Compliancy d.m.v. een gestandaardiseerde ITIL-methode.
Wat de Baseline Informatiebeveiliging Overheid (BIO) is voor overheden is de NEN7510 voor de zorg: Nederlandse informatiebeveiligingsnormen corporate breed. Circa 70% van die normen komt voor rekening van de IT-afdeling. Beiden zijn gebaseerd op de ISO 27001, de internationale standaard voor informatiebeveiliging. M.b.t. de BIO staat risicomanagement centraal, oftewel het risicobewustzijn en de wijze waarop de organisatie is ingericht en omgaat met risico’s op het gebied van informatiebeveiliging.
De NEN7510 heeft informatiebeveiliging als zwaartepunt. Willen overheden en zorginstellingen voldoen aan compliancy-normen, dus de norm naar behoren uitvoeren, dan ligt er een grote verantwoordelijkheid bij de IT-afdeling om de BIO en NEN7510 uit te voeren. Dit blog behandelt hoe een overheids- en zorginstantie z’n processen zo kan inrichten dat het toepassen van de normen van de BIO, NEN7510 en ISO 27001 eenvoudig worden.
Compliancy, oftewel het voldoen aan wetgeving, is binnen de overheden en de zorgsector niet altijd een vanzelfsprekendheid. De correcte implementatie van de NEN7510, BIO of ISO 27001 vergt vaak veel van een team. Datalekken, ransom-ware en hackers liggen namelijk continu op de loer en het is aan jouw, als IT-manager, om die dreiging het hoofd te bieden. Is jouw organisatie non-compliant, dan impliceert dat een aantal zaken: (1) kans op boetes en zelfs sluiting van jouw gehele organisatie bij falen van audits, (2) patiënten en burgers lopen onnodig risico, (3) het ad hoc voldoen aan de eisen is enorm inefficiënt en (4) de bedrijfsvoering binnen jouw team is niet op orde m.b.t. IT-dienstverlening. Maar daarover later meer…
Om aan de gevaren van het digitale tijdperk tegemoet te komen stelt de Nederlandse overheid dus in toenemende mate aanvullende en aangescherpte wetgeving verplicht, zoals de NEN7510, BIO en ISO 27001. Dat compliancy niet overbodig is blijkt uit het geval van de gemeente Hof van Twente, daar werden namelijk 50.000 tot 100.000 hack-pogingen per dag gedaan. De universiteit van Maastricht werd gegijzeld en in Amerika kwam de olievoorziening in gevaar. En het hoeft maar één keer fout te gaan. Aan deze wetgeving, maar vooral de informatiebeveiliging, voldoen is dus van vitaal belang voor jouw IT-afdeling en organisatie.
Compliancy in de zorg en gemeente: waar lopen IT afdelingen tegenaan?
De BIO en NEN7510 beschrijven maatregelen die gemeenten, provincies, gemeenschappelijke regelingen, zorginstellingen en toeleveranciers moeten nemen zodoende naar behoren met patiënten- en inwonergegevens om te gaan. De maatregelen gelden corporate breed. Echter, zeker 2/3 van de maatregelen betreffen informatiebeveiliging en het is aan de IT-manager om zijn/haar afdeling en processen zo in te richten dat ze voldoen aan de corporate-norm. Dit kan optimaal door de normen en acties te integreren en in een gestandaardiseerd en gecontroleerd processen vorm te geven.
Eind 2020 hadden hackers vrij spel in de systemen van de gemeente Hof van Twente. Een systeembeheerder had namelijk een wachtwoord van een beheer-account gewijzigd in “Welkom2020’’, een makkelijk te raden wachtwoord. Burgermeester Nauta noemde de hack die volgde ‘’een nachtmerrie die werkelijkheid werd’’.
Vele privacy-gevoelige gegevens van inwoners waren vernietigd en het zou een immense taak worden een nieuwe infrastructuur voor alle gegevens op te bouwen. Echter, hoe is het mogelijk dat de systeembeheerder in de positie kwam dat dit mogelijk werd? En waarom blokkeert de systeeminrichting eenvoudige passwords niet? Alles wijst er hierbij op dat security niet geïntegreerd is in de standaard werkwijze en dat het management geen verantwoordelijk voelt voor professionele IT-dienstverlening.
Klinkt logisch toch? BIO, NEN en ISO-normen en acties koppelen aan de standaardinrichting en basiswerkwijze van de IT? Gewoon onderdeel maken van je dienstverlening… Als je dan ook nog de besturing van die normen en acties inzichtelijk weet weer te geven voor de IT-manager, zoals in een dashboard, creëer je daarbij ook nog eens regie op het proces en bewustwording in je team!
Maar waarom voldoen overheden en zorginstellingen vaak niet aan informatiebeveiligingsnormen? De oorzaak ligt vaak bij de onduidelijke doelen die een organisatie heeft, waardoor een uniforme en integrale werkwijze ontbreekt.
Het belang van duidelijke doelen kan niet worden onderschat. Het is aan het management om op strategisch niveau een duidelijke visie te ontwikkelen. Die visie (‘het waarom we iets doen’) van het management dient vastgelegd te worden in een solide informatiebeveiligingsplan. Deze visie/plan legt vervolgens de basis van de tactische aanpak, oftewel het ‘hoe’. Hoe gaan wij als organisatie deze visie uitrollen? En uiteindelijk belanden we aan bij de operationele werkzaamheden van de IT afdeling, oftewel ‘het wat’. Wat is precies onze dienstverlening? Denk hierbij aan Service Level Agreements (SLA’s) bijvoorbeeld. Het begint dus allemaal bij een duidelijke visie en solide informatiebeveiligingsplan. Hoe scherper en afgetekender deze geformuleerd is, hoe beter de organisatie en de IT afdeling in het bijzonder weet wat van hen verlangd wordt.
Dat klinkt simpel, een duidelijke visie. Maar dat is het vaak niet. Te vaak zien we namelijk nog dat overheden en zorginstellingen IT informatiebeveiliging en de toenemende en aangescherpte wetgeving daaromtrent als een bureaucratische hindernis ervaren. Management benadert het soms nog als een ‘moetje’. ‘’Als we maar door de audits komen, dan zijn we er weer vanaf…’’. Het zogenaamde hit-and-run gedrag met de auditor. Maar met een dergelijke attitude formuleer je geen solide visie waar een integrale en uniforme werkwijze uit voortvloeit. De tegenstelling tussen informatiebeveiliging versus patiëntenzorg of informatiebeveiliging versus inwonerbelangen is een valse. Informatiebeveiliging is immers gewoon onderdeel van de IT-dienstverlening en daarmee niet los te koppelen van patiëntenzorg of inwoners-bediening.
Wanneer het belang van IT informatiebeveiliging nog niet in het DNA zit van een organisatie en dus ontbreekt in de visie leidt dit binnen de IT afdeling vaak tot onduidelijke situaties. Immers, wat wordt er precies van ons verwacht? Is het beleid er wellicht enkel op gericht dat we op het moment van een audit even de informatiebeveiliging ‘oppoetsen’? Gevolg: bij eventuele problemen wordt er vaak naar ad hoc oplossingen gegrepen. Een-pleister-plakken-en-weer-door mentaliteit zorgt echter vaak voor veel stress binnen een team en verleent het werkplezier geen gunst.
Wat dan wel?
De NEN7510 en BIO zijn kansen voor jouw organisatie. Erken dat compliancy organisatie-breed opgepakt dient te worden en dat daarbij jouw IT dienstverlening (en dus informatiebeveiliging) een cruciaal onderdeel is van je kerntaak. In alles wat jouw organisatie doet, in de kern, staan patiënten- en inwonergegevens namelijk centraal. Of het nu gaat om het toekennen van een vergunning of het stellen van een juiste diagnose, data staat er aan de basis. En het zorgvuldig en veilig omgaan met data is net zo belangrijk als de hygiëne in de operatiekamer. Veel BIO -en NEN7510-normen zijn dus integraal onderdeel van je IT-dienstverlening en dus onlosmakelijk verbonden met je primaire processen.
De Nederlandse vereniging van Ziekenhuizen (NVZ) vindt dat er meer geïnvesteerd moet worden in informatiebeveiliging en ICT. Steeds vaker zijn ziekenhuizen slachtoffer van ransom-ware, ook wel gijzel-virussen genoemd, waardoor ziekenhuizen soms zorg moeten uitstellen en patiëntengegevens verliezen.[/box]
De NEN7510 en BIO zijn dus breekijzers om de leefkwaliteit van jouw inwoners en patiënten te verbeteren. Het is een mooie aanleiding om informatiestromen inclusief informatiebeveiliging onlosmakelijk te verbinden met het lot van je inwoners en patiënten. Met een dergelijke visie van het management kunnen vervolgens de tactische en operationele zaken integraal en structureel opgepakt worden.
ISM: op weg met een gestandaardiseerde ITIL methode m.b.t. informatiebeveiliging op IT gebied
De ISM-methode (Integrated Service Management) is een gestandaardiseerde management methode gebaseerd op o.a. ITIL, BiSL en DevOps en ontworpen om jouw IT-dienstverlening en IT-servicemanagement te optimaliseren. De meeste instellingen werken al met ITIL, echter als referentiekader en zodoende met ‘best practices’ een eigen oplossing bedrijven. Echter, ITIL helpt je niet mee in de praktische keuzes die je dient te maken. En daar ligt de kracht van ISM.
De ISM-methode is namelijk zeer ondersteunend bij de correcte implementatie van de BIO en NEN7510 omdat het een gestandaardiseerde inrichting is van de IT waaraan de normen en activiteiten zijn gekoppeld. Die normen en activiteiten zijn precies de zaken waar het zwaartepunt ligt bij de BIO en NEN7510. De eisen zoals vastgelegd in de BIO en NEN7510 zijn namelijk zeer specifiek en concreet toepasbaar voor de IT dienstverlening waardoor ze in feite kunnen worden beschouwd als onderdeel van de SLA’s. Met andere woorden, voor compliancy-redenen hoef je geen aparte processen in te richten, maar de BIO- en NEN7510-eisen integraal onder te brengen in de IT managementmethode die je IT-dienstverlening en IT-servicemanagement optimaal organiseert
Dus, het is aan de IT-afdeling om werkzaamheden uit te voeren die zorgen voor de juiste inrichting van informatiesystemen en werkwijzen. Deze werkzaamheden zijn m.b.t. de NEN7510 voor alle ziekenhuizen en zorginstellingen hetzelfde. Idem dito voor alle overheden betreffende de BIO. Ze vergen dus geen maatwerk. Alle wettelijke vereisten zijn immers direct te vertalen naar concrete acties voor de IT-afdeling. Die acties zijn weer gekoppeld aan werkwijzen. De ISM-methode zorgt ervoor dat je IT-afdeling precies weet welke acties ze moet uitvoeren waardoor je snel aan een groot gedeelte van de NEN7510, BIO en ISO27001 normen voldoet.
Een handige tool die daarbij helpt is de ISM Compliancy Tool. Deze tool geeft de IT-leiding en uitvoerenden toegang tot de normteksten, benodigde acties, status, voortgang en verbeterpunten m.b.t de kwaliteitsnormen waaraan jouw IT-organisatie moet voldoen. Zeer praktisch dus als managementtool die zorgt voor controle. Zodoende zorg je ervoor dat je het hele jaar door weet waar je organisatie staat m.b.t. de wettelijke normeisen. Zodoende kom je nooit voor een verassing te staan tijden een audit.