CISO’s in opmars

Een kwart van de grote organisaties heeft inmiddels een CISO (Chief Information Security Officer) in dienst; een teken dat er op directieniveau meer aandacht is voor IT-beveiliging. Dat blijkt uit een rapport van IBM, dat hiervoor met ruim 130 beveiligingsmedewerkers van diverse niveaus in 7 landen sprak (bron).

Nu kunnen we natuurlijk heel blij zijn met het feit dat een kwart van de bedrijven inmiddels een CISO heeft aangesteld. Maar dat betekent dat nog steeds 75% van de grote organisaties nog geen CISO hebben en dan moeten we niet uit het oog verliezen dat het hier specifiek gaat om grote organisaties. De middelgrote en kleine organisaties zijn buiten scope en ik vrees dat de cijfers daar nog erger zijn.

Maar laten we nog even verder gaan. Ook heeft 75 procent niet genoeg budget en daadkracht voor een degelijk IT-beveiligingsbeleid, zo concluderen de onderzoekers van IBM. Wel denkt twee derde dat de budgetten hiervoor de komende 2 jaar zullen stijgen.

Nu kun je informatie zo sturen als je wilt, maar wat mij betreft bevestigd dit het beeld dat ik al jaren over de bühne probeer te brengen. Het is nog slecht gesteld met de aandacht voor informatiebeveiliging.

En nu zou ik daarover kunnen klagen maar dat doen we natuurlijk niet. Nee, het komt ook door hoe wij informatiebeveiliging aan het management willen “verkopen”. Wij slagen er nog te weinig in om de beveiligingsrisico’s te koppelen aan de “enterprise risks”. We vallen het management nog te veel lastig met allerlei technische beveiligingsmaatregelen en projecten. Het management begrijpt er niets van en wij kunnen het niet goed genoeg uitleggen.

Positief punt is dat men verwacht dat er de komende 2 jaar extra budgetten beschikbaar komen. Nu maar hopen dat we die budgetten ook daadwerkelijk in kunnen zetten om risico’s af te dekken. Doen we dit verkeerd dan houden we de huidige cyclische manier van werken: geen budget, toename risico’s => te veel risico’s dan meer budget, we zetten dat budget verkeerd in en leggen te weinig verantwoording af aan het management => het management moet bezuinigen en komt als eerste het beveiligingsbudget opeisen.

Kortom: we hebben de komende jaren een kans als informatiebeveiligers. Laten we die kans met beide handen aangrijpen en ervoor zorgen dat informatiebeveiliging een volgende volwassenheidsfase bereikt…daar zijn we gezamenlijk verantwoordelijk voor.

In 2016 een tekort aan informatiebeveiligers

Mensen die aan een opleiding beginnen, hebben rooskleurige vooruitzichten. ICT- Office verwacht dat er in 2016 een tekort is ontstaan van 6.300 mensen. Het tekort betreft vooral hbo- en wo-gediplomeerden, in mindere mate ook goed geschoolde mbo’ers (niveau 4). De vacatures zullen vooral ontstaan op softwarevlak, niet op het gebied van hardware. Bedrijven denken vooral moeite te krijgen met het opvullen van vacatures voor programmeur, developer, tester en in de informatiebeveiliging (bron).

Hartstikke goed dat ICT- Office hier aandacht aan besteedt en prima dat ze aangeven dat er in 2016 een tekort is ontstaan in de informatiebeveiliging. Overigens lijkt dat nu al het geval. Er komt steeds meer vraag naar informatiebeveiliging en goede informatiebeveiligers zijn nu eenmaal moeilijk te vinden. Daarbij moet er dan ook nog de juiste match gemaakt worden tussen informatiebeveiliging en informatiebeveiligingsopdracht of functie.

We zien dat er met name veel vraag is naar technische informatiebeveiligers en dat is logisch. De afgelopen jaren hebben bedrijven flink bezuinigd op de beveiliging en op de techniek, dus daar moet nu flink wat achterstallig onderhoud worden weggewerkt.

Toch is hier een waarschuwing op zijn plaats voor de bedrijven die naarstig op zoek zijn naar kennis en kunde op dit gebied. Je kunt proberen als bedrijf de medewerkers zelf in dienst te nemen (op je afdeling informatiebeveiliging die je misschien onder de IT afdeling hangt en mijn vaste lezers weten dat ik daar toch echt anders over denk). Maar je kunt ook overwegen om strategische samenwerkingsverbanden aan te gaan met specialisten op dit gebied (en ja, inderdaad, ik preek voor eigen parochie maar ik zal het uitleggen).

Informatiebeveiliging is een breed vakgebied en kan zelfs nog breder worden als we ook kijken naar aanpalende gebieden als risico management, compliance, business continuity, disaster recovery, fysieke beveiliging, anti-fraude en ga zo nog maar even door. Er zijn simpelweg geen profielen te vinden van mensen die al deze gebieden met een voldoende niveau af kunnen dekken.

Je hebt als bedrijf dus niet veel aan een informatiebeveiliger als hij of zij (kom op dames, het is een mooi vakgebied dus ik nodig jullie graag uit om daar deel van uit te maken) een bepaald specialisme heeft. Het risico is te groot dat de andere onderdelen achterop raken en dan geldt nog steeds dat de keten zo zwak is als de zwakste schakel.

We zullen het blog niet te lang maken en richting een einde gaan. Voor bedrijven geldt dat ze nu al moeten anticiperen op het tekort aan informatiebeveiligers. Ze moeten nu al beginnen met mensen aannemen en opleiden (tenminste als je ze echt zelf in dienst wilt hebben). Anders je moet nu al op zoek naar strategische samenwerkingsverbanden.

Voor scholieren en studenten, die aan de vooravond van een keuze voor vervolgstudie staan, geldt dat ze de opleidingen op het gebied van informatiebeveiliging zeker kunnen overwegen. En om terug te komen op de uitnodiging voor meer vrouwen in dit vakgebied: Jullie kijken weer anders aan tegen informatiebeveiliging dan al die mannelijke 1-en en 0-en die nu de dienst uitmaken en beveiliging gaat alleen goed werken als we er van verschillende kanten naar kijken.

Hacken? Dat gebeurt mij toch niet?

Bij hacking is het nog te vaak de gedachte dat het altijd een ander overkomt en mij (of jou in dit geval) niet. Komen er weer eens gegevens op straat dan is dat toch vaak van een site die we zelf nog nooit bezocht hebben.

Daarom vandaag onderstaand bericht die het voor jou misschien allemaal wat dichterbij plaatst.

Gegevens van 84.000 klanten van Bol.com waren toegankelijk na een lek bij een partner van de webwinkel. Het lek is inmiddels gedicht. Het gaat om klanten die hebben meegedaan aan een actie eind vorig jaar met de naam Warm Welkom. De naam, geboortedatum, het e-mailadres en het geslacht van deelnemers werden opgeslagen in een database bij een partner van Bol.com (bron).

Eerlijk is eerlijk. Bol.com is een grote jongen en veel van ons hebben daar wel eens spullen aangeschaft. Zelden horen we slechte berichten en ze leveren netjes wat ze beloofd hebben. Ja, ook ik ben een grote fan van Bol.com en kijk er altijd naar uit als er weer een pakketje bezorgd is. Maar ook een bedrijf als Bol.com ontkomt er niet aan.

En nee, het mag dan zo zijn dat ze zelf niet gehackt zijn maar zijn zij ook niet verantwoordelijk voor hun leveranciers? Sterker nog. Juist een bedrijf als Bol.com, dat met name bestaat bij de gratie van haar leveranciers moet er op toezien dat ook die zich aan de regels houden.

Het imago is een kostbaar goed en Bol.com heeft er jaren hard aan gewerkt om dat imago te krijgen waar het nu is. Het kan niet zo zijn dat een leverancier te makkelijk met de beveiliging omgaat waardoor het imago van Bol.com een deuk oploopt.

Overigens zal dat met dit bericht nog meevallen. Het imago van Bol.com is te goed en het bericht is te klein (en te snel weggemoffeld). Slechts weinig mensen zullen dit bericht hebben gelezen. Laat het daarom een goede waarschuwing zijn voor alle bedrijven die zaken doen met leveranciers (ieder bedrijf) en dat hiervoor gegevens deelt met die leverancier (ook ieder bedrijf).

Je kunt zelf je informatiebeveiliging nog zo goed op orde hebben, als je leveranciers dat niet hebben loop je nog steeds een groot risico. Daarom goede afspraken maken met je leveranciers, ook als het gaat om informatiebeveiliging. Ook periodiek controleren of je leveranciers wel aan jouw standaarden voldoen. En hebben we het over dit soort standaarden dan moet je er als bedrijf natuurlijk zelf ook voor zorgen dat je informatiebeveiliging op orde is.

Het staat nogal knullig als jij het slechter voor elkaar hebt dan je leveranciers. Informatiebeveiliging kunnen we pas goed regelen als we het in de keten aanpakken en daarvoor moet de sterkste schakel in die keten (en dat is in dit geval Bol.com) voorop lopen en het goede voorbeeld geven.

Nou, van mij krijgen ze nog het voordeel van de twijfel maar als het vaker gebeurt dan ga ik toch eens kijken wat er nog meer op internet te halen is bij concurrenten van Bol.com.

Succes BYOD hangt af van beveiliging

Nog even in een notendop: De almaar groeiende populariteit van persoonlijke mobiele apparatuur verandert de manier waarop technologie binnen het bedrijfsleven gebruikt wordt. Steeds meer werknemers nemen eigen apparatuur mee naar kantoor. Het is aan de organisatie om te zorgen dat hun data op een veilige manier aan deze toestellen aangeboden wordt (bron).

Voor de zekerheid: BYOD gaat over het Bring Your Own Device-principe. Dus niet meer een vaste werkplek of laptop van je baas maar er gewoon lekker zelf voor zorgen dat je over de juiste apparatuur beschikt die je nodig hebt voor je werk. Op zich natuurlijk niet zo’n gekke gedachte en het kan de organisatie een berg geld schelen omdat ze minder aan beheer hoeven te doen.

Het risico zit hem er in dat je verschillende soorten apparatuur op je netwerk krijgt waar je geen controle over hebt en de informatie waar jij eigenaar van bent wordt gemakkelijk opgeslagen op diezelfde apparatuur (waar je dus nog steeds geen controle over hebt).

Zoals we al vaker hebben aangehaald is informatie voor veel organisaties het nieuwe goud. De informatie is noodzakelijk voor het voortbestaan er van. Maar ja, als we een paar euro kunnen besparen dan zijn we al snel vergeten wat de waarde van die informatie is.

Maar we willen natuurlijk niet terugvallen in de oude patronen van beveiliging. We keren niet terug naar het 1.0 scenario. Nee, wij zijn niet tegen ontwikkelingen. Dus ook niet tegen de ontwikkeling die we BYOD noemen. We willen wel graag dat we goed nadenken over de risico’s die nieuwe ontwikkelingen met zich meebrengen. Hebben we die risico’s eenmaal in kaart gebracht dan kunnen we ook keuzes maken.

Willen we die risico’s lopen en dus accepteren, willen we die risico’s afdekken of willen we die risico’s misschien verzekeren? Uiteindelijk kan de organisatie zelfs besluiten om BYOD voorlopig toch nog maar even niet in te voeren.

BYOD heeft dus best wat risico’s in zich en welke dat allemaal zijn, laat ik hier nog even in het midden. Maar als we het relativeren dan kunnen we natuurlijk ook gewoon concluderen dat BYOD een gewone ontwikkeling is, net als andere ontwikkelingen in het verleden en als ontwikkelingen in de toekomst.

Daar moeten we dus niet op tegen zijn, want stilstand is achteruitgang. We moeten dus nu al proactief beginnen met de risico’s in kaart brengen. Ook als er binnen jouw organisatie nog niet over BYOD gesproken wordt, weet je nu al dat het er aan zit te komen. Je kunt je er dus al op voorbereiden. Waar wacht je nog op?

Wereld geeft 25,7 miljard euro uit aan security

Het is dat de 5 nog niet in de klok zit, anders trokken ik en vele concullega’s met mij nu per direct een flinke fles champagne open.

Er wordt in 2011 in totaal 25,7 miljard euro uitgegeven aan ict-security. Dat verwacht onderzoeksbureau Gartner. In 2010 werd er wereldwijd nog 22,8 miljard euro gespendeerd aan ict-beveiliging. In 2015 verwacht Gartner dat het bedrag flink oploopt naar 36 miljard euro. Dat komt doordat de beveiligingsmarkt grote veranderingen doormaakt (bron).

De afgelopen jaren zijn we geconfronteerd geweest met flinke bezuinigingen en op het moment van schrijven zitten we nog midden in de “double dip”. Vele marktsegmenten hebben daar de last van ondervonden en de informatiebeveiliging is daar geen uitzondering op. Weinig is er gedaan aan innovatie en als er al besteed is, dan is dat met name in vervanging van bestaande technische beveiligingsmaatregelen.

Als we inderdaad de komende jaren aan kunnen kijken tegen een groei in de investeringen in de informatiebeveiliging, dan hoor je mij daar niet over klagen. Maar, ik zou mezelf niet zijn als ik daar niet direct een kanttekening bij zou plaatsen.

Het gevaar schuilt hem er in dat we blijven investeren in technische beveiligingsmaatregelen zonder dat we de risico’s voor onze organisatie echt in de smiezen hebben. Voordat we dus de budgetten voor de komende jaren gaan bepalen lijkt het mij een goed idee om nog eens goed naar onze organisatie als geheel te kijken. Wat was onze missie ook alweer? Welke strategie voeren we daarbij? En welke doelstellingen willen we wanneer bereiken?

Dat zijn de uitgangspunten. Die moeten we als uitgangspunt nemen voor onze risico analyses. Als we dan toch uit de dip komen, dan kunnen we het beter gelijk goed doen. Goed doen, door nu eindelijk een top-down benadering te hanteren. Natuurlijk moeten we apparatuur, die aan het eind van de levensduur gekomen is, vervangen. Maar eigenlijk zijn we dan al te laat. Bij aanschaf konden we al weten dat de apparatuur een keer vervangen moest worden.

Het is zonde van het geld als we klakkeloos de apparatuur vervangen zonder te kijken naar de risico’s die we daarmee af willen dekken. Misschien zijn de risico’s wel anders dan een jaar of 5 geleden. Misschien is onze organisatie nu wel heel anders dan 5 jaar geleden en misschien is ook onze technische infrastructuur nu heel anders dan 5 jaar geleden.

Voordat we weer miljoenen (of als we Gartner mogen geloven: miljarden) over de balk smijten, zou ik toch liever zien dat we ook bij informatiebeveiliging planmatig te werk gaan. We mogen best een potje achter de hand houden voor als het fout gaat. Maar het grootste deel van het budget moeten we toch echt gaan reserveren voor preventie. En dat kunnen we alleen doen op basis van risico analyse en met de missie, strategie en doelstellingen in het achterhoofd.

Zo, iedereen die nu nog zegt dat er geen budget is voor informatiebeveiliging, verwijs ik graag naar het onderzoek van Gartner. Toch een goed aangeschreven naam. Grote kans dat je met een onderzoek van Gartner je management kan overtuigen van het feit dat de tijd achter ons ligt dat we niet meer in informatiebeveiliging investeerden.

Nou, ik hoor het wel als de kogel door de kerk is en het budget is goedgekeurd. Ik denk graag met je mee over de risico’s en de wijze waarop je het budget zo efficiënt mogelijk kunt besteden. Kijken we echt met een top-down benadering en met een integrale beveiligingsvisie naar de toekomst dan is zelfs de kans aanwezig dat je flink budget over houdt…die we dan uiteraard weer netjes teruggeven aan het management.

Manager vindt scheiden minder stressvol dan IT-security

Een opmerkelijk bericht dat ik vorige week onder ogen kreeg.

72% van de IT-managers vindt een klein auto-ongeluk, persoonlijke schuld of een scheiding minder stressvol dan het verantwoordelijk zijn voor en beschermen van bedrijfsgegevens. Voor 14% is het zelfs minder stressvol om ontslagen te worden dan als IT-manager actief te blijven. Dat beweert beveiligingsbedrijf Websense in een nieuw onderzoek.

Bijna negentig procent van de duizend ondervraagde managers zegt dat hun baan risico loopt als er een beveiligingsincident plaatsvindt, waaronder als er vertrouwelijke gegevens van de CEO of andere bestuurders wordt gestolen. Verder stelt dertig procent dat hun onderneming 100% beveiligd is, terwijl vijftig procent stelt dat ze over voldoende bescherming beschikken, maar dat sommige dreigingen er altijd doorheen zullen glippen. (bron)

Blijkbaar speelt er zich nogal wat af in de hoofden van IT-managers. Op zich ook niet zo vreemd natuurlijk. Met de huidige economische situatie wordt er flink bezuinigd. Ook op het gebied van informatiebeveiliging. Het is eerder pappen en nat houden dan op basis van de onderkende risico’s aan de slag gaan.

Wat misschien nog wel erger is, is dat 30% denkt dat ze 100% beveiligd zijn. Klinkt toch als onze kop in het zand steken. Geen enkele organisatie is 100% beveiligd. Dat komt omdat we nu eenmaal risico’s lopen. Zeer verschillende risico’s.

Denk alleen maar aan risico’s van natuurlijke aard (storm, hagel, overstroming). De natuur kunnen we nog steeds niet beïnvloeden. Dus lopen we risico’s. Daarnaast hebben we nog de risico’s van meer persoonlijke aard. Daarbij kunnen we dan weer onderscheid maken tussen eigen medewerkers en buitenstaanders, maar ook bewuste en onbewuste fouten. Kleine kans dat we die allemaal onder controle hebben.

Als het inderdaad allemaal zo stressvol is, dan is het een goed idee om toch eens een goede nulmeting uit te voeren. Zo kom je er vanzelf achter waar nog eventueel de blinde vlekken zitten. Het is niet zozeer de vraag of die blinde vlekken er zijn, maar meer waar zich die bevinden. Daarbij kijken we dan weer naar de beveiliging van geautomatiseerde, niet geautomatiseerde data maar natuurlijk ook naar de personele en materiële beveiliging.

Ik moet de organisatie nog tegenkomen die het over de hele linie goed voor elkaar heeft. Dat is natuurlijk niet erg, als we maar niet onze kop in het zand steken en denken dat wij geen risico’s lopen. Vergeet niet: het grootste risico’s is het risico dat we niet onderkend hebben…

Informatiebeveiliging: specialistisch advies

Iedereen heeft wel een mening als het gaat om informatiebeveiliging. Een geluk bij een ongeluk? Of juist een ongeluk bij een geluk? Dat is maar net hoe je er naar kijkt. Je kunt het vergelijken met het “thuisdoktoren” zoals iedereen tegenwoordig doet. Pijn in je linkerzij en uitslag op je rechter elleboog? Even Googlen en je hebt je ziekte zo gevonden…daar heb jij de huisarts toch niet meer voor nodig zeker?

Ik heb te doen met de huisartsen van tegenwoordig (jammer trouwens dat zij niet met ons te doen hebben als informatiebeveiligers, maar goed, dat kun je ze eigenlijk niet kwalijk nemen). Heb je net 8 tot 10 jaar gestudeerd om de kwalen te kunnen achterhalen, heeft je patiënt het met 2 minuten internetten ook al gevonden. Probeer die patiënt er dan nog maar eens van te overtuigen dat het toch echt iets heel anders is dan de “ZiektePedia” hem verteld heeft.

Op het gebied van informatiebeveiliging zien we hetzelfde ontstaan. Iedereen heeft er wel een beeld bij, iedereen heeft er wel een mening over en als we het niet weten Googlen we het toch even? Toch is dat niet altijd (of eigenlijk: bijna nooit) het juiste medicijn, daarom gaan we ons de volgende vraag stellen:

Wordt er, waar nodig, specialistisch advies ingewonnen op het gebied van beveiliging?

Inmiddels kunnen we de conclusie trekken dat beveiliging als vakgebied een erg breed vak is. We hebben het over bedrijfskunde, we hebben het over organisatiekunde, we hebben het over risicomanagement, we hebben het over informatietechnologie, we hebben het over bedrijfsprocessen, we hebben het over technische maatregelen en we hebben het over onze gebouwen en mensen.

De kans dat je alle kennis in huis hebt (of wilt hebben) om alle aspecten van beveiliging zelf te kunnen overzien is klein en vaak ook niet nodig. Daar waar nodig kan specialistisch advies van buiten worden ingewonnen. Dat geeft niet alleen een frisse blik maar voorkomt ook dat we alle kennis zelf in huis hoeven te hebben.

Natuurlijk weten we dat het beeld van specialistisch advies duur is. Bedenk echter dat het zelf in huis hebben van al die kennis wellicht vele malen duurder en minder efficiënt is.

‘Pennywise, Pound foolish’, zo kunnen we het in een aantal gevallen wel noemen als we specialistische kennis buiten de deur houden. We pleiten ervoor om organisaties zoveel mogelijk zelf te laten doen maar daar waar nodig specialisten in te schakelen. Deze zijn op de hoogte van de laatste stand van zaken en zijn in staat om de doorvertaling te maken naar de praktijk van de klantorganisatie.

Daarbij moeten we overigens niet de illusie hebben dat iedere informatiebeveiliger hetzelfde kunstje kan. Nee, vanwege de breedte van het vakgebied zijn daarbinnen ook specialisten te vinden. Zo zal de een meer weten van allerlei technische firewalls, terwijl de ander juist weer alles weet van sloten, bouten en moeren. Ook hier kunnen we weer de parallel trekken naar de medische wereld: een huisarts laat je ook geen open hart operatie uitvoeren, toch?

Eigenlijk zouden we informatiebeveiliging veel meer op moeten pakken zoals we dat in de medische wereld al veel langer doen. Denken we dat we een probleem hebben dan gaan we naar de huisarts, die stelt een prognose en verwijst ons door naar een specialist als hij het niet zelf op kan lossen. Zo bezien, ben ik dus eigenlijk een huisarts die graag de prognose stelt om je vervolgens of zelf te helpen of als het buiten mijn specialisatie valt je door te verwijzen.

Voel je je niet zo lekker? Bel me gerust, ik stel vast wat het probleem is en wie je daar het beste bij kan helpen. Misschien moet ik binnenkort eens starten met een spreekuur…lijkt je dat wat? Dan hoor ik het graag.

De put dempen als het kalf verdronken is

E-mailaanbieder en marketingbureau Epsilon is na de recente diefstal van miljoenen e-mailadressen weer begonnen met het versturen van marketing e-mails. Aanvallers wisten toegang tot de gegevens van meer dan 50 bedrijven te krijgen die bij Epsilon klant zijn…In een nieuwe verklaring laat Epsilon weten dat er alleen e-mailadressen en namen zijn gestolen, en er geen persoonlijke identificeerbare informatie, zoals social security nummers of creditcards, zijn buitgemaakt…Wel maakt het bedrijf zich zorgen dat vanwege het incident “grote klanten” zullen vertrekken. Het terugwinnen van het vertrouwen van de klanten heeft dan ook op zowel korte als lange termijn de hoogste prioriteit. Daarnaast maakt Epsilon nogmaals excuses voor het datalek (bron).

Excuses niet aanvaard…en nu? Als klant heb je natuurlijk niet zoveel keuze. Je kunt best weglopen bij het bedrijf, maar het leed is al geschied. De e-mailadressen en namen liggen op straat.

Natuurlijk kan ik je hier nogmaals vertellen dat het bij informatiebeveiliging eigenlijk maar om drie zaken gaat: omzet, kosten en imago. Maar dat gaan we niet doen, omdat Epsilon inmiddels ook wel weet dat, dat het echte probleem is.

Nee, laten we nu maar eens de keten aanhalen. Zoals we weten (althans, we zeggen dat we dat weten) is de keten zo zwak als de zwakste schakel. Dat is niet alleen zo in een ketting, maar bijvoorbeeld ook in een logistiek proces. Als de grondstofleverancier niet kan leveren, dan komt mijn eindproduct nooit bij de consument.

Maar trek nu eens de parallel naar informatiebeveiliging? Meer en meer organisaties beschikken over elkaars gegevens of kunnen bij elkaar in de systemen. Hartstikke prettig dat ik als organisatie dan ISO-gecertificeerd ben, maar hoe zit het met mijn leverancier en afnemers? Zijn die wel net zo bezorgd om beveiliging van de gegevens als dat wij dat zijn?

Uiteraard sluiten veel organisaties SLA’s af om zeker te kunnen zijn van een bepaalde mate van dienstverlening. Daarin nemen we ook graag de optie op om de leverancier te mogen auditen. Een goede beveiligingsparagraaf ontbreekt echter nog vaak in de SLA en controleren van de beveiliging doen we al helemaal niet, stel je voor.

Zolang de ketens steeds meer van elkaars systemen gebruik gaan maken is een eenzijdige aanpak van informatiebeveiliging niet voldoende meer. Nee, willen we de risico’s echt afdekken dan zullen we toch echt naar de hele keten moeten kijken.

Is dat dan zo makkelijk? Nee, natuurlijk niet maar het oplossen van je eerste Sudoku puzzel was dat ook niet, nu los je die puzzeltjes in een paar minuten op. Was je er toen nooit mee begonnen dan was het nu nog steeds zo ingewikkeld. Dat zelfde geldt net zo hard voor de controle van de keten: natuurlijk is het niet makkelijk, maar bedenk dat het over een jaar nog net zo ingewikkeld is als we niet nu al beginnen.

Wat ik voor je kan betekenen? Dat leg ik je graag uit, maar laten we eerst beginnen met het op orde brengen van de informatiebeveiliging binnen jouw organisatie voordat we naar de keten kijken…je wilt immers niet tot de conclusie komen dat jij de zwakste schakel bent.

Ziekenhuizen laks met beveiligen patientendossiers

Steeds meer ziekenhuizen en zorginstellingen in Nederland volgen niet de code voor informatiebeveiliging voor het beveiligen van vertrouwelijke informatie. De norm NEN 7510 is een door het Nederlands Normalisatie-instituut ontwikkelde norm voor Informatiebeveiliging voor de zorgsector in Nederland…Uit de resultaten van het onderzoek blijkt nu, dat nog slechts 23% van de respondenten de code informatiebeveiliging hanteert, ten opzichte van 57% in 2007. (bron).
Zie je wel: vroeguh was alles beter.

Nou, nou Ab (Klink natuurlijk), jij maakt tenminste het verschil binnen dit kabinet. Vorig jaar november schreef je nog een brief aan de Tweede Kamer waarin je aangaf dat de informatiebeveiliging in ziekenhuizen snel beter moest (bron). Ziekenhuizen moesten voor 1 februari 2009 aangeven hoe ze de veiligheid van patientendossiers garanderen. Over natuurlijk overwicht mag je in ieder geval niet klagen. Don’t fuck with Ab Klink…of was het nou Frank de Grave?

Ben benieuwd of er nog tijd is om hier kamervragen over te stellen. Of zijn alle politici op dit moment te druk bezig met DSB (heb er gelukkig geen mening over, klanten van DSB: succes).

Maar goed, voor onze Ab mag dit niet als een verrassing komen. Het College Bescherming Persoonsgegevens (CBP) en de Inspectie voor de Gezondheidszorg (IGZ) hebben eerder al gesteld dat het met de veiligheid van computersystemen van ziekenhuizen niet goed gesteld is (2007). Wat we niet moeten vergeten is dat het IGZ juist in september van dit jaar nog aan gaf dat de informatiebeveiliging beter is geworden (bron). Welk onderzoek moeten we nu geloven?

Het lijkt misschien of ik Ab hier in een negatief daglicht wil zetten, maar dat is natuurlijk niet zo. Hij neemt keiharde maatregelen. Het ziekenhuis bij mij in de buurt (Vlietland Ziekenhuis), dat kort geleden gefuseerd is, laat hij gewoon failliet gaan. Daar kan binnenkort in ieder geval niets meer mis gaan met de elektronische patientendossiers en over dubieuze sterfgevallen hoeft men zich daar ook geen zorgen meer te maken.

Vroeguh was alles beter toen werd je nog gewoon geholpen als je iets mankeerde. Nu moet je maar hopen dat een hacker jouw patientendossier niet gewijzigd heeft en dat het ziekenhuis nog bestaat als je het nodig hebt.