Veilige informatievoorziening bij westfriesgasthuis rob kuijpers

Ing. Rob Kuijpers Sr. unithoofd Informatisering

User provisioning en authenticatie

Veilige informatievoorziening bij

3 jaar ervaring

Programma

• Introductie Westfriesgasthuis

• Aanleiding veilige informatievoorziening / Projectaanpak

• Blik op 3 jaar project

– Inzoomen op authenticatie, user provisioning en RBAC

• Screenshots user provisioning

• Eindoordeel

7 juni 2012 Tools4ever Zorgdag 2012 2


Westfriesgasthuis

– Middelgroot ziekenhuis – cijfers 2011

• 506 erkende bedden / 358 capaciteit

• 26 specialismen/126 leden Medische Staf

• 106.282 eerste polikliniek bezoeken per jaar

• 168.907 overige polikliniekbezoeken

• 18.638 opnamen

• 1.383 fte’s (1.955 medewerkers) incl. MS


Situatie Westfriesgasthuis

– Poli’s in Enkhuizen en Heerhugowaard

– Samenwerking op onderdelen:

• Kaakchirurgie – MCA

• Nuges met MCA en Gemini

– Samenwerkingsverbanden:

• MCA, ZMC, WFG: Symbiant (pathologie)

• Waterland, ZMC, WFG:

– Esperanz (oncologie) Codia (Dialyse)

– Stichting Diagnostisch Centrum West-Friesland (DCWF) (HA+ziekenhuis)

– Gezamenlijk regionaal netwerk:

• ZorgRing NHN (RSP)


am

– Het Westfriesgasthuis behoort binnen drie jaar tot de top 10 van veilige ziekenhuizen

Visie


Strategische koers 2010

Volledig EPD

2011

NEN7510 IGZ audit ++


Verbeterprojecten (Sneller Beter)

Logistiek

ICT

Kwaliteit/ Veiligheid

Methoden en technieken

Projectmatig werken aan verbeteringen

Verbeterprojecten logistiek

•Procesherinrichting •Werken zonder wachtlijst

Integrale logistiek en

capaciteitsplanning •Toegangstijden

•Doorlooptijden

•Betere benutting

..resources

Verbeterprojecten kwaliteit

•POWI •Decubitus

•VIM

•MedV

Klanttevredenheid

•Periodieke metingen •Spiegelgesprekken

Kwaliteitsprojecten MS

ICT-ondersteunde kwaliteitsprojecten

•Elektronisch voorschrijven medicatie

Technische infrastructuur

Huisartsencommunicatie

ICT-ondersteunde logistieke projecten

•Elektronisch dossier •Elektronische ordercommunicatie

•Workflow

Doelstelling

– Top 10 veiligste ziekenhuizen

• Patiëntveiligheid

• Informatiebeveiliging

• Beveiliging van fysieke toegang

– Vanwege doelstelling + eisen overheid

• Grootschalig veiligheidsproject gestart in 2009 voor

– 1. authenticatie

– 2. user provisioning

– Projecten onder de vlag van o.a. NEN7510



Reden authenticatie en user provisioning

– Fysiek

• Personeelspas zonder foto en niet veilig

• Toename van ruimten die beveiligd moesten worden

• Paslezers bij deuren moesten vervangen worden

– Logisch

• Algemene afdelingsaccounts

• Wachtwoorden verliepen niet

• Bij aanmaak/wijziging account vaak spiegelrechten

• Bij ontslag account nog lange tijd actief


Deelprogramma authenticatie en UP

– Fase 1: Authenticatie

• Pas en paslezers vervangen

• Logische inlog met pas en veilige fysieke toegang tot ruimtes

• Inrichten roaming sessions Citrix – toegangstijd <10 sec.

– Fase 2: User Provisioning

• Automatisch accounts aanmaken/wijzigen/verwijderen

• Inrichten RBAC

– Eerst applicaties

– Vervolgens rechten in applicaties (Ezis voorop)


Project NEN7510

Samenstelling werkgroep 11

– Sr. Unithoofd Informatisering (vz)

– Staffunctionaris NEN7510

– Hoofd bedrijfsbeveiliging (fysieke beveiliging)

– Sr. ICT-adviseur (logische beveiliging)

– Unithoofd Kwaliteitsbureau (SO ai.)

– Overige deskundigen/betrokkenen

– Rapporteren o.a. aan Projectgroep NEN7510


Stuurgroep EPD

Projectgroep NEN7510

Werkgroep xx Werkgroep 11 authenticatie

Werkgroep xx Etc.

Staffunctionaris NEN7510

Security Officer

Randvoorwaarden Authenticatie & UP


Integriteit

Jaar 1 – zomer 2009-2010

– Elimineren van algemene accounts

• Alle 2300 medewerkers persoonlijke toegangspas

– Met foto en barcode (personeelsnummer)

• Ook externen (leveranciers, schoonmaak, etc.)

– Foto komt van geldig ID-bewijs

• Meteen controle op echtheidskenmerken

– Nieuwe Citrix-omgeving met roaming

– Wachtwoord vervalt maandelijks

– Inloggen met pas (niet persé SSO)


– Passen en paslezers via bestaande leverancier

• Nieuwe paslezers 1/3 goedkoper, uitbreiding makkelijker

– Citrix met bestaande leverancier naar hogere versie

– Onderzoek d.m.v. POC na RFP voor beide fases

• Leveranciers:

– Imprivata/CAM-IT (Onesign)

– E-Novation (Sentillion)

– ActiveIDentity

– IBM (Tivoli)

– Dell

Leveranciersselectie


• Eerste ziekenhuis in NL

• Makkelijk te implementeren

• Integratie met andere modules

Sentillion

• Al meerdere ziekenhuizen in NL

• 7 seconden inloggen samen met Citrix RS!

• Makkelijk te beheren

Imprivata

Conclusie Jaar 1

– Bevindingen

• Veel energie in Layout pas en personeelsysteem

• Indikken functiematrix lijkt vereiste

• Fysieke deel simpel

• Inloggen met pas groot succes

• Foto’s van paspoort vind niet iedereen prettig (te serieus)

– Do’s an dont’s

• Zorg voor een goed toegangsbeleid als ondersteuning proces

• Stap voor stap – voorbereiding en lange termijn denken


Jaar 2 – zomer 2010-2011

– Oplossen van problemen met onrechtmatige rechten van (ex-)medewerkers

– Accounts en toegangsrechten op basis van bron Beaufort

• AD

• CS-Ezis

• Ultimo

• iProtect

• EduManager


– Op basis van RFP POC met zelfde shortlist

• Leveranciers:

– CAM-IT (RES-Wisdom)

– E-Novation (Sentillion)

– Probleem:

• RES-Wisdom echter niet gereed

• Nieuwe leverancier:

– Tools4ever (UMRA)

Leveranciersselectie


• Brede installbase in NL

• Uitstekende visie op RBAC

• Makkelijk te beheren

UMRA

• Eerste ziekenhuis in NL

• Makkelijk te implementeren

• Integratie met andere modules

Sentillion

Conclusie Jaar 2

– Bevindingen

• Accounts (aanmaak/wijziging/verwijderen) via UMRA

– Volgens afgesproken conventie

– Implementatie UMRA voor aanmaken accounts eenvoudig

– Koppeling met AD heel soepel, Koppeling met Ezis niet mogelijk

– Nog veel koppelingen bouwen

• Rechten uitdelen nog handwerk (helaas kopie-actie)

• Adresboek Exchange gevuld vanuit AD met Beaufort gegevens


• Schonen Beaufort en iProtect essentieel


Jaar 3 – zomer 2011-2012

– RBAC- Role based access control

• Useraccount met e-mailbox √, home directory √ én groepslidmaatschap x

• Inventarisatie van alle applicaties (BIV-lijst), afdelingen, functies, rollen en rechten binnen functie en rol

• Leidinggevende geeft via workflow akkoord voor functie, rol, rechten, telefoon (GSM en Dect), sleutel, etc.

• Rechten via Umra (of automatisch of via voorstel).


Conclusie Jaar 3


Conclusie Jaar 3

– Bevindingen

• Veel tijd nodig voor onderzoek naar bestaande combinaties van applicaties bij afdelingen en functies/rollen

• Rechten bij functies en rollen 2e stap


• Trek veel tijd uit voor onderzoek

• Schonen van AD vereiste

• Deel geen persoonlijke rechten uit

– Geniet vooral van een prachtig project!


Screenshots


Proces User Provisioning


Voorbeeld Umra - rechten


Voorbeeld RBAC proces


Voorbeeld RBAC - Rechten


Voorbeeld RBAC - Workflow


Heeft dit project nu gebracht wat we wilden?

– Toegangsbeleid stevig verankerd in organisatie

– Geen accounts zonder ID-scan en inschrijving Beaufort

– Met functies en rollen binnenkort goed zicht op rechten, zowel fysiek als logisch!

– Mutaties personeel goed verwerkt

– Binnenkort leidinggevenden goed ondersteund met workflowmanager

– Maar bovenal:



Vragen?


Dank voor uw aandacht!

Sint Jans Gasthuis 1563 Westfriesgasthuis 2003


Technology

Veilige informatievoorziening bij westfriesgasthuis rob kuijpers