WAYF (Where Are You From) satser på at blive den første tjeneste fra DeiC, der bliver certificeret efter den internationale sikkerhedsstandard ISO 27001. Arbejdet med at indføre standarden foregår i et tæt samarbejde med NORDUnet, som leverer drift til WAYF.
Ved hjælp af WAYF får studerende og ansatte på uddannelsesinstitutioner adgang til webtjenester ved at logge ind på deres institution. Så WAYF behandler personfølsomme oplysninger om brugeres identitet og de tjenester, de bruger.
”Staten stiller krav om, at statslige institutioner siden januar 2014 har skullet følge ISO 27001. Det er et krav til vores kunder på universiteterne og andre uddannelsesinstitutioner. Derfor kan vi forvente, at de kræver, at vi som underleverandør også lever op til kravene,” siger David Simonsen, der er chef for WAYF.
ISO 27001 er en international standard, der opstiller rammen for krav og kontroller til styring af informationssikkerheden. Standarden siger ikke, hvordan en organisation skal sikre sig. I stedet stiller den krav om, hvilke områder organisationen skal tage stilling til. Endvidere indeholder standarden en liste over 114 kontroller og foranstaltninger, som en organisation kan bruge til konkret at sikre, at mål bliver overholdt.
”Vores mål er en certificering, men i første omgang skal vi blot efterleve kravene i standarden. Da vi gik i gang med at se på det, blev det hurtigt klart, at vi måtte stille krav til NORDUnet som vores driftsleverandør,” fortæller David Simonsen.
David Simonsen:
Vores mål er en certificering, men i første omgang skal vi blot efterleve kravene i standarden.
Resultatet blev, at de to organisationer gik sammen om opgaven. Foruden WAYF arbejder DeiC også på at indføre DS/ISO 27001 andre steder i organisationen.
Jævnlige møder
Hver anden uge mødes David Simonsen med Jacob Asbæk Wolf, der er sikkerhedsansvarlig hos NORDUnet. Inden mødet har de skrevet tekster, der beskriver, hvordan de vil overholde de enkelte krav i standarden.
”På mødet gennemgår vi sætning for sætning, hvad vi har skrevet. Det gode ved ISO-standarden er, at den forærer os hele strukturen for vores sikkerhedspolitik,” siger Jacob Wolf.
Mødet varer to-tre timer. De to tager udgangspunkt i standardens 114 forslag til foranstaltninger.
”Vi har taget dem fra en ende af. Men vi har også besluttet, at hvis man efter 20 minutter ikke er kommet videre med et punkt, går man videre til det næste. Så må en anden tage sig af det besværlige punkt senere,” siger David Simonsen.
Hvad er omfattet?
En af de første opgaver gik ud på at fastlægge scope for projektet. Det betyder, at de skulle afklare, hvilke informationsaktiver der skal være omfattet.
”Vi begyndte med at sige, at det skulle være WAYF’s produktionsmaskiner. Men så indvendte Jacob, at et system næsten altid har været i udvikling og test, før det går i produktion. Så måske skulle vi også tage testsystemerne med,” siger David Simonsen.
”For os handler scope om at sige, at nøjagtig disse servere, databaser, kabler og diske er omfattet af vores ISO-system,” siger Jacob Wolf.
Diskussionen endte med, at scope blev selve den tjeneste at logge ind via WAYF og de systemer, tjenesten trækker på.
Jacob Wolf:
Sikkerhed er ikke et produkt, man køber og installerer, det er en løbende proces.
Alle er involveret
Foruden de to er resten af WAYF’s organisation også aktivt involveret i arbejdet. Alle de fire medarbejdere har været på kursus i standarden og har bestået prøven, så de kan kalde sig lead implementer. Og alle skriver med på sikkerhedspolitikken.
”Det er en stor fordel. Nu taler vi samme sprog, når vi taler om sikkerhed. Det har også givet et nyt perspektiv på det, vi laver – nu hører jeg teknikere bruge udtryk som ”forretningsproces” – det gjorde de ikke tidligere,” bemærker David Simonsen.
Jacob Wolf supplerer med, at det som regel kræver lidt tilvænning for folk, der er vant til at arbejde med teknik, at lære at tænke i processer.
”Der er et kursus i ISO 27001 en god hjælp,” siger han.
Meget kan genbruges
WAYF og NORDUnet har ikke skullet begynde helt fra bunden. Ofte findes der allerede dokumentation af de elementer, som standarden kræver, at man tager stilling til.
De to organisationer har indgået en kontrakt om, hvad NORDUnet leverer til WAYF. ISO 27001-arbejdet tager udgangspunkt i den kontrakt.
”Processerne findes ofte i forvejen og er dokumenteret langt hen ad vejen. Når vi for eksempel allerede har en beskrivelse af vores backup-proces, skal vi ikke skrive den igen. Vi henviser bare til det relevante punkt i dokumentationen for WAYF-driften,” siger David Simonsen.
Jacob Wolf har fundet god hjælp i et andet dokument: ISO 27002. Det giver konkrete forslag til, hvordan man i praksis kan implementere de 114 foranstaltninger fra ISO 27001.
”Hvis man læser de to dokumenter, kan man få godt styr på informationssikkerheden. ISO 27002 bygger på praktiske erfaringer fra hele verden, så den er en praktisk og brugbar guide,” siger han.
Hjælp til risikovurdering
Et vigtigt element i ISO 27001 er risikovurdering. Organisationen skal identificere de kritiske informationsaktiver, den vil beskytte. Derefter skal den vurdere, hvilke risici de hver især kan være udsat for.
”Til risikovurdering har jeg fundet værktøjet Octave Allegro. Det sørger for, at man gennemgår systematiske analyser, som ender ud med forslag til konkrete aktiviteter, der kan mindske hver enkelt risiko,” siger Jacob Wolf.
Som eksempel nævner han, at et kritisk aktiv for WAYF er data om kunderne.
”Først ser vi på, hvor den her information flyder rundt. Hvilke informationscontainere rører den – det kan for eksempel være en server, et netværkskabel, en router eller en database. Hvilke trusler er der mod containerne? Og så handler det bare om at finde de kontroller, der virker mod dem. Hvis containeren er en database med WAYF's kundedata, kan truslen være et netværksangreb. Til at beskytte mod det kan man f.eks. bruge adgangskontrol og opdatering af software,” forklarer han.
Løbende forbedring
Skønt WAYF og NORDUnet samarbejder, udvikler de hver sit informationssikkerhedsstyringssystem: Et for WAYF og et for NORDUnet. På mange punkter overlapper de, men der er også forskelle.
”Vi fortsætter samarbejdet, indtil den ene af parterne får for lidt ud af det. For NORDUnet betyder samarbejdet, at alle vores øvrige kunder får glæde af det sikkerhedsarbejde, vi udfører sammen med WAYF,” siger Jacob Wolf.
Deadline for projektet er den 1. november i år. Men de to planlægger at fortsætte arbejdet derefter.
”Man taler om continuous improvement, hvor man hele tiden finpudser og tilretter. Sikkerhed er ikke et produkt, man køber og installerer, det er en løbende proces,” siger Jacob Wolf.
Hans erfaring er, at det sværeste element er forandringsledelsen:
”Når man skal ændre på måden, folk udfører deres arbejde på, skal man have gode argumenter på hånden. Hvis medarbejderne ved, at noget virker, kan det være svært at overbevise dem om, at sikkerheden nu kræver, at de gør det på en anden måde,” siger han.
Til gengæld er David Simonsen blevet positivt overrasket over, hvor meget medarbejderne har taget konceptet til sig:
”De har accepteret tankegangen. Men det har været vanskeligt at finde tid til det her arbejde midt i de daglige opgaver. Det kræver, at man rydder adskillige timer i kalenderen,” siger han.