Informatiebeveiliging, wat moet je doen en wat kun je laten?

Cyber security, informatieveiligheid en privacy; het zijn hete hangijzers bij zorgorganisaties. Informatie- en technologiearchitecturen zijn niet compleet zonder ook dit aspect meegenomen is. Maar wat moet je als architect doen en wat kun je als zorgorganisatie laten?
De werkgroep Architectuur in de Zorg heeft op woensdag 12 oktober over twee onderwerpen gesproken; cliëntenportalen en informatiebeveiliging. Het eerste onderwerp leverde een levendige discussie op die in de bijeenkomst van 7 november wordt voortgezet. Daarover later dus meer. In dit blog deelt de werkgroep iets van ons gesprek over het onderwerp informatiebeveiliging in de zorg.


Wat is er mis met de vraag; mag dit?
De functionaris binnen een zorgorganisatie belast met de informatiebeveiliging, wordt binnen de grotere organisaties vaak aangeduid met de term Chief Information Security Officer (CISO). Harm Frederik Snijder, deelde met ons zijn visie en ervaringen als CISO van ’s Heeren Loo Zorggroep. Zo krijgt hij van bijvoorbeeld architecten en projectleiders vaak de vraag; mag dit? Zijn antwoord daarop is meestal; wat denk je zelf? Dat is niet bedoeld om er makkelijk van af te zijn maar vooral om de vragensteller aan het denken te zetten. Vaak is de vragensteller al in het bezit van een goot deel van het antwoord.
Informatiebeveiliging is namelijk altijd een samenspel tussen de ‘te beschermen belangen’ en de kwetsbaarheden die een bedreiging vormen voor die belangen. Daarna is het zaak om te kijken naar de kans dat die bedreigingen voorkomen en de impact als ze voorkomen, waarmee het risico is bepaald.

Een architect die een nieuw ontwerp maakt en zich dan uiteraard afvraagt of iets veilig is, kan deze exercitie zelf doorlopen als een soort self-assessment. Wat zijn de te beschermen belangen in mijn ontwerp, waar zitten de kwetsbaarheden en wat zijn dan de risico’s? Uiteraard kan de CISO deze analyse vervolgens toetsen en van advies voorzien.
Wat kan een zorgorganisatie laten als het gaat om informatiebeveiliging?
De verleiding is groot om informatiebeveiliging het domein van de IT te maken. Echter focussen op alleen technologie is de grootste valkuil als het gaat om informatieveiligheid. Een goed informatiebeveiligingsbeleid is tenslotte gericht op de organisatiebelangen en die zijn zeker in de zorg, zelden technologisch van aard. Daarnaast zal een te rigide technologische informatiebeveiliging het werken vrijwel onmogelijk maken, dat leidt ertoe dat medewerkers andere oplossingen zoeken die vaak veel onveiliger zijn.


Wat kan en moet een architect doen?
De belangrijkste aanbeveling en eigenlijk iets dat elke architect moet doen is het doorlopen van de self-assessment. Daarbij is een focus op de organisatiedoelstellingen van belang maar ook een “never trust, always verify” houding. Als architecten kunnen we een belangrijke rol spelen in het bewustzijn binnen de organisatie over informatieveiligheid; doordat we toelichten wat de achtergrond van onze keuzes zijn, doordat we wijzigingen in de architectuur altijd expliciet beoordelen ook op beveiliging, doordat we het meenemen in onze discussies met medewerkers, beslissers en leveranciers.


Architecten en CISO die elkaar versterken bij het veiliger werken, dat mag!

Weergaven: 101

Opmerking

Je moet lid zijn van Via Nova Architectura om reacties te kunnen toevoegen!

Wordt lid van Via Nova Architectura

Sponsoren

Sessies

27 maart: KNVI/NAF/VNA sessie over praktische filosofie meer...

11 april: KNVI sessie over gegevenskwaliteit

13 april: GIA sessie over data governance in de praktijk meer...

11 mei: GIA sessie over API's en microservices meer...

8 juni: GIA/KNVI sessie over SAFe agile en de rol van de architect meer...

Advertenties

Je kunt hier ook zelf adverteren

© 2017   Gemaakt door Stichting Digital Architecture.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden