Er zijn natuurlijk een aantal minimale wettelijke vereisten, maar nexuzhealth gaat bij de productontwikkeling en de daaraan gekoppelde diensten verder gaan als het over security en privacy gaat. “Vooreerst passen we het CyberFundamentals raamwerk met fundamentele richtlijnen, kortweg CyFun, van het Centre for Cybersecurity Belgium toe", verduidelijkt Mark Vanautgaerden. “Met de daarin voorziene risicobeoordeling en self assessment bepalen we de belangrijkste prioriteiten om NIS2-compliant (Network and Information Security Directive 2) te zijn. Met het voldoen aan de cyberbeveiligingswet en het minimaal bereiken van het basis zekerheidsniveau kan je zo al snel ruim 80% van de huidige cyberaanvallen tegenhouden.
Natuurlijk streven we ernaar om het hoogste zekerheidsniveau te bereiken door nadien incrementeel steeds de beveiligingsmaatregelen verder aan te scherpen. Omdat nexuzhealth grotendeels een productontwikkeling bedrijf is, breiden we dit uit met het Software Assurance Maturity Model, kortweg SAMM, van OWASP (Open Worldwide Application Security Project).
Dit geeft ons bijkomend richting in het structureren en verbeteren van de beveiligingsprocessen voor onze software ontwikkeling in vijf domeinen specifiek gericht op: governance, design, implementation, verification en operations. Dit leidt tot het ons eigen maken van een application security cultuur, kortweg AppSec, die garandeert dat we alle nodige taken en processen introduceren bij onze product engineering teams om tot een veilige levenscyclus van softwareontwikkeling te komen (Secure Software Development Life Cycle of SSDLC)."
“De implementatie van de CyFun en SAMM prioriteiten in nexuzhealth gebeurt in verschillende stappen. Het managementteam bepaalt eerst de high level doelen”, zegt Mark. “Vervolgens vertalen de beveiligingsexperten van het security team die vervolgens naar praktische doelen en bereiden ze de concrete uitwerking voor. De ontwikkelaars nemen die adviezen mee in de roadmap om ze vervolgens volledig te implementeren. Nadien wordt er getest of het risico verholpen of minstens gereduceerd is en volgt de evaluatie. En daarna wordt dit hele proces opnieuw gestart om steeds meer risico’s weg te werken.”
