Seneca Risk & Security

Gevecht om de patient 2

Awareness

Het is goed mogelijk dat u ‘Awareness’ door ons of andere partijen al eens eerder heeft horen roepen en dat is maar goed ook. Een mens moet een gegeven gemiddeld 7x herhaald krijgen wil hij of zij dit goed kunnen onthouden. Herhaling van dit onderwerp is dan ook van groot belang. Voordat we u daaraan blootstellen is het wijs eerst een korte toelichting te geven. Wat is bewustwording wanneer het informatiebeveiliging betreft. Sterker nog, wat is informatiebeveiliging in essentie?

‘Awareness’?
Letterlijk vertaald: Bewustwording. Bewust zijn van de handelingen die u (tijdens uw werk EN daarbuiten) verricht en wat daarvan de gevolgen kunnen zijn. Bewust zijn van de handelingen die uw collega’s en bezoekers (mogen) verrichten. Bewust zijn van de procedure die u op moet volgen wanneer zich een calamiteit voordoet. Alles bij elkaar kan dit lijken op een informatieoverdosis. Hoe onthoud je ‘al die dingen’ terwijl je gewoon op je werk gericht wilt blijven?

Gelukkig is het eenvoudiger dan het lijkt. Wanneer een organisatie dit bewustzijn eens per jaar ‘injecteert’ kan men volstaan met het regulier nemen van een ‘pilletje’. Er zijn vele methoden beschikbaar die de eigenlijke werkzaamheden niet in de weg staan, maar er wel voor zorgen dat bewustzijn op peil gehouden blijft. Een belangrijke vuistregel, die helaas vaak over het hoofd wordt gezien is, ‘Bewustzijn creëren is slechts het begin, bewustzijn behouden is de essentie’.

Informatiebeveiliging?
Heel kort door de bocht kan men informatiebeveiliging beschrijven als ‘het beschermen van kritieke processen binnen de organisatie’. Om dit kracht bij te zetten geven we een eenvoudig voorbeeld uit de praktijk dat we uitsplitsen in drie belangrijke aspecten; vertrouwelijkheid, integriteit en beschikbaarheid. Alle drie zeggen ze iets over het risico dat gelopen wordt.

Een eenvoudig voorbeeld: Een arts laat een patiëntendossier op zijn karretje in de hal liggen.

Vertrouwelijkheid
Deze wordt aangetast doordat een onbevoegde in het bovenstaande voorbeeld toegang kan krijgen tot informatie die misbruikt kan worden. De informatie zou publiek gemaakt kunnen worden wat kan resulteren in imagoschade voor zowel de patiënt als de instelling die de patiënt behandelt.

Beschikbaarheid
Een (kwaadwillend) persoon kan het dossier meenemen waardoor het niet meer beschikbaar is voor de dienstdoende arts. De patiënt kan (tijdelijk) niet geholpen worden. Deze mogelijkheid kan resulteren in een situatie die nog minder gewenst is dan de bovenstaande.

Integriteit
Toegang tot het dossier betekent dat iemand de mogelijkheid heeft het aan te passen. U kunt zich voorstellen wat de gevolgen zijn wanneer een arts handelingen zou verrichten op basis van een foutieve diagnose.

Wanneer deze arts recentelijk bewust gemaakt zou zijn van de mogelijke gevolgen, dan zou hij het nooit zomaar hebben laten rondslingeren, hoe druk hij of zij het ook heeft.

Deze drie risico’s kunnen snel resulteren in het verlies van vertrouwen bij uw patiënten. Hierdoor bestaat de kans dat men liever uitwijkt naar een andere instelling.

In het bovenstaande voorbeeld koppelen wij de term ‘Awareness’ aan het vak informatiebeveiliging. Een vak dat meer om het lijf heeft dan het ophangen van camera’s of rond laten lopen van beveiligingspersoneel. Het neemt drie aspecten ter harte; Mens, Techniek en Organisatie. Vergeet u er een, dan neemt de effectiviteit van de andere twee aspecten sterk af. Uw investeringen daarin zijn daarmee teniet gedaan. Alle drie zijn ze nauw met elkaar verbonden. De computers kunnen nog zo goed beveiligd zijn, als een mens –bijvoorbeeld- vergeet zijn werkstation te sluiten, dan kan een kwaadwillende alsnog overal bij.

Tot slot
Risico’s rond het aspect ‘Mens’ zijn met bewustwording tot een minimum beperkt. Zoals al eerder aangegeven blijft het van groot belang dat dit aspect in balans blijft met de aspecten ‘Techniek’ (Bescherming van computers en programma’s) en ‘Organisatie’ (Beleid en regelgeving). Wanneer het informatiebeveiliging betreft is iedere dag een balansdag.

Stel ons uw vragen
Laat u vrijblijvend informeren door een van onze professionals door gebruik te maken van de onderstaande contactgegevens.

015-251 3700 (Tel)
srs@seneca.nl (E-mail)

• Organisatie
• SRS Informatiebeveiliging
• SPS Microsoft technologie
• SPS Unix technologie
• Diensten
• SRS: Informatiebeveiliging
• Techniek
• Kwetsbaarheidscan
• Penetratietesten
• Systeem Audit
• Security Baseline
• Mens
• Security Awareness
• Mysteryman op Locatie
• Mysteryman op Afstand
• Organisatie
• VTI
• Risk & Security Analyse
• Security Health Check (SHC)
• Beleidsadvies
• BCM & BCP
• Audit-ondersteuning
• IBF
• SPS: Microsoft technologie
• SPS Diensten: Unix technologie
• Opdrachtgevers
• Artikelen
• Continuiteits Management
• Awareness
• Social Engineering
• Nieuws & nieuwsbrief
• Nieuws
• Actueel nieuwsbericht
• Nieuwsbrief
• Nieuwsarchief

• Contact
• Disclaimer
• Uitgebreid zoeken
• Vacatures
• Home