en men vertrouwt op elkaar. Bij grote organisaties overheersen vaak zakelijke aspecten. Het Hoger Onderwijs heeft de laatste jaren twee grote calamiteiten gekend met primair alleen materiële schade: het uitbranden van het computercentrum van de Universiteit Twente in 2002 en het afbranden van de faculteit Bouwkunde in Delft in Uiteraard was er ook veel persoonlijk leed door verlies van persoonlijke spullen, eigen werk en verlies van een vertrouwde omgeving. Bij de brand in Twente gingen delen van de studentenadministratie in rook op en ongeveer vijfhonderd studenten en personeelsleden konden dagenlang niet meer werken. Medewerkers van de afdeling Filosofie van Wetenschap en Techniek raakten door de brand jaren aan onderzoeksgegevens kwijt. De totale schade is geschat op veertig tot vijftig miljoen euro. De bestuurders liggen echter niet echt wakker van dit soort calamiteiten en de mogelijke gevolgen hiervan. Men neemt dit mee in het langetermijndenken. Nu, zo n vijf à zes jaar na Twente, zie je dat een aantal instellingen een tweede datacentrum gerealiseerd heeft, of daar plannen voor heeft. De brand van Twente speelt daarin mee, maar is niet de primaire driver. Waar bestuurders het meest bevreesd voor zijn, zijn calamiteiten met persoonlijke ongevallen, zeker wanneer de instelling op een of andere manier aangesproken zou kunnen worden op verantwoordelijkheid. Hoewel informatiebeveiliging qua onderwerp aan belangstelling wint, is het nog niet echt een issue aan de bestuurstafel. Verbetering van het niveau van informatiebeveiliging kan verkregen worden door de organisatie ervan meer te formaliseren en zichtbaar en herkenbaar te maken in de organisatie. Dit zal toenemend van belang zijn door de steeds verdergaande samenwerking binnen het Hoger Onderwijs, zowel organisatorisch (Studielink en dergelijke) als onderwijstechnisch. Vervolg Zowel de HO instellingen als SURF willen deze metingen voortzetten om ook de ontwikkelingen per instelling en in de branche te kunnen monitoren. SURF en SURF-IBO gaan de ondersteuning op beleidsgebied versterken onder meer door praktische handreikingen te geven, met stappenplannen, voorbeelden afgeleid van de Best Practices en een jaarlijkse prioriteitenlijst, een top 5 van risico s. De trends uit de metingen worden omgezet in pasklare handreikingen om verbeteringen aan te brengen. De branchebrede aanpak van security awareness is hier al een voorbeeld van, aanpak van beleidsvorming en continuïteitsbeheer zullen in 2009 volgen. Veel van de deelnemende instellingen willen de metingen jaarlijks uitvoeren om zicht te krijgen en te houden op hun eigen ontwikkeling. SURF zal stimuleren dat nog meer instellingen deel gaan nemen aan de metingen. De meetmethode zal worden aangescherpt waarbij met name aansluiting met twee andere metingen beoogd wordt, metingen op het gebied van identity management, als onderdeel van het aansluiten op de Surfnet Federatie, en metingen van de volwassenheid van security incident management, beide uitgevoerd onder regie van SURFnet. Voor 2009 staat op het programma om deze metingen zodanig op elkaar aan te laten sluiten dat de resultaten integraal gepresenteerd kunnen worden. 12 Informatiebeveiliging december 2008 IB indd :27:11