Case study - AAO Adviesgroep

Als adviseur en dienstverlener op het gebied van automatisering en security ondersteunt de AAO Adviesgroep verschillende zorginstellingen in Nederland. Het gaat hierbij vooral om organisaties met tussen de 100 en 1.000 medewerkers. Een actuele ontwikkeling binnen de zorgsector waarbij de hulp van AAO Adviesgroep wordt ingeschakeld, is de invoering van de NEN 7510-norm. Deze norm is ontwikkeld om de bescherming van patiënteninformatie te waarborgen. De norm biedt richtlijnen waaraan organisaties moeten gaanvoldoen.De NEN 7510-norm schrijft voor welke processen en procedures geborgd en vastgelegd worden en aan welke voorwaarden moet worden voldaan. Endpoint security is een belangrijke pijler binnen het informatiebeveiligingsbeleid, maar in de praktijk wordt er vaak nog te weinig aandacht besteed aan toegangscontrole. De verplichtingen die voortkomen uit de NEN 7510-norm en de maatschappelijke discussie rondom privacy bij de invoering van het elektronisch patiëntendossier, leiden ertoe dat endpoint security weer bij zorginstellingen op de agenda staat.

”De meeste zorginstellingen hebben inmiddels wel beleid ontwikkeld om medewerkers er bewust van te maken dat zij verstandig met patiëntgegevens moeten omspringen”, stelt Bas Damme, directeur van AAO Adviesgroep. “Om misbruik van informatie te voorkomen, moet je er echter ook voor zorgen dat de infrastructuur goed beveiligd is en daar ontbreekt het bij veel instellingen helaas nog wel eens aan. USB-poorten zijn bijvoorbeeld niet afgesloten en men gaat pas tot actie over als het mis gaat. Door de NEN 7510-norm worden organisaties hiervan bewust gemaakt.”


Praktijk case: Zorginstelling Het Spectrum

“Zorginstelling Het Spectrum is gevestigd in Dordrecht en bestaat uit een verpleegtehuis en twee zorgcentra”, licht Damme toe. “Deze organisatie is al enkele jaren klant bij ons en in 2006 is Het Spectrum begonnen om ook de informatiebeveiliging op orde te brengen. Op dat moment hadden zij nog geen maatregelen genomen om USB-poorten af te sluiten. Dit betekende dat iedere gebruiker kon inloggen op een pc en gegevens kon kopiëren naar een USB-stick. Wij zijn voor hen op zoek gegaan naar de beste oplossing en hebben GFI EndPointSecurity geadviseerd. Vervolgens hebben zij het product getest en dat werkte perfect. Inmiddels werkt Het Spectrum zo’n vier jaar met GFI EndPointSecurity en zij zijn zeer enthousiast. Na een korte uitleg van het product konden zij zelf aan de slag en in die vier jaar tijd hebben zij niet één keer een beroep hoeven doen op de helpdesk. Dit geeft wel aan hoe gebruiksvriendelijk deze oplossing is.“

Zorginstelling Het Spectrum zag een aantal jaar geleden al het belang in van endpoint security en is bezig te voldoen aan de richtlijnen die gesteld worden binnen de NEN 7510-norm.Veel organisaties gaan zich echter pas zorgen maken over het beveiligen van de toegangspoorten wanneer zij geconfronteerd worden met wet- en regelgeving. “Beveiliging maakt geen deel uit van het primaire proces, namelijk het verlenen van zorg, en daarom denken organisaties er ook niet altijd aan om de juiste maatregelen te treffen”, vervolgt Bas Damme. “Wanneer de beveiliging niet goed georganiseerd is en medewerkers te veel vrijheden hebben, is dit niet alleen een risico voor de bescherming van gevoelige informatie. Het veroorzaakt vaak ook veel problemen op het netwerk door virussen en malware. Dit moet vervolgens weer worden opgelost en dat kost veel geld. Zo hebben wij bij een andere zorginstelling door de implementatie van GFI EndPointSecurity, het aantal uren dat de engineer bezig is om problemen op te lossen teruggebracht van twaalf uur per week naar nog geen uur per week. Het levert dus ook een enorme besparing op. Het systeem draait nu veel stabieler. Medewerkers ervaren ook de voordelen, want die kunnen als ze binnenkomen gewoon zonder problemen inloggen.”


Implementatie

De eerste stap(na een goede risicoanalyse) bij het implementeren van maatregelen is de inventarisatie en een onderdeel daarvan is toegangscontrole. Er moet onder andere in kaart gebracht worden welke poorten er in gebruik zijn en wie toegang heeft tot data. “Het inventariseren van de toegangspoorten en rechten van medewerkers gaat meestal vrij snel”, licht Damme toe. “Je gebruikt hiervoor de active directory, want daarin staan eigenlijk alle groepen. Dan ga je vastleggen welke rechten die groepen hebben, bijvoorbeeld tot welke applicaties en data hebben zij toegang en op wat voor werkstation werken zij. Dit kun je vervolgens samenvatten in een matrix. Hierna stellen wij een voorstel op dat moet worden ondertekend door de directie of de stuurgroep, want zij zijn eigenaar van de infrastructuur en moeten daarom toestemming geven om bepaalde toegangspunten af te sluiten.

Het implementeren van GFI EndPointSecurity is eigenlijk het minste werk. Na de implementatie dragen we de verantwoordelijkheid over aan de systeembeheerder. Wij merken dat deze met weinig uitleg uit de voeten kan met dit pakket. De feedback van de beheerders is eigenlijk altijd positief, want ze zien gewoon dat GFI EndPointSecurity werkt.”


Voordelen

De belangrijkste reden waarom AAO Adviesgroep klanten adviseert om GFI EndPointSecurity in te zetten, is de flexibiliteit van het product. Het product is gebruiksvriendelijk en het is eenvoudig om wijzigingen aan te brengen.

Daarnaast is GFI EndPointSecurity robuust, doordat het de mogelijkheid biedt om zonder al teveel moeite de instellingen van de ene naar de andere serveromgeving over te zetten. De database kan gekopieerd worden naar een andere server en hierdoor is de oplossing snel te implementeren. “We gebruiken deze oplossing ook bij organisaties die gebruik maken van een gemixte omgeving. Wanneer er naast desktop pc’s ook thin clients gebruikt worden, vraagt dit om een product als GFI EndPointSecurity”, stelt Damme.


Toekomst

Een volgende stap die AAO Adviesgroep wil zetten, is het aanbieden van een monitoring-dienst. Hierbij wil zij gebruik gaan maken van de remote monitoring en managementoplossing van GFI. “Veel zorginstellingen besteden ook de monitoring van het netwerk graag uit”, legt Damme uit. ”Zij willen niet weten hoe de firewall werkt, maar willen er gewoon op kunnen vertrouwen dat het allemaal gewoon goed functioneert. GFI MAX kan ons helpen om het concept van ontzorgen verder uit te breiden. We kunnen dan het monitoring-proces ook centraliseren. Dit is een groot voordeel, omdat het ook de klantenbinding stimuleert.

De tools die je levert, worden complexer en als je de verantwoordelijkheid hiervoor bij de beheerder in het veld neerlegt, kan dit door een gebrek aan kennis problemen opleveren. Als je ’s morgens al kunt aangeven wat er misgaat, dan wordt de IT-infrastructuur echt beheersbaar. Organisaties kunnen vervolgens zelf de problemen oplossen of dit ook aan ons uitbesteden. Het is eigenlijk een logische vervolgstap in onze dienstverlening.”

Links

For more information about GFI EndPointSecurity visit our product discovery page.

Download of the software here


Disclaimer: All product and company names herein may be trademarks of their respective owners. To the best of our knowledge, all details were correct at the time of publishing; this information is subject to change without notice.