Compliance helpt security maar is niet veilig makend. Dit is de discussiestelling die Computable-lezers vandaag krijgen voorgelegd.
Het voldoen aan wet- en regelgeving plus auditrichtlijnen kan ict-beveiliging zeker vooruit helpen. Alleen is compliancy op zichzelf niet heiligmakend; het geeft geen security. Geruchtmakende hacks zoals die bij het Nederlandse DigiNotar jaren terug hebben dit al in de praktijk bewezen.
‘Compliance is prachtig als je je zorgen maakt dat auditors je netwerk aanvallen’, tweet de Amerikaanse infosec-expert Daniel Miessler. Hij heeft een goed punt. Compliancy geeft geen garantie voor echte veiligheid. Net zoals scope bepalen bij pentests de effectiviteit daarvan ondermijnt. Wat vind jij?
Eens.