De onbevredigende situatie wordt in stand gehouden door de aannames dat de beveiliging van zorg-ict ’te complex’ is en dat 100 procent veiligheid ’toch niet haalbaar’ is. Juist in de zorg zou ict-beveiliging optimaal moeten zijn, zodat patiëntgegevens niet op straat komen te liggen en ongeoorloofden geen toegang hebben tot het epd. Maar bovenal mag de continuïteit van de zorg niet in gevaar komen. Het zal niet voor het eerst zijn dat een ziekenhuis operaties moet uitstellen vanwege een computervirus. Een complicerende factor is dat medische apparatuur vaak de achilleshiel is van de beveiliging, omdat deze ‘buiten zicht’ is van IT of sterk verouderde software gebruikt. De zorg moet dan ook echt anders omgaan met informatiebeveiliging. Vandaar mijn oproep: doorbreek de status quo en ga voor 100 procent veilig.
Risicomanagement
Het ontbreekt aan motivatie om de informatiebeveiliging op een hoger niveau te brengen. Er is twijfel onder de verantwoordelijken in hoeverre beveiliging eigenlijk zinvol is. En dat wordt weer versterkt door de misvatting dat 100 procent veiligheid ‘een utopie’ is. Dit is niet alleen een misvatting, maar ook irrelevant. Informatiebeveiliging draait om risicomanagement en je bepaalt zelf hoe je met risico’s om wilt gaan. Als je te maken krijgt met een datalek, is dat het resultaat van een eerder gemaakte keuze! 100 procent veiligheid moet het einddoel zijn, maar de weg ernaartoe is veel belangrijker.
Doelstellingen van beveiliging
Zelfs de beste beveiligingsoplossing is weinig effectief als er geen beleid achter zit. Daarbij gaat het om drie hoofdvragen. 1. Wat zijn de doelstellingen van de beveiliging, in het licht van de bedrijfsdoelstellingen? 2. Welke risico’s loopt de organisatie op dit moment en in het verlengde daarvan: hoe groot is de potentiële schade? En 3. Welke risico’s moeten afgedekt worden en welke niet?
Als na beantwoording van deze drie vragen effectieve beveiligingsoplossingen zijn aangeschaft, moet vervolgens het beheer goed worden geregeld. Anders is de investering alsnog weggegooid, want ook beheer en onderhoud zijn cruciaal voor de effectiviteit van iedere beveiligingsoplossing. Het definiëren van rollen en verantwoordelijkheden is daarom een van de eerste zaken die moeten worden aangepakt. En nee: dit kan niet in zijn geheel op het bordje van de IT-afdeling worden gelegd.
Bewust risico’s accepteren
Ik ben ervan overtuigd dat door de drie vragen te beantwoorden en vervolgens de preventie, response en organisatie goed in te richten, de deur echt helemaal dicht kan. Voor ieder probleem is een oplossing en dan is 100 procent veiligheid dus haalbaar. Maar nogmaals: of die 100 procent ook daadwerkelijk behaald wordt, is niet echt relevant. Sommige risico’s worden met heel goede redenen geaccepteerd. Waar het om gaat is dat die afweging bewust wordt gemaakt en dat we niet geconfronteerd worden met incidenten die we niet hadden zien aankomen.
Erik Remmelzwaal is CEO van DearBytes
Erik Remmelzwaal verzorgt ook een presentatiesessie met de titel “Hoe bereik ik 100% Veiligheid” op Zorg & ICT . U kunt de sessie bijwonen op 25 en 26 maart om 14.30 uur in Theater Groen.
Prima verhaal en ik sta er helemaal achter. Het nemen van verantwoordelijkheid voor informatiebeveiliging zou een positieve management keuze moeten zijn. Als manager wil je verantwoordelijk zijn voor je bedrijfs- of medisch proces en dan toch ook voor de informatieprocessen en je gegevens?
Berend de Vries, Comfort-IA