Voldoen aan regelgeving leidt niet perse tot veilige IT
3 november 2009 -
Schandalen op het gebied van IT-beveiliging hebben de laatste jaren aangetoond dat compliancy (het voldoen aan de wet- en regelgeving van IT-systemen) niet noodzakelijkerwijs leidt tot goede beveiliging. De diefstal van meer dan 45 miljoen creditcardgegevens van een Amerikaanse retailer is daar een spectaculair voorbeeld van.
Dat stelt Guido Crucq, Line of Business Manager Security bij Dimension Data. "De toename van cybercriminaliteit in een tijdperk van draadloze netwerken en het internet, is enorm. De hacker die destijds inbrak bij deze retailer, is onlangs aangeklaagd voor nieuwe misdrijven, waarbij meer dan 130 miljoen creditcardgegeven zijn gestolen. Een van de slachtoffers, een betalingsverwerker, had net een maand voor de diefstal de PCI-DSS-audit afgerond."
Dreigingen
Deze incidenten onderstrepen de resultaten van een onderzoek in 2009, uitgevoerd door IDC in opdracht van Dimension Data, waaruit blijkt dat veel organisaties investeren in compliancy en daaruit afleiden dat ze ook de beveiliging op orde hebben. In feite heeft compliancy een smal focusgebied, terwijl goede beveiliging compliancy omarmt, maar daarnaast ook verder gaat. Goede beveiliging zorgt ervoor dat organisaties beschermd zijn tegen bekende én onbekende bedreigingen.
Zorgen
IDC deed onderzoek bij 407 bedrijven in achttien landen in Noord- en Zuid-Amerika, het Midden-Oosten, Afrika en Azië. Daaruit bleek onder meer dat organisaties met meer dan 1.000 werknemers meer compliant zijn dan organisaties met 500 tot 1.000 werknemers. Verder kwam naar voren dat grote organisaties met meer dan 1.000 medewerkers, organisaties in Noord- en Zuid-Amerika en overheden zich meer zorgen maken over beveiliging dan de andere respondenten. Organisaties maken zich in het algemeen de meeste zorgen over regels op het gebied van privacy (met vaak een lokaal karakter), gevolgd door privacywetgeving op het gebied van gezondheidszorg vanwege specifieke regels voor persoonlijke vertrouwelijkheid en de bescherming daarvan.
Meer dan datadiestal
Volgens Crucq realiseren te weinig organisaties zich dat compliancy meer is dan het voorkomen van datadiefstal. Hij wijst op de directe impact van beveiliging op de reputatie van een onderneming. "Wanneer klanten hun persoonlijke gegevens niet aan een onderneming kunnen toevertrouwen, blijven ze zeker geen klant. Verder heeft identiteitsdiefstal een enorme impact op degenen van wie de identiteit is gestolen. Organisaties staan daardoor in feite tussen hun klanten en criminelen."
Bescherming
Crucq stelt dat compliancy vanuit commercieel oogpunt gaat om het bewijzen en behouden van geloofwaardigheid op de markt. Hij adviseert bedrijven niet te twijfelen over wat ze uitgeven aan compliancy, omdat ze daarmee hun klanten en hun merk beschermen. Het is belangrijk om te begrijpen dat organisaties niet aan elke mogelijke eis compliant zijn, maar dat ze de wensen en regels kennen die voor hun specifieke regio of bedrijfssector van toepassing zijn. Verder raadt hij aan om experts in te schakelen, die ervoor kunnen zorgen dat governance en compliancy meegewogen worden bij IT-beveiligingsprojecten.
Ik denk dat Crucq namens Dimension Data hier een mooi stukje neer zet, zij het ietwat complex neergezet. Niet alleen het nieuws dat er ergens door een PG een pc bij het oud vuil is neergezet en 'erg vreemd' via een omweg in handen van ene P.R. de V. terecht komt die vervolgens mooi sensatieweer kan spelen, maar ook de vergeten USB sticks bijvoorbeeld niet te vergeten.
Al jaren lang lobby ik met het aspect dat interne, externe IT en hardware beveiliging een strategische positie moet hebben in het gehele IT spectrum.
Niet voor niets, blijkens de toename van data diefstal en incidenten zoals voornoemd. Over het algemeen zijn zaken redelijk goed geregeld maar zijn er zeker zaken voor verbetering vatbaar. Een audit is zeker een goed middel hiervoor maar ik denk zeker dat IT Security misschien wel een nog prominentere rol zou moeten krijgen binnen de IT strategie.
Ik pleit er zelfs voor, om bij IT en non IT project management, IT Security een mandetoir onderdeel te laten worden van de discipline zodat het bewustzijn ook werkelijk leeft bij alle betrokkenen.
We mogen geen vervolg zien op debacles zoals we zo vaak zien bij overheden op dit gebied temeer omdat we nog steeds te maken hebben met persoons gegevens.
Een goed stuk.
JH Heijmann
|
|
4
-
11
-
2009
|
00
:
39
uur
Guido Crucq slaat de spijker op de kop....
Compliancy is wel een van de essentiele onderdelen van het gehele (ICT-) Security spectrum in een (grote) organisatie.
Daarnaast zijn andere onderdelen zoals beleid, fysieke beveiliging, logische beveiliging, antivirus software, firewalls, encryptie etc. zeker zo belangrijk.
De 'ketting' is zo sterk als de zwakste schakel!
Security specialisten moeten het hele (ICT-)'security'- gebouw, met meer dan 128.000 IP- deurtjes die op allerlei momenten open en dicht moeten gaan, bewaken tegen een indringer zo klein als een virus en die zich ook nog eens 'schijbaar onzichtbaar' razendsnel verplaatst van buiten naar binnen en vice versa via supersnelle snelwegen over de hele wereld.
Compliancy is daarvoor in de praktijk veelal een papieren tijger terwijl de professionele indringers 'life' geavanceerde aanvalstechnieken gebruiken.