Het is ongetwijfeld niet de eerste keer dat u dit leest en het zal ook niet de laatste keer zijn: compliance is vaak een heikel punt voor bedrijven. Zeker op het gebied van security heeft het nogal wat voeten in de aarde. Handreikingen van de organisaties die regelgeving opleggen, kunnen voor zoekende organisaties erg welkom zijn, omdat ze aangeven hoe de richtlijnen het beste kunnen worden nageleefd.
Veel organisaties tasten namelijk in het duister over hoe ze zaken als privacy en beveiliging nu het beste kunnen waarborgen. Bedrijven spenderen miljoenen dollars aan firewalls, intrusion prevention en antivirus-oplossingen, maar deze systemen bieden weinig tot geen bescherming tegen interne risico's. De deuren zijn op slot, maar de ramen blijven wagenwijd openstaan. Dit is een serieuze dreiging, vooral omdat onderzoek heeft aangetoond dat de grootste gaten in de beveiliging zich binnen de firewall bevinden.
Daarom juichte ik zeer toe toen creditcardmaatschappijen in de Verenigde Staten een best-practice formuleerden voor het naleven van regels: encryptie. Creditcardmaatschappijen als Visa en MasterCard hebben namelijk in de VS ongeveer anderhalf jaar geleden PCI-standaarden opgelegd, die eisen dat resellers en bedrijven die betalingen verwerken creditcardgegevens beschermen. De PCI-standaarden brengen voor bedrijven grote financiële en operationele consequenties met zich mee, zeker door de complexiteit van hedendaagse datacenteromgevingen en de beveiliging hiervan.
Zoals met bijna alle ontwikkelingen, zal ook de PCI-standaard over niet al te lange tijd de zee overwaaien en naar Nederland komen. Als daarmee ook de best-practice overwaait om voor iedere nieuwe regel een manier te definiëren waarop die het best kan worden nageleefd (en gelukkig is dat binnen diverse bedrijfstakken al steeds meer het geval), dan zou dat voor organisaties in elk geval wat minder kopzorgen opleveren op securitygebied.
Henk Jan Spanjaard
Director & General Manager bij Decru EMEA