Beveiliging of compliance? Waarom niet beide?

Thuis op mijn salontafel staat een rustiek wit houten dienblad. Daarop staat een kleine draagbare speaker die ik een paar jaar geleden kreeg tijdens een leveranciersbeurs. Er ligt inmiddels een laagje stof op, maar de tekst die erop staat is nog steeds heel duidelijk:

“Security first. Compliance second.”

“Coole slogan”, dacht ik bij mezelf toen ik het voor het eerst kreeg. Maar nu ik een paar jaar in de branche heb gewerkt, ben ik van mening veranderd. Dit is waarom.

“Dit gebeurt wanneer compliance wordt nageleefd met een checkbox-mentaliteit”

Niet kiezen, maar delen!

Laten we eerlijk zijn. Jij en ik hebben minstens één keer gedacht aan compliance – in het kader van informatiebeveiliging – als onnodige overhead die je leven moeilijker maakt. “Ik had dit ticket met 1 klik kunnen sluiten, maar in plaats daarvan heb ik herhaaldelijk een samenvatting moeten geven van het gedane werk!” Of: “Neemt iemand echt de tijd om alle firewallregels te controleren en te evalueren?”

Dit gebeurt wanneer compliance wordt nageleefd met een ‘checkbox-mentaliteit’. Naleving wordt gezien als een noodzakelijk kwaad om klanten en toezichthouders tevreden te houden. “Zolang ik het minimale doe om een vinkje bij het compliance-vakje te krijgen, zijn de auditors gerust gesteld en blijven ze weg tot een volgende keer.” Het compliance framework werkt dan averechts – je houdt je er wel aan, maar het gaat ten koste van de daadwerkelijke beveiliging van je organisatie. “Laten we dit gewoon doen, omdat het gemakkelijk is.” Terwijl het zou moeten gaan om het toevoegen van waarde.

In zo’n situatie staan beveiliging en compliance op gespannen voet met elkaar. De spanning wordt verergerd door de voortdurende strijd om budget en middelen. “Moet de budgetverhoging van volgend jaar worden toegewezen aan nieuwe certificeringen, of moeten we eindelijk investeren in de allernieuwste technologie die op InfoSec is getoond?”

Sign up for the Solvinity Newsletter

Receive the latest news, blogs, articles and events.
Subscribe to our newsletter.

De noodzaak van verzoening

Beveiliging en compliance proberen beide hetzelfde aan te pakken: risico. Een compliance kader biedt een standaardmodel voor het identificeren en behandelen van risico’s, zoals het NIST Cybersecurity Framework dat we bij Solvinity hanteren. Maar we horen het geluid van professionals dat een compliance framework op zichzelf niet voldoende is. Waarom is dat zo?

Ons grootste probleem is dat cybersecurity een dynamisch en onevenwichtig dynamisch gevecht is. Om volledig onkwetsbaar te zijn, moet je elk mogelijk aanvalsscenario kunnen bedenken en elke mogelijke kwetsbaarheid kunnen verhelpen. De tegenstander hoeft slechts één gat in je systeem, proces of organisatie te vinden, zoals een naald slechts een miniem gaatje hoeft te maken om een ballon te laten barsten.

“Cryptograaf Bruce Schneier omschrijft dit fenomeen als 'beveiligingstheater'”

Ondertussen biedt compliance je een statische momentopname van hoe effectief je controles binnen een bepaald tijdsbestek zijn geweest. Maar je omgeving kan in de loop van de tijd veranderen door de introductie van een nieuwe technologie. Niemand weet precies hoe nieuwe technologie samenwerkt met de bestaande, zeer complexe omgeving. Gaten worden onbedoeld geopend zonder dat de organisatie het beseft, wachtend op misbruik door mensen met kwaadaardige bedoelingen. Daarom is het voortdurend identificeren, beoordelen en beperken van risico’s een absolute noodzaak.

Compliance-frameworks zijn belangrijk, maar te vaak zijn organisaties zo tevreden over het succes van een recente audit, dat ze vergeten dat het daar niet ophoudt. De beroemde cryptograaf Bruce Schneier omschrijft dit fenomeen als ‘beveiligingstheater’. Compliant zijn geeft dan een vals gevoel van veiligheid. Bedenk dat zelfs Target ten tijde van hun grote datalek PCI DSS-compliant was!

Hoe breng je het samen?

Hier is een disclaimer: het is niet gemakkelijk ’the sweet spot’ te vinden. Het is maar de vraag of dat ooit zal lukken. Er zijn te veel unieke scenario’s en we hebben maar een beperkte hoeveelheid middelen. Maar schaarste is niet het grootste probleem. Informatiebeveiliging is geen technisch probleem met alleen maar technische oplossingen. Het is een mindset.

Zelfs als je de nieuwste technologie gebruikt, bewandelen gebruikers nog altijd het pad van de minste weerstand. Als ze voldoende rechten hebben, zullen ze altijd proberen slecht afgedwongen maatregelen te omzeilen. Waarom zou je een wachtwoordzin van veertien tekens met allerlei symbolen gebruiken als een viercijferige pincode is toegestaan? Dit is slechts één voorbeeld, maar ieder van ons kan er vast nog meer verzinnen of is zelf schuldig aan een soortgelijke overtreding. Ooit gehoord van PEBCAK (Problems Exist Between Chair and Keyboard)?

Hoe kunnen we dit samen bestrijden? Er zijn veel manieren, maar een van de beste manieren om te beginnen is het bewustzijn vergroten. Dit geldt zowel voor beveiliging als voor compliance! Deel met elkaar wat dit voor iedereen betekent. Bijvoorbeeld: als jouw compliance framework eist dat elke bezoeker op kantoor wordt begeleid, zorg er dan voor dat iedereen hiervan op de hoogte is en beseft waarom dat gevraagd wordt. Iedereen wordt nerveus als in zijn huis een onbekende rond dwaalt, dus waarom zou dat anders zijn in kantoorruimtes? In geen enkele organisatie zijn beveiliging en compliance beperkt tot het werk van één team. De hele onderneming moet samenwerken.

Het is echter niet voldoende om op de hoogte te zijn. Om dit spel beter te spelen, moet het kennisniveau in de hele organisatie omhoog. Deel wat je weet. Evangeliseer ‘best practices’ op het gebied van beveiliging. Stimuleer discussies over het verbeteren van de beveiligingsmentaliteit op verschillende gebieden. Ontdek nieuwe perspectieven door het volgen van trainingen en webinars gericht op veiligheid. Vergelijk deze informatie en kennis met je compliance framework, zodat je het waar nodig kunt aanvullen aan de hand van de laatste ontwikkelingen in de sector.

Kortom, verander het denken over beveiliging en compliance in de organisatie door het bewustzijn te vergroten en kennis te delen en vast te leggen.

Hoe doen we dit bij Solvinity?

Wij zijn ons zeer bewust van de spanning tussen security en compliance, en hebben daarom verschillende initiatieven opgestart om de twee bij elkaar te brengen. Ons compliance framework wordt voortdurend geëvalueerd om de belangrijkste risico’s af te dekken die we zien ontstaan, niet alleen in onze eigen vertical van Managed Service Providers, maar voor bedrijfsspecifieke situaties. Enterprise risk management – een proces waar belanghebbenden uit de hele organisatie bij betrokken zijn – is een cruciaal onderdeel van ons compliance framework. Net zo belangrijk zijn onze awareness activiteiten, waarbij we meerdere keren per jaar op verschillende manieren proberen het bewustzijn van de hele organisatie te verhogen op het gebied van zowel beveiliging als compliance. Denk aan nieuwsberichten, face-2-face training en phishing testen.

Solvinity komt regelmatig met branchegenoten samen om ervaringen, kennis en informatie te delen op het gebied van informatiebeveiliging. We bezoeken conferenties en leveranciersevenementen om niet alleen de nieuwste technologische trends te begrijpen, maar ook de risico’s die daarmee gepaard gaan. Intern hebben we ‘special interest groups’ voor verschillende onderwerpen en brengen we beveiliging regelmatig ter tafel. Geregeld worden er kennisdelingssessies georganiseerd om relevante knowhow over de hele organisatie te verspreiden, inclusief de beste beveiligingspraktijken. Wanneer nieuwe technologieën worden voorgesteld, worden direct de beveiligingsvereisten naar voren gebracht als een van de belangrijkste te bespreken onderwerpen.

Ten slotte laten Solvinity’s SOC 1- en SOC 2-assurance-rapporten voor het gehele private cloud beheerplatform zien, dat we voor goud als het aankomt op compliancy vereisten voor IT dienstverleners, waarmee we onze belofte nakomen om Secure Managed IT Services te leveren aan klanten op ons hele platform.