Steeds meer zorgorganisaties nemen applicaties zoals een ECD (Elektronisch Cliënten Dossier) af als een (SaaS) dienst. Het voordeel van SaaS (Software-as-a-Service) is dat je niet zelf verantwoordelijk meer bent voor de hosting van de applicatie. De hostingpartij is namelijk verantwoordelijk voor het operationeel en beschikbaar houden van de applicatie.
Het up-to-date houden van je applicaties is dus niet langer jouw verantwoordelijkheid, maar je blijft wel zelf verantwoordelijk voor de toegang tot de applicatie en de informatie die je gebruikt in de applicatie.
- Microsoft heeft dat goed beschreven in een artikel op hun website: Shared responsibility in the cloud.
Waar het nog vaak misgaat is dat organisaties veel verschillende SaaS applicaties hebben die op verschillende manieren beheerd moeten worden en gemonitord. Nu is het niet zo erg als je verschillende applicaties hebt, maar je moet wel de security policy kunnen hanteren zodat je een consistent security niveau kunt waarborgen.
Hoe kies je een applicatie?
Veel SaaS applicaties kunnen geen goede input leveren voor security monitoring. De meldingen uit het platform zijn beperkt en geven daardoor geen goed inzicht in wat zich afspeelt in het SaaS platform.
Daarom zou bij het kiezen voor een nieuwe applicatie eigenlijk ook gekeken moeten worden naar de beveiliging. Heeft het bijvoorbeeld:
- Multi Factor Authenticatie (MFA) voor alle gebruikers?
- Heeft het versleuteling (met een eigen codering) van de data en/of informatie?
- Wordt er niet alleen een interne back-up, maar ook een externe back-up van je gegevens gemaakt?
- Kunnen verschillende rollen voor diverse medewerkers worden gedefinieerd?
- En zijn er rapportagemogelijkheden?
Aanvullend zou je moeten kijken of je de applicatie ook goed kunt monitoren. Je kunt hierbij denken aan een API koppeling naar je SOC monitoring tooling waardoor je inzicht krijgt in wat er gebeurt in de cloud omgeving van je applicatie(s).
Consolidatie van apps is niet altijd mogelijk, maar probeer wel altijd het aantal leveranciers tot een minimum te beperken.
Hoe houd je controle en inzicht?
Door je eisen van tevoren in een beleidsnotitie op te stellen voorkom je dat de groei aan futuristische applicaties uit de hand loopt en oncontroleerbaar wordt.
Je kunt al inzicht krijgen door de toegangscontrole tot je applicatie(s) te regelen met bijvoorbeeld Microsoft Entra-ID. Dit zorgt voor een universele en gecentraliseerde plaats voor alle authenticatie van je applicatie(s). Hierdoor weet je in ieder geval wie op welk moment toegang heeft gekregen tot het platform.
Voor de monitoring op een ECD in de cloud adviseren we vanuit onze SOC-dienstverlening te monitoren via Entra-ID met Microsoft Defender for Identity. Dit kun je nog verder aanvullen met bijvoorbeeld Microsoft Defender for Cloud Apps, Defender for Cloud, Defender for O365 en uiteraard Microsoft Defender for Endpoints.
Microsoft Assessment
Conscia voert voor haar klanten assessments uit om te kijken hoe we met de Microsoft Defender beschermingsmaatregelen niet alleen je Microsoft omgeving nog beter kunnen beschermen, maar ook hoe we dat kunnen doen voor andere SaaS-applicaties. In een paar workshops nemen we je mee in de wereld van Microsoft Defender en doen we een assessment op je omgeving om te kijken hoe veilig je bent.
Meer weten? Bekijk hier de mogelijkheden van onze Microsoft Assessments.