De securityconsultant van Acknowledge verzorgt een volledige security assessment om de informatieveiligheid van SOVAK nog verder te verbeteren.
Tijdens de gesprekken met Acknowledge kreeg ik vertrouwen in de kennis en kunde van hun specialisten.”
Michiel BaelemansZorgorganisatie SOVAK is er voor iedereen met een verstandelijke beperking. Zij krijgen dankzij de inzet van medewerkers en vrijwilligers de ruimte om te wonen, werken, leren en meedoen met activiteiten. De organisatie heeft haar externe ICT-dienstverlening uitbesteed bij verschillende leveranciers in de vorm van een consortium. Een van deze partijen verzorgde voor SOVAK een volledig nieuwe ICT-infrastructuur. “Voor ons was het belangrijk te toetsen of die omgeving veilig genoeg is”, vertelt Michiel Baelemans, strategisch adviseur zorgtechnologie en ICT bij SOVAK. “Om een gevalletje ‘slager keurt zijn eigen vlees’ te voorkomen hebben we bij onze andere partners geïnventariseerd wie een security assessment uit kan voeren. De securityconsultant van Acknowledge vertelde met grote passie over wat hij tijdens zo’n assessment gaat doen. Dat gaf mij echt vertrouwen”, zegt Michiel.
NIS2-wetgeving
Tijdens een security assessment probeert een expert zwakke punten, kwetsbaarheden en risico’s in een IT-omgeving te identificeren en beoordelen. Hierdoor kan SOVAK de juiste maatregelen nemen om hun beveiliging te verbeteren en voldoen ze aan de geldende wet- en regelgeving, zoals de aankomende NIS2-richtlijn. Michiel legt uit: “Het doel was niet om gaten in de ICT-omgeving te vinden, maar juist een objectieve beoordeling of we op de goede weg zitten onze omgeving zo veilig mogelijk te houden. Daarnaast is het voor mij een middel om meer aandacht te krijgen voor informatieveiligheid in de organisatie.” Securityconsultant Philip van Roeijen voerde het security assessment uit. “De focus lag op de infrastructuur rondom de netwerken en servers die gehost worden binnen het eigen datacenter”, vertelt hij. “Daarnaast hebben we ook de werkplek en diverse websites en portalen meegenomen in het assessment.”
Kritisch beoordeling van de nieuwe IT-infrastructuur
Bruikbaar én leesbaar verslag met praktische oplossingen
Vertrouwen op basis van kennis en fijne samenwerking
Menselijke factor
Tijdens het onderzoek werkte Philip nauw samen met de systeembeheerder van de IT-partner die verantwoordelijk is voor de infrastructuur van SOVAK. Philip: “We schakelden doorlopend over de status van het assessment, welke activiteiten op de planning stonden en wanneer een bevinding meteen aangepakt moest worden.” Doordat hij binnen de scope geen enkele beperkingen kreeg had hij als buitenstaander de ruimte kritisch te kijken op welke manieren hij informatie van de organisatie kon bemachtigen. “Wat ik heel fijn vond is dat het niet alleen een technisch verhaal was, maar dat ook gekeken is naar het gedrag van onze medewerkers”, vertelt Michiel. “Vragen mensen wie Philip is als hij ergens rondloopt? En hoe gemakkelijk geven ze gegevens weg? In een organisatie als SOVAK is juist die menselijke factor zo belangrijk voor de informatieveiligheid. En dat heeft Philip op een heel integere manier onderzocht.”
Aanpassing van beleid
Alle bevindingen uit het security assessment zijn vastgelegd in een uitgebreid verslag. Philip legt uit: “Hierin staat voor alle technische aspecten duidelijk uitgelegd wat is geconstateerd, wat het risico daarvan is en welke prioriteit het heeft. Ik leg voor de risico’s bovendien uit wat de best passende oplossing is. Hier kan SOVAK vervolgens met hun systeembeheerder mee aan de slag.” Bevindingen over de menselijke kant van het security assessment vragen mogelijk om een aanpassing of toevoeging in het beleid van SOVAK. “Dit valt samen met ons informatiebeveiligingsbeleid”, vertelt Michiel. “Technisch gezien kunnen we alles dicht timmeren. De bevindingen uit het assessment helpen mij ons bestuur te overtuigen de juiste stappen te zetten om onze informatieveiligheid tot het gewenste niveau te brengen.”
Met alle vertrouwen
Michiel is blij met de ondersteuning van Philip. “We wilden een rapport dat ook leesbaar is door niet-techneuten. Het verslag bevat technische details, maar de belangrijkste conclusies zijn in begrijpelijke taal opgeschreven, zodat ik het binnen alle lagen van onze organisatie kan inzetten”, legt Michiel uit. Het project is inmiddels afgerond en SOVAK is aan de slag gegaan met de bevindingen. “Ik ben heel tevreden en Philip krijgt van mij een dikke voldoende! Als ik het weer zou moeten doen, dan zou ik met alle vertrouwen opnieuw naar Philip toe gaan. Hij heeft kennis van zaken én weet op een zorgvuldige en vriendelijke manier met mensen om te gaan.”