Een goede beveiliging is voor ieder bedrijf van groot belang. Niet alleen het pand dient beveiligd te worden; ook de beveiliging van data, applicaties en systemen is cruciaal. Compliance is een begrip dat nauw verbonden is met IT-beveiliging. Wat houdt het precies in?
Wat is compliance?
Compliance is niet hetzelfde als beveiliging: het zijn enkel de regels die gemaakt zijn om een goede beveiliging te kunnen waarborgen. Compliant zijn wil zeggen dat een organisatie werkt in overeenstemming met de geldende wet- en regelgeving. Dit begrip komt van het Engelse werkwoord ‘to comply’, dat naleven betekent.
In de IT-wereld hangt compliance samen met de regelgeving die is opgesteld met als doel het beter kunnen beveiligen van netwerken, websites en systemen. Voldoet een organisatie niet aan de veiligheidseisen die door deze wetten worden gesteld, dan is deze non-compliant.
Wat is het doel van compliance?
Het doel van compliance is simpel: het verkleinen van beveiligingsrisico’s. Door het opstellen van regels en eisen waaraan beveiligingselementen moeten voldoen, hoopt compliance te zorgen voor een betere IT-beveiliging. Denk hierbij bijvoorbeeld aan de eisen die gesteld worden aan een sterk wachtwoord: deze moet minimaal 8 tekens bevatten en bestaan uit een mix van hoofdletters, kleine letters en leestekens. Door het stellen van een eis aan de lengte en de moeilijkheid van het wachtwoord wordt getracht om een veiliger wachtwoord te creëren, die moeilijk te kraken is.
Geeft compliance garantie voor een goede beveiliging?
Het doel van compliance is duidelijk. Of deze ook gehaald wordt, is helaas niet zo duidelijk. Er zijn verschillende factoren die aantonen dat compliance eigenlijk niets doet voor de beveiliging. Het zouden slechts moeilijke regels zijn, die niet altijd het juiste met een goede beveiliging voor hebben. Wij zetten de belangrijkste redenen onder elkaar:
Compliance is zwart óf wit
Bij compliance draait het allemaal om ‘ja of nee’. Heeft de organisatie wachtwoorden die bestaan uit minimaal 8 tekens? Ja of nee? Is dit het geval, dan voldoet u aan de regels en bent u compliant. Maar houdt dit dan ook direct in dat u uw documenten en systemen heeft beveiligd met het sterkst mogelijke wachtwoord? Of kunt u beter gaan voor een wachtwoordzin van 20 tekens die makkelijk te onthouden is, maar moeilijk om te kraken? Misschien zijn er wel betere opties om wachtwoorden te beveiligen? Compliance geeft geen ruimte voor creatief denken.
Compliance lijkt belangrijker dan beveiliging
Iedere onderneming is verplicht om te voldoen aan alle wetten en regelgeving. Dit zorgt ervoor dat een CEO of leidinggevende compliance altijd zal verkiezen boven de daadwerkelijke beveiliging. Wanneer u het idee heeft dat u een betere beveiligingsoptie heeft dan hetgeen de wet voorschrijft, is de kans dat uw optie wordt toegepast niet heel groot. Afwijken van de voorgeschreven wetten, ook al zorgt dit voor een betere beveiliging, resulteert in non-compliant zijn en alle risico’s van dien.
Regelgeving verandert traag
Regelgeving verandert niet mee met de nieuwe IT-technieken. Wanneer u zich gaat verdiepen in alle regels betreft IT-beveiliging, dan zal u zien dat er veel wordt geadviseerd over bijvoorbeeld diskettes en 3-poorts firewalls. Over nieuwere IT-technieken zoals cloudinteracties, wachtwoordrecycling en staatshackers is niets te vinden. De IT-wereld verandert constant, maar de regelgeving verandert niet mee. Hoe zinvol is het om regels te maken voor beveiligingstechnieken die amper meer worden toegepast, terwijl de technieken van nu niet aan regels hoeven te voldoen?
Het is duidelijk dat er getwijfeld kan worden aan de bijdrage die compliance levert aan een goede beveiliging. Wilt u meer weten over IT-beveiliging en alle nieuwste technieken? Neem dan contact met ons op!
