Praktijkverhaal
Best practice: Universiteit Utrecht versnelt openstellen van onderzoeksdiensten via SURFconext
Veel onderzoekers hebben er last van: het duurt lang voordat instellingen onderzoeksdiensten via SURFconext voor hen openstellen. De Universiteit Utrecht lost dit probleem op door voor zulke diensten de controleverantwoordelijkheden te verdelen. En door een versimpeld proces uit te voeren met alleen enkele basischecks.
Grondige controle
Net als elke universiteit verwerkt de Universiteit van Utrecht (UU) grote hoeveelheden gegevens. De IT’ers en chief information security officer (CISO) dragen dan ook een grote verantwoordelijkheid. Zij moeten ervoor zorgen dat hun medewerkers en studenten alleen de juiste systemen gebruiken. Daar waar hun data goed beveiligd is, er goede afspraken over data-eigendom gemaakt zijn, enzovoort.
De universiteit gebruikt SURFconext om UU’ers op veel diensten in te laten loggen. Als onderzoekers een nieuwe dienst willen gebruiken, onderwerpt de universiteit die eerst aan een degelijke en grondige controle. Dan pas stelt de SURFconext-verantwoordelijke de dienst open voor UU’ers.
Workarounds
De procedure voor het beoordelen van onderzoeksdiensten was echter onnodig zwaar en tijdrovend, zegt Ton Smeele. Hij werkt bij de UU op de IT-afdeling die onderzoekers ondersteunt. “Daar hadden mijn onderzoekers last van. Ze konden daardoor vaak niet, of pas na lange tijd, met hun UU-account op nieuwe systemen inloggen.” Uiteindelijk kwam dat de veiligheid ook niet ten goede. “Tegen die tijd hebben ze vaak al een andere oplossing gekozen, met extra ‘lokale’ accounts. Of met 0-aanstellingen of inloggen met persoonlijke social accounts. Begrijpelijk, want als onderzoeker wil je aan de slag en wil je geen tijd verliezen. Uiteindelijk zijn die workarounds duurder en minder veilig.”
Roberto Saporito
Smeele ging om tafel met Roberto Saporito (zie foto), de SURFconext-verantwoordelijke van de UU. Saporito is medeverantwoordelijk voor het openstellen van nieuwe diensten voor UU-gebruikers via SURFconext. Ze bespraken wat Saporito belangrijk vindt en welke verantwoordelijkheid bij wie moet liggen. De mannen vonden samen dat Smeele namens de onderzoekers kan bepalen of de juiste afspraken zijn gemaakt over data-eigendom en aanverwante zaken. En dat stappen uit de degelijke procedure van Saporito voor onderzoekssystemen in veel gevallen konden worden overgeslagen.
3 vragen
Saporito: “Met de nieuwe procedure kunnen onderzoekers vaak binnen 2 dagen na aanvraag al met hun UU-account inloggen op een dienst. In de kern stellen we nog maar 3 vragen:
- Is het systeem al technisch aangesloten op SURFconext?
- Wordt toegang tot het systeem aangevraagd voor een onderzoeksdoel?
- Is de aanbieder een onderzoeksinstelling of een partij voor onderzoekssamenwerking zonder commercieel belang?”
Afspraken
“Als die 3 vragen met ja worden beantwoord, weet ik genoeg en zet ik het systeem open voor inloggen met UU-accounts. En zo nodig beperk ik samen met Ton toegang tot het systeem, zodat alleen de mensen erbij kunnen die erbij moeten kunnen, bijvoorbeeld met SURFconext Autorisatieregels (pdf). Ik ga ervan uit dat Ton weet wie de contactpersoon is van het onderzoeksproject en dat er afspraken zijn over beveiliging, eigendom van data en classificatie. Dat laatste betekent dat de CISO wordt geraadpleegd als er meer dan de afgesproken basis-attributen worden uitgewisseld of wanneer er gevoelige gegevens worden verwerkt.” Ook stuurt Saporito elke aanvraag door aan de CISO, zodat die weet welke diensten er worden gekoppeld en kan beslissen of hij extra controles wil doen.
Verdeling van verantwoordelijkheden
De CISO is heel tevreden over de gemaakte afspraken en onderzoekers kunnen nu vaak snel met hun UU-account inloggen bij onderzoeksdiensten. Saporito: “Volgens mij hebben we met dit alles een mooie verdeling van verantwoordelijkheden, voorkomen we dat we elkaars controles over doen en op elkaars stoel gaan zitten, en zijn risico’s voldoende afgedekt.”
Nog makkelijker toegang via Research Access Management
We streven ernaar om met name onderzoekers aan een nóg betere oplossing te helpen voor het probleem dat in dit artikel wordt geschetst: SURF Research Access Management (voorheen Science Collaboration Zone (SCZ). Dit is een afgeschermde omgeving waar veel specifieke onderzoeksdiensten wél mee gekoppeld zijn. SURFconext-verantwoordelijke Saporito is erg enthousiast: “Wij hoeven alleen met Research Access Management te koppelen, zodat onderzoekers toegang hebben tot alle daaraan gekoppelde diensten? Super! Zolang SURF een aantal basiszaken bewaakt, en Ton bij ons zorgt voor de juiste afspraken rond data-beveiliging en -eigendom, kunnen onze onderzoekers nog sneller veilig aan de slag!”
Zelf aan de slag
Herken je deze uitdagingen?
- Je kunt nu al toegang tot diensten via SURFconext beperken tot kleine groepen gebruikers, zodat de stap om een dienst open te stellen kleiner wordt.
- SURF Research Access Management is in het tweede kwartaal van 2020 beschikbaar als dienst. Lees meer over SURF Research Access Management.
- Uiteraard kun je ook de ‘versnelde UU-procedure’ op jouw instelling doorvoeren. Meer weten? Mail Roberto Saprito’s via j.j.saporito@uu.nl.
- Hulp nodig met andere (SURFconext-)vragen? Mail onze productmanager Arnout Terpstra via arnout.terpstra@surf.nl.
Inmiddels heeft Roberto Saporito zijn SURFconext-rol overgedragen aan Daan de Vries.
