zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Voldoen aan regelgeving leidt niet perse tot veilige IT

3 november 2009 - Schandalen op het gebied van IT-beveiliging hebben de laatste jaren aangetoond dat compliancy (het voldoen aan de wet- en regelgeving van IT-systemen) niet noodzakelijkerwijs leidt tot goede beveiliging. De diefstal van meer dan 45 miljoen creditcardgegevens van een Amerikaanse retailer is daar een spectaculair voorbeeld van.

Dat stelt Guido Crucq, Line of Business Manager Security bij Dimension Data. "De toename van cybercriminaliteit in een tijdperk van draadloze netwerken en het internet, is enorm. De hacker die destijds inbrak bij deze retailer, is onlangs aangeklaagd voor nieuwe misdrijven, waarbij meer dan 130 miljoen creditcardgegeven zijn gestolen. Een van de slachtoffers, een betalingsverwerker, had net een maand voor de diefstal de PCI-DSS-audit afgerond." 



Dreigingen

Deze incidenten onderstrepen de resultaten van een onderzoek in 2009, uitgevoerd door IDC in opdracht van Dimension Data, waaruit blijkt dat veel organisaties investeren in compliancy en daaruit afleiden dat ze ook de beveiliging op orde hebben. In feite heeft compliancy een smal focusgebied, terwijl goede beveiliging compliancy omarmt, maar daarnaast ook verder gaat. Goede beveiliging zorgt ervoor dat organisaties beschermd zijn tegen bekende én onbekende bedreigingen. 

Zorgen
 
IDC deed onderzoek bij 407 bedrijven in achttien landen in Noord- en Zuid-Amerika, het Midden-Oosten, Afrika en Azië. Daaruit bleek onder meer dat organisaties met meer dan 1.000 werknemers meer compliant zijn dan organisaties met 500 tot 1.000 werknemers. Verder kwam naar voren dat grote organisaties met meer dan 1.000 medewerkers, organisaties in Noord- en Zuid-Amerika en overheden zich meer zorgen maken over beveiliging dan de andere respondenten. Organisaties maken zich in het algemeen de meeste zorgen over regels op het gebied van privacy (met vaak een lokaal karakter), gevolgd door privacywetgeving op het gebied van gezondheidszorg vanwege specifieke regels voor persoonlijke vertrouwelijkheid en de bescherming daarvan. 

Meer dan datadiestal

Volgens Crucq realiseren te weinig organisaties zich dat compliancy meer is dan het voorkomen van datadiefstal. Hij wijst op de directe impact van beveiliging op de reputatie van een onderneming. "Wanneer klanten hun persoonlijke gegevens niet aan een onderneming kunnen toevertrouwen, blijven ze zeker geen klant. Verder heeft identiteitsdiefstal een enorme impact op degenen van wie de identiteit is gestolen. Organisaties staan daardoor in feite tussen hun klanten en criminelen." 

Bescherming

Crucq stelt dat compliancy vanuit commercieel oogpunt gaat om het bewijzen en behouden van geloofwaardigheid op de markt. Hij adviseert bedrijven niet te twijfelen over wat ze uitgeven aan compliancy, omdat ze daarmee hun klanten en hun merk beschermen. Het is belangrijk om te begrijpen dat organisaties niet aan elke mogelijke eis compliant zijn, maar dat ze de wensen en regels kennen die voor hun specifieke regio of bedrijfssector van toepassing zijn. Verder raadt hij aan om experts in te schakelen, die ervoor kunnen zorgen dat governance en compliancy meegewogen worden bij IT-beveiligingsprojecten.

 
 Doorsturen   2 reacties  

 

Laatste nieuws

 Vijf tips om afval te reduceren in productie
 Hoogste aantal nieuwe motorrijders sinds 2002
 Emotionele gezondheid wordt nog te vaak vergeten door werkgevers
 

Gerelateerde nieuwsitems

 Meer dan de helft MKB bedrijven besmet met malware
 Informatiebeveiliging blijft achter bij ontwikkelingen
 MKB investeert wel in beveiliging, niet in bijbehorende kennis
 Imago en reputatie belangrijkste motieven voor informatiebeveiliging
 
 
reacties
 
Civile  |   | 
3-11-2009
 | 
08:14 uur
Ik denk dat Crucq namens Dimension Data hier een mooi stukje neer zet, zij het ietwat complex neergezet. Niet alleen het nieuws dat er ergens door een PG een pc bij het oud vuil is neergezet en 'erg vreemd' via een omweg in handen van ene P.R. de V. terecht komt die vervolgens mooi sensatieweer kan spelen, maar ook de vergeten USB sticks bijvoorbeeld niet te vergeten.

Al jaren lang lobby ik met het aspect dat interne, externe IT en hardware beveiliging een strategische positie moet hebben in het gehele IT spectrum.

Niet voor niets, blijkens de toename van data diefstal en incidenten zoals voornoemd. Over het algemeen zijn zaken redelijk goed geregeld maar zijn er zeker zaken voor verbetering vatbaar. Een audit is zeker een goed middel hiervoor maar ik denk zeker dat IT Security misschien wel een nog prominentere rol zou moeten krijgen binnen de IT strategie.

Ik pleit er zelfs voor, om bij IT en non IT project management, IT Security een mandetoir onderdeel te laten worden van de discipline zodat het bewustzijn ook werkelijk leeft bij alle betrokkenen.

We mogen geen vervolg zien op debacles zoals we zo vaak zien bij overheden op dit gebied temeer omdat we nog steeds te maken hebben met persoons gegevens.

Een goed stuk.
JH Heijmann  |   | 
4-11-2009
 | 
00:39 uur
Guido Crucq slaat de spijker op de kop....
Compliancy is wel een van de essentiele onderdelen van het gehele (ICT-) Security spectrum in een (grote) organisatie.
Daarnaast zijn andere onderdelen zoals beleid, fysieke beveiliging, logische beveiliging, antivirus software, firewalls, encryptie etc. zeker zo belangrijk.
De 'ketting' is zo sterk als de zwakste schakel!
Security specialisten moeten het hele (ICT-)'security'- gebouw, met meer dan 128.000 IP- deurtjes die op allerlei momenten open en dicht moeten gaan, bewaken tegen een indringer zo klein als een virus en die zich ook nog eens 'schijbaar onzichtbaar' razendsnel verplaatst van buiten naar binnen en vice versa via supersnelle snelwegen over de hele wereld.
Compliancy is daarvoor in de praktijk veelal een papieren tijger terwijl de professionele indringers 'life' geavanceerde aanvalstechnieken gebruiken.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
De meest belangrijke bedrijfsverzekeringen op een rijtje
Hoe werkt een laadpaal voor elektrische auto’s eigenlijk?
reacties
'Cybersecurity moet een schoolvak worden' (1) 
De vier belangrijkste betaaltrends om naar uit te kijken in 2020 (1) 
Meer productiviteit in minder tijd (2) 
Europese markt overspoeld met nepartikelen (2) 
Arbeidsmarkt onverminderd goed (1) 
Angst voor baanverlies leidt tot slapeloze nachten (1) 
Meerderheid werknemers denkt dat technologie hun werkervaring verbetert (1) 
top10
Vier HR-trends voor 2020
Vijf leidende technologietrends
Nederlanders bezorgd over de toekomst
Nederlanders in Europese kopgroep digitale vaardigheden
Diversiteit in Raad van Commissarissen neemt gestaag toe
Supply Chain 4. 0: Klantbeleving als doorslaggevende succesfactor
'Cybersecurity moet een schoolvak worden'
Nederland in top tien economisch meest getroffen landen door coronavirus
Bedrijfsleven leunt op achterhaald beleid wanneer het gaat om cyberveiligheid
Volop aandacht voor het menselijk kapitaal
meer top 10