Een veelgehoorde slogan in informatiebeveiliging is security first, compliance second. In de eerste instantie klinkt dit logisch. Maar als je deze stelling kritisch bekijkt, kom je tot de conclusie dat de keuze helemaal niet gemaakt hoeft te worden. Dit is waarom.
Compliance wordt nogal eens gezien als een noodzakelijk kwaad om toezichthouders tevreden te houden, of als onnodige overhead die engineers het leven alleen maar moeilijker maakt. Het controleren van alle firewall-regels of het herhaaldelijk documenteren van het gedane werk houdt ze van hun eigenlijke werk af.
Dit gebeurt wanneer compliance wordt nageleefd met een ‘checkbox-mentaliteit’: het compliance-vakje met minimale moeite af kunnen vinken, zodat auditors gerust zijn gesteld. Het compliance framework werkt dan averechts – je houdt je er wel aan, maar het gaat ten koste van de daadwerkelijke beveiliging van je organisatie.
Met zo’n mentaliteit staan beveiliging en compliance inderdaad op gespannen voet met elkaar. De spanning wordt verergerd door de voortdurende strijd om budget en middelen. Het kan bijvoorbeeld zijn dat er bij budgetverhogingen keuzes gemaakt moeten worden tussen bijvoorbeeld nieuwe certificeringen of innovatieve securityoplossingen.
Compliance zou moeten gaan om het toevoegen van waarde. Waarom zou je dan voor de makkelijke weg kiezen door alleen maar een vinkje te zetten?
Meer dan de som der delen
Beveiliging en compliance zijn beide gericht op risicobestrijding. Een compliance framework biedt een standaardmodel voor het identificeren en behandelen van risico’s, zoals het NIST Cybersecurity Framework. Maar een compliance framework op zichzelf is niet voldoende. Waarom niet?
Het grootste probleem is dat cybersecurity een dynamisch en onevenwichtig gevecht is. Om volledig onkwetsbaar te zijn, moet je elk mogelijk aanvalsscenario kunnen bedenken en elke mogelijke kwetsbaarheid kunnen verhelpen. Maar je hoeft slechts één gat in een systeem, proces of organisatie te vinden om binnen te dringen, net zoals er maar één spijker nodig is om een band lek te prikken.
Compliance biedt je een momentopname van hoe effectief je controles binnen een bepaalde periode zijn geweest. Maar je omgeving kan in de loop van de tijd veranderen door de introductie van een nieuwe technologie. Niemand weet precies hoe de nieuwe technologie samenwerkt met de bestaande, zeer complexe omgeving. Zo kunnen onbedoeld gaten in de beveiliging ontstaan zonder dat organisaties dit beseffen, bijvoorbeeld wanneer er een patch of een nieuwe firewall wordt geïnstalleerd. Daarom is het absoluut noodzakelijk om voortdurend risico’s te identificeren, te beoordelen en te beperken, en ook de compliance frameworks zelf continu te evalueren.
Compliance frameworks zijn belangrijk, maar te vaak zijn organisaties zo tevreden over het succes van een recente audit, dat ze vergeten dat het daar niet ophoudt. De beroemde cryptograaf Bruce Schneier omschrijft dit fenomeen als ‘beveiligingstheater’. Compliant zijn geeft dan een vals gevoel van veiligheid. Zo was de grote Amerikaanse retailer Target pci dss-compliant ten tijde van een groot datalek, toen de betaalgegevens van miljoenen consumenten werden gestolen.
Compliance met security verzoenen
Het is niet gemakkelijk de gulden middenweg te vinden. Het is maar de vraag of dat ooit zal lukken. Er zijn te veel unieke scenario’s en we hebben maar een beperkte hoeveelheid middelen. Maar schaarste is niet het grootste probleem. Informatiebeveiliging is geen technisch probleem met alleen maar technische oplossingen. Het is een mindset.
Zelfs als je de nieuwste technologie gebruikt, bewandelen gebruikers nog altijd het pad van de minste weerstand. Als ze voldoende rechten hebben, zullen ze altijd proberen slecht afgedwongen maatregelen te omzeilen. Waarom zou iemand in hemelsnaam een complex en lang wachtwoord instellen als ze ook een viercijferige pincode kunnen gebruiken? Er zijn tal van dit soort voorbeelden van gebruikersfouten te bedenken, en we zijn er allemaal schuldig aan.
Hoe kunnen we dit samen bestrijden? Er zijn veel manieren, maar een van de beste manieren om mee te beginnen is het bewustzijn vergroten. Dit geldt zowel voor beveiliging als voor compliance! Leg uit wat dit voor iedereen betekent en waarom maatregelen nodig zijn. Bijvoorbeeld: als jouw compliance framework eist dat elke bezoeker op kantoor wordt begeleid, zorg er dan voor dat iedereen hiervan op de hoogte is en beseft waarom dat gevraagd wordt. Iedereen wordt nerveus als er bij hen thuis een onbekende rondwandelt. Waarom zou dat anders zijn op kantoor? In geen enkele organisatie zijn beveiliging en compliance beperkt tot het werk van één team. De hele onderneming moet samenwerken. Een robuust enterprise risk management (erm)-proces kan hierin ondersteunen. Makkelijker te implementeren maatregelen zijn onder meer nieuwsberichten, trainingen, en phishing-testen.
Het is echter niet voldoende om op de hoogte te zijn. Om de balans beter te bewaren, moet het kennisniveau in de hele organisatie worden verhoogd. Deel beschikbare kennis. Promoot ‘best practices’ op het gebied van beveiliging. Stimuleer discussies over het verbeteren van de beveiligingsmentaliteit op verschillende gebieden. Zoek nieuwe inzichten door trainingen en webinars te volgen die zijn gericht op veiligheid. Vergelijk deze informatie en kennis met je compliance framework, zodat je het waar nodig kunt aanvullen aan de hand van de laatste ontwikkelingen in de sector.
Kortom, verander het denken over beveiliging en compliance in de organisatie door het bewustzijn te vergroten en kennis te delen en vast te leggen.
Kevin Syauta, compliance officer bij Solvinity