Al aanwezige bescherming
Vrijwel elke zorgorganisatie heeft beschermingsmaatregelen genomen, zien we bij de organisaties waar we voor werken. De ene meer dan de ander, de ene effectiever dan de ander. In onze vorige blogs gebruikten we de vergelijking met de beveiliging van je huis – ook daar is geen enkele beveiliging en bescherming gelijk. Logisch, aangezien zowel de huizen als de bewoners verschillen. Waar de ene slapeloze nachten heeft van een hek dat nog 10 centimeter hoger zou mogen, ligt de ander niet wakker van een onbeveiligd dakterras.
Ook voor stap 2, de bescherming, geldt dus dat je eerst weer om je heen kijkt. Want hoe goed heb je de beveiliging eigenlijk geregeld? Sluit je ramen en deuren voordat je weggaat of doe je dat – voor het gemak – alleen op de benedenverdieping?
Je toegang goed regelen
Je sleutelbeleid: ook iets dat elk huishouden op de eigen manier doet. Sommigen hebben sleutelkastjes met een code, anderen een sleutel voor elk kind. Wanneer je voor een langere periode schilders over de vloer hebt, geef je ze wellicht een sleutel. Die sleutel wil je, wanneer het werk klaar is, weer terug. En laat je ze overal in je huis komen, of alleen in bepaalde ruimtes?
Vergelijk je dat met de beveiliging in zorgorganisaties, dan is dat daar voor verbetering vatbaar. Denk aan accounts (‘sleutels’) die door meerdere zorgprofessionals tegelijk worden gebruikt. Of aan de grenzen die je stelt aan het gebruik van de publieke ruimtes. Die zouden er ook digitaal mogen zijn: met een goed gesegmenteerd en beveiligd netwerk voorkom je dat iemand vanuit een openbaar of minder vertrouwd deel van je netwerk kan doordringen naar je kritieke systemen en applicaties.
En zo is er meer dat je naar je eigen zorgorganisatie kunt doortrekken. Pas je overal multifactor authenticatie toe of alleen op de ‘belangrijkste systemen’? (De ramen alleen op de benedenverdieping dicht.) Weet je zeker dat al je systemen up-to-date en gepatcht zijn, ook die van je printers en medische apparatuur? Je hang- en sluitwerk thuis onderhoud je ook. En heb je (micro)segmentatie toegepast, zodat inbrekers, mochten ze binnenkomen, vervolgens alleen maar gesloten kamers treffen?
Natuurlijk stel je jezelf ook de vraag: wanneer is het genoeg? Denk aan multifactor authenticatie: wanneer je het teveel toepast, kan het de zorgverlening gaan hinderen.
Bewust van je beveiligingsbeleid
Veel huishoudens bestaan uit meerdere mensen, zoals gezinsleden of huisgenoten. En er zijn tijdelijke passanten: schoonmakers, een loodgieter of hoveniers. Is iedereen zich bewust van de beschermingsmaatregelen? Dat je, als je weggaat, het gasfornuis uitzet, de ramen en deuren sluit, op slot doet en het alarm erop zet? Dat je kinderen, als ze alleen thuis zijn, de deur niet open doen en geen vreemden binnenlaten? Ook als ze zeggen dat ze een afspraak hebben? Logische vragen, maar bij zorgorganisaties worden ze niet altijd gesteld.
Al je huisgenoten, ook de tijdelijke, zullen vreemd opkijken en in actie komen als iemand ineens een ladder tegen de gevel zet en via een raam naar binnen gaat. Hoe is dat in je zorgorganisatie? Herkennen al je medewerkers de belangrijkste phishing-tactieken en andere social engineering-trucs? Neem bijvoorbeeld Sinterklaas: iedereen kan zo'n pak aantrekken, maar hebben ze de juiste bedoeling? En hoe is dat met je tijdelijke krachten? Als zij toegang hebben tot belangrijke systemen, wil je hen ook bewustmaken en instrueren over je veiligheidsbeleid.
Regelmatig trainen is cruciaal. Denk maar aan thuis: hoe kun je van jongere huisgenoten verwachten dat ze een alarm kunnen aan- en uitzetten of weten wat ze moeten doen bij brand, als je dat nog nooit met ze besproken of geoefend hebt? Misschien ontdek je bij een oefening wel dat ze niet eens bij het alarm kunnen, omdat ze te klein zijn. Training en oefening geeft inzicht en helpt je om je securityplannen en procedures steeds verder te verbeteren.
De 10 belangrijkste checks van stap 2
- Heb je een overzicht van alles en iedereen met toegang (netwerken, systemen, API’s)? Heb je de toegang geautomatiseerd? Gebruiken jullie multifactor authenticatie?
- Pas pseudonimisering of anonimiseren toe waar dat mogelijk is
- Zijn alle apparaten (ook printers en medische apparatuur) waar mogelijk up-to-date en gepatcht?
- Is er een beveiligingsbeleid dat medewerkers begrijpen en kunnen naleven? Past het beveiligingsbeleid bij je organisatie?
- Hoe creëer je bewustzijn over phishing en social engineering?
- Train en test je doorlopend jullie medewerkers op securitykennis?
- Welke externe partijen hebben toegang tot je systemen en data?
- Stel je de juiste eisen aan je leveranciers? Leg je dit contractueel vast en controleer je dit? Beoordeel je leveranciers periodiek op hun beveiligingsmaatregelen?
- Voldoen je leveranciers aan wet- en regelgeving als de NEN7510, AVG en Cyberbeveiligingswet (
NIS2
Serie blogs: de 5 stappen
De komende tijd maken we een serie blogs waarin we met jou de 5 stappen richting digitale weerbaarheid doorlopen. Daarin ontdek hoe je doelgericht de beste afwegingen voor jullie organisatie kunt maken. De eerste 3 stappen staan inmiddels online:
Wil je liever met één van onze specialisten in gesprek? Dat kan ook. Maak hieronder vrijblijvend een afspraak.
