Schandalen op het gebied van IT-beveiliging hebben de laatste jaren aangetoond dat compliancy niet noodzakelijkerwijs leidt tot goede beveiliging. De diefstal van meer dan 45 miljoen creditcardgegevens van een Amerikaanse retailer is daar een spectaculair voorbeeld van.
Dat stelt Guido Crucq, Line of Business Manager Security bij IT-dienstverlener Dimension Data. "De toename van cybercriminaliteit in een tijdperk van draadloze netwerken en het internet, is enorm. De hacker die destijds inbrak bij deze retailer, is onlangs aangeklaagd voor nieuwe misdrijven, waarbij meer dan 130 miljoen creditcardgegeven zijn gestolen. Een van de slachtoffers, een betalingsverwerker, had net een maand voor de diefstal de PCI-DSS-audit afgerond."
Deze incidenten onderstrepen de resultaten van een onderzoek in 2009, uitgevoerd door IDC in opdracht van Dimension Data, waaruit blijkt dat veel organisaties investeren in compliancy en daaruit afleiden dat ze ook de beveiliging op orde hebben. In feite heeft compliancy een smal focusgebied, terwijl goede beveiliging compliancy omarmt, maar daarnaast ook verder gaat. Goede beveiliging zorgt ervoor dat organisaties beschermd zijn tegen bekende èn onbekende bedreigingen.
IDC deed onderzoek bij 407 bedrijven in achttien landen in Noord- en Zuid-Amerika, het Midden-Oosten, Afrika en Azië. Daaruit bleek onder meer dat organisaties met meer dan duizend werknemers meer compliant zijn dan organisaties met vijfhonderd tot duizend werknemers. Verder kwam naar voren dat grote organisaties met meer dan duizend medewerkers, organisaties in Noord- en Zuid-Amerika en overheden zich meer zorgen maken over beveiliging dan de andere respondenten.
Organisaties maken zich in het algemeen de meeste zorgen over regels op het gebied van privacy (met vaak een lokaal karakter), gevolgd door privacywetgeving op het gebied van gezondheidszorg vanwege specifieke regels voor persoonlijke vertrouwelijkheid en de bescherming daarvan.
Volgens Crucq realiseren te weinig organisaties zich dat compliancy meer is dan het voorkomen van datadiefstal. Hij wijst op de directe impact van beveiliging op de reputatie van een onderneming. "Wanneer klanten hun persoonlijke gegevens niet aan een onderneming kunnen toevertrouwen, blijven ze zeker geen klant. Verder heeft identiteitsdiefstal een enorme impact op degenen van wie de identiteit is gestolen. Organisaties staan daardoor in feite tussen hun klanten en criminelen."
Crucq stelt dat compliancy vanuit commercieel oogpunt gaat om het bewijzen en behouden van geloofwaardigheid op de markt. Hij adviseert bedrijven niet te twijfelen over wat ze uitgeven aan compliancy, omdat ze daarmee hun klanten en hun merk beschermen. Het is belangrijk om te begrijpen dat organisaties niet aan elke mogelijke eis compliant zijn, maar dat ze de wensen en regels kennen die voor hun specifieke regio of bedrijfssector van toepassing zijn. Verder raadt hij aan om experts in te schakelen, die ervoor kunnen zorgen dat governance en compliancy meegewogen worden bij IT-beveiligingsprojecten.
