Risikovurdering av publiseringsverktøyet Vortex

Transkript

1 Enhet for internrevisjon UNIVERSITETET I OSLO Risikovurdering av publiseringsverktøyet Vortex Distribuert til: Universitetsdirektør Kopi: Kommunikasjonsdirektør IT-direktør Gjennomført av: Rådgiver Cecilie Thorberg Seniorrådgiver Morten Opsal Revisjonssjef Sveinung Svanberg Blindern, 17. februar

2 Innhold 1. OPPDRAGET Bakgrunn for oppdraget formålet med oppdraget Framgangsmåte Definisjon av risiko Rapportens struktur VURDERINGER Prinsipielle betraktninger Status Vortex og de største risikoer Risikogjennomgang av delområdene Overordnede / generelle risikoer Risikoer Brukervennlighet Risikoer Funksjonalitet Risikoer Ytelse og stabilitet Risikoer Sikkerhet Risiko ved overgang til annet system KONKLUSJON

3 1. OPPDRAGET 1.1. Bakgrunn for oppdraget formålet med oppdraget I månedsskiftet november/desember 2011, mottok EIR en forespørsel/et ønske fra universitetsledelsen: Det er ønskelig at det foretas en risikovurdering av Vortex ift å evaluere sårbarhet knyttet til utvikling og drift av systemet. Etter innledende dialog med universitetsledelsen, Kommunikasjonsavdelingen (KA) og Vortex-gruppa i USIT ble det utarbeidet formål med oppgaven: Formålet med revisjonen er å risikovurdere Vortex som publiseringsløsning for UiO-web. Vortex har også andre funksjoner og leverer løsninger til andre nettsider enn UiO-web. Denne revisjonen avgrenses til å vurdere Vortex sin brukervennlighet funksjonalitet ytelse og stabilitet og sikkerhet for UiO-web på kort og lang sikt. Dette formålet ble akseptert av universitetsledelsen. EIR har i sin vurdering satt «lang sikt» til å være mer enn 3-5 år framover, men «kort sikt» er fram til det samme Framgangsmåte Det er gjennomført en rekke intervjuer med medarbeidere ved USIT og KA, medarbeidere som er tilknyttet IHR-prosjektet, representanter for superbrukere og nettredaktører. Videre har vi hatt telefonmøter med medarbeidere ved Universitetet i Bergen og ved NTNU for å kunne dra nytte av deres erfaringer med publiseringsløsninger. Tilgjengelig og relevant dokumentasjon er gjennomgått, og vi har fått tilsendt nyttig dokumentasjon fra såvel UiB som NTNU. Det er laget referater fra alle intervjuene. Med utgangspunkt i kartleggingen er det utarbeidet en SWOT-analyse 1 og deretter en oversikt over foreliggende risikoer, som er gruppert under de fire ovenstående kulepunktene. I tillegg til disse 4 gruppene har vi definert en femte gruppe med overordnede/generelle risikoer som gjelder alle områder. 1 SWOT-analyse, forkortet fra de 4 begrepene Strengths, Weaknesses, Opportunities og Threats 3

4 1.3. Definisjon av risiko EIR har i sitt arbeid benyttet seg av følgende definisjoner: Risiko kan defineres som "en samling av alle interne og eksterne faktorer som påvirker vår evne til å nå mål eller å oppfylle formålet." Risiko oppstår like mye fra faren for at noe fordelaktig ikke vil skje ("tapte muligheter"), som trusselen for at noe galt vil skje, eller avvik fra forventet resultat. Vi vil peke på at det ikke foreligger et målbilde for Vortex. Dette har vanskeliggjort risikoanalysen. En risikoanalyse bør alltid ta utgangspunkt i et definert mål, som er kjent og allment akseptert. I denne revisjonen er også den andre delen av definisjonen (tapte muligheter) viktig Rapportens struktur Rapporten er bygd opp med 4 hoveddeler: Prinsipielle betraktninger, som ligger utenfor mandatet, men som EIR mener har relevans i en større sammenheng. Status Vortex og de største risikoer. Nærmere om risikovurderingen av delområdene, hvor det i tillegg til de 4 områdene Brukervennlighet, funksjonalitet, ytelse og stabilitet, sikkerhet også inngår en gjennomgang av overordnede risikoer. Betraktninger rundt en evt. overgang til nytt system. Dette ligger også utenfor mandatet. 4

5 2. VURDERINGER 2.1. Prinsipielle betraktninger IHR-prosjektet har utviklet dokumentet Administrative IT-systemer med følgende anbefalinger: Etablering av et entydig definert systemeierskap Etablering av et entydig ansvars- og myndighetskart Etablering av et veikart for administrative IT-systemer Etablering av en strategisk koordineringsgruppe Etablering av en rådgivnings- og sekretariatsfunksjon I dokumentet er det også tegnet opp en modell for sammenheng mellom fagsystemansvar og fellesfunksjonsansvar. Videre er det beskrevet en kategorisering av systemer i 3 nivåer, med nivå 1 som omfatter virksomhetskritiske systemer. Verken publiseringsløsningen Vortex eller nettstedet UiO-web er definert inn i dokumentet, og vil derfor ikke bli omfattet av anbefalingene. Årsaken er at de ikke passer inn blant systemene som inngår i dokumentet og må defineres i en egen klasse. Området kan benevnes som dokumentforvaltning, eller Enterprise Content Management (ECM). 2 EIR mener det er nødvendig å etablere bedre styring på dette området enn hva UiO har per dato. ANBEFALING: UiO trenger å lage en modell som omfatter dokumentforvaltning, og etablere et opplegg som er tilsvarende de anbefalinger som foreslås i dokumentet Administrative IT-systemer. Et slikt kart kan bidra til at UiO gjør bedre valg, både på kort og lang sikt Status Vortex og de største risikoer Vi har gjennomført en SWOT-analyse av Vortex som viser styrker, svakheter, muligheter og trusler på nåværende tidspunkt. Analysen danner grunnlag for de etterfølgende risikovurderingene som omfatter såvel faren for uønskede hendelser som faren for at noe fordelaktig ikke vil skje (tapte muligheter) jfr 1.3 definisjon av risiko. 2 Oversatt fra engelsk, fra GartnerGroup dokument ID: G fra 13.oct.2011, tittel; Magic Quadrant for Enterprise Content Management: ECM, defined as a strategy, can help enterprises take control of their content and, in so doing, boost effectiveness, encourage collaboration and make information easier to share. ECM, defined as software, consists of a set of capabilities and/or applications for content life cycle management that interoperate, but that can also be sold and used separately. 5

6 Strengths S Weaknesses W Brukervennlig ved enkel publisering Stabilt og tydelig driftsmønster Blitt bedre over tid UiO styrer retningen på utvikling av løsningen Dedikerte tekniske ansatte med god kompetanse Feil kan bli (og blir) korrigert raskt Kostnaden for utvikling går til oss selv Tilpasset universell utforming Opportunities O Threats Strategi og langsiktig plan mangler Tatt i bruk uten en reell vurdering Alene i verden om å bruke det Uklare ansvarsforhold Avhengig av en håndfull personer Vanskelig rekruttering Liten fleksibilitet i kapasitet Mangler i funksjonalitet (ikke utviklet så langt) Mindre sannsynlig at sikkerhetshull blir oppdaget grunnet få brukere T UiO kan påvirke utviklingen av løsningen i ønsket retning Manglende strategiske beslutninger rundt publiseringsløsning og organisering Ikke troverdig at utviklingen kan være bedre enn andre løsninger som utvikles av mange Bortfall av personalressurser Ukjent økonomisk bilde Figur 1: SWOT-analyse av Vortex Vi vurderer Vortex til å være en tilfredsstillende publiseringsløsning på kort sikt. Utviklingen av Vortex har vært svært positiv de siste årene, og det ser vi som en styrke i forhold til potensialet for videre utvikling. Det faktum at det har vært stor utviklingsaktivitet parallelt med flytting av UiO sine websider fra gammel løsning, tyder på at web-seksjonen på USIT har hatt noen krevende år, men med gode resultater. Fordelen med en egenutviklet løsning er at fremdrift og retning styres helt av UiO selv, vi er ikke avhengig av andre for å få tilgang til ønsket funksjonalitet. Det kreves imidlertid at vi har nok ressurser til å få utført utviklingsønskene. Sammen med SWOT-analysen ønsker vi i dette avsnittet å presentere de risikoene vi anser som grunnleggende for alle delområdene i rapporten. Felles for alle disse risikoene er at UiO er alene i verden om å utvikle og bruke Vortex som publiseringsverktøy. I dette ligger det problemstillinger som vi har definert som risikoer i Figur 2. 6

7 Risikoer ved at UiO er alene om å bruke Vortex Kort sikt Lang sikt 1. Tilgang til kompetente ressurser 2. Utviklingstakt i forhold til andre produkter på markedet 3. Kun få brukere kan avdekke sikkerhetsfeil 4. Ukjent kostnadsbilde Figur 2: De største risikoene for Vortex som publiseringsløsning AD Risiko 1 Tilgang til kompetente ressurser Vortex er bygd på åpen kildekode med et mye brukt programmeringsspråk (Java). Imidlertid er kjernen i løsningen egenutviklet ved UiO, og det finnes ikke kompetanse på den utenfor UiO. Dette får konsekvenser ved at UiO ikke uten videre kan hente inn ekstern kompetanse i form av fast ansettelse eller ved innleie av konsulenter. Mye kompetanse må bygges internt og det kan ta opp til 2 år før en nyansatt er selvgående. Ved planlagte utviklingsoppgaver som ligger utenfor kjernen er det mulig å benytte ekstern kapasitet til å løse oppgaven. De ressursene som bidrar i utviklingen av Vortex i dag, vurderes som godt kvalifiserte, men de utgjør en liten gruppe. At gruppen består av få personer betyr at det er vanskeligere med spredning av nøkkelkompetanse, og dette fører til større grad av spesialisering hos enkeltpersoner. Et frafall (f.eks. sykdom eller bytte av jobb) kan medføre at oppgaver ikke kan løses på kort sikt. EIR vurderer at tilgang til bemanning og kompetanse i enheten utgjør en høy risiko både på kort og lang sikt. AD Risiko 2 Utviklingstakt i forhold til andre produkter på markedet Det at UiO er alene om å bruke Vortex innebærer at det kun skjer utvikling av løsningen ved UiO, mens det til sammenlikning i andre løsninger (med åpen eller lukket kildekode) vil være utallige utviklere. Noen av komponentene til Vortex består imidlertid av åpne kildekoder som andre også bruker. Utviklingen av komponenter blir overvåket av USIT og evt. tatt i bruk. Vi ser likevel en betydelig usikkerhet i om det begrensede miljøet på UiO vil klare å holde følge med den raske utviklingen i markedet. EIR vurderer faren for ikke å klare å holde følge med utviklingstakten på markedet som moderat på kort sikt, og høy på lang sikt. 7

8 AD Risiko 3 Kun få brukere kan avdekke sikkerhetsfeil UiO er eneste bruker av Vortex, og vil aldri få hjelp eller råd fra andre brukermiljøer om sårbarhetsfunn. UiO må oppdage sårbarhet eller hacking selv, deretter lage en løsning som tetter sårbarheten. I dag ivaretas web-sikkerheten på et godt nivå, men er i hovedsak styrt av en person. Dette er en sårbarhet i seg selv. EIR vurderer risikoen til å være moderat på kort og lang sikt. AD Risiko 4 Ukjent kostnadsbilde Web-seksjonen har pr. i dag god oversikt over kostnadsbildet til Vortex. De har god kontroll på hvilke kostnader som tilhører utvikling og hvilke som tilhører drift. Vi har imidlertid ikke en oversikt over hva andre løsninger ville ha kostet UiO, og vi vet dermed heller ikke om dette er en billig eller dyr løsning sett opp mot alternativene. Andre spørsmål knyttet til dette punktet er hvorvidt Vortex skaper mye merarbeid ute i organisasjonen sett mot andre løsninger og om det at vi ikke kan rekruttere inn personer med kompetanse (både i publiserings- og utviklingsmiljøet) krever mye opplæringsressurser. Men fremfor alt vil usikkerheten ligge i hvor mye ressurser det trengs for å holde følge med utviklingen i et marked som endrer seg raskt. EIR vurderer risikoen til moderat på kort sikt og høy på lang sikt Risikogjennomgang av delområdene Nedenstående risikoer er identifisert gjennom det kartleggingsarbeidet som er utført. Noen av dem er delvis overlappende. I arbeidet er risikoene vurdert og det er konkludert mht hvordan vi oppfatter risikosituasjonen på kort og lang sikt. I dette avsnittet gjengir vi risikoene delt inn i 5 områder: overordnet / generelt brukervennlighet funksjonalitet ytelse og stabilitet sikkerhet Overordnede / generelle risikoer Her følger en oversikt over overordnede risikoer for Vortex som publiseringsløsning for UiO-web: Det foreligger ikke et klart formål for Vortex (eller UiOs web-løsning). Det er risiko for at USIT ikke makter å opprettholde et tilfredsstillende nivå hva gjelder kompetanse og ressurser. Det er risiko for at USIT ikke makter å utvikle Vortex i samme takt, med samme kvalitet og kostnadsramme, som alternativene. Risiko for uklare roller og myndighets-/ansvarsforhold. Risiko for at kostnadsbildet er uklart. 8

9 Risiko for at UiO (som kunde/bruker) ikke har tilstrekkelig bestiller kompetanse til å drive utviklingen. (Dette knytter seg ikke bare til Vortex). Risiko for at kollegiale relasjoner og mangel på sanksjoner fører til at man ikke får ønsket service og kvalitet. Risiko for at UiO-web blir nedprioritert i forhold til andre behov i organisasjonen. Risiko for at fagdirektørene ikke har ønsket fokus på nødvendigheten av at UiOs web-løsning er helhetlig og krever samarbeid og lojalitet til beslutninger. Risiko for at de aktuelle miljøene preges av personalgjennomtrekk. EVALUERING: Det foreligger ikke et definert formål (hensikt) for hva Vortex skal være eller hva det skal utvikles til å bli. Vi vurderer det som en grunnleggende svakhet; ethvert system, prosjekt mm må ha et formål eller en målsetting som er kjent og akseptert, og som angir retning. Når et slikt formål mangler vil ikke innspill fra brukermiljøene ved UiO kunne vurderes opp mot en langsiktig utviklingsplan. Dette kombinert med uklare ansvars- og myndighetsforhold kan gi en uønsket utviklingsretning. En utvikling basert på enkeltbehov og ønsker, som i hovedsak blir prioritert av USIT basert på tilgjengelige ressurser, utgjør en svakhet. Vi viser til andre leddet i foranstående definisjon av risiko (p. 1.3), vedr. tapte muligheter. Det innebærer at selv om man ved UiO er tilfredse med brukervennlighet, stabilitet, funksjonalitet, ytelse og sikkerhet i Vortex ligger det en usikkerhet i forhold til at UiO kunne oppnådd bedre resultater og hatt større trygghet med et annet system. Det samme gjelder kostnadsbildet; er det optimalt med bruk av Vortex, eller vil et annet system gi bedre økonomi? Vortex er utviklet ved USIT og det medfører at kompetansen er meget høy. Medarbeiderne føler eierskap og viser stort engasjement i forhold til systemet. Høy kompetanse, eierskap og engasjement er en god kombinasjon. Samtidig er miljøet sårbart fordi Vortex er unikt for UiO. UiO er eneste bruker. Så langt har Vortexmiljøet vært begunstiget med få fravær og lite gjennomtrekk. På et eller annet tidspunkt kan dette endre seg. Om det skjer innen den tidshorisonten vi har definert som lang sikt (3 5 år), er ikke mulig å avgjøre. Uansett kan det oppstå et rekrutteringsproblem fordi det ikke finnes Vortexkompetanse utenfor UiO. Å være kjøper av elektroniske/digitale tjenester er krevende. Man skal kunne kommunisere med et avansert fagmiljø. Når kjøper og selger dessuten er samarbeidende enheter innen samme institusjon, kan det lett medføre at forholdet ikke blir så profesjonelt som det bør være. Vi mener det er tilfellet mellom KA og USIT spesielt. DELKONKLUSJON: Vortex styrke ligger i første rekke i høy kompetanse og stort engasjement. Dette må dyrkes og videreutvikles. Svakhetene ligger i stor sårbarhet i ressurssituasjonen fordi det ikke eksisterer et Vortex-miljø utenom UiO, samt at det ikke er definert noen langsiktig plan for løsningen som er forankret i organisasjonen. 9

10 ANBEFALINGER: Det tas stilling til hva som skal være målsettingen med Vortex/web-løsningen. Roller, ansvar og fullmakter avklares og gjøres kjent for berørt personale. Det anbefales at det opprettes en forpliktende samarbeidsavtale mellom USIT og KA slik at det er klart hva som skal være partenes bidrag inn i Vortex-arbeidet. Samhandlingen mellom USIT og KA bør styrkes; en avtale vil kunne løse mye, men i tillegg anbefaler vi at samarbeidet evalueres med jevne mellomrom i et felles møteforum. Det gjennomføres en benchmarking-prosess for å få klarlagt fordelene og ulempene med Vortex vs. andre systemer Risikoer Brukervennlighet Nedenfor følger de risikoer vi har kommet frem til ift brukervennlighet for Vortex som UiO s publiseringsløsning: Risiko for at Vortex ikke makter å hevde seg i konkurranse med andre systemer hva gjelder brukervennlighet. Risiko for at kommunikasjonen mellom brukere og utviklere ikke optimaliserer mulighetene i Vortex. Risiko for at brukerne ikke har tilstrekkelige kunnskap og kompetanse til å kunne utnytte Vortex optimalt. Risiko for at brukermiljøene ikke fremmer læring og kunnskapsdeling om systemet. Risiko for at UiO/USIT ikke makter å gi nødvendig brukerstøtte. EVALUERING: EIR har fått sammenfallende tilbakemeldinger fra brukerne på at Vortex har lav brukerterskel for enkel publisering. Behov for dypere kunnskap om Vortex melder seg imidlertid dersom man ønsker å gjøre noe mer. Utfordringen for UiO ligger både i at systemet krever en del kompetanse og at organiseringen for publiseringsarbeidet i dag er spredt på personer. En stor andel av disse har publisering på web som en liten bioppgave. Når UiO i tillegg er alene om å bruke Vortex, vil det ikke være mulig å innhente kompetanse ved nyansettelser eller konsulentbruk. Det er krevende å lære opp så mange ansatte. Brukerdokumentasjon både for superbrukere og nettredaktører ligger på nett. For øvrig har alle mulighet til å melde inn behov og få brukerstøtte gjennom sin lokale web-redaksjon. Dersom en sak ikke kan løses her, blir den tatt videre opp i de sentrale nettredaksjoner/superbruker-nettverk. Det finnes også en e-postadresse hvor alle kan henvende seg. Svakheten ligger ikke i brukerdokumentasjon og støtte som blir gitt pr. idag, men på den store spredningene i publiseringsansvar. Når det gjelder effektiv bruk av systemet har vi fått eksempler på forbedringsønsker fra brukerne som vil spare dem for mye manuelt arbeid. 10

11 ANBEFALING: Vi anbefaler en organisering med færre og mer spesialiserte personer. Vi har kunnskap om at et slikt arbeid er i gang allerede i regi av IHR-prosjektet. EIR anbefaler også at bruker- og utviklingsmiljøet samarbeider om å finne løsninger på de prosessene/oppgavene som brukerne opplever som spesielt tidkrevende Risikoer Funksjonalitet Vi har definert følgende risikoer i forbindelse med funksjonalitet for Vortex som publiseringsløsning: Risiko for at Vortex ikke makter å hevde seg i konkurranse med andre systemer hva gjelder funksjonalitet. Risiko for at organisasjonens behov og ønsker ikke blir forstått/oppfattet. Risiko for at utviklere/brukere ikke har tilstrekkelig oppmerksomhet rettet mot hva som er UiOs reelle behov i forhold til å nå målene med web-løsningen. Risiko for at enkelte miljøer som ikke er fornøyd med eksisterende funksjonalitet, kjøper inn andre løsninger som krever mye ressurser fra USIT mht sikkerhet og drift. EVALUERING: I dag blir Vortex av de fleste brukere sett på som en grei løsning som dekker de viktigste behovene for funksjonalitet. USIT har en web-seksjon som er svært dedikert til arbeidet sitt og som aktivt overvåker hvilke delkomponenter av åpne kildekode som finnes på markedet og som Vortex kan ha nytte av. Dette kombinert med egenutvikling gjør at Vortex har blitt en bra løsning hva gjelder funksjonalitet. Vi har fanget opp mange ulike ønsker og behov for funksjonalitet som ikke er oppfylt, men som er omdiskutert i forhold til nødvendighet. Noe av den ønskede funksjonaliteten kan erstattes av organisering og arbeidsmetodikk, og trenger ikke nødvendigvis en teknisk løsning. Noe funksjonalitet kan også kjøpes inn. Kravene vil, uansett system, alltid være høyere enn det en løsning kan tilby. 11

12 Figur 3: Modell for organisering og styring av Vortex 3 Behovene som blir meldt inn både fra fakulteter, museer og SA, danner noe av grunnlaget for utviklingen av Vortex. KA, som representant for brukermiljøene, er med på å prioritere hvilke behov som meldes inn til utviklingsgruppen. Utviklingsgruppen mottar også behov fra «Prosjekter» som består av andre nettsteder tilknyttet UiO og store prosjekter internt på UiO. UiOs størrelse og kompleksitet tilsier at prosjekter som krever ekstra ressurser fra Vortex-miljøet, vil forekomme relativt ofte. I tillegg konkurrerer behov fra USIT (som f.eks. sikkerhetstiltak) om de samme utviklingsressursene. Behov fra «USIT» og «Prosjekter» kan tildels beslaglegge ressurser som UiOweb kunne ha trengt. Dette kombinert med at kommunikasjonen tilbake til brukerne ikke fungerer optimalt, kan føre til misnøye blant brukere. Det er også rapportert om at innspill om ønsker til funksjonalitet begrenser seg til hva brukerne «tror» at Vortex kan levere. Det er uheldig for utviklingsmiljøet å ha så mange innspill om behov som ikke kan løses med tilgjengelige ressurser. Uten en strategi eller et formål for Vortex, må utviklingsgruppen og webseksjonen gjøre prioriteringer uten å ha en overordnet allment akseptert utviklingsretning å styre etter. Dette ser vi som en svakhet. Vi vet det eksisterer miljøer ved UiO som skaffer seg funksjonalitet som de mener Vortex ikke leverer. Det kan skape mye ekstraarbeid for USIT i form av sikkerhetstiltak, samt ekstra driftskostnader. ANBEFALING: Vi viser til punkt som omhandler målsetting for publiseringsløsningen, «roller, ansvar og myndighet», samarbeidsavtale og benchmarking. 3 Organisasjonskart laget av Web-seksjonen. 12

13 Risikoer Ytelse og stabilitet Nedenfor omtaler vi risikoer ift ytelse og stabilitet for Vortex. RISIKO for at driftsmiljøet ikke sikrer tilfredsstillende stabil drift. Risiko for at driftsmiljøet ikke sikrer tilfredsstillende ytelse (tregt å få opp sider) EVALUERING: Driftsmiljøet som Vortex og UiO-web driftes i, er bygd opp av redundant løsning med servere i et web-hotell. Vortex er kun en del av det totale driftsmiljøet. Driftsmiljøet er komplekst med mange lag og redundante løsninger. EIR har i denne revisjonen ikke gjennomgått driftsmiljøet for å se etter mangler i løsningene. Men det er fra driftsmiljøet uttalt at det ikke finnes noe enkeltpunkt som kan forårsake full driftsstopp. Tjenestekvalitet er et vesentlig fokusområde. Planlagte driftsavbrudd blir meldt i tide og på en tydelig måte. Kapasitetsplanlegging av Vortex skjer i driftsmøter mellom drifts- og webseksjonen. Vi har ikke funnet noen situasjoner hvor verken driftsstabiliteten eller ytelsen i publiseringen har fått negativ kritikk. EIR opplever dagens opplegg som tilfredsstillende, og vi forutsetter at driftsmiljøet vil forbli på et tilfredsstillende nivå både på kort og lang sikt. Når det gjelder ytelse og stabilitet vurderer vi risikoen som lav for begge tidshorisonter. ANBEFALING: Sikring av å opprettholde tilfredsstillende stabilitet og ytelse kan skje ved å etablere SLA med krav til stabilitet. I en slik avtale bør også rapportering på den faktiske situasjonen være med. Ellers mener EIR at en kategorisering av løsningene vil bidra til å sikre området ytterligere, jf avsnitt 2.1 Prinsipielle betraktninger Risikoer Sikkerhet Vi har definert følgende risikoer ift sikkerhet for Vortex som UiO s publiseringsløsning. RISIKO for feil og driftsproblemer ikke blir oppdaget raskt slik at konsekvensene blir større enn nødvendig. RISIKO for at nye tekniske løsninger tas i bruk uten at de er tilfredsstillende testet og risikovurdert. RISIKO for svakheter i tilgangsstyringen. Risiko for uønsket spredning av informasjon. Risiko for at back-up-løsningene ikke sikrer data og fortsatt drift. RISIKO for at systemet ikke sikrer tilfredsstillende sporbarhet og loggdata ved uhell eller ikkeautorisert bruk. RISIKO for at systemdokumentasjonen ikke er tilgjengelig og tilstrekkelig oversiktlig når det er behov for den. 13

14 RISIKO for at uvedkommende kan få tilgang til, og dermed misbruke systemdokumentasjonen. Risiko for at driftsdokumentasjonen ikke er dekkende. RISIKO for at uvedkommende kan få tilgang til maskinrommene. EVALUERING: Verken publiseringsløsningen (Vortex) eller UiOs nettsted er så langt kategorisert ved UiO. De inngår derfor ikke i et klart definert regime for hvordan systemer skal styres og sikres. Vi viser i den sammenheng til avsnitt 2.1. Prinsipielle betraktninger. UiO er alene om å bruke Vortex, og vil derfor aldri få hjelp eller råd fra andre brukermiljøer om sårbarhetsfunn, UiO må oppdage sårbarhet eller hacking selv, deretter lage en løsning som tetter sårbarheten. I dag ivaretas web-sikkerheten på et godt nivå, men er i hovedsak styrt av 1 person. Siden UiO vil fortsette å være alene om å bruke Vortex, vurderer EIR risikoen isolert sett til å være høy både på kort og lang sikt. Men siden det er mange andre sikkerhetsmekanismer bygd inn i UiOs totale IT-infrastruktur vurderes risikoen som moderat. Vortex er bygd slik at det er få sperrer etter at tilgang er gitt. Det kan ved uheldig bruk eksponere informasjon feilaktig og skade konfidensialiteten 4. At både ekstern informasjon og «for-ansatte»- informasjon er laget i samme løsning, skaper også risiko for uheldig/uønsket spredning av informasjon. Det har historien ved UiO vist flere eksempler på. Selv om det er brukerinitierte feil, viser det at risikoen er høy. Lagring av data kan utgjøre en risiko ved at konkret informasjon og metadata lagres på forskjellige maskiner. Ved uheldig sletting av data kompliserer denne delingen tilbakeføringen av data. Systemdokumentasjonen er vesentlig for alle systemer og ekstra viktig siden UiO er alene om løsningen. Systemdokumentasjonen må derfor være så god at personer uten kjennskap til Vortex kan finne fram i den ved en krise. Driftsdokumentasjon finnes ikke spesifikt for drift av Vortex, men inngår i driftsdokumentasjonen for hele driftsmiljøet. Risiko vurderes til lav. Styring av adgang til maskinrommet er på et godt nivå, og risikoen anses som lav. ANBEFALING: Publiseringsløsningen og UiOs nettsted må kategoriseres slik at de inngår i det regimet som er laget for den kategori systemer. Det bør vurderes kraftigere tilgangssperrer for å redusere muligheten for ikke planlagt publisering av informasjon i åpent nett. 4 Konfidensialitet: Sikkerhet for at kun autoriserte personer får tilgang til følsom eller gradert informasjon, og at det på forhånd er foretatt en gyldig identifisering og autorisering av personen. (ref. ISO 27001) 14

15 2.4. Risiko ved overgang til annet system I forbindelse med arbeidet vårt har det dukket opp innspill om hvilke risikoer som er tilknyttet en eventuell overgang til ny publiseringsløsning. Dette er på ingen måte en helhetlig vurdering, men en oppsummering av det som tilfeldig er blitt fanget opp underveis i revisjonsarbeidet: Risiko tilknyttet utvikling av eget konverteringsskript. Risiko for usikkerhet i organisasjonen. Risiko i at vi ikke har et kjent kostnadsbilde. Risiko for at et annet system vil trenge mye spesialtilpasning. Fordelen med at nesten alle UiO sine websider nå er over på ny webløsning, gjør det enklere og ryddigere med konvertering til en eventuell ny løsning. 3. KONKLUSJON Hvordan UiO presenterer seg på nettet får stadig større betydning ikke minst i forhold til vår målsetting: «UiO skal styrke sin internasjonale posisjon som et ledende forskningsuniversitet». Da det spanske forskningsrådet i januar presenterte en rangering av verdens universiteter 5, vakte det oppmerksomhet at UiO hadde falt nedover på rangeringen, og ikke engang var beste universitet i Norge. Årsaken var at rangeringen hadde målt, og lagt stor vekt på, hvordan universitetene presenterer seg på nettet og hvor mange forskningsartikler og annen relevant forskning som er tilgjengelig på nett. Webometrics som hadde gjort undersøkelsen, mener at det å være tilstede på internett er en indikator på forskings- formidlings- og undervisningskvalitet. 6 Dette er kun en av mange rangeringer, men den er en nyttig påminnelse om at web og publisering på nett er viktig. I denne risiko-vurderingen har vi erfart at det ikke foreligger et klart, entydig og kjent formål for UiO s publiseringsløsning. Det er av stor betydning at det kommer på plass slik at best mulige veivalg for løsningen kan gjøres. Dagens løsning er egenutviklet, og Vortex-miljøet i USIT har gjennom sin kompetanse og sitt store engasjement skapt en god fungerende løsning. Men miljøet er lite og sårbart og det knytter seg usikkerhet til om man på lengere sikt klarer å hevde seg i konkurransen med andre løsninger Uniforum, 7.februar