Informatieveiligheid krijgt bij zorgorganisaties steeds meer aandacht. We spraken hierover met een grote zorgorganisatie in het zuiden van Nederland. Informatiebeveiliging is voor hen een belangrijk thema: continu brengen zij kwetsbaarheden in kaart en voeren ze verbeteringen door. Hiervoor maken zij onder meer gebruik van Passguard. Waarom? We vroegen het aan de CIO.
De aanleiding
Waarom wilden jullie dark web risico’s in kaart brengen?
“Veel bedrijven kijken alleen naar hun eigen systemen voor het controleren van hun beveiliging, bijvoorbeeld met het uitvoeren van penetratietesten. Dat is belangrijk, maar dit biedt geen compleet beeld. Er speelt in de grote boze buitenwereld namelijk zoveel meer waar je geen zicht op hebt. Ik wilde die kwetsbaarheden breed in kaart brengen.”
En waarom heb je specifiek voor Passguard gekozen?
“Voor mij was doorslaggevend dat Passguard een onafhankelijke organisatie is: geen bestaande dienstverlener die belangen heeft bij de uitkomsten van een scan. Vanuit de gratis quick scan van Passguard kon ik al heel snel zien wat er speelde. Dit hielp mij het belang ervan tastbaar te maken bij de Raad van Bestuur. Zo konden we vrij snel doorpakken om de risico’s in kaart te brengen en te beperken.”
Bevindingen
Wat waren de bevindingen?
“Je weet dat er tijdens zo’n scan zaken naar boven kunnen komen. Dat was ook bij ons het geval. Zo bleek dat er veel ‘interesse’ werd getoond voor onze organisatie. Ons inzicht: We kunnen informatie beter beschermen door te voorkomen dat er via accounts van medewerkers ingelogd kan worden op interne systemen. Je weet ergens wel dat het kan gebeuren en je hoort de verhalen. Na zo’n scan zie je de echte feiten. Dat gaf iedereen een hele duidelijke beeld waar we staan.”
Sprong er nog een bevinding uit?
“Vanaf één privé-apparaat geïnfecteerd met infostealer malware constateerden we serieuze toegang. Verder werd duidelijk dat de meeste risico’s ontstaan op het snijvlak tussen werk en privé. Dit zorgt voor risico’s die we voor willen zijn.”
Aan de slag met infecties
Wat hebben jullie vervolgens met de bevindingen gedaan?
“Op grotere risico’s hebben we meteen geacteerd. Vervolgens zijn we er verder aan de slag gegaan. Maar niet door de bevindingen te gebruiken als stok om mee te slaan, maar als stok achter de deur om juist meer prioriteit en aandacht aan informatieveiligheid te geven. Dit komt neer op het nemen van gecontroleerde acties om het risico netjes op te lossen zonder dat we andere problemen krijgen.
We gebruiken de uitkomsten van het Passguard-onderzoek ook om het bewustzijn in de organisatie te vergroten. Denk daarbij niet alleen aan ons bestuursteam en de Raad van Bestuur, maar ook bewustwordingscampagnes van personeel.”
Wat er nog een specifieke functionaliteit in Passguard die eruit springt?
“Sorteren op accountniveau is super, want je krijgt meteen een dwarsdoorsnede, wat heel is heel goed te gebruiken voor de bewustwording.”
Tot slot
En nu?
“Nu gaan we door. Dit was voor ons geen eenmalige stap. Daarom blijft Passguard voor ons meten en monitoren wat er gebeurt, zodat we bij blijven met deze risico’s.”
Zou je Passguard aanbevelen?
Ik zou het zeker aanbevelen. Vanwege drie redenen:
- Vanwege de onafhankelijkheid, wat ik al eerder noemde.
- De snelheid waarmee de informatie wordt gepresenteerd.
- De prettige manier van samenwerking en de toelichting. Echt met de collega’s zitten is bij ons goed ontvangen. Niet met een geheven vingertje, maar om inzichten te delen en mee te denken. Dat maakt het onderwerp toegankelijk
.svg)
