Investeren in compliancy is goedkoper dan non-compliancy
2 februari 2011 -
De kosten van het bereiken van compliancy zijn lager dan de kosten waar een non-compliant organisatie mee geconfronteerd wordt. Investeren in compliance-activiteiten om aan regelgeving te voldoen is niet alleen een kritisch onderdeel van het veiligheidsbeleid, maar kan op den duur zelfs ROI opleveren.
Deze conclusie komt voort uit een benchmarkonderzoek uitgevoerd door Tripwire en het Ponemon Instituut. Het onderzoek is uitgevoerd door middel van diepte-interviews met 160 executives van 46 multinationals in verschillende marktsegmenten. Zij gaven aan dat de gemiddelde kosten om compliancy te bereiken 2,6 miljoen euro zijn, terwijl de gemiddelde geschatte kosten bij non-compliancy ruim 2,5 keer zo hoog zijn, namelijk 6,9 miljoen.
Gegevensbescherming
Uit het onderzoek blijkt verder dat gegevensbescherming en het handhaven van het beleid onder de duurste compliance-activiteiten vallen. Daarnaast worden het verstoren van de bedrijfsvoering en verlies van productiviteit aangegeven als de meest significante gevolgen voor bedrijven die niet compliant zijn of blijven. Op het gebied van externe compliancy worden PCI DSS, nationale privacy en gegevensbescherming, de EU Privacy Directive en Sarbanes-Oxley als de grootste aanleidingen genoemd om te investeren in compliancy en tevens als de lastigste eisen om aan te voldoen.
Waardevolle investering
"Bedrijven zijn zich ervan bewust dat naleving van de compliance regelgeving vaak een aanzienlijke investering vereist. Ons onderzoek laat echter zien dat dit een waardevolle investering is, wanneer je deze afzet tegenover de kosten die non-compliancy kan veroorzaken," vertelt Dr. Larry Ponemon, voorzitter en oprichter van het Ponemon Instituut. "Door het toekennen van een geldwaarde aan het risico van non-compliancy kunnen we IT security en compliance-professionals helpen een aansprekende case te presenteren om hun organisaties te motiveren te voldoen aan de best practices met betrekking tot gegevensbescherming. Bedrijven die investeren in compliance-activiteiten, zoals frequente audits en technieken die dit mogelijk maken, het opleiden van personeel en inrichten van operationele processen, minimaliseren hun risico’s en realiseren ROI door het voorkomen of terugdringen van non-compliancy kosten."
Andere belangrijke bevindingen • 28 procent van de ondervraagden geeft aan dat zij geen interne compliance audits uitvoeren en slechts elf procent zegt er meer dan vijf per jaar te doen. Organisaties die drie tot vijf interne audits per jaar uitvoeren, blijken de laagste compliancy kosten per capita te hebben (gemiddeld 112 euro). Organisaties die helemaal geen interne compliance-audits uitvoeren hebben de hoogste compliancy kosten (gemiddeld 250 euro).
• Als we kijken naar het compliancy budget, staan de kosten voor de naleving van wet- en regelgeving (1,2 miljoen euro), het aanpakken van het interne beleid en procedures (870.000 euro) en de financiering van contractuele afspraken met partners, leveranciers en autoriteiten voor gegevensbescherming (412.000 euro) bovenaan.
• De totale kosten van compliancy variëren sterk tussen de verschillende sectoren, met ongeveer 5 miljoen euro voor het onderwijs en wetenschap tot meer dan 17,5 miljoen voor de energiesector. Ook het verschil in kosten tussen compliancy en non-compliancy is per branche anders, waarbij de energiesector het kleinste verschil laat zien (1,5 miljoen euro) en technologie het grootste (6,9 miljoen euro).
• De procentuele kloof tussen de kosten die gemaakt worden voor compliancy en non-compliancy is het grootst in de technologie (79 procent), detailhandel (76 procent) en gezondheidszorg (72 procent). De kleinste verschillen zijn te zien in de financiële dienstverlening (25 procent), logistiek (22 procent) en de energiesector (negen procent).
• Aan de hand van de Security Effectiveness Score (SES) van het Ponemon Instituut is de staat van beveiliging van organisaties gemeten. Hiermee is vastgesteld dat organisaties met een hogere score, en dus een gunstigere beveiligingssituatie, minder kosten hebben door non-compliancy. Terwijl eigenlijk de effectiviteit van beveiliging niet gerelateerd is aan de kosten van compliancy, blijkt hieruit wel dat wanneer organisaties een relatief hoog percentage van het IT budget aan compliancy spenderen, zij minder negatieve gevolgen en kosten van non-compliancy hebben.
Multinationals
Multinationals, onafhankelijk van welke industrie, moeten er constant voor zorgen dat zij voldoen aan de compliance-eisen die zijn vastgelegd in privacy- en gegevensbeschermingswetten. Compliancy heeft raakvlakken met processen, mensen en technologie. Om de risico’s en het juridische budget gerelateerd aan non-compliancy te minimaliseren moeten organisaties een combinatie van compliance-activiteiten aanwenden. Door actief te investeren in compliance-activiteiten, kunnen bedrijven voorkomen dat ze slachtoffer worden van cybercriminaliteit, verstoring van de bedrijfsvoering en data- en omzetverlies.
Steeds meer uitdagingen
"Organisaties worden tegenwoordig geconfronteerd met een steeds sneller groeiend aantal compliance-uitdagingen, en het kan erg moeilijk zijn om deze vanuit een resource perspectief gelijktijdig aan te pakken," zegt Rekha Shenoy, vice-president marketing bij Tripwire. "Echter, bedrijven die investeren in continue monitoring en frequente audits uitvoeren, kunnen de bedrijfs- en financiële risico’s van non-compliancy drastisch terugdringen en kunnen hun klanten en partners beter bedienen. Met continue monitoringoplossingen, zoals de Tripwire VIA suite, kunnen bedrijven een proactieve benadering van IT-beveiliging en compliancy voeren. Ze krijgen gedetailleerd inzicht in de infrastructuur en hebben een eerste verdedigingslinie om de bedrijfsgevoelige gegevens te beschermen."