KPN. Informatiebeveiliging in de zorg. Onderzoek. Inzicht in de status van informatiebeveiliging binnen ziekenhuizen

Transcriptie

1 KPN Informatiebeveiliging in de zorg Inzicht in de status van informatiebeveiliging binnen ziekenhuizen Onderzoek

2 2

3 Inhoud Voorwoord 4 Managementsamenvatting 5 KPN onderzoekt informatiebeveiliging in de zorg 6 Onderzoeksmethode 8 Organisatie en besturing 10 Compliance en aansprakelijkheid 14 Awareness 18 Budgettering 20 Risico- en incidentmanagement 24 Risico s en zorgen 26 Patiëntgegevens 28 Cybersecurity 30 ICT en bedrijfscontinuïteit 32 Conclusies en aanbevelingen 36 Contactgegevens 38 Maart,

4 Voorwoord Hoe is het in Nederland gesteld met de informatiebeveiliging in de zorg? Dat was de centrale vraag van een onderzoek dat KPN-consultants begin dit jaar onder negentien ziekenhuizen hielden. Het leverde een rapport op met wetenswaardige resultaten en bevindingen. Zo vinden de meeste ziekenhuizen dat (de aandacht voor) informatiebeveiliging thuishoort op het niveau van de Raad van Bestuur. Ook blijkt dat veel ziekenhuizen hun maatregelen nemen om kwetsbaarheden in hun ICT-systemen op te sporen. Tegelijkertijd komen er in het rapport aandachtspunten naar voren, waaruit blijkt dat informatiebeveiliging nog niet altijd de aandacht krijgt die het verdient. Zo blijken sommige ziekenhuizen onvoldoende in staat om continu te monitoren op de risico s van cybercriminaliteit en diefstal van patiëntgegevens. Voor KPN zijn de onderzoeksresultaten vanuit meerdere oogpunten waardevol, omdat we voor onszelf een belangrijke rol zien weggelegd om de gezondheidszorg via innovatieve, efficiënte en veilige ICT-diensten toegankelijk én betaalbaar te houden. Bijvoorbeeld met e-health-toepassingen, het uitwisselen van informatie tussen zorgprofessionals of overal en altijd toegang tot de zorgwerkplek. Dat een goede (data) beveiliging en de privacy van patiënten daarbij gewaarborgd moeten zijn, is voor ons een vanzelfsprekendheid. Reden waarom KPN als eerste telecomprovider in Nederland van de overheid het Privacy Waarborg-keurmerk heeft ontvangen. Ook op dat vlak kan en wil KPN een substantiële bijdrage leveren aan de gezondheidszorg, met als basis ons betrouwbare vaste en mobiele netwerk. Zorg is onze zorg. Samen met ziekenhuizen en andere gezondheidsinstanties wil KPN nieuwe ICT-toepassingen ontwikkelen én de informatiebeveiliging naar een next level tillen. Het rapport geeft voldoende aanknopingspunten om daar verder invulling aan te geven. Tot slot wil ik de ziekenhuizen en hun Chief Information Security Officers bedanken voor hun medewerking aan het onderzoek. Zonder hun bijdrage zou de publicatie van dit rapport niet mogelijk zijn geweest. Eelco Blok Voorzitter Raad van Bestuur KPN 4

5 Managementsamenvatting Patiëntenzorg gaat tegenwoordig verder dan het zo snel mogelijk behandelen van een ziekte of aandoening. Ook de zorg voor de informatie van en over die betreffende patiënt valt onder de verantwoordelijkheid van de instelling. In dit rapport zijn de resultaten verwoord van het KPN onderzoek naar informatiebeveiliging binnen de zorg. KPN Security Consultants hebben de Chief Information Security Officers van negentien ziekenhuizen bevraagd over uiteenlopende aspecten van informatiebeveiliging in hun ziekenhuis. Vanuit onze kennis en expertise zijn vragen geformuleerd die het thema informatiebeveiliging in de zorg in de breedte afdekken. De meest in het oog springende constateringen zijn: Het voldoen aan wet- en regelgeving op het gebied van informatiebeveiliging staat hoog op de agenda van de Raad van Bestuur en wordt als enigszins effectief ervaren in het verlagen van risico s. Meer dan de helft van de deelnemende ziekenhuizen voert dan ook periodieke compliance reviews uit om de benodigde processen te evalueren. Een derde van de ziekenhuizen voert deze momenteel niet uit. Een groot deel van de deelnemende ziekenhuizen zet op regelmatige basis ethical hackers in om kwetsbaarheden in systemen te identificeren. Echter continue monitoren op cybercriminelen en datadiefstal van onder meer patiëntgegevens wordt niet structureel toegepast. Maar liefst 79% van de ziekenhuizen beschouwt informatiebeveiliging als prioriteit op Raad van Bestuur niveau. Het budget blijft echter achter bij de toenemende risico s rond het verlies van patiëntgegevens, sociale media, malware en verouderde soft- en hardware. Het meten van return on security investment heeft nauwelijks aandacht. KPN heeft dit rapport met zorg samengesteld. Veel dank gaat daarbij uit naar de ziekenhuizen die een bijdrage hebben geleverd aan de totstandkoming van dit verslag. Zij staan aan de basis van dit onderzoek. We hopen met dit rapport een bijdrage te leveren aan de zorgsector. Daarnaast bieden we hiermee aanvullend inzicht in de huidige status en de volgende stappen in de informatiebeveiliging binnen ziekenhuizen in Nederland. Marco Heemskerk Jan de Heer Erik van der Meij Alain Rees Tomas Smulders 5

6 KPN onderzoekt informatiebeveiliging in de zorg De Nederlandse zorgsector staat voor grote uitdagingen. De zorg moet efficiënter zonder verlies van kwaliteit; soms staat er zelfs grotere kwaliteit tegenover. Tegelijkertijd is er onder meer als gevolg van een vergrijzende samenleving steeds meer vraag naar zorg. Onder invloed van ICT neemt het gemak, maar ook de complexiteit toe. Overheden en maatschappij stellen steeds meer eisen, zowel aan de kwaliteit van zorg als aan de veiligheid ook van gegevens. ICT neemt in deze ontwikkelingen een centrale plek in: het levert innovatie en efficiëntie op. Medische informatie vindt snel haar weg naar de juiste specialisten. Patiënten kunnen vanuit huis chatten met hun arts of eenvoudig hun dossier inkijken en gegevens over hun bloeddruk invoeren. Straks nemen patiënten hun eigen ehealth-data mee en is het Internet of Things niet meer weg te denken uit de zorg. Samengevat kunnen we stellen dat ICT-systemen complexer worden en bovendien steeds vaker aan elkaar gekoppeld. De invloed van bedrijven die medische ICT leveren, groeit daarmee vanzelf. Parallel aan deze technische ontwikkelingen lopen organisatorische veranderingen binnen de zorgsector zelf. Ziekenhuizen besteden soms zorgtaken uit, werken intensiever samen of stoten taken af. Gevolg: ze moeten veel meer dan voorheen gegevens met elkaar delen. Logischerwijs brengt dit nieuwe risico s met zich mee. Daarbij groeit de bezorgdheid om de veiligheid van patiëntgegevens. Brussel werkt aan de Algemene Verordening Gegevensbescherming (AVG), dit is nieuwe regelgeving rond privacy. Deze verordening heeft verstrekkende gevolgen voor organisaties die te weinig doen aan bescherming van persoonsgegevens. In ons eigen land werkt Den Haag aan de meldplicht datalekken en heeft het ministerie van Volksgezondheid, Welzijn en Sport onlangs de informatiebeveiligingsnormering voor de zorgsector (NEN 7510) vrijgegeven. Al deze ontwikkelingen hebben bij KPN de vraag doen rijzen hoe het eigenlijk gesteld is met informatiebeveiliging binnen de Nederlandse ziekenhuizen. Bij een globale analyse van de situatie is een vergelijking tussen gezondheid en informatiebeveiliging bijzonder verhelderend. Mensen doorstaan in de relatief korte tijd tussen opstaan en op hun werk aankomen duizenden gevaren. Bijvoorbeeld in de vorm van op de loer liggende bacteriën die infecties kunnen veroorzaken. Gelukkig zijn we ons daar niet bewust van: de bescherming zit in ons systeem, ons lichaam. We maken daarbij onbewust gebruik van een enorme hoeveelheid preventieve maatregelen. Denk aan opvoeding, hygiëne, gezonde voeding, beweging, kennis en ervaring. En mocht het een keertje misgaan, dan geeft ons lichaam dit meestal aan in de vorm van koorts of pijn. Om de impact van een dergelijk incident te beperken gaat het lichaam vaak zelf aan de slag. Soms is er aanvullend medicatie of zelfs behandeling nodig. 6

7 Informatiebeveiliging is, in tegenstelling tot onze eigen gezondheid, nog lang niet zover. Het instinct, het automatisme ontbreekt. Bovendien is de urgentie niet bij iedereen even hoog en missen we eenvoudigweg duizenden jaren kennis en ervaring. Daarvoor is de informatietechnologie nog te jong. Conclusie: we moeten in de zorgsector wat ICT betreft goed nadenken over risico s, preventie, detectie en repressie. Zonder de kwaliteit van leven/gebruikersvriendelijkheid uit het oog te verliezen. Patiëntenzorg gaat tegenwoordig verder dan het zo snel mogelijk behandelen van een ziekte of aandoening. Ook de zorg voor de informatie van en over die betreffende patiënt valt onder de verantwoordelijkheid van de instelling die deze informatie verzamelt, bewaart, bewerkt, verstuurt en uitwisselt. Meten is weten, ook in de zorg. Daarom steekt KPN met dit onderzoek naar informatiebeveiliging een thermometer in de zorg. 7

8 Onderzoeksmethode Negentien ziekenhuizen zijn door KPN bevraagd over essentiële voorwaarden en aspecten van informatiebeveiliging in hun ziekenhuis. In dit rapport gaan we in op die verschillende onderdelen. KPN heeft een representatieve groep ziekenhuizen geïnterviewd op basis van gestandaardiseerde vragenlijsten. Vanuit onze kennis en expertise hebben we vragen geformuleerd die het thema informatiebeveiliging in de zorg volledig afdekken. KPN security consultants hebben de Chief Information Security Officers (verantwoordelijken voor informatiebeveiliging) van de deelnemende ziekenhuizen geïnterviewd. Uitgangspunt in de gesprekken waren 28 gestructureerde vragen, met bij bepaalde vragen nog een set subvragen. De geïnterviewden wisten van tevoren niet welke vragen KPN ging stellen. Bij de beantwoording van de vragen konden geïnterviewden een score aangeven op een schaal van 1 tot 5: 1 is erg laag, 5 erg hoog. Daarnaast is een aantal gesloten (ja/nee-vragen) en open vragen gesteld. Bij sommige antwoordscores is een beperkte toelichting opgenomen. Van elk interview zijn de antwoordscores schriftelijk vastgelegd. Om tot dit rapport te komen, zijn de resultaten van de interviews samengevoegd. De bevindingen en conclusies zijn generiek qua karakter en niet traceerbaar naar een individueel ziekenhuis. Het onderzoek is uitgebreid en degelijk: negentien ziekenhuizen geven kwalitatieve interviews af op basis van gestandaardiseerde vragenlijsten In totaal hebben negentien ziekenhuizen meegewerkt aan dit onderzoek waarvan drie academisch: AMC (Amsterdam) Erasmus MC (Rotterdam) VUmc (Amsterdam) Zestien verschillende algemene ziekenhuizen verdeeld over heel Nederland: Amphia Ziekenhuis (Breda) Bernhoven (Uden) HagaZiekenhuis (Den Haag) Isala (Zwolle) Maasziekenhuis Pantein (Beugen) Martini Ziekenhuis (Groningen) Rijnstate (Arnhem) Röpcke-Zweers (Hardenberg) (Saxenburgh Groep) Sint Maartenskliniek (Nijmegen) Slingeland Ziekenhuis (Doetinchem) Spaarne Ziekenhuis (Hoofddorp) VieCuri Medisch Centrum (Venlo) Ziekenhuis Bronovo (Den Haag) Ziekenhuis Gelderse Vallei (Ede) Ziekenhuis Tergooi (Hilversum) ZorgSaam Ziekenhuis (Terneuzen). Daarnaast is André Beerten van Octopus informatiebeveiliging geïnterviewd. 8

9 9

10 Organisatie en besturing Informatiebeveiliging prioriteit Raad van Bestuur Buitenstaanders denken misschien dat een ziekenhuis uitsluitend bezig is met patiëntenzorg en declaraties. Voor de Raad van Bestuur is informatiebeveiliging echter een relatief belangrijk onderwerp. Zo n 63% van de ziekenhuizen beschouwt informatiebeveiliging als een prioriteit op Raad van Bestuur niveau. Ziekenhuizen zien in dat informatiebeveiliging cruciaal is om de geloofwaardigheid en kwaliteit van het ziekenhuis en zorg te waarborgen. Zie grafiek A Uit ons onderzoek blijkt dat het bestuur de randvoorwaarden en kaders voor informatiebeveiliging aangeeft. Doorgaans is het informatiebeveiligingsbeleid van toepas sing op de hele organisatie met aanvullende beperkende regels voor individuele, geografische en onderliggende entiteiten. In veel gevallen is een speciale (staf)functie gecreëerd om in het ziekenhuis de infor ma tie beveiliging in brede zin aan te jagen en te faciliteren. Denk aan een Chief Information Security Officer (CISO). De veelheid van eisen en belangen vragen om een voortdurend goede afstemming tussen het bestuur, specialisten, patiënten, ICT en informatiebeveiliging Zie grafiek B CISO s antwoorden heel verschillend op de vraag of ze met de business unit managers om organisatiedoelstellingen en informatiebeveiligingsbehoeften afstemmen: de resultaten uit ons onderzoek laten een verdeeld beeld zien. De Raad van Bestuur van meer dan de helft van de ziekenhuizen ontvangt eens per kwartaal of vaker rapporten met de informatiebeveiligingsstatus of veiligheidsincidenten. Zie grafiek C A Binnen mijn organisatie wordt informatiebeveiliging beschouwd als een prioriteit op Raad van Bestuur-niveau Helemaal mee eens Enigszins eens Eens noch oneens Enigszins oneens Helemaal niet mee eens % Q05-1 (IB pr veau): Histo Binnen m wordt in ging bes prioriteit Bestuur-n 10

11 B Communicatie 50 % 40 Hoe vaak wordt de Raad van Bestuur voorzien van rapporten met de informatiebeveiligingsstatus of incidenten? Hoe vaak worden de business doelstellingen en de informatiebeveiligingsbehoeften afgestemd met de business unit managers? 10 0 Maandelijks of vaker Per kwartaal Halfjaarlijks Jaarlijks Op ad hoc basis of op aanvraag Nooit C Welke zaken heeft uw organisatie ingezet? Het beveiligingsbeleid en de procedures worden op reguliere basis beoordeeld en herzien Controlemechanismen worden geïntroduceerd wanneer een nieuwe technologie is toegepast Het beveiligingsbeleid wordt gecommuniceerd De informatiebeveiligingsorganisatie communiceert op reguliere basis met de gebruikerspopulatie Een operationele security officer is benoemd Gebruikers ontvangen instructies hoe om te gaan met vertrouwelijke informatie Werknemers ontvangen voortdurend training in beveiliging en controle % Ja Q09: (zaken ingezet): % ja/nee gesorteerd op effecti- Welke zaken heeft uw orga- 11

12 Informatiebeveiliging is een domeinoverstijgende tak van sport. Informatiebeveiliging en daarmee ook ICT heeft steeds meer invloed binnen de zorg. Wat organisatie betreft, zien we binnen ziekenhuizen een duidelijke samenhang tussen de verschillende domeinen. Uit ons onderzoek blijkt dat de informatiebeveiligingsafdeling doorgaans als ondersteunend aan de primaire processen wordt ervaren. patiënt financiën integrale bedrijfsvoering risk management arbeid governance management veiligheid patiënt kwaliteit medewerker apparatuur specialist imago risk management integraal kwaliteitssysteem gebouwen ICT Bron: De rol van ehealth en Gezondheid 2.0 in het veranderend ziekenhuislandschap; Achtergrondstudie uitgebracht door de Raad voor de Volksgezondheid en Zorg bij het advies Ziekenhuislandschap; 2011; Denise van der Klauw) Risicomanagement is bepalend voor de reikwijdte en scope van informatiebeveiliging; dit voorkomt een te generieke aanpak. Een speciaal daarvoor aangewezen medewerker kan risico s in kaart brengen en afstemmen (namens het management). Uit ons onderzoek blijkt dat deze functie (nog) niet bestaat. Het proces van risicomanagement passen ziekenhuizen daarentegen wel toe. Meer hierover kunt u lezen in het hoofdstuk risico- en incidentmanagement. Ziekenhuizen delen kennis en inzichten; ofwel samen sterker Uit ons onderzoek blijkt verder dat bijna alle algemene en academische ziekenhuizen regelmatig kennis en kunde delen over informatiebeveiliging. Dit doen ze via de Nederlandse Vereniging van Ziekenhuizen (NVZ) of via de Nederlandse Federatie van Universitair Medische Centra (NFU). 12

13 13

14 Compliance en aansprakelijkheid Regelgeving draagt bij aan e ectievere informatiebeveiliging Ieder ziekenhuis heeft te maken met de naleving van wet en regelgeving. Vooral op bestuursniveau heeft compliance, het voldoen aan de regels, veel aandacht. De Raad van Bestuur is doorgaans gevoelig voor compliance en legt hier nadruk op. Zie grafiek A Impact van wet- en regelgeving op ziekenhuizen is hoog en heeft aandacht van het bestuur, het aantoonbaar en evenwichtig voldoen aan die regelgeving is geen sinecure Uit ons onderzoek blijkt dat de tijd die de meeste ziekenhuizen besteden aan informatiebeveiligingszaken naar verwachting toeneemt in 2015 (in vergelijking met 2014). Voor een aantal ziekenhuizen is hier een direct verband te zien met toenemende compliance-eisen, meestal wat de bescherming van persoonsgegevens (privacy) betreft. De aanstaande Algemene Verordening Gegevensbescherming en de Wet meldplicht datalekken spelen hierbij een belangrijke rol. Naleving van de privacywetgeving vereist een geschikte structuur voor beheer en beveiliging. Ook ziekenhuizen moeten zich hierop voorbereiden. Zie grafiek B Tevens blijkt uit ons onderzoek dat wetgeving en overheidsnormeringen bijdragen aan het verlagen van risico s rondom informatiebeveiliging binnen de zorg. Over hoe effectief dit is, verschillen de meningen. Een enkel ziekenhuis vindt deze normeringen effectief, maar de meeste zien wet- en regelgeving als enigszins effectief. Hieruit kunnen we opmaken dat de behoefte aan zorgspecifieke regelgeving rond dit thema op bepaalde punten gewenst is. Zie grafiek C Ook zien we dat meer dan de helft van de deelnemende ziekenhuizen periodieke compliance reviews uitvoert om de compliance met informatiebeveiligingsprocedures te evalueren. Een derde voert deze niet uit. De Raad van Bestuur is zich meestal bewust van de noodzaak wet- en regelgeving na te leven. Zie grafiek D/E Naast compliance reviews is training van medewerkers een belangrijk vast onderdeel om compliance te verhogen. Het is immers nodig dat medewerkers zich bewust zijn van de noodzaak wet- en regelgeving na te leven. We zien dit niet direct terug: bij slechts de helft van de ziekenhuizen ontvangen de werknemers regelmatig training in beveiliging en controle. Meer hierover vindt u in het hoofdstuk over awareness. Het ministerie van Volksgezondheid, Welzijn en Sport heeft onlangs de informatiebeveiligingsnormering voor de zorgsector (NEN 7510) vrijgegeven. NEN 7510 is de norm voor het organiseren en borgen van (specifieke) informatiebeveiliging in de zorg (afgeleid van de ISO norm). De norm richt zich op alle kleine en grote organisaties die hiermee te maken hebben. NEN 7510 is een algemene norm. NEN 7512, NEN 7513 en NEN 7521 werken deze norm verder uit voor een specifiek aandachtsgebied. NEN 7510 geeft aanwijzingen over het organisatorisch en technisch inrichten van informatiebeveiliging in een zorginstelling. 14

15 A Hoe belangrijk is het voldoen aan regelgeving omtrent informatiebeveiliging? B Hoe verhoudt de tijd die uw organisatie aan informatiebeveiligingszaken besteedt zich in 2015 ten opzichte van 2014? 70 % 70 % Hoe belangrijk is het voldoen aan regelgeving omtrent informatiebeveiliging? Q24-2 (voldoen aan regelgeving): Histogram met antwoorden 10 H ti be va 0 Helemaal niet belangrijk Niet belangrijk Gemiddeld Belangrijk Zeer belangrijk 0 Toename Geringe Geen Geringe toename verandering afname Afname C In hoeverre dragen wetgeving en overheidsnormeringen bij aan het verlagen van risico s rondom informatiebeveiliging in uw organisatie? Zeer ineffectief Enigszins ineffectief Noch effectief noch ineffectief Enigszins effectief Zeer effectief % D Worden informatiebeveiligingsprocedures periodiek geëvalueerd met compliance reviews? E Q6 (Effectiviteit wet en regelgeving): Histogram van antwoorden In hoeverre dragen wetgeving en overheidsnormeringen bij aan het verlagen van risico's rondom informatiebeveiliging in uw organisatie? Effectiviteit van compliance reviews 50 % 32 % 68 % Ja Nee 40 Q12-1 (Compliancereviews): Histogram met antwoorden 30 Worden informatiebeveiligingsprocedures periodiek 20 geëvalueerd met compliance reviews? 10 0 Zeer laag Laag Gemiddeld Hoog Zeer hoog Ef 15

16 16

17 Een risico gedreven implementatieaanpak van de NEN 7510 geeft een optimale kans van slagen bij informatiebeveiliging in de zorg Zie grafiek F Als we vervolgens kijken naar de NEN 7510-certificering is dit nauwelijks een onderwerp. Dit wil niet zeggen dat de NEN 7510 zelf geen aandacht krijgt. In de regel vindt er collegiale toetsing plaats op basis van de NEN 7510-normering. Slechts een klein aantal ziekenhuizen overweegt certificering in Het advies is om een risico gedreven implementatieaanpak te hanteren voor de NEN 7510 en extra ervaring op te doen. Van groot belang is een NEN 7510-traject te starten met een brede en gedegen risicoanalyse; dit is een uitdaging omdat een grote groep stakeholders moet worden benaderd voor het (aantoonbaar) uitvoeren van de verschillende NEN 7510-maatregelen. Vaak is een cultuuromslag nodig voor het aantoonbaar uitvoeren van de verschillende maatregelen binnen complexe ziekenhuisorganisaties. F Is uw organisatie NEN 7510 gecertificeerd? 11 % Q25: % Nen7510 gecertificeerd e dat in 2015 certificering overwee 63 % 26 % Is uw organisatie NEN 7510 gecertificeerd? Ja Misschien in 2015 Nee 17

18 Awareness Beveiligingsbewustzijn blijft een risico In veel ziekenhuizen is informatiebeveiliging een priori teit van de Raad van Bestuur. Medewerkers vinden informatiebeveiliging belangrijk voor de organisatie en de securityafdeling kan hen dikwijls bereiken. Uit ons onderzoek blijkt dat ziekenhuizen het gebrek aan security awareness bij het ziekenhuispersoneel als een risico zien. Security awareness is de mate waarin iedere medewerker op elk niveau in de organisatie het belang en de mate van beveiliging begrijpt, zijn eigen individuele beveiligingsverantwoordelijkheden inziet en daar ook naar handelt. Awareness draagt bij aan de bescherming van informatie en bedrijfsmiddelen van het ziekenhuis. Aan de meeste beveiligingsincidenten ligt bewust of onbewust onveilig gedrag van medewerkers ten grondslag. Zij zijn daarmee een belangrijke schakel in de beveiligingsketen. Zie grafiek A A Beveiligingsbewustzijn Helemaal mee eens Enigszins eens Eens noch oneens Enigszins oneens Helemaal niet mee eens % Medewerkers vinden informatiebeveiliging belangrijk voor de organisatie Resultaatverantwoordelijke Eenheden of Unithoofden beschouwen investeringen in informatiebeveiliging als noodzakelijke uitgaven Beveiligingsbewustzijn om hun werk te kunnen doen Q5-1,2,3 (awareness op 3 niveaus): Histogram van antwoorden Binnen mijn organisatie wordt informatiebeveiliginveiliging beschouwd belangrijk als een prioriteit voor de organi- Medewerkers vinden informatiebesatie op Raad van Bestuur-niveau Resultaatverantwoordelijke Eenheden of Unithoofden beschouwen investeringen in informatiebeveiliging als noodzakelijke uitgaven om hun werk te kunnen doen. Binnen mijn organisatie wordt informatiebeveiliging beschouwd als een prioriteit op Raad van Bestuur-niveau 18

19 Q11-3 (Gebruikers getraind om verdachte Zijn Het risico van gebrek aan awareness en commitment op het niveau van Resultaatverantwoordelijke Eenheden (RVE) en Unit hoofden geeft een verdeeld beeld. Het gebrek aan awareness bij gebruikers wordt wel als een groot risico ingeschat. Slechts de helft van de ziekenhuizen traint het personeel regelmatig in security en controle Zie grafiek B/C Geschikte trainingen en het op reguliere basis opfrissen van kennis dragen bij aan security awareness. Training in het verhogen van het bewustzijn is bedoeld om personen in staat te stellen informatiebeveiligingsproblemen en -incidenten te onderkennen en daarop te reageren. Slechts de helft van de ziekenhuizen traint het personeel regelmatig in security en controle. Dit is opvallend omdat de risico s bij het ontbreken van awareness onderkend worden. Geïnterviewden schatten de effectiviteit van trainingen overigens wel hoog in. Opmerkelijk is ook dat een derde van de geïnterviewde ziekenhuizen systeemgebruikers niet traint in het identificeren en melden van verdachte activiteiten. Zie grafiek D De informatiebeveiligingsorganisatie communiceert op reguliere basis met de gebruikerspopulatie. Over het beveiligingsbeleid communiceert het ziekenhuis met enige regelmaat. Het effect ervan verschilt per ziekenhuis, maar geïnterviewden beleven dit als enigszins effectief. Voor het komende jaar ligt de nadruk op het verhogen van awareness en training over informatiebeveiliging bij werknemers. Het belang van het verhogen van ontwikkeling en behoud van ICT-personeel scoort in ons onderzoek gemiddeld: ziekenhuizen vinden het niet onbelangrijk, maar ook niet heel belangrijk. B Ontvangen medewerkers voortdurend training in beveiliging en controle? C Effectiviteit training in beveiliging en controle 70 % % 53 % Ja Nee Q9-1 (Voordurende training): 50 Histogram van Ef antwoorden en effectiviteit co 40 Ontvangen de medewerkers 30 voortdurend training in 20 beveiliging en controle? 10 0 Zeer laag Laag Gemiddeld Hoog Zeer hoog D Zijn uw medewerkers getraind om verdachte activiteiten te identificeren en te melden? % Ja 19

20 Budgettering Budget blijft achter bij toenemende risico s Ons onderzoek laat wat budget voor informatiebeveiliging betreft grote verschillen tussen de ziekenhuizen zien. Tijdens het interview hebben we vanuit diverse invalshoeken vragen gesteld over budgettering van informatiebeveiliging. Budget zegt iets over de mogelijkheid om maatregelen te nemen die de risico s kleiner maken. Tegelijkertijd geven de uitkomsten in samenhang met andere antwoorden een beeld van de manier waarop ziekenhuizen met informatiebeveiliging omgaan. Zie grafiek A Wij vroegen ons af of het budget voor informatiebeveiliging toeneemt of afneemt ten opzichte van het afgelopen jaar. Opvallend is dat meer dan 50% van de geïnterviewde ziekenhuizen aangeeft dat het budget voor informatiebeveiliging niet toeneemt het komende jaar. Een aantal CISO s geeft verder aan dat er geen apart beveiligingsbudget is. Dit lijkt een zorgwekkend signaal, maar hier verschilt de werkwijze ten opzichte van de overige geïnterviewde ziekenhuizen. Per business case bepalen ze of er geïnvesteerd wordt. Wanneer we bij deze ziekenhuizen de samenhang bekijken met bijvoorbeeld het risico van een beperkt budget en de vraag of informatiebeveiliging een prioriteit is op Raad van Bestuur-niveau, zien we dat deze ziekenhuizen daar zeer goed op scoren. Uit ons onderzoek blijkt dat het budget voor informatiebeveiliging niet per se stijgt bij ziekenhuizen waar informatiebeveiliging wel als prioriteit gezien wordt. Dit geeft wel aan hoe moeilijk het in een groot aantal ziekenhuizen is om deze prioriteit van het bestuur te verzilveren. Het al dan niet kunnen aantonen van het belang van informatie beveiliging, zien de geïnterviewden meestal als een gemiddeld risico. Zie grafiek C Een groot gedeelte van de geïnterviewde ziekenhuizen neemt de nodige preventieve beveiligingsmaatregelen, maar monitoren het effect daarvan nauwelijks. Hierdoor is lastig aan te geven of er nog meer maat regelen nodig zijn. Omdat historische data en het lerend effect ontbreken, is het belang van de maatregelen moeilijk aan te tonen. Terwijl monitoren in de zorg juist ingeburgerd is. Zie grafiek D Toename van de informatiebeveiligingsrisico s leidt zelden tot verhoging van de informatiebeveiliging budgetten in de zorg Zie grafiek B 20

21 A Hoe verhouden de informatiebeveiligingsbudgetten van 2015 en 2016 zich tot het budget van 2014? B Hoe verhoudt de tijd die uw organisatie aan informatiebeveiligingszaken besteedt zich in 2015 ten opzichte van 2014? 50 % 70 % Hoe verhouden de informatiebeveiligingsbudgetten van 2015 en 2016 zich tot het budget van 2014? H ti be va Grote toename Kleine toename Geen verandering Kleine afname Grote afname Geen verandering, maar Toenameopnieuw Geringe afgestemd Geen met toename risico- verandering prioriteitsgebieden Geringe afname Afname Grote toename Kleine toename Geen verandering Kleine afname Grote afname Geen verandering, maar opnieuw afgestemd met risico- en prioriteitsgebieden C In hoeverre vormt een beperkt budget een risico voor het beveiligen van informatie binnen uw organisatie? D Hoe belangrijk is het meten van de return on security investments en het vergroten van het informatiebeveiligingsbudget? 50 % 70 % Zeer laag Laag Gemiddeld Hoog Zeer hoog In hoeverre vormt een beperkt budget een risico voor het beveiligen van informatie binnen uw 40 organisatie? Q8-2 (Risico Beperkt budget): Histogram 10 0 ROI-Security Budget vergroten v H va in va b Helemaal niet belangrijk Niet belangrijk Gemiddeld Belangrijk Zeer belangrijk 21

22 22

23 In de toekomst nemen de risico s bij ziekenhuizen toe, maar het budget stijgt niet mee. Dit kan een probleem zijn wanneer er maatregelen moeten worden genomen om informatiebeveiligingsrisico s te verkleinen. Intensivering van het ICT-risicomanagement wat informatiebeveiligingsbeleid betreft kan helpen het bewustzijn bij alle stakeholders te vergroten. De informatiebeveiligingsrisico s moeten met alle stakeholders (inclusief directieleden, waaronder financieel management) worden besproken. Het goed doorpakken consequenties bepalen van informatiebeveiligingsrisico s op bedrijfsdoelstellingen levert in dit kader winst op. Ook het nadrukkelijker bepalen van de financiële impact van informatiebeveiligingsrisico s kan helpen de budgettering op niveau en scherp te krijgen. Aandachtspunten 2015* Voldoen aan regelgeving omtrent informatiebeveiliging 4,5 Verbeteren van privacy / vertrouwelijkheid van data 3,9 Verhogen van awareness en training over informatiebeveiliging bij werknemers 3,9 Elimineren van verouderde of niet gesteunde technologie / software 3,8 Afstemmen van veiligheidsstrategie met businessdoelstellingen 3,6 Versterken van informatiebeveiligingsbeleid 3,4 Identificeren van open patches en gaten in applicatiesoftware 3,3 Verbeteren van netwerkbeveiliging 3,3 Versterken van business continuïteit programma 3,2 Standaardiseren van veiligheidstechnologie / beleid / procedures 3,1 Verhogen van ontwikkeling / behoud van personeel 3,1 Versterken van IT rampenherstelplan 2,9 Beveiligen van de fysieke werkplaatsen 2,9 Verhogen van informatiebeveiligingsbudget 2,4 Verhogen van beveiliging van data warehouse 2,3 Meten van return on investment op informatiebeveiligingsuitgaven 1,6 *De stellingen staan in volgorde van belangrijkheid (schaal 1-5) 23