Beheer

Security

Beveiligen met de  hand op de knip

6 september 2013

Jan Willem Schoemaker is CISO bij Erasmus MC. Daarbij richt hij zich op risicomanagement, informatiebeveiliging en Business Continuity Management. Het Erasmus MC heeft een complexe, grote IT-infrastructuur. Het beschikt over ruim 12.000 werkplekken en 13.000 medewerkers, behandelt jaarlijks alleen al in de poliklinieken meer dan 100.000 ‘eerste bezoeken’ en heeft rond de 1000 bedden in het ziekenhuis. De bijbehorende informatievoorziening wordt beveiligd door beheerders van de IT-afdeling van het Erasmus MC met hulp van IT-beveiligingspecialist DearBytes. Daarbij gaat het niet alleen om patiëntgegevens, maar ook om de data die onderzoekers, studenten en docenten bij de medische faculteit produceren.

Het Erasmus MC heeft een eigen team dat zich richt op IT-beveiliging. Daarnaast heeft de organisatie een aantal beheertaken uitbesteed aan dienstverleners. Het Erasmus MC werkt al zeker tien jaar met DearBytes, die via de beheertool ePolicy Orchestrator (ePO) van McAfee de 12.000 werkplekken beheert en beveiligt. “Wij kiezen voor de toegevoegde waarde die een dienstverlener kan bieden”, zegt Schoemaker. Het Erasmus MC neemt ook managed services af bij de dienstverlener. Zo worden de beveiligingswerkzaamheden verdeeld tussen DearBytes en de beheerders van het Erasmus MC. Daarnaast heeft ziekenhuis een eigen Computer Emergency Response Team (CERT), bestaand uit zes mensen, die bij grotere problemen in actie komen. Ook zijn er zeer nauwe contacten met het NCSC en SurfNet die meldingen doen van mogelijke incidenten en bedreigingen.

Efficiënter

Schoemaker: “Als vanuit onze beveiligingsmaatregelen echt groot alarm wordt geslagen kan DearBytes snel handelen voor ons. Want bij meldingen willen we snel kunnen acteren.” Door een derde partij goed in te zetten, kan hij efficiënter werken, vindt hij. Is er iets verdachts aan de hand met een werkplek, dan kan het Erasmus MC die zelf opschonen of zijn dienstverlener inschakelen om de werkplek weer helemaal op orde te brengen.“Zulke werkzaamheden kosten tijd. Daar heeft een dienstverlener veel meer ervaring mee, want die doet dat de hele dag bij heel veel klanten. Wij hebben zelf genoeg kennis in huis, maar met die specialistische ervaring kan het incident effectiever worden bestreden.”

Financiële beperkingen

Schoemaker heeft vertrouwen in de beveiligingsaanpak die het Earsmius MC nu in de praktijk brengt. “We zouden natuurlijk nog wel meer willen doen, maar hebben te maken met beperkte financiële middelen. Wij doen wat mogelijk is, maar kunnen niet zo veel doen als bijvoorbeeld banken. Wel zijn het hier heel kritische processen. Er mag bijvoorbeeld niets mis gaan met een vroeggeboren kindje in een couveuse. Het gaat nu goed, maar je moet heel secuur zijn. Minder doen is geen optie.”

Dat betekent dus roeien met de riemen die je hebt. Schoemaker benut daarom nu zo veel mogelijk de spullen die hij al heeft staan. Daarvoor heeft hij wel de hulp nodig van zijn dienstverlener, omdat die veel diepgaandere kennis heeft van die producten.

Erik Remmelzwaal, CEO van DearBytes, ziet vaker bij andere organisaties dat ze de middelen die zij in huis hebben om hun IT te beveiligen niet efficiënt gebruiken. “Men kijkt er niet regelmatig naar om. De beveiliging is in de praktijk gebrekkig omdat met oude software gewerkt wordt, zonder virusscanner of doordat de configuratie van beveiligingssoftware domweg niet goed is uitgevoerd.” Daarnaast hebben veel organisaties pakketten met beveiligingsoplossingen waarvan slechts een fractie wordt benut, vaak alleen de antivirusscanner. Maar er zit veel meer in. “Die suites zijn samengesteld volgens de filosofie van ‘next generation endpoint protection’; beveiliging die opgewassen is tegen de bedreigingen van nu en in de toekomst. De belangrijkste functionaliteiten daarbinnen zijn het blokkeren van bekende, kwaadaardige websites en het virtueel ‘patchen’ van beveiligingslekken in software door middel van Intrusion Prevention. Zeker door de opkomst van mobiliteit is het van vitaal belang dat dit soort technologie ook actief is en gemonitord kan worden als een computer zich buiten het bedrijfsnetwerk bevindt.”

Demilitarized Zone

Schoemaker: “Wij hebben hier een zogeheten Demilitarized Zone (DMZ). De servers die daar staan, zijn van buiten te benaderen. Het beheer van antivirus doen we nu met een Agent Handler, ook een onderdeel van ePO.” Remmelzwaal: “Met een Agent Handler bijvoorbeeld kun je ook systemen beheren die ‘buiten’ zijn. Ongeacht waar het systeem zich bevindt, kun je zicht houden op de status van de beveiliging. En ja, dat zou je ook weer kunnen gebruiken voor het beheer van smartphones en tablets: Mobile Device Management.”

Het Erasmus MC kiest er bewust voor een combinatie van proactieve en reactieve maatregelen in te zetten. Dat scheelt geld en mits goed aangepakt, is het veilig genoeg. Schoemaker: “Wij kiezen deels voor signalering en goed reageren. Het CERT kan in actie komen als dat nodig is en onderzoeken doen om aanvallen of andere problemen te voorkomen. Daarbij richten we ons heel sterk op dat wat openstaat naar buiten. Bovendien werken we nauw samen met de zeven andere UMC’s, de NVZ-ziekenhuizen, SURF, het NCSC en DearBytes.”

Creatief zijn

Voor zo’n combinatie van proactieve en reactieve maatregelen volstaat een virusscanner alleen zeker niet. Remmelzwaal: “Die kan nooit snel genoeg bijgewerkt worden om alle nieuwe virussen te herkennen. Daarvan komen er elke dag tienduizenden nieuwe bij. Dus is het tegenwoordig noodzakelijk om de systeembeveiliging uit te breiden met proactieve maatregelen. Maar het is vooral belangrijk om de ontwikkelingen te blijven volgen, want technologieën volgen elkaar razendsnel op. Je hebt inmiddels bijvoorbeeld in de beveiliging allang niet meer alleen te maken met Windows, maar ook met tablets onder Android of iOS, virtualisatie, SAN’s en bring your own device. Wil je je overal tegen kunnen verdedigen, dan moet je flink investeren. En met beperkte financiële middelen past dat niet altijd. Dus moet je soms creatief zijn en in ieder geval zoveel mogelijk benutten wat je al in huis hebt.”

En soms kunnen proactieve maatregelen juist voordeliger zijn. Remmelzwaal. “Kijk welk soort incidenten veel bij een CERT terecht komen en richt je in eerste instantie daarop met preventieve maatregelen.” Want zo kunnen heel veel reactieve acties voorkomen worden met een relatief kleine investering.

Tips om efficiënter en effectiever te beveiligen

  • Denk heel goed na over hoe je de incidentresponse goed kunt regelen. Zorg dat je een goed beleid hebt en richt een gestructureerd proces in. In de zorg hebben de meeste organisaties dat wel, alleen al omdat ze er toe gedwongen worden door toezichthouders. Maar pas het ook wel toe.
  • Zoek samenwerking met anderen. In verenigingen vind je vaak veel actievelingen. Je weet dan ook wat er speelt en leert daar van. Als ik iets nieuws wil toepassen is mijn eerste reactie altijd dat ik andere academische ziekenhuizen bel of zij ook al zoiets hebben gedaan en hoe.
  • Gebruik het praktijkhandboek NEN7510. Daarin staan heel handige tips zoals kant en klare formats voor modellen. Die hoef je echt niet zelf te ontwikkelen. Dat scheelt al heel veel werk, tijd en geld.
  • Doe niet alles zelf. Zorg voor een eigen team, maar als het even kan, kun je beheertaken beter uitbesteden.
  • Organisaties hebben heel wat meer technologie tot hun beschikking dan ze beseffen. Investeer wat in goede adviseurs die je kunnen helpen de middelen die je al in je bezit hebt, beter uit te nutten.
  • Kijk verder dan alleen antivirus. Dat is echt niet genoeg. Er zijn quick wins om grote risico’s af te dichten, zoals reputatiefiltering en tijdig patchen. Vaak heb je ook al technologie in huis om te voorkomen dat je gegevens vanaf internet misbruikt kunnen worden. Beveiligingsproducten bieden vaak veel meer dan alleen die antivirusengine. Het kost dus vaak niets extra, behalve beheer.
 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!