Het belangrijkste is het vertrouwen dat gegevens correct, beschikbaar en veilig opgeslagen zijn
Mohamed, information security manager

Mohamed zorgt voor beveiligde informatie

Binnen zorgorganisaties als Brocacef en BENU is het beveiligen van informatie essentieel. ‘Informatie van klanten en patiënten moet zorgvuldig wordt behandeld en opgeslagen. Op die manier blijft de integriteit gewaarborgd en voorkomen we grote operationele risico’s', zegt Mohamed Kassttar, information security manager binnen Brocacef.

Mohamed: ‘Ik ben ooit binnen Brocacef begonnen op de finance afdeling. Dat was een mooie carrière stap voor mij als accountant bij een van de grote accountantskantoren. Als jongen hield ik van computers in elkaar knutselen en op school hadden cijfers mijn grootste belangstelling. Dankzij mijn sterke cijfermatig inzicht, was een carrière als accountant voor mij een logische keuze.

'Binnen Brocacef heb ik naast mijn finance werkzaamheden, me ook bezig gehouden met onderwerpen als strategie en IT. Doordat ik in mijn vorige baan daarnaast ook kennis had opgedaan met governance en ervaring had met audits, werd ik gevraagd om de afdeling informatiebeveiliging op te zetten. Ik heb wel eerst op het vlak van informatiebeveiliging de nodige opleidingen gedaan en certificaten behaald, zoals CISM ( Certified Information Security Manager) en CISSP (Certified Information Systems Security Professional).'

Vertrouwen

‘Het belangrijkste in informatiebeveiliging is het vertrouwen in dat gegevens beschikbaar, veilig opgeslagen en correct zijn’, zegt Mohamed. ‘Dat kan alleen als de juiste mensen inzage hebben in gegevens en die mogen wijzigen. Daarom moet je ervoor zorgen dat je goed beleid ontwikkeld. Op basis hiervan kun je goede technische controlemechanismen implementeren en de besturing en controle daarop goed inrichten. Informatiebeveiliging zit verweven in de hele organisatie. Het is heel belangrijk dat het bewustzijn bij iedereen is, van management tot op de werkvloer. Alleen als je het samen doet, werkt het.’

Alleen als je het samen doet, werkt het

‘Het model voor besturing en controle binnen de afdeling finance wordt al tientallen jaren gebruikt. Het leek mij logisch dat hier ook bruikbare elementen in zouden zitten, die ik kon gebruiken voor informatiebeveiliging. Vooral risicomanagement binnen het financiële governance model heeft veel parallellen met informatiebeveiliging.

'Als eigenaar van een apotheekketen die gebruik maakt van persoonlijke, medische gegevens, moeten wij voldoen aan strenge wettelijke eisen en normen. Binnen Brocacef bestaat daarom al geruime tijd een afdeling QA (Quality Assurance) die dit bewaakt. Er was daardoor al het nodige ingericht binnen de organisatie om bedrijfsinformatie te beveiligen. Met de afdeling informatiebeveiliging brachten we alles bij elkaar en bouwden we daarop verder’

De informatiebeveiliging is gerealiseerd in onze hele bedrijfsketen van pre-wholesale tot en met de apotheken

Incidenten voorkomen

Veel beveiligingsmaatregelen zijn in loop van de tijd uitgevoerd met de plan-do-check-act cyclus (PDCA). Dit is een methode om continue verbeteringen uit de voeren in processen. Mohamed: ‘Als organisatie willen we voorkomen dat een incident nog een keer plaatsvindt. We willen tegelijkertijd ook leren van incidenten. Een oplossing kan dan een extra controlestap zijn in een procedure. Nadat een probleem is opgelost, vergeten mensen al vrij snel wat ooit de aanleiding was voor deze extra stap. Daardoor komen medewerkers in de praktijk zaken tegen in werkprocessen waar ze zich van afvragen: Waarom doe ik dit? Waarom moet dit? Is het niet wat overdreven? De neiging is om dan te zeggen ik doe het niet meer, dit kost mij allemaal extra tijd, ik wil af van zo'n extra taak. Het is altijd goed om kritisch te zijn, vragen te stellen en niet klakkeloos iets te doen. Maar medewerkers moeten zich ook realiseren dat procedures er niet voor niets zijn en dat er een heel proces aan vooraf gaat.’

Risico’s en dillema’s

‘Het is mijn doel om ons bedrijf veilig zijn taken te laten uitvoeren. Maatregelen om informatie te beveiligen moeten de dagelijkse operatie zo min mogelijk belemmeren. Mijn afdeling is continue bezig met risico inschattingen te maken. Op basis van die risicoanalyses bepalen we of we maatregelen moeten nemen. Daar hoort ook bij dat we sommige risico’s aanvaarden, omdat de kans dat het gebeurt heel klein is of de impact gering. We moeten daarnaast steeds blijven afwegen of we regels minder streng kunnen maken, omdat het risico is afgenomen of juist moeten verzwaren omdat er een hoger risico is.’

De mens is en blijft de grootste uitdaging

‘Wanneer het risico verkeerd wordt ingeschat, bestaat de kans dat maatregelen veel te zwaar worden en daarmee onwerkbaar worden (processen te veel tijd kosten, onuitvoerbaar worden). Dan kan iemand bewust besluiten om een maatregel te omzeilen omwille van efficiëntie en komt er onvrede over het informatiebeveiliging beleid. Bovendien kan dat leiden tot ongewenste risico`s voor de organisatie. Sturen van het menselijk gedrag is en blijft daarom de grootste uitdaging. We moeten met z'n allen bewust zijn van de risico’s van ons handelen anders werkt het niet.’

‘Ik loop daarbij ook wel tegen dillema’s aan,’ vertelt Mohamed. ‘Zo willen wij bijvoorbeeld het liefst dat vertrouwelijke informatie niet op een usb-stick wordt opgeslagen. Een usb-stick kan tenslotte kwijtraken, in verkeerde handen vallen, of besmet worden met een virus. Een simpele oplossing is dan om de usb-poorten van alle apparaten binnen de organisatie af te sluiten waardoor ze niet meer werken. Probleem opgelost zou je zeggen. Maar er worden ook usb-sticks gebruikt om grote bestanden over te brengen naar apparaten, die niet aan het interne netwerk hangen, zoals productiesystemen. De maatregel om gebruik usb-sticks te verbieden, zou dan erger zijn dan de kwaal. Een goede virusscanner op alle apparaten te installeren die ook usb-sticks scant op virussen en usb-sticks te versleutelen is dan een betere oplossing.'

Hoogste prioriteit

Informatiebeveiliging kun je vergelijken met een huis,’ stelt Mohamed. ‘Als je ramen hebt op de begane grond, betekent dat je het risico loopt dat iemand via een raam kan inbreken. Een huis met een benedenverdieping zonder ramen is echter vrijwel onbewoonbaar. Je kunt beter het risico zo klein mogelijk te maken door goed hang- en sluitwerk op je ramen te installeren, je kostbare bezittingen in een kluis te bewaren en je te verzekeren tegen een mogelijke inbraak. Je dekt je dan in tegen de overgebleven risico’s. Zo werkt het ook met informatiebeveiliging.’

Voor ons heeft de bescherming van persoonsgegevens, de hoogste prioriteit

‘Voor ons heeft de bescherming van persoonsgegevens, onze hoogste prioriteit. Het maakt niet uit of het gaat om gegevens van patiënten en klanten, voor wie wij werken, of van eigen medewerkers. Als die in gevaar komen, kunnen wij niet de juiste medicijnen leveren aan apotheken en zorginstellingen. Dat heeft een enorme impact. Als onze operatie in gevaar komt doordat we getroffen zouden worden door bijvoorbeeld ransomware (software waarmee een ICT-systeem geblokkeerd wordt red,), dan zou dat catastrofale gevolgen hebben voor heel veel mensen in Nederland.’

Samenwerking

Mohamed: ‘Wij willen dat gebruikers zich één ding goed realiseren met betrekking tot informatiebeveiliging: Als organisatie kunnen wij zorgen dat het huis veilig is, met goede sloten, verschillende kamers met ieder een eigen sleutel en een alarmsysteem. Maar je moet er als medewerker wel in en uit kunnen. Daarom geven wij onze medewerkers toegangsmiddelen zoals gebruikersnamen en wachtwoorden, MFA (multi-factor authenticatie red.). De toegang voor medewerkers is noodzakelijk en tegelijkertijd ook de grootste zwakte. Iemand die een sleutel heeft kan de beveiliging omzeilen en toch bij onze gegevens. Informatiebeveiliging zal daarom altijd een samenwerking blijven tussen techniek en gebruiker’