In jouw schoenen. Een praktische invulling van informatiebeveiliging

Transcriptie

1 In jouw schoenen Een praktische invulling van informatiebeveiliging

2 Informatiebeveiliging hot topic

3 Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij van informatiebeveiliging? belangrijk neutraal onbelangrijk Hoeveel doe je zelf in de praktijk aan informatiebeveiliging? veel voldoende te weinig Wat doet je organisatie aan informatiebeveiliging? veel voldoende te weinig

4 Waarom informatiebeveiliging? Voor leveren van verantwoorde zorg Is het noodzakelijk dat zorgverleners op ieder moment over betrouwbare gegevens kunnen beschikken Is het van belang dat gevoelige gegevens niet in handen van ongeautoriseerde partijen vallen De uitdaging is het vinden van de juiste balans

5 Wat is informatiebeveiliging? Beschikbaarheid: Waarborgen dat gebruikers op de juiste momenten tijdig toegang hebben tot informatie en informatiesystemen. Integriteit: Waarborgen van de juistheid en volledigheid van informatie en de verwerking ervan. Vertrouwelijkheid: Waarborgen dat informatie alleen toegankelijk is voor diegene die hiertoe zijn geautoriseerd.

6 Informatiebeveiliging meer dan ICT De noodzaak van informatiebeveiliging is van alle tijden, de impact van het ontbreken ervan is groter geworden door de moderne informatiesystemen en netwerken Bij informatiebeveiliging denkt iedereen meteen aan computers en computersystemen Niet onwaar maar er is meer.

7 Fysieke informatie Wat zijn informatiedragers Geprint of geschreven informatie op fysieke dragers zoals statussen, foto s, afsprakenlijsten Digitale informatie Informatie die zich in geautomatiseerde systemen of op internet bevindt zoals mail, app, elektronische berichten Niet tastbare informatie Bijvoorbeeld informatie in de hoofden van zorgprofessionals zoals kennis, ervaring, gesprekken

8 Wat gebeurt er met informatie Gecreëerd Beheerd Opgeslagen Bewerkt Verzonden Gebruikt voor (on)geautoriseerde toepassingen Aangepast of verminkt Gedeeld Vernietigd of verloren Gestolen Beheerst, beveiligd en beschermd

9 Gestructureerde aanpak NEN7510 (IGZ toetsing, vanaf 1/11/14 gratis beschikbaar) Managementsysteem gebaseerd op risicoanalyse (ISMS) 11 onderwerpen met 133 beheersmaatregelen Selectie beheersmaatregelen o.b.v. risicoanalyse Pas toe of leg uit principe Centraal: terugbrengen van risico s tot aanvaardbaar nivo

10 Risico s en bedreigingen Hoe belangrijk zijn bepaalde informatie en informatiesystemen voor het zorgproces Met welke bedreigingen hebben we te maken en hoe groot is de kans dat die bedreiging werkelijkheid wordt Wat zijn de risico s die zich voordoen bij de manier waarop we ons gebouw, onze werkprocessen en systemen hebben ingericht

11 Voorbeeld Belang Dreiging Kans Impact Risico Gebouw Toegang niet geautoriseerd personeel Database Database patiënteninformatie gekraakt Medicijnen Foutieve medicijnen aan cliënt Patiëntenzorg Slechte overdracht van de zorg Communicatie Fouten inplannen zorgverleners Kans Impact

12 Informatiebeveiligingsonderwerpen 1. Beveiligingsbeleid 2. Organisatie van informatiebeveiliging 3. Beheer van bedrijfsmiddelen 4. Personeel 5. Fysieke beveiliging en beveiliging omgeving 6. Beheer van communicatie- en bedieningsprocessen 7. Toegangsbeveiliging 8. Verwerving, ontwikkeling en onderhoud van informatiesystemen 9. Beheer van informatiebeveiligingsincidenten 10. Bedrijfscontinuïteitsbeheer 11. Naleving

13 Belangrijke ISMS documenten Verklaring van toepasselijkheid Risicoanalyse en rapport van de beoordeling Plan voor risicobehandeling ISMS beleid en de ISMS doelstellingen Reikwijdte van het ISMS Procedures en beheersmaatregelen die ISMS ondersteunen Registraties Verder: Interne audits Directiebeoordeling Continu verbeteren

14 Informatiebeveiliging in control?

15 Signaleren zwakke plekken in organisatie De grootste bedreigingen komen van mensen Meer dan 50% van incidenten komt van binnenuit 20% techniek en 80% mensenwerk Bepalend: kennis, houding en gedrag Veiligheid tweede natuur worden

16 Want jouw cliënten... mogen er op vertrouwen dat de informatie waarmee jij je werk doet betrouwbaar en juist is... mogen er op vertrouwen dat er vertrouwelijk met hun gegevens wordt omgesprongen en onbevoegden geen kennis kunnen nemen van hun medische en persoonlijke informatie... mogen er op vertrouwen dat de informatie die over hen in de zorginstelling aanwezig is, ook beschikbaar is op het moment dat dit nodig is voor een goede zorg

17 Want jouw collega s mogen er op vertrouwen dat de informatie die jij aanlevert betrouwbaar en correct is... mogen er op vertrouwen dat jij er alles aan doet dat de informatie die jij hebt of verkrijgt over een cliënt beschikbaar is en blijft... mogen er op vertrouwen dat jij je net zo verantwoordelijk voelt voor de vertrouwelijke gegevens van cliënten als zij.

18 Want jijzelf mag er op vertrouwen dat de informatie die jij aangeleverd krijgt van je collega s betrouwbaar en correct is... mag er op vertrouwen dat zij er alles aan doen om de informatie die zij hebben of verkrijgen over een cliënt beschikbaar te hebben en te houden... mag er op vertrouwen dat zij zich net zo verantwoordelijk voelen voor de vertrouwelijke gegevens van cliënten als jij

19 Vraag je eens af Hoeveel besluiten neem jij op basis van informatie van anderen? Hoeveel besluiten nemen anderen op basis van jouw informatie? Wat is de impact van onjuiste of onvolledige informatie?

20 Incidenten/meldingen Herken bedreigingen, zwakheden en risico s in je organisatie Herken incidenten m.b.t. informatiebeveiliging Meld incidenten Zorg dat jouw organisatie hier van kan leren en verbeteren

21 Herkennen jullie de risico s?

22 Balie Risico Fax waait weg Verpleegster belt privé Man kijkt in dossier(kar) Politieagent kijkt op scherm Printer in openbare ruimte Rooster is openbaar Respons Plaats apparatuur waar mogelijk in besloten ruimten en haal altijd de uitvoer direct op Ga op verantwoorde wijze om met faciliteiten die tot uw beschikking heeft en houd u aan geldende regels Plaats informatie buiten bereik van onbevoegden Wees alert op meekijkers Houd altijd aan geldende regels en procedures ook voor bevoegd gezag

23 Lab Risico Handen en benen patiënt zijn verwisseld Privé gebruik computer Invoerfout functieonderzoek Etiketten komen niet overeen Man kijkt mee in het lab Respons Let op onbevoegde meekijkers en meelezers Voorkom dat informatie ongemerkt wordt gewijzigd of verloren gaat Respecteer de regels voor veilig gebruik van internet en Voer controles in op handmatige handelingen en schroom niet een collega te vragen een extra controle uitte voeren Vermijd handmatige invoer en overtypen of schrijven van informatie

24 Stafkamer Risico Laptop voor het grijpen Vertrouwelijke informatie op flip-over Kast niet afgesloten Vertrouwelijke informatie voor het grijpen (koffer/tafel) Wachtwoord op Post-It USB stick verloren Laptop voor het grijpen Respons Laat media, zoals USB sticks, Dvd's, etc. niet slingeren en zorg dat de informatie die erop staat goed beveiligd is Verwijder direct na vergadering de informatie van flipover of spreek collega op aan Houd wachtwoorden voor u zelf en altijd geheim. Schrijf deze nooit op. Beveilig de informatie op laptop en plaats aan een kabelslot of berg na gebruik op in gesloten kast Berg informatie achter slot en grendel Sluit kasten en werkplek altijd af wanneer u deze onbeheerd achterlaat

25 Collegezaal Risico Patiëntgegevens gebruikt voor college Map vertrouwelijke informatie op koffieautomaat Artsen praten over patiënt Wachtwoord op Post-It Tentamens liggen op en bloot Virus op computer Respons Patiënt moet toestemming geven voor gebruik gegevens en gegevens moeten geanonimiseerd worden. Vindt u een vergeten document neem dit dan altijd mee en bewaar op een veilige plek Houd wachtwoorden altijd voor u zelf en geheim. Schrijf deze nooit op. Verlies vertrouwelijke informatie nooit uit het oog of berg het op buiten bereik van onbevoegden Respecteer de regels voor veilig gebruik van ICT faciliteiten Voer vertrouwelijke gesprekken altijd in besloten ruimtes en houdt namen geheim

26 En nu jullie praktijk Wat gaat er goed op het gebied van informatiebeveiliging? Wat kan er beter op gebied van informatiebeveiliging? Wat mis je vanuit jouw positie te zorgen voor een betere informatiebeveiliging?

27 Hoe nu verder Wat ga je vanaf morgen doen? Hoe ga je dit doen?

28