FEops optimaliseert zijn cybersecurity met verbetertraject

FEops volgde EY’s cybersecurity verbetertraject, ondersteund door VLAIO, en heeft nu een scherper beeld op zijn informatiebeveiligingsbeheer.

FEops is een Gentse scale-up die wereldwijd actief is in de cardiovasculaire sector en ruim 95% van zijn omzet in het buitenland haalt. Het bedrijf heeft regulatoire goedkeuring voor de Europese, Australische, Canadese en Amerikaanse markten. Deze spin-off van UGent is vooral actief op het digitale traject dat voorafgaat aan hartoperaties, onder de vorm van computersimulaties. Op die manier verleent FEops steun aan cardiologen bij het plannen van hun ingrepen. In deze voorbereidende fase maakt het gebruik van CT-beelden die het met de artsen uitwisselt. Op basis van deze beelden bouwt FEops dan een virtueel model van het hart en simuleert het op voorhand de ingreep. Het voorspelt daarbij bepaalde parameters, zoals de risico’s op complicaties en hoe het implantaat zich zal gedragen binnen de patiënt.

Verbetertraject

EY raadde FEops aan om een cybersecurity verbetertraject te volgen dat het aanbiedt via zijn partnership met VLAIO. FEops was bereid om te laten nakijken waar ze stonden op het vlak van cybersecurity. “Het is een feit dat cybersecurity een proces is dat continu moet worden gemonitord en bijgeschaafd. Bij de kick-off verzamelde EY informatie in over de bestaande cybersituatie via een reeks interviews. Na een tussentijds rapport voerde EY penetratietesten uit met specialisten (ethische hackers) die probeerden om in het FEops-netwerk binnen te dringen. Aansluitend maakte EY een rapport met een gedetailleerde oplijsting van de aspecten die voor verbetering vatbaar waren”, zegt Peter Mortier. En hij vervolgt: “Voor ons was het zeer verfrissend en leerrijk om van een externe partner een overzicht te krijgen van onze maturiteit inzake cybersecurity.” 

Nadien volgde de begeleiding met EY bij de implementatie en opvolging van de acties uit het rapport, om cybersecurity verder te integreren in de bedrijfsvoering. Het ging hierbij om het aanmaken van een risicoregister met bijhorend ISMS-handboek en controlemaatregelen op basis van ISO 27002:2022, het nader uitklaren van de technische tekortkomingen om te helpen mitigeren en het optimaliseren van incident management waarbij een procedure werd opgesteld om de continuïteit van de activiteiten te kunnen garanderen.

EY heeft FEops de aanzet gegeven om te werken aan het ‘ik ben in orde met cybersecurity’ keurmerk, wat internationale samenwerkingen kan faciliteren. FEops is momenteel verder acties aan het implementeren die in de rapporten werden aanbevolen, zodat het zich voortaan GDPR en HIPAA-compliant kan noemen. Deze implementatie gebeurde op basis van een gap-analyse die EY uitvoerde. Daarbij werd gekeken naar wat FEops al had en nog nodig had om HIPAA-compliant te zijn. Hoewel de HIPAA-naleving initieel de insteek van het cybersecurity verbetertraject was, werd de scope breder getrokken richting de voorbereiding naar een ISO 27001-certificatie. Resultaat: FEops heeft nu een breder en scherper beeld op zijn informatiebeveiligingsbeheer.
 

Informatiebeveiliging naar next level brengen

Dankzij het cybersecurity verbetertraject en de aanbevelingen van EY weet FEops wat hen te doen staat. Ze volgen momenteel het ISO 27001-traject met de bedoeling om de certificering in 2023 rond te krijgen. Aangezien ook ziekenhuizen de lat op het vlak van cybersecurity steeds hoger leggen, kan een certificering FEops de nodige extra credibiliteit en leverage geven.

Doordat FEops werk maakt van informatieveiligheid, dragen vertrouwen en weerbaarheid bij als concurrentievoordeel op de markt. FEops moet uiteraard alert blijven en de bewustwording rond cybersecurity vergroten bij zijn stakeholders. Het verbetertraject heeft zowel op organisatorisch vlak – de manier waarop ze hun cybersecuritybeleid uitwerken in hun bedrijfsvoering – als op technisch vlak nog een paar werkpunten aan het licht gebracht. Het blijft belangrijk dat ze het overzicht continu evalueren.