ICT-beveiligingsassessment DigiD Uitkomsten enquête - uitgevoerd bij gemeenten en ICT-leveranciers

ICT-beveiligingsassessment DigiD Uitkomsten enquête - uitgevoerd bij gemeenten en ICT-leveranciers De onderzoeksresultaten. Met de highlights op pagina 5! 2ARC februari 2015

INHOUDSOPGAVE 1. Inleiding 3 1.1 Aanleiding 3 1.2 Opbouw en vorm enquête 3 1.3 Respons 3 2. Onderzoeksresultaten highlights 5 3. Onderzoeksresultaten per vraag 6 - Vragen deel I: U en uw organisatie 6 - Vragen deel II: Voorbereiding op het ICT-beveiligingsassessment DigiD 10 - Vragen deel III: Uitvoering van het ICT-beveiligingsassessment DigiD 18 4. Nadere analyse van de antwoorden 45 Reacties respondenten 53 Enquête ICT-beveiligingsassessment DigiD pagina 2

1. INLEIDING 1.1 Aanleiding In 2013 hebben de meeste gemeenten en hun ICT-leveranciers voor het eerst het ICT-beveiligingsassessment DigiD doorlopen. Welke ervaringen zijn daarbij opgedaan? Hoeveel tijd en geld is besteed, wat ging goed en wat kon beter? Om daar zicht op te krijgen zijn gemeenten en ICT-leveranciers in 2014 met een digitale enquête ondervraagd. 1.2 Opbouw en vorm enquête De enquête, bestaande uit gesloten en open vragen, telt in totaal 35 vragen. De opbouw van de vragenlijst: - deel I vragen over de respondent en zijn/haar organisatie (vragen 1 t/m 3) - deel II vragen over de wijze van voorbereiding op het assessment (vragen 4 t/m 9) - deel III vragen over de uitvoeringswijze van het assessment (vragen 10 t/m 35) Qua vorm is gekozen voor een digitale enquête. De uitnodiging voor de enquête is via e-mail naar de doelgroepen verspreid; de enquête zelf kon online worden ingevuld. Om respondenten de gelegenheid te geven om overige opmerkingen en reacties te plaatsen, is op elke pagina van de enquête een vrij veld ingebouwd. 1.3 Respons De enquête is uitgezet onder 405 organisaties, als volgt verdeeld: - 370 gemeenten; - 35 ICT-leveranciers. Verspreiding van de enquête en dataverzameling heeft plaatsgevonden in de 2 e helft van 2014. De enquête is volledig ingevuld door 65 organisaties, een respons van 16%. Om eventuele beïnvloeding van de resultaten te voorkomen, zijn gemeenten en ICT-organisaties waar 2ARC in 2013/2014 opdracht had tot het uitvoeren van het ICT-beveiligingsassessment DigiD, uitgesloten van deelname. In totaal zijn 105 respondenten begonnen zijn met het invullen van de enquête, maar 40 daarvan hebben deze niet afgerond. Enquête ICT-beveiligingsassessment DigiD pagina 3

Showstoppers waren met name vragen over gemaakte kosten en bestede tijd. Volgens de instructies bij de enquête mochten respondenten desgewenst vragen overslaan. Ook kon de gehele enquête worden doorgezonden naar een collega. Maar de praktijk wees uit dat veel respondenten bij bepaalde vragen de enquête staakten en deze niet verder afrondden. Data uit nietafgeronde enquêtes zijn niet meegenomen in het onderzoek. Enquête ICT-beveiligingsassessment DigiD pagina 4

2. ONDERZOEKSRESULTATEN HIGHLIGHTS Vraag 7. Meeste organisaties (55%) besteedden 40 tot 80 uur aan voorbereiding op het assessment. Vraag 10. Het meest gescoorde antwoord op de vraag hoeveel dagen de auditor op locatie was: 1-2 dagen. Vraag 15. Bij ruim een kwart heeft afstemming van het auditrapport geleid tot aanpassing van het oordeel. Vraag 33. Geen eenduidig beeld over de communicatie door Logius: - ca. 1/3 (geheel) tevreden - ca. 1/3 neutraal - ca. 1/4 (geheel) ontevreden Vraag 31. Ruim 50% ziet veel overlap tussen de verschillende normenkaders, zoals naast DigiD-audit, SUWIen BAG-audit. Vraag 25. Meerderheid vindt dat het beveiligingsassessment een toegevoegde waarde had. Vraag 24. Aantal gedeclareerde uren door auditor (top-3): 38% -> 17-40 uur 22% -> 09-16 uur 15% -> 41-80 uur Vraag 19. Top 3-uitkomst van discussie met auditor over oordeel: 1. advies auditor gevolgd (40%) 2. auditor overtuigd (20%) 3. compromis gesloten (17%) Vraag 21. Goede meerderheid (ca. 70%) is tevreden tot zeer tevreden over uitkomst assessment; 10% is (zeer) ontevreden. Vraag 22. ca. 70% van de organisaties scoorde alle normen voldoende. ca. 30% van de organisaties scoorde één of meer normen onvoldoende. Enquête ICT-beveiligingsassessment DigiD pagina 5

3. ONDERZOEKSRESULTATEN PER VRAAG Deel I U en uw organisatie Dit deel bevat vragen over de respondent en de organisatie waarvoor wordt gewerkt. Enquête ICT-beveiligingsassessment DigiD pagina 6

12; 18% 2; 3% 5; 8% 1. Wat is uw functie? 4; 6% informatiebeveiligingsfunctionaris manager 25; 39% beleidsmedewerker IT-beheerder Bevindingen vraag 1 Het grootste deel van de respondenten heeft de functie van informatiebeveiligingsfunctionaris (39%). De functies die daarna het meeste voorkomen zijn die van manager (26%) en beleidsmedewerker (18%). Dit betekent dat de vragenlijst vooral is ingevuld door personen met een niet-technische functie. webmaster 17; 26% overig Enquête ICT-beveiligingsassessment DigiD pagina 7

2. Bij welk type organisatie werkt u? 2; 3% 1; 2% 4; 6% Houder van DigiD-aansluiting Bevindingen vraag 2 Verreweg het grootste deel van de respondenten is houder van een DigiD-aansluiting (89%). Het resterend deel van de respondenten (samen 11%) werkt of bij een software-ontwikkelaar, of als webhoster of als aanbieder van een SaaSoplossing. 58; 89% Bedrijf dat software ontwikkelt Webhoster Aanbieder van een SaaSoplossing Enquête ICT-beveiligingsassessment DigiD pagina 8

3. Hoeveel medewerkers telt uw organisatie? Score per groottecategorie 52 Bevindingen vraag 3 Het overgrote deel van de respondenten, 80%, is werkzaam in een organisatie met een personele omvang van 50-500 medewerkers. Kleine organisaties met minder dan 10 medewerkers waren niet in het onderzoek vertegenwoordigd. 0 5 8 0-10 medewerkers 10-50 medewerkers 50-500 medewerkers meer dan 500 medewerkers Enquête ICT-beveiligingsassessment DigiD pagina 9

Deel II Voorbereiding op het ICTbeveiligingsassessment DigiD Dit deel bevat vragen over de wijze waarop de organisatie zich heeft voorbereid op het ICT-beveiligingsassessment DigiD. Enquête ICT-beveiligingsassessment DigiD pagina 10

4. Op welke wijze heeft uw organisatie zich voorbereid op het ICTbeveiligingsassessment DigiD? Bevindingen vraag 4 Bijna 100% van de respondenten geeft aan zich via één of meerdere wijzen te hebben voorbereid op het ICT-beveiligingsassessment DigiD. 15; 16% 1; 1% niet Wanneer we de uitkomsten in totaal bezien, dan blijkt dat organisaties zich met name hebben voorbereid door te werken met een interne projectgroep (45%). interne projectgroep 41; 45% externe ondersteuning door commerciële partij 35; 38% gebruik van het ondersteuningsaanbod KING en de producten van Logius Enquête ICT-beveiligingsassessment DigiD pagina 11

4; 6% 3; 5% 5; 8% 11; 17% 1; 1% 4a. (Gecombineerde) wijzen van voorbereiding, per respondent 21; 32% niet interne projectgroep externe ondersteuning door commerciële partij gebruik van het ondersteuningsaanbod KING en de producten van Logius Bevindingen vraag 4 (vervolg) Als we verder inzoomen op die organisaties die zich via meerdere wijzen hebben voorbereid, dan is dit merendeels gedaan door te werken met een interne projectgroep en een externe commerciële partij (11 respondenten, 17%). Een klein aantal, 4 respondenten, heeft zich voorbereid via én een interne projectgroep én een extern, commercieel bureau én door gebruik te maken van het aanbod en de producten van KING en Logius. 4; 6% 16; 25% interne projectgroep + externe ondersteuning door commerciële partij interne projectgroep + gebruik van het ondersteuningsaanbod KING en de producten van Logius externe ondersteuning door commerciële partij + gebruik van het ondersteuningsaanbod KING en de producten van Logius interne projectgroep + externe ondersteuning door commerciële partij + gebruik van het ondersteuningsaanbod KING en de producten van Logius Enquête ICT-beveiligingsassessment DigiD pagina 12

50 45 40 35 30 25 20 15 5. Stelling: mijn organisatie heeft haar zaken over het algemeen goed voor elkaar. 46 Bevindingen vraag 5 Toelichting stelling: hiermee wordt bedoeld dat processen op een goede manier uitgevoerd en bewaakt worden; eventuele fouten worden tijdig herkend en correct afgehandeld. Een zeer grote meerderheid van 83% is van mening dat zijn of haar organisatie de zaken op orde heeft. Slechts 5% is hiermee oneens. 10 8 8 5 0 geheel eens eens neutraal oneens geheel oneens 3 0 Enquête ICT-beveiligingsassessment DigiD pagina 13

30 25 20 15 6. Wat is uw mening over de kwaliteit van het normenkader dat voor het ICTbeveiligingsassessment DigiD is gehanteerd? 27 25 Bevindingen vraag 6 Toelichting: Onder het normenkader verstaan wij de 28 normen van Logius waartegen de IT-auditor de werkelijke situatie bij uw organisatie getoetst heeft, niet de richtlijnen van het Nationaal Cyber Security Centrum (NSCS) of de handreiking van de NOREA. De meerderheid (53%) is positief over de kwaliteit van het normenkader:. 11% antwoordt met goed. 42% antwoordt met overwegend goed. 38% beoordeelt de kwaliteit met neutraal. 4% vindt de kwaliteit overwegend slecht of slecht. 10 7 5 0 goed overwegend goed neutraal 2 overwegend slecht 1 slecht 3 geen mening Enquête ICT-beveiligingsassessment DigiD pagina 14

40 35 7. Hoeveel tijd heeft uw organisatie aan de voorbereiding besteed? 36 Bevindingen vraag 7 Een meerderheid met 55% geeft aan 40 tot 80 uur aan de voorbereiding te hebben besteed. 30 25 20 15 10 11 18 5 0 minder dan 40 uur 40-80 uur meer dan 80 uur Enquête ICT-beveiligingsassessment DigiD pagina 15

45 40 35 30 25 20 15 10 5 0 8. Stelling: bij de start van het ICTbeveiligingsassessment DigiD beschikte mijn organisatie over voldoende kennis en ervaring om webapplicaties op een veilige manier te ontwikkelen en te beheren dan wel om dit aan andere partijen uit te besteden. 7 39 12 geheel eens eens neutraal oneens geheel oneens 6 0 Bevindingen vraag 8 Een ruime meerderheid van 72% onderschrijft deze stelling in positieve zin (opgebouwd uit 11% met geheel eens en 61% met eens), daarmee aangevend over voldoende ontwikkel- en beheer kennis en -ervaring van webapplicaties te beschikken bij de start van het assessment. Op ruime afstand daarvan zegt 19% neutraal te staan tegenover de stelling. Een kleine groep, met 9%, is oneens met de stelling. Enquête ICT-beveiligingsassessment DigiD pagina 16

40 35 30 25 20 15 10 5 0 9. Stelling: bij externe onderzoeken (audits, Rekenkamer) scoort mijn organisatie hoog. 7 35 18 geheel eens eens neutraal oneens geheel oneens 4 0 Bevindingen vraag 9 Toelichting: Met een hoge score wordt bedoeld dat externe onderzoeken tot een positief oordeel leiden, dat er weinig bevindingen naar voren komen en dat het aantal aanbevelingen beperkt is. Een meerderheid van 66% is het eens of geheel eens met de stelling en vindt dat de eigen organisatie goed beoordeeld wordt in externe onderzoeken. Ruim een kwart (28%) geeft als antwoord neutraal. Een klein percentage, 4%, is het oneens met de stelling. Enquête ICT-beveiligingsassessment DigiD pagina 17

Deel III: Uitvoering van het ICTbeveiligingsassessment DigiD Dit deel bevat vragen over de wijze waarop het ICT-beveiligingsassessment DigiD is uitgevoerd. Enquête ICT-beveiligingsassessment DigiD pagina 18

50 45 40 35 30 25 20 15 10 5 0 10. Hoeveel dagen is de auditor bij u op locatie geweest? 8 0 dagen: de auditor is niet op locatie geweest 46 11 1-2 dagen 2-5 dagen 6-10 dagen 0 Bevindingen vraag 10 Toelichting: Bij deze vraag gaat het om de tijd die een auditor daadwerkelijk bij uw organisatie aanwezig was. Verschillende afspraken van minder dan een hele dag mag u bij elkaar optellen en de som afronden naar boven. Het zwaartepunt (71%) van het aantal dagen dat de auditor op locatie is geweest, ligt op 1 tot 2 dagen. Opvallend is dat in 12% van de gevallen de auditor in het geheel niet bij de organisatie aanwezig is geweest. Enquête ICT-beveiligingsassessment DigiD pagina 19

11. Welke functionarissen zijn binnen uw organisatie bij het ICT-beveiligingsassessment DigiD betrokken geweest? 9; 5% Interne auditor Bevindingen vraag 11 Het blijkt dat de informatiebeveiligingscoördinator (met 29%) en de IT-Beheerder (met 27%) de functionarissen zijn die het meest betrokken zijn geweest bij het ICT-beveiligingsassessment DigiD. Hoewel IT-beheerders dus wel veel betrokken zijn geweest, hebben zij niet zelf de enquête ingevuld (vraag 1). 8; 4% 20; 10% Informatiebeveiligingscoördinator Kwaliteitsfunctionaris 53; 27% 56; 29% Directie/Management IT-Beheerder 34; 18% 13; 7% Ontwikkelaars Overig Enquête ICT-beveiligingsassessment DigiD pagina 20

12. Door welke partij heeft u de audit laten uitvoeren? 0; 0% Bevindingen vraag 12 De partij waarvan het meest gebruik gemaakt is, is een van de grote accountantskantoren (46%), snel gevolgd door een gespecialiseerd ITauditkantoor (34%). 7; 11% Interne audit Beperkt is gewerkt met één van de middelgrote accountantskantoren (9%). 22; 34% 30; 46% Een van de grote accountantskantoren Een van de middelgrote accountantskantoren Gespecialiseerd ITauditkantoor Geen enkele respondent geeft aan de audit hebben uitgevoerd met een interne auditor, terwijl deze wel op een andere manier bij het assessment betrokken is geweest (vraag 11). Een andere partij 6; 9% Enquête ICT-beveiligingsassessment DigiD pagina 21

13. Is het auditrapport of de TPM met u afgestemd alvorens het definitief is gemaakt? 1; 1,5% Bevindingen vraag 13 Ruim 80% geeft aan dat afstemming over het auditrapport heeft plaatsgevonden, alvorens het definitief vast te stellen. Opvallend is het percentage waarin geen hoor en wederhoor heeft plaatsgevonden, terwijl dat volgens de beroepsregels van IT-auditors verplicht is. 11; 16,9% Ja Nee Blanco 53; 81,5% Enquête ICT-beveiligingsassessment DigiD pagina 22

35 14. Hoe verliep de afstemming van het rapport? Bevindingen vraag 14 Veruit het grootste deel (66%) van de respondenten zegt dat de afstemming enigszins makkelijk (22%) tot makkelijk (45%) is verlopen. 30 25 20 29 Een klein kwart (22%) antwoordt met neutraal. Ruim 10% geeft aan dat het verloop van de rapportafstemming enigszins moeilijk tot moeilijk was. 15 14 14 10 5 0 Makkelijk Enigszins makkelijk Neutraal 6 Enigszins moeilijk 1 1 Moeilijk Geen antwoord Enquête ICT-beveiligingsassessment DigiD pagina 23

15. Heeft de afstemming van het rapport geleid tot aanpassing van het oordeel van een of meerdere normen? 2; 3% 11; 17% Bevindingen vraag 15 Elf respondenten (17%) geven aan dat afstemming van het rapport ertoe heeft geleid dat de auditor het oordeel van een of meerdere normen heeft aangepast. Bij 52 respondenten (80%) heeft geen oordeelaanpassing plaatsgevonden. Ja Nee Geen antwoord 52; 80% Enquête ICT-beveiligingsassessment DigiD pagina 24

25 20 15 10 5 0 16. Wat is de doorlooptijd van het gehele ICT-beveiligingsassessment DigiD bij uw organisatie geweest? 11 23 21 7 2 1 Bevindingen vraag 16 De meest voorkomende doorlooptijd van het assessment is één tot drie maanden (met 35%), direct gevolgd door een doorlooptijd van drie tot zes maanden (met 32%). Twee organisaties (3%) geven als totale doorlooptijd aan, meer dan 12 maanden bezig te zijn geweest. Enquête ICT-beveiligingsassessment DigiD pagina 25

17. Heeft de auditor nog andere normen beoordeeld naast de 28 die minimaal verplicht waren? 2; 3% Bevindingen vraag 17 Van de respondenten geven 9 organisaties (14%) aan dat, naast de 28 minimaal verplichte normen, nog andere normen beoordeeld zijn. Het grootste deel (83%) antwoordt dat alleen de 28 normen beoordeeld zijn: geen andere normen. 9; 14% Ja Nee Geen antwoord 54; 83% Enquête ICT-beveiligingsassessment DigiD pagina 26

45 40 35 30 25 20 15 10 5 0 12 18. In welke mate heeft u discussies gevoerd met de auditor? 41 11 0 1 Bevindingen vraag 18 Toelichting: Onder de term discussie verstaan we het volgende. Een discussie gaat over een bepaald onderwerp, waarover aanvankelijk verschillen van inzicht tussen direct betrokkenen bestaan. Het onderwerp is voor minimaal een van de partijen belangrijk. Door het uitwisselen van informatie en argumenten worden deze aanvankelijke verschillen opgelost, zodanig dat alle direct betrokkenen zich erin kunnen vinden. Een grote meerderheid (63%) geeft aan dat zij weinig discussies hebben gevoerd met de auditor. 18% heeft helemaal niet gediscussieerd. Elf respondenten (17%) antwoorden dat zij veel discussies hebben gevoerd met de auditor. Geen enkele maal geeft een respondent aan dat er sprake was van een conflict en escalatie. Enquête ICT-beveiligingsassessment DigiD pagina 27

0; 0% 19. Als u terugdenkt aan het belangrijkste discussiepunt met de auditor. Hoe is dat afgelopen? 3; 5% 11; 17% 10; 15% 2; 3% 26; 40% We hebben het advies van de auditor gevolgd. We hebben de auditor weten te overtuigen. We hebben een compromis gesloten. We zijn er niet uitgekomen. We hebben een geheel nieuwe oplossing bedacht. Bevindingen vraag 19 Over de afloop van het belangrijkste discussiepunt met de auditor is het meest gegeven antwoord (40%) dat het advies van de auditor is gevolgd. 20% van de deelnemers meldt een andere uitkomst van de discussie: zij hebben de auditor weten te overtuigen. Van de deelnemers geeft 17% aan dat een middenweg is gevonden; zij hebben een compromis gesloten. Dat betekent dat in 37% van de gevallen de auditor op enigerlei wijze water bij de wijn heeft gedaan. Opvallend is verder dat bij 5% de afloop was dat ze er niet uitgekomen zijn. 13; 20% Niet van toepassing: we hebben geen discussies met de auditor gehad. Tien respondenten (15%) geeft aan ze geen discussies met de auditor hebben gehad. Enquête ICT-beveiligingsassessment DigiD pagina 28

20. Over welke onderwerpen heeft u discussies met de auditor gevoerd? 10; 12% 3; 3% Interpretatie van de normen Oordeel of bewoordingen in het auditrapport Bevindingen vraag 20 Duidelijk is dat, met 49%, het meest is gediscussieerd over de interpretatie van de normen. Uit de reacties kan opgemaakt worden dat respondenten de norm onduidelijk en voor meerdere uitleg vatbaar vinden. Toch heeft ongeveer 90% aangeven neutraal of positief tegenover het normenkader te staan (vraag 6). 4; 5% Communicatie 5; 6% 7; 8% 43; 49% Planning van de audit, inclusief reikwijdte (scope) Doorlooptijd en kosten van de audit 15; 17% Niet van toepassing: we hebben geen discussies met de auditor gehad. Geen antwoord Enquête ICT-beveiligingsassessment DigiD pagina 29

21. Stelling: ik ben tevreden over de uitkomst van het ICTbeveiligingsassessment DigiD. In hoeverre bent u het met deze stelling eens? Bevindingen vraag 21 Een meerderheid van de deelnemers is (zeer) tevreden over de uitkomst van het assessment. Op de stelling reageert 52% met mee eens en 17% met volledig mee eens; samengevoegd dus een ruime meerderheid van 69%. 40 35 34 20% staat neutraal ten opzichte van de stelling. 30 25 20 15 10 5 0 11 13 5 1 1 Negen procent is (zeer) ontevreden over de uitkomst van het assessment. Enquête ICT-beveiligingsassessment DigiD pagina 30

50 45 40 35 30 25 20 15 10 5 0 22. Wat was het oordeel van de auditor? 44 9 6 2 1 1 2 Bevindingen vraag 22 Een goedkeuring van alle normen vond plaats bij 68% van de respondenten. Bij ruim een kwart van de deelnemers (29%) heeft de auditor één of meer normen afgekeurd. Enquête ICT-beveiligingsassessment DigiD pagina 31

23. Heeft uw organisatie de TPM of het auditrapport voor 31 december 2013 opgeleverd? Bevindingen vraag 23 Met 79% geeft het grootste deel van de respondenten aan de TPM of het auditrapport tijdig te hebben opgeleverd. 12; 18% 2; 3% Ja Bijna eenvijfde heeft niet gerapporteerd voor 31 december 2013. Dit is een opvallende uitkomst, aangezien de minister in zijn brief van 9 juli 2014 aan de Tweede Kamer meldt dat de meeste organisaties aan hun verplichting hebben voldaan en dat aan enkele organisaties uitstel is verleend. Nee Geen antwoord 51; 79% Enquête ICT-beveiligingsassessment DigiD pagina 32

30 25 20 24. Hoeveel uren heeft de auditor bij uw organisatie gedeclareerd voor de audit? 25 Bevindingen vraag 24 Bij de meeste organisaties heeft de auditor minder dan een week gedeclareerd. De top-down classificatie van meest gegeven antwoorden: - 17-40 uur 38% 15 14-9-16 uur 22% 10 9 10-41-80 uur 15% 5 0 1 1 5-0-8 uur 14% - 81-120 uur 2% > 121 uur 2% Enquête ICT-beveiligingsassessment DigiD pagina 33

35 30 25. Stelling: het ICT-beveiligingsassessment DigiD heeft voor mij geen enkele toegevoegde waarde gehad. 32 Bevindingen vraag 25 Een meerderheid van de deelnemers is (geheel) oneens met de stelling dat het assessment geen enkele toevoegde waarde had. Met oneens reageert 49% en met geheel oneens reageert 5%; samengevoegd dus 54%. Dit is consistent met de antwoorden op vragen 21, 27 en 29. 25 20 17 Ruim een kwart (26%) staat neutraal ten opzichte van de stelling. 15 10 8 Op de stelling antwoordt 15% met mee eens of volledig mee eens. 5 3 2 3 0 Enquête ICT-beveiligingsassessment DigiD pagina 34

26. Welke zaken zou u voor het ICTbeveiligingsassessment DigiD 2014 anders aanpakken? 5; 6% 6; 8% 9; 12% 9; 12% 3; 4% 20; 26% 26; 33% Niets, ik ben tevreden hoe het ICTbeveiligingsassessment DigiD in 2013 is uitgevoerd. Eerder met de voorbereiding beginnen. Betere samenwerking en afstemming met ketenpartners. Meer gebruik maken van het ondersteuningsaanbod van KING. Externe ondersteuning inschakelen. Nieuwe auditor selecteren. Geen antwoord. Bevindingen vraag 26 Toelichting: deelnemers konden meerdere alsook unieke antwoorden geven. Het meest gegeven antwoord (33%) is dat men niets wil veranderen; deze respondenten zijn tevreden met de wijze waarop het ICTbeveiligingsassessment DigiD in 2013 is uitgevoerd. Omgekeerd betekent dit dat twee derde wel zaken anders zou aanpakken, ondanks dat respondenten bij meerdere vragen aangeven tevreden te zijn met afgelopen assessment. Opmerkelijk is dat in 6% van de gevallen de wens bestaat om een nieuwe auditor te selecteren. Het beeld van de wijzigingsideeën voor 2014, in top-down classificatie van meest gescoorde antwoorden: - eerder met voorbereiding beginnen 26% - betere samenwerking/afstemming 12% ketenpartners - meer gebruikmaken ondersteunings- 12% aanbod KING - externe ondersteuning inschakelen 8% - nieuwe auditor selecteren 6% Enquête ICT-beveiligingsassessment DigiD pagina 35

40 35 30 27. Stelling: ik ben tevreden over de wijze waarop de auditor het onderzoek heeft uitgevoerd. 36 Bevindingen vraag 27 Bijna drie kwart is tevreden over de wijze waarop de auditor het onderzoek heeft uitgevoerd. Het antwoord mee eens krijgt 55% van de stemmen en het antwoord volledig mee eens krijgt 17%; samengevoegd 72%. 14% beantwoordt de stelling met neutraal. 25 20 Op de stelling reageert 11% met oneens. 15 10 11 9 7 5 0 0 2 Enquête ICT-beveiligingsassessment DigiD pagina 36

30 25 20 15 10 5 0 28. Hoe hoog waren de kosten van het ICTbeveiligingsassessment voor uw organisatie? Indien de kosten werden verdeeld over meerdere organisaties, geef dan uitsluitend uw aandeel aan. 1 9 13 27 13 2 Bevindingen vraag 28 Uit de grafiek kan worden afgeleid dat de meeste organisaties ongeveer tussen de 5000 en 10.000 euro kwijt zijn geweest aan het assessment. Enquête ICT-beveiligingsassessment DigiD pagina 37

30 25 20 15 29. Stelling: de uitkomst van het ICTbeveiligingsassessment DigiD voldoet aan de verwachtingen die ik eerst had. 26 22 Bevindingen vraag 29 Ruim de helft zegt dat zij (volledig) eens zijn met de stelling (mee eens scoort 40%; volledig mee eens scoort 12%, samen 52%): voor hen was de uitkomst van het assessment geen verrassing. Ruim een derde (34%) reageert neutraal op de stelling. Ruim 10% is (geheel) oneens. 10 5 0 8 6 1 2 Enquête ICT-beveiligingsassessment DigiD pagina 38

40 35 30 25 20 15 10 5 0 30. In hoeverre ziet u een overlap tussen de reikwijdte van de TPM voor de leverancier en die van het auditrapport voor de gebruikersorganisatie? 5 38 14 Geen overlap Weinig overlap Veel overlap Weet niet Geen antwoord 6 2 Bevindingen vraag 30 Toelichting: Bij deze vraag gaat het om mogelijk dubbel werk door de auditor doordat de reikwijdte van de TPM en die van het auditrapport elkaar overlappen, bijvoorbeeld als de gemaakte afspraken in de SLA zowel bij de leverancier als bij de gebruikersorganisatie getoetst zijn. Het grootste deel (58%) ziet weinig overlap tussen de reikwijdte van de leveranciers-tpm en het auditrapport voor de gebruikersorganisatie. Het meest gescoorde daaropvolgende antwoord (22%) is dat veel overlap wordt gezien: in die gevallen zou de auditor dubbel werk gedaan kunnen hebben. Enquête ICT-beveiligingsassessment DigiD pagina 39

40 35 30 25 20 15 10 5 0 31. Naast het ICT-beveiligingsassessment DigiD hebben organisaties te maken met andere onderzoeken, zoals de SUWI- en de BAG-audit. In hoeverre ziet u een overlap tussen de verschillende normenkaders? 1 Volledige overlap 35 Veel overlap 16 Weinig overlap 2 3 Geen overlap Niet van toepassing: mijn organisatie heeft alleen met DigiD te maken 7 Weet niet 1 Geen antwoord Bevindingen vraag 31 De meerderheid (55%) zegt veel/volledige overlap te zien tussen de verschillende normenkaders: gebruik van een eenduidig normenkader zoals de BIG (vraag 32) zou hier voordelen kunnen bieden. Ruim een kwart (28%) ziet weinig/geen overlap. Ruim 10% weet niet of er sprake is van overlap. Enquête ICT-beveiligingsassessment DigiD pagina 40

40 35 30 25 20 15 10 5 0 32. Bent u bekend met de inhoud van de Baseline Informatiebeveiliging Gemeenten (BIG)? 34 Ja, ik heb kennis genomen van de baseline en de uitwerking daarvan. 15 Ja, ik ben bekend met de hoofdlijnen van de BIG. 13 Nee, ik heb er van gehoord, maar ben niet bekend met de inhoud. 2 Nee, nooit van gehoord. 0 1 De BIG is op Geen antwoord mijn organisatie niet van toepassing. Bevindingen vraag 32 De communicatie rondom de BIG kan als effectief worden bestempeld, aangezien vrijwel alle respondenten op enigerlei wijze hiermee bekend zijn. Meer dan de helft (52%) heeft kennis genomen van de BIG en de inhoudelijke uitwerking daarvan. De daaropvolgende grootste groep (23%) is bekend met de hoofdlijnen van de BIG. Een vijfde deel heeft wel van de BIG gehoord, maar is niet bekend met de inhoud. Slechts twee respondenten zeggen nog nooit van de BIG te hebben gehoord. Enquête ICT-beveiligingsassessment DigiD pagina 41

25 20 15 10 33. Hoe tevreden bent u over de communicatie van Logius over de ICTbeveiligingsassessments DigiD? 21 23 12 Bevindingen vraag 33 De tevredenheid over de communicatie vann Logius laat een wisselend beeld zien, met ongeveer even grote groepen die tevreden, neutraal of ontevreden zijn: - 37% is tevreden tot geheel tevreden; - 35% is neutraal; - 25% is ontevreden tot geheel ontevreden. 5 3 4 2 0 Enquête ICT-beveiligingsassessment DigiD pagina 42

34. Bent u voornemens om de Baseline Informatiebeveiliging Gemeenten (BIG) binnen uw organisatie te hanteren? 2; 3% 1; 2% Bevindingen vraag 34 Een grote meerderheid, 75%, zegt voornemens te zijn om de BIG binnen hun organisatie te hanteren. 17% zegt dit nog niet te weten. 3% geeft aan de BIG niet te gaan hanteren. 2; 3% 11; 17% 49; 75% Ja Nee Weet niet Niet van toepassing Geen antwoord Enquête ICT-beveiligingsassessment DigiD pagina 43

25 20 15 10 35. Hoe tevreden bent u over het ondersteuningsaanbod van KING op het gebied van de ICT-beveiligingsassessment DigiD? 22 23 13 Bevindingen vraag 35 De vraag over de mate van tevredenheid over het ondersteuningsaanbod van KING geeft het volgende beeld: - 39% is tevreden tot geheel tevreden; - 35% is neutraal; - 3% is ontevreden tot geheel ontevreden. Daarnaast antwoordt 20% geen gebruik te hebben gemaakt van het KING-aanbod. 5 0 3 1 1 2 Enquête ICT-beveiligingsassessment DigiD pagina 44

4. NADERE ANALYSE VAN DE ANTWOORDEN In het vorige hoofdstuk zijn de antwoorden op de afzonderlijke vragen gepresenteerd. In dit hoofdstuk wordt onderzocht of er een verband tussen de verschillende soorten organisaties bestaat in de beantwoording van de vragen. We maken onderscheid naar de volgende soorten organisaties: 1. Gemeenten versus leveranciers 2. Grote versus kleine omvang 3. Hoge versus lage mate van interne beheersing 4. Weinig versus veel voorbereiding 5. Audit uitgevoerd door een groot accountantskantoor versus een andere partij In dit document zijn uitsluitend resultaten opgenomen indien er statistisch significante verschillen tussen verschillende typen organisaties zijn geconstateerd. Significant wil zeggen dat de p- waarde bij de Chikwadraattoets lager is dan 0,05, oftewel dat de kans dat de uitkomst op toeval berust kleiner is dan 5%. Bij de opsplitsing in verschillende soorten organisaties ontstaan groepen met slechts een klein aantal respondenten. Dit bemoeilijkt de generaliseerbaarheid van de resultaten en is een beperking van het onderzoek. Daarom is telkens Monte Carlosimulatie met 2000 herhalingen toegepast om betrouwbare resultaten te verkrijgen. Desalniettemin moeten de uitkomsten van de analyse met voorzichtigheid worden betracht. Telkens is gekeken of de organisaties verschillen of overeenkomen op de onderstaande punten: de doorlooptijd van de audit het aantal dagen dat de auditor op locatie is geweest hoeveel normen zijn afgekeurd het aantal audituren de hoogte van de auditkosten de tevredenheid over de uitkomst de tevredenheid over het proces de mate waarin de audit aan de verwachtingen voldoet het al dan niet behalen van de deadline Enquête ICT-beveiligingsassessment DigiD pagina 45

Gemeenten versus leveranciers In totaal hebben 58 gemeenten en 7 leveranciers meegedaan aan onze enquête. Over het algemeen hebben beide groepen dezelfde antwoorden op de vragen gegeven, met uitzondering van de verwachtingen die zij aan de uitkomst van het assessment hadden. Verwachtingen De verwachtingen zijn gemeten met stelling 29: de uitkomst van het ICT-beveiligingsassessment DigiD voldoet aan de verwachtingen die ik eerst had. In onderstaande tabel zijn de reacties op deze stelling weergegeven, uitgesplitst naar gemeenten en leveranciers. Organisatie Gemeenten Leveranciers Eens 57% 28% Neutraal 34% 44% Oneens 9% 28% Totaal 100% 100% 60% 50% 40% 30% 20% 10% 0% Eens Neutraal Oneens Gemeenten Leveranciers Uit de tabel en de grafiek blijkt dat gemeenten het relatief meer eens zijn met de stelling (57% versus 28%) en leveranciers meer oneens (28% versus 9%). Een verklaring zou kunnen zijn dat gemeenten meer ervaring hebben met audits, zoals voor de SUWI en de BAG, terwijl leveranciers voor het eerst met een extern onderzoek te maken hebben gehad. Tabel 1: Type organisatie versus verwachtingen Enquête ICT-beveiligingsassessment DigiD pagina 46

Grote versus kleine organisaties De 65 organisaties in de steekproef kunnen ook verdeeld worden naar het aantal medewerkers. Het grootste deel telt tussen de 50 en 500 medewerkers (52). Vijf organisaties hebben tussen de 10 en 50 medewerkers, terwijl bij 8 organisaties meer dan 500 personen werkzaam zijn. Net zoals bij het onderscheid tussen gemeenten en leveranciers geldt dat grote en kleine organisaties op dezelfde manier de vragen beantwoord hebben, met uitzondering van de verwachtingen. Verwachtingen Op stelling 29 (de uitkomst van het ICT-beveiligingsassessment DigiD voldoet aan de verwachtingen die ik eerst had) hebben 63 organisaties gereageerd. Onderstaande tabel bevat de reacties op deze stelling, uitgesplitst naar de omvang van de organisatie. Organisatie Klein Middelgroot Groot Eens 20% 53% 14% Neutraal 60% 35% 86% Oneens 20% 2% 0% 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Klein Middelgroot Groot Eens Neutraal Oneens Uit de tabel en de grafiek kan worden opgemaakt dat de audit minder aan verwachtingen van kleine dan van grote organisaties voldoet. Een mogelijke verklaring is ook hier dat grote organisaties vermoedelijk meer ervaring met eerdere audits hebben dan kleine instellingen. Totaal 100% 100% 100% Tabel 2: Omvang organisatie versus verwachtingen aan audit Enquête ICT-beveiligingsassessment DigiD pagina 47

Goede versus slechte interne beheersing In de enquête zijn drie vragen opgenomen over het niveau van interne beheersing bij de organisatie. In het algemeen kan gesteld worden dat de mate waarin een organisatie haar zaken voor elkaar heeft, geen invloed heeft gehad op de uitkomst of het verloop van het ICT-beveiligingsassessment DigiD. Een uitzondering is de relatie tussen stelling 9 en het aantal normen dat is afgekeurd. Stelling 9 luidt: bij externe onderzoeken (audits, Rekenkamer) scoort mijn organisatie hoog. Aangenomen is dat sprake is van een hoge mate van interne beheersing, indien respondenten aangeven het eens te zijn met de stelling. Omgekeerd geldt dat een afwijzende reactie op de stelling gerelateerd is aan een lage mate van interne beheersing. Aantal normen afgekeurd Van de 63 reacties op deze stelling waren 42 het ermee eens, 4 oneens en 17 stonden er neutraal tegenover. In onderstaande tabel zijn de reacties op deze stelling weergegeven, uitgesplitst naar het niveau van interne beheersing. Interne beheersing Hoog Midden Laag 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Hoog Midden Laag Alle normen goedgekeurd Een of meerdere normen afgekeurd Uit de uitsplitsing van de reacties kan worden opgemaakt dat naarmate het niveau van interne beheersing hoger is (gemeten met het oordeel van externe onderzoeken), organisaties beter scoren bij het ICT-beveiligingsassessment DigiD. Alle normen goedgekeurd 79% 59% 25% Een of meerdere normen afgekeurd 21% 41% 75% Totaal 100% 100% 100% Tabel 3: Interne beheersing versus aantal normen afgekeurd Enquête ICT-beveiligingsassessment DigiD pagina 48

Aantal uren voorbereiding Organisaties kunnen ook verdeeld worden op basis van de tijd die zij hebben besteed om zich voor te bereiden op het assessment. Uit de 65 antwoorden op de desbetreffende vraag kan worden opgemaakt dat 11 organisaties minder dan 40 uur aan voorbereiding hebben besteed, 36 organisaties tussen de 40 en 80 uur en 18 organisaties meer dan 80 uur. Uit ons onderzoek blijkt dat meer voorbereiding niet resulteert een betere uitkomst van de audit of in andere kenmerken van het assessment. De tijd die aan voorbereiding is besteed is wel van invloed op de totale doorlooptijd. Doorlooptijd In totaal hebben 64 organisaties antwoord gegeven op de vraag hoelang de doorlooptijd van het assessment heeft geduurd: bij 34 organisaties was dat minder dan drie maanden, bij 30 organisaties duurde het langer. In onderstaande tabel is een uitsplitsing van de antwoorden naar doorlooptijd en uren voorbereiding opgenomen. Voorbereiding <40 uur 40-80 uur >80 uur < 3 maanden 73% 54% 39% > 3 maanden 27% 46% 61% 80% 70% 60% 50% 40% 30% 20% 10% 0% <40 uur 40-80 uur >80 uur < 3 maanden > 3 maanden Geconcludeerd wordt dat hoe meer tijd organisaties zich voorbereiden op het assessment, hoe langer de totale doorlooptijd. Een goede voorbereiding leidt kennelijk niet tot een efficiënter verloop van de rest van de activiteiten. Een verklaring zou kunnen zijn dat deze organisaties aan het begin van het traject nog niet klaar waren voor het assessment en daarmee veel tijd hebben besteed om hun zaken op orde te krijgen. Totaal 100% 100% 100% Tabel 4: Aantal uren voorbereiding versus doorlooptijd Enquête ICT-beveiligingsassessment DigiD pagina 49

Tevredenheid over Logius De tevredenheid over Logius laat een wisselend beeld zien. Van de 64 respondenten die op stelling 33 gereageerd hebben, zijn er 24 tevreden, 24 neutraal en 16 ontevreden. Tussen de tevredenheid over Logius en het verloop en uitkomst van het assessment is geen relatie vastgesteld, met uitzondering van de verwachtingen die partijen vooraf hadden. Verwachtingen Op de stelling, of de uitkomst van het ICTbeveiligingsassessment DigiD aan de verwachtingen voldeed, hebben 63 organisaties gereageerd: 34 waren het hiermee eens, 7 oneens en 22 stonden neutraal tegenover deze stelling. Onderstaande tabel bevat de reacties op deze stelling, uitgesplitst naar de tevredenheid over Logius. Mening over Logius Tevreden Neutraal Ontevreden Audit voldoet aan verwachtingen 48% 32% 14% Neutraal 28% 55% 14% 80% 70% 60% 50% 40% 30% 20% 10% 0% Tevreden Neutraal Ontevreden Audit voldoet aan verwachtingen Neutraal Audit voldoet niet aan verwachtingen Tevredenheid over Logius gaat kennelijk gepaard met het voldoen aan verwachtingen die respondenten aan de uitkomst van het assessment hadden. Een logische verklaring voor dit verband hebben wij niet gevonden. Audit voldoet niet aan verwachtingen 24% 13% 72% Totaal 100% 100% 100% Tabel 5: Tevredenheid over Logius versus verwachtingen aan audit Enquête ICT-beveiligingsassessment DigiD pagina 50

Grote accountantskantoren versus andere auditorganisaties Tot slot zijn de antwoorden geanalyseerd van organisaties die de audit door een groot accountantskantoor (Deloitte, EY, KPMG of PWC) hebben laten uitvoeren of door een andere partij. Van de 65 respondenten hebben er 30 een groot accountantskantoor ingehuurd en 35 een andere auditorganisatie. Behalve op doorlooptijd en aantal dagen op locatie zijn er geen verschillen tussen auditors geconstateerd. Doorlooptijd In totaal hebben 64 organisaties antwoord gegeven op de vraag welke doorlooptijd van het assessment heeft gekend: bij 34 organisaties was dat minder dan drie maanden, bij 30 organisaties duurde het langer. In onderstaande tabel is een uitsplitsing van de antwoorden naar doorlooptijd en auditorganisatie opgenomen. Auditorganisatie Groot kantoor Andere partij < 3 maanden 43% 62% > 3 maanden 57% 38% Totaal 100% 100% Tabel 6: Auditorganisatie versus doorlooptijd 70% 60% 50% 40% 30% 20% 10% 0% Groot kantoor Onze conclusie luidt dat audits uitgevoerd door een groot accountantskantoor langer duren dan die door een andere partij. Een langere doorlooptijd kan verklaard worden door de interne kwaliteitsprocedures bij de grote kantoren. Dagen op locatie Andere partij < 3 maanden > 3 maanden Van de 65 respondenten heeft het merendeel (46) aangeven dat de auditor tussen de 1 en 2 dagen op locatie is geweest. In elf gevallen is de auditor tussen de 2 en 5 ter plaatse geweest en bij 8 organisaties heeft de auditor de organisatie niet bezocht. Onderstaande tabel bevat een uitsplitsing van deze antwoorden naar auditorganisatie: Enquête ICT-beveiligingsassessment DigiD pagina 51

Auditor Groot kantoor Andere partij 0 dagen 3% 20% controleklant geweest, terwijl bij de andere partijen dit meer evenwichtig verdeeld is. 1-2 dagen 87% 57% 2-5 dagen 10% 23% Totaal 100% 100% Tabel 7: Auditorganisatie versus aantal dagen op locatie 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 0 dagen 1-2 dagen 2-5 dagen Groot kantoor Andere partij Het aantal dagen op locatie verschilt tussen de grote accountantskantoren en de rest: grote accountantskantoren zijn vrijwel niet nul dagen of meer dan twee dagen bij de Enquête ICT-beveiligingsassessment DigiD pagina 52

Reacties - respondenten Dit deel bevat inhoudelijke opmerkingen die door respondenten zijn gemaakt. Enquête ICT-beveiligingsassessment DigiD pagina 53

Reacties t.a.v. de kwaliteit van het normenkader ICT-beveiligingsassessment DigiD Ik vond een groot deel van de normen zodanig opgesteld dat er moeilijk uit was op te maken welke maatregelen er nu precies genomen moesten zijn om er aan te voldoen. Ook waren er normen op meerdere manieren te interpreteren. De interpretatie van de normen blijkt na navraag bij collega's ver uiteen te lopen bij de verschillende auditors. Zelfs daar waar de werkelijke situatie identiek was waren de uitkomsten van de audit erg verschillend. Sommige normen zijn voor meerdere uitleg vatbaar. Dit maakt het behalen van die normen niet eenvoudiger. Verder zijn er enige "normen" geweest, waarvan wij het praktische nut hebben betwijfeld, maar omdat het genoemd werd uiteindelijk wel uitgevoerd. Reacties t.a.v. de audit ICT-beveiligingsassessment DigiD Onze, en die van collega gemeenten, grootste frustratie is dat er een grote willekeur bestaat in de manier van auditen. Er zijn gemeenten die door partij A geaudit worden en zeer verbaasd zijn dat zij "slagen", terwijl andere gemeenten, die hun zaakjes wel voor elkaar hebben en ook door partij A geaudit worden, telkens niet door de audit heen komen. Op deze manier heeft de audit totaal geen waarde en is het wederom een papieren tijger. Wij hebben het idee dat er in Nederland verschillend geaudit is en dat sommige auditors waaronder die van ons veel te strikt de normen hebben gehanteerd en die Logius streng hebben gehanteerd waardoor op kleinigheden een heraudit vereist was. Enquête ICT-beveiligingsassessment DigiD pagina 54

Wanneer de auditor geen verder onderzoek verricht naar een TPM, heb ik weinig overlap ervaren. Echter onder het principe van Professional Judgement wilde de auditor eigen onderzoek doen naar de TPM. Ervaren de ICT-beveiligingsassessment op een aantal punten als overkill of papieren tijger wat een leverancier veel tijd kost om maar aan alle punten te kunnen voldoen. Reacties t.a.v. Logius Ik vind dat Logius wat steken heeft laten vallen. Er is op tijd een auditrapport ingeleverd en dan krijgen we een simpel briefje waarin geknipt en geplakt is uit het auditrapport en wordt er zonder overleg deadlines gesteld wanneer een en ander opgelost moet zijn. Hierbij zijn wij ook nog eens afhankelijk van een derde partij (hosting). Het is op ons overgekomen alsof Logius zich enorm verslikt heeft in de hoeveelheid en dat ze zich er gemakkelijk vanaf willen maken en niet serieus hebben gekeken naar de auditrapporten. Gemeenten moeten er veel geld voor betalen en dat is gewoon een verplichting en dan mag Logius wel iets meer het idee geven dat ze het zelf ook serieus nemen. Communicatie van Logius was beneden de maat. Wat raar was dat je wel uitstel kan vragen bij Logius, maar die niet krijgt. Enquête ICT-beveiligingsassessment DigiD pagina 55

Enquête ICT-beveiligingsassessment DigiD Contact en informatie drs. Wout Schiphorst RE onderzoekscoördinator / senior auditor e-mail: w.schiphorst@2arc.eu M: +31 6 30 884 744 drs. Klaas Piet Meindertsma RE CISA managing director e-mail: kp.meindertsma@2arc.eu M: +31 6 53 319 942 2ARC l Audit, Risk & Consultancy Postbus 2541 1200 CM Hilversum T: +31 35 52 33 856 F: +31 35 62 49 894 www.2arc.eu Enquête ICT-beveiligingsassessment DigiD pagina 56