GlobalSign Blog

07 mei 2019

Conformiteit van de regelgeving versus risicobeheersing in de praktijk: haal de twee niet door elkaar

Of u nu in de handel, infrastructuur, gezondheidszorg of financiën werkt, voldoen aan de unieke veiligheidsvoorschriften in uw sector is ongetwijfeld een belangrijke operationele doelstelling.

Conformiteitsnormen zoals de normen voor de bescherming van kritieke infrastructuur voor de nutsindustrie en de HIPAA-normen voor de medische industrie zijn nuttig – zelfs essentieel – voor een ononderbroken dienstverlening en de bescherming van de belangrijkste betrokkenen.

Conformiteit is echter maar één kant van het beveiligingsverhaal. Het is niet hetzelfde bij risicobeheersing in de praktijk en organisaties die een sterke beveiligingsmentaliteit willen blijven hanteren, moeten het subtiele maar belangrijke verschil tussen deze twee zaken begrijpen.

Twee kanten van het beveiligingsverhaal

Als het over conformiteit gaat, zijn er vaak twee visies.

Er is de visie die u aan uw auditor geeft – de persoon die controleert of aan alle eisen is voldaan en die u goedkeuring geeft tot uw volgende verplichte controle. Deze visie is vaak een overdreven uitdrukking (in sommige gevallen meer dan andere) van uw capaciteiten.

Daarnaast is er de visie die intern wordt gehanteerd – de realiteit van uw capaciteiten, controles in uw stappenplan en andere rechtvaardigingen voor het verschil tussen wat de auditor ziet en de realiteit.

Het is belangrijk te begrijpen dat deze afwijking vaak niet kwaadwillig wordt gecreëerd en dat dit in veel organisaties gebeurt. Conformiteit is een vereiste voor veel bedrijven en het is dan ook logisch dat bedrijven bestaande achterpoortjes of andere praktijken zullen gebruiken om ervoor te zorgen dat ze conform blijven en hun deuren openblijven, terwijl ze constant blijven werken om hun beveiligingsmentaliteit te verbeteren.

Om zelfgenoegzaamheid te voorkomen is het belangrijk om te focussen op het laatste deel van de vorige zin: constant blijven werken om uw beveiligingsmentaliteit te verbeteren. Het is uiteindelijk aan u, en niet de auditor, om in werkelijkheid te reageren op evoluerende bedreigingen en u aan te passen aan het voortdurend veranderende veiligheidslandschap in uw sector. Het is deze actieve benadering, niet het slagen voor een jaarlijkse controle, die een echt standvastige veiligheidshouding definieert.

Als deze twee visies op conformiteit nieuw voor u zijn, kan het nuttig zijn om meer te weten te komen over uw eigen beveiligingsrijpheid. Het is belangrijk dat u uw beveiligingsmaatregelen goed begrijpt, vooral waar en hoe ze kunnen verschillen van wat u aan de auditor meldt.

De rol van de beoordelaar

Op veel manieren gaat conformiteit meer over de kwaliteit van de beoordelaar dan de beveiligingsprocedures van de organisatie.

Niet alle beoordelaars zijn gelijk. Vooral bij vragen over bijzonder technische omgevingen begrijpen ze niet altijd de diepe nuances of de vragen kunnen vatbaar zijn voor interpretatie. Dat kan zorgen voor een mentaliteit om enkel de gestelde vraag te beantwoorden – en niet meer – om de beoordelaar niet meer informatie te moeten geven dat hij of zij nodig heeft.

Helaas is het een onvolmaakt systeem. Er zijn beoordelaars die bedrijven als conform zullen beschouwen, terwijl dat helemaal niet het geval is. Er zijn bedrijven die gewoon liegen over hun capaciteiten. Er zijn bedrijven die conform zouden moeten zijn, maar die niet correct zijn beoordeeld. Dat zal natuurlijk altijd zo blijven. Er bestaat geen perfecte oplossing.

Het komt opnieuw neer op aansprakelijkheid en een offensieve benadering van uw veiligheidshouding. De perfecte beveiliging bestaat niet; 100% veilig zijn is niet mogelijk. Het is een rijpingsproces dat met uw bedrijf en de omgeving mee evolueert en groeit.

Een beginpunt

Conformiteit is typisch representatief voor een lage drempel; het is de minimumvereiste om de data, netwerken, toepassingen of klanten in kwestie te beschermen. Conformiteit mag niet worden gezien als 'goed genoeg' of een eindstreep die moet worden gehaald. Conformiteit is eerder een beginpunt.

Dat gezegd te hebben, we moeten allemaal ergens beginnen. Conformiteit kan voor u een beginpunt zijn.

In plaats van de vereisten op een lijst af te vinken, werken bedrijven beter samen met professionals om hun risico's binnen hun specifieke bedrijfscontext beter te begrijpen. Wanneer dit goed gebeurt, kunnen experten uw organisatie helpen om een plan op te stellen om uw staat van beveiliging continu te blijven verbeteren – of nog beter, in een tempo dat past voor uw bedrijf, voor uw klanten en voor het beveiligen van uw activa.

Vindt u dit artikel nuttig? Lees dan ook:

Over de auteur

Ryan Manship is directeur van offensief beveiligingsbedrijf RedTeam Security. RedTeam zorgt ervoor dat klanten hun beveiligingsrisico kunnen beperken met penetratietesten en helpt klanten hun aanvalsoppervlak beter te begrijpen met behulp van gratis hulpmiddelen zoals zijn beveiligingsblog en conformiteit-checklists. Ryan heeft een BS in informatietechnologie met een specialisatie in netwerken en beveiliging, en filosofie en geesteswetenschappen als bijvakken. Hij was te gast op ABC News, Business Insider, FOX, Tech Insider, werd geciteerd in Los Angeles Times, Bringmethenews, de Star Tribune, CSO Online en spreekt regelmatig op verschillende beveiligingsevenementen.

Share this Post