ICT Het verleden – Heden – De toekomst

14:00u – 14:15u Inloop, ontvangst14.15u – 14:30u Kennismaking14:30u – 15:30u Toekomst ICT visie, AAO15:30u – 15:45u Vragen en pauze15:45u – 16:15u Voorbeeld App bedrijfsleven, Xylem16:15u - … Afsluiting

Aanvulling ICT

hotel –

organisatie

Mogelijkheden ValkuilenAfsluiting

Van kanto

or

automatise

ring

naar ICT hotel

ICT hotel – organisatie

TCO – FO en TO

DEEL IV

Toekomst

DEEL VMindsetting

DEEL II

Verleden

DEEL III Heden

Juni 2015

2

ICT Het verleden – Heden – De toekomst

Voorstel rondeDoel bijeenkomst

AAO bv, CertiQA, Leo BesemerXylem, Ad DammeNGI, Chris RaghoebarsingFontys, EGT© EXIN, certificaties

DEEL I

Het verleden naar Heden

Juni 2015 3

Deel II: van verleden naar heden – ICT Hotel

Van 1995 tot (ongeveer) 2004: Opzet van passief – actief server systeem in

samenwerking met Compaq kennis center. Kantoorautomatisering – server / pc client omgeving Productie door (kantoor)personeel

Van 2004 tot (ongeveer) 2014/2015: Opzetten van een ICT hotel (AAO bv was ontwikkelaar)

in samenwerking met ICT zorg visie: www.zorgvisie.nl Voorbeelden Swinhove, Parkhuis, Spectrum, BlijeBorgh, - voorlichting AAG in Brabant.

Is nog steeds een proofed concept waarbij niet alleen kantoorpersoneel maar ook verzorg- en verpleeg- personeel productie vormen.

Informatie wordt belangrijker, normen, sturing, etc.. TCO (nog steeds) erg laag Koppelvlak functioneel- en technisch beheer

AAO bv Bas Damme

DEEL III: Huidige ICT omgeving – organisatie ICT hotelconform ITIL / PrinceII–Scrumm / BisL / ASL2 / ISM / etc.. www.exin.nl of www.aao.nl/opleidingen

Juni 2015 4

• Management team [MT] is eindverantwoordelijk.

• MT bepaalt beleid en is richtinggevend

• Ondersteunende Rol FB = Functioneel Beheerder

• (Security) management is overal Data is heilig Welke middelen krijgt (vraagt) data?• SLA is verantwoordelijkheid van de

klant (goed opdrachtgeverschap) SLA = eisen klant aan leverancier SLA = eisen leverancier aan klant

MT

UG FB

Infra

Gebruikers

Productie

SLA

Software

BeleidProcess Management

Functioneel Tactisch – Test man.

Wensen/Eisen (pki)

Klankbord groep

RfC

OTAPRelease

SLA

CAB

CMDB

AAO bv Bas Damme

Voorbeeld impact naar Cloud…

Juni 2015 5

• (Security) management is overal Wat als data in the

cloud? Bij outsourcen?

MT

UG FB

Infra

Gebruikers

Productie

SLA

Software

Beleid enProcess Management

TactischFunc. ontwerp

Wensen/Eisen (pki)

Klankbord groep

RfC

OTAPRelease

SLA

CAB

CMDB

AAO bv Bas Damme

Information management systemen (uit NEN / ISO)

Juni 2015 6

Definition• ISO 27001 defines an ISMS as:

'that part of the overall management system, based on a business risk approach, to establish, implement, operate, monitor, review, maintain and improve information security’.

• It should be designed to ensure the effective interaction of the three key attributes process (or procedure) technology and behavior.

Technologie

Processen

Gedrag

AAO bv Bas Damme

Continu verbeterproces (CSI) als voorwaarde voor ISO (27001)

Juni 2015 7

CMDB

Supportsets

• BS25999: specificatie voor een business continuity framework

AAO bv Bas Damme

Classificatie van informatie waarde vanuit zakelijke invalshoek (belang voor de organisatie)

• Beschikbaarheid• Wat gaat er mis als de informatie

een dag / een maand niet beschikbaar is?

• Hoe lang moet de informatie beschikbaar blijven?

• Integriteit• Risico van onjuiste gegevens

(bijv. medische gegevens)

• Vertrouwelijkheid• Bedrijfsbelang (bedrijfsgeheim)• Wetgeving (privacy, …)

Juni 2015 8

BIV

AAO bv Bas Damme

Classificatie van informatie& keuze van het juiste beschermingsniveau

Juni 2015 9

Beveiligingsbeleid

Afhankelijkheidsanalyse

Configuratieanalyse

Kwetsbaarheidsanalyse

Maatregelenanalyse

Selectie en implementatie van

maatregelen

• Welke informatie is het belangrijkst voor de continuïteit van de organisatie?

• Welke informatie levert de meeste omzet op? • Welke informatie levert de meeste winst op? • Welke informatie is het duurst om te

vervangen?• Welke informatie is het kostbaarste om te

beschermen?• Welke informatie zou in geval van verlies of

openbaarmaking de meeste schande of aansprakelijkheid veroorzaken?

AAO bv Bas Damme

10 kritische succesfactoren

Juni 2015 10

ISM succesfactorenvolgens Gerard Stroeve CISSP

1. Beleid: Topmanagement formuleert en draagt informatiebeleid uit overtuiging

2. Managementsteun: voorbeeldgedrag, budget.3. Organisatie: beveiliging gaat niet (alleen) over IT4. Passende maatregelen: altijd maatwerk5. Cultuur: Uitgangspunten en implementatie

moeten passen bij de bedrijfscultuur: 6. Kennis: alle aspecten van informatiebeveiliging. 7. Budget: zonder geld geen informatiebeveiliging8. Communicatie: afgestemd op doelgroep9. Awareness: veiligheid als 2e natuur 10. Evaluatie en onderhoud: continu cyclisch proces

van verbetering

Stem communicatie af op de doelgroep; Geef aandacht aan weerstand …

AAO bv Bas Damme

valkuilen

Juni 2015 11

ISM valkuilen

• Onvoldoende betrokkenheid management• Top-down zonder inbreng van medewerkers• Te hoog ambitieniveau (ivoren toren)

> het moet ook werkbaar zijn!• ‘niet mijn afdeling’• Beveiliging is niet zichtbaar > leeft niet• Inconsequenties (geeft verwarring)• Permanente uitzonderingen• ‘add-on’ security (IS moet deel zijn van de

architectuur)• Gebrek aan evaluatie en feedback

AAO bv Bas Damme

Huidige architectuur types & risico’smulti-tenancy, cloud (SAAS/PAAS/IAAS)

• Software as a Service (SaaS); multi-tenancy: verscheidene klanten

gebruiken los van elkaar dezelfde applicatie. Beperkte aanpassing (bijv. kleurinstelling) is mogelijk.

• Platform as a Service (PaaS); A virtual runtime system (often

combined with SaaS)• Infrastructure as a Service (IaaS);

Servers, storage & network and hardware resources offered in a virtual, on demand fashion over the Internet.

Juni 2015 12AAO bv Bas Damme

Relatie tussen Organisatie en ITIL®

Juni 2015 13

strategisch

tactisch

operationeel

• Informatiebeveiliging (security management) is één van de processen

• Zowel op tactisch als op operationeel niveau relaties met ITIL processen

Operationeel niveau

Incident management

Problem management

Change management

Release managementConfiguration & asset management

Tactisch niveau

Service level management

Availability management

Performance & capacity management

Business continuity planning

AAO bv Bas Damme

Dynamisch verkrijgen van informatie

Mogelijk door Kamer ICT of andere middelen

APPs – apparatuur onafhankelijk

Keten implementaties

HOE???

Virtuele infrastructuur Norm besef - standaarden Koppeling naar FO Centraal aanbieden

Applicaties KERNpakketten

ICT hotel

Personeel productie Informatie is inefficiënt

ingericht (statisch)- applicatie nodig op servers….

Productie en informatie

Juni 2015 14

DEEL IV: TOEKOMST -> Productie door klantenD.m.v. Kamer automatisering -> Kamer ICT!

AAO bv Bas Damme

Productie door klanten

Structuur met klanten productie en informatie?

Juni 2015 15

Toevoeging van de ICT kamer zorgt voor: Toevoegen in

organisatie Norm verandering> etc…

MT

UG FB

Infra

Gebruikers

Productie

SLA

Software

BeleidProcess Management

TactischFunc. ontwerp

Wensen/Eisen (pki)

Klankbord groep

RfC

OTAPRelease

SLA

CAB

CMDB

AAO bv Bas Damme

Gebruiker(s) toevoeging door APPS

Denk wel aan:op basis van Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV)

Juni 2015 16AAO bv Bas Damme

Maar denk ook aan architectuur

Juni 2015 17

Een architectuur …• Geeft kaders en richtlijnen voor het

omgaan met beveiliging binnen en buiten de organisatie

• De architectuur bevat een ontwerp waaruit direct duidelijk is hoe de beveiligingssystemen samenhangen en wat de impact is van veranderingen op een deelsysteem.

AAO bv Bas Damme

http://fontys.nl/egt/ Maar denk ook aan de gehele vloerbedekking wat deze kan uitlezen: vallen, liggen op de grond, lopen, etc…

http://www.zorgvisie.nl/Home/Dossiers/Apps/> Klik eens op de skinapp

Health Mirror

Verrichtingen App.

Juni 2015 18

VOORBEELDEN van toekomstige ICT middelen in de ICT kamer

http://verrichtingenapp.nl/in-de-media/

ZorgAPP

AAO bv Bas Damme

ISO-NEN7498-2 NORA Architectuur aanpak

Juni 2015 19AAO bv Bas Damme

ISO-NEN7498-2 NORA zonering (isoleren van risico’s)

Juni 2015 20© EXIN, AAO, CertiQA

ISO-NEN7498-2 NORA zonering (t.a.v Integriteit en Vertrouwelijkheid)

Juni 2015 21AAO bv Bas Damme

Beveiligingsdiensten

• Doel is het beschermen van de continuïteit van de organisatie. Dat vergt het uitwerken van

scenario’s en samenstellen van plannen en procedures om de continuïteit te waarborgen en schade te beperken.

Juni 2015 22AAO bv Bas Damme

Het belang van beveiligingselementenin de IT-infrastructuur. • Firewall Apparaat dat (software die) voorkomt dat schadelijke gegevens het netwerk

binnendringen, terwijl gewenste (onschadelijke) gegevens worden doorgelaten.• Antivirusprogramma Programma dat virussen, wormen en andere schadelijke softwareprogramma's

herkent en de bedreigingen onschadelijk maakt voordat ze problemen kunnen veroorzaken.

• IDS (intrusion detection systems) in het netwerk. Programma's die de toestand van het netwerk controleren en bedreigingen voor

het netwerk onderscheppen.• Configuratiebeheer strikt genomen geen onderdeel van de beveiliging, maar wel zeer belangrijk

omdat daarmee de systemen volgens het beveiligingsbeleid kunnen worden geconfigureerd.

Juni 2015 23AAO bv Bas Damme

Maatregelen voor fysieke toegang Volledige toegangsbewaking bevat alle volgende vier elementen: • Identificatie

ID moet één op één de drager identificeren• Authenticatie

Iets wat je weet (password, pass phrase) Iets wat je hebt (token, smart card, pin safe) Iets wat je bent (iris scan, vingerafdruk, etc.) Iets wat je produceert (stempatroon, handschrift, etc.)

• Autorisatie Access list – koppelt ID aan lijst van plaatsen waar je toegang hebt

• Verantwoording Registratie van waar je bent, wat je doet (video, etc.)

Juni 2015 24AAO bv Bas Damme

Onze Visie:• ICT hotel is een beproefd concept en klaar voor de toekomst• Monitoring en “coaching” middelen worden aan productie

toegevoegd• Zorgmiddelen zullen d.m.v. apps uitgebreid worden• Informatie Technologie als ondersteuning zal (nog) belangrijker

worden• Keten informatie en administratie zullen nodig zijn

Wij werken samen met NGI-NGN, Fontys, ICT zorg visie, Summa zorg en staan klaar voor de toekomst.

Juni 2015 25AAO bv Bas Damme

Juni 2015 26AAO bv Bas Damme

Wat zijn apps:http://nl.wikipedia.org/wiki/Apps

In de gaten houden:

http://www.summa-zorg.nl/studie-en-school/Samenwerken/Verpleeghuis-van-de-toekomst.html

http://www.summa-zorg.nl/studie-en-school/Samenwerken/slimmer-leven-2020.html

https://www.facebook.com/slimmerlevenchallenge