Informatiebeveiliging in de bestuurskamer
Daan [email protected] – 06- 8195 6181
@djakoot#zict #redmax
Topprioriteiten ICT in Zorg
1. Security en Privacy (84%)
2. Verbeteren Continuïteit (68%)
3. Inzetten van domotica, wearables, beeldzorg (65%)
Bron: Het digitale landschap(2016)
84%
68%
65%
Veiligheidsperceptie
87%
82%
46%
83%
57%
48%
Mobiele Apps zijn voldoende veilig
Alle inspanning voor veilige Apps
Mijn App wordt binnen half jaar
gehacked
ontwikkelaar gebruiker
Bron: ArXan (2016)
Veiligheidsrealiteit
90%
Mobiele Apps met 2+
OWASP lekken
50%
Heeft € 0 budget voor beveiliging
Apps
80%
Kiest andere App als die veiliger is
Bron: ArXan (2016)
Infobeveiliging in de Zorg
Continue verandering in kanalen / devices
Continue wijziging in wetten en normering
WBP (+ meldplicht datalekken), WGBO, WMH, Wet gebruik BSN in de zorg, HKZ, NEN7503, NEN7510, NEN8028, ISO9001, ISO27001
Risicogebieden
Mensen(personeel, externen, cliënten)
Apparatuur(computers,
tablets, mobieltjes,
etc.)
Programma's(EPD, apps,
dossiers, etc.)
Gegevens(cliëntdata,
behandeling, diagnose)
Organisatie(de praktijk of instelling)
Omgeving(fysieke locatie)
Diensten(energie, internet, telefonie)
Bedrijfsdoelstellingen
Informatiebeveiligingsbeheer
Beveiligingsbeleid
Organisatie/ rollen Normen -Standaarden - Richtlijnen
Risico beheerMiddelen
ClassificatieBeveiligingsArchitectuur
Beveiligingsbeheer
Bedrijfscontinuïteitbeheer Incidentenbeheer
Bewustwording - Training
Meetwaarden – KPI’s - rapportage
Wat is bij u geregeld?
Beveiligingsbeleid
Organisatie/ rollen Normen -Standaarden - Richtlijnen
Risico beheerMiddelen
ClassificatieBeveiligingsArchitectuur
Beveiligingsbeheer
Bedrijfscontinuïteitbeheer Incidentenbeheer
Bewustwording - Training
Meetwaarden – KPI’s - rapportage
Eco-systeemInformatiebeveiliging
Bestuur (Beleid & Naleving)
Informatie-beveiliging -Managementcontrolesen Auditbeheer
Beheer van Projecten en Exploitatie
Informatie-beveiliging
Basisvaardigheden
StrategischePlanning & Financiën
Risicogebieden
Mensen(medewerkers, externen,
cliënten)
Apparatuur(computers,
tablets, mobieltjes,
etc.)
Programma's(EPD, apps,
dossiers, etc.)
Gegevens(cliëntdata,
behandeling, diagnose)
Organisatie(de praktijk of instelling)
Omgeving(fysieke locatie)
Diensten(energie,
water, gas, internet, telefonie)
Bestuur (Beleid & Naleving)
Informatie-beveiliging -Managementcontroles en Auditbeheer
Beheer van Projecten en Exploitatie
(Technologie&
Uitvoering)
Informatie-beveiliging
Basisvaardigheden
StrategischePlanning & Financiën
Facetten vanInformatiebeveiliging
Informatiebeveiligingsrisico
• Structuur• Kennis• Signalering• Tooling• Continue
verbetering
• Foute diagnose
• Foute behandeling
• Boete• Sanctie IGZ• Imago
• Processen• Procedures• RACI-model• Informatie-
Architectuur
KansDreiginggrootte
Gevolg-schade
• Preventie
• Detectie• Repressie
• Correctie
• Acceptatie
Maatregelen
x x=
Bron: DoD
Informatiebeveiliging zorgt voor patiëntveiligheid
Gebrek aan informatiebeveiliging bedreigt de veiligheid van de patiënt
Patiëntveiligheidpijler van kwaliteit van zorg
Jarenlange ervaring in zorgverlening heeft geleid tot stelsel van maatregelen en protocollen om veilige behandeling te
garanderen
Kwaliteit van zorgprioriteit van Bestuur
Besturen zijn aangesteld om een organisatie te vormen die een kwalitatief goed product levert
InformatiebeveiligingEffecten
• Diagnose
• Behandeling
• Kosten
• Reputatie
• Vertrouwelijkheid
• Kwaliteit van zorg
Dus…
prioriteit van Bestuur is
kwaliteit van zorg als
pijler van patiëntveiligheid
die wordt verzorgd door o.a.
Informatiebeveiliging
CISO metrokaart
o Compliancy
o Bewustzijn
o Training / elearningo Bewustzijnscampagne (stukjes,
filmpjes, etc.)o Mystery Guest
o Fysieke beveiligingsanalyse
o Technische scan
o Guardian360o Penetratietesto Vulnerabilityscan)
o Audit
o Informatiebeveiligingsbeleid
o Overzichten
o maatregelen informatiebeveiligingo toepasselijke Wet en regelgeving
o Procesbeschrijvingen
o Procedure beschrijvingen
o Modellen
o Checklists
o Ondersteuning CISO as a coach
CISO as a service
CISO Toolstation
CISO Interventies
CISO as a service
• Kleine of ondeskundige informatiebeveiligingsorganisatie
• CISO intern niet beschikbaar
• Alles uit ‘Toolstation’ + neemt u alle Informatiebeveiligingszorgen uit handen
• Organiseert Informatiebeveiligingsbeleid• Zorgt dat Informatiebeveiligingsbeleid wordt uitgevoerd
• Inzet op basis van GAP-analyse eerst als project, daarna exploitatie op basis van inzet in verbeterplannen
• Investering: op basis van abonnement
CISO as a coach
• Lerende informatiebeveiligingsorganisatie
• CISO (in opleiding) intern beschikbaar
ingangscontrole
• Alles uit ‘Toolstation’ + ondersteuning
• Coaching door experts aan interne CISO
• Investering: abonnement op toegang tot online-omgeving
CISO as a service CISO as a coach CISO Toolstation
• Kleine organisaties
• Externe CISO
• Organiseert IB
• Zorgt dat IB op peil is
• Neemt u alle IB-zorgen uit handen
• O.b.v. Eerst project, daarna abonnement
• Als ‘Toolstation’ +
• Coaching aan CISO
• Coaching door CISO
• O.b.v. abonnement
• Zelfstandige organisatie
• Interne CISO
• Opzet door SafeHarbour
• Digitaal beschikbaar
• Online wet- en regelgeving aanpassing
• O.b.v. abonnement
Daan Koot
C | CISO
Ir. InformatiekundeLSS –Black Belt
m: 06-8195 6181e: [email protected]
t: @djakoot