Compliancy - 123Security

Over compliancy, compliance en compliment zijn

Compliancy en security gaan hand in hand: blootstelling aan en kwetsbaarheid voor risico’s aan de beveiligingskant leiden tot boetes en reputatieschade aan de compliancekant. Maar wat velen over het hoofd zien, is dat het voldoen aan de regels daadwerkelijk een routekaart kan creëren voor organisaties om veiliger te worden. Hoewel de beveiliging zich snel heeft moeten aanpassen aan veranderende technologieën en behoeften, is compliance grotendeels afhankelijk gebleven van papiergestuurde processen die het simpelweg niet bij kunnen houden. Dit maakt het een uitdaging om de kloof tussen compliance en beveiliging te overbruggen. Het veranderen van de manier waarop de twee gebieden samenwerken is essentieel voor het succesvol voorkomen van de negatieve gevolgen van het niet voldoen aan de wettelijke richtlijnen.

Het snijvlak tussen compliancy en security

Veel organisaties negeren tegenwoordig het belang van compliance te snel en gaan er ten onrechte van uit dat de focus daarop leidt tot een verminderde focus op beveiliging. Maar dat is een misvatting; Organisaties moeten er om te beginnen voor zorgen dat ze aan de regels voldoen en begrijpen dat naleving zelf deel uitmaakt van de reis naar een veiligere organisatie die een inbreuk op de cybersecurity goed kan beheersen.

Compliance betekent het naleven van de normen, voorschriften en eisen die in elke branche gelden. Binnen de organisatie zullen beveiligingsleiders stappen moeten ondernemen om te voldoen aan externe wetten en richtlijnen voor de sector (naleving van de regelgeving) en aan de procedures en praktijken die zij binnen de organisatie hebben ingevoerd om te volgen (corporate compliance). De meeste van deze regels zijn er om de gegevens en systemen van de organisatie te beschermen.

De Algemene Verordening Gegevensbescherming (AVG), de Payment Card Industry Data Security Standard (PCI DSS), de Health Insurance Portability and Accountability Act (HIPAA) en de Sarbanes-Oxley Act (SOX) zijn slechts enkele vaak genoemde regelgevingen. De AVG is ontworpen om veiligheids- en privacyverplichtingen op te leggen aan elke organisatie die zich richt op of gegevens verzamelt over mensen die in de Europese Unie wonen. PCI DSS is een informatiebeveiligingsstandaard die door grote creditcardmerken wordt opgelegd om de gegevens van kaarthouders te controleren en creditcardfraude te verminderen. HIPAA heeft in de Verenigde Staten nationale normen opgesteld om gezondheidsinformatie van patiënten te beschermen. SOX stelt eisen aan de raden van bestuur, het management en openbare accountantskantoren om de transparantie van de financiële verslaggeving te vergroten en geformaliseerde systemen voor interne controles te creëren. En nu is iedereen weer druk met NIS2. Door de voor de branche relevante regelgeving te volgen, kunnen leiders op het gebied van beveiliging helpen de gegevens van hun organisatie te beschermen tegen ongeoorloofde toegang, gebruik of openbaarmaking. Ze kunnen de organisatie ook beschermen tegen boetes en aanzienlijke reputatieschade als ze de relevante regelgeving niet naleven.

Compliance en veiligheid zijn twee kanten van de medaille

In veel opzichten overlappen en versterken compliancevereisten en beveiligingspraktijken elkaar. Compliance biedt het raamwerk dat nodig is voor het implementeren van beveiligingsmaatregelen die gevoelige gegevens en informatie beschermen. Beveiligingspraktijken helpen organisaties te voldoen aan verschillende regelgeving door de controles en procedures te bieden die nodig zijn om gevoelige gegevens te beschermen. Het implementeren van robuuste toegangs- en autorisatiecontroles, encryptie voor gegevens in rust en in beweging en monitoringactiviteiten over de gehele infrastructuur werken allemaal samen om security officers te helpen voldoen aan regelgeving die de bescherming van gegevens vereist.

Bovendien helpt compliance organisaties bij het identificeren en beheren van beveiligingsrisico’s door regelmatige beoordelingen, audits en kwetsbaarheidstests verplicht te stellen. Dergelijke praktijken helpen, op voorwaarde dat ze meer dan eens per jaar voorkomen, gebieden te identificeren waar de bescherming zwak is en moeten worden aangepakt om de naleving te handhaven en de veiligheid te verbeteren. Organisaties kunnen dit kruispunt gebruiken om hun security posture te verbeteren en tegelijkertijd de naleving te behouden. Als het op de juiste manier wordt uitgevoerd, biedt compliance een solide basis om aan de beveiligingsvereisten te voldoen en best practices te implementeren die de organisatie als geheel beschermen.