In deze vaste rubriek van de Nieuwsbrief van IP-Zorg belichten we telkens een Kennispartner. In de eerste reeks stellen we hen nader aan u voor. Daarna belichten we een of meer van belang zijnde onderwerpen.
Voor je bedrijf heb je een motto opgegeven. Waarom heb je voor dit motto gekozen? Hoe uit dit motto zich in je product of dienstverlening?
Ons motto is “We see risks before they hurt”
Pinewood adviseert klanten over security/maatregelen, maar kijkt daarbij altijd vooruit. Want wie vooruit kan kijken, kan anticiperen. Daardoor zijn klanten beter beschermd en voorbereid. nu en in de toekomst
Een voorbeeld: Vanuit ons Security Operations Center houden wij de digitale omgeving van onze klanten 24×7 in de gaten om elke mogelijke inbreuk in de beveiliging te voorkomen. We houden hierbij de trends en ontwikkelingen nauwlettend in de gaten en vertalen deze door naar onze Security Monitoring dienst.
Wat is in jouw optiek het meest lastige of het grootste risico waar zorgorganisaties tegenaan lopen bij implementatie van informatieveiligheid en privacy? Hoe kom jij daaraan tegemoet?
Deze vraag hebben we gesteld aan onze Business Consultant Samuel Bergmann. Die is expert op het gebied van beleid en privacy. Hij antwoordde het volgende:
Ik merk dat het voor zorgorganisaties heel lastig is om de vertaalslag te maken tussen (privacy-) beleid en de dagelijkse (security-) operatie. In de beleidsdocumentatie wordt meestal nog geen rekening gehouden met het uitgebreide applicatielandschap, verschillende leveranciers en het feit er voor de zorgprocessen vaak ad-hoc functionaliteit beschikbaar moet zijn binnen de authenticatie- en autorisatieprocessen. Meestal zijn er wel maatregelen getroffen, maar het gebrek aan vastlegging van de daadwerkelijke procedures maakt de controleerbaarheid en dus de grip op het treffen van de juiste maatregelen onmogelijk. Of risico’s op het gebied van informatiebeveiliging en privacy juist zijn geïmplementeerd blijft dan onduidelijk. Dit zie ik ook vaak bij de implementatie van de NEN7510 in de zorg, bij het vastleggen van beleid en maatregelen wordt nog vaak de hoofdstukindeling van de norm gehanteerd in plaats van het prioriteren en implementeren van maatregelen op basis van een risicobeoordeling.
Pinewood biedt vanuit het Security Operations Center met de Security Monitoring-dienst (ISO27001/NEN7510-gecertificeerd) inzicht in security-incidenten en risico’s. Doordat zorgklanten security monitoring uitbesteden is er meer tijd voor de operatie binnen de ICT-organisatie. Pinewood Business Consultants ondersteunen zorgklanten bij het inrichten van een Information Security Management Systeem (ISMS) conform de NEN7510 en het (risicogebaseerd) opstellen van beleid, procedures en de implementatie van security-maatregelen.
Wat is de meest verrassende (moeilijkste, leukste, …) vraag die je ooit van een zorgorganisatie hebt gekregen en wat was je antwoord of oplossing?
De vraag van Meander om samen een EPD-sensor te ontwikkelen. Wij verzorgden voor Meander al enige tijd de security monitoring en daarnaast hebben we veel ervaring bij allerlei zorginstellingen zoals HMC en het Prinses Máxima Centrum. Hierdoor kent Pinewood de omgeving bij zorginstellingen heel goed en is Pinewood bekend met de risico’s rondom medische systemen. Samen met Meander zijn we aan de slag gegaan om een sensor te ontwikkelen die ongeoorloofd toegang in een heel vroeg stadium al detecteert, zodat Security Officers snel kunnen ingrijpen. Hiertoe wordt de logging verzameld uit het EPD-systeem en worden er continu, per inzage een aantal controles uitgevoerd. In aanvulling op deze controle stelt Pinewood een baseline op om afwijkingen op te merken. Hierdoor is men in staat alle raadplegingen actief te controleren op legitiem gebruik. Afwijkingen die gedetecteerd worden, worden handmatig gecontroleerd en zo nodig doorgestuurd naar de Privacy Officer. Het was voor ons een unieke kans en een mooie ervaring om samen met Meander dit te kunnen ontwikkelen. Samen hebben we de controles (rules) voor de EPD-sensor bepaald, zodat de sensor volledig aansluit op de behoefte en wensen van de klant. Dit kunnen wij ook door vertalen naar de ECD- dossiers.
Is er iets dat je op dit moment nog heel graag naar voren wilt brengen?
Neem een kijkje op onze nieuwe website. Hier is veel informatie te vinden over ons SOC en onze diensten voor de zorgsector in de vorm van filmpjes en whitepapers. Zo staat er ook een korte video uitleg over de EPD-sensor. Kijk hier de video.