We investeren ons blauw en toch is de informatiebeveiliging niet op orde!
Vaak wordt er veel geld uitgegeven aan IT beveiliging. Nieuwe firewalls, netwerksegmentatie (misschien zelfs met micro segmentatie), End Point protectie etc. Deze moeten ertoe leiden dat het IT-landschap op slot zit voor de kwaadwillende. Het slot op de IT is dus aanwezig en waarschijnlijk zelfs goed geïnstalleerd, met een beetje geluk is zelfs de documentatie en het beheer goed op orde. Maar hoe goed een slot ook is, als de sleutel er naast hangt………. Als de techniek (het slot) op orde is, is het essentieel dat autorisatie van gebruikers (de sleutel) en het gedrag van gebruikers (touwtje uit de brievenbus?) ook op orde is.
Het is best gek dat dat nog niet altijd het geval is. Bedrijfsdata en patiëntdata zijn echt iets anders dan privédata. En met dat laatste gaan we met steeds meer zorg om. Het is dan toch ook niet gek om zorgvuldig om te gaan met de data van anderen. Zeker als die de gezondheid van de ander betreffen. En daarnaast is ieder van ons zich steeds meer bewust van het feit dat data het nieuwe geld zijn. Data hebben waarde. Ook voor de kwaadwillende medemens. Het zou wat zijn als de bank uw inlogcode en password voor uw online bankieren app voor iedereen toegankelijk maakt.
Nu de techniek voor IT-beveiliging in de meeste ziekenhuizen wel op orde is, valt op dat dat vaak niet geldt voor de authenticatie en autorisatie van gebruikers. Niemand is volledig verantwoordelijk voor toekenning en toekenningsbeheer en die gedeelde verantwoordelijkheid maakt dat het mis gaat. Kortom de hygiëne van Identity en Access Management is niet op orde en dan is het wachten tot het fout gaat. Iemand gaat een keer de sleutel vinden van die medewerker die niet meer werkzaam is in het ziekenhuis. Hebben we te maken met een eerlijke vinder dan loopt het met een sisser af. Maar o wee als de vinder wat minder ethisch is.
De start van een oplossing ligt in het duidelijk borgen van de verantwoordelijkheid bij één afdeling, namelijk die afdeling die gaat over de mensen binnen een organisatiewerken: HR. Wanneer de verantwoordelijke is benoemd is het doorpakken en zal er een implementatie moeten plaatsvinden van Identity en Access Management (lees: de functie en rollen bepalen welke functionaliteiten en data een gebruiker mag zien). De juiste Governance is hierbij wel de sleutel, het moet wel werkbaar blijven. Dat betekent een goede balans tussen formele spelregels en praktische werkwijze. Is die balans niet goed dan zal het goede voornemen snel verzanden in een niet actueel overzicht, met een groeiende lijst van medewerkers die veel meer mogen dan hun huidige functie of rol vereist.
Maar ook dan ben je er nog niet. We hebben nu een slot op de deur, we hebben sleutelbeheer goed ingericht. Nu moet iedereen nog goed omgaan met die sleutel. En dat betekent dat medewerkers van hoog tot laag het bewustzijn moeten krijgen dat zij de verantwoordelijkheid dragen over waardevolle spullen van anderen.
Investeren in het slot (de IT-beveiliging), het sleutelbeheer (Identity en Access Management) en het gebruik van de sleutel gaan hand in hand. Als één van drie-en niet op orde is neemt de kans op onbedoelde toegang door kwaadwillenden toe. Uiteindelijk hebben mensen toch weer de sleutel in handen.
Ik help je graag om een pragmatisch plan te maken; of gewoon om eens te sparren? Check mijn profiel op pragus.nl of op LinkedIn
