Best practice 'Universiteit Utrecht versnelt openstellen van onderzoeksdiensten via SURFconext'(Publicatie)

Veel onderzoekers hebben er last van: het duurt lang voordat instellingen onderzoeksdiensten via SURFconext voor hen openstellen. De Universiteit Utrecht lost dit probleem op door voor zulke diensten de controleverantwoordelijkheden te verdelen en een versimpeld proces uit te voeren met alleen enkele basischecks.

download
14 SEP 2018

Grondige controle

Net als elke universiteit verwerkt de Universiteit van Utrecht (UU) grote hoeveelheden gegevens. De IT’ers en chief information security officer (CISO) voelen zich er dan ook verantwoordelijk voor dat hun medewerkers en studenten alleen systemen gebruiken waar hun data goed beveiligd is, goede afspraken over data-eigendom gemaakt zijn, enzovoort. De universiteit gebruikt SURFconext om UU’ers op veel diensten in te laten loggen. Als onderzoekers een nieuwe dienst willen gebruiken, onderwerpt de universiteit die eerst aan een degelijke en grondige controle, voordat de SURFconext-verantwoordelijke de dienst openstelt voor UU’ers.

Workarounds

De procedure voor het beoordelen van onderzoeksdiensten was echter onnodig zwaar en tijdrovend, zegt Ton Smeele. Hij werkt bij de UU op de IT-afdeling die onderzoekers ondersteunt. “Daar hadden mijn onderzoekers last van, want daardoor konden ze vaak niet, of pas na lange tijd, met hun UU-account op nieuwe systemen inloggen.” Uiteindelijk kwam dat de veiligheid ook niet ten goede. “Tegen die tijd hebben ze vaak al een andere oplossing gekozen, met extra ‘lokale’ accounts, 0-aanstellingen of inloggen met persoonlijke social accounts. Begrijpelijk, want als onderzoeker wil je aan de slag en geen tijd verliezen, maar die workarounds zijn uiteindelijk duurder en minder veilig.”

Roberto Saporito Universiteit UtrechtStappen overslaan

Smeele ging om tafel met Roberto Saporito (rechts op de foto), de SURFconext-verantwoordelijke van de UU die medeverantwoordelijk is voor het openstellen van nieuwe diensten voor UU-gebruikers via SURFconext. Ze bespraken wat Saporito belangrijk vindt en welke verantwoordelijkheid bij wie moet liggen. De mannen vonden samen dat Smeele namens de onderzoekers kan bepalen of de juiste afspraken zijn gemaakt over data-eigendom en aanverwante zaken. En dat stappen uit de degelijke procedure van Saporito voor onderzoekssystemen in veel gevallen konden worden overgeslagen.

3 vragen

Saporito: “Met de nieuwe procedure kunnen onderzoekers vaak binnen 2 dagen na aanvraag al met hun UU-account inloggen op een dienst. In de kern stellen we nog maar 3 vragen:

  1. Is het systeem al technisch aangesloten op SURFconext?
  2. Wordt toegang tot het systeem aangevraagd voor een onderzoeksdoel?
  3. Is de aanbieder een onderzoeksinstelling of een partij voor onderzoekssamenwerking zonder commercieel belang?”

Afspraken

“Als die 3 vragen met ja worden beantwoord, weet ik genoeg en zet ik het systeem open voor inloggen met UU-accounts. En zo nodig beperk ik samen met Ton toegang tot het systeem, zodat alleen de mensen erbij kunnen die erbij moeten kunnen, bijvoorbeeld met SURFconext Autorisatieregels. Ik ga ervan uit dat Ton weet wie de contactpersoon is van het onderzoeksproject en dat er afspraken zijn over beveiliging, eigendom van data en classificatie. Dat laatste betekent dat de CISO wordt geraadpleegd als er meer dan de afgesproken basis-attributen worden uitgewisseld of wanneer er gevoelige gegevens worden verwerkt.” Ook stuurt Saporito elke aanvraag door aan de CISO, zodat die weet welke diensten er worden gekoppeld en kan beslissen of hij extra controles wil doen.

Verdeling van verantwoordelijkheden

De CISO is heel tevreden over de gemaakte afspraken en onderzoekers kunnen nu vaak snel met hun UU-account inloggen bij onderzoeksdiensten. Saporito: “Volgens mij hebben we met dit alles een mooie verdeling van verantwoordelijkheden, voorkomen we dat we elkaars controles over doen en op elkaars stoel gaan zitten, en zijn risico’s voldoende afgedekt.”
 


 
Nog makkelijker toegang via de SCZ

SURF werkt voor met name onderzoekers aan een nóg betere oplossing voor het probleem dat in dit artikel wordt geschetst: de Science Collaboration Zone (SCZ), een afgeschermde omgeving waar veel specifieke onderzoeksdiensten wél mee zijn gekoppeld zijn. SURFconext-verantwoordelijke Saporito is erg enthousiast: “Wij hoeven alleen met de SCZ te koppelen, zodat onderzoekers toegang hebben tot alle daaraan gekoppelde diensten? Super! Zolang SURF een aantal basiszaken bewaakt, en Ton bij ons zorgt voor de juiste afspraken rond data-beveiliging en -eigendom, kunnen onze onderzoekers nog sneller veilig aan de slag!”


 
Zelf aan de slag

Zit jouw instelling ook met deze problemen?

Inmiddels heeft Roberto Saporito zijn SURFconext-rol overgedragen aan Daan de Vries.

Aantal keren bekeken:
694
Laatste wijziging op 19 sep 2018