LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging in de keten
-
Upload
lloyds-register-quality-assurance-nederland -
Category
Technology
-
view
94 -
download
0
description
Transcript of LRQA Congres 2014: 15 mei 15:45 - 16:10 Praktijkcase: informatiebeveiliging in de keten
Informatiebeveiliging in
de keten
Yvo Hoeke
15 mei 2014
LRQA Congres 2014
Agenda
LRQA Congres 2014
• Even voorstellen
• Ontwikkelingen in IT
• Ontwikkeling van de waardeketen
• Transformatie & paradigma shift
• Impact op informatiebeveiliging
• Praktijk
• Stappenplan
• Vragen?
Even voorstellen
LRQA Congres 2014
Yvo Hoeke
Directeur en oprichter van NetSourcing
Serviceprovider voor de zorg
• Integratie van informatie (in de keten)
• Applicaties op werkplek van de zorgprofessional
• Beheer & onderhoud van achterliggende ICT-infra
2001 gestart
85 medewerkers
Focus op VVT, JZ, JGZ, GGZ, GZ, AZ en HAP
Ontwikkelingen in IT
LRQA Congres 2014
Probleem of symptoom??
LRQA Congres 2014
Voedselveiligheid 7% wereldhandel illegaal
Datalekken & veiligheid
Snowden has helped us
LRQA Congres 2014
De ontwikkelingen versterken de symptomen,
waardoor het vanzelf een probleem wordt!
The cloud as accelarator
LRQA Congres 2014
Functionaliteit
Public
Shared
Private
# ge
bru
iker
s
Specifiek Generiek
Cloud vergroot complexiteit
LRQA Congres 2014
Cloud vergroot complexiteit
LRQA Congres 2014
Cloud vergroot complexiteit
LRQA Congres 2014
Cloud vergroot complexiteit
LRQA Congres 2014
Provider X
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Provider C
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Provider B
Service Platform Service Management
Se
curi
ty
Pri
va
cy
BrokerProvider A
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Service Orchestration
Service Integration
Service Aggregation
Service Arbitrage
Auditor
Security
Privacy
Performance
Support
Configuration
Interoperability
LRQA Congres 2014
Cloud vergroot complexiteit
Waar informatiebeveiliging eerst context-gebonden
(bedrijfscontext) was, wordt het nu, als gevolg van o.a.
transmuraal werken in een keten, noodzakelijk om nu context-
ongebonden informatiebeveiliging in te richten.
Context-ongebonden informatiebeveiliging
LRQA Congres 2014
Provider X
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Provider C
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Provider B
Service Platform Service Management
Se
curi
ty
Pri
va
cy
BrokerProvider A
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Service Orchestration
Service Integration
Service Aggregation
Service Arbitrage
Auditor
Security
Privacy
Performance
Support
Configuration
Interoperability
Context gebonden
Context ongebonden
Context-ongebonden informatiebeveiliging
LRQA Congres 2014
Provider X
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Provider C
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Provider B
Service Platform Service Management
Se
curi
ty
Pri
va
cy
BrokerProvider A
Service Platform Service Management
Se
curi
ty
Pri
va
cy
Service Orchestration
Service Integration
Service Aggregation
Service Arbitrage
Auditor
Security
Privacy
Performance
Support
Configuration
Interoperability
Context gebonden
Context ongebonden
Fysieke waardeketens vandaag
LRQA Congres 2014
Grondstof Logistiek Handel Dokter Postbode Consument Industrie Apotheek
Waardeketen wordt “Ronde tafel” CONTEXT-CROSSING
LRQA Congres 2014
Dokter
Consument
Industrie
Apotheek
Handel
Logistiek
Paradigma-shift
LRQA Congres 2014
Verandering van keten naar context-crossing ronde-tafel vereist
een paradigma shift in denken.
De praktijk in de zorg wijst uit dat partijen niet bereid zijn om
posities te verlaten en steeds geprobeerd wordt om het domein
van de ronde-tafel in het eigen bedrijfsterrein te trekken!
Voorbeelden:
• Start “shared service centra” a.g.v. overcapaciteit
• Ziekenhuizen in relatie tot thuiszorg
• Thuiszorg in relatie tot huisartsen
Innovatie zit in de cross-over
LRQA Congres 2014
Innovatie zit in de cross-over
LRQA Congres 2014
Kijk naar de koningin aller markten, de RETAIL.
Wie is één van de leading actoren?
DE CONSUMENT
Deze doet in de zorg nog amper mee!
Als je werkelijk iets wil…
LRQA Congres 2014
Verlaat je positie en start met het delen van informatie aan een
ronde tafel.
Hou er rekening mee dat meta-informatie veelal voldoende is
om het proces bestuurd te krijgen.
Techniek is nog altijd volgend, en technische middelen zijn
voorhanden….
IT-security
LRQA Congres 2014
Andere aanpak noodzakelijk:
• Drukken op één van de actoren heeft geen zin en leidt tot
micromanagement zonder resultaat
• Modellen om kosten en opbrengsten van de ronde tafel met
elkaar te delen zijn noodzakelijk
Ik pleit voor….
LRQA Congres 2014
• Een door de deelnemers van de ronde-tafel
gemeenschappelijk aangestelde audit-functie die ook
informatiebeveiliging betreft.
• Zowel de technische als organisatorische aspecten van
de context optimaliseert.
• Wordt beloond door de mate van optimalisatie op vooraf
afgesproken KPI’s van de context.
Start met…
LRQA Congres 2014
1. Definitie van de rollen van de context ( Wie schuift aan?)
2. Het definiëren van de informatie (attributen) die men in de
context wenst te delen
3. Het toekennen van personen aan de rollen
4. Het koppelen van bronnen aan de attributen
Hiermee is de basis voor de informatievoorziening én beveiliging
in de context gerealiseerd.
LRQA Congres 2014
Hoe mooi zou het zijn als…
LRQA de onafhankelijke audit-rol op zich zou
nemen!