Of u nu in de handel, infrastructuur, gezondheidszorg of financiën werkt, voldoen aan de unieke veiligheidsvoorschriften in uw sector is ongetwijfeld een belangrijke operationele doelstelling.
Conformiteitsnormen zoals de normen voor de bescherming van kritieke infrastructuur voor de nutsindustrie en de HIPAA-normen voor de medische industrie zijn nuttig – zelfs essentieel – voor een ononderbroken dienstverlening en de bescherming van de belangrijkste betrokkenen.
Conformiteit is echter maar één kant van het beveiligingsverhaal. Het is niet hetzelfde bij risicobeheersing in de praktijk en organisaties die een sterke beveiligingsmentaliteit willen blijven hanteren, moeten het subtiele maar belangrijke verschil tussen deze twee zaken begrijpen.
Twee kanten van het beveiligingsverhaal
Als het over conformiteit gaat, zijn er vaak twee visies.
Er is de visie die u aan uw auditor geeft – de persoon die controleert of aan alle eisen is voldaan en die u goedkeuring geeft tot uw volgende verplichte controle. Deze visie is vaak een overdreven uitdrukking (in sommige gevallen meer dan andere) van uw capaciteiten.
Daarnaast is er de visie die intern wordt gehanteerd – de realiteit van uw capaciteiten, controles in uw stappenplan en andere rechtvaardigingen voor het verschil tussen wat de auditor ziet en de realiteit.
Het is belangrijk te begrijpen dat deze afwijking vaak niet kwaadwillig wordt gecreëerd en dat dit in veel organisaties gebeurt. Conformiteit is een vereiste voor veel bedrijven en het is dan ook logisch dat bedrijven bestaande achterpoortjes of andere praktijken zullen gebruiken om ervoor te zorgen dat ze conform blijven en hun deuren openblijven, terwijl ze constant blijven werken om hun beveiligingsmentaliteit te verbeteren.
Om zelfgenoegzaamheid te voorkomen is het belangrijk om te focussen op het laatste deel van de vorige zin: constant blijven werken om uw beveiligingsmentaliteit te verbeteren. Het is uiteindelijk aan u, en niet de auditor, om in werkelijkheid te reageren op evoluerende bedreigingen en u aan te passen aan het voortdurend veranderende veiligheidslandschap in uw sector. Het is deze actieve benadering, niet het slagen voor een jaarlijkse controle, die een echt standvastige veiligheidshouding definieert.
Als deze twee visies op conformiteit nieuw voor u zijn, kan het nuttig zijn om meer te weten te komen over uw eigen beveiligingsrijpheid. Het is belangrijk dat u uw beveiligingsmaatregelen goed begrijpt, vooral waar en hoe ze kunnen verschillen van wat u aan de auditor meldt.
De rol van de beoordelaar
Op veel manieren gaat conformiteit meer over de kwaliteit van de beoordelaar dan de beveiligingsprocedures van de organisatie.
Niet alle beoordelaars zijn gelijk. Vooral bij vragen over bijzonder technische omgevingen begrijpen ze niet altijd de diepe nuances of de vragen kunnen vatbaar zijn voor interpretatie. Dat kan zorgen voor een mentaliteit om enkel de gestelde vraag te beantwoorden – en niet meer – om de beoordelaar niet meer informatie te moeten geven dat hij of zij nodig heeft.
Helaas is het een onvolmaakt systeem. Er zijn beoordelaars die bedrijven als conform zullen beschouwen, terwijl dat helemaal niet het geval is. Er zijn bedrijven die gewoon liegen over hun capaciteiten. Er zijn bedrijven die conform zouden moeten zijn, maar die niet correct zijn beoordeeld. Dat zal natuurlijk altijd zo blijven. Er bestaat geen perfecte oplossing.
Het komt opnieuw neer op aansprakelijkheid en een offensieve benadering van uw veiligheidshouding. De perfecte beveiliging bestaat niet; 100% veilig zijn is niet mogelijk. Het is een rijpingsproces dat met uw bedrijf en de omgeving mee evolueert en groeit.
Een beginpunt
Conformiteit is typisch representatief voor een lage drempel; het is de minimumvereiste om de data, netwerken, toepassingen of klanten in kwestie te beschermen. Conformiteit mag niet worden gezien als 'goed genoeg' of een eindstreep die moet worden gehaald. Conformiteit is eerder een beginpunt.
Dat gezegd te hebben, we moeten allemaal ergens beginnen. Conformiteit kan voor u een beginpunt zijn.
In plaats van de vereisten op een lijst af te vinken, werken bedrijven beter samen met professionals om hun risico's binnen hun specifieke bedrijfscontext beter te begrijpen. Wanneer dit goed gebeurt, kunnen experten uw organisatie helpen om een plan op te stellen om uw staat van beveiliging continu te blijven verbeteren – of nog beter, in een tempo dat past voor uw bedrijf, voor uw klanten en voor het beveiligen van uw activa.
Vindt u dit artikel nuttig? Lees dan ook: